none
Необходимость второго контроллера домена. RRS feed

  • Вопрос

  • Добрый день. В организации есть лес AD, состоящий из 1 дерева, в котором два домена: основной и под-домен.

    В основном домене два контроллера домена. Они же являются серверами глобального каталога и DNS для всего леса. В под-домене один контроллер. Для авторизации в нем  используются учетки основного домена.

    Вопрос в том, стоит ли поднимать второй контроллер в под-домене? Если я правильно понимаю, учетные записи компьютеров хранятся исключительно на контроллере под-домена, и в случае его падения, компы не смогут установить доверительные отношения с вышестоящим доменом. Соответственно, авторизоваться на них я не смогу.

    Правильно ли я мыслю в этом вопросе?

    И второй вопрос. Обязательно ли назначать сервер глобального каталога в под-домене?

    31 марта 2015 г. 8:47

Ответы

  • Правильно мыслите: в случае отказа единственного КД поддомена учётные записи этого поддомена станут недоступны.

    Насчёт глобального каталога: сейчас Microsoft рекомендует делать каждый контроллер домена глобальным каталогом - даже междугородние каналы связи стали сильно быстрее со времён Windows 2000 , и трафик репликации леса их загружает теперь несильно.


    Слава России!

    • Помечено в качестве ответа pawellrus 31 марта 2015 г. 9:18
    31 марта 2015 г. 8:52
  • В глобальном каталоге хранятся лишь частичные копии разделов других доменов. В частности, паролей учётных записей пользователей и компьютеров там нет. Так что аутентификация с использованием раздела домена в глобальном каталоге на контроллере другого домена невозможна - требуется контроллер этого домена.

    Слава России!



    • Изменено M.V.V. _ 31 марта 2015 г. 9:14
    • Помечено в качестве ответа pawellrus 31 марта 2015 г. 9:18
    31 марта 2015 г. 9:13
  • Да,  для входа в систему пользователей (всех, кроме встроенного администратора домена) по умолчанию необходима возможность доступа к глобальному каталогу (для определения членства в универсальных группах). Но при очень большом желании это требование можно отключить.

    В настоящее время рекомендуется делать все контроллеры домена глобальными каталогами - причины, по которым это не рекомендовалось делать во времена Windows 2000, в наше время практически не встречаются.


    Слава России!

    • Помечено в качестве ответа pawellrus 9 апреля 2015 г. 4:46
    8 апреля 2015 г. 16:14

Все ответы

  • Правильно мыслите: в случае отказа единственного КД поддомена учётные записи этого поддомена станут недоступны.

    Насчёт глобального каталога: сейчас Microsoft рекомендует делать каждый контроллер домена глобальным каталогом - даже междугородние каналы связи стали сильно быстрее со времён Windows 2000 , и трафик репликации леса их загружает теперь несильно.


    Слава России!

    • Помечено в качестве ответа pawellrus 31 марта 2015 г. 9:18
    31 марта 2015 г. 8:52
  • А что насчет учетных записей пользователей под-домена? Они то должны храниться глобальном каталоге. Под ними я смогу авторизоваться в под-домене? Или же без проверки подлинности компьютера все это не имеет смысла?

    • Изменено pawellrus 31 марта 2015 г. 8:55
    • Помечено в качестве ответа pawellrus 31 марта 2015 г. 9:18
    • Снята пометка об ответе pawellrus 31 марта 2015 г. 9:18
    31 марта 2015 г. 8:55
  • В глобальном каталоге хранятся лишь частичные копии разделов других доменов. В частности, паролей учётных записей пользователей и компьютеров там нет. Так что аутентификация с использованием раздела домена в глобальном каталоге на контроллере другого домена невозможна - требуется контроллер этого домена.

    Слава России!



    • Изменено M.V.V. _ 31 марта 2015 г. 9:14
    • Помечено в качестве ответа pawellrus 31 марта 2015 г. 9:18
    31 марта 2015 г. 9:13
  • Большое спасибо.
    • Помечено в качестве ответа pawellrus 31 марта 2015 г. 9:18
    • Снята пометка об ответе pawellrus 31 марта 2015 г. 9:18
    31 марта 2015 г. 9:18
  • Кстати, еще вопрос. Заметил тут такую проблему. Если вышестоящий контроллер домена недоступен, то залогиниться на компы под-домена даже под его же под-доменовскими учетками невозможно.

    Может ли это быть потому, что глобальный каталог есть только на контроллере вышестоящего домена?

    8 апреля 2015 г. 11:31
  • Да,  для входа в систему пользователей (всех, кроме встроенного администратора домена) по умолчанию необходима возможность доступа к глобальному каталогу (для определения членства в универсальных группах). Но при очень большом желании это требование можно отключить.

    В настоящее время рекомендуется делать все контроллеры домена глобальными каталогами - причины, по которым это не рекомендовалось делать во времена Windows 2000, в наше время практически не встречаются.


    Слава России!

    • Помечено в качестве ответа pawellrus 9 апреля 2015 г. 4:46
    8 апреля 2015 г. 16:14