none
Помогите подключить филиал к домену гл.офиса RRS feed

  • Общие обсуждения

  • Добрый день.
    Есть основной офис с доменом на Win Server 2003 R2. Наружу смотрит ISA2006 на Win Server 2003 R2. Все работает прекрасно. Есть филиал, с рабочей группой из 20 компьютеров. Сейчас встал вопрос установки в филиале сервера и подключения его к основному офису.

    В филиале будет стоять машина с Win Server 2003 R2, на ней же стоит ISA 2006. Она будет и контроллером домена. Связь планируется через VPN Site-to-Site под ISA 2006.

    Посоветуйте, пожалуйста, как лучше спроектировать домен.
    Сделать разные домены в одном лесу, или домен в офисе и поддомен в филиале?
    Никогда не делал. Что проще и в поддержке, первоначальной настройке и в использовании?

    Спасибо
    • Изменен тип udinrv 29 января 2010 г. 12:07
    19 января 2010 г. 12:47

Все ответы

  • Посоветуйте, пожалуйста, как лучше спроектировать домен.
    Сделать разные домены в одном лесу, или домен в офисе и поддомен в филиале?
    Никогда не делал. Что проще и в поддержке, первоначальной настройке и в использовании?

    Спасибо

    Проще оставить один домен. Засунув все филиальное хозяйство в отдельную OU, затем делегировать разрешения админу филиала, если он там будет.
    19 января 2010 г. 12:54
    Отвечающий
  • Не претендую на истину, но добавлю пару строк.

    1) Возможные плюсы за один (единый) домен как предложили: тогда в филиале не нужен контроллер (минус 1 сервер), но (!) если упадет канал VPN - то там юзвери не смогут войти в сеть (или будут/могут быть проблемы с доступом к ресурсам даже если зайдут по кэшу). Это первый "камень" в сторону одного домена.

    2) Второй камень - подрыв безопасности. Взлом домена через физический доступ к контроллеру в филиале (не буду объяснять дабы не быть неправильно понятым, но делается в два действия). Таким образом уплывает учетка EntAdmin домена (а с ней возможно и часть данных) к тому кто сможет посидеть сколько-нибудь минут за клавой контроллера в филиале. Сомнительное преимущество 1 домена.

    3) Про лес. Поскольку тот же Exchange работает единой организацией на уровне 1 леса (домены в разных лесах будут обслуживаться разными организациями ексчендж, а это отсутствие единой адресной книги и т.д. - плохо короче), то лес однозначно рекомендуется единый (контроллер в филиале поднимается ПОСЛЕ установки VPN между офисами и как новый домен в уже существующий лес - нужна будет учетка EntAdmin, лучше завести еще +1 учетку с такими правами и потом убить ее).

    4) Про адресное пространство. Делать ли лучше дочерний домен или отдельное дерево - сказать ничего не могу, но чаще встречал что делали дочерние домены (в одном адресном пространстве). Типа Firma.ru и там spb.firma.ru Это удобнее также в том случае если почта будет иметь такое же адресное пространство в филиале, но ексчендж позволяет делать и не обязательно такие адреса для филиала а любые, типа firma-blabla.ru. В диалоге логона ВИН отображаются Nеtbios имена всех доменов 1 леса на всех компах.

    Лучше сначала затестить на 3х виртуалках в изолированной сети.

    19 января 2010 г. 15:37
  • Спасибо большое за советы!!!

    В головном офисе стоит Exchange, SharePoint Services, SQL 1C и файловый сервер. Стоит цель чтобы из филиала был постоянный доступ ко всему. К Exchange по MAPI. И из головного офиса должны свободно ходить по ресурсам филиала(файловый сервер, Remote Admin и "внутренняя аська"). В филиал уже куплен небольшой сервер.

    Я с этим никогда не сталкивался и могу ошибаться. Простите уж если задаю глупые вопросы.

    Один домен: Если все сделать в одном домене, то вроди как это все это решается, пока VPN не вылетел. Относительно входа пользователей: если в филиале поставить второй контроллер домена.
    То они же смогут аутентифицироваться по нему, если вылетит VPN?
     Никто не сталкивался, а вообще VPN через ISA, это достаточно надежно?

    Поддомен :Если сделать поддомен. Смогут юзера из поддомена свободно пользоваться через VPN ресурсами домена в главном офисе и наоборот?

    Спасибо
    22 января 2010 г. 12:16
  • Если еще актуально..
    Когда поднят VPN между офисами то для пользования ресурсами нет разницы 1 домен или несколько в одном лесу (поддоменов).
    Создается в нужном домене локальная группа (безопасности) (в том где ресурс куда нужен доступ остальным) и в нее добавляются нужные юзверя как из текущего так и из под-домена/ов.

    ВПН на иса вполне работоспособен (уж при небольшом кол-ве филиалов точно) и это проще (и даже иногда дешевле) чем железки (на мой взгляд).
    Имеется в виду site-site. В разных офисах разные подсети (естественно). Иса будет их намально роутить (ничего кроме правильной настройки ВПН и правил и не надо).
    Ексчанга mapi тоже работает и через site-site и также через клиентский впн (это в сл.если юзверь сидит дома и хочет ее).

    Что проще сложно сказать - сложности изза вопросов настройки могут быть и там и там.
    С т.з. безопасности - выше, что в ненадежном филиале не хорошо держать контроллер основного домена.

    В 2008 есть RODC (контр-р тока для чтения, ставицца в филиале). Но для каждого RODC должен быть хотя бы и 1 нормальный контроллер в том же домене (стоящий уже в надежном помещении).

    Без контроллера в филиале при обрыве ВПН понятно будут проблемы с входом/и/или/доступом. И также даже при наличии ВПН (и отсутсвии там контроллера какого либо) будут (ну или логично что будут) тормоза при входе и возможно при доступе (опять же от канала зависит). А от канала лучше не зависеть, малоли скока в филиале пров. может чинить порванную оптику (как вариант), бывало что и больше недели.

    Так что логично что в филиале нужен контроллер, это можгут быть:

    0) в филиале + обычный контроллер основного домена (не рекомендуется, небезопасно, выше).
    1) в филиале RODC к основному домену (и один домен).
    2) в филиале RODC к дочернему домену (+нормальный DC этого дочернего в основном офисе).
    3) в филиале обычный DC дочернего
    4) в филиале RODC дочернего (плюс основной DC дочернего в главном офисе).

    Кстати всегда рек-ся делать как мимниум 2 контроллера в каждом домене (если это филиал с отдельным доч.доменом, то второй контроллер ставицца в гл.офисе). А уже для корневого домена обязательно 2 контроллера, иначе могут пострадать и все дочерние (под переустановку) если что-то с ним случиться и не будет бекапа.

    Не претендую на истину...

    29 января 2010 г. 15:18
  • Интересное обсуждение. Я думаю учитывая безопасность, дешевизну и отказоустойчивость (в данном случае вы зависите от канала провайдера) идеально было бы поднять уровень до 2008 и поставить в филиале контроллер только для чтения, как упоминалось выше, к основному домену.

    Тут нужно смотреть с точки зрения лицензий на 2008 и времени на повышения уровня домена. При наличии этого вы получите еще и апгрейд уровня домена, при наличии клиентов 2008/Vista/7 сразу убьете 2 зайца
    31 января 2010 г. 5:39
  • Спасибо за ответы!!!

    C WinServer2008 сложно. Контора сравнительно не большая. В наличии есть только сервера 2003. Придется только на них и рассчитывать.

    Склоняюсь к созданию в филиале поддомена со своим контроллером, чтобы они сильно от головного офиса и канала не зависили.

    Осталось только сделать VPN Sito-to-Site.
    Сделал все, как описано в (http://www.isadocs.ru/articles/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html).
    инги идут, а открыть ничего из другого сайта не могу, равно как и поддомен сделать. Не видит соседний ДНС.
    1 февраля 2010 г. 13:05