none
Проектирование Active Directory RRS feed

  • Вопрос

  • Добрый день, коллеги.

    Возник вопрос по проектированию AD. Существует центральный офис с именем леса и домена abc.ru (две ВМ с ролями AD, DNS, DHCP (failover)). Также, есть склад. Между офисом и складом есть канал в ±30 Мбит (два провайдера с каждой стороны с автоматическим переключением).

    Вопрос следующий: как правильнее/лучше и т.д. развернуть на складе контроллер домена? Сейчас на складе развернут лес и домен s.abc.ru. Хотим, чтобы у пользователей центрального офиса и склада было одинаковое имя входа вида user@abc.ru. Ресурсы, к которым обращаются пользователи находятся как на складе, так и в офисе.

    18 апреля 2016 г. 7:54

Ответы

  • С сайтом Default-First-Site-Name можете делать что хотите. Я если помните, предлагал его использовать как сайт для офиса. Но если испольуете для офиса другой сайт, можете этот просто оставить как есть, не назнаяая ему ни одной подсети.

    Контроллеры доменов сайтам назначаются вручную, в AD Sites and Services, поэтому переносите контроллер, на котором получили предупредение в нужный сайт с помощью этой консоли.

    2. Я бы установил минимально возможное значение для промежутка (это 15 минут, по-моему): вашего канала для репликации AD хватит с избытком.


    Слава России!

    21 апреля 2016 г. 12:26

Все ответы

  • UPN альтернативный можно прописать одинаковый в двух доменах.

    Но если у вас хороший канал лучше сделать все в одном домене и просто на уровне OU разграничить административные полномочия.


    scientia potentia est
    My blog

    18 апреля 2016 г. 8:04
  • Предположим печальную ситуацию: канал упал на сутки или более. Какие в этом случае могут быть печальные последствия?
    18 апреля 2016 г. 8:15
  • Только недоступность ресурсов между офисами и не будет обновления. Т.е. если на одном внести в группу на втором они появятся только после восстановления связи. В плане работы самой Active Directory ничего не произойдет.


    scientia potentia est
    My blog


    18 апреля 2016 г. 8:20
  • Тогда ещё вопрос: а что указывать в настройках сетевых адаптеров? В офисе и на складе планируется по два контроллера, два DNS и DHCP. IP адресация разная. В офисе вида 10.1.2.x, на складе 10.6.2.x
    18 апреля 2016 г. 8:32
  • Если вы через DHCP прописываете, что правильно, то можно все 4 внести в список DNS-серверов. Сначала своего, потом чужого. Хотя достаточно только двух прописать-одного своего, потом одного чужого.

    scientia potentia est
    My blog

    18 апреля 2016 г. 8:43
  • На серверах прописываю статику, на клиентах DHCP.
    18 апреля 2016 г. 8:59
  • На серверах прописываю статику, на клиентах DHCP.
    все правильно.

    scientia potentia est
    My blog

    18 апреля 2016 г. 9:13
  • Так вот вопрос про статику на серверах: как правильно там указать?
    18 апреля 2016 г. 9:26
  • Так вот вопрос про статику на серверах: как правильно там указать?
    точно также как и на обычных машинах. Сначала свои, потом чужие.

    scientia potentia est
    My blog

    18 апреля 2016 г. 9:48
  • а как компьютеры на складе заставить проходить авторизацию на контроллерах, которые расположены непосредственно на складе, а затем уже, если они недоступны, авторизовываться на контроллерах центрального офиса?
    18 апреля 2016 г. 11:21
  • Разделить сеть на сайты, если она почему-либо у вас ещё не поделена: подсеть 10.1.2.0/24 добавить в изначально существующий сайт, а 10.6.2.0/24 - во вновь созданный.

    Если же сеть поделена на сайты, ничего делать больше не требуется.


    Слава России!

    18 апреля 2016 г. 12:07
  • Не ругайте сильно, ткните в какой-нибудь конкретный пример или документацию. Хотя документация - это то, что я уже прочитал. Раньше не приходилось просто создавать подсети для доменов. Обычно были широкие каналы, что не приходилось задумываться об этом.

    Спасибо.

    19 апреля 2016 г. 14:57
  • Не ругайте сильно, ткните в какой-нибудь конкретный пример или документацию. Хотя документация - это то, что я уже прочитал. Раньше не приходилось просто создавать подсети для доменов. Обычно были широкие каналы, что не приходилось задумываться об этом.

    Спасибо.

    Если не смущает, что по-буржуйски, то вот свежий Step-by-step guide, с картинками.

    Ну, а , если нужно по-русски, то здесь - контрольный список, что делать со ссылками на конкретные процедуры (правда для Win2K8 R2, но с тех пор ничего не поменялось).


    Слава России!

    19 апреля 2016 г. 15:28
  • Спасибо большое.

    А в случае нескольких контроллеров домена (два в офисе, два на складе), связи настраиваются аналогичным образом (нужно ли настраивать связи крест на крест?) И второй вопрос: в офисе адресация вида - 10.1.x.x/24, на складе 10.6.x.x/24. Серверный сегмент имеет адресацию вида 10.1.2.x/24, клиенты 10.1.VLAN_отдела.x/24. По аналогии сделано и на складе. Как в таком случае настаиваются подсети в оснастке  "Active Directory Sites and Services"?

    20 апреля 2016 г. 13:37
  • Раз у вас в офисе используются адреса из подсети 10.1.0.0/16 (разбитой на более мелкие подсети), а на складе - из 10.6.0.9/16, то в качестве подсетей для сайтов офиса и склада используйте 10.1.0.0/16 и 10.6.0.9/16.

    Связи настраиваются обычно между сайтами, а подключения репликации между конкретными контроллерами назначаются автоматически. В вашем случае, скорее всего, подойдёт настройка по умолчанию: два сайта, объединённые одной связью (она уже есть по умолчанию) и автоматическая настройка подключений.


    Слава России!


    • Изменено M.V.V. _ 20 апреля 2016 г. 16:04
    20 апреля 2016 г. 16:04
  • Спасибо.

    Настроил сайты и подсети. Распределил существующие контроллеры домена. Пару вопросов:

    1. Выполняю dcdiag с контроллера и получаю следующее предупреждение:

    "None of the IP addresses (10.1.2.2) of this Domain Controller map to the configured site 'Default-First-Site-Name'. While this may be a temporary situation due to IP address changes, it is generally recommended that the IP address of the Domain Controller (accessible to machines in its domain) maps to the Site which it services. If the above list of IP addresses is stable, consider moving this server to a site (or create one if it does not already exist) such that the above IP address maps to the selected site. This may require the creation of a new subnet object (whose range includes the above IP address) which maps tothe selected site object."

    Возникает вопрос: а что делать с "Default-First-Site-Name", который создается по умолчанию? Удалить?

    2. Какое расписание репликации настроить для связи SiteA-SiteB? Канал ±30Mbit.

    21 апреля 2016 г. 10:57
  • С сайтом Default-First-Site-Name можете делать что хотите. Я если помните, предлагал его использовать как сайт для офиса. Но если испольуете для офиса другой сайт, можете этот просто оставить как есть, не назнаяая ему ни одной подсети.

    Контроллеры доменов сайтам назначаются вручную, в AD Sites and Services, поэтому переносите контроллер, на котором получили предупредение в нужный сайт с помощью этой консоли.

    2. Я бы установил минимально возможное значение для промежутка (это 15 минут, по-моему): вашего канала для репликации AD хватит с избытком.


    Слава России!

    21 апреля 2016 г. 12:26
    1. Контроллеры я уже разнес по сайтам, после этого выполнил dcdiag. Сейчас остались ошибки. Подожду час, и отпишу (может уйдут после репликации). Default-First-Site-Name удалил. Связь также удалил.
    2. Время репликации установил 15 минут. 

    21 апреля 2016 г. 12:41