none
Авторизация на сервере терминалов, при отключении о т домена RRS feed

  • Вопрос

  • Привет. Мне потребовалось терминальный сервер в составе домена временно отселить в изолированную сеть без контроллера домена. Единственное решение поднять на время на терминальном сервере контроллер домена? Или есть еще варианты?
    2 июня 2011 г. 20:52

Ответы

  • Если не хотите на своём сервере терминалов поднимать контроллер домена - можете на нём установить виртуальный сервер в котором поднять контроллер домена (если это временно, то лицензию на временный контроллер домена покупать не обязательно до 30 дней и даже более).
    Или использовать например OpenLDAP.

Все ответы

  • Если не хотите на своём сервере терминалов поднимать контроллер домена - можете на нём установить виртуальный сервер в котором поднять контроллер домена (если это временно, то лицензию на временный контроллер домена покупать не обязательно до 30 дней и даже более).
    Или использовать например OpenLDAP.
  • В общем разница то небольшая на виртуалке или на терминальном поднимать AD. Хотелось бы как нибудь временно закэшировать данные требуемые для терминального сервера. А так все одинаково потом удалять ненужный контроллер и за ним подчищать.
  • разница большая, с точки зрения безопасности поднимать контроллер на терминале совсем нехорошо. к тому же гораздо проще убить виртуалку, чем демоутить боевой сервер и чистить за ним, особенно если это на время.

  • Wital, не совсем понятна задача... Вы хотите отделить терминальный сервер от рабочей сети? Но для каких целей?

    А потом (после проекта) какова будет судьба терминального сервера? Если Вы просто его переустановите (или восстановите из образа), то это одно, а если Вы просто предполагаете включить его обратно в рабочую сеть, то вопрос другой.

    Необходимость отделения в изолированную сеть продиктована вопросами безопасности или нет?

    Если вопрос в безопасности (угроза в изолированной сети), то размещение в этой же сети рабочего контроллера домена будет неприемлемо, и здесь Вам может подойти RoDC (на котором будут кешироваться только отдельные учетные данные).

    PS: если Вы сможете описать цель Вашего эксперимента, то Вам смогут датьпредметные рекомендации.

  • Временно из соображений безопасности небольшую подсеть с терминальным сервером нужно физически отделить от основного сегмента, через 3-6 месяцев вся подсеть опять получит доступ в общую сеть, как и было до отделения.
  • Какова у вас в организации политика смены пароля? Что-то мне подсказывает, что полгода без DC терминальник нормально не протянет. Правда и отдельный сайт без синхронизации будет испытывать серьезные проблемы.

    Я бы поднял DC на простейшем железе, разрешил синронизацию между контроллерами, а по завершению проекта вывел контроллер из эксплуатации.

  • Остановился на варианте с виртуалкой. Сконвертировал существующий контроллер в образ виртуальной машины и запускаю контроллер после старта терминального сервера через vwware player. Установил на терминальном сервере днс сервак BIND (его использовате проще и быстрее чем родной), синхронизировал его с доменной зоной, чтобы быстрее и без ошибок стартовал контроллер домена.

    Осталась одна проблемка. Пользователь залогинивается долго. Примерно с минуту. Ошибок в логах нет. Есть варианты как поправить это?

    14 июня 2011 г. 22:19
  • Изменить порядок запуска - сперва контроллер, а потом сервер. Зачем вы подняли второй сервер DNS (а точнее - BIND) в довесок к имеющемуся на контроллере - абсолютно неясно.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    16 июня 2011 г. 13:18
    Модератор