none
Подсети (VLAN) и AD RRS feed

  • Вопрос

  • Добрый день. В организации есть несколько подсетей (VLAN) соединенных маршрутизатором (с firewall). Планируется поднятие  домена active directory. Какая best practice по поднятию и использаванию active directory с несколькими подсетими (VLAN)? Некоторые советуют к контролеру домена подключить все сети на прямую, некоторые сделать сетку плоскую и не париться, другие поставить контроллер домена в каждой подсети и много других вариантов. Я же считаю что клиенты будут общаться с контролером домена через маршрутизатор и ничего страшного не случится, или все  есть подводные камни?
    24 июня 2014 г. 17:11

Ответы

  • В принципе, никаких подводных камней (ну, кроме необходимости корректной настройки DNS, чтобы разрешение имен в домене AD работало всегда) в работе AD с многими подсетями нет. Главное, чтобы производительности маршрутизатора хватило.

    А вот брандмауэр на маршрутизаторе между КД и клиентами лучше просто отключить: там используется довольно много протоколов (список есть в MS Knowledge base), и один из них - RPC - довольно сложен, имеет историю неоднократных расширений, а потому может некорректно обрабатываться брандмауэром.

    И маршрутизатор должен работать именно как маршрутизатор, без NAT: уже упомянтуый RPC через NAT может не работать.


    Слава России!

    25 июня 2014 г. 8:09