none
Прошу совета по проектирование инфраструктуры службы каталогов. RRS feed

  • Общие обсуждения

  • У нас в компании около 10 филиалов. Два в Питере, остальные распределены по Москве. В каждом из них от 50 до 500 компьютеров и в каждом из них есть системный администратор, который отвечет за добавление новых объектов в службу каталогов, касающихся его филиала. Все филиалы подключены к главному по оптике. Маршрутизация идет на 2-ом уровне, соответственно все прикладные протоколы ходят. Сейчас встал вопрос о правильно проектирование инфраструктуры службы каталогов актив директори. Не смотря на оптику, каналы загружены обращения к базам данных и т.п. Домен будет один, это уже решено. Скорее всего будет строиться на Windows 2008 R2. А вот: сколько домен контроллеров располагать в каждом филиале; нужно ли делать сайты; как лучше настроить репликацию и многое другое, чего я не знаю, нужно спроектировать. Буду очень благодарен, если Вы поделитесь своим опытом или дадите дельный совет. Заранее каждому спасибо.
    24 января 2011 г. 20:27

Все ответы

  • Вы всерьез считаете, что здесь, прямо на форуме, вам в двух-трех предложениях расскажут, как спроектировать инфраструктуру AD под ваше предприятие? Это же целая наука. Советую поискать книжки из серии Microsoft Press и почитать для начала. А еще лучше - нанять специалиста, или фирму, которые разработают проект и внедрят. Потому что если допустить ошибки при проектировании - они могут дать о себе знать через очень и очень продолжительное время.

    Напоминает анекдот про медицинский форум: "Нужно сделать другу пересадку сердца. Книжку по анатомии прочитал, скальпель купил. Что делать дальше?"


    MVP: Virtual Machine
    26 января 2011 г. 5:59
  • Я серьезно считаю, что человек у которого есть подобный опыт, может в кратце дать мне советы. Литература не дает опыта, там только теория и я ее читаю. Всегда найдутся подводные камни. Особенно в продукции MS!

    26 января 2011 г. 9:44
  • Особенно в продукции MS!

    Слишком толсто, IMHO.

     

    А без знания теории - даже если Вам и дадут советы - они Вам ничем не помогут. Вот попросите какого-нибудь хирурга рассказать, как делается операция даже не по пересадке сердца, а самая простая - удаление аппендикса. В самом лучшем случае последует двухчасовой монолог, из которого вы поймете слов десять, большая часть из них будут предлогами и местоимениями.

    Поэтому я все же советую обратиться за помощью к профессионалам. Потому что что бы Вам на форуме не посоветовали - с вероятностью 99% на "подводные камни" Вы таки наткнетесь, и вполне возможно, это произойдет не сразу, а спустя некоторое время.


     


    MVP: Virtual Machine

    26 января 2011 г. 12:42
  • Давайте так - если вы не можете ничего посоветовать по теме, то не пишите здесь ничего... Я не хочу вступать в бессмысленный спор.

    27 января 2011 г. 8:07
  • Прошу совета с более легкой дилемой. Стоит ли в фелиалах на контроллерх домен располагать глобальный каталог или дать роль хозяина инфраструктуры? Связь с фелиалами довольно-таки стабильная. Скорость около 10 мб/c с каждым. К некоторым идет даже резерв. Нагруженность канала позволяет делать репликации. В каждом фелиале от 100 до 500 компов. Интересует какие могу быть проблемы если глобальный каталог будет в кажом фелиале. Домен один.
    9 февраля 2011 г. 12:38
  • Роль Мастер инфраструктуры уникальна в Домене, советую вам прислушаться к советам Alexander Kosivchenko. Скупой платит дважды, а то и трижды.... Медали пользователяМедали пользователяМедали пользователяМедали пользователяМедали пользователя

    10 февраля 2011 г. 16:33
  • Если домен у вас всего один - не вижу смысла в глобальных каталогах. Достаточно будет просто поставить хотя бы по одному КД в каждом сайте.


    MVP: Virtual Machine
    11 февраля 2011 г. 5:56
  • А я вижу смысл... если Домен 1, сайтов много и каналы забиты благодаря базам данных, то для ускорения доступа к объекьтам АД глобальный каталог понадобится, иначе будут тормоза в сайтах. друггое дело - везде ли они нужны, и какие типы ДК должы будут стоять обычные, или тольчко для чтения и т.д.

    11 февраля 2011 г. 6:25
  • Дык глобальный каталог - это контроллер домена, хранящий полную реплику своего домена, и частичную - всех остальных. Если домен у нас всего один - то все контроллеры будут хранить полную реплику одного своего домена. RODC вообще отличается, по сути, лишь тем, что он может только принимать репликацию, сам не может ничего реплицировать.


    MVP: Virtual Machine
    11 февраля 2011 г. 11:10
  • С помощью сервера глобального каталога можно выполнить поиск по всему лесу доменных служб Active Directory без ссылок на контроллер домена в лесу, на котором хранится цель поиска.

    Если лес содержит только один домен, все контроллеры домена имеют полный набор объектов, в котором может быть выполнен поиск, а сервер глобального каталога не обязан удалять ссылки на другие домены. Однако вследствие того, что порт глобального каталога отличается от порта LDAP по умолчанию (389), запросы глобального каталога должны находить сервер глобального каталога. В лесу, состоящем из одного домена, можно сбалансировать нагрузку, вызываемую запросами глобального каталога, между всеми контроллерами домена путем настройки всех контроллеров домена в качестве серверов глобального каталога. Так как не требуется дополнительной репликации или обработки других данных домена, оборудование, на котором работает сервер глобального каталога, предназначенный для одного домена, может и не иметь преимуществ перед оборудованием на других контроллерах домена.

    Чтобы оптимизировать производительность сети в среде с несколькими сайтами, рассмотрите возможность добавления серверов глобального каталога в сайты в соответствии с необходимостью быстрого ответа на поисковые запросы и быстрого входа в систему

    http://technet.microsoft.com/ru-ru/library/cc733162(WS.10).aspx

    У RODC продуманна защита информации даже на случай его физической кражи... репликации выборочны.... и т.д.

    11 февраля 2011 г. 11:55
  • Размещение глобального каталога требует планирования, если только не используется лес с одним доменом. В лесу с одним доменом все контроллеры домена настраиваются как серверы глобального каталога. Поскольку каждый контроллер домена хранит только один раздел каталога домена в лесу, настройка каждого контроллера домена как сервера глобального каталога не требует дополнительного места на диске, не создает дополнительной нагрузки на ЦП или дополнительного трафика репликации. В лесу с одним доменом все контроллеры домена выступают в роли серверов глобального каталога, то есть все они могут отвечать на любые запросы проверки подлинности или запросы обслуживания. Это особое состояние, предусмотренное для лесов с одним доменом.

    http://technet.microsoft.com/ru-ru/library/cc732877(WS.10).aspx

    11 февраля 2011 г. 12:17
  • Для меня важен выбор между контроллерами домена только для чтения или полноценным. Я считаю, что в филиалах стоит ставить полноценные, т.к. они соеденины хорошим каналом связи (достаточным для репликации) и в случае сбоя на линии, админы домена смогу создавать новые объекты и управлять существующими, до восстановления связи. К тому же, это может пригодится для других программ, которым может понадобится доступ к глобальному каталогу (таких программ на данный момент нет).

    Мое руководство считает, что нужно ставить только для чтения. Главный аргумент - отсутствие проблем репликацией. Если контроллер домена будет работать нестабильно, то его можно быстро заменить или переустановить.

    Кстати! Есть ли инструменты дя быстрого выявление ошибок в репликации? Т.е. если объекты не реплицируются или появляются дублекаты и т.п.

    В статьях пишут только о том как прекрасен тот или иной выбор и практически не видно советов. Да и простыми советами мало кого заставишь изменить свое решение.

    По поводу "вызвать специалиста"... Я что-то повидал многих "специалистов". И даже, на первый взгялд, в серьезных компаниях работают такие специалисты, что уж лучше я сам все сделаю.

    14 февраля 2011 г. 9:45
  • выбор дк для чтения не лежит в плоскости скорости канала. а в физическом расположении сервера и доступа к нему. Если выделить отдельный сервер к примеру для такого ДК затруднительно, и на этом компьютере будет работать кто-то еще, либо вы не хотите потерять даные безопасности(логины пароли... все объекты) хранящиеся в глобальном каталоге при утрате ДК... если нет Админов способных обслуживать этот ДК и т.д. то ваш выбор только для чтения... если ДК будет работать не стабильно, то заменить, или переустановить можно будет любой тип ДК. ошибки репликации падают в логи, возможно вам стоит подумать о том, что бы собирать все эти логи централизованно с помощью МОМ... так же есть утилиты диагностики ДК такие как dcdiag. Домен - это верхушка айзберга, так же надо продумать время когда будет происходить репликация, когда будут обновляться БД, так же задуматься о распределенной файловой системе, либо бренч кэше, \ документообороте через exchange или sharepoint безопасности передачи данных - ipsec, зможно применение сертификатов\смарт карт, возможно применять где-то прейдется НАП.... Систму управления всей этой инфраструктурой(SCCM SCVMM MOM )не исключенно, что какие-то службы будут ключивыми и понадобится их безотказная работа, а это уже кластеризация, так же контролировать доступ в интернет ТМГ...Систему бэк апов всего этого хозяйства (DPM) и т.д.

    Что касается специалистов в вашем регионе - на сайте микрософт есть список сертифицированных организаций(раньше назывались золотыми партнерами микрософт), к которым по этим всем вопросам можно обращаться. все это по хорошему планируется, поднимается в начале на виртуалках, тестируется, а уже только потом внедряется.... так что все-таки советую обратиться к профессионалам....

    • Изменено Sergey2005 14 февраля 2011 г. 12:48
    14 февраля 2011 г. 12:20
  • не говоря про техническую сторону вопроса, 1 человек в которой за такой короткий промежуток времени разобраться будет просто не в состоянии, а тем более все это внедрить, есть еще и сторона лицензирования всего этого хозяйства.... можно постигать все в одиночку несколько лет....

    14 февраля 2011 г. 12:31
  • В каждом офисе - сайт. Кто аргументировано опровергнет это утверждение ? :)
    3 марта 2011 г. 14:26