News:

Не допустить ошибок, значит прожить неполноценную жизнь. Стив Джобс

Main Menu

контроллер домена в другом офисе

Started by samotlor, 27 January 2019, 17:29

Previous topic - Next topic

0 Members and 3 Guests are viewing this topic.

samotlor

доброго дня!
Открывается у нас другой офис, там планируется 20-30 машин. В основном офисе есть домен вида domain.local.
Соответственно в новом офисе планируется свой КД. Синхронизация пойдет через VPN.

В новом офисе пока работают аутсорсеры. Не знаю как дальше будет, но возможно они там и останутся.
Что лучше поднять там RODC или лучше второй КД в другом сайте?

Уваров А.С.

Смотрите сами, если будет доступ третьих лиц, которым вы не совсем доверяете, то лучше RODC.

ival

Можно и DC в новом сайте. Для филиала в структуре создать отдельную OU, поместить в нее ПК и УЗ пользователей филиала. Для внешних админов создать группу безопасности. Создать рядовые учетки для внешних админов. Поместить их в созданную группу. Делегировать этой группе конкретные права на OU филиала (сброс паролей, отключение УЗ и далее по списку, что именно нужно) Запретить этой группе доступ ко всем файловым ресурсам. Например создать политику которая будет делать пользователей созданной группы локальными админами на ПК и нацелить её на OU филиала. Ну это как пример, можно еще много чего наворочить. Главное сделать так чтобы они вроде как и не могут навредить, а вроде как и Вас не дергают по пустякам. Понятное дело, что условно RODC безопаснее обычного DC, но надо объективно смотреть на вещи, если прям у Вас секреты секреты, что DC могут украсть физически, то лучше RODC. Хотя если так, то логичнее просто посторонних не пускать в свою инфраструктура и стойки на ключ закрывать :)


samotlor

спасибо. Да вроде особо там опасаться нечего.
Чем вообще репликация КД в разных сайтах отличается от репликации RODC ?  Не будет ли проблем с сетью в филиале при падении VPN на некоторое время?


Еще хочется узнать, как кто обеспечивает работу с общими файлами с филиалом? Чую геморрой будет еще тот. Там порядка 20 машину будет. А вся файлопомойка в основном филиале.

ival

Межсайтовая будет по расписанию, но не чаше чем раз 15 минут (если не изменяет память). Ну если очень надо, то можно толкнуть руками. Главное пережить первую репликацию. Потеря связи не страшна, но опять же в пределах разумного, а то могут полезть ошибки как минимум по керберосу, но неделю точно проживу друг без друга.  Если правильно делать, то подумайте о резервном канале и поднимите второй тунель между площадками.

По файлам все индивидуально. Можно все хранить в центе, можно чтобы ЦО хранил свои а филиал свои. 20-30 машин в принципе не так много. Но я бы в филиале сделал свою помойку.

samotlor

Quote from: ival on 29 January 2019, 21:40По файлам все индивидуально. Можно все хранить в центе, можно чтобы ЦО хранил свои а филиал свои. 20-30 машин в принципе не так много. Но я бы в филиале сделал свою помойку.

да я бы рад там свою сделать, так ведь они работают с одними и теми же файлами  >:(   открывать напрямую из папки через VPN ? Так это если файл размером больше пары мегабайт ад будет. DFS или другая синхронизилка типа goodsync - так это вечные конфликты которые надо разгребать руками. Что еще? sharepoint будем не ладен во всех смыслах  :(

ival

20 человек? Они что видео смотреть у Вас будут? Обычно человек открывает файл работает и сохраняет. Да при открытии ему придётся подождать чуть больше и все. Dfs? Вас репликация контроллеров волновала при потере связи, а тут сразу dfsr файловой помойки. Шарик? Поднимать из-за 20 человек весьма сомнительное мероприятие. Другой вопрос если он у Вас уже есть. Хотя использовать шарик под файловую помойку, ну не знаю... Да и опять шариком канал можно тоже положить. TS или VDI можно сделать для филиала в ЦО. Можно смотреть в сторону дисковых полок с файловой или блочной репликацией, но ценна 1 пользователя в филиале будет золотой. Есть варианты с WOC, но ценник ещё больше чем за полки. Как вариант брать у провайдера l2 канал офис-филиал на приличных скоростях и хранить все в ЦО, хотя я думаю Вам канала в 30 хвати и для работы через VPN. Вы попробуйте самый дешевый и не трудоемкий вариант, а если не устроит будете дальше думать и искать решение.

Хотя может кто умнее что-то подскажет.

samotlor

шарика конечно нет. Видео конечно не смотрят, но повторюсь даже 1-2 Мб файл уже открывается с ощутимой задержкой. При любой синхронизации ИМХО будет конфликт файлов, например, если файл изменили одновременно с двух сторон. А что такое WOC ?

На счет l2 интересовался у провайдера кстати. Ценник за 25 Мбит L2 выкатили чуть меньше чем за инет канал на той же скорости. ДА и какая понимаю данные через такой канал все равно придется шифровать, так что реальной пользы что то не вижу имхо.

ival

Woc это оптимизатор трафика. Какое то время назад рассматривали ее для решения проблем между площадками. Посмотрели как работает, порадовались как дети. Но отказались из-за ценника.

Есть резервный канал в филиале 50 мб, основной когда ложиться все заворачивается в него, а это - реплика ms sql, шарик, реплика части полки, пользователи пытаются ещё от нас тащить что нибудь к себе и плюс внешка . Канал в филиале забивается, но не так чтоб прям работать не возможно. А их там почти 100 человек. Поэтому я и удивляюся, что на 25 человек 25 мб Вы говорите все плохо. Почему Вы терминалы или vdi не расматриваете тогда? Развернете в ЦО, они будут подключаться и работать



Уваров А.С.

WOC - это интересно, до тех пор, пока не поглядишь на ценник.

Если везде стоят более менее свежие Windows (Server от 2008R2 и Windows от 7, если не ошибаюсь), то можно использовать встроенные механизмы кеширования, такие как BranchCache.

samotlor

Quote from: ival on 30 January 2019, 22:47Есть резервный канал в филиале 50 мб, основной когда ложиться все заворачивается в него, а это - реплика ms sql, шарик, реплика части полки, пользователи пытаются ещё от нас тащить что нибудь к себе и плюс внешка . Канал в филиале забивается, но не так чтоб прям работать не возможно. А их там почти 100 человек. Поэтому я и удивляюся, что на 25 человек 25 мб Вы говорите все плохо. Почему Вы терминалы или vdi не расматриваете тогда? Развернете в ЦО, они будут подключаться и работать
а основной канал у вас на сколько мегабит?
Quote from: Уваров А.С. on 31 January 2019, 16:48Если везде стоят более менее свежие Windows (Server от 2008R2 и Windows от 7, если не ошибаюсь), то можно использовать встроенные механизмы кеширования, такие как BranchCache.
да но windows 7 надо ultimate или enterprise

ival

Quote from: samotlor on 31 January 2019, 20:32а основной канал у вас на сколько мегабит?да но windows 7 надо ultimate или enterprise
100. Но по факту часть трафика PBR-ами положено в резервный даже при рабочем основном.

Quote from: Уваров А.С. on 31 January 2019, 16:48Если везде стоят более менее свежие Windows (Server от 2008R2 и Windows от 7, если не ошибаюсь), то можно использовать встроенные механизмы кеширования, такие как BranchCache.
Я давно натыкался на статью, но если честно я думал что это еще одна бесполезная роль. У Вас был опыт использования? Это реально использовать или все-таки это опять какой-то костыль от MS?


Уваров А.С.

Quote from: ival on 01 February 2019, 10:35У Вас был опыт использования? Это реально использовать или все-таки это опять какой-то костыль от MS?

Вполне работает, во всяком случае в связке Server 2016 + Windows 10.