дополнительный домаин контроллер

[gnome]

на работе есть главный офис и филиалы. в главном офисе работаетдомаин контроллер. и филиалы подключены главному офису по 2 мбит адсл каналам. планирую подключать компютеры в филиалах в домаин в главном офисе. есть одно проблема, это свзяь. очень часто связь между филиалом и главном офисе может оборватся. тогда как пользователи в филиалах смогут логнится в домаин. есть ли какое нибуть решение?

[diz]

Для этого есть сайты, а так же read-only domain controller.

[Stranger03]

"gnome"
В филиалы поставьте по простенькому серверу, введите их в домен, сделайте контроллерами домена. Тогда при пропадании связи с центральным офисом авторизация будет проходить через эти сервера. Но, при организации такой структуры минимум раз в месяц проводите проверки целостности АД через утилиты dsdiag как минимум. Бекап основного контроллера обязателен.

[gnome]

"gnome"
В филиалы поставьте по простенькому серверу, введите их в домен, сделайте контроллерами домена. Тогда при пропадании связи с центральным офисом авторизация будет проходить через эти сервера. Но, при организации такой структуры минимум раз в месяц проводите проверки целостности АД через утилиты dsdiag как минимум. Бекап основного контроллера обязателен.

Вы хотите сказать что, надо только поднаять дополнительный домаин контроллер в сушествуешем домене? смысле в втором домене не надо настраивать dns, он просто возмет от основного. если так тогда думаю что, если primary domain controller-у не добратся, тогда secondary domain controller не будеть синхронизовать пользователей, или изменять их настройки. насколько я знаю, secondary domain controller берет все ресурсы от primary domain controller.

[gnome]

Для этого есть сайты, а так же read-only domain controller.

сайты не понадобится, потому что все обекты маршрутировались между собой. то эсть, в сетевой окружении могу увидеть все компютеры и филиалы и главный офис.

[Stranger03]

Вы хотите сказать что, надо только поднаять дополнительный домаин контроллер в сушествуешем домене? смысле в втором домене не надо настраивать dns, он просто возмет от основного. если так тогда думаю что, если primary domain controller-у не добратся, тогда secondary domain controller не будеть синхронизовать пользователей, или изменять их настройки. насколько я знаю, secondary domain controller берет все ресурсы от primary domain controller.

Примари и Секондари домен контроллер умер вместе с доменной структурой ВинНТ. Сейчас все контроллеры домена равноправны, но есть понятие держателя ролей. Их всего пять (почитать на сайте МС). Для того, чтобы ваша удаленная сеть не умирала вместе с каналом, надо там поставить серверок, сделать его контроллером домена, поднять там резервный ДНС сервер. А вот ДНС сервер как раз может быть секондари. Для упрощения структуры лесов можно не делать, все в одном.
P.S. кстати такая схема позволит вам в любой момент восстановить работоспособность АД, даже если останется всего один сервер из 10-ти.

[diz]

Другим способом деления AD являются «сайты», которые являются способом физической (а не логической) группировки на основе подсетей IP. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных AD между сайтами.

http://ru.wikipedia.org/wiki/Active_Directory

[diz]

Сейчас все контроллеры домена равноправны, но есть понятие держателя ролей. Их всего пять (почитать на сайте МС).

Мы на собеседовании тех, кто заявляет знание AD просим перечислить FSMO роли. Этот вопрос убивает Были случаи, что даже сертифицированные "специалисты" по AD 2003 не понимали, о чем речь.

[gnome]

Примари и Секондари домен контроллер умер вместе с доменной структурой ВинНТ. Сейчас все контроллеры домена равноправны, но есть понятие держателя ролей. Их всего пять (почитать на сайте МС). Для того, чтобы ваша удаленная сеть не умирала вместе с каналом, надо там поставить серверок, сделать его контроллером домена, поднять там резервный ДНС сервер. А вот ДНС сервер как раз может быть секондари. Для упрощения структуры лесов можно не делать, все в одном.
P.S. кстати такая схема позволит вам в любой момент восстановить работоспособность АД, даже если останется всего один сервер из 10-ти.

Да. именно понятие держателя ролей - это важная часть. в моем случае, план такой:

1. основной домаин контроллер и днс сервер находится в главном офисе.

2. в филиалах поднять домаин контроллер в сушествуешем домене (чтобы если при потери связи с главном офисом там локальные пользователи могли логинится). Но при этом днс сервер только одинь должен быть, который находится в главном офи се. http://msdn.microsoft.com/en-us/library ... s.10).aspx -то этой же доку.

Скажите, таким методом получется?

[Stranger03]

Но при этом днс сервер только одинь должен быть, который находится в главном офисе.

резервный ДНС сервер должен быть, ибо:
1. при включении станции идет резолвинг, если днс не доступен, авторизации не будет
2. даже если станция уже включилась, то днс адреса сохраняются в кеше к течении какого-то времени (не помню точно). при потере днс-а с авторизацией на доступ к ресурсам также могут возникнуть серьезные проблемы.
Ну а резервный ДНС не требует безумства настроек и каких-то мегаресурсов.

[gnome]

Но при этом днс сервер только одинь должен быть, который находится в главном офисе.

резервный ДНС сервер должен быть, ибо:
1. при включении станции идет резолвинг, если днс не доступен, авторизации не будет
2. даже если станция уже включилась, то днс адреса сохраняются в кеше к течении какого-то времени (не помню точно). при потере днс-а с авторизацией на доступ к ресурсам также могут возникнуть серьезные проблемы.
Ну а резервный ДНС не требует безумства настроек и каких-то мегаресурсов.

Ну а резервный ДНС не требует безумства настроек и каких-то мегаресурсов - тогда скажите, как можно настроить такой вариант. документация есть?

просто дело в том что, при отключении филиала от главного офиса, пользователи временно могли логинится в домаин контроллер в филиале, а при востановлении связи прошла синхронизиция изминений

[Stranger03]

"gnome"
тыц: http://www.ozon.ru/context/detail/id/4130630/
еще тыц: http://www.ozon.ru/context/detail/id/4385208/

[gnome]

"gnome"
тыц: http://www.ozon.ru/context/detail/id/4130630/
еще тыц: http://www.ozon.ru/context/detail/id/4385208/

спасибо за коммерческий совет. но мне не надо книжки покупать а настроить.

[Stranger03]

спасибо за коммерческий совет. но мне не надо книжки покупать а настроить.

Если вы сможете настроить без книжек - настраивайте. Если не сможете, купите книжку, почитайте. Нужен ответ - задайте конкретный вопрос.

[gnome]

Если вы сможете настроить без книжек - настраивайте. Если не сможете, купите книжку, почитайте. Нужен ответ - задайте конкретный вопрос.

конкретно:

При отключении филиала от главного офиса, пользователи там временно могли логинится в домаин контроллер в филиале, а при востановлении связи прошла полная синхронизиция изминений с главном контроллером домена.

это как можно настроить?