Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Есть домен domain.ru, в данный момент первичный и вторичный сервера зоны находятся у регистратора, домен функционирует (сайты и почта).

Задача "поднять" Active Directory на базе Windows 2008. Предусмотреть расширение структуры, при подключении других офисов.
- В самарском офисе домен д/б samara.domain.ru, в московском moscow.domain.ru и т.д.
- Все пользователи должны иметь возможность доступа ко всем ресурсам во всех доменах, со своей учетной записью.
- Учетные записи везде должны быть вида user@domain.ru

Вариант 1.
- domain.ru оставляем у регистратора.
- Создаем первый домен в лесу samara.domain.ru.
- Создаем второй домен в лесу moscow.domain.ru.
- Между доменами доверительные отношения.
Мне кажется такая схема будет плохо управляемая.

Вариант 2.
- Создаем домен AD domain.ru - в нем не заводим ни компьютеров ни поьлзователей.
- Создаем поддомен samara, поддомен moscow и т.д. и в них уже все пихаем.

Вариант 2. Проблема 1.
Если первичный сервер имен domain.ru оставить у рестратора, то в локальной сети будет свой первичный сервер имен обслуживающий domain.ru. Тогда клиенты ЛВС и сам сервер не будут знать о реальных интернетовских именах типа site1.domain.ru и т.д. В этом случае, правда, мы можем вручную дублировать записи с сервера регистратора на свой DNS.

Вариант 2. Проблема 2.
Если первичный сервер имен мы перетягивем к себе, то вроде бы все будет хорошо. Но, зачем всему миру знать о внутренних хостах с внутренними IP? Получается вся зона наружу.

Можно ли избежать проблем 1 и 2 не используя сервер BIND с функцией Split DNS?

Какой из этих вариантов выбрать я затрудняюсь. Хочется оставить контроль над всей инфраструктурой центральному офису, а дочерним делегировать необходимые полномочия.
24 июл 08, 13:30    [5979815]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Sergey Orlov
Member

Откуда: СПб
Сообщений: 4445
Основная ваши задача, если я правильно понял распределенная VPN сетка со сквозной авторизацией, вот отсюда и начинайте копать...
А домены AD и домены DNS все-таки разные вещи, хоть в чем-то и схожие, и вообще, зачем нужна привязка VPN'а к domain.ru, она и без нее будет прекрасно работать
24 июл 08, 14:07    [5980216]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Спасибо за ответ, но нет, я про VPN ничего не говорил, и о топологии сети мы здесь не думаем, это другая задача. Мне нужна консультация по планированию схемы сети. Абстрагируемся от всего кроме DNS и AD.
24 июл 08, 14:25    [5980332]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Sergey Orlov
Member

Откуда: СПб
Сообщений: 4445
Vyacheslav Borisov
Спасибо за ответ, но нет, я про VPN ничего не говорил, и о топологии сети мы здесь не думаем, это другая задача. Мне нужна консультация по планированию схемы сети. Абстрагируемся от всего кроме DNS и AD.

В Вашем предыдущем послании говорится
Vyacheslav Borisov

- Все пользователи должны иметь возможность доступа ко всем ресурсам во всех доменах, со своей учетной записью

Как это обеспечить без VPN'а я не представляю... Впрочем, если вы имеете ресурсы только интернетовские, тогда действительно не нужна, а вообще-то в любом случае надо забрать зону у провайдера...
24 июл 08, 15:05    [5980693]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Sergey Orlov

Vyacheslav Borisov

- Все пользователи должны иметь возможность доступа ко всем ресурсам во всех доменах, со своей учетной записью

Как это обеспечить без VPN'а я не представляю... Впрочем, если вы имеете ресурсы только интернетовские, тогда действительно не нужна, а вообще-то в любом случае надо забрать зону у провайдера...


я имею ввиду, что у поьлзователей есть права на ресурсы во всех доменах, и учетные записи не нужно дублировать
24 июл 08, 15:14    [5980774]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
Первичный DNS вам нужно полюбому забирать у провайдера. В противном случеа вы же не сможете заносить в неё записи. А вот вторичный DNS пусть покоится у прова.

Кроме того, DNS не лушне будет поднять в каждом домене третьего уровня, иначе - если будет недоступен ваш DNS то ВЕСЬ домен ляжет.. и никакого толку что в каждом свой контроллер. Ну а собственно зоны третьева уровня ваш DNS делегирует соответствующим DNS в этих доменах.

Как вы собрались обеспечивать доступ к ресурсам то?
Ну вот стоит шлюз, за ним есть внутреняя сеть "А". Есть другой шлюз со свойей сетью - "Б". Как чтолибо из сети А попадет на ресурс в сети Б и наооборот? Им нужна одна подсеть - VPN сеть-сеть.
Опять же, имея VPN вы полностью скроете свою вунтренею сеть от мира - вот в ней и расположете свой DNS. А наружу поставите другой - не из домена...

Да и VPN всяко надежнее с точки зрения безопасности.
24 июл 08, 15:57    [5981232]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Ок, про DNS понял, спасибо :)
VPN опять не в тему :)

Конкретизирую:
Задача "поднять" Active Directory на базе Windows 2008. Предусмотреть расширение структуры, при подключении других офисов.
- В самарском офисе домен д/б samara.domain.ru, в московском moscow.domain.ru и т.д.

Как сделать?

Вариант 1.
- Создаем первый домен в лесу samara.domain.ru.
- Создаем второй домен в лесу moscow.domain.ru.
- и т.д.

Вариант 2.
- Создаем домен AD domain.ru - в нем не заводим ни компьютеров ни поьлзователей.
- Создаем поддомен samara, поддомен moscow и т.д. и в них уже все пихаем.

Ответ 1 или 2 + комментарии за и против того или иного варианта.
24 июл 08, 16:07    [5981329]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
А какова цель ?
24 июл 08, 16:18    [5981410]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Цель: "поднять" Active Directory на базе Windows 2008. Предусмотреть расширение структуры, при подключении других офисов.
- В самарском офисе домен д/б samara.domain.ru, в московском moscow.domain.ru и т.д.
24 июл 08, 16:23    [5981462]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Вариант 2 классика.
В документации по серверу и в многочисленных книгах этот вопрос хорошо разжеван и даже в более сложной форме, когда происходит консолидация на довольно поздней стадии и домены входят в конфликт.

--
http://www.podgoretsky.com
24 июл 08, 16:28    [5981509]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
Оно то понятно что поднять AD.
Если ван надо единую сеть - то конечно сначала поднимается домен domain.ru ну а затем уже поддомены с делигацыей им своих зон.
Это прощё админить и вообще "держать под контролем" и сквозная идентификацыя в придачу.

Иначе, каждый домен - ваш вариант 1 - представляет собой независимую структуру. И доступ возможен только посредством доверительных отношений или шар.

Я имел в виду другое.
Зачем пользователям из одного домена лезть в другой домен то?
Есть же почта, обще папки в конце концов...


А VPN зря упускаете из темы, потом много с ним намучаетесь. Вот как вы будете планировать DNS сервера - какие у них будут ip, будут ли они смотреть в инет или всего лиш трансляцыя на глюзе... ну и т.д.
24 июл 08, 16:32    [5981579]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Хочу MCSA
Member

Откуда:
Сообщений: 143
Я за вариант 2, причем первичный ДНС оставляем у себя, а вторичный отдаем прову.
Вопрос, будет ли необходимость в инете реально использовать поддомены samara, moscow и т.д.
Но в любому случае, я за то, чтобы домен domain.ru поднять на BIND'e и сделать split, а в нем делегировать поддомены соотв. днс серверам в филиалах(которые реально будут обслуживать АД).
24 июл 08, 16:41    [5981684]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Вот, вот этот парень :)

Хочу MCSA
Я за вариант 2, причем первичный ДНС оставляем у себя, а вторичный отдаем прову.
Вопрос, будет ли необходимость в инете реально использовать поддомены samara, moscow и т.д.
Но в любому случае, я за то, чтобы домен domain.ru поднять на BIND'e и сделать split, а в нем делегировать поддомены соотв. днс серверам в филиалах(которые реально будут обслуживать АД).


Да именно, про это я и говорю, есс-но первая мысля была про BIND.
Можно поднять BIND на Windows. и подготовить его для работы с AD.

Вопрос: можно ли обойтись без BIND?

Вариант 1. Я выставляю в инет Microsoft DNS который является первичным для зоны domain.ru и одновременно для AD. Чем это чревато? Я имеюю ввиду то, что сведения о внутренней зоне становятся доступны интернету.

Вариант 2. Я оставляю domain.ru у регистратора, у AD свой domain.ru с серым IP в котором я вручную дублирую записи о интернетовских хостах. Чем это плохо?
24 июл 08, 17:45    [5982351]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Хочу MCSA
Я за вариант 2, причем первичный ДНС оставляем у себя, а вторичный отдаем прову.
Вопрос, будет ли необходимость в инете реально использовать поддомены samara, moscow и т.д.
Но в любому случае, я за то, чтобы домен domain.ru поднять на BIND'e и сделать split, а в нем делегировать поддомены соотв. днс серверам в филиалах(которые реально будут обслуживать АД).


В инете поддомены samara, moscow и т.д. использоваться не будут.
24 июл 08, 17:46    [5982363]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Sergey Orlov
Member

Откуда: СПб
Сообщений: 4445
Вы кажется не понимаете, что домены в AD и домены в DNS, мягко говоря все-таки разные вещи.
Хоть и похожие, а именно попытка MS уйти от плоской структуры ,базы учентных записей и сервисов типа WINS, т.е. широковещательных пакетов.
В вашем случае плевать, где и кто будет держать инетовскую зону domain.ru, все равно ресурсов для внутреннего использования там нет, ну а вы поднимайте, где хотите свои внутренние домены AD и организовывайте связь между ними, конечно можно наладить и траст между ними, но лучше будет конечно же AD, впрочем вход вовнутрь вы наверняка сделаете, и администрировать через терминалку тоже неплохо
24 июл 08, 19:37    [5982963]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62912
Sergey Orlov
Вы кажется не понимаете, что домены в AD и домены в DNS, мягко говоря все-таки разные вещи.
Хоть и похожие, а именно попытка MS уйти от плоской структуры ,базы учентных записей и сервисов типа WINS, т.е. широковещательных пакетов.
В вашем случае плевать, где и кто будет держать инетовскую зону domain.ru, все равно ресурсов для внутреннего использования там нет, ну а вы поднимайте, где хотите свои внутренние домены AD и организовывайте связь между ними, конечно можно наладить и траст между ними, но лучше будет конечно же AD, впрочем вход вовнутрь вы наверняка сделаете, и администрировать через терминалку тоже неплохо

Не важно, но не делай типовой ошибки, потом локти будешь кусать.
Локальные AD домены должны быть вида domain.local, а не domain.ru
Делегировать что либо провайдеру хоть и можно, но не нужно.
Советую взять любую книгу, лучше Microsoft Press и почитать внимательно, лучше не одну, а несколько, общим размером от 3 до 5 тысяч страниц.
24 июл 08, 19:54    [5983003]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Я понимаю "что домены в AD и домены в DNS, мягко говоря все-таки разные вещи."
Поэтому я и спрашиваю как организовать красиво.
Представим себе, что доменный контроллер домена domain.ru с DNS являющимся первичным для зоны domain.ru (именно зоны AD) имеет адрес 192.168.0.1. У всех клиентов я указываю DNS единственный - 192.168.0.1 (не предлагать указывать вторичный DNS) тогда внутренние клиенты не смогут резольвить интернетовские хосты в зоне domain.ru

to Anatoly Podgoretsky я в последнее время работал в 2-х крупных международных компаниях и в обеих корневой домен AD был равен домену DNS. Я хочу сделать также.

1 решение я нашел, - это использовать сервер BIND с функцией SplitDNS, т.е. в качестве DNS сервера для AD будет выступать не Microsoft DNS, а ISC BIND DNS.
В общем то, в базе знаний TechNet Майкрософт открыто говорит, что не настаивает на использовании Microsoft DNS и приводит в пример BIND.

Но я не хочу использовать стороннее решение, хочется сделать стандартными средствами, и, такая возможность наверняка существует.

P.S. Использование одинакового имени для зоны DNS и для домена AD не является классической ошибкой при правильной настройке. Вопрос КАК?
24 июл 08, 20:41    [5983100]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
Вы говорите о многих вещах о которых я не упоминаю, например VPN и делегирование зоны провайдеру (регистратору). Прошу еще раз. Сосредоточтесь, пожалуйста только на AD и на DNS, больше ничего для решения данного вопроса нам не нужно.
24 июл 08, 20:43    [5983107]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
DNS - один из китов на котором базируется домен. Служба DNS хранит файл описания зоны в которм содержится так называемая запись SOA - основная запись домена, также тут хранятся записи о других компьютерах домана, алиасы компьютеров. Работает по 53 порту TCP/UDP.
Но файлы с описаниями зоны DNS и "домен" не одно и тоже.

То что называют "домен". а именно записи о регистрации того или иного ресурса - пользователя, принтера(в т.ч. несетевого), собственно компов, права доступа к объектам и прочего - хранится в активном каталоге. DNS ведь не хранит об этом сведений, так ведь. Работает это про протаколу LDAP.

Что, собственно говоря, значит "продублируем в своём DNS" ?!
У компьютера - челена домена - должна быть постоянная связь с тем DNS на котором лежит описание зоны домена. Не важно - первичный он или вторичный. В противном случае он потеряет связь с контрорллером домена. Если вы собрались дублировать записи то что получится...
есть комп:
шлюз.мой_домен.ру у прова его белый ip
24 июл 08, 20:48    [5983121]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
вернее так. есть комп смотрящий в нет пусть его зовут MyDomain.ru
так вот. у прова его ip(например) 11.111.11.111
а увашего внутреннего(на котором вы бдите "дублировать") - 192.168.0.1
ситуацыя реальна? вполне. Этот компом является шлюзом.

Вопрсо, как обработать такое имя?
MyDomain.ru - DNS провайдера вернет 11.111.11.111
в то время как внутрей DNS - вот тут кроется подвох. Так как MyDomain находится в домене RU. И следовательно, обработь запрос на имя может только DNS обслуживающий зону RU. Вы что, на свём внутренем DNS будите описывать зону RU ?! у вас тагда отпадет весь рунет.
Ну и так далее...
Это обратная зона может быть - не ругайте меня сильно гуру - описана как угодно. Но не прямая!
Надеюсь вы понимаете о чем я.

BINS или виндовый DNS - это не принцыпиально. Есть кому грамотно обслуживать BIND ?

Лучшем решение - на мой взгляд - будет забрать зону у провайдера и разместить его во внутреней подсети без белого ip. А на том же шлюзе или на другом компе имеющем реальный ip. Настроить вторичный DNS для этой зоны, комп может быть вообще не в домене даи хоть линухом хоть фряхой с BIND на борту. В этом случае вы обезапасите свой DNS от атак снаружи. Атаковать будут ваш внешний. Достать внутрений неполучится.
Если уж есть BIND то вообще первичный можно зделать теневым! И никто и знать про него небудет.
24 июл 08, 21:01    [5983156]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
Почему лучше разместить один из вторичных DNS у провайдера - потому что ваш DNS(и внутрений и внешний) могут в один прекрасный день могут оказаться недоступными - внешний могут задосить. Или просто отпадет канал до провайдера. И что тогда?
Если у вас действительно дерево доменов - а не просто группа доменов с трастом - то будет плохо им без основного DNS.
24 июл 08, 21:06    [5983171]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
AD.
Чево вы хотите добится объединением то.
Если единого и централизаваного управления - то конечно оно того стоит. НУ например теже сервера лицензий для терминалок и прочие будут являться общими для всего домена. Равно как и груповая политика. Вы получити универсальную ситему которю можно админить из дому из одной консоли mmc не лазя по десятку терминалов.
Но нестоит забывать о том что трафик между контроллерами - в случае такого построения - при большом числе объектов бдет также большой(но всетаки) и время синхронизацыи между контрллерами будет зависть от ширены и загружености канала.

Если просто группа доменов с трастами. То тут нет единой системы администрирования и нету проблем с синхронизацыей.

Вот примерно так вот.
24 июл 08, 21:11    [5983192]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
The Dim!
вернее так. есть комп смотрящий в нет пусть его зовут MyDomain.ru
так вот. у прова его ip(например) 11.111.11.111
а увашего внутреннего(на котором вы бдите "дублировать") - 192.168.0.1
ситуацыя реальна? вполне. Этот компом является шлюзом.

Вопрсо, как обработать такое имя?
MyDomain.ru - DNS провайдера вернет 11.111.11.111
в то время как внутрей DNS - вот тут кроется подвох.


Данная ситуация мутная, потому, что у клиента придется прописывать 2 DNS. Об это, конечно, я не подумал. Тут один вариант - SplitDNS.

The Dim!
BINS или виндовый DNS - это не принцыпиально. Есть кому грамотно обслуживать BIND ?


Вообще не принципиально. BIND есть кому обслуживать, но нет желания.

The Dim!

Лучшем решение - на мой взгляд - будет забрать зону у провайдера и разместить его во внутреней подсети без белого ip. А на том же шлюзе или на другом компе имеющем реальный ip. Настроить вторичный DNS для этой зоны, комп может быть вообще не в домене даи хоть линухом хоть фряхой с BIND на борту. В этом случае вы обезапасите свой DNS от атак снаружи. Атаковать будут ваш внешний. Достать внутрений неполучится.


Для того, чтобы домен в зоне ru был делегирован, необходимо наличие 2-х (минимум) DNS серверов, располагающихся в разных сетях класса С. (Естесственно с белыми IP)/ О каком внутреннем размещении зоны вы говорите?

The Dim!

Если уж есть BIND то вообще первичный можно зделать теневым! И никто и знать про него небудет.


Нет так нельзя! с помощью BIND можно сделать на одной машине 2 первичных DNS для одной и той же зоны, читайте описание SplitDNS.


Так что получается, что мою схему без использования BIND реализовать нельзя?
24 июл 08, 21:32    [5983250]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
Vyacheslav Borisov
Member

Откуда: Самара
Сообщений: 28
The Dim!
AD.
Чево вы хотите добится объединением то.
Если единого и централизаваного управления - то конечно оно того стоит. НУ например теже сервера лицензий для терминалок и прочие будут являться общими для всего домена. Равно как и груповая политика. Вы получити универсальную ситему которю можно админить из дому из одной консоли mmc не лазя по десятку терминалов.
Но нестоит забывать о том что трафик между контроллерами - в случае такого построения - при большом числе объектов бдет также большой(но всетаки) и время синхронизацыи между контрллерами будет зависть от ширены и загружености канала.

Если просто группа доменов с трастами. То тут нет единой системы администрирования и нету проблем с синхронизацыей.

Вот примерно так вот.


Да именно, грубо - я хочу добиться управления всем через одну консоль.
Вопрос как сделать корневой домен AD и домен DNS одного имени без BIND, чтобы все были счастливы?
24 июл 08, 21:34    [5983252]     Ответить | Цитировать Сообщить модератору
 Re: Active Directory, нужна консультаци по планированию  [new]
The Dim!
Member

Откуда: г. Белгород
Сообщений: 2171
А почему такая нелюбовь ко второму DNS - ну который прописывается у клиента?

Внутрений DNS.
Внутри первичный DNS вполне комфотртно станет, если на шлюзе поднять DNS который будет просто делать пересылки или будет вторичным.

Два DNS.
Вы же в любом случае будите поднимать второй(дублирующий) контролер домена. Вот его DNS и укажите.

Или резервный контролер и DNS в планы невходит?
24 июл 08, 21:52    [5983295]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Windows Ответить