Поднимаю домен, есть вопросы к опытным людям...
16758
66
В общем, организация расширяется, а я сейчас в одном лице админ+программист win32+веб-программист... :зло: Сеткой на рабочей группе управлять уже тяжело.
Потому планирую поднимать КД и есть вопросы.

Сначала вводная.
Имеется сеть в головном офисе на 20 машин, через месяц планируется еще 10-15. Имеется филиал с 18 машинами, офисы связаны по vpn через роутеры D-Link DFL-210. В перспективе будет подключен 3й офис, с 10-15 сотрудниками.
Во всех офисах сети смешанные сети - состоят из проводного 100Мбит и беспроводного 802.11g сегментов. Ну раз уж пишу такое сочинение, то еще и в каждом из офисов - связанные через интернет АТС. Один провайдер, бесплатный внутрисетевой трафик.

В головном офисе имеется сервер следующей конфигурации:
мат. плата ATX S-771 INTEL S5000VSASASR
2 процессора Quad-Core XEON 2.33GHz 5410P
8Гб DIMM DDR2 (pс-5300) 667MHz
И 2 рейд-массива - один на SAS-дисках (два страйпа в зеркало + хот свап), один SATA (просто два страйпа в зеркало).
рейд контроллер - RAID INTEL SRCSAS18E SAS/SATA II-300/SATA-150

На САС-массиве стоит операционка - 2003й сервер, базы данных 1с 8.1, коропоративная БД. Антивирус Symantec Endpoint Protection 11. На САТА - файлообменнник и корпоративные документы.
1С пользуются всего 3 человека (все в головном офисе), максимум будет пользоваться 5 (возможно 2 из них удаленно). Возможно будет не более 10 терминальных пользователей.
Корпоративная БД - ядро ее занимает в памяти около 300 Мб, плюс по 30-50 на каждую пользовательскую сессию - максимум 40 пользователей сейчас, потом еще может около 20. Через веб может подключаться еще около 10 человек одновременно.
Итого: максимум 70 человек, но сейчас на практике - в 2 раза меньше.
Сама база использует технологию "клиент-сервер", не очень требовательна к пропускной способности канала (хватает 10Мбит), в принципе для операторов не требуется очень высокая скорость работы, потому пользователи не работают в терминале.

Опыта по настройке домена нет вообще.
Теперь собственно вопросы:

1. Не могу в силу финансовых обстоятельств позволить еще один сервер для КД (главном образом, из-за софта). Знаю, что не следует все валить в кучу, но допустимо ли поднимать домен на этом же сервере? Сейчас в принципе есть хороший запас по ресурсам именно на той же машине.

2. Можно ли и стоит ли ли тянуть удаленных пользователей в домен? Канал между офисами - порядка 6-8Мбит.

3. Если будут потом терминальные пользователи - допустимо ли человек 10, работающих на том же сервере?

4. Ну и вообще, на какие нюансы внимание обратить именно при переходе с раб. группы? Буду рад ссылкам, литературе.

Спасибо.
Washburn
1. Допустимо, но придется поиграться с правами пользователей, ибо на DC они там более обрезаны, чем на простом сервере.
2. Можно, если канал стабильный.
3. Допустимо.
4. Потренируйся сначала в "песочнице". Подними на виртуальных машинах сеть из одного сервера и 2-3 раб. станций и поиграйся. А уж после того, как там наиграешься - перевози боевой сервер и клиентов.
Washburn
1. да допустимо... сервак выдержит. вот тока 1С смущает...
2. можно. и нужно.
3. допустимо и больше 10. смотря что делать будут.
4. нюансы - сделать перемещаемые профили для юзеров и установку автоматом необходимого ПО посредством *.msi при вводе нового компа в домен. ну и по жизни автоматизировать утсановку винды на рабочие станции.

ах, блин, еще винтов купи на резерв САТА. а то без них страшно капец...
whiplash
Спасибо за ответы.
Возник еще один вопросец. Почтовый и веб-сервер на ASP Linux. С самбой. Как как его ввести в домен?
хотя похоже, надо до упаду курить доки по самбе...
Washburn
1. Стоит еще обратить внимание на то, что при поднятии уровня сервера до контроллера домена отключается кэширование всех дисков (можно потом отделно включить)
2. С точки зрения секурности все на одном (тем более терминал) очень не удачное решение, цена вопроса даже с лиц виндой 30 рублей.
Washburn
п.9
Ну не до упаду, но попыхтеть немного придется .. :улыб:
centauri
30 рублей + железо, если быть точным.
whiplash
18 ОЕМ лицензия + 12 железо (для контроллера АД больше не надо)
centauri
Пока книжку умную читаю. В умной книжке рекомендуется даже при наличии филиала в 15-20 человек ставить в нем свой КД и выделять филиал в отдельный сайт для уменьшения трафика репликации.

Другое дело что: а) в филиале некуда ставить сервер; б) надо уже 2 сервера по 30 тыров.
У руководства простая в общем-то логика - мы только что купили сервер за много денег, зачем тебе еще...
Страшно вообще-то "все яйца в одну корзину", но сервак вообще специально брали мощный.
Washburn
Есть еще вариант, можно поставить контроллер домена на виртуальную машину. На большом сервере какая лицензия на винду? Ентерпрайз или ОЕМ, R2 или нет? Про репликацию и сервер в филиале -можно забить, майкрософт много что советует, чтоб покупали больше.
Washburn
как минимум 2 DC очень желательно. Навернется у вас единственный DC (вирус, шаловливые руки пользователя, сбой оборудования и т.д.) и весь ваш домен развалится. Бекап домен-контролера это конечно хорошо, но бекап + 2 DC - намного лучше.:улыб:
centauri
Сервер у меня 2003R2 ОЕМ. Есть еще старая машина с нехорошей Windows 2000 Server, вот на ней поиграться хочу.
Washburn
Оем лицензия не знаю что позволяет (читать надо), но enterprise r2 позволяет на сервере с данной виндой поднять до 4-х виртуальных.
Виртуальность если лицензией позволяется, еще чем хороша - нет доп. затрат на железо и лицензии. Более отказоустойчива, так как не привязана к конкретной железке.
Недостатка вижу два
1. АД контроллер будет стартовать не первым
2. АД контроллер, очень критично относится к времени, а с виртуалками и временной синхронизацией есть небольший заморочки.
Насчет второго сервера АД в качестве резервного заметили правильно (хотя в маленькой фирме я с этим бы не согласился, если делать частый бэкап то восстановить скорей всего будет быстрее чем тусовать роли и реплики. Так что жить без этого можно.
centauri
Есть еще вариант, можно поставить контроллер домена на виртуальную машину
За каким буем такой огород?

а с виртуалками и временной синхронизацией есть небольший заморочки
Например?
PN
За простым таким буем, что у автора дененг нет, и хочется легальности.
В в виртуалках, используется виртуальный таймер - со всеми вытекающими.
centauri
Ааа.. и потенциальную нехватку ресурсов на "большом" сервере проще всего решить, подняв на этом сервере вирмашину с функциями контроллера домена...

И даже и если? Настроить виртуальный контроллер на синхронизацию времени с внешним источником никак, да?
PN
Вы с гор спустились, что ли?
Ааа.. и потенциальную нехватку ресурсов на "большом" сервере проще всего решить, подняв на этом сервере вирмашину с функциями контроллера домена...
Со слов автора ....Сейчас в принципе есть хороший запас по ресурсам именно на той же машине... Когда будет не хватать тогда и будут решать вопрос

И даже и если? Настроить виртуальный контроллер на синхронизацию времени с внешним источником никак, да?
:ха-ха!: Именно так "небольшие заморочки" и решаются
centauri
Дядь, такие "заморочки" есть и не на виртуальном контроллере. Высосано из пальца, короче...

ЗЫ. А запаса по ресурсам я не очень увидел с самого начала топика...
PN
Преведу простой пример, на одном из виртуальных серверов время за 10-15 мин, убегало на 2-4 часа, хбз почему. Пришлось синхронизацию делать ежеминтуной.

ЗЫ.
Я тоже не увидел, - не кто ж не показывал счетчики производительности, да и реальных требований по быстродействию. Без таких данных делать выводу могу только со слов топик стартера, гадать простите не умею.
Washburn
А что, вполне нормальный сервер. При условии, что все железо работает как надо, к нему можно будет подцепить по терминалу 50-70 пользователей, и будет работать не напрягаясь. КД на эту машину поставить было бы предпочтиьельнее, раздавать права и русурсы лучше с одного места. По крайней мере в головном филиале сеть можно будет привести к вполне администрируемому виду. Программ, которые бы работали на сервере, но не работали на КД, честно говоря, не встречал. Либо это программы не предназначенные для работы на сервере. В общем, не попробовав раз, нельзя чему-либо научиться. Надо брать железо и ставить на него сервер с КД. Про линукс с самбой что-то понял не очень. А что, без внедрения в домен самба не работает? Если самба работает на уровне пользователя, а не домена, ну, и пусть себе работает в том же режиме. Из практики знаю - самба в самом простом виде и КД уживаются вполне сносно. Для приватного файлообмена можно будет использовать и W2k3, тот же КД, ничего ему не сделается.
crow
А что, вполне нормальный сервер. ... КД на эту машину поставить было бы предпочтиьельнее, раздавать права и русурсы лучше с одного места.
...
Надо брать железо и ставить на него сервер с КД.
Вот только все же из вышепроцитированного не понял - лучше на одном или на разных?:улыб:Мне когда брали, так и расчитывали - все на одном, хотя щас понимаю, что если все навернется... :cray-1:

А с самбой уже немного почитал, тоже решил, что можно будет оставить как есть, не тащить в домен.
Washburn
Вот только все же из вышепроцитированного не понял - лучше на одном или на разных? Мне когда брали, так и расчитывали - все на одном, хотя щас понимаю, что если все навернется..
Напишите на бумаге список серверных ролей (например файл-сервер, днс-сервер и тд.) напротив каждой из ролей поставьте ответ на вопрос - будет ли возможна работа сервера в этой роли без контроллера домена. Все "ответы" да выносите в один сервер, все "ответы нет" на второй сервер. Рассмотрите актуальность и необходимость на сервисах единого каталога авторизации - насколько критично отказатся, например от единой авторизации в почтовом сервисе, файловом сервисе - усложнение схемы учета и администрирования учетных записей будет вести к большей отказоустойчивости системы. Заведите себе наконец не один контроллер домена, а два - отказоустойчивость существенно повысится.
Как пример:
есть сервисы: фтп, почтовый сервер, прокси, кэширующий (возможно не только кэширующий днс) - сервисы которые вполне могут работать без доменной авторизации. Вынесите их на один сервер, сделайте его вторичным контроллером домена.
есть сервисы файл-сервер (возможно с хранением перемещаемых профилей), терминальный сервер, контроллер домена. Если контроллера домена больше одного, то отказ одного из серверов не приведет к падению всего домена, но отвалится половина сервисов - все же лучше чем все...
Ну и сопственно бэкап - его ничего не заменит.
Mad_Dollar
Тут в общем вопрос скорее в другом - поднятие домена с учетом органиченных денежных средств. :спок: То есть даже 40 тыщ будет проблематично пробить на дополнительный сервер...
Washburn
Почему он должен навернуться? Без AD, значит, работаети не наворачивается, а с AD должен навернуться. При нынешних мощностях серверов вопрос о том, потянет ли данный новый сервер AD, обычно имеет очевидный ответ. Практически любой сервер на серверном железе потянет AD с полным набором ролей. Вопрос в том, сколько пользователей будут сидеть на нем в терминале, какие СУБД будут на нем, остальное - копейки.. Работать будет, а навернуть при желании можно что угодно.
Washburn
КД осуществляет авторизацию пользователей и выдает билеты kerberos - нагрузка там не как на базу данных - в качестве BDC подойдет машина, способная на себе нести w2k (w2k3) вполне /* или линуху/бсд */. По мне так сделайте так: водрузите на "толстый сервант" PDC, поднимите на нем днс, терминал, на второй машине соберите фаервол/роутер/почтовик/файлопомойку/дхцп на линухе (bsd) (самбе), сделайте ее BDC, ограничьте доступ по портам извне (закрыть все, что не нужно) и думаю будет достаточно стабильно, обойдетесь вполне двумя серверами.
Mad_Dollar
Сейчас в принципе так:
-доступ в инет и впн - на аппаратном роутере;
-веб, почта - на Linux (на него я не хочу сейчас перекладывать много функций, ибо познания в nix пока ограничены);
-субд, файл, антивирус-сервер и 1с - на w2k3.
Наружу на файл-сервер вообще все закрыто, на веб - только DNS, HTTP, SMTP и POP3.
Поднимать PDC придется видимо как раз на толстом сервере. Потому как терминальных пользователей будет не более 10-15, и то в отдаленной перспективе. Из субд более всего жрет корпоративная, но это все я описал в первом посте.
Washburn
Зачем вам _наружу_ DNS-сервер? Я вас правильно понял?
"файл" - это на толстом, на котором вы будете поднимать PDC?
Mad_Dollar
На unix-like вы не когда не соберете контроллер домена active directory. Unix-like к AD имеет отношение только как клиент.
Mad_Dollar
Зачем вам _наружу_ DNS-сервер? Я вас правильно понял?
"файл" - это на толстом, на котором вы будете поднимать PDC?
1. Что-то я сам запутался. Сейчас пишу из дома, завтра гляну, что за порты проброшены на роутере в DMZ и куда именно. Насколько я помню, там сделан SAT 53 TCP/UDP; 80, 25, 110 TCP.
А что здесь не так может быть?

2. Ага, на нем.
Washburn
На всякий случай - у вас наружу 25, 110 порты максимум. Откройте 80-й для веб-црма, остальное от лукавого.
Я ж советовал - напишите на бумажке.
centauri
п.9
1. Читаем про последнюю самбу.
2. Если я говорю что BDC - значит BDC.
3. Читаем рассылку. Что вы хотите от AD?
Mad_Dollar
п.9
1. Ну да четвертая вроде как поддерживает сервер сайд
2. Альфа версию в продакшн - это сильно.... Был у нас такой экспериментотор, ушел - вздохнули.
3. Ну что мне надо, я и так имею. Автору нужена в качестве резервного. По поводу рассылок, а в двух словах можно, как самба днс под ад предлагает менеджить? Ручками?
centauri
Кстати, BDC это что за новый термин?
Washburn
п.9

??? Хмм, а как же Вы собираетесь поднимать домен, если с денежными средствами напряг? ПО для домена поболее 40 тыщ рублей стоит.
centauri
п.9
1. Для запросов топикстартера и 3-я ветка подойдет. При грамотном подходе и прямых ручках. Тока ему это пока не по зубам (сам честно признается).
2. См. п.2
3. А чего сложного в администрировании DNS на SAMBA ручками, при 30 - 70 хостах в сети? Что, в файле зоны каждый день записи меняются?
Да и при наличии бОльшего количества хостов в сети админитт DNS не проблема. Для этого уже давно разработаны схемы и методики, независимые от платформы, кстати.

А BDC -- это далеко не новый термин. BACKUP DOMAIN CONTROLLER. Работает в паре с PRIMARY DOMAIN CONTROLLER. Назначение понятно? Остальное читайте в документации небезызвестной Вам компании.
marselAlex
1. Для запросов топикстартера и 3-я ветка подойдет. При грамотном подходе и прямых ручках. Тока ему это пока не по зубам (сам честно признается).
2. См. п.2
Автору подойтет только в том случае если, он не АД резервировать будет вторым контроллером, а просто поднимит домен (уровня NT 4) на самбе.

3. А чего сложного в администрировании DNS на SAMBA ручками, при 30 - 70 хостах в сети? Что, в файле зоны каждый день записи меняются?
Вопросом на вопрос? Ожидаемо


А BDC -- это далеко не новый термин. BACKUP DOMAIN CONTROLLER. Работает в паре с PRIMARY DOMAIN CONTROLLER. Назначение понятно? Остальное читайте в документации небезызвестной Вам компании.
Спасибо поржал, ваши знания на уровне NT4 и BDC к AD отношения не имеет.
centauri
Вопросом на вопрос? Ожидаемо
А что вы хотите админить в DNS? Что вы от нее хотите? номинально днс может обновлятся дхцп-сервером (для хостов) и скриптами для служб. Только вот я сомневаюсь что у топикстартера службы на поднятом рабочем домене будут менятся хотя бы раз в полгода, а с такой периодчностью "админинья днс" очень легко это ручками делать.
Спасибо поржал, ваши знания на уровне NT4 и BDC к AD отношения не имеет.
BDC отвечает за авторизацию если PDC недоступен - что вы от него еще хотите? Я кстати не говорил что самба=АД, я говорил что в качестве BDC в этом вариантемашина с самбой выступить сможет. Да, при выходе PDC из строя BDC не заменит целиком АД, но авторизацию пользователей произведет - большего на время накатывания последнего бэкапа и не нужно в этой ситуации.
Mad_Dollar
BDC отвечает за авторизацию если PDC недоступен - что вы от него еще хотите? Я кстати не говорил что самба=АД, я говорил что в качестве BDC в этом вариантемашина с самбой выступить сможет. Да, при выходе PDC из строя BDC не заменит целиком АД, но авторизацию пользователей произведет - большего на время накатывания последнего бэкапа и не нужно в этой ситуации.
Вы бы хоть перед тем как советовать хоть в теме разобрались - в АД нет первичных и вторичных контроллеров, есть набор 5 уникальных ролей плюс GC.
Ладно хватит преператся, видно что вы оба как это говорится не в теме про АД.
Самбу и эмуляцию НТ4 для целей автора возможно и можно заюзать вместо АД. Но не понятно зачем и в чем преимущество такого решения.
centauri
Вы меня не удивили как ни странно. Разделение на PDC/BDC действительно имеет ноги из доменов NT4, я вам назвал функции, которые должен выполнять на мой взгляд BDC. То есть реплицировать на себя каталог с PDC и выполнять запросы авторизации, все, этого хватит для работы хотя бы файлопомоечных сервисов, почты (если она привязана к учеткам АД), сквида наконец.
Стесняюсь спросить, все-таки, что вы подразумевали под словами "админить днс"?
centauri
Вы бы хоть перед тем как советовать хоть в теме разобрались - в АД нет первичных и вторичных контроллеров, есть набор 5 уникальных ролей плюс GC.
Ладно хватит преператся, видно что вы оба как это говорится не в теме про АД.
Хмм .. а сами то разбираетесь? Про "новый" для Вас термин -- BDC -- Вы же спросили? И так и не ответили на вопрос -- что значит по Вашему -- "админить днс"? :смущ:
Washburn
кста, у нас домен стоит на софтовом рейде, интел п4 2.4, 512 RAM. тьфу-тьфу, работает, но я как-то очкую...
marselAlex
Хмм .. а сами то разбираетесь? Про "новый" для Вас термин -- BDC -- Вы же спросили? И так и не ответили на вопрос -- что значит по Вашему -- "админить днс"? :смущ:
1. Термин как раз наоборот не новый, а очень старый и ни какого отношения к АД не имеет.
2. Даже при создании АД в днс создается керова точа записей о сервисах, и ручками создавать это отнимет много драгоценного времени. Плюс при изменениях надо будет не забывать и про ДНС. (зачем такие сложности????)
Mad_Dollar
Термин PDC и BDC умер вместе с появлением win2k. Есть роль в АД, эмуляция PDC, отвечает за авторизацию клиентов старше win2k (т.е. win9x и NT4), соотвественно в сетях где нет таких клиентов - это атавизм.
Можно конечно извращатся, поднимать АД в смешанном режиме, но зачем это надо?
whiplash
А чем плох софтовый рэйд если он с избыточностью (1,5, 10 итд)? А если по большому счету смотреть, то чем софтовый отличается от "железного":
1). При удачной реализации производительностью
2). Повышенными требованиями к винтам ( с современными винтами это не актуально, они и сами это теперь умеют)
3). Необходимостью иметь второй идентичный контроллер, если вдруг первый навернется. (а это явный минус)
centauri
можно я не буду отвечать, чем софтовый рейд отличается от железного...
whiplash
Хотите вам глаза открою. Принципиальных отличий нет :secret:
centauri
то есть нет отличий между рейдом на ICH9 например и контроллером за 15-20к с батарейкой??? лол.
whiplash
Принципиальных нет.
Для чего нужен рэйд
а) Повышение надежности
б) Создания больших логических томов
в) Повышение скорости r/w

Вот тот скоуп в котором применяется рэйд. Теперь по пунктам.
Как реализуется
а) За счет дисковой избыточности - и софтовый и аппаратный (а по сути аппаратный это тоже софтовый, прошивка в рейде это тоже софт) дают одинаковый результат. И за счет мониторинга состояния винтов (читать смарт и реагировать на параметры)
б) Аналогично п1.
в) Вот тут то как раз и рулят дорогие контроллера за счет:

1) Оптимизированного управления записью/чтением
2) Применением различных уровней массивов (хотя 4-й, 3-й итп, вообще в жизни редко кому нужны)
3) Наличием собственого проца и кэша.

Все!
И где тут принципиальные отличия?
centauri
надежность:улыб:нельзя серьезные вещи на софт ставить. точка.
whiplash
Блин маркетологи рулят :ха-ха!:
Иже и it-шникам мозги научились пудрить