Как развернуть Active Directory с привязкой к существующему домену?

Question

[partisan42]

Добрый день. Подскажите пожалуйста, правильно ли я понимаю механизм решения задачи? Сам такого ещё никогда не делал.
Дано: несколько офисов которые расположены на значительном расстоянии друг от друга. Есть машина из которой я хочу сделать контроллер домена.
Вообще я подумал, что групповые политики у меня буду в основном запрещающие и разрешающие что либо, без установки софта и прочего. Потому если люди находящиеся в другом городе, будут часть домена в моём городе, применение gpo не должно занимать много времени, а контролировать политики, пользователей и так далее, будет намного проще централизовано.
Так же есть домен. Пусть это будет companyname.com.
Правильно ли я понимаю, что мне нужно будет указать А запись как ip адрес роутера, за которым находится контроллер домена, и просто создать несколько NATирующих правил?
Или есть какие то нюансы которых я не учёл?
Если есть мануал по этой теме, буду признателен за ссылку, потому как я как только не формулировал вопрос, получаю ссылки на статьи где разворачивают домен вида companyname.local
Заранее спасибо за внимание.

Comments

[Drno]

Первое что Вы не учли - домен надо разворачивать в локальной зоне.
Как раз таки companyname.local

Второе - объединение офисов в локальную сеть через впн к примеру

Третье - резервные сервера АД в удаленных офисах

[Александр Лыкасов]

С локальным доменом впоследствии можно поиметь проблем. Это устаревшая практика. В частности к ним сертификаты шифрования будет не выпустить.

[partisan42]

Александр Лыкасов, а что вы имеете ввиду под понятием локальный домен?
Ведь я хочу что бы к нему был доступ и извне офиса.

[Александр Лыкасов]

partisan42, *.local

Answer 1

[Владимир Коротенко]

Официальная документация более чем подробна
https://docs.microsoft.com/ru-ru/windows-server/id...

Первое что Вы не учли - домен надо разворачивать в локальной зоне.
Как раз таки companyname.local

Это вредный совет, маки давно советуют привязываться к доменному имени, и настраивать split dns для доступа к внутренним ресурсам

Второе - объединение офисов в локальную сеть через впн к примеру

Полностью поддерживаю, желательно сделать это на железках, учитывая что сейчас происходит лучше брать хуавей

Третье - резервные сервера АД в удаленных офисах

Соглашусь, кроме того лучше добавить в головном офисе резервный контроллер домена.

Общие рекомендации.
По возможности все виртуализировать, так легче управлять. Если есть видеонаблюдение вынести его в отдельный vlan.

Comments

[partisan42]

Это вредный совет, маки давно советуют привязываться к доменному имени

Я прошу прощения за глупый вопрос, но вы бы не могли указать на какой нибудь мануал, как это делается? Как ни пытаюсь гуглить, всё не то нахожу. Видимо у меня что то с формулировкой вопроса.

[Владимир Коротенко]

partisan42, я дал выше ссылку на общее руководство вот ссылка на выбор имён https://docs.microsoft.com/ru-ru/windows-server/id...

[partisan42]

Владимир Коротенко, Спасибо Вам огромное. Это именно то что нужно. Моя искреннея признательность:)

Answer 2

[Sasha Odarchuk]

Поднимите АД (не ведитесь на .локал)
Объедените филиалы с ЦО в единую сеть.
ВВедите все ПК в домен.
Про резерввные КД в филиалах -спорно.

Comments

[AntHTML]

RODC в филиале, если там более 20-30 чел необходим, особенно если в локали на доменную авторизацию много что завязано. Иначе при каждом обращении к той же SMB шаре или шаренному принтеру на соседнем компе компу придется стучаться в ЦА за билетом, что, на ровном месте, вносит дополнительные затупы