Задать вопрос
@ilya_shlyahovsky

Как внедрить контроллер домена в локальную сеть организации?

Возникла потребность в установке контроллера домена в локальную сеть небольшой организации.
Есть офис в котором 25 ПК, часть из них под windows 7 и часть windows 10 и один из них на debian как файлообмен.
У меня несколько вопросов
1. Сервер AD поднимать на виртуалке или на физически ставить отдельный сервер?
2. Как я понял нужно два сервера AD, чтобы при отключении основного одного второй подхватывал на работу на себя? Или достаточно только одного?
3. Если ли возможность перенести данные с локального пользователя на доменного пользователя, чтобы юзер не увидел разницы и не надо было ему все настраивать 1С и т.д.
4. Что будет если сервер AD один и он допустим отключится , смогут ли пользователи залогиниться и не будет ли такого, что человек пришел утром вводит логин и пароль, а ему окошко мол войти нельзя из-за того что сервер недоступен?
И будет ли у юзеров интернет?
5. В локальной сети раздает ip роутер, могу ли я так и оставить понимаю что это неправильно, плюс у всех ПК стоит статика. То есть, могу ли я обойтись без dhcp сервера на AD?
6. Смогут ли ПК домена видеть сетевые папки ПК которые находятся в рабочей группе?
  • Вопрос задан
  • 1075 просмотров
Подписаться 3 Простой 7 комментариев
Пригласить эксперта
Ответы на вопрос 3
ZERGeich
@ZERGeich
1. Лучше ставить на виртуалку и регулярно делать её снапшот на отдельно стоящее хранилище. При таком раскладе - даже если сервер виртуальных машин рухнет - у вас будет точная копия контроллера домена для восстановления.
2. Смотря какие требования у вас к домену. Какие задачи будете реализовывать и так далее. Вообще - для малой сети достаточно и одного.
3. Есть утилита привязки профиля profwiz. Как раз позволяет привязать локальный профиль к доменному логину.
4. Если пользователь уже логинился на эту машину - с вероятностью 90% у него это получится даже без контроллера домена.
5. Можете. DHCP - не обязан быть на контроллере. А вот DNS таки да.
6. Скорее всего таки придётся перекраивать права доступа на сетевые папки. Но вообще, при прямых руках, или умении обращаться к костылями - нет ничего невозможного.
Ответ написан
anthtml
@anthtml
Системный администратор программист радиолюбитель
0. А какова конечная цель использования AD? Так-то 25 ПК для домена крайне мало, по мне о домене стоит задумываться когда 75, ну или хотя-бы 50+ ПК, иначе это сильное усложнение инфроструктуры.
1. Сейчас наверное лучше уже на виртуалках, новые винды в них лучше живут, раньше во времена нетребовательных 2003/2008 КД ставили на надежный старый комп, 2019 такой финт не поймет.
2. Очень желательно 2+, но скрипя зубами, на таком парке можно обойтись и одним. Также желательно на КД больше никаких ролей не ставить. (Хотя в сетях 35 ПК встречал серваки "все в одном" AD+SMB+1C+SQL)
3. Лучше перенастроить, это не большая проблема
4. Все зависит от настроек групповых политик, можно разрешить логин без синхронизации с КД, а можно запретить. Но на практике, иногда компы не синхронизируются и пару дней могут входить без обновления билета, но в kerberos шары их тогда не пускает
5. DHCP - где угодно, DNS - желательно на КД, но не обязательно. Главное условие, чтобы DNS знал где находится КД и как можно быстрее эту информацию отдавал. Отсюда очень желательное условие - даже при раздаче IP по DHCP на компах адреса DNS забивать статикой
6. Все зависит от настроек доступа к папкам: можно оставить как есть, можно перевести на авторизацию по домену.
Ответ написан
Lopar
@Lopar
системный администратор
1. Пляшите от лицензий по факту. Серверные лицензии это недешево. В остальном, виртуальный сервер воскресить несколько проще чем физический. Но физический не зависит от виртуального хоста. Это исключительно вопрос удобства.
2. Пляшите от требований к непрерывной работе. Если фирма как-то перебьётся пока вы чините вышедший из строй КД, можно обойтись одним. Если стоимость второго КД и лицензии заметно меньше чем денежные потери за простой фирмы - лучше подстелить соломку.
3. Можно.
4. В целом это возможно, но всё же это надо рассматривать как серьёзную критическую аварию инфраструктуры. С соответствующими подходами к решению.
5. Да. Потеряете несколько возможностей, которые я уточнил в комментариях к записи, но работать будет.
6. Нет, само не подхватится, нужно будет переделывать. Если есть финансовая возможность, есть смысл перенести файлошару на windows server core. Это несколько упростит жизнь. Если не заводить в домен, всё будет работать по принципу: ввёл недоменные логин\пароль на доступ в папку, зашёл в папку, ну разве что если она не расшарена гостям.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
18 дек. 2024, в 14:45
25000 руб./за проект
18 дек. 2024, в 14:43
25000 руб./за проект
18 дек. 2024, в 14:22
750 руб./за проект