Какую структуру домена Active directory использовать?

Здравствуйте. Ситуация в следующем. Компания, 5 офисов, территориальное разделение относительное. Главный офис 214 компьютеров, остальные 4 можно описать так:
34 компьютера,
12 компьютеров,
17 компьютеров,
11 компьютеров, но планируется расширять штат.

В данный момент в каждом офисе есть DC, но леса разные, домены не связаны. Сетевые параметры отвратительные. Главный офис имеет сеть 192.168.1.0/22, в остальных офисах 192.168.1.0/24.

Задача. Объединить все офисы в один лес. Получить централизованный доступ к ресурсам домена.

Имеется: в качестве шлюзов будет использоваться MikroTik RouterOs level 4, DC построены на (Active Directory), Windows Server 2012 R2.

Примечание. Планирую связать филиалы (DC) средствами IpSec+Radius(NPS). Не могу определить для себя как быть со структурой самого домена. Подскажите, пожалуйста. Интересует что-нибудь классическое и отказоустойчивое (пусть и более трудоемкое). И самое важное. Как выполнить миграцию уже существующих данных. Заранее благодарен.
  • Вопрос задан
  • 5473 просмотра
Пригласить эксперта
Ответы на вопрос 1
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
В моей практике я использую такие принципы:
Про АД и службы
1. В головном офисе два контроллера домена с низкими задержками в репликации.
2. В полно-связных офисах с широкими каналами по полноценному контроллеру домена
3. В удалённых офисах, с низко скоростными линками по одному RoDC
4. Те офисы, что не имеют в распоряжении сервера - либо остаются без домена, либо как то работают (живут в отдельной OU с щадящими параметрами жизни сессий и ДНС).
5. Каждый офис всегда в своём сегменте сети. Каждый сегмент - отдельный сайт в AD
6. DHCP+DNS виндовые, если это не вызывает конфликтов и возможно использовать. WINS скорее полезен чем нет. Создавайте обратные зоны ДНС они ускоряют.
7. Разное оборудование \ VoIP \ WiFi \ Принтеры \ Проекторы \ Свичи - по возможности, в отдельных сегментах

Теперь побольше про сети
Заранее определите хотя бы намётки адресации. Старайтесь не использовать распространённые домашние диапазоны, но придерживайтесь рекомендованных адресов (10/8, 172.16/12, 192.168/16)
Принципы такие
1. Одно отказоустойчивое маршрутизирующее ядро на площадку. Старайтесь весь трафф замыкать в одну точку. Точку эту резервируйте (в вашем случае VRRP плюс статья на хабре)
2. Там где можно, линки идут LACP \ дублем \ вторым маршрутом \ двумя GRE-туннелями
3. Меньше бриджей - больше маршрутизации. По возможности, только транзитные сети, никаких l2 переходов.
4. По возможности, в одном сегменте оборудование одного класса \ типа \ предназначения \ уровня доступа.
5. WiFi и VoIP всегда в отдельном сегменте.

Теперь чуть конкретики для вас.
Начните с адресации, т.к. если не наладите движение трафика связность сайтов у вас опять потеряется и будете огребать с этим до конца дней.
Наладьте маршрутизацию (благо железо позволяет), а потом переходите к AD (если последнее, конечно, не горит).
Для связности офисов используйте IPSec в транспортном, а не туннельном режиме (потом мне ещё не раз спасибо скажете).
Офисов у вас уже прилично, можно попробовать поднять RIP или OSPF (в вашем случае я за первый вариант, но если у вас есть множественная связность между офисами, то он не подойдёт).
В принципе у вас нет никаких предпосылок городить лес Доменов или домены второго уровня. Всё отлично будет жить в одном домене в разных (хотя и это не обязательно, можно всё настроить на основании сайтов) OU.

По отказоустойчивости - я выше уже написал, ничего нового изобретать не нужно - два АД с быстрой репликацией, два DHCP с разделёнными областями, два DNS - вполне себе ок (для параноиков можно юзать 3 АД, но имхо это перебор для 300+ машин).
По миграции данных - планируйте постепенный переход.
1. Подняли Новый АД, подняли новые сети и раздаёте их по DHCP, в них все параметры на новые шлюзы и DNS
2. В новом ДНС сделали ссылку на старые домены - это позволит старью работать, а новым не иметь проблем.
3. Машина за машиной переводите их в новый домен, заводите пользователей, профили юзверей просто копируете (мигриуете) исправляя права пользователей на папки в профиле. Не напрягаясь можно по 50 машин в день переводить.

Если будут вопросы - можете мне стукнуть в скайп.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы