Как правильно организовать субдомен AD для филлиала?
Есть контора, у которой есть основной домен в мск company.ru , мы находимся в другом регионе как филиал, и в качестве регионального сайта компании используем region.company.ru . Планируется развернуть в регионе локальный DC и нет никакой информации о том, будет ли в будущем локальный DC выводится "наружу" и т.д., - с большой вероятностью останется локальным. О том, что не нужно указывать зону .local и т.п. я уже понял, как и то, что нельзя называть DC идентично основному домену без добавления 2 и т.д. уровней, но вопрос вот какой - не будет ли негативных последствий в будущем, если указать имя локального DC что-то вроде dc1.regionname.company.ru в случае если вдруг когда-то в будущем головная контора захочет вывести наш локальный домен к себе в лес или придется выводить наружу DC и получать сертификат и т.п.? Не будет ли в целом проблем с таким названием, даже если он останется локальным?
Так и нужно делать
Хотя я бы лучше назвал regionname.dc.company.ru. чтобы лес был dc.company.ru
А еще лучше - просто бросил VPN между филиалами, а он 100% уже есть, поставил 2 местных DC и создал ОU филиала в основном домене. Чтобы у командировочных небыло проблем при работе с филиалами.
Спасибо за ответ. Немного запутался с именем леса и домена. Вы написали, что лучше назвать regionname.dc.company.ru. чтобы лес был dc.company.ru - если создавать локальный домен, на этапе создания леса, где предлагается выбрать имя корневого домена, нужно указывать regionname.dc.company.ru или dc.company.ru ? Планируется 2 DC развернуть. Например, корневой будет regionname.dc.company.ru и репликатор regionname.dc2.company.ru
system1024, название леса я бы создал такое же как в головном филлиале,
название домена regionname.dc.company.ru или как у головного называется dc
сервера соответственно dc1.regionname.dc.company.ru, dc2..regionname.dc.company.ru
Это если филиал сильно обособленный и не пересекается с инфраструктурой головного (типо как у холдингов)
Если же это обычное представительство, цех, то проще и лучше договориться с админами головного об объединении инфраструктуры, да думаю они и сами скорее за это.
AntHTML, Я только начинаю вникать в AD, поэтому если что, извиняйте за тупые вопросы. Я подумал, что на этапе создания леса сразу и задается имя первого DC, а вы говорите, что лес назвать так, а домены уже под ним иначе. Не совсем пойму на каком этапе задается имя домена dc1 и dc2 тогда, если я при повышении роли сервера, на этапе где указывается имя корневого домена (нового леса) уже задаю имя и дальше никаких имен мне не предлагается.
Инфраструктура не пересекается, филиал скорее обособленный.
AntHTML, не может случится такого, что в головном офисе имя леса dc.company.ru будет уже занято и тогда будет проблема? На данный момент не рассматривается объединение инфраструктуры .
тут два варианта:
1. Общий домен с головной конторой, два AD-сайта (головной и ваш региональный), два КД в вашем региональном сайте. Головные админы должны вам делегировать управление КД и прочими объектами AD, которые относятся к вашему региону (AD-сайту)
2. Поднимаете собственный AD-лес. Как вы назовете лес и домен - дело ваше. Именование объектов - в принципе, тоже на ваше усмотрение, но можно привязаться к системе именования объектов головной конторы. При необходимости, можно поднять доверительные отношения между головным лесом и вашим региональным лесом
Допустимо ли использовать несуществующие доменные имена в реальных доменах верхнего уровня? например domainname.ru ? Допустимо ли использовать несуществующий домен верхнего уровня, например domainname.anyword ?
system1024, да, оба варианта допустимы.
никто в здравом уме не выставляет AD-домен в интернет, также нет никакой необходимости в использовании суффиксов .com, .net, .org, .ru и т.д. - использовать можно, но необязательно.
У меня снаружи существует mycompany.RU, а внутренний AD-домен называется corp.mycompany.
Роман Безруков, скажите, а если у меня будет 2 КД, то например имя основного леса может состоять из префикса с двумя уровнями, например dc1.namedc.anyword? И если я добавлю потом репликатор, то он будет dc2.namedc.anyword
- это полное доменное имя контроллера домена (FQDN): dc1 - NetBIOS-имя контроллера домена, namedc - NetBIOS-имя домена, anyword - суффикс домена...
что вас тут смущает?
Роман Безруков, меня еще смущает тот факт, что в рекомендациях microsoft указано, что лучше привязываться к реальному внешнему доменному имени организации , например если есть сайт company.ru то лучше брать как основу именно этот домен и называть по принципу domain.company.ru. Аргументируется тем, что если потребуется получать сертификат, то для несуществующих имен это сделать почти невозможно. Поэтому я ломаю голову, стоит ли привязываться к реальному домену или сделать несуществующий. Что будет "завтра" неизвестно, поэтому хотел предусмотреть возможные проблемы в будущем.
Получается dc1 это имя хоста, которое задается в свойствах системы? То есть при создании леса я указываю имя namedc.anyword, на шаге, где запрашивается NetBIOS имя я указываю namedc и FQDN получается dc1.namedc.anyword ?
system1024, можно строго следовать рекомендациям MS - тогда ваш КД будет иметь длинный FQDN, например, dc1.domain.company.ru...можно следовать менее строго, и тогда FQDN КД может быть, например, dc1.hq.company или dc1.domain-company.ru...
потребуется получать сертификат
для внешних сервисов покупаете сертификат у стороннего центра сертификации, для внутренних сервисов можно обойтись сертификатами, выданными доменным центром сертификации
Простой
Средний
