Имеем организацию, состоящую из нескольких филиалов, расположенных в близлежащих городах, локальные сети которых соединены в общую «корпоративку» посредством WAN местного провайдера. Поскольку связь между филиалами достаточно надежная, то начальник отдела ИТ и администратор сети решили (и здесь их не переубедить) установить контроллеры AD только в центральных отделениях, а локальные сети участков (филиалов) оставить без таковых, при этом рабочие станции на участках авторизуются на контроллерах AD, расположенных в центральных отделениях. На каждом из участков есть сервер для хранения файлов и СУБД, с которой работают пользователи. Кроме того, на нем настроен DHCP (стандартный сервис Windows, авторизованный в AD) для автоматической раздачи IP в рамках подсети участка.
Столкнулись со следующей проблемой. В случае длительного разрыва сети между участком и отделением (по причине аварии линии) сервер участка с поднятым DHCP отказывается регистрировать клиентов, видимо, в силу того, что не может найти AD-контроллер. Получатся, что локальная сеть участка выведена полностью из строя. Хотя, основные задачи должны крутиться внутри локалки участка, за исключением электронной почты и некоторых других общих процессов.
Поскольку DHCP таким образом настроена только на тех участках, за которые я отвечаю, а на большинстве остальных — IP на рабочих станциях прописаны статично, то админ и начальник отдела настаивают на том, чтобы я убрал на своих участках DHCP-сервисы и руками всем вбил адреса.
Мне видится тут 3 решения:
1) смириться и перевести все рабочие станции на статические IP (ужас по-моему!);
2) использовать какой-нибудьсторонний DHCP-сервис, не привязанный к AD (звучит более обнадеживающе);
3) решить эту проблему в рамках стандартного DHCP-сервера так, чтобы он не отказывался работать при потере связи с контроллерами AD (оптимальный вариант).
Подскажите, есть ли такая возможность, чтобы решить проблему 3-м способом? Заранее спасибо за все предложенные идеи.
Я понимаю, что иду вразрез с преамбулой вопроса, но как мне кажется, это самый лучший вариант. Можно это даже по-тихому сделать, чтобы никто не знал :-)
Сервер 2008, но это роли не играет, поскольку, как я написал выше, начальство наотрез отказывается ставить контроллеры (а также вешать эту роль на установленные серверы) на участках.
Ну, для связи и так используются SDSL-модемы. Правда, они бриджем настроены, поэтому мне уж более логичным видится DHCP-сервис стороннего производителя, поднятый на сервере участка. В этом случае никакой наркозависимости от видимости ADC нет и автономно все будет работать (пока, по крайней мере, действует кэш паролей, но как показывает практика, dhcp отваливается быстрее, чем истекает срок действия кэша паролей).
Но тем не менее хотелось бы услышать о возможности «отвязки» стандартного DHCP-сервиса от AD или что-то в этом роде.
Ну или линуксовую машинку без монитора, клавы и мышки, с webmin'ом на борту (для более наглядного отображения), если есть такая списанная, пылящаяся в углу :)
Ещё можно настроить интервал проверки авторизации, изменив значение параметра RogueAuthorizationRecheckInterval, как написано тут: support.microsoft.com/kb/297847
Мне кажется, что автору лучше вообще отключить эту авторизацию, потому что в случае сбоя (при отсутствии связи с DC) и необходимости перезапуска сервиса он уже не запустится, ибо авторизацию при запуске тоже необходимо пройти.
Простой
Средний
Простой
Средний
