Как грамотно среплицировать контроллер домена в другое здание через WAN?
Сделать реплику КД в пределах одной сети - не представляет особого труда. А вот когда второй КД находится в другом здании и соединен с первым через VPN, есть некоторые трудности.
Хотелось бы сделать следующее:
- сделать во втором здании VPN-туннель в первое (сделано)
- установить роли AD, DNS, выбрав при этом репликацию с КД, который находится в первом здании. (решаемо)
- сделать репликацию профилей пользователей про средствам DFS, чтобы во втором здании была актуальная версия профиля сотрудника.
Вношу пояснения: в свойствах пользователя будет указано сетевое хранилище с использованием FQDM-имени (например: \\dfs.office.org\profiles\username).
Здесь непонятно. Сделать DFS и реплику не трудно, но как заставить клиентские тачки выбирать для себя ближайшие ресурсы для авторизации (КД в нужном здании) и выбирать ближайший сервер с профилями, чтобы не тянуть свой профиль из другого здания при входе.
В общем, подскажите, куда копать? Сделать CNAME в реплицируемом DNS на ближайший сервер с профилями?
Если авторизацию на КД в другом здании можно простить, там небольшой траффик (хотя GPO еще есть), то грузить через инет профили - это фаталити.
Для правильного вопроса надо знать половину ответа
Для такого разделения сети надо разбивать домен на сайты (места). Они определяются по адресу подсети и все операции в AD проводятся сначала с контроллером в том же сайте, затем, если он недоступен, то с удалённым. Путь к перемещаемому профилю можно задать как %logonserver%\path\%username%
Пара маленьких неприятностей - у WinXP и WinVista+ разные версии профилей, если пользователь работает с обеими системами, то будет два разных профиля. Если пользователь забыл на рабочем столе файлик на 10 гиг, то он честно будет синхронизироваться при входе/выходе.
ОС установлены только Windows 7/8.1. Там вроде профиль один и тот же используется. Про сайты это я как-то совсем забыл.
"Путь к перемещаемому профилю можно задать как %logonserver%\path\%username%" - это как это? Профили в разных зданиях между собой не будут синкаться, но в каждом здании у юзера будет своя копия? Или это как продолжение истории с DFS? т.е., делаем DFS, но в свойствах пользователя пишем такую строчку?
При логине пользователя в AD устанавливается переменная LOGONSERVER - имя сервера, на котором произошла регистрация. Если всё нормально, то это контроллер в том же сайте.
Синхронизацию папок на разных серверах можно сделать через DFS, только надо дублировать их на все контроллеры домена - если в сайте несколько контроллеров, то при логине выбирается случайный.
@Rsa97: Спасибо, я попробую так сделать. Вопрос на засыпку: если в свойствах пользователя, в поле Адрес профиля записано не dns-имя, а IP-адрес, можно ли сменить на имя? Слышал, это может привести к некоторым проблемам...
Засыпался :-) У нас профили не используются, народ за постоянными компами работает. Но в принципе, если DNS в домене нормально настроен, то проблем быть не должно.