Сколько нужно контролеров домена для удаленных филиалов и нужно ли?

Question

[Данил]

Есть 20 удаленных филиалов по 5-15 ПК каждый. Как правильно загнать их в домен? Поднять у себя КД и по ВПН подключить? Сколько нужно КД? Один КД для всех удаленных филиалов? Для каждого свой? Или нужно локально на каждом? Как правильно?

Answer 1

[effko32]

Достаточно 1го PDC(возможно сделать еще 1 кд на чтение). КД поднять у себя(на главном филиале), подключить филиалы по впн.

Answer 2

[mikes]

все зависит от надежности и ширины каналов связи, а также логической привязки филиалов к основному офису, какие используются ресурсы?
если филиал обособленный и в большей мере самостоятелен, то организуйте там полноценную инфраструктуру.
если вся деятельность завязана на софт который крутится в основном офисе, то смысла большого нет чего нить там держать

ну и как я писал выше, накладываем на это каналы связи.

Answer 3

[CityCat4]

Правильно - когда запросы к DC не тормозят :) Если из филиала идет небольшое количество запросов и канал связи широкий и быстрый - делать отдельный DC смысла не имеет. Если канал связи жиденький - имеет смысл поднять DC даже для десятка машин - сам по себе DC не ресурсоемкий, прекрасно работает на виртуалке со скромными параметрами. Если в филиале своя БД или почта или свой прокси для тырнета - то однозначно подымать свой DC, потому что тормозить все это может при слабом канале ... сильно :)

Типовая филиальная структура - это роутер/VPN/файрволл (циска, микротик), за ним хост с DC/файлопомойкой/БД/почтой/прокси (тут каждый извращается по-разному) и юзерскими тачками. Почему? Филиал, особенно если он продаванский, должен работать даже если нет тырнета, а если у буха встала 1С - все, нет отгрузок->нет денег :(

Answer 4

[athacker]

К вышесказанному ещё добавлю -- почитайте про RoDC -- read-only domain controller.

Answer 5

[Vladimir Zhurkin]

Тут нет ответа как - правильно. Можно пойти очень разными путями. Конечно, было бы неплохо в каждом филиале поставить AD, настроенный как подразделение. Другой вопрос будет ли это оправданно ? Хотя на текущий момент, системные требования на AD не очень высокие. Те если там все же будет жизнь, нужна Файловая помойка итд, то логично было бы поставить и AD. Кстати файловая помойка может быть настроена как branchcache. Если там просто удаленные сотрудники с ноутбуками, то я бы наверно настроил VPN SSTP, который будет автоматически при любом сетевом соединение устанавливать связь с офисом и с AD в частности. Можно пойти путем создание VDI (инфраструктура виртуальных рабочих столов) итд итп.