Как правильно организовать AD, DNS, DHCP филиала?

Question

[Иван]

Организуем филиал.
Для работы поднимаем второй Контроллер домена (для связи настраиваем ipsec туннель и пишем маршруты на маршрутизаторе)

Как правильно организовать работу DNS и DHCP в филиале, чтобы не перегружать сеть центрального офиса и не прерывать работу филиала, при разрыве туннеля ?

т.е. в филиале нужна полностью автономная система, данные синхронизируются с ЦО, но если туннель падает, то продолжает работать без сбоев

Comments

[ky0]

Если инфраструктура на винде - добавьте в тэги. А то вам сейчас насоветуют нормального, а у вас винда...

Answer 1

[Павел Межуев]

1. Выделяете для филиала отдельную подсеть. Настраиваете IPSec и маршрутизацию.
   
2. Настраивайте сайты, а именно в соответствующей оснастке добавляете подсеть, транспорт и создаёте новый сайт.
   
3. Разворачиваете контроллер домена в новом сайте (или перемещаете уже созданный). Можно полноправный, можно RODC, смотря какие у вас потребности.
   
4. На нём организуете DHCP и DNS для местных аборигенов.
   

Компьютеры филиала синхронизируются с местным контроллером домена, который в свою очередь синхронизируется с контроллерами в головном офисе. Автономность сохраняется, так как сведения о политиках и учётных данных, DHCP и DNS физически есть в филиале.

Comments

[Иван]

Павел, спасибо
Так и делаю, помогите с уточнением некоторых моментов

1. На DHCP ЦО создаю большую подсеть (192.168.1.0-192.168.100.255)
В ЦО настраиваю политику DHCP на выдачу IP диапазона 192.168.1.0-192.168.1.255 - остальные адреса запрет к выдаче
В филиале настраиваю DHCP в режиме "Split Scope" и задаю область 192.168.2.0-192.168.2.255 (так распределяю третий актет по всем филиалам)

Верно ?

2. Касательно сайтов не до конца понял, можно чуть подробнее ? У нас филиалы будут лежать в отдельном OU. Один лес и домен.

3. Не могу найти информации - если подниму RODC, могу ли я потом повысить до полноправного контроллера, со своим администратором ?

Спасибо

[Павел Межуев]

Я завязал с администрированием Windows Server ещё во времена 2008 R2, так что могу немного неточно ответить.

1. «Split Scope» в таком варианте вам не нужен. Этот режим чтобы распределить нагрузку в рамках одной подсети. Вы конечно можете использовать этот режим для резервирования сервера в филиале, но настройки должны быть другими. Например, за 192.168.2.0—192.168.2.149 отвечает сервер филиала, а за 192.168.2.150—192.168.2.255 отвечает сервер в ЦО. Но тогда должен быть третий участник, который сможет выступить в роли DHCP Relay и передать запрос от клиента в филиале серверу в ЦО.
   
   Вернёмся к филиалам. Ваша подсеть ЦО — 192.168.1.0/24 (кстати, если это не просто пример, а хватит ли вам 254 IP-адресов и одной подсети на будущее?). Подсеть филиала № 1 — 192.168.2.0/24, подсеть филиала № 2 — 192.168.3.0/24 и так далее. На маршрутизаторах в ЦО и филиалах прописаны соответствующие политики маршрутизации, чтобы трафик на эти подсети заворачивался в IPSec VPN. DHCP в ЦО и филиалах отвечают каждый за свою подсеть, резервирование по необходимости/усмотрению.
   
2. Отдельный OU это понятно. Там у вас будут объекту групповых политики и в будущем делигируете доступ местному администратору. Сайт создаётся в рамках вашего же домена и как раз он вам позволит не перегружать сеть ЦО (читай VPN-канал), так как стоимость межсайтовой репликации выше и без необходимости трафик там не гоняется.
   
3. Если мне не изменяет память, то только через понижение до обычного сервера.
   

[Sasha Odarchuk]

для полного феншуя в сайте должно быть 2 КД

Answer 2

[#]

https://duckduckgo.com/?q=%D0%BC%D0%B5%D0%B6%D1%81...

Comments

[Иван]

Вариант с разными сайтами
У нас филиал на том же сайте, в другом OU

при таком раскладе как действовать ?

[#]

Иван, если у вас одна скоростная локалка - вопрос не актуален в принципе
если между офисной локалкой, и локалкой филлиала - интернет, с относительно медленными не гарантированными каналами - деалайте разные сайты. данная технология именно для этого и предназначена

Answer 3

[Константин Цветков]

в филиале нужна полностью автономная система

Делайте свой домен с доверительными отношениями с доменом головного офиса.