Как настроить контроллеры домена в разных подсетях?

Question

[MedicineMan]

Хочу создать безопасную (отказоустойчивую) структуру active directory. Для этого планирую развернуть 3-и домен контроллера. Два из которых будут в режиме read only и 1 writable. Writable контроллер планирую отрезать от пользователей. Собственно как при такой конфигурации настроить DNS и сайты, и будут ли подводные камни?

Comments

[Sasha Odarchuk]

што??

Answer 1

[#]

и как они, по вашему, смогут синхронизироваться? (и кому нужны не синхронизированные "ридонли", если рухнет "врайтабл"?)

ps если вы на тему RODC, вчитайтесь в статью winitpro.ru/index.php/2010/11/21/rabota-s-kontroll...

я бы добавил еще 2-3 слова - осмыслено при использовании межсайтовой репликации (к примеру у вас головная сеть в райцентре, а филиал в к колхозе)

в локалке - делайте регулярные бекапы, делегируйте функции администрирования, сотрудникам, с достаточной квалификацией. и поднимайте ее уровень (квалификации)

Comments

[MedicineMan]

неправильно выразился. между доменами я ничего не буду резать. имел в виду, что пользователи будут видеть только read-only домены.

Answer 2

[20ivs]

так себе схема, культурно выражаясь. отвечать на данный вопрос даже смысла нет. отказоустойчивость с серверами ридонли....
если хотите отказоустойчивости в пределах одного домена, то делайте как обычно - два самых обычных полноценных DC, ну или хоть пять DC, на ваше усмотрение. не надо думать, что вы умнее всех и сочинять какие-то мутные схемы.

Comments

[MedicineMan]

отказоустойчивость так как их 2. read only для безопасности. давайте не культурно. почему мутные?

[20ivs]

MedicineMan, потому, что # в ответе выше задал вам вопрос - что вы будете делать с RODC, если упадет основной? попробуйте просто ответить на него для себя.
RODC - это решение безопасности, а не отказоустойчивости. кроме того, вы не пишете, что будете использовать дочерние домены или федерации и пр. насколько я понял, несколько подсетей вы хотите в пределах одного домена только ради использования ридонли. всё это и складывается в схему, которую иначе как мутной не назовешь.
за годы существования AD и работы с ней тысяч админов сложилась оптимальная схема для отказоустойчивости. ее и следует использовать. есть еще нестандартный вариант, когда разворачивается третий DC, реплицируется, гасится. таким образом сохраняется живая копия AD, не знающая об убийственных изменениях в продакшн AD, если это случается. но использовать этот вариант не удобно при большой инфраструктуре.
ИМХО, конечно, но вам показалось, что придумали вариант, о котором никто раньше просто не догадался.

[MedicineMan]

20ivs, все правильно, безопасности.
Подведем итог: из всего вас смущает только то, что случится в случае если упадет writable. По всему остальному вы разводите демагогию (тысячи админов). Мне ничего не кажется и ничего сверхъестественного я не делаю.

[MedicineMan]

20ivs, https://docs.microsoft.com/en-us/previous-versions...

[20ivs]

MedicineMan, меня смущает то, что задав вопрос про отказоустойчивость вы упорно гнете линию про безопасность наплевав на отказоустойчивость. или путаете эти понятия. определитесь с тем, чего хотите в итоге.

[20ivs]

MedicineMan, про отказоустойчивость ридонли там нет ни слова.

[MedicineMan]

20ivs, послушайте. Я спросил конкретно. Как правильно настроить DNS и какие могут быть подводные камни при такой схеме. Совершенно справедливо человек выше заметил про writable контроллер. Вы же с самого начала начали критиковать, без аргументов. Вот это меня вообще доставляет "культурно выражаясь", "отвечать на данный вопрос даже смысла нет". Так не пишите тогда комментарии если не видите смысла. Для таких как вы я специально поправил вопрос взяв в скобки отказоустойчивость. А теперь вы снова пытаетесь мне что-то доказать. Я вижу, что вы некомпетентны в данном вопросе. Вас там что-то смущает, для вас там что-то мутно. Тысячи админов до меня. Не хочу продолжать с вами дискуссию.

Answer 3

[Александр]

Можно уточнить: от какого типа атаки Вы планируете защититься оставив пользователям только " read only" контроллеры? Каких действий пользователей Вы опасаетесь?

Comments

[MedicineMan]

Что пользователи получат доступ на сервер. Если на контроллер кто-то получит доступ, из пользовательской сети, сильно навредить он ему не сможет, и не вытащит из него паролей.