1qaz2wsx3edc

>>Задача: построить отказоустойчивую доменную структуру таким образом, чтобы центры могли обеспечивать работу организации самостоятельно.

Т.е в случае падения vpn филиалы должны продолжить работу? Какая там инфраструктура ?

В головных офисах есть разделение сети на Internal \ dmz ? Есть ли в организации ИБ? Что она думает \ какие требования предъявляет к службе каталогов?

"Вопрос 3 : Могут ли они работать в паре? Если да то какой будет основной, а какой резервный"

Если вы не будите использовать legacy ПО, а рассмотрите вариант на 2012 R2, то там Haighly avaivable Dhcp доступен сразу "из коробки" со схемами основной-резервный (Active-Passive) и shared database (Active-Active).

1. Если у вас централизованная аутентификация на базе AD, то можно посредством Group Plicy распространить сервисную учетную запись, вложив ее в лок. админы необходимых машин. При этом ей можно от туда же GP Preferences задать пароль. Однако этот способ - потенциальная дыра в безопасности.

2. Можно распространить только аккаунт, пароль к нему задать посредством лого скрипта - так более безопасно.

"3. Делаю КД2 вторым сервером глобального каталога"

Поднимаете роль контроллера домена, получаете входящую репликацию с #1. Далее - указываете, что новый кд является еще и глобальным каталогом.

"4. ... настраиваю репликацию"

репликацию "настраивать" вам не придется - у вас наипростейшая структура

"Вопрос:
1. Правильно ли я понимаю топологию сети?"

Без вменяемой схемы сложно понять, что именно и куда вы собираетесь подключать.

"2. Как мне реализовать отказоустойчивость файлового сервера, чтобы файлы были доступны при отключении одного из КД?"

Есть штатная роль - Failover Cluster, при этом предполагается, что ваша машина не кд (т.к для кд этот функционал избыточен). До кластеров вам с такой инфраструктурой, к сожалению, как до луны, поэтому:

1) Есть вариант организовать через DFS, однако есть ряд подводных камней (технология не предназначена именно для репликации данных)

2) Скрипт \ robocopy etc - будет работать, но это костыли.

В принципе уже ответили. Могу свои пять копеек вставить - я бы посоветовал развернуть свой собственный кластер (или standalone гипервизоры), развернуть _несколько лесов, несколько сайтов в каждом лесе и пытаться отрабатывать сценарии близкие к реальным. Лабы от MS убоги да и опыта ты на них не получишь.

Я вопрос честно говоря не понял....особенно про резервный КД

"Что мне нужно сделать, чтобы групповая политика применялась к пользователю (лям)??"

1) Создать объект GPO, описать в нем параметры, применяемые к пользователю
2) Прилинковать созданный GPO на контейнер / домен / сайт (в зависимости от ваших требований)
3) Выждать таймаут применения GPO (дефолтный) - 60 + рандомное число от 0 до 30 минут ИЛИ если у вас Windows Server 2012 - запустить обновление учетных записей в OU через консоль ИЛИ при помощи powershell инвокаций выполнить gpupdate /force на необходимых компьютерах.