• Какую структуру домена Active directory использовать?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    В моей практике я использую такие принципы:
    Про АД и службы
    1. В головном офисе два контроллера домена с низкими задержками в репликации.
    2. В полно-связных офисах с широкими каналами по полноценному контроллеру домена
    3. В удалённых офисах, с низко скоростными линками по одному RoDC
    4. Те офисы, что не имеют в распоряжении сервера - либо остаются без домена, либо как то работают (живут в отдельной OU с щадящими параметрами жизни сессий и ДНС).
    5. Каждый офис всегда в своём сегменте сети. Каждый сегмент - отдельный сайт в AD
    6. DHCP+DNS виндовые, если это не вызывает конфликтов и возможно использовать. WINS скорее полезен чем нет. Создавайте обратные зоны ДНС они ускоряют.
    7. Разное оборудование \ VoIP \ WiFi \ Принтеры \ Проекторы \ Свичи - по возможности, в отдельных сегментах

    Теперь побольше про сети
    Заранее определите хотя бы намётки адресации. Старайтесь не использовать распространённые домашние диапазоны, но придерживайтесь рекомендованных адресов (10/8, 172.16/12, 192.168/16)
    Принципы такие
    1. Одно отказоустойчивое маршрутизирующее ядро на площадку. Старайтесь весь трафф замыкать в одну точку. Точку эту резервируйте (в вашем случае VRRP плюс статья на хабре)
    2. Там где можно, линки идут LACP \ дублем \ вторым маршрутом \ двумя GRE-туннелями
    3. Меньше бриджей - больше маршрутизации. По возможности, только транзитные сети, никаких l2 переходов.
    4. По возможности, в одном сегменте оборудование одного класса \ типа \ предназначения \ уровня доступа.
    5. WiFi и VoIP всегда в отдельном сегменте.

    Теперь чуть конкретики для вас.
    Начните с адресации, т.к. если не наладите движение трафика связность сайтов у вас опять потеряется и будете огребать с этим до конца дней.
    Наладьте маршрутизацию (благо железо позволяет), а потом переходите к AD (если последнее, конечно, не горит).
    Для связности офисов используйте IPSec в транспортном, а не туннельном режиме (потом мне ещё не раз спасибо скажете).
    Офисов у вас уже прилично, можно попробовать поднять RIP или OSPF (в вашем случае я за первый вариант, но если у вас есть множественная связность между офисами, то он не подойдёт).
    В принципе у вас нет никаких предпосылок городить лес Доменов или домены второго уровня. Всё отлично будет жить в одном домене в разных (хотя и это не обязательно, можно всё настроить на основании сайтов) OU.

    По отказоустойчивости - я выше уже написал, ничего нового изобретать не нужно - два АД с быстрой репликацией, два DHCP с разделёнными областями, два DNS - вполне себе ок (для параноиков можно юзать 3 АД, но имхо это перебор для 300+ машин).
    По миграции данных - планируйте постепенный переход.
    1. Подняли Новый АД, подняли новые сети и раздаёте их по DHCP, в них все параметры на новые шлюзы и DNS
    2. В новом ДНС сделали ссылку на старые домены - это позволит старью работать, а новым не иметь проблем.
    3. Машина за машиной переводите их в новый домен, заводите пользователей, профили юзверей просто копируете (мигриуете) исправляя права пользователей на папки в профиле. Не напрягаясь можно по 50 машин в день переводить.

    Если будут вопросы - можете мне стукнуть в скайп.
    Ответ написан
  • Роутер Mikrotik, утекает трафик. Как найти причину?

    grims
    @grims
    Не курю
    Что ж Вы так рубите сплеча? Слишком брутально, нужно изящнее коллеги, изящнее!
    /ip firewall filter
    add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 protocol=udp
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp src-address-list="dns flood"
    Ответ написан