Александр Черных: Ну все правильно. Вы просто создали новый домен, идентификацией вы ввели комп в домен. У вас теперь все новое. Всю вашу инфрастуктуру нужно будет прицеплять к новому домену.
Вы же написали:"Пользователь со своего компа при первом входе логинился несколько долго, но все прошло на ура." -- этого не может быть, что в своем тесте вы и подтвердили. Но после введения в домен компа, все заработало. Но только это уже новый домен, ничего не имеющий со старым общего, кроме имени.
Все сиды, гиды и т.д новые )
Добрый вечер!
1. Смотрите в сторону применения политики к группе устройств/пользователей.
2. WMI-фильтр применения политики.
3. Не уверен, но можно посмотреть в сторону Loopback processing.
Александр Черных: Очень сомнительно, что пользователи могли логиниться на новый контроллер))) Такое ощущение, что Вы что-то важное забыли нам дорассказать.
Немного поясню.
Основная роль RODC - обеспечить защиту домена от нерадивых админов в филиалах и от компрометации контроллера домена в физически незащищенных местах. В AD уже давно нет первычных и вторичных контроллеров. Все контроллеры могут нести все типы ролей (не одновременно, конечно).
Поставьте пару контроллеров в офисе и все будет хорошо.
Для чего Вы используете RODC? У вас сложности с физической защитой контроллера? Его могут утащить враги?
Про разделение.
Поднимаете пару контроллеров в Azure, кладете их в AvailabilitySet, чтобы они у вас запускались на разном железе в датацентрах Azure (в случае, если у МС умрет сервак, где лежит ваш контроллер, то другой контроллер останется жить)
Поднимаете один или два контроллера у себя в офисе.
Создаете в AD два сайта: AzureSite и сайт для контроллеров в офисе HQSite
Раскладываете по сайтам контроллеры. Включаете, чтобы репликация была не каждые 15 минут, а сразу (конечно, если вам это позволяет канал в Инет, и если у вас менее 500 пользователей), погуглите "notification based replication"
Какие плюсы получаете.
Клиенты в офисе будут дергать офисные контроллеры и не будут бегать в Azure, а машины в Azure будут пользовать Azure-контроллеры.
Tim3: Да, конечно, можно. MS интегрировал некоторые механизмы безопасности AD в свою реализацию DHCP и часто начинающие администраторы думают, что это одно целое )
Это нормально, со временем разберетесь, и все встанет на свои места.
Удачи )
Поясните, пожалуйста, подробнее, что значит не могу?
Специально сейчас запустил виртуалку с 10кой в Search Windows набрал Gpedit.msc, нажал правой кнопкой и запустил "As administrator", все работает.
Добрый день!
Очень рекомендую вам посмотреть полностью видео CloudRanger про Azure.
Все станет понятно.
Мы обслуживаем 9 серверов на Azure одного из наших заказчиков с самого начала существования данного облака.
За все это время было пару незначительных сбоев.
По поводу лицензий.
Можете использовать все свои лицензии в облаке, все будет работать и ничего не нарушите.
Можете развернуть RemoteAPP либо на своих терминальных серверах, либо использовать спец. сервис Azure, но уже за отдельную плату.
Если говорить про Azure Active Directory, то просто синхронизируйте вашу AD с AzureAD.
Для синхронизации есть несколько способов, один из них это DirSync.
На вашем месте я бы оставил один из контроллеров в локальной сети на всякий случай, разделили бы сеть на два сайта (AzureSite + PremiseSite), включил бы мгновенную репликацию, если ваш канал позволяет.
Amigo83: Azure предоставляет приватные сети из всех трех диапазонов.
Доступ к сети Azure можно настроить через site-to-site VPN, а также на каждому серверу можно подключаться при помощи реального ip.
5 ip бесплатно, но каждый ip нужно закрепить за машиной. Также рекомендую закреплять приватные ip за контроллерами.
Действительно, не понятно, как эти команды могут помочь в данном случае.
fixmbr writes a new master boot record
fixboot writes a new system partition boot sector
Вы же написали:"Пользователь со своего компа при первом входе логинился несколько долго, но все прошло на ура." -- этого не может быть, что в своем тесте вы и подтвердили. Но после введения в домен компа, все заработало. Но только это уже новый домен, ничего не имеющий со старым общего, кроме имени.
Все сиды, гиды и т.д новые )