Погода: 29 °C
16.0722...29переменная облачность, без осадков
17.0721...25пасмурно, небольшие дожди
НГС.Форум /Компьютеры Интернет Связь / Операционные системы и системное ПО /

Поднимаю домен, есть вопросы к опытным людям...

  • В общем, организация расширяется, а я сейчас в одном лице админ+программист win32+веб-программист... :зло: Сеткой на рабочей группе управлять уже тяжело.
    Потому планирую поднимать КД и есть вопросы.

    Сначала вводная.
    Имеется сеть в головном офисе на 20 машин, через месяц планируется еще 10-15. Имеется филиал с 18 машинами, офисы связаны по vpn через роутеры D-Link DFL-210. В перспективе будет подключен 3й офис, с 10-15 сотрудниками.
    Во всех офисах сети смешанные сети - состоят из проводного 100Мбит и беспроводного 802.11g сегментов. Ну раз уж пишу такое сочинение, то еще и в каждом из офисов - связанные через интернет АТС. Один провайдер, бесплатный внутрисетевой трафик.

    В головном офисе имеется сервер следующей конфигурации:
    мат. плата ATX S-771 INTEL S5000VSASASR
    2 процессора Quad-Core XEON 2.33GHz 5410P
    8Гб DIMM DDR2 (pс-5300) 667MHz
    И 2 рейд-массива - один на SAS-дисках (два страйпа в зеркало + хот свап), один SATA (просто два страйпа в зеркало).
    рейд контроллер - RAID INTEL SRCSAS18E SAS/SATA II-300/SATA-150

    На САС-массиве стоит операционка - 2003й сервер, базы данных 1с 8.1, коропоративная БД. Антивирус Symantec Endpoint Protection 11. На САТА - файлообменнник и корпоративные документы.
    1С пользуются всего 3 человека (все в головном офисе), максимум будет пользоваться 5 (возможно 2 из них удаленно). Возможно будет не более 10 терминальных пользователей.
    Корпоративная БД - ядро ее занимает в памяти около 300 Мб, плюс по 30-50 на каждую пользовательскую сессию - максимум 40 пользователей сейчас, потом еще может около 20. Через веб может подключаться еще около 10 человек одновременно.
    Итого: максимум 70 человек, но сейчас на практике - в 2 раза меньше.
    Сама база использует технологию "клиент-сервер", не очень требовательна к пропускной способности канала (хватает 10Мбит), в принципе для операторов не требуется очень высокая скорость работы, потому пользователи не работают в терминале.

    Опыта по настройке домена нет вообще.
    Теперь собственно вопросы:

    1. Не могу в силу финансовых обстоятельств позволить еще один сервер для КД (главном образом, из-за софта). Знаю, что не следует все валить в кучу, но допустимо ли поднимать домен на этом же сервере? Сейчас в принципе есть хороший запас по ресурсам именно на той же машине.

    2. Можно ли и стоит ли ли тянуть удаленных пользователей в домен? Канал между офисами - порядка 6-8Мбит.

    3. Если будут потом терминальные пользователи - допустимо ли человек 10, работающих на том же сервере?

    4. Ну и вообще, на какие нюансы внимание обратить именно при переходе с раб. группы? Буду рад ссылкам, литературе.

    Спасибо.

  • 1. Допустимо, но придется поиграться с правами пользователей, ибо на DC они там более обрезаны, чем на простом сервере.
    2. Можно, если канал стабильный.
    3. Допустимо.
    4. Потренируйся сначала в "песочнице". Подними на виртуальных машинах сеть из одного сервера и 2-3 раб. станций и поиграйся. А уж после того, как там наиграешься - перевози боевой сервер и клиентов.

  • 1. да допустимо... сервак выдержит. вот тока 1С смущает...
    2. можно. и нужно.
    3. допустимо и больше 10. смотря что делать будут.
    4. нюансы - сделать перемещаемые профили для юзеров и установку автоматом необходимого ПО посредством *.msi при вводе нового компа в домен. ну и по жизни автоматизировать утсановку винды на рабочие станции.

    ах, блин, еще винтов купи на резерв САТА. а то без них страшно капец...

    IT crowd. старый добрый троллинг.

  • Спасибо за ответы.
    Возник еще один вопросец. Почтовый и веб-сервер на ASP Linux. С самбой. Как как его ввести в домен?
    хотя похоже, надо до упаду курить доки по самбе...

  • 1. Стоит еще обратить внимание на то, что при поднятии уровня сервера до контроллера домена отключается кэширование всех дисков (можно потом отделно включить)
    2. С точки зрения секурности все на одном (тем более терминал) очень не удачное решение, цена вопроса даже с лиц виндой 30 рублей.

  • п.9
    Ну не до упаду, но попыхтеть немного придется .. :улыб:

    Исправлено пользователем Barlog (05.07.08 09:45)

  • 30 рублей + железо, если быть точным.

    IT crowd. старый добрый троллинг.

  • 18 ОЕМ лицензия + 12 железо (для контроллера АД больше не надо)

  • Пока книжку умную читаю. В умной книжке рекомендуется даже при наличии филиала в 15-20 человек ставить в нем свой КД и выделять филиал в отдельный сайт для уменьшения трафика репликации.

    Другое дело что: а) в филиале некуда ставить сервер; б) надо уже 2 сервера по 30 тыров.
    У руководства простая в общем-то логика - мы только что купили сервер за много денег, зачем тебе еще...
    Страшно вообще-то "все яйца в одну корзину", но сервак вообще специально брали мощный.

  • Есть еще вариант, можно поставить контроллер домена на виртуальную машину. На большом сервере какая лицензия на винду? Ентерпрайз или ОЕМ, R2 или нет? Про репликацию и сервер в филиале -можно забить, майкрософт много что советует, чтоб покупали больше.

  • как минимум 2 DC очень желательно. Навернется у вас единственный DC (вирус, шаловливые руки пользователя, сбой оборудования и т.д.) и весь ваш домен развалится. Бекап домен-контролера это конечно хорошо, но бекап + 2 DC - намного лучше.:улыб:

  • Сервер у меня 2003R2 ОЕМ. Есть еще старая машина с нехорошей Windows 2000 Server, вот на ней поиграться хочу.

    Исправлено пользователем Washburn (07.07.08 12:00)

  • Оем лицензия не знаю что позволяет (читать надо), но enterprise r2 позволяет на сервере с данной виндой поднять до 4-х виртуальных.
    Виртуальность если лицензией позволяется, еще чем хороша - нет доп. затрат на железо и лицензии. Более отказоустойчива, так как не привязана к конкретной железке.
    Недостатка вижу два
    1. АД контроллер будет стартовать не первым
    2. АД контроллер, очень критично относится к времени, а с виртуалками и временной синхронизацией есть небольший заморочки.
    Насчет второго сервера АД в качестве резервного заметили правильно (хотя в маленькой фирме я с этим бы не согласился, если делать частый бэкап то восстановить скорей всего будет быстрее чем тусовать роли и реплики. Так что жить без этого можно.

  • В ответ на: Есть еще вариант, можно поставить контроллер домена на виртуальную машину
    За каким буем такой огород?

    В ответ на: а с виртуалками и временной синхронизацией есть небольший заморочки
    Например?

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • За простым таким буем, что у автора дененг нет, и хочется легальности.
    В в виртуалках, используется виртуальный таймер - со всеми вытекающими.

  • Ааа.. и потенциальную нехватку ресурсов на "большом" сервере проще всего решить, подняв на этом сервере вирмашину с функциями контроллера домена...

    И даже и если? Настроить виртуальный контроллер на синхронизацию времени с внешним источником никак, да?

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Вы с гор спустились, что ли?
    В ответ на: Ааа.. и потенциальную нехватку ресурсов на "большом" сервере проще всего решить, подняв на этом сервере вирмашину с функциями контроллера домена...
    Со слов автора ....Сейчас в принципе есть хороший запас по ресурсам именно на той же машине... Когда будет не хватать тогда и будут решать вопрос

    В ответ на: И даже и если? Настроить виртуальный контроллер на синхронизацию времени с внешним источником никак, да?
    :ха-ха!: Именно так "небольшие заморочки" и решаются

  • Дядь, такие "заморочки" есть и не на виртуальном контроллере. Высосано из пальца, короче...

    ЗЫ. А запаса по ресурсам я не очень увидел с самого начала топика...

    Кто яростно ненавидит мотоциклистов тот сам латентный мотоциклист.

  • Преведу простой пример, на одном из виртуальных серверов время за 10-15 мин, убегало на 2-4 часа, хбз почему. Пришлось синхронизацию делать ежеминтуной.

    ЗЫ.
    Я тоже не увидел, - не кто ж не показывал счетчики производительности, да и реальных требований по быстродействию. Без таких данных делать выводу могу только со слов топик стартера, гадать простите не умею.

  • А что, вполне нормальный сервер. При условии, что все железо работает как надо, к нему можно будет подцепить по терминалу 50-70 пользователей, и будет работать не напрягаясь. КД на эту машину поставить было бы предпочтиьельнее, раздавать права и русурсы лучше с одного места. По крайней мере в головном филиале сеть можно будет привести к вполне администрируемому виду. Программ, которые бы работали на сервере, но не работали на КД, честно говоря, не встречал. Либо это программы не предназначенные для работы на сервере. В общем, не попробовав раз, нельзя чему-либо научиться. Надо брать железо и ставить на него сервер с КД. Про линукс с самбой что-то понял не очень. А что, без внедрения в домен самба не работает? Если самба работает на уровне пользователя, а не домена, ну, и пусть себе работает в том же режиме. Из практики знаю - самба в самом простом виде и КД уживаются вполне сносно. Для приватного файлообмена можно будет использовать и W2k3, тот же КД, ничего ему не сделается.

  • В ответ на: А что, вполне нормальный сервер. ... КД на эту машину поставить было бы предпочтиьельнее, раздавать права и русурсы лучше с одного места.
    ...
    Надо брать железо и ставить на него сервер с КД.
    Вот только все же из вышепроцитированного не понял - лучше на одном или на разных?:улыб:Мне когда брали, так и расчитывали - все на одном, хотя щас понимаю, что если все навернется... :cray-1:

    А с самбой уже немного почитал, тоже решил, что можно будет оставить как есть, не тащить в домен.

  • В ответ на: Вот только все же из вышепроцитированного не понял - лучше на одном или на разных? Мне когда брали, так и расчитывали - все на одном, хотя щас понимаю, что если все навернется..
    Напишите на бумаге список серверных ролей (например файл-сервер, днс-сервер и тд.) напротив каждой из ролей поставьте ответ на вопрос - будет ли возможна работа сервера в этой роли без контроллера домена. Все "ответы" да выносите в один сервер, все "ответы нет" на второй сервер. Рассмотрите актуальность и необходимость на сервисах единого каталога авторизации - насколько критично отказатся, например от единой авторизации в почтовом сервисе, файловом сервисе - усложнение схемы учета и администрирования учетных записей будет вести к большей отказоустойчивости системы. Заведите себе наконец не один контроллер домена, а два - отказоустойчивость существенно повысится.
    Как пример:
    есть сервисы: фтп, почтовый сервер, прокси, кэширующий (возможно не только кэширующий днс) - сервисы которые вполне могут работать без доменной авторизации. Вынесите их на один сервер, сделайте его вторичным контроллером домена.
    есть сервисы файл-сервер (возможно с хранением перемещаемых профилей), терминальный сервер, контроллер домена. Если контроллера домена больше одного, то отказ одного из серверов не приведет к падению всего домена, но отвалится половина сервисов - все же лучше чем все...
    Ну и сопственно бэкап - его ничего не заменит.

    Non solum oportet, sed etiam necessese est

  • Тут в общем вопрос скорее в другом - поднятие домена с учетом органиченных денежных средств. :спок: То есть даже 40 тыщ будет проблематично пробить на дополнительный сервер...

  • Почему он должен навернуться? Без AD, значит, работаети не наворачивается, а с AD должен навернуться. При нынешних мощностях серверов вопрос о том, потянет ли данный новый сервер AD, обычно имеет очевидный ответ. Практически любой сервер на серверном железе потянет AD с полным набором ролей. Вопрос в том, сколько пользователей будут сидеть на нем в терминале, какие СУБД будут на нем, остальное - копейки.. Работать будет, а навернуть при желании можно что угодно.

  • КД осуществляет авторизацию пользователей и выдает билеты kerberos - нагрузка там не как на базу данных - в качестве BDC подойдет машина, способная на себе нести w2k (w2k3) вполне /* или линуху/бсд */. По мне так сделайте так: водрузите на "толстый сервант" PDC, поднимите на нем днс, терминал, на второй машине соберите фаервол/роутер/почтовик/файлопомойку/дхцп на линухе (bsd) (самбе), сделайте ее BDC, ограничьте доступ по портам извне (закрыть все, что не нужно) и думаю будет достаточно стабильно, обойдетесь вполне двумя серверами.

    Non solum oportet, sed etiam necessese est

  • Сейчас в принципе так:
    -доступ в инет и впн - на аппаратном роутере;
    -веб, почта - на Linux (на него я не хочу сейчас перекладывать много функций, ибо познания в nix пока ограничены);
    -субд, файл, антивирус-сервер и 1с - на w2k3.
    Наружу на файл-сервер вообще все закрыто, на веб - только DNS, HTTP, SMTP и POP3.
    Поднимать PDC придется видимо как раз на толстом сервере. Потому как терминальных пользователей будет не более 10-15, и то в отдаленной перспективе. Из субд более всего жрет корпоративная, но это все я описал в первом посте.

  • Зачем вам _наружу_ DNS-сервер? Я вас правильно понял?
    "файл" - это на толстом, на котором вы будете поднимать PDC?

    Non solum oportet, sed etiam necessese est

  • На unix-like вы не когда не соберете контроллер домена active directory. Unix-like к AD имеет отношение только как клиент.

  • В ответ на: Зачем вам _наружу_ DNS-сервер? Я вас правильно понял?
    "файл" - это на толстом, на котором вы будете поднимать PDC?
    1. Что-то я сам запутался. Сейчас пишу из дома, завтра гляну, что за порты проброшены на роутере в DMZ и куда именно. Насколько я помню, там сделан SAT 53 TCP/UDP; 80, 25, 110 TCP.
    А что здесь не так может быть?

    2. Ага, на нем.

  • На всякий случай - у вас наружу 25, 110 порты максимум. Откройте 80-й для веб-црма, остальное от лукавого.
    Я ж советовал - напишите на бумажке.

    Non solum oportet, sed etiam necessese est

  • п.9
    1. Читаем про последнюю самбу.
    2. Если я говорю что BDC - значит BDC.
    3. Читаем рассылку. Что вы хотите от AD?

    Non solum oportet, sed etiam necessese est

    Исправлено пользователем Barlog (17.07.08 09:17)

  • п.9
    1. Ну да четвертая вроде как поддерживает сервер сайд
    2. Альфа версию в продакшн - это сильно.... Был у нас такой экспериментотор, ушел - вздохнули.
    3. Ну что мне надо, я и так имею. Автору нужена в качестве резервного. По поводу рассылок, а в двух словах можно, как самба днс под ад предлагает менеджить? Ручками?

    Исправлено пользователем Barlog (17.07.08 09:17)

  • Кстати, BDC это что за новый термин?

  • п.9

    ??? Хмм, а как же Вы собираетесь поднимать домен, если с денежными средствами напряг? ПО для домена поболее 40 тыщ рублей стоит.

    Исправлено пользователем Barlog (17.07.08 09:17)

  • п.9
    1. Для запросов топикстартера и 3-я ветка подойдет. При грамотном подходе и прямых ручках. Тока ему это пока не по зубам (сам честно признается).
    2. См. п.2
    3. А чего сложного в администрировании DNS на SAMBA ручками, при 30 - 70 хостах в сети? Что, в файле зоны каждый день записи меняются?
    Да и при наличии бОльшего количества хостов в сети админитт DNS не проблема. Для этого уже давно разработаны схемы и методики, независимые от платформы, кстати.

    А BDC -- это далеко не новый термин. BACKUP DOMAIN CONTROLLER. Работает в паре с PRIMARY DOMAIN CONTROLLER. Назначение понятно? Остальное читайте в документации небезызвестной Вам компании.

    Исправлено пользователем Barlog (17.07.08 09:18)

  • В ответ на: 1. Для запросов топикстартера и 3-я ветка подойдет. При грамотном подходе и прямых ручках. Тока ему это пока не по зубам (сам честно признается).
    2. См. п.2
    Автору подойтет только в том случае если, он не АД резервировать будет вторым контроллером, а просто поднимит домен (уровня NT 4) на самбе.

    В ответ на: 3. А чего сложного в администрировании DNS на SAMBA ручками, при 30 - 70 хостах в сети? Что, в файле зоны каждый день записи меняются?
    Вопросом на вопрос? Ожидаемо


    В ответ на: А BDC -- это далеко не новый термин. BACKUP DOMAIN CONTROLLER. Работает в паре с PRIMARY DOMAIN CONTROLLER. Назначение понятно? Остальное читайте в документации небезызвестной Вам компании.
    Спасибо поржал, ваши знания на уровне NT4 и BDC к AD отношения не имеет.

  • В ответ на: Вопросом на вопрос? Ожидаемо
    А что вы хотите админить в DNS? Что вы от нее хотите? номинально днс может обновлятся дхцп-сервером (для хостов) и скриптами для служб. Только вот я сомневаюсь что у топикстартера службы на поднятом рабочем домене будут менятся хотя бы раз в полгода, а с такой периодчностью "админинья днс" очень легко это ручками делать.
    В ответ на: Спасибо поржал, ваши знания на уровне NT4 и BDC к AD отношения не имеет.
    BDC отвечает за авторизацию если PDC недоступен - что вы от него еще хотите? Я кстати не говорил что самба=АД, я говорил что в качестве BDC в этом вариантемашина с самбой выступить сможет. Да, при выходе PDC из строя BDC не заменит целиком АД, но авторизацию пользователей произведет - большего на время накатывания последнего бэкапа и не нужно в этой ситуации.

    Non solum oportet, sed etiam necessese est

  • В ответ на: BDC отвечает за авторизацию если PDC недоступен - что вы от него еще хотите? Я кстати не говорил что самба=АД, я говорил что в качестве BDC в этом вариантемашина с самбой выступить сможет. Да, при выходе PDC из строя BDC не заменит целиком АД, но авторизацию пользователей произведет - большего на время накатывания последнего бэкапа и не нужно в этой ситуации.
    Вы бы хоть перед тем как советовать хоть в теме разобрались - в АД нет первичных и вторичных контроллеров, есть набор 5 уникальных ролей плюс GC.
    Ладно хватит преператся, видно что вы оба как это говорится не в теме про АД.
    Самбу и эмуляцию НТ4 для целей автора возможно и можно заюзать вместо АД. Но не понятно зачем и в чем преимущество такого решения.

  • Вы меня не удивили как ни странно. Разделение на PDC/BDC действительно имеет ноги из доменов NT4, я вам назвал функции, которые должен выполнять на мой взгляд BDC. То есть реплицировать на себя каталог с PDC и выполнять запросы авторизации, все, этого хватит для работы хотя бы файлопомоечных сервисов, почты (если она привязана к учеткам АД), сквида наконец.
    Стесняюсь спросить, все-таки, что вы подразумевали под словами "админить днс"?

    Non solum oportet, sed etiam necessese est

  • В ответ на: Вы бы хоть перед тем как советовать хоть в теме разобрались - в АД нет первичных и вторичных контроллеров, есть набор 5 уникальных ролей плюс GC.
    Ладно хватит преператся, видно что вы оба как это говорится не в теме про АД.
    Хмм .. а сами то разбираетесь? Про "новый" для Вас термин -- BDC -- Вы же спросили? И так и не ответили на вопрос -- что значит по Вашему -- "админить днс"? :смущ:

  • кста, у нас домен стоит на софтовом рейде, интел п4 2.4, 512 RAM. тьфу-тьфу, работает, но я как-то очкую...

    IT crowd. старый добрый троллинг.

  • В ответ на: Хмм .. а сами то разбираетесь? Про "новый" для Вас термин -- BDC -- Вы же спросили? И так и не ответили на вопрос -- что значит по Вашему -- "админить днс"? :смущ:
    1. Термин как раз наоборот не новый, а очень старый и ни какого отношения к АД не имеет.
    2. Даже при создании АД в днс создается керова точа записей о сервисах, и ручками создавать это отнимет много драгоценного времени. Плюс при изменениях надо будет не забывать и про ДНС. (зачем такие сложности????)

  • Термин PDC и BDC умер вместе с появлением win2k. Есть роль в АД, эмуляция PDC, отвечает за авторизацию клиентов старше win2k (т.е. win9x и NT4), соотвественно в сетях где нет таких клиентов - это атавизм.
    Можно конечно извращатся, поднимать АД в смешанном режиме, но зачем это надо?

  • А чем плох софтовый рэйд если он с избыточностью (1,5, 10 итд)? А если по большому счету смотреть, то чем софтовый отличается от "железного":
    1). При удачной реализации производительностью
    2). Повышенными требованиями к винтам ( с современными винтами это не актуально, они и сами это теперь умеют)
    3). Необходимостью иметь второй идентичный контроллер, если вдруг первый навернется. (а это явный минус)

  • можно я не буду отвечать, чем софтовый рейд отличается от железного...

    IT crowd. старый добрый троллинг.

  • Хотите вам глаза открою. Принципиальных отличий нет :secret:

  • то есть нет отличий между рейдом на ICH9 например и контроллером за 15-20к с батарейкой??? лол.

    IT crowd. старый добрый троллинг.

  • Принципиальных нет.
    Для чего нужен рэйд
    а) Повышение надежности
    б) Создания больших логических томов
    в) Повышение скорости r/w

    Вот тот скоуп в котором применяется рэйд. Теперь по пунктам.
    Как реализуется
    а) За счет дисковой избыточности - и софтовый и аппаратный (а по сути аппаратный это тоже софтовый, прошивка в рейде это тоже софт) дают одинаковый результат. И за счет мониторинга состояния винтов (читать смарт и реагировать на параметры)
    б) Аналогично п1.
    в) Вот тут то как раз и рулят дорогие контроллера за счет:

    1) Оптимизированного управления записью/чтением
    2) Применением различных уровней массивов (хотя 4-й, 3-й итп, вообще в жизни редко кому нужны)
    3) Наличием собственого проца и кэша.

    Все!
    И где тут принципиальные отличия?

  • надежность:улыб:нельзя серьезные вещи на софт ставить. точка.

    IT crowd. старый добрый троллинг.

  • Блин маркетологи рулят :ха-ха!:
    Иже и it-шникам мозги научились пудрить

Записей на странице:

Перейти в форум

Модераторы: