» Помогите продумать логическую структуру домена между офисами

2) Можно ли еще перетянуть групповые политики со старого домена yyy.local на новый xxx.local ?
чудный файл для каждой политики в sysvol, называется Registry.pol. дальше, думаю, сам разберешься.

pazdak

Цитата:

В последней версии ADMT v2 реализована миграция паролей учетных записей пользователей. Это радует.
<skipped>
Вопросик к Вам, кто-нибудь пользовался такой програмкой Ideal Migration 3 от PointDev?

Не знаю. ADMT пользовал ещё первую и очень давно. Ideal Migration тоже не щупал. Помочь не могу - звиняй. Попробуй фильтром в этом форуме и в "Программах".

Цитата:

3.3) Вот насчет ручной репликации можно подробнее, как она делается ?

Initiating Replication Between Active Directory Direct Replication Partners

Цитата:

3.4) Из старых DC на xxx.local, нужен только один, он уже на W2003

По идее, никакой разницы после простой передачи ролей, в сравнении с понижением, ты не увидишь.

Цитата:

3.5) Далее пользуюсь утилитой ADMT v2 или подобной для переноса инфы из домена yyy.local в xxx.local

Кстати, у тебя есть свободный сервер, на котором ты будешь поднимать Win2003? Если нет, то сперва миграция, потом понижение, переустановка на 2003, завод в домен xxx.local, репликация.
Если есть: мигрировать можно либо до начала всего процесса, либо после окончания репликации контроллеров.

Цитата:

правда я не совсем понял, что нужно sp внедрять в SQL или последовательно ставить SQL, а потом накатывать sp3

Лучше внедрить. Один знакомый вообще не мог setup запустить - не помню как решил.

Newbie777

Цитата:

чудный файл для каждой политики в sysvol, называется Registry.pol.

Так, имхо, для старых политик было. В формате NT4. Сейчас в sysvol\имя_домена\policies лежат папочки с идентификатором. Идентификатор каждой можно посмотреть в окне GPO, по ПКМ -> Properties. Только я не знаю, можно ли их банально перетащить на другой контроллер (а тем более - в другой домен). Там ведь все SID-ы прописаны для данного домена. Нужна помощь знающих.

Цитата:

2) Можно ли еще перетянуть групповые политики со старого домена yyy.local на новый xxx.local ?
чудный файл для каждой политики в sysvol, называется Registry.pol. дальше, думаю, сам разберешься.

Так если бы все было так просто, то никто и не парился бы, просто сам разобрался был.
Вот что нарыл на Microsoft'e:
Цитата:

Microsoft Group Policy Management Console (GPMC) is the new tool for Group Policy management that helps administrators manage an enterprise more cost-effectively by improving manageability and increasing productivity. It consists of a new Microsoft Management Console (MMC) snap-in and a set of scriptable interfaces for managing Group Policy.
GPMC helps you manage both Windows 2000 and Windows Server 2003-based domains with the Active Directory® service.
* Import/export and copy/paste of GPOs

Правда устанавливается она только на W2003, но может быть сможет выгрузить GPO другого домена, пока не знаю.

Цитата:

3.4) Из старых DC на xxx.local, нужен только один, он уже на W2003
По идее, никакой разницы после простой передачи ролей, в сравнении с понижением, ты не увидишь.

Значит можно просто передать роли и успокоиться

Цитата:

Кстати, у тебя есть свободный сервер, на котором ты будешь поднимать Win2003?

Ну здесь буду действовать так:
У меня ведь на площадке два контроллера, поэтому один из них понижу до member server'a и буду перестанавливать на W2003, а второй пусть пока париться, потом и его переведу в домен xxx.local

Duke Shadow
Спасибо.

pazdak

Цитата:

Правда устанавливается она только на W2003, но может быть сможет выгрузить GPO другого домена, пока не знаю.

Hint: воткнуть в домен дополнительный контроллер, провести репликацию, водрузить этот самый GPMC, выгрузить GPO, потом банально загрузить на нужном (у тебя ведь там уже Win2003).

Цитата:

создается один домен. Создаются Office1 OU … OfficeN OU
недостатки: невозможность задавать свои Account Policies в филиалах

В 2003 ситуация таже или меняется в лучшую сторону ?

Вот что подсказали попробовать, но пока не могу этого сделать, поэтому прошу посмотреть так ли это:
Windows 2000 разрешает только одну Account Policy. Она создается в Root Domain и по умолчанию действует на все компьютеры в Домене.

НО, для OU есть одно исключение:
Когда Account Police определяется для OU, ее установки действуют на компьютеры расположенные в этом OU.

Собственно вопрос, так ли это ?

Такая ситуация:
Сейчас есть университет в нем около 400 компов, пользователей сейчас больше 1000 (служащие и студенты). Стоит DC2000, domain один.

Намечается такая ситуация:
открывается новый корпус там будет около 200 компов(для служащих и учебные классы).

Часть служащих переедет, к тому же может некоторые подразделения переедут частично(часть останеться - часть переедет). Студенты будут ходить то в новое то в старое здание(учебные классы).

Инет, почта будут находить в головном корпусе.
Еще есть база данных Lotus, которой будут пользоваться в 2 корпусах одновременно.
Офисы находяться примерно10 км, какой канал связи будет между ними, пока не известно, но скорее всего это будет выделенка(в крайнем случае DSL).
Проблем в количестве серверов нет.

К тому же есть планы добавить со временем еще 2-3 корпуса, но там будет примерно до 50 компов.

Нужно чтобы было так:
У студента есть логин vasya он спокойно мог входить и старом и в новом корпусе.
Служащие должны видеть общие папки на все компьютерах универа(и в старом и в новом корпусе).

Вопрос:
Оставлять 1 домен или делать дочерний домен?

Боюсь, та тема умерла в прошлом гооду. Вам не кажется?

Давайте вкратце, не вдаваясь в подробности, пару вопросов

Имеется зарегистрированный домен mydomain.com. Почта, вебсайт, DNS-зона mydomain.com лежит на сервере провайдера.

Есть один главный офис (2 сервера + 15 машин) и 2 филиала (в каждом по 1 серверу и 10 машин). Все они соединены с интернетом по выделенному каналу. В одном из филиалов IP-адрес сетевой карты, смотрящей в интернет, серый, поскольку соединение с интернетом происходит через сервер арендодателей.

Сейчас в каждом офисе и филиале свой обособленный домен и форест, никак не связанные друг с другом. Все это администрирую я один. Компьютеры и пользователи иногда переезжают (раз в 2-3 месяца) из филиала в филиал. Хочу упростить себе жизнь. Вопрос - как лучше сделать.

У меня видение следующее - объединить домены в один, в нем сделать три сайта, каждый офис(филиал) в своем сайте, офисы объединить между собой VPN'ом.

Вопросы:
1. Хочу объединить домены в один. Какое имя лучше выбрать - local.mydomain.com, mydomain.com.local, mydomain.com?
2. Если у меня есть филиал с серым IP, будет ли у меня проходить репликация между серверами, при условии, что VPN-соединение у меня будет устанавливать сервер филиала, допустим, только с главным офисом, и какие проблумы могут быть при этом?
3. Если вдруг "случится страшное" и интернет где-нибудь обвалится на длительный срок, к примеру, на месяц, какие это может иметь последствия?
4. Есть ли толковые книги в электронном или бумажном виде на русском языке, посвященные этому вопросу. Если нет, тогда порекомендуйте английские.

Самое непонятное у меня с VPN-ом... По сути, вопрос сводится к тому, будет ли идти репликация, если исходящее VPN-соединение у меня могут могут устанавливать только филиалы (с главным офисом), а из офиса к ним инициировать соединение невозможно... В голове каша, одним словом...

И еще - если у меня будет обрушиваться интернет, что надо сделать, чтобы пользователи всегда могли зайти в домен? Сервер в филиалах должен быть контроллером домена, и обязательно должен выполнять роль глобального каталога? Что еще требуется? Ткните, что читать...

Laurent

Цитата:

1. Хочу объединить домены в один. Какое имя лучше выбрать - local.mydomain.com, mydomain.com.local, mydomain.com?

я бы сделал .local, дабы не выставлять клиентские машины "вовне". Тем более, что внешнюю твою зону для сайтов и тп. держит пров.

Цитата:

2. Если у меня есть филиал с серым IP, будет ли у меня проходить репликация между серверами, при условии, что VPN-соединение у меня будет устанавливать сервер филиала, допустим, только с главным офисом, и какие проблумы могут быть при этом?

при правильно настроенном vpn и репликации - будет.

Цитата:

3. Если вдруг "случится страшное" и интернет где-нибудь обвалится на длительный срок, к примеру, на месяц, какие это может иметь последствия?

месяц... ничего очень страшного не будет, в логах будут крики, что не смогли реплицироваться. вот если более 2х месяцев, то могут появиться проблемы с удаленными объектами например, они могут "вернутся"

Цитата:

4. Есть ли толковые книги в электронном или бумажном виде на русском языке, посвященные этому вопросу. Если нет, тогда порекомендуйте английские

имо-самый правильный вопрос
поищи в ebookz: Системное администрирование под Windows например....

1. mydomain.local
2. Ну если соединение установить получиться и DNS будет корректно работать, т.е. в филиале можно будет разрешать имена из головного офиса, и наоборот, то все будет нормально.
DNS должен быть правильно настроен, как в офисе, так и в филиалах !!!
3. проблемы могут быть разные, все зависит от конфигурации
4. Почитай хотябы эту:
Федор Зубанов Active Directory подход профессионала


Цитата:

Сервер в филиалах должен быть контроллером домена, и обязательно должен выполнять роль глобального каталога?

Да в принципе нет.
Если домен вообще один, то можно и не ставить...

1. Microsoft рекомендует использовать купленный TLD домен. В этом весь смысл AD, то есть mydomain.com. Не понимаю в чем может быть проблема от правильного использования и конфигурации своего домена?

2. Репликация подразумевает two-way общение/соединение. Значит VPN следует "подтянуть" под требования AD. Конь должен ходить только так, как оно записано в правилах, иначе будут неожиданные траблы буквально во всем.

3. См. пункт 2. Ибо AD не переносит длительный downtime. Может быть сначала стоило бы подумать как и на чем сделать стабильный (правильный) VPN?

4,5. Всё зависит от того, как конкретно ты хотел бы реализовать структуру AD. Как OU, как Child, как Root? Каковы ваши требования к построению AD?

euserz

Цитата:

Microsoft рекомендует использовать купленный TLD домен. В этом весь смысл AD, то есть mydomain.com. Не понимаю в чем может быть проблема от правильного использования и конфигурации своего домена?

почитай это. Вот основная проблема.