» Как разделить домен?

Возможно ли сделать такое разделение:
Есть домен company.ru.
Контроллеры домена: 2 в главном офисе и по одному в 3х филиалах.
Связь филлиала с главным по DSL через VPN. При отсутствии связи в филлиалах настает паралич
Решил переделать филиалы в дочерние домены fil.company.ru
Но что делать с компами и учетками в филиалах, ведь они члены домена company.ru.
Возможно ли перенести их в fil.company.ru и не перезагонять в домен?

э... помойму при создании дочернего домена в лесу, учетки первичного работают и в дочерних и на сколько я помню, в дочернем домене могут назодится все учетки материского и наоборот, в крайнем случае есть доверительные отношения между домена, делегирование...

Это понятно, но как быть с клиентами? Ведь они являются чланами домена company.ru и будут пытаться авторизоваться у контроллера company.ru, который находится в другом городе.

ты читал то что я написал?
походу я не ясно выразился...

Цитата:

Ведь они являются чланами домена company.ru

fil.company.ru тоже будет являтся членом company.ru, он будет дочерним доменом.

Цитата:

будут пытаться авторизоваться у контроллера company.ru

в этом и прелесть леса доменов, будут пытатся авторизироватся у контролера домена, fil.company.ru является контролером домена, соответственно будут авторизироватся у него! за будь про то, что у тя много доменов, просто забудь!
Когда будешь строить лес доменов, следуй ниже обрисованному
1. У тебя ВСЕГО 1(один) домен company.ru
2. У тебя несколько контролеров домена
а) srv.company.ru - основной и самый главный
б) fil1.company.ru - контролер домена первого филиала
в) fil2.company.ru - контролер домена второго филиала
n) filn.company.ru - контролер n-ого филиала
все они входят в один домен (company.ru) и подчиняются основному контролеру домена (srv.company.ru)
3. Все юзеры которые у тебя есть в домене company.ru, смогут авторизироватся в любом из контролеров домена.
4. Дочерние контролеры могут хранить учетки, записанные в основном, контролере домена!
5. а вот дочерние контролеры можешь завязать по инету с основным, причем поетря связи будет не критичной, а когда связь появится они просто обменяются инфой!

З.Ы. не надо разделять домен, достаточно разделить контролер домена, на основной(в главном офисе) и дочерние (в филиалах)! ПАНИМАИШЬ?

Цитата:

fil.company.ru тоже будет являтся членом company.ru, он будет дочерним доменом.

Да.

Цитата:

в этом и прелесть леса доменов, будут пытатся авторизироватся у контролера домена, fil.company.ru является контролером домена, соответственно будут авторизироватся у него! за будь про то, что у тя много доменов, просто забудь!

Дак в том то и беда, что они пытаются авторизоваться у server.company.ru который находится в главном офисе и при отсутствии связи у них нет доступа к сетевым шарам сервера своего филиала (хотя этот сервер тоже является контроллером домена).
В филиалах и главном офисе разные подсети:
главный офис 192.168.0.Х
филиал1 192.168.1.Х
филиал2 192.168.2.Х
На server.company.ru, в оснастке AD - сайты и службы, созданы сайты fil1 и fil2, в которые включены server1.company.ru и server2.company.ru, находящиеся в своих филиала соответственно . Для них указаны соответствующие подсети.
Я понимаю что каждый контроллер содержит копию AD, но почему обрыв связи приводит к таким последствиям непойму
В связи с чем и хочу создать в филлиале домен fil1.company.ru со своим контроллером server.fil1.company.ru. а компы филиала сделать членами fil1.company.ru (comp1.fil1.company.ru, comp2.fil1.company.ru, compX.fil1.company.ru). В таком виде им полюбому придется идти к server.fil1.company.ru.

Galaxy
а DNS серверы с integrated zone в филиалах есть? если есть, все ли dc зарегистрировались?
что у клиентов dns сервером прописано?

В филиалах подняты ДНСы, но в зонах просмотра записаны только сами серверы филиала. Т.е. в зоне прямого просмотра есть лолько две записи:
1.(как папка верхнего уровня) Начальная запись зоны (SOA) [1], server_fil1., hostmaster
2.(как папка верхнего уровня) Сервер имен (NS) server_fil1

У компов в филиалах в качестве ДНС прописаны сервера филиала.
Сейчас удалил зону прямого просмотра на одном из серворов филиала и попытался создать заново. В ответ получил что зона не может быть создана, на сервере произошла авария.
После нескольких попыток смог создать зону "." В ней появилась запись:
server_fil1 Узел(А) 192.168.1.1
Nltest с сервера филиала выдает:
nltest.exe /server:server_fil /sc_query:company.ru
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\server.fssp25.ru
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
Т.е. сервер филиала проходит авторизацию у сервера из главного офиса.
Клиенты в филиале на nltest выдают тоже самое (т.е. авторизуются у сервера главно офиса)

Galaxy
Вот абзац из книги Windows 2003 Server Библия пользователя
Может поможет

[more=Абзац]Вход в систему без необходимости обращения к серверу глобального каталога.


При наличии глобальной сети (WAN) со множеством удаленных сайтов рекомендуется прибегнуть к удаленному размещению глобального каталога, для того чтобы улучшить время входа в систему, повысить производительность поиска и выполнения других операций, требующих обращения к глобальному каталогу. Тем самым вы можете добиться существенного снижения трафика в сети. Помимо улучшения времени отклика сервера, улучшится также и время отклика приложений, ориентированных на передачу данных по сети. Следует отметить, что удаленное размещение глобального каталога фактически представляет собой дублирование функциональности резервного контроллера домена.
    К сожалению, данное решение не позволяется избавиться от всех проблем. Несмотря на то что копия глобального каталога будет находиться на удаленном сайте, пользователи все еще будут нуждаться в контроллере домена для прохождения проверки подлинности при входе в сеть. Следовательно, если на удаленном сайте нет глобального каталога, а сервер глобального каталога недоступен, никто не сможет пройти процедуру входа. Если для взаимодействия с основным контроллером домена (ПДС) удаленные офисы используют подключение по глобальной сети они гарантированно «не у дел» в результате выхода из строя последнего.

Внимание Прежде чем вносить изменения в реестр сделайте архивные копии реестра и параметров системы.

    Для того чтобы избавится от необходимости наличия на сайте сервера глобального каталога и избежать задержек обработки пользовательских запросов на вход в систему, выполните следующие действия.
1.    Запустите программу Registry Editor (Редактор реестра) и отыщите в реестре раздел HKLM\SYSTEM\CurrentControlSet\Control\Lsa
2.    Выполните команду Edit->Add->Key (Правка – Создать – Раздел) и добавьте раздел реестра с именем IgnoreGCFailures. Не указывайте для вновь созданного раздела никакого значения.

Перезапустите контроллер домена для вступления внесенных изменений в силу.
    Раздел IgnoreGCFailures должен быть создан на контроллере домена, проводящем первоначальную проверку подлинности пользователей.

На заметку: Вход в систему без необходимости обращения к глобальному каталогу представляет серьезную брешь в системе безопасности. Прежде чем вносить изменения в конфигурацию сервера, попробуйте рассмотреть все альтернативные варианты[/more]

Думаю, эта утилита поможет перенести объекты в другой домен:
http://technet2.microsoft.com/windowsserver/en/library/7ebf19b3-f395-425e-ad20-6c0a98af04c31033.mspx?mfr=true

а являются ли все контроллеры глобальным каталогом и настроены ли передачи зон?

Сделал всех GC, настроил передачу зон. Сервера успешно обменялись зонами. Но смущает такой факт:
На сервере в главном офисе клиенты зарегистрировались в зоне прямого просмотра (соответственно появились PTR записи в обратной зоне).
На сервере1 филиала клиенты почему-то оставляют ригистрации только в зоне обратного просмотра. В зоне прямого просмотра есть только записи ДНС серверов и запись А сервера1.
На сервере2 филиала зарагистрированных клиентов нет вообще

так может передача зон неправильно настроена?

Как не правильно? Они же передаются, и именно в том виде в каком они существуют на своих ДНС серверах.

Непонятно, откуда тут вообще передача зон. В такой схеме для домена должна быть одна AD-integrated зона, одинаковая на всех DNS серверах, а изменения в ней передаваться через репликацию AD.
Попробуй в филиале 2 поставить серверу и клиентам dns сервером главный сервер, добейся, чтобы главный и сервер2 зарегистрировались в dns, создали все поддомены (_msdcs, _sites etc) (стираешь содержимое зоны,перезапускаешь netlogon, при запуске он должен зарегить все имена, или нажаловаться в журнал). Потом в DNS сервере 2 создаешь integrated зону с тем же именем, проверяешь, что туда реплицирована вся зона с главного, и только тогда прописываешь его серверу 2 и клиентам

Спасибо Refugee. Действительно зона должна быть одна. Сделал все серваки GC, работа нормализовалась. Тема закрыта