» »

Windows 2003 AD domena

Windows 2003 AD domena

dronyx ::

Najprej naj povem, da s strežnikom Windows 2003 kot domenskim strežnikom nisem delal nikdar in nimam izkušen. Vedno sem imel opravka z Netware od 3.12 do 6.5 in NDSom.

Sedaj pa razmišljam, da bi zamenjali Netware z Windows 2003, ker preprosto potrebuješ za normalno uporabo XP ali Viste z Netware še Zenworks, da je sploh možna prijava direktno na strežnik (DLU), roaming profili, PXE za nameščanje PC in imaging ...

Sedaj me pa zanima nekaj osnovnih vprašanj.

V domeni bo, kakor razmišljam trenutno, en centrali AD domenski strežnik, ki bo hkrati tudi še DNS strežnik. Na ostalih lokacijah, priklopljenih prek WAN, bi imeli isto domeno in repliko AD (ne vem če je pravi termin, netware to pozna, plus particije NDS...). Tu ne vem, kako se bo zadeva obnesla v praksi in ali gre potem ves promet (prijave v omrežje...) na centralni domenski strežnik? Na netwaru je to delovalo brez problema ali vpliva na hitrost, ker je NDS vse pisal na repliko NDS, ki je bila na lokalnem strežniku dislocirane enote ter v ozadju delal sinhronizacijo imenika. Ali je taka konfiguracija smiselna?

Glede same namestitve trenutno razmišljam, da bi naredil tri particije. Eno za sam sistem, eno za AD in eno potem za podatke uporabnikov.

Ima kdo kakšne resne izkušnje s tem.

smetko ::

Pri AD 2000/2003 to rešujejo s sites.
Še en link: http://www.microsoft.com/technet/prodte...
No comment

McMallar ::

Dejansko ne potrebuješ 3 particij. AD dvigneš z dcpromo ukazom in ti vse namesti na sistemsko particijo (C:\Windows\Sysvol). Prvi DC (domain controller) ima po defaultu vse role. Tu tudi lahko poinštaliraš DNS (če ga še nimaš). DNS je ZELO pomemben del AD. Če ti ta ne dela pravilno boš imel veliko težav. Ko dodajaš druge DC-je jih z dcpromo enostavno dodaš v domeno. Če imaš več lokacij je smiselno narediti site in v teh site-ih postaviti DC-je.

Če rabiš kaj več informacij vprašaj, lahko tudi na ZS.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

dronyx ::

Najprej hvala za odgovore. V bistvu glede Site-ov ne vem, če to sploh potrebujem. Namreč WAN je bil včasih povezava recimo 128 kbs, nekateri so plačevali še celo prenos podatkov. Danes je WAN 2 Mbs ali več in vprašanje je, če to ni že tako hitro, da ne potrebuješ kakšnih posebnih mehanizmov za sinhronizacijo imenika, kot je bilo to včasih pri počasnih linkih. Netware pozna recimo particije imenika NDS in ti recimo enostavno narediš na drugem strežniku povezanem prek WAN read/write repliko imenika oziroma repliko samo dela imenika (OU, kadar gre za veliko organizacijo.

smetko ::

na internetu sem našel to: http://hosteddocs.ittoolbox.com/Essenti....
presvsem si oglej tabelo1 kjer so razlike med enim in drugim.
Moja izkušnja z enim in drugim je sledeča:
Postavitev AD je precej bolj enostavna kot postavitev e-direktorija, edino paziti je treba v začetku pri postavitvi DNS-a, saj AD brez DNSa ne zna delovati. Postavitev repliokacije AD je zelooo enostavna, saj pri namestitvi samo poveš da naj bo to strežnik AD-ja in izbereš da dodaš v že obstoječo domeno, vse ostalo ti čarovnik naredi sam. Pri Microsoftu so vsi AD-ji enakovredni, edino prvi nameščeni AD(v celotnem drevesu) ima še Global Catalog, to je spisek vseh objektov v Vseh domenah.
Z sites se lahko ubadaš kasneje, če boš imel probleme. Novell ima veliko lepše in enostavnejše rešene login skripte, pri Microsoftu pa je to rešeno vsaj za moj okus slabo.
Pri Microsoftu imaš več nivojev grup, zato je dobro da si ogledaš najboljše prakse, kako uporabiti kakšen tip grupe. Oglej si tudi Group Policy, saj je to zelo uporabna zadeva.
Pri ADju morajo biti registrirani tako uporabniki, kot dalovne postaje(računalniki).
Pri Novellu uporabniki na mreži vidijo vsako particijo kot svoj disk (razen če se zelo ne potrudiš), dočim pri Microsoftu ti lahko katerokoli mapo na strežniku določiš, da se vidi kot disk.
Več AD domen lahko združiš v gozd, vendar razmišljaj o več domenah samo če upravljaš z mrežo več kot 500 (v posebnih primerih več kot 100 postaj/uporabnikih). Vendar je tudi to zelo enostavno, vendar pri pravicah med domenami je potem zelo pomembno pravilno izbiranje tipa grup.
v AD-ju se ti splača postaviti DFS(Distributed File System). V začetku morda ne boš videl kakšne prednosti, vendar s časom, ko je treba menjavati strižnike, ti to omogoča tako večjo varnost (nastavitev kot pri diskih miroring) in večjo skalabilnost, saj lahko podatke prestaviš iz enega serverja na drugega, medtem ko uporabniki nemoteno uporabljajo podatke in to na način da v prvem koraku vzpostaviš miroring, in ko je sinhronizacija uspešno zaključena pač razkleneš povezavo dfs in starega sistema.
No comment

flashroyal ::

V bistvu se da vse prakično popolnoma enako urediti z nekih 5-10x več administrativnega dela. Priporočam pa: Mark Minasi - Mastering Windows Server 2003.

Welcome to the M$ dummies club and Enjoy!

McMallar ::

Sites so uporabni v primeru, če imaš na drugi točki več uporabnikov in ne želiš delati še dodatnega prometa po WAN-u. Global Catalog pa je lahko na vsakem DC-ju.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

smetko ::

flashroyal
Ta dva sistema pač ne delujeta enako, se pa da doseči podobna/enaka funkcionalnost.
Glede administratorskega dela pa po mojih izkušnjah ni velike razlike v porabljenem času, razlika je samo v tem, da te Novell bolj sugestira/primora v neko funkcionalnost, dočim ti pri Microsoftu pustijo več možnosti in ljudje kateri prej naredijo, nato pa razmišljajo kako bi bilo najbolje, imajo pač težave in posledično porabljajo veliko časa.
Razlika je tudi v tem da za postavitev Novell-ovih strežnikov že v začetku rabiš precejšnjo mero poznavanja, dočim namestitev Microsoftovih serverjev lahko naredi vsak "pek", vendar je kakovost (posledično porabljen čas) pač temu primerena.
No comment

smetko ::

McMallar
Se popolnoma strinjam s tabo. Za Global Catalog sem pač povedal kako je pri default namestitvah AD-jev, in da je včasih dobro malo pozornosti tudi posvetiti njemu.
No comment

dronyx ::

Glede Novella (Netware) se mi zdi, da je zadeva postavljena enako hitro kot Windows 2003. Da pa OS zares obvladaš, pa so potrebne v obeh primerih izkušnje. Verjetno je šele kombinacija Netware + zenworks primerljiva z Windows 2003, ker potem imaš tudi na Netware group policy, lahko nameščaš aplikacije (domnevam da je to ekvivalent RIS), v NDSu imaš vsak računalnik importiran kot svoj objekt in lahko rečeš, katera aplikacija se naj kam distribuira, delaš snapshoote aplikacij... Z zenworksi se da recimo čez noč z multicastom, WOL in PXE praktično na novo naložiti OS in programe na vse računalniki v firmi, brez da skačeš okrog.

dronyx ::

Še eno hitro vprašanje v zvezi z DNS. za testiranje bi si rad postavil neko testno okolje z Windows 2003. Sedaj pa ne vem kako je z DNS. Razumem, da je DNS neka drevesna struktura povezanih hirarhičnih imeniških strežnikov. Ali pa si lahko za testiranje izmislim neko domeno, recimo firma.local, in ali bi lahko na kakšen način vplival na dejanske DNS strežnike? Ne bi rad povzročila kakšnega internet mrka. ;)

McMallar ::

Lahko si narediš eno lokalno testno domeno. Lahko je celo v istem ip subnetu. DNS se ne bodo motili, glej le, da narediš drug forest. Jaz najraje to delam v VMWare okolju, saj se tam lahko po želji igraš in preizkušaš. Sem pa imel testni AD postavljen tudi v produkcijski mreži (žal ni šlo drugače) in ni bilo nobenih težav.

Na začetku smo imeli celo dva ločena AD foresta, ki se sploh nista motila med seboj. Finta je v tem, da so DC-ji tudi DNS strežniki te domene in ne vplivajo na druge. Lahko pa si nastaviš še forwarderje za druge domene.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

dronyx ::

V primeru, če imaš v enem drevesu več strežnikov na različnih lokacijah povezanih prek WAN, ali ima smisel vsak strežnik na drugi lokaciji dati v svojo poddomeno recimo ljubljana.firma.si, postojna.firma.si, ali je bolje, če so vsi znotraj iste domene firma.si in narediš znotraj AD za vsako lokacijo svoj UO, kamor kreiraš uporabnike in skupine? Ali to lahko vpliva na karkoli? (sem kot rečeno človek netwara in mi nekatere stvari niso čisto jasne)

Zgodovina sprememb…

  • spremenil: dronyx ()

McMallar ::

Načeloma ni nobene razlike. Poddomene je smiselno delati tedaj, ko imaš na vsaki lokaciji nekoga, ki ti upravlja s to domeno oz bi rad uporabnike iz ene domene ločil od druge. Sicer to lahko še vedno rešiš s "trusti". V nasprotnem primeru se ti ne splača, saj imaš potem podvojeno delo - management, GPO, backup,... V mojem primeru imam več kot 3500 uporabnikov in cca. 1000 računalnikov v eni sami domeni. Vsa stvar je organizirana z OU-ji. Zaenkrat nisem videl nobene potrebe, da bi delal poddomene.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

dronyx ::

McMallar, vidim da tole področje obvladaš. Ali morda veš, če obstaja kakšen produkt, ki bi bil proxy strežnik med Active Directory in Oracle web aplikacijo? Zadeva naj bi delovala tako, da sta IP na IP povezana proxy in Oracle Web server, vsi uporabniki pa dostopja prek brskalnika do aplikacije samo preko proxya in ne direktno na Oracle. Morala pa bi zadeva delovati tako, da bi lahko znotraj AD določal, kdo ima dostop do aplikacije in če nisi avtenticiran v AD nimaš dostopa do proxya.

McMallar ::

Žal ne poznam nobenega takšnega produkta, saj pri nas avtentikacija za web aplikacije poteka preko IIS in AD. Po avtentikaciji pa web aplikacije lahko dostopajo do Oracle baze.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

dronyx ::

Nov dan, nova vprašanja (sedaj imam že postavljeno testno okolje, samo žal nimam kakšnega VMWare, da bi se lahko igral z večimi strežniki).

V primeru topologije "zvezda", torej centralna lokacija, domenski strežnik ter primarni in sekundarni (za redundanco) DNS strežnik, na ostalih lokacijah prek WANa so tudi domenski strežniki. Kaj se zgodi v primeru, če pade WAN link? To pomeni, da DNS strežnik ni več dostopen in domnevam da je AD "mrtev" (ni možna več prijava v domeno) na tisti lokaciji, ki zgubi povezavo (Netware tega ne pozna, ker dela brez DNS)? Če je to res, kako se da to potem rešiti? DNS strežnik na vsaki loakciji?

Drugo kar še ne razumem je pa to, ali AD pozna pri lastnostih domenskega uporabnika, kateri je njegov primarni strežnik, na katerega se prvo "logira". Tega nisem nikje opazil in ne vem, če se jaz prijavim v domeno na neki oddaljeni loakciji, ali gre prijava na prvi domenski strežnik, ali na tistega, ki je "najbližji" (v istem LAN recimo)?

McMallar ::

Počasi. V AD nimaš nobene zvezda topologije. Vsi DC-ji so si med sabo enakovredni, ravno tako je na vsakem DC-ju tudi DNS strežnik. Ni primarnih ne sekundarnih strežnikov. Imaš samo vloge kot naprimer PDC Emulator, ki predstavlja vlogo primarca za NT4 računalnike.

Kot sem ti že napisal, se ti splača dislokacije rešiti s site-i. Na vsak site daš svoj DC. Vsi podatki se ti med DC-ji replicirajo, tako da ob izpadu WAN linije vsak site normalno dela, saj kar se AD tiče, se med DC-ji izvaja samo replikacija podatkov v domeni (oz. sprememb - odvisno od načina delovanja).

Če imaš site pravilno nastavljene, potem se PC prijavi v domeno na strežnik v njegovem site-u. Drugače pa se lahko prijavlja prav naključno nekam.

Če imaš še kaj vprašanj me lahko kontaktiraš tudi na ZS.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Mr.B ::

Na vsaki lokaciji postavi DC, oziroma v 2008 imš samo read copy. Strežnik naj ima DNS, ter GC vlogo, in to je to. Pri izpadu linije, deluje vse ok, razen, če dostopaš do podatkov na centralni lokaciji, ki pa ni dosegliva.... Replikacija 1x na uro, izvaja pa se itak inkrementalno z vključno DNs-om...
Po potrebi namesti WINS....

Drugače pa si vzemi čas in prelistaj kakšno knjigo, ker so to osnove....
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

dronyx ::

Knjige študiram (O'Reilly Windows server 2003), samo ko delaš 13 let z enim sistemom (od netware 3.12 naprej), težko preklopiš na nekaj drugega, oziroma iščeš vzporednice. Grem pa tudi na tečaj, tako da bom tam težil z vprašanji (ponavadi vedno naštudiram toliko, da je predavatelj v zadregi). V bistvu mi dela največ težav DNS, ker s tem nimam izkušenj, oziroma so bili DNS strežniki vedno zame samo IP naslovi.

Pri zvezda topologiji sem imel v mislih bolj s stališča omrežja. Verjetno ni nujno, da se vse WAN lokacije "vidijo med seboj" in potem se domnevam da s pomočjo sites določiti, kako se AD replicira.

Zgodovina sprememb…

  • spremenil: dronyx ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Windows 8 mi noče v domeno

Oddelek: Pomoč in nasveti
202299 (1894) crniangeo
»

Za kakšno stvar je uporaben kateri strežnik?

Oddelek: Izdelava spletišč
103179 (2869) Ziga Dolhar
»

windows server 2003 DNS za routerjem

Oddelek: Operacijski sistemi
61589 (1486) Mythos
»

Vpis DNS strežnika v vrhnji DNS

Oddelek: Omrežja in internet
378858 (7349) kronik
»

Windows domena prek routerjev

Oddelek: Omrežja in internet
201833 (1516) BlueRunner

Več podobnih tem