Windows 2003 AD domena

Najprej naj povem, da s strežnikom Windows 2003 kot domenskim strežnikom nisem delal nikdar in nimam izkušen. Vedno sem imel opravka z Netware od 3.12 do 6.5 in NDSom.

Sedaj pa razmišljam, da bi zamenjali Netware z Windows 2003, ker preprosto potrebuješ za normalno uporabo XP ali Viste z Netware še Zenworks, da je sploh možna prijava direktno na strežnik (DLU), roaming profili, PXE za nameščanje PC in imaging ...

Sedaj me pa zanima nekaj osnovnih vprašanj.

V domeni bo, kakor razmišljam trenutno, en centrali AD domenski strežnik, ki bo hkrati tudi še DNS strežnik. Na ostalih lokacijah, priklopljenih prek WAN, bi imeli isto domeno in repliko AD (ne vem če je pravi termin, netware to pozna, plus particije NDS...). Tu ne vem, kako se bo zadeva obnesla v praksi in ali gre potem ves promet (prijave v omrežje...) na centralni domenski strežnik? Na netwaru je to delovalo brez problema ali vpliva na hitrost, ker je NDS vse pisal na repliko NDS, ki je bila na lokalnem strežniku dislocirane enote ter v ozadju delal sinhronizacijo imenika. Ali je taka konfiguracija smiselna?

Glede same namestitve trenutno razmišljam, da bi naredil tri particije. Eno za sam sistem, eno za AD in eno potem za podatke uporabnikov.

Ima kdo kakšne resne izkušnje s tem.

Dejansko ne potrebuješ 3 particij. AD dvigneš z dcpromo ukazom in ti vse namesti na sistemsko particijo (C:\Windows\Sysvol). Prvi DC (domain controller) ima po defaultu vse role. Tu tudi lahko poinštaliraš DNS (če ga še nimaš). DNS je ZELO pomemben del AD. Če ti ta ne dela pravilno boš imel veliko težav. Ko dodajaš druge DC-je jih z dcpromo enostavno dodaš v domeno. Če imaš več lokacij je smiselno narediti site in v teh site-ih postaviti DC-je.

Če rabiš kaj več informacij vprašaj, lahko tudi na ZS.

na internetu sem našel to: http://hosteddocs.ittoolbox.com/Essenti....
presvsem si oglej tabelo1 kjer so razlike med enim in drugim.
Moja izkušnja z enim in drugim je sledeča:
Postavitev AD je precej bolj enostavna kot postavitev e-direktorija, edino paziti je treba v začetku pri postavitvi DNS-a, saj AD brez DNSa ne zna delovati. Postavitev repliokacije AD je zelooo enostavna, saj pri namestitvi samo poveš da naj bo to strežnik AD-ja in izbereš da dodaš v že obstoječo domeno, vse ostalo ti čarovnik naredi sam. Pri Microsoftu so vsi AD-ji enakovredni, edino prvi nameščeni AD(v celotnem drevesu) ima še Global Catalog, to je spisek vseh objektov v Vseh domenah.
Z sites se lahko ubadaš kasneje, če boš imel probleme. Novell ima veliko lepše in enostavnejše rešene login skripte, pri Microsoftu pa je to rešeno vsaj za moj okus slabo.
Pri Microsoftu imaš več nivojev grup, zato je dobro da si ogledaš najboljše prakse, kako uporabiti kakšen tip grupe. Oglej si tudi Group Policy, saj je to zelo uporabna zadeva.
Pri ADju morajo biti registrirani tako uporabniki, kot dalovne postaje(računalniki).
Pri Novellu uporabniki na mreži vidijo vsako particijo kot svoj disk (razen če se zelo ne potrudiš), dočim pri Microsoftu ti lahko katerokoli mapo na strežniku določiš, da se vidi kot disk.
Več AD domen lahko združiš v gozd, vendar razmišljaj o več domenah samo če upravljaš z mrežo več kot 500 (v posebnih primerih več kot 100 postaj/uporabnikih). Vendar je tudi to zelo enostavno, vendar pri pravicah med domenami je potem zelo pomembno pravilno izbiranje tipa grup.
v AD-ju se ti splača postaviti DFS(Distributed File System). V začetku morda ne boš videl kakšne prednosti, vendar s časom, ko je treba menjavati strižnike, ti to omogoča tako večjo varnost (nastavitev kot pri diskih miroring) in večjo skalabilnost, saj lahko podatke prestaviš iz enega serverja na drugega, medtem ko uporabniki nemoteno uporabljajo podatke in to na način da v prvem koraku vzpostaviš miroring, in ko je sinhronizacija uspešno zaključena pač razkleneš povezavo dfs in starega sistema.

Sites so uporabni v primeru, če imaš na drugi točki več uporabnikov in ne želiš delati še dodatnega prometa po WAN-u. Global Catalog pa je lahko na vsakem DC-ju.

McMallar
Se popolnoma strinjam s tabo. Za Global Catalog sem pač povedal kako je pri default namestitvah AD-jev, in da je včasih dobro malo pozornosti tudi posvetiti njemu.

Še eno hitro vprašanje v zvezi z DNS. za testiranje bi si rad postavil neko testno okolje z Windows 2003. Sedaj pa ne vem kako je z DNS. Razumem, da je DNS neka drevesna struktura povezanih hirarhičnih imeniških strežnikov. Ali pa si lahko za testiranje izmislim neko domeno, recimo firma.local, in ali bi lahko na kakšen način vplival na dejanske DNS strežnike? Ne bi rad povzročila kakšnega internet mrka. ;)

V primeru, če imaš v enem drevesu več strežnikov na različnih lokacijah povezanih prek WAN, ali ima smisel vsak strežnik na drugi lokaciji dati v svojo poddomeno recimo ljubljana.firma.si, postojna.firma.si, ali je bolje, če so vsi znotraj iste domene firma.si in narediš znotraj AD za vsako lokacijo svoj UO, kamor kreiraš uporabnike in skupine? Ali to lahko vpliva na karkoli? (sem kot rečeno človek netwara in mi nekatere stvari niso čisto jasne)

McMallar, vidim da tole področje obvladaš. Ali morda veš, če obstaja kakšen produkt, ki bi bil proxy strežnik med Active Directory in Oracle web aplikacijo? Zadeva naj bi delovala tako, da sta IP na IP povezana proxy in Oracle Web server, vsi uporabniki pa dostopja prek brskalnika do aplikacije samo preko proxya in ne direktno na Oracle. Morala pa bi zadeva delovati tako, da bi lahko znotraj AD določal, kdo ima dostop do aplikacije in če nisi avtenticiran v AD nimaš dostopa do proxya.

Nov dan, nova vprašanja (sedaj imam že postavljeno testno okolje, samo žal nimam kakšnega VMWare, da bi se lahko igral z večimi strežniki).

V primeru topologije "zvezda", torej centralna lokacija, domenski strežnik ter primarni in sekundarni (za redundanco) DNS strežnik, na ostalih lokacijah prek WANa so tudi domenski strežniki. Kaj se zgodi v primeru, če pade WAN link? To pomeni, da DNS strežnik ni več dostopen in domnevam da je AD "mrtev" (ni možna več prijava v domeno) na tisti lokaciji, ki zgubi povezavo (Netware tega ne pozna, ker dela brez DNS)? Če je to res, kako se da to potem rešiti? DNS strežnik na vsaki loakciji?

Drugo kar še ne razumem je pa to, ali AD pozna pri lastnostih domenskega uporabnika, kateri je njegov primarni strežnik, na katerega se prvo "logira". Tega nisem nikje opazil in ne vem, če se jaz prijavim v domeno na neki oddaljeni loakciji, ali gre prijava na prvi domenski strežnik, ali na tistega, ki je "najbližji" (v istem LAN recimo)?

Na vsaki lokaciji postavi DC, oziroma v 2008 imš samo read copy. Strežnik naj ima DNS, ter GC vlogo, in to je to. Pri izpadu linije, deluje vse ok, razen, če dostopaš do podatkov na centralni lokaciji, ki pa ni dosegliva.... Replikacija 1x na uro, izvaja pa se itak inkrementalno z vključno DNs-om...
Po potrebi namesti WINS....

Drugače pa si vzemi čas in prelistaj kakšno knjigo, ker so to osnove....