Lze se vyhnout Active Directory DC?

Pelima

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #30 kdy: 22. 02. 2016, 23:26:38 »
No, to bych možná pochopil - třeba kvůli MS licenční politice. Pokud máte víc uživatelů, než počítačů (školy, velké firmy apod.) a CALy licencujete Per Device, tak musíte mít licenci pro každé zařízení, které jakýmkoliv způsobem používá prostředky serveru a tím jakýmkoliv je míněno třeba i ten DHCP server. Vzato do důsledku, podle MS výkladu správného licencování si musíte koupit (měl by jste) CAL pro všechny návštěvy, které použijí DHCP na serveru. Případně tam nepustíte nikoho dalšího, ale v tom případě se stáváte aktéry zajímavých rozhovorů, třeba s kontrolou ze školní inspekce (hygieny, PPP, auditora, zřizovatele...) že jim opravdu neřeknete heslo ke školní wifi, aby se mohli připojit k internetu a vyplnit kontrolní formulář s hlášenímí.
No a samozřejmně musíte počítat s CALy pro všechny síťové tiskárny, IP kamery, čtečky karet ve školní jídelně, bezdrátová AP, projektory atd. Změnu přiřazení CAL/zařízení můžete dělat max. 1x za 90dní.
Pokud toho máte v síti víc (a to nepočítám mobily a tablety učitelů, případně i žáků), asi se vyplatí se mít DHCP jinde než na serveru. Z hlediska síťařů a správců sítí to sice je naprosto blbě, ale z finančního hlediska ta úspora nemusí být zanedbatelná.


Spíš bych tu tvojí otázku postavil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?


Re:Lze se vyhnout Active Directory DC?
« Odpověď #31 kdy: 22. 02. 2016, 23:58:58 »
AD je jeden z mála opravdu bezproblémových MS produktů.
No nevim, ja si bezproblemovy produkt predstavuju trochu jinak... Bezproblemova mi prijde NT domena + LDAP. Vsechno hezky citelne a snadno upravovatelne. LDAP v AD je tragikomicka kupa neprehledneho bordelu. S komickymi omezenimi jako napriklad, ze "nejdou" z "bezpecnostnich" duvodu exportovat hesla. Oboji v uvozovkach, protoze staci vedet, jak na to, a jde to. Krkolomne. Cili hacker problem nema, problem ma legitimni spravce. A to se jmenuje "bezpecnost".

Pokud dojde janevim treba k nejakemu problemu se synchronizaci, neni to smrtelnik schopny dat rucne dohromady. Narozdil od te NT domeny s LDAPem, kde co uzivatel, to jasny zaznam s jasnymi polozkami, ktery pri nejhorsim jde napsat i ruco v ldapvi... V AD bez sance. Admin zustane napospas kryptickym hlaskam a na KB najde tak leda, ze mozna by to mohlo byt timhle, tak to muze zkusit a kdyby to nepomohlo, at zkusi neco uplne jineho...

Sorry, ale tohle neni bezproblemovy produkt. Bezproblemovy system je takovy, kde vim, co kde je, proc to tam je a jak to ma spravne vypadat.

Uz jenom to, ze upgrade s preskocenim verzi windows serveru neni (AFAIK) podporovany a musi se z duvodu nejakych obskurnich zmen jeste obskurnejsich LDAP schemat jit verzi po verzi, o necem svedci... (netvrdim, ze to nejde nejak poresit, zas tolik do toho nevidim, prodavam, jak jsem koupil)

protože takové možnosti, jako windowsí filesharing, vám Samba nedá (nebo jen velmi nepohodlně a po velkém přemlouvání).
Požadavky manažerů "k téhle složce má mít přístup pro zápis tahle skupina lidí, jiná skupina jen pro čtení, tenhle user tam může vytvořit nový soubor ale nesmí ho mazat, tenhle user může měnit tenhle soubor ale nesmí v té složce nic vytvořit ani smazat a podobné" jsou běžnou záležitostí a díky AD to máte nastaveno v podstatě okamžitě.
Samba podporuje ACL, takze to funguje uplne stejne jako na Windows. Rozchazi se to sloziteji, protoze je tam vic moznosti, jak windowsi prava mapovat na underlying (jak se to rekne cesky?) unixovy filesystem. Takze to proste je potreba nastavit, narozdil od Windows, kde co je na disku, to je na share a jina moznost neni, cili se nic nastavovat nemusi.

Re:Lze se vyhnout Active Directory DC?
« Odpověď #32 kdy: 23. 02. 2016, 00:02:49 »
Abych trochu objasnil co mě vede takto uvažovat. O uživatelských stanicích (především o těch s windows) uvažuju dost jako jen o hloupých terminálech
Ona to v principu neni uplne spatna uvaha, ale 1. uvazujes o zcestnem zpusobu realizace 2. Microsofti svet na takove pouziti neni staveny a ohybat Windows k necemu, s cim se nepocitalo, to uz je lepsi se zastrelit, otravit a jeste za koule povesit do pruvanu a to vsechno zaraz a verejne :) Pokud jde o Windows, nejlepsi je pokud mozno co nejmin vybocovat z oficialne podporovanych a obecne pouzivanych zpusobu reseni. I ta samba jako PDC je trochu risk a ten tvuj namysleny zpusob reseni je uplne mimo misu (bez urazky).

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #33 kdy: 23. 02. 2016, 00:05:03 »
Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.
Neni zodpovezena, protoze alternativou je mit staticke mapovani IP na jmeno. Coz je minimalne respektuhodne reseni (a mne osobne pocitove sympatictejsi minimalne proto, ze je tradicni :) ).

3ko

Re:Lze se vyhnout Active Directory DC?
« Odpověď #34 kdy: 23. 02. 2016, 08:57:24 »
pozri na zentyal.org. pre tvoju potrebu nic lepsie nenajdes a budes mat poriesenu celu domenu aj ad. a bez nakladov.


Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #35 kdy: 24. 02. 2016, 17:26:32 »
Z principu věci bych řekl, že dhcp server dokáže aktualizovat záznamy v dns což je v doménovém prostředí důležitá věc a tvoje otázka je odpovězena.
Neni zodpovezena, protoze alternativou je mit staticke mapovani IP na jmeno. Coz je minimalne respektuhodne reseni (a mne osobne pocitove sympatictejsi minimalne proto, ze je tradicni :) ).
Tak u tvého "tradiční" jsou potřeba opravdu velké uvozovky protože rukama dělaji otroci a proč ručně hrabat v něčem co může fungovat samo?

A pak bych opakoval otázku "Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?" ... protože je to tradiční? No to asi ne a zajímal by mě tvůj názor protože tématu evidentně rozumíš.

Dík

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #36 kdy: 24. 02. 2016, 17:35:56 »
Tak u tvého "tradiční" jsou potřeba opravdu velké uvozovky protože rukama dělaji otroci a proč ručně hrabat v něčem co může fungovat samo?
První poučka praktického IT zní, že nikdy nic nefunguje samo i když se to nakrásně píše v letáku ;)

A pak bych opakoval otázku "Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?" ... protože je to tradiční?
Zaznělo, že dynamicky přidělované adresy + dynamické změny dns jsou jasná volba. K tomu jsem řekl, že to zas tak jasné není. Netvrdím, že statické IP jsou lepší, ale umím si představit situaci, ve které dávají smysl.

Např. můžeš z nějakého důvodu chtít, aby určitá zařízení měla IP z určitého rozsahu. Čili ať je to AD nebo jakýkoli jiný DHCP+DNS server, tak jako tak tam musíš nastavit, že MAC ta a ta = IP ta a ta. Nic dynamického tam mít nechceš, čili ani nevyužiješ možnost dynamické změny DNS.

Jiný důvod může být třeba ten, že záznamy umíš nějakým nástrojem generovat a připojení na API jiného serveru už máš vyřešené, čili proč bys to měl předělávat pro Windows Server?

Nebo seš třeba paranoidní ohledně bezpečnosti a možnost změn záznamů stanicí se ti nepozdává z principu.

Atd. atd.

Čili nejsou to argumenty ostře proti AD, to ne. Konkrétně DNS+DHCP na něm funguje (zdá se mi) relativně slušně. Ale taky nic moc nepřináší.

Re:Lze se vyhnout AD DC (Active Directory Domain Controlleru)?
« Odpověď #37 kdy: 24. 02. 2016, 17:39:18 »
Pokud toho máte v síti víc (a to nepočítám mobily a tablety učitelů, případně i žáků), asi se vyplatí se mít DHCP jinde než na serveru. Z hlediska síťařů a správců sítí to sice je naprosto blbě, ale z finančního hlediska ta úspora nemusí být zanedbatelná.


Spíš bych tu tvojí otázku postavil obráceně. Proč by proboha někdo provozující doménové prostředí používal k přidělování router když má dokonalu nástroj integrovaný v serveru?
Toto je velmi zajímavá teorie. Opravdu, licencování na zařízení je problematické a ne vždy se hodí. I když jsem auditů několik zažil a nikdy s tim problém nebyl. Ono jde možná o počet současně připojených zařízení k serveru a na dhcp serveru nafasování adresy zabere sekundu a zařízení je pryč odpojené.

ALE na druhou stranu nerozumím, proč do dhcp pleteš věci co nepotřebují a z principu je lepší když mají stále stejnou adresu. Ovšem, můžu udělat rezervaci v hdcp pro čtečky, ipkamery, tiskárny a podobné ... ALE proč hych to proboha dělal když jim prostě ip můžu nastavit a nazdar bazar???
Ty telefony a podobné ano, tam je to pravda, na druhou stranu pro tyto případy je lepší oddělit síť pro hosty.

j

Re:Lze se vyhnout Active Directory DC?
« Odpověď #38 kdy: 24. 02. 2016, 20:53:03 »
Protoze kdyz si to napises do DHCPka, tak mas zaroven centralni evidenci. Kdyz tomu das IPcko, tak pri prekroceni 10ks ztratis prehled a pri 100ks zacnes resit megapruser.

BTW: Zrovna dynamicky DNS z widloAD dhcp je neco, co nefunguje rozhodne ani trochu spolehlive. Nekdy se to aktualizuje, jindy ne, podle toho jak se to zrovna vyspi. Co hur, aby to fugovalo aspon nejak, je treba jeste stelovat klienty (widle). Samo nikoli z DHCP, ale z GPO ...

Takze (tradicne) minimalne vsechny servery maji IPcka fixni, a pokud chces, aby trebas IPcko odpovidalo evidencnimu cislu stroje a tys nemusel resit, kterej to je ...

Hever

Re:Lze se vyhnout Active Directory DC?
« Odpověď #39 kdy: 21. 07. 2016, 23:48:44 »
Chtěl bych sem zareagovat ještě s odstupem času.

Na hlavní otázku bych tady pro budoucí generace si dovolil zanechat odpověď: I při větším množství počítačů ve firmě není nutné zavádět Active Directory.

Z názorů prakticky všech ostatních v této diskuzi to nevyplívá, ale tedy je potřeba poukázat na fakt, že ti, kteří zde odpovídají mají s AD vesmě velké zkušenosti, ale nikdy o jiné možnosti neuvažovali. Je to jako ptát se zedníků, jestli je lepší dům z cihel nebo dřevostavba.

Ti, kteří AD zavedou bývají buď ti, pro které to opravdu má smysl (školy, velké instituce, korporativistické společnosti, nebo ti co jsou zadrátovaní na Microsoftím OS, ať už obchodníchh/licenčních ohledů nebo hromadou jiného špatně navrženého SW), nebo ti, kteří zjistili, že potřebují něco jako LDAP a spolkli marketing Microsoftu.

Typicky školy využívají uživatelské stanice jako pouhý hloupý prvek v systému, desítky/stovky počítačů mají z pohledu administrátora naprosto totožný význam a vše je nejlepší řešit centrálně. Domovský adresář pak leží někde na serveru a na každém počítači uživateli najíždí stejné prostředí. Kolem toho je pak nutné vybudovat rozsáhlou administrativu, síťové vybavení, havarijní scénáře, zaměstnat několik správců, atp. V těchto případech je potřeba zvolit jaký OS se bude používat a v případě, že vyhraje Microsoft Windows (dnes skoro vždy), tak se nasazuje AD.

Potom je ale spousta případů, kde naopak AD vůbec nutné není. Dnešní menší firmy často nemají díky používání webových aplikací vytvořený vendor lock-in (závislost na dodavateli) k Microsoftu, uvědomují si široké možnosti i jiných zařízení, než je počítač s Windows (zmiňme především smartphony, tablety), takže se i na desktopu nebojí třeba PC od apple, nebo linuxu. Jejich zaměstnanci dále třeba nejsou přikovaní na jednom místě (tedy v rámci jedné LAN) a především i třeba při stovce zaměstnaců/počítačů je zde řada rozličných oddělení (desítky), která mají vždy svá specifické potřeby, takže se všechno stejně nakonec řeší jednotlivě. Věšině lidí se poskytne volnost si svůj počítač spravovat sami (instalovat programy...). Počítače nejsou anonymní, naopak každý zaměstnanec má ten svůj, který používá nejenom jako hloupý terminál, ale prostě jako počítač (třeba si tady stahuje nějaké soubory z internetu se kterými, zálohuje fotky z mobilu, a já nevím co). V této situaci může být AD (tedy LDAP + DC) nadbytečný, přinášející zbytečné komplikace.

Jak jsem psal, mnoho firem zjistí, že potřebují LDAP a tak nasazují AD. LDAP je prakticky nutné nasadit, pokud se používá větší množství nezávislých systémů a tak v každém systémů vzniká další a další seznam uživatelů, jejich hesel a oprávnění. To všechno se pak musí spravovat, dochází k redundancím a z toho plynoucím chybám a uživatelé mají spousty loginů a hesel. To umí LDAP sjednotit - jeden seznam, jedno heslo, jednou uvedená příslušnost do skupiny. Zaměstnanec přichází, odchází - pracujeme s jedním seznamem. Neznamená to ale potřebu vytvářet AD.

AD je LDAP + DC. LDAP je užitečné. DC ne vždy. Navíc DC přináší velké množství komplikací, které se snaží překrýt "výhodami", které přináší. Tyto "výhody" jsou ale vesměs jen řešení problémů, které vznikají když nasazujeme DC. Když DC nenasazujeme, tyto problémy nevzniknou. Řeč je hlavně o group policy. Dovoluji si říct, že se bez ní dá velmi dobře obejít - pak záleží jak moc bizardně máme navržené všechny možné SW a file servery ve firmě. Pokud jsme to navrhli dobře (jeden file server, SW nevyžadující akci správce počítače k aktualizaci), tak jednou počítač nastavíme a funguje.

Jak by tedy mohl vypadat klientský počítač bez DC? Není v doméně, máme zde lokální administrátorský účet (s heslem známým jen správcům), účet uživatele, který počítač používá (uživatel si účet zahesluje), na file server se dostane pod svým LDAP-účtem (na počítači s jedním uživatelem mu toto heslo můžeme uložit a přístup k datům, které vidí na file serveru si uživatel hlídá svým na svou zodpovědnost heslem do windows), do ostatního softu taktéž. To je vše.

Bez AD pak mají servery a tiskárny své pevné IP (což mi přijde dobrý nápad tak jako tak; definovány buď staticky nebo třeba na routeru, který obstarává DHCP), v místním DNSku (na routeru) jim případně můžeme (ručně) přiřadit jméno. Uživatelské stanice jsou uživatelské stanice, ne servery, takže nepotřebujeme řešit, že DNS nezná od DHCP jejich IP, atp. - prostě nikdo na uživatelské stanice nepřistupuje. U jiných zařízení, u kterých je vhodné mít buď pevnou IP nebo jejich pojmenování pak myslím davají smysl jiné VLANy a řešit to odděleně (kamery, čtečky, Voipy, odkapávače,...). Integrace DNS a DHCP v AD podle jen něco navíc pro bizardní setupy.

Na závěr dodám, že problém, který měla má firma před sebou se nakonec řeší pomocí AD (jedna windows doména; Samba4; bez DHCP). A to proto, že jsme dokázali sehnat člověka s velkými zkušenostmi s AD (správce na univerzitě), který nám s přislíbil s mnoha důležitými věcmi pomoct. Ale i tak, taková hromada předem nedefinovatelných problémů, co jsme museli a musíme řešit (především teď při procesu přecházení; a to jsou problémy, které ani zkušený AD harcovník nezná) a vidina všech těch problémů, které nepominou, ale budou s námi stále (a každé další dislokované pracoviště zase hromadu problémů přinese), z toho všeho si říkám, že jsem se nechal ukecat...

pt

Re:Lze se vyhnout Active Directory DC?
« Odpověď #40 kdy: 22. 07. 2016, 00:44:09 »

U DHCP treba muze zalezet, pro koho bude vyuzivano:

 Q2 – If I have guests that come into my office an temporarily use a
 Windows DHCP server to grab an IP
 address to access the Internet, do they need CALs? I guess the takeaway is
 to never use a Windows DHCP server?
 
 A2 – Yes, they are using a Windows Server service and would need a CAL.

 https://blogs.technet.microsoft.com/volume-licensing/2014/03/10/licensing-how-to-when-do-i-need-a-client-access-license-cal/

MP

Re:Lze se vyhnout Active Directory DC?
« Odpověď #41 kdy: 22. 07. 2016, 08:55:55 »
Chtěl bych sem zareagovat ještě s odstupem času.

Na hlavní otázku bych tady pro budoucí generace si dovolil zanechat odpověď: I při větším množství počítačů ve firmě není nutné zavádět Active Directory.


AD je LDAP + DC. LDAP je užitečné. DC ne vždy. Navíc DC přináší velké množství komplikací, které se snaží překrýt "výhodami", které přináší. Tyto "výhody" jsou ale vesměs jen řešení problémů, které vznikají když nasazujeme DC. Když DC nenasazujeme, tyto problémy nevzniknou. Řeč je hlavně o group policy. Dovoluji si říct, že se bez ní dá velmi dobře obejít - pak záleží jak moc bizardně máme navržené všechny možné SW a file servery ve firmě. Pokud jsme to navrhli dobře (jeden file server, SW nevyžadující akci správce počítače k aktualizaci), tak jednou počítač nastavíme a funguje.

Jak by tedy mohl vypadat klientský počítač bez DC? Není v doméně, máme zde lokální administrátorský účet (s heslem známým jen správcům), účet uživatele, který počítač používá (uživatel si účet zahesluje), na file server se dostane pod svým LDAP-účtem (na počítači s jedním uživatelem mu toto heslo můžeme uložit a přístup k datům, které vidí na file serveru si uživatel hlídá svým na svou zodpovědnost heslem do windows), do ostatního softu taktéž. To je vše.

Prave ze GPO je to, co je hlavni vyhoda DC a neexistence obdobneho na platforme Linuxu zpusoboval problem s nasazenim desktopovych Linuxu. Vy tady porovnavate situaci se statickym nastavenim, jenze doba, kdy neco takoveho bylo na X let, je minulosti. To jako na vse se budou pouzivat login scripty a modifikace registru pres skripty? A jak treba zajistite aktualizaci nastaveni ve chvili, kdy stanice neni pripojena k siti ve chvili prihlaseni? Budeme snad kvuli tomu nastavovat scheduler pro login skript? Atd. atd. atd...

Hever

Re:Lze se vyhnout Active Directory DC?
« Odpověď #42 kdy: 22. 07. 2016, 09:57:10 »
Prave ze GPO je to, co je hlavni vyhoda DC
To slýchávám často, pak na to dávám otázku - v jakých konkrétních scénářích mi může být GPO užitečné? Obvykle jsem se dozvěděl, že k nastavení nějakých bizardních pseudobezpečnostních nastavení (když nepříčetný management firmy požaduje podivné věci) nebo k eliminaci různých následků spojených s nasazením AD. Potom může být užitečný k přejmenování počítače a nastavení písmenka jednotky k file serveru. Nic, bez čeho bych se neobešel, vše se dá nastavit při uvedení stroje do provozu. Při změně uživatele (zaměstnanec končí, počítač dostává jiný) stroj stejně prochází rukama správce, takže ta nutnost dělat to vzdáleně myslím není. Ale zajímá mě to, k čemu užitečnému se dá GPO využít?

Vy tady porovnavate situaci se statickym nastavenim, jenze doba, kdy neco takoveho bylo na X let, je minulosti.
Spravujete nějaké menší sítě nebo velké akademické? Jakou síť máte namysli, když píšete, že "statické" nastavení sítě už není dnešní..?

To jako na vse se budou pouzivat login scripty a modifikace registru pres skripty?
Co je na tom? Raději mám skripty než 40 screenshotů a popiskem kam dál kliknout.

A jak treba zajistite aktualizaci nastaveni ve chvili, kdy stanice neni pripojena k siti ve chvili prihlaseni?
A jak mi v tom pomůže AD, když počítače jsou prostě mimo síť?

Jinak aktualizace na klientovi by buď neměly být potřeba (používáme webové aplikace, nebo binární soubory jsou file serveru) nebo by se o to měl postarat samotný program (zkontroluje si dostupnou aktualizaci a případně ji spustí).

xxx

Re:Lze se vyhnout Active Directory DC?
« Odpověď #43 kdy: 22. 07. 2016, 10:18:38 »
Drobna fakticka. IT je podpora pre dalsie organizacne zlozky. Darmo mas ty pocit, ze si ty nieco super nakonfiguroval, ked hadzes druhym ludom pri ich praci polena pod nohy. Vid prihlasovanie a odhlasovanie na fileserver. Na co vymyslas koleso, ked presne na to, aby si takymi hovadinami nemusel otravovat pouzivatelov, vzniklo prihlasovanie do domeny. Vendor lockin? Aky pop.ci problem firmy tym vyriesis a ako MS AD ohrozuje nejaku biznis kontinuitu. Kludne si zvol ine riesenie, ktore ti sedi, ale toto je naozaj slaba uvaha. Co tyka CAL-ov, neonanuj nad tym, proste to vycisli a spytaj sa nadriadeneho, ci je to OK s jeho rozpoctom a ci to ma vobec zmysel riesit.

dustin

Re:Lze se vyhnout Active Directory DC?
« Odpověď #44 kdy: 22. 07. 2016, 10:35:18 »
Uživatelské stanice jsou uživatelské stanice, ne servery, takže nepotřebujeme řešit, že DNS nezná od DHCP jejich IP, atp. - prostě nikdo na uživatelské stanice nepřistupuje.

Vadilo by mi, kdybych neznal IP adresy počítačů v síti a nemohl na ně vzdáleně přistupovat. Jak bys řešil vzdálenou podporu, centrální zálohování? I v naší minisíti se správce občas potřebuje přihlásit na stroj uživatele (samozřejmě linuxový).