Zdravím,
rád bych s vámi probral možnosti doménového řadiče na vzdáleném pracovišti.
U jednoho zákazníka mám v centrále doménový řadič AD (Centos 7, Sernet Samba 4.10), sloužící i jako fileserver. Organizace má detašované pracoviště, kde je samostatná doména s cca 15 PC ve stejné konstelaci (Centos 7, Sernet Samba 4.10).
Obě sítě jsou propojené VPN, na centrála má připojení 40/40Mbs (garantovaná linka s SLA), vzdálené pracoviště 100/100Mbs (negarantovaná linka bez SLA, ale dlouhodobě stabilní)
Počítače ve vzdáleném pracovišti potřebují přístupovat k souborům v centrále, takže mají vytvořený duplicitní účet v druhé doméně (se stejným heslem). Jak uznáte, není to z hlediska bezpečnosti a správy to pravé ořechové.
Do vzdáleného pracoviště jsem pořídil nový server a rád bych to udělal nějak lépe, ale nejsem si jistý jakou cestou se udat.
Jako první mě napadlo, že bych nastavil druhý řadič (hlavní) domény. V DHCP bych vždy dle pracoviště přiděloval DNS toho bližšího serveru. Nejsem si jistý jestli lze někde nastavit, ze kterého řadiče by se mi aplikovaly GPO (jednou se example.com přeloží na místní, podruhé na vzdálený server). LDAP by se replikoval automaticky, GPO bych replikoval úlohou v cronu (jednocestně z centály). Nevím jestli je to ale dobrý nápad v případě propojení VPN, kde na druhé straně nemám garantovanou stabilitu linky.
Druhý nápad byl, že by dvě domény byly samostatné a nějakým způsobem by se mezi nimi nastavila důvěryhodnost. O tomto toho ještě zatím moc nevím.
V organizaci jsou i notebooky, které cestují mezi pracovištěmi.
Děkuji za komentáře a nakopnutí jakým směrem se začít udávat.