Doménový řadič na vzdáleném pracovišti (Samba)

Luk

Doménový řadič na vzdáleném pracovišti (Samba)
« kdy: 19. 08. 2019, 11:50:12 »
Zdravím,

rád bych s vámi probral možnosti doménového řadiče na vzdáleném pracovišti.

U jednoho zákazníka mám v centrále doménový řadič AD (Centos 7, Sernet Samba 4.10), sloužící i jako fileserver. Organizace má detašované pracoviště, kde je samostatná doména s cca 15 PC ve stejné konstelaci (Centos 7, Sernet Samba 4.10).
Obě sítě jsou propojené VPN, na centrála má připojení 40/40Mbs (garantovaná linka s SLA), vzdálené pracoviště 100/100Mbs (negarantovaná linka bez SLA, ale dlouhodobě stabilní)

Počítače ve vzdáleném pracovišti potřebují přístupovat k souborům v centrále, takže mají vytvořený duplicitní účet v druhé doméně (se stejným heslem). Jak uznáte, není to z hlediska bezpečnosti a správy to pravé ořechové.

Do vzdáleného pracoviště jsem pořídil nový server a rád bych to udělal nějak lépe, ale nejsem si jistý jakou cestou se udat.

Jako první mě napadlo, že bych nastavil druhý řadič (hlavní) domény. V DHCP bych vždy dle pracoviště přiděloval DNS toho bližšího serveru. Nejsem si jistý jestli lze někde nastavit, ze kterého řadiče by se mi aplikovaly GPO (jednou se example.com přeloží na místní, podruhé na vzdálený server). LDAP by se replikoval automaticky, GPO bych replikoval úlohou v cronu (jednocestně z centály). Nevím jestli je to ale dobrý nápad v případě propojení VPN, kde na druhé straně nemám garantovanou stabilitu linky.

Druhý nápad byl, že by dvě domény byly samostatné a nějakým způsobem by se mezi nimi nastavila důvěryhodnost. O tomto toho ještě zatím moc nevím.

V organizaci jsou i notebooky, které cestují mezi pracovištěmi.


Děkuji za komentáře a nakopnutí jakým směrem se začít udávat.


Re:Doménový řadič na vzdáleném pracovišti (Samba)
« Odpověď #1 kdy: 19. 08. 2019, 12:06:03 »
To, ze nemate garantovanou linku znamena v pripade vpn pro domenove radice akorat to, ze v detasovanem pracovisti by pri vypadku linky nebylo mozne delat zmeny na urovni AD - ty lze delat jen tam, kde jsou FSMO role.

Ja bych tam dal proste ten druhy radic jako soucast hlavni domeny AD, zvlast, pokud to jeste redundantni nemate. V pripade vypadku linky proste budou klienti komunikovat jen s tim sekundarem (gpo, dhcp, dns apod bude fungovat dale), akorat nebudou mozne veci jako zmena hesla atd. a sekundar nebude syncnuty s primarem po nejakou dobu.

robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:Doménový řadič na vzdáleném pracovišti (Samba)
« Odpověď #2 kdy: 19. 08. 2019, 13:25:06 »
Ja bych tam dal proste ten druhy radic jako soucast hlavni domeny AD, zvlast, pokud to jeste redundantni nemate. V pripade vypadku linky proste budou klienti komunikovat jen s tim sekundarem (gpo, dhcp, dns apod bude fungovat dale), akorat nebudou mozne veci jako zmena hesla atd. a sekundar nebude syncnuty s primarem po nejakou dobu.
Souhlas, mělo by to fungovat bez problémů...
Lze nakonfigurovat i Domain trust (uživatelé z domény B se můžou např. ověřit k sambě domény A), ale preferoval bych první variantu - budete mít zálohu AD (pokud DC s FSMO padne, tak převedete FSMO role na druhý DC).

Luk

Re:Doménový řadič na vzdáleném pracovišti (Samba)
« Odpověď #3 kdy: 19. 08. 2019, 14:04:19 »
Děkuji za odpovědi, druhý řadič bude skutečně lepší.

Ještě trochu odbočím, s více řadiči nemám moc zkušeností. Oba řadiče budou virtuální na XCP-NG. Vždy, když dělám upgrady, tak VM vypnu, udělám snapshot a pak si teprve hraju. Nejsou zde pak nějaké věci, na které bych si měl dát pozor? Když se třeba budu muset z nějakého důvodu vrátit k předchozímu stavu jednoho z řadičů, jak si s tím poradí ten druhý, když už byl zvyklý, že je tam jiná verze? Předpokládám, že vždy musím jako první updatovat server s FSMO (primární). Kdysi jsem slyšel o problémech s rozpadnutými časovými razítky.

Re:Doménový řadič na vzdáleném pracovišti (Samba)
« Odpověď #4 kdy: 19. 08. 2019, 14:48:39 »
Na vraceni se k predchazejici verzi radice muzete rovnou zapomenout - takhle AD fakt nefunguje a navic, podpora pro to je az nekde u W2016 ci 2019 a to samba neda. Jedine, kdy se to da u samby pouzit, je tak, ze se vypnou vsechny radice krome toho s FSMO, ten po odzalohovani a experimentech lze vratit k stavu v zaloze, aniz by se ty experimenty nejak projevily na ostatnich radicich.