Домен с территориально разнесенной инфраструктурой

[mrrc]

В продолжении ранее затронутой темы в одном из топиков по реализации домена с территориально разнесенной инфраструктурой, когда пользователи могли бы мигрировать между офисами и использовать свои доменные учетные записи для авторизации на АРМах, поступило предложение вынести этот вопрос в отдельную одноименную тему на случай, если кому-то обсуждение окажется полезным и будет что дополнить.

Будем считать для порядка и для практики (на практике так скорее всего и будет), что хотя бы в одном из офисов DC работает на базе Synology\Xpenology в виде развернутой на ней виртуальной среде или в виде приложения Synology Directory Server.

 

Сценарий из практики.

Имелся "главный офис" с работающим RWDC (Read Write Domain Controller), инфраструктура разрастается, сформировался территориально удаленное производство, временный канал связи между ними поднят, и туда постепенно перебираются "АРМ-ы" из главного офиса, ранее уже включенные в домен (работоспособность по месту имеется, первичный ДНС основного DC им доступен на АРМах, доменные учетки работают, хоть там пока и слабоватый канал связи между офисами) и ставятся новые пока без вхождения в домен. Пользователи периодически могут мигрировать между офисами.

Нужно принимать решение, как действовать в части поддержания доменной инфраструктуры на обеих площадках или отказа от нее в удаленной агломерации. Для отказоустойчивости среды передачи данных по имеющейся апробированной практике поднимается RODC (Read Only Domain Controller) в удаленном офисе для обслуживания тамошних пользователей как дополнение к основному.

 

В общем уважаемому @XPEH возможно будет чем поделиться по существу и мне сейчас этот сценарий интересен, если появятся практические затыки в реализации.

 

Edited February 4 by mrrc

[XPEH]

В первом приближении система выглядит так:

В головном офисе на NAS1 стоит Synology Directory Server в роли RWDC. К нему также прилагается DNS1 сервер на той-же машине. Фаервол/роутер являющийся также DHCP сервером указывает NAS1 адрес как первый DNS сервер.

Во втором офисе, подключеном к первому по VPN (Site to Site) на втором NAS2 развернут Synology Directory Server в роли RODC и DNS2 server. DHCP выдает адрес второго сервера как первый DNS и адрес RWDC как второй DNS.

Администрирование напрямую с NAS или с Windows машины с установленым пакетом администрирования домена.

Все достаточно просто, бесплатно и все функции домена для небольшой сети имеются, включая GPO.

 

[mrrc]

Ну вот видите сколь полезный и немассовый по примененному решению положительный опыт.

А разворачивание схемы DC под Windows в роли RWDC и сопряжение с Synology Directory Server в роли RODC (быть может, наоборот) возможно у кого-то имелся? В части подводных камней и нюансов настройки.

Edited February 4 by mrrc

[mrrc]

В 04.02.2024 в 10:45, XPEH сказал:

В первом приближении система выглядит так

Создал для тестирования сценарий пока в едином сетевом сегменте, правда в качестве контроллера основного домена (RWDC) выступает станция с 2012R2 с DNS, в дополнение к ней поднят Synology Directory Server в роли RODC и DNS сервером.

В общем и целом схема понятна, развернута и частично работает, учетки пользователей синхронизируются между RWDC и RODC, за исключением главного.

Пользователи и их пароли не реплицируются на RODC, когда прописываем их в группе с запрещением\разрешением репликации паролей RODC как разрешенные. Ни при первичной авторизации, ни при ручном добавлении через оснастку расширенных политик репликаций паролей на RWDC. Результурующая политика также отрабатывается правильно по учетке разрешенного на предыдущем шаге пользователя. Бьюсь и не могу понять, где моя ошибка.

 

Соответственно если "ложится" основной контроллер домена с 2012R2, то у win-клиент с доменной учеткой утрачивает доступ к хранилкам, подключенным к домену, в т.ч. и на которой развернут сам RODC. ДНС при этом работает, доменные хосты резолвятся и серверы пересылки отрабатывают внешний мир, но т.к. сохраненных пользовательских учеток и их хешей паролей на RODC в одноименном разделе оснастки "Учетные записи, пароли которых хранятся на данном контроллере домена только для чтения" (там появились только комп с win-клиентом, сам RODC, krbtgt_12726 пользователь и дополнительная хранилка, включенная в домен) нет, но обращение висит или сразу вываливается с ошибкой. У клиента в качестве основного DNS первым идет RODC (можно и RWDC, не суть). После "оживления" основного контроллера все приходит в норму.