Назад | Перейти на главную страницу

Домен Windows через VPN?

Немного заблудился здесь ...

У нас есть небольшой офис с контроллером домена Windows 2003 AD. Собираетесь открыть второй небольшой (удаленный) офис и хотели бы, чтобы они оба использовали один и тот же домен. Они находятся через Интернет друг от друга, но время от времени может быть создано VPN-соединение.

Моя первая мысль - настроить второй офис в отдельной подсети. Я планировал продублировать PDC в новый офис, но каким-то образом понизил его до резервного контроллера домена, который будет периодически подключаться к PDC через VPN (изменения домена случаются довольно редко).

Это просто катастрофа, ожидающая своего часа? Есть ли способ лучше? Я пробовал погуглить, но не совсем уверен, как назвать этот беспорядок, который я создаю :)

Спасибо за любые предложения.

Я бы посоветовал установить VPN между двумя офисами с использованием VPN-маршрутизаторов, если сможете. Вы не говорите, какую версию Windows используете, но существуют различные варианты контроллеров домена в зависимости от версии. Например, Win 2008 разрешит использование контроллера домена только для чтения. PDC и BDC не используются в более поздних версиях Windows

Как отмечали другие, для установления связи существует множество устройств VPN. Маршрутизатор, который у вас есть на основном сайте, может иметь эту функцию. Мы используем Cisco серии 800 на дополнительных площадках и Cisco 1800 в главном офисе. Есть подразделения Cisco Small Business VPN, которые работают хорошо. Мы использовали их для клинетов, и они надежны. Поставьте их на хороший ИБП

Вам также необходимо посмотреть, что будет обрабатывать DNS, DHCP и т. Д. На втором сайте и что произойдет, если ссылка по какой-либо причине не работает.

Если у вас есть контроллер домена на каждом сайте, DNS будет работать, если VPN выйдет из строя. Это работает для нас

На удаленном сайте локальный сервер будет первичным DNS и сделает главный сайт вторичным. Вы также можете сделать удаленный сайт вторичным DNS на основном сайте.

  1. Установите сервер на втором сайте, но пока не делайте его членом домена (тем более контроллером домена). Используйте диапазон IP-адресов сети, отличный от другого вашего офиса.

  2. Настройте «Маршрутизацию и удаленный доступ» на обоих концах внутри окон, сделайте старый сайт VPN-сервером.

  3. Используйте RRAS для создания VPN-подключения по требованию от нового сайта к старому. Настройте автоматическое переподключение при падении.

  4. Создайте второй «сайт» в активном каталоге для нового офиса с соответствующей подсетью.

  5. Запустите VPN-соединение.

  6. Установите настройки DNS-клиента на новом сервере так, чтобы они указывали на DNS-серверы в старой офисной сети (через VPN)

  7. Присоедините новый сервер к домену через VPN-соединение

  8. установить службы DNS на новый сервер, но пока не настраивать.

  9. Запустите DCPROMO, чтобы преобразовать новый сервер в контроллер домена через VPN.

  10. Предполагая, что DNS-сервер интегрирован в AD, все, что вам нужно сделать, это изменить настройки DNS-клиента новых серверов так, чтобы он указывал на себя как на основной, а старый сайт как на дополнительный для DNS.

  11. Сделайте ссылку на старый сайт на контроллер домена нового сайта вторичным для DNS.

У нас аналогичная установка. Главный офис с одним доменом и удаленный офис с одним доменом. У нас есть SonicWall NSA 3500 на каждом сайте, который имеет «всегда активный» VPN-туннель между сайтами. Удаленный офис находится в собственной подсети, и Sonicwalls обрабатывают маршрутизацию между двумя подсетями. Работает как шарм. Существует множество маршрутизаторов с возможностями VPN типа "сеть-сеть". SonicWalls отлично зарекомендовали себя (на самом деле у нас есть третье удаленное место, в котором есть туннели между двумя другими местами, поэтому у нас работает виртуальная частная сеть triforce).