Здравствуйте.

Работаю в группе компаний с несколькими филиалами, но и логически и по бухгалтерии это разные организации.

Сетевая структура всех компаний такова: несколько каналов от провайдеров, шлюз под UbuntuServer, свитчи в которые подключены все стевые клиетны.
В головной организации порядка 60 машин, 20 iPad (сидящих через wi-fi), ноутбуки, IP телефоны пользователей мобильные телефоны пользователей.

Все филиалы связаны full-mesh VPN сетью и трафик ходит во все стороны свободно (сети 192.168.(0-6).0/24).

Хочу поднять контроллер домена, вот какие цели преследую:
- разграничение политик доступа пользователей на локальных компьютерах
- единая система авторизации для всех сервисов (одна учётная записть на всё):
авторизация на ПК,
авторизация в корпоративной почте (IMAP dovecot), +адресные книги всех сотрудников ГК
авторизация в 1С,
авторизация на Jabber-сервере, +списки пользователей сотрудников ГК
авторизация на прокси-сервере (squid)
авторизация в системе IP телефонии (Asterisk) +адресные телефонные всех сотрудников ГК
авторизация при доступе к wi-fi (+ организация гостевого доступа)
авторизация на терминальных серверах

А вопросы возникают вот какие:
У всех компаний есть свои сайты: maincompany.ru, secondcompany.ru и т.д. Во многих мануалах, которые я встречал в интернете указаны примеры типа maincompany.local. Стоит ли поднимать домен с таким именем или сделать его с существующим именем maincompany.ru?
Если я сделаю домены в разных компаниях не принадлежащими одному дереву, можно ли каким-то образом связать и, к примеру, группе пользователей одного домена дать права на доступ к терминальному серверу работающему в другом домене?
Возможно ли в свойства пользователя добавить какие-то свои поля, которые потом получать по LDAP? Например номер магнитного ключа используемого для входа в офис.
Какое железо лучше взять для контроллера домена на 100 пользователей? Стоит ли использовать виртуальные машины? Какая нагрузка на сеть будет?

Tonny_Bennet, в чём вопрос?
авторизация на проксе (squid) »
читать (http://exonix.ru/#!Статьи.Прокси_сервер_Squid_и_Active_Directory.AD_2008_R2_(2012)_-_Kerberos_-_Squid_3'1)
авторизация в системе IP телефонии (Asterisk) »
читать (http://habrahabr.ru/post/125359/)
авторизация на Jabber-сервере, »
читать (http://habrahabr.ru/post/137124/)
авторизация в 1С, »
включается в 1С
авторизация в почте (IMAP dovecot), »
читать (http://wiki.dovecot.org/HowTo/ActiveDirectoryNtlm)

exo, спасибо за статьи. Я сам бы немного позже нашёл наверное, но всё равно спасибо :). При создании темы случайно нажал на Tab, а затем на Enter. Тема создалась и мне пришлось её редактировать. Так что большая часть интересующей меня информации появилась позже.

которые я встречал в интернете указаны примеры типа maincompany.local. Стоит ли поднимать домен с таким именем или сделать его с существующим именем maincompany.ru? »
я рекомендую "название_ассоциирующиеся_с_компанией.internal". Домен в интернете и домен AD могут быть не связанными.
Если я сделаю домены в разных компаниях не принадлежащими одному дереву, можно ли каким-то образом связать и, к примеру, группе пользователей одного домена дать права на доступ к терминальному серверу работающему в другом домене? »
доверительные отношения между доменами (http://exonix.ru/#!Статьи.Windows_Server_Services.Active_Directory.Доверительные_отношения_между_2008_R2_и_2012). Ну и собственно, управление доступом через членство в группах.
Возможно ли в свойства пользователя добавить какие-то свои поля, которые потом получать по LDAP? Например номер магнитного ключа используемого для входа в офис. »
скорее всего через атрибуты.
Какое железо лучше взять для контроллера домена на 100 пользователей? Стоит ли использовать виртуальные машины? Какая нагрузка на сеть будет? »
пару серверов базового уровня. Использование виртуальных КД поддерживается. Нагрузка на контроллер домена не очень большая. Я бы сказал никакая, по сравнению с нагрузкой на файловые сервера.
Сколько пользователей в филиалах?

Домен в интернете и домен AD могут быть не связанными. »
У меня сейчас в компаниях почтовые адреса имеют такой формат: n.sername@maincompany.ru. Серверы и некоторые железки во внутренней зоне просмотра BIND9 имеют названия server1.maincompany.ru. И вот чтобы не менять структуру да и логику работы думал сделать реальное имя.
Почему так делать не стоит? или наоборот стоит?

пару серверов базового уровня. Использование виртуальных КД поддерживается. Нагрузка на контроллер домена не очень большая. Я бы сказал никакая, по сравнению с нагрузкой на файловые сервера. »
У меня в головной организации есть сервер (2Х E5410, 16GB, RAID10 500GB), на котором сейчас крутится служба сервера 1С предприятия (сервер с БД - отдельная машина). Я думал поставить на него гипервизор и развернуть две виртуалки: сервер 1С и контроллер домена. Стоит ли?

Сколько пользователей в филиалах? »
В первом около 30, еще в двух по 20.

Там предполагал сделать похожую архитектуру и поднять контроллер домена на виртуальной машине.

есть сервер (2Х E5410, 16GB, RAID10 500GB), на котором сейчас крутится служба сервера 1С предприятия (сервер с БД - отдельная машина). Я думал поставить на него гипервизор и развернуть две виртуалки: сервер 1С и контроллер домена. Стоит ли? »
вполне. но лучше если один из контроллеров домена будет отдельной железкой.
В первом около 30, еще в двух по 20. »
там есть свои админы? там можно установить RODC.
У меня сейчас в компаниях почтовые адреса имеют такой формат ....... Почему так делать не стоит? или наоборот стоит?»
Почтовые домены также могут быть не связанны с доменом AD. А вот связь с интернет доменом - обязательна.
2008 R2 Полное руководство (http://exonix.ru/#!Электронные_книги). Со стр. 191:
http://fs.exonix.ru/2008/AD_name.png
Или удобство или безопасность.

там есть свои админы? там можно установить RODC. »
Админ, а точнее IT специалист, есть только в одном офисе и давать ему какие-либо права на AD я не планировал. Обслуживанием офиса будет занимается один человек, обслуживанием серверов занимаюсь я.

Прочитав про RODС я не увидел преимуществ в предполагаемой мной архитектуре. Пусть будет четыре равноправных DC и между ними будут доверительные отношения.

Почтовые домены также могут быть не связанны с доменом AD. А вот связь с интернет доменом - обязательна.
2008 R2 Полное руководство. Со стр. 191:
читать дальше »
Или удобство или безопасность. »

Предположим я выбираю доменное имя, зарегистрированное в интернете и у меня компьютеры и серверы будут иметь имена типа: buhgalter.maincompany.ru, server1.maincompany.ru и т.д. У меня сейчас есть DNS сервер BIND9, который обслуживает зону maincompany.ru и отдаёт адреса записей в интернет или в локальную сеть. В зависимости от того откуда пришёл запрос я отдаю локальный или внешний адрес. Теперь получается за ответы в локальную сеть будет отвечать DC и он будет мастером, а свой BIND9 я могу сделать слейвом. У клиентов можно будет в настройках оставить только адрес BIND9 и при необходимости он будет стучаться на DC. Т.о. запрос из внешней сети дальше BIND9 не пройдёт, а запрос из локальной сети я перенаправлю на DC.

Или может как-то иначе сделать в этом случае?

Прочитав про RODС я не увидел преимуществ в предполагаемой мной архитектуре. »
безопасность в филиалах.
Пусть будет четыре равноправных DC и между ними будут доверительные отношения. »
в одном домене они и так есть. Сети нужно только VPN объединить.
В зависимости от того откуда пришёл запрос я отдаю локальный или внешний адрес. »
пользователь отправил запрос http://maincompany.ru - что вернёт ему ДНС ? любой, на важно BIND или Windows.

Прочитав про RODС я не увидел преимуществ в предполагаемой мной архитектуре. »
безопасность в филиалах. »


Несомненным удобством является то что по умолчанию учетные данные пользователей из групп Domain Admins, Enterprise Admins и Schema Admins исключены из процесса репликации в RODC. При необходимости требования доступа для записи в Active Directory, RODC отправляет ответ по протоколу LDAP, который автоматически перенаправляет запрос на “нормальный” контроллер домена.

Источник (http://blog.wadmin.ru/2012/05/rodc/)

Плюсов и минусов поровну как мне кажется... нужно подумать...

Пусть будет четыре равноправных DC и между ними будут доверительные отношения. »
в одном домене они и так есть. Сети нужно только VPN объединить. »

Я предполагаю в каждой компании делать свой домен: maincompany.ru, secondcompany.ru, thirdcompany.ru, fourthcompany.ru. И они не будут деревьями одного леса. Сети уже объединены по VPN.

пользователь отправил запрос http://maincompany.ru - что вернёт ему ДНС ? любой, на важно BIND или Windows. »
Сейчас, как и задумано, вернёт IP адрес нашего интернет-магазина. Но если отправить запрос mail.maincompany.ru из внутренней сети он вернёт локальный адрес почтового сервера, если отправить запрос из интернета то вернёт внешний адрес почтового сервера. Также внутри сети сейчас пользователи подключаются к терминальном серверам по именам компьютеров 1c.maincompany.ru или 1c.secondcompany.ru.

Плюсов и минусов поровну как мне кажется... нужно подумать... »
а в чём минус то я не пойму?
Я предполагаю в каждой компании делать свой домен: »
ну тогда RODC и не нужны там. есть вариант - в центральном офисе главный домен, в филиалах - дочерние домены.
Сейчас, как и задумано, вернёт IP адрес нашего интернет-магазина. »
а теперь вспомните, куда обращается пользователь, когда хочет загрузить доменные политики?

Сейчас, как и задумано, вернёт IP адрес нашего интернет-магазина. »
точно? =)
думаю что он ему вернёт список DNS серверов отвечающих за зону maincompany.ru
проверьте nslookup'ом.
а вот если ввести http://www.maincompany.ru и будет соот-щая запись А на ваших DNS'ах, то ему отдадут нужный адрес в интернете.

смысл огорода с дочерними доменами, мне лично, не ясен.
схема с сайтами более катастрофо-устойчивая, потому что умерший КД удалить проще, чем весь дочерний домен.

точно?
думаю что он ему вернёт список DNS серверов отвечающих за зону maincompany.ru »
я так понял, что BIND и есть ответственный за зону maincompany.ru.
А вот что будет, когда Tonny_Bennet настроит домен - ему предстоит узнать )
смысл огорода с дочерними доменами, мне лично, не ясен. »
это просто приведено в пример как вариант, какие схемы бывают.

А вот что будет, когда Tonny_Bennet настроит домен - ему предстоит узнать ) »
ничего не будет, нет записи A, ну а скрещивать AD + bind - удовольствие ниже среднего, хотя это допустимая конфигурация.

это просто приведено в пример как вариант, какие схемы бывают. »
тогда нужно ещё осветить вариант разных лесов и доверия меджу ними, ведь утопий мало не бывает ;)

ничего не будет, нет записи A »
запись А конечно же в домене есть. и будут они указывать на контроллеры домена.
а так, как бразуеры, к сожалению, всё ещё не поддерживают SRV для 80 порта, то развести запросы по http и smb на maincompany.ru не получится.
Хотя с IE 11 не тестировал пока...

запись А конечно же в домене есть. и будут они указывать на контроллеры домена. »
я имела ввиду A=www

я имела ввиду A=www »
тогда понял. согласен.
я имел виду, что пользователю не нужно запоминать, что веб сайт нужно обязательно с www набирать.

Сейчас, как и задумано, вернёт IP адрес нашего интернет-магазина. »
а теперь вспомните, куда обращается пользователь, когда хочет загрузить доменные политики? »

Обращается он, как я понимаю, к контроллеру домена, который должен располагаться по адресу maincompany.ru. Если так, то подойдут только зоны типа .local или .internal.

А может он обращается к компьютеру с именем типа dc.maincompany.ru? Тогда моя схема вполне реализуема.

точно?
думаю что он ему вернёт список DNS серверов отвечающих за зону maincompany.ru
проверьте nslookup'ом. »

~$ nslookup ya.ru
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: ya.ru
Address: 213.180.204.3
Name: ya.ru
Address: 77.88.21.3
Name: ya.ru
Address: 87.250.250.3
Name: ya.ru
Address: 87.250.250.203
Name: ya.ru
Address: 87.250.251.3
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
Address: 93.158.134.203
Name: ya.ru
Address: 213.180.193.3




~$ nslookup www.ya.ru
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
www.ya.ru canonical name = ya.ru.
Name: ya.ru
Address: 213.180.193.3
Name: ya.ru
Address: 213.180.204.3
Name: ya.ru
Address: 77.88.21.3
Name: ya.ru
Address: 87.250.250.3
Name: ya.ru
Address: 87.250.250.203
Name: ya.ru
Address: 87.250.251.3
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
Address: 93.158.134.203



Я не вижу разницы, за исключением того, что мне сообщили о CNAME записи.

ничего не будет, нет записи A, ну а скрещивать AD + bind - удовольствие ниже среднего, хотя это допустимая конфигурация. »
У зоны несколько записей (ns,a,mx,cname). Сейчас за зону отвечает мой BIND и отдаёт её во внешний мир и в локалку. По идее это две разные зоны (bind view) - на адреса 192.168.0.0/24 отдаётся одна зона, всем остальным другая. И мне показалось, что если за зону maincompany.ru внутри сети будет отвечать DC, а BIND будет выступать в качестве slave сервера, то все пользователи могут просто стучаться на BIND и получать от него правильные ответы. Также можно и с обратной зоной для локальных адресов поступить.

Если так, то подойдут только зоны типа .local или .internal.
А может он обращается к компьютеру с именем типа dc.maincompany.ru? »
в разных случаях по разному. но политики грузятся с \\maincompany.ru\SYSVOL\ и т.д.
nslookup ya.ru
nslookup www.ya.ru »
имелось ввиду nslookup maincompany.ru
а BIND будет выступать в качестве slave сервера, то все пользователи могут просто стучаться на BIND и получать от него правильные ответы »
пользователь стучится из внутренней сети, и его перенаправляет на "внутреннюю зону" slave. И там будет две записи:
same as parent folder А 192.168.0.X - адрес контроллера домена
WWW A реальный.адрес.вашего.сайта
Но смысл, если всё тоже самое делает Windows DNS ?

Я так понимаю, чтобы было понятнее потребуется поставить на несколько виртуалок несколько DC и тестировать... а там уже по ходу дела если будут вопросы - задам.

Всем спасибо за ответы. Пошёл поднимать гипервизор :).

несколько виртуалок несколько DC и тестировать... »
:up