Распределенные сети, один или два домена? (дочерние поддомены)

[banberry]

Прошу совета у тех, кто имеет опыт работы с географически распределенными сетями. Что лучше, работать в одном домене или обязательно делать в удаленных офисах дочерние поддомены?

Дело в том, что народ постоянно тусуется между офисами в Москве, Магадане и Чукотке и раньше приходилось каждый раз менять настройки. Компания небольшая, использовали IP-switcher, не было доменов, вообще!!!
Сейчас поставили домен, почтовый сервер Exchange, настроили VPN-каналы на LinkSys RV082 (довольно хорошая железка, не надо про Cisco PIX... связь устраивает), сети в общем стали прозрачны. Используется DHCP, и если шары подключать DFS-ные, то после приезда в другой офис остается переключить только принтер.

Но вот проблема, временная задержка по спутниковому каналу ~700msec. Часто при простейших файловых операциях комп как будто подвисает на несколько секунд, такое бывает и при входе в систему и при запуске Outlook.
Замечено, что при выдернутом сетевом шнурке, проблема пропадает.

Да, не сказал еще, установлены три домен-контроллера соответственно по одному в каждом офисе, каждый является носителем глобального каталога. Настроены сайты по IP-подсетям, репликация между ними. Вроде проблем нет, а задержка есть!

Так вот вопрос, спасет ли сеть установка в каждом офисе своего дочернего домена, не замучаются ли местные админы трасты между доменами прописывать? а пользователи, будут ли для них также прозрачны сетевые ресурсы?
или может кто знает другое решение?

[Rob]

banberry, может дело в настройке браузинга в сети? Посмотри, не установлены ли две сетевые карточки на компьютере с ролью master browser.

[banberry]

Нет, на master browser иногда ругается когда включается сначала ноутбук, один, без сети, а потом подключается сетевой шнурок. Решается перезагрузкой.
А так в сети тишина, никто на master browser не претендует!

[Rob]

banberry, я к тому, что при неправильно настроенном браузинге навигация в сети осуществляется медленнее, чем нужно.
Используй утилиту browstat из Windows Support Tools как описано здесь.

[banberry]

Ну в общем "все нормально", browstat говорит, что мастером является центральный московский сервер! Вот наверное в этом-то и проблема. Хотя в списке имеются еще три backup сервера, но думается мне, что в определенные моменты как раз вот этот мастер все и гадит!
А вот как бы заставить его в других сегментах сети не работать? Типа включить в каждом сегменте сети по своему мастеру! Так ведь по идеологии сетей такого не может быть!
Что делать?

[Rob]

banberry, вообще, в случае использования поддоменов никаких задержек быть не должно, как и в случае с PDC + BDC + BDC.

Цитата:

Посмотри, не установлены ли две сетевые карточки на компьютере с ролью master browser.

[banberry]

Что-то я поспешил насчет "все нормально" в одном офисе, на Чукотке!, на BDC стоят две сетевых карты и WinRoute. Блин сколько раз говорил: Не ставьте ничего на домены!
И на нем выдает ошибку: Master name cannot be determined from GetAdapterStatus.
Завтра почистим, посмотрим...

Rob, я так понимаю у тебя есть опыт работы с очень удаленными PDC + BDC + BDC? Вообще такая система устойчива? Или как только отваливается сетка с мастером, всё подвисает?

[Rob]

banberry, отключи службу Computer Browser на DC с двумя сетевыми картами, иначе при получении роли master browser этот "мастер" будет дольше обычного обслуживать запросы от компьютеров, работая сразу с двумя транспортами.
Лично я не работал со связью по спутниковому каналу, но вот мой брат в этом деле дока. Могу запросить у него дополнительные сведения.
Кстати, какой именно спутниковый канал вы используете? Это обычная "тарелка" или у вас свой спутник?

[banberry]

Нет! до своего спутник еще не доросли!
Используем спутник AM-3 провайдер Helios-net.
На самом деле, связь - дерьмо. Пробовали канал расширять до 2048 кбит гарантированных, все еле-еле шевелится. Только фоновая репликация каталогов и спасает. А в интернете всегда медляк.

добавлено через 35 минут
Отключение службы не решает проблему, ошибка остается.
Пока оставил один сетевой интерфейс, на нем был и должен быть обязательно включен NetBIOS over TCPIP, а вот не был включен LMHOST lookup.
После включения LMHOST, browser заработал, ну теперь "нормально" говорит, что у него на Чукотке мастером является Московский контроллер домена!
Так и должно быть???


добавлено еще через 30 минут
Вычитал, что можно работать с двумя интерфейсами, только на втором должен быть отключен NetBIOS over TCPIP, а на первом, который в домен смотрит, обязательно должен быть включен.

[Rob]

Отлючение службы нужно было сделать только по причине, которую я описал.
Что насчёт сообщения, которое ты называешь ошибкой - "Master name cannot be determined" - это, скорее всего, уже проблема DNS.
А что, существует такой файл % Systemroot %\System32\drivers\etc\LMHOST, и в нём есть какие-то актуальные данные?

[banberry]

Нет, файла LMHOST конечно нету, но обозреватель начал работать только после включения LMHOST lookup. Может это конечно и совпадение, и он заработал после отключения второй сетевой карты и перезагрузки.
Но факт остается, после того, как я включил сетевую карту обратно, обозреватель все равно теперь работает.

DNS основной установлен в Москве, в других офисах на каждом сервере Secondary зоны, форвордят и реплицируются нормально, в логах все чистенько, есть пара ошибок во время когда связи не было, ну это и понятно.
DHCP настроены всем раздавать только DNS из локальной подсети.

[letitbe]

banberry
Сделай три сайта.
В каждом сайте по домену.
Укажи, как им реплицироваться, впрочем оно должно сгенерить репликации автоматически, причем транспорт выбрать IP а не RPC
Между доменами - трасты.
DNS зоны - для каждого домена своя, и они должны быть active-directory integrated.
Примерно так:
Active directory sites and services:
MSK - servers: pdc.msk.company.domain
MAG - servers: pdc.mag.company.domain
CHU - servers: pdc.chu.company.domain
Subnets:
192.168.1.1 - site MSK
192.168.2.1 - site MAG
192.168.3.1 - site CHU
DNS:
зона company.domain
name servers: pdc.msk.company.domain, pdc.mag.company.domain, pdc.chu.company.domain
зона msk.company.domain
name servers: pdc.msk.company.domain
зона mag.company.domain
name servers: pdc.mag.company.domain
где-то так, вкратце.

[banberry]

Да собственно так и сделано, только вот в одном домене.
насчет транспорта, так вроде в AD Sites and Services, Inter-Site Transports указан только IP и SMTP, причем SMPT пустой, а в IP один DEFAULTIPSITELINK в котором в правой колонке (Sites in this site link) все три сайта перечислены.

Как RPC посмотреть и отключить? знаю, что тормознутый протокол.
Все клиенты Outlook, например настроены RPC over HTTP.

C несколькими доменами думаю проблема бы снялась, но только для локальных пользователей. Для часто перемещающихся, а это в основном начальство! проблема с тормозами в этом случае останется, даже будет еще хуже, потому как, они же будут логинится к своему - Московскому домену! А бэккапа в том сайте уже не будет!

[Rob]

Цитата:

Сообщение от banberry

Как RPC посмотреть и отключить?

лучше не надо его отключать, система может не загрузиться после этого:

Цитата:

Как действительно причинить вред - отключение сервиса Remote Procedure Call

Обычно вы можете определить, нужен ли вам сервис, отключив его и посмотрев, испортит ли это что-нибудь. Но будьте осторожны при использовании этого метода! Никогда нельзя отключать сервис Remote Procedure Call (RPC). Он требуется для многих других сервисов: если вы отключите его, вы не сможете вернуться в утилиту Services, чтобы запустить его вновь. В некоторых случаях отключение RPC не даст загрузиться системе. В общем, не отключайте этот сервис.

Источник: i2r.ru

[banberry]

Не, ну это понятно, что его совсем отключать нельзя! я так понял, имеется ввиду отключение RPC как протокол общения между сайтами.
Он же отключается как протокол общения Outlook и Exchange. Вернее заменяется его оптимизированной модификацией - RPC over HTTP.
Тогда непонятна следующая фраза:

Цитата:

Сообщение от letitbe

Укажи, как им реплицироваться, впрочем оно должно сгенерить репликации автоматически, причем транспорт выбрать IP а не RPC

Как выбрать? Где? Там в Sites and Services и так только IP.

[letitbe]

Цитата:

Сообщение от banberry

Как выбрать? Где? Там в Sites and Services и так только IP.

Там.
Site - Servers - server - NTDS Settings - <Automatically generated> - Properties
А идея разнести сервера по разным сайтам заключается в том, что когда у тебя сервера в одном сайте, Windows считает, что у тебя высокоскоростное соединение между серверами. Отсюда - репликации и т.д.
А то, что пользователи будут логиниться к своему домену - ничего страшного, у нас работает. Канал между серверами (интернет) - 1Мбит.

[banberry]

Спасибо, везде и так стоит транспорт - IP...
Похоже придеться ставить дочерние домены...
Пусть мучаются "заезжие москвичи"!

letitbe, у вас задержка по каналу какая? сколько в msec?

[letitbe]

Цитата:

Сообщение от banberry

letitbe, у вас задержка по каналу какая? сколько в msec?

50-60-70-80, когда как.
У тебя, судя по всему, раз в 10 поболее может быть

banberry, попробуйте на всех компах пользовательских computer browser поотключать, и в каждом сайте на том же dc настроить wins-сервера с репликацией.

[banberry]

letitbe, задержка в нормальном режиме ~700мсек, это когда связь просто супер! а при хорошей нагрузке до 3000 доходит. в средем ~1500.

Пробовали computer browser отключать, не очень помогает.

Я пришел к выводу, что нечего велосипед изобретать, все уже придумано до нас, надо делать нормальную распределенную сеть с поддоменами в удаленных офисах, только в этом случае все будет гарантированно устойчиво работать.