Оъединение двух сетей под AD и доверительные отношения.

[Bosmr]

Друзья! Помогите советом.

Есть 2 сети, находящихся на соседних этажах одного здания, принадлежат они одной организации.
- Первая сеть на доменной структуре, под управлением Windows 2000 Server, с установленной Active Directory.
- Вторая сеть - одноранговая.

Каждая из сетей имеет собственные настройки выхода в Интернет, которые необходимо сохранить неизменными.

Для определенности, будем считать:
1 Сеть: IP: 192.168.0.* Имя домена: domain1.local
2 Сеть: IP: 192.168.1.* имя домена(будущего) domain2.local
Рабочие станции: Windows 2000 Professional.
По 8 и 14 компов соответственно.


Главная задача: необходимо объединить обе сети, с целью получения доступа к расшаренным ресурсам с рабочих станций одной сети, к рабочим станциям другой.

К сожалению, подобный вопрос на практике не прорабатывал, негде развернуться пока, сеть совсем небольшая... только читал в книжках...

-------
Опишу план своих предполагаемых действий:
1) На физическом уровне:
Тут конечно все просто . Перекидываю витую пару между свитчами, получаю некоторое "обобщение" всей структуры.

2) На программном уровне:
- создаю контроллер домена во второй сети, называю его domain2.local. Поднимаю AD и DNS.

- завожу все компы второй сети в домен, параллельно создавая базу юзеров второй сети.

- Налаживаю доверительные отношения между доменами (Администрирование -> Active Directory: "Домены и доверие").
После чего происходит репликация всей базы AD, и на каждом из контроллеров получаю "суммарную" итоговую базу для обоих поддоменов, которую могу изменять на любом из доменов.

Домены становятся равноправными контроллерами в обоих сетях.


В результате, я предполагаю наблюдение в сетевом окружении обоих доменов, а правами доступа к сетевым папкам (конечно же имеется ввиду на основе NTFS), ожидаю получить возможность разруливать параметры доступа к юзерам обоих доменов.

Иными словами, при расшаривании папки на рабочей станции первой сети (ws1@domain1.local), щелкаю правой крысой по папке -> свойства -> Безопасность -> Добавить -> в результате наблюдаю кроме "родного" домена, еще и соседский, в котором могу выбрать интересующего меня юзера user@domain2.local, и разрулить ему права доступа.


-------
Скажите пожалуйста:
- Будет ли работать такая схема?
- Правильное ли это решение проблемы?
- Все ли я учел, может чего забыл?
- Не будет ли проблем с обзором сетевых компьютеров?
- Нужно ли будет проводить какие-нибудь хитрые операции с маршрутизацией для обоюдной видимости сетей (к сожалению, тоже пока не имел с этим дел)?

Большое спасибо заранее.

[Borland]

Цитата:

Bosmr:
После чего происходит репликация всей базы AD, и на каждом из контроллеров получаю "суммарную" итоговую базу для обоих поддоменов, которую могу изменять на любом из доменов.

Ошибочка! При установлении доверительных отношений база AD отнюдь не реплицируется в другой домен. Просто домены между собой договариваются о том, что будут доверять пользователям, авторизованным в доверенном домене (т.е. не будут требовать повторной авторизации).
Но, если контроллер одного из доменов "упадёт" или будет недоступен по другой причине, его пользователи не смогут получить доступа к ресурсам другого домена никоим образом - не будет "удостоверителя".

Цитата:

Bosmr:
Домены становятся равноправными контроллерами в обоих сетях.

Чушь. Домены, как уже сказано выше, доверяют пользователям другого домена, но отнюдь не берут на себя управление чужими ресурсами.

Цитата:

Bosmr:
Иными словами, при расшаривании папки на рабочей станции первой сети (ws1@domain1.local), щелкаю правой крысой по папке -> свойства -> Безопасность -> Добавить -> в результате наблюдаю кроме "родного" домена, еще и соседский, в котором могу выбрать интересующего меня юзера user@domain2.local, и разрулить ему права доступа.

Это да. В том числе можно дать админские права в своём домене пользователю чужого.

Цитата:

Bosmr:
Не будет ли проблем с обзором сетевых компьютеров?

Для этого необходимо будет наладить репликацию между WINS-серверами.

Цитата:

Bosmr:
Нужно ли будет проводить какие-нибудь хитрые операции с маршрутизацией для обоюдной видимости сетей

Если маска подсети в обоих сетях 255.255.0.0 - не нужно.

Цитата:

Bosmr:
- Правильное ли это решение проблемы?

В общем и целом - да.

[Bosmr]

Borland, спасибо за ответы.

Цитата:

Чушь...

Не чмыри плиз сильно , я ж написал, что лишь теоретически понимаю реализацию данного мероприятия... не делал я этого на практике.

Раз ты затрагиваешь дополнительные вопросы, не мог бы ты помочь разбраться с ними немного более подробно?

Ты не мог бы пояснить, пожалуйста, по поводу:

Цитата:

Для этого необходимо будет наладить репликацию между WINS-серверами.

Я так всегда считал, что WINS-сервера нужны при наличии в сети 9x-клиентов...

В моей сети такого сервера нет, и (после манипуляций с Computer Browser, конечно же) в сети все компы видятся нормально...
Однако сеть не состоих из двух подсетей, поэтому... увы, могу ошибаться...

Иными словами:
Пока я не подниму WINS-сервера в обоих сетях, я не буду видеть соседние домены в сетевом окружении?
Т.е. обязательная ли это процедура?

P.S. Мне бы не хотелось их поднимать, если можно обойтись обычными DNS-серверами.

P.P.S. - спасибо огромное за помощь, пятак ввернул.

P.P.P.S. Правильно ли я понял, что репликация между контроллерами возможно лишь внутри одного домена?
(Помню Dead Man еще ругал за то, что я использовал слова PDC и BDC, говоря об Windows 2000 Server)
Назовем их Основной и Дополнительный.
После (не дай бог) падения Основного контролеера, Дополнительный можно повысить в роли, сохранив всю базу юзеров и компьютеров... ага?

[Borland]

Цитата:

Bosmr:
Т.е. обязательная ли это процедура?

В принципе - нет. Но без WINS не будет работать обзор "Сетевого окружения" (т.е. комп можно будет найти через поиск, или сразу зайти на него, набрав адрес - но увидеть компы списком будет невозможно.
Если это некритично и все клиенты сети - W2k и старше, с WINS можно не заморачиваться.
По настройке DNS: там, кажется, тоже нужно настраивать репликацию. Но точно не скажу - просто не помню, а книжек под рукой нет...

[FantomIL]

Добавлю к ответу Borland-а.

Тебе необходимо на ДНС-серверах в обоих доменах настроить дополнительные зоны. Причем, в первом домене дополнительную зону для основной зоны второго, а во втором, соответственно, для первого. Также, надо разрешить передачи зон.

И еще, если не ошибаюсь, то доверительные отношения в Windows 2000 Server возможны только между дочерними доменами или между доменами одного леса, а для доверительных отношений доменов разных лесов необходимо ставить Windows 2003 Server.

[Borland]

Цитата:

FantomIL:
то доверительные отношения в Windows 2000 Server возможны только между дочерними доменами или между доменами одного леса, а для доверительных отношений доменов разных лесов необходимо ставить Windows 2003 Server

Точно не скажу, но доверительные между доменами 2k и NT4 устанавливались нормально...

[Bosmr]

Borland, FantomIL,
Попробую сделать так, как вы советуете

[FantomIL]

Borland
Я имел в виду транизитивные отношения. А если мы имеем в виду односторонние отношения, то тогда конечно.

[shiraza]

Цитата:

Borland:
Но без WINS не будет работать обзор "Сетевого окружения" (т.е. комп можно будет найти через поиск, или сразу зайти на него, набрав адрес - но увидеть компы списком будет невозможно.
Если это некритично и все клиенты сети - W2k и старше, с WINS можно не заморачиваться.

Компы будут видны в сетевом окружении, но часто не все. WINS позволяет уменьшить в сети количество броадкастов, то есть пакетов, направленных на широковещательный адрес сети. ОС использует броадкасты для опроса все компов и составления их списка. WINS регистрирует связь между нетбиос и ип адресом компа в базе, клиенты обращаются уже к нему и все работет быстро и безболезненно. Тебе не нужны раздельные сервера WINS для этих сетей, пусть будет один. Также и ДНС можно дополнительно поставить еще один, прописать на нем переадресацию при обращении к зоне домена1 на контроллер домена1, на котором стоит динамическая интегрированая ДНС AD, аналогично с доменом2, а при обращении к адресу интернет - пересылка на ДНС на шлюзе. Этот WINS и DNS лучше вообще отдельным сервером поставить + DHCP. Таким образом в двух сетях DNS, WINS и, если используется, DHCP будет одинаковым, DC и шлюзы - разными.

Здравствуйте!
У меня аналогичкая необходимость создать доверие!

Вот тока у меня уже есть две домменые сети! Первая старая и вторая которая в будущем заменит первую! Первая доменная сеть не идеальна потомучто у неё маска 255.255.255.0 а у нас в организации 400 слихом рабочих станций! Именно по этому были созданны Подсети!

Есть domain1.local у которого имеются гигабитные сетевушки каторые глядят в

192.168.20.xxx(он регистрирует клиетов и на нём работает DHCP который раздаёт диапазон IP адресов192.168.20.ххх)

192.168.10.xxx (для бухгалтеров! клиенты с этой подсети не ригестрируются на сервер но они должны быть видны в общем сетевом окружении (одноранговая сеть))

192.168.0.xxx (подсеть для технической службы!Также не регистрируются в домене (одноранговая сеть))

10.xxx.xxx.xxx каторый смотрит на подсеть новой доменной сети

И есть domain2.local каторый планирует заменить первый он создан на сети

10.ххх.ххх.ххх что поможет в будущем пересадить всю организацию на новый домен и исключить лишние подсети!

10.1.1.99 (настроен DHCP для раздачи IP адресов в диапазоне 10.1.1.101 до 10.255.255.254 (она пока бездействует пока работает DHCP каторый принадлежит domain1.local))

и ещё имеется одна не за юзанная сетевушка

Так вот и сами вопроссы
0= Каким образом мне нужно настроить Доверительные отношения чтобы пользователи с "domain2.local" могли шарится по директориям подсетей в каторых работает "domain1.local" (Это необходимо для сетевой базы 1С Бухгалтерии и специализированного прогрманого обеспечения для запуска по сети и постоянной работы! Я не имею права на ошибку!!!)!
1= Необходим ли мне маршрутизатор?
2= Можно по подробней насчёт этого

Цитата:

Сообщение от shiraza

Компы будут видны в сетевом окружении, но часто не все. WINS позволяет уменьшить в сети количество броадкастов, то есть пакетов, направленных на широковещательный адрес сети. ОС использует броадкасты для опроса все компов и составления их списка. WINS регистрирует связь между нетбиос и ип адресом компа в базе, клиенты обращаются уже к нему и все работет быстро и безболезненно. Тебе не нужны раздельные сервера WINS для этих сетей, пусть будет один. Также и ДНС можно дополнительно поставить еще один, прописать на нем переадресацию при обращении к зоне домена1 на контроллер домена1, на котором стоит динамическая интегрированая ДНС AD, аналогично с доменом2, а при обращении к адресу интернет - пересылка на ДНС на шлюзе. Этот WINS и DNS лучше вообще отдельным сервером поставить + DHCP. Таким образом в двух сетях DNS, WINS и, если используется, DHCP будет одинаковым, DC и шлюзы - разными.

Не судите строго если что я начинающий вообще моя специализация UNIX системы и серверные платформы! Еcли можете то скиньте линки книжек а то в тех что у меня нет ничего про доверительные отношения! WINS и "прописать на нем переадресацию при обращении к зоне домена1 на контроллер домена1, на котором стоит динамическая интегрированая ДНС AD"