-
با سلام خدمت اساتید محترم . با توجه به اینکه سوال من بسیار شباهت به سوال این دوست عزیز ([URL="http://forum.persiannetworks.com/members/9853.html"][B][COLOR=#417394]hadi576[/COLOR][/B][/URL] ) داشت دیگر من تاپیک جدیدی ایجاد نکردم. ممنون میشم اگر اساتید راهنمائی کنند.
من 2 تا سایت دارم یک A و دیگری B. تعداد کلاینت نقطه A تقریبا 55 عدد و تعداد کلاینت نقطه B حدود 20 عدد میباشد.
بستر ارتباطی این دو سایت با هم از طریق Wireless وThroughput با پهنای باند 4 مگابایت میباشد.
هر کدام از سایت ها DC جداگانه و Internet Provider جداگانه و مستقل دارند و حالا هدف من یکی کردن این دو امر و مرکزیت بخشیدن کنترل شبکه به نقطه ,A و توسط سرور های این سایت میباشد. سرویس های مورد نیازم جهت کنترل نقطه B هم اموری همچون: - MailServer - TMG - WEB Monitor - Antivirus و طبعا File Transfer میباشد.
حالا به نظر شما برای یک ارتیاط پایدار و جلوگیری از قطع شدن کلاینتها در صورت احتمال Down شدن لینک وایرلس چه سناریویی برای دامین پیشنهاد می کنید. Trust بشن بهتره و چگونه؟
-
[QUOTE=tavananarg;349881]"رتباط با دامین اصلی شبکه سایت ها Down میشن که این اتفاق در ارتباطات رادیویی (بین ساختمان ها) دور از ذهن نیست./" !!!!!!!!!!!!!!!!!!!!!!!!!
جاااااااااااااااااااان !!!!!!!!!!!!! شبکه سایتها دون میشن !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! اولین باره که میشنوم !!!!!!!
فقط اگر ربطشون هم به همدیگه لطف کنید ممنون میشم ! چون ما رفتیم MCSE,MCSA که گرفتیم چیزی راجع به این مطلب نگفتن !!!!!!!
بابا بیخیال ، اگر قطع بشه هم میره ااز تو کش خودش یوزر و پسورداشو میاره ![/QUOTE]
نمیدونم چرا ادبیات شما کمی با ادبیات رایج در تالار فرق میکنه !
اما در مورد سوالتون :
فرمایش شما صحیحه، حتی اگر سرور اصلی سایت هم خاموش باشه بازهم کلاینت ها با اطلاعات Cache شده به کار خودشون ادامه میدن اما من در عمل دیدم که به محض قطع شدن ارتباط، برخی از کلاینت ها برای Login شدن با پیغام خطای there are currently no logon servers available to service the logon request
مواجه میشدن. (حدود 30% کلاینتها) و دلیلش رو هم نمی دونم و برای خود من هم عجیب بود./
اما با توجه به اینکه بستر ارتباطی دوستمون فیبر هست این موضوع دیگه اهمیتی نداره؛ ولی با این حال به نظر من هنوز هم بهترین راهکار همون Additional DC هست.
[QUOTE=Dj Pashmak;350387]شاید بحث به اینجا رسیده وارد شدن به این شکل درست نباشه اما چند تا نکته
اول اینکه کاش زمانیکه سناریو و شرایط شبکه تون رو مطرح میکنید کامل همه چیز مثل نیاز های مختلف، بستر ارتباطی، سیاست هایی که میخواین اعمال کنید و سایر موارد رو توضیح بدید تا زودتر به جواب مورد نظرتون برسید و بقیه هم دید بهتری نسبت به موضوع داشته باشند.
دوم،هدف شما از اینکار چیه؟چرا 5 DC؟اآیا نیازها فرق داره در سایتها؟سیاست کاری سایتها و دفتر مرکزی با هم تفاوت دارن؟چه ترافیکی بین سایت اصلی و سایتهای فرعی منتقل میشه در حال حاضر؟
به نظرم با توجه به اینکه بستر ارتباطی بین سایت مرکزی و بقیه سایتها فیبره و ارتباط مطمئنی رو به شما میده و ناپایدار نیست شما میتونید همه رو به DC موجود در سایت اصلی join کنید و مدیریت مرکزی که هدف راه اندازی domain هست رو اعمال کنید.برای تقسیم بار مدیریتی کار هم دسترسی های لازم رو به مسئولین هر سایت delegate کنید تا هم پسورد admin دامین را در اختیار نداشته باشند و هم بتونن از پس کارهای لازم بر بیان.
وقتی شما 5 DC داشته باشید باید روی 5 سرور تمرکز کنید،back up گیری کنید،نگهداری و مدیریت داشته باشید، افزونگی و در دسترس بودن رو تضمین کنید و... اما اگر همه چیز 1 جا باشه و برای 1 سرور افزونگی رو درنظر بگیرید نتیجه بهتری خواهد داشت[/QUOTE]
ضمن تایید تمامی فرمایشات شما، یکی دیگه از مشکلاتی که توی شبکه های با تعدد DC پیش میاد اعمال Policy و Permission ها هست که به دلیل پراکنده بودن اکانت ها در DC ها با صعوبت زیادی همراهه.
-
[QUOTE=Leon;349867]
از آقای ملک لی هم به خاطر راهکار مناسبشون تشکر میکنم. اگه ممکنه یه کم جزیی تر روش اجرای این سولوشن رو توضیح بدید یا لینک مفیدی رو معرفی بفرمایید./
با تشکر[/QUOTE]
خواهش میکنم. سناریو به این صورت میتونه باشه که با توجه به ارتباط فیبرنوری که بین ساختمان ها هست, بیش از دو دامین کنترلر ضرورتی ندارد. یکی ادیشنال دیگری جهت مواقع اضطرار. برای هر ساختمان میتونیم یک OU بسازیم, در هر OU میتوانیم OUهای دیگری جهت کلاینتها و سرورها و یوزرها بسازیم. یعنی در روت هر OU حداقل سه OU داریم بطور مثال: Clients, Servers, Users . سپس در هر OU یک یوزر ساخته و در تب سکیوریتی آن OU آن یوزر را ادمین میکنیم یا دسترسی های لازم را میدهیم. سپس کارهایی که قرار هست آن ادمین انجام دهد را به آن Delegate میکنیم. میتوانیم جهت امنیت بیشتر, برای آن ادمین بر روی OU های دیگر دسترسی Deny Read را ست کنیم. یا اینکه همه کاربران یک OU را داخل یک گروه در همان OU قرار دهیم و دسترسی این گروه را بر روی بقیه OU ها به صورت Deny Read ست کنیم. برای نام گذاری یوزرها, گروه ها, کلاینتها, چون همه ساختمانها در یک اکتیو دایرکتوری هستند باید قانون مشخص کنیم که تکراری نباشد. سپس برای جوین کردن کلاینتها, چون به صورت پیش فرض کلاینتها در داخل Cpmouters Container جوین میشوند میتوانیم از اسکرییپ استفاده کنیم که ادمین هر سایت وقتی کلاینتی را جوین میکند, آن کلاینت در داخل OU خودش جوین شود. البته میتوان از Logom Script جهت جابجایی خودکار کلاینتها بر مبنای سابنت و رنج IP آنها استفاده کرد (اگر ساختمانها دارای سابنتهای مختلفی هستند). برای کاهش ترافیک, میتوان فایل سرورها, سرور DHCP, سرور DNS را داخل هر ساختمان تعریف کرد. البته اگر پهنای باند فیبر خوب باشد نیازی به این کار نیست. حالا چطور ادمین های هر سایت بتوانند روی OU خود عملیات انجام دهند؟ آنها که ادمین اکتیودایرکتوری نیستند, فقط یک یوزر معمولی هستند. برای این کار از ابزار RSAT میتوانیم استفاده کنیم. این ابزار را روی کلاینت ادمین هر سایت نصب میکنیم. با این کار, ادمین هر سایت, اکتیودایرکتوری را در سیستم ویندوز 7 خود خواهد داشت و نیازی به لاگین به dc نیست.
یک نکته: برای اینکه ادمین هر سایت روی کلاینتهای OU خود ادمین باشد, گروهی در همان OU ساخته و ادمین آن سایت را عضو آن میکنیم. سپس با یک GPO در قسمت Restricted Groups , آن گروه را در گروه ادمین لوکال همه سیستمها اد میکنیم, و GPO را به OU مربوطه لینک میکنیم.
البته این موارد را به صورت کلی گفتم و موارد بسیار زیاد دیگری در طراحی این سناریو مهم است.
-
[QUOTE=Dj Pashmak;350387]شاید بحث به اینجا رسیده وارد شدن به این شکل درست نباشه اما چند تا نکته
اول اینکه کاش زمانیکه سناریو و شرایط شبکه تون رو مطرح میکنید کامل همه چیز مثل نیاز های مختلف، بستر ارتباطی، سیاست هایی که میخواین اعمال کنید و سایر موارد رو توضیح بدید تا زودتر به جواب مورد نظرتون برسید و بقیه هم دید بهتری نسبت به موضوع داشته باشند.
دوم،هدف شما از اینکار چیه؟چرا 5 DC؟اآیا نیازها فرق داره در سایتها؟سیاست کاری سایتها و دفتر مرکزی با هم تفاوت دارن؟چه ترافیکی بین سایت اصلی و سایتهای فرعی منتقل میشه در حال حاضر؟
به نظرم با توجه به اینکه بستر ارتباطی بین سایت مرکزی و بقیه سایتها فیبره و ارتباط مطمئنی رو به شما میده و ناپایدار نیست شما میتونید همه رو به DC موجود در سایت اصلی join کنید و مدیریت مرکزی که هدف راه اندازی domain هست رو اعمال کنید.برای تقسیم بار مدیریتی کار هم دسترسی های لازم رو به مسئولین هر سایت delegate کنید تا هم پسورد admin دامین را در اختیار نداشته باشند و هم بتونن از پس کارهای لازم بر بیان.
وقتی شما 5 DC داشته باشید باید روی 5 سرور تمرکز کنید،back up گیری کنید،نگهداری و مدیریت داشته باشید، افزونگی و در دسترس بودن رو تضمین کنید و... اما اگر همه چیز 1 جا باشه و برای 1 سرور افزونگی رو درنظر بگیرید نتیجه بهتری خواهد داشت[/QUOTE]
سلام
سازمانی که هستم دانشگاه هست و کاربران اکثرا دانشجو هستند فقط برای اینکه بار ترافیکی سرور اصلی بالا نرود میخواهم این کار را انجام دهم و در هر دانشکده یک سرور راه اندازی کنم و دانشجویان هر دانشکده فقط از سایت دانشکده خودشان به سیستم لاگین کنند و ار اینترنت استفاده کنند. و از دامین مرکزی به کلاینتها دسترسی داشته باشم که بتوانم آنتی ویروس را از سرور اصلی روی همه کلاینتهای مجموعه نصب کنم
سپاس
-
[QUOTE=hamed_mhk;349642][B]این کاری که میخوایید بکنید کاملاً به سناریویی که دارید ربط داره
چند تا سایت دارید؟
این سایتها چطوری به هم وصل هستن
قرار یک دومین داشته باشید ؟!
یک دومین و چند تا ساب دومین داشته باشید
یا چند تا دومین داشته باشید و بینشون تراست برقرار کنید ؟!
این سناریو خیلی مهمه
اگر میتونید توپولوژی حدودی شبکه و نوع ِ امکانات و میزان سرورهای فیزیکی رو بگید که بشه بهترین راه حل رو داد !
[/B][/QUOTE]
یک سایت مرکزی داریم که دامین کنترلر راه اندازی شده و حدود 150 کلاینت به آن جوین شده اند. و سایتها از طریق فیبر به هم وصل هستند. که 7تعداد این سایتها 7 تا است. به نظر شما بهترین سناریو چه خوبه؟
سپاس
-
ببین عزیز ... اگه همه ی این بخش ها تقریبا کاربریشون یکی باشه پیشنهاد میشه ببری داخل یک domain و سایت های مختلف در AD بسازی واسشون و اینا با هم REPlICATE میشن . اگه ارتباط بین سایت ها با کانکشن مطمئن و سریع برقرار میشه میتونی همه رو داخل یک سایت AD بذاری و در کنارش ADITIONAL DC راه بندازی ... DNS SRV هم یادت نره
-
[QUOTE=mohamad-23;351437]ببین عزیز ... اگه همه ی این بخش ها تقریبا کاربریشون یکی باشه پیشنهاد میشه ببری داخل یک domain و سایت های مختلف در AD بسازی واسشون و اینا با هم REPlICATE میشن . اگه ارتباط بین سایت ها با کانکشن مطمئن و سریع برقرار میشه میتونی همه رو داخل یک سایت AD بذاری و در کنارش ADITIONAL DC راه بندازی ... DNS SRV هم یادت نره[/QUOTE]
سلام
اگر همه را داخل یک دامین ببرم بار سرور بالا میره میخواهم در ضمن پالیسی ها فرق داره و مسئول هر سایت یوزرها رو بسازه فقط از سایت مرکزی انتی ویروس بتوانم بر روی کلاینتها نصب کنم.
فرض کنید دامین سرور مرکزی test.local هست میخواهم دامین سایتهای دیگر به ترتیب dep1.test.local , dep2.test.local,.... باشه چطور میتوانم این کار رو انجام بدهم
تشکر
-
[B]من توضیحات و صحبتهایی که دوستان مطرح کردن رو خوندم و فقط چند نکته بگم
به دلیل اینکه سازمان شما یک دانشگاه هستش، بهتره که همین سیستمی که خودتون پیشنهاد دادی یعنی هر دپارتمان رو به عنوان یک ساب دامنه جدا درست بکنید
برای دانشگاهها که هر دانشکده و هر دپارتمان، یک سری استقلالهایی برای خودشون دارن، ایجاد یک Domain برای دانشگاه و یک Sub Domain یا Child Domain برای هر دانشکده، یک Best Practice هستش
یعنی همنطور که گفتید یه دامنه مثلاً university.ir درست میکنی و به ازای هر دانشکده یک ساب دومین میزنی dep1.university.ir و dep2.university.ir و ....
بازم میگم که دلیل این کار ساختار دانشگاه و دانشکدهست که میزان استقلالی که میخوان خیلی بیشتر از یه چیزی مثل "شعبه" هستش !
فقط یکی دو تا نکته
اولاً سعی کن اگر میتونی از .local استفاده نکن !
به دردسرهایی که ممکنه بعداً برای گسترده کردن سیستمت به خصوص وارد کردن شبکه خصوصیت به شبکه جهانی بربخوری نمیارزه
یک فقره دامنه com یا ir بگیرید برای دانشگاه (البته اگر ندارید) و از اون استفاده کنید
دوماً اینکه اگر تجربه این کار رو ندارید، حتماً یک دوره اکتیو دایرکتوری و پیاده سازی اون رو ببینید
حالا کلاس هم نشد و کتاب هم حسش نبود، حتماً از فیلمهای آموزشی استفاده کنید ویدئوهای خوبی هم توی این زمنیه هست
اکتیور دایرکتوری مغز و هسته اصلی شبکههای نرمافزاری ویندوزه و درست کردن اون در ابعاد و اندازهای که شما میخوایید حتماً باید اطلاعات کافی از بایدها و نبایدهای اون و روشهای مختلف پیاده سازی اون رو داشته باشید علی الخصوص اینکه کاری که میخوایید بکنید بسیار اساسی و بزرگ هستش !
[/B]
-
حامد جون خیلی کامل و جامع بود و شاید حرف آخر .... درود و سپاس
-
[B][QUOTE=mohamad-23;351622]حامد جون خیلی کامل و جامع بود و شاید حرف آخر .... درود و سپاس[/QUOTE]
مخلصیم داداش ! ;)
=-=-=-=-=
خب دوست عزیز! چی شد بالاخره !
کاری صورت دادی ؟!
[/B]