VPN + DHCP Relay + DHCP на Windows 2008

pigbrother

А вас не пугает, что в случае недоступности DC главного офиса работа филиалов будет ммм... сильно затруднена?
Присмотритесь к Read-Only (RODC)
http://winitpro.ru/index.php/2010/11/21/rabota-s-kontrollerami-domena-read-only-rodc-chast-1/
https://zen.yandex.ru/media/id/5a3211a177d0e6afcba2adfd/dlia-chego-nujen-kontroller-domena-na-chtenie-rodc-ustanovka-i-nastroika-rodc-v-windows-server-2016-5b08eec42f578c07bf3cea7e

rline

Несколько пугает, но денег на ещё один вин-сервер точно не дадут. Как вариант конечно можно использовать в филиалах статику и прописать эти адреса руками в виндовом dns, но это уже не так интересно :)

vladimirlind

Еще есть нюанс с работой DHCP relay через OpenVPN - tun интерфейсы не воспринимаются DHCP relay, так как у них нет мак-адресов. Чтобы схема работала - нужно использовать tap.
Читайте второй комментарий в этой ветке - https://forum.netgate.com/topic/130092/dhcp-relay-over-tun-openvpn/2

rline

@vladimirlind А если через IPsec?

pigbrother

@rline said in VPN + DHCP Relay + DHCP на Windows 2008:

А если через IPsec?

В IPsec, IMHO, вы тоже не получите работы на уровне L2 (MAC).

vladimirlind

@rline через routed IPsec не получится, так как VTI не имеет мак-адреса.

werter

Добрый.

@rline
Дополнительный DC КРАЙНЕ необходим. И точка. В филиалах - RODC.
ИМХО, поднять "левый" ADC\BDC менее "грешно", чем поиметь вот-прям-щас-проблем в НЕработе ВСЕГО домена в случае падения PDC.
В чем проблема поднять ВСЁ в вирт. среде и тупо выключить\удалить ВМ с ADC\BDC в случае чего (имея бэкап, ес-но)? По вирт-ции https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense/

Странная позиция у ТС, чесслово.

Зы. Сам настраивал по http://sanotes.ru/windows-2012r2-1st-kontroller-domena-v-lesu/
Зы2. На Univention Corporate Server (UCS) и Nethserver обратите внимание, если нет возможности "пользовать" MS.

pigbrother

Про желательность КД и в филиалах и возможности организовывать RODC @rline было сказано в первом же ответе. В свое время еще на NT4 в виду отсутствия альтернатив городил отдельные домены с доверительными отношениями, это даже работало.
По вашей замечательной ссылке рассматривается второй КД на версии Server Core на котором тоже можно организовать RODC .

rline

Я так понимаю самый дешёвый вариант это использование Windows Server Core в качестве RODC?

pigbrother

@rline said in VPN + DHCP Relay + DHCP на Windows 2008:

Я так понимаю самый дешёвый вариант это использование Windows Server Core в качестве RODC?

Если использовать продукты Микрософт - да. Или, как писал выше @werter - бесплатные варианты на Linux с поддержкой АД.

rline

А можно чуть подробней про варианты на Linux? Особенно интересно как групповые политики там будут работать.

pigbrother

@rline said in VPN + DHCP Relay + DHCP на Windows 2008:

Особенно интересно как групповые политики там будут работать.

Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными.

werter

@rline
Пройти по ссылкам + гугл + гугл ютуб, не ?

werter

This post is deleted!

werter

@pigbrother said in VPN + DHCP Relay + DHCP на Windows 2008:

@rline said in VPN + DHCP Relay + DHCP на Windows 2008:

Особенно интересно как групповые политики там будут работать.

Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными.

Что-то между 2008 и 2012 будет точно. Если не городить кучу Групповых политик с извращениями - вполне функционально (а как доп DC - тем более)

@rline
И откроете для себя RSAT заодно.