作者 主題: 「問題」主公司子公司,ip不同,可共用server2008r2 active directory內帳戶資料嗎  (閱讀 3055 次)

0 會員 與 1 訪客 正在閱讀本文。

airword

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
各位先進:
小弟目前遇到一個狀況,主公司內已建置server2008r2 active directory 。最近要成立分公司,請問在不同網段ip的狀況,
ad內帳戶資料可否用呢?
讓分公司的電腦只需加入主公司ad就好呢?
謝謝

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
如果居間的雙向routing有通
也沒有防火牆擋port
DNS設對
不同網段client就可以加進來
多見者博,多聞者智,拒諫者塞,專己者孤

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
Active Directory跟網段沒有關係
會有關係的是Site
(講這樣好像也怪怪的,Site其實也是AD架構中的一環)

我覺得要考慮的是
一、兩邊的連線速度
二、分公司是要直接使用總公司內的DC還是分公司那邊也要建立DC
三、需不需要分Site

當然…您必須先確保兩邊的連線、DNS解析沒問題
« 上次編輯: 2014-05-14 11:56 由 小穎 »

airword

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
如果居間的雙向routing有通
也沒有防火牆擋port
DNS設對
不同網段client就可以加進來

首先感謝u8526425 先進回應,小弟是網路菜鳥,不懂兩邊routing有通是什麼意思,只知道兩邊各自上網都ok,也都能互ping,但是如果主公司已有ad環境,子公司要加入母公司的話,ip設定中,dns不是要設定成母公司的ad  ip嗎?
如果不考慮防火牆的部份,因為未來母公司裡是對子公司ip設進、出open的且設定有vpn server,子公司的防火牆較陽春,就只是進全擋(母公司ip是open)出open的。
這樣的架構想法是否可行呢?請學長指教。謝謝

airword

  • 可愛的小學生
  • *
  • 文章數: 25
    • 檢視個人資料
Active Directory跟網段沒有關係
會有關係的是Site
(講這樣好像也怪怪的,Site其實也是AD架構中的一環)

我覺得要考慮的是
一、兩邊的連線速度
二、分公司是要直接使用總公司內的DC還是分公司那邊也要建立DC
三、需不需要分Site

當然…您必須先確保兩邊的連線、DNS解析沒問題

感謝小穎先進指點,小弟的網路觀念不OK,只會簡易的上網設定、防火牆進出設定等。架ad是ok,但管理就沒辦法。
所以如果是網路純上網的部份,兩邊公司在先不考慮防火牆的設定下,都是上網ok的,能互ping的。
但小弟所知道的加ad,dns必須是ad的ip,所以母公司裡都ok,子公司的部份,小弟是想說,一台硬體設備像防火牆,可以在上面直接設定撥通母公司的vpn server,
這樣子公司裡的ip進出都會繞到母公司中,
子公司電腦的dns就設成母公司ad的ip,這樣子公司裡就架第三台ad來作加入ad的驗證,
如此是否可行呢?
請先進指教。
謝謝

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
以我目前的單位為例
兩邊IP不同段
各架一個Router做client端的Default gateway
再請ISP協助架兩端site to site VPN
透過Router將兩端流量導至VPN形成互通
中間就沒有額外架防火牆

兩端的client端DNS設定為AD的DNS
兩端的client端就可加入網域管理
當然, 台數如果一多
就建議建立當地的DC & DNS
多見者博,多聞者智,拒諫者塞,專己者孤

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
感謝小穎先進指點,小弟的網路觀念不OK,只會簡易的上網設定、防火牆進出設定等。架ad是ok,但管理就沒辦法。
所以如果是網路純上網的部份,兩邊公司在先不考慮防火牆的設定下,都是上網ok的,能互ping的。
但小弟所知道的加ad,dns必須是ad的ip,所以母公司裡都ok,子公司的部份,小弟是想說,一台硬體設備像防火牆,可以在上面直接設定撥通母公司的vpn server,
這樣子公司裡的ip進出都會繞到母公司中,
子公司電腦的dns就設成母公司ad的ip,這樣子公司裡就架第三台ad來作加入ad的驗證,
如此是否可行呢?
請先進指教。
謝謝

這邊觀念有點不太正確喔!^_^
Active Directory只是個架構,提供這個服務的叫Domain Controller,而DNS並不是一定要跟DC同一台,也不是DNS一定要是DC的IP,而是一般會把DC跟DNS放同一台方便管理
Client的DNS位址不是指到DC,而是要指到可以解析到DC的DNS位址上
我也沒什大工程實務經驗
不過一般分公司跟總公司應該會用Site to Site VPN吧,兩邊一直保持連線狀態
一種是你自己做VPN、一種是請ISP幫你做VPN
而分公司如果只用總公司內的DNS跟AD的話,兩邊線一斷分公司就GG了
« 上次編輯: 2014-05-15 09:13 由 小穎 »