laborant А по поводу "железки" с VPN, очень симпатично пашет всем известный ZyXEL. Дешево и красиво. Все, что тебе надо, там есть. И стоит на порядок (или два) дешевле, чем Cisco или им подобные. Опять же, смотря какие у тебя задачи. Если без параноидального total security (а я думаю, что именно так у тебя и обстоит дело ), то вполне и очень даже...

а если без железки, как организовать работу, совместную двух доменов, один в Москве, другой в Балтийске... а?

laborant

Так же, как и с железкой... Soft-VPN. A какая скорость у тебя? И какой(е) домен(ы)? Это понятие растяжимое... Сколько народу и какие задачи надо решать?

скорость у меня 128 кбит
для начала нужно хотя бы, чтобы домен (AD) вошел в состав уже действующей группы доменов... чтобы пользователь из московского домена смог залогинуться в Балтийске и дотянуться до своего компа в Москве.. ну например за файлом из папки "Мои документы", чтобы доступ к шарам был.. ну и т.д.

laborant

Ну самая обычная ситуация, при этом принципиально абсолютно неважно, какая связь при этом имеется, и на этот счет просто море рекомендаций, советов и готовых решений (лес, сайт, доверительные отношения, пр.....), в зависимости от самой схемы. Что же касается реального исполнения, то при твоей скорости логин будет происходить безумно долго, а если пользователей много? А почта? А репликации?

This post has been edited by retro on 11-05-2004, 15:23

Дело в том, что я планирую заранее это сделать. чтобы к моменту когда начнем - быть в курсе. Потому что очень скоро планируется расширение канала до 2 Мбит и уже можно будет всерьез об этом думать

Можно для меня ликбез небольшой сделать по этому вопросу? Или меня проще в книжку послать?

Чтобы огород не городить, поищу чего-нибудь хорошо и просто написанное.
А книжка... Да это всегда САМОЕ лучшее. Из всех, которые приходилось читать, особенно запомнилась одна. Если не ошибаюсь, Федор Зубанов. "Active Directory - подход профессионала". В России она продается везде и дешево. Обязательно купи, тем более, что собираешься работать, а не просто так. Получишь удовольствие!

This post has been edited by retro on 11-05-2004, 14:36

lab, для твоей задачи я-бы просто поднял софтовый VPN между домен-контроллерами. Прямо родной от MS.
Доступ к московским файлам из Балтийска особо шустрым не будет, но это и не самая частая операция. А логины авторизуются локально. Репликация будет идти долго и нудно, но настрой ее на 2 часа ночи и пусть себе ходит.

ну и что мне делать - пытать Фила или пойти искать книжку?

А как это - вообще без железки ?
Раутеры есть ? Ежели Циски - то между ними ВПН и подымай.

FiL
Все зависит от схемы, и если

т.е., насколько я понял, дочерний домен, с Global каталог на основном. Тогда логин будет на том домене. Если разговор просто о доверительных (я этого не увидел из постановки вопроса), то тогда да, локально.

heineken man
у меня програмный раутер - Kerio WinRoute FireWall

Это конечно противотечит некоторым моим принципам, но в этом случае я вижу как два MS ISA сервера делают Site-to-Site VPN. Может быть PPTP или L2TP/IPSEC. Они же служат и стенками в обеих сетях. Можно конечно и между серверами, используя RRAS сервис, но в таком случае нужно проверить что существующая стенка поддерживает VPN passthrough.

Одно дерево. Дочерний домен в Балтийске. Global catalog в Москве.
Авторизация проходит на ближайшем контроллере. А иначе какой смысл в нескольких, разнесенных территориально, контроллерах.

Изменения да, будут посылаться в Москву. Но авторизация будет проходить локально.

heineken man

А почему нельзя просто?

И я об этом же писал. И работает без проблем, там ты и выбираешь тип подключения. А вот насчет логина удаленно или локально... Чего-то сомнения стали меня одолевать.  FiL Ты уверен, что во всех случаях локально?    
P.S. Tы меня опередил с ответом. Вот:

Еще раз прочитай.
Дочерний домен в Москве.

This post has been edited by retro on 11-05-2004, 17:27