Domain Policy Over WAN

[slave of the mind]

Domain Policy Over WAN

שלום לכולם. בעיה קצת מוזרה אז אנסה לפשט אותה. יש לי דומיין שמתקיים כבר כמה שנים (הוא היה שם לפניי) ופתאום לפניי חודש שמתי לב לבעיה נפלאה שאי אפשר לשלוח את הPOLICY דרך WAN כדי לפשט ולהפוך למציאות - מרכז החברה נמצא בת"א ויש לי כמה משתמשים מעצבנים בחיפה. שלחנו להם מחשב חדש שצריך לקבל את כל הPOLICY כולל כמה התקנות של מוצרים שמשתמשים בהם. הבעיה שנוצרה היא שכשמנסים להכנס עם היוזרים שלהם של הרשת לוקח לו מספר שעות ארוכות אם בכלל מצליח להכנס. אין לי חסימות בפיירוולים. ולא מצאתי שום דבר בGPO שעלול להפריע עם זה. אם למישהו יש רעיון או הסברים אני אשמח לקבל. תודה ויום נעים

 

[antidot]

------>

מהו רוחב הפס בין האתרים ? האם שינית את של Slow Link Detection ב-GPO ? בברירת מחדל ההגדרות ה"כבדות" כגון folder redirection ו-software installation לא חלות דרת WAN links. שאלות נוספות: - האם יש DC בחיפה ? - אם כן, האם הוא גם GC ? - לאיזה שרת DNS פונות התחנות בחיפה ? - האם יש שרת WINS ? אם כן, איפה ? - האם מוגדר DDNS ? - האם ה subnet של חיפה מוגדר ב sites&services והאם הוא משוייך לsite שבו קיים DC/GC ? בינתיים מספיק...

 

[slave of the mind]

אז הנה התשובות

רוחב הפס אני לא בטוח אבל אני חושב שזה עד 100MB (לפי הגיון האיטי קובע) לא שיניתי את הגדרות הSLOWLINK DETECTION אבל כרגע אני גם לא זוכר לאיזה ערך הן מקובעות. אין DC בחיפה (בינתיים), DNS,WINS,DC וSite&services כולם יש רק את האתר המרכזי של ת"א ואת הסבנט של חיפה הוספתי אתמול. ושאלה קטנה... מה זה GC? מעולם לא שמעתי על המושג הזה

 

[פוֹלי]

Global Catalog

A Windows repository that stores Active Directory directory topology and schema information for Active Directory directories

 

[slave of the mind]

אז...

הנה מצאתי עוד משהו לחקור עליו מחר. עוד דברים שלדעתכם כדאי לבדוק? ודברים שכדאי לדעת לפניי שמתחילים לתכנן DC מרוחק נוסף?

 

[בעז 21]

כן,

המלצתי שכל DC יהיה GC ...

 

[antidot]

המממ

זה לא תמיד נכון ובמקרים מסויימים אפילו גורם לבעיות. לדוגמא ב forest של יותר מדומיין אחד, אסור שDC שמחזיק את Infrastructure Master FSMO שיהיה GC, אחרת הוא לא יעדכן phantoms וcross-domain references.

 

[בעז 21]

כן מדובר במקרים מאד קיצונים

forest עם יותר מדומיין אחד זה בדרך כלל פאק בעיצוב. היום חוץ מאולי הגדרות Password ופוליטיקה (שם דומיין) אני אישית לא רואה שום צורך בהגדרה מיותר מדומיין אחד בחברה..

 

[antidot]

????

א. זה רחוק מאוד מלהיות "מקרים קיצוניים" מהסיבה הפשוטה שישראל וסדרי הגודל של AD בארץ רחוקים מלייצג את מה שקורה בעולם. ויש המון סיבות להקמת דומיינים נפרדים באותו forest. תקרא קצת את התיעוד...

 

[myofer]

100MB זה Lan ולא Wan ../images/Emo70.gif

על איזו תשתית האתרים מחוברים?

 

[slave of the mind]

אממ לאלו שלא הבינו

האתרים ביניהם מחוברים על תשתית FIBER מעבר לזה לא התעמקתי הרבה כשאמרתי שהאיטי קובע התכוונתי שבכל נקודה סופית (חיפה ות"א) יש צוואר בקבוק של 100MB... הגיון פשוט אומר אם יש לי נקודת מעבר שזו המהירות הכי גדולה שלה אז זו תיהיה המהירות הגבוהה ביותר בתשתית

 

[ezaton]

בחשבון זריז, ברשותך

עבור חיבור של 1Mb/s סימטרי, נדרשתי לשלם בערך 1,100 ש"ח. עבור חיבור fibre, שיודע להעביר (ניתן לך הנחה, רק 1Gb/s), עם הנחת חבר מועדון, בערך 500 אלף ש"ח בחודש? לא נשמע לי סביר. חיבור ה- wan הוא תמיד צוואר הבקבוק בחיבור, בשל מחירו האסטרונומי. זה שמגיע כבר אופטי זה נחמד, אבל הקצב שהוא מעביר רחוק מלהיות האידיאל של הכבל, אלא תלוי בהרבה גורמים (רובם טכנולוגיים), והחשוב בהם הוא דווקא "כמה אתה משלם לבזק". בתלות בגורם האחרון, כך קצב החיבור שלך בין האתרים.

 

[slave of the mind]

חזרה לנושא

הקישור בין האתרים הוא יחסית איטי אין לי מה לעשות עם הנדון הזה אני חיי עם מה שנותנים לי מה שכן ביקשתי זה עזרה בנושא הGPO שלא נטען כראוי במקומות מרוחקים אם בכלל נטען ולא נתקע על הטעינה משהו כמו לילה או שתיים

 

[עדיבן25]

אתה יכול לנסות להתחכם עד מחר

אבל כמו שזה נראה, הבעיה שלך היא תעבורה של הרבה נתונים על גבי תשתית איטית. הצעתי לך, תרים שרת בסניף המרוחק, שיהיה DC, שיעשה סינכרונים בלילות מול ת"א. ככה התחנות יבצעו לוגינים, הורדות של פוליסיז, התקנות , גיבויים ושאר ירקות, מקומית. כנראה שחומרה פשוטה תספיק פה, אז העלות לא תהיה ממש קריטית (בינתים, תתקין שרת 2000 על תחנה, היא אפילו לא צריכה להיות חזקה במיוחד אם כל מה שהיא עושה זה לוגין לכמות מועטה של תחנות וסינכרונים בלילות, והשיפור בעבודה יהיה משמעותי.

 

[slave of the mind]

זה לא היה נסיון להתחכם

והבעיה היא שנכון להיום לא נותנים לי להרים DC נוסף על כל תחנה מרוחקת. אבל תודה בכל זאת על מי שתרם איזו דעה כאן

 

[עדיבן25]

חחחח

לא היתה כוונה לעקוץ , הכוונה היתה שאין מה לנסות להתחכם טכנית, לנסות לעקוף בעיה פשוטה באמצעים מתוחכמים

 

[slave of the mind]

שוב פעם אין התחכמות

אני לא עורך את כל הקביעות אני יותר מתמודד עם מה שנותנים לי כרגע לא ייתנו לי אפילו PC מחורבן גרוטאה כדי לשים על כל מיקום מרוחק DC\GC אז הפתרון הזה לא שווה לי... אני מדבר משהו יותר ברמה הטכנית לדוגמא מספר SERVICES שמצאתי במייקרוסופט שעבודה נכונה איתם יכולים לעזור לי. בנוסף גם שמירה מקומית של היוזרים שנעשה בהם שימוש לאחרונה יכול להביא למצב יציב ויעיל של המערכת במקומות שאין תחלופה גבוהה של אנשים. חוץ מזה שהאיש שאחראי על הפיירוול לא עשה לי עדיין בדיקות (גיליתי אתמול רק)

 

[עדיבן25]

השמירה של פוליסיז

היא ברובה מקומית, אחרי קבלה ראשונה שלך אבל תנסה לשחק גם עם ה DNS של התחנות בחיפה, תפנה אותן ישירות לשרת הראשי בת"א. זה בהחלט יכול להאיץ את התהליך

 

[slave of the mind]

כבר עשיתי את זה ממזמן

 

[Zig35]

אז תגיד...

... לבוסים שלך שזה מה שהכסף שלהם נותן, וזה מה שהם מקבלים. - לחילופין תבקש מהם מחשב לשים כ-DC זמני ע"מ לבדוק ולהוכיח עד כמה זה עוזר וכמה זה יכול בסופו של דבר לחסוך לחברה בזמן מבוזבז. (תעשה קצת חישובים. בוסים אוהבים לראות גרפים.. hint hint..

). ולפני שקופצים עלי - כן, אני יודע שזה לא פתרון "נקי" - לשים DC ולהוריד אותו. אבל ההנחה היא שברגע שיראו שזה עוזר, הם ישתכנעו להשאיר את זה לפחות שם, ואולי גם באתרים ראשיים נוספים אם לא בכולם. - דבר אחר שאתה יכול לנסות זה לאפשר QoS על הקווים. תן ל-LDAP וכל שאר הפורטים הרלבנטיים את רוחב הפס הדרוש להם, ואולי הם לא ייתקעו בגלל כל מיני שטויות אחרות שעוברות ברשת (מישהו אמר דואר זבל?). - ותבדוק מה עוד נמצא לך באמצע הקו ומאיט את העניינים - Firewalls? outdated swithes/routers? packet scramblers? - וגם קצת sniffing לא יזיק לך לעשות, ע"מ לבדוק מה קורה בקו בזמן שה-policies נתקעים שם. (אולי הם לא מוצאים את הדרך כי חשוך, או אולי פשוט קשה להם לעלות את הקסטל...)