Active Directory автономный режим

Доброго времени суток, уважаемые участники форума.
На днях получил "шабашку" в виде заказа: имеется 35 компьютеров, 1 физический сервер HP Prolliant G5 и сетевое NAS-хранилище QNAP объемом в 4Тб.
Поставлена задача организовать сеть, на физическом сервере поднять три виртуальных 1С (1), Прокси (2) и Контроллер домена (3) - все это прерогатива заказчика.
1. Сервер 1С решено поднять на Ubuntu - 1С будет запускаться с ярлыка RDP без удаленного раб.стола, т.е. сразу приложение (аналогично RemoteApp на WS). Бэкапы 1С будут складываться ежедневно на сетевую хранилку QNAP.
2. Прокси также будет на Ubuntu+Squid, на этом же сервере будет общая шара, бэкап которой будет также складироваться на выше упомянутую сетевую хранилку.
3. Контроллер домена, тут требование таково: т.к. резервного сервера контроллера домена не будет, то нужно сделать таким образом, чтобы доменные профили пользователей, которые уже автоизованы на компьютерах домена, в случае отказа/падения сервера AD могли перезагружаться и работать дальше, будто домена нет и не было. Иными словами, взять любой комп, отключить его от сети, загрузиться под доменным профилем и не получить ошибку в виде "Не удалось установить доверительные отношения с сервером".
Пока приходит на ум средствами групповых политик добавлять авторизуемых пользователей в группу локальных пользователей. Какие еще имеются способы в решении сего вопроса?
З.Ы.: от домена отказаться нельзя, т.к. заказчик настаивает на его наличии, аргументируя это удобством централизованного управления ограничениями и т.п.

0

Сообщение от Maks Пока приходит на ум средствами групповых политик добавлять авторизуемых пользователей в группу локальных пользователей.

ну только это и приходит\

Сообщение от Maks в случае отказа/падения сервера AD могли перезагружаться и работать дальше, будто домена нет и не было.

Сообщение от Maks "Не удалось установить доверительные отношения с сервером"

тут и хеш кэшированных паролей помочь вроде как должен, включить его, емнип, надо
http://myscrapbook.narod.ru/sb... index.html
судя по задаче, профиль будет локальным (машины-то, видимо, обычные (не тонки) будут)?

Добавлено через 2 минуты
он, кстати по дефолту должен быть включен
ключ cachedlogonscount=0 в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\
отключает

1

Сообщение от insect_87 судя по задаче, профиль будет локальным (машины-то, видимо, обычные (не тонки) будут)?

Там разносол из стационарников и ноутов, но в целом да - это будут компьютеры.

Сообщение от insect_87 тут и хеш кэшированных паролей помочь вроде как должен, включить его, емнип, надо http://myscrapbook.narod.ru/sb... index.html

Сообщение от insect_87 он, кстати по дефолту должен быть включен ключ cachedlogonscount=0 в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\ отключает

А вот за это респект, не учел, обязательно применю данную функцию при реализации поставленной мне задачи.

Добавлено через 4 минуты
Попутный вопрос: если загнать сервера на Ubuntu в домен, они будут работать при его отказе?
И можно ли сделать доменную авторизацию в 1С на Ubuntu, не вводя сервер в домен?

Добавлено через 12 часов 48 минут

Сообщение от Maks Попутный вопрос: если загнать сервера на Ubuntu в домен, они будут работать при его отказе? И можно ли сделать доменную авторизацию в 1С на Ubuntu, не вводя сервер в домен?

Вопрос снят: программисты 1С сказали, что доменную авторизацию можно настроить и без ввода сервера в домен, собственно, этим будут заниматься уже они.

0

Maks, а зачем изощрятся то так, даже если КД упадет, локально на машинах останутся учетки "падшего" домена, ну чуть медленнее но экран приветствия в любом случае пройдет, а дальше авторизацию уже самой 1С или я не совсем задачу понял?

Вот с полгода назад контора около 20-25 машин физически райд развалился, новые харды, залил винду, АД, создал 20 новых пользователей в совершенно новом домене (бекапов никаких не было), а прогой profwiz сохранившиеся локально учетки старого домена соединили с вновь созданными, пользователи даже не заметили, что у них сервак рухнул и они фактически работают под другими учетками. Хватило на это вечера. Ну если контора хотит в обще производство без остановки, то извините - выделяйте деньги на резервные серваки...

0

HotBeer, задача развернуть домен, но не делать его основым.
В этой конторе нет штатного специалиста, поэтому в случае падения контроллера домена резко отреагировать будет некому. Второй сервак планируется, но нескоро и только после того, как действующая информационная система будет запущена и реализована.

0

Сообщение от Maks задача развернуть домен, но не делать его основым.

Значит есть другой основной? Ничего не понимаю, ты же написал, что сервак один...

Сообщение от Maks В этой конторе нет штатного специалиста

В той также не было, поэтому и справился не за рабочий день, а за вечер

0

Сообщение от HotBeer Значит есть другой основной? Ничего не понимаю, ты же написал, что сервак один...

Имелось в виду не привязывать к домену все и вся, а сделать так, чтобы ИС могла работать автономно в случае отказа сервера AD, повторюсь - это прерогатива заказчика.

0