Реплики

[Орлов Алексей]

Коллеги, добрый день. Помогите разобраться, никак не въеду . Есть дерево, 2 организационных единицы, назовем их офис 1 и офис 2. Территориально, они распределены, в офисе 1 стоит 4 сервера в контейнере верхнего уровня, в офисе 2 пока ничего нет, но планируеться установка сервера в это же дерево. Так вот что мне нужно: как расселить реплики, возможно ли создание двух реплик мастер и как, ни как не найду. Для чего:Правами на дерево я обрежу администратору того офиса дорогу к себе, но для меня она должна остаться, это все можно сделать правами в дереве, но на сколько я знаю, можно не зная пароля с консоли сервера запустив утилиту создать в любом месте дерева пользователя с правами администратора, мне соответсвенно этого нужно избежать. Может у кого есть светлые идеи и мысли. Заранее спасибо за ответ.

[Алексей Волков]

Я бы на вашем месте сделал так:
1) Выделяем в отдельные разделы контейнеры "Organization" или "Organization Unit" (в зависимости от иерархии дерева). При этом получаем маленький раздел [root]
2) У вас оставляем все реплики. Если хотите, чтобы админ второго офиса у себя сам выполнял операции "дробления" или "слияния частей" его поддерева, то отдайте мастер реплику его патиции ему, иначе оставьте у себя
3) !И ГЛАВНОЕ! Во второй офис положите фильтрованную read-only реплику [root] (в фильтр включите все объекты контейнера SECURITY). Желательно, чтобы она всё-таки была, например, для того, чтобы NMAS в поисках контейнера SECURITY не лез по WAN-каналу, или для NSure Audit.

Имея всего-навсего фильтрованную реплику [root] никакими средствами с консоли второй админ расширить себе права на [root] не сможет (для подобных операций ему нужна R/W или Master). Обычную RO реплику использовать нельзя, так как её легко можно поменять на R/W из того же dsrepair, а вот для смены фильтрованной реплики на обычную нужно право S на корневой контейнер раздела, которых у второго админа не будет.

[Орлов Алексей]

да согласен у меня сделано так root в нем офис 1 и офис 2, в офисе 1 то что я описывал выше, в офисе 2 пока ничего нет.

!И ГЛАВНОЕ! Во второй офис положите фильтрованную read-only реплику [root] (в фильтр включите все объекты контейнера SECURITY). Желательно, чтобы она всё-таки была, например, для того, чтобы NMAS в поисках контейнера SECURITY не лез по WAN-каналу, или для NSure Audit.

т.е. я понимаю, на тот сервер который установлен у него назначить реплику rw, правильно?

[Орлов Алексей]

извините, а можно чуть по-подробнее, я создал разделы офис 1 и офис 2 сервер с мастер репликой стоит в офисе 1, сервер с репликой rw во- втором. Не совсем понятно, по 2 пункту вашего предложения.

[Алексей Волков]

т.е. я понимаю, на тот сервер который установлен у него назначить реплику rw, правильно?

Нет! Речь идёт о том, что желательно наличие локальной реплики рута в Офисе 2, но для повышения безопасность её надо сделать Filtered Read Only.

Правда если у вас eDir ниже 8.6.x, то с фильтрованной репликой ничего не выйдет (такого типа там просто нет). Если eDir ниже 8.6.x, тогда реплику рута в Офисе 2 не выкладывать. В таком случае можно сделать отдельный раздел контейнера SECURITY и положить его реплику. Хотя если второй админ добавит себе права при помощи adminadd.nlm на SECURITY, то это не очень хорошо... ведь он может и накуралесить с очень важными объектами.

[Орлов Алексей]

А фильтрованную реплику можно назначить только через imanager?

[Алексей Волков]

извините, а можно чуть по-подробнее, я создал разделы офис 1 и офис 2 сервер с мастер репликой стоит в офисе 1, сервер с репликой rw во- втором. Не совсем понятно, по 2 пункту вашего предложения.

Как известно, главное отличие MASTER от READ/WRITE - это то, что операциии связанные с разделами и репликами NDS выполняются (т.е. инициируются) над MASTER-репликами.

Если второй админ будет самостоятельно выполнять данные операции, то на площадке Офис2 разместите MASTER-реплику Офис2, а у вас в офисе READ/WRITE-реплику.

[Алексей Волков]

А фильтрованную реплику можно назначить только через imanager?

ConsoleOne тоже подойдёт

[Орлов Алексей]

Как известно, главное отличие MASTER от READ/WRITE - это то, что операциии связанные с разделами и репликами NDS выполняются (т.е. инициируются) над MASTER-репликами.

Если второй админ будет самостоятельно выполнять данные операции, то на площадке Офис2 разместите MASTER-реплику Офис2, а у вас в офисе READ/WRITE-реплику.

Да я все так и сделал Буду разбираться с фильтрованной репликой.

[Timur Kazimirov]

А зачем во втором офисе вообще реплика рута, хоть фильтрованная, хоть вобще какая? Дайте ему туда реплику только его раздела и дело с концом.

[Алексей Волков]

А зачем во втором офисе вообще реплика рута, хоть фильтрованная, хоть вобще какая? Дайте ему туда реплику только его раздела и дело с концом.

Как минимум, контейнер SECURITY.

Хотя это вариант. Если чётко всё спланировать, т.е. не использовать NMAS, настроить чётко ZENworks, чтобы не лазил вверх до самого рута, ессли не использовать Audit... то можно и не ложить!

[Орлов Алексей]

Коллеги возвращаясь к теме, возникли некоторые вопросы.
Я создал 2 раздела, в каждом свой сервер с мастер-репликой, на сервер в офисе 1 есть реплика RW на раздел 2 офиса, и вот что происходит при отключении сервера с мастер репликой в 1 офисе, во-втром офисе не работает ldap, не ищеться пользователь. как только включаю сервер в 1 офисе все начинает работать. Как это побороть, я так понимаю все таки придеться давать реплику rw из первого офиса, но с фильтрованной репликой я так и не понял?

[Алексей Волков]

Я создал 2 раздела, в каждом свой сервер с мастер-репликой, на сервер в офисе 1 есть реплика RW на раздел 2 офиса, и вот что происходит при отключении сервера с мастер репликой в 1 офисе, во-втром офисе не работает ldap, не ищеться пользователь. как только включаю сервер в 1 офисе все начинает работать. Как это побороть, я так понимаю все таки придеться давать реплику rw из первого офиса, но с фильтрованной репликой я так и не понял?

Какой baseDN вы указываете при LDAP поиске?
По умолчанию, в настройках "Referrals" используется оопция "Prefer chaining"

[Орлов Алексей]

У меня стоит "Разрешить регистрацию без указания дерева и разрешить бесконтекстную регистрацию" Если Вы об этом.

[Алексей Волков]

Подозреваю, что в этом режиме поиск идёт от рута. Это и понятно, Вы же не указываете контексты, где искать.

Включите опцию "Разрешить поиск в контексте LDAP", укажите дерево и в свойствах укажите контескт 2-го офиса. Или же положите фильтрованную реплику рута на сервер во 2-ом офисе.