Вопросы вокруг лиценз.ПО

[Sellgoods]

Знаешь в этом вопросе лично я не хочу быть святее Папы римского, в нашем случае базы знаний Майкрософт , поэтому прямяком туда и двинем
Размещение и оптимизация FSMO на контроллерах домена Active Directory
Читаем:

Некоторые операции уровня домена или предприятия, для которых не подходит размещение с несколькими хозяевами, располагаются на одном контроллере домена в домене или лесу. Использование операций с единственным хозяином предотвращает возникновение конфликтных ситуаций в случаях, когда хозяин операции отключен. С другой стороны, владелец роли FSMO должен быть доступен, когда на уровне предприятия или домена выполняются зависящие от него действия. В противном случае необходимо вносить связанные с этой ролью изменения в каталог.

Какие вопросы?
Здесь же

Dcpromo.exe выполняет первоначальное размещение ролей на контроллерах домена. Это размещение обычно подходит для каталогов, которые содержат небольшое количество контроллеров домена. Для каталогов, содержащих большое число контроллеров домена, размещение по умолчанию, как правило, не является оптимальным.

Для каждого домена необходимо определить основной и резервный контроллеры домена, обладающие ролями FSMO (на случай сбоя основного владельца ролей FSMO). Кроме того, можно выбрать внешних резервных владельцев на случай возникновения серьезных проблем на уровне сайта. При этом необходимо руководствоваться указанными ниже критериями.

вы можете просто переназначить роли даже если у вас упал КД - FSMO
Во-во... они в плановом или бухгалтерии, ча'йку попьют, а я буду с бубном переименовать роли .

Не совсем, домен домену рознь, и от количесвта зависит очень многое, советую почитать того же Зубанова, если вы к нему аппелируете.
Насколько я въехал в эту тему, то могу заметить, домен всегда разворачивается при необходимости применения политик безопасности. Хотя © 2007 Корпорация Microsoft рекомендует ( уж за линком не полезу ) ставить домен при количестве станции более 10, но здесь имеется ввиду использование широковещательного протокола NetB, а не TCP/IP. При использовании последнего, да FW на инет, о домене можно вообще забыть. Кстати, не лучший ли это вариант для примера из сетки, где в легкую вводят висту в сеть?

[Sellgoods]

Если все ж вернуться к применению домена, то совсем песня будет в варианте  одного домена и одного контроллера в нем, при отсутствие возможности разнесения ролей FSMO, это потолок по-моему для Small Bisness Server. Я имею ввиду его плановую перестановку, или чего заноситься - редкий админ не помнит про синий экран. Респект ему
Еще афайк:
Рекомендации по настройке контроллера домена Windows 2000
отсюда:

Наличие и размещение ролей FSMO
Исходное размещение ролей FSMO на контроллерах домена выполняется операционной системой Windows NT. Для каталогов, которые содержат небольшое количество контроллеров домена, операционная система обычно выбирает наилучший вариант размещения, однако для каталогов, содержащих большое число контроллеров домена, размещение по умолчанию, как правило, не является оптимальным. Размещение ролей FSMO выходит за рамки вопросов, обсуждаемых в этой статье, однако в общем случае следует руководствоваться следующими правилами.
• Роли хозяина схемы и хозяина именования домена используются редко и должны жестко контролироваться, поэтому их следует расположить на одном контроллере домена.
• Роль хозяина инфраструктуры не следует назначать контроллеру домена, который одновременно является хозяином RID, эмулятором основного контроллера домена и сервером глобального каталога. С помощью одной из консолей управления (например Dsa.msc или Ntdsutil.exe) обязательно убедитесь, что доступны все роли FSMO.

Ну да ладно, мой резюм ( давно сижу в этом мнении, пока не подводило ):
1. при необходимости исп. политик б-ти, ставить домен.
2. разворачивать минимум два Кд.
3. настраивать согласно приведенной ближайшей выше цитате.
Зы: сэнкс за перенос в другую ветку. Смешно обсуждать эти вопросы рядом с проблемы поддержки и где купить лиц. M$
Хау, я все сказал. На этот час

[piligrim]

Вопросов никаких, я не вижу пунктов которые противоречат моим высказываниям. Домен разворачивается не для этого, а для того чтобы вам в первую очередь было удобно рулить сеткой, разберитесь в конце концов со своей позицией со скольки компов нужно поднимать AD, а то то 5 то 10. Груповые политики нормально появились только в 2000 а домен был еще на NT. Домен нужен для того чтобы вы как админ не поднимая свою жопу с места могли рулить сеткой а не бегать по 4-5 офисам в разных частях города подключая принтеры (образно прошу не цеплятся к словам).
Во первых я сказал переназначить, это немного другое понятие, во второых пользователи этого не заметят, т.к. займет это мин 5 не больше, придется рассказать о ролях FSMO ибо по ходу вы слышали звон, но:
1. мастер RID. Создать пользователя вы можете на любом КД, при создании он выделяет уникальный идентификатор именуемый SID, который он делает из двух частей: первую, он получает от мастера RID,  а вторую добавляет сам. таким образом обеспечивается уникальность этого самого SID. мастер RID выдает остальным КД RID пачками по запросу. Чтоже будет если у вас вдруг станет недоступным данный КД? А ничего вы и не заметите пока у вас не кончится выделенный последний раз пул, а это даже не сутки или двое, вы же не каждый день добавляете юзеров?
2. Хозяин схемы. Отвечает за все изменения схемы каталога. При изменении схемы они потом реплицируются на все остальные КД каталога. Если быть точным, то хозяин схемы относится не к домену а к лесу, т.к. именно на уровне леса поддерживается уникальность и целостность схемы. Чтобы посмотреть что из себя представляет схема, поставтье утилиту ADSI/edit. Что же произойдет если мы выделили один КД под эту роль и он навернулся? Ничего, кроме вас этого никто не заметит, до тех пор пока вы не начнете модифицировать схему, т.к. каждый экземпляр каталога содержит ее копию, поэтому можете смело передавать эту роль и не парится, займет опять же мин 5-10.
3.хозяин именования доменов. Только он может добавлять, удалять домены и перекрестные ссылки на внешние каталоги. Если у вас один домен, то вы никогда не столкнетесь с данной ролью.При чем тут простои бухгалтерии не знаю.
4.эмулятор основного КД. с него все и началось. Недоступность данного мастера критична только для NT4. Давайте рассмотрим ситуацию при которой у нас недоступен данный мастер. Итак, а что он вообще делает?Он обрабатывает операции по изменению паролей, выполняемых пользователями , репликацию на резервные КД, роль основного обозревателя домена. Повторюсь что все это только для NT и 98 машин.Итак у нас недоступен эмулятор:
- при попытке изменить пароль пользователю рабочей станции под управлением NT или 98 без установленного клиента AD вернется сообщение:unable to change password on this account.Please contact yuor system administrator.
- при попытке запуска user manager на резервном кд под управлением NT в домене смешанного режима пользователь получит: domain unavialable. Если user manager уже запущен то RPC service unavialable.
Я так понимаю у вас в конторе практика - с утра на машинах под NT4 или 98 менять пароли, а потом еще после обеда?
И как все это скажется на работоспособности остальных юзеров? Опять же повторяю - переназначить роль мин 10 займет, и если в это время юзеры уже залогинелись то страшного ничего не будет.
5. хозяин инфраструктуры - отвечает за обновление сеждоменных ссылок. Что это? Создаешь юзера, смотришь есть такой, переименовываешь его, потом тут же лезешь в сосдний домен в твоем лесу и смотришь там, там будет старое имя, которое потом изменится на новое, это и делает хозяин инфраструктуры. У вас большой лес доменов? как часто вы такие вещи проделываете? Обычно лес доменов делается при распределенной структуре, когда юзеры заметят что у них нет межлесовой репликации через достаточно продолжительное время.

[piligrim]

Если все ж вернуться к применению домена, то совсем песня будет в варианте  одного домена и одного контроллера в нем, при отсутствие возможности разнесения ролей FSMO, это потолок по-моему для Small Bisness Server. Я имею ввиду его плановую перестановку, или чего заноситься - редкий админ не помнит про синий экран. Респект ему
Еще афайк:
Рекомендации по настройке контроллера домена Windows 2000
отсюда:Ну да ладно, мой резюм ( давно сижу в этом мнении, пока не подводило ):
1. при необходимости исп. политик б-ти, ставить домен.
2. разворачивать минимум два Кд.
3. настраивать согласно приведенной ближайшей выше цитате.
Зы: сэнкс за перенос в другую ветку. Смешно обсуждать эти вопросы рядом с проблемы поддержки и где купить лиц. M$
Хау, я все сказал. На этот час

по п.1. не совсем, домены ставят не для этого (я уже сказал)
2. если у вас до 50 компов, то 2 КД это достаточный максимум, и советую не лезть в переназначение ролей, учитвая , что похоже вы не в курсе как это делается, вам это просто не надо, разделение ролей нужно когда нагрузка на КД велика, а 50 компов даже один КД обслужит и не заметит, да еще туда же и файл-сервер можете повесить и принтсервер сделать из него, личный опыт. Два КД нужны для резервирования. Насчет восстановления делайте бэкапы, и хорошее железо а не самосборное на коленке.
3. Эта цитата применима если у вас 200-300 юзеров в офисе, а так не парьтесь.

[piligrim]

Если все ж вернуться к применению домена, то совсем песня будет в варианте  одного домена и одного контроллера в нем, при отсутствие возможности разнесения ролей FSMO, это потолок по-моему для Small Bisness Server. Я имею ввиду его плановую перестановку, или чего заноситься - редкий админ не помнит про синий экран. Респект ему

Конечно, если упадет КД единственный в домене, то это попа, но обычно так делают если юзеров не больше 20, а завести 20 юзеров, подтянуть скрипты не так уж и долго - ночь длинная, а вообще бэкапы помогут, хотя знающие люди говорят что поднимать домен из бэкапа - попа еще та. SBS придуман в отделе сбыта мелкомягких и серьезно его рассматривать нет смысла, а по моему 10-20 компов как раз та грань при которой стоит подумать а нафига это надо? Удовольствие от домена получаешь на сетке из 200-300 компов разнесенной географически, когда рулишь всем со своего места, когда не надо парится о принтерах, сетевх папках, бэкапах данных юзеров, почте.

[Sellgoods]

piligrim

советую не лезть в переназначение ролей, учитвая , что похоже вы не в курсе как это делается, вам это просто не надо

Гуру См. сюды
"Как определить сервер, который обладает ролями FSMO " Q234790

1. В меню Пуск выберите команду Выполнить, введите в поле Открыть команду cmd и нажмите клавишу ENTER.
2. Введите команду ntdsutil и нажмите клавишу ENTER.
3. Введите строку domain management и нажмите клавишу ENTER. 
4. Введите строку connections и нажмите клавишу ENTER.
5. Введите строку connect to server имя_сервера, где имя_сервера — это имя контроллера домена, для которого определяются обладатели ролей, и нажмите клавишу ENTER.
6. Введите команду quit и нажмите клавишу ENTER.
7. Введите команду select operation target и нажмите клавишу ENTER.
8. Введите команду list roles for connected server и нажмите клавишу ENTER.

"How to Find the FSMO Role Owners Using ADSI and WSH" Q235617, в это не полезем, увы Но если ГУРУ, а также очень хочется, то в самый раз.
В тему
"Захват и передача ролей FSMO" Q223787 - это прочиать, что б боялся больше
Я так понял, что piligrim - кремень, стоит твердо на своем. Может это не плохо, хуже намного, что окружение не соответствует его уровню, даже квалификации.
К тому, что привел я не знаю, что добавить. Специально, старался передать эту идею не конспектом или своими словами, преподнося на "блюдечке" с первоисточника , но может этот источник не авторитет?

Удовольствие от домена получаешь на сетке из 200-300 компов разнесенной географически, когда рулишь всем со своего места, когда не надо парится о принтерах, сетевх папках, бэкапах данных юзеров, почте.

Удовольствие обычно приходит не известными путями, мягко говоря
А вот сетка в рабочей группе может состоять и из сотен компов, принтеров, и прочей ерунду, до тех пор пока не нужны политики б е з о п а с н о с т и, необходимость которой очевидно при работе через инет.
 Примеры, думаю не нужно, если не прочитал мои сегодняшние посты, то попробуй дойти сам.

По моим пуктам, не большой повтор:
1. не нужно политики, гоу - то в рабочую Г.
2. piligrim не въедишь, что кд делается не из-за количества компов, а для управления доменом, будь он хоть из 5 компов, а не из 50?
3.если не следушь рекомендациям по настройке домена, которые я привел оттуда же, может подашь рацуху в M$? 
Думаю, они будут рады.

[piligrim]

пипец. Все предлагаю закончить тему иначе она перерастает в срач.  Напоминаю, что началось все с того что в ответ на мой пост про ВЫБОР лицензии было указано что я лох и не умею делать сетки, и что в домене вин 2000 надо ставить PDC и BDC, если вам удастся явно это сделать - в путь. Если вы мне укажете вкладку в любой оснастке где в win2000serv  или AD написано что этот домен является PDC или BDC то я извиняюсь. Правда если вы мне укажите на роль "эмулятор PDC" я откровенно пошлю вас в... лес. Я не вижу сдесь ни одного довода что в домене 2000 есть PDC и BDC. Далее , когда вам рассказали что такое роли вы опять полезли в бутылку сказав, что кто то главный а кто-то нет. У вас в фирме есть отдел снабжения, в нем работают люди у них тоже есть свои специализации: один песок возит, другой кирпич достает, но все они равнозначны, подойдите к ним и спросите почему они все не занимаются одним и тем же, не одна ли разница кто чего закупать будет?Или может тот кто песок возит важнее? Ок, на мой вопрос, чем грозит отключение КД с ролями FSMO вы мне ничего не ответили, кроме соплей, пришлось самому объяснить. Ну и в довершение, фраза : КД нужен только когда нужны групповые политики - пипец, у меня нет слов, товарищч -GP это инструмент,а не цель. Если вы так считаете, то нам с вами нечего говорить,а после того как вы сказали, что сеткой в несколько сотен компов можно рулить в рабочей группе - флаг вам в руки, заодно расскажите о своем опыте - может кто премию даст, хотя я сомневаюсь, что у вас он вообще есть.

[piligrim]

piligrim Гуру См. сюды

По моим пуктам, не большой повтор:
1. не нужно политики, гоу - то в рабочую Г.
2. piligrim не въедишь, что кд делается не из-за количества компов, а для управления доменом, будь он хоть из 5 компов, а не из 50?
3.если не следушь рекомендациям по настройке домена, которые я привел оттуда же, может подашь рацуху в M$? 
Думаю, они будут рады.

2. где я это сказал?Щас найду свою цитату.
3. реконедации надо читать грамотно
И у меня такой вопрос, а у тебя опыт управления какой сеткой?

[piligrim]

Вопросов никаких, я не вижу пунктов которые противоречат моим высказываниям. Домен разворачивается не для этого, а для того чтобы вам в первую очередь было удобно рулить сеткой, разберитесь в конце концов со своей позицией со скольки компов нужно поднимать AD, а то то 5 то 10. Груповы

[piligrim]

piligrim Гуру См. сюды
2. piligrim не въедишь, что кд делается не из-за количества компов, а для управления доменом, будь он хоть из 5 компов, а не из 50?

Итак , расшифровываю гля нормальных людей: КД(контроллер домена) делается не из-за количества компов, а для управления доменом.
Про 50 компов, если бы вы поработали админом, то наверно поняли, что с 20 компами в сетке в рабочей группе можно справится без напряга, а вот с 50 уже тяжеловато, кстати GP придуманы в том числе и для упрощения администрирования.Но насколько мне известно, на ЗиДе рабочие группы неплохо используются и при числе компов около 1000-1500, но там в принципе никаких сервисов нет, а для пасьянса много не надо, так что если с этой точки зрения подходить, то да....
Оригинально, Домен не может быть без КД, это в моем понимании.Еще, у меня на ХР стоит оснастка для управления доменом (именно доменом, согласен что через КД), но моя рабочая станция не КД. Друг мой, вы заблуждаетесь в основах, если в не можете разобратся что такое домен, то на кой вы вообще в это лезете? Еще, в своих постах, я уверенно аргументировал, что понятия PDC нет, что роли FSMO <>PDC. Нет такого термина, вы же своими постами утверждали что угодно, только не обратное, последним например, что вы узнали, что такое утилита ntdsutil, и что? Ну да про нее я и говорил и что, где там написано PDC? Где там написано что роли не переназначаются? Что вас испугало?Не надо попусту наезжать и передергивать факты.

[piligrim]

Ну и до кучи:
что такое групповые политики вы в курсе? Когда они применяются? Что ими можно сделать? Какова их эффективность применения для домена имеющего в своем составе 5 компов?

[Sellgoods]

Также напоминаю, кстати предлагаю не раздувать щеки ( имхо поводы для этого очевидны лично для ВАС ), что говорил я
1.Для приведенного, непомню когда варианта с терминалом под 1С, если не ошибаюсь, предложил исп. два КД. Назвав их PDC&BDC, расчитывал, что есть приемственность от НТ4, не с луны вы упали или может поколение пепси - радилось сразу в препологаемом серваке Longhorn? Факт нужно два Кд для устойчивого функ. домена ( если он нужен вообще ), что не было в Вашем посте, пусть и гипотетической сетки, а может реальной, но без разницы.

[Sellgoods]

2.Да надо понимать, что теория, а указанном и используемом мною варианте это еще и реальность. Понятно, что W2003 допускает исп. Nt4 Ws, W98, как бы не предупреждал при загрузке. Далее я указал, что для этих клиентов, которых нельзя сбросить, все-таки будет актуально понятие главный Кд или нет, т.к. PDC-эмулятор ставится на единственном КД и никак иначе. Чего не понятно? Понимаю, что в вашей глубоко продвинотой все сидят, если не на висте, то на крайняк на ХП. Поощряю.
3. Рекомендации читаю грамотно. Если это свойство работает или присутствует и у вас, то мог бы напомнить, M$ рекомендует для рабочей группы использовать протол NetBeui и ничего другого. Ссылку поискать в базе знаний как заменить этот протокол на TCP/IP? Если это несложное действие сделать, да еще настроить в реестре или тулзой browmon, хозяина сетевого окружения для каждого файл-сервера, то все в рабочей группе нормально могут коннетить и под сотню компов. Примеры? Не будь наивным. Домен тут, при отстутствии необходимости примения политик главное БЕЗОПАСНОСТИ , а не рулить сеткой как может велосипедом, не нужен задаром. а может и вреден.
ЗЫ, лично мне по барабану, доказывать или объяснять мэну, имеющего мнение, что н самый крутой. Я привел свои доводы + теорию от первоисточника к ним. Все.
Мне смешон вопрос об опыте работы.  Не слабый. Хотя рост предполагается. Думаю у пилигрима также возможен, на наших просторах ИТ. Заодно и пополнение теории из первоисточника.

[Sellgoods]

Ну и до кучи:
что такое групповые политики вы в курсе? Когда они применяются? Что ими можно сделать? Какова их эффективность применения для домена имеющего в своем составе 5 компов?

В курсе. Будешь принимать экз на сертификат? Заодно и своими мозгами погремишь?

[piligrim]

Также напоминаю, кстати предлагаю не раздувать щеки ( имхо поводы для этого очевидны лично для ВАС ), что говорил я
1.Для приведенного, непомню когда варианта с терминалом под 1С, если не ошибаюсь, предложил исп. два КД. Назвав их PDC&BDC, расчитывал, что есть приемственность от НТ4, не с луны вы упали или может поколение пепси - радилось сразу в препологаемом серваке Longhorn? Факт нужно два Кд для устойчивого функ. домена ( если он нужен вообще ), что не было в Вашем посте, пусть и гипотетической сетки, а может реальной, но без разницы.

на выбор лицензии это никак не влияет, для устойчивой работы домена нужен 1 кд. Два нужны для обеспечения избыточности. На устойчивость это никак не вляиет.