Interligar Matriz e Filiais

profdaniel · 26 de setembro de 2010

Olá galera, tudo bem com vocês? Espero que sim.

Estou precisando de uma ajuda, se puderem me ajudar ficarei muito grato.

Trabalho em uma empresa que possui uma Matriz e 6 Filiais. Na matriz tenho alguns servers Parrudos, uso Windows 2008 server na matriz.

Minha dúvida é: Como posso interligar minhas filiais para que todos os usuários das Filiais façam autenticação no meu servidor da Matriz? Nas filiais ainda não tenho nenhum servidor, essa é uma outra dúvida, preciso ter um servidor nessas filiais para que os usuários possam autenticar na matriz?

O meu servidor da Matriz precisa estar na borda da internet? Precisar estar na Wan para que eu possa fazer esses usuários se autenticarem no meu domínio da matriz?

Minha ideia é criar todas as politicas de segurança na Matriz e fazer com que todos das filiais fiquem sobe a demanda dessas politicas.

Fico muito agradecido antecipadamente sua ajuda.

Um abraço e fiquem com Deus.

Fillipe Dayvid · 26 de setembro de 2010

Daniel, neste caso posso tentar de ajudar, seguinte: Você tem algumas opções, dentre ela a mais barata que seria VPN por não precisar de link direto, recomendo você adicionar nas filiais um Cisco ASA 5510 que por sua vez atua como Firewall e tem suporte para 10 VPN, assim você cuidaria da segurança da empresa e estaria "na rede da matriz" além de não precisar de um server local, os servidores da matriz iriam trabalhar para todas as filiais, ou então você fazer a VPN pelo próprio server 2008 assim teria que haver um servidor em cada filial, existe outras maneiras que até podem ser mais baratas porém não tão confiável quanto a primeira (CISCO).

Att, Fillipe Dayvid - CCNA - CCNP - Rumo ao CCIE

netadmin · 26 de setembro de 2010

A opção do Fillipe Dayvid é uma boa se você possui poucos usuários para conectar no AD da matriz, se tiver um número grande de usuários se conectando é melhor configurar um AD em cada filial ou pelo menos nas filiais com mais usuários.

Fillipe Dayvid · 26 de setembro de 2010

netadmin realmente você tem razão, temos que avaliar o link que ele também possui nas filiais, se o link for baixo a VPN não compensa.

profdaniel · 27 de setembro de 2010

Fellipe e netadmin, obrigado pelo feedback. Realmente o que me preocupa realmente o volume de informações trafegando pelo Link, hoje eu já tem um ERP TOTVs no qual todas as filiais usam meu Link aqui na Filial.

O que vocês acham, eu tenho servidores disponiveís que eu posso estar colocando nessas filiais, ai fiquei com outra dúvida, existe a possibildade das Filiais receberem a Politicas de segurança do AD da Matriz? Fazer uma replicação pela Wan, ou é preciso configurar as regras em cada servidor de cada filial?

Fillipe Dayvid · 27 de setembro de 2010

Daniel, infelizmente não posso te ajudar muito com Windows Server, não é muito a minha praia, mas vamos lá no pouco que eu sei.

Seguinte, se o teu link já é sobrecarregado a VPN não seria muito interessante mesmo que apenas utilizasse para Logar os usuários, outra forma de se fazer é instalar o DC na Matriz como Global e não LOCAL e na filial instale um DC porém como FILHO da MATRIZ ou seja, você precisaria de um servidor para cada Filial e este mesmo server seria tb DNS, porém sincronizado com a MATRIZ.

A VPN só consome link quando é "acionada", porém o link sobrecarregado com Totvs deixaria o logon muio lento.

Resumindo, coloque um DC em cada filial, justamente o contrário do que vou fazer... hehe!

Abraços,

Fillipe Dayvid

netadmin · 3 de outubro de 2010

Sim é possível os servidores das filiais pegarem as políticas de segurança da matriz, aliás se você fizer com o Windows 2008 que atualmente é o mais recomendado, você pode criar nas filiais o RODC, neste caso quem estiver nas filiais não conseguiram alterar e nem incluir usuários no AD ou alterar qualquer política, todas as mudanças continuarão a serem feitas na matriz e qualquer alteração de segurança e GPOs serão replicadas para as filiais, não sendo necessário um link de grande porte.