Опубликован: 29.07.2008 | Доступ: свободный | Студентов: 5886 / 475 | Оценка: 4.12 / 3.54 | Длительность: 14:06:00
ISBN: 978-5-94774-969-4
Лекция 4:

Планирование развертывания Active Directory

< Лекция 3 || Лекция 4: 12 || Лекция 5 >

Проектирование доменной структуры

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов. Первая задача состоит в том, чтобы задокументировать конфигурацию текущих служб каталога и определить, какая часть текущей инфраструктуры может быть модернизирована, а какая должна быть реструктурирована или заменена. Затем определяется необходимое количество доменов и их иерархия.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory [ 13 ] :

  • Граница репликации. Границы домена являются границами репликации для раздела домена каталога и для информации домена, хранящейся в папке Sysvol на всех контроллерах домена. В то время как другие разделы каталога (раздел схемы, конфигурации и GC) реплицируются по всему лесу, раздел каталога домена реплицируется только в пределах одного домена.
  • Граница доступа к ресурсам. Границы домена являются также границами для доступа к ресурсам. По умолчанию пользователи одного домена не могут обращаться к ресурсам, расположенным в другом домене, если только им не будут явно даны соответствующие разрешения.
  • Граница политики безопасности. Некоторые политики безопасности могут быть установлены только на уровне домена. Эти политики, такие как политика паролей, политика блокировки учетных записей и политика билетов Kerberos, применяются ко всем учетным записям домена.

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов [ 3 ] .

  • Применение одного домена
    • Упрощение управления пользователями и группами.
    • Нет необходимости планировать доверительные отношения.
    • Для делегирования прав применяются OU.
  • Применение нескольких доменов
    • Возможность реализации разных политик безопасности.
    • Децентрализованное управление.
    • Оптимизация трафика.
    • Разные пространства имен.
    • Необходимо сохранить существующую архитектуру доменов Windows NT.
    • Размещение хозяина схемы в отдельный домен.

Применение одного домена

Простейшая модель Active Directory - единственный домен. Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно исходить из предположения, что будет использоваться один домен, и пытаться остаться в рамках этой модели.

В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс- доменные аутентификацию и разрешения. Кроме того, при использовании одного домена гораздо проще обеспечить централизованное управление сетью.

Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.

Использование нескольких доменов

Хотя однодоменная модель дает существенное преимущество - простоту, иногда приходится использовать несколько доменов, потому что существует много серьезных оснований для такого решения [ 13 ] .

  • Трафик репликации должен быть ограничен. Раздел каталога домена, который является самым большим и наиболее часто изменяемым разделом каталога, копируется на все контроллеры домена в домене. В некоторых случаях это может вызывать слишком большой трафик репликации между офисами компании (даже если сконфигурировано несколько сайтов).
  • Между офисами компании существуют медленные сетевые подключения или в офисах имеется много пользователей. Единственный способ ограничить в этом случае трафик репликации состоит в том, чтобы создать дополнительные домены.
  • Любые офисы компании, связь между которыми обеспечивается только простым протоколом передачи почты (SMTP), должны конфигурироваться как отдельные домены. Информация домена не может реплицироваться через связи сайта, использующие протокол SMTP.
  • Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberos состоит в развертывании отдельных доменов.
  • Необходимость ограничивать доступ к ресурсам и иметь административные разрешения.
  • В некоторых случаях дополнительные домены создаются потому, что лучший путь перехода для организации состоит в модернизации нескольких уже имеющихся доменов.

Лучше планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.

При использовании модели Active Directory с несколькими доменами выполняются следующие правила [ 3 ] :

  • в каждом домене требуется хотя бы один контроллер;
  • групповая политика и управление доступом действует на уровне домена;
  • при создании дочернего домена между родительским и дочерним доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения ;
  • административные права, действующие между доменами, выдаются только для администраторов предприятия;
  • необходимо создавать доверяемые каналы.

Проектирование корневого домена леса

Другое важное решение, которое целесообразно принять при планировании развертывания службы Active Directory: необходимость развернуть назначенный корневой домен (называемый также пустым корнем). Назначенный корневой домен (dedicated root domain) - это домен, который выполняет функции корневого домена леса. В этом домене нет никаких учетных записей пользователей или ресурсов, за исключением тех, которые нужны для управления лесом.

Для большинства компаний, развертывающих несколько доменов, настоятельно рекомендуется иметь назначенный корневой домен [ 13 ] . Корневой домен - это критический домен в структуре Active Directory, содержащий административные группы уровня леса (группы Enterprise Admins и Schema Admins) и хозяев операций уровня леса (хозяина именования доменов и хозяина схемы). Кроме того, корневой домен должен быть всегда доступен, когда пользователи входят на другие домены, не являющиеся их домашними доменами, или когда пользователи обращаются к ресурсам, расположенным в других доменах. Корневой домен нельзя заменять, если он разрушен, его нельзя восстановить - необходимо заново построить весь лес.

Дополнительные задачи при проектировании домена [ 3 ] :

  • планирование DNS;
  • планирование WINS;
  • планирование инфраструктуры сети и маршрутизации;
  • планирование подключения к Интернету;
  • планирование стратегии удаленного доступа.

Краткие итоги

В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:

  • Формирование проектной группы.
  • Инициация проекта, согласование плана работ, ролей и ответственности.
  • Обследование существующей инфраструктуры.
  • Планирование структуры Active Directory.
  • Развертывание тестовой среды, тестирование миграции.
  • Развертывание структуры Active Directory корневого домена в центральном офисе.
  • Тиражирование решения на филиалы организации.
  • Доработка и сдача документации.

При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.

Первый шаг в планировании структуры Active Directory - определение лесов и доменов.

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, - сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.

Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:

  • Глобальный каталог.
  • Раздел конфигурации каталога.
  • Доверительные отношения.

В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:

  • Одна схема.
  • Централизованное управление.
  • Политика управления изменениями.
  • Доверенные администраторы.

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:

  • граница репликации;
  • граница доступа к ресурсам;
  • граница политики безопасности.

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.

  • Применение одного домена:
    • упрощение управления пользователями и группами;
    • нет необходимости планировать доверительные отношения ;
    • для делегирования прав применяются OU.
  • Применение нескольких доменов:
    • возможность реализации разных политик безопасности;
    • децентрализованное управление;
    • оптимизация трафика;
    • разные пространства имен;
    • необходимо сохранить существующую архитектуру доменов Windows NT;
    • размещение хозяина схемы в отдельный домен.

Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в "Модели построения лесов и детализация доменной структуры" .

< Лекция 3 || Лекция 4: 12 || Лекция 5 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Виктор Мамонов
Виктор Мамонов
http://www.intuit.ru/studies/courses/1068/259/lecture/3546