Копилка знаний

2.1.37 Планирование и управление Active Directory

План-график развертывания

Основные вехи в плане-графике развертывания Active Directory

Анализ существующей инфраструктуры

В первуюочередь определяется географическая модель организации, то есть определяются следующие составляющие.

На основании данной информации создается карта территориального размещения организации и проводится анализ топологии существующей сети. Для сбора сведений об информационных потоках в организации анализируется текущая модель администрирования и существующие процессы в организации.

Планирование структуры Active Directory

Первый шаг в планировании структуры ActiveDirectory –определение лесов и доменов. Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в следующей лекции.

 

Проектирование структуры леса

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, – сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании. Использование единственного леса для большой корпорации требует высокой степени доверия между разнообразными и, возможно, разъединенными деловыми подразделениями. В конечном счете количество развертываемых лесов зависит от того, что является наиболее важным для компании: легкость совместного использования информации в пределах всех доменов леса или поддержка полностью автономного и изолированного управления частями структуры каталога.

Для более успешного проектирования структуры лесов службы Active Directory необходимо привлечение бизнес-заказчиков, которые являются основными потребителями услуг, обеспечиваемых ИТ-инфраструктурой. Эти задачи касаются вопросов доступности информации, безопасности, простоты управления и практичности. Менеджеры обычно включаются в принятие решений, которые не могут быть изменены сразу после развертывания. Среди этих решений – вопрос о том, сколько лесов и доменов требуется сети и сколько должно быть развернуто доменных пространств имен.

 Лес Active Directory предназначен для того, чтобы быть отдельным самодостаточным модулем. Внутри леса должна быть реализована возможность совместно использовать информацию и сотрудничать с другими пользователями из того же самого подразделения. Проектируя самый высокий уровень инфраструктуры Active Directory, необходимо решить, нужно ли развертывать один лес или несколько. Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:

В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами.

Обдумывая вопрос, касающийся количества развертываемых лесов, необходимо оценить каждый из этих факторов для определения потребностей организации, в которой планируется внедрение Active Directory.

Проектирование доменной структуры

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов. Первая задача состоит в том, чтобы задокументировать конфигурацию текущих служб каталога и определить, какая часть текущей инфраструктуры может быть модернизирована, а какая должна быть реструктурирована или заменена. Затем определяется необходимое количество доменов и их иерархия.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.

Применение одного домена

Простейшая модель Active Directory – единственный домен. Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно исходить из предположения, что будет использоваться один домен, и пытаться остаться в рамках этой модели.

В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс- доменные аутентификацию и разрешения. Кроме того, при использовании одного домена гораздо проще обеспечить централизованное управление сетью.

Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.

Использование нескольких доменов

Хотя однодоменная модель дает существенное преимущество – простоту, иногда приходится использовать несколько доменов, потому что существует много серьезных оснований для такого решения.

Лучше планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.

При использовании модели Active Directory с несколькими доменами выполняются следующие правила:

Проектирование корневого домена леса

Другое важное решение, которое целесообразно принять при планировании развертывания службы Active Directory: необходимость развернуть назначенный корневой домен (называемый также пустым корнем). Назначенный корневой домен (dedicated root domain) – это домен, который выполняет функции корневого домена леса. В этом домене нет никаких учетных записей пользователей или ресурсов, за исключением тех, которые нужны для управления лесом.

Для большинства компаний, развертывающих несколько доменов, настоятельно рекомендуется иметь назначенный корневой домен. Корневой домен – это критический домен в структуре Active Directory, содержащий административные группы уровня леса (группы Enterprise Admins и Schema Admins) и хозяев операций уровня леса (хозяина именования доменов и хозяина схемы). Кроме того, корневой домен должен быть всегда доступен, когда пользователи входят на другие домены, не являющиеся их домашними доменами, или когда пользователи обращаются к ресурсам, расположенным в других доменах. Корневой домен нельзя заменять, если он разрушен, его нельзя восстановить – необходимо заново построить весь лес.

Дополнительные задачи при проектировании домена:

Краткие итоги

В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:

При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.

Первый шаг в планировании структуры Active Directory – определение лесов и доменов.

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, – сколько лесов потребуется.Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.

Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:

В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.

 

Exit mobile version