План-график развертывания
Основные вехи в плане-графике развертывания Active Directory
- Формирование проектной группы.
- Инициация проекта, согласование плана работ, ролей и ответственности.
- Обследование существующей инфраструктуры:
- Обследование существующей структуры Active Directory.
- Обследование инфраструктуры (приложения, использующие Active Directory).
- Формализация результатов обследования.
- Планирование структуры Active Directory:
- Анализ требований заказчика к построению инфраструктуры Active Directory.
- Планирование деревьев (леса) и доменов.
- Планирование топологии сайтов.
- Разработка архитектуры PKI.
- Планирование политики резервного копирования.
- Планирование системы мониторинга на период опытной эксплуатации.
- Формализация и разработка технического задания.
- Развертывание тестовой среды, тестирование миграции:
- Определение перечня приложений, подлежащих тестированию.
- Определение аппаратной конфигурации тестового стенда.
- Определение набора ресурсов Active Directory для миграции (для каждого приложения).
- Развертывание репрезентативной копии боевой среды.
- Верификация идентичности тестовой среды промышленной среде.
- Развертывание спроектированной структуры Active Directory в тестовой среде.
- Проведение тестовой миграции.
- Деинсталляция копии боевой среды.
- Верификация корректности проведенной миграции.
- Формирование проектной документации (типовая процедура миграции).
- Развертывание структуры Active Directory корневого домена и центрального офиса.
- Информирование пользователей.
- Развертывание спроектированной структуры Active Directory.
- Проведение миграции.
- Наблюдение в период адаптации.
- Доработка типовой процедуры миграции по результатам развертывания.
- Обучение администраторов.
- Тиражирование решения на филиалы организации.
- Доработка и сдача документации.
Анализ существующей инфраструктуры
В первуюочередь определяется географическая модель организации, то есть определяются следующие составляющие.
- Локальная модель.
- Региональная модель.
- Национальная модель.
- Международная модель.
- Филиалы.
- Дочерние компании.
На основании данной информации создается карта территориального размещения организации и проводится анализ топологии существующей сети. Для сбора сведений об информационных потоках в организации анализируется текущая модель администрирования и существующие процессы в организации.
Планирование структуры Active Directory
Первый шаг в планировании структуры ActiveDirectory –определение лесов и доменов. Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в следующей лекции.
Проектирование структуры леса
Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, – сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании. Использование единственного леса для большой корпорации требует высокой степени доверия между разнообразными и, возможно, разъединенными деловыми подразделениями. В конечном счете количество развертываемых лесов зависит от того, что является наиболее важным для компании: легкость совместного использования информации в пределах всех доменов леса или поддержка полностью автономного и изолированного управления частями структуры каталога.
Для более успешного проектирования структуры лесов службы Active Directory необходимо привлечение бизнес-заказчиков, которые являются основными потребителями услуг, обеспечиваемых ИТ-инфраструктурой. Эти задачи касаются вопросов доступности информации, безопасности, простоты управления и практичности. Менеджеры обычно включаются в принятие решений, которые не могут быть изменены сразу после развертывания. Среди этих решений – вопрос о том, сколько лесов и доменов требуется сети и сколько должно быть развернуто доменных пространств имен.
Лес Active Directory предназначен для того, чтобы быть отдельным самодостаточным модулем. Внутри леса должна быть реализована возможность совместно использовать информацию и сотрудничать с другими пользователями из того же самого подразделения. Проектируя самый высокий уровень инфраструктуры Active Directory, необходимо решить, нужно ли развертывать один лес или несколько. Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:
- Глобальный каталог. Лес имеет один глобальный каталог (GC). Каталог GC облегчает поиск объектов в любом домене леса и вход на любой домен леса независимо от того, на каком домене зарегистрирована учетная запись пользователя.
- Раздел конфигурации каталога. Все контроллеры домена совместно используют один и тот же раздел конфигурации каталога. Эта информация нужна для оптимизации репликации информации в пределах леса, для хранения приложений и информации Active Directory, поддерживающей приложения, и для совместного использования информации с помощью раздела приложений каталога.
- Доверительные отношения. Все домены в лесу связаны двусторонними транзитивными доверительными отношениями. Не существует никакой опции, позволяющей изменить это.
В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами.
- Одна схема. Все домены в лесу используют одну схему. Это обстоятельство, как будто, упрощает дело, но оно может быть одной из причин развертывания нескольких лесов в компании. Если одно подразделение решает развертывать приложение, которое изменяет схему, то это оказывает воздействие на все подразделения. Каждая модификация схемы должна быть проверена для гарантии того, что она не находится в противоречии с другими изменениями схемы. Это потребует значительного времени и усилий.
- Централизованное управление. Развертывание единственного леса означает, что некоторые компоненты сетевого управления должны быть централизованы. Например, единственная группа, обладающая правом изменять схему, – это группа Schema Admins (администраторы схемы). Единственная группа, обладающая правом добавлять и удалять домены из леса, – это группа Enterprise Admins (администраторы предприятия). Группа Enterprise Admins автоматически добавляется к домену локальной группы Administrators (администраторы) на каждом контроллере домена в лесу.
- Политика управления изменениями. Поскольку изменения леса могут затрагивать каждый домен и должны выполняться только централизованно, требуется четкая политика управления изменениями.
- Доверенные администраторы. Развертывание одного леса требует определенной степени доверия администраторам всех доменов. Любой администратор, обладающий правами управления контроллером домена, может сделать такие изменения, которые затронут весь лес. Это означает, что все администраторы доменов должны быть высокодоверенными людьми.
Обдумывая вопрос, касающийся количества развертываемых лесов, необходимо оценить каждый из этих факторов для определения потребностей организации, в которой планируется внедрение Active Directory.
Проектирование доменной структуры
Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов. Первая задача состоит в том, чтобы задокументировать конфигурацию текущих служб каталога и определить, какая часть текущей инфраструктуры может быть модернизирована, а какая должна быть реструктурирована или заменена. Затем определяется необходимое количество доменов и их иерархия.
Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:
- Граница репликации. Границы домена являются границами репликации для раздела домена каталога и для информации домена, хранящейся в папке Sysvol на всех контроллерах домена. В то время как другие разделы каталога (раздел схемы, конфигурации и GC) реплицируются по всему лесу, раздел каталога домена реплицируется только в пределах одного домена.
- Граница доступа к ресурсам. Границы домена являются также границами для доступа к ресурсам. По умолчанию пользователи одного домена не могут обращаться к ресурсам, расположенным в другом домене, если только им не будут явно даны соответствующие разрешения.
- Граница политики безопасности. Некоторые политики безопасности могут быть установлены только на уровне домена. Эти политики, такие как политика паролей, политика блокировки учетных записей и политика билетов Kerberos, применяются ко всем учетным записям домена.
В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.
- Применение одного домена
- Упрощение управления пользователями и группами.
- Нет необходимости планировать доверительные отношения.
- Для делегирования прав применяются OU.
- Применение нескольких доменов
- Возможность реализации разных политик безопасности.
- Децентрализованное управление.
- Оптимизация трафика.
- Разные пространства имен.
- Необходимо сохранить существующую архитектуру доменов Windows NT.
- Размещение хозяина схемыв отдельный домен.
Применение одного домена
Простейшая модель Active Directory – единственный домен. Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно исходить из предположения, что будет использоваться один домен, и пытаться остаться в рамках этой модели.
В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс- доменные аутентификацию и разрешения. Кроме того, при использовании одного домена гораздо проще обеспечить централизованное управление сетью.
Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.
Использование нескольких доменов
Хотя однодоменная модель дает существенное преимущество – простоту, иногда приходится использовать несколько доменов, потому что существует много серьезных оснований для такого решения.
- Трафик репликации должен быть ограничен. Раздел каталога домена, который является самым большим и наиболее часто изменяемым разделом каталога, копируется на все контроллеры домена в домене. В некоторых случаях это может вызывать слишком большой трафик репликации между офисами компании (даже если сконфигурировано несколько сайтов).
- Между офисами компании существуют медленные сетевые подключения или в офисах имеется много пользователей. Единственный способ ограничить в этом случае трафик репликации состоит в том, чтобы создать дополнительные домены.
- Любые офисы компании, связь между которыми обеспечивается только простым протоколом передачи почты (SMTP), должны конфигурироваться как отдельные домены. Информация домена не может реплицироваться через связи сайта, использующие протокол SMTP.
- Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberosсостоит в развертывании отдельных доменов.
- Необходимость ограничивать доступ к ресурсам и иметь административные разрешения.
- В некоторых случаях дополнительные домены создаются потому, что лучший путь перехода для организации состоит в модернизации нескольких уже имеющихся доменов.
Лучше планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.
При использовании модели Active Directory с несколькими доменами выполняются следующие правила:
- в каждом домене требуется хотя бы один контроллер;
- групповая политика и управление доступом действует на уровне домена;
- при создании дочернего домена между родительским и дочерним доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения;
- административные права, действующие между доменами, выдаются только для администраторов предприятия;
- необходимо создавать доверяемые каналы.
Проектирование корневого домена леса
Другое важное решение, которое целесообразно принять при планировании развертывания службы Active Directory: необходимость развернуть назначенный корневой домен (называемый также пустым корнем). Назначенный корневой домен (dedicated root domain) – это домен, который выполняет функции корневого домена леса. В этом домене нет никаких учетных записей пользователей или ресурсов, за исключением тех, которые нужны для управления лесом.
Для большинства компаний, развертывающих несколько доменов, настоятельно рекомендуется иметь назначенный корневой домен. Корневой домен – это критический домен в структуре Active Directory, содержащий административные группы уровня леса (группы Enterprise Admins и Schema Admins) и хозяев операций уровня леса (хозяина именования доменов и хозяина схемы). Кроме того, корневой домен должен быть всегда доступен, когда пользователи входят на другие домены, не являющиеся их домашними доменами, или когда пользователи обращаются к ресурсам, расположенным в других доменах. Корневой домен нельзя заменять, если он разрушен, его нельзя восстановить – необходимо заново построить весь лес.
Дополнительные задачи при проектировании домена:
- планирование DNS;
- планирование WINS;
- планирование инфраструктуры сети и маршрутизации;
- планирование подключения к Интернету;
- планирование стратегии удаленного доступа.
Краткие итоги
В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:
- Формирование проектной группы.
- Инициация проекта, согласование плана работ, ролей и ответственности.
- Обследование существующей инфраструктуры.
- Планирование структуры Active Directory.
- Развертывание тестовой среды, тестирование миграции.
- Развертывание структуры Active Directory корневого домена в центральном офисе.
- Тиражирование решения на филиалы организации.
- Доработка и сдача документации.
При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.
Первый шаг в планировании структуры Active Directory – определение лесов и доменов.
Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, – сколько лесов потребуется.Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.
Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:
- Глобальный каталог.
- Раздел конфигурации каталога.
- Доверительные отношения.
В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:
- Одна схема.
- Централизованное управление.
- Политика управления изменениями.
- Доверенные администраторы.
Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.
Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:
- граница репликации;
- граница доступа к ресурсам;
- граница политики безопасности.
В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.
- Применение одного домена:
- упрощение управления пользователями и группами;
- нет необходимости планировать доверительные отношения;
- для делегирования прав применяются OU.
- Применение нескольких доменов:
- возможность реализации разных политик безопасности;
- децентрализованное управление;
- оптимизация трафика;
- разные пространства имен;
- необходимо сохранить существующую архитектуру доменов Windows NT;
- размещение хозяина схемыв отдельный домен.