Планирование развертывания Active Directory

Проектирование доменной структуры

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов. Первая задача состоит в том, чтобы задокументировать конфигурацию текущих служб каталога и определить, какая часть текущей инфраструктуры может быть модернизирована, а какая должна быть реструктурирована или заменена. Затем определяется необходимое количество доменов и их иерархия.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory [ 13 ] :

• Граница репликации. Границы домена являются границами репликации для раздела домена каталога и для информации домена, хранящейся в папке Sysvol на всех контроллерах домена. В то время как другие разделы каталога (раздел схемы, конфигурации и GC) реплицируются по всему лесу, раздел каталога домена реплицируется только в пределах одного домена.
• Граница доступа к ресурсам. Границы домена являются также границами для доступа к ресурсам. По умолчанию пользователи одного домена не могут обращаться к ресурсам, расположенным в другом домене, если только им не будут явно даны соответствующие разрешения.
• Граница политики безопасности. Некоторые политики безопасности могут быть установлены только на уровне домена. Эти политики, такие как политика паролей, политика блокировки учетных записей и политика билетов Kerberos, применяются ко всем учетным записям домена.

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов [ 3 ] .

• Применение одного домена
  • Упрощение управления пользователями и группами.
  • Нет необходимости планировать доверительные отношения.
  • Для делегирования прав применяются OU.
• Применение нескольких доменов
  • Возможность реализации разных политик безопасности.
  • Децентрализованное управление.
  • Оптимизация трафика.
  • Разные пространства имен.
  • Необходимо сохранить существующую архитектуру доменов Windows NT.
  • Размещение хозяина схемы в отдельный домен.

Применение одного домена

Простейшая модель Active Directory - единственный домен. Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно исходить из предположения, что будет использоваться один домен, и пытаться остаться в рамках этой модели.

В модели с единственным доменом все объекты находятся в одной зоне безопасности, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс- доменные аутентификацию и разрешения. Кроме того, при использовании одного домена гораздо проще обеспечить централизованное управление сетью.

Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат.

Использование нескольких доменов

Хотя однодоменная модель дает существенное преимущество - простоту, иногда приходится использовать несколько доменов, потому что существует много серьезных оснований для такого решения [ 13 ] .

• Трафик репликации должен быть ограничен. Раздел каталога домена, который является самым большим и наиболее часто изменяемым разделом каталога, копируется на все контроллеры домена в домене. В некоторых случаях это может вызывать слишком большой трафик репликации между офисами компании (даже если сконфигурировано несколько сайтов).
• Между офисами компании существуют медленные сетевые подключения или в офисах имеется много пользователей. Единственный способ ограничить в этом случае трафик репликации состоит в том, чтобы создать дополнительные домены.
• Любые офисы компании, связь между которыми обеспечивается только простым протоколом передачи почты (SMTP), должны конфигурироваться как отдельные домены. Информация домена не может реплицироваться через связи сайта, использующие протокол SMTP.
• Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberos состоит в развертывании отдельных доменов.
• Необходимость ограничивать доступ к ресурсам и иметь административные разрешения.
• В некоторых случаях дополнительные домены создаются потому, что лучший путь перехода для организации состоит в модернизации нескольких уже имеющихся доменов.

Лучше планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.

При использовании модели Active Directory с несколькими доменами выполняются следующие правила [ 3 ] :

• в каждом домене требуется хотя бы один контроллер;
• групповая политика и управление доступом действует на уровне домена;
• при создании дочернего домена между родительским и дочерним доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения ;
• административные права, действующие между доменами, выдаются только для администраторов предприятия;
• необходимо создавать доверяемые каналы.

Проектирование корневого домена леса

Другое важное решение, которое целесообразно принять при планировании развертывания службы Active Directory: необходимость развернуть назначенный корневой домен (называемый также пустым корнем). Назначенный корневой домен (dedicated root domain) - это домен, который выполняет функции корневого домена леса. В этом домене нет никаких учетных записей пользователей или ресурсов, за исключением тех, которые нужны для управления лесом.

Для большинства компаний, развертывающих несколько доменов, настоятельно рекомендуется иметь назначенный корневой домен [ 13 ] . Корневой домен - это критический домен в структуре Active Directory, содержащий административные группы уровня леса (группы Enterprise Admins и Schema Admins) и хозяев операций уровня леса (хозяина именования доменов и хозяина схемы). Кроме того, корневой домен должен быть всегда доступен, когда пользователи входят на другие домены, не являющиеся их домашними доменами, или когда пользователи обращаются к ресурсам, расположенным в других доменах. Корневой домен нельзя заменять, если он разрушен, его нельзя восстановить - необходимо заново построить весь лес.

Дополнительные задачи при проектировании домена [ 3 ] :

• планирование DNS;
• планирование WINS;
• планирование инфраструктуры сети и маршрутизации;
• планирование подключения к Интернету;
• планирование стратегии удаленного доступа.

Краткие итоги

В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:

• Формирование проектной группы.
• Инициация проекта, согласование плана работ, ролей и ответственности.
• Обследование существующей инфраструктуры.
• Планирование структуры Active Directory.
• Развертывание тестовой среды, тестирование миграции.
• Развертывание структуры Active Directory корневого домена в центральном офисе.
• Тиражирование решения на филиалы организации.
• Доработка и сдача документации.

При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.

Первый шаг в планировании структуры Active Directory - определение лесов и доменов.

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, - сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.

Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:

• Глобальный каталог.
• Раздел конфигурации каталога.
• Доверительные отношения.

В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:

• Одна схема.
• Централизованное управление.
• Политика управления изменениями.
• Доверенные администраторы.

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:

• граница репликации;
• граница доступа к ресурсам;
• граница политики безопасности.

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.

• Применение одного домена:
  • упрощение управления пользователями и группами;
  • нет необходимости планировать доверительные отношения ;
  • для делегирования прав применяются OU.
• Применение нескольких доменов:
  • возможность реализации разных политик безопасности;
  • децентрализованное управление;
  • оптимизация трафика;
  • разные пространства имен;
  • необходимо сохранить существующую архитектуру доменов Windows NT;
  • размещение хозяина схемы в отдельный домен.

Более подробная информация о вариантах построения лесов и вариантах определения доменной структуры приведена в "Модели построения лесов и детализация доменной структуры" .