- •Планирование топологии сайта
- •Планирование леса
- •Планирование доверия
- •Планирование подразделения
- •Планирование домена и подразделения
- •Планирование репликации
- •Планирование сайта главного офиса
- •Планирование промежуточного сайта
- •Планирование контроллера домена
- •8.2. Причины делегирования администрирования
- •Делегирование администрирования лесов, деревьев и подразделений
- •Определение видимости объектов в Active Directory
- •Планирование изменения структуры
- •Средства преобразования Active Directory
- •Планирование тестовой лаборатории
- •Планирование архивации и восстановления
- •Планирование логической структуры домена
- •Моральная подготовка
- •Забудьте о Windows 2000
- •Комитет по планированию структуры домена
- •Управление доменами
- •Управление внесением изменений
- •Анализ предприятия
- •Рабочие среды предприятия
- •Внешняя среда
- •Внутренняя среда
- •Дополнительная среда
- •Работа с организационными диаграммами
- •Административное моделирование
- •Централизованное администрирование
- •Децентрализованное администрирование
- •Хорошо, плохо, неразумно
- •Логическая структура домена: блок-схема
- •Функции корневого домена
- •Домены второго уровня
- •Управление отдельными департаментами
- •Уменьшение задержки передачи данных по сети и снижение негативного эффекта от проведения репликации
- •Использование моделей децентрализованного администрирования
- •Управление автономными отделами
- •Применение различных политик доменов
- •Обеспечение требований безопасности
Домены второго уровня
Для того чтобы добавить домены второго или третьего уровня в рамках корневого домена, необходимо иметь веские причины. Каждый новый домен требует дополнительного обслуживания, вызывает увеличение расходов и полной стоимости владения (ТСО). Ниже приведен список наиболее весомых доводов в пользу создания дополнительных уровней доменов:
управление отдельными департаментами;
уменьшение задержки передачи данных по сети и снижение негативного эффекта от проведения репликации;
использование моделей децентрализованного администрирования;
управление автономными отделами;
применение различных политик доменов;
управление международными подразделениями компании;
управление доменами Windows NT;
обеспечение требований безопасности;
необходимость сокрытия информации и публикации только определенного набора ресурсов (различные представления каталога);
конструктивное разделение каталога.
Управление отдельными департаментами
Исследуя организационную диаграмму Миллениум-Сити, можно заметить, что некоторые отделы или департаменты весьма удалены от мэрии и других департаментов. В действительности, домен MCITY настолько велик, что существует очень мало департаментов, которые находятся в одном здании или соседних зданиях. Кроме того, различия между департаментами могут быть настолько велики, что размещение всех сайтов в рамках одного корневого домена окажется нецелесообразным.
Сказанное выше может оказаться справедливым и по отношению к вашему предприятию. Возможно, уже сейчас несколько его подразделений разбросаны по всему городу. Очень часто компании разрастаются и арендуют дополнительные помещения. Все, что остается делать в таком случае сетевому администратору, — расширять магистраль сети или разделять ее между несколькими точками.
Обычно ключевую роль при принятии решения относительно создания доменов второго уровня играет тот факт, что пользователи и сетевые ресурсы должны проходить проверку подлинности на ближайшем к ним контроллере домена. При расширении домена на несколько районов города пользователям удаленного подразделения, скорее всего, потребуется установить отдельный контроллер домена (партнер по репликации по отношению к исходному контроллеру), так как в противном случае они будут испытывать задержку при обращении к сетевым ресурсам, находящимся в главном здании. Следует учитывать также и то, что проведение репликации и проверка подлинности увеличивает сетевой трафик. Как следствие, трафик, генерируемый в результате проведения репликации между двумя партнерами, будет негативно сказываться на исходном контроллере нового домена. При создании домена второго уровня нужно обращать внимание на два фактора: размер сайта и его удаленность от существующего домена.
Сведения о количестве сотрудников удаленного сегмента могут быть получены в результате проведения анализа предприятия. Если речь идет всего лишь о десятке человек, то из-за вызванного ими увеличения сетевого трафика и нагрузки на администраторов вряд ли потребуется создавать отдельный домен и размещать новый контроллер домена. (Не забывайте о расходах на оборудование, установку и администрирование нового домена.)
Расстояние до родительского домена является еще одним важным фактором, влияющим на принятие решения о создании нового домена. Если "удаленный" сайт находится буквально через дорогу, расширение сети может быть проведено без каких-либо особых проблем. Однако если родительский домен находится где-нибудь на окраине, а новый департамент — в центре города, ситуация осложняется, если не сказать большего. Для обеспечения связи между двумя сайтами придется использовать соединение Т1 или Frame Relay. Опять же, если удаленный департамент невелик и не является источником большого объема трафика, можно обойтись и без создания дочернего домена.
Когда размер удаленного сайта увеличится, в нем можно будет разместить дополнительный контроллер домена в рамках родительского домена, что позволит ускорить прохождение проверки подлинности пользователей и сетевых ресурсов. Единственное, на что при этом не обходимо обратить внимание, — это объем трафика, генерируемого в результате проведения репликации.
Наконец, существуют другие причины, определяющие необходимость создания нового домена. Однако перед тем как принять окончательное решение, рассмотрите следующие альтернативы.
Использование служб терминалов. При реализации служб терминалов вопросы размещения контроллеров доменов и репликация играют незначительную роль. Достаточно даже выделенного соединения с Internet, хотя это определяется характером работы, выполняемой удаленными пользователями. Кроме того, существует множество других факторов, говорящих в пользу служб терминалов.
Проведите модернизацию каналов связи интрасети. Это позволит увеличить полосу пропускания соединений между различными сайтами и избежать проблемы узких мест.
Дайте исходному контроллеру домена партнера по репликации. Сперва, тем не менее, сравните затраты и полную стоимость владения (ТСО), принимая решение, связанное с модернизацией каналов связи интрасети, или решение, связанное с установкой партнера по репликации. Более подробно этот вопрос рассматривается в главе 10, "Физическая структура Active Directory".
Одним из преимуществ установки партнера по репликации является повышение отказоустойчивости всей системы. Установив партнера по репликации в удаленном сегменте, вы тем самым достигните сразу двух целей.