- •Методология внедрения Microsoft Active Directory
- •Общая информация о курсе
- •Лекция 1. Введение в active directory
- •Определение каталога и службы каталогов
- •Назначение службы каталогов
- •Функции службы каталогов
- •Преимущества Active Directory
- •Краткие итоги
- •Лекция 2. Проектирование active directory
- •Основные понятия службы каталогов
- •Область действия
- •Пространство имен
- •Контейнер
- •Контексты имен (сегменты, разделы)
- •Доверительные отношения
- •Доменное дерево
- •Организационные единицы (подразделения)
- •Сайт (узел)
- •Сбор и анализ информации
- •План проектирования структуры Active Directory
- •Краткие итоги
- •Лекция 3. Архитектура active directory
- •Модель данных
- •Функциональная структура
- •Логическая структура
- •Физическая структура
- •Контроллеры доменов и их роли
- •Концепция сайтов
- •Краткие итоги
- •Лекция 4. Планирование развертывания active directory
- •План-график развертывания
- •Анализ существующей инфраструктуры
- •Планирование структуры Active Directory
- •Проектирование структуры леса
- •Проектирование доменной структуры
- •Применение одного домена
- •Использование нескольких доменов
- •Проектирование корневого домена леса
- •Краткие итоги
- •Лекция 5. Модели построения лесов и детализация доменной структуры
- •Варианты построения леса
- •Единый лес, каждый регион — отдельное дерево
- •Единый лес, административный корневой домен, каждый регион — домен
- •Единый лес, каждый регион — дочерний домен центрального домена
- •Применение нескольких лесов
- •Случаи реализации нескольких лесов
- •Недостатки структуры из нескольких лесов
- •Детализация доменной структуры
- •Повторение существующей доменной структуры
- •Несколько лесов, минимальное количество доменов
- •Единый лес
- •Назначение владельцев доменов
- •Краткие итоги
- •Лекция 6. Стратегия именования объектов
- •Соглашение об именовании
- •Относительные составные имена
- •Составные имена
- •Канонические имена
- •Основные имена пользователей
- •Краткий обзор dns
- •Служба dns Locator
- •Интегрированные зоны Active Directory
- •Определение стратегии именования
- •Идентификаторы защиты
- •Правила имен участников системы безопасности
- •Правила именования доменов
- •Краткие итоги
- •Лекция 7. Планирование инфраструктуры dns и структуры ou
- •Проектирование инфраструктуры dns
- •Исследование существующей инфраструктуры dns
- •Выбор доменных имен dns
- •Проектирование структуры ou
- •Планирование иерархии ou
- •Стандартные модели структуры ou
- •Модель структуры ou на основе местоположения
- •Модель структуры ou на основе структуры организации
- •Модель структуры ou на основе функций
- •Смешанная модель структуры ou — сначала по местоположению, затем по структуре организации
- •Смешанная модель структуры ou — сначала по структуре, затем по местоположению
- •Типовая конфигурация ou
- •Краткие итоги
- •Лекция 8. Стратегия управления учетными записями
- •Типы учетных записей
- •Планирование учетных записей компьютеров
- •Планирование учетных записей пользователей
- •Типы учетных записей пользователей
- •Правила именования учетных записей
- •Планирование политики сетевой безопасности
- •Планирование групп
- •Планирование групповой политики
- •Разрешение gpo из нескольких источников
- •Наследование групповой политики
- •Планирование структуры gpo
- •Связывание gpo с доменом
- •Связывание gpo с сайтом
- •Связывание gpo с ou
- •Краткие итоги
- •Лекция 9. Планирование топологии сайтов
- •Планирование структуры сайта
- •Инфраструктура топологии сети
- •Создание модели сайта
- •Проектирование размещения серверов
- •Размещение dns-серверов
- •Размещение контроллеров домена
- •Размещение серверов глобального каталога
- •Размещение серверов хозяев операций
- •Краткие итоги
- •Лекция 10. Репликация в active directory
- •Модель репликации Active Directory
- •Планирование стратегии репликации
- •Репликация внутри сайта
- •Репликация между сайтами
- •Виды реплицируемой информации
- •Протоколы репликации
- •Процесс репликации
- •Краткие итоги
- •Лекция 11. Внедрение active directory
- •Развертывание Active Directory
- •Установка службы каталога Active Directory
- •Предварительные условия установки Active Directory
- •Мастер установки
- •Конфигурирование dns для Active Directory
- •База данных и общий системный том
- •Режимы домена
- •Тестирование Active Directory
- •Краткие итоги
- •Лекция 12. Миграция данных
- •Общие положения модернизации доменной инфраструктуры
- •Варианты модернизации
- •Критерии выбора пути перехода
- •Переход к Active Directory
- •Планирование модернизации
- •Тестирование плана модернизации
- •Проведение экспериментальной модернизации
- •Резервное копирование данных
- •Типовые проблемы при проведении миграции
- •Краткие итоги
- •Лекция 13. Мониторинг active directory
- •Причины проведения мониторинга, реализуемые преимущества и сопутствующие затраты
- •Процесс мониторинга Active Directory
- •Элементы мониторинга
- •Мониторинг производительности
- •Мониторинг репликации
- •Мониторинг службы dns
- •Автоматизация мониторинга Active Directory
- •Краткие итоги
- •Лекция 14. Устранение неполадок с active directory
- •Типичные проблемы с Active Directory
- •Ошибки репликации
- •Устранение неполадок dns
- •Устранение неполадок схемы
- •Устранение неполадок в сведениях о доверии
- •Проблемы при задании разрешений
- •Краткие итоги
- •Лекция 15. Восстановление active directory
- •Подготовка к отказам
- •Хранение данных в Active Directory
- •Создание резервной копии Active Directory
- •Процесс восстановления
- •Краткие итоги
Краткие итоги
В этой лекции была приведена модель данных и структура функционирования службы Active Directory в виде многоуровневой архитектуры:
Системный агент каталога (Directory System Agent, DSA).
Уровень БД.
Расширяемое ядро хранения.
Хранилище данных (файл БД NTDS.dit).
LDAP/ADSI.
API-интерфейс обмена сообщениями (Messaging API, MAPI).
Диспетчер учетных записей безопасности (Security Accounts Manager, SAM).
Репликация (REPL).
База данных Active Directory содержит следующие структурные объекты:
Разделы (сегменты).
Домены.
Деревья доменов.
Леса.
Сайты.
Организационные единицы.
Логические компоненты Active Directory
Объекты — ресурсы хранятся в виде объектов.
Классы объектов.
Схема Active Directory.
Домены — базовая организационная структура.
Деревья — несколько доменов объединяются в иерархическую структуру.
Леса — группа из нескольких деревьев домена.
Организационные единицы — позволяют делить домен на зоны и делегировать на них права.
Физическая структура сети с Active Directory довольно проста по сравнению с ее логической структурой, потому что физические компоненты Active Directory — это узлы (сайты) и контроллеры домена.
Необходимо четко представлять, что компонентами логической структуры Active Directory являются домены, тогда как компонентами физической структуры являются сайты.
Деление на сайты не зависит от доменной (логической) структуры, то есть:
в сайте может быть один домен (либо только его часть) или несколько доменов;
в домене (или даже в организационном подразделении) может быть несколько сайтов.
Сайты содержат объекты только двух типов:
контроллеры доменов в границах сайта;
связи сайта (site links), сконфигурированные для соединения данного сайта с остальными.
Роли хозяина операций, которые могут быть назначены контроллеру домена:
Хозяин схемы (Schema Master);
Хозяин именования доменов (Domain Naming Master);
Хозяин RID (Relative Identifier (RID) Master);
Эмулятор основного контроллера домена (Primary Domain Controller (PDC) Emulator);
Хозяин инфраструктуры (Infrastructure Master);
Сервер глобального каталога (GC — Global Catalog).
Особенностями сайта являются:
оптимизация трафика тиражирования между сайтами по медленным линиям;
помощь клиентам быстрее обнаруживать ближайшие к ним контроллеры.
Понятие сайта неразрывно связано с топологией тиражирования. Тиражирование внутри сайта и между сайтами использует различные топологии.
Внутри сайта — это двунаправленное кольцо.
Для тиражирования между сайтами используется RPC или сообщения.
Служба каталогов отслеживает целостность топологии: ни один контроллер домена не может быть исключен из процесса тиражирования, что обеспечивается отдельным контрольным процессом (Knowledge Consistency Checker, KCC), исполняемым на всех контроллерах домена — в случае нарушения топология тиражирования восстанавливается KCC.
Лекция 4. Планирование развертывания active directory
Краткая аннотация: При подготовке вариантов развертывания Active Directory необходимо спланировать структуру доменов (корневой домен и дерево доменов), а также пространство имен DNS для возможности создания доменной иерархии. Приводится типовой план-график развертывания Active Directory, а также краткое описание его этапов.
Ключевые слова: лес, сегменты (разделы), доверительные отношения, домен, контроллер домена, организационная единица.
Цель лекции
Определить порядок развертывания службы каталога, дать представление о начальном этапе планирования Active Directory — проектировании структуры леса и доменной структуры.
Развертывание службы каталога Active Directory требует планирования и проектирования. Мы приведем краткий обзор процесса планирования, через который необходимо пройти, прежде чем начать развертывание Active Directory. Самый главный вопрос — сколько лесов требуется для сети организации. Затем обсуждается разбиение лесов на домены и планирование доменного пространства имен. При подготовке вариантов развертывания Active Directory необходимо спланировать структуру доменов (корневой домен и дерево доменов), а также пространство имен DNS для возможности создания доменной иерархии.
Кроме того, необходимо выработать подход по размещению объектов в организационных подразделениях, что подразумевает определение механизма разделения ресурсов компании по организационным подразделениям, а также анализ внешних условий, применяемых к их иерархии. После создания структуры организационных единиц для каждого домена необходимо сконфигурировать сайты.
Указанные действия позволяют учесть разветвленную структуру компании при развертывании единой инфраструктуры Active Directory.