- •Методология внедрения Microsoft Active Directory
- •Общая информация о курсе
- •Лекция 1. Введение в active directory
- •Определение каталога и службы каталогов
- •Назначение службы каталогов
- •Функции службы каталогов
- •Преимущества Active Directory
- •Краткие итоги
- •Лекция 2. Проектирование active directory
- •Основные понятия службы каталогов
- •Область действия
- •Пространство имен
- •Контейнер
- •Контексты имен (сегменты, разделы)
- •Доверительные отношения
- •Доменное дерево
- •Организационные единицы (подразделения)
- •Сайт (узел)
- •Сбор и анализ информации
- •План проектирования структуры Active Directory
- •Краткие итоги
- •Лекция 3. Архитектура active directory
- •Модель данных
- •Функциональная структура
- •Логическая структура
- •Физическая структура
- •Контроллеры доменов и их роли
- •Концепция сайтов
- •Краткие итоги
- •Лекция 4. Планирование развертывания active directory
- •План-график развертывания
- •Анализ существующей инфраструктуры
- •Планирование структуры Active Directory
- •Проектирование структуры леса
- •Проектирование доменной структуры
- •Применение одного домена
- •Использование нескольких доменов
- •Проектирование корневого домена леса
- •Краткие итоги
- •Лекция 5. Модели построения лесов и детализация доменной структуры
- •Варианты построения леса
- •Единый лес, каждый регион — отдельное дерево
- •Единый лес, административный корневой домен, каждый регион — домен
- •Единый лес, каждый регион — дочерний домен центрального домена
- •Применение нескольких лесов
- •Случаи реализации нескольких лесов
- •Недостатки структуры из нескольких лесов
- •Детализация доменной структуры
- •Повторение существующей доменной структуры
- •Несколько лесов, минимальное количество доменов
- •Единый лес
- •Назначение владельцев доменов
- •Краткие итоги
- •Лекция 6. Стратегия именования объектов
- •Соглашение об именовании
- •Относительные составные имена
- •Составные имена
- •Канонические имена
- •Основные имена пользователей
- •Краткий обзор dns
- •Служба dns Locator
- •Интегрированные зоны Active Directory
- •Определение стратегии именования
- •Идентификаторы защиты
- •Правила имен участников системы безопасности
- •Правила именования доменов
- •Краткие итоги
- •Лекция 7. Планирование инфраструктуры dns и структуры ou
- •Проектирование инфраструктуры dns
- •Исследование существующей инфраструктуры dns
- •Выбор доменных имен dns
- •Проектирование структуры ou
- •Планирование иерархии ou
- •Стандартные модели структуры ou
- •Модель структуры ou на основе местоположения
- •Модель структуры ou на основе структуры организации
- •Модель структуры ou на основе функций
- •Смешанная модель структуры ou — сначала по местоположению, затем по структуре организации
- •Смешанная модель структуры ou — сначала по структуре, затем по местоположению
- •Типовая конфигурация ou
- •Краткие итоги
- •Лекция 8. Стратегия управления учетными записями
- •Типы учетных записей
- •Планирование учетных записей компьютеров
- •Планирование учетных записей пользователей
- •Типы учетных записей пользователей
- •Правила именования учетных записей
- •Планирование политики сетевой безопасности
- •Планирование групп
- •Планирование групповой политики
- •Разрешение gpo из нескольких источников
- •Наследование групповой политики
- •Планирование структуры gpo
- •Связывание gpo с доменом
- •Связывание gpo с сайтом
- •Связывание gpo с ou
- •Краткие итоги
- •Лекция 9. Планирование топологии сайтов
- •Планирование структуры сайта
- •Инфраструктура топологии сети
- •Создание модели сайта
- •Проектирование размещения серверов
- •Размещение dns-серверов
- •Размещение контроллеров домена
- •Размещение серверов глобального каталога
- •Размещение серверов хозяев операций
- •Краткие итоги
- •Лекция 10. Репликация в active directory
- •Модель репликации Active Directory
- •Планирование стратегии репликации
- •Репликация внутри сайта
- •Репликация между сайтами
- •Виды реплицируемой информации
- •Протоколы репликации
- •Процесс репликации
- •Краткие итоги
- •Лекция 11. Внедрение active directory
- •Развертывание Active Directory
- •Установка службы каталога Active Directory
- •Предварительные условия установки Active Directory
- •Мастер установки
- •Конфигурирование dns для Active Directory
- •База данных и общий системный том
- •Режимы домена
- •Тестирование Active Directory
- •Краткие итоги
- •Лекция 12. Миграция данных
- •Общие положения модернизации доменной инфраструктуры
- •Варианты модернизации
- •Критерии выбора пути перехода
- •Переход к Active Directory
- •Планирование модернизации
- •Тестирование плана модернизации
- •Проведение экспериментальной модернизации
- •Резервное копирование данных
- •Типовые проблемы при проведении миграции
- •Краткие итоги
- •Лекция 13. Мониторинг active directory
- •Причины проведения мониторинга, реализуемые преимущества и сопутствующие затраты
- •Процесс мониторинга Active Directory
- •Элементы мониторинга
- •Мониторинг производительности
- •Мониторинг репликации
- •Мониторинг службы dns
- •Автоматизация мониторинга Active Directory
- •Краткие итоги
- •Лекция 14. Устранение неполадок с active directory
- •Типичные проблемы с Active Directory
- •Ошибки репликации
- •Устранение неполадок dns
- •Устранение неполадок схемы
- •Устранение неполадок в сведениях о доверии
- •Проблемы при задании разрешений
- •Краткие итоги
- •Лекция 15. Восстановление active directory
- •Подготовка к отказам
- •Хранение данных в Active Directory
- •Создание резервной копии Active Directory
- •Процесс восстановления
- •Краткие итоги
Использование нескольких доменов
Хотя однодоменная модель дает существенное преимущество — простоту, иногда приходится использовать несколько доменов, потому что существует много серьезных оснований для такого решения [13].
Трафик репликации должен быть ограничен. Раздел каталога домена, который является самым большим и наиболее часто изменяемым разделом каталога, копируется на все контроллеры домена в домене. В некоторых случаях это может вызывать слишком большой трафик репликации между офисами компании (даже если сконфигурировано несколько сайтов).
Между офисами компании существуют медленные сетевые подключения или в офисах имеется много пользователей. Единственный способ ограничить в этом случае трафик репликации состоит в том, чтобы создать дополнительные домены.
Любые офисы компании, связь между которыми обеспечивается только простым протоколом передачи почты (SMTP), должны конфигурироваться как отдельные домены. Информация домена не может реплицироваться через связи сайта, использующие протокол SMTP.
Единственный способ иметь различную политику паролей, политику блокировки учетных записей и политику билетов Kerberos состоит в развертывании отдельных доменов.
Необходимость ограничивать доступ к ресурсам и иметь административные разрешения.
В некоторых случаях дополнительные домены создаются потому, что лучший путь перехода для организации состоит в модернизации нескольких уже имеющихся доменов.
Лучше планировать домены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше всего. Например, создание доменов по территориальному принципу, как правило, надежнее, чем создание доменов в соответствии с иерархией подразделений компании, поскольку изменение организационной структуры более вероятно, чем изменение территориальной.
При использовании модели Active Directory с несколькими доменами выполняются следующие правила [3]:
в каждом домене требуется хотя бы один контроллер;
групповая политика и управление доступом действует на уровне домена;
при создании дочернего домена между родительским и дочерним доменами автоматически устанавливаются двусторонние транзитивные доверительные отношения;
административные права, действующие между доменами, выдаются только для администраторов предприятия;
необходимо создавать доверяемые каналы.
Проектирование корневого домена леса
Другое важное решение, которое целесообразно принять при планировании развертывания службы Active Directory: необходимость развернуть назначенный корневой домен (называемый также пустым корнем). Назначенный корневой домен (dedicated root domain) — это домен, который выполняет функции корневого домена леса. В этом домене нет никаких учетных записей пользователей или ресурсов, за исключением тех, которые нужны для управления лесом.
Для большинства компаний, развертывающих несколько доменов, настоятельно рекомендуется иметь назначенный корневой домен [13]. Корневой домен — это критический домен в структуре Active Directory, содержащий административные группы уровня леса (группы Enterprise Admins и Schema Admins) и хозяев операций уровня леса (хозяина именования доменов и хозяина схемы). Кроме того, корневой домен должен быть всегда доступен, когда пользователи входят на другие домены, не являющиеся их домашними доменами, или когда пользователи обращаются к ресурсам, расположенным в других доменах. Корневой домен нельзя заменять, если он разрушен, его нельзя восстановить — необходимо заново построить весь лес.
Дополнительные задачи при проектировании домена [3]:
планирование DNS;
планирование WINS;
планирование инфраструктуры сети и маршрутизации;
планирование подключения к Интернету;
планирование стратегии удаленного доступа.