Логическата пространство от имена
Първи планиране АД инфраструктура, е необходимо да се разгледа структурата на пространство от имена, с други думи, за да се определи как организацията на мрежови ресурси в директорията на АД. В Windows NT 4.0, има само няколко начини за организиране на пространството от имена, така че изборът е лесно да се направи - да позволи домейни да използват само две нива на йерархията, няма разделение на властите в домейна, но не поддържа NetBIOS именуване йерархия. Концепцията на АД се базира на йерархична спецификация X.500 и DNS именуване услуга, така че въпросът за избора на начина на пространството от имена на организация всъщност е много по-широк. АД пространство от имена използва три основни структурни нива: домейни, домейни, дървета и гори.
Точно както в NT 4.0, домейнът в АД е границата на общата площ на сигурност. AD домейн използва обща политика на сигурност и в същия домейн местни и глобални групи. Освен това, границата на домейна служи репликация: АД позволява репликация домейн обекти само на домейн контролерите.
домейн гора - е друга иновация АД. Дървото е един или повече области на дървета с помощта на обща схема и обща защита на границите Kerberos. Всеки дървен материал може да има само една верига, която определя свойствата на обекти и АД. В гората са преходни тръстове Kerberos, обединяваща всички домейни. Във връзка с "чужда" домейн гората може да установи отношения на доверие, както и доверчив отношения построена между домейните в NT 4.0. Така че, ако корпоративната мрежа създали няколко гори, а след това да се организира, е необходимо да се определят без преходен отношения на доверие между горите споделянето на ресурси, както беше направено в NT 4.0. В момента, възможността да се съчетаят двете гората не съществува.
Фигура 1 показва връзката на доверие между домейни, домейн дървета и гори в AD. Аз привлека вниманието ви към двупосочна преходен отношения на доверие между Kerberos дървета mycompany.com и yourcompany.com. Функция на рекламните е, че сред всички домейни в рамките на същата гора транзитни тръстове установени.
Когато дизайна на пространство от имена, трябва да се вземат предвид не само съществуващия модел NT 4.0 домейни. Определете броя на домейните и планиране структура на домейни дървета и гори също трябва да се счита за политически, организационни, географски и технически фактори.
В случай, че пространството от имена, за да отрази и да запази съществуващите политически организации на границата? След намаляване на броя на домейните, наред с други неща, изисква определени способности и дипломатически умения. След принудително асоциация на независими области (и възли) в същия домейн като ситуацията може да бъде просто експлозив. Подценяването на политическите (в рамките на организацията) ефекта от промените в структурата на мрежата могат да бъдат скъпи.
Разработване на проект организационна структура до голяма степен зависи от това какъв модел е избран поддръжка: централизирана или децентрализирана. За да се изгради по-компактен механизъм за делегиране на правомощия, можете да създадете по-голям брой ОУ, или да използвате групи за сигурност в рамките на един ОУ. Ако се реши да се образува голям брой ОУ, а след това всяка промяна, която засяга всички ОУ, ще добави беда, а освен това сложно АД пространство от имена структура. Използването на сигурността Групи за делегиране на правомощия изисква пълно разбиране на всички модел за сигурност на нюанси АД, схемата за сигурност няма да се показва на екрана в графичен вид, както в случая с отделен ОУ.
Когато работите в голяма мултинационална корпорация или компания, фокусирана върху мултинационални пазари, пространството от имена, трябва да бъде в състояние да експанзия извън границите на щата. Това е от съществено значение за формирането на нови чуждестранни клонове и офиси подкрепа не е причинил никакви логически противоречия в пространството от имена.
Колко време ще домейни и гори?
При планирането на структура на горите основния домейн (първия домейн, който е инфраструктура контейнер) на няколко нива Препоръчително е да оставите празен, лишен от обикновените потребители. Този домейн играе важна роля в йерархията на домейна е "регистриран" група корпоративните администратори и Схема Администратори (администраторите предприятието администратори и схема), които трябва да включват само някои мрежови администратори.
Тъй домейн ограничава репликация област, за намаляване на трафика репликират данни между домейн контролери домейни номер може да се увеличи, особено ако тя е свързана с предаването на данни по бавна връзка (например, когато комбинирани единици LANs чрез WAN). По-долу ще бъде описан метод за контролиране на репликация на данни чрез проектиране на възли. Но все още е твърде голям домейн трябва да бъде разделена на поддомейни: това ще намали трафика в мрежата.
РК на измерване
След въпрос на пространство от имена логическа организация реши, че трябва да разберете как да изпълнява ефективно проекта. Тази задача не е толкова просто, защото е необходим за изпълнението на физическия слой за решаване на много проблеми на необходимите контролери хардуерна конфигурация на домейни, за да изберете топология на възли за АД репликация. Трябва да се вземе предвид настоящите ограничения АД. В крайна сметка, е необходимо да се избере прилагането на DNS. DNS сървъра готовност влияе на работата на репликация АД и времето за реакция на системата с удостоверяване на потребителя.
При вземането на решение относно характеристиките на контрольор на АД домейн, трябва да се определи какво означава "голям". Ако искате да се съчетаят в един домейн АД десет NT 4.0 домейни, които съдържат 100000 потребителски акаунти, се оказва, че всеки контролер АД домейн, за да бъде по-силен и да има голямо количество дисково пространство се използва от домейн контролерите NT 4.0. Въпросът е, колко по-мощен трябва да бъде най-новите сървъри? Microsoft предоставя инструмент за изискванията бързи дизайн на домейн контролер (за повече информация, вижте страничната лента «Active Directory Sizer»).
От размера на директорията АД се влияе от други, по-малко очевидни фактори. Например, всеки запис (входящ контрол на достъпа, ACE) достъп в списък за контрол на ACL АД обект заема около 70 байта. Като се има предвид изпълнява в АД наследство модел се използва при прилагането на защитата на напредък в промяната на ACL може автоматично да добавите нов запис ACE до хиляди директория обекти. Ето защо, когато делегира правата за управление на обекти, които се нуждаят от АД инфраструктура да бъдат много внимателни. Ако е възможно, присвоявате разрешения групи, а не на отделни потребители. Този подход намалява броя на АСЕ, необходима за обекти и атрибути.
Проектиране топология възел (сайт) - може би най-важният етап на АД планиране. На първо място, трябва да се запознаят с понятията, използвани в рекламата сайтове и връзки към сайтове, именуване контекст, глобален каталог GC и свързващи обекти. Възлите са АД обекти, определят как архивиране АД база данни в мрежата. Възли, свързани с обекти, създадени от "подмрежа» (подмрежата обекти), които от своя страна отговарят на TCP / IP подмрежи на най-физическата мрежа.
Фигура 2. комуникационни възлови точки.
Възлите са свързани помежду си връзки - канали, образуващи група от възли. Фигура 2 ни показва диаграма, като четири регионален център разпределение. Всеки работни станции център и контролери на домейни комбинирани високоскоростен LAN. Всеки от центровете е свързан с други центрове, T-1 линии. Всяка възлова точка представлява център. В този случай, мениджър възли АД и всички са свързани заедно, като връзките между възлите имат една и съща производителност. При описанието на взаимоотношенията на възли, можете да укажете на графика във всяка комуникация и обмен на разходите. Графикът определя честотата и времето репликацията на данни между възлите, стойността е произволна стойност, която определя приоритета на връзката между възлите.
Всички възли, свързани с връзки, репликира на един график. Същата единица може да бъде включена в различни пакети, и в този случай, започва да играе ролята на разходите за комуникация. В примера на разпределителни центрове могат да добавят допълнителни връзка комутируема да дублира избрания канал T-1 в случай на повреда. За връзка с това, стойността е по-висока от високоскоростна връзка. Това позволява АД да изберете по-евтин начин да се възпроизведе, ако всичко върви добре, и включете линия модем с повредата на канал T-1.
АД използва два протокола репликация. RPC стандартен протокол поддържа три повторения именуване контекст и GC, при компресиране на данни е разрешено по време на репликация между възли. Стандартна SMTP протокол се използва само за репликация именуване контекст между възли и конфигурация верига и GC. Протоколът SMTP е полезно за бавни връзки, ненадеждни или недостъпни голямата част от деня. Когато се използват за репликация SMTP протокол трафик, в сравнение с протокола RPC се удвоява. За определяне на връзки и възли, използвани протоколи, използвани плъгини АД сайтове и услуги конзола MMC.
Фигура 3. Генерирани KCC обект "съединение".
Обекти "съединение" е еднопосочен път. Всеки домейн контролер ще има свои собствени връзки, свързващи контролера на другите домейн контролери. Ако домейн контролера има значително количество между които репликацията е възможно, че двойката домени не е свързан двупосочни връзки. Сървърът, който стартира репликация събитие в рамките на възел, уведомява сървър, към който е свързан обект "връзка", че се е променила. След това, на получаващия сървър "дърпа" на данни от сървъра за откриване на репликацията.
KCC също изгражда обекти "връзка" между възлите за репликация. При създаване KCC възел избира сървър, който ще изпълнява ролята на мост (предмостие) създава, когато комуникации между възел и отдалечени възли. Този обмен на сървъра използва съоръженията, "връзка" за репликация на отдалечени обекти, в съответствие с графика, че администраторът задава в обектите на свързващи точки. В случай на повреда на сървъра на неговите задължения се поемат друг възел сървъра.
топология дизайн сайт
При проектирането на топологията сайт, трябва да отговори на следните въпроси.
- Къде трябва да инсталирате границите на дялове?
- Каква е честотната лента, необходима за ниска латентност АД репликация?
- На каква точки следва да бъдат определени контролер локален домейн, така че да не се извършва дистанционно удостоверяване на потребителя?
Както бе споменато по-горе, възлите определят честотата и графика репликация АД. Репликация в рамките на възел се извършва в интервал от 5 минути; репликация между възлите се извършва при 15 минути или по-малко. Много администратори се интересуват от това, което минимален капацитет, с която администраторите на домейни следва да бъдат поставени в различни възли. Universal правило не съществува, обикновено е разпределението на контролери в различни сайтове, е необходимо в случаите, когато трафикът на услугата създават огромно натоварване на мрежата. В тези случаи е необходимо да се разделят на устройството в две и да репликация по-дълъг интервал. По време на репликация между възлите се използва за единици за компресиране на данни над 32 Kbytes. Както се използва алгоритъм за компресиране е много ефективна, така че трафикът може да бъде намалена до 90%. Въпреки това, степента на компресия, зависи от естеството на предадените данни - пароли практически не са компресирани, както е кодирано.
4. Резултати от екрана АД Sizer.
Груба оценка на обема на рекламна мрежа репликация на данни ви позволява да настроите честотата на репликация за връзка място. Трябва да се помни, че комуникацията между възлите трябва да има приблизително същата честотна лента. Например, ако възли А, В и С са свързани, репликацията ще се извърши на един определен график за връзката. При инсталиране на графици за използване на възможността за компресия на данни между възли и свеждане до минимум на времето за изчакване между домейн контролери. Това би било възможно да се определи минималното закъснение - 15 минути, но ако обемът на данните при всяка репликация по-малко от 32 килобайта, компресията не е включена. Резултатът може да се окаже, че честото репликацията изпратен големи обеми от данни, отколкото ако репликацията се извършва по-рядко.
При избора на топология сайт в допълнение към трафик АД репликация, предизвикано от промени в контекста на именуване на домейн, и трябва да се вземат предвид и други източници на трафик. По-долу са някои от най-очевидното.
Сървъри, определени като GC сървъри получават промени от всеки домейн в гората. Обхватът на тези данни не е много по-малка от общата сума на промяна във всяка област като GC спестява само пресечен копие от всеки именуване контекст на домейна.
Споделено SYSVOL ресурси
записи DNS зона
По този начин, за практическото прилагане на АД изисква внимателно планиране и дизайн. При вземане на решения по конкретни аспекти на проекта, е необходимо да се вземат предвид реалните нужди на дадена фирма и конкретна инфраструктура. С правилното използване на помощни инструменти, комплект с ресурси и АД Sizer, в АД дизайн наистина може да мине без предположения. Ти просто трябва внимателно да се претеглят всичко, оценка на нуждите и възможностите, и резултатът е двойна - само за застраховка.
Таблица 1. Цената на дисково пространство за рекламните обекти.
Задължително дисково пространство
Свързани статии