Structurarea Active Directory este o știință întregă, prea complexă, astfel încât toate subtilitățile sale pot fi descrise într-un singur articol. Cu toate acestea, aș dori să împărtășesc cititorilor câteva recomandări utile care vor contribui la eficientizarea structurii AD, la facilitarea diagnosticării și a managementului.
1. Simplitatea este garanția sănătății
Primul sfat este să încercați să nu complicați nimic cât de mult posibil. Active Directory este foarte flexibil, oferă multe tipuri de obiecte și componente, dar nu este necesar să folosiți toate acestea doar pentru că este. Simplificarea structurii Active Directory crește semnificativ eficiența muncii și facilitează diagnosticarea în caz de probleme.
2. O topologie a site-ului de montare este importantă
Deși se poate spune mult în favoarea simplificării, dacă este necesar, este de asemenea posibil să se utilizeze structuri mai complexe. În rețelele mari, aproape întotdeauna trebuie să creați mai multe site-uri Active Directory. Topologia site-ului ar trebui să reflecte topologia rețelei. Site-urile de rețea care reprezintă cele mai multe conexiuni trebuie să se încadreze în același site. Legăturile dintre site-uri trebuie să reflecte conexiunile WAN - astfel încât fiecare locație fizică separată conectată la WAN să aibă un site Active Directory separat.
3. Controlerele de domeniu nu ar trebui să fie multifuncționale
Foarte des în organizațiile mici, controlorii de domeniu execută simultan mai multe roluri (de exemplu, un fișier sau un server de poștă) - pentru a economisi bani. Cu toate acestea, în calitate de controlor de domeniu, este recomandabil să folosiți un server separat, fizic sau virtual, dacă este posibil. Atribuirea de roluri suplimentare controlorului de domeniu afectează negativ performanța serverului, slăbește securitatea și complică procesul de backup / restaurare.
4. Serverele DNS au nevoie de cel puțin două
5. Nu puneți toate ouăle într-un coș (despre virtualizare)
Organizațiile folosesc adesea controlere de domeniu multiple pentru a asigura toleranța la erori în caz de defectare a uneia dintre ele. Cu toate acestea, adesea această toleranță la erori este redusă la zero de virtualizarea serverului. Multe companii găzduiesc toate controlerele lor de domeniu virtuale pe un singur server gazdă, iar dacă aceasta nu reușește, controlerele de domeniu nu mai lucrează cu acesta. Deci, puteți și ar trebui să virtualizați controlorii de domeniu, dar acestea ar trebui să fie plasate pe mai multe servere gazdă.
6. Nu puteți neglija rolurile FSMO (despre backup)
Am reușit cumva să particip la recuperarea datelor după eșecul unuia dintre controlerele de domeniu din rețeaua corporativă. Din păcate, acest controler a efectuat toate rolurile FSMO, fiind singurul server de catalog global și singurul server DNS din cadrul organizației. Și mai rău, nu a existat nici o copie de siguranță a acestui controler de domeniu. Ca urmare, a trebuit să re-creăm Active Directory de la zero. Astfel de situații, desigur, apar rar, dar acest caz ilustrează perfect importanța creării de backup pentru controlorii de domeniu.
7. Dezvoltarea structurii domeniului ar trebui planificată în avans
În multe organizații, arhitectura inițială Active Directory este gândită cu atenție, dar mai târziu evoluează destul de haotic. Pentru a evita acest lucru, vă sfătuiesc să planificați în prealabil structura Active Directory, ținând cont de creșterea viitoare. Prezicerea modului în care va evolua Active Directory nu este întotdeauna realistă, dar puteți cere cel puțin câteva criterii care trebuie urmate la extinderea structurii.
8. Serverele trebuie să fie configurate, știind cum vor fi gestionate
Trebuie să planificați nu numai structura Active Directory, ci și ordinul de gestionare. Cine va administra Active Directory? Va fi o persoană / echipă de specialiști sau vor fi distribuite responsabilitățile de întreținere în funcție de numărul de domenii / unități organizaționale? Cu răspunsuri la astfel de întrebări, este necesar să fie determinată înainte de a începe să creați controlori de domeniu.
9. Modificările logistice la scară largă sunt nedorite
Active Directory este foarte flexibil și vă permite să efectuați modificări semnificative ale structurii dvs. fără a pierde timp și pierderi de date. Cu toate acestea, aș recomanda, dacă este posibil, evitarea restructurării Active Directory. Acest lucru cauzează deseori deteriorarea anumitor obiecte AD, mai ales atunci când acestea sunt mutate între controlere de domeniu care rulează diferite versiuni de Windows Server.
10. Fiecare site trebuie să aibă cel puțin un server de catalog global
În cele din urmă, încă un sfat: dacă Active Directory este format din mai multe site-uri, este de dorit ca fiecare dintre ele să aibă propriul server de catalog global. În caz contrar, clienții Active Directory vor trebui să descarce date din catalogul global pe WAN.
Ce altceva ați recomanda să luați în considerare la structurarea Active Directory? Ați regretat deciziile luate în timpul desfășurării inițiale a AD?