Programarea anunțurilor

Boala spațiului de nume

Când planificăm infrastructura AD, este necesar să ne gândim la structura spațiului de nume, cu alte cuvinte, să determinăm modul de organizare a resurselor de rețea în directorul AD. În Windows NT 4.0, există doar câteva modalități de a organiza spațiul de nume, astfel încât alegerea este ușor de făcut - permite domeniilor să utilizeze numai două niveluri ale ierarhiei, nu există nici o diviziune a puterilor în domeniu, dar nu acceptă NetBIOS de numire ierarhie. Conceptul de AD se bazează pe un serviciu de specificație X.500 și denumirea DNS ierarhică, astfel încât problema de a alege modul de organizare spațiului de nume este de fapt mult mai largă. Spațiul de nume AD folosește trei nivele structurale de bază: domenii, arbori de domenii și păduri.

La fel ca în NT 4.0, domeniul din AD este limita domeniului general de securitate. Domeniul AD utilizează o politică de securitate comună și aceleași grupuri de domenii locale și globale. În plus, domeniul servește drept limită de replicare: AD permite replicarea obiectelor de domeniu numai la controlorii domeniului dat.

Domeniile forestiere - aceasta este o altă inovație a AD. O pădure este unul sau mai mulți arbori de domenii care au o schemă comună și o limită comună de securitate Kerberos. Fiecare pădure poate avea doar o singură schemă, care definește obiectele și proprietățile AD. În cadrul pădurii, se operează relații de încredere tranzitorii Kerberos, care unesc toate domeniile. În ceea ce privește domeniile "străine", pădurea poate stabili relații de încredere similare cu modul în care sunt stabilite relații de încredere între domeniile din NT 4.0. Deci, dacă se creează mai multe păduri în rețeaua corporativă, atunci pentru organizarea partajării resurselor este necesar să se determine relația de neîntemeiată încredere dintre aceste păduri, așa cum sa făcut în NT 4.0. În prezent, nu există posibilitatea de a combina două păduri.

Figura 1 prezintă relația dintre relațiile de încredere dintre domenii, arbori de domenii și păduri în AD. Vă atrag atenția asupra relației de încredere tranzitivă a ambelor direcții Kerberos între copacii mycompany.com și yourcompany.com. Particularitatea AD este că relațiile de încredere tranzitivă se stabilesc între toate domeniile dintr-o pădure.

Când proiectați un spațiu de nume, luați în considerare nu numai modelul de domeniu NT 4.0 existent. Definirea numărului de domenii și planificarea structurii arborilor în domenii și păduri, factori politici, organizaționali, geografici și tehnici ar trebui, de asemenea, luați în considerare.

În cazul în care spațiul de nume reflectă și păstrează granițele politice existente ale organizației? La urma urmei, reducerea numărului de domenii, printre altele, necesită anumite abilități și abilități diplomatice. După combinarea forțată a domeniilor independente (și a unităților structurale) într-un domeniu, situația poate deveni pur și simplu explozivă. Subestimarea consecințelor politice (în cadrul organizației) ale schimbării structurii rețelei poate fi costisitoare.

Proiectul dezvoltat al structurii organizatorice a întreprinderii depinde în mare măsură de modelul de suport tehnic ales: centralizat sau distribuit. Pentru a construi un mecanism de delegare mai compact, puteți crea fie mai multe UI, fie utilizați grupuri de securitate într-o singură OU. Dacă se decide să se creeze un număr mare de OU-uri, atunci orice schimbare care afectează toate OU-urile va adăuga la hassle și, în plus, structura spațiului de nume AD devine mai complexă. Utilizarea grupurilor de securitate pentru delegarea autorității necesită o înțelegere completă a tuturor nuanțelor modelului de securitate AD, iar schema de securitate nu va fi afișată pe ecran într-o formă grafică, ca în cazul OU-urilor individuale.

Când lucrați într-o mare corporație multinațională sau într-o companie axată pe piețe multinaționale, spațiul de nume ar trebui să ofere o oportunitate de extindere dincolo de frontierele statelor. Este necesar ca formarea noilor ramuri sau sucursale străine de suport tehnic să nu cauzeze contradicții logice în spațiul de nume.

Câte domenii și păduri sunt necesare?

Atunci când se planifică o structură multi-nivel al domeniului rădăcină de pădure (primul domeniu, care este o infrastructură container), se recomandă să părăsească gol, lipsit de utilizatorii obișnuiți. Acest domeniu joacă un rol important în ierarhia domeniului este „înregistrat“ grup de întreprinderi și administratori (administratori Schema Admins administratori de întreprinderi și scheme), care ar trebui să includă doar unii administratori de rețea.

Din moment ce domeniu limitează regiunea de replicare, pentru reducerea datelor replicate de trafic între controlerele de domeniu domenii număr poate fi crescut, în special în cazul în care acesta este asociat cu transmisia de date printr-o legătură lentă (de exemplu, atunci când LANs prin WAN unitățile combinate). Mai jos, vom descrie modul de gestionare a replicării datelor prin proiectarea nodurilor. Dar un domeniu prea mare ar trebui împărțit în subdomenii: acest lucru va reduce traficul în rețea.

Măsurarea controlorilor de domeniu

După ce problema organizării logice a spațiului de nume este rezolvată, este necesar să aflați cum să implementați efectiv proiectul. Această sarcină nu este atât de simplă, deoarece la implementarea nivelului fizic este necesar să se rezolve o mulțime de întrebări, de la configurația hardware necesară a controlorilor de domeniu până la selectarea topologiei nodului pentru replicarea AD. În acest caz, trebuie luate în considerare limitările actuale ale AD. În final, trebuie să selectați implementarea serviciului DNS. Gradul de disponibilitate al serverului DNS afectează replicarea AD și timpul de răspuns al sistemului când autentifică utilizatorii.

Atunci când decideți asupra caracteristicilor controlorilor de domeniu AD, trebuie să determinați ce înseamnă "mare". Dacă doriți să combinați într-un singur domeniu AD zece NT 4.0 domenii care contin 100.000 de conturi de utilizator, se pare că fiecare controler de domeniu AD să fie mai puternic și au o cantitate mare de spațiu pe disc utilizat decât controlere de domeniu NT 4.0. Întrebarea este: cât mai puternice ar trebui să fie serverele noi? Microsoft oferă un set de instrumente pentru calcularea rapidă a cerințelor unui controler de domeniu (pentru mai multe informații, consultați bara laterală "Active Directory Sizer").

Dimensiunea catalogului AD este influențată de alți factori, mai puțin evidenți. De exemplu, fiecare intrare de intrare de control al accesului (ACE) din ACL a obiectului AD durează aproximativ 70 de octeți. Având în vedere modelul de moștenire implementat în AD, folosit în aplicarea protecției, modificarea făcută în ACL poate adăuga automat intrări noi ACE la mii de obiecte de catalog. Prin urmare, atunci când delegați drepturile de administrare a obiectelor în infrastructura AD, trebuie să fiți foarte atenți. Dacă este posibil, atribuiți drepturi grupurilor, nu utilizatorilor individuali. Această abordare reduce numărul de intrări ACE necesare pentru obiecte și atribute.

Proiectarea unei topologii site-ului (site-ului) este probabil cea mai importantă etapă a planificării AD. În primul rând, trebuie să vă familiarizați cu noțiunile de noduri și de nodurile utilizate în AD, denumirea contextelor, catalogul global GC și obiectele de conectare. Nodurile sunt obiecte AD care determină modul de copiere a datelor AD în rețea. Nodurile sunt asociate cu obiectele de subrețea care sunt create, care la rândul lor corespund subneturilor TCP / IP din rețeaua fizică.

Programarea anunțurilor

Figura 2. Conectarea nodurilor.

Nodurile sunt conectate împreună prin legături - canale care formează grupuri de noduri. Figura 2 prezintă o diagramă a unei companii cu patru centre regionale de distribuție. În fiecare centru, stațiile de lucru și controlerele de domeniu sunt unite de o rețea locală de mare viteză. Fiecare dintre centre este conectat la alte centre prin liniile T-1. Fiecare centru este un nod. În acest caz, administratorul AD a conectat toate nodurile unul la celălalt, deoarece conexiunile dintre noduri au aceeași lățime de bandă. Când descrieți legăturile de noduri, puteți specifica programul pentru fiecare conexiune și costul schimbului. Programul definește frecvența și timpul de replicare a datelor între noduri, valoarea reprezintă o valoare arbitrară care stabilește prioritatea conexiunii dintre noduri.

Toate nodurile conectate prin conexiuni efectuează replicarea într-un singur program. Același nod poate fi inclus în diferite pachete, iar în acest caz costul de comunicare începe să joace un rol. În exemplul cu centre de distribuție, puteți adăuga o conexiune dial-up suplimentară pentru a duplica canalul dedicat T-1 în caz de eșec. Pentru această conexiune, costul este setat mai mare decât pentru conexiunile mai rapide. Acest lucru permite AD să aleagă o cale de replicare mai ieftină în cazul în care totul este normal și să treacă la linia de modem dacă canalul T-1 nu reușește.

AD utilizează două protocoale de replicare. Protocolul RPC standard acceptă replicarea a trei contexte de denumire și GC, permițând în același timp comprimarea datelor atunci când se replică între noduri. Protocolul SMTP standard este utilizat doar pentru replicarea între nodurile contextului de denumire a schemei și a configurației, precum și a GC. Protocolul SMTP este util pentru conexiunile care sunt lent, nesigure sau indisponibile în cea mai mare parte a zilei. Dacă utilizați SMTP pentru replicare, traficul este de două ori mai mare decât protocolul RPC. Pentru a determina conexiunile și protocoalele site-urilor utilizate, se utilizează MMC-ul plug-in pentru site-uri AD și servicii.

Programarea anunțurilor

Figura 3. Obiect de conexiune generat de KCC.

Obiectele de conectare sunt căile unidirecționale. Fiecare dintre controlerele de domeniu va avea propriile conexiuni care conectează acest controler la alte controlere de domeniu. Dacă există un număr semnificativ de controlori în domeniul dintre care are loc replicarea, este posibilă o situație atunci când o pereche de domenii nu este conectată prin comunicații bidirecționale. Serverul care inițiază evenimentul de replicare în cadrul nodului, notifică serverul cu care este conectat prin obiectul "conexiune", că au existat modificări. După aceea, serverul de destinație "trage" datele de la serverul de replicare inițial.

KCC construiește, de asemenea, obiecte "conexiune" pentru replicare între noduri. Atunci când creați un nod, KCC selectează un server care va acționa ca un cap de pod, atunci când mesajele sunt create între nodul creat și nodurile de la distanță. Acest server de schimb utilizează obiectele sale de conectare pentru a replica în site-uri la distanță, în conformitate cu programul stabilit de administrator în site-urile de comunicare cu nodurile. În cazul unei erori a serverului, un alt server de noduri preia controlul.

Proiectarea unei topologii a site-ului

Când proiectați topologia unui nod, trebuie să răspundeți la următoarele întrebări.

  • Unde pot seta limitele site-ului?
  • Ce lățime de bandă este necesară pentru a obține o întârziere mică de replicare AD?
  • La ce puncte trebuie să fie instalate controale de domeniu locale pentru a nu efectua autentificarea de la distanță?

După cum sa menționat mai sus, nodurile definesc frecvența și programul replicilor AD. Replicarea în interiorul nodului are loc cu un interval de 5 minute; replicarea dintre noduri are loc după 15 minute sau mai puțin. Mulți administratori sunt interesați de valoarea minimă a lățimii de bandă, de la care controlorii de domeniu trebuie plasați în noduri diferite. Nu există o regulă universală, de obicei este necesară alocarea controlorilor la noduri diferite în cazurile în care traficul de servicii creează o sarcină semnificativă în rețea. În aceste cazuri, trebuie să împărțiți nodul în două și să stabiliți replicarea pe un interval mai lung. Când replicați între noduri, comprimarea datelor este utilizată pentru blocuri mai mari de 32 KB. Algoritmul de compresie utilizat este destul de eficient, astfel încât traficul poate fi redus la 90%. Cu toate acestea, raportul de compresie depinde de natura datelor transmise - parolele nu sunt practic comprimate, deoarece acestea sunt transmise în formă criptată.

Programarea anunțurilor

Ecranul 4. Rezultatele AD Sizer.

O estimare aproximativă a cantității de date de replicare AD din rețea vă permite să setați frecvența de replicare pentru legăturile site-ului. Ar trebui să ne amintim că conexiunile dintre noduri ar trebui să aibă aproximativ aceeași ieșire. Deci, dacă nodurile A, B și C sunt conectate, atunci replicarea va fi efectuată în conformitate cu un singur program stabilit pentru conexiunea dată. Când setați programul, ar trebui să utilizați capacitatea de a comprima date între noduri și de a minimiza timpul de așteptare dintre controlorii de domeniu. S-ar putea să setați o întârziere minimă de 15 minute, dar dacă cantitatea de date cu fiecare replicare este mai mică de 32 KB, compresia nu va fi inclusă. Ca urmare, se poate întâmpla ca, cu o replicare mare, să fie trimise cantități mari de date decât dacă replicarea a fost mai puțin frecventă.

Dacă selectați o topologie de site diferită de traficul de replicare AD care este cauzată de schimbări în contextul de denumire a domeniului, ar trebui luate în considerare și alte surse de trafic. Mai jos sunt câteva dintre cele mai evidente.

Serverele atribuite ca servere GC primesc modificări din fiecare domeniu din pădure. Volumul acestor date nu este mult mai mic decât volumul total al modificărilor din fiecare domeniu, deoarece GC stochează doar o copie trunchiată a fiecărui context de denumire a domeniului.

Resurse partajate SYSVOL

Înregistrările zonei DNS

Astfel, implementarea practică a AD necesită o planificare și un design atent. Atunci când se iau decizii cu privire la aspectele specifice ale implementării proiectului, este necesar să se țină seama de nevoile reale ale unei anumite companii și de caracteristicile infrastructurii. Cu utilizarea adecvată a sculelor auxiliare, Resource Kit și AD Sizer, în proiectarea AD puteți face fără a ghiciti pe baza de cafea. Trebuie doar să cântăriți cu atenție totul, să evaluați în mod realist nevoile și oportunitățile și să dublezi rezultatul - doar pentru siguranță.

Tabelul 1. Costul spațiului pe disc pentru obiectele AD.

Spațiu necesar pe disc

Articole similare