Несколько лесов, минимальное количество доменов

Повторение существующей доменной структуры

Детализация доменной структуры

Для детализации доменной структуры компании необходимо предварительно выбрать оптимальную структуру леса. Варианты построения лесов были приведены в предыдущем разделе. Теперь необходимо определиться с вариантами детализации доменной структуры, которые будут описаны более подробно в следующих подразделах:

• Вариант 1 «Повторение существующей доменной структуры».
• Вариант 2 «Несколько лесов, минимальное количество доменов».
• Вариант 3 «Единый лес».

Домен для миграции существует в отдельном лесу. Необходимо создание двух учетных записей для каждого пользователя центрального офиса и регионального пользователя: одну в создаваемом домене, другую — в существующем. Все ресурсы DMZ (а также front-end почтовые сервера) располагаются в дочернем домене (DMZ Internal VLAN). При этом доступ учетных записей пользователей из существующего домена к ресурсам нового домена автоматически запрещен на уровне доверительных отношений между доменами. Учетным записям пользователей в мигрируемом домене дано право доступа к почтовому ящику соответствующего пользователя в создаваемом домене. Почтовые ящики пользователей находятся на сервере нового домена (LAN центрального офиса). Для упрощения создания двойной учетной записи можно использовать продукт «Microsoft Metadirectory Service» (MMS).

Необходимо отметить, что при создании DMZ в регионах по схеме, аналогичной центральному офису, неизбежно внедрение еще одного леса Active Directory для каждого региона и синхронизация этого леса с остальными лесами.

Плюсы данного варианта:

• структура Active Directory приближена к существующей доменной структуре, не потребует дополнительной конфигурации сетевого оборудования;
• пользователи, находясь внутри корпоративной сети, смогут получить доступ к ресурсам всей сети (регионы и центральный офис) согласно правам доступа.

Минусы:

• ведение двойной базы данных учетных записей пользователей;
• использование продукта MMS для синхронизации каталогов.

Данная схема предлагает консолидировать создаваемый домен и его дочерний домен в единый домен. Домен для миграции существует в отдельном лесу.

Необходимо создание двух учетных записей для каждого пользователя центрального офиса и регионального пользователя: одну в новом домене, другую — в существующем домене. Все ресурсы DMZ (а также front-end почтовые серверы) располагаются в создаваемом домене (DMZ Internal VLAN). Контроллеры нового домена находятся в зонах LAN и DMZ. При этом доступ учетных записей пользователей из существующего домена к ресурсам создаваемого домена, находящимся в зоне LAN, должен быть запрещен выставлением прав доступа к объектам нового домена и/или правилами на брандмауэре. Учетным записям пользователей в мигрируемом домене дано право доступа к почтовому ящику соответствующего пользователя в создаваемом домене. Почтовые ящики пользователей находятся на сервере нового домена (LAN центрального офиса). Для упрощения создания двойной учетной записи можно использовать продукт «Microsoft Metadirectory Service» (MMS), позволяющий синхронизовать объекты различных каталогов.

Необходимо отметить, что при создании DMZ в регионах по схеме, аналогичной центральному офису, неизбежно внедрение еще одного леса Active Directory для каждого региона и синхронизация этого леса с остальными лесами.

Плюсы данного варианта:

• структура Active Directory приближена к существующей доменной структуре, не потребует дополнительной конфигурации сетевого оборудования;
• пользователи, находясь внутри корпоративной сети, смогут получить доступ к ресурсам всей сети (регионы и центральный офис) согласно правам доступа;
• по сравнению с вариантом № 1 уменьшено количество доменов, в том числе сокращено количество используемых компьютеров и административная нагрузка.

Минусы:

• ведение двойной базы данных учетных записей пользователей;
• использование продукта MMS для синхронизации каталогов.