Недостатки структуры из нескольких лесов

Случаи реализации нескольких лесов

Применение нескольких лесов

Леса представляют собой крайние границы зон безопасности. Между лесами невозможно административное управление или пользовательский доступ, если на то нет явного разрешения в конфигурации. Для этого предназначен тип доверия, введенный в Windows Server 2003, — доверие к лесу (forest trust), применяемый при управлении отношениями между двумя лесами.

Доверие к лесу не является транзитивным на уровне лесов. Другими словами, если первый лес доверяет второму, а второй — третьему, то это еще не означает, что первый автоматически доверяет третьему. Также необходимо учитывать, что для использования доверия к лесу нужно, чтобы оба леса находились на функциональном уровне Windows 2003 — все контроллеры доменов в обоих лесах должны работать под управлением Windows Server 2003.

Есть несколько случаев, описанных далее, в которых может потребоваться реализация нескольких лесов, однако в принципе следует по возможности избегать использования модели из нескольких лесов по причинам, указанным ниже.

Реализация модели построения нескольких лесов допускается в следующих случаях [3]:

• Объединение двух существующих организаций. Независимо от того, слияние это или поглощение, можно столкнуться с тем, что появятся два полностью раздельных леса, которые нужно связать друг с другом для совместного использования ресурсов. Эта связь может быть временной, если в дальнейшем один лес планируется сделать частью другого, или постоянной, если обе компании должны остаться относительно автономными.
• Создание автономного подразделения. Поскольку леса являются крайними зонами безопасности, отдельный лес можно использовать для того, чтобы создать сеть, в которой администрирование в значительной мере независимо от основного леса. В таком случае для отдельного леса схема может поддерживаться и изменяться, не оказывая влияния на другие леса.
• Создание изолированного подразделения. В изолированном лесу гарантируется, что администратор вне леса не сможет повлиять на управление им.

Прежде чем приступить к планированию структуры нескольких лесов, необходимо принять к сведению, что большая часть функциональности, доступной в пределах одного леса, недоступна между лесами. Кроме того, поддержка нескольких лесов требует значительно больше усилий в администрировании, чем поддержка одного леса.

Архитектура с несколькими лесами имеет следующие недостатки [3].

• При поиске ресурсов от пользователей требуется более высокий уровень подготовки. С точки зрения пользователя, поиск ресурсов в рамках одного леса сравнительно прост благодаря единому глобальному каталогу. При наличии нескольких лесов существует несколько глобальных каталогов, и пользователям приходится указывать, в каком лесу вести поиск ресурсов.
• Сотрудники, которым требуется входить на компьютеры, включенные во внешние леса, должны указывать при входе основное имя пользователя (User Principal Name, UPN) по умолчанию. От таких сотрудников также требуется более высокий уровень подготовки.
• Администраторам приходится хранить несколько схем.
• Для каждого леса используются отдельные контейнеры конфигурации. Изменения в топологии необходимо реплицировать в другие леса.
• Любую репликацию информации между лесами приходится настраивать вручную. Администраторы должны конфигурировать разрешение DNS-имен между лесами, чтобы обеспечить функционирование контроллеров доменов и поддержку поиска ресурсов.
• Администраторам приходится настраивать списки управления доступом (ACL) к ресурсам, чтобы соответствующие группы из разных лесов могли обращаться к этим ресурсам, а также создавать новые группы, чтобы можно было использовать роли одних лесов в других лесах.
• Часто для наблюдения за отдельными лесами и управления ими нужен дополнительный персонал, а значит расходуются средства на подготовку большего штата сотрудников и на оплату их труда.