Краткие итоги. Проектирование корневого домена леса

Проектирование корневого домена леса

Другое важное решение, которое целесообразно принять при планировании развертывания службы Active Directory: необходимость развернуть назначенный корневой домен (называемый также пустым корнем). Назначенный корневой домен (dedicated root domain) — это домен, который выполняет функции корневого домена леса. В этом домене нет никаких учетных записей пользователей или ресурсов, за исключением тех, которые нужны для управления лесом.

Для большинства компаний, развертывающих несколько доменов, настоятельно рекомендуется иметь назначенный корневой домен [13]. Корневой домен — это критический домен в структуре Active Directory, содержащий административные группы уровня леса (группы Enterprise Admins и Schema Admins) и хозяев операций уровня леса (хозяина именования доменов и хозяина схемы). Кроме того, корневой домен должен быть всегда доступен, когда пользователи входят на другие домены, не являющиеся их домашними доменами, или когда пользователи обращаются к ресурсам, расположенным в других доменах. Корневой домен нельзя заменять, если он разрушен, его нельзя восстановить — необходимо заново построить весь лес.

Дополнительные задачи при проектировании домена [3]:

планирование DNS;
планирование WINS;
планирование инфраструктуры сети и маршрутизации;
планирование подключения к Интернету;
планирование стратегии удаленного доступа.

В данной лекции приведен план-график развертывания Active Directory, который без детализации выглядит следующим образом:

Формирование проектной группы.
Инициация проекта, согласование плана работ, ролей и ответственности.
Обследование существующей инфраструктуры.
Планирование структуры Active Directory.
Развертывание тестовой среды, тестирование миграции.
Развертывание структуры Active Directory корневого домена в центральном офисе.
Тиражирование решения на филиалы организации.
Доработка и сдача документации.

При анализе существующей инфраструктуры определяется в первую очередь географическая модель организации, на основании чего создается карта территориального размещения организации и проводится анализ топологии существующей сети.

Первый шаг в планировании структуры Active Directory — определение лесов и доменов.

Самое главное решение, которое необходимо принять на раннем этапе разработки Active Directory, — сколько лесов потребуется. Развертывание единственного леса означает, что будет возможно простое совместное использование ресурсов и доступ к информации в пределах компании.

Каждый лес является интегрированным модулем, потому что он включает следующие составляющие:

Глобальный каталог.
Раздел конфигурации каталога.
Доверительные отношения.

В то время как служба Active Directory облегчает совместное использование информации, она предписывает множество ограничений, которые требуют, чтобы различные подразделения в компании сотрудничали различными способами:

Одна схема.
Централизованное управление.
Политика управления изменениями.
Доверенные администраторы.

Как только вопрос о количестве развертываемых лесов улажен, необходимо определить доменную структуру в пределах каждого из лесов.

Домены используются для разделения большого леса на более мелкие компоненты для целей репликации или администрирования. Следующие характеристики домена крайне важны при проектировании Active Directory:

граница репликации;
граница доступа к ресурсам;
граница политики безопасности.

В то время как в большинстве компаний внедряется модель Active Directory с единым лесом, некоторые крупные компании развертывают несколько доменов в пределах этого леса. Проще всего управлять единственным доменом, он обеспечивает пользователей наименее сложной средой. Однако имеется ряд причин для развертывания нескольких доменов.