На правах рукописи
Вид материала | Документы |
СодержаниеКраткие итоги Лекция 4. ПЛАНИРОВАНИЕ РАЗВЕРТЫВАНИЯ ACTIVE DIRECTORY Ключевые слова План-график развертывания |
- Печатная или на правах рукописи, 21.09kb.
- Удк 796/799: 378 , 770.24kb.
- На правах рукописи, 399.58kb.
- На правах рукописи, 726.26kb.
- На правах рукописи, 1025.8kb.
- На правах рукописи, 321.8kb.
- На правах рукописи, 552.92kb.
- На правах рукописи, 514.74kb.
- На правах рукописи, 670.06kb.
- На правах рукописи, 637.26kb.
Краткие итоги
В этой лекции была приведена модель данных и структура функционирования службы Active Directory в виде многоуровневой архитектуры:
- Системный агент каталога (Directory System Agent, DSA).
- Уровень БД.
- Расширяемое ядро хранения.
- Хранилище данных (файл БД NTDS.dit).
- LDAP/ADSI.
- API-интерфейс обмена сообщениями (Messaging API, MAPI).
- Диспетчер учетных записей безопасности (Security Accounts Manager, SAM).
- Репликация (REPL).
База данных Active Directory содержит следующие структурные объекты:
- Разделы (сегменты).
- Домены.
- Деревья доменов.
- Леса.
- Сайты.
- Организационные единицы.
Логические компоненты Active Directory
- Объекты — ресурсы хранятся в виде объектов.
- Классы объектов.
- Схема Active Directory.
- Домены — базовая организационная структура.
- Деревья — несколько доменов объединяются в иерархическую структуру.
- Леса — группа из нескольких деревьев домена.
- Организационные единицы — позволяют делить домен на зоны и делегировать на них права.
Физическая структура сети с Active Directory довольно проста по сравнению с ее логической структурой, потому что физические компоненты Active Directory — это узлы (сайты) и контроллеры домена.
Необходимо четко представлять, что компонентами логической структуры Active Directory являются домены, тогда как компонентами физической структуры являются сайты.
Деление на сайты не зависит от доменной (логической) структуры, то есть:
- в сайте может быть один домен (либо только его часть) или несколько доменов;
- в домене (или даже в организационном подразделении) может быть несколько сайтов.
Сайты содержат объекты только двух типов:
- контроллеры доменов в границах сайта;
- связи сайта (site links), сконфигурированные для соединения данного сайта с остальными.
Роли хозяина операций, которые могут быть назначены контроллеру домена:
- Хозяин схемы (Schema Master);
- Хозяин именования доменов (Domain Naming Master);
- Хозяин RID (Relative Identifier (RID) Master);
- Эмулятор основного контроллера домена (Primary Domain Controller (PDC) Emulator);
- Хозяин инфраструктуры (Infrastructure Master);
- Сервер глобального каталога (GC — Global Catalog).
Особенностями сайта являются:
- оптимизация трафика тиражирования между сайтами по медленным линиям;
- помощь клиентам быстрее обнаруживать ближайшие к ним контроллеры.
Понятие сайта неразрывно связано с топологией тиражирования. Тиражирование внутри сайта и между сайтами использует различные топологии.
- Внутри сайта — это двунаправленное кольцо.
- Для тиражирования между сайтами используется RPC или сообщения.
Служба каталогов отслеживает целостность топологии: ни один контроллер домена не может быть исключен из процесса тиражирования, что обеспечивается отдельным контрольным процессом (Knowledge Consistency Checker, KCC), исполняемым на всех контроллерах домена — в случае нарушения топология тиражирования восстанавливается KCC.
Лекция 4. ПЛАНИРОВАНИЕ РАЗВЕРТЫВАНИЯ ACTIVE DIRECTORY
Краткая аннотация: При подготовке вариантов развертывания Active Directory необходимо спланировать структуру доменов (корневой домен и дерево доменов), а также пространство имен DNS для возможности создания доменной иерархии. Приводится типовой план-график развертывания Active Directory, а также краткое описание его этапов.
Ключевые слова: лес, сегменты (разделы), доверительные отношения, домен, контроллер домена, организационная единица.
Цель лекции
Определить порядок развертывания службы каталога, дать представление о начальном этапе планирования Active Directory — проектировании структуры леса и доменной структуры.
Развертывание службы каталога Active Directory требует планирования и проектирования. Мы приведем краткий обзор процесса планирования, через который необходимо пройти, прежде чем начать развертывание Active Directory. Самый главный вопрос — сколько лесов требуется для сети организации. Затем обсуждается разбиение лесов на домены и планирование доменного пространства имен. При подготовке вариантов развертывания Active Directory необходимо спланировать структуру доменов (корневой домен и дерево доменов), а также пространство имен DNS для возможности создания доменной иерархии.
Кроме того, необходимо выработать подход по размещению объектов в организационных подразделениях, что подразумевает определение механизма разделения ресурсов компании по организационным подразделениям, а также анализ внешних условий, применяемых к их иерархии. После создания структуры организационных единиц для каждого домена необходимо сконфигурировать сайты.
Указанные действия позволяют учесть разветвленную структуру компании при развертывании единой инфраструктуры Active Directory.
План-график развертывания
Основные вехи в плане-графике развертывания Active Directory
- Формирование проектной группы.
- Инициация проекта, согласование плана работ, ролей и ответственности.
- Обследование существующей инфраструктуры:
- Обследование существующей структуры Active Directory.
- Обследование инфраструктуры (приложения, использующие Active Directory).
- Формализация результатов обследования.
- Планирование структуры Active Directory:
- Анализ требований заказчика к построению инфраструктуры Active Directory.
- Планирование деревьев (леса) и доменов.
- Планирование топологии сайтов.
- Разработка архитектуры PKI.
- Планирование политики резервного копирования.
- Планирование системы мониторинга на период опытной эксплуатации.
- Формализация и разработка технического задания.
- Развертывание тестовой среды, тестирование миграции:
- Определение перечня приложений, подлежащих тестированию.
- Определение аппаратной конфигурации тестового стенда.
- Определение набора ресурсов Active Directory для миграции (для каждого приложения).
- Развертывание репрезентативной копии боевой среды.
- Верификация идентичности тестовой среды промышленной среде.
- Развертывание спроектированной структуры Active Directory в тестовой среде.
- Проведение тестовой миграции.
- Деинсталляция копии боевой среды.
- Верификация корректности проведенной миграции.
- Формирование проектной документации (типовая процедура миграции).
- Развертывание структуры Active Directory корневого домена и центрального офиса.
- Информирование пользователей.
- Развертывание спроектированной структуры Active Directory.
- Проведение миграции.
- Наблюдение в период адаптации.
- Доработка типовой процедуры миграции по результатам развертывания.
- Обучение администраторов.
- Тиражирование решения на филиалы организации.
- Доработка и сдача документации.