Комп’ютерні мережі та технології статті


Розгортання Active Directory

Перед початком розгортання Active Directory необхідно спланувати структуру каталогу Active Directory. Правильно спланована структура каталогу дозволить розширювати його в майбутньому, зберігаючи оптимальну продуктивність і прозорість для кінцевих користувачів.

Планування простору імен.

Наприклад, зовнішній простір імен DNS організації - fio.ru. Ви можете використовувати простір імен Active Directory, відповідне fio.ru. а можете вибрати інший простір імен. Кожен з цих варіантів має свої плюси і мінуси і буде розглянуто нижче.

Планування структури організаційних підрозділів.

Організаційні підрозділи (ОП) повинні відображати потреби структури організації. Створення ОП дозволяє делегувати повноваження з адміністрування невеликих груп користувачів, груп і ресурсів. Оскільки ОП верхнього рівня здатне підтримувати додаткові рівні, припустимо необмежене збільшення ступеня деталізації.
Організаційні підрозділи дозволяють:

  • наочно відобразити структуру організації з урахуванням підпорядкованості підрозділів;
  • дати кінцевому користувачеві інформацію не тільки про сам підрозділі, а й про користувачів і розташованих в ньому ресурсах;
  • делегувати частину завдань з адміністрування уповноваженим співробітникам підрозділу;
  • визначити для підрозділу власну системну політику.

Рекомендації з розробки структури ОП
При плануванні та адмініструванні структури ОП дотримуйтеся наступних правил:

Приступивши до розробки структури ОП, намагайтеся строго дотримуватися обраних правил іменування ОП і об'єктів: імена повинні бути ієрархічні, статичні і готові до застосування в будь-якому домені каталогу.

При плануванні структури ОП рекомендується спочатку створити структуру, яка відображатиме реальну структуру організації. Після цього в ОП можна буде створити додаткові рівні, необхідні для зручності адміністрування.

Структура ієрархії ОП
Існує кілька моделей побудови ієрархії ОП. ви можете вибрати модель, найбільш повно відповідає вашим вимогам, або створити свою власну гібридну модель.

Об'єктна модель поділу на ОП
Окремі ОП створюються для об'єктів наступних типів:

Така модель ОП значно спрощує адміністрування Active Directory і не схильна до змін при реструктуризації підприємства, але ускладнює використання каталогу. Дуже добре підходить для невеликих (до 30 осіб) організацій.

Географічна модель поділу на ОП
Ця модель є прийнятною для організацій, орієнтованих на географічний поділ ресурсів. В таких організаціях співробітники і ресурси групуються за принципом обслуговування певного географічного регіону. Така структура ВП досить статична, але погано підходить для організацій інших типів.

Модель розподілу на ОП за завданнями
Організаційні підрозділи створюються, виходячи із завдань, які виконуються організацією. У більшості випадків, така структура буде відповідати відділам організації, хоча і буде виходити за їх межі. Ця структура також статична і досить зручна для кінцевих користувачів, які спілкуються в основному з співробітниками, які працюють над однією і тією ж завданням.

Модель розподілу на ОП по відділах
Організаційні підрозділи створюються, виходячи зі структури організації. Така структура зручна і зрозуміла користувачам і адміністраторам, але нестабільна в часі - при реструктуризації необхідно створювати нові ОП, видаляти старі, переміщати користувачів і т. П. Крім того, потрібно постійно відслідковувати актуальність такої структури.

Модель розподілу на ОП по проектам
Діяльність деяких організацій побудована за проектним принципом, що дозволяє створювати окремі ОП для кожного проекту. Така структура зручна для адміністрування - можна делегувати завдання з управління ОП проекту адміністратору проекту. Однак ця структура нестабільна, тому зазвичай використовується як дочірній рівень по відношенню до більш стабільного ОП.

До цього моменту ви розробляли логічну структуру каталогу Active Directory. Але успішне впровадження і функціонування Active Directory також залежить від правильно спланованої фізичної структури, яка розмежовується сайтами. Найчастіше сайт має ті ж межі, що й локальна мережа.

Механізм реплікації Active Directory дозволяє по-різному виконувати реплікацію в локальній і глобальній мережі. Мережевий трафік усередині сайту набагато активніше трафіку між сайтами. Налаштування сайтів відбивається на роботі Active Directory в двох ключових моментах.

У Active Directory сайти не є частиною простору імен. Переглядаючи логічне простір імен, ви побачите, що комп'ютери згруповані в домени і ОП, а не в сайти. Структура сайтів і IP-мереж описується в окремій частині каталогу Active Directory (конфигурационном контейнері), в якій містяться посилання на об'єкти комп'ютерів, необхідні для опису параметрів сайтів і межсайтовой реплікації.

Правильно сплановані сайти не перевантажують канали зв'язку трафіком реплікації, інформація в Active Directory завжди актуальна, а користувачі при реєстрації звертаються до найближчих контролерам домену.

Групуючи IP-мережі в сайти, треба враховувати швидкість зв'язку між підмережами.

  • Об'єднуйте тільки ті підмережі, які мають у своєму розпорядженні швидкими, недорогими і надійними мережевими з'єднаннями. Під швидким з'єднанням мається на увазі канал зв'язку з вільною смугою пропускання не менше 512 Кбіт / с, яка може бути виділена для трафіку реплікації. Зазвичай таким вимогам задовольняють кілька IP-мереж в рамках однієї локальної мережі.
  • Конфігурують сайти таким чином, щоб реплікація виконувалася в години мінімального завантаження каналів зв'язку.

Оптимізація реєстраційного трафіку
Плануючи сайти, визначте, які контролери домену будуть доступні робочої станції, що знаходиться в тому ж сайті. Оптимальним є розміщення в сайті як мінімум одного контролера домену. По можливості це повинен бути один з контролерів домену, в якому зареєстрований користувач.

Оптимізація реплікації каталогу
Плануючи сайти, вирішите, де будуть розміщені контролери доменів. Врахуйте, що кожен контролер домену здійснює реплікацію з усіма іншими контролерами домену, а реплікація між доменами здійснюється тільки силами двох контролерів. Тому не рекомендується розміщувати один домен в декількох сайтах - це може привести до уповільнення реплікації ключової інформації і втрату актуальності даних на деяких контролерах домену. Крім того, сайти необхідно конфігурувати так, щоб трафік реплікації не заважав нормальній роботі мережі.

Установка Active Directory здійснюється за допомогою спеціального майстра, який виконає всі необхідні операції по установці і початкового налаштовування контролера домену Active Directory. Проте ви повинні виконати ряд попередніх вимог, які дозволять встановити контролер домену без помилок.

Перед запуском майстра установки Active Directory переконайтеся у виконанні наступних вимог:

Запуск Майстра установки Active Directory.

Запустити Майстер установки Active Directory можна кількома способами, запустивши Майстер налаштування сервера.

Для цього виберіть в меню Пуск -> Адміністрування -> Управління даними сервером

Комп'ютерні мережі та технології статті

У розділі Керування ролями даного сервера натисніть кнопку Додати або видалити роль.

Можна відразу запустити Майстер налаштування сервера з меню Адміністрування.

Також Майстер налаштування сервера можна запустити, в меню Пуск клацнувши Виконати. ввівши у вікні dcpromo і натиснувши клавішу Enter.

При виборі будь-якого варіанту буде запущений Майстер налаштування сервера.

Майстер автоматично встановить Active Directory з створеними за замовчуванням варіантами для багатьох опцій, використовуючи Майстер установки Active Directory, що забезпечить захист від помилок при установці.

Використання майстра конфігурації сервера.

Комп'ютерні мережі та технології статті

На наступному кроці введіть повне DNS-ім'я нового домену.

Комп'ютерні мережі та технології статті

Зазначений домен або зона повинні бути зареєстровані в DNS і повинні бути доступні під час установки Active Directory. Дана зона не обов'язково повинна обслуговуватися будь-яким DNS-сервером, в цьому випадку майстер самостійно створить DNS-сервер і сконфигурирует зону на тому ж комп'ютері, де встановлюється Active Directory.

Якщо ви створюєте домен, який буде використовуватися у вашій внутрішній мережі без реєстрації в мережі Інтернет, ви можете позначити домен верхнього рівня ".local", щоб уникнути плутанини з зовнішніми доменами.

Комп'ютерні мережі та технології статті

Як ім'я вибирається найстарше ім'я домену з повного доменного імені, введеного на попередньому кроці. Майстер самостійно перевіряє, чи не конфліктує чи обране ім'я з вже існуючими в мережі. Якщо в локальній мережі буде виявлений комп'ютер, домен або робочу групу з вказаним ім'ям, майстер видасть повідомлення про помилку і зажадає вказати унікальне NetBIOS-ім'я домену. ви можете самостійно змінити ім'я домену на будь-яке інше, яке задовольняє внутрішнім правилам іменування в організації. В цьому випадку пам'ятайте, що максимальна довжина NetBIOS-імені - 15 символів.

Комп'ютерні мережі та технології статті

Якщо ви створюєте внутрішній домен без постійного підключення до Інтернету і у вашій мережі немає інших DNS-серверів, то виберіть пункт Ні, не пересилати запити, тоді створюваний DNS-сервер буде головним DNS-сервером створюваного домена.

Якщо ви періодично підключаєтеся до Інтернету через модем і вкажете вищестоящий DNS-сервер для пересилання запитів, то при відключенні від Інтернету ваш DNS-сервер видаватиме повідомлення про помилку, через неможливість знайти вищестоящий сервер.

Переналаштувати сервер можна пізніше, після його установки.

Ще раз перевірте правильність введених значень і їх відповідність раніше певної конфігурації Active Directory.

Комп'ютерні мережі та технології статті

Підтвердіть вибрані вами параметри натиснувши кнопку Далі.

Процес установки і настройки Active Directory і інших служб наочно відображається на екрані.

При створенні нового домену послідовно виконуються наступні операції:

По завершенні роботи майстер повідомляє про результати установки, виводить інформацію про сайт, в який було включено контролер домену.

Комп'ютерні мережі та технології статті

При установці першого контролера першого домену дерева автоматично створюється сайт з ім'ям Default-First-Site-Name. У нього за замовчуванням будуть включатися всі встановлювані контролери доменів.

Натисніть кнопку Готово для завершення установки Active Directory.

Завершення установки Active Directory.

По завершенні роботи майстра налаштування параметрів Active Directory і перезавантаження ви напевно помітите, що завантаження комп'ютера сповільнилася в кілька разів. Це пов'язано з тим, що при кожному завантаженні запускаються служби Active Directory, які при запуску здійснюють перевірку баз даних Active Directory, внесення змін в зону DNS, яка обслуговує домен, встановлюють зв'язок з ЦК і майстром схеми в пошуках змін і т. П. Залежно від конфігурації комп'ютера завантаження стає довше на 3-10 хвилин.

Основним сховищем інформації про дерево доменів, що впливає на працездатність Active Directory, є DNS. Наявність в зоні необхідних записів є свідченням правильно виконаної установки Active Directory і працездатності домена. Для перевірки запустіть консоль управління DNS (Пуск -> Адміністрування -> DNS). Домен, в який встановлювалася Active Directory, повинен виглядати наступним чином:

Комп'ютерні мережі та технології статті