Tíz tipp a hatékony aktív könyvtárszerkezet létrehozásához


Az Active Directory strukturálása egy egész tudomány, túl bonyolult ahhoz, hogy az összes sajátosságát lehessen leírni egy cikkben. Mindazonáltal szeretnék megosztani az olvasókkal olyan hasznos ajánlásokat, amelyek segítik az AD struktúrájának hatékonyabbá tételét, megkönnyítik a diagnosztikát és a menedzsmentet.

1. Az egyszerűség az egészség megőrzése

Az első tanács az, hogy megpróbáljunk nem bonyolítani a lehető legtöbbet. Az Active Directory nagyon rugalmas, sokféle objektumot és összetevőt kínál, de nem mindent kell használni, csak azért, mert ez az. Az Active Directory struktúrájának egyszerűsítése jelentősen megnöveli a munka hatékonyságát és megkönnyíti a diagnosztikát problémák esetén.

2. A szerelési hely topológiája fontos

Bár az egyszerűsítés kedvéért sokszor elmondható, szükség esetén összetettebb struktúrák is alkalmazhatók. Nagy hálózatoknál szinte mindig több Active Directory webhelyet kell létrehoznia. A webhely topológiájának tükröznie kell a hálózat topológiáját. A legtöbb kapcsolatot kiszolgáló hálózati webhelynek ugyanazon a webhelyen belül kell lennie. A webhelyek közötti kapcsolatoknak tükrözniük kell a WAN-kapcsolatokat - annak érdekében, hogy a WAN-hez csatlakozó különálló fizikai helyek külön Active Directory webhelyen legyenek.

3. A tartományvezérlők nem lehetnek többfunkciósak

Nagyon gyakran kis szervezeteknél a tartományvezérlők egyszerre több szerepet (pl. Fájl vagy levélkiszolgáló) hajtanak végre - pénzt takarítanak meg. Domainvezérlőként azonban tanácsos külön szervert használni, ha lehetséges, fizikai vagy virtuális. A tartományvezérlő további szerepkörök hozzárendelése hátrányosan befolyásolja a kiszolgáló teljesítményét, gyengíti a biztonságot és bonyolítja a biztonsági mentés / visszaállítás folyamatát.

4. A DNS-kiszolgálóknak legalább kettőre van szükségük

5. Ne tegye az összes tojást egy kosárba (a virtualizációról)

A szervezetek gyakran több tartományvezérlőt használnak annak érdekében, hogy az egyikük hiba esetén hibatűrést biztosítson. Azonban gyakran ez a hibatűrés nullára redukálódik a kiszolgáló virtualizációjával. Számos vállalat minden virtuális tartományvezérlőt host egy kiszolgálón, és ha ez nem sikerül, a tartományvezérlők nem dolgoznak vele. Így lehet és kell virtualizálnia a tartományvezérlőket, de ezeket több gazdaszervernél kell elhelyezni.

6. Nem hagyhatja figyelmen kívül az FSMO szerepét (biztonsági mentés)

Valamilyen módon sikerült részt venni az adatok helyreállításában a vállalati hálózat egyik tartományvezérlőjének sikertelensége után. Sajnos ez a vezérlő végezte az FSMO összes szerepét, mivel ez az egyetlen globális katalógusszerver és az egyetlen DNS-szerver a szervezetben. Még ennél is rosszabb, hogy nem volt biztonsági másolat erre a tartományvezérlőre. Ennek eredményeképpen létre kellett hoznunk az Active Directory újraszervezését a semmiből. Az ilyen helyzetek természetesen ritkán fordulnak elő, de ez az eset tökéletesen illusztrálja a tartományvezérlők biztonsági mentésének fontosságát.

7. A tartományi struktúra fejlesztését előre meg kell tervezni

Sok szervezetben az eredeti Active Directory architektúrát alaposan átgondolják, de később meglehetősen kaotikusan alakulnak ki. Ennek elkerülése érdekében azt javaslom, hogy előre tervezze meg az Active Directory struktúráját, figyelembe véve a jövőbeli növekedést. Az Active Directory fejlődésének előrevetítése nem mindig reális, de legalább meg kell kérdeznie bizonyos kritériumokat, amelyeket a struktúra bővítésekor követni kell.

8. A kiszolgálókat konfigurálni kell, tudván, hogyan kezelik őket

Nem csak az Active Directory struktúráját, hanem az irányítási rendet is meg kell terveznie. Ki fogja felügyelni az Active Directoryot? Vajon ez egy személy / szakembercsapat, vagy a karbantartási feladatokat a domainek / szervezeti egységek száma szerint osztják-e fel? Az ilyen kérdésekre adott válaszokkal meg kell határozni a tartományvezérlők létrehozásának megkezdése előtt.

9. A nagy léptékű logisztikai változások nem kívánatosak

Az Active Directory nagyon rugalmas és lehetővé teszi számodra, hogy jelentős változtatásokat hajtson végre a struktúrában leállás és adatvesztés nélkül. Azt javaslom azonban, hogy elkerüljék az Active Directory szerkezetátalakítását, amikor csak lehetséges. Ez gyakran okozott néhány AD objektumot, különösen akkor, ha azokat a Windows Server különböző verzióit futtató tartományvezérlők között mozgatják.

10. Minden webhelynek legalább egy globális katalógusszerverrel kell rendelkeznie

Végül még egy tipp: ha az Active Directory több webhelyből áll, akkor kívánatos, hogy mindegyiküknek legyen saját globális katalógusszervere. Ellenkező esetben az Active Directory ügyfeleknek a globális katalógusról adatokat kell letölteniük a WAN-on keresztül.

Mit javasolhatsz az Active Directory strukturálásakor? Sajnálta az AD kezdeti bevezetése során hozott döntéseket?