Hirdetésütemezés
Logikai névtér
Az AD infrastruktúra tervezésekor át kell gondolni a névtér struktúráját, vagyis meg kell határoznia, hogyan lehet a hálózati erőforrásokat rendezni az AD könyvtárban. A Windows NT 4.0, már csak néhány módja, hogy megszervezze a névtér, így könnyű a választás, hogy ne - teszi tartományok csak két szinten a hierarchia, nincs hatalommegosztás a tartományon belül, de nem támogatja a NetBIOS elnevezési hierarchiában. Az AD koncepciója az X.500 hierarchián és a DNS-elnevezési szolgáltatáson alapul, így a névtér megszervezésének módja valójában sokkal szélesebb. Az AD névtér három alapvető strukturális szintet használ: doméneket, domainfákat és erdőket.
Ugyanúgy, mint az NT 4.0-ban, az AD domainje az általános biztonsági tartomány határa. Az AD domain egy közös biztonsági házirendet és ugyanazokat a helyi és globális tartománycsoportokat használja. Ezenkívül a domain replikációs határként szolgál: az AD lehetővé teszi a domain objektumok replikációját csak az adott tartomány szabályozói számára.
Erdőterületek - ez egy újabb innováció az AD-ben. Az erdő egy vagy több olyan tartományfa, amely közös rendszert és közös Kerberos biztonsági határokat tartalmaz. Minden erdőnek csak egy sémája lehet, amely meghatározza az AD tárgyait és tulajdonságait. Az erdőn belül működnek a Kerberos tranzitív bizalmi kapcsolatok, amelyek egyesíti az összes domaint. Az "idegen" területek vonatkozásában az erdő olyan bizalmi kapcsolatokat hozhat létre, amelyek hasonlítanak az NT 4.0-ban lévő domainek közötti bizalmi kapcsolatok kialakításához. Tehát ha több erdőt hoznak létre a vállalati hálózatban, akkor az erőforrás-megosztás megszervezéséhez meg kell határozni az ezen erdők közötti nem-átmeneti bizalmi kapcsolatot, ahogy az NT 4.0-ban történt. Jelenleg nincs lehetőség két erdő összekapcsolására.
Az 1. ábra a tartományok, a tartományfák és az AD erdők közötti bizalmi kapcsolatok közötti kapcsolatot mutatja be. Felhívom a figyelmet a Kerberos kétirányú tranzitív bizalmi kapcsolatára a mycompany.com és a yourcompany.com fák között. Az AD sajátossága az, hogy a tranzitív bizalmi kapcsolatok egy erdőn belül minden területen létrejönnek.
Névtér tervezésekor ne csak a meglévő NT 4.0 domain-modellt vegye figyelembe. Meg kell fontolni a domainek számának meghatározását és a fák struktúrájának tervezését a területeken és az erdőkben, valamint a politikai, szervezeti, földrajzi és technikai tényezőket is.
Ha a névtér tükrözi és megőrzi a szervezet jelenlegi politikai határait? Végül is a domainek számának csökkentése többek között bizonyos diplomáciai képességeket és készségeket igényel. Miután a független tartományok (és a strukturális egységek) kényszerített kombinációja egy tartományba került, a helyzet egyszerűen robbanásszerűvé válik. A hálózati struktúra megváltoztatásának politikai (szervezeten belüli) következményei alulbecsülése költséges lehet.
A vállalkozás szervezeti felépítésének fejlett projektje nagymértékben attól függ, hogy mely technikai támogatási modellt választottak: központosított vagy elosztott. Egy kompaktabb küldési mechanizmus létrehozásához több OU-t is létrehozhat, vagy biztonsági csoportokat használhat egyetlen OU-n belül. Amennyiben úgy döntenek, hogy egy nagyszámú OU, akkor minden változás, amely érinti mind a szervezeti egység, majd adjunk hozzá baj, és különben is, bonyolult AD névtér szerkezetét. A biztonsági Csoportok felhatalmazás igényel teljes megértéséhez minden árnyalatok AD biztonsági modell, a biztonsági rendszer nem jelenik meg a képernyőn grafikus formában, mint abban az esetben külön szervezeti egységben.
Ha egy nagy multinacionális vállalatnál vagy egy multinacionális piacon összpontosító vállalatnál dolgozik, akkor a névtérnek lehetőséget kell biztosítania az állam határain túli terjeszkedésre. Szükséges, hogy az új külföldi fióktelepek vagy a technikai támogatási ágak létrehozása ne okozzon logikai ellentmondásokat a névtérben.
Hány domén és erdő szükséges?
Ha többszintű tartományi struktúrát tervez, az erdő gyökere (az első domain, amely egy infrastruktúra-konténer) ajánlott üresen hagyni, a szokásos felhasználóktól mentesen. Ez a domain fontos szerepet játszik a tartomány hierarchia „bejegyzett” csoport Vállalati rendszergazdák és Sémafelelősök (rendszergazdák vállalati rendszergazdák és séma), amelynek tartalmaznia kell csak néhány hálózati rendszergazdák számára.
Mivel domént korlátozza replikációs régiót, a forgalom csökkentése replikált adatok tartományvezérlők közötti domének száma növelhető, különösen akkor, ha ez jár adatátvitel egy lassú kapcsolat (például, amikor a kombinált egységek LAN keresztül WAN). Az alábbiakban leírjuk, hogyan kezeljük az adatok replikációját csomópontok tervezésével. De még mindig túl nagy tartományt kell felosztani aldomainek: ez csökkenti a hálózati forgalmat.
A tartományvezérlők mérése
Miután megoldódott a névtér logikai szervezésének kérdése, meg kell deríteni, hogy miként valósítható meg a projekt a projektben. Ez a feladat nem annyira egyszerű, mert a fizikai szintű megvalósítás során sok kérdést kell megoldani, a szükséges tartományi vezérlők hardverkonfigurációjától a csomópont-topológia kiválasztásához az AD replikációhoz. Ebben az esetben figyelembe kell venni az AD jelenlegi korlátozásait. Végül ki kell választania a DNS szolgáltatás végrehajtását. A DNS-kiszolgáló elérhetőségének mértéke befolyásolja az AD replikációt és a rendszer válaszidejét a felhasználók hitelesítésénél.
Az AD tartományvezérlők jellemzőinek meghatározásakor meg kell határoznia, hogy mi a "nagy". Ha azt szeretnénk, hogy össze egyetlen domén AD tíz NT 4.0, amelyek 100.000 felhasználói fiókok, úgy tűnik, hogy minden AD tartományvezérlő is erősebb, és van egy nagy mennyiségű lemezterületet használnak, mint az NT 4.0 tartományvezérlők. A kérdés az, hogy mennyivel hatékonyabbnak kell lennie az új kiszolgálóknak? A Microsoft egy eszközkészletet nyújt a tartományvezérlő követelményeinek gyors kiszámításához (további információért lásd az "Active Directory Sizer" oldalsávot).
Az AD katalógus méretét más, kevésbé nyilvánvaló tényezők befolyásolják. Például minden hozzáférési vezérlő bejegyzés (ACE) bejegyzés az AD objektum ACL-jében körülbelül 70 bájtot vesz igénybe. Figyelembe véve az AD alkalmazásban alkalmazott öröklési modellt, amelyet a védelem alkalmazásakor használnak, az ACL-ben végrehajtott változtatás automatikusan hozzáadhat új ACE bejegyzéseket több ezer katalógus objektumhoz. Ezért, ha átruházza az AD infrastruktúrában található objektumok kezelésére vonatkozó jogokat, rendkívül óvatosnak kell lennie. Ha lehetséges, hozzárendelni jogosultságokat a csoportokhoz, nem pedig az egyéni felhasználókhoz. Ez a megközelítés csökkenti az objektumokhoz és attribútumokhoz szükséges ACE bejegyzések számát.
A site topológia (site) tervezése talán az AD tervezés legfontosabb szakasza. Először is meg kell ismerkednie az AD-ben használt csomópontok és csomópont-összeköttetések fogalmával, a kontextusok elnevezésével, a GC globális katalógusával és a kapcsolati objektumokkal. A csomópontok olyan AD objektumok, amelyek meghatározzák, hogyan másolhatók az AD adatok a hálózaton. A csomópontok hozzák létre a létrehozott alhálózati objektumokat, amelyek a fizikai hálózatban található TCP / IP alhálózatoknak felelnek meg.
2. ábra Csomópontok összekapcsolása.
A csomópontok összeköttetésben vannak a csomópontok csoportjait alkotó csatornákkal. A 2. ábra egy négy regionális elosztó központtal rendelkező vállalat diagramját mutatja. Minden központban a munkaállomások és a tartományvezérlők egy nagysebességű helyi hálózattal egyesülnek. Mindegyik központ a T-1 vonalhoz kapcsolódik más központokhoz. Minden központ egy csomópont. Ebben az esetben az AD rendszergazda minden csomópontot egymáshoz csatlakoztatott, mivel a csomópontok közötti kapcsolatoknak ugyanaz a sávszélessége. A csomópontok linkjeinek leírásakor megadhatja az ütemtervet az egyes linkek között és a csere költségét. Az ütemterv határozza meg a csomópontok közötti adatreplikáció gyakoriságát és idejét, az érték tetszőleges értéket jelent, amely meghatározza a csomópontok közötti kapcsolat prioritását.
A kapcsolatok által összekapcsolt csomópontok egyetlen ütemezéssel végrehajtják a replikációt. Ugyanaz a csomópont beilleszthető különböző kötegekbe, és ebben az esetben a kommunikáció költsége kezd el játszani. Az elosztó központok példáján további telefonos kapcsolatot adhat meg a dedikált T-1 csatorna meghibásodása esetén. Ehhez a kapcsolathoz magasabb a költség, mint a gyorsabb kapcsolatoknál. Ez lehetővé teszi az AD számára, hogy olcsóbb replikációs útvonalat válasszon abban az esetben, ha minden rendben van, és átvált a modemre, ha a T-1 csatorna sikertelen.
Az AD két replikációs protokollt használ. A szabványos RPC protokoll támogatja a három elnevezési kontextus és a GC-ek replikációját, miközben lehetővé teszi az adatok tömörítését a csomópontok közötti replikáció során. A szabványos SMTP protokoll csak a séma elnevezési kontextus és a konfiguráció csomópontjai, valamint a GC reprodukálására használható. Az SMTP protokoll hasznos olyan kapcsolatokhoz, amelyek lassúak, megbízhatatlanok vagy a legtöbb nap nem elérhetőek. Ha a replikációhoz SMTP-t használ, a forgalom kétszer olyan magas, mint az RPC protokoll. Az alkalmazott webhelykapcsolatok és protokollok meghatározásához az AD-helyek és szolgáltatások bővítmény MMC-jét használják.
3. ábra: KCC által generált kapcsolat objektum.
A csatlakozási objektumok egyirányú utak. Minden tartományvezérlőnek saját kapcsolata lesz, amely összeköti ezt a vezérlőt más tartományvezérlőkkel. Ha jelentős számú vezérlő van a tartományban, amely a replikáció között zajlik, akkor lehetséges egy olyan helyzet, amikor két tartomány nem kapcsolódik kétirányú kommunikációhoz. Az a kiszolgáló, amely elindítja a replikációs eseményt a csomóponton belül, értesíti azt a kiszolgálót, amelyhez a "kapcsolat" objektum csatlakozik, és hogy változások történtek. Ezt követően a fogadó szerver "húzza" az adatokat a kezdeményező replikációs kiszolgálóról.
A KCC továbbá "kapcsolat" objektumokat épít fel a csomópontok közötti replikációhoz. Csomópont létrehozásakor a KCC kiválaszt egy olyan kiszolgálót, amely hídfőként működik, amikor létrehoznak üzeneteket a létrehozott csomópont és a távoli csomópontok között. Ez a csere szerver a létesítmények, „kapcsolat” a replikáció távoli helyek ütemtervnek megfelelően, hogy a rendszergazda beállítja a tárgyak kapcsolat csomópontok. Szerverhiba esetén egy másik csomópont-kiszolgáló átveszi.
Webhely topológia tervezése
A csomópont topológiájának megtervezésekor a következő kérdésekre kell válaszolnia.
- Hol kell beállítanom a webhely határait?
- Milyen sávszélességre van szükség ahhoz, hogy kis AD replikációs késleltetést kapjunk?
- Mely pontokon kell telepíteni a helyi tartományvezérlőket, hogy ne végezzen távoli felhasználói hitelesítést?
Amint fent említettük, a csomópontok meghatározzák az AD replikák gyakoriságát és ütemezését. A csomóponton belüli replikáció 5 perc intervallummal megy végbe; a csomópontok közötti replikáció 15 perc múlva vagy kevesebb lesz. Számos rendszergazda érdekli, hogy mi a minimális sávszélesség, ahonnan a tartományvezérlőket különböző csomópontokban kell elhelyezni. Nincs univerzális szabály, általában a vezérlők különböző csomópontokhoz történő hozzárendelése olyan esetekben szükséges, amikor a szolgáltatási forgalom jelentős terhelést okoz a hálózatban. Ezekben az esetekben a csomópontot két részre kell osztani, és a replikációt hosszabb időközönként kell létrehozni. Ha a csomópontok között replikálódik, akkor 32 kB-nál nagyobb blokkok esetén az adatok tömörítését alkalmazzák. Az alkalmazott tömörítési algoritmus igen hatékony, így a forgalom 90% -ra csökkenthető. A tömörítési arány azonban a továbbított adatok természetétől függ - a jelszavak gyakorlatilag nem tömörítettek, mivel titkosított formában kerülnek továbbításra.
4. képernyő: Az AD Sizer eredményei.
A hálózaton található AD replikációs adatok összegének durva becslése lehetővé teszi a webhelylinkek replikációs gyakoriságának beállítását. Nem szabad megfeledkeznünk arról, hogy a csomópontok közötti kapcsolatoknak megközelítőleg azonos sebességgel kell rendelkezniük. Tehát, ha az A, B és C csomópontok csatlakoznak, akkor a replikáció az adott kapcsolathoz rendelt egyszeri ütemezés szerint történik. Amikor telepíti menetrendek használni a lehetőséget, tömörítés adatok csomópontok közötti és minimálisra várakozási idő közötti tartományvezérlőkön. Lehetséges lenne, hogy a minimális késleltetési idő - 15 perc, de ha az adatmennyiség minden egyes replikációs kevesebb, mint 32 Kbyte, a tömörítés nem tartalmazza. Az eredmény lehet, hogy a gyakori replikációs küldött nagy mennyiségű adat, mint ha a replikáció végezzük ritkábban.
Ha az AD replikációs forgalomtól eltérő webhely-topológiát választ, amelyet a domainnevezési környezet változásai okoznak, akkor más forgalmi forrásokat is figyelembe kell venni. Az alábbiakban néhány a legnyilvánvalóbb.
A GC kiszolgálóként kijelölt szerverek változásokat kapnak az erdő minden tartományából. Ezeknek az adatoknak a mennyisége nem sokkal kisebb, mint az egyes tartományok változásainak teljes mennyisége, mivel a GC csak egy csomó másolatát tárolja az egyes tartománynevezési kontextusokban.
Megosztott erőforrások SYSVOL
DNS zóna rekordok
Így az AD gyakorlati megvalósítása gondos tervezést és tervezést igényel. A projekt megvalósításának konkrét szempontjairól szóló döntés során figyelembe kell venni egy adott vállalat tényleges igényeit és az infrastruktúra jellemzőit. A segédeszközök, a Resource Kit és az AD Sizer megfelelő használatával az AD tervezésekor a kávéfőzők kitalálása nélkül is megteheti. Csak gondosan mérlegelnie kell mindent, reálisan fel kell mérnie az igényeket és lehetőségeket, és meg kell dupláznia az eredményt - csak a biztonságért.
1. táblázat: Az AD objektumok lemezterületének költsége.
Szükséges lemezterület