Da bi optimizovali Active Directory Domain Services (AD DS) infrastrukturu, administratori moraju pažljivo da isplaniraju implementaciju. Planiranje bi trebalo da uključuje topologiju aktivnog direktorijuma, funkcionalni nivo domena i šume, servise aktivnog direktorijuma koji su potrebni da bi podržali mrežu i korake koji moraju da se odrade da bi se konfigurisao aktivni direktorijum da podržava fizičku mrežnu infrastrukturu.


Veoma je važno da pre započinjanja izgradnje AD DS i njegovih servisa administrator razmisli o kompletnom dizajnu AD DS topologije u terminima Forests (šuma), Trees (drveće), Domains (domeni); Site (sajt), Sunbet (podmreža); Organizational Unit (organizacione jedinice) i Administrative Structure (administrativna struktura).


Predstavljanje aktivnog direktorijuma

 
 
Aktivni direktorijum je distributivna baza podataka koja pruža logičko grupisanje objekata kao što su korisnici, kompjuteri i grupe. Aktivnim direktorijumom se upravlja centralno koristeći Windows Server 2008 servere na kojima je izgrađena Active Directory Directory Services (AD DS) uloga. Ovi serveri su poznati pod imenom domenski kontroleri. Da bismo isplanirali i izgradili aktivni direktorijum, moramo dobro da razumemo komponente koji se kombinuju kako bismo kreirali infrastrukturu aktivnog dirtektorijuma.

Šta je šuma (Forest): U AD DS šuma je najviši nivo logičke strukturne hijerarhije. Active Directory Forest predstavlja jedan samostalni direktorijum. Šuma je sigurnosno ograničenje, što znači da administratori u šumi imaju kompletnu kontrolu za sve pristupe informacijama koje su smeštene unutar šume i nad domenskim kontrolerima koji su se koristili za implementaciju šume.

Domenski kontroleri u šumi dele osnovnu šemu, osnovni globalni katalog i osnovni Forest-Root domen.

Šta je šema (Schema): Šema je komponenta aktivnog direktorijuma koji definiše sve objekte i atribute koje koristi direktorijumski servis za smeštanje podataka. Za instance, šema definiše tip objekta koji se koristi i definiše atribute koji se održavaju za taj tip objekta koji se koristi kao što su ime, lozinka, ime računara itd.

Šema je samostalni master elemenat aktivnog direktorijuma. Ovo znači da administrator mora da pravi promene u šemi na domenskom kontroleru koji drži Schema Operation Master ulogu.

Šta je globalni katalog (Global Calatog): Global Catalog je distributivna baza podataka koja sadrži reprezentaciju koja može da se pretražuje (Searchable Representation) svakog objekta iz svih domena u višedomenskoj šumi. Ipak, globalni katalog ne sadrži sve atribute za sve objekte; već, on održava manji set atributa – onih atributa koji su najkorisniji prilikom pretraživanja drugih domena (Cross-Domain Searches).

Šta je drvo (Tree): U slučaju da se aktivni direktorijum sastoji od više od jednog domena, administrator mora da definiše odnos između tih domena. Ako domeni dele zajednički Root i kontinuirani adresni prostor (Namespace), onda su oni logički deo drveta aktivnog direktorijuma (Active Directory Tree). Drvo nema administrativnu svrhu što znači da ne postoji administrator drveta kao što postoji administrator domena ili administrator šume domena. Drvetu pruža logičko, hijerarhijsko grupisanje domena koji imaju odnos roditelji-deca koji je definisan kroz njihova imena.

Šta je domen (Domain): Domen je administrativna granica. Svi domeni hostuju administratorski korisnički nalog koji poseduje kompletne administratorske mogućnosti nad svim objektima koji se u tom domenu nalaze. Iako administrator može da delegira administraciju objekata unutar domena, nalog zadržava kompletnu administrativnu kontrolu nad svim objektima unutar domena.

Šta je sajt (Site): Sajt je logička reprezentacija geografskog opsega u mreži. Sajt predstavlja visoko-brzinsku mrežnu granicu za kompjutere koji se nalaze u aktivnom direktorijumu što znači da kompjuteri koji mogu da komuniciraju sa velikom brzinom i malim kašnjenjem mogu da se grupišu u sajtove; domenski kontroleri unutar sajta repliciraju podatke aktivnog direktorijuma na optimizovan način za ovo okruženje; konfiguracija replikacije je u većem delu automatska.

Šta je organizaciona jedinica (Organizational Unit): Organizaciona jedinica je kontejner objekat unutar domena koji omogućava administratoru da grupiše objekte zajedno zbog lakšeg upravljanja. Objektima koji se nalaze unutar organizacione jedinice možemo da upravljamo kao jednim entitetom.
 

Dizajniranje infrastrukture šume

 

 

Da bismo kreirali dizajn šujme, prvo moramo da identifikujemo zahteve poslovanja koje struktura direktorijuma u organizaciji mora da ispuni. Ovo uključuje određivanje količine autonomije koja je potrebna grupama u organizaciji da bi upravljali svojim resursima i da bi svaka grupa mora da izoluje svoje resurse na mreži od drugih grupa.

Nakon identifikovanja poslovnih zahteva administrator može da odredi broj šuma koje su potrebne. Da bi se odredio ovaj broj, administrator mora pažljivo da identifikuje i izračuna zahteve za izolaciju i autonomiju svake grupe unutar organizacije i nakon toga mapira te zahteve u odgovarajući dizajnirani model šume.

Postoji nekoliko tačaka koje su korisne kada treba odrediti broj šuma koje je potrebno izgraditi:

  • Zahtevi za izolacijom ograničavaju izbore koje imamo za dizajn. Zbog toga ako su zahtevi za izolaciju identifikovani, potrebno je takođe osigurati da li grupa ustvari zahteva izolaciju podataka i da li je autonomija podataka dovoljna da udovolji njihovim potrebama.

  • Pregovaranje koje se odnosi na dizajn može da bude veoma opširan proces. Za grupe može da bude komplikovano postizanje dogovora koji se odnosi na vlasništvo i iskorišćenost dostupnih resursa. U toku dizajn procesa mora postojati dovoljno vremena za grupe u organizaciji koje moraju da obave adekvatna istraživanja da bi identifikovali svoje potrebe.

  • Broj šuma koji nam je potreban možemo da odredimo  balansiranjem troškova i prednosti koje dobijamo kreiranjem većeg broja šuma. Model sa jednom šumom je najjeftinija opcija i zahteva najmanju količinu posla za administratora. Iako će grupe u organizaciji možda zahtevati anonimne servis operacije, za organizaciju može da bude mnogo isplatljivije da se pretplati na isporuku servisa od centralizovane, poverljive IT grupe, dozvoljavajući grupi posedovanje podataka i upravljanje njima (Data Management) i to sve bez kreiranja dodatnih troškova za upravljanje servisom.

  • Nakon što su zahtevi za dizajnom mapirani u jedan od modela šume i model šume je selektovan tako da ispunjava sve potrebe organizacije, administrator bi trebalo da dokumentuje potrebni dizajn šume. Informacije koje bi trebalo uključiti u dokumentaciju su ime grupe za koju je šuma dizajnirana, kontakt informacije koje se odnose na vlasnika šume, tip šume za svaku šumu, zahtevi koje svaki dizajn šume mora da ispunjava. Ovakva dokumentacija pomaže dizajn timu da osigura da svi odgovarajući ljudi budu umešani u dizajn proces i da razjasne obim razvijanja projekta. 



Dizajniranje infrastrukture domena aktivnog direktorijuma


Domeni dele informacije koje su smeštene unutar direktorijuma u manjim delovima tako da informacije mogu na lakši način da se smeste na razne domenske kontrolere i na način da administratori imaju visok stepen kontrole nad replikacijom. Podatak koji je smešten unutar direktorijuma se replicira kroz šumu od jednog do drugog domenskog kontrolera. Neki podaci koji su relevantni za celu šumu se repliciraju na svim domenskim kontrolerima, dok se drugi podaci koji su relevantni samo za specifični domen repliciraju samo na domenskim kontrolerima koji se nalaze u tom odgovarajućem domenu. Dobar dizajn domena čini mogućim implementaciju efikasne replikacione topologije.

Vodič za dizajniranje domenske infrastrukture:

  • Pregledati sve modele domena (Domain Models): Pregledom domen modela faktori koji utiču na model dizajna domena mogu lako da se identifikuju. Identifikovanjem količine dostupnog kapaciteta na mreži, koji može da se dodeli aktivnom direktorijumu, organizacija može da odredi model koji pruža efikasnu replikaciju informacija sa minimalnim uticajem na dostupnu mrežnu propustnost. Ako organizacija uključuje veliki broj korisnika, izgradnja više od jednog domena omogućava podelu podataka i daje veću kontrolu nad kooličinom replikacionog saobraćaja koji će prolaziti kroz date mrežne konekcije. Ovo čini mogućim kontrolisanje gde će podaci biti replicirani i smanjenje opterećenja koji kreira replikacioni saobraćaj koji protiče kroz spore linkove u mreži.

  • Odrediti broj domena: Svaka šuma počinje sa jednim domenom. Maksimalni broj korisnika koji mogu da se nalaze u jednom domenu se zasniva na najsporijem linku koji mora da izmiri replikaciju između domenskih kontrolera i dostupne propusnosti koja je data aktivnom direktorijumu. Ako svi korisnici ne mogu da se okupe u jednom domenu, organizacija može da selektuje regionalni model domena. Ovo uključuje deljenje organizacije na regione koji rade u specifičnoj organizaciji i u postojećoj mreži. Na primer, organizacija može da se razdvoji na regione na osnovu kontinentalnih granica. Tačno je da će organizaciji biti potrebno da se kreira domen za svaki region, ipak najbolje bi bilo da se smanji broj regiona. Iako je moguće uključiti neograničeni broj domena u šumu, zbog lakšeg upravljanja preporučuje se da šuma ne uključuje više od deset domena. Ključ pri određivanju broja regiona je uspostavljanje balansa između optimizovane propustnosti replikacije i smanjenja administrativne kompleksnosti.

  • Određivanje da li nadograditi već postrojeće domene ili izgraditi sasvim nove domene: Ova nedioumica je samo važna kada želimo da nadogradimo postojeću Windows Server Active Directory infrastrukturu na Windows Server 2008 AD DS. U ovom scenariju svaki domen će ili biti novi domen ili postojeći domen koji je nadograđen koristeći nadogradnju na samom mestu. Korisnici iz postojećih domena koji nisu nadograđeni (In Place), moraju da budu migrirani u nove domene. Pomeranje naloga između domena može da ima uticaj na krajnje korisnike. Pre odlučivanja da li da migriramo korisnike u novi domen ili da već postojeći domen nadogradimo, potrebno je izvršiti dugoročnu procenu administrativnih beneficija novog domena aktivnog direktorijuma protiv troškova migriranja korisnika u domen.



Određivanje da li je potrebno implementirati više drveća unutar šume


AD drveće se kreira kreiranjem odnosa poverenja između domena unutar šume. Ne postoji istinski razlog zašto bi trebalo ili zašto ne bi trebalo kreiraqti više drveća unutar šume. Ipak, potrebno je imati na umu da je jednim drvetom, sa kontinuiranim adresnim prostorom mnogo lakše upravljati i korisncima je lakše da vizualizuju infrastrukturu.


Odnosi poverenja


Kao alternativa odrađivanja restruktuiranja domena, možemo da iskoristimo poverenje između šuma ili u okviru same šume iz jedne Windows Server 2008 šume da bismo mogli da pristupamo resursima u drugoj Windows Server 2008 šumi.

Jedan od značajnijih unapređenja koja su se dogodila u Windows Server 2003 aktivnom direktorijumu je bila opcija za kreiranje poverenja između AD DS šuma. U Windows 2000 aktivnom direktorijumu administrator je mogao samo da kreira poverenje između jednog domena u jednoj šumi i jednog domena u drugoj šumi. U Windows Server 2003 i Windows Server 2008 administrator može da konfiguriše poverenje između Forest Root domena. Ovo poverenje može da bude jednosmerno ili dvosmerno poverenje. Nakon kreiranja poverenja, možemo da iskoristimo globalne grupe ili univerzalne grupe iz jedne šume da bismo dodelili dozvole za resurse koji se nalaze u drugoj šumi.

Kreiranje poverenja između dve šume omogućava samo deljenje resursa između tih šuma. Sve druge odlike na bazi odnosa između šuma i dalje se primenjuju nakon kreiranja poverenja. Na primer, kreiranje poverenja ne znači da će šume deliti globalni katalog (GC) ili zajedničku šemu (Common Schema). Kada kreiramo poverenje u okviru šuma u aktivnom direktorijumu, poverenje automatski omogućava Name Suffix Routing između dve šume. Sa Name Suffix Routing korisnici mogu da koriste User Principal Names (UPNs) prilikom logovanja u bilo koji domen u obe šume. Na primer, ako kreiramo Forest Trust između Linkgroup.com šume i Itakademija.com šume, korisnici iz Itakademija.com šume će moći da se uloguju na radne stanice koje se nalaze u Linkgroup.com koristeći svoje username@itakademija.com UPN. Name Suffix Routing se primenjuje po defoltu na sva prvostepena imena domena koja su dostupna u šumi. Ovo uključuje i defoltne UPN sufikse i sve alternativne sufikse koji su konfigurisani u šumi. Name Suffix Routing neće raditi između šuma samo u slučaju kada smo konfigurisali isti UPN sufiks u obe šume.

Tipovi poverenja: Poverenje može biti u jednim ili u oba pravca. Poverenje u jednom pravcu znači da iako jedan entitet verujue drugom entitetu, reciprocitet nije tačan. U obostranom poverenju oba entiteta veruju jedno drugom.

Poverenje može biti tranzitivno i netranzitivno. U tranzitivnom poverenju, ako A veruje B i ako B veruje C, tada će A takođe implicitno verovati C.

Windows Server 2008 podržava nekoliko različitih poverenja za korišćenje u različitijm situacijama.

U jednoj šumi svi domeni veruju jedan drugome sa internim, obostranim tranzitivnim poverenjem. U suštini, ovo znači da svi domeni veruju svim drugim domenima. Ova poverenja šire se preko drveća unutar šume. Pored ovih automnatsko kreiranih poverenja, administrator može da konfiguriše i druga poverenja između domena unutar šume, između šume i drugih šuma, i između naše šume i drugih sigurnosni entiteta kao što su kerberos oblast ili Windows NT 4.0 domeni.

Dodaj komentar Sviđa mi se - (2) Ne sviđa mi se - (1)    

  • Određivanje topologije domena i šume 1
  • Određivanje topologije domena i šume 2
  • Određivanje topologije domena i šume 3