Материал: Планування та розгортання служби доступу до інформаційних ресурсів підприємства
Рисунок 3.7 - Створені об'єкти PSO
Оскільки компанія «ANTLERS HOOFS» має кілька філіалів, кожен з яких має своє територіальне розташування необхідно встановити в кожному філіалі по контролеру домену. Необхідно забезпечити виконання двох завдань:
) Кожен клієнт при аутентифікації повинен звертатися до найближчого контролеру домену для отримання квитків «Kerberos». При цьому і групові політики також повинні застосовуватися з найближчого контролера.
) Реплікація змін усередині сайту здійснюється згідно зі схемою повідомлень з розкладом, описаної в першій частині статті. Реплікація ж між контролерами, що знаходяться в різних сайтах відбувається тільки за розкладом.
Щоб ці завдання виконувалися ефективно необхідно конфігурувати сайти, які, по суті, є логічним угрупованням клієнтів і контролерів, пов'язаних швидкісними з'єднаннями.
Коли встановлюється «ActiveDirectory», створюється єдиний сайт з ім'ям «Default-First-Site-Name» (надалі сайт можна перейменувати). Якщо не створюються додаткові сайти, то всі наступні контролери домену будуть додаватися до цього сайту. Однак, якщо компанія розташована в декількох місцях з обмеженою пропускною здатністю між ними, то необхідно створити додаткові сайти. Додаткові сайти створюються за допомогою інструменту адміністрування «ActiveDirectory - сайти і служби»[3].
Для створення нових сайтів, на контейнері
«Sites» було викликано контекстне меню і обрана команда «Створити сайт». Після
введення імені сайту був вибраний зв'язок сайту, який буде використовуватися
для з'єднання цього сайту з іншими сайтами. Кожен сайт пов'язаний з однією або
більше підмережами IP в «ActiveDirectory». Далі була створена додаткова
підмережа в контейнері «Subnets» в інструменті «ActiveDirectory - сайти і
служби» і пов'язана з новим сайтом. Все це зображено на рис.3.8.
а) б)
Рисунок 3.8 - а) Створення нового сайту; б)
Створення нової підмережі
Кожен сайт повинен мати, принаймні, один контролер домену. Щоб перемістити існуючий контролер домену в сайт, потрібно клацнути правою кнопкою миші на об'єкті контролера домену в його поточному контейнері «Servers» і вибрати «Перемістити». Потім буде запропонований вибір сайту, в який можна перемістити контролер домену. Якщо встановлюється новий контролер домену, то він буде автоматично розташований в тому сайті, в якому підмережа IP відповідає IP-адресою контролера домену.
З'єднання «ActiveDirectory», які пов'язують
сайти разом, називаються «зв'язками сайту». При установці «ActiveDirectory»
створюється єдиний зв'язок сайту з ім'ям «DEFAULTIPSITELINK»[3]. Якщо не будуть
створені ніякі додаткові зв'язки сайту перш, ніж будуть створені додаткові
сайти, то кожен сайт включається в цю задану за замовчуванням зв'язок сайту.
а) б)
Рисунок 3.9 - а) Створення зв’язку сайтів; б)
Налаштування зв’язку
Рисунок 3.10 - Налаштування розкладу реплікації
Нижче наведені опції конфігурації для всіх зв'язків сайту.
вартість - це призначене адміністратором значення, яке визначає відносну вартість зв'язку сайту. вартість зазвичай відображає швидкість мережної передачі і витрати, пов'язані з її використанням.
графік реплікації - визначає, в який час протягом дня зв'язок сайту доступний для реплікації.
інтервал реплікації - визначає інтервали часу, через які сервери-плацдарми перевіряють з’явлення модифікацій каталогу на серверах-плацдармах інших сайтів.
Мости зв'язків сайту можуть використовуватися
для конфігурування реплікації в ситуаціях, коли компанія має кілька сайтів,
пов'язаних з високошвидкісною базової мережею, і кілька менших сайтів, які
з'єднуються з кожним великим центром через повільні з'єднання. У цих випадках
мости зв'язків сайту можна використовувати для більш ефективного управління
потоком трафіку реплікації. Створення мостів зв'язків сайту зображено на
рис.3.11.
Рисунок 3.11 - Створення мосту зв’язків сайтів
При створенні моста зв'язків необхідно визначити, який зв'язок сайту є частиною мосту. Будь-які зв'язки сайту, які додаються до мосту зв'язків сайту, розглядаються по відношенню один до одного як транзитивні; зв'язку сайту, не включені в міст зв'язків сайту, транзитивними не є.
Реплікація між сайтами виконується через сервери-плацдарми. За замовчуванням генератор міжсайтової топології (ISTG)[6] автоматично ідентифікує сервер-плацдарм при обчисленні топології реплікації між сайтами.
У деяких випадках необхідно управляти тим, які
контролери домену будуть використовуватися в якості серверів-плацдармів. Робота
сервера-плацдарму може додавати істотне навантаження на контролер домену, якщо
є багато змін інформації каталогу і встановлено часте проведення реплікації. Для
конфігурування серверів-плацдармів потрібно отримати доступ до об'єктів в
інструменті адміністрування «ActiveDirectory - сайти і служби», клацнувши
правою кнопкою миші на імені сервера, а потім вибрати «Властивості». Таким
чином отриманий доступ до опції конфігурування сервера як привілейованого
сервера-плацдарму для передачі даних по SMTP або по IP, зображено на рис.3.12.
Рисунок 3.12 - Налаштування серверу-плацдарму
Перевага конфігурування привілейованих серверів-плацдармів полягає в гарантії того, що серверами-плацдармами будуть обрані контролери домену, зазначені адміністратором. Якщо адміністратор захоче контролювати те, які сервери використовуються в якості серверів-плацдармів, то можна конфігурувати привілейований сервер-плацдарм для кожного розділу, який потрібно реплікувати в сайт.
Конфігурування привілейованих
серверів-плацдармів обмежує можливості ISTG вибирати сервер-плацдарм, тобто
завжди буде вибиратися сервер, який налаштований як привілейований. Якщо цей
сервер не буде працювати й інші сервери не будуть призначені в якості
серверів-плацдармів для даного розділу каталогу, то ISTG не вибиратиме інший
сервер-плацдарм, і реплікації припиняться доти, поки сервер не буде знову
доступний.
Рисунок 3.13 - Структура сайтів компанії
«ANTLERS&HOOFS»
Таким чином після виконаннявищезазначених
дійбуловироблено тестове розгортання розробленої моделі каталогу
«ActiveDirectory» на базі серверної операційної системи «Windows Server 2008 R2»
стосовно до центрального офісу компанії.
ВИСНОВКИ
У цій роботі, ґрунтуючись на базі теоретичних відомостей, а також аналізі існуючої інфраструктури та бізнес-процесів виробничої компанії «ANTLERS&HOOFS» була розроблена і запропонована до впровадження модель розгортання служби каталогів ActiveDirectory.
Для розглянутої в роботі організації була обрана
модель єдиного лісу з центральним доменом і чотирма регіональними доменами, які
є дочірніми по відношенню до центрального. Порядок призначення доменних імен
ґрунтувався на територіальному ознакою, що дозволяє відобразити географічну
структуру компанії, а також є стійкість до реорганізації. Для поділу ресурсів
між організаційними підрозділами для центрального домену була обрана модель на
основі структури організації, оскільки вона дозволяє забезпечувати певний
рівень автономії для кожного відділу і спрощене адміністрування. Була вироблена
власна стратегія управління обліковими записами і групами безпеки підприємства,
а також розглянуті питання конфігурації сайтів. Також було вироблено тестове
розгортання розробленої моделі каталогу ActiveDirectory на база серверної
операційної системи Windows Server 2008 стосовно до центрального офісу компанії
«ANTLERS&HOOFS».
ПЕРЕЛІК ПОСИЛАНЬ
Добринін І.С. «Методичні вказівки за курсом ЗСТКС» [Текст]/ Х.: Електронна документація, 2015.
Ден Холме, Нельсон Рест, Даніель Рест, «Налаштування ActiveDirectory. Windows Server 2008» [Текст]/Пер. з англ. - М.: Видатництво «Русскаяредакция», 2011. - 960 с. : ил.
Тоні Нортроп, Дж.КМакін., «Проектування мережевої інфраструктури Windows Server 2008». [Текст]/Пер. з англ. - М.: Видатництво «Русская редакция», 2011. - 590 с. : ил.
«ActiveDirectory» [Електронний ресурс] http://alterego.ucoz.org/ - Режим доступу: URL: http://alterego.ucoz.org/publ/active_directory/4-2 - Загл. з екранах.
«ActiveDirectory» - сайти і служби [Електронний ресурс] http://winintro.ru/ - Режим доступу: URL: http://winintro.ru/dssite.ru/ - Загл. з екранах.