Active Directory: Active Directory-Strukturen
Obgleich einfach oft besser ist, kann es sinnvoll sein, für Ihre Active Directory-Infrastruktur ein kreativeres Layout in Erwägung zu ziehen.
Brien M. Posey
Eine Sache hat mich immer überrascht, bei der Betrachtung der realen Active Directory-Bereitstellungen: Es gibt sicher Ausnahmen, in den meisten Fällen stick Organisationen mit das einfachste Setup, mit dem sie realistisch Weg erhalten können.
Dies sollte keine Überraschung sein, in gewisser Weise. Es erinnert mich an ein College-Professor, die oft gesagt, wir sollten Leben nach dem Prinzip der KISS – Keep It Simple, Stupid. Vielleicht gilt nirgendwo dieses Prinzip genauer als die IT-Welt.
Alle erfahrenen IT-Fachmann weiß, dass Dinge einfach zu halten, die Chancen, Probleme reduziert. Es macht auch viel einfacher zu Fehlerbehebung, wenn etwas schief gelaufen. Während ich der erste, der zugibt, dass etwas der Einfachheit halber gesagt werden muss, wenn es darum, die Active Directory-Infrastruktur geht werden, könnten Sie durch eine kreative Struktur besser bedient.
Es gibt absolut nichts falsch mit der Verwendung einer standard-Active Directory-Topologie. Es gibt einen Grund, den Microsoft standard-Topologie als Standard festgelegt. Diese etwas detaillierter Designs, möglicherweise jedoch besser geeignet für größere Organisationen benötigen, um Führungsaufgaben zu trennen.
Benutzerdomänen
In den meisten realen Active Directory-Einstellungen ahmt die Domänenstruktur geographischen Struktur des Unternehmens. Beispielsweise, wenn eine Organisation drei Niederlassungen verfügt, ist es wahrscheinlich drei Domänen haben. Das ist sicherlich nicht zu sagen, dass jedes Unternehmen dieses Design nutzt, aber es die zweithäufigste Art der Active Directory-Struktur ist. Während der Active Directory-Topologien geografische gemeinsame und tatsächlich wirksam sind, sollten Sie auch einige Alternativen Strukturen betrachten.
Wie Sie ohne Zweifel bewusst sind, ist Active Directory wirklich nichts anderes als eine aufwendige Datenbank. Eine Active Directory-Datenbank ist gefüllt mit verschiedenen Typen von Objekten. Jedes Objekt wird ein oder mehrere Attribute zugewiesen werden. Einige Organisationen gründen ihre Domänenstruktur auf bestimmte Typen von Active Directory-Objekte. Ein klares Beispiel für diese Art der Klassifizierung ist Benutzerdomänen.
Eine Benutzerdomäne ist eine Active Directory-Domäne, die ausschließlich für die Verwaltung von Benutzerkonten verfügt. Um Ihnen eine Vorstellung von warum dies sinnvoll ist, sollten Sie eines der Unternehmen, in denen ich habe gearbeitet. Diese Organisation hatte ein paar tausend Benutzern. Es gab immer eine hohe Fluktuation. Die Organisation beschäftigt daher zwei Personen, deren Aufgabe es war, zu erstellen, bereitstellen und Entfernen von Benutzerkonten.
In einer solchen Situation eine Benutzerdomäne bewährt. Diese Art der Domänenstruktur ermöglicht den Benutzern, die mit dem Konto Wartung volle administrative Kontrolle über die Benutzerkonten beauftragt. Es gewährt jedoch keinen, Zugang zu einer anderen Active Directory-Objekte oder Funktionen.
Es gibt andere Möglichkeiten, diese Art von administrativen Pflicht Isolation zu erreichen. Trotzdem könnte eine Domänenstruktur Benutzer helfen, eine Organisation, die besser organisiert zu bleiben. Wenn nichts anderes hilft es, die einzelnen Domänen bilden, die weniger überladen. Darüber hinaus ein Gefühl der physischen Verwaltungs-Isolation. Einige Organisationen könnte dies die logische Verwaltung Isolation vorziehen, die auftreten können, wenn verschiedene Objekttypen in einer gemeinsamen Domäne befinden.
Ressourcendomänen
Ressourcendomänen ähneln Benutzerdomänen. Diese sind Einzweck-in der Natur und zum Verbessern der Sicherheit und zur Active Directory-Struktur logischer handlicher. Es gibt reale Active Directory-Bereitstellungen, in denen alle desktop-Computer in einer dedizierten Ressourcendomäne gruppiert sind. Es gibt auch andere Ressourcendomänen für andere Arten von Ressourcen verwendet. Beispielsweise platziert eine Organisation alle läuft seine Hauptanwendung Line-of-Business (LOB) in einer Ressourcendomäne dedizierte Server.
Ressourcendomänen sind wahrscheinlich die am nützlichsten, wenn sie als Management-Domänen behandelt sind. Zum Beispiel habe ich eine dedizierte Active Directory-Gesamtstruktur, die rein als Domain Verwaltung für meine Hyper-V Server fungieren soll. Es gibt ein paar Gründe, warum ich entschied mich, dies zu tun.
Das erste ist ein Grund, Verwaltung. System Center OperationsManager 2012 (und eine Reihe von anderen Verwaltungsprodukten) können nur Server verwalten, die Mitglieder einer Active Directory-Domäne sind. Ich wollte nicht meine Hyper-V Server meine primäre Domain beitreten, da alle meine Domänencontroller für meine primäre Domain virtualisiert werden. Ich wollte nicht riskieren, nicht könnend einfach auf einen Hyper-V-Server anmelden, da die virtuellen DCs offline waren. Der Hyper-V Server auf einer dedizierten Verwaltung Active Directory-Gesamtstruktur beitreten das Problem gelöst.
Die andere Grund wählte ich für meinen Hyper-V-Servern eine dedizierte Ressourcendomäne erstellen hat mit einige der neuen Features kommen in Hyper-V Version 3.0 zu tun. Die Hyper-V 3.0-Features, die, denen ich am meisten begeistert bin, gehört die Möglichkeit, eine virtuelle Maschine (VM) zu replizieren von einem Host-Server zu einem anderen.
Diese Art der Replikation ist nicht unbedingt ein Failover-clustering-Lösung, sondern eher eine Disaster-Recovery-Lösung, mit die Sie eine aktuelle Kopie Ihrer virtuellen Computer auf einem anderen Host aufbewahren kann. Wenn etwas auf einen Festplatten-Array oder primäre Hyper-V Host geschehen sollte, gibt es eine weitere Kopie Ihrer virtuellen Computer, die Sie zurückgreifen können. Um diese Funktion nutzen zu können, müssen jedoch sowohl der Host und Replikatserver authentifiziert werden.
Der einfachste Weg, diese Authentifizierung bereitzustellen ist auf beiden Servern zu einer gemeinsamen Domäne beitreten und Kerberos verwenden. So macht es durchaus Sinn, eine dedizierten Ressourcendomäne für Hyper-V Server zu erstellen. Dies gilt insbesondere, wenn man bedenkt, es gibt andere Hyper-V-Features, die auch die Domänenmitgliedschaft erfordern.
Ressourcen und Benutzerdomänen nicht gegenseitig aus, übrigens. Einige Organisationen verwenden eine Kombination aus Benutzer und Ressourcendomänen innerhalb einer gemeinsamen Active Directory-Gesamtstruktur. Beide haben ihre Stärken, und Sie können beide nach Bedarf anwenden.
Geografische Topologie
Die überwiegende Mehrheit von Active Directory-Umgebungen in der realen Welt basieren auf geographische Struktur. Beispielsweise kann eine Organisation mit fünf Niederlassungen fünf separate Domänen verwenden — eine für jedes Büro, in der alle physischen Maschinen innerhalb dieses Amt enthalten. Technisch gesehen gibt es nichts falsch mit der Verwendung dieser Art von Active Directory-Topologie – aber es gibt ein paar Dinge sollten Sie in Betracht ziehen.
Zunächst ist es wichtig, nicht zu verwechseln mit Website-Struktur-Domänenstruktur. Die Active Directory-Site-Struktur sollte immer eines Unternehmens geografische Topologie imitieren. Für jedes Netzwerk (WAN) Verbindung zwischen Büros besteht, sollte eine entsprechende Standortverknüpfung in Active Directory. Die Computer, die innerhalb eines physischen Büros befinden sollte auch innerhalb einer gemeinsamen Active Directory-Standort platziert werden. Im Idealfall sollte jeder Standort eine spezielle Subnetz verwenden, da Sie können kein einzelnes Subnetz mehrere Active Directory-Standorte erstrecken.
Der Grund, warum, den die Active Directory-Site-Struktur so wichtig ist, ist, weil die Websitestruktur hat einen direkten Einfluss auf den Umfang der Active Directory-Replikationsverkehr, die über WAN-Verbindungen fließen kann. Genommen Sie ein Unternehmen hat mehrere Niederlassungen, aber er wählte seine Active Directory als eine einzelne Domäne konfigurieren an. Wieder gibt es technisch nichts falsch mit diesem Konzept, aber es kann ineffizient sein.
In einer Situation wie die könnte zu Active Directory möglicherweise schreibbare Domänencontroller an einer beliebigen Stelle innerhalb der Organisation gestellt. Wenn eine Aktualisierung stattfindet, ist es, dass DC die Verantwortung auf den anderen DCs das Update zur Verfügung stellen.
Da diese Organisation nicht machen eine entsprechende Website-Struktur verwenden, eine gemeinsame Update nicht möglich, über eine WAN-Verbindung mehrmals übergeben. Beispielsweise gäbe es fünf DCs in einer Zweigstelle, konnte dann ein Active Directory-Update möglicherweise auf die WAN-Verbindung separate fünfmal, einmal für jeden DC gesendet werden.
An jedem Active Directory-Standort ein DC fungiert als Bridgeheadserver. Der Bridgehead-Server-Job ist Active Directory Aktualisierungen aus über die WAN-Verbindung zu erhalten. Dann verteilt sie diese Updates auf den anderen DCs innerhalb der Website. Dies bedeutet Active Directory Aktualisierungen müssen nur einmal, unabhängig davon, wie viele DCs an jede Zweigstelle gesendet werden innerhalb der Zweigstelle existieren würde.
Was ist mit Organisationen, die eine separate Domäne für jede Zweigstelle verwenden? Wenn jede Zweigstelle eine dedizierte Active Directory-Gesamtstruktur hat, dann musst du nicht Sorgen über das Definieren von Active Directory-Standorte. Auf der anderen Seite, wenn jede Domäne Mitglied einer Gesamtstruktur mit einer gemeinsamen ist, dann Sie auf jeden Fall sollten implementieren Sie eine entsprechende Active Directory Standort-Gliederung als eine Möglichkeit der Gesamtstruktur Active Directory-Replikationsverkehr in Schach zu halten.
Es gibt viele verschiedene Möglichkeiten, eine Topologie der Active Directory-Domäne einrichten. Letztlich sollten Sie die Topologie auswählen, die am sinnvollsten für physische Layout Ihres Unternehmens und Netzwerk-Infrastruktur ist. Dies könnte ein Modell oder ein Multi-Domain-Modell, das auf die geographische Nähe, Benutzer oder auch Ressourcen basiert.
.jpg)
Brien m. PoseyMVP, ist ein freiberuflicher technischer Autor mit Tausenden von Artikeln und Dutzende von Büchern zu seiner Ehre. Sie können besuchen die Posey-Website unter brienposey.com.