Active Directory: Active Directory seu caminho
A maneira como você configurar sua topografia do Active Directory terá um impacto direto sobre o quão bem você é capaz de organizar seus recursos e usuários.
Brien M. Posey
Desde o lançamento do Windows 2000 Server edition, há mais de uma década — e com ele o lançamento do Active Directory, o serviço de diretório Microsoft testado tem ajudado organizações manter a ordem em meio ao caos. Uma estratégia que a maioria das organizações tomam (embora certamente há exceções) é para ficar com a implantação do Active Directory mais simples que eles podem realisticamente fugir com.
Isto deve vir como nenhuma surpresa. O princípio de manter as coisas o mais simples possível aplica-se, definitivamente, para o mundo de ti. Qualquer profissional de TI experiente sabe que manter as coisas simples reduz as chances de problemas e torna a solução de problemas muito mais fácil. Não há absolutamente nada de errado com o uso de uma topologia do Active Directory padrão. Há uma razão que Microsoft definir a topologia padrão como padrão.
Mas enquanto houver algo a ser dito para a simplicidade, quando se trata do Active Directory, algumas organizações podem ser melhor servidas por uma estrutura mais criativa. Há alguns projetos alternativos que provavelmente mais apropriados para grandes organizações que precisam de segregar as responsabilidades de gestão.
Estrutura de domínio
Mais frequentemente, implantações do Active Directory do mundo real usam uma estrutura de domínio que imita a estruturação geográfica da organização. Por exemplo, se uma organização tem três escritórios, é provável que tenha três domínios. Nem toda organização utiliza este tipo de projeto, mas é o tipo mais comum de estrutura do Active Directory. Aqui estão algumas estruturas de domínio alternativo, que você pode querer considerar para sua organização.
Domínios de usuário
O Active Directory é realmente nada mais do que um banco de dados. O banco de dados é preenchido com vários tipos de objetos. Cada objeto é atribuído a um ou mais atributos. Organizações, por vezes, base de sua estrutura de domínio em tipos específicos de objetos do Active Directory. Um exemplo disso é o uso de domínios de usuário.
Um domínio de usuário é um domínio do Active Directory para o único propósito de gerenciamento de contas de usuário. Para lhe dar uma idéia de por que isso é útil, considere este exemplo de uma organização com alguns milhares de usuários e uma alta taxa de rotatividade de funcionários. Esta organização emprega duas pessoas, cuja missão é criar, configurar e remover contas de usuário.
Neste tipo de situação um domínio de usuário poderia ser útil, porque este tipo de estrutura de domínio ajudaria os usuários a tarefa de manutenção de conta para ter total controle administrativo sobre as contas de usuário. Poderiam ser limitadas, no entanto, de ter acesso a outros objetos do Active Directory ou funções.
Você não precisará implementar este tipo de estrutura de domínio especificamente para isolar responsabilidades administrativas. Existem outras maneiras de realizar este tipo de isolamento. No entanto, uma estrutura de domínio do usuário pode ajudar uma organização ficar melhor organizado, tornando os domínios individuais que menos confuso. Ele também fornece uma sensação de isolamento administrativo físico, que algumas organizações podem preferir em vez do isolamento lógico administrativo que pode existir quando todos os vários tipos de objetos residem em um domínio comum.
Domínios de recurso
Domínios de recurso são semelhantes aos domínios de usuário em que eles são a única finalidade na natureza. Estes são usados para aumentar a segurança ou a estrutura do Active Directory mais lógico ou manejável. Existem implantações do Active Directory de mundo real em que todos os computadores desktop são agrupados em um domínio de recurso dedicado. Outras organizações colocou todos os seus servidores que executam aplicativos de linha de negócios principais em um domínio de recurso dedicado. Você pode usar domínios de recurso para qualquer outra classe de recurso também.
Domínios de recurso são provavelmente mais úteis quando você tratá-los como domínios de gerenciamento. Por exemplo, você pode querer criar uma floresta do Active Directory dedicada, projetada para funcionar puramente como um domínio de gerenciamento para servidores Hyper-V. Existem algumas razões porque você pode optar por fazer isso.
A primeira razão tem a ver com a gestão. O System Center Operations Manager 2012 (e um número de outros produtos de gerenciamento) só podem gerenciar servidores que são membros de um domínio do Active Directory. Você não iria querer juntar seus servidores Hyper-V para seu domínio principal, porque todos os controladores de domínio para seu domínio principal são virtualizados. Você não quer arriscar colocando sua organização em uma situação em que você fosse incapaz de logon em um servidor Hyper-V, porque os virtuais DCs estavam offline. Adicionando servidores Hyper-V para uma floresta de gerenciamento dedicada do Active Directory resolve este problema muito bem.
Outra razão, que você pode optar por criar um domínio de recurso dedicado para os seus servidores Hyper-V tem a ver com alguns dos novos recursos que estão chegando no Hyper-V versão 3.0. Hyper-V 3.0 terá a capacidade de replicar uma máquina virtual (VM) do host de um servidor para outro. Este tipo de replicação não é uma solução de cluster de failover, mas sim uma solução de recuperação de desastre que lhe permite manter uma cópia atualizada de suas VMs em um servidor de host alternativo. Dessa forma, se algo aconteceu com sua matriz de disco ou seu principal host do Hyper-V, você teria uma outra cópia de suas VMs que você poderia cair para trás sobre.
Para usar esse recurso, no entanto, o servidor do host e o servidor de réplica tem ser autenticado. A maneira mais fácil de fornecer essa autenticação é juntar ambos os servidores em um domínio comum e usar Kerberos. Como tal, a criação de um domínio de recurso dedicado para servidores Hyper-V faz todo o sentido. Isto é especialmente verdadeiro quando você considera que há outros recursos do Hyper-V que também exigem a participação no domínio.
Aliás, domínios de recurso e usuário não são mutuamente exclusivas. Algumas organizações usam uma combinação de domínios de usuário e recursos dentro de uma floresta do Active Directory comuns.
Topologia geográfica
Enquanto estas estruturas alternativas são realmente eficazes, a grande maioria das implantações do Active Directory no mundo real é baseada na estrutura geográfica. Tecnicamente, não há nada de errado com o uso deste tipo de topologia do Active Directory, mas existem algumas coisas que você deve considerar.
Primeiro, não confunda a estrutura de domínio com a estrutura do site. A estrutura do site do Active Directory sempre deve imitar a topologia geográfica de uma organização. Para cada link de rede (WAN) de área ampla entre escritórios, deve haver um link de site correspondente no Active Directory. Além disso, os computadores que residem dentro de um escritório físico devem ser colocados dentro de um site do Active Directory comuns. Idealmente, cada local deve fazer uso de uma sub-rede dedicada porque uma única sub-rede não pode abranger vários sites do Active Directory.
Estrutura de site do Active Directory é importante porque a estrutura do site tem um impacto direto no volume de tráfego de replicação do Active Directory que fluirá através de links de WAN. Por exemplo, imagine uma organização com várias filiais. Esta organização optou por configurar o Active Directory como um único domínio, o que não é errado. Em uma situação como esta, você potencialmente pode fazer atualizações para o Active Directory em qualquer controlador de domínio gravável dentro de toda a organização. Quando ocorrer uma atualização, é responsabilidade do DC para fazer a atualização disponível para os outros DCs.
Se esta organização não fazer uso de uma estrutura de site apropriado, uma atualização comum poderia passar um link WAN várias vezes. Por exemplo, se houvesse cinco DCs em uma filial, uma atualização do Active Directory poderia potencialmente ser enviada através do link WAN cinco vezes separado, uma vez para cada DC.
Quando você usa sites do Active Directory, um controlador de domínio em cada site atua como um servidor bridgehead. Emprego do servidor bridgehead é receber atualizações do Active Directory de WAN e distribuir as atualizações para outros DCs dentro do site. Isso significa que qualquer Active Directory atualizações só precisará ser enviada para cada filial uma vez, independentemente de quantos DCs existem dentro dessa filial.
Quanto as organizações que usam um domínio separado para cada filial? Se cada filial tem uma floresta dedicada do Active Directory, você não precisa se preocupar sobre a definição de sites do Active Directory. Por outro lado, se cada domínio é um membro de uma floresta comum, você definitivamente deve implementar uma estrutura apropriada de site do Active Directory como uma maneira de manter o tráfego de replicação do nível de floresta do Active Directory em cheque.
Como você pode ver, há muitas maneiras diferentes de configurar a topologia de domínio do Active Directory. Finalmente, você deve escolher a topologia que faz mais sentido para a sua própria organização. Este poderia ser um modelo de domínio único ou um modelo de vários domínios com base na proximidade geográfica, usuários ou mesmo recursos.
.jpg)
Brien M. Posey, MVP, é um escritor técnico freelance com milhares de artigos e dezenas de livros para o seu crédito. Você pode visitar o site de Web do Posey em brienposey.com.