Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Планирование Active Directory (http://forum.oszone.net/showthread.php?t=183274)

2casp 18-08-2010 17:58 1476493
Планирование Active Directory
 
Всем привет,
нужна помощь в планировании структуры Active Directory в работающем холдинге. В каждой компании находится от 50-70 компьютеров. Как наиболее оптимально создать домены для данной сети. В холдинге находится 6 организаций, географически располагаются в одном здании 4 организации и 2 удаленно. Заранее спасибо за ответы :)

QRS 18-08-2010 23:38 1476728
Структура сильно зависит от централизации обслуживания ИТ-специалистами и от обособленности зон ответственности.

В случае, если организации сильно обособлены и хотят быть независимыми, то может идти речь об отдельных лесах и доверии между ними. В случае сильной центральной воли, можно настроить единственный домен. Промежуточные варианты сводятся к нескольким деревьям в одном лесу.

Таким образом, определяющим будет вопрос: кто отвечает за работу инфраструктуры в целом и AD в частности (ведь за единым лесом тянется DHCP и Exchange)? Допускает ли руководство каждой отдельной организации управление собственной инфраструктурой извне?

Если единый домен приемлем, то будет необходимо решить вопрос размещения серверов инфраструктуры на вычислительных мощностях, т.е.: кому фактически принадлежат сервера?!
Если никто выделываться не будет (ради экономии или принципа ради), то на здание с 4мя организациями можно поставить 2 контроллера домена (желательно в разных ЦОДах).
Если согласованности не будет, то проще всего для каждой организации поднять по контроллеру домена.
Для удаленных организаций можно поставить по 1-2 контроллера домена.

Очевидно, что необходимо настроить сайты по IP-адресам; на каждом контроллере поднять глобальный каталог.

Для подключения удаленных организаций к центральному зданию можно использовать RRAS или IPSec на базе аппаратных маршрутизаторов. Выбор будет определяться в первую очередь требованиями информационной безопасности, в а свете приближения 2011 года (федеральный закон 152-ФЗ), немаловажными станут требования защиты ИСПДн - а у Вас может получиться распределенная система.
---
PS: В случае единственного домена, с точки зрения лицензирования имеет смысл оформить единое корпоративное лицензионное соглашение и расписать лицензии между предприятиями.
PS2: Попутно, в целях планирования информационной безопасности, стоит уточнить вопрос о центре сертификации.

exo 19-08-2010 00:48 1476755
Цитата:
Цитата QRS
ведь за единым лесом тянется DHCP и Exchange »
поясните, пожалуйста.

QRS 19-08-2010 18:31 1477450
Цитата:
Цитата exo
поясните, пожалуйста. »
Exchange Organisation разворачивается на лес.

Вроде, для авторизации DHCP требовались права Ent Admins (хотя, возможно, я ошибаюсь).

exo 19-08-2010 20:24 1477527
Цитата:
Цитата QRS
Вроде, для авторизации DHCP требовались права Ent Admins (хотя, возможно, я ошибаюсь). »
Цитата:
http://technet.microsoft.com/ru-ru/l...16(WS.10).aspx
Поскольку члены группы «Администраторы DHCP» имеют права только на локальном компьютере, администраторы DHCP не могут авторизовать DHCP-серверы в Active Directory. Эту задачу могут выполнять только члены группы «Администраторы домена». Если требуется выполнить или отменить авторизацию DHCP-сервера в дочернем домене, необходимо использовать учетные данные администратора предприятия для родительского домена.
Цитата:
Цитата QRS
Exchange Organisation разворачивается на лес. »
т.е. если у меня есть домен и есть доверительный домен, то Exchange один на двоих?
Или Exchange Organisation это не почтовый сервер Exchange?

QRS 20-08-2010 17:42 1478129
Цитата:
Цитата exo
т.е. если у меня есть домен и есть доверительный домен, то Exchange один на двоих? »
Exchange 2010 A Practical Approach By Jaap Wesselius (ISBN 978-1-906434-31-1)
читать дальше »
A Windows Server Active Directory consists of one forest, one or more domains and one or more sites. Exchange Server 2010 is bound to a forest, and therefore one Exchange Server 2010 Organization is connected to one Active Directory forest. The actual information in an Active Directory forest is stored in three locations, also called partitions:
• Schema partition – this contains a “blue print” of all objects and properties in Active Directory. In a programming scenario this would be called a class. When an object, like a user, is created, it is instantiated from the user blueprint in Active Directory.
• Configuration partition – this contains information that’s used throughout the forest. Regardless of the number of domains that are configured in Active Directory, all
domain controllers use the same Configuration Partition in that particular Active Directory forest. As such, it is replicated throughout the Active Directory forest, and all changes to the Configuration Partition have to be replicated to all Domain Controllers. All Exchange Server 2010 information is stored in the Configuration Partition.
• Domain Partition – this contains information regarding the domains installed in Active Directory. Every domain has its own Domain Partition, so if there are 60 domains installed there will be 60 different Domain Partitions. User information, including Mailbox information, is stored in the Domain Partition.

exo 20-08-2010 23:48 1478368
QRS, я пока не понял смысл всего этого. для чего так... какая выгода? чисто на практике


Время: 17:43.

Время: 17:43.
© OSzone.net 2001-