![]() |
строим корпоративную сеть
Цель:
------- Существует холдинг. Нужно несколько предприятий (10-12) завязать в корпоративную сеть. Сеть должна выполнять такие функции: - почта (учетная запись на каждого пользователя домена) - 1С на SQL-Server - доступ к файловому серверу - централизованное обновление ОС и антивирусных баз На каждом предприятии имеется свой вторичный домен. Предприятия связываются VPN-ками. Сервера везде 2000 (никаких линух и фрей нет). Есть CISCO. Сейчас стоит ISA- , Exchange- и SUS. Как лучше построить такую сеть (по цели), чтоб мороки и глюков потом меньше было ? Жду советов и умных мыслей. (желательно побыстрее) :) |
Да, как и обычную сеть. Определяете план работ, возможные риски, архитектуру сети, бюджет и т.п. ...и вперед...
Делаем мы холдинги, и поверь, что кроме масштабов и более мощного оборудования ничем больше это особо не отличается от локалки с нескольками доменами. |
Megabizon
прикол в том, что сейчас уже несколько подключено - а домен 1, просто в нем по одному контроллеру каждого пред-тия ... путаница между админами с правами роутеры на 2000 масдае с ИСА 2000 в качестве PFW. ну как-то проблематично это сейчас всё работает .... :( |
2 MaxFactor
ну и что вас не устраивает в одном домене? Один домен , один лес Могу привести цитату из книги глубокоуважаемого мной автора Федорв Зубанова "Active Directory - подход профессионала" : Преимущества модели с одним лесом Рассмотренные выше модели построения доменной структуры отно- сятся к так называемой модели Active Directory с одним лесом доме- нов, В 99 % случаев следует придерживаться именно этой -модели. Объяснение данного факта простое; вы получаете максимум выгоды от использования Active Directory. Ниже перечислены основные пре- имущества этой модели. • Как следует из определения, лес характеризуется наличием едино- го глобального каталога. Это означает, что для создания единой ад- ресной книги не надо применять никаких дополнительных усилий. В случае Microsoft Exchange 2000/2003 этот каталог будет взят за основу. Для других почтовых систем он может быть указан в каче- стве LDАР-каталога. Любой почтовый клиент, понимающий прото- кол LDAP, использует существующий ГК в качестве адресной книги. • Наличие единого глобального каталога также может быть исполь- зовано и различными серверами приложений Это может стать первым шагом на пути к созданию единой точки входа в гетерогенную систему (single sign-on). ф Одним из важнейших достоинств единого леса является простота и эффективность отслеживания единой политики безопасности. Связано это как с организационными, так и с техническими при- чинами. Так как управление всем лесом выполняется единой ко- мандой ИТ, то не существует причин, по которым одна и та же политика была бы внедрена по-разному одними и теми же людь- ми. С другой стороны, высокий уровень квалификации сотрудни- ков обеспечивает ее правильное внедрение и поддержание. Техни- чески единство политик обеспечивается тем. что, невзирая на раз- ные домены, к ним применяется один и тот же объект групповой политики, хранимый в Active Directory. Кроме того, неизменность данного объекта гарантируется возможностью защиты его от не- санкционированного доступа средствами AD. • В рамках единой политики безопасности легко реализуется кон- цепция делегирования полномочий. Делегирование позволяет, с одной стороны, резко сократить число сотрудников, обладающих административными полномочиями, а с другой — централизован- но контролировать зону ответственности каждого из сервисных администраторов. В такой ситуации лица, не обладающие доста- точной квалификацией, не смогут получить доступ к функциям, влияющим на стабильность и безопасность всей системы. • Наличие единого леса позволяет централизованно внедрить сис- тему мониторинга, которая будет в реальном масштабе времени следить за контроллерами доменов и иным оборудованием. При- чем такая система, как Microsoft Operations Manager (MOM 2000), позволит не только контролировать состояние обслуживаемых систем и своевременно сообщать оператору обо всех сбоях, но и автоматически отрабатывать процедуры по устранению неисправ- ностей. Одной из особенностей MOM является возможность веде- ния базы знаний о возникавших проблемах. Такая база позволяет легко организовать преемственность административного персона- ла, когда увольнение одного не станет узким местом при разре- шении проблем. Стоит упомянуть, что MOM имеет специальные наборы настроек, позволяющих интеллектуально управлять состо- янием Active Directory. DNS, Windows 2000/2003 и остальных служб. При необходимости MOM может быть использован для управле- ния и серверами приложений (SQL, Exchange и пр.), причем не только на платформе Microsoft. + Наличие единого леса Active Directory значительно упрощает про- цесс внедрения корпоративных стандартов на рабочие места пользователей. Использование групповых политик в рамках леса позволяет управлять приложениями, установленными на настоль- ных и мобильных компьютерах, выполнять своевременное их об- новление, применять определенные настройки отдельных прило- жений, регулирующие доступ к ресурсам, централизованно управ- лять сценариями регистрации и пр. Так, например, групповая по- литика может для нсех пользователей определить расположение сервера Software Update Service (SUS) в корпоративной сети пред- приятия, который используется для распространения всевозмож- ных исправлений для операционной системы и связанных с ней приложений. • Одной из задач, стоящих перед организациями, работа которых не должна прерываться при любых обстоятельствах , является организация резервного цент- ра управления. Резерв может быть как «горячим», так и «холодным». В том случае, когда имеется единый лес Active Directory, инфраструк- тура каталога может быть спроектирована таким образом, что даже в случае полного уничтожения центральной части организации вся оставшаяся часть будет продолжать функционирование без переры- вов и потери функциональности. Более того, сотрудники централь- ной части, переехавшие в любое место в структуре предприятия, смогут незамедлительно приступить к работе, сохранив при этом доступ ко всем необходимым приложениям. • Постоянно повышающиеся требования к защите информации предполагают использование более эффективных средств обеспе- чения зашиты. Одним из таких средств является внедрение инф- раструктуры открытых ключей (PKI) на базе сертификатов Х.509 v.3. Внедрение этой инфраструктуры позволит использовать стан- дартизованные средства шифрования и защиты информации, сер- тифицированные соответствующими органами Российской Феде- рации. Так, в частности, и дополнение к встроенным средствам защиты можно будет использовать цифровые смарт-карты для идентификации личности на компьютерах руководителей, а так- же для выполнения критичных административных операций. Кро- ме того, станет возможно использование электронной цифровой подписи (ЭЦП) в системах документооборота и почты. Несмотря на то, что внедрение инфраструктуры PKI возможно и для несколь- ких лесов, в одном лесу использование системы будет наиболее прозрачным для пользователей. • Мобильные пользователи смогут абсолютно безопасно подклю- чаться к сети предприятия из любой точки для доступа к своей почте или иным ресурсам. Единый лес обеспечивает для них про- зрачность доступа, а использование смарт-карт — безопасность. и это только часть преимуществ!! |
Время: 15:41. |
Время: 15:41.
© OSzone.net 2001-