ИТ-архитектура от А до Я: Комплексное решение. Первое издание. Вадим Алджанов
Читать онлайн книгу.аутентифицироваться между доменами. Существуют различные типы доверенных связей.
Следующей важной составляющей активного каталога является групповые политики (Group Policy GPO). Они предоставляют возможность централизованного конфигурирования и управления атрибутами объектов. Существует два раздела групповых политик: Пользовательские (User) и компьютерные (Computer). Групповые политики могут применяться на различные контейнеры – уровни. Последовательность влияния политик выглядит следующим образом:
•Local Group Policy;
•Site-linked Group Policies;
•Domain-linked Group Policies;
•OU-linked Group Policies;
По умолчанию, настройки более высокой политики перекрываются настройками более низкой политикой в случае их конфликта. Например, если на уровне домена применена настройка разрешения смены рабочего стола, а на уровне организационной единицы запрещено, то результат будет запрет. Если параметры не перекрываются, то результат воздействия на объект будет содержать суммарные параметры применения всех политик. Условия наследия могут быть изменены.
База данных активного каталога содержится в файле ntds. dit в папке %SYSTEMROOT%\NTDS. В папке также содержатся файлы:
•Edb.chk – содержит проверку целостности базы;
•Edb. log – журнал активности базы;
•Temp. edb – временный файл активности;
•Res1.log или edbres0001.jrs – лог файл при недостатке места;
Репликация данных между контролерами домена один из важнейших механизмов поддержания целостности активного каталога. Репликация связана со следующими компонентами:
•DNS;
•Remote Procedure Call (RPC);
•SMTP (опционально);
•Kerberos;
•LDAP;
Кроме этого работа активного каталога чувствительна к синхронизации времени между контролерами.
Помимо активного каталога вторая, интегрированная служба, необходимая для функционирования инфраструктуры является служба DNS. Помимо стандартных записей, содержит SRV запись определяющая контролер домена в инфраструктуре.
Требования
Основные требования к сервису можно выразить как высокая производительность, отказоустойчивость и масштабируемость; низкая стоимость владения; поддержка порядка 1000 пользователей или пользовательских устройств.
Архитектура
Архитектура решения строится на базе решения Microsoft Windows Server 2016 Standard и встроенной службы Active Directory Service. Так как активный каталог тесно связан с DNS службой, то последняя также разворачивается на контролерах домена и является интегрированной службой.
Архитектура представлять из себя единый домен и лес – одноуровневая архитектура. Решение наиболее простое и подходит для большинства организаций. Также принимается во внимание наличие не менее двух «сайтов». Контролеры домена располагаются в дата центре основном и резервном. На сайтах компаний, обслуживающем 50 и более сотрудников, при необходимости можно установить контролеры домена с опцией только для чтения (RODC).
Для мульти-доменных