В качестве платформы для построения службы Каталога и Почтовой службы предлагается MS Active Directory 2003 и MS Exchange 2003.
(Стоит отметить , что на тот момент эта версия была самой последней.)
Особенности реализации платформы.
Версия службы каталогов Active Directory, входящая в состав Windows Server 2003, имеет следующие преимущества по сравнению с предыдущей:
• Создание удаленных контролеров домена. Возможно создание котроллера с репликацией из резервной копии, а не по сети. • Функциональные уровни. Появились новые функциональные уровни сочетания контроллеров домена Windows NT, Windows 2000 Server и Windows Server 2003 в одном домене. • Репликация. Реплицируются только изменения в группе, а не группа целиком. Снято ограничение на 5000 членов в группе. • Масштабируемость. Возможность создания до 5000 сайтов. Создаваемая топология отличается от Windows 2000. • Глобальный каталог. Возможна регистрация без доступа к GC, информация о членстве в Universal группах кэшируется. Изменение протокола репликации – реплицируется не весь Глобальный Каталог, а только измененные атрибуты. • Модификация схемы. Стало возможным удаление атрибутов из схемы, а не только отключение. • Система имен. Возможно переименование контролеров и доменов. • Доверительные отношения. Возможно определение односторонних доверительных отношений между лесами. • Групповые политики. Появилась возможность строгого контроля за использованием ПО на рабочих станциях на основании алгоритма хеширования. • Интерфейс. Использование технологии drag-and-drop при перемещении объектов типа User, Computer между контейнерами. Новые оснастки для управления Групповыми Политиками. Майкрософт сотрудничает с компаниями Cisco, CheckPoint, SAP и др. для обеспечения поддержки Active Directory в их продуктах. Так, Check Point содержит сервисы для использования информации, хранящейся в Active Directory для идентификации пользователей в своих приложениях, Cisco использует собственный модуль User Registration Tool для регистрации пользователей на сетевом оборудовании по учетным записям из AD.
Таким образом, служба каталога MS Active Directory обеспечивает единую точку аутентификации пользователей для доступа к корпоративным ресурсам, таким как почта, ресурсы Интернет.
Служба каталога. 1. Общая структура Службы каталога. 1.1 Система разрешения имен.
Для максимальной совместимости с технологиями Microsoft, обеспечения безопасности, сокращения трафика репликации и улучшения управляемости для разрешения имен в Active Directory применяется MS DNS сервер с Active Directory Integrated Zone. Корневая зона company находится в корневом домене имен, там же находятся ссылки на зоны имен доменов первого уровня. Внутренняя система имен полностью будет лежать в зоне company. и не будет пересекаться с внешней системой уже зарегистрированных в company имен. Поскольку региональные домены будут объединены в независимые деревья, система имен так же будет независимой в рамках зоны company., в каждом дереве будет свой сервер DNS поддерживающий соответствующую зону. Для обеспечения корректного подключения клиентов Exchange сервера, поддержания работы устаревших клиентских ОС класса Win 9x и надежного разрешения NetBIOS имен в каждом домене предлагается развернуть службу WINS.
Корневой сервер DNS содержит первичную зону company и stub-зоны остальных доменов имен. Сервера имен каждого дерева содержат первичную зону корня своего дерева и stub-зону company. 1.2 Структура сайтов. Каждый участок сети, соединенный с другими медленными линиями связи планируется выделить в отдельный сайт. В каждом сайте с числом рабочих мест более 50, должен быть установлен контроллер домена, DNS сервер, по необходимости WINS-сервер, сервер Глобального каталога. Более подробно структура сайтов будет рассмотрена в применении к каждому региону. 1.3 Доменная структура. Согласно концепции безопасности Microsoft минимальным объектом безопасности в Active Directory 2000/2003 с точки зрения администрирования является лес доменов, в отличие от Windows NT 4.0, где минимальным объектом безопасности являлся домен. Структуру каталога предлагается реализовать исходя из следующих общих принципов:
• За основу берется Географическая модель формирования доменов • Выделяется один корневой домен (Enterprise Forest Root Domain) • В каждом регионе строится свое независимое дерево доменов, в рамках единого леса.
Такой подход дает следующие преимущества:
• Различные доменные политики • Четкое разграничение административных полномочий • Децентрализованное управление • Простота включения и исключения доменов в организацию • Понижение трафика репликации • Использование разного пространства имен • Использование единой схемы и глобального каталога
Именование доменов, показанных на рисунках выше -условное, только для понимания.
1.4 Структура Организационных Единиц (OU) За основу формирования структуры Организационных Единиц предлагается принять Административную модель, т.е. модель основанную на принципах удобства администрирования Системы. Объекты службы каталога будут объединяться в OU исходя из следующих принципов: • Делегирование прав администрирования администраторам подразделений; • Объединение объектов с одинаковыми требованиями к безопасности; • Наглядность отображения объектов • Эффективность администрирования ресурсов • Применение групповых политик • Ограничение числа объектов
В качестве стандарта первого уровня OU используются наборы глобальных структурных подразделений с общей моделью администрирования и наборами Групповых Политик.
2. Служба каталога Предприятия. 2.1 Система разрешения имен. 2.1.1 Служба DNS.
DNS сервер домена ENT1.COMPANY содержит первичную зону этого домена. Для разрешения имен Интернета запросы пересылаются на DNS сервер местного провайдера. Для разрешения имен из зон других доменов запросы пересылаются непосредственно на серверы имен этих зон. Для обеспечения отказоустойчивости необходим второй сервер DNS в этом домене. Необходимо разместить stub-зону MSDCS корня леса на сервере DNS домена ENT1.COMPANY.
2.1.2 Служба WINS. Для обеспечения надежного и безопасного разрешения имен NetBIOS в сети, обеспечения работы Master Browser и отображения имен серверов и рабочих станций в сетевом окружении, нормальной работы в домене необходимо разворачивание службы WINS. Планируется установить 2 сервера WINS
2.1.3 Распределение IP адресов. В качестве основного способа распределения IP адресов предлагается динамическая адресация с автоматической регистрацией адресов на сервере имен. Возможно использование резервирования IP-адресов по MAC-адресам сетевых карт компьютеров. Для серверов и принтеров выделяются фиксированные пулы статических адресов.
2.2 Структура сайтов. В настоящий момент будет создан один сайт.
2.3 Структура доменов. На Предприятии будет располагаться домен леса COMPANY:
• ENT1.COMPANY – Домен региона . Этот домен является корнем дерева в рамках леса COMPANY.
В ходе проектирования необходимо определить функциональность контроллеров домена и распределение доменных ролей между ними.
2.4 Структура Организационных Единиц (OU) Проектирование структуры Организационных Единиц требует детального обсуждения с сотрудниками Заказчика. Для обсуждения предлагается Административно-Функциональная модель.
• Whole_Organization – OU для хранения объектов, необходимых организации в целом;
• ASU_TP – OU для хранения объектов технологической сети. Управление этим OU можно делегировать выделенному администратору АСУ ТП. При необходимости делегирования административных полномочий возможно выделение OU для отдельных цехов;
• Finance – OU для хранения объектов Расчетно-Экономического Отдела (РЭО), возможно управление этим OU делегировать выделенному администратору.
• IT – OU, объединяющий объекты служб эксплуатации, информационных систем, разработчиков;.
• VIP – OU, объединяющий объекты для обеспечения деятельности руководства;
• Office – OU, объединяющий остальные объекты заводоуправления, не вошедшие в предыдущие OU
• Guests – OU, объединяющие учетные записи пользователей и компьютеров гостей компании.
