В процессе подготовки к развертыванию службы AD в масштабах компании уже на первых этапах становится ясно, что проектирование крупных, оснащенных надежными каналами связи офисов, где сосредоточена основная масса служащих, — это еще не...
Шон Дьюби
В процессе подготовки к развертыванию службы AD в масштабах компании уже на первых этапах становится ясно, что проектирование крупных, оснащенных надежными каналами связи офисов, где сосредоточена основная масса служащих, — это еще не главная трудность. Куда сложнее проектировать инфраструктуру для периферийных, вспомогательных офисов, где, как правило, размещается от 10 до 100 служащих, в распоряжении которых — «тихоходный» канал связи региональной сети. А ведь часто бывает, что самый короткий путь от компании до ее клиентов пролегает именно через эти филиалы. Так как же реализовать в подобных офисах службы Windows Server наиболее экономичным способом? Возможно, читателям, размышляющим о том, в каких удаленных офисах филиалов компании лучше всего разместить сайты, а также контроллеры доменов (Domain Controller, DC) и серверы глобальных каталогов (Global Catalog, GC), приведенные ниже рекомендации пригодятся.
Существует только одно средство для сохранения душевного равновесия в процессе проектирования AD в удаленном офисе: нужно строго следовать принципам проектирования. Вооружившись тщательно продуманным набором принципов, вы привнесете в процесс проектирования необходимую логику и сделаете его воспроизводимым. Кроме того, вы будете располагать убедительными аргументами при выяснении отношений с менеджером локального офиса, который потребует объяснений, почему вы решили устанавливать контроллер домена не в его офисе, а где-то в другом месте. Удаленным офисом филиала компании или малым офисом мы далее будем называть офис, соединенный с другими подразделениями организации каналом глобальной сети с пропускной способностью менее 11 Мбит/с, обеспечивающей работу не более 400 пользователей и разделенной на небольшое число подсетей.
Изучите характеристики сети
Перед тем как приступить к вычерчиванию кружков на схеме с офисами компании, необходимо провести некоторую подготовительную работу. Microsoft определяет сайт, или сайт AD, как набор объединенных скоростными каналами связи подсетей TCP/IP. Обычно проектирование сайтов начинается после выбора структуры лесов и доменов. Но первый принцип проектирования для удаленных офисов гласит: топология сайта определяется не столько доменами, которые будут доступны в данном офисе, сколько инфраструктурой физической сети. Поэтому требуется ознакомиться с топологией локальной и глобальной сетей компании и как следует в ней разобраться. Следует выяснить, какова пропускная способность каналов распределенной сети, насколько эта сеть надежна, каковы уровни запаздывания и загрузки. Узнайте, предусмотрен ли в структуре глобальной сети механизм аварийных переключений, и если да, то как он функционирует. Возможно, такой подход кому-то напоминает подготовку к установке службы DNS в системе Windows 2000 Server. И это действительно так. И при подготовке к установке DNS в среде Windows 2000 Server, и в процессе сбора информации о глобальной сети нужно обязательно проконсультироваться с инженерами, обслуживающими сеть.
Кроме того, потребуется список всех IP-подсетей компании. Введение этих подсетей в оснастку Active Directory Sites and Services консоли MMC — занятие довольно утомительное, но после того как будут спроектированы и созданы сайты, кому-то придется выполнять эту работу. Кроме того, кто-то должен будет включиться в процесс изменения работающей подсети, чтобы иметь возможность обновлять подсети с помощью данной оснастки, если будут вноситься изменения в конфигурацию IP-подсетей главной сети. Ибо в противном случае целые группы компьютеров могут «выпасть» из топологии сайта, и тогда для десятков или даже для сотен пользователей время регистрации и время отклика существенно возрастет.
Где уместно и где не следует создавать сайты и устанавливать контроллеры доменов?
Разобравшись с характеристиками распределенной сети, можно приступать к процессу проектирования для удаленных офисов. На первом этапе полезно рассматривать все предприятие как единый сайт, после чего можно исследовать каждый удаленный офис, чтобы определить, разумно ли отделять его от основного сайта. В каждом конкретном случае решение принимается с учетом физической безопасности того или иного удаленного офиса и требований AD. Лимитирующие факторы — денежные средства, выделяемые на приобретение аппаратных компонентов, и далеко не безграничные возможности ИТ-подразделения в том, что касается управления разветвленным сетевым хозяйством.
Один из ключевых принципов проектирования удаленных офисов гласит: контроллер домена можно устанавливать лишь в таком офисе, где будет обеспечена его физическая неприкосновенность. Машина должна быть размещена в запираемом помещении, ключи от которого имеются лишь у одного или двух служащих. Ведь каждый контроллер домена содержит идентификаторы и пароли всех служащих компании, начиная с исполнительного директора. И если физический доступ к контроллеру получит человек, не имеющий на то санкции, он может обойти механизмы сетевой защиты и получить важнейшую информацию из каталога AD. Поэтому, если вы не можете гарантировать неприкосновенность контроллера домена в удаленном офисе, не размещайте его там. Из этого принципа вытекает следующий: если в офисе нет контроллера домена, вероятно, в нем не следует организовывать сайт. Данные, тиражируемые между сайтами AD, подвергаются сильному сжатию с целью уменьшения интенсивности трафика в региональной сети, но если в удаленном офисе контроллера домена нет, то для такого офиса проблема тиражирования снимается.
Определив, в каких удаленных офисах можно обеспечить возможность ограничения физического доступа к контроллеру домена посторонних лиц, можно перейти к следующему этапу — анализу трафика. Изучив сетевой трафик, генерируемый при различных вариантах взаимодействия между серверами и клиентами, вы выясните, какие доменные службы требуются соответствующим офисам. Контроллеры доменов идентифицируют клиентские компьютеры, учетные записи пользователей и автономных серверов, чем обеспечивается возможность их регистрации в соответствующем домене. Кроме того, на контроллерах доменов могут размещаться глобальные каталоги, к которым направляют свои запросы как клиенты, так и серверы, и общедоступные ресурсы Netlogon для размещения сценариев регистрации пользователей. Наконец, они могут выполнять функции серверов баз данных для приложений, использующих данные из AD. Объем этих услуг является важным фактором для принятия решения о том, следует ли организовывать в удаленном офисе отдельный сайт и устанавливать там контроллер домена либо глобальный каталог.
При проектировании сети удаленного офиса важно уделять внимание минимизации трафика в региональной сети. Если пользователи, проходя аутентификацию в других офисах, генерируют больше трафика, чем его было бы в случае, когда расположенный в данном офисе контроллер домена участвовал бы в тиражировании данных на другие контроллеры, следует поставить галочку в колонке «Установить контроллер домена». По данным, приведенным во второй главе «Structural Planning for Branch Office Environments» руководства Active Directory Branch Office Deployment Guide (http://www.microsoft.com/windows2000/techinfo/
planning/activedirectory/branchoffice/default.asp), при выполнении процедуры аутентификации во время регистрации достаточно наличия десяти пользователей для того, чтобы полученный трафик превзошел по интенсивности трафик тиражирования.
Рассмотрим на примере вопрос, какие требования предъявляются к малому или среднему удаленному офису в отношении выполнения процедур аутентификации и обработки запросов и как они влияют на проектирование удаленных офисов. Пусть фирма Bigtex.net имеет филиал в г. Дриппинг-Спрингс (графство Тексас-Хилл). Офис связан со штаб-квартирой корпорации, расположенной в Форт-Уорт, каналом глобальной сети с пропускной способностью 512 Кбит/с. Компания имеет один домен и 200 служащих, 150 из которых работают в Форт-Уорт. В удаленном офисе филиала компании имеются файловый и принт-серверы. Они обслуживают 50 сотрудников, предлагающих товары потенциальным клиентам с выездом на место.
Если в офисе, расположенном в Дриппинг-Спрингс, не установить контроллер домена и данный филиал будет входить в состав другого сайта, все процедуры аутентификации должны будут выполняться по каналам связи региональной сети. А что если установить контроллер, который будет осуществлять тиражирование данных? Как это отразится на объеме трафика? Всего в компании 200 служащих, так что объем AD-трафика, проходящего по каналам региональной сети в рамках процедуры тиражирования, невелик. Результаты анализа трафика говорят в пользу установки контроллера домена в офисе в Дриппинг-Спрингс.
Из приведенного примера можно вывести еще один принцип: для небольших компаний с крупными филиалами установка контроллеров доменов в удаленных офисах окупается быстрее, поскольку объем трафика, генерируемого при выполнении процедур аутентификации, всегда больше объема репликационного трафика. Пропускная способность каналов связи, соединяющих фирму с региональной сетью, как правило, тем меньше, чем скромнее масштаб компании (что объясняется неравнозначными финансовыми возможностями), и это обстоятельство является дополнительным аргументом в пользу развертывания контроллеров доменов в относительно крупных филиалах небольших компаний.
И в самом деле, размещение контроллера домена в удаленном офисе имеет массу преимуществ. Трафик тиражирования — явление более статичное и более предсказуемое, нежели трафик аутентификации: последний изменяется в зависимости от времени суток и числа пользователей в удаленном офисе. Между тем некоторым сетевым приложениям, выполняемым внутри сайта или за его пределами, необходим быстрый доступ к глобальному каталогу. Например, системе Exchange 2000 Server нужен быстрый доступ к глобальному каталогу для просмотра почтовых адресов. Без наличия в офисе контроллера домена клиенты не смогут регистрироваться в сети и обращаться к ресурсам — даже к локальным — в тех случаях, когда каналы связи с региональной сетью выходят из строя (такую возможность нужно обязательно учитывать, если эти каналы ненадежны). Ну а если установка контроллеров доменов в удаленных офисах дает так много преимуществ, зачем вообще от нее отказываться?
RSS
