загрузка...
загрузка...
На головну

Кілька лісів, мінімальна кількість доменів

Повторення існуючої доменної структури

Деталізація доменної структури

Для деталізації доменної структури компанії необхідно попередньо вибрати оптимальну структуру лісу. Варіанти побудови лісів були приведені в попередньому розділі. Тепер необхідно визначитися з варіантами деталізації доменної структури, які будуть описані більш детально в наступних підрозділах:

  • Варіант 1 «Повторення існуючої доменної структури».
  • Варіант 2 «Кілька лісів, мінімальна кількість доменів».
  • Варіант 3 «Єдиний ліс».

Домен для міграції існує в окремому лісі. Необхідне створення двох облікових записів для кожного користувача центрального офісу і регіонального користувача: одну в створюваному домені, іншу - в існуючому. Всі ресурси DMZ (а також front-end поштові сервера) розташовуються в дочірньому домені (DMZ Internal VLAN). При цьому доступ облікових записів користувачів з існуючого домену до ресурсів нового домену автоматично заборонений на рівні довірчих відносин між доменами. Облікових записів користувачів в мігріруемом домені дано право доступу до поштової скриньки відповідного користувача в створюваному домені. Поштові скриньки користувачів знаходяться на сервері нового домену (LAN центрального офісу). Для спрощення створення подвійної облікової записи можна використовувати продукт «Microsoft Metadirectory Service» (MMS).

Необхідно відзначити, що при створенні DMZ в регіонах за схемою, аналогічною центрального офісу, неминуче впровадження ще одного лісу Active Directory для кожного регіону і синхронізація цього лісу з іншими лісами.

Плюси цього варіанту:

  • структура Active Directory наближена до існуючої доменної структурі, не зажадає додаткової конфігурації мережевого обладнання;
  • користувачі, перебуваючи всередині корпоративної мережі, зможуть отримати доступ до ресурсів всієї мережі (регіони і центральний офіс) відповідно до прав доступу.

мінуси:

  • ведення подвійної бази даних облікових записів користувачів;
  • використання продукту MMS для синхронізації каталогів.

Дана схема пропонує консолідувати створюваний домен і його дочірній домен в єдиний домен. Домен для міграції існує в окремому лісі.

Необхідне створення двох облікових записів для кожного користувача центрального офісу і регіонального користувача: одну в новому домені, іншу - в існуючому домені. Всі ресурси DMZ (а також front-end поштові сервери) розташовуються в створюваному домені (DMZ Internal VLAN). Контролери нового домену знаходяться в зонах LAN і DMZ. При цьому доступ облікових записів користувачів з існуючого домену до ресурсів створюваного домена, що знаходяться в зоні LAN, повинен бути заборонений виставленням прав доступу до об'єктів нового домену та / або правилами на брандмауері. Облікових записів користувачів в мігріруемом домені дано право доступу до поштової скриньки відповідного користувача в створюваному домені. Поштові скриньки користувачів знаходяться на сервері нового домену (LAN центрального офісу). Для спрощення створення подвійної облікової записи можна використовувати продукт «Microsoft Metadirectory Service» (MMS), що дозволяє синхронізувати об'єкти різних каталогів.

Необхідно відзначити, що при створенні DMZ в регіонах за схемою, аналогічною центрального офісу, неминуче впровадження ще одного лісу Active Directory для кожного регіону і синхронізація цього лісу з іншими лісами.

Плюси цього варіанту:

  • структура Active Directory наближена до існуючої доменної структурі, не зажадає додаткової конфігурації мережевого обладнання;
  • користувачі, перебуваючи всередині корпоративної мережі, зможуть отримати доступ до ресурсів всієї мережі (регіони і центральний офіс) відповідно до прав доступу;
  • в порівнянні з варіантом № 1 зменшено кількість доменів, в тому числі скорочено кількість використовуваних комп'ютерів і адміністративне навантаження.

мінуси:

Недоліки структури з декількох лісів «-- попередня | наступна --» Призначення власників доменів
загрузка...
© om.net.ua