200 likes | 483 Views
Практический опыт внедрения Microsoft Active Directory в распределенных организациях. Константин Леонтьев kleont@microsoft.com 17 февраля 2012, Киев. Проектирование Active Directory Влияние на логическую архитектуру версий Windows Server. логическая архитектура.
E N D
Практический опыт внедрения Microsoft ActiveDirectoryв распределенных организациях Константин Леонтьев kleont@microsoft.com 17 февраля 2012, Киев
Проектирование Active Directory Влияние на логическую архитектуру версий Windows Server логическая архитектура
Элементы логической архитектуры • Схема именования объектов (SLD) • Количество лесов • Количество доменов (+Empty Root Domain) • Структура OU • Логика организации групп и вложенности • Количество и размещение GC • Размещение FSMO-ролей
Влияние процесса «DC Locator» на архитектуру Влияние механизмов репликации на архитектуру Влияние протоколов аутентификации на архитектуру ФИЗИЧЕСКАЯ архитектура
Настройки Branch Office dnscmd /Config <zone> /AllowNSRecordsAutoCreation <ip list> dnscmd /Config /RoundRobin dnscmd /Config /LocalNetPriority dnscmd /Config /LocalNetPriorityNetMask 0x00000FFF
Сетевые настройки портов для репликации dfsrdiagStaticRPC /port:<NUMBER> /Member:<SERVERNAME>
Трафикпользователей Загрузка канала на 30% Загрузка канала на 50%
Общие риски для разных стратегий миграции Частные риски для случая обновления AD Частные риски для случая миграции ADMT риски и пути их решения в ходе миграции
Общие риски и проблемы • Общие риски: • Некорректная архитектура систем • Сбои в NTFS и на дисках • Корректная работа разрешения имен DNS/WINS • Остановленные службы • Некорректные права доступа и локальные политики безопасности • Сетевые настройки и межсетевые экраны, NAT, пересечение адресных пространств • Бизнес-приложенияи их совместимость с новой AD • Риски на КД и серверах: • Поддержка NT4Crypto • Поддержка AES и DES • Леса Single Label • Механизма хранения членства в группах • Ограничения RoDC • Перенос FSMO роли PDC-E • Проблемы в конфигурации Active Directory • Риски на рабочих станциях: • WMI filtering в групповых политиках • Выбор ближайшего КД • Выбор ближайшего SYSVOL • Протокол Kerberos (TCP/UDP)
Из практики – основные риски обновления • Риски на КД и серверах: • Качество репликации и ее объемы • Методика тестирования и обновления схемы • Поддержка ПО установленного на КД • Риски на рабочих станциях: • Перерыв доступа к КД
Из практики – основные риски миграции • Риски на КД и серверах: • Взаимное разрешение имен • Совпадение имен доменов • Маршрутизация суффиксов на доверительных отношениях • Размер билета Kerberos, /3GB • Механизм PAC Validation • Открытые/Закрытые подмножество групп/пользователей • Проблема миграции доменных локальных групп • Установление доверительных отношений W2K8R2 и NT4 (Samba) • Риски на рабочих станциях: • Зашифрованные файлы EFS • Пароли сайтов в Internet Explorer • Пароли ящиков в Outlook Express • Размер билета Kerberos • Обновление профиля MS Outlook • Домен входа по умолчанию • Членство УЗ мигратора в локальной группе Administrators • Потери доступа на основе Well Known Groups домена
Миграция и тестирование приложений • Новый домен: изменяются DNS и NetBIOS имена домена • FQDN имя машины (ее доменный суффикс) • Набор применяемых групповых политик • Доменная часть имен пользователей (UPN суффикс и NetBIOS префикс) • Месторасположение объектов в структуре OU (изменится DN объектов) • SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут сохранятся в атрибуте SID History • Профиль пользователя должен будет ассоциирован с новой учетной записью • Настройки DNS/WINS в свойствах TCP/IP • Сертификат компьютера • Набор доверенных Root CA • Меняется Default EFS Recovery Agent • Меняется имя и версия PDC Emulator • … и т.п.