1 / 17

Практический опыт внедрения Microsoft Active Directory в распределенных организациях

Практический опыт внедрения Microsoft Active Directory в распределенных организациях. Константин Леонтьев kleont@microsoft.com 17 февраля 2012, Киев. Проектирование Active Directory Влияние на логическую архитектуру версий Windows Server. логическая архитектура.

hedy
Download Presentation

Практический опыт внедрения Microsoft Active Directory в распределенных организациях

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Практический опыт внедрения Microsoft ActiveDirectoryв распределенных организациях Константин Леонтьев kleont@microsoft.com 17 февраля 2012, Киев

  2. Проектирование Active Directory Влияние на логическую архитектуру версий Windows Server логическая архитектура

  3. Элементы логической архитектуры • Схема именования объектов (SLD) • Количество лесов • Количество доменов (+Empty Root Domain) • Структура OU • Логика организации групп и вложенности • Количество и размещение GC • Размещение FSMO-ролей

  4. Новые функции для Active Directory

  5. Влияние процесса «DC Locator» на архитектуру Влияние механизмов репликации на архитектуру Влияние протоколов аутентификации на архитектуру ФИЗИЧЕСКАЯ архитектура

  6. Варианты топологии сайтов

  7. Настройки сайтов

  8. Настройки Branch Office dnscmd /Config <zone> /AllowNSRecordsAutoCreation <ip list> dnscmd /Config /RoundRobin dnscmd /Config /LocalNetPriority dnscmd /Config /LocalNetPriorityNetMask 0x00000FFF

  9. Сетевые настройки портов для репликации dfsrdiagStaticRPC /port:<NUMBER> /Member:<SERVERNAME>

  10. Трафикпользователей Загрузка канала на 30% Загрузка канала на 50%

  11. Работа Kerberos

  12. Работа NTLM

  13. Общие риски для разных стратегий миграции Частные риски для случая обновления AD Частные риски для случая миграции ADMT риски и пути их решения в ходе миграции

  14. Общие риски и проблемы • Общие риски: • Некорректная архитектура систем • Сбои в NTFS и на дисках • Корректная работа разрешения имен DNS/WINS • Остановленные службы • Некорректные права доступа и локальные политики безопасности • Сетевые настройки и межсетевые экраны, NAT, пересечение адресных пространств • Бизнес-приложенияи их совместимость с новой AD • Риски на КД и серверах: • Поддержка NT4Crypto • Поддержка AES и DES • Леса Single Label • Механизма хранения членства в группах • Ограничения RoDC • Перенос FSMO роли PDC-E • Проблемы в конфигурации Active Directory • Риски на рабочих станциях: • WMI filtering в групповых политиках • Выбор ближайшего КД • Выбор ближайшего SYSVOL • Протокол Kerberos (TCP/UDP)

  15. Из практики – основные риски обновления • Риски на КД и серверах: • Качество репликации и ее объемы • Методика тестирования и обновления схемы • Поддержка ПО установленного на КД • Риски на рабочих станциях: • Перерыв доступа к КД

  16. Из практики – основные риски миграции • Риски на КД и серверах: • Взаимное разрешение имен • Совпадение имен доменов • Маршрутизация суффиксов на доверительных отношениях • Размер билета Kerberos, /3GB • Механизм PAC Validation • Открытые/Закрытые подмножество групп/пользователей • Проблема миграции доменных локальных групп • Установление доверительных отношений W2K8R2 и NT4 (Samba) • Риски на рабочих станциях: • Зашифрованные файлы EFS • Пароли сайтов в Internet Explorer • Пароли ящиков в Outlook Express • Размер билета Kerberos • Обновление профиля MS Outlook • Домен входа по умолчанию • Членство УЗ мигратора в локальной группе Administrators • Потери доступа на основе Well Known Groups домена

  17. Миграция и тестирование приложений • Новый домен: изменяются DNS и NetBIOS имена домена • FQDN имя машины (ее доменный суффикс) • Набор применяемых групповых политик • Доменная часть имен пользователей (UPN суффикс и NetBIOS префикс) • Месторасположение объектов в структуре OU (изменится DN объектов) • SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут сохранятся в атрибуте SID History • Профиль пользователя должен будет ассоциирован с новой учетной записью • Настройки DNS/WINS в свойствах TCP/IP • Сертификат компьютера • Набор доверенных Root CA • Меняется Default EFS Recovery Agent • Меняется имя и версия PDC Emulator • … и т.п.

More Related