Dieser Artikel wurde maschinell übersetzt.
Active Directory: Aktive Directory Ihren Weg
Die Art, wie, die Sie Ihre Active Directory-Topographie eingerichtet, haben direkte Auswirkungen auf wie gut Sie Ihre Benutzer und Ressourcen organisieren können.
Brien M.Posey
Seit der Veröffentlichung von Windows 2000 Server Edition vor mehr als einem Jahrzehnt — und damit die Freisetzung von Active Directory — der bewährte Microsoft Verzeichnisdienst hat dazu beigetragen, Organisationen, die Aufrechterhaltung der Ordnung inmitten des Chaos.Eine Strategie, die meisten Organisationen nehmen (obwohl sicherlich gibt es Ausnahmen) ist mit der einfachsten Active Directory-Bereitstellung zu halten, die sie mit realistisch Weg erhalten können.
Dies sollte keine Überraschung sein.Das Prinzip der Dinge so einfach wie möglich zu halten, gilt definitiv für die IT-Welt.Alle erfahrenen IT-Fachmann weiß, dass Dinge einfach zu halten die Chancen, Probleme reduziert und Problembehandlung viel einfacher macht.Es gibt absolut nichts falsch mit der Verwendung einer standard-Active Directory-Topologie.Es gibt ein Grund, warum, den Microsoft die standard-Topologie als Standard festgelegt.
Aber während es etwas gibt zu der Einfachheit halber gesagt werden, wenn es darum, Active Directory geht, einige Organisationen möglicherweise besser bedient durch eine kreative Struktur.Es gibt einige alternative Entwürfe, die wahrscheinlich besser geeignet für größere Organisationen, die Führungsverantwortung trennen müssen.
Domänenstruktur
In den meisten Fällen verwenden reale Active Directory-Bereitstellungen eine Domänenstruktur, die geographische Struktur des Unternehmens nachahmt.Beispielsweise, wenn eine Organisation drei Niederlassungen verfügt, ist es wahrscheinlich drei Domänen haben.Nicht jede Organisation verwendet diese Art von Design, aber es ist die zweithäufigste Art der Active Directory-Struktur.Hier sind ein paar Alternativen Domänenstrukturen, die Sie für Ihre Organisation betrachten möchten.
Benutzerdomänen
Active Directory ist wirklich nichts mehr als eine Datenbank.Die Datenbank ist gefüllt mit verschiedenen Typen von Objekten.Jedes Objekt wird ein oder mehrere Attribute zugewiesen.Organisationen Gründen manchmal ihre Domänenstruktur auf bestimmte Typen von Active Directory-Objekte.Ein Beispiel dafür ist die Verwendung von Benutzerdomänen.
Eine Benutzerdomäne ist eine Active Directory-Domäne, die für den alleinigen Zweck der Verwaltung von Benutzerkonten eingerichtet.Um Ihnen eine Vorstellung von warum dies sinnvoll ist, betrachten Sie dieses Beispiel für eine Organisation mit ein paar tausend Benutzern und eine hohe Fluktuation.Diese Organisation beschäftigt zwei Personen, deren Aufgabe es ist, zu erstellen, bereitstellen und Entfernen von Benutzerkonten.
In dieser Art von Situation könnte eine Benutzerdomäne nützlich, erweisen, weil diese Art der Domänenstruktur der Benutzer mit der Pflege beauftragt haben volle administrative Kontrolle über die Benutzerkonten helfen würde.Sie konnte jedoch von den Zugang zu einer anderen Active Directory-Objekte oder Funktionen beschränkt.
Sie müssen nicht diese Art der Domänenstruktur speziell zu isolieren, administrative Aufgaben zu implementieren.Es gibt andere Möglichkeiten, diese Art der Isolierung zu erreichen.Dennoch können eine Benutzer-Domänenstruktur eine Organisation besser organisiert bleiben durch die einzelnen Domains, die weniger unübersichtlich machen.Darüber hinaus ein Gefühl der physischen administrative Isolation, die manche Organisationen statt der logischen administrativen Isolation bevorzugen möglicherweise, die existieren kann, wenn alle verschiedenen Objekttypen in einer gemeinsamen Domäne befinden.
Ressourcendomänen
Ressourcendomänen Benutzerdomänen ähnlich sind, insofern sie Einzweck sind-in der Natur.Diese sind zum Verbessern der Sicherheit oder die Active Directory-Struktur mehr logische oder überschaubar zu machen.Es gibt reale-Active Directory-Bereitstellungen, die in denen aller desktop Computer in einer dedizierten Ressourcendomäne gruppiert sind.Andere Organisationen haben alle ihre Server, die mit primäre LOB-Anwendungen in einer dedizierten Ressourcendomäne platziert.Ressourcendomänen können Sie für jede andere Klasse der Ressource als auch.
Ressourcendomänen sind wahrscheinlich am nützlichsten, wenn Sie sie als Management-Domänen zu behandeln.Beispielsweise möchten Sie erstellen eine dedizierte Active Directory-Gesamtstruktur, die rein als Domain Verwaltung für Hyper-V Server fungieren soll.Es gibt ein paar Gründe, warum Sie möglicherweise dazu.
Der erste Grund hat mit Management zu tun.System Center OperationsManager 2012 (und eine Reihe von anderen Verwaltungsprodukten) können nur Server verwalten, die Mitglieder einer Active Directory-Domäne sind.Sie würde nicht wollen, die Hyper-V-Servern auf Ihre primäre Domain beitreten, da allen Domänencontrollern für Ihre primäre Domain virtualisiert werden.Sie würde nicht wollen, setzen Ihr Unternehmen in einer Situation, in der Sie auf einen Hyper-V-Server anmelden, da die virtuellen DCs offline waren konnten, zu riskieren.Der Hyper-V Server auf einer dedizierten Active Directory-Verwaltung-Gesamtstruktur hinzufügen, löst dieses Problem ganz gut.
Ein weiterer Grund, die, den Sie auswählen können, erstellen Sie eine dedizierte Ressourcendomäne für die Hyper-V-Server, hat mit einigen neuen Features, die in Hyper-V Version 3.0 kommen zu tun.Hyper-V 3.0 haben die Möglichkeit, eine virtuelle Maschine (VM) zu replizieren von einem Host-Server zu einem anderen.Diese Art von Replikation ist kein Failover-clustering-Lösung, sondern eher eine Disaster-Recovery-Lösung, mit der Sie eine aktuelle Kopie Ihrer virtuellen Computer auf einem alternativen Host-Server aufbewahren.So, wenn etwas, um Ihre Festplatten-Array bzw. Ihre primäre Hyper-V-Host passiert eine weitere Kopie Ihrer virtuellen Computer müssten Sie, auf die Sie zurückgreifen könnten.
Um dieses Feature zu verwenden, haben jedoch den Hostserver und der Replikat-Server authentifiziert werden.Der einfachste Weg, diese Authentifizierung ist auf beiden Servern zu einer gemeinsamen Domäne hinzufügen und verwenden Kerberos.So macht es durchaus Sinn, eine dedizierten Ressourcendomäne für Hyper-V Server zu erstellen.Dies gilt insbesondere, wenn man bedenkt, es gibt andere Hyper-V-Features, die auch Domänenzugehörigkeit erfordern.
Ressourcen und Benutzerdomänen sind übrigens nicht gegenseitig ausschließen.Einige Organisationen verwenden eine Kombination aus Benutzer und Ressourcendomänen innerhalb einer gemeinsamen Active Directory-Gesamtstruktur.
Geografische Topologie
Während diese alternativen Strukturen tatsächlich wirksam werden, die überwiegende Mehrheit der Active Directory-Bereitstellungen in der realen Welt basiert auf geographischen Struktur.Technisch gesehen gibt es nichts falsch mit der Verwendung dieser Art von Active Directory-Topologie — aber es gibt ein paar Dinge, die Sie berücksichtigen sollten.
Verwechseln Sie nicht zuerst Domänenstruktur mit Website-Struktur.Die Active Directory-Site-Struktur sollte immer eine geografische Organisationstopologie imitieren.Der Verbindung jedem wide Area Network (WAN) zwischen Büros sollte eine entsprechende Standortverknüpfung in Active Directory.Darüber hinaus sollte die Computer, die innerhalb eines physischen Büros befinden sich in einem gemeinsamen Active Directory-Standort platziert werden.Im Idealfall sollte jede Lage machen aus einem dedizierten Subnetz verwenden, da ein einzelnes Subnetz mehrere Active Directory-Standorte erstrecken kann nicht.
Active Directory-Standort-Struktur ist wichtig, da die Websitestruktur hat einen direkten Einfluss auf den Umfang der Active Directory-Replikationsverkehr, die über WAN-Verbindungen fließen wird.Genommen Sie an, ein Unternehmen mit mehreren Niederlassungen.Diese Organisation wählte seine Active Directory als eine einzelne Domäne konfigurieren, die nicht falsch ist.In einer Situation wie dieser könnte Sie potenziell Aktualisierungen in Active Directory auf alle beschreibbaren DC innerhalb der gesamten Organisation vornehmen.Wenn ein Update auftritt, ist es der DC Verantwortung den anderen DCs das Update zur Verfügung stellen.
Wenn diese Organisation nicht machen eine entsprechende Website-Struktur verwenden, eine gemeinsame Update könnte über eine WAN-Verbindung mehrmals übergeben.Beispielsweise gäbe es fünf DCs in einer Zweigstelle, konnte eine Active Directory-Aktualisierung potenziell auf die WAN-Verbindung fünf separate Mal, einmal für jeden DC gesendet werden.
Wenn Sie Active Directory-Standorte verwenden, dient ein DC an jedem Standort als Bridgeheadserver.Der Bridgehead-Server-Job ist, Active Directory-Updates aus dem WAN und verteilen diese Updates zu den anderen DCs innerhalb der Website.Dies bedeutet Active Directory-Updates nur einmal an jede Zweigstelle gesendet werden müssen würde unabhängig davon, wie viele DCs gibt innerhalb der Zweigstelle.
Was ist mit Organisationen, die eine separate Domäne für jede Zweigstelle verwenden?Wenn jede Zweigstelle eine dedizierte Active Directory-Gesamtstruktur verfügt, haben Sie nicht Sorge über das Definieren von Active Directory-Standorte.Andererseits, wenn jede Domäne Mitglied einer gemeinsamen Gesamtstruktur ist, sollten Sie auf jeden Fall eine geeignete Struktur der Active Directory-Standort als einen Weg zur Gesamtstruktur Active Directory-Replikationsverkehr in Schach zu halten implementieren.
Wie Sie sehen können, gibt es viele verschiedene Möglichkeiten Ihre Topologie der Active Directory-Domäne einrichten.Letztlich sollten Sie die Topologie auswählen, die am sinnvollsten für Ihre eigene Organisation ist.Dies könnte ein Einzeldomänenmodell oder ein Multi-Domain-Modell basierend auf geographische Nähe, Benutzer oder auch Ressourcen.
Brien M.Posey, MVP, ist ein freier technischer Autor mit Tausenden von Artikeln und Dutzende von Büchern zu seiner Gutschrift. Sie können die Posey-Website unter brienposey.com besuchen.