главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • В некоторых организациях насчитывается множество подразделений, но далеко не все из этих подразделений располагают контроллерами домена для локальной аутентификации. Если в рамках организации используется Windows 2008, эту проблему можно решить с помощью контроллеров домена только для чтения (Read Only Domain Controllers), которые позволяют значительно усовершенствовать процесс аутентификации в среде Active Directory. С выходом Windows 7 у администраторов появятся дополнительные возможности для управления ссылками WAN (см., например, статью: "Кэширование данных филиалов для ускорения обмена файлами в корпоративной сети").

    Однако для организаций, в которых до сих пор используется Active Directory (AD) версии Windows Server 2003, аутентификация по WAN представляет определенные трудности. В этой статье я расскажу, как оптимизировать процесс аутентификации по ссылкам WAN с удаленных компьютеров.

    Аутентификация по ссылкам WAN зависит от двух факторов: пропускная способность канала и расстояние до удаленного офиса. Наличие широкополосного соединения между офисами обеспечивает быструю аутентификацию в пределах одного города, однако для филиалов, находящихся далеко от основного сервера, приходится искать другие способы решения проблемы. В этом контексте необходимо тщательно проанализировать потребности удаленных подразделений, чтобы понять, необходимо ли увеличение пропускной способности и возможно ли распространить среду AD на эти филиалы.

    Использование множественных сайтов AD

    Active Directory позволяет использовать множественные сайты для репликации инфраструктурных данных в удаленных офисах. Чтобы воспользоваться такой конфигурацией, необходимо установить в каждом удаленном офисе по контроллеру домена, который будет считаться самостоятельным сайтом, и настроить AD так, чтобы эти сайты рассматривались как отдельные объекты в рамках одного домена или леса. Между сайтами должно поддерживаться высокоскоростное соединение, чтобы репликация могла осуществляться в разумные сроки.

    Чтобы создать сайт AD:

    1. Запустите средство «Сайты и службы Active Directory» (Active Directory Sites and Services) из меню «Администрирование» (Administrative Tools).
    2. Нажмите правой кнопкой мыши на контейнере «Сайты» (Sites) и выберите опцию «Создать сайт» (New Site).
    3. Введите описательное имя сайта.
    4. Выберите ссылку, которая будет связывать новый сайт с остальными. Обратите внимание: ссылки на другие сайты нельзя будет создать до тех пор, пока не будут созданы сами сайты.
    5. Нажмите «OK». Появится диалоговое окно с описанием процесса настройки сайта. Снова нажмите «OK».
    6. Создайте ссылки с нового сайта на остальные. Помните: для того, чтобы создать ссылку, должны быть созданы оба связываемых сайта.
    7. Создайте подсеть для нового сайта, чтобы связать сайт и входящие в его подсеть компьютеры в рамках AD.

    Чтобы создать подсеть и связать ее с сайтом:

    1. Запустите средство «Сайты и службы Active Directory» из меню «Администрирование».
    2. Нажмите правой кнопкой мыши на контейнере «Подсети» (Subnets) в левой панели консоли и выберите пункт «Создать подсеть» (New Subnet).
    3. Введите сетевой адрес подсети в поле «Адрес» (Address). В последнем октете адреса обычно стоит «0».
    4. Введите маску подсети.
    5. Укажите сайт, с которым должны быть связана новая подсеть.

    После создания сайта и подсети для определения членов сайта в AD, необходимо разместить на данном сайте контроллер домена для аутентификации. IP-адрес контроллера домена должен находиться в рамках подсети сайта. К примеру, если адрес подсети сайта 192.168.3.0, то IP-адресом домена может быть 192.168.3.2.

    Итак, сайт AD готов. Теперь давайте рассмотрим другой аспект аутентификации по ссылкам WAN: проблему пропускной способности соединения.

    Пропускная способность

    При подключении из удаленного офиса к головному для аутентификации по ссылке WAN, пропускная способность на обоих концах соединения должна быть достаточно высокой, чтобы обеспечить своевременность аутентификации. Если пользователю приходится ждать аутентификации в домене по пятнадцать минут, поскольку в удаленном офисе используется модемное соединение, стоит задуматься о модернизации сетевых подключений.

    Обратите внимание: если в командировках аутентификация по модемному соединению может оказаться прекрасным способом сэкономить на затратах, то для аутентификации целого сайта или офиса этот способ совершенно не подходит. Подключение должно быть постоянным и стабильным.

    Лучший выход

    Пользователей в удаленном офисе зачастую бывает мало и подключаются они не постоянно, поэтому размещать там собственный контроллер домена нецелесообразно. Например, наши удаленные специалисты по продажам работают из дома. Скорость соединения у них превышает 6 Мбит/с, но в каждом домашнем офисе присутствует только один пользователь, поэтому в данном случае использовать для целей аутентификации собственные контроллеры домена — не лучший вариант. Более эффективным оказывается обеспечение пользователям доступа по VPN.

    Помимо этого у нашей организации есть удаленный офис, в котором насчитывается несколько пользователей, регулярно работающих в среде AD. Постоянное прохождение трафика по ссылкам WAN в данном случае нежелательно. Для решения этой проблемы мы установили в удаленном офисе контроллер домена и обеспечили широкополосное подключение к Интернету, чтобы ускорить процесс входа в систему и гарантировать эффективное использование ресурсов.

    Таким образом, чтобы найти оптимальный подход к управлению авторизацией по ссылкам WAN, необходимо выявить основные параметры рабочей среды, сложившейся в данной организации, и выбрать наиболее экономичное и эффективное решение.

    Потенциальные трудности

    Поскольку описанные сценарии удаленной аутентификации зависят от подключения к Интернету, возможны ситуации, в которых ссылки WAN будут недоступны. С этим периодически приходится сталкиваться почти всем организациям. В таком случае приходится учитывать следующие факторы.

    Windows 2003 Server кэширует данные домена и сведения о пользовательских входах в систему, позволяя осуществлять аутентификацию даже при отказе ссылок WAN. Поэтому доменные ресурсы, не требующие аутентификации в домене, после кэширования будут доступны всегда. Ресурсы, требующие аутентификации в домене (сетевые папки, электронная почта), окажутся недоступны, если перестанут работать ссылки WAN.

    По умолчанию, Windows кэширует 10 последних фактов входа в систему. Максимальный объем кэша — 50 записей. Кэширование позволяет сократить время простоя при отказе ссылок WAN и сокращает количество ошибок, связанных с невозможностью подключиться к домену.

    Надеюсь, приведенные в этой статье рекомендации помогут вам найти наиболее эффективный способ применения ссылок WAN и возможностей Active Directory в рамках своей организации.

    Автор: Derek Schauland
    Перевод: SVET


    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Десять советов по созданию эффективной структуры Active Directory
  • Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена
  • Настройка расщепления DNS в интегрированных с Active Directory зонах
  • Повышение безопасности и производительности с помощью контроллеров домена только для чтения
  • Кэширование данных филиалов для ускорения обмена файлами в корпоративной сети
    1. #1

      "Ссылки WAN" - это, надо понимать, WAN links?



    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+