Θέματα Active Directory Design (Ελληνική Έκδοση)

Ένας συνάδελφος αντιμετωπίζει ένα θέμα που αφορά τον επανασχεδιασμό ενός δικτύου με σκοπό την απλοποίησή του όσον αφορά τη διαχείριση μέσω Group Policy Objects.

Ας δούμε κάποιες από τις αρχές του Network Design σε περιβάλλον Active Directory.

Σενάριο: Μια φανταστική εταιρία που έχει έδρα στη Θεσσαλονίκη, διαθέτει τρία καταστήματα στις οδούς Παπαναστασίου 77, Εγνατία 123 και Τσιμισκή 45. Υπάρχει μόνο ένας System Administrator για όλα τα καταστήματα και επιθυμεί να διατηρήσει ένα ενιαίο περιβάλλον χρησιμοποιώντας Group Policies. Τα καταστήματα διαθέτουν μεταξύ τους μόνιμες συνδέσεις Internet.

Με βάση τις παραπάνω προδιαγραφές το Design θα μπορούσε να έχει ως εξής:

1. Επιλογή Domain Structure. Εφ’ όσον θέλουμε κεντρική διαχείριση από οποιοδήποτε κατάστημα, και όλα τα καταστήματα να ανήκουν στο ίδιο λογικό δίκτυο, τότε επιλέγουμε τη λύση του Single Active Directory Domain – Forest με Branch Offices. Σε κάθε κατάστημα πρέπει να υπάρχουν δυο Domain Controllers για λόγους redundancy. Θα υλοποιηθούν τρία Active Directory Sites με ονόματα Papanastasiou, Egnatia και Tsimiski. Σκοπός αυτής της υλοποίησης, είναι να ελέγξουμε το replication των Domain Controllers, μέσω των WAN Links που συνδέουν τα καταστήματα μεταξύ τους.

Ερώτηση 1: Γιατί να μην δημιουργήσω ένα Single Active Directory Domain – Forest σε κάθε κατάστημα;

Απάντηση: Θέλουμε κεντρική διαχείριση και διαθέτουμε μόνο έναν administrator για όλα τα καταστήματα. Αν είχαμε ένα περιβάλλον τύπου Franchise, όπου υπάρχουν καταστήματα που “μοιράζονται” μια κοινή επωνυμία-brand name και το καθένα έχει τον δικό του “τοπικό” System Administrator σε isolated περιβάλλον, τότε θα είχε νόημα ένα Single Active Directory Domain - Forest σε κάθε κατάστημα.

Άλλη απάντηση: Αν υλοποιήσουμε μια τέτοια λύση θα πρέπει να πηγαίνει ο administrator σε κάθε κατάστημα και να δημιουργεί ξεχωριστά OU, GPO, Computer Accounts, User Accounts κλπ. Χρονοβόρο και δίχως νόημα. Θα ίσχυε υπό κάποιες άλλες προϋποθέσεις, συν αν είχαμε έναν administrator σε κάθε κατάστημα.

Ερώτηση 2: Γιατί να μη δημιουργήσω ένα κεντρικό Root-Parent Domain με Child Domains για κάθε κατάστημα;

Απάντηση: Αυτή η υλοποίηση είναι καλύτερη από την προηγούμενη αλλά και πάλι δεν αρμόζει απόλυτα στο σενάριό μας. Στη σχέση Parent Domain-Child Domain υπάρχει δυνατότητα κεντρικής διαχείρισης σε κάποια θέματα του Active Directory, αλλά και πάλι αναγκαία προϋπόθεση είναι να υπάρχει administrator in σε κάθε κατάστημα. Και πάλι, θα πρέπει ο ένας και μοναδικός administrator του σεναρίου μας να κάνει πολλές φορές “διπλή” και “τριπλή” δουλειά. Η υλοποίηση Root Domain με Child Domains είναι για εταιρίες που έχουν πολυεθνική δράση και υπάρχουν διαβαθμίσεις στο IT Management. IT Manager, Enterprise Administrator, Regional Administrators ή Domain administrator s, Helpdesk κλπ. Στην περίπτωση που μελετάμε, μια τέτοια πολύπλοκη υποδομή δυσκολεύει παρά απλοποιεί τη διαχείριση.

Σημείωση: Η πρώτη αρχή του Network Design, είτε πρόκειται για Logical είτε για Physical Structure, και ασχέτως πλατφόρμας υλοποίησης, δηλαδή αν η εγκατάσταση είναι Microsoft Windows, Unix, Mac OS, Linux, ή κάτι Hybrid από τα προαναφερθέντα, είναι η Simplicity. Προσπαθούμε να απλοποιήσουμε όσο το δυνατόν περισσότερο την υλοποίηση, γιατί ο τελικός σκοπός είναι πάντοτε η ελαχιστοποίηση του χρόνου διαχείρισης (Least Administrative Effort). Καλός administrator είναι αυτός που σχεδιάζει ένα μήνα και δουλεύει μια μέρα, όχι το αντίθετο. Το συγκεκριμένο rule όμως εμπεριέχει και θέματα management που δεν αφορούν το παρόν post.

2. Naming Scheme για τα Computer Accounts. Τα Computer Names μπορούν να πάρουν την εξής μορφή. Τρεις τουλάχιστον χαρακτήρες από την οδό στην οποία βρίσκεται το κατάστημα. PAP για Παπαναστασίου, EGN για Εγνατία, και TSI για Τσιμισκή. Χρησιμοποιούμε ως διαχωριστικό το χαρακτήρα dash (-) για να είναι ευανάγνωστη η λίστα όταν αυτή θα εμφανίζεται στο Snap-In Active Directory Users and Computers. Ακολουθούν άλλοι δυο ή τρεις χαρακτήρες ανάλογα με τον ρόλο του PC. CL για Client, SRV για member server και DC για Domain Controller. Τέλος ακολουθεί αύξων αριθμός. Παράδειγμα: Ένας server στο κατάστημα της Τσιμισκή 45 έχει computer name TSI-SRV02. Οι clients στο κατάστημα της Παπαναστασίου έχουν computer names PAP-CL01, PAP-CL02 κλπ. O πρώτος Domain Controller που εγκαταστάθηκε στο κατάστημα της Εγνατία 123 έχει computer name EGN-DC01.

Ερώτηση 1: Τι κάνουμε αν κάποια στιγμή η φανταστική εταιρία μας ανοίξει κατάστημα στην Εγνατία 31;

Απάντηση: Θα βάλουμε πρόθεμα EGN31 στα pc του νέου καταστήματος για να ξεχωρίζουν από τα άλλα στην Εγνατία 123. Μπορούμε επίσης εκ’ των προτέρων να προσθέσουμε και τους αριθμούς των οδών σε όλα τα καταστήματα, για να καλύψουμε ένα τέτοιο ενδεχόμενο και να διατηρήσουμε έτσι ένα ενιαίο σχήμα (design consistency) στο σχεδιασμό του δικτύου.

Προσοχή: Αν μπούμε στον πειρασμό να κάνουμε rename όλα τα computer accounts κάθε φορά που προκύπτει μια επέκταση του δικτύου η οποία επηρεάζει το Design του Active Directory με σκοπό να διατηρηθεί το ενιαίο σχήμα που ανέφερα πριν, υπάρχει κίνδυνος αφ’ ενός να δημιουργήσουμε ένα υπερβολικά πολύπλοκο Active Directory Design άρα και χρονοβόρο στη διαχείριση και αφ’ ετέρου κάθε φορά που θα κάνουμε τέτοιου είδους αλλαγές θα δημιουργείται επιπρόσθετος φόρτος για τον administrator . Αν ωστόσο είναι αναγκαίο να προχωρήσετε σε μαζικό rename διαβάστε τα παρακάτω:

http://support.microsoft.com/kb/298593/en-us

http://www.microsoft.com/technet/scriptcenter/guide/sas_srv_fovn.mspx?mfr=true

http://www.microsoft.com/technet/scriptcenter/scripts/ad/computer/default.mspx?mfr=true

Ερώτηση 2: Κι αν η εταιρία ανοίξει και άλλα δυο καταστήματα, στις πόλεις Κοζάνη και Καβάλα;

Απάντηση: Ισχύει ότι είπαμε και στην προηγούμενη ερώτηση. Μπορούμε να δημιουργήσουμε computer names που να αρχίζουν από KOZ ή KAV κλπ.

Σε επόμενο post θα ασχοληθούμε με User Accounts, Groups και OU.

To be continued…