Случаи в которых следует добавлять дополнительные домены
По различным причинам в организациях может возникать необходимость в добавлении в их среду более одного домена, но при этом сохранении функциональных возможностей, которые присущи единственному лесу. В таких случаях в лес допускается добавлять один или более доменов. Подходить легковесно к добавлению доменов нельзя: необходимо тщательно обдумывать конкретные характеристики моделей с несколькими доменами.
По умолчанию в AD DS между поддоменами и доменами устанавливаются двусторонние транзитивные отношения доверия. Однако следует иметь в виду, что это отнюдь не означает, что членам других доменов автоматически разрешен доступ к ресурсам. Пользователь из поддомена В не получает автоматически никаких прав в домене А; эти права должны обязательно предоставляться явным образом за счет применения соответствующих групп. Понимание этого принципа поможет в определении логики добавления доменов.
При проектировании структуры AD DS в Windows Server 2008 R2 рекомендуется всегда сначала создавать один домен и затем добавлять дополнительные домены только в случае крайней необходимости. Причинами возникновения такой крайней необходимости могут служить перечисленные ниже факторы.
- Децентрализованное администрирование. Если в различных филиалах в основном применяются собственные структуры информационных технологий, и объединять их в одну централизованную модель не планируется, то добавление нескольких взаимосвязанных доменов может оказаться просто идеальным вариантом.
- Географические ограничения. Если различные филиалы компании соединяют очень медленные или ненадежные каналы связи или если они находятся на довольно больших географических расстояниях друг от друга, распределение пользователей по отдельным доменам может оказаться весьма целесообразным решением. Такой подход позволит ограничить количество операций по репликации данных между доменами, а также упростить оказание поддержки в рабочие часы для офисов, находящихся в удаленных часовых поясах. Однако следует иметь в виду, что создавать множество доменов только из-за того, что между офисами используются медленные каналы связи, вовсе необязательно, поскольку в Windows Server 2008 R2 AD DS для сокращения объема трафика, подлежащего передаче по медленным каналам, поддерживается концепция сайтов AD DS.
- Использование уникального пространства имен DNS. Если в каких-то подразделениях организации хотят использовать для AD DS собственное зарегистрированное в Интернете пространство имен, такое как hotmail. com или microsoft. com, но при этом все равно относиться к общему лесу, они должны добавляться в виде отдельных доменов.
