Однако для организаций, в которых до сих пор используется Active Directory (AD) версии Windows Server 2003, аутентификация по WAN представляет определенные трудности. В этой статье я расскажу, как оптимизировать процесс аутентификации по ссылкам WAN с удаленных компьютеров.
Аутентификация по ссылкам WAN зависит от двух факторов: пропускная способность канала и расстояние до удаленного офиса. Наличие широкополосного соединения между офисами обеспечивает быструю аутентификацию в пределах одного города, однако для филиалов, находящихся далеко от основного сервера, приходится искать другие способы решения проблемы. В этом контексте необходимо тщательно проанализировать потребности удаленных подразделений, чтобы понять, необходимо ли увеличение пропускной способности и возможно ли распространить среду AD на эти филиалы.
Использование множественных сайтов AD
Active Directory позволяет использовать множественные сайты для репликации инфраструктурных данных в удаленных офисах. Чтобы воспользоваться такой конфигурацией, необходимо установить в каждом удаленном офисе по контроллеру домена, который будет считаться самостоятельным сайтом, и настроить AD так, чтобы эти сайты рассматривались как отдельные объекты в рамках одного домена или леса. Между сайтами должно поддерживаться высокоскоростное соединение, чтобы репликация могла осуществляться в разумные сроки.
Чтобы создать сайт AD:
1. Запустите средство «Сайты и службы Active Directory» (Active Directory Sites and Services) из меню «Администрирование» (Administrative Tools). 2. Нажмите правой кнопкой мыши на контейнере «Сайты» (Sites) и выберите опцию «Создать сайт» (New Site). 3. Введите описательное имя сайта. 4. Выберите ссылку, которая будет связывать новый сайт с остальными. Обратите внимание: ссылки на другие сайты нельзя будет создать до тех пор, пока не будут созданы сами сайты. 5. Нажмите «OK». Появится диалоговое окно с описанием процесса настройки сайта. Снова нажмите «OK». 6. Создайте ссылки с нового сайта на остальные. Помните: для того, чтобы создать ссылку, должны быть созданы оба связываемых сайта. 7. Создайте подсеть для нового сайта, чтобы связать сайт и входящие в его подсеть компьютеры в рамках AD.
Чтобы создать подсеть и связать ее с сайтом:
1. Запустите средство «Сайты и службы Active Directory» из меню «Администрирование». 2. Нажмите правой кнопкой мыши на контейнере «Подсети» (Subnets) в левой панели консоли и выберите пункт «Создать подсеть» (New Subnet). 3. Введите сетевой адрес подсети в поле «Адрес» (Address). В последнем октете адреса обычно стоит «0». 4. Введите маску подсети. 5. Укажите сайт, с которым должны быть связана новая подсеть.
После создания сайта и подсети для определения членов сайта в AD, необходимо разместить на данном сайте контроллер домена для аутентификации. IP-адрес контроллера домена должен находиться в рамках подсети сайта. К примеру, если адрес подсети сайта 192.168.3.0, то IP-адресом домена может быть 192.168.3.2.
Итак, сайт AD готов. Теперь давайте рассмотрим другой аспект аутентификации по ссылкам WAN: проблему пропускной способности соединения.
Пропускная способность
При подключении из удаленного офиса к головному для аутентификации по ссылке WAN, пропускная способность на обоих концах соединения должна быть достаточно высокой, чтобы обеспечить своевременность аутентификации. Если пользователю приходится ждать аутентификации в домене по пятнадцать минут, поскольку в удаленном офисе используется модемное соединение, стоит задуматься о модернизации сетевых подключений.
Обратите внимание: если в командировках аутентификация по модемному соединению может оказаться прекрасным способом сэкономить на затратах, то для аутентификации целого сайта или офиса этот способ совершенно не подходит. Подключение должно быть постоянным и стабильным.
Лучший выход
Пользователей в удаленном офисе зачастую бывает мало и подключаются они не постоянно, поэтому размещать там собственный контроллер домена нецелесообразно. Например, наши удаленные специалисты по продажам работают из дома. Скорость соединения у них превышает 6 Мбит/с, но в каждом домашнем офисе присутствует только один пользователь, поэтому в данном случае использовать для целей аутентификации собственные контроллеры домена — не лучший вариант. Более эффективным оказывается обеспечение пользователям доступа по VPN.
Помимо этого у нашей организации есть удаленный офис, в котором насчитывается несколько пользователей, регулярно работающих в среде AD. Постоянное прохождение трафика по ссылкам WAN в данном случае нежелательно. Для решения этой проблемы мы установили в удаленном офисе контроллер домена и обеспечили широкополосное подключение к Интернету, чтобы ускорить процесс входа в систему и гарантировать эффективное использование ресурсов.
Таким образом, чтобы найти оптимальный подход к управлению авторизацией по ссылкам WAN, необходимо выявить основные параметры рабочей среды, сложившейся в данной организации, и выбрать наиболее экономичное и эффективное решение.
Потенциальные трудности
Поскольку описанные сценарии удаленной аутентификации зависят от подключения к Интернету, возможны ситуации, в которых ссылки WAN будут недоступны. С этим периодически приходится сталкиваться почти всем организациям. В таком случае приходится учитывать следующие факторы.
Windows 2003 Server кэширует данные домена и сведения о пользовательских входах в систему, позволяя осуществлять аутентификацию даже при отказе ссылок WAN. Поэтому доменные ресурсы, не требующие аутентификации в домене, после кэширования будут доступны всегда. Ресурсы, требующие аутентификации в домене (сетевые папки, электронная почта), окажутся недоступны, если перестанут работать ссылки WAN.
По умолчанию, Windows кэширует 10 последних фактов входа в систему. Максимальный объем кэша — 50 записей. Кэширование позволяет сократить время простоя при отказе ссылок WAN и сокращает количество ошибок, связанных с невозможностью подключиться к домену.
Надеюсь, приведенные в этой статье рекомендации помогут вам найти наиболее эффективный способ применения ссылок WAN и возможностей Active Directory в рамках своей организации.
