Поскольку в том, что касается поиска и общей функциональности Active Directory и Exchange полностью зависят от службы DNS, ее конфигурация становится важным фактором, который должен быть рассмотрен. В большинстве случаев DNS (служба доменных имен) устанавливается на контролер (контролеры) домена, что обеспечивает создание интегрированных в Active Directory DNS-зон (DNS Zones). Эти зоны предусматривают сохранение DNS-данных в Active Directory, причем для целей резервирования используются множественные копии зон, доступные по записи и чтению. Не рекомендуется применять для Active Directory службы DNS, отличные от Microsoft, хотя поддержка таковых и существует. Более подробную информацию по вопросам, касающимся сценариев для служб DNS от независимых поставщиков, можно найти в главе 7.
Главным вопросом в компоновке DNS станет вопрос об используемом организацией пространстве имен (namespace). Пространство имен DNS подобно информации каталога AD: изменить его потом будет достаточно трудно. Поэтому для конфигурации DNS предлагаются два варианта. Первый способ предусматривает использование внешнего, опубликованного пространства имен, которое легко воспринимается (например, cco.com), а второй - внутреннего, защищенного пространства имен, взломать которое достаточно сложно (например, cconet.internal). В общем, чем важнее для организации безопасность, тем более вероятным становится выбор в пользу второго варианта.
Конструктивные решения Active Directory для малых предприятий
У компании Company123 отсутствовала AD-инфраструктура, поэтому потребовалось разработать решение для ее создания. Однако, поскольку потребности данной организации невелики, эти решения особой сложностью не отличались. Малым предприятиям редко приходится волноваться по поводу лесов Active Directory, деревьев и доменов. Чаще всего для компоновки Active Directory они применяют модель c одним лесом и одним доменом.
В случае компании Company123 использование простой модели для проекта Active Directory было продиктовано размерами самой компании. Так как в сложной, с множеством лесов, модели особой необходимости не было, была разработана структура с одним лесом и единичным доменом, показанная на рис. 5.2.
Вспомним, что 12 из 15 служащих компании Company123 работают в главном офисе, расположенном в Сан-Франциско. А оставшиеся трое - в Лондоне. Было принято решение о создании одного сайта Active Directory в офисе Сан-Франциско, поскольку количество человек, работающих в Лондоне, недостаточно для создания второго сайта Active Directory.
Когда встал вопрос о размещении контролера домена, компания Company123 снова отдала предпочтение простой структуре: один контролер домена для всего леса. Это означало, что вопрос о размещении глобального каталога отпал сам по себе, так как первый контроллер домена по умолчанию становится сервером глобального каталога. К тому же большая часть малых предприятий предпочитают устанавливать контроллер домена и Exchange Server на одном и том же оборудовании, что и было предпринято в компании Company123.
Компания Company123 произвела установку и конфигурирование службы DNS на сервере, выбранном компанией в качестве и контроллера домена, и Exchange-сервера. Для домена AD была создана одна зона прямого просмотра (company123.org), а для подсети - зона обратного просмотра (10.0.0.0/24), что можно видеть на рис. 5.3.
Пространством имен DNS, выбранным для домена AD, стало внешнее, зарегистрированное в Internet для Com-pany123, пространство - company123.org. Этот вариант хуже с точки зрения безопасности системы, но поскольку потребности компании Company123 в таковой минимальны, было принято решение о присвоении такого же имени, в целях удобства и простоты его использования конечными пользователями.
Microsoft Exchange Server 2003. Конфигурация службы DNS
28-12-2009