Когда следует создавать новый лес
В процессе разработки службы Active Directory сначала следует определить количество необходимых организации лесов. Для большинства организаций наиболее предпочтительной и простой для администрирования моделью является модель одного леса. Однако такая модель нецелесообразна для некоторых организаций.
При наличии единственного леса нет необходимости задумываться о структуре каталога, поскольку с помощью глобального каталога все пользователи видят единый каталог. При добавлении нового домена в лес не требуется дополнительной настройки доверительных отношений, поскольку все домены в лесу связаны двусторонними транзитивными доверительными отношениями. В лесу, состоящем из нескольких доменов, изменения настройки производятся только один раз для обновления сразу всех доменов.
Однако существуют сценарии, в которых необходимо создание более одного леса.
- Обновление домена Windows NT до леса Windows Server 2003. Можно обновить домен Windows NT так, чтобы он стал первым доменом в новом лесу Windows Server 2003. Для этого необходимо сначала обновить основной контроллер этого домена. После этого резервные контроллеры домена, рядовые серверы и клиентские компьютеры могут быть обновлены в любое время.
Кроме того, можно сохранить домен Windows NT и создать новый лес WindowsServer 2003, установив Active Directory на рядовой сервер под управлением Windows Server 2003. Дополнительные сведения см. в разделе Обновление домена Windows NT. - Обеспечение административной независимости. Если для обеспечения административной независимости необходимо разделить сеть на сегменты, можно создать новый лес. Администратор, управляющий IT-инфраструктурой автономного отдела внутри организации, может выполнять роль владельца леса и разрабатывать собственную структуру леса. Однако в других ситуациях потенциальный владелец леса может произвести слияние автономных отделов в единый лес, чтобы сократить расходы на разработку и управление собственной службы Active Directory и облегчить совместное использование ресурсов. Другая альтернатива — делегирование некоторых административных полномочий для использования преимуществ обоих подходов. Дополнительные сведения см. в статье «Рекомендации по проектированию Active Directory для управления сетями Windows» на веб-узле корпорации Майкрософт или статью «Проектные вопросы делегирования администрирования в Active Directory», которая также доступна на веб-узле корпорации Майкрософт.
Роли хозяев операций в новом лесу
При создании первого леса в организации все пять ролей хозяина операций автоматически назначаются первому контроллеру домена в лесу. При добавлении в лес новых дочерних доменов первому контроллеру каждого из них автоматически назначаются следующие роли.
- Хозяин относительных идентификаторов.
- Эмулятор основного контроллера домена.
- Хозяин инфраструктуры.
Так как в составе леса может существовать только один хозяин схемы и один хозяин именования доменов, данные роли остаются в корневом домене леса. При использовании леса Active Directory с одним доменом и одним контроллером домена данный контроллер выполняет роли всех хозяев операций. Дополнительные сведения см. в разделе Роли хозяев операций.
Добавление новых доменов в состав леса
В домене хранятся только сведения об объектах, расположенных в данном домене. Таким образом, путем создания нескольких доменов внутри одного леса каталог Active Directory разделяется для улучшения обслуживания различных пользовательских баз.
Наиболее простой для администрирования структурой домена является одиночный домен внутри одного леса. При планировании следует начинать с создания одиночного домена, а затем добавлять дополнительные домены, когда модель одиночного домена более не будет удовлетворять поставленным требованиям. Дополнительные сведения о создании доменов см. в разделе Домены.
Перед созданием нового леса
Для функционирования Active Directory требуется DNS, имеющая ту же иерархическую структуру, что и Active Directory. Например, microsoft.com является доменом DNS и доменом Active Directory. Вследствие отношения доверия между Active Directory и DNS перед созданием нового леса необходимо внимательно изучить основные понятия Active Directory и DNS. Дополнительные сведения см. в разделе Контрольный список для создания нового леса.