Внедрение

Продукт «Служба каталогов "Эллес"» не только обладает всей необходимой функциональностью для управления ресурсами в сети организации, но и отличается высокой степенью совместимости с технологиями Active Directory, что позволяет эксплуатировать его совместно с контроллерами под управлением ОС Windows Server в рамках одного домена.

Это дает возможность реализовывать различные сценарии внедрения с учетом особенностей существующей инфраструктуры (совместимость со схемой Active Directory, накопленные проблемы), ресурсов (трудозатраты на создание объектов и перенос данных), приоритетов и задач (снижение трудозатрат, минимизация рисков) конкретного клиента.

Исходя из перечисленных факторов, возможны следующие основные сценарии внедрения:

  1. В существующем домене или лесу доменов Active Directory контроллеры на Windows замещаются контроллерами под управлением Эллес.

    migration mixed
    Рис. 1. Сценарий замещения контроллеров домена

  2. Рядом с существующей инфраструктурой развертывается новый домен или лес доменов на основе контроллеров домена Эллес. В дальнейшем реализуется один из следующих подсценариев:

    • в домене или лесу доменов Эллес создаются все необходимые объекты;

      from scratch domain
      Рис. 2. Сценарий развертывания домена с созданием объектов
      from scratch forest
      Рис. 3. Сценарий развертывания леса доменов с созданием объектов

    • объекты из существующего домена или леса доменов переносятся в домен или лес доменов Эллес с помощью инструментов миграции.

      migration data
      Рис. 4. Сценарий развертывания домена с переносом (миграцией) данных

Замещение контроллеров домена

В сценарии замещения контроллеры Эллес вводятся в существующие домены Active Directory с сохранением физической и логической структуры сети. По мере переключения нагрузки на них контроллеры на Windows выводятся из эксплуатации. Процесс аналогичен замене устаревшего или неработоспособного контроллера на Windows в домене Active Directory.

Сценарий имеет следующие преимущества:

  • не требуются никакие манипуляции с данными, так как нет необходимости в создании новых учетных записей, объектов парольных политик (Password Settings Object, PSO), объектов групповых политик (Group Policy Object, GPO) и т. д.;

  • до момента вывода из эксплуатации контроллеров на Windows сохраняется возможность восстановления исходного состояния сети в случае возникновения проблем в работе контроллеров Эллес;

  • минимальные требования к наращиванию аппаратной части, так как контроллеры замещаются поэтапно.

Данный сценарий рекомендован для замещения существующей инфраструктуры Active Directory.

implementation replace
Рис. 5. Последовательность реализации сценария замещения контроллеров домена

Сценарий состоит из следующих основных шагов:

Шаг Описание

1

Планирование развертывания

Определение порядка замещения контроллеров домена.

Определение способов постепенного ввода в эксплуатацию (подачи нагрузки)

Шаги 2-5 повторяются для каждого контроллера домена Эллес

2

Развертывание контроллера домена Эллес

Развертывание контроллера домена в выбранных в соответствии с планом сайте и подсети

3

Ограничение входящей нагрузки (опционально)

Выполнение настройки для ограничения входящей нагрузки

4

Ввод контроллера в домен

Ввод контроллера в домен (samba-tool domain join <options>)

5

Подача нагрузки от одной информационной системы (опционально)

Выполнение настройки для подачи нагрузки от одной информационной системы (ИС).

Шаг выполняется циклически для всех информационных систем

6

Передача FSMO-ролей

Передача FSMO-ролей контроллерам Эллес

7

Отключение контроллеров на Windows

Отключение всех контроллеров на Windows

При необходимости сценарий может расширяться дополнительными шагами: расширение схемы каталога, настройка средств безопасности, установка сертификатов, проведение дополнительного тестирования и т. д.

Порядок шагов может быть изменен с учетом особенностей конкретного проекта внедрения.

Развертывание нового домена или леса доменов

При развертывании отдельных доменов или леса доменов на основе Эллес объекты и связанные с ними данные могут как создаваться заново, так и переносится из существующей инфраструктуры.

Создание новых объектов

Продукт «Служба каталогов "Эллес"» позволяет сформировать полноценную систему управления ресурсами в сети организации, предоставляя инструменты для создания и администрирования необходимых объектов.

Сценарий имеет следующие преимущества:

  • позволяет избавиться от проблем и ошибок, накопленных за время эксплуатации существующей инфраструктуры (ошибки базы данных, наличие неактуальных объектов и др.);

  • дает возможность мигрировать со служб каталогов, несовместимых по схеме с Active Directory (FreeIPA, Apache Directory);

  • реализуется при внедрении без миграции (когда у клиента отсутствует служба каталогов).

При выборе сценария следует учитывать следующие особенности:

  • требуются значительные трудозатраты на создание объектов, особенно при большом количестве компьютеров и учетных записей;

  • для сохранения доступа к ресурсам в существующих доменах требуется перенастройка доступов в них (выдача прав учетным записям из новых доменов);

  • требуется перенастройка информационных систем для работы с новым доменом;

  • часть ресурсов и информационных систем может быть временно недоступна;

  • в случае возникновения проблем при внедрении возврат к исходному состоянию может оказаться трудоемким и длительным по времени (например, потребуется вывести компьютеры из нового домена и ввести обратно в существующий).

Данный сценарий рекомендован для создания новой инфраструктуры или миграции с существующей инфраструктуры без переноса данных.

implementation from scratch
Рис. 6. Последовательность реализации сценария развертывания нового домена или леса доменов на Эллес без миграции данных

Сценарий состоит из следующих основных шагов:

Шаг Описание

1

Планирование развертывания

Проектирование физической структуры нового домена/леса (ресурсы, сайты, подсети, режимы работы контроллеров и т. д.).

Проектирование логической структуры нового домена/леса (домены, подразделения, группы и т. д.).

Проектирование модели доступа.

Определение порядка переноса объектов (график переключения информационных систем на использование нового домена/леса, график перевода компьютеров и пользователей)

2

Развертывание контроллеров Эллес

Развертывание и настройка контроллеров в соответствии со спланированной физической структурой

3

Создание доменов, иерархии подразделений, групп

Создание доменов, иерархии подразделений, групп в соответствии со спланированной логической структурой

4

Создание отношений доверия (опционально)

Настройка отношений доверия между существующими и новыми доменами для обеспечения доступа

5

Создание учетных записей и других объектов

Создание и настройка учетных записей, объектов парольных политик (PSO), детализированных парольных политик (FGPP), управляемых учетных записей (MSA, gMSA) и т. д.

6

Настройка групповых политик

Создание и привязка групповых политик к подразделениям и группам. Настройка параметров групповых политик

7

Вывод компьютеров из доменов существующей системы (опционально)

Перед вводом компьютера в новый домен необходимо вывести компьютер из существующего домена.

8

Ввод компьютеров в новый домен

Ввод компьютеров в новый домен

9

Перенастройка информационных систем

Смена технических учетных записей, перенастройка адресов подключения к LDAP и т. д.

10

Настройка доступов

Включение учетных записей в группы в соответствии с моделью доступа. Настройка прочих параметров безопасности

При необходимости сценарий может расширяться дополнительными шагами: расширение схемы каталога, настройка средств безопасности, установка сертификатов, установка дополнительных ADMX-шаблонов, проведение дополнительного тестирования и т. д.

Порядок шагов может быть изменен с учетом особенностей конкретного проекта внедрения.

Перенос (миграция) существующих данных

После развертывания нового домена или леса доменов на Эллес в него могут быть перенесены объекты (учетные записи, группы, компьютеры и т. п.) из существующего домена или леса доменов с помощью специализированного программного обеспечения (например, Microsoft Active Directory Migration Tool, ADMT).

Сценарий имеет следующие преимущества:

  • позволяет избавиться от проблем и ошибок, накопленных за время эксплуатации существующей инфраструктуры (ошибки базы данных, наличие неактуальных объектов и др.);

  • при переносе заполняется атрибут SIDHistory, что позволяет сохранить доступ к ресурсам в существующих доменах без дополнительной настройки.

При выборе сценария следует учитывать следующие особенности:

  • требуются трудозатраты на перенос данных (развертывание инструментов переноса, выполнение переноса, проверка результатов);

  • требуются трудозатраты на создание новых объектов (не все объекты могут быть перенесены);

  • требуется перенастройка информационных систем для работы с новым доменом;

  • часть ресурсов и информационных систем может быть временно недоступна;

  • в случае возникновения проблем при внедрении возврат к исходному состоянию может оказаться трудоемким и длительным по времени (например, потребуется вывести компьютеры из нового домена и ввести обратно в существующий)

Данный сценарий рекомендован для миграции с существующей инфраструктуры с переносом данных.

implementation migration
Рис. 7. Последовательность реализации сценария развертывания нового леса или домена на Эллес с миграцией данных

Сценарий состоит из следующих основных шагов:

Шаг Описание

1

Планирование развертывания

Проектирование физической структуры нового домена/леса (ресурсы, сайты, подсети, режимы работы контроллеров и т. д.).

Проектирование логической структуры нового домена/леса (домены, подразделения, группы и т. д.).

Проектирование модели доступа.

Определение порядка переноса объектов (график переключения информационных систем на использование нового домена/леса, график перевода компьютеров и пользователей)

2

Развертывание контроллеров Эллес

Развертывание и настройка контроллеров в соответствии со спланированной физической структурой

3

Создание доменов, иерархии подразделений, групп

Создание доменов, иерархии подразделений, групп в соответствии со спланированной логической структурой (то, что не планируется переносить)

4

Создание отношений доверия

Настройка отношений доверия между существующими и новыми доменами для обеспечения доступа

5

Развертывание программного обеспечения для переноса данных

Развертывание и настройка ADMT или аналогов и необходимых вспомогательных компонентов (СУБД и т. д.)

6

Создание УЗ и других объектов

Создание и настройка учетных записей, объектов парольных политик (PSO), детализированных парольных политик (FGPP), управляемых учетных записей (MSA, gMSA) и других объектов, которые не планируется переносить

7

Перенос объектов

Перенос объектов из существующего домена в новый (см. описание процесса переноса с использованием ADMT в разделе «Миграция данных между доменами»)

8

Настройка групповых политик

Создание и привязка групповых политик к подразделениям и группам. Настройка параметров групповых политик.

9

Перенастройка информационных систем

Смена учетных записей, перенастройка адресов подключения к LDAP и т. д.

10

Настройка доступов

Включение учетных записей в группы в соответствии с моделью доступа.

Настройка прочих параметров безопасности

При необходимости сценарий может расширяться дополнительными шагами: расширение схемы каталога, настройка средств безопасности, установка сертификатов, установка дополнительных ADMX-шаблонов, проведение дополнительного тестирования и т. д.

Порядок шагов может быть изменен с учетом особенностей конкретного проекта внедрения.