Полное руководство по Citrix MetaFrame XP


AD


Хотя это не обязательно, но для облегчения аутентификации доступа к Citrix Management Console, опубликованным приложениям и сетевым принтерам, Citrix рекомендует следовать следующим правилам при использовании MetaFrame XP с AD:

  • Поместите все серверы в один домен, или по крайней мере в один лес.
  • Не помещайте домен фермы серверов в доверительные отношения с доменом NT 4.0.

Эта глава - не место для детальной диссертации по Win2K AD. Однако, небольшое описание AD поможет вам понять эти рекомендации.

Важно понять то, что домены Win2K AD не эквивалентны доменам NT 4.0. Домены NT 4.0 являются монолитными объектами, которые не могут содержать никаких других контейнеров, кроме групп, и не могут сами входить в другие домены. Напротив, домены AD могут содержать подэлементы, называемые организационными единицами (OU), которые вы можете использовать для делегирования полномочий, назначая отдельным лицам полномочия к OU, а не ко всему домену. Домены AD сами могут входить в другие домены: домены AD могут быть самостоятельными элементами или соединяться друг с другом в логические группы, назваемые деревьями, которые в свою очередь логически группируются в леса и физически - в сайты, подобно фермам и зонам MetaFrame.

Ключом к пониманию структуры домена AD является то, что все домены в одном лесу автоматически доверяют друг другу. Если вы когда-либо работали с NT 4.0, то знаете, что домены NT 4.0 ревниво охраняют свое содержимое. Настройка системы, в которой один домен доверяет пользователям другого домена использовать свои ресурсы, довольно трудоемка. И при этом доверительные отношения не переходящие - если домен А доверяет домену Б, а домен Б доверяет домену B, то вам необходимо установить отдельное доверительное отношение между доменами А и В. Возникает также небольшой вопрос с добавлением глобальных групп к локальным группам во всех доверительных доменах, а также проблема, когда вручную установленные доверительные отношения имеют эту забавную привычку работать непоследовательно. В итоге, хотя система доверительных отношений NT 4.0 упрощает изоляцию доменов, достаточно тяжело заставить домены кооперировать друг с другом. Особенно это касается больших сетей, поскольку домены NT в действительности не могут содержать более 5000-10000 записей.

В отличие от этого, домены AD автоматически доверяют друг другу, если логически сгруппированы друг с другом. Одним из способов такой группировки является организация домена в иерархическую структуру, в которой, например, на самом верху находится домен citrix.com и подчиненные домены marketing.citrix.com и development.citrix.com. Даже эти домены могут содержать другие домены, например, sales.marketing.citrix.com и conferences.marketing.citrix.com..

Возвращаясь к рекомендации Citrix поместить все серверы фермы в один домен, вы можете видеть, почему это неплохая идея.




Начало  Назад  Вперед



Книжный магазин