Полное руководство по Citrix MetaFrame XP

         

AD


Хотя это не обязательно, но для облегчения аутентификации доступа к Citrix Management Console, опубликованным приложениям и сетевым принтерам, Citrix рекомендует следовать следующим правилам при использовании MetaFrame XP с AD:

  • Поместите все серверы в один домен, или по крайней мере в один лес.
  • Не помещайте домен фермы серверов в доверительные отношения с доменом NT 4.0.
  • Эта глава - не место для детальной диссертации по Win2K AD. Однако, небольшое описание AD поможет вам понять эти рекомендации.

    Важно понять то, что домены Win2K AD не эквивалентны доменам NT 4.0. Домены NT 4.0 являются монолитными объектами, которые не могут содержать никаких других контейнеров, кроме групп, и не могут сами входить в другие домены. Напротив, домены AD могут содержать подэлементы, называемые организационными единицами (OU), которые вы можете использовать для делегирования полномочий, назначая отдельным лицам полномочия к OU, а не ко всему домену. Домены AD сами могут входить в другие домены: домены AD могут быть самостоятельными элементами или соединяться друг с другом в логические группы, назваемые деревьями, которые в свою очередь логически группируются в леса и физически - в сайты, подобно фермам и зонам MetaFrame.

    Ключом к пониманию структуры домена AD является то, что все домены в одном лесу автоматически доверяют друг другу. Если вы когда-либо работали с NT 4.0, то знаете, что домены NT 4.0 ревниво охраняют свое содержимое. Настройка системы, в которой один домен доверяет пользователям другого домена использовать свои ресурсы, довольно трудоемка. И при этом доверительные отношения не переходящие - если домен А доверяет домену Б, а домен Б доверяет домену B, то вам необходимо установить отдельное доверительное отношение между доменами А и В. Возникает также небольшой вопрос с добавлением глобальных групп к локальным группам во всех доверительных доменах, а также проблема, когда вручную установленные доверительные отношения имеют эту забавную привычку работать непоследовательно. В итоге, хотя система доверительных отношений NT 4.0 упрощает изоляцию доменов, достаточно тяжело заставить домены кооперировать друг с другом. Особенно это касается больших сетей, поскольку домены NT в действительности не могут содержать более 5000-10000 записей.

    В отличие от этого, домены AD автоматически доверяют друг другу, если логически сгруппированы друг с другом. Одним из способов такой группировки является организация домена в иерархическую структуру, в которой, например, на самом верху находится домен citrix.com и подчиненные домены marketing.citrix.com и development.citrix.com. Даже эти домены могут содержать другие домены, например, sales.marketing.citrix.com и conferences.marketing.citrix.com..

    Возвращаясь к рекомендации Citrix поместить все серверы фермы в один домен, вы можете видеть, почему это неплохая идея.


    В основном, правила Citrixа сводятся к доверительным отношениям. Очевидно, вы хотите чтобы серверы в ферме сотрудничали друг с другом. Вы можете использовать права и привилегии пользователей, чтобы люди не использовали те ресурсы, которые не должны, но целью группировки серверов в отдельной ферме является совместное использование ресурсов и упрощение администрирования. Самый простой способ упорядочивания состоит в том, чтобы поместить все серверы фермы в отдельный домен так, чтобы у вас вообще не возникли беспорядки с доверительными отношениями.

    Если вы не хотите, чтобы все серверы в ферме вслепую доверяли друг другу, или потому что некоторые домены более безопасны чем другие, или потому что есть медленные линии связи между доменами и копирование информации о безопасности между контроллерами доменов была бы обременительной, то вы можете поместить ферму ферму в отдельные домены в отдельном лесу. Возникает еще вопрос поддержки UPN, если это для вас важно: вы не можете использовать UPN для входа в систему, если ваша ферма имеет более одного леса. Вспомните - UPN работает, разыскивая домен, которому принадлежат пользователи, даже если они идентифицируют себя только корневым доменом (например, citrix.com) и доменом, содержащих их учетные записи, где-нибудь ниже в дереве (например, development.citrix.com). Домен в одном лесу не может искать домен в другом лесу, потому что домены не доверяют друг другу, поэтмоу если ваша ферма сервера имеет несколько лесов, вы не можете использовать UPN для регистрации.

    А что если ферма сервера должна содержать домены, которые не доверяют друг другу? В таком случае вам необходима доверительная маршрутизация для определения, каким серверам позволено связываться друг с другом. В доверительной маршрутизации, которая показана на рисунке, запрос пуолучения списка пользователей, например при назначении приложения или аутентификации пользователя, направляется на сервер, который имеет нужное доверительное отношение, если его не имеет инициирующий сервер. Во время этого доверительного запроса , сервер MetaFrame XP регистрирует свои доверительные домены в хранилище данных фермы. Эта операция происходит при каждом запуске службы и происходит приблизительно каждые 6 часов, пока работает служба. Поэтому хранилище данных является центральным архивом всех доверительных данных для серверов в ферме. Когда сервер должен выполнить операцию для домена, которому он не доверяет, сервер определяет из хранилища данных, какие серверы могут выполнить эту операцию, а затем направляет запрос на самый доступный сервер. Например, на рисунке Домен А доверяет домену B, но не доверяет Домену C. Домен B доверяет и Домену А, и Домену C. Для сервера в Домене А, чтобы получить список пользователей в Домене C, серверу в Домене А необходимо обратиться к хранилищу данных, чтобы увидеть, какие серверы могут подключиться к Домену C за нужной информацией. В нашем примере, сервер в домене А для этого использует сервер в Домене B.


    Содержание раздела