Znak sprawy: pg xf 292/25/12 Załącznik nr 4 do Umowy


Lokalizacja najbliższego kontrolera domeny



Pobieranie 366.45 Kb.
Strona5/8
Data01.05.2016
Rozmiar366.45 Kb.
1   2   3   4   5   6   7   8

1.12Lokalizacja najbliższego kontrolera domeny


Systemy klienckie Windows 2000 i nowsze wykorzystują usługę DNS do lokalizacji najbliższego kontrolera domeny. Każdy kontroler domeny rejestruje grupę rekordów zasobowych SRV. Umożliwia to komputerom klienckim odnalezienie najbliższego dostępnego kontrolera domeny.

W pierwszej kolejności komputer kliencki określa do jakiej lokacji należy. Operacja ta jest możliwa dzięki sprawdzeniu adresu IP (klienta) i skojarzeniu go z odpowiednią definicją podsieci w Active Directory Domain Services. Każda podsieć jest powiązana z określoną lokacją dzięki czemu wiadomo do jakiej lokacji należy komputer kliencki. Gdy lokacja zostanie określona komputer kliencki poszukuje najbliższego kontrolera domeny wykorzystując w zapytaniu DNS rekordy specyficzne dla lokacji. Mechanizm ten zapewnia że komputer kliencki wykorzystuje kontroler domeny należący do jego własnej lokacji.


1.13Usuwanie obiektów z katalogu i funkcjonalność AD Recycle Bin


Obiekty usunięte z katalogu Active Directory Domain Services przechowywane są przez określony czas po wykonaniu operacji usunięcia w celu zapewnienia poprawności danych katalogu w postaci obiektów nagrobkowych (tombstone). Czas przechowywania obiektów w postaci obiektów nagrobkowych definiowany jest poprzez czas życia obiektów nagrobkowych (Tombstone Lifetime).

Dla Prokuratury Generalnej przyjęty zostanie domyślny czas życia obiektów nagrobkowych dla systemu Windows 2003 SP1 i późniejszych – 180 dni.

Ponadto, włączenie funkcjonalności AD Recycle Bin powoduje, że zanim obiekt skasowany stanie się obiektem typu tombstone, przez 180 dni przebywać będzie w „koszu na śmieci”, skąd może zostać odtworzony z zachowaniem wszystkich atrybutów obiektów (w tym i przynależności do grup security czy dystrybucyjnych).

Do czasu upłynięcia 180 dni od chwili usunięcia można dokonać pełnego przywrócenia obiektu. Po upłynięciu 180 dni od usunięcia, obiekt przechodzi w stadium analogiczne do obiektu nagrobkowego – zostaje pozbawiony atrybutów przynależności do grup bezpieczeństwa, jednak nadal istnieje możliwość jego reanimacji (etap Recycled). Po upłynięciu 360 dni od chwili skasowania obiektu zostaje on całkowicie wymazany z katalogu.

Funkcjonalność kosza na śmieci Active Directory zostanie włączona dla lasu pg.gov.pl.

1.14Replikacja SYSVOL za pomocą DFS-R


Folder SYSVOL jest krytycznym elementem sprawności i funkcjonalności domeny. W związku z uruchomieniem domeny na poziomie funkcjonalności Windows Serwer 2008 R2, replikacja SYSVOL będzie odbywała się z użyciem mechanizmu DFS-R.

1.15Strict Replication Consistency


W ramach usługi katalogowej istnieje mechanizm wymuszenia spójności danych pomiędzy partnerami replikacji (Strict Replication Consistency). Włączenie tego mechanizmu powoduje, że w przypadku wykrycia błędów w danych katalogu replikacja z partnerem replikacji zawierającym błędy jest wstrzymywana.

Ustawienie to pozostanie włączone co jest ustawieniem domyślnym.


1.16Change Notification


Mechanizm Change Notification pozostanie wyłączony (ustawienie domyślne).

Usługi sieciowe

1.17Konfiguracja usługi DNS


Komputery klienckie oraz serwery członkowskie są skonfigurowane tak aby używały do rozwiązywania nazw najbliższego dostępnego serwera DNS. Jako Alternatywny serwer DNS zostanie wskazany serwer SWAWDC02.

1.17.1Konfiguracja serwerów DNS

Strefy typu Forward lookup


Utworzone zostaną następujące strefy:

  • pg.gov.pl – strefa replikowana do wszystkich serwerów DNS w obrębie domeny

  • _msdcs.pg.gov.pl – strefa replikowana do wszystkich serwerów DNS w całym lesie

Wszystkie wymienione powyżej strefy są przechowywane w odpowiednich partycjach aplikacyjnych.

Strefy typu Reverse lookup


Dla wszystkich podsieci zostaną utworzone strefy typu Reverse lookup.

Dynamiczne aktualizacje (Dynamic updates)


Strefy zostaną skonfigurowane tak aby wspierały tylko bezpieczne aktualizacje (Secure Updates). Konfiguracja ta dotyczy wszystkich stref.

Aging/Scavenging


W celu systematycznego oczyszczania stref DNS ze starych (nieistniejących) rekordów zasobowych zostaną włączone mechanizmy Aging oraz Scavenging. Oba parametry zostaną ustawione na 7 dni.

DNS Forwarders


Wszystkie serwery DNS zintegrowane z AD DS, będą miały ustawiony DNS Forwarders na serwer SWAWDC01.

Natomiast serwer SWAWDC01 będzie miał ustawiony DNS Forwarders na publiczny serwer DNS PG.


1.17.2Opcje klienta DNS


Primary DNS suffix zostanie zdefiniowany w opcjach DHCP dla wszystkich komputerów zgodnie z nazwą domeny Active Directory.

1.17.3Rejestracja Rekordów NS


Wszystkie serwery DNS rejestrują rekordy NS.

1.17.4Ogólne rekordy zasobowe SRV (Non-Site specific)


Wszystkie kontrolery domeny poza ulokowanymi w lokacji WA-Centrala publikują wyłącznie rekordy zasobowe specyficzne dla własnej lokacji. Publikacja rekordów ogólnych zostanie wyłączona. Zostanie to zrealizowane za pomocą Obiektu Zasad Grupy, który zmienia konfigurację kontrolerów domeny pracujących w lokacji Centrala.

1.17.5Site Coverage


Komputery klienckie komunikują się zawsze z lokalnym kontrolerem domeny. Tylko w sytuacji, gdy lokalny kontroler domeny jest niedostępny komunikują się z kontrolerem domeny w lokalizacji WA-Centrala. Aby osiągnąć taką funkcjonalność mechanizm „auto-site coverage” powinien zostać wyłączony na wszystkich kontrolerach domeny oprócz kontrolerów w lokacji WA-Centrala. Szczegółowe ustawienia stosownego obiektu Zasad Grupy zostały opisane w poniższej tabeli.

Tabela 9 Ustawienia Site Coverage

Automatyczny Site Coverage – Ustawienia GPO

Nazwa zasady

PG-C-Wylacz Auto Site Coverage

Przypisane do

Domain Controllers

Filtr ACL

Działa na

Authenticated Users

Filtr

Read&Apply

Ustawienia

Parametr

Wartość

MACHINE\Administrative Templates\System\Net Logon\DC Locator DNS Records\Automated Site Coverage by the DC Locator DNS SRV Records

Disabled



1   2   3   4   5   6   7   8


©absta.pl 2019
wyślij wiadomość

    Strona główna