Вопросы по развёртыванию cерверов Indeed - Работает под управлением системы Kayako

Вопрос
Создание экземпляра системы делается для каждого подчиненного домена или можно обойтись головным контроллером в лесу?

Ответ
Можно создать экземпляр системы Indeed-Id в родительском домене; и Indeed-Id Сервера, развёрнутые в этом экземпляре будут обслуживать пользователей из дочерних доменов. Замечу, что всё это справедливо в рамках одного леса.

Вопрос
Физически один Indeed-Id сервер настраивается под конкретный домен или под все домены в лесу?

Ответ
Indeed-Id Сервер привязывается не к домену или лесу, а к развёрнутому экземпляру системы Indeed-Id.

Вопрос
Возможно ли установить серверы Indeed в разных лесах, но чтобы база Indeed-Id в AD была лишь в одном лесу?

Ответ:
Нет. Серверы Indeed публикуются в Глобальном каталоге (GC). Поскольку GC "принадлежит" лесу, то Сервера и клиенты должны располагаться в пределах одного леса.

Вопрос
Мы имеем в областном центре родительский домен, а в каждом районном центре - дочерний. Учётные записи Active Directory есть как в родительском, так и в дочерних доменах. Между районными и областным центрами постоянно возникают проблемы с каналом связи.

Какой из двух вариантов развёртывания инфраструктуры Indeed-Id будет более оптимальным в плане обеспечения возможности входа в сеть/приложение при отсутствии канала до областного центра:
1. Централизация: Разворачиваем серверы Indeed и экземпляр системы в областном центре в родительском домене
2. Децентрализация: Разворачиваем серверы Indeed в областном центре в родительском домене и каждом районном центре в дочернем домене

Ответ
Наиболее оптимален и даёт гарантию (этот вариант уже используется у многих клиентов) первый вариант. На случай плохого канала мы имеем настройки кэширования данных пользователя (этими настройками можно управлять во вкладке Active Directory Users and Computers пользователей при наличии установленного компонента Indeed-Id Средства администрирования). При этом при первом входе пользователя в сеть/приложение по аутентификатору при наличии сети аутентификационные данные будут кэшированы на локальной машине. В дальнейшем при отсутствии канала до серверов Indeed и контроллеров родительского домена пользователи смогут входить в сеть/свои целевые приложения (естественно, если до их серверов будет канал).

Второй вариант говорит о том, что нужно будет разворачивать инфраструктуру Indeed-Id отдельно в каждом районном центре.
Здесь очень много нюансов:
1. Компетенция администраторов Indeed-Id районных центров как правило существенно ниже
2. Необходимость выделения одного-двух серверов для Indeed-Id серверов в каждом районном центре
3. Необходимость распространения и обновления лицензий Indeed-Id в районных центрах
4. Децентрализация настройки - необходимость настройки пользователей Indeed-Id/ESSO-приложений и учётных записей ESSO в каждом районном центре отдельно
5. В случае отсутствия канала до областного центра, меньше возможности воспользоваться функцией кэширования (не будет возможности войти под пользователем родительского домена в дочернем и наоборот)

Вопросы по развёртыванию cерверов Indeed Автор Anton Shlykov, Last modified by Maksim Kuzmov на 19 февраля 2018 02:49 PM
Вопрос Создание экземпляра системы делается для каждого подчиненного домена или можно обойтись головным контроллером в лесу? Ответ Можно создать экземпляр системы Indeed-Id в родительском домене; и Indeed-Id Сервера, развёрнутые в этом экземпляре будут обслуживать пользователей из дочерних доменов. Замечу, что всё это справедливо в рамках одного леса. Вопрос Физически один Indeed-Id сервер настраивается под конкретный домен или под все домены в лесу? Ответ Indeed-Id Сервер привязывается не к домену или лесу, а к развёрнутому экземпляру системы Indeed-Id. Вопрос Возможно ли установить серверы Indeed в разных лесах, но чтобы база Indeed-Id в AD была лишь в одном лесу? Ответ: Нет. Серверы Indeed публикуются в Глобальном каталоге (GC). Поскольку GC "принадлежит" лесу, то Сервера и клиенты должны располагаться в пределах одного леса. Вопрос Мы имеем в областном центре родительский домен, а в каждом районном центре - дочерний. Учётные записи Active Directory есть как в родительском, так и в дочерних доменах. Между районными и областным центрами постоянно возникают проблемы с каналом связи. Какой из двух вариантов развёртывания инфраструктуры Indeed-Id будет более оптимальным в плане обеспечения возможности входа в сеть/приложение при отсутствии канала до областного центра: 1. Централизация: Разворачиваем серверы Indeed и экземпляр системы в областном центре в родительском домене 2. Децентрализация: Разворачиваем серверы Indeed в областном центре в родительском домене и каждом районном центре в дочернем домене Ответ Наиболее оптимален и даёт гарантию (этот вариант уже используется у многих клиентов) первый вариант. На случай плохого канала мы имеем настройки кэширования данных пользователя (этими настройками можно управлять во вкладке Active Directory Users and Computers пользователей при наличии установленного компонента Indeed-Id Средства администрирования). При этом при первом входе пользователя в сеть/приложение по аутентификатору при наличии сети аутентификационные данные будут кэшированы на локальной машине. В дальнейшем при отсутствии канала до серверов Indeed и контроллеров родительского домена пользователи смогут входить в сеть/свои целевые приложения (естественно, если до их серверов будет канал). Второй вариант говорит о том, что нужно будет разворачивать инфраструктуру Indeed-Id отдельно в каждом районном центре. Здесь очень много нюансов: 1. Компетенция администраторов Indeed-Id районных центров как правило существенно ниже 2. Необходимость выделения одного-двух серверов для Indeed-Id серверов в каждом районном центре 3. Необходимость распространения и обновления лицензий Indeed-Id в районных центрах 4. Децентрализация настройки - необходимость настройки пользователей Indeed-Id/ESSO-приложений и учётных записей ESSO в каждом районном центре отдельно 5. В случае отсутствия канала до областного центра, меньше возможности воспользоваться функцией кэширования (не будет возможности войти под пользователем родительского домена в дочернем и наоборот)
(0 голос(а)) Эта статья полезна Эта статья бесполезна

Добавить новый комментарий Ответ на комментарий
Добавить новый комментарий Ответ на комментарий

Полное имя:
Email:
Комментарии: