<strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>Verteilt mit dezentraler VerwaltungDiese Diagramm zeigt ein stark verteiltes Netzwerk und stark einen verteilten Workflow (die AbkürzungARS bezieht sich auf <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>-Verwaltungsdienst).EigenesARS/IISDezentraler StandortARS/IISARS/IISDezentraler StandortEigenesARS/IISDezentraler StandortDezentraler StandortARS/IISDezentraler StandortARS-ReplikationAD-ReplikationIn diesem Szenario wird die AD Datenverwaltung an allen Standorten durchgeführt. Diese Standortekönnen Campusse oder einzelne Standorte sein, die per LAN/WAN-Verbindungen miteinander vernetztsind. Die Arbeit wird von einer Gruppe von Netzwerkadministratoren und den Mitarbeitern des Help Deskausgeführt. Die Leiter von Arbeitsgruppen führen Arbeiten auf unterster Ebene wie etwa den Zugriff aufbestimmte Dateiverzeichnisse und Verteilerlisten durch.Die Anzahl der Verwaltungsdienste hängt von der Anzahl der verwalteten Objekte, von der Anzahl derAdministratoren und von der Anzahl der Standorte ab. Das Diagramm weist einen zweckbestimmten undeinen gemeinsam mit anderen Anwendungen genutzten Verwaltungsdienst an den Hauptstandorten aus.Diese Konfiguration gewährleistet sowohl die Redundanz als auch die Verfügbarkeit an jedemHauptstandort und im gesamten Netzwerk. Wenn ein Verwaltungsdienst ausfällt, kann der andere Serveram entsprechenden Standort genutzt werden. Wenn beide Verwaltungsdienste an einem Standortausfallen, kann die AD Datenverwaltung an einem anderen Standort ausgeführt werden. Solange dieVerbindungen funktionieren, können die Administratoren an dem Standort, an dem die Diensteausgefallen sind, auf die Verwaltungsdienste am funktionierenden Standort zugreifen.An einem dritten, mittelgroßen Standort ist der Verwaltungsdienst auf einer gemeinsam mit anderenAnwendungen genutzten Hardware installiert. Die Administratoren an diesem Standort verwenden einWeb-Interface, sodass die Hardware auch IIS hostet. Ein Verwaltungsdienst wurde an diesem Standortinstalliert, weil er über eine beträchtliche Anzahl von Benutzern verfügt, die AD Verwaltungstätigkeitenund den Help Desk-Support leisten. Die Bereitstellung eines Verwaltungsdiensts an diesem Standortverteilt die Last auf die Dienste, während sie gleichzeitig die Redundanz und Verfügbarkeit verbessert.Wenn dieser Standort und das Netzwerk wachsen, kann sich die Notwendigkeit zur Errichtung vonVerbindungen und einer Replikation zwischen den drei größten Standorten ergeben.62
Erste SchritteDie Administratoren an den kleinsten Standorten greifen per Web-Interface auf die Verwaltungsdienstean den Hauptstandorten zu. Der Grund hierfür ist die Anzahl der Benutzer und Administratoren sowiederen Arbeitslast.An beiden großen Standorten verwenden nur wenige Administratoren die <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>-Konsole, während die meisten Administratoren und das gesamte Help-Desk-Personal dieWebschnittstelle verwenden.Physischer EntwurfIn diesem Abschnitt werden zwei typische Installationskonfigurationen für <strong>Quest</strong> <strong>One</strong><strong>ActiveRoles</strong>beschrieben. Bei beiden Installationen ist die Architektur so ausgelegt, dass die Effektivitätder <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong> <strong>Software</strong> danach optimiert ist, wie das Netzwerk konfiguriert ist und wie dieadministrativen Aufgaben zugeteilt werden.Mehrere <strong>Software</strong>komponenten müssen in Betracht gezogen werden, wenn <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>:• Ein ARS-Dienst bereit gestellt wird. Der <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>-Verwaltungsdienst (ARS-Dienst) kommuniziert direkt mit einem Active Directory-Domänencontroller (DC) und ist fürdie Ausführung aller Änderungen im Active Directory verantwortlich. Der DC, mit dem derARS-Dienst spricht, wird automatisch ausgewählt und kann vom <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>-Benutzer geändert werden. Der ARS-Dienst ist außerdem für die Ausführung vonZugriffsüberprüfungen verantwortlich, um zu verhindern, dass nicht autorisierte BenutzerVerbindungen zu den <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>-Schnittstellen herstellen, und umsicherzustellen, dass autorisierte Benutzer die Aufgaben gemäß ihrer Rolle und derfestgelegten Rollen ausführen.• Konsole. Die<strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>í-Konsole stellt eine MMC-basierte Schnittstelle bereit,um <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong> zu konfigurieren und die Verwaltung desActive Directoryauszuführen. Die Konsole stellt lediglich die Verbindung zum ARS-Dienst her und ist nicht inder Lage, direkte Änderungen in Active Directory vorzunehmen.• Webschnittstelle. Drei Webschnittstellen werden mit <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong> „out of thebox“ zur Verfügung gestellt: die Webschnittstelle für die Administratoren; die Webschnittstellefür das Help Desk; und die Webschnittstelle für die Selbstverwaltung. Beim Setup derWebschnittstellen muss der Administrator entscheiden, ob die Webschnittstelle an einenspezifischen ARS-Dienst angeschlossen werden soll oder ob der ARS-Dienst dynamischfestgelegt werden kann. Alle Webschnittstellen werden lediglich an den ARS-Dienstangeschlossen und sind nicht in der Lage, direkte Änderungen in Active Directoryvorzunehmen.Die Entscheidung, wo die Server, die die <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>-<strong>Software</strong>komponenten ausführenplatziert werden sollen, muss die Stärken des vorhandenen Netzwerks und der entsprechenden IT-Dienstsstruktur nutzen.Bereitstellung für Fehlertoleranz und LastenausgleichAuf die gleiche Weise, wie Active Directory keine Fehlertoleranz für einen einzelnen Domänencontrollerhat, hat auch <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong> keine Fehlertoleranz, wenn ein einzelner Server, der den ARS-Dienst ausführt, bereit gestellt wird. Es ist entscheiden, dass mindestens zwei Server, die den ARS-Dienst ausführen, bereit gestellt werden, um über eine <strong>Quest</strong> <strong>One</strong> <strong>ActiveRoles</strong>-Umgebung mit63