Опубликован: 19.02.2008 | Доступ: свободный | Студентов: 15586 / 3243 | Оценка: 4.24 / 3.93 | Длительность: 22:12:00
ISBN: 978-5-94774-858-1
Лекция 4:

Служба каталогов Active Directory

Физическая структура Active Directory

Физическая структура Active Directory служит для связи между логической структурой AD и топологией корпоративной сети.

Основные элементы физической структуры Active Directory — контроллеры домена и сайты.

Контроллеры домена были подробно описаны в предыдущем разделе.

Сайт — группа IP-сетей, соединенных быстрыми и надежными коммуникациями. Назначение сайтов — управление процессом репликации между контроллерами доменов и процессом аутентификации пользователей. Понятие "быстрые коммуникации" очень относительное, оно зависит не только от качества линий связи, но и от объема данных, передаваемых по этим линиям. Считается, что быстрый канал — это не менее 128 Кбит/с (хотя Microsoft рекомендует считать быстрыми каналы с пропускной способностью не менее 512 Кбит/с).

Структура сайтов никак не зависит от структуры доменов. Один домен может быть размещен в нескольких сайтах, и в одном сайте могут находиться несколько доменов (рис. 6.34).


Рис. 6.34.

Поскольку сайты соединяются друг с другом медленными линиями связи, механизмы репликации изменений в AD внутри сайта и между сайтами различные. Внутри сайта контроллеры домена соединены линиями с высокой пропускной способностью. Поэтому репликация между контроллерами производится каждые 5 минут, данные при передаче не сжимаются, для взаимодействия между серверами используется технология вызова удаленных процедур (RPC). Для репликации между сайтами кроме RPC может использоваться также протокол SMTP, данные при передаче сжимаются (в результате сетевой трафик составляет от 10 до 40% от первоначального значения), передача изменений происходит по определенному расписанию. Если имеется несколько маршрутов передачи данных, то система выбирает маршрут с наименьшей стоимостью.

Кроме управления репликацией, сайты используются при аутентификации пользователей в домене. Процесс аутентификации может вызвать заметный трафик, особенно если в сети имеется большое количество пользователей (особенно в начале рабочего дня, когда пользователи включают компьютеры и регистрируются в домене). При входе пользователя в сеть его аутентификация осуществляется ближайшим контроллером домена. В процессе поиска "ближайшего" контроллера в первую очередь используется информация о сайте, к которому принадлежит компьютер, на котором регистрируется пользователь. Ближайшим считается контроллер, расположенный в том же сайте, что и регистрирующийся пользователь. Поэтому рекомендуется в каждом сайте установить как минимум один контроллер домена.

В процессе аутентификации большую роль играет также сервер глобального каталога (при использовании универсальных групп). Поэтому в каждом сайте необходимо также размещать как минимум один сервер глобального каталога (или на одном из контроллеров домена в каждом сайте настроить кэширование членства в универсальных группах). Пользователи сети (в том числе компьютеры и сетевые службы) используют серверы глобального каталога для поиска объектов. В случае, если доступ к серверу глобального каталога осуществляется через линии связи с низкой пропускной способностью, многие операции службы каталога будут выполняться медленно. Это обстоятельство также стимулирует установку сервера глобального каталога в каждом сайте (более подробно о серверах глобального каталога будет рассказано ниже).

В самом начале создания леса автоматически создается сайт по умолчанию с именем Default-First-site-Name. В дальнейшем сетевой администратор должен сам планировать и создавать новые сайты и определять входящие в них подсети, а также перемещать в сайты соответствующие контроллеры доменов. При создания нового контроллера на основании выделенного ему IP-адреса служба каталога автоматически отнесет его к соответствующему сайту.

Репликация, управление топологией репликации

Рассмотрим сам процесс репликации изменений в AD как внутри сайта, так и между сайтами.

Репликация внутри сайта

Репликация изменений в AD между контроллерами домена происходит автоматически, каждые 5 минут. Топологию репликации, т.е. порядок, в котором серверы опрашивают друг друга для получения изменений в базе данных, серверы строят автоматически (эту задачу выполняет компонента служб каталогов, называемая Knowledge Consistency Checker, или KCC, вариант перевода данного термина — " наблюдатель показаний целостности "). При достаточно большом количестве контроллеров KCC строит кольцевую топологию репликации, причем для надежности образует несколько колец, по которым контроллеры передают данные репликации. Наглядно увидеть топологию репликации можно с помощью административной консоли " Active Directory - сайты и службы ". Если в этой консоли раскрыть последовательно контейнеры Sites, Defauit-First-site-Name, Servers, далее — конкретный сервер (например, DC1) и установить на узле NTDS Settings, то в правой половине окна видно, что сервер DC1 запрашивает изменения с сервера DC2 (рис. 6.35):


Рис. 6.35.

Возможностей управления репликацией у администратора сети в данном случае немного. Можно лишь вызвать принудительную репликацию в той же консоли " Active Directory - сайты и службы ". Если в правой части того же окна консоли, изображенного на рис. 6.35, щелкнуть правой кнопкой мыши на имени DC2 и выбрать вариант " Реплицировать сейчас ", то контроллер DC1 получит изменения в базе данных AD с контроллера DC2 (рис. 6.36):


Рис. 6.36.
Репликация между сайтами

Разбивать большую корпоративную сеть на отдельные сайты необходимо по следующим причинам: отдельные подсети корпоративной сети, расположенные в удаленных офисах, могут быть подключены друг к другу медленными каналами связи, которые сильно загружены в течение рабочего дня; поэтому возникает необходимость осуществления репликации в те часы, когда сетевой трафик минимален, и передавать данные репликации со сжатием.

Вернемся к сетевой структуре, изображенной на рис. 6.34, и обсудим понятия и термины, играющие важную роль в управлении репликацией между сайтами.

В этой конфигурации топология репликации также строится системной компонентой KCC. KCC выбирает контроллеры, которые осуществляют репликацию между сайтами, проверяет их работоспособность и, в случае недоступности какого-либо сервера, назначает для репликации другой доступный сервер.

Для репликации между сайтами используется тот или иной межсайтовый транспорт — это либо IP ( RPC ), либо SMTP. Для каждого вида межсайтового транспорта определяется " соединение сайтов " ( site link ), с помощью которого строится управление репликацией между двумя и более сайтами. Именно для соединения ("линка") задаются такие параметры как " Расписание репликации " и " Стоимость ". На рис. 6.34. соединение Link-1 связывает в единую цепочку сайты Сайт-1, Сайт-3, Сайт-4 и Сайт-2, соединение Link-2 связывает два сайта — Сайт-1 и Сайт-2. В данном примере репликация между сайтами Сайт-1 и Сайт-2 будет проходить либо по соединению Link-1, либо по соединению Link-2 — в зависимости от расписания, стоимости соединения и его доступности (при доступности обоих соединений преимущество будет иметь соединение с более низкой стоимостью). На рис. 6.37 изображено созданное автоматически соединение для транспорта IP ( RPC ) — DEFAULTIPSITELINK. Если открыть Свойства этого соединения (рис. 6.38), то можно управлять списком сайтов, относящихся к этому соединению, назначать стоимость соединения (значение по умолчанию — 100), интервал репликации (по умолчанию — каждые 3 часа), а если нажать кнопку " Изменить расписание ", то можно более тонко определить дни и часы, в которые будет производиться репликация.

Контейнер Subnets консоли " Active Directory - сайты и службы " служит для описания подсетей, входящих в тот или иной сайт.


Рис. 6.37.

Рис. 6.38.
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?