Бездействие к добру и действие ко злу - равны. © Александр Дьяков 1084 - | 836 - или читать все...
Обратная связь Пожаловаться на материал

Репликация в Active Directory

Физическая структура сети Active Directory

Физическая структура сети в Active Directory довольно проста по сравнению с ее логической структурой. Физическими компонентами являются контроллеры доменов и сайты.

Контроллер домена

Контроллер домена — это сервер под управлением Windows Server, на котором установлена и работает служба Active Directory. В домене можно создать любое число контроллеров. На каждом контроллере домена хранится полная копия раздела каталога данного домена. Контроллеры домена локально разрешают запросы на информацию об объектах в своем домене и пересылают в другие домены запросы на информацию, отсутствующую в данном домене. Контроллеры домена также отслеживают изменения в информации каталога и отвечают за репликацию этих изменений на другие контроллеры. А раз каждый контроллер домена хранит полную копию раздела каталога для своего домена, это означает, что контроллеры следуют модели репликации с несколькими хозяевами (multimaster model). То есть каждый контроллер просто хранит мастер-копию раздела, и с его помощью можно модифицировать эту информацию.

Однако есть роли, которые могут быть присвоены контроллерам домена и при которых выбранный контроллер становится единственным, кому дозволено выполнять упомянутую выше задачу. К таковым относятся роли хозяина операций (operations master roles).

Роли, действующие в границах леса. Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу.

Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно.

Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.

Общедоменные роли. Существует три роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене.

Хозяин RID [Relative Identifier (RID) Master]. Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. Идентифика-тор защиты (security identifier, SID) — уникальный идентификатор каждого объекта в домене. SID в Windows Server состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан.

Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры домена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master — передавать информацию об изменениях, внесенных в объекты, в другие домены.

Сервер глобального каталога. Одна из функций сервера, которую можно назначить контроллеру домена. Сервер глобального каталога поддерживает подмножество атрибутов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компьютеры, например регистрационное имя пользователя. Серверы глобального каталога выполняют две важные функции. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса.

Глобальный каталог содержит подмножество информации из каждого доменного раздела и реплицируется между серверами глобального каталога в домене. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Без глобального каталога этот запрос мог бы долго передаваться от одного контроллера домена к другому. Если в вашей сети один домен, необходимости в этой функции глобального каталога нет, так как информация обо всех пользователях и объектах сети находится на любом контроллере домена. Но при наличии нескольких доменов эта функция глобального каталога становится важной.

Другая функция глобального каталога, полезная независимо от того, сколько доменов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись.

По умолчанию сервером глобального каталога становится первый контроллер домена, установленный в лесу. Однако в отличие от ролей хозяина операций роль сервера глобального каталога может быть назначена нескольким контроллерам. Вы можете определить столько серверов глобального каталога, сколько нужно для балансировки нагрузки и создания «запаса по прочности». Microsoft рекомендует размещать на каждом сайте минимум один сервер глобального каталога.

Хотя любой контроллер домена можно сделать сервером глобального каталога, будьте осторожны, решая, каким серверам назначить те или иные роли. Прежде всего не следует превращать один и тот же контроллер домена в хозяина инфраструктуры и в сервер глобального каталога, если у вас не один контроллер домена. Кроме того, сервер глобального каталога требует большого объема ресурсов от контроллера домена. По этой причине не стоит создавать сервер глобального каталога из контроллера домена, выполняющего другие ресурсоемкие роли.

Сайт

Сайт Windows Server — это группа контроллеров доменов, которые находятся в здной или нескольких IP-подсетях (о подсетях см. занятие 3) и связаны скоростными и надежными сетевыми соединениями. Под скоростым подразумеваются соединения не ниже 1 Мбит/с. Иначе говоря, сайт обычно соответствует границам локальной сети (local area network, LAN). Если в сети несколько LAN, соединенных региональной сетью (wide area network, WAN), вы, вероятно, создадите по одному сайту для каждой LAN.

Сайты в основном используются для управления трафиком репликации. Контроллеры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов г разных сайтах сжимают трафик репликации и передают его по определенному расписанию, чтобы уменьшить сетевой трафик.

Сайты не являются частью пространства имен Active Directory. Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группиру- гэтся в домены и OU без ссылок на сайты. Сайты содержат объекты только двух типов. Первые — это контроллеры доменов в границах сайта, а вторые — связи сайта (site links), сконфигурированные для соединения данного сайта с остальными.

Связи сайта. Внутри сайта репликация осуществляется автоматически. Для реплика-ции между сайтами вы должны установить связь между ними. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации [Internet Protocol (IP) или Simple Mail Transfer Protocol -SMTP)]. Объект связи сайта также инициирует выполнение запланированной репликации.

Репликация в Active Directory

Процесс репликации в Active Directory просто восхитителен. Все объекты и атрибуты нужно реплицировать на все контроллеры в домене, чтобы у каждого контроллера была актуальная мастер-копия раздела каталога для данного домена. А это огромный объем передаваемых данных, отслеживать которые весьма трудно.

В Windows Server применяется модель репликации с несколькими хозяевами (multimaster replication model), в которой все реплики (точные копии) базы данных Active Directory считаются равными хозяевами (equal masters). Вы можете вносить изменения в эту БД на любом контроллере домена, и изменения будут реплицированы на другие контроллеры доменов.

Контроллеры доменов в рамках одного сайта выполняют репликацию на основе уведомлений. Когда на одном из контроллеров домена вносятся изменения, он уведомляется своих партнеров по репликации (прочие контроллеры доменов в пределах сайта); затем партнеры запрашивают изменения, и происходит репликация. Поскольку внутри сайта предполагается наличие высокоскоростных и недорогостоящих соединений, репликация выполняется по мере необходимости, а не по расписанию.

Пока вы не сконфигурируете свои сайты в Active Directory, все контроллеры доменов автоматически включаются в один сайт по умолчанию с именем «Default-First-Site- Name», который создается при создании первого домена.

Если вам нужно контролировать трафик репликации по более медленным WAN- каналам, создайте дополнительные сайты. Например, у вас есть группа контроллеров домена в основной LAN и несколько контроллеров домена в LAN филиала, как показано на рис. 1-5. Эти две LAN соединены медленным WAN-каналом (256 Кбит/с). Внутри каждой LAN репликация между контроллерами домена может выполняться по мере необходимости, но репликацией по WAN-каналу следует управлять, чтобы не мешать передаче более приоритетного сетевого трафика. С этой целью вы могли бы создать два сайта: один включает все контроллеры домена в основной LAN, а второй — все контроллеры домена в удаленной LAN.

Рис. 1-5. Сайты позволяют управлять трафиком репликации по низкоскоростным соединениям

Сначала рассмотрим репликацию внутри одного сайта (называемую внутрисайтовой репликацией), а затем сравним ее с репликацией между сайтами (межсайтовой репликацией).

Внутрисайтовая репликация (intrasite replication). Трафик репликации передается в несжатом виде. В этом случае предполагается, что все контроллеры домена внутри сайта связаны широкополосными соединениями. Более того, репликация происходит по механизму уведомления об изменениях. То есть, если изменения вносятся в домене, они быстро реплицируются на другие контроллеры домена.

Межсайтовая репликация (intersite replication). Все данные передаются в сжатом виде. Здесь учитывается вероятность того, что трафик будет передаваться по более медленным WAN-линиями связи, но нагрузка на серверы возрастает из-за необходимости компрессии/декомпрессии данных. Вы можете использовать не только сжатие, но и планировать репликацию на те периоды времени, которые наиболее оптимальны для вашей организации. Например, разрешать репликацию лишь в те часы, когда сетевой трафик между двумя сетями уменьшается. Конечно, такая задержка в репликации (на основе расписания) может приводить к рассогласованию информации на серверах, входящих в разные сайты.

 

Контрольные вопросы

1. Из чего состоит физическая структура сети?

2. Что такое контроллер домена?

3. Какие роли действуют в границах леса?

4. Какие существуют общедоменные роли?

5. Какие функции выполняет сервер глобального каталога?

6. Что такое репликация в терминологии Active Directory?

7. Какие виды репликации существуют в Active Directory?

Дата добавления: 2020-11-27; просмотров: 93; Мы поможем в написании вашей работы!

Поделиться с друзьями:


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.019)