Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 50 (всего у книги 91 страниц)
• Установите S E R V E R 0 1 как контроллер домена в новом лесу contoso.com.
Выберите ф у н к ц и о н а л ь н ы е уровни леса и домена Windows Server 2003.
Разрешите Мастеру установки доменных служб Active Directory (Active
• 508 Контроллеры домена
Глава 10
Directory Domain Services Installation Wizard) установить DNS на конт-
роллере домена.
• Для повышения уровня рядового сервера до ранга контроллера домена ис-
пользуйте инструкции из упражнения 1 занятия 1 в главе 1. Не забудьте вы-
брать для леса и домена функциональный уровень Windows Server 2003.
I Установите второй сервер Windows Server 2008 ( п о л н а я установка) и при-
свойте ему имя SERVER02. Далее описана требуемая конфигурация:
о членство в рабочей группе: W O R K G R O U P ;
о 1Ру4-адрес: 10.0.0.12;
о маска подсети: 255.255.255.0;
о основной шлюз: 10.0.0.1;
о DNS-сервер: 10.0.0.11.
• Для установки Windows Server 2008 можете воспользоваться инструкция-
ми, изложенными на занятии 1 главы 1.
• Установите SERVER02 как дополнительный к о н т р о л л е р в домене contoso.
com. Не устанавливайте на нем сервер каталогов GC и л и DNS-сервер.
• Для повышения уровня SERVER02 до ранга контроллера домена исполь-
зуйте инструкции из упражнения 1, выполняемого в главе 1 в рамках за-
нятия 1.
Упражнение 1. Эксперименты с репликацией S Y S V O L
В этом упражнении вы поэкспериментируете с р е п л и к а ц и е й SYSVOL, добавив
в общий ресурс NETLOGON сценарий входа и проверив его репликацию на
другой контроллер домена.
1. Войдите на машину SERVER01 как Администратор (Administrator).
2. Откройте папку %SystemRoot%SysvolDomainScripts.
3. Создайте новый текстовый файл Sample Logon Script.
4. Войдите на машину SERVER02 как администратор.
5. Откройте папку %SystemRoot%SysvolDomainScripts.
6. Убедитесь, что этот текстовый файл р е п л и ц и р о в а н в папку Scripts на ма-
шине SERVER02.
Упражнение 2. Подготовка к миграции на р е п л и к а ц и ю DFS-R
Для миграции репликации SYSVOL на механизм D F S – R домен должен содер-
жать лишь контроллеры Windows Server 2008 и работать на функциональном
уровне Windows Server 2008. В этом упражнении вы убедитесь, что миграция
на DFS-R не поддерживается на других ф у н к ц и о н а л ь н ы х уровнях домена. Вы
также установите административные инструменты D F S .
1. На машине SERVER01 откройте оснастку Active Directory – домены и до-
верие (Active Directory Domains And Trusts).
2. Щелкните правой кнопкой мыши домен contoso.com и примените команду
Изменение режима работы домена (Raise Domain Functional Level).
Занятие 3
Настройка репликации DFS папки SYSVOL
509
3. Убедитесь, что текущий режим работы домена – Windows Server 2003.
4. Закройте диалоговое окно, не повышая функциональный уровень.
5. Откройте окно командной строки.
6. Введите команду dfsrmig /getglobalstate и нажмите клавишу Enter.
Появится сообщение о том, что команда Dfsrmig поддерживается только
в доменах на ф у н к ц и о н а л ь н о м уровне Windows Server 2008.
7. Откройте оснастку Active Directory – домены и доверие (Active Directory
Domains And Trusts).
8. Щелкните правой кнопкой мыши домен contoso.com и примените команду
Изменение р е ж и м а работы домена (Raise Domain Functional Level).
9. Убедитесь, что в списке Выберите доступный режим домена (Select An
Available Domain Functional Level) указан режим Windows Server 2008.
10. Щ е л к н и т е к н о п к у П о в ы с и т ь (Raise). Щелкните OK, чтобы подтвердить
повышение.
Появится сообщение об успешном повышении функционального уровня.
11. Щелкните О К .
12. В окно командной строки введите команду dfsrmig/getglobalstate и нажмите
клавишу Enter.
Появится сообщение о том, что миграция DFS-R пока не инициализирована.
Упражнение 3. М и г р а ц и я репликации SYSVOL на DFS-R
В данном у п р а ж н е н и и вы осуществите миграцию репликации SYSVOL с ме-
ханизма р е п л и к а ц и и F R S на DFS-R.
1. На машине S E R V E R 0 1 откройте окно командной строки.
2. Введите команду dfsrmig /setglobalstate 0 и нажмите клавишу Enter.
Появится следующее сообщение:
Текущее глобальное состояние DFSR: "Удалено"
Новое глобальное состояние DFSR: "Пуск"
Запрошено недопустимое изменение состояния
Состоянием по умолчанию уже будет 0 "Пуск" ('Start'), поэтому команда
недействительна. Однако эта команда служит инициализатором миграции
DFS-R.
3. Введите команду dfsrmig /getglobalstate и нажмите клавишу Enter.
Появится следующее сообщение:
Текущее глобальное состояние DFSR: "Удалено"
Успешно
4. Введите команду df srmig /getmigrationstate и нажмите клавишу Enter.
Появится следующее сообщение:
Все контроллеры домена, успешно мигрировали а глобальное состояние ("Удалено")
Состояние миграции согласовано на всех контроллерах домена.
Успешно
5. Введите команду dfsrmig /setglobalstate 1 и нажмите клавишу Enter.
• 5 1 0 Контроллеры домена
Глава 10
Появится следующее с о о б щ е н и е :
Текущее глобальное состояние DFSR: "Удалено"
Новое глобальное состояние DFSR: "Подготовлено"
Будет выполнена миграция в состояние "Подготовлено". Служба DFSR
скопирует содержимое SYSVOL в папку SYSV0L_DFSR.
Если один из контроллеров домена не может начать миграцию,
Попытайтесь выполнить опрос вручную.
ИЛИ примените параметр /CreateGlobalObjects.
Миграция может выполняться от 15 минут до 1 часа.
Успешно
6. Введите команду dfsrmig/getmigrationstate и н а ж м и т е к л а в и ш у Enter.
Появится сообщение с указанием с о с т о я н и я м и г р а ц и и к а ж д о г о контроллера
домена. Миграция м о ж е т в ы п о л н я т ь с я до 15 м и н . П о в т о р я й т е этот шаг,
пока не получите следующее с о о б щ е н и е об у с п е ш н о й м и г р а ц и и в состояние
"Подготовлено" ('Prepared'):
Все контроллеры домена успешно мигрировали в глобальное состояние
("Подготовлено").
Состояние миграции согласоаано на всех контроллерах домена.
Успешно
При получении такого с о о б щ е н и я п е р е х о д и т е к ш а г у 7.
Во время миграции в с о с т о я н и е " П о д г о т о в л е н о " вы м о ж е т е п о л у ч и т ь одно
из следующих сообщений:
Следующие контроллеры домена не синхронизированы с глобальным состоянием
("Удалено"):'
Контроллер домена (состояние локальной миграции) – Тип ОС
SERVER01 ("Пуск") – Primary DC
SERVER02 ("Ожидание исходной синхронизации") – W r i t a b l e DC
Состояние миграции еще не согласовано на всех контроллерах домена.
Из-за задержек в AD сведения о состоянии могут быть неактуальными
или:
Следувщие контроллеры домена не синхронизированы с глобальным состоянием
("Подготовлено"):
Контроллер домена (состояние локальной миграции) – Тип, DC
SERVER01 ("Пуск") – Primary DC
SERVER02 ("Ожидание исходной синхронизации") – W r i t a b l e DC
Состояние миграции еще не согласовано на всех контроллерах домена.
Из-за задержек в AD сведения о состоянии могут быть неактуальными
7. В программной группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) откройте
консоль Просмотр с о б ы т и й ( E v e n t V i e w e r ) .
8. Разверните Журналы п р и л о ж е н и й и с л у ж б ( A p p l i c a t i o n s A n d Services Logs)
и выберите журнал р е п л и к а ц и я D F S ( D F S R e p l i c a t i o n ) .
9. Локализуйте событие с к о д о м 8014 и о т к р о й т е его с в о й с т в а . Вы увидите
сведения (рис. 10-3).
Занятие 3
Настройка репликации DFS папки SYSVOL
5 1 1
Centra»] Detail* |
O
f
S
R ha» juctMfOiy rwgraud the.DcmiainControUer
S
E
R
V
E
R
0
1 to the
'
P
R
E
P
A
R
E
D
' it
d ^
TO
C
O
N
T
I
N
U
E
M
I
G
R
A
T
I
O
N
: If you chooie to continue the i
the
R
E
D
I
R
E
C
T
E
D
' лле. pleaje note that arty change» ma
mi d
ge
rati h
o e
n n
c
pe
r f
o o
c r
e th
»» t
and proceed to i
located at:C;WindowiSYSVOl (v»+ich is under
N
T
T
R
S
:
re
h p
e li
nc
ca
eti
f o
o n
rt )
h *
toff
tl
h n
e ot
S b
Y e
S
V u
O p
L d
a
» te
h d
»re i
–5
5
Y
S
V
O
L
.
D
E
S
R folder located at
C
;
W
<
n
d
o
w
»
S
Y
S
V
O
l
_
D
F
S
R (which ч under
D
F
S
R replication)
To avoid thil postioiity of d»ti Ion. please make lure no file Jyrtem change» on the
S
Y
S
V
O
L
±1
log Name.
D
F
S Repetition
OFSft
logged:
Ш
7
/
2
М
8
5
:
5
5
:
1
Э
Р
М
J j
Event
Ю
.
801*
Talk Categoiy None
level;
Information
Keyword»: Ciaiuc
U»*n
N
/
A
Computer; SlRVEReLcontoio.com
OpCodt:
Рис. 10-3. Событие DFS-R, указывающее успешную миграцию
в состояние "Подготовлено"
В в е д и т е к о м а н д у dfsrmig /setglobalstate 2 и нажмите клавишу Enter.
Б у д е т в ы в е д е н о с л е д у ю щ е е с о о б щ е н и е :
Текущее глобальное состояние OFSR: "Подготовлено"
Новое глобальное состояние DFSR: "Перенаправлено"
Будет выполнена миграция в состояние "Перенаправлено". Общий ресурс SYSVOL share
будет заменен папкой SYSVOL_DFSR.
Если во время миграции из состояния "Подготовлено" в состояние "Перенаправлено"
в общий ресурс SYSVOL вносились изменения, с помощью команды robocopy скопируйте
изменения из папки SYSVOL в папку SYSVOL_DFSR на любом реплицируемом RWDC.
Успешно
10. В в е д и т е к о м а н д у dfsrmig /getmigrationstate и нажмите клавишу Enter.
П о я в и т с я с о о б щ е н и е , о т о б р а ж а ю щ е е состояние миграции каждого контрол-
л е р а д о м е н а . М и г р а ц и я м о ж е т з а н я т ь до 15 мин. Повторяйте этот шаг, пока
не п о л у ч и т е с л е д у ю щ е е сообщение, где указано об успешной миграции в
с о с т о я н и е " П е р е н а п р а в л е н о " .
Все контроллеры домена успешно мигрировали в глобальное состояние
("Перенаправлено").
Состояние миграции согласоаано на всех контроллерах домена.
Успешно
Когда вы п о л у ч и т е т а к о е с о о б щ е н и е , переходите к шагу 12.
В о в р е м я м и г р а ц и и в ы м о ж е т е получать такие сообщения:
Следующие контроллеры домена не синхронизированы с глобальным состоянием
("Перенаправлено"):
Контроллер домена (состояние локальной миграции) – Тип DC
SERVER02 ("Перенаправлено") – Writable DC
Состояние миграции еще не согласовано на всех контроллерах домена.
Из-за задержек в AD сведения о состоянии могут быть неактуальными
11. Введите к о м а н д у net share и н а ж м и т е к л а в и ш у Enter.
' 512 Контроллеры домена
12. Убедитесь, что общий ресурс N E T L O G O N ссылается на папку %System-
Root%SYSVOL_DFSRSysvolcontoso.comScripts.
13. Убедитесь, что общий ресурс SYSVOL ссылается на папку %SystemRoot%
SYSVOL_DFSRSysvol.
14. В Проводнике Windows (Windows Explorer) откройте папку %SystemRoot%
SYSVOL_DFSRSysvolcontoso.comScripts.
15. Убедитесь, что файл Sample Logon Script мигрировал в новую папку Scripts.
16. Создайте новый текстовый файл Sample Logon Script D F S R .
17. На машине SERVER02 убедитесь, что этот ф а й л р е п л и ц и р о в а н в папку
%SystemRoot%SYSVOL_DFSRSysvolcontoso.comScripts.
Резюме
• Репликацию папки SYSVOL нельзя в ы п о л н я т ь с п о м о щ ь ю механизма
DFS-R, если домен не работает на ф у н к ц и о н а л ь н о м уровне Windows Ser-
ver 2008.
• Команда Dfsrmig.exe управляет миграцией из папки SYSVOL с репликацией
RFS в папку SYSVOL_DFSR с репликацией D F S – R .
• Существует четыре состояния миграции: Пуск ( S t a r t ) , Подготовлено (Pre-
pared), Перенаправлено (Redirected) и Удалено (Eliminated). Возврат в пре-
дыдущее состояние возможен до миграции в состояние Удалено (Eliminated).
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных
на занятии 3. Эти же вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Вы работаете администратором в компании Trey Research. Ваш домен со-
стоит из трех контроллеров, два из которых используют систему Windows
Server 2008, а один – Windows Server 2003. Корневой домен леса содержит
два контроллера Windows Server 2003. Вам нужно реплицировать содержи-
мое папки SYSVOL в домене с помощью механизма D F S – R . Какие дейст-
вия следует предпринять? (Укажите все варианты. К а ж д ы й правильный
ответ – часть полного решения.)
A. Обновить контроллеры корневого домена леса до Windows Server 2008.
Б. Повысить функциональный уровень леса до Windows Server 2008.
B. Обновить контроллер домена W i n d o w s Server 2003 до Windows Ser-
ver 2008.
Г. Повысить функциональный уровень домена до Windows Server 2008.
Д. Повысить функциональный уровень корневого домена леса до Windows
Server 2008.
Основные термины 5-13
2. Вам необходимо отконфигурировать Active Directory, чтобы репликация
сценариев входа управлялась с помощью механизма DFS-R. Какую команду
использовать?
A. Dfsrmig.exe.
Б. Repadmin.exe.
B. Dfsutil.exe.
Г. Dfscmd.exe.
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, полученные при изуче-
нии представленного в этой главе материала, вам необходимо:
• ознакомиться с резюме главы;
• повторить используемые в главе основные термины;
• изучить сценарий, в котором описана реальная ситуация, требующая при-
менения полученных знаний, и предложить свое решение;
• выполнить рекомендуемые упражнения;
• сдать п р о б н ы й экзамен с помощью тестов.
Резюме главы
• Контроллеры домена Active Directory реплицируют изменения как равно-
правные участники, но определенные роли выполняет отдельный контрол-
лер домена.
• При добавлении новых контроллеров в домен можно переносить роли хо-
зяев операций, чтобы исключить единые точки сбоев, повысить произво-
дительность или обеспечить работу при запланированном простое.
• Перед добавлением первого контроллера домена Windows Server 2008 в лес
следует запустить команды Adprep /forestprep и Adprep/domainprep /gpprep.
• После установки Windows Server 2008 на всех контроллерах доменов можно
повысить функциональный уровень леса до Windows Server 2008, что позволя-
ет начать миграцию данных SYSVOL на более надежную технологию DFS-R.
Основные термины
Запомните у к а з а н н ы й термин, чтобы лучше понять описываемые концепции.
• Хозяин ( и л и м а с т е р ) о п е р а ц и й Контроллер домена, который выполняет
отдельную роль хозяина операций. Существует пять операций: схемы, име-
нования домена, инфраструктуры, R I D и PDC-эмулятора.
Сценарий. Обновление домена
Вы консультант, нанятый компанией Contoso, Ltd, чтобы проследить за обнов-
лением контроллеров домена contoso.com до Windows Server 2008. Лес состоит
из двух доменов – contoso.com и subsidiary.contoso.com. Оба домена содержат
по три контроллера Windows Server 2003.
1. Что нужно сделать перед установкой контроллеров домена Windows Ser-
ver 2008 в лесу contoso.com?
• 514 Контроллеры домена
Глава 10
2. Домен subsidiary.contoso.com состоит из трех филиалов, в каждом из кото-
рых установлен контроллер домена. Руководство Contoso требует, чтобы
во всех трех филиалах использовались к о н т р о л л е р ы домена только для
чтения. Возможно ли это и как выполнить такое задание?
3. Вы планируете обновить в корневом домене леса сервер SERVER01, кото-
рый выполняет все роли хозяев операций леса и домена. Ч т о необходимо
сделать перед обновлением сервера?
Практические задания
Чтобы успешно справиться с заданиями сертификационного экзамена, выпол-
ните следующие упражнения.
Обновление домена Windows Server 2003
В этих упражнениях вы обновите домен W i n d o w s Server 2 0 0 3 до Windows
Server 2008. Для выполнения упражнений требуются два доступных сервера.
• Упражнение 1 Установите сервер Windows Server 2003. Сделайте его кон-
троллером домена в новом лесу. Укажите ф у н к ц и о н а л ь н ы й уровень домена
и леса Windows Server 2003.
• Упражнение 2 Из папки Sources'Adprep установочного DVD-диска Win-
dows Server 2008 запустите команды Adprep /forestprep и Adprep /domainprep
/gpprep.
• Упражнение 3 Установите сервер Windows Server 2008 и присоедините его
к домену. Повысьте ранг сервера до уровня к о н т р о л л е р а домена, включая
установку DNS и глобального каталога.
• Упражнение 4 Перенесите все роли хозяев о п е р а ц и й на новый контрол-
лер домена.
• Упражнение 5 (по желанию) Обновите п е р в ы й ко нт р олл е р домена до
Windows Server 2008.
• Упражнение 6 (пожеланию) Понизьте ранг контроллера домена Windows
Server 2003 до уровня рядового сервера и удалите его из домена, переместив
в рабочую группу. Отформатируйте диск. Установите Windows Server 2008
и присоедините сервер к домену. Сделайте этот сервер контроллером доме-
на. Перенесите все роли хозяев операций обратно в систему.
Пробный экзамен
На прилагаемом к книге компакт-диске представлено несколько вариантов
тренировочных тестов. Проверка знаний выполняется или только по одной теме
сертификационного экзамена 70-640, или по всем экзаменационным темам.
Тестирование можно организовать таким образом, чтобы оно проводилось как
экзамен, либо настроить на режим обучения. В последнем случае вы сможете
после каждого своего ответа на вопрос п р о с м а т р и в а т ь правильные ответы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 1 1
Сайты и репликация
Занятие 1. Настройка сайтов и подсетей 516
Занятие 2. Настройка глобального каталога и разделов каталогов приложений 528
Занятие 3. Настройка репликации – 537
Итак, мы выяснили, что контроллеры домена Windows Server 2008 являются
равноправными. Каждый из них поддерживает копию каталога, выполняет
аналогичные службы для поддержки проверки подлинности Принципалов бе-
зопасности, а изменения, внесенные на какой-либо один контроллер, будут
реплицированы на все остальные. Одна из задач администратора предпри-
ятия – обеспечить эффективную проверку подлинности и оптимизации репли-
кации между контроллерами домена. Сайты доменных служб Active Directory
(Active Directory Domain Services, AD DS) являются основным компонентом
службы каталогов, поддерживающим локализацию и репликацию службы.
В этой главе речь пойдет о создании распределенной службы каталогов, ко-
торая поддерживает контроллеры домена в сегментах сети, разделенных доро-
гостоящими, медленными или нестабильными подключениями, о размещении
контроллеров, а также об управлении репликацией и использованием служб.
Кроме того, мы рассмотрим, как управлять репликацией данных на каждый
контроллер путем настройки глобальных каталогов и разделов приложений.
Темы экзамена:
• Настройка инфраструктуры Active Directory.
• Настройка глобального каталога.
• Настройка сайтов.
• Настройка репликации Active Directory.
• Техническая поддержка среды Active– Directory.
• Мониторинг Active Directory.
Прежде всего
Для того чтобы выполнить упражнения, предлагаемые в этой главе, нужно
создать два контроллера домена – SERVER01 и SERVER02 в домене contoso.
com. Инструкции по выполнению этой задачи содержатся в главах 1 и 10.
516 Сайты и репликация Глава 11
История из жизни
Дэн Холме
Как мы говорили в предыдущей главе, в домене следует установить несколько
контроллеров, чтобы обеспечить непрерывную работу службы в случае отказа
одного из них. В одном домене требуется минимум два контроллера, причем все
серверы и клиенты в среде должны быть подключены к контроллерам домена.
Но что делать, если имеется несколько сетевых сегментов, разделенных под-
ключениями, которые не обеспечивают такую скорость, как подключения LAN?
Что делать, если эти внутриузловые подключения нестабильны? Нужно опреде-
литься с размещением контроллеров домена в удаленных местах и управлением
репликацией каталога на эти контроллеры домена. На сертификационном экза-
мене 70-640 будут заданы вопросы по теме сайтов Active Directory й их роли
в репликации, и в этой главе мы рассмотрим управление репликацией. Однако
сайты также играют важную роль в средах с интенсивными подключениями, по-
скольку они позволяют управлять локализацией служб – то есть клиент выбирает
среди множества серверов, на которых доступна служба, наиболее эффектив-
ный. Именно поэтому описываются связи между сайтами и локализация служб.
Занятие 1. Настройка сайтов и подсетей
В Active Directory люди представлены объектами пользователей в службе ката-
логов, компьютеры – в виде объектов компьютеров, сетевая топология – объек-
тами, которые называются сайтами и подсетями. О б ъ е к т ы сайтов Active Direc-
tory используются для управления репликацией и л о к а л и з а ц и и служб, причем
во многих средах конфигурация сайтов и подсетей довольно проста. На этом
занятии мы рассмотрим фундаментальные концепции и технологии, требуемые
для настройки и управления сайтами и подсетями.
Изучив материал этого занятия, вы сможете:
У Идентифицировать роли сайтов и подсетей.
S Описать процесс локализации клиентом контроллера домена.
S Конфигурировать сайты и подсети.
S Управлять объектами серверов контроллеров доменов в сайтах.
Продолжительность занятия – около 45 мин.
Сайты
При описании сетевой инфраструктуры нередко упоминается количество сай-
тов, составляющих сеть на предприятии. Д л я большинства администраторов
сайт представляет физическое размещение – например, о ф и с или город. Сай-
ты соединены ссылками – сетевыми подключениями, основой которых могут
быть как удаленные коммутируемые подключения, так и волоконно-оптичес-
кие линии связи. Сетевые размещения и ссылки вместе составляют сетевую
инфраструктуру.
Сетевая инфраструктура в Active Directory представлена'объектами, кото-
рые называются сайтами (узлами) и узловыми ссылками. Хотя названия похо-
'Занятие 1
Настройка сайтов и подсетей 517
жи, эти объекты не соответствуют терминам сайтов и ссылок, описываемым
администраторами. На этом занятии описаны сайты, а на занятии 3 – узловые
ссылки.
Нужно также знать свойства и роли сайтов в Active Directory, чтобы по-
нимать едва уловимую разницу между сайтами Active Directory и сетевыми
сайтами. Сайты Active Directory – это объекты в каталоге, в частности в контей-
нере Configuration (CN=Configuration,DC-корневой домен леса). Эти объекты
используются д л я в ы п о л н е н и я двух задач управления службами:
• управление т р а ф и к о м репликации;
• локализация служб.
Трафик репликации
Репликация – это перенос изменений с одного контроллера домена на другой.
Например, если добавляется новый пользователь или меняется пользователь-
ский пароль, то сведения об этом направляются в каталог из одного контрол-
лера и должны быть отправлены на все контроллеры в домене.
В Active Directory предполагается, что на предприятии используется два
типа сетей: высокоскоростные и более медленные. Согласно концепции, изме-
нение, внесенное в Active Directory, должно немедленно реплицироваться на
другие контроллеры домена по высокоскоростной сети, в которой вносилось
изменение. Однако изменение не обязательно сразу реплицировать через более
медленную, дорогостоящую и нестабильную ссылку на еще один сайт. Вместо
этого можно у п р а в л я т ь репликацией через сетевые сегменты предприятия с
менее быстрыми подключениями, чтобы оптимизировать производительность,
снизить затраты на контроль пропускной способности.
Сайт ( и л и у з е л ) Active Directory представляет собой высокоскоростной
сегмент сети на предприятии. В случае определения сайта контроллеры домена
внутри узла р е п л и ц и р у ю т изменения практически мгновенно. Репликацию
между сайтами можно выполнять по графику.
Локализация с л у ж б
Служба Active Directory я в л я е т с я распределенной. Это означает, что в среде
есть как м и н и м у м два контроллера домена, предоставляющие одни и те же
службы проверки подлинности и доступа к каталогам. Если в среде есть не-
сколько сетевых узлов, в каждом из которых размещен контроллер домена,
клиенты могут проходить проверку подлинности на своем сайте. Это один из
примеров локализации службы.
Сайты Active Directory помогают локализовать службы, включая службы
контроллеров доменов. Во время входа клиенты Windows автоматически на-
правляются на контроллер домена в своем узле, а если этот контроллер недо-
ступен, – на контроллер домена в еще одном узле, который может выполнять
проверку подлинности.
Другие службы также можно локализовать. Например, служба пространств
имен распределенной ф а й л о в о й системы DFS Namespaces (Distributed File
System Namespaces) является локализованной. Клиенты DFS будут получать
5 1 8 Сайты и репликация
Глава 11
реплицнрованные ресурсы с самого эффективного сервера в зависимости от
своих узлов Active Directory. Поскольку клиенты обычно знают, в каком узле
находятся, то для того, чтобы использовать преимущества структуры сайтов
Active Directory, в перечень служб можно добавить любую распределенную
службу.
Планирование сайтов
Сайты используются для оптимизации репликации и л о к а л и з а ц и и служб, поэ-
тому нужно тщательно распланировать структуру сайтов Active Directory (они
могут не соответствовать сетевым узлам). Рассмотрим два сценария.
• В вашей компании есть два удаленных офиса, в к а ж д о м из которых вы
размещаете контроллер домена. Между о ф и с а м и установлено высокоско-
ростное подключение. Для повышения п р о и з в о д и т е л ь н о с т и необходимо
отконфигурировать один'сайт Active Directory д л я обоих офисов.
• Предприятие расположено в большом здании с х о р о ш и м и коммуникация-
ми. В отношении репликации предприятия можно использовать один сайт,
однако вы хотите, чтобы клиенты п р и м е н я л и распределенные службы на
своем местоположении и конфигурируете множество сайтов д л я поддержки
локализации служб.
Сайт Active Directory может включать несколько сетевых узлов или яв-
ляться подсетью отдельного сетевого узла. Н у ж н о запомнить, что сайты пред-
назначены для управления репликацией и л о к а л и з а ц и и служб. Далее описаны
характеристики предприятия, которые можно использовать д л я определения
сайтов.
Скорость подключения
Сайт Active Directory представляет собой сетевую единицу, которая характе-
ризуется быстрым, стабильным и недорогим подключением. В документации
указано, что медленным подключением считается с о е д и н е н и е со скоростью
ниже 512 кбит/с. Однако некоторые организации устанавливают внутри сай-
тов пороговое значение для медленных п о д к л ю ч е н и й на уровне 56 или даже
28 кбит/с.
Размещение службы
Поскольку сайты Active Directory управляют р е п л и к а ц и е й Active Directory
и локализацией служб, нет смысла создавать сайт д л я сетевого размещения
без контроллера домена или другой службы Active Directory (например, репли-
цированный ресурс DFS).
ПРИМЕЧАНИЕ Сайты без контроллеров домена
Контроллеры домена представляют лишь одну распределенную службу на предпри-
ятии – Windows. Другие службы, такие как реплицируемые ресурсы DFS, также
используют топологию сайтов. Сайты можно отконфигурировать для размещения
не только служб проверки подлинности, но и других, а также устанавливать без
контроллеров доменов.
'Занятие 1
Настройка сайтов и подсетей
519
Популяция пользователей
Популяции пользователей также влияют на проектирование сайтов, хотя и кос-
венно. Если в сетевом размещении имеется достаточное количество пользовате-
лей, подлинность которых проверить невозможно, разместите здесь контроллер
домена или другую распределенную службу, чтобы контролировать поддержку
этой популяции пользователей, управлять репликацией Active Directory в этом
размещении или локализовать используемые службы (отконфигурировав сайт
Active Directory, чтобы он представлял это размещение).
! . Критерии планирования сайтов
К а ж д ы й лес Active Directory содержит не менее одного сайта. При создании
– леса с первым контроллером домена создается по умолчанию сайт, которому
п р и с в а и в а е т с я и м я Default-First-Site-Name. Дополнительные сайты нужны
£ в следующих ситуациях:
• часть сети разделена медленным подключением;
• часть сети содержит достаточно пользователей, чтобы разместить контрол-
л е р ы домена и л и другие службы;
• т р а ф и к запросов каталогов является основанием для размещения конт-
роллера домена;
• требуется управлять локализацией службы;
• р е п л и к а ц и ю между контроллерами домена необходимо контролировать.
Р а з м е щ е н и е серверов
Когда именно размещать контроллер домена в удаленном узле, зависит от ситу-
ации, в частности от ресурсов, необходимых пользователям в узле, и толерант-
ности простоев. Если нет подключения к удаленному сайту, то пользователи не
получат доступ к необходимым ресурсам в центре данных для выполнения задач
в удаленном узле, и локальный контроллер домена не решит проблему. Однако
если возникает отказ на подключение к этому сайту, а пользователи получают
доступ к ресурсам в удаленном узле, то локальный контроллер домена может
продолжать выполнение проверки подлинности пользователей, и те, в свою
очередь, смогут работать со своими локальными ресурсами.
В большинстве сценариев с филиалами пользователям требуется доступ
к ресурсам этого филиала. Чтобы получить доступ к ресурсам, которые хранятся
на другом компьютере, необходима проверка подлинности в домене. Поэтому
обычно рекомендуется установить контроллер домена. Контроллеры домена
только для чтения (RODC) в Windows Server 2008 сводят к минимуму веро-
ятность угрозы и административную нагрузку в филиалах, поэтому в таких
сетевых размещениях большинству организаций проще развернуть контроллеры
домена.
Определение сайтов
Управление сайтами и репликацией осуществляется с помощью оснастки Active
Directory – сайты и службы (Active Directory Sites and Services). Для определения
520 Сайты и репликация
Глава 11
сайта Active Directory создается объект класса site. Объект сайта представляет
собой контейнер, который управляет репликацией для контроллеров домена
в сайте. При этом также создается один или несколько объектов подсетей.
Объект подсети определяет диапазон IP-адресов и привязан к одному сайту.
Локализация служб осуществляется в том случае, если IP-адрес клиента можно
связать с сайтом через связь между объектом подсети и объектом сайта.
Чтобы создать объект сайта, щелкните правой к н о п к о й мыши узел Sites
в оснастке Active Directory – сайты и с л у ж б ы (Active Di r e c t o ry Sites And
Services) и выполните команду Создать сайт (New Site). В открывшемся диало-
говом окне Новый объект – Сайт (New Object – Site), показанном на рис 11-1,
введите имя сайта и выберите связь. В окне доступна л и ш ь связь сайтов по
умолчанию DEFAULTIPSITELINK – до тех пор, пока не будут созданы до-
