Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 51 (всего у книги 91 страниц)

полнительные связи сайтов, описанные на з а н я т и и 2.

Соштъ в corlosoconvCaAgi/aityv'StM

Efe£ef»reOOWKT'CBUBCсайтов' алаэтого сайта Ойъекты Танэасайтов"

латоаятся в контвй>«ре Сайты и че»хайтов»А транспорт".

MMBUWV • " jkienaF

MDEFAUU1PSITEJNK IP

Рис. 11-1. Создание нового сайта

Сайт Default-First-Site-Name рекомендуется переименовать и назначить ему

имя, соответствующее топологии сети. Щ е л к н и т е его правой кнопкой мыши

и выполните команду Переименовать (Rename).

Сайты имеет смысл использовать только в том случае, когда клиент или

сервер знает, к какому сайту принадлежит. Как правило, для этого IP-адрес

системы связывается с сайтом, и эту связь получают объекты подсети. Чтобы

создать объект подсети, в оснастке Active Directory – сайты и службы (Active

Directory Sites and Services) щелкните правой к н о п к о й м ы ш и узел Subnets

и выполните команду Создать подсеть (New S u b n e t ) . Откроется диалоговое

окно Новый объект – Подсеть (New Object – Subnet), показанное на рис. 11-2.

Объект подсети определяется как диапазон адресов, использующих нотацию

сетевого префикса. Например, чтобы ввести подсеть, представляющую диапа-

зон адресов от 10.1.1.1 до 10.1.1.254 с 24-битной маской подсети, используется

префикс 10.1.1.0/24. Чтобы получить более подробные сведения об адресах,

в диалоговом окне Новый объект – Подсеть (New Object – Subnet) щелкните

ссылку Дополнительные сведения о вводе п р е ф и к с о в адресов (Learn More

About Entering Address Prefixes).

' Занятие 1

Настройка сайтов и подсетей

521

,,,,

Ц:; J Соашш» в conosoconv w

бегаете лре<мос апс*сов а мотал*' сетееьл пр«*ксав (в»всУ

а>-ч*а префирм}, где дтмиа префикса 5адг«т >*сл:>

битас, Можно вввслисакподдета IPv4,

так и префикс лодсети IPv6.

Пголнитегьные «^дгиия э вводе.пэ-е»жкаа.ыя«е.

Г*»»-«> для IPv4 15734 21Й.'а/20

Пример впя IPv6' ifFEfPFCCOOfty^

|10 1.1 С/24

Л – м n p « w * c S в Доменнык Сяужва* Active Chrectwy

8яе«рит« объект )**пз для этого преч*«сэ

I Owena [

Рис. 11-2. С о з д а н и е п о д с е т и

После ввода сетевого префикса выберите объект сайта, с которым будет

связана подсеть. Подсеть можно связать только с одним сайтом, зато с сай-

том – несколько подсетей. В диалоговом окне Свойства (Properties) сайта

(рис. 11-3) указаны подсети, связанные с сайтом. В этом диалоговом окне изме-

нить подсети нельзя. Ч т о б ы изменить сайт, с которым связана подсеть, нужно

открыть окно свойств подсети (рис. 11-4).

РУУ!

JJ*J

–Z1-2SJ

Обшив j Размещение | Объект | Безопасность | Редактор атрибутов j Обшие | Размещение j Объект | безопасность | Редактср атрибут» |

I I

1

Ыл

Описание

Qrvciewe jC-смовгав подсеть $»«л«аяа

Подсети:

Сайт: [BRAJCH

^10.1.10/24

1у2>10.1Л.0/24

Гребке jlO. 1.1.0/24

Отмена | Псм^акитъ |

Рис. 11-3. Диалоговое окно свойств сайта Рис. 11-4. Диалоговое окно свойств подсети

18 Зак, 3399

522 Сайты и репликация

Глава 11

ПРИМЕЧАНИЕ Определение каждой IP-подсети

В производственной среде нужно определить каждую подсеть IP как объект подсети

Active Directory Если IP-адрес клиента не включен в диапазон подсети, клиент

не определит, к какому сайту Active Directory он принадлежит, в результате чего

могут возникать проблемы производительности и функциональности. Не забывайте

о магистральных подсетях, а также подсетях, используемых для удаленного доступа,

таких как виртуальные частные сети.

Управление контроллерами домена в сайтах

Управление контроллерами доменов в сайтах A c t i v e D i r e c t o r y н е о б х о д и м о

в таких случаях:

• создается новый сайт, куда необходимо п е р е м е с т и т ь с у щ е с т в у ю щ и й кон-

троллер домена;

• контроллер домена понижается до ранга р я д о в о г о сервера;

• создается новый контроллер домена.

При создании леса Active Directory первый к о н т р о л л е р д о м е н а автомати-

чески размещается в объекте сайта Default-First-Site-Name. На рис. 11-5 показан

контроллер домена S E R V E R 0 1 . c o n t o s o . c o m . Д о п о л н и т е л ь н ы е к о н т р о л л е р ы

домена будут добавляться в сайты с учетом их I P – а д р е с о в . Н а п р и м е р , если

сервер с IP-адресом 10.1.1.17 повысить да ранга к о н т р о л л е р а д о м е н а в сети

(см. рис. 11-4). то сервер автоматически будет д о б а в л е н в с а й т B R A N C H . На

рис. 11-5 также показан сервер S E R V E R 0 2 в сайте B R A N C H .

• •л.

Vj • 1 1 Л1»

в У* Л* ''«ОО

Я»

ё 2 »

j П Р О .

в С ^ i ™

В | » « ш г

– f НПК fettrgi

Рис. 11-5. Контроллер домена в узле

Сайт всегда содержит контейнер Servers с объектом д л я каждого контрол-

лера домена. Контейнер Servers в сайте должен содержать л и ш ь контроллеры

домена, а не серверы. По умолчанию новый ко н т р о лл е р домена размещается

в сайте, который связан с IP-адресом контроллера. О д н а к о Мастер установки

доменных служб Active Directory (Active Directory Domain Services Installa-

tion Wizard) позволяет указать еще один сайт. Д л я контроллера домена можно

' Занятие 1

Настройка сайтов и подсетей 5 2 3

также п р е д в а р и т е л ь н о с о з д а т ь в к о р р е к т н о м сайте объект сервера, щелкнув

правой к н о п к о й м ы ш и к о н т е й н е р Servers в соответствующем сайте и выполнив

команду С е р в е р ( S e r v e r ) в м е н ю С о з д а т ь ( N e w ) .

И наконец, к о н т р о л л е р д о м е н а м о ж н о переместить после установки в кор-

ректный сайт, щ е л к н у в с е р в е р п р а в о й к н о п к о й м ы ш и и в ы п о л н и в команду

Переместить ( M o v e ) . В д и а л о г о в о м о к н е П е р е м е щ е н и е сервера (Move Server)

выберите н о в ы й с а й т и щ е л к н и т е О К . К о н т р о л л е р домена будет перемещен.

Ре коме нд уется п о м е с т и т ь его в о б ъ е к т сайта, к о т о р ы й связан с IP-адресом.

Еслн к о н т р о л л е р д о м е н а с о д е р ж и т н е с к о л ь к о сетевых адаптеров, он может

принадлежать т о л ь к о о д н о м у сайту. Е с л и сайт не содержит контроллер доме-

на, п о л ь з о в а т е л и все р а в н о с м о г у т в х о д и т ь в домен, а их запросы входа будут

обрабатываться к о н т р о л л е р о м д о м е н а в соседнем сайте и л и еще одним конт-

роллером в домене.

Ч т о б ы у д а л и т ь о б ъ е к т к о н т р о л л е р а домена, щ е л к н и т е его правой кнопкой

мыши и в ы п о л н и т е к о м а н д у У д а л и т ь ( D e l e t e ) .

Размещение контроллеров домена

В начале этого з а н я т и я мы г о в о р и л и о том, что службы AD DS являются рас-

пределенными и о б е с п е ч и в а ю т п р о в е р к у подлинности и доступ к каталогам на

множестве к о н т р о л л е р о в д о м е н а , а т а к ж е описали, как планировать сетевую

топологию для о п р е д е л е н и я с а й т о в и р а з м е щ е н и я контроллеров домена. Теперь

проанализируем л о к а л и з а ц и ю с л у ж б – в частности, каким образом клиенты

Active Directory о п р е д е л я ю т свой сайт и локализуют контроллер домена в своем

сайте. Хотя д л я сдачи с е р т и ф и к а ц и о н н о г о экзамена не требуются знания на

таком уровне, о н и о к а ж у т с я в е с ь м а ц е н н ы м и при устранении неполадок при

проверке п о д л и н н о с т и к о м п ь ю т е р а и л и пользователя.

Записи р а с п о л о ж е н и я с л у ж б ы

Контроллер, д о б а в л я е м ы й в домен, и з в е щ а е т о своих службах, создавая в DNS

записи Р а с п о л о ж е н и е с л у ж б ы (SRV, Service Locator). В отличие от записей

узла (А), к о т о р ы е с о п о с т а в л я ю т и м е н а хостов с IP-адресами, записи SRV со-

поставляют с л у ж б ы с и м е н а м и хостов. Контроллер домена также информирует

о своей способности в ы п о л н я т ь п р о в е р к у подлинности и предоставлять доступ

к каталогу, р е г и с т р и р у я з а п и с и Kerberos и L D A P – з а п и с и SRV. Эти SRV-записи

добавляются в н е с к о л ь к о п а п о к в н у т р и D N S – з о н леса. Первая папка _tcp на-

ходится внутри з о н ы д о м е н а и с о д е р ж и т S R V – з а п и с и для всех контроллеров

в домене. Вторая п а п к а п р и в я з а н а к сайту, где расположен контроллер домена

(путь к ней: _sitesuMM_cauma_tcp). З а п и с и Kerberos и LDAP-записи SRV

для к о н т р о л л е р а S E R V E R 0 2 . c o n t o s o . c o m на его сайте _ s i t e B R A N C H _ t c p

представлены на рис. 11-6. В зоне т а к ж е есть папка первого уровня _tcp.

Эти же записи р е г и с т р и р у ю т с я еще в нескольких местах зоны _msdcs .Имя_

домена, например в _ m s d c s . c o n t o s o . c o m (рис. 11-6). Указанная зона содержит

записи служб к о н т р о л л е р о в д о м е н о в M i c r o s o f t ( M i c r o s o f t Domain Control-

ler Services). С и м в о л ы п о д ч е р к и в а н и я я в л я ю т с я требованием документации

RFC 2052.

5 2 4 Сайты и репликация

Глава 11

И I I ' И И И И ' И

ШШШШШШШШЯЯ.

Консоль Действие Вид Справка

С 1 . : D " 3 Г К , I V – ]

. 1 DNS

Нами***

| Т» Л

| Значение

| Штамп времени

В i SBWERQ2

Ш =

Расположение службы (SRV)

[0] [100] [3268] server02.co...

29.11.2008 14:00:00

S i y ) Глобалы** журма/ы

f i_kerberos

Расположение службы (SRV)

[0][100][88] server02.cont...

29.11.2008 14:00:00

E 2 Зоны пряного просмотра

Расположение службы (SRV

ы

)

[0][100}[339] server02.con... 29.11.2008 14:00:00

S ._msdcs.contoso.axn

3 contoso.com

ffi >7§ _msdcs

S '1 _stes

в . B R A N C H

. JCP

В • Default-Frst-S

В Ш _T£P

JO>

Я 3 _udp

. DomarOnsZones

В ... ForestDnsZones

В t"j info

В . .. parbbonOl

3 . GtobaNames

В . treyresearch.net

S 3ortji обратного просмотр

1 E Серверы условна* переа

Рис. 11-6. Записи SRV для SERVER02 в сайте BRANCH

Далее перечислены сведения, содержащиеся в записи расположения служб.

• Имя и порт службы Эта часть SRV-записи указывает службу с фиксиро-

ванным портом, который не всегда должен быть общеизвестным. Записи

SRV в Windows Server 2008 включают записи L D A P (порт 389), Kerberos

(порт 88), протокол Kerberos Password ( K P A S S W D , порт 464) и служб

глобального каталога GC (порт 3268).

• Протокол В качестве транспорта для службы используется протокол TCP

или UDP. Одна служба может использовать оба протокола в отдельных

SRV-записях. Например, записи Kerberos регистрируются для обоих про-

токолов TCP и UDP. Клиенты Microsoft используют только TCP, однако

клиенты UNIX могут применять U D P

• Имя узла Это имя соответствует записи узла ( А ) сервера, управляющего

службой. Когда клиент запрашивает службу, DNS-сервер возвращает SRV-

запись и связанные записи (А), чтобы клиенту не нужно было посылать

отдельный запрос для разрешения IP-адреса службы.

Имя службы в SRV-записи указано в соответствии со стандартной иерар-

хией DNS, где компоненты разделены точками. Например, служба Kerberos

контроллера домена может быть зарегистрирована следующим образом:

k e r b e r o s . _ t c p , Имя_сайта. _ s i t e s . Имя_домена

При чтении этой SRV-записи справа налево, как и в случае с другими DNS-

записями, мы получаем следующее:

• имя_домена: домен или зона, например contoso.com;

• _sites: все сайты, зарегистрированные в DNS;

• имя_сайта: сайт контроллера домеиа, регистрирующий службу;

' Занятие 1

Настройка сайтов и подсетей 525

• _tcp: все службы T C P сайта;

• kerberos: центр распространения ключей Kerberos (Kerberos Key Distribu-

tion Center, K D C ) , использующий протокол TCP.

Расположение контроллеров домена

Представим клиента Windows, который только что присоединился к домену.

Он перезагружается, получает IP-адрес от DHCP-сервера и готов к прохож-

дению проверки подлинности в домене. Клиент не знает, где искать контрол-

лер домена, а потому запрашивает его путем опроса папки _tcp, которая, как

вы помните, содержит SRV-записи всех контроллеров в домене. Сервер DNS

возвращает список всех соответствующих контроллеров домена, после чего

клиент пытается связаться со всеми этими контроллерами. Первый, который

отвечает клиенту, анализирует IP-адрес, перекрестные ссылки на объекты под-

сетей и сообщает клиенту, к какому сайту тот принадлежит. Клиент сохраняет

имя сайта в реестре, а затем опрашивает все контроллеры домена в папке _tcp

сайта. Сервер DNS возвращает список всех контроллеров домена в сайте. Далее

клиент пытается связаться со всеми, и первый ответивший контроллер домена

выполняет проверку подлинности клиента.

Клиент определяет этот контроллер домена как близлежащий, и впоследс-

твии будет пытаться проходить проверку подлинности именно на нем. Если

контроллер домена недоступен, клиент вновь опрашивает папку _tcp сайта

и пытается связаться со всеми контроллерами домена в узле. А что происхо-

дит, когда клиент я в л я е т с я мобильным компьютером (ноутбуком)? Предста-

вим, что этот компьютер проходит проверку подлинности в узле BRANCH1,

а затем пользователь переносит компьютер в узел BRANCH2. При запуске

компьютер п о п ы т а е т с я с в я з а т ь с я с предпочитаемым контроллером домена

в узле B R A N C H 1, к о т о р ы й определит, что IP-адрес клиента связан с сайтом

BRANCH2, и сообщит клиенту новый сайт, к которому тот принадлежит. Затем

клиент запросит в DNS контроллеры домена в узле BRANCH2.

Таким образом – п у т е м сохранения информации о подсетях и сайтах

в Active Directory и регистрации служб в DNS – осуществляется поддержка

использования к л и е н т о м служб в своем узле (локализация служб).

К СВЕДЕНИЮ Расположение контроллеров домена

Более полную информацию по данному вопросу можно найти по адресу http://

www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distrib/dsbc_narjevl.

mspx?mfr-true.

Покрытие сайтов

Как работает сайт без контроллера домена? Сайты используются для направ-

ления пользователей в локальные копии реплицируемых ресурсов, в том числе

в общие папки, реплицируемые внутри именного пространства DFS, так что

сайты можно применять и без контроллеров домена. В таком случае SRV-за-

писи в узле будет регистрировать соседний контроллер домена, этот процесс

' 526 Сайты и репликация

Глава 11

называется покрытием сайтов. Сайт без контроллера домена обычно может

быть охвачен контроллером домена в узле с самой низкой стоимостью для

сайта, которому необходимо покрытие. Стоимость связей сайтов мы обсудим

на следующем занятии. Чтобы реализовать жесткий контроль проверки под-

линности в узлах без контроллеров домена, также можно вручную отконфи-

гурировать покрытие сайта и приоритет SRV-записей.

Практические занятия. Настройка сайтов и подсетей

В приведенных далее упражнениях предлагается реализовать структуру сайтов

для домена contoso.com. Для выполнения упражнений в домене должны быть

установлены контроллеры SERVER01 и SERVER02.

Упражнение 1. Настройка сайта по умолчанию

Вам необходимо переименовать сайт Default-First-Site-Name, содержащийся

в новом домене, и связать с ним две подсети.

1. Откройте оснастку Active Directory – сайты и службы (Active Directory

Sites And Services).

2. Щелкните правой кнопкой мыши сайт Default-First-Site-Name и выполните

команду Переименовать (Rename).

3. Введите имя HEADQUARTERS и нажмите клавишу Enter.

Поскольку имена сайтов регистрируются в DNS, следует использовать

совместимые с DNS имена без специальных символов и пробелов.

4. Щелкните правой кнопкой мыши контейнер Subnets и выполните команду

Создать подсеть (New Subnet).

5. В поле Префикс (Prefix) введите префикс 10.0.0.0/24.

6. В списке Выберите объект узла для этого префикса (Select A Site Object

For This Prefix) щелкните объект H E A D Q U A R T E R S .

7. Щелкните ОК.

8. Щелкните правой кнопкой мыши контейнер Subnets и выполните команду

Создать подсеть (New Subnet).

9. В поле Префикс (Prefix) введите префикс 10.0.1.0/24.

10. В списке Выберите объект узла для этого префикса (Select A Site Object

For This Prefix) выберите объект H E A D Q U A R T E R S .

11. Щелкните ОК.

Упражнение 2. Создание дополнительного сайта

Сайты позволяют управлять трафиком репликации и локализовать такие служ-

бы, как проверка подлинности и доступ к каталогам, предоставляемые конт-

роллерами доменов. Требуется создать второй сайт и связать его с подсетью.

1. Откройте оснастку Active Directory – сайты и службы (Active Directory

Sites and Services).

'Занятие 1

Настройка сайтов и подсетей 527

2. Щелкните правой кнопкой мыши контейнер Sites и выполните команду

Создать сайт (New Site).

3. В поле И м я (Name) введите имя BRANCH1.

4. Выберите объект D E F A U L T I P S I T E L I N K .

5. Щелкните О К .

Откроется диалоговое окно Доменные службы Active Directory (Active Di-

rectory Domain Services) с инструкциями по завершению настройки сайта.

6. Щелкните О К .

7. Щелкните правой кнопкой мыши контейнер Subnets и выполните команду

Создать подсеть (New Subnet).

8. В поле П р е ф и к с (Prefix) введите префикс 10.1.1,0/24.

9. В списке Выберите объект узла для этого префикса (Select A Site Object

For This Prefix) выберите объект BRANCH1.

Ю. Щелкните О К .

11. В оснастке Active Directory – сайты и службы (Active Directory Sites And

Services) разверните узел Subnets.

12. Щелкните правой кнопкой мыши подсеть 10.1.1.0/24 и выполните команду

Свойства (Properties).

13. В поле Описание (Description) введите описание Основная сеть филиала.

14. В раскрывающемся списке Сайт (Site) выберите сайт BRANCH1.

15. Щелкните ОК.

Резюме

• Сайты представляют собой объекты Active Directory, которые используются

для управления репликацией каталогов и локализации служб.

• Для настройки сайта нужно создать объект сайта и связать объект подсети

с сайтом. Сайт нередко располагает несколькими подсетями, однако подсеть

может принадлежать лишь одному сайту.

• Контроллеры домена размещаются в сайтах как объекты серверов.

• Для оповещения о службах Kerberos (проверка подлинности) и доступе

к службам каталога контроллеры домена регистрируют записи располо-

жения службы SRV (Service Locator). Эти SRV-записи создаются в узлах

сайтов внутри DNS-зон домена и леса.

• Члены домеиа определяют сайт, к которому принадлежат, в процессе про-

верки подлинности. Д л я определения сайта клиента контроллер домена

использует IP-адрес клиента и информацию сайта и подсетей домена, а за-

тем пересылает эти сведения клиенту.

Закрепление материала

Приведенные далее вопросы предназначены для проверки знаний, полученных

на занятии 1. Эти вопросы содержатся и на сопроводительном компакт-диске.

528 Сайты и репликация

Глава 11

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги,

1. Клиентские компьютеры в филиале медленно работают во время входа.

В отчетах указано, что их сервером входа я в л я е т с я контроллер домена в

удаленном узле, а не контроллер домена филиала. Ч е м обусловлена данная

проблема?

A. Для сайта не назначен контроллер домена филиала.

Б. Сайту филиала не назначена связь сайтов.

B. Диапазон IP-адресов филиала не связан с сайтом.

Г. Подсеть филиала назначена для двух сайтов.

2. Вы добавляете в филиал контроллер домена только д л я чтения. Вам нужно,

чтобы клиенты проходили проверку подлинности с помощью контроллера

RODC. Что для этого требуется? (Укажите все варианты.)

A. Объект подсети с сетевым префиксом диапазона IP-адресов филиала.

Б. Учетная запись контроллера домена в подразделении сайта.

B. Транспорт связи сайтов для узла.

Г. Объект сервера в объекте сайта филиала.

Занятие 2. Настройка глобального каталога и разделов

каталогов приложений

При перемещении нескольких контроллеров в домене н у ж н о учесть репли-

кацию базы данных каталогов между к о н т р о л л е р а м и . На этом занятии мы

рассмотрим разделы каталога, реплицируемые на к а ж д ы й контроллер домена

в лесу, а также принцип управления репликацией глобального каталога и раз-

делов приложений.

Изучив материал этого занятия, вы сможете:

У Определять назначение глобального каталога.

S Конфигурировать контроллеры домена как серверы глобального каталога.

S Реализовывать кэширование членства универсальных групп.

S Определять роль разделов каталога приложений.

Продолжительность занятия – около 45 мин.

Просмотр разделов Active Directory

В главе 1 говорилось о том, что для и д е н т и ф и к а ц и и и управления доменные

службы AD DS включают специальное х р а н и л и щ е – базу данных Ntds.dit.

В этом отдельном файле и содержатся разделы каталога. Каждый раздел ка-

талога, который также называется контекстом именования, хранит объекты

• Занятие 2

Настройка глобального каталога и разделов каталогов приложений

529

с отдельной областью и специальным назначением. В данной книге описаны

три основных контекста именования:

• Д о м е н ( D o m a i n ) Контекст именования доменов (Naming Context, NC)

содержит все объекты домена, включая пользователей, группы, компьютеры

и контейнеры групповой политики (Group Policy Container, GPC).

• К о н ф и г у р а ц и я ( C o n f i g u r a t i o n ) Этот раздел содержит объекты, представ-

ляющие логическую структуру леса, включая домены, а также физическую

топологию, в к л ю ч а я сайты, подсети и службы.

• Схема ( S c h e m a ) Определяет классы объектов и их атрибуты для целого

каталога.

Каждый контроллер домена поддерживает копию, или реплику, нескольких

контекстов именования. Конфигурация реплицируется на каждый контроллер

домена в лесу, равно как и схема. Контекст именования для домена реплици-

руется на все к о н т р о л л е р ы в домене, но не реплицируется на контроллеры

в других доменах, так что каждый контроллер содержит минимум три реплики:

контекст и м е н о в а н и я ( N C ) для своего домена, конфигурацию и схему.

По традиции эти полные реплики включают все объекты и атрибуты с воз-

можностью записи на каждом контроллере домена. Однако контроллер RODC

в Windows Server 2008 поддерживает реплику лишь с правом чтения всех объ-

ектов в контекстах и м е н о в а н и я конфигурации, схемы и домена. В то же время

определенные атрибуты, в частности пользовательские пароли, не реплициру-

ются на контроллер R O D C , если политика контроллера RODC не разрешает

такую репликацию. На контроллеры R O D C также никогда не реплицируются

атрибуты, я в л я ю щ и е с я секретными данными домена и леса.

Глобальный каталог

Представим себе лес с д в у м я доменами, каждый из которых содержит два

контроллера. Все четыре контроллера домена поддерживают реплику схемы

и конфигурации леса. Контроллеры в домене А содержат реплики контекста

именования ( N C ) домена А, а контроллеры в домене Б – реплики NC домеиа Б.

Что происходит при выполнении пользователем в домене Б поиска поль-

зователя, компьютера или группы из домена А? Контроллеры в домене Б не

поддерживают и н ф о р м а ц и ю об объектах в домене А, поэтому контроллер в до-

мене Б может не ответить на запрос объектов в NC домена А.

Для выполнения таких задач используется глобальный каталог. Глобаль-

ный каталог (Global Catalog, G C ) – это раздел, который хранит информацию

о каждом объекте в лесу. Когда пользователь в домене Б выполняет поиск

объекта домена А, результаты запроса предоставляет глобальный каталог. Для

оптимизации эффективности GC содержит лишь поднабор атрибутов, которые

используются для поиска среди доменов. По этой причине глобальный каталог

GC также называют частичным набором атрибутов (Partial Attribute Set, PAS).

В отношении поддержки поиска глобальный каталог можно сравнить с типом

индекса для хранилища данных AD DS.

530 Сайты и репликация

Глава 11

Размещение серверов глобального каталога

Глобальный каталог, значительно п о в ы ш а ю щ и й э ф ф е к т и в н о с т ь службы ка-

талога, необходим для таких приложений, как Microsoft Exchange Server и

Microsoft Office Outlook. Поэтому он должен быть доступен для этих и других

приложений. Каталог GC обслуживается только одним контроллером домена,

и в идеале каждый контроллер домена должен быть сервером GC. Многие орга-

низации конфигурируют свои контроллеры доменов как серверы глобального

каталога.

Потенциальный недостаток такой к о н ф и г у р а ц и и с в я з а н с репликацией.

Глобальный каталог – еще один раздел, который н у ж н о реплицировать. В од-

ном доменном лесу при настройке всех контроллеров домена как серверов GC

требует незначительной нагрузки, поскольку все контроллеры домена уже под-

держивают полный набор атрибутов для всех объектов домена и леса. В лесу из

множества доменов дополнительная нагрузка связана с репликацией изменений

частичного набора атрибутов в других доменах. О д н а к о многие организации

считают, что механизм репликации Active Directory достаточно эффективен для

репликации GC без значительного в л и я н и я на сети, и ее преимущества ком-

пенсируют это негативное влияние. Если все к о н т р о л л е р ы домена отконфигу-

рировать как серверы GC, то больше не понадобится определять расположение

хозяина операций инфраструктуры, поскольку эта роль не нужна в домене, все

контроллеры которого являются серверами глобального каталога.

В частности, рекомендуется конфигурировать сервер GC на контроллере

домена в узле, где выполняются следующие условия:

• чтобы выполнить запросы каталога, задействованное приложение нередко

использует порт 3268 глобального каталога;

• подключение к серверу GC является м е д л е н н ы м и нестабильным;

• этот сайт содержит компьютер Exchange Server.

Настройка сервера глобального каталога

При создании первого домена в лесу первый контроллер домена конфигуриру-

ется как сервер глобального каталога. Вы д о л ж н ы решить, должен ли каждый

дополнительный контроллер домена являться сервером GC. Мастер установки

доменных служб Active Directory (Active Directory Domain Services Installation

Wizard) и команда Dcpromo.exe позволяют отконфигурировать сервер GC при

повышении ранга рядового компьютера до к о н т р о л л е р а домена. Глобальный

каталог также можно добавить или удалить с к о н т р о л л е р а домена с помо-

щью оснастки Active Directory – сайты и службы (Active Directory Sites And

Services). Разверните сайт, откройте контейнер Servers внутри сайта и развер-

ните объект сервера контроллера домена. Щ е л к н и т е правой кнопкой мыши

узел NTDS Settings и выполните команду Свойства (Properties). На вкладке

Общие (General), показанной на рис. 11-7, установите ф л а ж о к Глобальный

каталог (Global Catalog). Чтобы удалить GC с контроллера домена, выполните

те же действия и сбросьте указанный флажок.

• Занятие 2

Настройка глобального каталога и разделов каталогов приложений

531

т ш т м я – ш и и „

Общие J Подключения j Объект ] Безопасность j Редактор атрибутов |

J NTDS Setthgs

Owe-*** j

Политика запросов ; f

DNS-псведомим: j84A9846A-E29W7A0-A454-2215FSD9l2&s. jnsd<

Глобальный каталог

бремя, требуемое из публикацию глобального каталога, зависит от

топологии репликации,

| OK j Отмена J | Справка

Рис. 11 -7. Флажок установки глобального каталога

в диалоговом окне свойств NTDS Settings

Кэширование членства в универсальных группах

В главе 4 говорилось о том, что Active Directory поддерживает группы с универ-

сальной областью видимости. В универсальные группы включаются пользова-

тели и группы из множества доменов в лесу. Членство в универсальных группах

реплицируется в глобальном каталоге. При входе пользователя данные его

членства в универсальных группах извлекаются с сервера глобального каталога.

Если глобальный каталог недоступен, членство в универсальных группах так-

же недоступно. Универсальная группа применяется для того, чтобы запретить

пользователю доступ к ресурсам – в таком случае система Windows не позволит

ему проходить проверку подлинности в домене. Если пользователь раньше уже

входил на компьютер, он может применить для входа кэшированные учетные

данные, однако доступ к сетевым ресурсам будет запрещен. Таким образом,

складывается следующая ситуация: если сервер GC недоступен, пользователи

не смогут входить в сеть и получать доступ к сетевым ресурсам.

Такая проблема не возникает, если каждый контроллер домена являет-

ся сервером глобального каталога. Однако при ограниченной репликации и

невозможности назначить контроллер домена сервером GC для успешного

входа можно включить кэширование членства универсальных групп (Universal

Group Membership Caching, UGMC). При настройке такого кэширования кон-

троллер домена в филиале получит данные членства универсальных групп из

глобального каталога для пользователя, впервые вошедшего в сеть, и на не-

определенный период кэширует эту информацию, обновляя данные членства

универсальных групп каждые восемь часов. Таким образом, если сервер GC

f 532

Сайты и репликация

Глава 11

' окажется недоступным, контроллер д о м е н а и с п о л ь з у е т к э ш н р о в а н н ы е д а н н ы е

членства универсальных групп, чтобы пользователь смог пойти в сеть.

Поэтому на контроллерах домена в сайтах с н е н а д е ж н о й с в я з ь ю с серве-

ром GC рекомендуется отконфигурировать U G M C . О т к р о й т е о с н а с т к у Active

Directory' – сайты и службы (Active Directory Sites And Services) н в дереве

консоли выберите нужный сайт. На панели сведений щ е л к н и т е правой кнопкой

мыши элемент NTDS Site Settings и в ы п о л н и т е команду С в о й с т в а ( P r o p e r t i e s ) .

В диалоговом окне Свойства: N T D S Site Settings ( N T D S Site Settings Properties),

показанном на рис. 11-8, установите ф л а ж о к Р а з р е ш и т ь к э ш и р о в а н и е членс-

тва в универсальных группах (Enable Universal G r o u p M e m b e r s h i p C a c h i n g ) и

укажите глобальный каталог, с которого будет в ы п о л н я т ь с я о б н о в л е н и е к э ш а

членства в универсальных группах.

Рис. 11-8. Диалоговое окно свойств NTDS Site Settings с опцией включения кэширования

членства в универсальных группах

Разделы каталога приложений

Итак, разделы домена, конфигурации и схемы р е п л и ц и р у ю т с я на все контрол-

леры в домене, разделы конфигурации и схемы затем р е п л и ц и р у ю т с я на все

контроллеры доменов в лесу. Active Directory п о д д е р ж и в а е т разделы каталога

приложений – секции хранилища данных, к о т о р ы е с о д е р ж а т объекты, необхо-

димые для работы приложения или службы вне ядра с л у ж б AD DS. В отличие

от других разделов вы можете нацеливать разделы п р и л о ж е н и й д л я репликации

на конкретных контроллерах домеиа. По у м о л ч а н и ю они не реплицируются

на все контроллеры доменов.

Разделы каталога приложений предназначены для поддержки приложении

и служб каталогов и могут содержать объект любого типа, за исключением прин-