Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 52 (всего у книги 91 страниц)
• Занятие 2 Настройка глобального каталога и разделов каталогов приложений 5 3 3
ципалов б е з о п а с н о с т и ( п о л ь з о в а т е л и , к о м п ь ю т е р ы или группы безопасности).
Поскольку они р е п л и ц и р у ю т с я л и ш ь по мере надобности, разделы каталога
приложений о б е с п е ч и в а ю т п р е и м у щ е с т в а отказоустойчивости, доступности
и п р о и з в о д и т е л ь н о с т и , о п т и м и з и р у я т р а ф и к репликации.
Самый п р о с т о й способ п о н я т ь к о н ц е п ц и ю разделов каталога приложений —
п р о а н а л и з и р о в а т ь его р а з д е л ы , п о д д е р ж и в а е м ы е DNS-сервером Microsoft.
Когда создается з о н а , и н т е г р и р о в а н н а я в Active Directory, записи DNS репли-
цируются м е ж д у D N S – с е р в е р а м и с п о м о щ ь ю раздела каталога приложений.
Раздел и его о б ъ е к т ы D N S – з а п и с е й р е п л и ц и р у ю т с я л и ш ь на те контроллеры
домена, к о т о р ы е в ы п о л н я ю т р о л ь DNS-серверов.
Разделы каталога п р и л о ж е н и й в лесу можно просмотреть с помощью оснаст-
ки Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) . Щ е л к н и т е правой кнопкой мыши кор-
невой узел о с н а с т к и и в ы п о л н и т е команду Подключение к (Connect То). В рас-
крывающемся с п и с к е В ы б е р и т е и з в е с т н ы й контекст именования (Select A Well
Known N a m i n g C o n t e x t ) в ы б е р и т е контекст Конфигурация (Configuration) и
щелкните О К . Р а з в е р н и т е к о н т е й н е р К о н ф и г у р а ц и я (Configuration) и папку,
п р е д с т а в л я ю щ у ю р а з д е л к о н ф и г у р а ц и и , а затем выберите в дереве консоли
папку C N = P a r t i t i o n s . На п а н е л и с в е д е н и й будут отображены разделы храни-
лища данных A D D S ( р и с . 11-9).
! 1
–lalxi
Консоль Действие Вид Справка
•И *Fnl – – I B i _JS 1
Редактцхюание ADSI
Иля
Имя раздела катапога
| Класс
j Различающееся ипя
Ц Конф»гурацця [SERVERQLcor Щ CN -20D6l90b-f 24c-tf79-b63. •
DC -DomahDr.sZones,DC -ccntoso,... aossRef
CN =2006190b-f 24:-4 I
В , CN =Conftgura bon ,DC -con CN-24d68d38-ea76-«3bb-92.. DC =»ForestDns2ones,DC -con toso,D..
aossRef
CN"24d63d33-ea76-s j
CN-OispUiySoeafiers ; fjCN«852a 1852-9eec-4445-97.. DC-partionO 1,DC -contoso,DC -com aossRef
CN =8S2a l852-9eec-4 j
CN-€xtended-R»ghts QCN-CONTOSO
DC-con toso,DC-ccm
aosRef
CN-CONTOSO,CN-P<;
J CN-ForestUpdates
i'^CN-Enterprise Configuration CN=Con figuration,DC -antoso.DC.. aosRef
CN «Enterprise Configi ]
.'j CN-LostAndFoundCcn; Щ CN «Enterprise Sdiema CN-Schema,CN-Configu.-ation,DC-.. aossRef
CN Enterprise Schermj
. j CN -NTDS Quotas Щ CN «Enterprise Sdiema
CN-Schema,CN-Configu.-ation,DC-..
CN-Pantons
CN^hysicai Locations
J CN "Services
CN-Sites
j CN-WelKnown Securit-
Рис. 11-9. Разделы в лесу contoso.com
Обратите в н и м а н и е на д в а р а з д е л а п р и л о ж е н и й ForestDnsZones и Domain-
DnsZones (см. рис. 11-9). Б о л ь ш и н с т в о разделов создаются приложениями, ко-
торым они необходимы. В качестве примеров можно привести DNS и интерфейс
прикладного п р о г р а м м и р о в а н и я д л я т е л е ф о н и и TAPI (Telephony Application
Programming I n t e r f a c e ) . Ч л е н ы г р у п п ы Администраторы предприятия (Enter-
prise Admins) т а к ж е могут в р у ч н у ю создавать разделы каталога приложений
с помощью у т и л и т ы Ntdsutil.exe.
Раздел п р и л о ж е н и й м о ж е т быть добавлен в любом месте соответствующе-
го именного п р о с т р а н с т в а леса. Н а п р и м е р , разделы DNS с отличительными
именами D C = D o m a i n D n s Z o n e s , D C = c o n t o s o , D C = c o m добавлены как дочерние
разделы в раздел домена D C = c o n t o s o , D C = c o m . Раздел приложений также мо-
жет являться д о ч е р н и м р а з д е л о м еще одного раздела приложений пли новым
деревом в лесу.
534 Сайты и репликация
Глава 11
К СВЕДЕНИЮ Разделы каталога приложений
Более подробную и н ф о р м а ц и ю о р а з д е л а х каталога п р и л о ж е н и й м о ж н о н а й т и п о
азресу http^/iechne(2Miarisoft.com/Wmdou^erver/en/library/e
763e6fJaf1f?1033-mspx.
В принципе для управления разделом каталога приложения, его данными
и репликацией можно использовать средства этого приложения. Например,
при простом добавлении интегрированной зоны Active Directory в DNS-сервер
выполняется автоматическая настройка контроллера домена для получения
реплики раздела DomainDns. С помощью таких инструментов, как Ntdsutil.exe
и Ldp.exe. можно непосредственно управлять разделами каталога приложений.
К СВЕДЕНИЮ Управление разделами каталога приложений
Более п о д р о б н у ю и н ф о р м а ц и ю о р а з д е л а х каталога п р и л о ж е н и й м о ж н о н а й т и п о
адресу hap://iechnet2jmcmsoft.com/VindowsServer/en/library/920d6995-9ee9-46a 7-9d1b-
320e65c02d1a ЮЗЗлорх.
Важно систематизировать разделы каталога приложений до того, как будет
удален контроллер домена. Если он управляет разделом каталога приложений,
вы должны оценить назначение раздела, требуется ли он д л я всех приложений
и является ли последней репликой, поскольку в таком случае удаление кон-
троллера домена приведет к полной потере всей информации раздела. Хотя
мастер установки доменных служб Active Directory предлагает удалить разделы
каталога приложений, все же рекомендуется выполнять это вручную.
К СВЕДЕНИЮ Разделы каталога приложений и удаление контроллера домена
Более подробную и н ф о р м а ц и ю о р а з д е л а х каталога п р и л о ж е н и й и у д а л е н и и конт-
роллера домена м о ж н о найти по а д р е с у http://technet2.microsoft.com/WindowsServer/
en/library/1572d8a2-622c-4879-bb0b-76e26c4001291033.mspx.
Практические занятия. Репликация и разделы каталога
В приведенных далее упражнениях предлагается отконфигурировать реплика-
цию глобального каталога и проанализировать разделы каталога приложения
DNS. Прежде чем приступить к выполнению этих упражнений, нужно выпол-
нить упражнения занятия 1.
Упражнение 1. Настройка сервера глобального каталога
Первый контроллер домена в лесу является сервером глобального каталога.
Вам нужно разместить серверы GC в дополнительных местах для поддержки
запросов каталога, входа и таких приложений, как Exchange Server. Необходимо
отконфигурировать SERVER02 для управления репликой частичного набора
атрибутов GC.
1. Войдите на машину SERVER01 как Администратор (Administrator).
2. Откройте оснастку Active Directory – сайты и службы (Active Directory
Sites And Services).
• Занятие 2
Настройка глобального каталога и разделов каталогов приложений
535
3. Разверните сайт BRANCH1, папку Servers и откройте контейнер SERVER02.
4. Щелкните правой кнопкой мыши элемент N T D S Settings под SERVER02
в дереве консоли и выполните команду Свойства (Properties).
5. Установите ф л а ж о к Глобальный каталог (Global Catalog) и щелкните ОК.
Упражнение 2. Настройка кэширования универсального членства в группах
В сайтах без серверов GC пользователи не всегда имеют возможность войти
в сеть, если контроллер домена не может связаться с сервером GC в еще одном
сайте. Чтобы такая ситуация не возникла в вашей среде, сайт можно откон-
фигурировать для к э ш и р о в а н и я членства в универсальных группах. В этом
упражнении предлагается создать сайт филиала и отконфигурировать его для
кэширования членства в универсальных группах.
1. Щелкните правой кнопкой м ы ш и контейнер Sites и выполните команду
Создать сайт (New Site).
2. В поле И м я (Name) введите имя BRANCH2.
3. Выберите объект связи сайтов FEFAULTIPSITELINK.
4. Щелкните О К .
При выполнении этих действий в производственной среде потребовалось
бы создать хотя бы один объект подсети, связанный с сайтом, и установить
контроллер домена в сайте BRANCH2.
5. В дереве консоли выберите сайт BRANCH2.
6. На панели сведений щелкните правой кнопкой мыши NTDS Site Settings
и выполните команду Свойства (Properties).
7. На вкладке Параметры сайта (Site Settings) установите флажок Разрешить
кэширование членства в универсальных группах (Enable Universal Group
Membership Caching).
8. Щелкните ОК.
Упражнение 3. Анализ разделов каталога приложений
Теперь нужно просмотреть раздел каталога приложений DomainDnsZine с по-
мощью оснастки Редактирование ADSI (ADSI Edit).
1. Откройте оснастку Редактирование ADSI (ADSI Edit) в программной груп-
пе Администрирование (Administrative Tools).
2. Щелкните правой кнопкой мыши корневой узел оснастки и выполните
команду Подключение к (Connect То).
3. В раскрывающемся списке Выберите известный контекст именования
(Select A Well Known Naming Context) выберите контекст Конфигурация
(Configuration) и щелкните ОК.
4. В дереве консоли выберите контейнер Конфигурация (Configuration) и раз-
верните его.
5. В дереве консоли выберите и разверните контейнер CN=Configuration,
DC-com.
6. В дереве консоли выберите раздел CN= Partitions.
| 559 Сайты и репликация
Глава 11
7. Запомните имя D C – D o m a i n D n s Z o n e s . D O c o n t o s o . D O c o m р а з д е л а Do-
mainDnsZones.
8 Щ е л к н и т е правой к н о п к о й м ы ш и узел Редактирование A D S I ( A D S I E d i t )
и в ы п о л н и т е к о м а н д у П о д к л ю ч е н и е к ( C o n n e c t Т о ) .
9. Щелкните опцию Выберите н л н введите р а з л и ч а е м о е и м я и л и к о н т е к с т
именования (Select Or Type A Distinguished N a m e Or N a m i n g C o n t e x t ) .
10. В к о м б и н и р о в а н н о е п о л е в в е д и т е и м я DC-DomainDnsZones,DC=contoso,
DC-сот. Щелкните ОК.
11. В дереве консоли выберите элемент К о н т е к с т и м е н о в а н и я по у м о л ч а н и ю
(Default Naming Context) и разверните его.
12. Выберите и разверните к о н т е й н е р D C – D o m a i n D n s Z o n e s , D C – c o n t o s o ,
DC-com.
13. Выберите и разверните контейнер C N – M i c r o s o f t D N S .
14. Выберите контейнер D C – c o n t o s o . c o m .
15. Проанализируйте объекты в этом контейнере. С р а в н и т е их с з а п и с я м и D N S
домена contoso.com.
Резюме
• Глобальный каталог (Global Catalog, G C ) , н а з ы в а е м ы й т а к ж е ч а с т и ч н ы м
набором атрибутов (Partial Attribute Set), с о д е р ж и т к о п и ю к а ж д о г о объекта
в лесу с ограниченным набором атрибутов объекта.
• Серверы GC повышают производительность з а п р о с о в каталога, поддержи-
вают вход и предоставляют данные д л я т а к и х п р и л о ж е н и й , к а к Exchange
Server.
» Первый контроллер домена в лесу я в л я е т с я сервером глобального каталога.
Контроллер домена можно о т к о н ф и г у р и р о в а т ь ка к с е р в е р GC с п о м о щ ь ю
команды Dcpromo.exe, мастера установки д о м е н н ы х с л у ж б Active Directory
или оснастки Active Directory – с а й т ы и с л у ж б ы ( A c t i v e D i r e c t o r y Sites
And Services) после установки к о н т р о л л е р а домена.
• Если сайт не содержит сервер G C , д л я него м о ж н о о т к о н ф и г у р и р о в а т ь
кэширование членства в универсальных группах (Universal G r o u p Member-
ship Caching, U G M C ) , чтобы запросы входа п о л ь з о в а т е л е й не о т к л о н я л и с ь
в случае недоступности сервера глобального каталога.
• Разделы каталога приложений у н и к а л ь н ы , п о с к о л ь к у их м о ж н о реплици-
ровать на конкретные контроллеры доменов в лесу. З о н ы D N S , интегриро-
ванные в Active Directory, хранятся в разделах п р и л о ж е н и й . ,
Закрепление материала
С л е д у ю щ и е в о п р о с ы м о ж н о и с п о л ь з о в а т ь д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х н а
я т и и 1 . Э т и в о п р о с ы с о д е р ж а т с я и н а с о п р о в о д и т е л ь н о м к о м п а к т – д и с к е .
п р й т а ш Г " ^ —
п р а в и л " 2 Э™ В0ПР°СЫ с пояснениями, почему тот или иной вариант является
и и и л и неправильным , в ы найдете в разделе «Ответы» в конце книги.
Занятие 2 Управление множеством доменов и доверительными связями 560
Настройка репликации 5 3 7
1. Ф и л и а л п о д к л ю ч е н к ц е н т р у д а н н ы х через медленное нестабильное соеди-
нение. Вам н у ж н о , ч т о б ы к о н т р о л л е р домена в ф и л и а л е выполнял проверку
п о д л и н н о с т и п о л ь з о в а т е л е й в случае недоступности сервера глобального
каталога. Ч т о н е о б х о д и м о о т к о н ф и г у р и р о в а т ь ?
A . К о н т р о л л е р д о м е н а т о л ь к о д л я чтения.
Б . Р а з д е л к а т а л о г а п р и л о ж е н и й .
B. Р е п л и к а ц и ю м е ж д у с а й т а м и .
Г. К э ш и р о в а н и е ч л е н с т в а в у н и в е р с а л ь н ы х группах.
2. Вы работаете а д м и н и с т р а т о р о м в к о м п а н и и Contoso, Ltd. Лес Contoso со-
стоит из т р е х д о м е н о в , в к а ж д о м из к о т о р ы х расположено по четыре кон-
троллера. Вы в ы п о л н я е т е п о д г о т о в к у к удалению контроллера в корневом
домене леса, но не х о т и т е н а в с е г д а у н и ч т о ж и т ь разделы Active Directory.
Какие из с л е д у ю щ и х р а з д е л о в Active Directory могут существовать только
на этом к о н т р о л л е р е д о м е н а ? ( У к а ж и т е все варианты.)
A. Схема.
Б. К о н ф и г у р а ц и я .
B. Д о м е и .
Г. Ч а с т и ч н ы й н а б о р а т р и б у т о в .
Д . Р а з д е л к а т а л о г а п р и л о ж е н и й .
3. Н е о б х о д и м о о т к о н ф и г у р и р о в а т ь все существующие контроллеры доменов
в лесу к ак с е р в е р ы г л о б а л ь н о г о каталога. Какие инструменты можно ис-
пользовать д л я в ы п о л н е н и я э т о й задачи? (Укажите все варианты.)
A. Dcpromo.exe.
Б. М а с т е р у с т а н о в к и д о м е н н ы х с л у ж б Active Directory (Active Directory
D o m a i n Services I n s t a l l a t i o n W i z a r d ) .
B. О с н а с т к а A c t i v e D i r e c t o r y – с а й т ы и службы (Active Directory Sites
And Services).
Г. Оснастка Active D i r e c t o r y – пользователи и компьютеры (Active Direc-
tory Users And C o m p u t e r s ) .
Д. Оснастка Active D i r e c t o r y – д о м е н ы и доверие (Active Directory Domain
And T r u s t s ) .
Занятие 3. Настройка репликации
На занятии 1 речь ш л а о с о з д а н и и объектов сайтов и подсетей, позволяющих
Active Directory и к л и е н т а м л о к а л и з о в а т ь службы проверки подлинности и до-
ступа к каталогам, а т а к ж е п л а н и р о в а т ь размещение контроллеров доменов. На
занятии 2 вы к о н ф и г у р и р о в а л и серверы GC и разделы каталога приложений,
то есть управляли р е п л и к а ц и е й между контроллерами домена. На этом занятии
мы поговорим о том, к а к и когда в ы п о л н я е т с я репликация, выясним, почему
конфигурация Active D i r e c t o r y поддерживает эффективную репликацию и за-
чем м о д и ф и ц и р о в а т ь эту к о н ф и г у р а ц и ю при необходимости оптимизировать
репликацию на основе т о п о л о г и и сети.
| 5 3 8 Сайты и репликация Глава 11
Изучив материал этого занятия, вы сможете:
Создавать объекты подключения для настройки репликации между двумя
контроллерами домена.
^ Реалнзовывать связи сайтов и стоимость связей сайтов для управления реп-
ликацией между сайтами.
^ Проектировать предпочтительные мостовые серверы.
^ Понимать принципы уведомлений и опроса.
J Анализировать и создавать отчеты по репликации с помощью утилиты
Repadmin.exe.
Выполнять проверку работоспособности репликации Active Directory с по-
мощью утилиты Dcdiag.exe.
Продолжительность занятия – около 90 мин.
Репликация Active Directory
Итак, вы уже знаете, как размещать к о н т р о л л е р ы д о м е н о в в сети и представ-
лять их местоположение с п о м о щ ь ю о б ъ е к т о в с а й т о в и п о д с е т е й , ч т о т а к о е
репликация разделов каталогов (схема, к о н ф и г у р а ц и я и д о м е н ) , ч а с т и ч н ы й
набор атрибутов ( G C ) и разделы п р и л о ж е н и й . Н у ж н о п о м н и т ь , что в р е п л и -
кации Active Directory каждая реплика на к о н т р о л л е р е д о м е н а согласована с
репликами этого раздела, управляемого д р у г и м и к о н т р о л л е р а м и д о м е н о в . Все
контроллеры домена необязательно содержат в о д н о и то же в р е м я о д н у и ту
же информацию в своих репликах, н е с м о т р я на то ч т о и з м е н е н и я в н о с я т с я в
каталог мгновенно. Однако репликация Active D i r e c t o r y г а р а н т и р у е т передачу
всех изменений раздела во все его р е п л и к и и обеспечивает б а л а н с м е ж д у точ-
ностью (или целостностью) и соответствием ( и л и конвергенцией) с п р о и з в о -
дительностью, поддерживая приемлемый у р о в е н ь т р а ф и к а р е п л и к а ц и и . Такой
тип балансировки называется слабым соединением.
Далее описаны ключевые особенности р е п л и к а ц и и Active Directory.
• Разбиение хранилища д а н н ы х на р а з д е л ы К о н т р о л л е р ы в д о м е н е управ-
ляют лишь контекстом его именования, что п о з в о л я е т с в е с т и к м и н и м у м у
трафик репликации, в частности в лесах из множества доменов. Д р у г и е дан-
ные, включая разделы каталога п р и л о ж е н и й и ч а с т и ч н ы й н а б о р атрибутов
(GC), по умолчанию реплицируются не на все к о н т р о л л е р ы доменов в лесу.
• Автоматическое генерирование э ф ф е к т и в н о й и н а д е ж н о й топологии репли-
кации По умолчанию Active Di r e c t o r y к о н ф и г у р и р у е т э ф ф е к т и в н у ю то-
пологию двухсторонней р е п л и к а ц и и , чтобы п о т е р я л ю б о г о к о н т р о л л е р а
домеиа не воспрепятствовала р е п л и к а ц и и . Эта т о п о л о г и я а в т о м а т и ч е с к и
обновляется при добавлении и удалении к о н т р о л л е р о в доменов, а также
при их перемещении между сайтами.
• Репликация на уровне атрибутов П р и м о д и ф и к а ц и и атрибута объекта
реплицируется лишь этот атрибут и м и н и м а л ь н ы й набор метаданных для
его описания. Репликация объекта в ы п о л н я е т с я т о л ь к о при его создании.
• Отдельный контроль над внутриузловой р е п л и к а ц и е й и р е п л и к а ц и е й м е ж -
ду узлами.
Занятие 3
Настройка репликации 5 3 9
• К о н ф л и к т ы о б н а р у ж е н и я и у п р а в л е н и я В редких ситуациях атрибут
м о д и ф и ц и р у е т с я на двух р а з л и ч н ы х контроллерах доменов во время одной
р е п л и к а ц и и . В т а к о м с л у ч а е эти д в а и з м е н е н и я будут конфликтовать друг
с другом. В Active D i r e c t o r y и м е ю т с я а л г о р и т м ы разрешения, подходящие
п р а к т и ч е с к и д л я л ю б о й с и т у а ц и и .
Р е п л и к а ц и ю Active D i r e c t o r y п р о щ е понять, проанализировав ее компонен-
ты, и и м е н н о о н и х р е ч ь п о й д е т в п о с л е д у ю щ и х подразделах.
Объекты подключений
К о н т р о л л е р д о м е н а р е п л и ц и р у е т и з м е н е н и я с еще одного контроллера благо-
даря о б ъ е к т а м п о д к л ю ч е н и я AD DS, к о т о р ы е отображаются в оснастке Active
Directory – с а й т ы и с л у ж б ы ( A c t i v e Directory Sites And Services) как объекты в
к о н т е й н е р е N T D S S e t t i n g s о б ъ е к т а сервера контроллера домена. На рис. 11-10
показано, что о б ъ е к т п о д к л ю ч е н и я в S E R V E R 0 2 конфигурирует репликацию
c S E R V E R O l н а S E R V E R 0 2 . О б ъ е к т п о д к л ю ч е н и я представляет путь репли-
к а ц и и от одного к о н т р о л л е р а д о м е н а к другому.
– l e t * !
КОНСОЛЬ Действие вид Справка
: # Г . . Ш Й
ЦЯ Active Drectorу – сайты и службы [SER VER01.contoso.com] Имя | С сервера | С сайта
I Гил
(3 Ш Sites
МЦ «вздано автоматически> SERVER01 HEADQUARTERS Подклочт,е
в Subnets
10.1.1.0/24
idli) 10.1.3.0/24
к; j Inter-Ste Transports
8 Щ BRANCH
E3 Lj Servers
a | SERVER02
gf NTDS Settings
E! Ц HEADQUARTERS
Я Cj Servers
В I SERVER01
ffi gf NTDS Settings
Рис. 11-10. Объект подключения в оснастке Active Directory – сайты и службы
Объекты п о д к л ю ч е н и я я в л я ю т с я односторонними и представляют лишь реп-
ликацию в х о д я щ е г о т р а ф и к а . Р е п л и к а ц и я в Active Directory – это не что иное,
как т е х н о л о г и я и з в л е ч е н и я и н ф о р м а ц и и . В домене, показанном на рис. 11-10,
контроллер S E R V E R 0 2 и з в л е к а е т и з м е н е н и я с контроллера SERVER01. В дан-
ном п р и м е р е к о н т р о л л е р S E R V E R 0 2 я в л я е т с я нижестоящим партнером п о
репликации, к о н т р о л л е р S E R V E R 0 1 – вышестоящим. Изменения переносятся
с S E R V E R 0 1 на S E R V E R 0 2 .
ПРИМЕЧАНИЕ Принудительная репликация
Репликацию между двумя контроллерами домена можно включить принудительно,
щелкнув правой кнопкой мыши объект подключения и выполнив команду Реплици-
ровать сейчас (Replicate Now). Поскольку реплицируется лишь входящий трафик,
для репликации данных обоих контроллеров домена нужно реплицировать объект
входящего подключения на каждом из них.
| 5 4 0 Сайты и репликация
Глава 11
Knowledge Consistency Checker
Пути репликации, построенные м е ж д у к о н т р о л л е р а м и д о м е н о в о б ъ е к т а м и
подключений, образуют в лесу топологию репликации. Active D i r e c t or y создает
по умолчанию двухстороннюю топологию, так что в случае отказа одного кон-
троллера домена репликация будет п р о д о л ж е н а в б е с п е р е б о й н о м р е ж и м е . Эта
топология также гарантирует не б о л ь ш е трех п р ы ж к о в м е ж д у д в у м я л ю б ы м и
контроллерами доменов.
На рис 11-10 показано, что объект подключения генерируется автоматичес-
ки. На каждом контроллере домена к о м п о н е н т Active D i r e c t o r y под н а з в а н и е м
КСС (Knowledge Consistency Checker) п о з в о л я е т а в т о м а т и ч е с к и г е н е р и р о в а т ь
и оптимизировать репликацию между к о н т р о л л е р а м и д о м е н о в в н у т р и сайта.
Процесс КСС оценивает контроллеры д о м е н о в в с а й т е и создает о б ъ е к т ы под-
ключений для построения двухсторонней т о п о л о г и и из трех п р ы ж к о в , описан-
ной ранее. Если контроллер домена д о б а в л я е т с я и л и у д а л я е т с я из сайта и л и не
отвечает на запросы, КСС динамически п е р е ф о р м и р у е т т о п о л о г и ю , д о б а в л я я
и удаляя объекты подключений.
Чтобы назначить постоянные пути р е п л и к а ц и и , р е к о м е н д у е т с я с о з д а т ь
объекты подключений вручную (они не у д а л я ю т с я с л у ж б о й К С С ) . Л о к а л и з у й т е
объект сервера нижестоящего партнера по р е п л и к а ц и и , то есть к о н т р о л л е р а
домена, который будет получать и з м е н е н и я от и с х о д н о г о к о н т р о л л е р а домена.
В объекте сервера щелкните правой кнопкой м ы ш и к о н т е й н е р N T D S S e t t i n g s
н выполните команду Создать п о д к л ю ч е н и е д о м е н н ы х с л у ж б Active D i r e c t o r y
(New Active Directory Domain Services C o n n e c t i o n ) .
В диалоговом окне Поиск: К о н т р о л л е р ы д о м е н а A c t i v e D i r e c t o r y ( F i n d .
Active Directory Domain C o n t r o l l e r s ) в ы б е р и т е в ы ш е с т о я щ е г о п а р т н е р а по
репликации и щелкните О К . Затем откройте с в о й с т в а о б ъ е к т а п о д к л ю ч е н и я
и в поле Описание ( D e s c r i p t i o n ) у к а ж и т е н а з н а ч е н и е в р у ч н у ю с о з д а н н о г о
объекта подключения.
Внутри сайта объекты подключений н у ж н о с о з д а в а т ь л и ш ь в н е к о т о р ы х
случаях – один из таких случаев связан с р е з е р в н ы м и х о з я е в а м и о п е р а ц и й
(о них говорилось в главе 10). Следует выбрать к о н т р о л л е р ы д о м е н о в в качес-
тве резервных хозяев операций на случай переноса и л и о т з ы в а р о л и х о з я и н а
операций. Резервный хозяин операций д о л ж е н б ы т ь п р я м ы м п а р т н е р о м по
репликации с текущим хозяином операций. Т а к и м образом, если к о н т р о л л е р
домена DC01 является хозяином RID, а к о нт р о л ле р д о м е н а D C 0 2 – системой,
которая возьмет на себя роль хозяина R I D в случае о т к л ю ч е н и я D C 0 1 от сети,
то в DC02 необходимо создать объект п о д к л ю ч е н и я д л я н е п о с р е д с т в е н н о й
репликации с DC01.
Репликация внутри сайта
Репликация выполняется после у с т а н о в к и о б ъ е к т о в п о д к л ю ч е н и й м е ж д у
контроллерами домена в сайте (автоматически с л у ж б о й К С С и л и вручную).
В процессе внутриузловой репликации р е п л и ц и р у ю т с я и з м е н е н и я внутри от-
дельного сайта.
Занятие 3
Настройка репликации 564
Уведомление
Р а с с м о т р и м сайт, п о к а з а н н ы й н а р и с . 11-10. Когда к о н т р о л л е р S E R V E R 0 1
вносит и з м е н е н и е в р а з д е л , он з а п р а ш и в а е т и з м е н е н и е д л я репликации своим
партнерам. К о н т р о л л е р S E R V E R 0 1 по у м о л ч а н и ю ожидает 15 с, прежде чем
у в е д о м и т своего п е р в о г о п а р т н е р а п о р е п л и к а ц и и S E R V E R 2 о б изменении.
Уведомление – это п р о ц е с с : в ы ш е с т о я щ и й п а р т н е р и н ф о р м и р у е т своего ни-
ж е с т о я щ е г о п а р т н е р а о д о с т у п н о с т и и з м е н е н и я . По умолчанию S E R V E R 0 1
ожидает 3 с, а п о т о м о т п р а в л я е т у в е д о м л е н и е дополнительным партнерам. Эти
з а д е р ж к и , к о т о р ы е н а з ы в а ю т с я исходной задержкой уведомления и последую-
щей задержкой уведомления, п р е д н а з н а ч е н ы д л я д и ф ф е р е н ц и р о в а н и я трафика
р е п л и к а ц и и в н у т р и сайта.
П о л у ч и в у в е д о м л е н и е , н и ж е с т о я щ и й п а р т н е р S E R V E R 0 2 запрашивает из-
м е н е н и я с к о н т р о л л е р а S E R V E R 0 1 , а агент р е п л и к а ц и и каталога DRA (Direc-
tory Replication A g e n t ) о т п р а в л я е т атрибут с S E R V E R 0 1 на SERVER02. В этом
примере исходное и з м е н е н и е в Active Directory внес контроллер SERVER01 —
исходный к о н т р о л л е р домена, п о р о д и в ш и й изменение. Контроллер SERVER02
получает это и з м е н е н и е от S E R V E R 0 1 и вносит его в свой каталог (оно еще не
считается р е п л и ц и р о в а н н ы м ) . К о н т р о л л е р S E R V E R 0 2 запрашивает изменение
для р е п л и к а ц и и с в о и м н и ж е с т о я щ и м партнерам п о репликации.
Н и ж е с т о я щ и м п а р т н е р о м S E R V E R 0 2 по репликации является SERVER03.
Через 15 с S E R V E R 0 2 у в е д о м л я е т S E R V E R 0 3 о новом изменении. Контроллер
S E R V E R 0 3 в н о с и т р е п л и ц и р о в а н н о е изменение в свой каталог, а затем уве-
д о м л я е т своих н и ж е с т о я щ и х п а р т н е р о в . Изменение выполнило два прыжка:
с S E R V E R 0 1 на S E R V E R 0 2 , а з а т е м с S E R V E R 0 2 на SERVER03. Топология
р е п л и к а ц и и г а р а н т и р у е т не б о л е е трех прыжков, прежде чем будет получено
и з м е н е н и е в с е м и к о н т р о л л е р а м и домена. Это означает, что после трех прыж-
ков ( к а ж д ы й в ы п о л н я е т с я п р и б л и з и т е л ь н о 15 с) изменение будет полностью
р е п л и ц и р о в а н о в с а й т е ( д л я этого п о н а д о б и т с я примерно 1 мин).
Опрос
Контроллер S E R V E R 0 1 м о ж е т долго не получать изменения для своих реплик,
в частности во в р е м я о т к л ю ч е н и я . В таком случае его нижестоящий партнер по
р е п л и к а ц и и S E R V E R 0 2 не б у д е т по лу ча ть уведомления от SERVER01. Кроме
того, S E R V E R 0 1 м о ж е т б ы т ь о т к л ю ч е н от сети без возможности посылать уве-
домления на S E R V E R 0 2 . П о э т о м у к о н т р о л л е р у S E R V E R 0 2 нужно знать, что
его в ы ш е с т о я щ и й п а р т н е р в сети и просто не содержит никаких изменений.
Д л я этой цели и с п о л ь з у е т с я т а к называемый процесс опроса. Нижестоящий
партнер по р е п л и к а ц и и с в я з ы в а е т с я с в ы ш е с т о я щ и м и запрашивает изменения
в очереди д л я р е п л и к а ц и и . По у м о л ч а н и ю интервал опроса для репликации
внутри сайта с о с т а в л я е т 1 ч. Ч а с т о т у опроса можно отконфигурировать (прав-
да, это не р е к о м е н д у е т с я д е л а т ь ) в свойствах объекта подключения, щелкнув
кнопку И з м е н и т ь р а с п и с а н и е ( C h a n g e Schedule).
Не получив ответа на м н о г о к р а т н ы е попытки опроса, нижестоящий пар-
тнер запускает п р о ц е с с К С С д л я п р о в е р к и топологии репликации. Если вы-
шестоящий сервер д е й с т в и т е л ь н о отключен от сети, топология репликации
перестраивается в с о о т в е т с т в и и с э т и м изменением.
| 5 4 2 Сайты и репликация
Глава 11
Связи сайтов
Процесс КСС предполагает, что в н у т р и сайта все к о н т р о л л е р ы д о м е н а могут
связаться друг с другом. Он строит в н у т р н у з л о в у ю т о п о л о г и ю р е п л и к а ц и и , не
зависящую от реальных сетевых п о д к л ю ч е н и й . О д н а к о с е т е в ы е п у т и м е ж д у
сайтами, по которым должна в ы п о л н я т ь с я р е п л и к а ц и я , м о ж н о назначать, со-
здавая объекты связей сайтов, каждая н з которых с о д е р ж и т о д и н и л и несколько
сайтов. Для репликации между сайтами генератор т о п о л о г и и м е ж д у с а й т а м и
ISTG (InterSite Topology G e n e r a t o r ) , к о т о р ы й я в л я е т с я к о м п о н е н т о м К С С ,
создает объекты подключений м е ж д у с е р в е р а м и в к а ж д о м сайте.
Связи сайтов представляют д о с т у п н ы е п у т и д л я р е п л и к а ц и и . О т д е л ь н а я
связь сайтов не управляет и с п о л ь з у е м ы м и с е т е в ы м и м а р ш р у т а м и . П р и созда-
ния связи сайтов и добавлении к н е й с а й т о в Active D i r e c t o r y м о ж е т в ы п о л н я т ь
репликацию между этими сайтами. Генератор I S T G с о з д а е т о б ъ е к т ы п о д к л ю -
чений, а эти объекты определяют р е а л ь н ы й п у т ь р е п л и к а ц и и . Х о т я т о п о л о г и я
репликации, построенная генератором I S T G , э ф ф е к т и в н о р е п л и ц и р у е т Active
Directory, она может оказаться н е э ф ф е к т и в н о й в т е к у щ е й с е т е в о й т о п о л о г и и .
Приведем такой пример. При создании леса с о з д а е т с я о д и н о б ъ е к т с в я з и
сайтов D E F A U L T I P S I T E U N K . П о у м о л ч а н и ю к а ж д ы й н о в ы й д о б а в л е н н ы й
сайт связывается с помощью D E F A U L T I P S I T E U N K . Р а с с м о т р и м о р г а н и з а ц и ю
с центром данных в главном о ф и с е H E A D Q U A R T E R S и т р е м я ф и л и а л а м и ,
каждый из которых подключен к центру д а н н ы х п о с р е д с т в о м в ы д е л е н н о й свя-
