ActiveDirectoryWindows2000

В этой части описаны задачи управления СЛУЖБАми каталогов Microsoft Windows2000. В главе 5 вы познакомитесь со службой каталогов ActiveDirectory. В главе 6 изучаются основные задачи администрирования ActiveDirectory. В главе 7 дано понятие системных учетных записей, встроенных групп, прав пользователей, встроенных возможностей и неявных групп. О создании учетных записей пользователей и групп рассказано в главе 8. Методика управления существующими учетными записями пользователей и групп разъясняется в главе 9.

Использование службыActiveDirectory

Расширяемая и масштабируемая СЛУЖБАкаталогов ActiveDirectory, позволяет эффективно управлять сетевыми ресурсами.

Знакомство со службой ActiveDirectory

ActiveDirectory— сердце Microsoft Windows2000. Все административные задачи отражаются в ActiveDirectory. Технология ActiveDirectoryоснована на стандартных Интернетпротоколах, и се конструкция помогает четко определять структуру сети.

ActiveDirectoryи DNS

ActiveDirectoryиспользует доменную систему имен (Domain Name SYSTEM, DNS). DKS — стандартная СЛУЖБАИнтернета, которая организует группы компьютеров в домены. В отличие от линейной структуры доменов WindowsNT 4.0 домены DNSимеют иерархическую структуру. Иерархия доменов DNSобразует основу Интернета, и разные уровни в этой иерархии идентифицируют компьютеры, домены организаций и домены верхнего уровня. DNSтакже служит для преобразования имен узлов, например microsoft.com, в числовые адреса TCP/IP, например 192.168.19.2. Средствами DNSиерархия доменов ActiveDirectoryможет быть вписана в пространство Интернета или может быть отдельной и закрытой. Для доступа к pecypcaiv it домене такого типа применяется полное имя узла, например zeta.wehatwork.com. Здесь zeta — имя индивидуального компьютера, webatwork —домен организации, a com — дометь верхнего уровня. Домены верхнего уровня являются корнями иерархии DNSи потому называются корневыми доменами (root domain). Эти домены орга-низуются географически на основе двухбуквенных кодов стран (ги для России), по типу организации (com для коммерческих организаций) и по назначению (shop для интерактивных магазинов). Обычные домены, такие как microsoft.com, называются родительскими (parent domain), поскольку образуют корень организационной структуры. Родительские домены можно разделить на поддоменьт, которые могут использоваться для разных офисов, отделов или удаленных филиалов. Например, полное имя компьютера в офисе Microsoft в Сиэтле может 6biTbjacob.seattle.microsoft.com, где Jacob — имя компьютера, Seattle — ттоддомен, а microsoft.com — родительский домен. Другое название поддомена — дочерний домен (child domain). Итак, DNS— неотъемлемая часть технологии ActiveDirectory, причем настолько, что фактически вы должны настроить DNSв сети перед установкой ActiveDirectory. О работе с DNSсм. главу 19. Сконфигурировав DNS, можно установить ActiveDirectoryс помощью мастера: в меню Start (Пуск) выберите команду Run (Выполнить), в поле Open (Открыть) введите dcpromo и щелкните ОК. Если в сети нет доменов, мастер поможет создать домен и сконфигурировать в нем ActiveDirectory. Мастер также помогает добавлять дочерние домены в существующие структуры доменов. Примечание В оставшейся части главы ActiveDirectoryи домены ActiveDirectoryбудут часто называться просто каталогом и доменами, кроме тех случаев, когда надо отличать структуры ActiveDirectoryот структур DNSили WindowsNT. Начало работы с ActiveDirectoryActiveDirectoryобеспечивает логическую и физическую структуру для компонентов сети. Логические структуры это:

• домены — группа компьютеров, совместно использующих общую БД каталога;

• деревья доменов — один или более доменов, совместно использующих непрерывное пространство имен;

• леса доменов — одно или более деревьев доменов, совместно использующих общую информацию каталога;

• организационные додразделения (ОП) — подгруппа доменов, которые часто отражают функциональную или бизнес-структуру компании;

• подсети — сетевая группа с заданной областью IP-адресов и сетевой маской;

• сайты — одна или более подсетей; используются для настройки доступа к каталогу и для репликации.

Работа с доменными структурами

Логические структуры помогают организовывать объекты каталога и управлять сетевыми учетными записями и общими ресурсами. Логические структуры включают леса доменов, деревья доменов, домены и ОП. Сайты и подсети, с другой стороны, — физические структуры, которые помогают планировать физическую структуру сети. Физические структуры формируют сетевые связи и физические границы вокруг сетевых ресурсов.

Понятие домена

Домен ActiveDirectory— это просто группа компьютеров, совместно использующих общую БД. Имена доменов ActiveDirectoryдолжны быть уникальны. Например, у вас не может быть двух доменов microsoft.com, но может быть родительский домен microsoft.com с дочерними доменами seattle. microsoft.com и ny.microsoft.com. Если домен является частью закрытой сети, имя, присвоенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен — часть глобальной сети Интернет, то имя нового домена не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительского домена нужно зарегистрировать. Регистрацией домена можно управлять через InterNIC (http://www.mternic. nec) или другую полномочную регистрационную организацию. У каждого домена собственные политики безопасности и доверительные отношения с другими доменами. Домены могут охватынать более одного физического расположения, т. е. домен может состоять из множества сайтов, а сайты — обладать множеством подсетей. В БД каталога домена хранятся объекты, определяющие учетные записи для пользователей,групп и компьютеров, а также общие ресурсы, например принтеры и папки. Примечание Об учетных записях пользователей и групп см. главу 7. 06 учетных записях компьютеров и разных типах компьютеров, используемых доменами Windows2000, см. раздел «Работа с доменами ActiveDirectory». Понятие лесов доменов и деревьев доменов Каждый домен ActiveDirectoryобладает DNS-именем типа microsoft.com. Домены, совместно использующие данные каталога, образуют лес (forest). Имена доменов в лесу могут быть несмежными (discontiguous) или смежными (contiguous) в иерархии имен DNS. Домены, обладающие смежной структурой имен, называют деревом доменов (рис. 5-1). На рисунке у корневого домена msnbc.com есть два дочерних — seattle.msnbc.com и ny.msnbc.com. У этих доменов в свою очередь тоже есть поддомены. Все эти домены являются частью одного дерева, так как у них один и тот же корневой домен.

Если у доменов леса несмежные DNS-имена, они образуют отдельные деревья доменов в лесу. В лес можно включить одно или несколько деревьев доменов (рис. 5-2). На рисунке домены msnbc.com и microsoft.com образуют корни отдельных деревьев доменов в одном лесу. Для доступа к структурам домена служит ActiveDirectoryDomains And Trusts (рис. .1-3). К этой оснастке для Microsoft Management Console (MMC) можно обратиться из меню Administrative Tools. Для каждого корневого домена отображаются отдельные записи.

Понятие организационных подразделений

Организационные подразделения (ОП) — это подгруппы в доменах, которые часто отражают функциональную или бизнес-структуру организации. Можно воспринимать ОП как логические контейнеры, в которые помещаются учетные записи, общие ресурсы у другие ОП. Например, вы можете создать в домене microsorc.com подразделения HumanResourses, IT, Marketing. Потом эту схему можно расширить, так чтобы она содержала дочерние подразделения. Дочерними ОП для Marketing могут быть OnlineSales, Channel Sales и PrintSales. В ОП можно поместить объекты только из родительского домена. Например, ОП из домена seattle.microsoft.com содержат объекты только этого домена. Добавить туда объекты из my.microsoft.com нельзя, но вы можете создать отдельные ОП, отражающие бизнес-структуру seattle.inicrosoft.com. ОП очень удобны при формировании функциональной или бизнес-структуры организации. Но это не единственная причина применения ОП.

• ОП позволяют определять групповую политику для небольшого набора ресурсов в домене, не применяя ее ко всему домену. Это помогает устанавливать и управлять групповыми политиками на надлежащем уровне.

• ОП создают меньшие, более управляемые представления объектов каталога в домене. Это помогает эффективнее управлять ресурсами.

• ОП позволяют делегировать полномочия и контролировать административный доступ к ресурсам домена. Это помогает задавать пределы полномочий администраторов в домене. Вы можете передать пользователю А административные полномочия только для одного ОП. Б то же время можно передать пользователю В административные полномочия для всех ОП в домене. ОП представлены в виде папок в ActiveDirectoryUsers And Computers (рис. 5-4.) Эту оснастку ММС также можно вызвать из меню Administrative Tools.

Понятие сайтов и подсетей

Сайт — это группа компьютеров в одной или более подсетей ТР, используемая для планирования физической струк-туры сети. Планирование сайтов не зависит от логических структур домена, и поэтому лет нужды связывать физическую и логическую структуру домена в сети. ActiveDirectoryпозволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Также нет связи между областями IP-адресов и пространством имен домена. Вообще подсеть можно представить как группу сетевых адресов. В отличие от сайтов, способных охватывать множество областей IP-адресов, подсети обладают заданной областью IP-адресов и сетевой маской. Имена подсетей показываются в форме сеть/битовая маска, например 192.168.19.9/ 32, где сетевой адрес 191!.168.19.0 и сетевая маска 255.255.255 скомбинированы в имя подсети 192.168.19.9/32. Примечание Вам не нужно знать, как создается имя подсети. Чаще всего вы вводите сетевой адрес и сетевую маску, а затем Windows2000 сама генерирует имя подсети. Компьютеры приписываются сайтам в зависимости от местоположения в подсети или наборе подсетей. Если компьютеры в подсетях могут взаимодействовать по сети на достаточно высоких скоростях, их называют хорошо связанными (well connected). В идеале сайты состоят из подсетей и хорошо связанных компьютеров. Если скорость обмена между подсетями и компьютерами низка, может потребоваться создать несколько сайтов. Хорошая связь дает сайтам некоторые преимущества.

• Когда клиенты входят в домен, ПРОЦЕССаутентификации сначала находит контроллеры домена в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры домена, что локализует сетевой трафик и ускоряет аутентификацию.

• Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вызванный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию. Вы можете настроить порядок репликации данных каталога, используя связи сайтов. Например, можно определить сервер-плацдарм для репликации между сайтами. В итоге основная часть нагрузки от репликации между сайтами ляжет на сервер-плацдарм, а не па любой доступный сервер сайта.

Сайты и подсети настраиваются в консоли ActiveDirectorySites And Services (рис. 5-5), которая вызывается из меню Administrative Tools. Поскольку это и оснастка ММС, вы можете добавить ее в любую собственную консоль.

Работа с доменами ActiveDirectory

Хотя и ActiveDirectory, и DNSдолжны конфигурироваться в сети Windows2000, у доменов ActiveDirectoryи доменов DNSразное назначение. Домены ActiveDirectoryпомогают управлять учетными записями, ресурсами и защитой. Домены DNSформируют иерархию доменов, которая гдаиным образом служит для разрешения имен. Windows2000 использует DNSдля преобразования имен узлов, например microsoft. com, в числовые адреса TCP/IP типа 207.149.110.52. О DNSи доменах DNSсм. главу 19. ActiveDirectoryспроектирована для работы не только с Microsoft Windows2000, но и с Windows95/98/NT. Если установлено ПО клиента, системы Windows95/98/NT работают в сети как клиенты ActiveDirectory. Системы WindowsNT (и Windows95 или более поздние без ПО клиента Active

Directory) работают в сети, как если бы они были в домене WindowsNT, если это допускает рабочий режим домена ActiveDirectoryи домен WindowsNT сконфигурирован. Использование Windows2000 с ActiveDirectoryWindows2000 Professional и серверы Windows2000 могут задействовать преимущества ActiveDirectoryв полной мере. Системы на базе Windows2000 Professional работают в сети как клиенты ActiveDirectoryи могут использовать отношения с транзитивным доверием, существующие в дереве или лесу доменов. Транзитивное доверие устанавливается автоматически в соответствии со структурой леса и разрешений, определенных в лесу. Эти отношения позволяют авторизованным пользователям получать доступ к ресурсам в любом домене леса. Системы с Windows2000 SERVERпредоставляют службы для других систем и могут действовать, как контроллер домена или рядовой сервер. Контроллер домена в отличие от рядового сервера выполняет ActiveDirectory. Рядовые серверы становятся контроллерами после установки ActiveDirectory; контроллеры понижаются до рядовых серверов после удаления ActiveDirectory, Оба ПРОЦЕССа выполняет мастер установки ActiveDirectory. Домены могут обладать одним или несколькими контроллерами. Когда в сети несколько контроллеров, они реплицируют между собой данные каталога по модели репликации с несколькими хозяевами, которая позволяет каждому контроллеру обрабатывать изменения каталога, а затем реплицировать их на другие контроллеры. Благодаря структуре с несколькими хозяевами, все контроллеры по умолчанию обладают равной ответственностью. Впрочем, вы можете дать некоторым контроллерам домена приоритет над другими в определенных задачах, например, создать сервер-плацдарм, который обладает приоритетом мри репликации данных каталога на другие сайты. Кроме того, некоторые задачи лучи е выполнять на выделенном сервере. Сервер, обрабатывающий такой тип задания, называется хозяином операций (operations master). Существует пять монопольных операций, которые можно назначить разным контроллерам домена (см. раздел «Понятие ролей хозяина операций»).

Все компьютеры с Windows2000, присоединенные к домену, обладают учетными записями компьютера. Как и другие ресурсы, они хранятся в виде объектов в ActiveDirectory. Учетные записи компьютера служат для управления доступом к сети и ее ресурсам. Компьютер получает доступ к домену по своей учетной записи, которая аутентифицируется до того, как компьютер сможет получить доступ в сеть. /fX Совет Windows2000 использует глобальный каталог ActiveDirectoryдля аутентификации входа в систему и пользователей, и компьютеров. Если глобальный каталог недоступен, только участники группы Domain Admins могут войти в домен (см. раздел «Понятие структуры каталога»}.

ActiveDirectoryи WindowsNT

Все компьютеры с WindowsNT должны обладать учетными записями перед тем, как они смогут присоединиться к домену. Для поддержки WindowsNT предусмотрело два рабочих режима ActiveDirectory. В смешанном режиме каталог может поддерживать и домены Windows2000. и домены WindowsNT.

• В основном режиме каталог поддерживает только домеи ы Windows2000,

Смешанный режим работы домена

Режим домена определяется при установке ActiveDirectoryна первый контроллер. Если вы обновляете систему с WindowsNT до Windows2000, главный контроллер домена (primary domain controller, PDC) обычно обновляется до Windows2000. PDC обновляется, чтобы гарантировать, что он будет первым контроллером в домене и что существующие объекты диспетчера учетных записей безопасности (Security Account Manager, SAM) скопируются из реестра в новое хранилище данных в ActiveDirectory. При обновлении PDC и установке ActiveDirectoryвыберите смешанный (mixed) режим, чтобы гарантиропатъ, что остальные компьютеры с WindowsNT смогут продолжить работу в домене. В смешанном режиме компьютеры, настроенные для работы с доменами WindowsNT, получают доступ к сети, как если бы они по-прежнему работали в домене WindowsNT. Это могут быть компьютеры с Windows9x, на которых не запущен клиент ActiveDirectory, рабочие станции и серверы

WindowsNT. Роль рабочих станций WindowsNT неизменна, а вот серверы WindowsNT воспринимаются несколько иначе: они могут действовать лишь как резервные контроллеры домена (backup domain controller, BDC) или рядовые серверы. В домене больше не может быть РОС на базе WindowsNT. Вместо этого домен WindowsNT подчиняется контроллеру Windows2000, который играет роль РОС для репликации копий службы каталогов ActiveDirectory, доступных только для чтения, и для синхронизации изменений защиты на всех оставшихся BDC на базе WindowsNT. Контроллер домена Windows2000, действующий как РОС, конфигурируется как хозяин операций эмулятора РОС. Вы можете в любой момент назначить эту роль другому контроллеру домена Windows2000. Контроллер, действующий как эмулятор РОС, поддерживает два протокола аутентификации:

• Kerberos — стандартный Интернет-протокол для аутентификации пользователей и систем и главный механизм аутентификации для доменов Windows2000 и WindowsNT;

• диспетчер локальной сети NT (NT Local Area Network Manager, NTLM) — главный протокол аутентификации WindowsNT. fr5] Примечание Windows2000 также поддерживает протоколы Secure Socket Lay егЯгапз port Layer Security (SSL/TLS). Этот механизм аутентификации применяется на защищенных Web-серверах.

Перевод домена в основной режим работы

Обновив РОС и другие системы WindowsNT до Windows2000, можно сменить рабочий режим на основной и задействовать только ресурса Windows2000. Перейдя на основной режим, вы не сможете вернуться к смешанному. Поэтому используйте основной режим, только когда вы уверены, что вам не понадобится старая структура домена WindowsNT или резервные контроллеры домена WindowsNT. Чтобы сменить рабочий режим, сделайте так. 1. Раскройте меню Start\Programs\Administrative Tools (Пуск\ Программы\Администрирование) и выберите ActiveDirectoryDomains And Trusts (рис. 5-6). 2. Щелкнув правой кнопкой нужный домен, выберите Properties (Свойства),

На вкладке Genera! отобразится текущий режим (рис. 5-7). Если домен работает в смешанном режиме, вы можете сменить его на основной. Но это необратимое действие. Внимательно учтите все факторы перед продолжением.

4. Чтобы перейти в основной режим, щелкните Change Mode (Изменить режим), а затем Yes.

ActiveDirectoryи Windows9x

Windows95/98-компьютеры могут работать с ActiveDirectoryдвумя способами. В зависимости от конфигурации сети они могут получать доступ к сети как часть домена WindowsNT или как часть домена ActiveDirectory. Вход в сеть через домен WindowsNT WindowsЭдг-компьютеры получают доступ к сети как часть домена WindowsNT, только если ActiveDirectoryработает в смешанном режиме и в сети доступен BDC или эмулятор PDC для аутентификации входа в систему. В рамках эмуляции домена WindowsNT системы Windows9х могут обращаться только к ресурсам, доступным по односторонним доверительным отношениям WindowsNT, которые должны быть явно заданы администратором. Это справедливо для доступа и через контроллер Windows2000, и через резервный контроллер WindowsNT.

Вход в сеть в качестве клиента ActiveDirectory

Системы Windows9x также могут получить доступ к сети как часть домена ActiveDirectory. После установки ПО клиента ActiveDirectoryэги системы могут полностью задействовать особенности ActiveDirectoryи транзитивные доверительные отношения по всему дереву или лесу. Транзитивные доверительные отношения позволяют авторизованным пользователям автоматически получать доступ к ресурсам в любом домене дерева или леса. /О Совет Транзитивные доверительные отношения автоматически конфигурируются при установке контроллера домена, и вам не обязательно их настраивать явно. Впрочем, Windows2000 поддерживает явные доверительные отношения, и при необходимости вы можете их установить. Основные причины настройки явного доверия — обеспечить аутентификацию пользователей в другом домене или сократить маршрут доверия в сложном лесу доменов.

Установка клиентов ActiveDirectory

1. Войдите в систему на компьютере Windows9x, который хотите сконфигурировать как клиент, и вставьте установочный компакт-диск Windows2000 SERVER. 2. Откройте окно Run (Запуск программы), нажав Start (Пуск), а затем Run (Выполнить). В. Наберите Clients\Win9X\Dsclient.exe и щелкните ОК. Или щелкните Browse (Обзор), чтобы просмотреть диск дистрибутива. В папке Clients вы найдете папку Win9X, которая должна содержать исполняемую программу клиента. Выберите эту программу, щелкните Open (Открыть), а затем — ОК. 1. В ходе выполнения программа записывает несколько файлов на компьютер клиента и запускает мастер DirectoryService Client Setup Wizard (рис. 5-8). Прочтите текст в окне приветствия и щелкните Next (Далее).

Установите ПО клиента, щелкнув Next. Мастер определит конфигурацию системы и установит нужные файлы. Щелкните Finish (Готово), чтобы завершить операцию и перезагрузите компьютер. 7. В панели управления дважды щелкните Network (Сеть).

8. На вкладке Configuration (Конфигурация), выберите раздел Ethernet adapter card и щелкните Properties (Свойства). Убедитесь, чти параметры TCP/IP позволяют подключиться к домену ActiveDirectory. О настройке TCP/ IP см. главу 15. 9. На вкладке Identification (Идентификация) проверьте сведения об имени компьютера и рабочей группе. Имя компьютера и рабочая группа должны быть заданы, как описано в главе 15. 10. Если вы изменили параметры, компьютер, возможно, понадобится перезагрузить. После перезагрузки войдите в систему по учетной записи с правами доступа в домен ActiveDirectory. Вы должны получить доступ к ресурсам в домене. Примечание Системы Windows9x в роли клиентов не имеют учетных записей компьютеров и не отображаются в окне Network Neighborhood (Сетевое окружение), но вы можете просмотреть информацию об их сеансе связи. Запустите Computer Management, раскройте SYSTEMTools (Служебные программы), Shared Folders (Общие папки) и выберите Sessions (Сеансы) — отобразятся текущие сеансы связи пользователей и компьютеров. Об общих ресурсах см. главу 13.

Понятие структуры каталога

ActiveDirectoryпостроена на множестве технологий. Данные каталога предоставляются пользователям и компьютерам через хранилища и глобальные каталоги (ГК). Хотя большинство задач ActiveDirectoryотражается в хранилище данных, ГК не менее важны, потому что используются для входа в систему и поиска информации. Фактически, если ГК недоступен, обычные пользователи не смогут войти в домен. Доступ и распространение данных ActiveDirectoryобеспечииается средствами протоколов доступа и репликации. Первые позволяют клиентам связываться с компьютерами, выполняющими ActiveDirectory. Репликация нужна для распространения обновленных данных на контроллеры. Хотя репликация с несколькими хозяевами — главный метод рас-пространения обновлений, некоторые изменения могут выполнять только отдельные контроллеры — хозяева операций.

Хранилище данных

Хранилище содержит сведения о таких объектах, как учетные записи, общие ресурсы, ОП и групповые политики. Другое название хранилища данных — каталог, как называют и саму службу ActiveDirectory. Контроллеры доменов хранят каталог в файле NTDS.DIT. Его местоположение определяется при установке ActiveDirectory, но это должен быть диск в формате NTFS для Windows2000. Данные каталога можно сохранить и отдельно от основного хранилища. Например, так можно хранить групповые политики, сценарии и другую информацию из общего системного тома (SYSVOL). Поскольку хранилище — контейнер для объектов, предоставление информации каталога в совместное пользование называют публикацией (publish). Например, открывая принтер в сети, вы его публикуете; публикуется информация об общей папке и т. п. Контроллеры доменов реплицируют большинство изменений в хранилище по схеме с несколькими хозяевами. Администратору небольшой или среднего размера организации редко требуется управлять репликацией хранилища. В конце концов репликация осуществляется автоматически, но вы вправе настроить ее под сетевую архитектуру организации. Реплицируются не все данные каталога, а лишь:

• данные домена — информация об объектах в домене, включая объекты учетных записей, общих ресурсов, ОП и групповых политик;

• данные конфигурации — сведения о топологии каталога: список всех доменов, деревьев и лесов, а также местоположения контроллеров и серверов ГК;

• данные схемы — информация обо всех объектах и типах данных, которые могут храниться в каталоге; стандартная схема Windows2000 описывает объекты учетных записей, объекты общих ресурсов и др.; вы можете расширить се. определив новые объекты и атрибуты или добавив атрибуты для существующих объектов.Глобальный каталог ГК позволяет входить в сеть, предоставив информацию об участии в универсальной группе. ГК также обеспечивает поиск с каталоге по всем доменам леса. Контроллер, выполняющий роль сервера ГК, хранит полную реплику всех объектов в каталоге для своего домена и частичную реплику объектов остальных доменов леса. Примечание Частичные реплики используются потому, что для входа в систему и поиска нужны лишь некоторые свойства. Для формирования частичной реплики по сети нужно передать меньше информации, что снижает сетевой трафик репликации. По умолчанию сервером ГК становится первый контроллер домена. Поэтому, если в домене только один контроллер, то сервер ГК и контроллер домена — один и тот же сервер. Вы также вправе расположить ГК на другом контроллере, чтобы сократить время ожидания ответа при входе в систему и ускорить поиск. Рекомендуется создать по одному ГК в каждом сайте домена. Контроллеры, хранящие ГК, должны иметь скоростную связь с контроллерами — хозяевами инфраструктуры. Хозяин инфраструктуры — одна из пяти ролей хозяина операций, которую можно назначить контроллеру домена. В домене хозяин инфраструктуры отвечает за обновление ссылок объектов. Он сравнивает свои данные с данными ГК, находит устаревшие ссылки и запрашивает обновленные сведения из ГК. Затем он реплицирует изменения на остальные контроллеры в домене. О ролях хозяина операций см. раздел «Понятие ролей хозяина операций». Если в домене только один контроллер, вы можете назначить роль хозяина инфраструктуры и ГК одному контроллеру домена. Но если в домене два или более контроллеров, ГК и хозяин инфраструктуры должны быть на разных контроллерах. Иначе хозяин инфраструктуры не найдет устаревших данных и в итоге никогда не будет реплицировать изменения. Единственное исключение — когда все контроллеры домена хранят ГК. Тогда неважно, какой из них — хозяин инфраструктуры. Одна из ключевых причин добавления ГК в домен — гарантировать, что каталог доступен для обслуживания входа в сеть и запросов поиска. Опять же, если в домене только одинГК и каталог недоступен, обычные пользователи не смогут пойти в сеть и искать объекты. Такая возможность останется только у членов группы Domain Admins (Администраторы домена). Поиск в ГК очень эффективен, поскольку ГК содержит информацию об объектах во всех доменах леса. Это позволяет обслуживать запросы поиска каталога в локальном домене, а не обращаться в домен в другой части сети. Локальное разрешение запросов снижает нагрузку на сеть и обычно ускоряет ответ. Внимание! Если вход в систему замедлился или пользователи долго ждут ответа на запрос, создайте дополнительные ГК. Однако большое количество ГК влечет передачу большего объема данных по сети.

Репликация и ActiveDirectory

В каталоге хранится три типа информации: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на вес контроллеры отдельного домена. Информация схемы и конфигурации реплицируется на все домены дерева или леса. Кроме того, в ГК реплицируются все объекты индивидуального домена и подмножество свойств объектов всего леса. Это означает, что контроллеры доменов хранят и реплицируют информацию схемы для дерева или леса, информацию конфигурации для всех доменов дерена или леса и все объекты каталога и свойства для соответствующих доменов. Чтобы понять репликацию, рассмотрим такой сценарий пастройки новой сети. 1. Вы начинаете с установки первого контроллера в домене А. Этот сервер — единственный контроллер домена и также храпит ГК. Репликация в такой сети не происходит, поскольку нет других контроллеров. 2. Вы устанавливаете второй контроллер-в домене А, и начинается репликация. Чтобы убедиться, что данные реплицируются правильно, можно назначить один контроллер хозяином инфраструктуры, а другой — сервером ГК. Хозяин инфраструктуры следит за обновлениями ГК и запрашивает их для измененных объектов. Оба этих контроллера также реплицируют данные схемы и конфигурации.3. Вы устанавливаете третий контроллер в домене А, на котором нет ГК. Хозяин инфраструктуры следит за обновлениями ГК, запрашивает их для измененных объектов, а затем реплицирует изменения на третий контроллер домена. Все три контроллера также реплицируют данные схемы и конфигурации. 4. Вы создаете новый домен Б и добавляете в него контроллеры. Серверы ГК в домене А и домене Б реплицируют все данные схемы и конфигурации, а также подмножество данных домена из каждого домена. Репликация в домене А продолжается, как описано выше, плюс начинается репликация внутри домена Б.

ActiveDirectoryи LDAP

Упрощенный протокол доступа к каталогам (Lightweight DirectoryAccess Protocol, LDAP) — стандартный протокол Интернет-соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к СЛУЖБАм каталогов с минимальными издержками. LDAP также определяет операции, используемые для запроса и изменения информации каталога. Клиенты ActiveDirectoryприменяют LDAP для связи с компьютерами, выполняющими ActiveDirectory, при каждом входе в сеть или поиске общих ресурсов. LDAP можно использовать и для управления ActiveDirectory. LDAP — открытый стандарт, который могут применять и другие службы каталога. Это делает взаимосвязь каталогов проще и значительно упрощает переход с других служб каталогов на ActiveDirectory. Вы можете также использовать интерфейсы служб ActiveDirectory(ActiveDirectoryService Interfaces, ADSI) для повышения совместимости. ADSI поддерживает стандартные API-интерфесы для LDAP, совместимые с Интернет-стандартом RFC 1823. Вы можете использовать ADSI совместно с сервером сценариев Windows(WindowsScript Host, WSH) для управления объектами ActiveDirectoryиз сценариев.

Понятие ролей хозяина операций

Хозяин операций решает задачи, которые неудобно параллельно выполнять на нескольких хозяевах. Существует пять ролей хозяина операций — вы можете назначить их одномуили более контроллерам доменов, Определенные роли должны быть уникальны на уровне леса, для других достаточно уровня домена. Роли хозяина операций таковы.

• Хозяин схемы контролирует обновления/изменения схемы каталога. Для обновления схемы каталога вы должны обладать доступом к хозяину схемы. В лесу может быть только один хозяин схемы.

• Хозяин именования доменов контролирует добавление/ удаление доменов в лесу. Чтобы добавить/удалить домен, вы должны обладать доступом к хозяину именования доменов. В лесу может быть только один хозяин именования доменов.

• Хозяин относительных идентификаторов выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы или компьютера контроллеры назначают уникальный идентификатор безопасности объекту. Идентификатор безопасности состоит из префикса идентификатора безопасности домена и соответствующего уникального идентификатора, который был выделен хозяином относительных идентификаторов. В каждом домене леса должен быть один хозяин относительных идентификаторов. i Примечание В комплекте ресурсов Windows2000 есть программа MOVETREE.EXE для перемещения объектов между доменами. При работе с этой утилитой перемещение должно быть инициировано на хозяине относительных идентификаторов домена, который содержит перемещаемый объект.

• Эмулятор PDC н смешанном режиме домена действует как главный контроллер домена WindowsNT. Он аутентифицирует вход в WindowsNT, обрабатывает изменения пароля и реплицирует обновления на ВВС. Вы должны назначить по одному эмулятору PDC в каждый домен леса.

• Хозяин инфраструктуры обновляет ссылки объектов, сравнивая свои данные каталога с данными ГК. Если данные устарели, он запрашивает из ГК обновления и реплицирует их на остальные контроллеры в домене. Вы должны назначить по одному хозяину инфраструктуры в каждый домен леса.Обычно роли хозяина операций назначаются автоматически, но вы можете их переназначить. При установке новой сети первый контроллер первого домена получает все роли хозяев операций. Если вы позднее создадите новый дочерний домен или корневой домен в новом дереве, первому контроллеру домена также автоматически назначаются роли хозяина операций. В новом лесу доменов контроллеру домена назначаются вес роли хозяина операций. Если новый домен создается в том же лесу, его контроллеру назначаются роли хозяина относительных идентификаторов, эмулятора PDC и хозяина инфраструктуры. Роли хозяина схемы и хозяина именования доменов остаются у первого домена леса. Если и домене только один контроллер, он выполняет все роли хозяек операций. Если в вашей сети один сайт, стандартное расположение хозяев операций оптимально. Но по мере добавления контроллеров домена и доменов может потребоваться переместить роли хозяев операций на другие контроллеры доменов. Если в домене два или более контроллеров, сконфигурируйте два контроллера доменов для выполнения ролей хозяина операций. Например, можно назначить один контроллер домена основным хозяином операций, а другой — запасным. Запасной хозяин используется при отказе основного. Убедитесь, что контроллеры доменов — прямые партнеры по репликации и соединены скоростным каналом связи. По мере роста структуры доменов можно разнести роли хозяина операций по отдельным контроллерам. Это ускорит отклик хозяев операций на запросы. Всегда тщательно планируйте ролевые обязанности будущего контроллера домена. Примечание Две роли, которые не следует разбивать, — хозяин схемы и хозяин именования доменов. Всегда назначайте их одному серверу. Для наибольшей эффективности желательно, чтобы хозяин относительных идентификаторов и эмулятор РОС также были на одном сервере, хотя при необходимости эти ,эоли можно разделить. Так, в большой сети, где большие нагрузки снижают быстродействие, хозяин относительных идентификаторов и эмулятор РОС должны быть размещены на разных контроллерах. Кроме того, хозяин инфраструктуры не должен быть помещен на контроллере домена, хранящем ГК (см. раздел «Глобальный каталог»).