Active Directory в Windows 2000

В этой части описаны задачи управления службами каталогов Microsoft Windows 2000. В главе 5 вы познакомитесь со службой каталогов Active Directory. В главе 6 изучаются основные задачи администрирования Active Directory. В главе 7 дано понятие системных учетных записей, встроенных групп, прав пользователей, встроенных возможностей и неявных групп. О создании учетных записей пользователей и групп рассказано в главе 8. Методика управления существующими учетными записями пользователей и групп разъясняется в главе 9.

Использование службы Active Directory

Расширяемая и масштабируемая служба каталогов Active Directory, позволяет эффективно управлять сетевыми ресурсами.

Знакомство со службой Active Directory

Active Directory — сердце Microsoft Windows 2000. Все административные задачи отражаются в Active Directory. Технология Active Directory основана на стандартных Интернет протоколах, и се конструкция помогает четко определять структуру сети.

Active Directory и DNS

Active Directory использует доменную систему имен (Domain Name SYSTEM, DNS). DKS — стандартная служба интернета, которая организует группы компьютеров в домены. В отличие от линейной структуры доменов Windows NT 4.0 домены DNS имеют иерархическую структуру. Иерархия доменов DNS образует основу Интернета, и разные уровни в этой иерархии идентифицируют компьютеры, домены организаций и домены верхнего уровня. DNS также служит для преобразования имен узлов, например microsoft.com, в числовые адреса TCP/IP, например 192.168.19.2. Средствами DNS иерархия доменов Active Directory может быть вписана в пространство Интернета или может быть отдельной и закрытой. Для доступа к pecypcaм в домене такого типа применяется полное имя узла, например zeta.webatwork.com. Здесь zeta — имя индивидуального компьютера, webatwork — домен организации, a com — дометь верхнего уровня. Домены верхнего уровня являются корнями иерархии DNS и потому называются корневыми доменами (root domain). Эти домены организуются географически на основе двухбуквенных кодов стран (ги для России), по типу организации (com для коммерческих организаций) и по назначению (shop для интерактивных магазинов). Обычные домены, такие как microsoft.com, называются родительскими (parent domain), поскольку образуют корень организационной структуры. Родительские домены можно разделить на поддомены, которые могут использоваться для разных офисов, отделов или удаленных филиалов. Например, полное имя компьютера в офисе Microsoft в Сиэтле может 6biTbjacob.seattle.microsoft.com, где Jacob — имя компьютера, Seattle — поддомен, а microsoft.com — родительский домен. Другое название поддомена — дочерний домен (child domain). Итак, DNS — неотъемлемая часть технологии Active Directory, причем настолько, что фактически вы должны настроить DNS в сети перед установкой Active Directory. О работе с DNS см. главу 19. Сконфигурировав DNS, можно установить Active Directory с помощью мастера: в меню Start (Пуск) выберите команду Run (Выполнить), в поле Open (Открыть) введите dcpromo и щелкните ОК. Если в сети нет доменов, мастер поможет создать домен и сконфигурировать в нем Active Directory. Мастер также помогает добавлять дочерние домены в существующие структуры доменов. Примечание В оставшейся части главы Active Directory и домены Active Directory будут часто называться просто каталогом и доменами, кроме тех случаев, когда надо отличать структуры Active Directory от структур DNS или Windows NT. Начало работы с Active Directory. Active Directory обеспечивает логическую и физическую структуру для компонентов сети. Логические структуры это:

Работа с доменными структурами

Логические структуры помогают организовывать объекты каталога и управлять сетевыми учетными записями и общими ресурсами. Логические структуры включают леса доменов, деревья доменов, домены и ОП. Сайты и подсети, с другой стороны, — физические структуры, которые помогают планировать физическую структуру сети. Физические структуры формируют сетевые связи и физические границы вокруг сетевых ресурсов.

Понятие домена

Домен Active Directory — это просто группа компьютеров, совместно использующих общую БД. Имена доменов Active Directory должны быть уникальны. Например, у вас не может быть двух доменов microsoft.com, но может быть родительский домен microsoft.com с дочерними доменами seattle.microsoft.com и ny.microsoft.com. Если домен является частью закрытой сети, имя, присвоенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен — часть глобальной сети Интернет, то имя нового домена не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительского домена нужно зарегистрировать. Регистрацией домена можно управлять через InterNIC (http://www.mternic.net) или другую полномочную регистрационную организацию. У каждого домена собственные политики безопасности и доверительные отношения с другими доменами. Домены могут охватывать более одного физического расположения, т. е. домен может состоять из множества сайтов, а сайты — обладать множеством подсетей. В БД каталога домена хранятся объекты, определяющие учетные записи для пользователей, групп и компьютеров, а также общие ресурсы, например принтеры и папки. Примечание Об учетных записях пользователей и групп см. главу 7. Об учетных записях компьютеров и разных типах компьютеров, используемых доменами Windows 2000, см. раздел «Работа с доменами Active Directory». Понятие лесов доменов и деревьев доменов Каждый домен Active Directory обладает DNS-именем типа microsoft.com. Домены, совместно использующие данные каталога, образуют лес (forest). Имена доменов в лесу могут быть несмежными (discontiguous) или смежными (contiguous) в иерархии имен DNS. Домены, обладающие смежной структурой имен, называют деревом доменов (рис. 5-1). На рисунке у корневого домена msnbc.com есть два дочерних — seattle.msnbc.com и ny.msnbc.com. У этих доменов в свою очередь тоже есть поддомены. Все эти домены являются частью одного дерева, так как у них один и тот же корневой домен.

Если у доменов леса несмежные DNS-имена, они образуют отдельные деревья доменов в лесу. В лес можно включить одно или несколько деревьев доменов (рис. 5-2). На рисунке домены msnbc.com и microsoft.com образуют корни отдельных деревьев доменов в одном лесу. Для доступа к структурам домена служит Active DirectoryDomains And Trusts (рис. .1-3). К этой оснастке для Microsoft Management Console (MMC) можно обратиться из меню Administrative Tools. Для каждого корневого домена отображаются отдельные записи.

Понятие организационных подразделений

Организационные подразделения (ОП) — это подгруппы в доменах, которые часто отражают функциональную или бизнес-структуру организации. Можно воспринимать ОП как логические контейнеры, в которые помещаются учетные записи, общие ресурсы у других ОП. Например, вы можете создать в домене microsoft.com подразделения Human Resourses, IT, Marketing. Потом эту схему можно расширить, так чтобы она содержала дочерние подразделения. Дочерними ОП для Marketing могут быть OnlineSales, Channel Sales и PrintSales. В ОП можно поместить объекты только из родительского домена. Например, ОП из домена seattle.microsoft.com содержат объекты только этого домена. Добавить туда объекты из my.microsoft.com нельзя, но вы можете создать отдельные ОП, отражающие бизнес-структуру seattle.microsoft.com. ОП очень удобны при формировании функциональной или бизнес-структуры организации. Но это не единственная причина применения ОП.

• ОП позволяют определять групповую политику для небольшого набора ресурсов в домене, не применяя ее ко всему домену. Это помогает устанавливать и управлять групповыми политиками на надлежащем уровне.

• ОП создают меньшие, более управляемые представления объектов каталога в домене. Это помогает эффективнее управлять ресурсами.

• ОП позволяют делегировать полномочия и контролировать административный доступ к ресурсам домена. Это помогает задавать пределы полномочий администраторов в домене. Вы можете передать пользователю А административные полномочия только для одного ОП. Б то же время можно передать пользователю В административные полномочия для всех ОП в домене. ОП представлены в виде папок в Active DirectoryUsers And Computers (рис. 5-4.) Эту оснастку ММС также можно вызвать из меню Administrative Tools.

Понятие сайтов и подсетей

Сайт — это группа компьютеров в одной или более подсетей ТР, используемая для планирования физической структуры сети. Планирование сайтов не зависит от логических структур домена, и поэтому лет нужды связывать физическую и логическую структуру домена в сети. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Также нет связи между областями IP-адресов и пространством имен домена. Вообще подсеть можно представить как группу сетевых адресов. В отличие от сайтов, способных охватывать множество областей IP-адресов, подсети обладают заданной областью IP-адресов и сетевой маской. Имена подсетей показываются в форме сеть/битовая маска, например 192.168.19.9/ 32, где сетевой адрес 191!.168.19.0 и сетевая маска 255.255.255 скомбинированы в имя подсети 192.168.19.9/32. Примечание Вам не нужно знать, как создается имя подсети. Чаще всего вы вводите сетевой адрес и сетевую маску, а затем Windows 2000 сама генерирует имя подсети. Компьютеры приписываются сайтам в зависимости от местоположения в подсети или наборе подсетей. Если компьютеры в подсетях могут взаимодействовать по сети на достаточно высоких скоростях, их называют хорошо связанными (well connected). В идеале сайты состоят из подсетей и хорошо связанных компьютеров. Если скорость обмена между подсетями и компьютерами низка, может потребоваться создать несколько сайтов. Хорошая связь дает сайтам некоторые преимущества.

• Когда клиенты входят в домен, процесс аутентификации сначала находит контроллеры домена в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры домена, что локализует сетевой трафик и ускоряет аутентификацию.

• Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вызванный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию. Вы можете настроить порядок репликации данных каталога, используя связи сайтов. Например, можно определить сервер-плацдарм для репликации между сайтами. В итоге основная часть нагрузки от репликации между сайтами ляжет на сервер-плацдарм, а не па любой доступный сервер сайта.

Сайты и подсети настраиваются в консоли Active DirectorySites And Services (рис. 5-5), которая вызывается из меню Administrative Tools. Поскольку это и оснастка ММС, вы можете добавить ее в любую собственную консоль.

Работа с доменами Active Directory

Хотя и Active Directory, и DNS должны конфигурироваться в сети Windows 2000, у доменов Active Directory и доменов DNS разное назначение. Домены Active Directory помогают управлять учетными записями, ресурсами и защитой. Домены DNS формируют иерархию доменов, которая главным образом служит для разрешения имен. Windows 2000 использует DNS для преобразования имен узлов, например microsoft. com, в числовые адреса TCP/IP типа 207.149.110.52. О DNSи доменах DNSсм. главу 19. Active Directory спроектирована для работы не только с Microsoft Windows 2000, но и с Windows95/98/NT. Если установлено ПО клиента, системы Windows 95/98/NT работают в сети как клиенты Active Directory. Системы Windows NT (и Windows95 или более поздние без ПО клиента Active Directory) работают в сети, как если бы они были в домене Windows NT, если это допускает рабочий режим домена Active Directory и домен Windows NT сконфигурирован. Использование Windows 2000 с Active Directory Windows 2000 Professional и серверы Windows 2000 могут задействовать преимущества Active Directory в полной мере. Системы на базе Windows 2000 Professional работают в сети как клиенты Active Directory и могут использовать отношения с транзитивным доверием, существующие в дереве или лесу доменов. Транзитивное доверие устанавливается автоматически в соответствии со структурой леса и разрешений, определенных в лесу. Эти отношения позволяют авторизованным пользователям получать доступ к ресурсам в любом домене леса. Системы с Windows 2000 SERVER предоставляют службы для других систем и могут действовать, как контроллер домена или рядовой сервер. Контроллер домена в отличие от рядового сервера выполняет Active Directory. Рядовые серверы становятся контроллерами после установки Active Directory; контроллеры понижаются до рядовых серверов после удаления Active Directory, Оба процесса выполняет мастер установки Active Directory. Домены могут обладать одним или несколькими контроллерами. Когда в сети несколько контроллеров, они реплицируют между собой данные каталога по модели репликации с несколькими хозяевами, которая позволяет каждому контроллеру обрабатывать изменения каталога, а затем реплицировать их на другие контроллеры. Благодаря структуре с несколькими хозяевами, все контроллеры по умолчанию обладают равной ответственностью. Впрочем, вы можете дать некоторым контроллерам домена приоритет над другими в определенных задачах, например, создать сервер-плацдарм, который обладает приоритетом мри репликации данных каталога на другие сайты. Кроме того, некоторые задачи лучи е выполнять на выделенном сервере. Сервер, обрабатывающий такой тип задания, называется хозяином операций (operations master). Существует пять монопольных операций, которые можно назначить разным контроллерам домена (см. раздел «Понятие ролей хозяина операций»).

Все компьютеры с Windows 2000, присоединенные к домену, обладают учетными записями компьютера. Как и другие ресурсы, они хранятся в виде объектов в Active Directory. Учетные записи компьютера служат для управления доступом к сети и ее ресурсам. Компьютер получает доступ к домену по своей учетной записи, которая аутентифицируется до того, как компьютер сможет получить доступ в сеть. /fX Совет Windows 2000 использует глобальный каталог Active Directory для аутентификации входа в систему и пользователей, и компьютеров. Если глобальный каталог недоступен, только участники группы Domain Admins могут войти в домен (см. раздел «Понятие структуры каталога»}.

Active Directory и Windows NT

Все компьютеры с Windows NT должны обладать учетными записями перед тем, как они смогут присоединиться к домену. Для поддержки Windows NT предусмотрело два рабочих режима Active Directory. В смешанном режиме каталог может поддерживать и домены Windows 2000. и домены Windows NT.

• В основном режиме каталог поддерживает только домены Windows 2000,

Смешанный режим работы домена

Режим домена определяется при установке Active Directory на первый контроллер. Если вы обновляете систему с Windows NT до Windows 2000, главный контроллер домена (primary domain controller, PDC) обычно обновляется до Windows 2000. PDC обновляется, чтобы гарантировать, что он будет первым контроллером в домене и что существующие объекты диспетчера учетных записей безопасности (Security Account Manager, SAM) скопируются из реестра в новое хранилище данных в Active Directory. При обновлении PDC и установке Active Directory выберите смешанный (mixed) режим, чтобы гарантировать, что остальные компьютеры с Windows NT смогут продолжить работу в домене. В смешанном режиме компьютеры, настроенные для работы с доменами Windows NT, получают доступ к сети, как если бы они по-прежнему работали в домене Windows NT. Это могут быть компьютеры с Windows9x, на которых не запущен клиент Active Directory, рабочие станции и серверы

Windows NT. Роль рабочих станций Windows NT неизменна, а вот серверы Windows NT воспринимаются несколько иначе: они могут действовать лишь как резервные контроллеры домена (backup domain controller, BDC) или рядовые серверы. В домене больше не может быть РОС на базе Windows NT. Вместо этого домен Windows NT подчиняется контроллеру Windows 2000, который играет роль РОС для репликации копий службы каталогов Active Directory, доступных только для чтения, и для синхронизации изменений защиты на всех оставшихся BDC на базе Windows NT. Контроллер домена Windows 2000, действующий как РОС, конфигурируется как хозяин операций эмулятора РОС. Вы можете в любой момент назначить эту роль другому контроллеру домена Windows 2000. Контроллер, действующий как эмулятор РОС, поддерживает два протокола аутентификации:

• Kerberos — стандартный Интернет-протокол для аутентификации пользователей и систем и главный механизм аутентификации для доменов Windows 2000 и Windows NT;

• диспетчер локальной сети NT (NT Local Area Network Manager, NTLM) — главный протокол аутентификации Windows NT. fr5] Примечание Windows 2000 также поддерживает протоколы Secure Socket Layer и Transport Layer Security (SSL/TLS). Этот механизм аутентификации применяется на защищенных Web-серверах.

Перевод домена в основной режим работы

Обновив РОС и другие системы Windows NT до Windows 2000, можно сменить рабочий режим на основной и задействовать только ресурса Windows 2000. Перейдя на основной режим, вы не сможете вернуться к смешанному. Поэтому используйте основной режим, только когда вы уверены, что вам не понадобится старая структура домена Windows NT или резервные контроллеры домена Windows NT. Чтобы сменить рабочий режим, сделайте так. 1. Раскройте меню Start\Programs\Administrative Tools (Пуск\Программы\Администрирование) и выберите Active DirectoryDomains And Trusts (рис. 5-6). 2. Щелкнув правой кнопкой нужный домен, выберите Properties (Свойства),

На вкладке Genera отобразится текущий режим (рис. 5-7). Если домен работает в смешанном режиме, вы можете сменить его на основной. Но это необратимое действие. Внимательно учтите все факторы перед продолжением.

4. Чтобы перейти в основной режим, щелкните Change Mode (Изменить режим), а затем Yes.

Active Directory и Windows 9x

Windows 95/98-компьютеры могут работать с Active Directory двумя способами. В зависимости от конфигурации сети они могут получать доступ к сети как часть домена Windows NT или как часть домена Active Directory. Вход в сеть через домен Windows NT WindowsЭдг-компьютеры получают доступ к сети как часть домена Windows NT, только если Active Directory работает в смешанном режиме и в сети доступен BDC или эмулятор PDC для аутентификации входа в систему. В рамках эмуляции домена Windows NT системы Windows9х могут обращаться только к ресурсам, доступным по односторонним доверительным отношениям Windows NT, которые должны быть явно заданы администратором. Это справедливо для доступа и через контроллер Windows 2000, и через резервный контроллер Windows NT.

Вход в сеть в качестве клиента Active Directory

Системы Windows9x также могут получить доступ к сети как часть домена Active Directory. После установки ПО клиента Active Directory эти системы могут полностью задействовать особенности Active Directory и транзитивные доверительные отношения по всему дереву или лесу. Транзитивные доверительные отношения позволяют авторизованным пользователям автоматически получать доступ к ресурсам в любом домене дерева или леса. /О Совет Транзитивные доверительные отношения автоматически конфигурируются при установке контроллера домена, и вам необязательно их настраивать явно. Впрочем, Windows 2000 поддерживает явные доверительные отношения, и при необходимости вы можете их установить. Основные причины настройки явного доверия — обеспечить аутентификацию пользователей в другом домене или сократить маршрут доверия в сложном лесу доменов.

Установка клиентов Active Directory

1. Войдите в систему на компьютере Windows9x, который хотите сконфигурировать как клиент, и вставьте установочный компакт-диск Windows 2000 SERVER. 2. Откройте окно Run (Запуск программы), нажав Start (Пуск), а затем Run (Выполнить). В. Наберите Clients\Win9X\Dsclient.exe и щелкните ОК. Или щелкните Browse (Обзор), чтобы просмотреть диск дистрибутива. В папке Clients вы найдете папку Win9X, которая должна содержать исполняемую программу клиента. Выберите эту программу, щелкните Open (Открыть), а затем — ОК. 1. В ходе выполнения программа записывает несколько файлов на компьютер клиента и запускает мастер DirectoryService Client Setup Wizard (рис. 5-8). Прочтите текст в окне приветствия и щелкните Next (Далее).

Установите ПО клиента, щелкнув Next. Мастер определит конфигурацию системы и установит нужные файлы. Щелкните Finish (Готово), чтобы завершить операцию и перезагрузите компьютер. 7. В панели управления дважды щелкните Network (Сеть).

8. На вкладке Configuration (Конфигурация), выберите раздел Ethernet adapter card и щелкните Properties (Свойства). Убедитесь, чти параметры TCP/IP позволяют подключиться к домену Active Directory. О настройке TCP/ IP см. главу 15. 9. На вкладке Identification (Идентификация) проверьте сведения об имени компьютера и рабочей группе. Имя компьютера и рабочая группа должны быть заданы, как описано в главе 15. 10. Если вы изменили параметры, компьютер, возможно, понадобится перезагрузить. После перезагрузки войдите в систему по учетной записи с правами доступа в домен Active Directory. Вы должны получить доступ к ресурсам в домене. Примечание Системы Windows 9x в роли клиентов не имеют учетных записей компьютеров и не отображаются в окне Network Neighborhood (Сетевое окружение), но вы можете просмотреть информацию об их сеансе связи. Запустите Computer Management, раскройте SYSTEMTools (Служебные программы), Shared Folders (Общие папки) и выберите Sessions (Сеансы) — отобразятся текущие сеансы связи пользователей и компьютеров. Об общих ресурсах см. главу 13.

Понятие структуры каталога

Active Directory построена на множестве технологий. Данные каталога предоставляются пользователям и компьютерам через хранилища и глобальные каталоги (ГК). Хотя большинство задач Active Directory отражается в хранилище данных, ГК не менее важны, потому что используются для входа в систему и поиска информации. Фактически, если ГК недоступен, обычные пользователи не смогут войти в домен. Доступ и распространение данных Active Directory обеспечивается средствами протоколов доступа и репликации. Первые позволяют клиентам связываться с компьютерами, выполняющими Active Directory. Репликация нужна для распространения обновленных данных на контроллеры. Хотя репликация с несколькими хозяевами — главный метод распространения обновлений, некоторые изменения могут выполнять только отдельные контроллеры — хозяева операций.

Хранилище данных

Хранилище содержит сведения о таких объектах, как учетные записи, общие ресурсы, ОП и групповые политики. Другое название хранилища данных — каталог, как называют и саму службу Active Directory. Контроллеры доменов хранят каталог в файле NTDS.DIT. Его местоположение определяется при установке Active Directory, но это должен быть диск в формате NTFS для Windows 2000. Данные каталога можно сохранить и отдельно от основного хранилища. Например, так можно хранить групповые политики, сценарии и другую информацию из общего системного тома (SYSVOL). Поскольку хранилище — контейнер для объектов, предоставление информации каталога в совместное пользование называют публикацией (publish). Например, открывая принтер в сети, вы его публикуете; публикуется информация об общей папке и т. п. Контроллеры доменов реплицируют большинство изменений в хранилище по схеме с несколькими хозяевами. Администратору небольшой или среднего размера организации редко требуется управлять репликацией хранилища. В конце концов репликация осуществляется автоматически, но вы вправе настроить ее под сетевую архитектуру организации. Реплицируются не все данные каталога, а лишь:

• данные домена — информация об объектах в домене, включая объекты учетных записей, общих ресурсов, ОП и групповых политик;

• данные конфигурации — сведения о топологии каталога: список всех доменов, деревьев и лесов, а также местоположения контроллеров и серверов ГК;

• данные схемы — информация обо всех объектах и типах данных, которые могут храниться в каталоге; стандартная схема Windows 2000 описывает объекты учетных записей, объекты общих ресурсов и др.; вы можете расширить её, определив новые объекты и атрибуты или добавив атрибуты для существующих объектов. Глобальный каталог ГК позволяет входить в сеть, предоставив информацию об участии в универсальной группе. ГК также обеспечивает поиск в каталоге по всем доменам леса. Контроллер, выполняющий роль сервера ГК, хранит полную реплику всех объектов в каталоге для своего домена и частичную реплику объектов остальных доменов леса. Примечание Частичные реплики используются потому, что для входа в систему и поиска нужны лишь некоторые свойства. Для формирования частичной реплики по сети нужно передать меньше информации, что снижает сетевой трафик репликации. По умолчанию сервером ГК становится первый контроллер домена. Поэтому, если в домене только один контроллер, то сервер ГК и контроллер домена — один и тот же сервер. Вы также вправе расположить ГК на другом контроллере, чтобы сократить время ожидания ответа при входе в систему и ускорить поиск. Рекомендуется создать по одному ГК в каждом сайте домена. Контроллеры, хранящие ГК, должны иметь скоростную связь с контроллерами — хозяевами инфраструктуры. Хозяин инфраструктуры — одна из пяти ролей хозяина операций, которую можно назначить контроллеру домена. В домене хозяин инфраструктуры отвечает за обновление ссылок объектов. Он сравнивает свои данные с данными ГК, находит устаревшие ссылки и запрашивает обновленные сведения из ГК. Затем он реплицирует изменения на остальные контроллеры в домене. О ролях хозяина операций см. раздел «Понятие ролей хозяина операций». Если в домене только один контроллер, вы можете назначить роль хозяина инфраструктуры и ГК одному контроллеру домена. Но если в домене два или более контроллеров, ГК и хозяин инфраструктуры должны быть на разных контроллерах. Иначе хозяин инфраструктуры не найдет устаревших данных и в итоге никогда не будет реплицировать изменения. Единственное исключение — когда все контроллеры домена хранят ГК. Тогда неважно, какой из них — хозяин инфраструктуры. Одна из ключевых причин добавления ГК в домен — гарантировать, что каталог доступен для обслуживания входа в сеть и запросов поиска. Опять же, если в домене только одинГК и каталог недоступен, обычные пользователи не смогут пойти в сеть и искать объекты. Такая возможность останется только у членов группы Domain Admins (Администраторы домена). Поиск в ГК очень эффективен, поскольку ГК содержит информацию об объектах во всех доменах леса. Это позволяет обслуживать запросы поиска каталога в локальном домене, а не обращаться в домен в другой части сети. Локальное разрешение запросов снижает нагрузку на сеть и обычно ускоряет ответ. Внимание! Если вход в систему замедлился или пользователи долго ждут ответа на запрос, создайте дополнительные ГК. Однако большое количество ГК влечет передачу большего объема данных по сети.

Репликация и Active Directory

В каталоге хранится три типа информации: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на вес контроллеры отдельного домена. Информация схемы и конфигурации реплицируется на все домены дерева или леса. Кроме того, в ГК реплицируются все объекты индивидуального домена и подмножество свойств объектов всего леса. Это означает, что контроллеры доменов хранят и реплицируют информацию схемы для дерева или леса, информацию конфигурации для всех доменов дерена или леса и все объекты каталога и свойства для соответствующих доменов. Чтобы понять репликацию, рассмотрим такой сценарий постройки новой сети. 1. Вы начинаете с установки первого контроллера в домене А. Этот сервер — единственный контроллер домена и также храпит ГК. Репликация в такой сети не происходит, поскольку нет других контроллеров. 2. Вы устанавливаете второй контроллер - в домене А, и начинается репликация. Чтобы убедиться, что данные реплицируются правильно, можно назначить один контроллер хозяином инфраструктуры, а другой — сервером ГК. Хозяин инфраструктуры следит за обновлениями ГК и запрашивает их для измененных объектов. Оба этих контроллера также реплицируют данные схемы и конфигурации. 3. Вы устанавливаете третий контроллер в домене А, на котором нет ГК. Хозяин инфраструктуры следит за обновлениями ГК, запрашивает их для измененных объектов, а затем реплицирует изменения на третий контроллер домена. Все три контроллера также реплицируют данные схемы и конфигурации. 4. Вы создаете новый домен Б и добавляете в него контроллеры. Серверы ГК в домене А и домене Б реплицируют все данные схемы и конфигурации, а также подмножество данных домена из каждого домена. Репликация в домене А продолжается, как описано выше, плюс начинается репликация внутри домена Б.

Active Directory и LDAP

Упрощенный протокол доступа к каталогам (Lightweight DirectoryAccess Protocol, LDAP) — стандартный протокол Интернет-соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к службам каталогов с минимальными издержками. LDAP также определяет операции, используемые для запроса и изменения информации каталога. Клиенты Active Directory применяют LDAP для связи с компьютерами, выполняющими Active Directory, при каждом входе в сеть или поиске общих ресурсов. LDAP можно использовать и для управления Active Directory. LDAP — открытый стандарт, который могут применять и другие службы каталога. Это делает взаимосвязь каталогов проще и значительно упрощает переход с других служб каталогов на Active Directory. Вы можете также использовать интерфейсы служб Active Directory (Active Directory Service Interfaces, ADSI) для повышения совместимости. ADSI поддерживает стандартные API-интерфейсы для LDAP, совместимые с Интернет-стандартом RFC 1823. Вы можете использовать ADSI совместно с сервером сценариев Windows (WindowsScript Host, WSH) для управления объектами Active Directory из сценариев.

Понятие ролей хозяина операций

Хозяин операций решает задачи, которые неудобно параллельно выполнять на нескольких хозяевах. Существует пять ролей хозяина операций — вы можете назначить их одному или более контроллерам доменов, Определенные роли должны быть уникальны на уровне леса, для других достаточно уровня домена. Роли хозяина операций таковы.

• Хозяин схемы контролирует обновления/изменения схемы каталога. Для обновления схемы каталога вы должны обладать доступом к хозяину схемы. В лесу может быть только один хозяин схемы.

• Хозяин именования доменов контролирует добавление/ удаление доменов в лесу. Чтобы добавить/удалить домен, вы должны обладать доступом к хозяину именования доменов. В лесу может быть только один хозяин именования доменов.

• Хозяин относительных идентификаторов выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы или компьютера контроллеры назначают уникальный идентификатор безопасности объекту. Идентификатор безопасности состоит из префикса идентификатора безопасности домена и соответствующего уникального идентификатора, который был выделен хозяином относительных идентификаторов. В каждом домене леса должен быть один хозяин относительных идентификаторов. i Примечание В комплекте ресурсов Windows 2000 есть программа MOVETREE.EXE для перемещения объектов между доменами. При работе с этой утилитой перемещение должно быть инициировано на хозяине относительных идентификаторов домена, который содержит перемещаемый объект.

• Эмулятор PDC н смешанном режиме домена действует как главный контроллер домена Windows NT. Он аутентифицирует вход в Windows NT, обрабатывает изменения пароля и реплицирует обновления на ВВС. Вы должны назначить по одному эмулятору PDC в каждый домен леса.

• Хозяин инфраструктуры обновляет ссылки объектов, сравнивая свои данные каталога с данными ГК. Если данные устарели, он запрашивает из ГК обновления и реплицирует их на остальные контроллеры в домене. Вы должны назначить по одному хозяину инфраструктуры в каждый домен леса. Обычно роли хозяина операций назначаются автоматически, но вы можете их переназначить. При установке новой сети первый контроллер первого домена получает все роли хозяев операций. Если вы позднее создадите новый дочерний домен или корневой домен в новом дереве, первому контроллеру домена также автоматически назначаются роли хозяина операций. В новом лесу доменов контроллеру домена назначаются вес роли хозяина операций. Если новый домен создается в том же лесу, его контроллеру назначаются роли хозяина относительных идентификаторов, эмулятора PDC и хозяина инфраструктуры. Роли хозяина схемы и хозяина именования доменов остаются у первого домена леса. Если и домене только один контроллер, он выполняет все роли хозяек операций. Если в вашей сети один сайт, стандартное расположение хозяев операций оптимально. Но по мере добавления контроллеров домена и доменов может потребоваться переместить роли хозяев операций на другие контроллеры доменов. Если в домене два или более контроллеров, сконфигурируйте два контроллера доменов для выполнения ролей хозяина операций. Например, можно назначить один контроллер домена основным хозяином операций, а другой — запасным. Запасной хозяин используется при отказе основного. Убедитесь, что контроллеры доменов — прямые партнеры по репликации и соединены скоростным каналом связи. По мере роста структуры доменов можно разнести роли хозяина операций по отдельным контроллерам. Это ускорит отклик хозяев операций на запросы. Всегда тщательно планируйте ролевые обязанности будущего контроллера домена. Примечание Две роли, которые не следует разбивать, — хозяин схемы и хозяин именования доменов. Всегда назначайте их одному серверу. Для наибольшей эффективности желательно, чтобы хозяин относительных идентификаторов и эмулятор РОС также были на одном сервере, хотя при необходимости эти компоненты можно разделить. Так, в большой сети, где большие нагрузки снижают быстродействие, хозяин относительных идентификаторов и эмулятор РОС должны быть размещены на разных контроллерах. Кроме того, хозяин инфраструктуры не должен быть помещен на контроллере домена, хранящем ГК (см. раздел «Глобальный каталог»).