12.4.Физическая структура Active Directory

Физическая структура Active Directory связана с двумя главными типами объектов – сайтами и контроллерами доменов.

Сайт. В Active Directory сайт – это совокупность подсетей TCP/IP, между которыми существует высокоскоростное соединение. Как правило, границы сайта совпадают с границами ЛВС. Хотя "высокоскоростное" - это относительное понятие, обычно под этим подразумевается соединение на скоростях, соответствующих LAN – соединениям. В настоящее время быстрым считается соединение, обеспечивающее пропускную способность не менее 10 Мбит/с. В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен в AD, можно увидеть, что компьютеры и пользователи сгруппированы в домены и ОП, а не в сайты. Сайты содержат лишь объекты компьютеров и соединений, нужные для настройки межсайтовой репликации (репликация позволяет отражать изменения в одном контроллере домена на остальных контроллерах в домене, подробней о репликации - ниже).

Сайты также позволяют контролировать, когда репликация может происходить между контроллерами доменов. Можно определить время и дни, в которые репликация между сайтами должна происходить, как часто она должна происходить, и преимущественные пути для ее прохождения. По умолчанию существует только один сайт, и пока не будут созданы другие, репликация будет происходить каждые 5 минут. Также важно отметить, что сайты – это другой элемент, который позволяет большим компаниям иметь только один домен. Так как не существует соотношения между логической и физической структурой AD, возможно иметь один домен и несколько сайтов. Возможность контролировать трафик репликации – одно из наибольших преимуществ управляемости Active Directory.

Контроллеры доменов. Контроллер домена хранит базу данных AD. В домене могут быть несколько контроллеров.

Контроллер домена - это компьютер с Windows 2000 Server, хранящий копию (реплику) каталога домена (локальную базу данных домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену.

Функции контроллеров домена:

каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена;

все контроллеры в домене автоматически реплицируют между собой все объекты в домене. При внесении в AD каких-либо изменений они на самом деле производятся на одном из контроллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликаций и количество данных, которое Windows 2000 будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена;

важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно;

в Active Directory все контроллеры равноправны, каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизирую её друг с другом;

наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например, записывать изменения в Active Directory;

контроллеры домена управляют взаимодействием пользователей и домена, например, находят объекты Active Directory и распознают попытки входа в сеть;

в домене, как правило, должно быть не менее двух контроллеров. Количество контроллеров выбирается в зависимости от специфики и размера организации.

Контроллер домена создаётся на установленном сервере запуском Installation Wizard (мастера установки Active Directory) – dcpromo.exe. Можно набрать имя этой программы в командной строке или выбрать ПУСК – ПРОГРАММЫ – АДМИНИСТРИРОВАНИЕ – НАСТРОЙКА СЕРВЕРА. – ЗАПУСТИТЬ МАСТЕР УСТАНОВКИ Active Directory.

Этот инструмент не только позволяет создавать новые контроллеры домена, но и также новые домены, деревья и леса. Он позволяет также при необходимости "понижать" контроллер домена до рядового сервера. То есть, если нужно убрать контроллер домена, в командной строке следует набрать dcpromo.exe, и начнётся процесс удаления контроллера. Когда запускается dcpromo.exe, вам предоставляется выбор, показанный на рис.63:

Рис.63. Выбор типа контроллера домена

В этом диалоге при создании домена следует выбрать "Контроллер домена в новом домене" и в последующих диалогах выбрать "Создать новое доменное дерево", "Создать новый лес доменных деревьев". Далее мастер установки потребует ввести имя домена, указать местоположение базы данных AD (лучше оставить принятое по умолчанию C:\WinNT\NTDS), выбрать режим установки DNS, ввести пароль. После установки контроллера потребуется перезагрузка системы. После перезагрузки в меню АДМИНИСТРИРОВАНИЕ появятся консоли Active Directory.

После того, как контроллер домена создан, он хранит копию базы данных Active Directory (ntds.dit) и может проводить аутентификацию пользователей домена. База данных Active Directory состоит из трёх разделов : домен, конфигурация и схема.

Раздел "домен" реплицируется между контроллерами только внутри одного домена, в то время как разделы "конфигурация" и "схема" реплицируются в каждый из доменов, расположенных в лесу. Подробней организация репликации описана ниже.