Рисунок 1. Топология внутрисайтовой репликации
Каждые 15 минут КСС проводит повторный анализ топологии репликации, проверяя ее на предмет работоспособности. В случае введения в сеть или сайт нового контроллера домена или, напротив, удаления оного, КСС реконфигурирует топологию в соответствии с обнаруженными изменениями.
Если в состав сайта вводится более семи контроллеров домена, КСС создает в кольцевой структуре дополнительные объекты соединения. Это делается для того, чтобы, если на одном из контроллеров произойдут какие-то изменения, между оставшимися контроллерами осталось не больше трех шагов репликации (рис. 2). Такого рода оптимизирующие соединения устанавливаются случайным образом и далеко не на каждом контроллере домена.
 |
Рисунок 2. После введения КСС дополнительных объектов соединения между каждыми двумя контроллерами домена должно быть не больше трех шагов репликации
Межсайтоваярепликация
Для того чтобы обеспечить возможность репликации данных между несколькими сайтами, их нужно вручную связать с помощью межсайтовых связей. Наличие межсайтовых связей, представляющих сетевые соединения, является необходимым условием репликации. Для генерации всех межсайтовых соединений на каждом сайте достаточно одной службы КСС. Информация о сетевых соединениях применяется в Active Directory для генерации объектов соединения, которые, как показано на рис. 3, обеспечивают эффективность репликации и отказоустойчивость.
От администратора требуется указать транспорт репликации, стоимость межсайтовой связи, периоды времени, на протяжении которых эта связь находится в состоянии готовности, и регулярность ее применения. Исходя из этой информации, Active Directory выбирает межсайтовую связь для репликации данных. Повышению эффективности репликации способствует специальная настройка графиков репликации — к примеру, можно сделать так, чтобы репликация проводилась в периоды наименьшей загрузки сети.
Администратору необходимо создать такую конфигурацию сайтов и репликации, которая позволит пользователям получать самую свежую информацию.
 |
Рисунок 3. Топология межсайтовой репликации
Доверительныеотношения
Доверительным (trust) отношением называется соединение между двумя доменами, в рамках которого доверяющий домен без проверки принимает данные аутентификации, предоставляемые доверяемым доменом (рис. 4). Аутентификация пользователей и приложений в семействе Windows Server 2003 осуществляется с помощью одного из двух доверительных протоколов: Kerberos версии 5 и NT LAN Manager (NLTM). Kerberos версии 5 является протоколом по умолчанию для компьютеров, управляемых операционной системой Windows Server 2003. В случае, если какой-то из участвующих в транзакции компьютеров не поддерживает Kerberos 5, применяется протокол NTLM. Доверительные отношения также допускаются с применением любой сферы Kerberos 5. В любом доверительном отношении участвуют два домена: доверяющий и доверяемый.
 |
Рисунок 4. Доверяющий и доверяемый домены в рамках одностороннего доверительного отношения
Ниже перечислены характеристики доверительных отношений.
r Метод создания. Доверительные отношения создаются либо
вручную (явно), либо автоматически (неявно). Некоторые отношения могут быть
созданы только одним
из этих двух способов.
r Транзитивность. Доверительные отношения могут
ограничиваться, а могут и не ограничиваться участвующими в них доменами; в
первом случае отношения называются нетранзитивными, а во втором —
транзитивными. К примеру, если в рамках
транзитивных доверительных отношений домен А доверяет домену В, а домен В
доверяет домену С, то и домен А доверяет домену С. Соответственно, при
нетранзитивных доверительных отношениях доверие домена А домену В и домена В
домена С
не приводит к установлению доверительных отношений между доменами А и С.
r Направленность. Доверительные отношения бывают односторонними и двусторонними. Одностороннее отношение единично— как показано на рис. 4, при этом домен А доверяет домену В. В зависимости от типа, односторонние доверительные отношения делятся на нетранзитивные и транзитивные. В рамках двухстороннего доверительного отношения домен А доверяет домену В, а домен В доверяет домену А. Таким образом, запросы на аутентификацию могут передаваться между этими доменами в произвольном направлении.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.