Обзор Active Directory. Введение в службы каталогов. Объекты, схема и компоненты Active Directory, страница 6

r  Структуры имен деревьев леса различаются в соответствии с доменами.

r  Домены в составе леса функционируют независимо друг от друга, но в то же время лес обеспечивает пути информационного обмена в масштабе всей организации.

Изображенные на рис. 7 деревья microsoft.comи msn.comобразуют лес. Смежность пространств имен наблюдается исключительно в рамках отдельных деревьев.

Рисунок 7.   Лес деревьев

Режим работы леса(forest functional level) позволяет активизировать в сетевой среде возможности Active Directory, связанные с конкретным лесом. Существует три режима работы леса:

r  Windows 2000 (устанавливается по умолчанию). Windows 2000 позволяет любому кон­троллеру домена Windows Server 2003 взаимодействовать с контроллерами того же доме­на, находящимися под управлением Windows NT 4, Windows 2000 или Windows Server 2003.

r  промежуточный WindowsServer 2003. Режим работы. Промежуточный режим работы Windows Server 2003 позволяет контроллеру доме­на Windows Server 2003 взаимодействовать с другими контроллерами домена, управляемыми Windows NT 4 или Windows Server 2003.

r  Windows Server 2003. Режим работы Windows Server 2003 огра­ничивает взаимодействия контроллеров домена Windows Server 2003 только теми кон­троллерами, которые находятся под управлением той же операционной системы.

Повы­сить режим работы леса можно лишь в том случае, если контроллеры домена в составе леса находятся под управлением версий Windows, соответствующих нужному режиму.

Физическиеструктуры

Физическими компонентами Active Directory являются сайты и контроллеры домена. С помощью этих компонентов администратор должен разработать структуру каталогов, отражающую физическую структуру компании.

Сайты

Сайтомили узлом (site) называется IP-подсеть или совокупность таких подсетей, соеди­ненных друг с другом надежным каналом с высокой скоростью передачи данных, при­званным локализовать как можно больший объем сетевого трафика. Как правило, гра­ницы сайта совпадают с границами локальной сети (local area network, LAN). Группиро­вать следует только те подсети, между которыми есть быстрые, дешевые и надежные сетевые каналы. «Быстрыми» каналами считаются те, в которых скорость передачи дан­ных равна или превышает 512 килобит в секунду (Кбит/с). Что касается полезной про­пускной способности (она выражает среднюю пропускную способность за вычетом стан­дартного сетевого трафика), то 128 Кбит/с для сайта вполне достаточно.

Сайты Active Directory не входят в состав пространства имен. В логическом простран­стве имен компьютеры и пользователи группируются не по сайтам, а по доменам и под­разделениям. На сайтах содержатся только объекты компьютеров и соединений, причем последние применяются при настройке межсайтовой репликации. На примере рис. 8 можно сделать два вывода: во-первых, домен может охватывать несколько географичес­ких местоположений, а во-вторых, на одном сайте могут находиться учетные записи и компьютеры, принадлежащие к разным доменам.

Контроллерыдомена

Контроллером домена(domain controller) называется управляемый Windows Server 2003 — компьютер, на котором хранится реплика доменного каталога (локальной базы данных домена). Поскольку на каждый домен иногда приходится по несколько контроллеров, на них хранятся полные реплики относящейся к домену части каталога. Любой кон­троллер может обслуживать лишь один домен. Помимо прочего, контроллер домена проводит аутентификацию при попытках регистрации пользователей и обеспечивает выполнение политики безопасности домена.

Рисунок 8. Отношение структур сайтов и доменов

Нижеследующий список характеризует функции контроллеров домена.

r  На каждом контроллере домена хранится полная копия информации Active Directory, относящейся к данному домену. Контроллер управляет изменениями этой информа­ции и реплицирует на все остальные контроллеры своего домена.