Понятийный аппарат и административные задачи Active Directory, страница 2

 


Рисунок 1. Топология внутрисайтовой репликации

Каждые 15 минут КСС проводит повторный анализ топологии репликации, проверяя ее на предмет работоспособности. В случае введения в сеть или сайт нового контроллера домена или, напротив, удаления оного, КСС реконфигурирует топологию в соответствии с обнаруженными изменениями.

Если в состав сайта вводится более семи контроллеров домена, КСС создает в кольцевой структуре дополнительные объекты соединения. Это делается для того, чтобы, если на одном из контроллеров произойдут какие-то изменения, между оставшимися контроллерами осталось не больше трех шагов репликации (рис. 2). Такого рода оптимизирующие соединения устанавливаются случайным образом и далеко не на каждом контроллере домена.

 


Рисунок 2.    После введения КСС дополнительных объектов соединения между каждыми двумя контроллерами домена должно быть не больше трех шагов репликации

Межсайтоваярепликация

Для того чтобы обеспечить возможность репликации данных между несколькими сайта­ми, их нужно вручную связать с помощью межсайтовых связей. Наличие межсайтовых связей, представляющих сетевые соединения, является необходимым условием репли­кации. Для генерации всех межсайтовых соединений на каждом сайте достаточно одной службы КСС. Информация о сетевых соединениях применяется в Active Directory для генерации объектов соединения, которые, как показано на рис. 3, обеспечивают эф­фективность репликации и отказоустойчивость.

От администратора требуется указать транспорт репликации, стоимость межсайтовой связи, пе­риоды времени, на протяжении которых эта связь находится в состоянии готовности, и регулярность ее применения. Исходя из этой информации, Active Directory выбирает межсайтовую связь для репликации данных. Повышению эффективности репликации способствует специальная настройка графиков репликации — к примеру, можно сде­лать так, чтобы репликация проводилась в периоды наименьшей загрузки сети.

Администратору необходимо создать такую конфигурацию сайтов и реплика­ции, которая позволит пользователям получать самую свежую информацию.


Рисунок 3. Топология межсайтовой репликации

Доверительныеотношения

Доверительным (trust) отношением называется соединение между двумя доменами, в рамках которого доверяющий домен без проверки принимает данные аутентифика­ции, предоставляемые доверяемым доменом (рис. 4). Аутентификация пользо­вателей и приложений в семействе Windows Server 2003 осуществляется с помощью одного из двух доверительных протоколов: Kerberos версии 5 и NT LAN Manager (NLTM). Kerberos версии 5 является протоколом по умолчанию для компьютеров, уп­равляемых операционной системой Windows Server 2003. В случае, если какой-то из участвующих в транзакции компьютеров не поддерживает Kerberos 5, применяется протокол NTLM. Доверительные отношения также допускаются с применением лю­бой сферы Kerberos 5. В любом доверительном отношении участвуют два домена: до­веряющий и доверяемый.

 


Рисунок 4. Доверяющий и доверяемый домены в рамках одностороннего доверительного отношения

Ниже перечислены характеристики доверительных отношений.

Метод создания. Доверительные отношения создаются либо вручную (явно), либо автоматически (неявно). Некоторые отношения могут быть созданы только одним
из этих двух способов.

Транзитивность. Доверительные отношения могут ограничиваться, а могут и не ог­раничиваться участвующими в них доменами; в первом случае отношения называются нетранзитивными, а во втором — транзитивными. К примеру, если в рамках
транзитивных доверительных отношений домен А доверяет домену В, а домен В доверяет домену С, то и домен А доверяет домену С. Соответственно, при нетранзитивных доверительных отношениях доверие домена А домену В и домена В домена С
не приводит к установлению доверительных отношений между доменами А и С.

Направленность. Доверительные отношения бывают односторонними и двусторон­ними. Одностороннее отношение единично— как показано на рис. 4, при этом домен А доверяет домену В. В зависимости от типа, односторонние доверительные отношения делятся на нетранзитивные и транзитивные. В рамках двухстороннего доверительного отношения домен А доверяет домену В, а домен В доверяет домену А. Таким образом, запросы на аутентификацию могут передаваться между этими до­менами в произвольном направлении.