Понятийный аппарат и административные задачи Active Directory

Понятийныйаппарат иадминистративныезадачиActiveDirectory

Репликация

У пользователей и служб должна быть возможность обращаться к информации каталога в любое время, с любого компьютера в составе дерева или леса доменов. Репликация(replication) обеспечивает распространение изменений, произошедших на одном кон­троллере домена, среди всех остальных контроллеров в границах этого домена. Инфор­мация каталога реплицируется по контроллерам домена как на отдельном сайте, так и на нескольких сайтах сразу.

Какаяинформацияподверженарепликации

Хранящаяся в каталоге (то есть в файле Ntds.dit) информация делится на четыре логи­ческих категории. Категории эти называются разделами каталога (directory partitions), или контекстами именования(naming context). Именно они являются базовыми едини­цами репликации. Каталог состоит из следующих разделов.

r  Раздел схемы. В этом разделе определяются объекты, которые можно создавать в каталоге, и их возможные атрибуты. Поскольку эти данные являются общими для всех доменов леса, именно в этом масштабе они и реплицируются.

r  Раздел конфигурации. Вэтом разделе содержится описание логической структуры размещения — в частности, структуры доменов и топологии репликации. Эти дан­ные, общие для всех доменов леса, реплицируются в соответствующем масштабе.

r  Раздел домена. Этот раздел содержит описание всех входящих в домен объектов. Поскольку эти данные относятся к конкретному домену, репликация за его преде­лами не проводится. Тем не менее, они реплицируются среди всех контроллеров
домена.

r  Прикладной раздел каталога. В этом разделе хранятся динамические прикладные данные Active Directory. Поскольку у администратора есть возможность контроля масштаба репликации и размещения реплик, значительного снижения производи­тельности сети не происходит. В прикладном разделе каталога могут находиться объекты любых типов, за исключением участников системы безопасности (пользо­вателей, групп и компьютеров). В целях сокращения трафика репликации возможна явная пересылка на указанные администратором контроллеры домена в рамках дан­ного леса. Кроме того, подобно разделам схемы, конфигурации и домена, для прикладного раздела каталога можно настроить репликацию всех объектов по всем контроллерам домена.

На контроллере домена хранятся и им реплицируются следующие данные:

r  Данные раздела схемы для рассматриваемого леса.

r  Данные раздела конфигурации для всех доменов в лесу.

r  Данные раздела домена (то есть все объекты и свойства каталога) для рассматривае­мого домена. Эти данные реплицируются среди остальных контроллеров домена. Помимо этого, для проведения поиска информации в глобальный каталог реплици­руется частичная реплика с наиболее часто используемыми атрибутами всех объек­тов домена.

В глобальном каталоге хранятся и реплицируются соответствующими контроллера­ми домена следующие данные:

r  Данные раздела схемы для рассматриваемого леса.

r  Данные раздела конфигурации для всех доменов этого леса.

r  Частичная реплика, содержащая наиболее часто используемые атрибуты всех объек­тов каталога рассматриваемого леса (они реплицируются только среди серверов глобального каталога).

r  Полная реплика, содержащая все атрибуты всех объектов каталога в домене, в котором расположен глобальный каталог.

К расширению схемы в глобальном каталоге нужен довольно осторожный подход. Расширения схемы способны нанести крупной сети непоправимый ущерб — дело в том, что, во-первых, их нельзя удалить (только отключить), а, во-вторых, при синхронизации расширений в масштабе леса генерируется значительный объем сетево­го трафика.

Какпроходитрепликацияданных

В Active Directory предусмотрены два механизма репликации данных:

r  внутрисайтовая (intrasite — происходит в границах сайта)

r  межсайтовая (intersite — проводится в мас­штабах нескольких сайтов). Потребность в получении самых свежих обновлений ин­формации каталога противостоит ограничениям, налагаемым полезной пропускной спо­собностью сети.

Внутрисайтоваярепликация

В составе Windows Server 2003 есть служба проверки согласованности знаний (knowledge consistency checker, KCC). В масштабах сайта она автоматически генерирует кольце­вую топологию в целях репликации данных между контроллерами одного домена. КСС представляет собой встроенный процесс, исполняемый на всех контролерах домена. Топология определяет путь обновления каталога с одного контроллера до­мена на другие; обновление продолжается до тех пор, пока новые данные не получат все контроллеры в рамках данного сайта. КСС определяет, какие серверы лучше все­го приспособлены для репликации друг с другом, и, исходя из связности, истории успешных случаев репликации, а также совпадения полных и частичных реплик, назначает те или иные контроллеры домена на роль репликационных партнеров. Затем КСС создает объекты соединения, которые представляют репликационные соединения между партнерами.

Кольцевая структура гарантирует наличие по меньшей мере двух путей репликации от одного контроллера домена к другому; если даже какой-то контроллер становится временно недоступным, для всех остальных репликация продолжается (рис. 1).