Пятница, 17.08.2018, 01:49
Приветствую Вас Гость | RSS

Я - за павсимесную и всиоблемущюю паддершку Аброзования!

Меню сайта
Форма входа
Категории раздела
Сети [14]
Сети
Windows сервер [14]
Сервера Windows. Администрирование
Active Directory [17]
Опрос
Как вы относетесь к порнографии
Всего ответов: 718
Облако тегов
апокриф библия история история религии маска сети настройка IP-адреса НОВЫЙ ЗАВЕТ Альбион гастарбайтер Гражданин и ты Брут Митридат политическая реклама Понт воскрешение гармония Дух плоть праведная плоть канон Аид гомер Мифология моментальность дружба женщина мужчина отношение VPN dns корневой домен DNS клиент FQDN HOSTS пространство имен разрешение имен MX зона DNS корневые Мастер установки Active Directory глобальный каталог раздел домена Раздел конфигурации Раздел схемы GUID.контроллер домена.Серверы плац Внутрисайтовая репликация межсайтовая репликация лес Домен Планирование Active Directory подразделение DNS-сервера DnsCmd DomainDnsZones ForestDnsZones SUPTOOLS.MSI настройка зоны DNS область распространения зоны DNS SOA Primary Name Server Start of Authority Transfer Zone зонная передача Начальная запись зоны DNS Основной сервер DNS передача зоны DNS nslookup дерево доверие доверительные отношения ADSL DMT ISP POTS xDSL Ntds.dit Active Directory.Зоны прямого просм Netlogon SVR Sysvol _msdcs _saites _tcp _udp Dcdiag Dcpromo.log Dcpromos.log Dcpromoui.log Netdiag Ntdsutil консоль ммс панель задач оснастка авторский параметры пользовательский расширение режим консоли
AdSense
Счетчики
PR-CY.ru Каталог@Mail.ru - каталог ресурсов интернет реклама в интернете, реклама сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей

Главная » Статьи » Active Directory

Основные термины и понятия Active Directory. Физическая структура
Active Directory. Физическая структура

Физическая структура Active Directory как упоминали в прошлой статье состоит из контроллеры доменов и сайтов. Смотрите рисунок 1.

Active Directory. Основные компоненты 
Рисунок 1.

Контроллер домена - это компьютер на котором установлен Windows Server 2003, и который поддерживает копию базы данных службы Active Directory. То есть это как правило сервер на котором установлена операционная сетевая система Windows Server 2000 или Windows Server 2003  и как говорят администраторы "поднята" (установлена) служба каталогов Active Directory. 

Все данные базы данных службы Active Directory хранятся в отдельном файле Ntds.dit на контроллере домена. Этот файл данных по умолчанию находится в папке %SystemRoot%\NTDS, расположенной на контроллере домена. В нем хранится вся информация каталога, предназначенная для данного домена, а также данные, являющиеся общими для всех контроллеров домена в данной организации или предприятии. Такое обозначение как %SystemRoot% надо понимать как - та директория (папка) в которой мы установили наш Windows Server 2003. По умолчанию (если мы в процессе инсталляции ничего не меняли) это директория под именем Windows.

Вторая копия файла Ntds.dit находится в папке %SystemRoot%\ System32. Эта версия файла - поставляемая копия (копия, заданная по умолчанию) базы данных каталога, она используется для установки службы Active Directory. Этот файл копируется на сервер во время установки Microsoft Windows Server 2003, чтобы сервер можно было назначать контроллером домена без необходимости обращаться к инсталляционной среде. Во время выполнения мастера инсталляции Active Directory  файл Ntds.dit копируется из папки System32 в папку NTDS. Затем копия, сохраненная в папке NTDS, становится действующей копией хранилища данных каталога. Если это не первый контроллер домена в домене, то файл будет обновлен из других контроллеров домена через процесс репликации.

Все контроллеры домена по умолчанию равны между собой. То есть нет главного контроллера домена и подчиненные. Но есть и исключения. О них мы поговорим после того как разберем что такое репликация, но в данной теме все же коснемся репликации.

В домене могут быть несколько контроллеров домена. Контроллер домена обслуживает только свой домен. Помимо прочего контроллеры домена проводят аутентификацию при попытки регистрации пользователей и обеспечивают политику безопасности домена. 

Под аутентификацией следует понимать вопрос - "кто ты такой"?. В жизни нам приходятся при этом вопросе показывать паспорт для уточнения нашей личности. В сети при этом вопросе мы указываем наш "логин" то есть мы сперва представляемся "я такой-то" а потом в доказательстве что ты именно тот за которым ты себя выдаешь, пишешь "пароль".  

Давайте чуть поговорим о репликации. Как мы знаем служба каталогов Active Directory можно рассматривать как базу данных домена. Если допустим у нас в домене есть не один контроллер домена а несколько, то при внесении информации в один контроллер домена, вернее внесение информации в Active Directory (допустим внесли нового пользователя) то что бы информация о домене была везде одинакова мы должны эту информацию передать и в другие Active Directory что есть у нас в домене. Контроллер домена и занимается пересылкой и синхронизацией информации между контроллерами домена. При пересылке этой информации, говорят что контроллер домена производит репликацию. То есть получается что копия Active Directory хранится на каждом контроллере домена и при этом если на одном контроллере домена произошли изменения то эта информация реплицируется на остальные контроллеры домена. К репликации мы еще вернемся.

Ниже приведены основные функции контроллеров домена.

  • На каждом контроллере домена хранится полная копия информации Active Directory, относящиеся к данному домену. Контроллер управляет данной информацией и реплицирует ее на все остальные контроллеры своего домена.
  • Контроллер домена автоматически проводит репликацию информации каталога, относящиеся ко всем объектам домена. Любая операция имеющая своим результатом обновление Active Directory, приводит к внесению изменений в информации хранящиеся на одном из контроллеров домена. Затем этот контроллер реплицирует информацию на все остальные контроллеры домена.
  • Отдельные виды информации внесенные в Active Directory - например сведения об отключенных пользовательских учетных записей  - контроллер домена на котором это было произведено реплицирует эту информацию незамедлительно.
  • В Active Directory используется репликация с несколькими хозяевами. При такой репликации не один контроллер домена не является главным. Напротив все контроллеры данного домена равноправны - на каждом из них содержится копия базы данных каталога Active Directory с возможностью записи в нее новых данных. В определенные моменты времени информация на некотором контроллере домена может отличатся от остальных контроллерах так как на данном контроллере домена была внесена некоторая информация (допустим внесли нового пользователя или удалили какого-то пользователя), после репликации на всез контроллерах домена информация в их Active Directory станет идентичной.
  • Несмотря на реализованную по умолчанию репликацию с несколькими хозяевами, некоторые изменения не совсем практично производить в этом режиме. Иногда средствами одного или нескольких контроллеров домена проводится репликация с одним хозяином.  При проведении репликации такого рода один или несколько контроллеров домена становятся главными и играют роль хозяина операций (operations master role). Об этом чуть позже.
  • Контроллеры домена ответственны за выявление конфликтов которые происходят, когда до полного распространения информации (репликации) какой-то тот же самый атрибут присутствует на разных контроллерах или тот же самый атрибут претерпевает изменения на другом контроллере. Конфликты выявляются путем сравнения номеров версий свойств атрибута  (уникальная для атрибута числовое значение) которая инициализируется в момент создания атрибута. Для разрешение конфликта Active Directory распространяет атрибут с более высокой версией (то есть который был изменен последний).
Наличие в домене нескольких контроллеров домена повышает отказоустойчивость. В случае если один контроллер домена по тем или иным причинам отказал, все функции по обеспечению работоспособности нашего домена берет на себя оставшиеся контроллеры домена.

Контроллеры домена регулируют все аспекты взаимодействия пользователей с с доменом. В частности помогают найти объекты Active Directory, осуществляют контроль попыток регистрации пользователей и другое.  

Сайты

Компьютерная сеть любой большой компании (предприятии, фирме) как правило состоит из некоторого количество сетей или скажем совокупности сетей, соединенных между собой. Один из важных параметров сетей есть их пропускная способность. Недостаточная пропускная способность отдельных сетей нашей компании может стать причиной при регистрации пользователей в сети, при поиске объектов в сети, а так же при репликации, и другое.  

При обсуждении логических компонентов как вы заметили они практически не зависят от физической структуры компьютерной сети. Например, при проектировании структуры домена для нашей фирмы (предприятии) вопрос о том, где расположены пользователи, является не самым важным. Все пользователи в домене могут находиться в единственном офисном строении или в офисах, расположенных по всему миру. В нашем случае пользователи домена rk.com описание которого вы найдете в предыдущей теме на рисунке 9,часть пользователей находятся в России, а часть в Антарктиде. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования  (применения) так называемых сайтов в Active Directory.

В зависимость от пропускной способности коммуникационных линий что образуют компьютерные сети, сетевой администратор разделяет (делит)  вычислительную сеть компании (предприятия), на области, которые получили такое название как сайт.  

Сайт (site) или узел представляет собой часть от общей сети предприятия. Сайты сведены между собой. 

Или, суммируя все сказанное -

Сайт - представляет собой совокупность подсетей, соединенных между собой высокоскоростными линиями связи.

Предполагается (или так лучше всего делать)  что сайты соединяются друг с другом высокоскоростными линиями связи (но в жизни бывает и не так). 

Получается что сайт — это группа компьютеров в одной или нескольких IP-подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Также нет связи между диапазоном IP-адресов сайта и пространством имен домена.

Примечание: Про сети и подсети, и как разбить сеть на подсети читайте тут.

Сайты являются самостоятельными образования и не зависят (не связаны) с доменной структуры предприятия или сети. Хотя сетевой администратор может использовать домены для регулирования трафика репликации, зачастую структура сайтов не отображается на структуру доменов.

Сайты не являются частью пространства имен каталога Active Directory, они лишь характеризуют его физическую структуру. Это означает что принадлежность объекта (допустим компа) к тому или иному сайту (читай подсети) не зависит (не связан) с его положением (местонахождением) в Active Directory. Выбор того или иного сайта определяется прежде всего, тем, в какой подсети физически находятся данный объект. Например в зависимости от того, на каком компьютере пользователь входит в сеть, он может рассматриваться как находящийся то в одном, то в другом сайте (но при этом находится в том же допустим домене или каталоге Active Directory).  

На сайтах содержится только такие объекты как компьютеры и соединения, причем последние применяются при настройке межсайтовой репликации. На рисунке 2 показан сайт компании "Рога и Копыта".
Пример сайта Active Directory
Рисунок 2.

Из рисунка 2 мы видим что у фирмы "Рога и Копыта" есть две подсети. Первая подсеть имеет IP-адрес 192.168.1.0/24 а вторая подсеть с адресом 10.1.1.0/24. Почему стоит "слэш" (/) после IP-адреса мы рассмотрим в других статьях, а теперь просто запомните что это есть длина маски подсети. Да и в этом примере IP-адреса взяты только для примера (каламбурчик). Но эти две подсети находятся в одном сайте. 

Рассмотрим еще один рисунок, а именно рисунок 3.
Пример связи между сайтами Active Directory
Рисунок 3. 

На этом рисунке мы видим что сетевой администратор из - за того что канал связи допустим исходя из конкретного описания нашей фирмы в предыдущих темах, что часть компьютеров находятся в Антарктике а часть в Европе то естественно связь между ними  по различным причинам не совсем быстрая и не совсем надежная, и администратор поделил общую сеть фирмы на два сайта, сайт А и сайт В. 

То есть решение о делении сети на два сайта принимает администратор исходя из конкретной ситуации продиктованная связью между подсетями.  

Отношения между сайтам и доменаим
Рисунок 4.

На рисунке 4 показаны отношение структур сайтов и доменов. То есть как мы видим что в одном домене могут быть как один сайт так и больше. А так же в один сайт может содержать в себя большое количество доменов. Или то же самое чуть по другому. Домен может охватывать несколько географических местоположении (смотри описание домена фирмы "Рога и Копыта"), и на одном сайте могут находится учетные записи и компьютеры, принадлежащих к разным доменам.

Основная задача сетевого администратора в данном случае есть адаптация структур сайтов к организационной структуре вашей фирмы.
Категория: Active Directory | Добавил: AlterEgo25 (30.08.2010)
Просмотров: 27650 | Комментарии: 10 | Рейтинг: 4.5/30
Всего комментариев: 10
10  
Я понимаю, что уже прошло "некоторое" время с момента написания статьи. Но все таки. Нет ли возможности поправить отсутствующие картинки?
И большое спасибо за Ваш труд!

7  
Уже зню что дальше) Планирование Active Directory. А на счет, трафика я что-то придумаю. Тут ко мне (2 недели назад) обратилась одна тетка: заплатила РА (рекламному агентству) за создание сайта, 3 года платила за хостинг и поддержку (в основном за работу контент-менеджера), и кудато этот контент-менеджер девался, она больше не хотела с ними работать и пришла ко мне с вопросом могу залить фотки на сайт. Я типа - ок. Адрес сайта в гугл - нет ... в яндекс - нет. Сайту 3 года блин, а его нигде нет, и 5 зарегистрированных пользователей, последний вход год назад. Забрал пароли за неделю времени трафик увеличился в n-раз. И даже новый пользователь появился. А я думал, что я это я ламер и ничего не понимаю в HTML и раскрутке сайтов.

8  
biggrin

9  
А то что вы возьметесь за планирование...это правильно....только планируйте Active Directory для ваших нужд...то есть справа представите идеальную структуру АД для вашей фирмы... с учетом того что бы любые изменения в структуре фирмы не затрагивали коренное изменение Active Directory, потому как изменять уже созданный домен это мрак....и стремитесь к простоте и возможности масштабирования...

5  
Очень благодарен, написано очень понятно, даже для меня. До меня не очень быстро доходит, но если уже понял, то сам кому угодно объясню.
За последние несколько дней я понял, для чего DNS, Active Directory, и как разделять сеть на подсети.

Дочитал (и понял, что очень важно!)) Active Directory. Физическая структура. Что посоветуете прочитать дальше. За неделю времени мне нужно научиться "поднимать домен с нуля"

Заранее благодарен))

Если нужно, то после могу помочь с сайтом и его раскруткой (так как Я также за павсимесную и всиоблемущюю паддершку Аброзования!).

6  
И вам спасибо.... а помощи всегда рад...и приму с удовольствием...попробуйте сами написать статью про то как вы подняли домен с нуля с учетом непосредственно вашей фирмы...если такое напишите....то считайте что у вас в дальнейшем не будут проблемы...а те что появятся решите...или решим вместе...
А статью начните с формулировки задачи...простыми словами... и к чему должны прийти в конце.... а потом как вы это делать будите...статью поместим на сайте...пусть и другие учатся...и вам польза... только я пропаду на месяц после 5 числа из интернета....дела...но пропаду не на всегда... biggrin

3  
Да, статья супер, похоже на профессиональный курс, не хуже чем электронные курсы CCNA, большое спасибо автору!

4  
Ой Locktar (тока между нами …. как медик - медику ) вы напомнили мне о том что....даЖ стыдно признаться.... я когда - то (ой давно было) получил сертификацию по эНтим ...как они там называются .... а вот...CCNA.... tongue

1  
Статья на 5 баллов для введения в AD. Просьба к автору статьи - не могли бы вы в таком стиле изложить книгу по AD Exam 70-640 ? biggrin

2  
Уважаемый Plazma, спасибо за ваш отзыв о статье biggrin ...
Но простите меня великодушно, изложенем книг я не занимаюсь, да и такой книги у меня нет... я просто помогаю моим бывшим коллегам и бывшим ученикам в понимании того что они делают...то есть пытаюсь передать своими словами простые вещи которые так мудренно звучат иногда в литературе, а по сути просты....насколько это получается не мне судить...
если есть вопросы спрашивайте, чем смогу помогу

С уважением Леонид.

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Подписатся
Подписаться на рассылку
"Active Directory - от простого к сложному."


 
Mail.Ru
Подписатся
Подписаться на:
Active Directory от простого к сложному | RSS
Имя:
E-mail

Посетите Каталог Maillist.ru.
Maillist.ru: Active Directory от простого к сложному
Поделись с другом
Поиск
Loading
Рейтинг чатов Поисковый каталог Эхо Ру счетчик посещений
счетчик посещений

Copyright MyCorp © 2018
Используются технологии uCoz