Active Directory. Физическая структура
Физическая структура Active Directory как упоминали в прошлой статье состоит из контроллеры доменов и сайтов. Смотрите рисунок 1.
Рисунок 1.
Контроллер домена - это компьютер на котором установлен Windows Server 2003, и который поддерживает копию базы данных службы Active Directory. То есть это как правило сервер на котором установлена операционная сетевая система Windows Server 2000 или Windows Server 2003 и как говорят администраторы "поднята" (установлена) служба каталогов Active Directory.
Все данные базы данных службы Active Directory хранятся в отдельном файле Ntds.dit на контроллере домена. Этот файл данных по умолчанию находится в папке %SystemRoot%\NTDS, расположенной на контроллере домена. В нем хранится вся информация каталога, предназначенная для данного домена, а также данные, являющиеся общими для всех контроллеров домена в данной организации или предприятии. Такое обозначение как %SystemRoot% надо понимать как - та директория (папка) в которой мы установили наш Windows Server 2003. По умолчанию (если мы в процессе инсталляции ничего не меняли) это директория под именем Windows.
Вторая копия файла Ntds.dit находится в папке %SystemRoot%\ System32. Эта версия файла - поставляемая копия (копия, заданная по умолчанию) базы данных каталога, она используется для установки службы Active Directory. Этот файл копируется на сервер во время установки Microsoft Windows Server 2003, чтобы сервер можно было назначать контроллером домена без необходимости обращаться к инсталляционной среде. Во время выполнения мастера инсталляции Active Directory файл Ntds.dit копируется из папки System32 в папку NTDS. Затем копия, сохраненная в папке NTDS, становится действующей копией хранилища данных каталога. Если это не первый контроллер домена в домене, то файл будет обновлен из других контроллеров домена через процесс репликации.
Все контроллеры домена по умолчанию равны между собой. То есть нет главного контроллера домена и подчиненные. Но есть и исключения. О них мы поговорим после того как разберем что такое репликация, но в данной теме все же коснемся репликации.
В домене могут быть несколько контроллеров домена. Контроллер домена обслуживает только свой домен. Помимо прочего контроллеры домена проводят аутентификацию при попытки регистрации пользователей и обеспечивают политику безопасности домена.
Под аутентификацией следует понимать вопрос - "кто ты такой"?. В жизни нам приходятся при этом вопросе показывать паспорт для уточнения нашей личности. В сети при этом вопросе мы указываем наш "логин" то есть мы сперва представляемся "я такой-то" а потом в доказательстве что ты именно тот за которым ты себя выдаешь, пишешь "пароль".
Давайте чуть поговорим о репликации. Как мы знаем служба каталогов Active Directory можно рассматривать как базу данных домена. Если допустим у нас в домене есть не один контроллер домена а несколько, то при внесении информации в один контроллер домена, вернее внесение информации в Active Directory (допустим внесли нового пользователя) то что бы информация о домене была везде одинакова мы должны эту информацию передать и в другие Active Directory что есть у нас в домене. Контроллер домена и занимается пересылкой и синхронизацией информации между контроллерами домена. При пересылке этой информации, говорят что контроллер домена производит репликацию. То есть получается что копия Active Directory хранится на каждом контроллере домена и при этом если на одном контроллере домена произошли изменения то эта информация реплицируется на остальные контроллеры домена. К репликации мы еще вернемся.
Ниже приведены основные функции контроллеров домена.
- На каждом контроллере домена хранится полная копия информации Active Directory, относящиеся к данному домену. Контроллер управляет данной информацией и реплицирует ее на все остальные контроллеры своего домена.
- Контроллер домена автоматически проводит репликацию информации каталога, относящиеся ко всем объектам домена. Любая операция имеющая своим результатом обновление Active Directory, приводит к внесению изменений в информации хранящиеся на одном из контроллеров домена. Затем этот контроллер реплицирует информацию на все остальные контроллеры домена.
- Отдельные виды информации внесенные в Active Directory - например сведения об отключенных пользовательских учетных записей - контроллер домена на котором это было произведено реплицирует эту информацию незамедлительно.
- В Active Directory используется репликация с несколькими хозяевами. При такой репликации не один контроллер домена не является главным. Напротив все контроллеры данного домена равноправны - на каждом из них содержится копия базы данных каталога Active Directory с возможностью записи в нее новых данных. В определенные моменты времени информация на некотором контроллере домена может отличатся от остальных контроллерах так как на данном контроллере домена была внесена некоторая информация (допустим внесли нового пользователя или удалили какого-то пользователя), после репликации на всез контроллерах домена информация в их Active Directory станет идентичной.
- Несмотря на реализованную по умолчанию репликацию с несколькими хозяевами, некоторые изменения не совсем практично производить в этом режиме. Иногда средствами одного или нескольких контроллеров домена проводится репликация с одним хозяином. При проведении репликации такого рода один или несколько контроллеров домена становятся главными и играют роль хозяина операций (operations master role). Об этом чуть позже.
- Контроллеры домена ответственны за выявление конфликтов которые происходят, когда до полного распространения информации (репликации) какой-то тот же самый атрибут присутствует на разных контроллерах или тот же самый атрибут претерпевает изменения на другом контроллере. Конфликты выявляются путем сравнения номеров версий свойств атрибута (уникальная для атрибута числовое значение) которая инициализируется в момент создания атрибута. Для разрешение конфликта Active Directory распространяет атрибут с более высокой версией (то есть который был изменен последний).
Наличие в домене нескольких контроллеров домена повышает отказоустойчивость. В случае если один контроллер домена по тем или иным причинам отказал, все функции по обеспечению работоспособности нашего домена берет на себя оставшиеся контроллеры домена.
Контроллеры домена регулируют все аспекты взаимодействия пользователей с с доменом. В частности помогают найти объекты Active Directory, осуществляют контроль попыток регистрации пользователей и другое.
Сайты
Компьютерная сеть любой большой компании (предприятии, фирме) как правило состоит из некоторого количество сетей или скажем совокупности сетей, соединенных между собой. Один из важных параметров сетей есть их пропускная способность. Недостаточная пропускная способность отдельных сетей нашей компании может стать причиной при регистрации пользователей в сети, при поиске объектов в сети, а так же при репликации, и другое.
При обсуждении логических компонентов как вы заметили они практически не зависят от физической структуры компьютерной сети. Например, при проектировании структуры домена для нашей фирмы (предприятии) вопрос о том, где расположены пользователи, является не самым важным. Все пользователи в домене могут находиться в единственном офисном строении или в офисах, расположенных по всему миру. В нашем случае пользователи домена rk.com описание которого вы найдете в предыдущей теме на рисунке 9,часть пользователей находятся в России, а часть в Антарктиде. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования (применения) так называемых сайтов в Active Directory.
В зависимость от пропускной способности коммуникационных линий что образуют компьютерные сети, сетевой администратор разделяет (делит) вычислительную сеть компании (предприятия), на области, которые получили такое название как сайт.
Сайт (site) или узел представляет собой часть от общей сети предприятия. Сайты сведены между собой.
Или, суммируя все сказанное -
Сайт - представляет собой совокупность подсетей, соединенных между собой высокоскоростными линиями связи.
Предполагается (или так лучше всего делать) что сайты соединяются друг с другом высокоскоростными линиями связи (но в жизни бывает и не так).
Получается что сайт — это группа компьютеров в одной или нескольких IP-подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Также нет связи между диапазоном IP-адресов сайта и пространством имен домена.
Примечание: Про сети и подсети, и как разбить сеть на подсети читайте тут.
Сайты являются самостоятельными образования и не зависят (не связаны) с доменной структуры предприятия или сети. Хотя сетевой администратор может использовать домены для регулирования трафика репликации, зачастую структура сайтов не отображается на структуру доменов.
Сайты не являются частью пространства имен каталога Active Directory, они лишь характеризуют его физическую структуру. Это означает что принадлежность объекта (допустим компа) к тому или иному сайту (читай подсети) не зависит (не связан) с его положением (местонахождением) в Active Directory. Выбор того или иного сайта определяется прежде всего, тем, в какой подсети физически находятся данный объект. Например в зависимости от того, на каком компьютере пользователь входит в сеть, он может рассматриваться как находящийся то в одном, то в другом сайте (но при этом находится в том же допустим домене или каталоге Active Directory).
На сайтах содержится только такие объекты как компьютеры и соединения, причем последние применяются при настройке межсайтовой репликации. На рисунке 2 показан сайт компании "Рога и Копыта". Рисунок 2.
Из рисунка 2 мы видим что у фирмы "Рога и Копыта" есть две подсети. Первая подсеть имеет IP-адрес 192.168.1.0/24 а вторая подсеть с адресом 10.1.1.0/24. Почему стоит "слэш" (/) после IP-адреса мы рассмотрим в других статьях, а теперь просто запомните что это есть длина маски подсети. Да и в этом примере IP-адреса взяты только для примера (каламбурчик). Но эти две подсети находятся в одном сайте.
Рассмотрим еще один рисунок, а именно рисунок 3. Рисунок 3.
На этом рисунке мы видим что сетевой администратор из - за того что канал связи допустим исходя из конкретного описания нашей фирмы в предыдущих темах, что часть компьютеров находятся в Антарктике а часть в Европе то естественно связь между ними по различным причинам не совсем быстрая и не совсем надежная, и администратор поделил общую сеть фирмы на два сайта, сайт А и сайт В.
То есть решение о делении сети на два сайта принимает администратор исходя из конкретной ситуации продиктованная связью между подсетями.
Рисунок 4.
На рисунке 4 показаны отношение структур сайтов и доменов. То есть как мы видим что в одном домене могут быть как один сайт так и больше. А так же в один сайт может содержать в себя большое количество доменов. Или то же самое чуть по другому. Домен может охватывать несколько географических местоположении (смотри описание домена фирмы "Рога и Копыта"), и на одном сайте могут находится учетные записи и компьютеры, принадлежащих к разным доменам.
Основная задача сетевого администратора в данном случае есть адаптация структур сайтов к организационной структуре вашей фирмы.
|