загрузка...
загрузка...
На головну

Контролери доменів і їх ролі

Контролер домену - це комп'ютер-сервер, керуючий доменом і зберігає репліку каталогу домену (локальну БД домену). Оскільки в домені може бути кілька контролерів домену, всі вони зберігають повну копію тієї частини каталогу, яка відноситься до їх домену [6].

Нижче перераховані функції контролерів доменів [4].

  • Кожен контролер домену зберігає повну копію всієї інформації Active Directory, що відноситься до його домену, а також управляє змінами цієї інформації і реплицирует їх на інші контролери того ж домена.
  • Всі контролери в домені автоматично реплікують між собою всі об'єкти в домені. Будь-які зміни, що вносяться до Active Directory, насправді виробляються на одному з контролерів домену. Потім цей контролер домену реплицирует зміни на інші контролери в межах свого домену. Ставлячи частоту реплікації і кількість даних, яке Windows буде передавати при кожній реплікації, можна регулювати мережевий трафік між контролерами домена.
  • Важливі оновлення, наприклад відключення облікового запису користувача, контролери домену реплікують негайно.
  • Active Directory використовує реплікацію з кількома господарями (multimaster replication), в якому жоден з контролерів домену не є головним. Всі контролери рівноправні, і кожен з них містить копію бази даних каталогу, в яку дозволяється вносити зміни. У короткі періоди часу інформація в цих копіях може відрізнятися до тих пір, поки всі контролери НЕ синхронізуються один з одним.
  • Наявність в домені декількох контролерів забезпечує відмовостійкість. Якщо один з контролерів домену недоступний, інший буде виконувати всі необхідні операції, наприклад записувати зміни в Active Directory.
  • Контролери домену керують взаємодією користувачів і домену, наприклад знаходять об'єкти Active Directory і розпізнають спроби входу в мережу.

Існує дві ролі господаря операцій, які можуть бути призначені єдиному контролера домену в лісі (ролі, які діють в межах лісу) [3]:

  • Господар схеми (Schema Master). Перший контролер домену в лісі приймає роль господаря схеми і відповідає за підтримку та поширення схеми на іншу частину лісу. Він підтримує список всіх можливих класів об'єктів і атрибутів, що визначають об'єкти, які знаходяться в Active Directory. Якщо схему потрібно оновлювати або змінювати, наявність Schema Master обов'язково.
  • Господар іменування доменів (Domain Naming Master). Протоколює додавання і видалення доменів в лісі і життєво необхідний для підтримки цілісності доменів. Domain Naming Master запитується при додаванні до лісу нових доменів. Якщо Domain Naming Master недоступний, то додавання нових доменів неможливо; однак при необхідності ця роль може бути передана іншому контролеру.

Існує три ролі господаря операцій, які можуть бути призначені одному з контролерів в кожному домені (общедоменние ролі) [3].

  • Господар RID (Relative Identifier (RID) Master). Відповідає за виділення діапазонів відносних ідентифікаторів (RID) всім контролерам в домені. SID в Windows Server 2003 складається з двох частин. Перша частина - загальна для всіх об'єктів в домені; для створення унікального SID до цієї частини додається унікальний RID. Разом вони унікально ідентифікують об'єкт і вказують, де він був створений.
  • Емулятор основного контролера домену (Primary Domain Controller (PDC) Emulator). Відповідає за емуляцію Windows NT 4.0 PDC для клієнтських машин, які ще не переведені на Windows 2000, Windows Server 2003 або Windows XP і на яких не встановлений клієнт служби каталогів. Одна з основних завдань емулятора PDC - реєструвати застарілі клієнти. Крім того, до емулятора PDC відбувається звернення, якщо аутентифікація клієнта виявилася невдалою. Це дає можливість емулятора PDC перевіряти недавно змінені паролі для застарілих клієнтів в домені, перш ніж відхиляти запит на вхід.
  • Господар інфраструктури (Infrastructure Master). Реєструє зміни, що вносяться до контрольовані об'єкти в домені. Про всі зміни спочатку повідомляється Infrastructure Master, і лише потім вони реплікуються на інші контролери домену. Infrastructure Master обробляє інформацію про групи і членство в них для всіх об'єктів в домені. Ще одне завдання Infrastructure Master - передавати інформацію про зміни, внесені в об'єкти, в інші домени.

Мал. 3.4. Прийняте за замовчуванням розподіл ролей господаря операцій в ліс

Роль «Сервер глобального каталогу» (GC - Global Catalog) може виконувати будь-який окремий контролер домену в домені - одна з функцій сервера, яку можна призначити контролера домену [13]. Сервери глобального каталогу виконують дві важливі завдання. Вони дають можливість користувачам входити в мережу і знаходити об'єкти в будь-якій частині лісу. Глобальний каталог містить підмножина інформації з кожного доменного розділу і реплицируется між серверами глобального каталогу в домені. Коли користувач намагається увійти в мережу або звернутися до якогось мережного ресурсу з будь-якої точки лісу, відповідний запит дозволяється за участю глобального каталогу. Інше завдання глобального каталогу, корисна незалежно від того, скільки доменів у вашій мережі, - участь в процесі аутентифікації при вході користувача в мережу. Коли користувач входить в мережу, його ім'я спочатку звіряється з вмістом глобального каталогу. Це дозволяє входити в мережу з комп'ютерів в доменах, відмінних від того, де зберігається потрібна для користувача обліковий запис.

фізична структура «-- попередня | наступна --» концепція сайтів
загрузка...
© om.net.ua