3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf5 1 8 |
Сайты и репликация |
Глава 11 |
реплицнрованные ресурсы с самого эффективного сервера в зависимости от своих узлов Active Directory. Поскольку клиенты обычно знают, в каком узле находятся, то для того, чтобы использовать преимущества структуры сайтов Active Directory, в перечень служб можно добавить любую распределенную службу.
Планирование сайтов
Сайты используются для оптимизации репликации и локализации служб, поэтому нужно тщательно распланировать структуру сайтов Active Directory (они могут не соответствовать сетевым узлам). Рассмотрим два сценария.
•В вашей компании есть два удаленных офиса, в каждом из которых вы размещаете контроллер домена. Между офисами установлено высокоскоростное подключение. Для повышения производительности необходимо отконфигурировать один'сайт Active Directory для обоих офисов.
•Предприятие расположено в большом здании с хорошими коммуникациями. В отношении репликации предприятия можно использовать один сайт, однако вы хотите, чтобы клиенты применяли распределенные службы на своем местоположении и конфигурируете множество сайтов для поддержки локализации служб.
Сайт Active Directory может включать несколько сетевых узлов или являться подсетью отдельного сетевого узла. Нужно запомнить, что сайты предназначены для управления репликацией и локализации служб. Далее описаны характеристики предприятия, которые можно использовать для определения сайтов.
Скорость подключения
Сайт Active Directory представляет собой сетевую единицу, которая характеризуется быстрым, стабильным и недорогим подключением. В документации указано, что медленным подключением считается соединение со скоростью ниже 512 кбит/с. Однако некоторые организации устанавливают внутри сайтов пороговое значение для медленных подключений на уровне 56 или даже 28 кбит/с.
Размещение службы
Поскольку сайты Active Directory управляют репликацией Active Directory и локализацией служб, нет смысла создавать сайт для сетевого размещения без контроллера домена или другой службы Active Directory (например, реплицированный ресурс DFS).
ПРИМЕЧАНИЕ |
Сайты без контроллеров домена |
Контроллеры домена представляют лишь одну распределенную службу на предприятии — Windows. Другие службы, такие как реплицируемые ресурсы DFS, также используют топологию сайтов. Сайты можно отконфигурировать для размещения не только служб проверки подлинности, но и других, а также устанавливать без контроллеров доменов.
5 20 |
Сайты и репликация |
Глава 11 |
сайта Active Directory создается объект класса site. Объект сайта представляет собой контейнер, который управляет репликацией для контроллеров домена в сайте. При этом также создается один или несколько объектов подсетей. Объект подсети определяет диапазон IP-адресов и привязан к одному сайту. Локализация служб осуществляется в том случае, если IP-адрес клиента можно связать с сайтом через связь между объектом подсети и объектом сайта.
Чтобы создать объект сайта, щелкните правой кнопкой мыши узел Sites в оснастке Active Directory — сайты и службы (Active Directory Sites And Services) и выполните команду Создать сайт (New Site). В открывшемся диалоговом окне Новый объект — Сайт (New Object — Site), показанном на рис 11-1, введите имя сайта и выберите связь. В окне доступна лишь связь сайтов по умолчанию DEFAULTIPSITELINK — до тех пор, пока не будут созданы дополнительные связи сайтов, описанные на занятии 2.
Соштъ в corlosoconvCaAgi/aityv'StM
Efe£ef»reOOWKT'CBUBCсайтов' алаэтого сайта Ойъекты Танэасайтов" латоаятся в контвй>«ре Сайты и че»хайтов»А транспорт".
MMBUWV |
|
•" jkienaF |
MDEFAUU1PSITEJNK |
IP |
|
Рис. 11-1. Создание нового сайта
Сайт Default-First-Site-Name рекомендуется переименовать и назначить ему имя, соответствующее топологии сети. Щелкните его правой кнопкой мыши и выполните команду Переименовать (Rename).
Сайты имеет смысл использовать только в том случае, когда клиент или сервер знает, к какому сайту принадлежит. Как правило, для этого IP-адрес системы связывается с сайтом, и эту связь получают объекты подсети. Чтобы создать объект подсети, в оснастке Active Directory — сайты и службы (Active Directory Sites and Services) щелкните правой кнопкой мыши узел Subnets и выполните команду Создать подсеть (New Subnet). Откроется диалоговое окно Новый объект — Подсеть (New Object — Subnet), показанное на рис. 11-2. Объект подсети определяется как диапазон адресов, использующих нотацию сетевого префикса. Например, чтобы ввести подсеть, представляющую диапазон адресов от 10.1.1.1 до 10.1.1.254 с 24-битной маской подсети, используется префикс 10.1.1.0/24. Чтобы получить более подробные сведения об адресах, в диалоговом окне Новый объект — Подсеть (New Object — Subnet) щелкните ссылку Дополнительные сведения о вводе префиксов адресов (Learn More About Entering Address Prefixes).
5 22 |
Сайты и репликация |
Глава 11 |
|
ПРИМЕЧАНИЕ |
Определение каждой IP-подсети |
|
|
В производственной среде нужно определить каждую подсеть IP как объект подсети Active Directory Если IP-адрес клиента не включен в диапазон подсети, клиент не определит, к какому сайту Active Directory он принадлежит, в результате чего могут возникать проблемы производительности и функциональности. Не забывайте о магистральных подсетях, а также подсетях, используемых для удаленного доступа, таких как виртуальные частные сети.
Управление контроллерами домена в сайтах
Управление контроллерами доменов в сайтах Active Directory необходимо в таких случаях:
•создается новый сайт, куда необходимо переместить существующий контроллер домена;
• контроллер домена понижается до ранга рядового сервера;
•создается новый контроллер домена.
При создании леса Active Directory первый контроллер домена автомати-
чески размещается в |
объекте сайта Default-First-Site-Name. |
На рис. |
11-5 показан |
контроллер домена |
SERVER01.contoso.com. Д о п о л н и |
т е л ь н ы е |
контроллеры |
домена будут добавляться в сайты с учетом их IP-адресов. Например, если сервер с IP-адресом 10.1.1.17 повысить да ранга контроллера домена в сети (см. рис. 11-4). то сервер автоматически будет добавлен в сайт B R A N C H . На рис. 11-5 также показан сервер SERVER02 в сайте B R A N C H .
• •л. |
|
|
|
Vj • 1 1Л1» |
|
||
в |
У* Л* ''«ОО |
||
Я» |
|
|
|
ё 2 |
|
|
» |
в С ^ |
j |
П Р О . |
|
i ™ |
|
||
В |
| |
» « ш г |
fettrgi |
|
- |
f НПК |
|
Рис. 11-5. Контроллер домена в узле
Сайт всегда содержит контейнер Servers с объектом для каждого контроллера домена. Контейнер Servers в сайте должен содержать лишь контроллеры домена, а не серверы. По умолчанию новый контроллер домена размещается в сайте, который связан с IP-адресом контроллера. Однако Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard) позволяет указать еще один сайт. Для контроллера домена можно
'Занятие 1 Настройка сайтов и подсетей 5 2 3
также предварительно создать в корректном сайте объект сервера, щелкнув правой кнопкой м ы ш и контейнер Servers в соответствующем сайте и выполнив команду Сервер (Server) в меню Создать (New).
И наконец, контроллер домена можно переместить после установки в корректный сайт, щ е л к н у в сервер п р а в о й кнопкой мыши и выполнив команду Переместить (Move) . В диалоговом окне Перемещение сервера (Move Server) выберите новый сайт и щ е л к н и т е О К . Контроллер домена будет перемещен. Рекомендуется поместить его в объект сайта, который связан с IP-адресом. Еслн контроллер домена с о д е р ж и т несколько сетевых адаптеров, он может принадлежать только одному сайту. Если сайт не содержит контроллер домена, пользователи все равно смогут входить в домен, а их запросы входа будут обрабатываться к о н т р о л л е р о м домена в соседнем сайте или еще одним контроллером в домене.
Чтобы удалить объект контроллера домена, щелкните его правой кнопкой мыши и выполните команду Удалить (Delete).
Размещение контроллеров домена
В начале этого з а н я т и я мы говорили о том, что службы AD DS являются распределенными и обеспечивают проверку подлинности и доступ к каталогам на множестве контроллеров домена, а т а к ж е описали, как планировать сетевую топологию для определения сайтов и размещения контроллеров домена. Теперь проанализируем л о к а л и з а ц и ю служб — в частности, каким образом клиенты Active Directory определяют свой сайт и локализуют контроллер домена в своем сайте. Хотя для сдачи сертификационного экзамена не требуются знания на таком уровне, они о к а ж у т с я весьма ценными при устранении неполадок при проверке подлинности компьютера или пользователя.
Записи р а с п о л о ж е н и я с л у ж б ы
Контроллер, добавляемый в домен, извещает о своих службах, создавая в DNS записи Расположение с л у ж б ы (SRV, Service Locator). В отличие от записей узла (А), которые сопоставляют имена хостов с IP-адресами, записи SRV сопоставляют службы с именами хостов. Контроллер домена также информирует о своей способности выполнять проверку подлинности и предоставлять доступ к каталогу, регистрируя записи Kerberos и LDAP-записи SRV. Эти SRV-записи добавляются в несколько папок внутри DNS-зон леса. Первая папка _tcp находится внутри зоны домена и содержит SRV-записи для всех контроллеров в домене. Вторая папка привязана к сайту, где расположен контроллер домена
(путь к ней: _sites\uMM_cauma\_tcp). Записи |
Kerberos и LDAP-записи SRV |
для контроллера SERVER02 . contoso . com на |
его сайте _ s i t e \ B R A N C H \ _ t c p |
представлены на рис. 11-6. В зоне также есть папка первого уровня _tcp. |
|
Эти же записи регистрируются еще в нескольких местах зоны _msdcs.Имя_ домена, например в _msdcs.contoso.com (рис. 11-6). Указанная зона содержит записи служб контроллеров доменов Microsoft (Microsoft Domain Controller Services). Символы подчеркивания являются требованием документации RFC 2052.
5 2 4 |
|
|
Сайты и репликация |
|
|
Глава 11 |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
И |
|
|
I |
I |
' И И И И ' И |
|
|
ШШШШШШШШЯЯ. |
|
|
||
Консоль |
Действие |
Вид |
Справка |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
С 1 . |
: D |
" |
3 Г К , |
I V - |
|
] |
|
. 1 |
DNS |
|
|
|
|
|
Нами*** |
| Т» Л |
| Значение |
| Штамп времени |
||
В |
i |
SBWERQ2 |
|
|
|
Ш |
= |
Расположение службы (SRV) |
[0] [100] [3268] server02.co... |
29.11.2008 14:00:00 |
||
|
S |
i y ) |
Глобалы** журма/ы |
f |
i_kerberos |
Расположение службы (SRV) |
[0][100][88] server02.cont... |
29.11.2008 14:00:00 |
||||
|
E |
2 |
Зоны пряного просмотра |
|
|
Расположение службы (SRV) |
[0][100}[339] server02.con... |
29.11.2008 14:00:00 |
||||
|
|
S |
._msdcs.contoso.axn |
|
|
|
|
|
||||
|
|
3 |
|
contoso.com |
|
|
|
|
|
|
||
|
|
|
ffi >7§ |
_msdcs |
|
|
|
|
|
|
||
|
|
|
S |
'1 |
_stes |
|
|
|
|
|
|
|
|
|
|
|
в . B R A N C H |
|
|
|
|
|
|
||
|
|
|
|
|
. |
JCP |
|
|
|
|
|
|
|
|
|
|
В |
• Default-Frst-S |
|
|
|
|
|
||
|
|
|
|
|
В Ш _T£P |
|
|
|
|
|
|
|
|
|
|
|
|
JO> |
|
|
|
|
|
|
|
|
|
|
Я |
3 |
_udp |
|
|
|
|
|
|
|
|
|
|
|
. |
DomarOnsZones |
|
|
|
|
|
||
|
|
|
В ... |
ForestDnsZones |
|
|
|
|
|
|||
|
|
|
В |
t"j |
info |
|
|
|
|
|
|
|
|
|
|
В . .. |
parbbonOl |
|
|
|
|
|
|
||
|
|
3 |
. GtobaNames |
|
|
|
|
|
|
|||
|
|
В |
. |
treyresearch.net |
|
|
|
|
|
|
||
|
S |
3ortji обратного просмотр |
|
|
|
|
|
|||||
1 |
|
E |
Серверы условна* переа |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 11-6. Записи SRV для SERVER02 в сайте BRANCH
|
Далее перечислены сведения, содержащиеся в записи расположения служб. |
|
• |
Имя и порт службы Эта часть SRV-записи указывает службу с фиксиро- |
|
|
ванным портом, который не всегда должен быть общеизвестным. Записи |
|
|
SRV в Windows Server 2008 включают записи L D A P (порт 389), Kerberos |
|
|
(порт 88), протокол Kerberos Password ( K P A S S W D , порт 464) и служб |
|
|
глобального каталога GC (порт 3268). |
|
• |
Протокол |
В качестве транспорта для службы используется протокол TCP |
|
или UDP. Одна служба может использовать оба протокола в отдельных |
|
|
SRV-записях. Например, записи Kerberos регистрируются для обоих про- |
|
|
токолов TCP и UDP. Клиенты Microsoft используют только TCP, однако |
|
|
клиенты UNIX могут применять U D P |
|
• |
Имя узла |
Это имя соответствует записи узла (А) сервера, управляющего |
|
службой. Когда клиент запрашивает службу, DNS-сервер возвращает SRV- |
|
|
запись и связанные записи (А), чтобы клиенту не нужно было посылать |
|
|
отдельный запрос для разрешения IP-адреса службы. |
|
Имя службы в SRV-записи указано в соответствии со стандартной иерархией DNS, где компоненты разделены точками. Например, служба Kerberos контроллера домена может быть зарегистрирована следующим образом:
k e r b e r o s . _ t c p , Имя_сайта. _ s i t e s . Имя_домена
При чтении этой SRV-записи справа налево, как и в случае с другими DNSзаписями, мы получаем следующее:
• имя_домена: домен или зона, например contoso.com;
•_sites: все сайты, зарегистрированные в DNS;
•имя_сайта: сайт контроллера домеиа, регистрирующий службу;
'Занятие 1 |
Настройка сайтов и подсетей |
525 |
•_tcp: все службы T C P сайта;
•kerberos: центр распространения ключей Kerberos (Kerberos Key Distribution Center, KDC), использующий протокол TCP.
Расположение контроллеров домена
Представим клиента Windows, который только что присоединился к домену. Он перезагружается, получает IP-адрес от DHCP-сервера и готов к прохождению проверки подлинности в домене. Клиент не знает, где искать контроллер домена, а потому запрашивает его путем опроса папки _tcp, которая, как вы помните, содержит SRV-записи всех контроллеров в домене. Сервер DNS возвращает список всех соответствующих контроллеров домена, после чего клиент пытается связаться со всеми этими контроллерами. Первый, который отвечает клиенту, анализирует IP-адрес, перекрестные ссылки на объекты подсетей и сообщает клиенту, к какому сайту тот принадлежит. Клиент сохраняет имя сайта в реестре, а затем опрашивает все контроллеры домена в папке _tcp сайта. Сервер DNS возвращает список всех контроллеров домена в сайте. Далее клиент пытается связаться со всеми, и первый ответивший контроллер домена выполняет проверку подлинности клиента.
Клиент определяет этот контроллер домена как близлежащий, и впоследствии будет пытаться проходить проверку подлинности именно на нем. Если контроллер домена недоступен, клиент вновь опрашивает папку _tcp сайта и пытается связаться со всеми контроллерами домена в узле. А что происходит, когда клиент является мобильным компьютером (ноутбуком)? Представим, что этот компьютер проходит проверку подлинности в узле BRANCH1, а затем пользователь переносит компьютер в узел BRANCH2. При запуске компьютер попытается связаться с предпочитаемым контроллером домена в узле BRANCH 1, который определит, что IP-адрес клиента связан с сайтом BRANCH2, и сообщит клиенту новый сайт, к которому тот принадлежит. Затем клиент запросит в DNS контроллеры домена в узле BRANCH2.
Таким образом — путем сохранения информации о подсетях и сайтах в Active Directory и регистрации служб в DNS — осуществляется поддержка использования клиентом служб в своем узле (локализация служб).
К СВЕДЕНИЮ |
Расположение контроллеров домена |
Более полную информацию по данному вопросу можно найти по адресу http:// www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distrib/dsbc_narjevl. mspx?mfr-true.
Покрытие сайтов
Как работает сайт без контроллера домена? Сайты используются для направления пользователей в локальные копии реплицируемых ресурсов, в том числе в общие папки, реплицируемые внутри именного пространства DFS, так что сайты можно применять и без контроллеров домена. В таком случае SRV-за- писи в узле будет регистрировать соседний контроллер домена, этот процесс