3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdfЗанятие 3 |
Настройка репликации |
539 |
• К о н ф л и к т ы о б н а р у ж е н и я и у п р а в л е н и я |
В редких ситуациях |
атрибут |
модифицируется на двух различных контроллерах доменов во время одной репликации. В таком случае эти два изменения будут конфликтовать друг с другом. В Active Directory имеются алгоритмы разрешения, подходящие практически д л я л ю б о й ситуации.
Репликацию Active Directory проще понять, проанализировав ее компоненты, и именно о них речь пойдет в последующих подразделах.
Объекты подключений
Контроллер домена р е п л и ц и р у е т изменения с еще одного контроллера благодаря объектам п о д к л ю ч е н и я AD DS, которые отображаются в оснастке Active Directory — сайты и с л у ж б ы (Active Directory Sites And Services) как объекты в
контейнере N T D S |
Settings объекта сервера контроллера домена. На рис. 11-10 |
||||||||||
показано, что объект п о д к л ю ч е н и я в |
S E R V E R 0 2 конфигурирует репликацию |
||||||||||
c S E R V E R O l |
на S E R V E R 0 2 . Объект |
подключения представляет путь репли- |
|||||||||
кации от одного контроллера домена к другому. |
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- l e t * ! |
|
КОНСОЛЬ |
Действие |
вид |
Справка |
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
: |
# |
Г |
. . |
Ш Й |
|
|
|
||
|
|
|
|
|
|
||||||
|
ЦЯ Active Drectorу - сайты и службы [SER VER01.contoso.com] |
Имя |
| С сервера |
| С сайта |
I Гил |
||||||
|
(3 Ш |
Sites |
|
|
|
|
МЦ «вздано автоматически> SERVER01 |
HEADQUARTERS |
Подклочт,е |
||
|
в |
|
Subnets |
|
|
|
|
|
|
|
|
|
|
|
|
10.1.1.0/24 |
|
|
|
|
|
||
|
|
|
idli) |
10.1.3.0/24 |
|
|
|
|
|
||
|
к; |
j |
Inter-Ste Transports |
|
|
|
|
|
|||
|
8 |
Щ BRANCH |
|
|
|
|
|
|
|||
|
|
E3 Lj |
Servers |
|
|
|
|
|
|||
|
|
|
a |
| |
SERVER02 |
|
|
|
|
|
|
|
|
|
|
|
gf |
NTDS Settings |
|
|
|
|
|
|
E! |
Ц HEADQUARTERS |
|
|
|
|
|
||||
|
|
Я |
Cj |
Servers |
|
|
|
|
|
||
|
|
|
В |
I |
SERVER01 |
|
|
|
|
|
|
|
|
|
|
ffi |
gf |
NTDS Settings |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 11-10. Объект подключения в оснастке Active Directory — сайты и службы
Объекты подключения являются односторонними и представляют лишь репликацию входящего трафика. Репликация в Active Directory — это не что иное, как технология извлечения информации . В домене, показанном на рис. 11-10, контроллер S E R V E R 0 2 извлекает изменения с контроллера SERVER01. В данном примере контроллер S E R V E R 0 2 является нижестоящим партнером по репликации, контроллер S E R V E R 0 1 — вышестоящим. Изменения переносятся с SERVER01 на S E R V E R 0 2 .
ПРИМЕЧАНИЕ |
Принудительная репликация |
Репликацию между двумя контроллерами домена можно включить принудительно, щелкнув правой кнопкой мыши объект подключения и выполнив команду Реплицировать сейчас (Replicate Now). Поскольку реплицируется лишь входящий трафик, для репликации данных обоих контроллеров домена нужно реплицировать объект входящего подключения на каждом из них.
| 5 4 0 |
Сайты и репликация |
Глава 11 |
Knowledge Consistency Checker
Пути репликации, построенные между контроллерами доменов объектами подключений, образуют в лесу топологию репликации. Active Directory создает по умолчанию двухстороннюю топологию, так что в случае отказа одного контроллера домена репликация будет продолжена в бесперебойном режиме. Эта топология также гарантирует не больше трех прыжков между д в у м я любыми контроллерами доменов.
На рис 11-10 показано, что объект подключения генерируется автоматически. На каждом контроллере домена компонент Active Directory под названием КСС (Knowledge Consistency Checker) позволяет автоматически генерировать и оптимизировать репликацию между контроллерами доменов внутри сайта. Процесс КСС оценивает контроллеры доменов в сайте и создает объекты подключений для построения двухсторонней топологии из трех прыжков, описанной ранее. Если контроллер домена добавляется или удаляется из сайта или не отвечает на запросы, КСС динамически переформирует топологию, добавляя и удаляя объекты подключений.
Чтобы назначить постоянные пути репликации, рекомендуется создать объекты подключений вручную (они не удаляются службой КСС) . Локализуйте объект сервера нижестоящего партнера по репликации, то есть контроллера домена, который будет получать изменения от исходного контроллера домена. В объекте сервера щелкните правой кнопкой мыши контейнер N T D S Settings н выполните команду Создать подключение доменных служб Active Directory (New Active Directory Domain Services Connection).
В диалоговом окне Поиск: Контроллеры домена Active Directory ( F i n d . Active Directory Domain Controllers) выберите в ы ш е с т о я щ е г о партнера по репликации и щелкните ОК. Затем откройте свойства объекта подключения и в поле Описание (Description) укажите назначение в р у ч н у ю созданного объекта подключения.
Внутри сайта объекты подключений нужно создавать л и ш ь в некоторых случаях - один из таких случаев связан с резервными хозяевами операций (о них говорилось в главе 10). Следует выбрать контроллеры доменов в качестве резервных хозяев операций на случай переноса или отзыва роли хозяина операций. Резервный хозяин операций должен быть п р я м ы м партнером по репликации с текущим хозяином операций. Таким образом, если контроллер домена DC01 является хозяином RID, а контроллер домена DC02 - системой, которая возьмет на себя роль хозяина RID в случае отключения DC01 от сети, то в DC02 необходимо создать объект подключения д л я непосредственной репликации с DC01.
Репликация внутри сайта
Репликация выполняется после установки объектов подключений между контроллерами домена в сайте (автоматически службой КСС или вручную). В процессе внутриузловой репликации реплицируются изменения внутри отдельного сайта.
Занятие 3 Настройка репликации 564
Уведомление
Р а с с м о т р им сайт, п о к а з а н н ы й на рис. 11-10. Когда контроллер SERVER01 вносит изменение в раздел, он запрашивает изменение для репликации своим партнерам. Контроллер S E R V E R 0 1 по умолчанию ожидает 15 с, прежде чем уведомит своего первого партнера по репликации SERVER2 об изменении. Уведомление — это процесс: в ы ш е с т о я щ и й партнер информирует своего нижестоящего партнера о доступности изменения . По умолчанию SERVER01 ожидает 3 с, а потом отправляет уведомление дополнительным партнерам. Эти задержки, которые н а з ы в а ю т с я исходной задержкой уведомления и последующей задержкой уведомления, предназначены для дифференцирования трафика репликации внутри сайта.
Получив уведомление, н и ж е с т о я щ и й партнер SERVER02 запрашивает изменения с контроллера S E R V E R 0 1 , а агент репликации каталога DRA (Directory Replication Agent) отправляет атрибут с SERVER01 на SERVER02. В этом примере исходное изменение в Active Directory внес контроллер SERVER01 — исходный контроллер домена, породивший изменение. Контроллер SERVER02 получает это изменение от S E R V E R 0 1 и вносит его в свой каталог (оно еще не считается реплицированным) . Контроллер SERVER02 запрашивает изменение для репликации своим н и ж е с т о я щ и м партнерам по репликации.
Н и ж е с т о я щ и м партнером S E R V E R 0 2 по репликации является SERVER03. Через 15 с S E R V E R 0 2 уведомляет S E R V E R 0 3 о новом изменении. Контроллер S E R V E R 0 3 вносит реплицированное изменение в свой каталог, а затем уведомляет своих н и ж е с т о я щ и х партнеров. Изменение выполнило два прыжка: с S E R V E R 0 1 на S E R V E R 0 2 , а затем с SERVER02 на SERVER03. Топология репликации гарантирует не более трех прыжков, прежде чем будет получено изменение всеми контроллерами домена. Это означает, что после трех прыжков (каждый выполняется приблизительно 15 с) изменение будет полностью реплицировано в сайте (для этого понадобится примерно 1 мин).
Опрос
Контроллер S E R V E R 0 1 может долго не получать изменения для своих реплик, в частности во время отключения. В таком случае его нижестоящий партнер по репликации S E R V E R 0 2 не будет получать уведомления от SERVER01. Кроме того, S E R V E R 0 1 может быть отключен от сети без возможности посылать уведомления на S E R V E R 0 2 . Поэтому контроллеру SERVER02 нужно знать, что его вышестоящий партнер в сети и просто не содержит никаких изменений.
Для этой цели используется так называемый процесс опроса. Нижестоящий партнер по репликации связывается с вышестоящим и запрашивает изменения в очереди для репликации . По умолчанию интервал опроса для репликации внутри сайта составляет 1 ч. Частоту опроса можно отконфигурировать (правда, это не рекомендуется делать) в свойствах объекта подключения, щелкнув кнопку Изменить расписание (Change Schedule).
Не получив ответа на многократные попытки опроса, нижестоящий партнер запускает процесс К С С для проверки топологии репликации. Если вышестоящий сервер действительно отключен от сети, топология репликации перестраивается в соответствии с этим изменением.
Занятие 3 Настройка репликации 543
Поскольку все четыре сайта включены в одну связь сайтов, Active Direc-
tory |
может |
в ы п о л н я т ь р е п л и к а ц и ю всех сайтов друг на друга. Это |
означает, |
что |
Сиэтл реплицирует и з м е н е н и я из Амстердама, Амстердам — из |
Пекина, |
|
а Пекин — |
из главного о ф и с а H E A D Q U A R T E R S , который, в свою очередь, |
||
реплицирует и з м е н е н и я из Сиэтла . Трафик репликации в сети перетекает по этим нескольким путям репликации из одного филиала в другой через главный офис. С такой связью сайтов нет необходимости создавать централизованную топологию р е п л и к а ц и и в виде звезды (hub-and-spoke), даже если реальная топология сети я в л я е т с я таковой .
Поэтому рекомендуется вручную создать связи сайтов в соответствии с физической топологией сетей. В предыдущем примере можно было бы создать три связи сайтов:
•H E A D Q U A R T E R S - A M S , включающая сайты главного офиса и в Амстердаме;
•H E A D Q U A R T E R S - S E A , в к л ю ч а ю щ а я сайты главного офиса и в Сиэтле;
•H E A D Q U A R T E R S - P E K , включающая сайты главного офиса и Пекина. Затем связь D E F A U L T I P S I T E U N K можно удалить. Результирующая то-
пология показана на рис. 11-12.
Связь сайтов HEADQUARTERS-PEK |
Связь сайтов HEADQUARTERS-AMS |
Рис. 11-12. Сетевая топология и связь из трех сайтов
После создания связей сайтов генератор ISTG начнет использовать топологию для построения репликации между сайтами с подключением ко всем сайтам. Для настройки путей репликации между сайтами автоматически конструируются объекты подключений.
| 544 |
Сайты и репликация |
Глава 11 |
Транспортные протоколы репликации
В оснастке Active Directory — сайты и службы (Active Directory Sites And Services) связи сайтов содержатся в контейнере IP, который находится в контейнере Inter-Site Transports. Изменения реплицируются между контроллерами домена с использованием одного из двух протоколов.
•Протокол DS - RPC (Directory Service Remote P r o c e d u r e Call, DS - RPC) Отображается в оснастке как IP. Протокол IP используется для репликации внутри сайтов и по умолчанию является предпочтительным протоколом для репликации между сайтами.
•Протокол ISM-SMTP (Inter-Site Messaging-Simple Mail Transport Protocol)
Этот протокол также называется протоколом S M T P и используется только в том случае, если сетевые подключения между сайтами являются нестабильными и не всегда доступными.
В целом для всей репликации между узлами используется протокол IP. Очень немногие организации задействуют для репликации SMTP, поскольку для этого протокола необходимо конфигурировать и управлять центром сертификации СА (Certificate Authority). Кроме того, репликация SMTP не поддерживается для контекста именования доменов, так что если сайт использует SMTP для репликации данных на предприятии, то он должен охватывать весь домен.
СОВЕТ К ЭКЗАМЕНУ
Хотя в производственной среде протокол SMTP обычно не используется для репликации, репликация SMTP включена в сертификационный экзамен. Необходимо помнить самое главное: два сайта, которые могут выполнять репликацию только с помощью протокола SMTP, должны быть отдельными доменами в лесу. Протокол SMTP нельзя использовать для репликации контекста именования доменов.
Мостовые серверы
Генератор ISTG создает топологию репликации между сайтами в связи сайтов. Для оптимизации репликации один из контроллеров домена назначается в качестве мостового сервера, или сервера-плацдарма. Мостовой сервер отвечает за всю входящую и исходящую репликацию раздела для сайта. Например, если сайт центра данных содержит пять контроллеров домена, один из них будет выступать в роли сервера-плацдарма для контекста именования доменов. Все изменения, внесенные в центре данных в раздел домена, будут реплицироваться на все контроллеры домена в сайте. Изменения, поступающие на мостовой сервер, будут реплицироваться на серверы-плацдармы в филиалах, которые, в свою очередь, реплицируют изменения на контроллеры домена в своих сайтах. Аналогичным образом все изменения контекста именования доменов в филиалах будут реплицироваться с мостовых серверов филиалов на сервер-плацдарм в центре данных, который, в свою очередь, реплицирует эти изменения на другие контроллеры домена в центре данных. На рис. 11-13 продемонстрирована внутриузловая репликация в двух сайтах и межузловая репликация с использованием объектов подключений между мостовыми серверами в сайтах.
Занятие 3 |
Настройка репликации |
545 |
Таким образом, мостовой сервер или сервер-плацдарм отвечает за репликацию изменений в раздел с других мостовых серверов в других сайтах. Он также опрашивается мостовыми серверами в других сайтах, чтобы определить необходимость в репликации.
Контроллер домена |
Контроллер домена |
HEADQUARTER^^ •
Главный офис |
Главный офис |
||
Контроллер домена |
Контроллер домена |
Контроллер домена |
Контроллер домена |
|
Мостовой сервер |
Мостовой сервер |
|
Рис. 11-13. Сайты, внутриузловая репликация, мостовые серверы и межузловая репликация
Мостовые серверы выбираются автоматически, а генератор ISTG создает топологию межузловой репликации для эффективной репликации между мостовыми серверами, совместно использующими связь сайтов. Мостовые серверы выбираются для каждого раздела, так что один контроллер домена в сайте может быть сервером-плацдармом для раздела схемы, а еще один контроллер — выполнять роль мостового сервера для раздела конфигурации. Тем не менее обычно один контроллер домена является мостовым сервером для всех разделов в сайте. Если же в сайте есть контроллеры других доменов или разделов каталога приложений, для этих разделов будут выбраны отдельные мостовые серверы.
Предпочитаемые мостовые серверы
Вы также можете назначить один или несколько предпочитаемых мостовых серверов. Откройте свойства объекта сервера в оснастке Active Directory — сайты и службы (Active Directory Sites And Services), выберите протокол передачи IP и щелкните кнопку Добавить (Add). Для сайта можно отконфигурировать несколько предпочтительных серверов-плацдармов, однако в качестве плацдарма будет использоваться только один сервер.
Важно понимать, что в случае назначения одного или нескольких мостовых серверов и их недоступности другой сервер не выбирается автоматически и репликация не выполняется для сайта, даже если в нем есть серверы, которые могут выполнять роль плацдармов. В идеале предпочтительные мостовые серверы конфигурировать не следует, однако из соображений производительности роль мостового сервера можно назначать контроллерам доменов с достаточными системными ресурсами. Требования брандмауэра также могут регламентировать назначение отдельного сервера в качестве плацдарма, не разрешая Active Directory самостоятельно выбирать и переназначать мостовые серверы.
546 |
Сайты и репликация |
Глава 11 |
|
|
Настройка репликации между сайтами
После создания связей сайтов и генерирования механизмом ISTG объектов подключений для репликации разделов между мостовыми серверами, совместно использующими связь сайтов, работу можно считать законченной. Во многих средах, в частности в бреде с простой сетевой топологией, связей сайтов вполне достаточно для управления репликацией между сайтами. В более сложных сетях можно отконфигурировать дополнительные компоненты и свойства репликации.
Транзитивность связей сайтов
По умолчанию связи сайтов являются транзитивными . Если использовать предыдущий пример, то в случае связывания сайтов в Амстердаме и главном офисе, а также сайтов в главном офисе и Сиэтле сайты в Амстердаме и Сиэтле будут связаны транзитивно. Теоретически это означает, что генератор ISTG может создать объект подключения непосредственно между мостовым сервером в Сиэтле и сервером-плацдармом в Амстердаме, опять-таки в обход централизованной сетевой топологии в виде звезды (hub-and-spoke).
Чтобы отключить транзитивность связи сайтов, откройте свойства передачи IP в контейнере Inter-Site Transports и сбросьте флажок Установить мост для всех связей сайтов (Bridge All Site Links). Прежде чем выполнить эту операцию в производственной среде, просмотрите технические ресурсы о репликации Windows Server в технических библиотеках Microsoft TechNet по адресу http://technet.microsoft.com.
СОВЕТ К ЭКЗАМЕНУ
На сертификационном экзамене нужно знать о том, что: во-первых, по умолчанию связи сайтов являются транзитивными; во-вторых, эту транзитивность можно отключить; в-третьих, при отключении транзитивности может возникнуть необходимость в перепостроении мостов для связей сайтов.
Мосты связей сайтов
Мост связи сайтов соединяет две или несколько связей сайтов, создавая транзитивную связь. Мосты связей сайтов необходимы только в том случае, если вы сбросите флажок Установить мост для всех связей сайтов (Bridge All Site Links) в окне свойств транспортного протокола. Помните, что по умолчанию эта транзитивность связей сайтов включена, и мосты связей сайтов не оказывают никакого эффекта.
На рис. 11-14 показано, как используется мост связи сайтов в лесу с отключенной транзитивностью связей сайтов. При создании моста связи сайтов AMS-HEADQUARTERS-SEA, включающей связи сайтов HEADQUARTERSAM S и HEADQUARTERS-SEA, эти две связи сайтов становятся транзитивными, то есть между контроллером домена в Амстердаме и контроллером домена в Сиэтле можно установить подключение репликации.
Занятие 3 |
Настройка репликации |
547 |
|
Рис. 11-14. Мост связи сайтов, включающий связи HEADQUARTERS-AMS
иHEADQUARTERS-SEA
Стоимость связи сайтов
Стоимость связей сайтов, которая используется для управления потоком трафика репликации по нескольким маршрутам, можно отконфигурировать, чтобы указать самую быструю, стабильную или наиболее предпочтительную связь. Для медленных подключений указывается более высокая стоимость, а для быстрых связей используется низкая стоимость. Репликация Active Directory выполняется через подключение с самой низкой стоимостью.
По умолчанию для всех связей сайтов конфигурируется стоимость 100. Чтобы изменить ее, откройте свойства связи сайтов и введите требуемое значение в поле (Cost), как показано на рис. 11-15.
Вернемся к предыдущему примеру и представим, что связь создана между сайтами в Амстердаме и Пекине (рис. 11-16). Такую связь сайтов можно отконфигурировать для репликации между контроллерами доменов в этих двух сайтах, если связи с главным офисом недоступны. Эта топология конфигурируется,- к примеру, как часть плана на случай аварийного отказа.
При использовании стоимости 100 по умолчанию для связи сайтов AMSРЕК изменения Active Directory будут реплицироваться непосредственно между Амстердамом и Пекином. Если назначить для связи сайтов стоимость 300, изменения будут реплицироваться между Амстердамом и главным офисом, а затем между главным офисом и Пекином со стоимостью 200 вместо использования прямой связи сайтов A M S - P E K со стоимостью 300.