
- •Краткое знакомство со службой каталогов Windows 2000
- •Что такое служба каталогов
- •Назначение службы каталогов
- •Возможности службы каталогов Windows2000
- •Упрощенное администрирование
- •Масштабируемость
- •Поддержка открытых стандартов
- •Поддержка ldар и http
- •Архитектура ActiveDirectory
- •ActiveDirectory
- •Объекты ActiveDirectory
- •Компоненты ActiveDirectory
- •Логическаяструктура
- •Физическая структура
- •Контроллеры домена
- •Концепции работы ActiveDirectory
- •Репликация
- •Видыреплицируемойинформации
- •Какработаетрепликация
- •Репликациямеждусайтами
- •Доверительныеотношения
Репликациямеждусайтами
Для обеспечения репликации между узлами нужно представить сетевые соединения в видесвязей сайтов (site link). Active Directory использует информацию о сетевых соединениях для создания объектов-соединений, что обеспечивает эффективную репликацию и отказоустойчивость.
Вы должны предоставить информацию о применяемом для репликации протоколе, стоимости связи сайтов, о времени доступности связи и о том, как часто она будет использоваться. Исходя из этого, Active Directory определит, как связать сайты для репликации. Лучше выполнять репликацию в то время, когда сетевой трафик минимален.
Доверительныеотношения
Доверительное отношение (trust realtionship) — это такая связь между двумя доменами, при которой доверяющий домен признает регистрацию в сети в доверяемом домене. Active Directory поддерживает две формы доверительных отношений.
Неявные двусторонние транзитивные доверительные отношения(implicittwo-waytransitivetrust). Это отношения между родительским и дочерним доменами в дереве и между доменами верхнего Уровня в лесе. Они определены по умолчанию, то есть доверительные отношения между доменами в дереве устанавливаются и поддерживаются неявно (автоматически). Транзитивные доверительные отношения — это функция протокола идентификации Кегberos, по которому в Windows 2000 проводится авторизация и регистрация в сети.
Как показано на рис. 2-8, транзитивные доверительные отношения означают следующее: если Домен А доверяет Домену В, а Домен В доверяет Домену С, то Домен А доверяет Домену С. В результате присоединенный к дереву домен устанавливает доверительные отношения с каждым доменом в дереве. Эти доверительные отношения делают все объекты в доменах дерева доступными Для всех других доменов в дереве.
Транзитивные доверительные отношения между доменами устраняют необходимость в междоменных доверительных учетных записях. Домены одного дерева автоматически устанавливают с родительским доменом двусторонние транзитивные доверительные отношения. Благодаря этому пользователи из одного домена могут получить доступ к ресурсам любого другого домена в дереве (при условии, что им разрешен доступ к этим ресурсам).
Явные односторонние нетранзитивные доверительные отношения (explicit one-way nontransitive trust).Это отношения между доменами, которые не являются частью одного дерева. Нетранзитивные доверительные отношения ограничены отношениями двух доменов и не распространяются ни на какие другие домены в лесе. Вбольшинстве случаев вы сами можете явно (вручную) создать нетранзитивные доверительные отношения. Так, на рис. 2-8 показаны односторонние транзитивные доверительные отношения, в которых Домен С доверяет Домену 1, так что пользователи в Домене 1 могут получить доступ к ресурсам в Домене С. Явные односторонние нетранзитивные доверительные отношения — это единственно возможные отношения между:
• доменом Windows 2000 и доменом Windows NT;
• доменом Windows 2000 в одном лесе и доменом Windows 2000 в другом лесе;
• доменом Windows 2000 и сферой (realm) MIT Kerberos V5, что позволяет клиентам из сферы Kerberos регистрироваться в домене Active Directory для получения доступа к сетевым ресурсам.