УМК Комп. сети ч.2 / ответы к вопросам / Контроллеры домена

Контроллеры домена

Серверы Windows Server 2003, на которых функционирует экземпляр службы

каталога Active Directory, называются контроллерами домена (domain controller,

DC). Контроллеры домена являются носителями полнофункциональных копий

каталога. Применительно к Windows Server 2003 контроллеры домена выполня-

ют задачи, перечисленные ниже.

806 Часть V. Домены и Active Directory

П Организация доступа к информации, содержащейся в каталоге, включая

управление этой информацией и ее модификацию. Контроллер домена может

рассматриваться как LDAP-сервер, осуществляющий доступ пользователя

к LDAP-каталогу.

П Синхронизация копий каталога. Каждый контроллер домена является субъек-

том подсистемы репликации каталога. Любые изменения, осуществляемые

в некоторой копии каталога, будут синхронизированы с другими копиями.

О Централизованное тиражирование файлов. Служба репликации файлов,

функционирующая на каждом контроллере домена, позволяет организовать

в корпоративной сети централизованное тиражирование необходимых сис-

темных и пользовательских файлов (включая шаблоны групповой политики).

О Аутентификация пользователей. Контроллер домена осуществляет проверку

полномочий пользователей,регистрирующихся на клиентских системах.

Каждый контроллер домена Windows Server 2003 может рассматриваться как

Центр распределения ключей (КОС) Kerberos.

Особенно следует отметить тот факт, что все контроллеры домена обладают

возможностью внесения изменений в собственную копию каталога. Это позво-

ляет рассматривать любой контроллер домена как точку административного

воздействия на корпоративную сеть. Практически все административные утили-

ты работают в контексте какого-либо контроллера домена. Это означает, что

администратор может осуществлять конфигурирование службы каталога и сети,

подключившись к любому контроллеру домена Active Directory.

Специализированные роли контроллеров домена

Служба каталога Active Directory использует модель репликации с множеством

равноправных участников (multimaster replication). С точки зрения подсистемы

репликации не имеет значения, какой из носителей осуществляет изменения

в каталоге. Изменения могут быть произведены в любой из копий каталога.

Однако существует определенный класс операций, которые должны выполнять-

ся только одним контроллером домена. Этот класс операций называется опера-

циями с одним исполнителем (Flexible Single-Master Operations, FSMO). Если при-

влечь к выполнению подобных операций более одного контроллера домена,

нельзя исключать возможность конфликтов. В определенных случаях подобные

конфликты могут привести к нарушению целостности каталога.

Имеется два типа операций с одним исполнителем, которые принято называть

ролями контроллеров домена. От первого типа ролей требуется уникальность

исполнителя в пределах всего леса доменов. Роль данного типа может быть воз-

ложена только на один контроллер в лесу доменов. К другому типу ролей

предъявляется требование уникальности исполнителя только в пределах домена.

В каждом домене может быть только один исполнитель (хозяин) роли. Таким

образом, в рамках леса доменов исполнителей каждой из подобных ролей будет

столько же, сколько и доменов, образующих лес.

Глава 18. Основные концепции Active Directory 807

Рассмотрим пять существующих специализированных ролей.

П Хозяин схемы (Schema Master). Контроллер домена, осуществляющий изме-

нения в схеме каталога. Существование только одного владельца (хозяина)

схемы в пределах леса доменов исключает возможность конфликтов, связан-

ных с ее изменением. Отказ владельца схемы приводит к тому, что выполне-

ние операции расширения схемы станет невозможным.

О Хозяин именования доменов (Domain Naming Master). Контроллер домена, от-

слеживающий изменения в структуре леса доменов. Любое изменение про-

странства имен доменов Active Directory (добавление, удаление, а также пере-

именование доменов) осуществляется исполнителем данной роли. Тем самым

гарантируется целостность пространства имен и уникальность его компонен-

тов. Отказ исполнителя этой роли приводит к тому, что любое изменение про-

странства имен каталога станет невозможным.

П Хозяин идентификаторов RID (Relative ID Master). Контроллер домена, осу-

ществляющий генерацию идентификаторов (глобальные идентификаторы,

идентификаторы безопасности и т. п.). От идентификатора в первую очередь

требуется уникальность. Самый простой способ гарантировать уникальность

генерируемых идентификаторов — возложить обязанность исполнителя дан-

ной роли на один контроллер в домене. Отказ исполнителя данной роли

приводит к тому, что создание объектов в домене станет невозможным.

П Эмулятор основного контроллера домена (PDC Emulator). Если домен нахо-

дится на функциональном уровне Windows 2000 mixed, эмулятор основного

контроллера домена (PDC) используетсядля обеспечения репликации из-

менений между контроллерами домена Windows NT и Windows 2000/Server

2003. Исполнитель роли фактически эмулирует домен Windows NT. По-

скольку в домене Windows NT допустимо наличие только одного основного

контроллера, его эмулятор в домене Active Directory также может быть

только один. На других функциональных уровнях эмулятор основного до-

мена используется для изменения паролей учетных записей, а также играет

ведущую роль в процессе синхронизации системных часов всех контролле-

ров домена. Эмулятор PDC по умолчанию выбирается оснасткой Редактор

объектов групповой политики (Group Policy Object Editor). Поэтому, если

исполнитель данной роли недоступен, администратор может столкнуться

' с серьезными проблемами при редактировании объектов групповой поли-

тики.

П Хозяин инфраструктуры (Infrastructure Master). Контроллер домена, отвечаю-

щий за структуру каталога. В процессе удаления или перемещения объектов

один из контроллеров домена должен взять на себя обязанности по сохране-

нию ссылки на данные объекты до тех пор, пока эти изменения не будут ре-

плицированы на все остальные контроллеры домена. Если в домене имеются

несколько контроллеров домена, желательно не совмещать функции испол-

нителя данной роли и сервера глобального каталога. Лучше разнести эти

функции на разные контроллеры домена, которые обязательно должны быть

соединены высокоскоростным каналом. Если в домене имеется только один

контроллер, этим требованием можно пренебречь.

808 Часть V. Домены и Active Directory

По умолчанию все специализированные роли возлагаются на первый контрол-

лер домена, установленный в новом лесе доменов. Аналогичным образом,

в процессе создания нового домена первый установленный контроллер будет

выбран в качестве исполнителя ролей, уникальных в пределах домена. Пониже-

ние контроллера домена, выбранного в качестве исполнителя специализирован-

ной роли, до выделенного сервера приводит к тому, что роли передаются друго-

му контроллеру домена.

При необходимости администратор может в любой момент передать обязанно-

сти исполнителя любой роли другому контроллеру домена. Это может потребо-

ваться, например, в ситуации, когда планируется обновление аппаратного обес-

печения сервера. В процессе нормальной передачи роли текущий исполнитель

специализированной роли освобождается от исполнения специфических обя-

занностей и становится обычным контроллером домена. Одновременно с этим

на другой контроллер домена, выбранного на роль нового исполнителя, возла-

гаются обязанности исполнителя специализированной роли.

Если администратор не может обеспечить доступность сервера, являющегося ис-

полнителем специализированной роли, либо восстановление его работоспособ-

ности не представляется возможным, он должен возложить обязанности испол-

нения данной роли на другой контроллер домена. Процесс принудительной пе-

редачи функций исполнителя специализированной роли другому контроллеру

домена называется захватом, или присвоением, роли (seize).