Узлы и домены

Концепция узлов (sites) используется продуктами семейства Microsoft BackOffice для минимизации графика в глобальной сети. К сожалению, в каждом продукте эта концепция трактуется по-своему. В Windows NT 5.0 вводится еще одно новшество: концепция не оптимизирована под какое-либо определенное приложение, а предполагает в качестве основы сеть IP, для которой обеспечиваются наилучшие условия подключений. В будущем планируется, что все приложения BackOffice будут использовать именно эту концепцию узла.

Узел с Active Directory состоит из одной или нескольких подсетей IP. Администратор может определять эти подсети, а также добавлять к ним новые. При этом он исходит из следующих посылок:

• оптимизация графика тиражирования между узлами по медленным линиям;

• создание клиентам наилучших условий для быстрого обнаружения ближайших к ним контроллеров.

Тиражирование внутри узла и между узлами осуществляется по различным топологиям. Внутри узла контроллер домена задерживает оповещение о сделанных изменениях на некоторый устанавливаемый промежуток времени (по умолчанию равный 10 минутам). В отличие от Microsoft Exchange в Active Directory можно изменять топологию тиражирования внутри узла. По умолчанию это двунаправленное кольцо, однако Вы можете полностью переопределить топологию и задать ее, скажем, в виде звезды.

В любом случае служба каталогов будет отслеживать целостность топологии, то есть ни один контроллер домена не будет исключен из процесса тиражирования. Для этого на всех контроллерах домена исполняется отдельный контрольный процесс, так называемый КСС (Knowledge Consistency Checker). КСС восстанавливает топологию тиражирования в случае нарушения.

Концепция поиска ближайшего ресурса или контроллера домена позволяет сократить трафик в низкоскоростных частях глобальных сетей. Для поиска ближайших ресурсов или контроллеров домена клиенты могут использовать информацию об узле. Начиная вход в сеть, клиент получает от контроллера домена имя узла, к которому принадлежит, имя узла к которому относится контроллер домена, а также информацию о том, является ли данный контроллер домена ближайшим к клиенту. Если это не ближайший контроллер, то клиент может обратиться к контроллеру домена в собственном узле и в дальнейшем работать с ним, как с ближайшим контроллером. Так как данная информация сохраняется в реестре, клиент может ее использовать при следующем входе в сеть.

Если пользователь перемещается со своей рабочей станцией в новое место, то при входе в сеть станция обращается к прежнему контроллеру домена. Только в этом случае он уже не является ближайшим, и сообщает клиенту информацию о ближайшем узле. Эта информация может быть использована клиентом для доступа к DNS и определения адреса ближайшего контроллера домена.

Деревья и леса

Вспомним определения, данные ранее. Итак, дерево характеризуется:

• иерархией доменов;

• пространством смежных имен;

• доверительными отношениями Kerberos между доменами;

• использованием общей схемы;

• принадлежностью к общему глобальному каталогу.

Лес характеризуется:

• одним или несколькими наборами деревьев;

• раздельными пространствами имен между этими деревьями;

• доверительными отношениями Kerberos между доменами;

• использованием общей схемы;

• принадлежностью к общему глобальному каталогу.

На рисунке изображен пример леса. DNS-имя корневого домена в левом поддереве — microsoft-com.; LDAP-имя этого домена в Active Directory можно записать как DC=microsoft, DOCOM, o=Internet. Корневое имя домена во втором поддереве — DC=MSN, DC=COM, o=Internet. Хорошо видно, что пространства имен разделены.

 

Рис. 27 - Пример леса

Поддомены в каждом из деревьев принадлежат к смежному пространству имен. Например LDAP-имя для российского домена внутри Microsoft могло бы выглядеть как DC=russia,DC=microsoft,DC=COM,o=Internet.

Концепция смежных деревьев в лесу позволяет понять многие механизмы: как осуществляется поиск в лесу или в поддеревьях, почему объекты безопасности остаются действительными в рамках леса и др. Можно формировать виртуальные команды пользователей, находящихся в разных деревьях леса, а также включать в лес любое дерево. Последнее свойство используется, например, при слиянии предприятий или начальном разворачивании сети.

Для обеспечения работы дерева или леса необходимы метаданные. Они хранятся в двух контейнерах (конфигурации и схемы), в каждом из которых своя система имен и топология тиражирования. В конфигурационном контейнере содержится информация, связующая для деревьев в лесу: о доступных контроллерах домена, узлах и вообще всех контроллерах домена. При добавлении в домен нового контроллера конфигурационная информация обновляется и тиражируется.

Управление деревом и лесом

Возможно, неискушенный читатель, ознакомившись с предыдущим разделом, решит, что автор бредит, настолько рассуждения о деревьяхи лесе на первый взгляд кажутся бессвязными. Могу лишь посоветоватьабстрагироваться от привычного восприятия леса и деревьев как объектов природы и настроиться на то, что это объекты Active Directory.

Как и любыми, объектами службы каталогов необходимо управлять. Представьте себе небольшую фирму, организовавшую деревья и леса

Active Directory в соответствии со своей структурой. Более чем очевидно, что это нельзя сделать раз и навсегда. Предприятие может расти, его структура — перестраиваться, отделы и подразделения — исчезать или создаваться заново. В соответствии с этими изменениями надо будет модифицировать и структуру сети, и такие возможности в Active Directory предусмотрены. К операциям реструктуризации и переименования объектов в каталоге относятся:

• простое добавление доменов;

• простое удаление доменов;

• переименование доменов;

• переразмещение деревьев доменов и лесов;

• слияние деревьев в лес.

Добавление домена — самая простая из перечисленных операций. Домен можно подключить к дереву во время установки контроллера домена. Все что для этого нужно сделать — указать существующий в Active Directory домен в качестве родительского. При этом между доменами будут установлены доверительные отношения Kerberos, что позволит новому домену присоединиться к дереву.

Удаление домена не является удалением в полном смысле этого слова — домен просто исключается из дерева. Проделать эту операцию можно в любое время. Но предварительно следует убедиться, что у исключаемого домена нет дочерних доменов — иначе доверительные отношения дочернего домена окажутся разорванными, и он также будет исключен из дерева.

Любой объект в каталоге Active Directory может иметь несколько имен: общее, относительное и т. п. Единственным всегда неизменным идентификатором объекта является Глобальный уникальный идентификатор GU1D (Globally Unique Identifier). GUID - это многозначное число, создаваемое контроллерами домена. Алгоритм создания идентификатора не допускает дублирования. Именно этот никогда не изменяемый идентификатор может использоваться в Active Directory для того, чтобы свободно переименовывать домены, как и любые объекты.

GUID также позволяет перемещать домены в дереве или в лесу. Во время частичного тиражирования в глобальный каталог заносится подмножество свойств объекта. В это подмножество входит и GUID. Если объект перемещен, то глобальный каталог может использовать GUID для поиска объекта и его отличительного имени на основе нового относительного ID и LDAP-пути к новому местоположению.

В Windows NT 5.0 скорее всего не будет реализован механизм переименования доменов, так как разработчики столкнулись с целым рядом непредвиденных трудностей, преодоление которых перенесено к моменту выхода Windows NT 6.0.

Включение домена в лес не сложнее подключения к дереву доменов и рассматривалось ранее. Если используется сервер динамического DNS Windows NT 5.0, то при перемещении или переименовании домена средствами администрирования автоматически выполняется коррекция записей в базе DNS. При использовании UNIX DNS-сервера создается файл, в который заносятся и подлежащие удалению, и новые записи. Дополнительно в Windows NT Workstation 5.0 автоматически изменяются настройки TCP/IP, и вносится новое имя домена.