Книги, научные публикации Pages:     | 1 |   ...   | 4 | 5 | 6 | 7 | 8 |   ...   | 15 |

Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...

-- [ Страница 6 ] --

В условиях доступности транспортов, репликации разделов каталога и доступности серверов глобального каталога требуется несколь ко серверов-плацдармов, чтобы реплицировать полные копии данных с одного сай та на другой, есть два сайта Ч А и В, в каждом из которых контроллер каждого из двух доменов Ч X и Y. В этом случае единственный способ репликации между этими двумя сайтами соответствующих разделов домена назначить кон троллеры X и Y серверами-плацдармами в каждом сайте. если в определенном сайте имеется один контроллер конкретного домена, он должен быть сервером-плацдармом в своем сайте, потому что он может выполнять репликацию данных домена только с контроллером своего собственного Кроме того, у него быть возможность соединиться с серверами-плацдармами в других сай тах, который тоже хранят аналогичный раздел домена, Если требуется, чтобы служба КСС рассматривала контроллеры до мена как основные серверы-плацдармы, сконфигурируйте соответствующим обра зом свойства объекта-сервера в Directory Sites and Services. Для этого от кройте страницу свойств выбранного сервера и добавьте транспорты, для которых выбранный контроллер является основным плацдармом (IP для механизма RPC поверх или SMTP для SMTP поверх Если Вы выберете больше одного сервера определенного раздела для конкретного служба КСС произ вольно выберет один из них. Подробнее о выборе основного сервера-плацдарма в справочной системе Microsoft Windows 2000 Server.

Отказ сервера-плацдарма Выход из строя в состоянии репликацию между дву мя сайтами. В этом случае КСС обычно автоматически выбирает другой сервер плацдарм.

назначенных службой КСС Если Вы не основные серверы-плацдармы, КСС выберет их ки. Если в дальнейшем откажет (то есть между моментами сбоя и последней успешной больше 2 часов), КСС выберет другой сервер плацдарм. Если ни один из возможных серверов-плацдармов не доступен, КСС ре гистрирует журнале событие, Отказ основных Если основные указаны явно и ни из них не доступен, КСС не выбирает альтернативные серверы-плацдармы автоматически. В этом слу чае КСС регистрирует об ошибке, информирующие, что основные сер веры-плацдармы указаны, но пи один из них не доступен.

Замена отказавшего основного сервера-плацдарма Если требуется, чтобы КСС обращалась при к другим контроллерам домена, доступных основных пет, Вы выполнить на домена в каждом сайте одну из перечисленных далее операций;

272 ЧАСТЬ 1 Служба каталогов Active Directory Х новые контроллеры домена - основные мы для соот ветствующих разделов каталога, сайта и транспорта (если в сайте несколько до менов, добавьте основной для домена);

Х удалите все назначения основных плацдармов, сделанные для соответствующих сайта и это позволит КСС выбрать новые плацдармы автомати чески.

Внимание! КСС создает только входящие подключения. Сервер-плацдарм не в со создать исходящее с другим сервером-плацдармом.

если отлаженного пути репликации к другому сайту нет, изменения статуса основ ного сервера-плацдарма надо выполнять па контроллере домена в каждом затрону том чтобы создать в каждом из них входящие подключения.

Если единственный основной доступный для определенных раз дела каталога и транспорта, вышел строя и Вы хотите поручить эту роль серверу-плацдарму, необходимо добавить новый дважды: раз на в сайте отказавшего сервера-плацдарма и еще раз Ч на кон домена в сайте на другом конце затронутой связи сайтов. Эту процедуру иногда приходится выполнять двум если сайты расположены далеко друг от друга.

Примечание Если есть доступные серверы-плацдармы и требуется доба вить в сайт другой основной обязательно добавлять в обо их сайтах, потому что это изменение реплицируется в другой сайту через доступ ные в настоящее время Если Вы удаляете все серверы-плацдармы и хотите, чтобы служба КСС выбирала их автоматически, их для разделов домена и всех транспор тов на контроллере домена в каждом затронутом сайте.

На рис. 6-8 показаны подключения между серверами-плацдармами в двух сайтах.

Сервер-плацдарм в сайте А Ч основной.

подключение от ОС к объектом на Входящее подключение..

(поддерживаемое объектом сгенерированным на DC1_B) Сайт А Сайт В Рис. Два сайта н два сервера-плацдарма с подключениями друг от друга Если сервер-плацдарм в сайте А терпит сбой, сервер-плацдарм в сайте В теряет свое подключение от отказавшего сервера и, таким образом, теря ет связь с сайтом. Если поручить серверу заменить отказавший сервер-плацдарм в ГЛАВА 6 Active Directory сайте А, новый сервер-плацдарм только входящие подключения. Это изме нение не удастся в сайт так как на в сайте В нет подключения. На рис. 6-9 изображено подключение, созданное ле нового в сайт А.

Входящее подключение от DC1_B к DC2_A (поддерживаемое сгенерированным на Новый Нет входящих подключений к Сайт А Сайт В Рис. 6-9. Новое подключение от сервера без входящего подключения от нового сервера-плацдарма Пока создан новый сайта А на домена в сайте В, невозможно никакое входящее от сайта к сайту В, хотя в сайте А теперь есть сервер-плацдарм. Причина в том, что создает входящие и не обладает сведениями о сервере.

На рис. новый сервер-плацдарм сайта А добавлен контроллер домена сайте В. Далее описана на в основного сервера-плацдарма сведений в сайте А о новом обеспечивающее сайта А на репликацию между сайтами Новый Входящее подключение I DC2_ сервер-плацдарм (поддерживается обьектом на DC1_B) Сайт А Сайт В Рис. Двустороннее подключение между сайтами после добавления нового сервера-плацдарма сайта А в сайте В 1. Администратор в сайте В входит на контроллер и DC2_A в качестве Для он выбирает в контей нере Servers сайта А в консоли Active Directory Sites and Services и добавляет к списку основных для соответствующего транспорта.

274 ЧАСТЬ 1 Служба Active Directory 2. сервера-плацдарма реплицируется (как изменение в разделе конфи гурации) на все контроллеры домена в сайте В, в том числе на DC1_B.

3. Сервер-плацдарм DC1_B генерирует объект входящего подключения от которое завершает создание маршрута репликации между серве рами-плацдармами в сайтах А и В. С момента между этими двумя серве рами-плацдармами полноценная репликация.

Отказ основного из-за Если после конфигурирования ни из них реплицировать соответствующий раздел каталога, регистрирует в журнале ошибку конфигурации. (Домен с серверами в сайте не представлен серве ром-плацдармом.) Далее КСС найти альтернативный как не было никаких основных серверов-плацдармов.

Мосты связей Объект моста сайтов представляет набор связей сайтов с одним протоколом обмена. Обычно мост соответствует маршрутизатору (или набору маршрутизаторов) в IP-сети.

Если для какого-либо протокола моста отсутствует маршрутов невозможно.

все создаваемые связи сайтов объединены мостами (то есть ются Все связи сайтов для конкретного протокола явно принад лежат соответствующему мосту. Поэтому для полностью связной IP-сети настраи вать какой-либо мост не надо. На рис. иллюстрируется связь трех сайтов по средством двух связей сайтов и обеспечивающего взаимодействие между сайтами, не обладающими явными связями.

Мост связей сайтов [Связь Связь сайтов Контроллер Сайт Seattle Сайт Atlanta Сайт Milan Рис. 6-11. Мост связей сайтов, связывающий сайты Milan и Atlanta Если IP-сеть не связна, отключить параметр Bridge all site links вить мост для всех связей сайтов) для IP-протокола [на вкладке General (Общие) ГЛАВА 6 Репликация Active Directory в окне свойств объекта протокола или SMTP]. В этом случае все IP-подключения считаются нетранзитивными, и мосты разрешается настроит], в с реальной моделью маршрутов сети.

связей сайтов Объект моста для конкретного протокола с указанием для него двух и более связей сайтов.

Чтобы значение моста, рассмотрим пример:

Х стоимость связи между сайтами Seattle и Milan по 4;

т стоимость связи между сайтами Seattle и Ч 3;

Х между сайтами Milan и Atlanta отсутствует связь сайтов;

Х мост SM-SA построен на связях сайтов SA и Здесь наличие моста предполагает, что стоимость пересылки от сайта Milan к еайту Atlanta составляет 4+3=7.

Каждая связь сайтов в мосте иметь по крайней мере общий сайт с дру гой связью иначе не удастся вычислить стоимость связей в мосте. в системе, где имеется четыре сайта X, Y и Z и где соединяет и X, а связь YZ Ч Y и бессмысленно создавать мост, WX и YZ.

мосты (даже для одного протокола) независимы. Для иллюстрации это го добавим следующие объекты в наш пример:

Х подключение DA, соединяющее сайты Detroit и Atlanta и имеющее стоимость 2;

Х мост DA-SA, объединяющий DA и SA.

Наличие дополнительного моста означает, что стоимость IP-сообщения от сайта Seattle к сайту Detroit равна 2+3=5, но это не означает, что стоимость пе ресылки IP-сообщений от сайта Detroit к сайту Milan будет равна 2+3+4=9. Как правило, всегда используют мост для моделирования всей IP-сети.

Любую сеть, описываемую комбинацией сайтов и мостов, с равным успехом можно описать одними связями сайтов. Преимущество в создании мостов Ч в зна чительном описания сети и облегчении ее обслуживания, так как от падает необходимость описывать все возможные пути между парами сайтов.

Однако при количестве сайтов, превышающем 200, во время работы КСС высокая нагрузка на процессор возникает каждые минут. Установка параметра Bridge all site links (Установить мост для всех связей сайтов) создать единый мост для всей этом создаются маршруты, которые следует обрабатывать. Их больше, чем в случае, когда мосты не применяются или приме выборочно. В частности, в соответствии с условиями указанными на рис, на производительность КСС влияют следующие факторы:

Х распознавание службой КСС явных связей между сайтами Atlanta и Seattle, и Milan;

Х при наличии моста служба КСС также должна рассчитывать неявные пути меж ду и Atlanta как путь с комбинированной стоимостью;

ЧАСТЬ 1 Служба каталогов Active Directory Х связи между контроллерами одного по умолчанию транзи без создания моста. При его наличии служба КСС должна вычислять транзитивные маршруты между Х межсайтовые мосты добавляют дополнительные возможности по подключению, но они обычно не пользуются из-за общей высокой стоимости. КСС приходится затрачивать дополнительное время и вычислительные ресурсы для излишних связей.

Таким образом, в больших сетях, где время обработки данных, улуч шить быстродействие путем параметра Bridge all site links (Установить мост для всех связей сайтов) и создавать мосты связей сайтов, лишь когда их ис пользование выгодно. Если после этого задержки продолжаются, рекомендуется за менить мосты па несколько сайтов, объединенных явно заданными связями. Подроб нее о по масштабированию КСС Ч на Web-странице Web Resources по адресу ссылка Microsoft Knowledge Base поиск по ключевому слову каталога Сервер глобального каталога это контроллер домена, который хранит определен данные обо всех объектах леса. Глобальный каталог требуется для процесса вхо да в систему, поэтому лучше разместить в сайте по крайней мере один сервер гло бального каталога. Глобальный каталог хранит реплики всех разделов каталога леса Ч полные реплики разделов и конфигурации, полную реплику раздела своего домена и частичные реплики разделов каталога домена в лесу. Если у класса атрибут равен TRUE, соответствующий атрибут реплицируется не только во все реплики но и на все серверы глобального каталога.

На рис. 6-12 изображены логические разделы каталога базы данных Active Directory сервера глобального каталога. (Сама база данных, хранящаяся в файле Ntds.dit, в действительности не поделена на разделы.) Верхние три сегмента представляют разделы каталога, которые являются полными репликами, хранимыми на контрол домена. Три нижних сегмента представляют разделы каталога Ч частичные реплики, размещаемые в глобальном каталоге.

(раздел Ч (раздел конфигурации) Ч Reskit.com (раздел Ч Noam.Reskit.com домена) Ч (раздел домена) (раздел домена) Рис. 6-12. данных каталога на контроллере домена сервере глобального каталога ГЛАВА 6 Репликация Active Directory Серверы глобального каталога всех в лесу. Контроллер-источник может быть как обычным кон троллером домена, так и другим глобального каталога.

На рис. 6-13 связи репликации между разделами каталога на двух серверах глобального которые являются контрол лерами разных доменов. Как и все домена, для схемы и конфигурации глобальный каталог применяет а для каждого раздела - отдельную топологию. Репликация между каталога домена Один из серверов полномочным для avionics.com, другой Ч для reskit.com.

Таким образом, контроллер домена avionics.com может быть реплики avionic.com на сервер глобального каталога а кон троллер reskit.com Ч источником частичной реплики reskit.com на глобального каталога avionies.com. Стрелками показаны однонаправленные от источников, храпящих реплики, к облада ющим частичными репликами для Ни один из контроллеров не является полномочным для домена глобального каталога выполняют репликацию этих частичных реплик между собой.

Домен Schema (раздел схемы) Ч - HP - Schema (раздел схемы) Configuration - _ (раздел Avionics.com ~ (полная реплика раздела домена) реплика раздела домена) Noam.reskit.com (частичнаяЧ feЩ?n rf^^g^^ (частичная реплика раздела домена) реплика раздела домена) Reskit.com ' (частичная реплика раздела домена) реплика раздела домена) Seville.avionics.com (частичнаяЧ реплика раздела домена) реплика раздела домена) 6-13. Связи разделов каталога между двумя серверами глобального каталога удаленных свойств Для атрибута из глобального каталога атрибуту значение FALSE. Атрибут будет удален после следу ющего цикла репликации.

Добавленные атрибуты При атрибута R атрибутов частичной реплики контроллер на реплицировать значения данного атрибута для каждого в час реплике раздела каталога. Это достигается посредством полной синхрони зации между всеми подключениями глобального каталога. Если частичной реплики раздела каталога по контроллер выполнить по полную 278 ЧАСТЬ 1 Служба каталогов Directory к подключениям. Если это удается, то созданный им вектор обновления данных синхронизацию для других подключений.

Добавляя атрибуты в набор глобального каталога, следует соблюдать осторожность, поскольку вызовет глобального ката лога на всех серверах глобального каталога в лесе. Хотя работа службы при этом и не прерывается, подобная серьезно сеть, при этом нагрузка почти такая же, как при повышении статуса обычного домена до сер вера глобального каталога.

Репликация универсальных групп В группу group) разрешается включать членов из любого домена леса, поэтому о членстве в универсальной хранится не на каждом контроллере домена (контроллеры хранят объекты только для своего домена), а только на серверах глобального каталога, где содержаться все объекты леса. А значит, только серверы глобального каталога хранить сведения о членстве в универсальной группе. По этой причине необходим сервер глобального каталога для входа в систему доменов, где есть универсальные груп пы, Во время входа глобальный каталог перечисляет универсальные группы и при соединяет сведения о членстве в таких группах к маркеру пользова теля. Другие типы групп (глобальные и локальные) не поддерживаются глобаль ным каталогом Ч на нем хранятся данные только об именах объектов групп. Под держка глобальных и локальных групп осуществляется контроллером домена. Это означает, что репликация членства в глобальных и локальных группах глобального каталога не требуется, что значительно уменьшает трафик репликации.

Примеры сценариев репликации Далее описаны в которых сочетаются разные способы использования связей и мостов.

Один домен, охватывающий несколько сайтов На рис. 6-14 две связи сайтов: и SEA В среде стандартный режим транзитивных связей сайтов отключен, потому что сеть не пол ностью связна и нет моста связей сайтов. В итоге КСС создает подключение толь ко между NYC и SEA и между SEA и DFW. Так как все контроллеры домена распо ложены в одном домене и поддерживают полную копию раздела реп ликация осуществляется через сайт-концентратор SEA без подключения между DFW и При изменениях в эти изменения (во всей полноте) ются в SEA. Из-за того что контроллеры домена, хранящие полные реплики разде ла домена, входящие изменения только из другой полной до мена, SEA-DC-01 считается допустимым для и поэтому в свою очередь реплицирует изменения NYC от SEA-DC-01, Справедливо также и обратное Ч реплицируются от к SEA, а за Таким образом, в SEA, реплицируются пря мо на DFW и NYC, но для их в силу репликация должна пройти дваж ды: сначала от DPW к NYC, а затем от NYC к ГЛАВА 6 Active Directory Связь SEA-DFW Связь сайтов NYC-SEA Стоимость Ч 5 Ч домена Рис. 6-14. размещенный в трех сайтах, объединенных нетранзитивными связями Связи в среде двух доменов в трех сайтах На рис. что сайт SEA содержит контроллер но нем нет контроллера домена reskit.com. Как в этом случае изменения будут реплицироваться от NYC к Если есть связи сайтов или вручную созданы мосты и DFW, KCC объект-подключение для репликации между DEW и NYC. Если же ни одно из условий выполняется, контроллер DEW-DC-01 никогда не от и наоборот, потому что в сайте SEA есть только домена и он является контроллером другого (noam.reskit.com).

Если SEA-DC-01 не содержит домена reskit.com, транзитивная данных домена между NYC и DFW невозможна. и данные о конфигурации могут реплицироваться между NYC и и между SEA и DFW.

Связь сайтов (не глобального Связь сайтов NYC-SEA Стоимость Ч Стоимость Ч Контроллер Член Рис. 6-15. Связи сайтов в среде Двух доменов в трех сайтах 280 ЧАСТЬ 1 Служба каталогов Active Directory На рис. видно если сконфигурировать как сервер го каталога, с точки зрения репликации ничего не изменится, потому что этот кон троллер является для домена noam.reskit.com и должен содержать полный раздел каталога только этого домена. Как сервер глобального должен содержать только частичную реплику домена reskit.com. В дан ном SEA-DC-01 будет получать изменения от NYC, но не сможет выполнить репликацию от SEA-DC-01, потому что SEA-DC-01 содержит только частичную реплику reskil.com.

Мост сайтов в среде двух доменов в разных сайтах На рис. связи сайтов отключены, а добавление моста содержа щего связи и изменит правила для возможных партнеров по репликации, которых может выбрать С. Мост предоставляет КСС маршрут от к NYC, по которому создается объект подключения, позволяющий даже если в SEA нет домена для того же раздела Изменения в схеме и конфигурации реплицируются по этим подключениям, SEA-DC-Qt каталога) Связь сайтов SEA-DFW Связь сайтов NYC Ч SEA Ч Ч Мост связей сайтов NYC-SEA-DFW.

каталога) домена Член Рис, 6-16. Мост связей сайтов, объединяющий связи DFW и По умолчанию связи сайтов определены как транзитивные и не требуют опре деления мостов. В отсутствие моста все равно создает объекты подключений между сайтами. Такая репликация наиболее эффективна и основана на заданной стоимости для каждой связи сайтов. при наличии моста объекты-подклю чения отражают прямое подключение между контроллером одного сайта и контроллером домена сайта, с которым нет прямой связи сайтов.

о сетевой маршрутизации - в книге Ресур сы Windows 2000 2001) и в книге Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

КСС и создание топологии КСС -- это встроенный процесс, выполняющийся на всех контроллерах домена, и собой динамически подключаемую (DEL). КСС ГЛАВА 6 Репликация Active Directory ет данные в локальном каталоге в с общесистемными которые становятся известны КСС через изменения данных в Active Directory. С генерирует и поддерживает топологию репликации внутри и между сайтами, КСС выполняет основные функции:

Х конфигурирует подключения для репликации (объекты-подключения) между контроллерами домена. Каждый соответствует входящей связи с партнером по репликации. Внутри сайта каждая КСС формирует свои репликации между сайтами служба КСС в каждом сай те формирует все подключения между сайтами;

Х преобразует представляют входящую реплика цию на локальный домена, в которые и механизмом репликации.

По КСС проверяет и модифицирует топологию репликации Active Directory каждые чтобы обеспечить распространение напрямую либо по мере необходимости создавая и удаляя объекты-подключе ния. КСС распознает в среде, и гарантирует, что кон троллер не потерян в топологии Служебные программы поддержки КСС Хотя результат работы КСС выражается в автоматическом создании объектов-под ключений и видим в консоли Active Directory Sites and по существу нет при ложений с интерфейсом для прямого управления работой КСС.

Большинством задач репликации, касающихся КСС, можно управлять средствами консоли Active Directory Sites and Services (Active Directory Ч сайты и службы).

о служебных программах (не консолях используемых для углуб ленного управления и диагностики Ч в главе 10 Выявление и устранение док, а также восстановление Active Directory.

Консоль Active Directory and Services Эта консоль - самый главный администратора для кацией. Он применяется для создания объектов-подключений и связей сайтов, ис пользуемых КСС для репликации. Репликация внутри сайта полнос тью автоматически и обычно не требует вмешательства. Повысить эффективность репликации между сайтами можно, изменив параметры в объектах связей сайтов, как описано выше.

Подробнее о процедурах управления репликацией средствами консоли Active Directory and Services Ч в справочной системе Windows 2000 Server.

Консоль Event Viewer КСС информирует администратора о своей работе посредством регистрации собы тий журналах событий, которые можно анализировать в консоли (Просмотр событий).

Вот примеры событий, записанных КСС в журнал:

Х событие 1009 (Уведомления): consistency checker has started updating the replication topology for this server согласованности обновление топологии репликации этого сервера);

282 ЧАСТЬ 1 Служба Active Directory Х событие 1013 The replication topology update task terminated normally (обновление топологии репликации завершилось нормально);

Х событие 1265 attempt to establish a replication link with parameters failed with the following status: The record data is the status This operation is going to be (Попытка ус тановить связь репликации с параметрами со стату сом: это код состояния. Эта опера ция будет повторена).

В как и в остальных подсистемах Active Directory, уровень со бытий По умолчанию в заносятся только наиболее важные события. уровень детализации в событий зна чение параметра Replication Events в разделе уровня дета лизации позволяет получить более четкое представление о поведении КСС в раз Однако детализации выше 2 назначать не рекомендуется:

в избыточных сообщениях, что снизит быстродействие КСС, Повышение уровня регистрации поиска и неполадок, но не рекомендуется для работы. I [одробнее о модификации для по вышения уровня регистрации в главе 10 Выявление и устранение неполадок и Active Подробнее о консоли Event Viewer Ч справоч ной системе Microsoft Windows 2000 Server.

необходимые КСС для построения Для эффективной топологии служба КСС должна обладать сведениями о том, какие серверы в каждом сайте. Необходимая для КСС информация в нескольких объектах:

Х в объектах-серверах всем контроллерам доменов соответствуют объекты-сер веры в разделе конфигурации сайта;

Х в объекте NTDS Settings Ч у каждого представляющего кон троллер домена, есть объект XTDS Settings, указывающий, что на кон троллере домена установлена служба Active Directory. Чтобы сервер учитывал ся в топологии репликации, он должен обладать объектом NTDS Settings.

этих объектов также определяет сайт, в котором должен домена. В частности, составное имя объекта NTDS Settings содержит сайт, к которому относится контроллер Если сервер физически располо в одном сайте, но сконфигурирован в другом сайте Active Directory, для со ставления топологии КСС использует информацию Active Directory. Таким обра зом, конфигурация серверов в сайтах может повлиять на пропускную спо собность сети.

Этапы формирования топологии Топология формируется в два этапа. На первом КСС оценивает тополо гию, определяет, были ли сбои репликации с существующими подключениями и строит для завершения создания топологии реп ликации. На втором КСС реализует, или решения, выработан ные на первом этапе в между партнерами ГЛАВА 6 Репликация Active Directory Первый этап: оценка существующей топологии и формирование объектов подключений Топология оценивается Для каждого объекта КСС считывает объект Settings контроллера-источника (он опреде лен в атрибута объекта-подключения), чтобы ка кие разделы каталога у общие с ком. (где означает naming context Ч раздела каталога) объекта NTDS сведения о полных разделах каталога, хранимых на этом контроллере домена. Атрибут данные о частичных репликах каталога (разделы глобального каталога), которые хранятся на данном контроллере. Для каждого раздела каталога, общего для двух контроллеров домена и соответствую щего полным и частичным характеристикам источника репликации, КСС (или о репликации.

Примечание Внутри сайта все КСС формируют для сайта. В среде с несколькими сайтами в каждом сайте есть только одна КСС, которая формирует все для между сайтами.

Второй этап: преобразование подключений На втором этапе псе КСС обрабатывают объекты подключения и их в соглашения о подключении между парами контроллеров В определенные Active реплицирует разделы каталога между партнера ми по репликации. Сведения о таких соглашениях репликации не в программах. Они только механизмом репликации для выделения каталога, реплицируемых с данного сервера.

Предположим, что Вы объект-подключение между двумя контролле рами разных доменов, при этом пи один из них не является глобального каталога. На втором этапе, КСС обнаружит только два общих раздела для этих кон троллеров Ч разделы схемы и Если Вы создаете ние, который связывает контроллеры домена в одном домене, то реплицироваться будут по крайней мере три раздела Ч схемы, конфигурации и домена, С другой стороны, если объект-подключение создается между двумя контроллера ми домена серверами глобального каталога, то частичные реплики всех разделов каталога в лесе будут реплицироваться между двумя контроллерами, Интервал запуска КСС КСС оценивает топологию репликации в определенные интервалы рые можно По умолчанию КСС первую топологии черен пять минут после старта домена. Этот topology update delay в разделе реестра Значение этого парамет ра Ч время секундах между моментом запуска Active Directory и моментом ла работы КСС, значение по умолчанию Ч 300 секунд (5 а тип данных Ч REG DWORD.

284 ЧАСТЬ 1 каталогов Active Directory По умолчанию во работы служб КСС топологию каждые 15 минут и вносит Администратор может изменить эту ность, topology update period реестра Значение этого параметра Ч время в секундах между обновлениями топологии КСС значение но умолчанию 900 а тип Ч модифицируйте реестр самостоятельно (с помощью редактора реес тра) Ч делайте это лишь крайнем когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит средства защиты, призванные не допускать ввода конфликтующих значений а также спо собных снизить системы или разрушить Не исключено, что по следствия прямого реестра окажутся такими, как Вы ожидали, и, Вам придется Windows 2000. Для настройки и кон Windows 2000 использовать Control Panel (Панель управления) или Microsoft Management Console (Консоль Microsoft).

Перед реестра советуем делать резервную копию. Подробнее о редакти реестра в системе редактора реестра. Подробнее о реестре Ч R Microsoft Windows Professional Resource Kit (файл Regentry.chm).

Автоматическое формирование топологии репликации внутри сайта Во время топологии сайта КСС преобразует топологию и форми ее Ч преобразует информацию, предоставленную алгоритмом, а затем (формирует) объекты-подключения, которые В общем виде и формирование топо логии выполняется в следующей последовательности:

Х КСС на каждом контроллере алгоритм, топо логию внутри своего сайта. Все серверы одного сайта оди наковой информацией о взаимных отношениях, то есть создают одинаковую то пологию;

Х КСС создает объекты-подключения для серверов, от которых контроллер данные (серверы-источники) в соответствии с созданной топологией;

Х полученное в итоге множество всех объектов подключения является требуемой топологией.

Топология формируется и оптимизируется для сокращения числа переходов (hops) путем перечисления и сортировки домена, хранящих реплики одно го и того же раздела каталога.

Принудительное формирование репликации внутри сайта генерируется автоматически. Формирование топологии происходит по которое определяет частоту запусков КСС, Чтобы запустить ее щелкните правой кнопкой мыши объект Settings, затем перейдите к подменю All Tasks (Все задачи) и щелкните команду Check Replication Topology (Проверка топологии репликации).

ГЛАВА б Репликация Active Формирование кольцевой топологии В самом общем виде топологии для репликации сайта выполняется в следующей последовательности:

Х формирует список всех серверов в которые хранят раздел Х найденные серверы соединяются в кольцевую структуру;

Х для каждой соседних серверов в кольце КСС если оно еще не Такой простой топологию, устойчивую к сбоям отдель серверов. Если контроллер домена то он не в которое формируется по списку что недоступен соответствующий объект NTDS Settings. Впрочем, такая топология без изменений поддерживает не более семи большем числе в образуется более трех переходов.

Самый простой пример - семь или контроллеров домена в сайте показан на рис. 6-17. Даже если или все контроллеры Ч серверы го каталога, то даже если КСС работает на этих компьютерах, под не требуется. Реплицировать необходимо лишь разделы каталога схемы и конфигурации. Такая топология формируется в очередь и обеспечивает дос количество для репликации всех каталога.

Сайт Домен Reskit.com Разделы схемы и Легенда домена Рис. 6-17. Простая кольцевая топология, не требующая оптимизации 286 ЧАСТЬ 1 Служба каталогов Active Так как кольцевая топология для каждого раздела каталога, она может выглядеть по-другому, если в сайте другого На рис. 6-18 показана топология для двух доменов в одном сайте, в котором нет серверов глобального каталога.

Сайт Seattle Домен Домен Разделы схемы и конфигурации Легенда Ч Раздел домена Reskit.com Раздел домена Рис. Кольцевая топология для двух доменов в сайте без сервера глобального каталога Примечание Примеры на рис. 6-18 и рис. предоставлены только для демонст рации схемы создания подключений службой, и не следует их рассматривать как по сайтов. Сервер глобального каталога необхо дим для входа в и поэтому создать в сайте по крайней мере один такой сервер. Если глобальный каталог в сайте, но есть в удален ном сайте, он также может для входа. Если в сайте нет каталога, входа выполняется па информации о вхо де в домен. (Подробнее о входе в домен при поддержке каталога - в главе Логическая структура Active кольцевая топология Если больше семи, количество подключений так, чтобы при на одном контроллере для его репликации на лю бой другой контроллер требовалось трех переходов. То есть изменения должны пройти более чем три перехода, до того как достигнут другого ГЛАВА б Репликация Active Directory лера который уже получил по другому пути. Эти оптимизирую щие подключения создаются в случайном и обязательно па каждом тре тьем домена.

В сайте на рис. 6-19 пет сервера глобального каталога;

все контроллеры домена рас положены в домене, но добавлены дополнительные нуждающиеся в оптимизирующих подключениях. Хотя контроллер А и контроллер В и распола гаются в домене и сайте, их отделяет более трех переходов. Оптимизирую щее подключение для разделов домена, схемы и конфигурации, можно со здать от контроллера к контроллеру В, для изображено на рисунке одной прямой линией: на самом эти разделы реплицируются раздельно, как это между смежными партнерами по репликации. В ситуации воз можны и другие оптимизирующие Сайт Seattle домена в Три Reskit.com домена А схемы и конфигурации Раздел домена для разделов домена, схемы и конфигурации Рис. 6-19. Оптимизирующее подключение для десяти контроллеров одного домена в одном сайте На рис. 6-20 необходимые между контроллером Ч ром глобального каталога Ч и тремя другими доменами, к которым не ся. При добавлении в сайт сервера глобального каталога требуются дополнитель ные подключения для копий разделов каталога в домен, к которому сервер глобального каталога не относится. Поскольку в домене reskit.com только 7 серверов, в топологии репликации для раздела каталога вать подключения не требуются. сервер глобального каталога является 288 ЧАСТЬ 1 Служба каталогов Active Directory для каждого из разделов домена в лесе, и в этом примере служба С создала объекты-подключения для от контроллера домена для каждо го домена внутри сайта. Везде, где раздел домена так же использует подключение для репликации разделов схемы и конфигурации.

Примечание Объекты-подключения независимо для разделов конфи гурации и схемы (одно подключение) и для отдельных разделов домена, если толь ко не существует от того же к контроллерам-приемникам для того же раздела каталога;

в таком случае одно и то же подключение использу ется для обоих разделов (дублирующее подключение не создается).

Сайт Домен Reskit.com Ч Домен Aequited.com :

Разделы и Легенда Раздел домена Reskit.com к доменов глобальном каталоге Рис. 6-20. Оптимизирующие подключения в сайте с четырьмя доменами и сервером глобального каталога Оптимизация кольцевой топологии внутри сайта При для оптимизации кольцевой топологии в первую очередь решается вопрос: каково количество п при дан ном узлов, при котором между любыми двумя серверами не больше трех переходов?

При известном п топология формируется в определенной последовательности.

Если у локального сервера нет подключений:

Х в качестве серверов-источников в сайте выбираются п серверов;

Х для каждого из этих серверов создается объект-подключение.

ГЛАВА 6 Репликация Active Directory При таком минимальное не длиннее трех переходов. Кроме того, сеть хорошо так как при увеличении серверов ста рые оптимизированные остаются и удаляются. Также каждый при добавлении от 9 до серверов удаляется объект подключение и новый, в идеале с одним из новых серверов в качестве источника. При этом обеспечивается распределение дополнительных подключений во всей сети.

Исключение недоступных серверов что какой-то контроллер домена сбой и стал недоступным, автоматически топологию Критерий недоступности сервера зависит от того, находится ли сервер в сайте или нет. Прежде чем КСС признает контроллер домена должен пре высить пороги количества попыток и времени отсутствия на связи:

Х контроллер-приемник сделать неудачных попыток ин формацию с данного Х при между сайтами по умолчанию п = т при репликации внутри сайта существует ближайшими со седями в кольцевой топологии (в и ниями:

для ближайших соседей по умолчанию п = 0 (то есть после пытки сразу опрашивается новый сервер);

для подключений по умолчанию п = 1 (то есть новый сер вер опрашивается после второй неудачной попытки);

Х должно пройти некоторое время после удачной репликации:

Х для репликации между сайтами время по умолчанию Ч 2 часа;

Х репликации сайта существует различие между со седями (в кольце) и оптимизирующими подключениями:

для ближайших время по Ч 2 часа;

для оптимизирующих подключений время по умолчанию Ч 12 часов.

Для изменения порогов исключения серверов изменить параметры в разделе NTDS\Parameters, с типом данных Далее описаны эти параметры.

между сайтами:

Х параметр Ч число неудачных попыток, по умолчанию Ч Х параметр время отсутствия связи в секундах, значение по умолчанию - 7 200 (2 часа).

Оптимизирующие в пределах сайта:

Х параметр количество неудачных попыток, по умолчанию 1;

Х параметр - отсутствия связи в секун дах, значение по умолчанию Ч 200 12 часов.

290 ЧАСТЬ 1 Служба каталогов Active Directory Ближайшие Х параметр - количество неудачных попыток, значе по Ч 0;

Х Ч связи в секундах, значение умолчанию Ч 7 200 (2 часа).

модифицируйте самостоятельно (с редактора реес тра) делайте это лишь в крайнем случае, когда другого выхода пет. Б отличие от инструментов редактор реестра обходит средства призванные не допускать конфликтующих значений а также спо собных снизить быстродействие системы или разрушить ее. Не исключено, что по следствия прямого реестра окажутся не такими, как Вы и, Вам Windows 2000. Для настройки и кон фигурирования 2000 рекомендуется использовать Control управления) или Microsoft Management (Консоль управления Перед реестра советуем делать резервную копию. о ровании параметров реестра Ч в системе редактора реестра. Подробнее о реестре Ч в техническом Technical Reference Microsoft Windows Resource Kit (файл Когда проблемный контроллер начнет отвечать, КСС при следующем запуске автоматически репликации к которое имело место до отказа.

Полная оптимизация кольцевой Чтобы оптимизировать надо добавить подключения, обработать серверы и механизмы регули рования роста;

при создаются и добавляются объекты-подключения R соот ветствии с существующими условиями.

Примечание Объекты-подключения с серверами удаляются, так как такое состояние считается временным.

Процесс оптимизации топологии реализуется согласно следующим Х серверов обеспечивает всеми одинаково оп положения в топологии;

Х при формировании топологии никогда не создаются и не уда ляются объекты, не непосредственными потомками объекта Settings для локального контроллера Автоматическое создание топологии Формирование топологии репликации между сайтами сайта, по тому что, кроме прочих, Windows 2000 репликацию по протоколу SMTP.

Поэтому, если при создании КСС репликация возможна между любыми двумя то в межсайтовой топологии такое ГЛАВА 6 Репликация Active Directory Роль генератора Основная концепция каждый выпол няет свою задачу по формированию топологии всего сайта. образом формирование топологии между сайтами зависит от формирования каждом сай те своей части межсайтовой топологии. Для решения этой в сайте один из контроллеров домена выполняет роль межсайтовой топо логии. на этом контроллере отвечает за создание подключений контрол лерами своего и других сайтов, в том числе объектов-подключений для входящей репликации для всех серверов-плацдармов локального сайта.

Если после анализа топологии генератор межсайтовой обнаружит, что его сайт он не будет никаких действий, так как в такой конфигурации подключения между сайтами.

в формировании топологии внутри и между Подключения между для межсайтовой репликации и для внутрисайтовой репликации формируются Формируя топологию на контроллере домена, КСС создает нительные объекты-подключения на локальном компьютере в Directory только при необходимости. Эти изменения распространяются на другие ры в ходе обычного процесса репликации. Контроллеры домена используют же алгоритм для вычисления топологии репликации. В состоянии меж ду контроллерами доменов каждый из один и тот же вариант топо логии.

В каждом сайте служба КСС, роль генератора топологии (независи мо от домена), отвечает за пересмотр внутрисайтовой и создание объек тов-подключений входящей репликации для серверов-плацдармов в своем сайте.

Принимая решение об объекта-подключения па одном из дармов сайта, межсайтовой топологии вносит соответствующие в свою копию Active Эти распространятся на все серве ры-плацдармы сайта в ходе обычной репликации. В процессе изучения топологии после этих КСС на сервере-плацдарме преобразует эти объек ты-подключения в соглашения с по репликации, которые Active Directory использует для репликации данных с плацдармов.

Выбор серверов-плацдармов Когда КСС создаст для всех разделов каталога, каждого сайта оцениваются не предмет плацдармов.

ные серверы-плацдармы (если таковые являются первыми кан дидатами для выбора. В противном случае кандидатами на роль ма становятся все контроллеры домена в сайте, которые хранят раздел каталога и способны поддерживать определенный транспорт. В любом слу чае плацдармом становится первый домена, удовлетворяющий всем Все основные серверы-плацдармы в сайте, ные для одного транспорта, равноправны. В состоянии раздела кон фигурации и при схожих требованиях межсетевой выбирает каждом сайте один и тот же плацдарм. Например, если определенный сервер-плац дарм или выбранный репликацию по про 292 ЧАСТЬ 1 Служба каталогов Active Directory IP и содержит требуемый раздел каталога, он выбирается серверами-плац дармами других сайтов, которым этого раздела.

Если для сайта указаны основные и все они недоступны, их функции не другим домена, даже если те способны вы полнять роль. Это же справедливо и в тех случаях, когда серверы плацдармы не заданы и домена, способные выполнять эту роль, роли генератора топологии Роль генератора межсайтовой передается в ходе обычной работы Active Directory. Первоначально генератором межсайтовой топологии становится первый контроллер домена в сайте. Роль меняется добавлении новых контроллеров домена, пока текущий генератор не станет недоступным.

Определение владельца роли генератора межсайтовой топологии в сайте 1. В окне консоли Active Directory Sites and Services (Active Directory - сайты и службы) значок сайта.

2. В области сведений (это правая щелкните правой кнопкой объект NTDS Site Settings и в контекстном выберите команду Properties (Свойства).

Имя генератора топологии отображено в поле Server (Сервер) в области Inter Site Topology Generator (Автоматическая генерация топологии между сайтами).

Примечание Вы не сменить генератор межсайтовой топологии.

Оповещение о владельце роли генератора межсайтовой топологии Генератор межсайтовой топологии оповещает с 30-минутными интервалами другие контроллеры домена о своей роли, атрибут в объект NTDS Settings для объекта домена в разделе конфигурации каталога.

Когда атрибут SiteTopology Generator передается другим контроллерам домена в ходе репликации, па каждом проверяет наличие этого атрибута.

в течение 60 минут обновления этого атрибута не происходит, генератор топологии.

Создание генератора межсайтовой топологии Когда создать новый генератор межсайтовой топологии, каждый контрол лер домена список серверов сайта по возрастанию. Роль генератора берет на себя следующий сервер в списке. Он записывает атрибут Generator и необходимые для КСС процессы по управлению входя щих подключений для Когда на сайте появляются два контроллера в роли генератора топологии, возмож ситуация в которой оба сервера создают объекты-подключения входящей реп ликации. Однако после все получат уведомление о но вом генераторе, после чего КСС на генераторе скорректирует топологию.

Генератор топологии и подключения Возможна ситуация, когда администратор одновременно изменяет объект-подклю чение на одном из контроллеров домена и КСС на другом контроллере до ГЛАВА 6 Репликация Active Directory первого Перезапись выполняется на или на сайте. По умолчанию КСС запускается каждые 15 минут. Если нение объекта подключения не передано на другой контроллер домена до запуска КСС на КСС может изменить тот же объект. В этом случае объектом чения владеет КСС, как автор последнего записанного изменения.

Чтобы редактируемый объект был переписан КСС, следует вносить изменения на компьютере, выполняющем роль генератора на том сайте, где нахо дится объект.

Механизм безопасности репликации Механизм безопасности репликации для того, чтобы не обладающая статочными правами программа не могла репликации, по лучатели изменений доступ к общим секретам. Также нельзя допускать, что бы такая программа действовала в качестве источника так как зволит ей вносить свои (неправомочные) изменения в каталог.

ма взаимная проверка подлинности партнеров при репликации, а также управле доступом к Технология безопасности репликации за висит от применяемого транспорта.

Безопасность транспорта RPC Взаимная проверка подлинности выполняется по протоколу Kerberos v5 либо по про токолу если партнером является домена Windows NT 4.0.

При авторизации для доступа к источнику репликации используется разрешение (Репликация каталога). опре в записях управления доступом (access control АСЕ) корневого объекта в разделе каталога. По умолчанию это групп Enterprise Domain (Контроллеры и Domain оно требуется для мастера Active Directory Подробнее о проверке подлинности в Active Directory - в главе Проверка под линности;

об авторизации в Directory Ч в главе о мастере Active Directory - в главе 2 Хранение данных в Active Directory.

Безопасность транспорта ISM Механизм и службой ISM, похож ис пользуемый в Secure/Multipurpose Internet Mail который является стандартом передачи двоичных данных через При нии отправитель всегда добавляет сертификат с путем сер восходящим к корневому центру сертификации. Запросы к источнику репликации подписываются, по не шифруются. не содержит секретных дан ных, и контроллер не требует знания домена. Ответы получателю репликации подписываются и удостоверяются серти фикатом локального контроллера а также сертификатом, который прове ряющий включает в запрос.

Такая проверка подлинности потому что все используемые при репликации в Directory [то есть сертификаты Domain Controller (Коп 294 ЧАСТЬ 1 Служба Active Directory содержат атрибут который содержит значение атрибута объекта владельца атрибута для выполнить любой контроллер домена, так как требуемая информация хранится в При контроллер-приемник проверяет действительность сертификата (в том числе удостоверяется, что его центр сертификации после чего он извлекает значение атрибута objectGuid отправителя и пытается по нему определить объекта сервер в своем лесе. Если дополнительно проверяется, что -- домена с Directory должен иметь дочерний объект NTDS класса, самой службой каталогов). Таким полный доступ к репликации все контроллеры доменов Active Directory леса, причем только к контроллерам доменов Active Directory.

Подробнее о сертификатах Ч главе 16 сертификации и инфраструктура открытого ключа в Windows 2000;

об аутентификации Ч в главе Проверка под об в главе Дополнительные методы управления репликацией Репликация Active Directory выполняется автоматически и без адми вмешательства. Исключение составляет конфигурирование сайтов и их связей. Однако при условиях требуется тонкая настройка, вы ходящая далеко за рамки обычной настройки системы. Подробнее управлении репликацией и устранении неполадок в главе 10 Выявление и ладок и восстановление Active Directory.

Взаимная репликация Репликация между сайтами выполняется по запросу (request-pull): получатель за прашивает изменения расписанию. С другой стороны, репли кация внутри сайта выполняется по алгоритму запрос (источник извещает об изменениях получателя и их у ис точника). Чтобы репликация проходила в обоих направлениях, обе стороны долж ны уметь инициировать процесс.

Когда репликацию между сайтами инициировать лишь одна сторона, напри мер при коммутируемом доступе через провайдера, разрешается установить флаг на объекте-подключении (в атрибуте объекта сайтов) для обеспечения взаим ной репликации (reciprocal Она выполняется в следующей ности: контроллер работающий через провайдера, после подключения изменения, инициируя репликацию;

получив парт нера о своих изменениях, который в свою очередь запрашивает изменения у контрол лера с коммутируемым доступом. образом выполняется двусторонняя кация посредством одного подключения, открытого по коммутируемому каналу, в одностороннем порядке одним из Общий случай применения Ч обмен между голов ным офисом компании и ее филиалом. В этой схеме филиал соединяется через сво его провайдера и создает туннельное или VPN-соединение, с сле дующем порядке:

1. филиал соединяется с поставщиком услуг Интернета;

ГЛАВА 6 Репликация Active Directory 2. филиал связь с центральным офисом компании;

3. филиал инициирует запрашивая у в ральном офисе компании;

4. получение репликации, филиал немедленно о их собственных обновлениях;

5. центральный контроллер запрашивает изменения у филиала;

6. филиал реплицирует изменения в центральный офис.

В этом случае необходима репликация, так как центральный офис не мо жет заставить провайдера позвонить в филиал, а значит, и подклю Только филиал с центральным офисом. Если взаимная репликация то установления VPN-подключения филиал может инициировать своих данных на центральный контроллер.

Чтобы разрешить репликацию между двумя сайтами, требуется изменить атрибут объекта связь сайтов. Когда этот атрибут создает объект-подключение этой связи со всеми соответствующими пара метрами. Чтобы разрешить взаимную репликацию, применяется Edit.

Разрешение репликации между двумя сайтами В консоли ADSI Edit раскройте Configuration.

2. Раскройте Sites, в Inter-Site Transports и вы берите папку CN=IP (для подключений по SMTP репликацию нельзя).

3. Щелкните правой кнопкой мыши объект связи сайтов, для которого нужно раз решить взаимную репликацию и выберите команду Properties (Свойства).

4. Б поле Select a property to view выберите options.

5. Если поле Value(s) в окне Edit Attribute содержит запись , в поле Edit Attribute введите 2. Если Value(s) уже содержит необходимо в это поле результат операции ИЛИ, к пре жнему значению и двойке. Например, если значение поля Value(s) равно 1, вы числяем (0001 0010), получается Введите десятичное значение результа та в поле Edit Attribute;

в пашем примере это 3.

6. ОК.

Уведомление об изменениях Уведомление об notification) - это кото рого контроллер домена извещает партнера по репликации о наличии Репликация внутри сайта происходит в ответ на когда на контроллере домена происходят он извещает своего по репликации, чтобы тот запросил информацию об Изменив состояние атрибута, контрол лер домена по репликации в течение определен времени после изменения.

Уведомление об изменении внутри сайта Для изменений внутри сайта имеется таймер который определяет ин тервал между моментом изменения и когда сервер извещает об этом 296 ЧАСТЬ 1 Служба каталогов Active Directory партнеров по Этот интервал предназначен для сокращения трафика репликации. Когда контроллер выполняет изменение или выз ванное репликацией) в разделе каталога, он запускает таймер и по истечении ин тервала задержки уведомляет всех своих партнеров по репликации (для данного раздела каталога внутри сайта) обо всех своих изменениях на данный момент вре мени. Если партнер не занят запросом на изменения от другого партнера, он шивает изменение у известившего сервера.

Стандартное время задержки Ч 300 секунд (5 минут). Оно в параметре Replicator notify pause after modify в разделе реестра Parameters.

При необходимости это значение разрешается изменить.

Примечание При маленьком значении этого параметра Вы получите слишком мно го уведомлений, что снизит Контроллер домена не уведомляет своих партнеров по репликации одновре менно. Делая паузы между уведомлениями, он во времени нагрузку по ответу на запросы Но умолчанию эта составляет 30 секунд и определена в Replicator notify pause between DSAs в разделе ре естра Parameters.

Внимание! модифицируйте реестр (с помощью редактора реес тра) Ч делайте это лишь в крайнем случае, когда другого нет. В отличие от инструментов управления редактор реестра обходит стандартные средства призванные не ввода конфликтующих значений параметров, а также спо собных снизить быстродействие системы или разрушить се. Не исключено, что по следствия прямого реестра окажутся не такими, как Вы ожидали, и, возможно, Вам придется Windows 2000. Для настройки и кон фигурирования Windows 2000 рекомендуется использовать Panel (Панель управления) или Microsoft Management Console (Консоль управления Microsoft).

Перед изменением реестра советуем делать резервную копию. Подробнее о редакти ровании параметров реестра в справочной системе редактора реестра. Подробнее о реестре в техническом руководстве Technical Reference Microsoft Windows Professional Resource Kit (файл Уведомление об изменении между сайтами По умолчанию изменения реплицируются между сайтами по а не ког да они происходят. Поэтому задержка во всем лесе Ч это сумма мак симальных задержек по самым путям в каждом разделе каталога, В особых случаях возможно сконфигурировать уведомление об для подключений между сайтами. Это средствами консоли Edit.

Разрешение уведомлений об изменении между сайтами В консоли ADSI Edit раскройте узел Configuration.

2. Раскройте Sites, в контейнер Inter-Site Transports и вы берите CN=IP (режим невозможен для связей но SMTP).

ГЛАВА б Репликация Active Directory 3. Щелкните кнопкой мыши объект сайтов, для которых включается уведомление, и в контекстном меню выберите команду Properties 4. В Select a property to view выберите options.

5. Если поле Value(s) в окне Edit Attribute содержит , введите в поле Edit Attribute. Если поле Value(s) необходимо в поле поместить результат операции ИЛИ примененной к ста рому значению и 1. если поля Value(s) равно 2. вычислите (0010 0001), получается ООП. Введите целое значение результата в поле Edit Attribute;

в нашем примере это 3.

6. Щелкните ОК.

об касается всех изменений. Если такое разре шение задано, то изменения происходят в сайте с той же частотой, что и в исходном, в том числе (urgent) репликацию.

Примечание Не задавайте об изменениях для коммутируемых IP-под ключений или SMTP-подключений.

Неотложная репликация репликация (urgent replication) реализована как уведом ление по протоколу RPC/IP по репликации об изменениях па контрол лере Она использует обычные уведомления об изменениях, но они отправ ляются немедленно в ответ на событие, а не после обычного 5-ми нутного интервала. Таким образом, если уведомление об изменениях разрешено между сайтами, между ними выполняется и неотложная репликация.

вызывающие неотложную Определенные события на контроллерах домена всегда вызывают неотложную ликацию в Active Directory внутри сайта, а также между сайтами, для которых раз об изменениях.

Немедленная между под Windows 2000 в одном сайте вызывается:

Х блокированием учетной записи, пользователю вход в систему после определенного числа неудачных попыток;

Х секрета (Local Security Ч безопасной формы хране ния персональных в Х сменой хозяина идентификаторов (relative identifier, RID), ко торый является единственным контроллером выделяющем относи тельные идентификаторы остальным контроллерам в домене.

Неотложная репликация изменений, вызванная блокировкой учетной записи Блокировка учетной записи Ч это функция системы безопасности, позволяющая ограничить число неудачных попыток проверки после которого дан ная запись отключается, а также период блокировки записи.

В Windows 2000 блокировка учетной записи неотложно реплицируется на тер, роль эмулятора PDC, а затем:

298 ЧАСТЬ 1 Служба каталогов Active Directory Х на домена в том же домене и в том же сайте, что и Х домена в том же домене и в том же сайте, что и контроллер, заблокировавший учетную запись;

Х на контроллеры того же домена, расположенные в сайтах, для которых настрое но уведомление об изменениях (а следовательно, и неотложная репликация) с сайта, в котором находится эмулятор PDC или контроллер, заблокировавший учетную Кроме того, когда происходит сбой проверки на контроллере домена, отличном от эмулятора PDC, он на самом эмуляторе Поэтому при превышении количества неудачных попыток эмулятор PDC блокирует учет ную запись раньше, чем другой контроллер. Подробнее о том, как компьютер, вы полняющий роль эмулятора PDC, паролей и блокировкой учетных записей Ч в главе 7 операциями одиночного хозяина.

Управление неотложной Далее перечислены некоторые рекомендации, которые могут оказаться полезными при принятии решения о разрешении уведомлений об изменениях между сайтами для поддержки неотложной репликации.

Х Если неотложную репликацию следует выполнять во всей сети, поместите все контроллеры данного домена в сайт (иногда это неосуществимо).

Х Если неотложную следует выполнять во всей сети, но нежелатель но отказываться от преимуществ привязки компьютеров к сайтам, не сколько сайтов и включите уведомление об изменениях для всех связей сайтов.

Х По блокировка учетной записи вызывает неотложную репликацию в сайте, содержащем контроллер домена, управляющий проверкой ти, и в сайте, содержащем PDC.

Принудительная между двумя серверами Для запуска принудительной репликации с используется объект В консоли Active Directory Sites and Services щелкните правой кноп кой мыши объект-подключение и в контекстном меню щелкните команду Replicate Now (Реплицировать сейчас). о настройке принудительной репликации между Ч в системе Microsoft Windows 2000 Server;

о допол нительных принудительной Ч в главе 10 Выявление и уст ранение а также Active Directory.

Репликация изменений пароля Репликация изменений паролей отличается от обычной и неотложной репликации.

Изменение пароля приводит к проблеме в случае задержки реплика ции: допустим пароль пользователя изменен на контроллере А, а затем этот пользо ватель пытается войти в и пройти проверку подлинности на контроллере В.

Если пароль не успеет с контроллера А на контроллер В, попыт ка не удастся. В Active Directory эта проблема следующим образом: все менения паролей немедленно направляются на единый в лесе, выпол няющий роль эмулятора PDC.

Если только один контроллер домена Windows 2000, роль эмулятора PDC возлагается на него. Эмулятор моделирует основного контроллера до ГЛАВА 6 Репликация Active Directory под Microsoft Windows NT 3.x или 4.0. В Windows NT един домена, это основной контроллер домена. Если подлинности не удается на направляется сразу на контроллер, который содержит пароль.

В Windows 2000 при изменении пароля пользователя па каком-либо контроллере этот контроллер пытается изменить реплику на компью тере, исполняющем роль эмулятора PDC. Изменение на самом эмуляторе независимо от уведомлений между сайтами.

пароль затем распространяется на остальные контроллеры путем обычной внутри сайта. ли пользователь проходит проверку подлин ности на контроллере, не имеющем нового пароля, то этот контроллер не сразу от кажет в доступе несовпадения а сначала обратится к эмулятору для данных пользователя. Таким образом, пользователь войдет в систе му, даже если контроллер, на котором аутентификация, еще не полу чил новый Если по какой-либо причине немедленное на PDC изме нение пароля обычным порядком.

Клиенты управлением Windows NT 4.0 или Microsoft Windows 9х без установ ленного клиента системы каталогов (Directory Services Client Update Pack) все да соединиться с эмулятором PDC. Если же клиент поддерживает взаимо действие со службой каталогов, то он соединяется с любым из контроллеров на, а тот уже Ч с эмулятором Можно настроить контроллер так, чтобы он не обращался к если обладатель роли эмулятора PDC не находится в данном сайте. Для это го параметру в разделе следует присвоить значение В этом случае изменения пароля передаются на эмулятор в ходе обычной реп ликации.

Создание дополнительных объектов-подключений Служба КСС топологии с задержкой репликации, устойчи вые к сбоям и не требующие модификации. Добавление не рекомен дуется, потому что дополнительные подключения постепенно снижают способность КСС автоматически выбирать наилучшие конфигурации. К тому возникает си туация, когда постоянно оценивать, какой дают вручную репликации.

не обязательно снижает задержку Задерж ки внутри сайта обычно не с топологии службой КСС, а с други ми факторами. К ним относятся:

Х сбои ключевых домена, таких, как эмулятор PDC, серверы гло бального каталога или серверы-плацдармы;

Х большая нагрузка на контроллеры домена, в результате чего они не состоянии информацию (то есть их слишком мало);

300 ЧАСТЬ 1 Служба каталогов Active Directory Х неполадки в сети;

Х неполадки сервера DNS;

Х нетипично много в каталогах, Такие проблемы решаются и добавление та ких подключений не задержки Настройка расписания и сто имости репликации связи лучший влияния на тополо гию внутрисайтовой репликации.

КСС автоматически создает подключения для обеспечения постоянной связи в ка талоге, даже если возникают сбои и отказы. подключе ния вручную приходится, лишь когда автоматически создаваемые КСС подключе ния связывают контроллеры домена, которые желательно соединить. Например, если создать временное подключение для принудительной репликации с определенного сервера, создайте для этого в консоли Active Directory and Services соответствующий объект-подключение.

Примечание Цена дополнительных подключений по сравнению с конфигурацией по умолчанию Ч это такты процессора, операции чтения с диска, а также дополнительный сетевой трафик, создаваемый Необходимость в подключениях между контроллерами внутри сайта или между ними в следующих ситуациях:

Х если нужно уменьшить число переходов между контроллерами домена внутри сайта. По умолчанию каждое изменение не должно проходить более трех пере ходов от того места, где оно произошло, до другого контроллера в дан Для уменьшения количества до двух или одного добавля ют дополнительные подключения;

Х при сбоях связи между домена в разных сайтах иногда требуют ся дополнительные для обхода сервера (серверов).

КСС создает такие подключения в подобных случаях, но этот итерационный процесс вызывает дополнительную задержку репликации.

Если создается подключение вручную, близкое к которое создала бы КСС, служба КСС не будет создавать своего подключения, но и не удалит или не изме нит созданное Вами. (Подробнее о создании объекта-подключения Ч в справочной системе Microsoft Windows 2000 Server.) Вот некоторые рекомендации по улучшению производительности КСС в сетях:

Х уменьшите количество сайтов, возможно;

Х увеличьте объем памяти контроллерах домена;

Х если возможно, сбросьте флажок Bridge all sites links (Установить мост для всех сайтов);

Х в случае выключите автоматическое создание топологии между сайта ми и создайте соответствующие подключения вручную.

Подробнее об управлении репликацией с помощью дополнительных подключений и рекомендациях по использованию КСС на Web-странице по адресу ссылка Microsoft Knowledge Base поиск но ключевому слову Управление операциями одиночного хозяина Операции одиночного хозяина (Flexible Operations, ются в Active Directory для обновления, когда невоз можно стандартного механизма разрешения конфликтов.

ние управления сделать каталог Active Directory более доступным.

В этой главе Основные сведения Роли хозяев операций ролей хозяина операций Устранение неполадок хозяина операций Управление доступом к назначению ролей Особенности работы хозяев операций Основные сведения В Active Directory разрешается изменять данные любого контроллера домена, собного принимать подключения клиентов, даже если временно нет соединения с самим доменом. Такое обновление называется с ми (multimaster update). После восстановления сетевого подключения обновления распространяются по иерархии леса. Таким образом, если два пользователя внесут конфликтующие изменения, реплицируются оба набора обновлений.

чем, механизм конфликтов (conflict resolution) позволяет в любой си туации синхронизировать реплики на всех контроллерах.

не менее обычно лучше предотвращать а не устранять их. Напри мер, при па разных контроллерах домена конфликтующих версий 302 ЧАСТЬ 1 Служба каталогов Active Directory можно воспользоваться стандартными методами разрешения конфликтов Active Directory. Б большинстве случаев в процессе разрешения вносятся из менения, сделанные тем контроллером, который последний записывал и данные. Однако, поскольку схема обновляется нечасто и ее согласованность очень важна, лучше предотвратить конфликт и полагаться на обычные механизмы его Для предотвращения конфликтов Active Directory обновляет схему в режиме оди хозяина, то есть обновления выполняет единственный контроллер домена в лесе Ч хозяин При необходимости администратор перемешает роль хозя ина схемы от контроллера к контроллеру;

тем не менее в каждый момент времени лишь один контроллер выполняет роль хозяина схемы.

Роль хозяина схемы Ч пример также называемой одиночного операций или просто операций. В Microsoft Windows 2000 Server есть и другие роли хозяина операций, за в каталог измене ний определенного типа. Только контроллер домена, являющийся хозяином роли, вносить соответствующие коррективы.

В небольших системах с Active с одним контроллером домена о ролях операций не возникает. развертывании нескольких контролле ров домена все намного сложнее, поэтому Вам надо четко понимать:

Х какие контроллеры домена должны выполнять роли хозяев операций;

Х какие функции будут утеряны при контроллера Ч хозяина опе раций;

Х что следует предпринять для восстановления служб, когда одиночный хозяин операций время.

В следующем разделе мы обсудим каждую из ролей одиночного хозяина операций, дадим ответы на поставленные вопросы, а также расскажем, как управлять досту к ролей.

Роли одиночных хозяев операций В Active Directory существует пять ролей одиночного хозяина операций:

схемы, хозяин именования доменов, хозяин относительных идентификаторов, лятор основного контроллера домена и хозяин инфраструктуры. Роли схе мы и именования доменов уникальны в пределах леса. Это означает, что в лесе возможен только один схемы и один хозяин именования доменов. Ос тальные роли должны быть уникальны в домене, то есть в каждом домене в составе леса определен один хозяин идентификаторов (relative identifier, один эмулятор домена (primary domain controller.

PDC) и один (infrastructure master). Таким образом, в лесе с одним доменом можно назначить пять ролей хозяина операций, а в лесе с несколь кими доменами ролей будет больше, в каждом имеется свой хо зяин RID. эмулятор PDC и хозяин инфраструктуры.

Допустим, что в лесе три домена:

Х Reskit.com Ч корневой домен;

Х Na.reskit.com Ч домен;

Х Eur.rcskit.com Ч европейский домен.

ГЛАВА 7 операциями одиночного хозяина Таким образом, в домене Reskit.com будет одиннадцать ролей Х схемы (лес): Reskit.com;

Х именования Х хозяин RID Х хозяин RID (домен): Na.reskit.com;

Х RID (домен): Eur.reskit.com;

Х эмулятор PDC (домен): Reskit.com;

Х PDC (домен): Na.reskit.com;

Х PDC (домен):

Х хозяин инфраструктуры (домен): Reskit.com;

Х хозяин Na.reskit.com;

Х инфраструктуры (домен): Eur.reskit.com.

Контроллер любого в составе леса в состоянии выполнять уникальную в пределах этого леса роль;

роль, в отдельном домене, разрешается вы полнять лишь контроллеру этого домена. Таким образом, один способен совмещать до пяти ролей операций. В нашем приме ре ролей можно назначить от трех до При создании контроллера первого домена Windows 2000 в лесе мастер установки Directory ему все пять ролей, а при создании нового домена Windows 2000 в существующем лесе три уникальных роли хозяина опе раций домена.

В домене смешанного режима (поддерживающего контроллеры под управлением Windows 3.51) выполнять роли хозяина операций способны лишь контроллеры домена под управлением Windows 2000, Хозяин схемы Хозяин схемы Ч это единственный контроллер домена, правом изме нять схему каталога. Эти обновления в дальнейшем реплицируются на все осталь ные контроллеры доменов в лесе.

Как уже упоминалось, хозяин схемы это роль уровня леса, так как в лесе суще ствует лишь одна схема - независимо от количества его Чтобы изменить схему, надо обязательно подключиться к хозяину схемы данного леса. При необхо димости роль хозяина схемы передается другому контроллеру домена.

Управляют ролью хозяина схемы средствами оснастки Active Directory Schema (Схема Active Directory). Чтобы подключение оснастки Active Directory Schema к хозяину схемы, щелкните в дереве консоли узел схемы правой кнопкой мыши и выберите в контекстном меню команду Operations Master (Хозяин опера ций). значения параметров Current Focus (Текущее местоположение) и Current Operations Master (Текущий хозяин операций) свидетельствует о том, что оснастка подключена к хозяину схемы. Чтобы получить возможность схему, следует флажок The Schema may modified on this server (Схе ма может быть изменена на этом контроллере домена).

При попытке изменить схему средствами оснастки Active Directory Schema на кон троллере домена, являющемся хозяином схемы, Вы получите 304 ЧАСТЬ 1 Служба каталогов Active Directory ное сообщение schema modification failed (модифицировать схему не удалось).

Подробнее об использовании оснастки Active Directory Schema, роли хозяина схе мы и расширении схемы в главе 4 Схема Active Directory.

Хозяин именования доменов именования доменов Ч это единственный контроллер домена, обладающий правом:

Х добавлять в лес новые домены;

Х удалять существующие из леса;

Х добавлять/удалять объекты -- ссылки на внешние каталоги.

Добавлять или удалять домены леса разрешается, только к хозяи ну именования доменов. Если хозяин именования домена недоступен, эти ции выполнить нельзя. При необходимости роль хозяина домена пере дается другому домена.

Существует несколько способов добавления домена в лес. Они перечислены далее.

Х Мастер Active Directory Wizard (Мастер Active Di rectory). В процессе первого контроллера нового домена мастер обра щается к хозяину именования домена по протоколу RPC в виду, что для создания домена необходимы соответствующие доступа).

В случае недоступности хозяина именования доменов система возвратит следу сообщение об ошибке:

Active Directory Installation Failed The operation has failed because To perform the requested operation, the Directory Service needs to contact the domain naming master (server The attempt to contact it failed.

The error was: "The specified server cannot perform the requested В этом примере имя хозяина доменов Ч server05.re.skit.com.

Х Команда Precreate в разделе Domain Management служебной программы Ntdsutil с последующим использованием мастера установки Active Directory.

подключиться к хозяину именования доменов для создания объекта -- перекрестной ссылки, задающей имя нового домена. Этот объект раз мещается в контейнере Partitions раздела конфигурации. После репликации рекрестной ссылки по всему лесу мастер установки Active Di rectory, и создается новый домен с уже существующим именем. В этом случае мастер установки Active Directory не обращается к хозяину именования доме нов. Для создания домена необходимы соответствующие разрешения.

Вот пример сообщения программы Ntdsutil при попытке подключения к недо ступному хозяину именования доменов (команды, которые вводит пользователь, выделены курсивом):

ntdsutil:

domain management: connections server connections: connect to ГЛАВА 7 Управление операциями одиночного хозяина binding to error server is Хозяин относительных идентификаторов Создать в домене новый объект Ч участник безопасности (лпользователь, груп па или довольно просто. Однако когда объектов создастся несколь ко сотен, контроллер домена обязательно средствами RPC обращается к контрол леру Ч хозяину (R1D) этого домена за новой пор цией (пулом) относительных идентификаторов. Если пул относительных иденти фикаторов контроллера домена пуст и хозяин RID недоступен, создать новые объекты Ч участники в данном не удастся. Если в случае Вы сделать это средствами оснастки Active Directory Computers (Active Directory Ч пользователи и то получите сле дующее сообщение:

Active Directory Service The object James Smith could be created.

The problem encountered was:

The directory service has exhausted the pool of relative identifiers, В данном примере система не в состоянии объект-пользователь с James так как пул RID При перемещении объектов между с помощью служебной программы подключение к хозяину RID в домене-источнике (то есть к точке, перемещается объект). В противном случае невозможно, при этом система возвращает малоинформативное сообщение об ошибке tailed.

Подробнее об идентификаторах - и главе 12 Управление досту Эмулятор основного контролера домена В каждом домене Windows NT или Windows NT 4.0 имеется основной контрол лер домена, Х обработку операций по изменению паролей, выполняемых пользователями и компьютерами;

Х репликацию обновлений на резервные домена;

Х роль домена Master Browser).

Windows 2000 с рабочими станциями, рядовыми и кон троллерами доменов под Windows NT 3.51 и Windows NT 4.0, поэто му для совместимости со старыми системами в среде 2000 один из кон троллеров эмулирует контроллер домена Windows NT, то роль эмулятора PDC.

В большинстве случаев обновление Active Directory выполняется по механизму репликации с несколькими хозяевами. Это что PDC в среде Windows 2000 не так критична, как в среде Windows NT, когда стано вятся недоступны перечисленные выше службы. Вот что при этом Х при попытке пароль рабочей станции под управлением Windows NT 3.51, NT Workstation 4.0, Windows 95/98 без 306 ЧАСТЬ 1 Служба каталогов Active Directory клиента Active Directory примерно такое сообщение: Unable to change password on this Please contact your изменить для данной учетной записи. Свяжитесь с вашим си администратором);

Х User Manager на резервном контроллере под управлением Windows NT 3.51 или Windows NT 4.0 в домене режима тель получит domain unavailable (домен а дис петчер User Manager уже запущен, Ч то server unavailable (недоступен сервер RPC). При попытке создать учетную запись командой net user/add выводится сообщение not find domain for this domain (не найден контроллер домена). При запуске Server Manager система выводит сообщение Cannot find the primary domain for You may administer this domain, but certain operations will be (He найден основной контроллер Вы можете управлять доменом, но домена недоступны).

обновления до Windows 2000 или путем установки (на системах под управ лением Windows NT Workstation 4.0, Windows 95 и Windows 98) клиента Directory система перестает полагаться на PDC и ведет себя следующим образом:

Х клиенты изменяют пароли не на эмуляторе PDC, а на любом контроллере домена;

Х после обновления всех резервных контроллеров домена до Windows 2000 основ ной контроллер больше не получает запросы на от систем под уп равлением Windows NT 3.51 и Windows NT 4.0;

Х для поиска сетевых ресурсов клиенты Directory. Служба об зора сети Windows NT им больше не требуется.

Даже после обновления всех систем до Windows 2000 контроллер испол роль эмулятора PDC, поддерживает следующие функции:

Х паролей, выполняемые другими контроллерами, передаются на PDC;

Х если из-за неверно указанного пароля проверка подлинности (аутентификация) на других контроллерах домена терпит неудачу, запрос на проверку передается эмулятору PDC, и лишь после возвращается отказ в Проверка подлинности окажется успешной, если PDC вовремя полу чил последние обновления паролей;

Х в случае успешной проверки на данном контроллере домена вслед за неуспешной контроллер об этом эмулятору PDC.

Таким образом, когда эмулятор PDC возрастает число звонков от пользователей, испытывающих проблемы с сетевым входом. Подробнее об обнов лении доменов Windows NT 3.51 и Windows NT 4.0 Ч в книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

Хозяин инфраструктуры Предположим, Вы добавили пользователя в группу в том же домене средствами ос настки Active Directory Users and (Active Directory -- пользователи и ком пьютеры). He отключаясь от этого домена, раскройте узел группы Вы увидите ее членов и в том числе только что пользователя. Пе ГЛАВА 7 Управление операциями одиночного хозяина объект пользователь (то есть, изменив его атрибут сп) и затем прове рив членов группы. Вы что имя пользователя изменилось.

Когда пользователь и в разных доменах, имя пользовате ля отобразится в группе не сразу: какое-то время в оснастке Active Directory Users and Computers па вкладке Members (Члены группы) диалогового окна свойств в поле Name (Имя) будет отображаться старое имя пользователя. Это есте ственная присущая распределенной системе с независимо функциониру ющими сайтами.

За ссылок группа Ч пользователь переименова нии членов группы отвечает хозяин инфраструктуры. Он изменяет эти ссылки ло кально, а реплицирует внесенные изменения на остальные контроллеры до мена. Если инфраструктуры недоступен, откладываются.

Подробнее о просмотре состава Ч в справочной системе Windows 2000 Server.

Размещение ролей хозяина операций При установке Windows 2000 роли хозяев контроллерам доме на самостоятельно. Это годится для леса, содержащего несколько контроллеров домена, относящихся к одному сайту. В лесе с большим числом контроллеров или с несколькими сайтами необходимо спланировать размещение ролей хозяина раций в соответствии с топологиями сети и Планирование размещения хозяев операций размещения ролей лучше выполнять отдельно для каждого домена.

Если в домене только один то ему принадлежат все роли в домене. В ином случае следует выбрать два контроллера -- прямых партнеров репликации, входящих в состав хорошо организованной сети. Для доменов смешанного рекомендуется, чтобы эти контроллеры находились в одном сайте. Подробнее об этом Ч в разделе Особенности работы операций далее в этой главе.

Поиск партнеров репликации Для поиска прямых партнеров репликации контроллера домена применяется осна стка Active Directory Sites and Services (Active Directory Ч сайты и службы). Что бы выбрать контроллер перейдите к контейнеру Sites и сайт, к ко торому относится контроллер. Затем в контейнере Servers перейдите к объекту контроллера домена. Раскройте этот объект и щелкните объект NTDS Settings. В области отобразится список объектов подключений.

Атрибут (С сервера) каждого такого объекта па прямого партнера контроллера домена.

Выбор контроллеров домена Если два выбранных контроллера домена прямых партнеров репликации ложены в одном сайте, между ними существует надежная связь. Если же они отно сятся к разным сайтам, рекомендуется соединить эти сайты сетью, обеспечивающей возможность репликации постоянно, а не только в определенные часы.

Один из контроллеров можно назначить операций, а другой Ч резервным хозяином операций. хозяин операций используется при от 308 ЧАСТЬ 1 каталогов Active Directory основного (подробнее Ч в разделе Устранение неполадок хозяина далее в этой главе).

Назначение ролей в домене В небольших доменах следует назначать роли хозяина относительных идентифи каторов и эмулятора PDC контроллеру домена, исполняющему роль хозяина опе раций. В домене очень большого размера снизить пиковые нагрузки на эму лятор PDC, назначив данные роли разным контроллерам, каждый из которых яв ляется прямым партнером хозяина операций. Следует со хранять эти роли на одном пока вследствие увеличения нагрузки на хозяина операций не потребуется разделить эти роли.

Роль хозяина инфраструктуры следует назначить контроллеру домена, не являю щемуся глобальным каталогом, но имеющему хорошую связь с сервером глобаль ного каталога (из любого домена). Оптимальное расположение мастера инфраструк туры - в одном сайте с каталогом. Такой основной хозяин туры используется, пока вследствие увеличения нагрузки на контроллер не потре буется разделить эти роли.

Примечание Роль хозяина инфраструктуры должен выполнять контроллер не являющийся сервером глобального каталога, иначе междоменные ссылки на объекты в данном домене обновляться не будут. Если все контроллеры домена глобального каталога, роль хозяина инфраструктуры можно назначать любому из них.

Назначение ролей в лесе После планирования всех ролей для каждого домена, следует роли в лесе. Роли хозяина схемы и именования доменов следует всегда чать одному контроллеру домена. Для лучшей производительности эти роли сле дует назначать контроллеру домена, имеющему надежную связь с компьютерами администраторов или группы, за обновления схемы и создание но вых доменов. Этот контроллер домена должен быть сервером глобального катало га, поскольку это необходимо хозяину именования доменов. Чтобы упростить уп равление, обе упомянутые роли можно назначить основному хозяину являющемуся сервером глобального каталога, Планирование развития В общем при росте леса не требуется изменять расположение ролей хозяев операций. Но если планируется понизить роль контроллера домена до рядового сервера, статус сервера глобального каталога до контроллера домена или изменить пропускную способность сети, то следует пересмотреть план и соответственно из менить назначения ролей хозяев операций.

Перемещение хозяев операций Этот процесс подразумевает роли с одного контроллера на другой при содействии текущего владельца роли. Для внедрения плана назначения ролей Вам придется переместить каждую роль из стандартного местоположения в нуж ное Вам. В зависимости от перемещаемой роли, данная операция выполняется сред ствами одной из трех оснасток Active Directory:

ГЛАВА 7 операциями одиночного хозяина Х для перемещения роли хозяина схемы нужна оснастка Active Directory Schema (Схема Active Directory);

Х для роли хозяина именования доменов применяется оснастка Active Directory Domains and Trusts (Active Directory Ч домены и доверие);

Х для перемещения уникальных ролей домена Ч оснастка Active Directory Users Computers (Active Directory Ч пользователи и Для передачи роли в дереве консоли соответствующей оснастки щелкните правой кнопкой мыши контроллер домена, который получит роль, и в контекст ном меню команду Operations Master (Хозяин операций). Для ролей домена перейдите на вкладку, соответствующую перемещаемой роли.

В окне свойств отображаются следующие элементы: Current Focus (Текущее мес тоположение) Ч контроллер к которому в данный момент подключена ос настка, Current Operations Master (Текущий хозяин Ч до мена, которому в настоящее время принадлежит роль хозяина схемы и состояние текущего владельца роли. Щелкните кнопку Change (Сменить) и за тем - ОК.

Если текущий владелец роли доступен, выполняется в течение не скольких секунд. Если этого не произошло, значит, контроллер домена недоступен.

В этом случае попробуйте устранить неполадку (о как это сделать, в ющем разделе).

о процедурах перемещения ролей хозяина операций Ч в справочной системе Windows 2000 Server.

Средства Active Directory получить сведения о ролях контрол домена. Для этого выберите соответствующую оснастку Active Directory [на пример, о роли хозяина RID Вы сведения в консоли Active Directory Users and Computers (Active Directory пользователи и щелкните в де реве корневой узел оснастки правой кнопкой мыши и в контекстном меню выберите команду Operations Master (Хозяин операций). В диалоговом окне Ope rations (Хозяин операций) отображается имя и состояние контроллера домена, к которому в данный момент подключена оснастка.

Устранение неполадок хозяина операций Когда хозяин операций недоступен, прежде всего следует определить причину и время, необходимое для ее устранения.

Если сбой непродолжителен, обычно достаточно пока хозяин операций станет доступен.

Если Вы предполагаете, что простой будет лучше передать роль операций другому контроллеру домена. Под перемещением (seizure) подразумевается ее новому хозяину безотносительно наличия и доступности владельца роли. Такую операцию рекомендуется выполнять крайнем случае. зависит от конкретной роли и времени, в течение кото рого эта роль остается недоступной.

Неполадки эмулятора Отказ контроллера домена Ч эмулятора влияет на работу всех пользовате лей и администраторов. В частности, конечные пользователи компьютеров ЧАСТЬ 1 каталогов Active Directory управлением Windows NT Workstation 3.51, Windows NT 4.0, 95 или Windows 98 без клиента Active Directory смогут свой пароль, не обращаясь к эмулятору PDC. Но истечении срока действия пароля вход в систему пользователям будет Поэтому, если эмулятор PDC стал недо ступным, немедленно роль другому контроллеру.

Если эмулятор PDC недоступен длительное время и в его домене есть не Active Directory, передайте роль эмулятора PDC хо зяину операций.

Обычное и принудительное ролей выполняется средствами одного и того же пользовательского однако при принудительном перемещении требуется подтверждение. Подтверждайте передачу роли, только если Вы уверены, что эмулятор будет долгое время недоступен. Когда перво начальный эмулятор PDC станет доступным, верните роль се прежнему владельцу.

Неполадки хозяина инфраструктуры Временная недоступность хозяина инфраструктуры незаметна для пользователей, Ее не заметят и администраторы если только они не выполняют переимено вание или перемещение множества учетных записей. В случаев менный отказ хозяина инфраструктуры требуется устранять в по рядке.

При отсутствии хозяина следует передать его роль.

Для этого рекомендуется выбрать контроллер домена, не являющийся глобальным каталогом, но надежно соединенный с сервером глобального каталога (в любом до мене). Желательно, чтобы этот домена располагался в том же сайте, что и текущий сервер глобального каталога. Близость нового хозяина инфраструктуры к предыдущему хозяину значения не имеет. Выбрав контроллер, ему роль хозяина инфраструктуры.

Обычное и принудительное перемещение ролей средствами одного и того же пользовательского интерфейса, при принудительном перемещении требуется дополнительное подтверждение. Подтверждайте передачу роли, только если Вы что инфраструктуры долгое вре мя. Когда хозяин инфраструктуры станет доступным, верните роль се прежнему владельцу.

Неполадки других хозяев операций Неполадка хозяина схемы, хозяина именования доменов или хозяина RID обычно не отражается на конечных пользователях и не мешает В большинстве случаев эта неполадка не требует немедленного устранения.

Тем не при длительном хозяина операций его роль следует пере дать контроллеру домена. Однако следует иметь в виду, что передача из этих ролей Ч решение, которое рекомендуется только при неустранимом отказе хозяина операций, например, когда физически уничтожен и его нельзя восстановить с архивной копии.

При перемещении ролей хозяина схемы, RID или хозяина до другому контроллеру следует позаботиться, чтобы прежний владелец роли ни в коем случае не стал доступен снова. принудительным перемещением роли убедитесь, что этот контроллер домена надежно отключен от сети.

ГЛАВА 7 операциями одиночного хозяина База данных контроллера, которому роль, должна полностью соответ ствовать текущему состоянию сети с обновлений, выполненных предыду щим владельцем роли. задержки репликации, возможно, это будет не так.

Чтобы проверить состояние для контроллера программой строки Repadmin (из комплекта ресурсов), ис пользуемой для диагностики репликации. Repadmin хранится на ком пакт-диске Windows 2000 Server. Она позволяет определить наличие на контролле ре домена самых последних обновлений. Подробнее об Repadmin Ч в главе 10 и устранение неполадок, а также восстановление Directory и в системе средств поддержки Windows 2000 Support Tools, Рассмотрим пример программы Repadmin для проверки наличия на контроллере Предположим, что контроллер server05 Ч RID домена reskit.com, Ч резервный опера ций, a server 12 - второй из двух контроллеров домена reskit.com. Выполняются сле дующие команды:

serverlO.

USN e USN /showvector 9 USN e USN Примечание Команды, которые пользователь, Для пас важны лишь относящиеся к Степень обновления сервера serverlO по с USN 2604) чем ана логичное по сравнению с server05 USN 2590). Это означает, что серверу serverlO без передать роль хозяина RID, ра нее серверу Если степень обновления сервера serverlO была бы чем у 2, следовало бы подождать, пока данные на сервере serverlO обновятся в процессе стандартной репликации, или сделать это посред ством принудительной репликации командой Repadmin /sync /force.

Определив, что владелец роли содержит самые последние обновления, надо дительно переместить роль хозяина запустив служебную программу ко мандной строки Ntdsutil:

ntdsutil: roles connections connections: to binding to serverlO.

Connected to using credentials of locally logged on server connections: quit maintenance: seize RID master Server knows about 5 roles CN=NTDS Domain - CN=NTDS PDC 312 ЧАСТЬ 1 Служба Active Directory RID Infrastructure - CN=NTDS fsmo maintenance: quit C:\> Примечание Команды, которые выделены курсивом.

Подробнее об использовании Ntdsutil Ч в справочной средств поддержки Windows 2000 Support и в В Ч служебная програм ма диагностики Active Назначение ролей средствами Ntdsutil Служебная программа Ntdsutil позволяет передавать и перемещать роли операций. этой программы, покажется Вам чем средства программ с графическим интерфейсом, так как вводить команды иногда проще и быстрее, чем работать с окнами, ролей хозяина схемы, хозяина именования доменов и хозяина R1D выполняется только Ntdsutil. Программа сначала пыта ется договориться по-хорошему и передать роль от текущего Если же существующий хозяин операций Ntdsutil принудительно присваивает роль новому владельцу.

Для просмотра справочной информации о Ntdsutil введите в приглашении этой программы знак вопроса (?). Ниже приведен пример передачи роли име нования доменов которые пользователь, выделены курсивом):

ntdsutil: ?

? - Print this help information Authoritative restore - Authoritatively restore the Domain - Prepare for domain creation Files - Manage NTDS database files Help - Print this help information IPDeny List - Manage LDAP IP Deny LDAP policies - Manage LDAP protocol policies Metadata cleanup - Clean up objects of decommissioned servers Popups - (en/dis)able with "on" or "off" Quit - the utility Roles - Manage NTDS owner tokens Security account management - Manage Security Account Database -Duplicate SID Cleanup database analysis - Semantic Checker ntdsutil: roles fsmo maintenance: ?

7 Print this information Connections - Connect to a specific domain controller Help - Print this help information Quit - Return to the prior ГЛАВА 7 Управление операциями одиночного хозяина Seize domain naming master - Overwrite domain role on connected server Seize infrastructure master - Overwrite infrastructure role on server PDC - Overwrite PDC role on connected server Seize RID master - Overwrite RIO role on connected server Seize schema master - schema role on connected server Select operation target - Select sites, servers, domains, roles and Naming Contexts Transfer domain naming master - Make connected server the domain naming master Transfer master - Make connected server infrastructure master Transfer PDC - Make connected server the PDC Transfer RID master - Make connected server the RID master Transfer master - Make connected server the schema master maintenance: connections server connections: ?

? - Print this help information Clear creds - Clear prior connection credentials Connect to domain - Connect to DNS domain name Connect to server - Connect to server, DNS name or IP address Help - Print this help information Info - Show connection information Quit - Return to the prior menu Set creds - Set connection creds as user, Use "NULL" for null password server connections: connect to server Binding to reskitl Connected to reskitl using credentials of locally logged on user server connections: quit maintenance;

transfer domain naming Server "reskitl" knows about 5 roles Schema - CN=NTDS Domain - CN=NTDS PDC RID - CN=NTDS Infrastructure fsmo maintenance:

quit Disconnecting reskitl C:\> В этом после ввода знака вопроса (?) выводит список команд и их описание. Для передачи роли надо команду roles, позволяю перейти в меню fsmo знака вопроса (?), Бы по список команд этого данного раздела. Прежде чем перемещать роль хозяи на Вам следует командой connect to server подключиться к контролле ру домена, которому предполагается передать роль (в Ч reskitl).

Затем, выполнив командой quit переход обратно в меню управления опе раций, введите transfer domain naming master. Откроется окно с 314 ЧАСТЬ 1 Служба Directory передачу роли хозяина именования доменов (в протоколе ра боты программы показано).

Примечание Для команд с помощью Ntdsutil необходимы соответству разрешения. Подробнее об полномочиями по назначению ролей операций Ч в следующем Кроме того, программа Ntdsutil позволяет узнать, какой компьютер является теку хозяином операций. Для в меню Roles введите команду Select Operation Target, а затем - команду List roles for connected server. Программа предоставит сведения обо всех текущих хозяевах Подробнее об Ntdsutil - в справочной системе средств поддержки Windows 2000 Support и в В Ч програм ма диагностики Active Управление доступом к назначению ролей В Active Directory хозяевам операций присваивается атрибут схемы Active Directory. Отображаемое имя LDAP данного атрибута Атрибут FSMO-Role-Owner Ч и содержит ссылку па объект представляющий конкретный контроллер домена. Вот пример составного имени такого объекта CN=NTDS где RESKIT1 - имя домена Reskit.com в сайте Washington.

В атрибуту любого объекта каталога можно за дать но в Active Directory делается только для специально выделен ных объектов Ч по одному на каждую роль в каталоге. Этот объект называется Значение атрибута объекта роли Ч это имя контроллера домена, исполняющего соответствующую роль. перечисле ны составные имена объектов ролей:

Х схемы:

(корень раздела Х хозяин именования доменов:

(в конфигурации);

Х хозяин RID:

(в разделе домена);

Х разделе домена);

Х хозяин инфраструктуры:

(в в Reskit.com, объединяющем домены Reskit.com, Na.reskit.com и Eur.reskit.com, существует одиннадцать объектов ролей со следующими составны ми именами:

ГЛАВА 7 операциями хозяина Х схемы в лесе Х доменов в лесе Reskit.com:

Х в домене Reskit.com:

CN=RID Х идентификаторов в Na.reskit.com:

Х хозяин относительных в Eur.reskit.com:

CN=RID Х PDC в Reskit.com:

Х эмулятор PDC в домене Na.reskit.com:

Х эмулятор PDC в домене Eur.reskit.com:

Х хозяин инфраструктуры в Rcskit.com:

Х хозяин инфраструктуры в домене Ka.reskit.com:

Х инфраструктуры в домене Eur.reskit.com:

Примечание атрибута объекта, не являющегося объек том роли, никак влияет на работу Active Directory Управление передачей ролей Как мы уже говорили, роли хозяина операций при и с Для передачи роли оба контроллера домена дол жны быть доступны и между собой по сети.

роли управляется специальным разрешением, определенным для объекта роли на хозяине операций, которому эта роль передается. Для каждой роли существуют свои разрешения, и они предоставляются определен ным группам администраторов:

Х хозяин схемы Ч разрешение Change Schema Master (Смена хозяина схемы) по умолчанию группе Schema Admins (Администраторы Х хозяин Ч разрешение Change Domain Master (Смена ина операций домена) но умолчанию предоставляется группе Enterprise Admins предприятия);

316 ЧАСТЬ 1 Служба каталогов Active Directory Х хозяин относительных идентификаторов Ч разрешение Change Master (Смена хозяина RID) Domain (Администраторы домена);

Х эмулятор PDC Ч Change PDC (Смена по умолчанию предос группе Domain Admins;

Х хозяин инфраструктуры Ч Change Master (Смена хо инфраструктуры) по умолчанию предоставляется группе Domain Admins.

Попытка передать роль при отсутствии соответствующих разрешений вызовет При необходимости разрешается сменить группу администраторов, обладающую на перемещение определенной роли. Например, можно создать новую груп пу с именем Domain Naming обладающую исключительным шением на передачу роли хозяина именования доменов. Создайте эту группу и в окне программы Edit объект роли хозяин именования доменов, откройте окно свойств этого объекта, удалите разрешение Change Domain (Смена операций домена) для группы Admins (Администрато ры предприятия) и аналогичное разрешение для группы Domain Naming Role Admins. Таким образом, удается группу администрато ров, обладающих разрешением на роли хозяина именования доменов.

Определив, кто имеет разрешение на передачу роли, Вы никак повлияете на кто право использовать эту роль. В этом примере члены группы Domain Naming могут роль хозяина именования доменов, но им не раз создавать объекты перекрестных ссылок эта операция разрешена только группе Enterprise Admins.

о назначении разрешений управления доступом в главе ние доступом и в справочной системе Windows 2000 Server.

Примечание В корректно настроенном каталоге право на перемещение ролей хозя ев операций должна иметь лишь группа администраторов.

Управление принудительным перемещением ролей Как мы говорили в разделах, перемещение роли это ее передача новому хозяину и вла дельца роли. Обычно такую операцию рекомендуется выполнять в ных случаях, хотя иногда без не обойтись.

Для перемещением ролей используются описанные разрешения управления обычной передачей ролей, а также разрешение fsmoRoleOwner property (Запись fsmoRoleOwner), для объекта роли на новом хозяине. Для принудительного роли необходимы оба эти разрешения Ч на смену выбранной роли и на запись атрибута fsmoRoleOwner. По умолчанию разрешение на запись fsmoRoleOwner предоставляется тем же группам, что и разрешение на смену хозяина операций.

Размещение ролей с помощью сценариев Как обычное, так и принудительное перемещение ролей хозяина разре выполнять программно средствами сценариев на языке Microsoft Basic Script.

ГЛАВА 7 операциями одиночного хозяина Перемещение ролей с использованием сценариев В Active Directory передача роли хозяина операций как по обновлению корневого операционного атрибута rootDSE на контроллере до мена, которому передается роль. Каждой роли соответствует свой атрибут Х Х Х Х Х Подробнее об атрибуте rootDSE Ч в главе 2 Хранение данных в Active Например, выполнение на контроллере домена с команды следу ющего сценария вызывает перемещение роли хозяина именования доменов па этпт контроллер:

перемещение ролей с использованием сценариев В Active Directory перемещение роли хозяина операций выполня ется как по атрибута объекта роли па контроллере домена, которому передается роль. Например, на кон троллере домена с помощью команды следующего сценария приведет к при нудительному на этот роли хозяина именования доме нов. При перемещения роли система выведет сообщение об ошибке.

Dim dse, roleObject, Set dse = Set roleObject = 6etObject( & & Set ntdsDsa = ntdsDsa Подробнее о сценариях Microsoft Basic Script Ч в справочной системе Windows 2000 Resource Kit Tools на компакт-диске Windows 2000 Resource Kit.

Особенности работы операций В этом разделе мы приводим вопросы, которые чаще всего. Ответы на них помогут Вам глубже понять, как осуществляется управление хозяевами Х Почему при Ч безопасности ин RID должен быть доступным?

При создании контроллер домена ему иден (security identifier, SID) Windows NT. Последний состо ит из домена, одинакового для всех создаваемых в идентификаторов безопасности, и RID, уникального для каждого S1D, создаваемого в домене.

ЧАСТЬ 1 Служба каталогов Active Directory У каждого контроллера домена Windows 2000 имеется пул RID, которого выделяются идентификаторы создаваемым им участникам безо пасности. Кроме того, у домена имеется пул RID, никогда не выделявшихся кон троллерам домена. Если количество RID в пуле контроллера домена меньше определенного он в режиме запрашивает дополнительные RID. Эти запросы направляются хозяину идентификаторов до мена, в ответ перемещает дополнительные RID из пула домена и в пул относительных идентификаторов контроллера, сделавшего запрос.

перемещение в другие с RID до ?

В Active Directory разрешается перемещать объекты между доменами. При этом объект перемещать с контроллера хозяина RID домена. Это по предотвратить создание в разных доменах двух объектов с одинаковым что возможно при объекта с двух контроллеров домена в два совмещать на и вер каталога?

Если объект на одном контроллере домена ссылается на объект, расположенный на другом контроллере, ссылка представляется в виде записи, содержащей SID (для ссылки на безопасности) и имя объекта, на который ссылаются. При перемещении этого объекта между доменами изменяется, a Ч нет;

составное имя изменяется в любом случае.

Хозяин инфраструктуры домена периодически проверяет свою реплику данных каталога на наличие ссылок на объекты, отсутствующие на доме на. Сведения о составном имени и SID объектов, на которые указывают ссылки, запрашиваются па глобального каталога. При изменении этой инфор мации хозяин инфраструктуры вносит соответствующие изменения в свою ло кальную реплику и реплицирует новые значения на другие контроллеры своего домена.

При совмещении на одном компьютере хозяина инфраструктуры и сервера гло бального каталога первый не сможет ничего обновить, так как глобальный ката лог не хранит ссылки на объекты на других компьютерах. Это связано с тем, что на сервере глобального каталога хранятся частичные реплики всех объектов леса, Почему совмещать именования доменов и сервер каталога?

Создавая новый объект хозяин именования доменов должен убедить ся, что не существует других объектов (лдомен или других) с име нем. Для этого размещается на сервере глобального каталога, содержащем частичные реплики всех объектов леса.

Что нужно при ролей в доменах смешанного режима?

В доменах смешанного режима, содержащих контроллеры, резервный хозяин эмулятора PDC надо разместить в одном сайте с текущим эмулятором PDC. Таким образом, не выполнять процедуру полной синхронизации с резервными контроллерами домена в случаях, когда роль эмулятора PDC при нудительно перемещается на резервный операций.

ГЛАВА 7 Управление операциями одиночного делать при перемещении роли сначала обновляется текущий, а затем Ч новый владе лец роли. Если на этапе произойдет сбой, роль новый владелец не полу чит. Возможны два варианта роли:

Х повторно;

Х подождать, пока в базу данных нового владельца реплицируются обновления.

сделанные на текущем владельце роли (это не потребует Вашего однако такое роли намного больше времени), Что с ролями операций при и восстановлении?

При архивировании контроллера домена его роли также архивируются. Поэто му при контроллера с архива восстанавливаются и жавшие ему на момент архивирования роли.

Что происходит с хозяина операций при роли контроллера домена до рядового сервера (то при удалении с него Active Directory)?

При удалении Active Directory с контроллера домена, исполняющего роль ина операций, пытается лизбавиться от своих ролей. Для каждой выполняемой им роли он находит другой подходящий контроллер домена и пе редает ему роль. Если из ролей не удастся, Directory выполнено не будет.

Не следует полагаться на стандартные процедуры ролей при уда лении Active Directory с контроллера домена. всего до начала удаления самостоятельно переместить все роли на другие контроллеры Наблюдение за производительностью в Active Directory Наблюдение за службой каталогов Active Directory позволяет проверить, как она выполняет возложенные на нее задачи. Например, для оптимальной производительности необходим контроль получения всеми сетевыми серверами изменений каталогов и своевременного обновления реплик. Для репликации и других целей используются оснастки консоли Microsoft Management Console (ММС), программы командной строки комплек та ресурсов Microsoft Windows 2000 Server и сценарии Microsoft Basic.

В этой главе Средства оценки производительности Счетчики системного монитора Средства оценки производительности Для наблюдения за многими процессами службы каталогов Active Directory оснастки и средства наблюдения системы (в том числе и про граммы строки), а также сценарии Basic. В частности, эти сред позволяют наблюдать за топологией репликации, работой имен (Domain Name System, DNS), задержкой репликации, временем соединения и выделением (Relative ID, Оснастки ММС В консоли ММС системы Windows 2000 имеется множество оснасток. Ссылки на них Вы найдете в подменю Administrative Tools (Администрирование) меню Start (Пуск). Оснастка Microsoft Active Directory Sites and Services (Active Directory - сайты и службы) позволяет просматривать сайты и относящуюся к ним информацию, а также изучать и изменять топологию репликации. Оснастка Per formance позволяет оценивать работу и производительность ГЛАВА 8 Наблюдение за производительностью Active Active Directory в графическом на выбранных показателей, называе мых счетчиками. счетчиков наблюдать в реальном времени или регистрировать в журнале, а потом распечатать эти данные для изучения. И наконец, оснастка Viewer (Просмотр событий) позволяет про сматривать журналов и об ошибках, возвращенные ями.

Оснастка Performance Оснастка Performance (Производительность) позволяет наблюдать работой ло кальных и удаленных компьютеров в любой точке сети и итог работы аа заданные интервалы времени. В ней имеется ряд счетчиков для наблюдения за пользованием ресурсов в реальном времени, кроме того, ее средствами можно со хранять в файле для последующего анализа и с ранее запи данными. Обладая необходимыми Вы можете наблюдать за использованием ресурсов на других серверах под управлением Windows 2000.

Средствами этой оснастки выполняется оценка базовой line) системы и настройка в журнале событий о базовых параметров.

Ярлык оснастки расположен в меню Administrative Tools трирование), а сама оснастка содержит два инструмента - System Monitor (Сис темный монитор) и Performance Logs and Alerts и произво дительности).

Подробнее о средствах наблюдения производительности - в книге ние сервера. Ресурсы Microsoft Windows 2000 Server (Русская 2001).

Раздел System Monitor Компонент System Monitor (Системный монитор) позволяет в реальном времени просматривать данные о в виде диаграмм или отчетов, нять собранные данные в файлы и оповещать о важных событиях в системе. Эти данные как объекты которые обычно называются так же, как генерирующий данные. Например, объект Processor представляет собой набор данных в локальной системе. Для наблюдения за работой Active Directory предусмотрена специальная группа объектов производительности NTDS.

Для за динамикой работы объектов в оснастке System Monitor применяют для измерения количественных показателей работы объектов необходимо узнать, ет и ли сервер обновления в ходе репликации каталога, добавьте в осна стку один или несколько счетчиков для объекта NTDS. Средства System Monitor позволяют просматривать информацию об System Monitor Ч в системе системного монитора.

Например, при настройке и проверке репликации между всеми серверами сети применяется счетчик DRA Replication (Ожидающих синхронизации репликации DRA) из объекта NTDS для проверки количества не в очереди * В русской Персии этот ярлык монитор. Ч 322 ЧАСТЬ 1 Служба каталогов Active данного Этот счетчик отображает скорость обработки объектов сервером, помогая корректность сервером Раздел Performance Logs and Alerts Средствами оснастки Performance Alerts (Оповещение и журналы регистрируются показания и сис темные Данные, от оборудования текущей системы, так же разрешается собирать средствами Windows Instrumen tation (Управляющий элемент Средствами оснастки отслеживаются Active Directory: протокола LDAP (Lightweight Directory Access центра распространения ключей (Key Center KDC), диспетчера учет ных записей безопасности Accounts Manager, SAM), администратора ло (Local Security Authority, LSA) и службы Net Logon вой вход в систему). Когда активизирована регистрация трассировки событий (trace logging), выполняется наблюдение за такими ключевыми собы тиями, как вход в систему, аутентификация, операции LDAP, операции SAM. При этом также регистрируется процессорное время, метка времени и идентификаторы потоков. Включение и отключение регистрации выполняется средства ми Performance Logs and Alerts. Для стоимости необ ходимы об трассировки событий, предоставляемых сторонними поставщиками систем управления, Ч на Web-страни це Resources по адресу ссылка Microsoft Platform SDK.

Как и System Monitor, компонент Performance Logs and Alerts поддерживает счет чики объектов производительности, таких, как NTDS, для наблюдения определен ных процессов. При этом разрешается интервалы регистрации событий, а также распечатывать журналы или просматривать их в ре альном времени в окне System Подробнее об использовании Performance в справочной системе Win dows 2000 Server.

Оснастка Event Viewer В состав Windows 2000 оснастка Event (Просмотр событий) - сред ство наблюдения за такими событиями, как ошибки приложений, сис темные ошибки и успешный или неудачный служб. Event Viewer регистри рует собранные данные в журнале событий. Например, средствами Б Event Viewer можно получить подробную информацию о том, когда реплицируются ка талога, просмотрев о соответствующих событиях в журнале.

Также при на неполадки службе каталогов, например, когда не вы полняется репликация данных, рекомендуется сначала изучить журнал Информация журналов событий помогает понять последовательность виды со бытий, к производительности. Подробнее об использовании оснастки Event Viewer Ч в системе Microsoft Windows 2000 Server.

Средства наблюдения за производительностью Active Directory В этом мы рассмотрим служебные программы строки и рии Visual Basic, расположенные на компакт-диске, прилагаемом к Microsoft Windows 2000 Server. Компакт-диск. Эти ГЛАВА 8 Наблюдение за в Directory ют контролировать работу Active в том числе наблюдать за различиями между разделами каталогов, расписанием и топологией репликации, работой сети, каналами, локальных и удаленных компьютеров, а также за выделением пулов RID. Эти средства по умолчанию расположены в каталоге Далее мы опишем служеб программу Performance Monitor и два сценария Visual Basic и Служебная программа Pmon С помощью программы командной строки Monitor выполняют мониторинг использования процессами таких ресурсов компьютера, как процессорное время и намять. Pmon также использование и невыгружаемых и утечки памяти в процессах режима ядра. В Active Directory с помощью программы Pmon контролируется использование па мяти подсистемой посредством наблюдения за процессом Для просмотра списка текущих процессов в Pmon клавиши стрелка и стрелка Для выхода из программы достаточно ESC или Нажав любую другую клавишу, Вы обновите окно Pmon.exe.

Подробнее об использовании невыгружаемых и выгружаемых пулов - в книге Со провождение сервера. Ресурсы Microsoft Windows 2000 Server (Русская Редак ция, 2001).

Сценарий DisplayRID DisplayRID на языке Visual Basic для ния и пулов RID контроллерами домена. Например, для за пулом RID в домене следует ввести в командной строке:

cscript displayrid.vbs Полный синтаксис команды имеет следующий вид:

Cscript Сценарий DispIayOld Сценарий на языке Basic позволяет обнаружить в Active Directory учетные записи компьютеров и пользователей, которые не входили в систему в те указанного периода Информацию, возвращенную сценарием, мож в файле в формате данными LDAP Data Format, LDIF), что позволяет при необходимости удалить объекты из Active Directory. Например, чтобы найти учетные записи всех в под разделении Sales домена Reskit.com, которые не входили в систему последние 60 дней, введите команду:

cscript /N:60 /С:

Полный синтаксис команды:

Cscript vbs Обратите внимание, что у этого сценария только обязательный параметр 324 ЧАСТЬ 1 Служба каталогов Active Directory Регистрация трассировки событий Регистрация трассировки событий операции позволяет оценить затраты на ее вы полнение. В Active Directory существуют средства за элементарными операциями LDAP, а также за операциями компонентов Kerberos, LSA и службы Net Logon. При регистрации трассировки записываются све о таких ключевых событиях, как вход в аутентификация, и операции SAM. Кроме того, регистрируются такие параметры, как исполь зование процессора, метка времени идентификаторы потоков. Средства регист рации событий службы Logs and Alerts позволяют включать и отклю чать протоколирование трассировки. Для оценки стоимости отдельных операций требуется использовать API-интерфейс. Подробнее об API-интерфейсах трассиров ки Ч на Web-странице Web по адресу ссылка Microsoft Platform SDK. В составе Mic Platform SDK и комплекта также имеются примеры программ и средств анализа данных, в ходе трассировки.

Счетчики системного монитора Во время установки Active Directory wizard (Мастер установки Active Directory) конфигурирует в объекте счетчики которые ведут статистику работы каталога. Эти счетчики регистрируют события всего ката лога, в том числе и глобальных каталогов. В окне оснастки Performance (Произво дительность) текущие отображаются в графическом виде, кроме эта оснастка сохранять сведения в Объект NTDS Объект NTDS содержит счетчики производительности, отражающие статистику работы Active Например, несколько счетчиков, относящихся к агенту репликации (directory replication agent, DRA). Счетчиков производитель ности очень много, сначала следует решить, какая информация необходи ма, а затем подбирать нужные Счетчики объекта NTDS также используются для планирования производительно сти и путем оценки базовой производительнос ти, например для регистрации событий превышения нагрузкой базовых значений.

Обычно счетчики, используемые для планирования производительности, содержат в своем имени слово Total (Всего). Существует три типа таких счетчиков:

Х статистические - отражают суммарное количество операций в секунду. Например, счетчик DRA Properties Total/Sec (Всего входящих свойств по казывает общее количество свойств объектов, получаемых в от партне ров входящей репликации;

Х процентные -- отражают долю нагрузки относительно суммарной нагрузки. На пример, счетчик DS % Writes from LDAP операций записи из LDAP в DS) показывает долю общем службы каталогов;

Х Ч отражают состояние процессов с последнего запуска компью тера. счетчик DRA Inbound Bytes Total Since Boot (Всего байт DRA с момента загрузки) показывает общее количество входящих данных репликации в байтах, то есть сумму числа байт несжатых данных (данных, ко торые никогда не сжимаются) и количества байт сжатых данных (после сжатия), ГЛАВА 8 Наблюдение за производительностью в Active Directory У каждого счетчика существуют особенности и ограничения. В таблице 8-1 наиболее счетчики для наблюдения за произво дительностью Active Directory.

Таблица 8-1. Счетчики Active Directory в объекте NTDS Счетчик DRA Inbound Compressed Размер (в байтах) входящих сжатых данных (Between Sites, Compression) кации, то есть объем сжатых данных, полученных от /Sec [Входящих сжатых байт DRA агентов репликации (Directory System Agent, в (между сайтами, после других сайтах DRA Compressed Исходный размер (в байтах) входящих сжатых дан (Between Sites, Before Compression) ных репликации (размер до сжатия данных, /Sec сжатых байт DRA от агентов DSA в других сайтах) (между сайтами, до DRA Inbound Bytes Not Compressed Количество байт данных которые не (Within [Входящих несжа- были сжаты на источнике, в секунду, то есть входя тых байт DRA (внутри щие от агентов DSA в этом же DRA Inbound Bytes Total/Sec количество входящих байт репликации. Рав (Всего входящих байт но сумме несжатых (никогда сжимавшихся) бай г и сжатых байт сжатия) DRA Inbound Full Sync Objects Число объектов, которые необходимо обработать Remaining (Осталось объектов вхо- полного процесса дящей полной синхронизации DRA) DRA Inbound Object Updates Количество объектов, полученных в ning in Packet в текущем репликации которые еще не применены на локальном сервере.

входящих обновлений объектов DRA) выявить ситуацию, в сервер ус получает обновления, но их внесение в базу данных DRA Inbound Objects Applied/Sec Количество объектов (в секунду), получаемых от (Применено входящих обновления репликации и применяемых DRA/сек) локальной каталогов. Этот счетчик не учи тывает но примененные изменения (например, когда такое ранее).

Показывает интенсивность обновлений репликации на вызванных на других сер верах DRA Inbound Objects Filtered/Sec Количество объектов в секунду, получаемых от парт (Отфильтровано входящих объектов неров по входящей репликации, которые не содер жат обновлений DRA/сек) Общее количество объектов, в DRA Inbound Objects/Sec от в входящей репликации объектов DRA/сек) DRA Inbound Properties Applied/Sec Количество обновленных вхо (Применено входящих репликации в результате применения меха DRA/сек) низма согласования Количество обновлений DRA Inbound Properties Filtered/Sec которые внесены в базу данных ранее (Отфильтровано входящих свойств DRA/сек) Общее количество свойств объектов, получаемых а DRA Inbound Properties от но входящей (Всего входящих свойств DRA/сек) (см. стр.) 326 ЧЛСТЬ 1 Служба каталогов Active Directory Таблица (продолжение) Счетчик Описание DRA Inbound Values Количество получаемых в секунду от партнеров по | значения DRA входящей репликации свойств - состав (только ных имен Счетчик также учитывает ссыл ки на объекты. Значения составных имен, составы групп или списков распростране ния, требуют затрат на в базу дан но с другими тинами значений. Это с тем, что объекты групп или списков рас содержат сотни и тысячи чле нов, и, как следствие, они гораздо простых с одним или двумя атрибутами. Счетчик применяется для выяснения задержек при внесении в базу данных DRA Inbound Total/Sec количество (в значений свойств (Всего входящих значений объектов, полученных от по репликации. Входящие объекты обладают одним DRA/сек) или несколькими свойствами, у свойства может быть одно, несколько или ни одного значения. От сутствие у свойства значения указывает на этого свойства DRA Bytes (в байтах) исходящих сжатых байт (Between Sites, After Compression) то есть размер сжатия от агентов /Sec [Исходящих сжатых байт DRA DSA в других сайтах (между сайтами, после DRA Outbound Bytes Compressed Исходный (в байтах) исходящих сжатых (Between Sites, Before байт репликации, то есть размер сжатия от /Sec [Исходящих сжатых байт DRA агентов DSA в других сайтах (между сайтами, до DRA Outbound Bytes Not Compressed исходящих байт которые не нес- были сжаты, то есть полученных от агентов в жатых байт DRA (внутри этом же сайте DRA Outbound Bytes Total/Sec Общее количество исходящих байт репликации.

(Всего исходящих байт DRA/сек) Равно сумме количества несжатых байт (никогда не и количества сжатых байт сжатия) DRA Outbound Objects Filtered/Sec Количество объектов, партнерами по но не нуждающихся в обновлениях DRA/сек) DRA Outbound Objects/Sec Количество (в объектов, (Исходящих объектов DRA/сек) на партнеры по исходящей репликации DRA Outbound Properties/Sec Количество секунду) на (Исходящих свойств DRA/сек) партнеры по исходящей репликации. Счетчик ин формирует об объектах, и применяется для док при объектов ГЛАВА 8 Наблюдение за производительностью в Active Directory Таблица 8-1. (продолжение) Счетчик Описание DRA Outbound Values (DNs Количество (в секунду) отправляемых партнерам по значения DRA исходящей репликации значений свойств Ч (только объектов. Для внесения в базу данных зна чения составных имен, например составы групп или списков распространения, требуется больше по сравнению с другими типами значений. Это свя с тем, что объекты групп или ранения иногда содержат сотни и тысячи членов, и, как следствие, они гораздо больше простых с одним или двумя атрибутами DRA Outbound Values Total/Sec количество (в секунду) значений свойств исходящих значений объектов, отправляемых партнерам по исходящей А/сек) репликации DRA Replication Количество необработанных Synchronizations гов, в очереди данного сервера.

синхронизации репликации DRA) Счетчик определить объем отложенных данных, то есть информации, не вне сенной в базу данных Remaining Replication Updates Количество обновлений объектов, в (Оставшихся в пакете входящих пакете репликации каталога, но обновлений) еще не примененных на локальном сервере.

снижение скорости объектов к базе о нормальной работе, а посте пенное снижение скорости указывает на обработку сложного объекта. Счетчик позволяет оценить ско рость обработки сервером данных и выявить слишком низкие значения этого DRA Sync Requests Made Количество запросов на синхронизацию, переданных (Запросов синхронизации DRA) по репликации с последней перезагрузки DS Reads/Sec (Операций Количество чтения в каталоге в секунду чтения в каталоге DS/сек) DS Directory Writes/Sec (Операций Количество операций записи в каталог в секунду записи в каталог DS/сек) DS Security Descriptor Количество событий распространения Events (Событий распространения безопасности, размещенных в очереди и ожидаю дескриптора безопасности DS/сек) щих обработки DS Security Descriptor Suboperations Частота выполнения (в еекунду) подопераций рас /Sec (Подопераций дескриптора пространения дескрипторов безопасности (Security безопасности DS/сек) Propagation). Одна операция нения состоит из нескольких Подопе рация примерно соответствует проверке одного объекта DS in Текущее количество потоков, используемых службой каталогов (кроме потоков процесса самой службы (Используется потоков DS) каталогов). Счетчик показывает количество в данный момент обслуживающих запросы. Позволяет оцепить эффективность дополнительных процессоров Kerberos Authentications/Sec (Про- Сколько раз в секунду клиенты используют билет верки подлинности сеанса для данного контроллера домена для прохож дения проверки подлинности на нем (см. стр.) 328 ЧАСТЬ 1 Служба каталогов Active Directory Таблица (продолжение) Счетчик Описание ШАР Bind Time Время (в на вы привязки LDAP) последней успешной привязки LDAP LDAP Client Sessions сеансов LDAP-клиентов LDAP Частота (в с которой вы LDAP в поиска Successful Binds/Sec Число успешных LDAP в секунду (Успешных привязок Authentications Количество (в секунду) операций проверки подлин подлинности NTLM) ности по выполняемых данным кот роллером домена Загрузка и выгрузка объекта NTDS вручную (очень редко) объект не загружается и недоступен в System Monitor.

В этом случае его следует загрузить вручную.

Загрузка объекта NTDS 1. Перейдите в папку 2. Для информации о счетчике в реестр в командной строке:

3. компьютер, чтобы приступил к сбору данных об Active Directory.

После этих действий служебная программа System Monitor пригодна для просмотра счетчиков для объекта NTDS.

Выгрузка объекта NTDS вручную 1. в 2. Для выгрузки информации о из реестра введите в командной строке:

Объект Database Объект (База данных) к Extensible Storage (ESE) транзакционной СУБД, хранящей все объекты Active Directory. Этот объект про изводительности не по умолчанию. Счетчики объекта Database применяются для тонкой настройки Active Directory. Некоторые счет чики позволяют выявить, требуется ли дополнительное дисковое для хранения журналов или самой базы данных.

В настоящее время в Windows 2000 нет способа установки DLL-библиотеки загрузить объект Database вручную.

Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) - делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит стандартные средства зашиты, не ввода конфликтующих значений параметров, а также спо собных снизить быстродействие системы или разрушить ее. исключено, что по ГЛАВА 8 Наблюдение за производительностью в Active Directory следствия прямого редактирования реестра окажутся такими, как Вы и, Вам придется переустанавливать Windows 2000. Для и кон Windows 2000 рекомендуется использовать Control Panel управления) или Microsoft Management (Консоль Microsoft), Перед реестра советуем делать резервную Подробнее о редак тировании параметров реестра Ч в системе редактора реестра.

нее о реестре - в техническом руководстве Technical Reference Microsoft Win dows 2000 Professional Resource Kit (файл Загрузка объекта Database 1. Скопируйте DLL производительности (Escntprf.dll), в панке в любую другую папку (например, 2. Запустите Regedt32.exe или и наличие следующих Если этих подразделов нет, создайте их. Подробнее о создании подразделов ре естра в системе Microsoft Windows 2000 Server, 3. В Performance существовать перечисленные далее ры. Если этих параметров нет, следует их Х Имя параметра Ч Open;

тип REG_SZ;

Х Имя параметра Ч Collect;

тип - REG_SZ;

значение Х Имя параметра - Close;

тип данных - значение Ч Х Имя параметра Library;

тип данных Ч REG_SZ;

значение Ч (а точнее путь к местоположению, где Вы разместили копию 4. Перейдите в папку или в другую содержащую файлы и созданные в ходе Esentprf.dll.

5. Выполнение этого пункта не Чтобы гарантировать в реестре о предыдущем счетчике, введите в командной ESENT 6. Для о счетчике в реестр введите в строке:

Esentprf.ini 7. Для просмотра счетчиков для объекта Database перезапустите System Monitor, В 8-2 счетчики объекта Database.

Таблица 8-2. Дополнительные счетчики Active Directory в объекте Database Счетчик Описание Cache % Доля запросов к страницам, которые были с кэша базы обраще к файлу. Если процент ком мал, то, возможно, слишком размер ба зы емкость кэша базы данных можно путем оперативной памяти (см. след, стр.) 330 ЧАСТЬ 1 каталогов Active Directory Таблица 8-2.

Счетчик Описание Cache Page Stalls/sec Количество страниц в секунду, которые удается (Частота отказов кэша страниц) обслужить из-за отсутствия места в кэше. Если этот показатель большую часть времени не равен нулю, то, возможно, слишком мал порог очистки. Увели чить емкость кэша базы данных можно путем увели чения объема оперативной памяти Cache Page Faults/sec (Частота Количество страничных запросов, вынуждающих неудачных обращений к диспетчер кэша базы данных место для кэшу страниц) новых страниц. Если эта величина слишком велика, размер кэш-памяти, вероятно, слишком мал. Увели чить кэша базы данных можно посредством увеличения объема оперативной памяти Cache Size (Размер кэш-памяти) Размер кэш-памяти Ч это объем памяти, необходи мый диспетчеру кэша базы данных для хранения используемой информации в целях сокраще ния числа файловых операций. Размера кэша базы данных иногда не хватает для обеспечения опти производительности, если в системе слиш ком мало оперативной памяти. Эту проблему реша расширением объема памяти. Если памяти в системе достаточно, а размер кэш-памяти не превышает определенного предела, следователь но, размер кэша искусственно занижен. Увеличив это значение, Вы повысите производительность File Bytes Скорость (байты в секунду), с которой байты считы записи файлов) ваются из файлов базы данных в кэш базы данных.

Pages:     | 1 |   ...   | 4 | 5 | 6 | 7 | 8 |   ...   | 15 |    Книги, научные публикации