Книги, научные публикации
Pages: | 1 | 2 | 3 | 4 | 5 | ... | 7 | Л Федор Зубанов Active Directory подход профессионала Издание исправленное Москва 2003 УДК 004 ББК 32.973.81-018.2 391 Ф. В. ...
-- [ Страница 3 ] --Замечание Если обновляется контроллер домена Windows NT 4.0, то файл NTDS.D1T будет в несколько раз файла SAM. Ориен тировочно можно полагать разницу в 10 раз.
Теперь займемся файлом Это журнал транзакций Active Direc tory. Сюда заносятся все операции в базе. Его размер тоже 10 Мб. Если журнал переполняется, то он переименовывается в а транзакции записываются в файл edb.log. Регистрация транзакций Ч весьма ответственный процесс. Очевидно, что выполнять запись в от ложенном режиме рискованно, так как в случае непредвиденного краха системы информация о транзакциях будет потеряна. Именно поэтому при старте контроллера домена принудительно отключает ся кэширование записи для того на котором расположены журналы транзакций. Речь идет о физическом (а не логическом дис ке). Если ОС или пользовательские файлы хранятся на том же физи ческом диске, что и журналы транзакций Active Directory, то дительность заметно снизится.
Замечание Снижение производительности на современных системах наблюдается лишь значительном пользователей.
Folder 8 KB Recovered S3 10 240 KB 10 240 KB Text 10 2S6 File 17.03.200220: 10240KB Document 06.02. Text Document 23: Файлы, при Active Directory И еще один файл Ч edb.chk. Сюда заносятся контрольные точки БД.
Они нужны для того, чтобы при необходимости повторно воспроиз водить транзакции, занесенные в журнал. Допустим, произошел сбой системы. После перезагрузки происходит обращение к файлу edb.chk за информацией о контрольной точке, т. е. о последней Установка подтвержденной транзакции. Далее начинается повторение транзак ций в журнал сразу за контрольной точкой. Если бы кон трольной точки не было, пришлось бы повторять все транзакции, сведения о которых занесены в журнал.
Обновление контрольной точки выполняется, если:
Х накапливается необходимое количество изменений в базе, таких что не указывают назад на контрольную точку;
Х завершается восстановление базы;
Х выполняется корректный выход из системы.
Возможно, вы сталкивались с ситуацией, когда после аварийного за вершения работы контроллера домена последующая загрузка выпол няется гораздо дольше обычного. Это связано с тем, что система по вторяет все транзакции от последней контрольной точки.
SYSVOL Другой группой которые создаются в результате работы DCPROMO, является иерархическая структура SYSVOL Подробнее об этой структуре мы поговорим в главах, посвященных репликации и групповой политике, а пока лишь коротко опишем структуру, так как по ее создания можно оценить корректность установ ки контроллера домена.
на втором уровне иерархии располагаются четыре папки.
Domain Ч здесь хранится структуры Х Staging.
areas Ч как и предыдущая, требуется механизму репликации FRS (о них см. главу Active Directory и файловая Sysvol Ч предоставлена в совместное использование, содержит папку, соответствующую которому принадлежит контрол лер. В последней находятся следующие папки.
Х (см. главу Active Directory и файловая Х Policies. Здесь хранятся объекты групповых политик. Каждая политика хранится в виде папки с именем своего напри мер Сразу после установки нового контроллера домена создаются минимум две папки политик: для домена и для контроллеров домена. Если выполняется подключение к в котором определено несколько дополнительных политик, то для каждой из них бу дут созданы свои папки.
Каждая папка политики содержит не менее двух папок. Обя зательными являются MACHINE и USER, что, как ясно из их 136 Active Directory;
подход названий, относится к правилам для компьютеров и пользовате лей. Дополнительно могут быть другие папки, например, Adm Ч место хранения административных шаблонов, используемых политиками.
Х Scripts. Содержит файлы сценариев, используемых компьюте рами пользователей. Эта папка также предоставлена в тное использование.
Приведенная на рисунке SYSVOL соответствует первому контроллеру в домене. Если же вы добавляете контроллер к существу ющему домену, то структура может но обязательно соот ветствовать на остальных контроллерах.
Замечание При добавлении контроллера в домен структура SYSVOL появится не а лишь по завершении репликации. Обычно на это нужно около 10 минут, однако может продлиться дольше. Подробнее об этом см. статью Q250545 в Microsoft Knowledge base.
Структура SYSVOL Журналы регистрации Последними после работы появляются файлы регистрации выполнения этой программы и с ней служб:
Active Х DCPromoUI.log;
Х Х Netsetup.log;
Х DCPromos.log.
Все они находятся в каталоге См. о них раздел Анализируем Служба синхронизации времени по времени чрезвычайно важна для работы протокола аутентификации Kerberos. По умолчанию разница во времени между клиентом и превышающая 5 минут, делает аутентификацию невозможной. Именно поэтому в Windows 2000 реализована служба синхронизации Она полностью совместима с протоколом Simple Network Time (SNTP). Работает она так.
Для каждого компьютера есть свой эталон, с которым он сравнивает локальное время.
Если при загрузке клиент обнаруживает, что его локальное время лотстает от времени на эталоне, то его часы синхронизируются с часами эталона. Если же локальное время на клиенте опережает время на эталоне менее, чем на 2 то в течение последую щих 20 минут локальные часы а если опережение превышает 2 минуты, показания часов выравниваются сразу.
Во время последующей работы выполняются периодические свер ки времени с эталоном. Начальный интервал сверки составляет часов. Если при сверке обнаруживается превышающая секунды, продолжительность интервала сокращается вдвое. Про цесс повторяется при следующей сверке до тех пока:
Х разница локального и эталонного времени не станет меньше 2 секунд ИЛИ:
Х интервал сверки не уменьшится до своего минимального зна чения в 45 минут.
Если измеренная разница во времени меньше 2 секунд, интервал свер ки увеличивается в двое. Максимальное значение интервала Ч 8 часов.
Такое поведение установлено по умолчанию, но вы можете изменить его, используя параметры ветви реестра Например, величину интервала сверки определяет параметр Period. Он может быть одного из двух типов: или Строковые переменные способны принимать только следующие значения:
138 Active Directory: подход профессионала Устанавливаемые интервалы сверки времени Число Строка 0 Раз в день Раз в дня Раз в три дня Weekly 65533 Раз в неделю 65532 Каждые 45 минут до достижения тельных удачных, затем каждые 8 часов 65531 Каждые 45 минут до достижения 1 удачной синхронизации, затем каждый день число число раз в день Описание других влияющих на работу службы синхро низации времени, см. в Microsoft Knowledge Base в статье В рамках Active Directory существует однозначная иерархия, в соот ветствии с которой все компьютеры синхронизируют время. На ниж ней ступени Ч все клиентские настольные компьютеры. Для синх ронизации своих часов они обращаются к тому контроллеру домена, на котором они авторизованы. Если в процессе работы выясняется, что данный домена больше недоступен, то выбирается новый контроллер. На этой же ступени в иерархии находятся и все серверы-члены домена.
Все контроллеры в домене синхронизируют свое время с тем контрол который выполняет роль имитатора главного контроллера домена В рамках всего леса доменов каждый из выполняющих роль имитатора главного сверяет свое время с тем ими татором что стоит выше него в иерархии доменов Active Directory.
Главный авторитет Ч имитатор в корневом домене. Он может сверять свое с какой-либо эталонной либо сам с со бой. Указать ему, с кем сверять время, позволяет команда:
Net time серверов точного времени Можно, однако, установить имя сервера точного времени через ре естр: в приведенной выше ветви измените значение параметра Не забудьте при этом в DNS указать запись для этого имени.
В качестве серверов точного времени можно напри мер, серверы: ntp2.usno.navy.mil (192.5.41.209) или tock.usno.navy.mil (192.5.41,41).
Автоматическая установка контроллера Не секрет, что контроллер домена можно установить, не только запу стив DCPROMO в интерактивном режиме, требующем ответа на все Установка Active Directory задаваемые вопросы, но и в автоматическом Ч когда ответы на все вопросы записаны в файле ответов. Этот способ удобен при установ ке большого числа контроллеров в домене, а также при выполнении автоматического обновления контроллеров домена Windows NT.
Иерархия службы времени Запускает программу в таком режиме команда:
В зависимости от типа контроллера домена [новое дерево в новом лесу, новый контроллер домена в существующем домене (или обнов ление контроллера Windows NT), новый дочерний новое де рево в лесу], а также при контроллера домена до статуса сервера в файле ответов используются различные параметры. Все они должны входить в секцию Рассмотрим эти пара метры для каждого из типов контроллера. Если какой-то па раметр то используются его значения по умолчанию (см. далее таблицу).
Новое дерево в новом лесу [DCINSTALL] (например > имя сайта Active Directory иное место размещения файла (или иное место файла (или иное место корня администратора для в режим Acttve Дополнительный контроллер в домене [DCINSTALL] запись администратора в домена> (или иное место файла NTDS.DIT) (или иное место файла (или место размещения администратора для входа в восстановления Active Directory> Active Directory имя Active домена-источника Новый дочерний домен Password UserDomain DatabasePath администратора для входа в режим Новое дерево в лесу UserName Password UserDomain DatabasePath SYSVOLPath администратора входа в режим Active AutoConfigDNS AllowAnonymousAccess Active подход профессионала Понижение контроллера домена до сервера Password Описание параметров и значений умолчания В таблице описаны параметры в файле ответов, и чения, присваиваемые им по умолчанию.
Возможные значения Параметр (умолчание выделено) Описание Yes/No Разрешен ли анонимный доступ к объектам Active Directory. См.
предъявляемые Пароль локального Нет умолчания стратора, устанавливаемый при кон троллера до сервера Yes/No конфигуриро вать ли сервер на ло кальном компьютере CbildName Нет Имя дочернего домена, подключаемого к родитель скому. только короткое имя (до точки) CreateOrJoin Create/loin Create используется при создании нового леса, Join Ч создании нового дерева в существующем лесу Yes/ Yes Ч репликация критич ных параметров выполня ется до ком Если ничего не указано, она выполняется перезагрузки Имя каталога, в котором размещается файл базы Active Directory. См.
базы Active Directory*.
Имя быть полнос тью определенным не в стандарте см. след. стр.
Установка Directory Возможные значения Параметр Описание (умолчание выделено) Нет умолчания NetBIOS-имя домена, ис клиентами пре жних версий Windows или DOS Yes/No подразумевает, что кли ент может быть скон фигурирован и допускается автоконфигурация.
Yes/No ли дан ный контроллер последним в домене при понижении статуса до сер вера LogPath Имя каталога, в котором размещаются файлы жур нала транзакций Active Directory. См.
Active Имя но быть полностью опреде лено не в стандарте Нет Имя домена при создании нового леса или нового дерева Нет Пароль учетной записи, используемой для создания контроллера Вся кий раз по ра боты пароль удаляется из файла ответов Нет умолчания Имя родительского домена при создании дочернего.
Yes указывает на необходи RcbootOnSuccess Yes/No мость перезагрузки компь ютера в случае удачного завершения работы DCPROMO Имя из которого Нет умолчания должна выполняться ре пликация при установке дополнительного контрол лера или обновлении доме на Windows NT Replica используется при обновлении контроллера Windows NT до Windows 2000, Member при контроллера до сервера см. след. стр.
6- 144 Active подход Возможные Параметр (умолчание Описание используется обновлении контроллера домена Windows NT до Windows 2000, при статуса контроллера при создании нового домена, Replica Ч при добавлении контроллера в существую щий домен Нет имя контрол лера домена, е которого должна тиражироваться реплика. Если ничего не используется бли жайший контроллер в домене Устанавливает пароль адми нистратора для входа в режим Directory SiteName Имя сайта, в который включен контроллер доме на. Если ничего не сайт будет исхо дя из сайтов и подсетей. Если же это новый лес, создается с:
именем по умолчанию к каталогу См. Файлы базы Active Directory. Путь должен быть полностью не в стандарте Tree указывает на создание дерева. Child Ч па домена См. описание Имя учетной записи для выполнения Если это леса, значений по умолчанию нет. Если это добавление новою по умолча нию используется имя леса.
Если это создание го домена или см. след. стр.
Установка Active Directory значения Параметр (умолчание выделено) Описание контроллера в существую щий это имя доме на, к которому присоединя ются Нет умолчания Имя учетной ис для ния Анализируем журналы отчет о своей работе в виде целого набора журналов. Поскольку в случае нештатной ситуации при уста новке контроллера домена придется воспользоваться ими для выяв ления ознакомимся с их содержанием.
Файл DCPromo.log содержит информацию о параметрах, выбранных пользователем в процессе работы а также сведения о его работе. Взгляните на из этого файла:
03/22 13:25:55 [INFO] Promotion request for domain controller of new domain 03/22 13:25:55 [INFO] 13:25:55 [INFO] MSK 03/22 13:25:55 [INFO] 03/22 13:25:55 [INFO] 03/22 13:25:55 [INFO] 03/22 13:25:55 [INFO] ParentDnsDomainName 03/22 13:25:55 [INFO] ParentServer 03/22 13:25:55 [INFO] Account 03/22 13:25:55 [INFO] Options 03/22 13:25:55 [INFO] Validate supplied paths 03/22 13:25:55 [INFO] Validating path 03/22 13:25:55 [INFO] Path is a directory 03/22 13:25:55 [INFO] Path is on a fixed disk drive, 03/22 13:25:55 Validating path 03/22 13:25:55 [INFO] Path is a directory 03/22 13:25:55 [INFO] is on a fixed disk drive.
03/22 13:25:55 [INFO] Validating path 03/22 13:25:55 [INFO] Path is on a fixed disk drive.
03/22 13:25:55 Path is on an NTFS 03/22 13:25:55 [INFO] Child domain creation - check the new domain name is child of parent domain name.
03/22 13:25:55 [INFO] Domain Creation - check that the flat name is unique.
03/22 13:26:03 [INFO] Start the worker task 146 Active подход профессионала 03/22 13:26:03 [INFO] Request promotion returning 03/22 13:26:03 [INFO] source DC or no site name Searching for in domain { | WRITABLE } 03/22 13:26:03 [INFO] Searching for a domain controller for the domain 03/22 13:26:03 [INFO] Located controller mycorp.ru for domain (null) 03/22 13:26:03 [INFO] No user specified DC 03/22 13:26:03 [INFO] No user specified site 03/22 13:26:03 [INFO] Using site for server 03/22 13:26:03 [INFO] Forcing a time synch with 03/22 13:26:05 [INFO] Reading domain policy from the domain controller 13:26:05 [INFO] Stopping service NETLOGON 03/22 13:26:05 [INFO] Stopping service NETLOGON 03/22 [INFO] Configuring service NETLOGON to 1 returned 03/22 13:26:05 [INFO] Creating the System Volume 03/22 13:26:05 [INFO] Deleting current path 03/22 13:26:06 Preparing for system volume replication using root 03/22 13:26:06 [INFO] Copying initial Directory Service database file to 03/22 13:26:09 [INFO] the Service Записи предельно лаконичны. На мой взгляд, именно этот файл сле дует использовать в первую при возникновении проблем.
Совет Если среди строк в этом журнале вы обнаружите что-то вро де [INFO] for returned то дайте коман ду net helpmsg (к примере для полу чения подробных сведений об ошибке.
Если приводимой в этом файле информации окажется недостаточно для выявления проблемы, можно обратиться к файлу В файле DCPromoUI.log подробнейший отчет обо всех дей ствиях пользователя а также все действия этой програм мы. Запись начинается сразу старта мастера и заканчивается по завершении. Если работа мастера завершилась неудачей, дается под робное описание сообщений об ошибках, приведших к неудаче. О степени подробности регистрации вы можете судить по выдержкам из этого файла.
Вот так регистрируется начало работы программы:
Установка Active Directory t:Ox42C opening log file t:Ox42C 00001 03/22/2002 13:24:14. dcpromoui t:Ox42C 00002 running NT 5.0 2195 Service Pack dcpromoui t:Ox42C 00003 logging mask dcpromoui t:Ox42C 00004 no options specified dcpromoui t:Ox42C 00005 Enter dcpromoui Enter dcpromoui t:Ox42C Enter dcpromoui Calling dcpromoui t:Ox42C 00009 :
dcpromoui t:Ox42C 00010 InfoLevel : 0x dcpromoui t:Ox42C 00011 Error 0x0 (10 => error) dcpromoui t:Ox42C Exit Ox42C 00013 : 0x dcpromoui Ox42C 00014 Flags : 0x dcpromoui Ox42C 00015 WORKGROUP dcpromoui Ox42C 00016 :
dcpromoui Ox42C DomainForestName: (null) dcpromoui Ox42C 00018 Exit Далее проверяется, сконфигурирован ли сервер DNS:
dcpromoui Ox42C Enter dcpromoui Ox42C 00242 Enter DNS:
dcpromoui Ox42C 00243 Calling dcpromoui :
dcpromoui Ox42C 00245 :
dcpromoui :Ox42C 00246 fOPtions :
dcpromoui Ox42C 00247 aipServers : dcpromoui Ox42C 00248 ppQueryResultsSet : Ox6F dcpromoui Ox42C 00249 pReserved : dcpromoui Ox42C 00250 Result 0x dcpromoui Ox42C dcpromoui 00252 DNS client is configured dcpromoui Ox42C 00253 Exit dcpromoui Ox42C 00254 planning to Skip Configure DNS Client page dcpromoui Ox42C 00255 Enter ConfigureDNSClientPage:
dcpromoui Ox42C 00256 Enter dcpromoui OX42C 00257 Calling DnsQuery dcpromoui Ox42C 00258 IpstrName :
dcpromoui Ox42C 00259 :
dcpromoui OX42C 00260 fOPtions : BYPASS CACHE dcpromoui t:Ox42C 00261 aipServers : Active подход профессионала 00262 : Ox6F30C dcpromoui t:Ox.42C 00263 : dcpromoui 00264 Result 0x dcpromoui dcpromoui t:Qx42C 00266 DNS client is configured dcpromoui t:Ox42C 00267 Exit Теперь ищем корневой домен И:
dcpromoui t:Ox42C 00307 Enter myDsGetDcName dcpromoui t:Ox42C 00308 Calling t:Ox42C 00309 :
dcpromoui t:Ox42C 00310 : mycorp.ru dcpromoui t:Ox42C 00311 DomainGuid : (null) dcpromoui t:Ox42C 00312 : (null) dcpromoui t:Ox42C 00313 Flags : 0x t;
Ox42C 00314 :
dcpromoui t:Ox42C 00315 DomainControllerAddress :
\\10.1.2. dcpromoui t:Ox42C 00316 :
dcpromoui t:Ox42C 00317 DomainName :
dcpromoui t:Ox42C 00318 DnsForestName :
Проверяется, не используется ли уже имя которое вы ввели в диалоговом окне:
dcpromoui t:Ox42C 00483 Enter dcpromoui t:Ox42C 00484 Enter myNetValidateName dcpromoui t:Ox42C 00485 Calling NetValidateName dcpromoui t:Ox42C 00486 ;
(null) dcpromoui t:Ox42C 00487 :
dcpromoui t:Ox42C 00488 : (null) dcpromoui t:Ox42C 00489 : (null) dcpromoui t:Ox42C 00490 :
dcpromoui t:Ox42C 00491 Error 0x0 (!0 => error) dcpromoui 00492 Exit myNetValidateName dcpromoui t:Ox42C 00493 domain name is NOT in use.
dcpromoui t:Ox42C 00494 Exit dcpromoui t:Ox42C 00495 Exit ValidateDomainDoesNotExist А вот сообщение об успешном завершении:
dcpromoui t:Ox42C 01269 Enter dcpromoui t:Ox42C 01270 Enter CHILD Установка Active dcpromoui 01271 Exit CHILD dcpromoui t:Ox42C 01272 Enter SUCCESS t:Ox42C 01273 Exit SUCCESS t:Ox42C 01274 Enter dcpromoui t:Ox42C 01275 Exit dcpromoui 01276 Enter dcpromoui Exit Default-First-Site-Name dcpromoui t:Ox42C 01278 Enter t:Ox42C 01279 Exit dcpromoui t:Ox42C 01280 Exit dcpromoui t:Ox42C 01281 Exit dcpromoui t:Ox42C 01282 Enter dcpromoui t:Ox42C 01283 Exit dcpromoui 01284 Exit dcpromoui t:Ox42C 01285 Enter 01286 Exit dcpromoui t:Ox42C 01287 Enter Reboot dcpromoui t:Ox42C dcpromoui t:Ox42C dcpromoui t:Ox42C dcpromoui t:Ox42C dcpromoui t:Ox42C 01292 Exit Reboot dcpromoui t:Ox42C 01293 Exit dcpromoui t:Ox42C 01294 Exit dcpromoui 01295 closing log file Просмотрев весь этот файл, вы выясните имя контроллера домена Ч источника разделы реплицированные на сер вер, число элементов, реплицированных для каждого из разделов в ка талоге, имена служб, списки контроля доступа к модифицированные в процессе исполнения граммы, каталоги SYSVOL, сообщения об ошибках. Короче, изучение этого файла дасг вам больше, чем чтение многих умных книг.
В начале файла вы увидите фразу mask. Эта маска устанавливает степень детализации файла. Она задается соответствующим парамет ром в реестре. Он находится в ветви и называется DCPROMOUI. Значение маски устанавливается в соответствии со следующей таблицей:
Active Directory: профессионала Управление степенью подробности регистрации в журнале log Старший байт 0x0002 Отслеживание вызовов конструкторов и деструкторов 0x0004 Отслеживание и Release 0x0008 Отслеживание входа и выхода в функции 0x0010 Выводить сообщения трассировки 0x0020 Выводить заголовок со временем создания 0x0040 Перехватывать обращения к стеку при вызове оператора New Младший байт 0x0001 Вывод в файл 0x0002 Вывод в отладчик Netsetup.log Файл записывается во время работы программы вызываемой в данном случае для установки нужных сетевых компо нентов. В следующем фрагменте файла зарегистрировано включение компьютера DC01 в домен Контроллер домена, на кото ром выполняются ЕТА.
03/17 20:53: 03/17 20:53: 03/17 20:53:53 status: 0x 03/17 status;
0x 03/17 NetpJoinDomain 03/17 20:53:53 Machine: DC Domain:
03/17 20:53:53 (NULL) 03/17 20:53:53 Account:
03/17 20:53:53 Options: 0x 03/17 20:53:53 OS Version: 5. 03/17 20:53:53 Build number: 03/17 20:53:53 ServicePack: Service Pack 03/17 20:53:53 checking to see if is valid as type 3 name 03/17 20:53:53 [ Exists ] returned 0x 03/17 20:53:53 NetpValidateName: name is valid for type 03/17 20:53:53 NetpJoinDomain: status of connecting to 0x 03/17 20:53:53 Passed DC verified as DNS name 03/17 20:53:53 status: 0x 03/17 20:53:53 trying to read Установка Active from 03/17 20:53:54 failed but ignored the failure: 0x 03/17 20:53:54 NetpLsaOpenSecret: status:
03/17 20:53:54 status: 0x 03/17 20:53:54 status: Oxc 03/17 20:53:57 status of creating account: 0x 03/17 20:53:57 status of setting cache: 0x 03/17 20:53:57 NetpGetLsaPrimaryDomain: status: 0x 03/17 status: 0x 03/17 20:53:57 of setting pri. domain: 0x 03/17 NetpJoinDomain: status of managing local 0x 03/17 20:53:57 status of setting to 0x 03/17 20:53:57 NetpJoinDomain: status of starting Netlogon: 0x 03/17 20:53:57 waiting for netlogon secure channel 03/17 20:53:58 NetpWaitForNetlogonSc: status: 0x0, sub-status: 0x 03/17 20:53:58 status of disconnecting 0x 03/17 20:53:58 status: 0x DCPromos.log Файл DCPromos.log создается, только если выполняется обновление контроллера домена Windows NT до Windows 2000. Он содержит дан ные о работе графической части программы установки.
Как подобрать компьютер?
О выборе подходящей конфигурации спрашивают довольно часто.
Никому уже не надо говорить, что выбирать технику надо, посовето вавшись со списком совместимого оборудования Это и так все знают. (Другое что многие просто игнорируют этот список, так как используют не то. что а то, что у них есть, или то, что в состоянии купить). Большинство знако мо и с минимальными требованиями, предъявляемыми к серверной конфигурации Windows 2000.
домена на базе Процессор: Pentium 133 и Windows 2000 Server Оперативная память;
160 Мб Объем жесткого диска: 1 Гб Думаю, никому, кто находится в здравом уме и ясной памяти, не придет в голову использовать минимальную конфигурацию в производствен ной системе. Но при всем том готового ответа на вопрос, какую конфи гурацию использовать, дать нельзя. Все зависит от массы условий.
152 Active Directory: подход Если вы не к самостоятельной оценке требуемых ресурсов, воспользуйтесь программой Active Directory Sizer, которая в первом приближении поможет оценить как количество компьютеров, так и их назначение и конфигурацию.
Совет Значения, полученные с помощью AD Sizer, довольно прибли зительны и могут как завышать, так и конфигурацию, По этому ее для первых прикидок, а точные расчеты делай те на основании рекомендаций, приведенных ниже.
Допустим, вы хотите рассчитать, сколько контроллеров домена и ка кой конфигурации вам понадобится для построения сети в организа ции, состоящей из головного офиса и 4 филиалов, Общее количество пользователей Ч 1 000, каждый работает на своем компьютере, В двух филиалах работает по 100 пользователей, а в оставшихся Ч по 10. На 50% компьютеров стоит Windows 2000, а на оставшихся Ч Windows В центральном офисе есть 20 серверов Windows 2000, на которых ус тановлены приложения. В качестве почтовой системы используется Microsoft Exchange 5-5. Запустите программу и подсчитайте результат.
Х< Domain:
Role;
: Bridge К Bridge III Si Processors;
- Heads fr Disk * ч(] 2 (Pa Directory Sizer Думаю, он вас удивит, И будет как приятным, так и непри ятным. Судите сами.
В центральном офисе надо 3 контроллера домена, один из которых будет выделенным сервером-форпостом и ГК. Если вы Active хорошо знакомы с тем. как работает генератор топологии межсайто вой репликации (ISTG), то поймете, что либо надо добавить еще один сервер-форпост, либо держать работу под контролем.
Конфигурация этих серверов видна на рисунке. Это, конечно, уже и не минимальные требования, но объем оперативной памяти у меня вызывает сомнения. Маловато будет! Попробуем поменять начальные значения и посмотрим, как на это отреагирует программа. Допустим, работа с Active Directory ведется весьма интенсивно, а именно в час пик до 100 пользователей в секунду регистрируется в домене инте рактивно, по сети и как пакетные задания. Плюс к этому пусть каж дый день администратор добавляет, удаляет и модифицирует по учетных записей. Ну и, наконец, некоторые приложения, работающие с Active Directory, выполняют по 5 операций поиска, удаления, добав ления и модификаций в секунду. Результат будет неожидан. Вам будет предложено дополнительно установить в центральном офисе еще контроллера домена, 2 сервера и 1 сервер-форпост (если вы дога даетесь добавить еще одну связь). И все эти серверы Ч в показанной конфигурации.
В двух малых офисах устанавливать контроллер домена нецелесооб разно, так как там всего 10 однако программа настой чиво советует это сделать. Исключая соответствующие компьютеры из списка, вы немного скрасите горечь предстоящих затрат.
Как видите, на результат расчетов влияет множество факторов. Попро буем их рассмотреть.
Требования к процессору К процессору можно подойти с позиции чем больше, тем однако следует всегда руководствоваться принципом разумной до статочности. Зачем гнаться за самым последним типом процессора с самой высокой тактовой частотой? Роль процессора зависит от степе ни загрузки контроллера домена, на которую в свою очередь влияют:
наличие на контроллере мастеров особенно имитато ра PDC;
Х наличие на контроллере дополнительных сетевых служб, таких как DNS, DHCP, выполнение контроллером функции выделенного сервера-форпоста;
Х интенсивность внесения изменений в Active Directory;
Х интенсивность регистрации в пиковые часы.
Служба Microsoft Consulting Services опубликовала интересный доку мент, в котором на основании тестов оцениваются аппаратные вания к контроллерам доменов. В таблице приведены результаты из мерения количества пользователей, интерактив 154 Active подход но за периоды времени. Измерения проводились на машинах с разным числом процессоров PIII Хеоп 500 Мгц и объемом ОЗУ 512 Мб.
Количество Количество процессоров 1 2 1 минута 1 200-1 800 1 800-3 000 2 400-4 5 минут 6 000-9 000 9 000-15 000 12 000-21 10 минут 000-18 000 18 000-30 000 24 000-42 10 Ч это разумное время регистрации пользователей. (Трудно представить, что 000 захотят зарегистрироваться в сети в течение 1 минуты). Поэтому, если в организации 2- тысячи пользователей, их регистрацию вполне может обслужить один контроллер с одним процессором указанного типа.
Следующий тест учитывал членство в группах. В таб лице показана зависимость скорости регистрации пользователей (ре гистрации в секунду) от числа процессоров и количества групп.
Количество регистрации в секунду при пользователей в разном числе групп Количество 1 2 10 групп 28-47 39- 20 групп 17-25 25- 36- 30 групп 16-24 23-40 34- Таким представленные таблицы позволяют оценить требо вания к количеству процессоров с точки зрения скорости регистра ции пользователей.
На количество процессоров ьлияет еще один фактор Ч выполнение компьютером функций сервера-форпоста- В нагруженных системах, когда на один форпост приходится несколько партнеров по реплика ции, большое значение имеет скорость выполнения репликаций. Дело в том, что, когда на всех партнерах произошли изменения в каталоге и они оповестили сервер-форпост об этом, он должен за отведенный пе риод времени опросить по очереди каждый из контроллеров-партнеров и принять сведения о репликации. Если он не успеет это сделать в отве денное время, то захватит период, препятствуя тем самым репликации новых изменений, накопившихся на контроллерах-партне рах за данное время. Это приводит к росту очереди репликации. Поэто му надо либо увеличивать количество либо увели чивать производительность имеющегося. Справедливости ради замечу, что производительность в такой ситуации может ограничиваться уже не количеством процессоров, а пропускной способностью сетевой платы.
Установка Active Directory к оперативной памяти Объем оперативной памяти на контроллерах домена зависит от та факторов.
Объем базы Active Directory. В идеале при работе вся база размещаться в ОЗУ. Хотя начальный объем базы всего 10 Мб, ле добавления и интенсивной работы он может составить 250 и это предел. Если зоны интегрированы с Active Directory, то это дополнительный вклад в объем базы.
Х Является ли контроллер ГК. Хотя ГК занимает и не такое пространство, как база домена, но при большом числе и пользователей он может вносить в них существенный вклад.
В упоминавшемся тестировании была измерена зависимость скорости выполнения LDAP-запросов к серверу ГК от количества в нем и от объема оперативной памяти:
Количество обработанных LDAP-запросов (компьютер с 2 процессорами Скорость посылаемых (в секунду) 130 260 520 Количество запросов, ГК 200 000 объектов, ОЗУ 512 Мб 130 260 390 520 400 000 ОЗУ 512 Мб 130 380 375 377 400 000 ОЗУ 1 Гб 130 260 390 520 650 Хорошо видно, что при памяти Мб и 400 000 объектов ГК дости гает насыщения всего 390 поступающих зап в секунду. Увеличение объема ОЗУ в два раза поднимает планку насыщения также вдвое.
Х Выполняются ли на сервере такие службы, как WINS, DNS, DHCP.
Эти службы имеют собственные базы, хранимые в кэше. Объем баз опять-таки зависит от количества компьютеров в сети.
Например, в уже упоминавшемся выше тесте исследовался компью тер, игравший только роли контроллера домена и сервера С этой целью был взят Compaq Proliant 6500 с 4 процессорами Pentium III Xeon Ч ОЗУ Ч 1 Гб, подтслюченный к сети Fast Ethernet 100 Мб в режиме. Результаты тестирования:
Х максимальная скорость динамических регистрации (в секунду) Ч 199;
Х максимальная скорость динамических удалений (в секунду) Ч 200;
максимальное число обработанных запросов (в секунду) 852.
При этом загруженность процессоров не превысила 25%.
подход профессионала Конфигурация жестких дисков О конфигурировании подсистемы написано много: назову хотя бы [8] и справку к Windows 2000. Поэтому я просто ти повые прошедшие проверку в боевых условиях.
1. Тестовая конфигурация или небольшая организация (до 20 пользо вателей). Жестких дисков (как так и SCSI) в компьютере мо жет быть не более двух. Если диск один, его желательно на два раздела. Системный диск (раздел) имеет объем 3-4 Гб, вто рой диск (раздел) Ч от 3 Гб (в зависимости от того, какие допол нительные функции выполняет компьютер). Оба раздела Ч NTFS.
На системном диске система и журналы транзакций, на втором диске Ч файлы базы Active Directory, каталог SYSVOL, базы сетевых служб и, если надо, профили пользователей и их домашние каталоги.
2. Оптимальная конфигурация для малого и среднего размера. Жестких дисков Ч 6 штук типа SCSI объемом 18 Гб каж дый. Скорость вращения 10 000 об/мин. Все диски подключены к у. Конфигурация: диски попарно объединены в массивы На первом массиве установлена система. Второй служит для размещения журналов транзакций. Третий мас сив служит для хранения Active каталога SYSVOL.
базы сетевых служб и при необходимости профилей пользовате лей и их домашних каталогов.
3. Оптимальная конфигурация для крупных организаций и очень контроллеров домена. Жестких дисков не менее 9. Тип UltraSCSI 160, от 10 000 до 15 000 об./мин. с возможностью замены в горячем* режиме. Обязательное подключение к К первому каналу подключено 6 Они попарно объединены в разделы RAID 1. Объем каждого раздела от Гб. На первом Ч на втором Ч журналы транзакций, на Ч база Active Раздел RAID 5 подключен ко му каналу. Здесь размещаются каталог SYSVOL, базы сетевых служб, серверные приложения мониторинга и диагностики и при необхо димости профили и их домашние каталоги.
Как проверить работоспособность контроллера домена Ну что ж, спроектировали систему, сетевые бы, запустили перегрузили компьютер... А дальше? Можно к работе? остальные контроллеры? Не Сначала убедитесь, что все работает именно так, как вы и задумали. Не хочу но в жизни полно неожиданностей. Вы могли просто отвлечься во ответов на вопросы DCPROMO и выбрать что-то не так, или на Солнце произошла мощная вспышка, но резуль тат может быть любым. Поэтому выполните следующую Active Установив контроллер домена, не торопитесь увидеть все ре зультаты установки сразу, особенно если вы устанавливаете не пер вый контроллер в лесу доменов. Подождите не менее 30 минут. За это время должна завершиться работа служб по конфигурированию и Active Directory и выполнится внутрисайтовая репликация.
1. Просмотрите журналы событий в поисках предупреждений сообщений об ошибках. Если они вам встретятся, выясните при чину их появления и постарайтесь ее устранить. Многие из этих ошибок уже были описаны выше.
2. Убедитесь, что запущены все нужные для установленного типа запуска службы. Должны быть запущены все службы с автомати ческим запуском.
Запретите запуск ненужных служб. Понимаю, что для многих это больной вопрос. А что называть лишними службами? Ну, для кон троллеров домена это определенно Print Spooler, Messenger и Alerter. Если вы были столь неразумны, что по умолчанию устано вили и его запуск. А вообще список нужных служб надо продумывать на этапе групповых правил для контроллеров доменов. Но об этом Ч в главе Групповая серверной службы 4, Выберите роль для службы Server. будете ли вы исполнять дополнительные приложения на этом сервере. Не забудьте про ресурс Используются ли сценарии, как много пользователей и как часто имеет к ним доступ, где хранятся про фили?
Active профессионала 5. Проверьте параметры протокола Все имена должны нормаль но разрешаться, а параметры, установленные для WINS и DNS, Ч верны. Используйте утилиты ipconfig и 6. С помощью Netdiag проверьте сетевые и регистра цию в WINS/DNS. Эта утилита позволяет проверить сетевые параметры компьютера. Вы можете выполнить как отдель ные тесты, так и все сразу, Причем информацию о них можно выводить подробно или общо. Для примера разберем результат тестирования с выводом результатов без подробностей.
Для начала сообщаются общие сведения о компьютере.
Computer Name: DC DNS Host Name:
System info : Windows 2000 Server (Build 2195) Processor : x86 Family 6 Model 8 Stepping 3, List of installed hotfixes :
Далее тестируются сетевые платы. В данном случае вы видите пре дупреждение о том, что, возможно, плата не вслед ствие того, что это, например, единственный компьютер в сети:
Netcard queries test : Passed [WARNING] The net card PCI Fast Ethernet not be working because it has not received any packets.
Вот результаты тестирования каждого из интерфейсов, В нашем примере один является реальным интерфейсом, а другой Ч и именно с ним связаны все ошибки interface results:
Adapter : Area Connection Netcard queries test.., : Passed Host Name :
IP Address : 10.1.1. Subnet :
Default Gateway :
Primary WINS Server.... : 10.1.1. Dns Servers : 10.1.1. results : Passed Default gateway test... : Skipped No gateways defined for this adapter.
test : Passed WINS service test : Passed Adapter ;
Virtual Ethernet Adapter (basic host-only support for Установка Active Directory queries test Passed Host IP Address Subnet Mask Default Gateway.., Servers IpConfig results.. Failed DHCP server - reachable WARNING: DHCP server may be down.
results : Passed Default gateway test... : Skipped [WARNING] No gateways defined this adapter, NetBT name test : Passed No remote names have been found.
WINS service test : Skipped There are no WINS servers configured for this interface.
Теперь следуют глобальные параметры, не требующие дополни тельных разъяснений.
Global results:
Domain membership test ;
Passed NetBT transports test : Passed List of transports currently configured:
2 NetBt transports currently configured.
Autonet address test : Passed IP loopback ping test : Passed Default gateway test : Failed [FATAL] NO GATEWAYS ARE REACHABLE.
You have no connectivity to other If you configured the IP protocol manually then you need to add at least one valid gateway, NetBT name test : Passed Winsock test : Passed DNS test : Failed The DNS registration for is incorrect on all DNS servers.
PASS - All the DNS entries for DC are registered on DNS server and DCs also have some of the names registered.
такое запустите с ключом /v. Что бы сократить выводимую информацию, лучше всего указать кон кретный тест. У нас это тест Проанализировав результат в кон кретном приходим к выводу, что виноват снова Active Directory: подход профессионала сетевой интерфейс, который, несмотря на свою виртуаль ность, зарегистрирован в как адрес сервера в несуществу ющей сети and Browser test : Passed List of NetBt transports currently bound to the Redir The is bound to 2 NetBt transports.
List of NetBt transports currently bound to the browser The browser is bound to 2 NetBt transports.
Ну и. тесты самого контроллера домена. Для целей об щей диагностики этого вполне достаточно. Путь к подробностям откроет вам ключик у команды:
DC discovery test.... Passed DC list test Passed Trust relationship test. Skipped test Passed LDAP test Passed Bindings test Passed WAN configuration test. Skipped No active remote access connections.
test IP Security test,.. Passed policy service is active, but no policy is assigned.
The command completed successfully Утилита (о ее возможностях см. справку Support Tools поможет выявить некорректности в работе контроллера: ее дос таточно запустить без ключей. Выводимый результат предельно ясен и понятен. Если не все воспользуйтесь рекомендаци ями из главы Поиск и устранение проблем.
Domain Controller Performing initial setup:
Done gathering initial info.
Doing initial required tests Testing server:
test: Connectivity passed test Connectivity Doing primary tests Testing server: Site-1\DC test: Replications test Replications Starting test: NCSecDesc DC01 passed test NCSecDesc Starting test:
test NetLogons Starting test: Advertising DC01 passed test Advertising Starting test:
DC01 passed test Starting test:
passed test RidManager Starting test:
passed test MachineAccount Starting test: Services passed test Services Starting test:
DC01 passed test ObjectsReplicated test: frssysvol passed test Starting test;
kccevent DC01 passed test kccevent Starting test:
passed test systemlog Running enterprise tests on :
Starting test: Interaite fyodor.home passed test Intersite Starting test:
fyodor.home passed test Если последовательность тестов дает ясно понять, все отлично и прекрасно работает, продолжаем дру гих контроллеров.
Замечание На этом этапе перейти к установке других ров можно в небольших тестовых сетях, когда все контроллеры мож но сконфигурировать за несколько часов. Если же вы собираете ра бочую см. раздел Все работает. Что А теперь обратимся к не самому радостному варианту. У вас пробле ма. Что-то не работает. Как правильнее поступить в такой ситуации?
А если он все-таки не работает?
Если контроллер домена не работает после установки (а симптомами являются, например, многочисленные сообщения об ошибках в налах, запуска средств контроля Active и т. п.), то общий алгоритм действий такой.
причина неработоспособности. В работоспособ ность можно восстановить. Если найдена причина, остальное уже дело техники.
Если при выявлении причин трагедии выясняется, что вы попали в тот 1%, когда уже ничто не поможет, надо подумать о переуста новке системы. Особо надо выделить ситуацию обновления кон троллера домена Windows NT до Windows 2000.
Наконец, когда вы занялись переустановкой системы на бывшем дефектном контроллере, нужно вычистить информацию о нем из Active Directory (конечно, только если вы не переустанавливаете первый и единственный контроллер в сети).
Попробуем выяснить причину Я полностью посвятил одну главу книги поиску и устранению про блем в Active Directory. Но там речь идет о системе, которая работала, работала и... перестала. Здесь же я хочу очень кратко остановиться на самых первых шагах системы, которые она попыталась сделать, да не смогла. Все причины неработоспособности контроллера домена мож но разбить на такие категории:
Х некорректно заданные параметры или ошибки в сети;
Х некорректная работа службы DNS;
проблемы с в первую очередь с дисковой под системой;
проблемы с репликацией Active Directory;
проблемы с репликацией FRS.
Некорректные параметры TCP/IP или ошибки сети Если до запуска или в процессе ее работы с сетью все было нормально (хотя бы не было предупреждений или сообщений об ошибках), а сейчас возникают ошибки связанные с сетью, то возмож но, что-то изменилось в параметрах протокола TCP/IP. Вы спросите:
что могло измениться, когда никто ничего не изменял? Ну, например, если сервер Ч клиент DHCP и получает от него постоянный адрес, то после перезагрузки он этого не получит или получит другой, не соответствующий своей подсети. И произойдет это потому, что кто то очень в вашей сети запустит свой сервер DHCP в тесто вых целях*.
Установка Active первое действие Ч выполнить /all.
Если все ли с контроллера сервер и другие контроллеры домена. Думаю, напоминать, что этим занимается команда ping. Кстати, вероятность ки по вине сети наиболее вероятна, если:
Х вы устанавливаете контроллер домена в удаленном офисе, связан ным с центральным сайтом неустойчивым каналом;
Х находитесь в отдельном сегменте сети, а маршрутизатор рабо тает с перебоями;
+ часть сети, в которой установлен контроллер домена, расположе на за межсетевым экраном, и за то время, пока шла кон троллера, другой администратор изменил параметры экрана.
Кстати, ping позволит выявить и не вовремя лупавший сервер DNS.
Некорректная работа службы DNS Если же сервер DNS надо проверить его параметры. В первую очередь выполните Устраните обнаруженные некорректно сти. Проверьте правильность делегирования зон, пересылки запросов, наличие необходимых зон, включая зону леса>, а также ее доступность для контроллера. используйте все инструмен ты, о которых выше шла речь.
Здесь уместно описать фатальную ситуацию. Допустим, вы устанавли вали второй контроллер домена в При перезагрузке после окон чания работы DCPromo контроллер вышел из строя, и вос становить его невозможно (скажем, жесткий диск, а резервную копию вы еще не успели сделать). Сожалею, но в этом случае придет ся переустановить не только первый но и второй.
Частным случаем, но с более тяжелыми последствиями, является ус тановка контроллера домена в удаленном филиале. При перезагрузке происходит крупная авария у телекоммуникационного провайдера, на устранение которой потребуется дней. Ждать вы не може те и бросаете все до лучших времен. Ваша беспечность обойдется администратору хорошей чисткой Active Проблемы с оборудованием, в первую очередь с дисковой подсистемой Проблема настолько что для ее диагностики не потребует ся много времени. Журнал регистрации системных событий и Directory будет заполнен взаимодополняющими сообщениями об ошибках.
Проблемы с репликацией Active Directory Проблемы с репликацией выявляются быстро. Во-первых, надо не менее минут по окончании установки контрол Active Directory: профессионала лера и перезагрузки компьютера. Если записи в DNS были внесены сразу, компьютер с этого момента станет доступным для репликации.
Служба перестроит топологию репликации так, что включит компьютер в общее кольцо, О том. что компьютер к репликации, можно судить по появле нию у него объектов связи с другими компьютерами. Эти объекты видны в оснастке Active Directory Sites and Services. Щелкнув объект связи правой кнопкой, выберите команду Replicate now. Если не бу дет выдано сообщений об ошибках, то скорее всего репликация ра ботает нормально. Удостовериться в этом поможет команда Если ошибок нет и показаны все партнеры по репликации, то этот этап проверки можно считать Если в ответ на команду вы получите сообщение об ошибке, не пани куйте. Возможно, начальная репликация еще не Минут через 5-10 повторите команду.
Совет Не забывайте периодически обновлять состояние параметров NTDS Settings, выполняя команду Refresh. Ее надо щелкая правой кнопкой имя сервера.
Если и теперь ошибки, см. главу Репликация Active Directory. Здесь же отмечу, что если в сообщении об ошибке указано, что доступ запрещен (Access denied), то скорее всего у вас нет полно мочий для административного доступа к тому контроллеру домена, на который вы хотите выполнить репликацию.
Проблемы с репликацией FRS Проблемы с репликацией FRS встречаются гораздо реже, чем пробле мы с репликацией Active Directory.
Чтобы убедиться, что репликация завершилась, откройте каталог SYSVOL и сравните его содержимое с содержимым аналогичного ка талога на других контроллерах того же домена. Если каталоги иден тичны, можно считать, что репликация FRS работает. Для подстрахов ки положите в каталог Scripts какой-нибудь файл и, следуя топологии репликации, проверьте, как он будет последовательно появляться на всех контроллерах домена.
Если, однако, это не так и либо структуры каталогов SYSVOL на двух контроллерах домена не идентичны, либо файл в каталоге Scripts не тиражируется, откройте журнал регистрации FRS. В нем вы обнару жите сообщения, позволяющие выявить истоки проблемы. Это будет, например, сообщение о нехватке места в каталоге SYSVOL или об от казе доступе к нему. Проверьте, не установлено ли у вас квотирова ние диска, не поменяли ли вы права доступа как к сетевым ресурсам Sysvol и Netlogon, так и списки контроля доступа NTFS к каталогам SYSVOL и Scripts.
Установка групповая политика Проблемы, связанные с некорректной политики на этом этапе вряд ли могут появиться. Дело в том, что для контрол леров домена определяется Default domain group policy. Если вы устанавливаете первый контроллер в домене, то она еще просто не определена, и действуют значения по умолчанию, конфликтов с которыми нет.
Если же это не первый контроллер в домене, наблюдаться ошиб определенные на уровне домена для общей политики безопасно сти. Характер таких ошибок может относиться скорее к казусам и невнимательности администратора.
А может, все переустановить?
Если поиск источника проблемы не дал желаемых результатов и все попытки заставить контроллер заработать не увенчались успехом, вы, может быть, и зададитесь этим вопросом.
Что ж, если это единственный контроллер в лесу, то, возможно, это наилучший выход. Главное, прежде чем все переустанавливать, поста райтесь все-таки докопаться до причины проблемы. Иначе никто не гарантирует, что вы не повторите той же ошибки.
Если это не первый контроллер домена, то идти на нужно крайне осмотрительно. Во-первых, попробуйте запустить и корректно понизьте статус контроллера до сервера в домене. Если это удалось, то на одном из оставшихся контроллеров откройте ос настку Active Directory Users and Computers и убедитесь, что данный объект переместился из Domain Controllers в контейнер Servers. После этого откройте оснастку Active Directory Sites and Servi найдите имя статус которого вы только что понизили, и удалите его. Если с этим у дру гих контроллеров, их.
Если понижение статуса завершилось неудачно, придется удалить контроллер домена из Active Directory вручную. Для этого запустите на одном из нормально работающих утилиту ntdsutii. Войдите в ней в режим Connections и подключитесь к тому контроллеру домена, на котором запущена утилита. Затем в режиме Metadata Cleanup войдите в режим Select Operations Target и, пооче редно просматривая списки сайтов, доменов в них и серверов в до менах, выберите который надо из Active Directory.
в Metadata Cleanup, удалите выбранный сервер. Далее оснастку Active Directory Users and Computers и убедитесь, что объект исчез из контейнера Domain Controllers. Затем откройте оснастку Active Directory and найдите имя сервера, ис ключенного из Active Directory, и удалите его, Удалите также объек ты-связи с ним у других Наконец, откройте оснастку подход управления и удалите все записи (если они, конечно, там появи относящиеся к удаленному серверу.
Вот теперь повторно установите ОС и повысьте статус до сервера.
в Описанная процедура может использоваться только в случае установки новых контроллеров доме нов Windows 2000. Если же обновляется контроллер домена Windows NT 4-0, см. ниже раздел Обновление контроллера домена Windows NT 4.0 до Windows Все работает. Что делать?
Убедившись, что все не торопитесь устанавливать остальные контроллеры или подключать клиенты. Сначала надо подумать о ре зервном копировании контроллера домена. Вы можете сказать: что тут думать-то? Надо значит надо! И все же представьте, что вы уста новили первый контроллер лесу. Сделали резервную копию. Затем вы устанавливаете второй контроллер и делаете его резервную копию.
Однако состояние Active Directory изменилось по сравнению с тем моментом, когда выполнялось резервное копирование первого кон троллера домена. Следовательно, надо сделать для него повторную резервную копию? А надо ли?
Допустим, вскоре после второго контроллера домена про изошел сбой первого. Переустановив его и восстановив содержимое резервной копии, вы добьетесь того, что состояние Active Directory будет соответствовать моменту времени, предшествовавшему тому, когда был второй контроллер домена. Следовательно, восстановленных объектов будут меньше аналогичных объектов на втором контроллере. Это же и для вектора ности (updateness vector). (О репликации см. главу Репликация Active Поэтому начавшаяся репликация приведет к что объекты с более высоким USN будут тиражированы на восстановлен ный контроллер и информация на нем станет актуальной. Вывод:
вовсе не обязательно выполнять резервное копирование Active tory на всех контроллерах доменов всякий раз после добавления но вого контроллера. Достаточно сделать это сразу после установки троллера и его синхронизации с остальными. В дальнейшем резерв ное копирование надо проводить на регулярной основе.
Совет Выполнив резервное копирование системного не успокаивайтесь. Попробуйте в тестовой зоне восстановить AD из ре зервной Вы не только будете уверенно себя чувствовать в слу чае реального восстановления рабочей но и будете хорошо представлять длительность этого процесса, что просто необходимо при планировании.
Установка Directory Обновление контроллера домена Windows NT 4. до Windows Рассмотренные выше вопросы установки доменов в основном применимы при проектировании новых сетей. Однако ча сто встает вопрос о модернизации имеющейся сети, построенной на базе доменной структуры Windows NT, ее расширении или объеди нении нескольких сетей. Рассмотренные методики будут при менимы и и все же тут есть ряд особенностей.
Тот, кто хорошо знаком с сетями на базе Windows NT, знает, что су ществует несколько моделей связи между доменами. Это может быть простая сеть, состоящая из одного домена, или несколько доменов, связанных между собой по схеме с одним или несколькими мастер доменами и обеспечивающих полную централизацию управления, может быть и модель полностью доверительных отношений, предла гающая полную децентрализацию, а также Ч смесь нескольких раз личных моделей, соответствующая структуре организации (Подроб нее см. Понятно, что для каждой из этих моделей существует оптимальный способ миграции на новую обеспечивающий и безопасный перенос учетной информации и мини мально воздействующий на конфигурацию клиентских рабочих мест.
Подробное различных вариантов перехода со старой сис темы на новую, а также способы обеспечения нормального сосуще ствования в одной сети как старых систем, так и новых, см. в [1].
Здесь же мы рассмотрим процесс миграции одного домена, обращая внимание на вопросы, связанные с ОС на PDC.
Кое-что о Windows NT 4. Перед рассмотрением миграции вспомним некоторые основы рабо ты Windows NT 4.0 и доменов на его основе. Сервер может быть либо первичным контроллером домена (PDC), либо резервным контроллером (BDC), либо отдельно стоящим сервером. Роль, кото рую он будет играть в определяется на этапе установки и не может быть изменена в дальнейшем. Так, в частности, контроллер домена нельзя сделать отдельно стоящим сервером, а сервер Ч троллером домена, не переустановив их полностью. Можно лишь повысить роль резервного контроллера до статуса первичного, а пер вичный Ч понизить до резервного. На резервном контроллере мож но остановить сервис регистрации, но это приведет только к тому, что он не будет использоваться для регистрации входящих в домен, од нако своей роли он не Так как в домене на базе Windows NT 4.0 широко применяются иден тификаторы безопасности компьютеров, генерируемые при установ ке системы, и основанные на них доверительные отношения старого типа, то переместить контроллер из одного домена в не при к полной системы, невозможно. Кроме того, вы не можете произвольно изменять имена контроллеров домена, не при бегая к полной их переустановке.
Вспомним что информация в домене может изменять ся только на первичном контроллере, а резервные контроллеры слу жат для регистрации пользователей. База учетных на BDC Ч точная копия базы PDC. Достигается это за счет тиражирования с одним мастером (single replication).
Репликацию файловой системы (Сетевой ресурс Netlogon) выполня ет служба работа которой несовместима со службой ции FRS в Windows 2000.
Контроллеры домена Windows NT 4.0 могут работать в домене Win dows 2000. При этом домен должен обязательно работать в смешан ном режиме (mixed mode) со всеми вытекающими из этого ограни чениями, NT выполняют роль только ных контроллеров и клиентов по протоколу Обеспечение безопасной миграции Вы уже поняли, сколько опасностей подстерегает на этапе установки контроллера домена. Но от максимален при миграции сети, так как в этот процесс сотни пользователей. Эффек тивность их работы во многом зависит от состояния сетевой инфра структуры: бесперебойного к файлам и принтерам, надежно сти электронной почты, работы приложений. Вторжение е отлажен ную доменную структуру тяжелыми последствиями. Именно поэтому требуется самое серьезное и тестирование.
Планирование включает в перечень организационных и адми мероприятий и тщательную проработку этапов мигра ции и отдельных ее операций.
Описание организационной стороны миграции выходит за рамки данной книги (см. об этом материалы Framework:
Infrastructure deployment но затронуть технические аспек ты безопасной миграции необходимо.
Две стратегии миграции Существует два разных подхода к миграции. Выбор во многом от того, в какой степени пользователи нуждаются в постоянной доступности, от того, как быстро вы можете сообщать пользователям об изменениях, и от ваших финансовых возможностей.
Первый подход подразумевает, что вы обновляете систему При этом тщательно прорабатываются этапы миграции, перехода на новую систему различных и территорий, процедура обновления и клиентских рабочих мест. Для каждого предусматривается вариант отката в случае для чего просчитывается нормальной процедуры и разра батываются сценарии если*.
Установка Прежде чем начать миграцию, надо убедиться, что все обновляемые серверы соответствуют требованиям. Это относится как к типам уст ройств, используемых в так и ресурсов: частоте процессора, объему памяти, объему жесткого диска. Последнее имеет особое значение. Если вы выполняете обновление не с компакт-дис а по сети, то на локальный диск будет скопировано практически полное содержимое компакта. Обратите внимание и на тип файло вой системы. Если в обновляемом домена нет разделов с NTFS, обновление не состоится.
Если вы понимаете, что текущая конфигурация оборудования первич ного контроллера домена не соответствует всем требованиям со сто роны контроллера Windows 2000 и, более того, не может быть изме нена, то существует два варианта развития событий. Первый: вы при обретаете более мощный сервер, спецификации которого соответ ствуют рассчитанным вами требованиям, на него Windows NT 4.0 Server в качестве резервного контроллера домена, а потом повышаете статус до PDC. Дальнейшая миграция этого серве ра пройдет без проблем. Второй: если существующий сервер в прин ципе способен выполнять роль контроллера домена Windows 2000 без нагрузки, вы выполняете его обновление до Windows 2000, затем на сервер Windows 2000 в качестве контроллера домена и передаете все функции мастеров с прежнего PDC на вновь установленный сервер. Преимущество данного способа в том, новый контроллер домена не знал старой версии Windows NT и не несет в себе ее наследия.
Следующий шаг Ч полное резервное копирование всех данных на мигрирующем сервере. Это может оказаться весьма полезным, если системы почему-либо не будет выполнено.
Совет Вместо резервного копирования можно установить в домен дополнительный контроллер домена и после его полной синхрони зации отключить от сети. Если при обновлении возникнут проблемы, то этот сервер можно будет использовать как источник информации.
не замутненный процессом миграции.
Может случиться, что не все серверные приложения, используемые в вашей организации, будут готовы к работе в Windows 2000. Тогда они могут продолжить работу на старой версии, но в рамках обновлен ного домена.
Преимущества и недостатки данного метода миграции таковы:
Преимущества Недостатки Последовательность действий Необходимо выполнять работы в выходные дни Можно создать зоны Длительный процесс см. след. стр.
170 Active подход профессионала Недостатки Преимущества Не требуется большое количество Необходимо проектировать боль дополнительного оборудования шое количество процедур отката Влияет на Необходимо существо вание и систем в период Можно использовать Необходимо проводить резервное оборудование копирование всех серверов Другой метод обеспечивает безопасность однако он и самый дорогой.
В сети вы новый домен на базе Windows Server. Полностью конфигурируете все контроллеры домена и серве ры приложений. Создаете структуру ОП.
Далее Ч подключение нового домена в сеть. Пользо вателям вашего домена новый остается пока недоступным. Потом вы переносите учетные записи всех в новый домен. Пе ренос выполнить либо сценарии либо Active Migration Tool После распределяете учетные записи по подразделениям из оснаст ки Active Directory Users and Computers. Здесь же вы формируете груп повые и системные правила.
Следующий шаг Ч планомерное переключение пользователей на новую структуру. Переключение можно совместить с обновлением операционных систем на их С этого момента клиенты могут регистрироваться в новом домене. миграция прошла ус старый домен можно выключить.
Описанный способ пригоден, если у вас компьютеров. Напри мер, вы делаете обновление своего парка машин.
Преимущества Недостатки Полная тестовой Необходимо выполнять ряд работ сети от рабочей в выходные дни Возможность тщательного Требуется большое количество тестирования дополнительного оборудования Система создается Невозможно использовать существующее оборудование Оказывает влияние на небольшой Необходимо перенастраивать круг клиентские компьютеры Миграция пользователей выполняется в предельно сжатые сроки Процедура отката предельно проста.
Не требуется резервное копирование Второй метод миграции подразумевает, что установка контроллеров до мена выполняется на новой системе, т. е. без обновления существующей.
Установка Active Directory Мигрируем домен Windows NT Начиная миграцию домена Windows NT, вы должны четко представ лять доменную структуру Active Directory. Как это описано в предыду щей главе, для небольшого предприятия наиболее вероятной домен ной структурой может быть либо один домен, либо дерево из двух доменов. Корневой домен при этом пустой и играет роль носителя имени организации. Далее мы будем придерживаться этого предпо ложения.
Замечание Миграция домена Windows NT в дерево, состоящее из двух доменов, является частным случаем включения одиночного до мена Windows NT в лес Active Directory.
Обновление первичного контроллера домена Начинается миграция домена с обновления ОС на PDC. Обновление первичного контроллера домена преследует две цели:
сразу включить домен в даже несмотря на смешанную домена;
использовать новые инструменты управления службой каталога и создания своих элементов в каталоге Active Directory.
Прежде чем начать обновление, убедитесь, что у вас есть сервер соответствующий требованиям Active Directory. Все, о чем написано в разделе, посвященном DNS, относится и к данному случаю.
Итак, если все предварительные условия выполнены, запускайте об новление ОС на первичном контроллере домена. Здесь предположим, что обновление самой системы прошло без осложнений. (В этом должна быть ваша заслуга, так как надо запастись драйверами обору дования, установленного в компьютере. Например, если это сервер Compaq, то нужен диск Smart Start с необходимыми драйверами. Имен но с нужно запускать обновление ОС.) Сразу по работы программы установки ОС запустится Внимание Если размер базы SAM (50-70 Мб), то на финаль ной стадии работы Winnt32 (это когда появляются сообщения Perfor ming final tasks и Save может показаться, что компьютер завис. Продолжительность паузы может достигать 2,5 часов. Настоя тельно рекомендуется не прерывать компьютера и дать завер шить все операции. Вы можете исключить возникновение такой си туации, выполнив одно из следующих действий:
установив максимальный размер реестра в 200 Мб:
установив объем файла подкачки на 20% выше объема ОЗУ;
повысив объем ОЗУ;
Directory: подход профессионала уменьшив объем SAM, применив утилиты REGBACK и REGREST;
добавив в систему новый BDC, повысив его статус до а потом до Windows 2000.
Как и в процедуре установки, описанной для нового контроллера до мена, вам будет имя дерева, к которому будет присоединен данный домен, или создать новое дерево. В первом слу чае надо указать ссылку на будущий родительский домен. Если же домен единственный, то при установке надо что это корневой нового дерева в новом лесу.
Может случиться, что вам понадобится изменить имя домена.
домен Windows NT имел NetBIOS имя а новое имя домена Windows 2000 должно быть mycorp.ru. бы вы устанавливали до мен с нуля, то его NetBIOS-имя по умолчанию было бы Так как вы выполняете NetBIOS-имя будет сохранено и оста нется CENTRAL. Такое важно с точки зрения лей домена: они по-прежнему регистрироваться в домене CENT RAL, и вам не придется их об изменениях.
Корневой домен т / Windows 2000 \ NT Миграция домена Windows NT в дерево доменов Windows Это соответствие между NetBIOS-именем домена и DNS-именем до мена поддерживается с объектов класса располо женных в контейнере лесах По мере выполнения обновления системы перенесет в каталог Active Directory ооъектм из базы SAM: записи локальных и групп, а также машин. Каждый Active объект безопасности переносится в контейнер со своим именем. Не будучи организационными единицами, эти контейнеры являются объектами с общим именем (сп). Ниже показано соответствие учет ных и контейнеров, в которые они переносятся.
Учетные записи Контейнер Все пользователи Users Компьютеры Computers Встроенные локальные группы Встроенные глобальные группы Users Все остальные группы Users После установки протокола будут запущены службы аутен тификации и выдачи начального билета TGT, а вслед за этим устано вятся транзитивные двусторонние отношения с роди тельским доменом.
Контроллер родительского домена реплицирует данные в новый до черний домен, который в очередь будет добавлен в структуру сай та. Все получат уведомление о том, что к дереву подключен новый домен. Так как контроллер является первичным контроллером для остальных контроллеров Windows NT, то все новые объекты будут тиражированы на них.
После обновления ОС на до Windows 2000 компьютер становит ся как контроллер домена для всех серверов Windows 2000 и как первичный контроллер домена для серверов Windows NT 4.0.
Windows 2000 обладает обратной с предыдущей версией. При этом данный компьютер можно применять для создания новых объектов безопасности (учетных пользо вателей, групп и сведения о которых будут на другие BDC в домене. Рабочие станции будут распознавать компь ютер как PDC. Если выключить Windows играющий роль PDC, то любой BDC может быть повышен до статуса PDC. Если же первичный контроллер домена с Windows 2000, выполняющий роль включен, то повышение статуса BDC невозможно.
Совет Обновив PDC, добавьте в домен новый Windows 2000, установленный на новую машину, и передайте ему все роли мастеров операций. Это не обязательное действие. Его цель Ч повысить устойчивость ОС, так как обновления не всегда работают стабильно.
Откат назад в случае сбоя А при обновлении РОС произошел сбой? Во-первых, не пани куйте. В этой главе есть советы на все случаи вашей административ ной деятельности. Но так как эти советы касаются только на 100% чи стой среды Windows 2000, то ниже я как сделать, чтобы домен NT 4 продолжил нормально функционировать.
подход во обновления домена в процессе работы произошел фатальный сбой, и вы поняли, что лению система не подлежит. Дальнейшие ваши действия в домене Windows NT зависят от того, как именно вы подстраховались перед началом обновления.
1. Если вы выполнили резервную то восстановите ее на вновь установленный сервер NT. В процессе репликации исходное состояние базы SAM будет тиражировано по всем BDC.
2. Если вы сохранили в отключенном состоянии то включите его в сеть, повысьте его статус до и предмиграционное со стояние будет во всем домене.
Завершив репликацию, убедитесь, что информация на всех контрол лерах домена а пользователи не испытывают проблем с в сети и доступом к Совместная работа контроллеров версий На последней стадии миграции можно обновить ОС на других кон троллерах домена и установить на них службу каталогов Active Direc tory Также можно просто добавить в домен новые контроллеры с Windows 2000 Server. Но прежде чем вы это сделаете, система будет переходном состоянии, когда у вас будут работать контроллеры домена разных версий. Ниже описаны некоторые особенности этого периода.
Так как контроллеры домена с типа используют в своей работе последовательно возрастающие из ряда всех идентификаторов безопасности (SID), то только первичный контроллер домена с Windows 2000 может служить для создания объектов системы безопасности. Объекты, не имеющие от ношения к системе например организационные еди ницы, могут быть созданы на любом контроллере с установленной службой каталогов Active Directory.
На первичном контроллере домена используется два протокола ражирования: для систем на базе Windows NT и ранних Ч с одним мастером и для партнеров на базе Windows 2000 Ч с несколь кими, Особо скажу о файловой репликации. Репликация несовместима с механизмом репликации При работе в смешанной среде контроллеры Windows NT ничего не знают о файлах, реплицируемых контроллерами Windows 2000. Контроллер домена имитатор PDC Ч не поддерживает работу LMRepl. В такой ситуации сценарии и файлы системной политики не на контроллеры Windows NT.
Для разрешения этой проблемы рекомендуется сделать следующее.
Х Перед обновлением ОС на PDC нужно сконфигурировать любой BDC в источника для службы LMRepl.
Установка Active Х Использовать файл Lbridge.cmd из Windows 2000 Server Resource Kit. Этот командный файл, запускаемый на одном из кон троллеров Windows 2000, копирует файлы из каталога в каталог Export на том контроллере домена Windows NT, который вы сконфигурировали как источник для службы Совет Файл Lbridge.cmd использует команду для копирования файлов. Лучше ее заменить на утилиту robocopy из Windows Server Resource Kit.
домена Windows Контроллер домена Резервный Windows 2000 Windows Организация моста для тиражирования файлов Различия между моделями хранения и использования политики бе зопасности Windows 2000 и Windows NT слишком велики, поэтому перенос правил в процессе миграции невозможен. При подсоедине нии к существующему дереву домен наследует объект политики толь ко от сайта родительского домена. При обновлении отдельного до мена в нем по умолчанию формируется новая политика и соответству ющий объект в каталоге.
После перевода всех контроллеров в домене на Windows 2000 домен может быть переведен из смешанного режима работы в естественный.
ПрИ ЭТОМ:
Х в домене используется механизм тиражирования каталога Active Directory с несколькими мастерами;
этот механизм применяется и для тиражирования объектов безопасности;
7- Active подход профессионала диска нового контроллера домена Установка Active Directory :
с ',_ fc 3 ]| и Нет с PING, Выяснить Нет ной и системы !
Установка всех и пакетов ;
э a Выяснить причины и причины Запуск установки домена и устранить Работа ошибок?
Нет Да Перезагрузить компьютер * Net Start Х DNS С Импортировать обновлением?
первый в лесу?
' Репликация работает?
го Нет Да Репликация 23 1 причины Настроить репликацию LBndge.cmd Удалите информацию Sites S из Active Directory J DNS К Выполнить резервное копирование state) j диска Алгоритм обновления контроллера домена Windows NT 178 Active Directory: подход профессионала 4 бывший первичный контроллер домена перестает поддерживать тиражирование с одним мастером;
т. е. в домен более нельзя доба вить контроллер под Windows NT 4.0;
Х все клиенты используют преимущества транзитивных доверитель ных отношений.
Решение о переводе домена в естественный режим принимает адми нистратор Ч оно не может быть выполнено автоматически.
Алгоритмы установки контроллера домена Это своего рода квинтэссенция содержимого главы: здесь приводят ся алгоритмы, отражающие последовательность действий при установ ке нового контроллера домена и обновлении существующего контрол лера Windows NT 4.0.
Алгоритм установки нового контроллера Алгоритм установки нового контроллера домена охватывает все эта пы: подготовки, установки, проверки работоспособности, резервного копирования и действий при возникновении неустранимых Алгоритм обновления контроллера Windows NT 4. Алгоритм обновления контроллера домена Windows NT также охва тывает все этапы: предварительной подготовки, установки, проверки работоспособности, резервного копирования и действий в случае возникновения неустранимых ошибок. Хотя последовательность ос новных операций сохранилась, есть и важные отличия.
Заключение Рассмотренные в данной главе вопросы относятся к категории тех, что наиболее часто возникают на этапе установки контроллера до мена. Конфигурирование DNS, DHCP, WINS, выполнение DCPROMO и поиск ошибок работы этой программы, обновление контроллера домена Windows NT 4.0 Ч все это перечень источников проблем, возникающих у корпоративных пользователей при миграции на плат форму Windows 2000. Но не надо думать, что здесь описаны все про блемные ситуации и способы их разрешения, Есть ряд вопросов, ко торые я оставил за рамками книги. Если у вас возникнут проблемы, описание которых здесь не приведено, то первым источником дол жен стать Microsoft Technet. Это могут быть как диски, распространя емые по подписке, так и ресурс Интернета (support.microsoft.com).
В этой главе практически не рассматриваются вопросы поиска и ус транения проблем с репликацией, ни слова не о планиро вании доменной структуры и структуры подразделений, обойдены молчанием вопросы, связанные с групповой политикой. Их обсужде нию посвящены отдельные главы этой книги.
Репликация Active Directory Репликация Ч один из основных механизмов работы Active Как только речь заходит о том, что более двух компьютеров хранят одну и ту же информацию, встает вопрос о репликации, т. е. о тира жировании этих данных между серверами, обеспечивающем их иден тичность.
Репликацию используют во многих системах. Так, база SAM в Windows NT реплицируется с главного контроллера домена на резервные. Го ворят, что на главном контроллере домена имеется а на резервных Ч резервные. Изменения в БД можно вносить только в мастер-реплику Ч в Windows NT она единственная. Поэтому меха низм репликации Windows NT называется репликацией с одним мас тером.
Репликация Active Directory выполняется по топологии с нескольки ми мастерами. При этом также встает вопрос о слабой связанности между партнерами по репликации, что означает возможность нали чия неодинаковых данных на партнерах в конкретный момент вре мени. А раз так, должен существовать процесс конвергенции, призван ный уничтожить эти различия...
Как видите, характеризующих репликацию Active Directory, хватает, а сколько я еще не назвал! Словом, репликация Ч это слож ный процесс, описанный во многих книгах и достаточно подробно.
Увы, читать толстые книги и разбираться в премудростях процессов ОС любят не все. Возможно, они считают, что уж коль что-то там придумали, то оно будет работать бесперебойно. Многие прошедшие 180 Active подход школу Windows NT вообще не понимают, что может быть сложного в этом процессе, так как им он меньше всего доставлял неприятностей.
Однако в Windows 2000 репликация в корне изменилась. ис точником всех потенциальных проблем стало то, что репликация вы полняется по модели с несколькими мастерами. Если вы не понима ете, как именно она работает, как строится топология репликации и работают обеспечивающие ее компоненты, выявить проблему и, тем более, устранить ее вам будет не по зубам.
Вот почему я рискну повториться и рассказать о некоторых краеуголь ные камнях репликации Ч это нужно для того, чтобы мы с вами го ворили на одном языке.
Немного о том, как работает репликация Итак, вспомним основные компоненты и механизмы репликации Active В первую очередь Ч что тиражировать?
На каждом из контроллеров домена в лесу Active имеется база, в которой хранится локальная реплика трех контекстов имен:
Х схемы;
Х конфигурации;
домена.
Контексты схемы и конфигурации едины для всего леса, тогда как доменный контекст имен хранится только на контроллерах своего домена. Эта реплика является полной, т. е. содержит все атрибуты всех объектов в домене. Полные реплики доменного контекста имен ти ражируются между контроллерами домена. Реплики схемы и конфи гурации тиражируются между всеми контроллерами доменов в лесу.
Если контроллер является сервером Глобального каталога (ГК), то на нем, кроме контекста схемы и хранятся:
Х полная реплика базы объектов того домена, контроллером кото рого он является;
Х частичная реплика всех объектов из других доменов в лесу;
час тичная реплика содержит только те для которых в схе ме определен атрибут значение ко торого равно True.
Частичные реплики тиражируются только между ГК.
Как уже упоминалось, репликация Active Directory выполняется по схеме с несколькими мастерами. Я бы уточнил, что не просто с не а только со всеми мастерами.
Active Directory Замечание Некоторые службы каталогов допускают наличие под чиненных партнеров по репликации наряду с мастерами. Однако в Active Directory такой подход не используется.
Все контроллеры домена выступают равноправными партнерами, т. е, изменение можно внести в каталог на любом из контроллеров доме на и он обязан выполнить тиражирование все остальные контрол леры в домене.
Замечание схемы выполняется с одним мастером.
Тиражирование неотложных изменений также использует несколько отличную топологию.
Репликация выполняется не хаотично, а в с определен ной топологией. Топология определяет последовательность передачи изменений в Active Directory между контроллерами. Причем правила обновления исключают появление рассогласования в информации на разных Наличие правил позволяет говорить о предска зуемости внесения что значительно упрощает поиск про блем репликации.
Х Первое правило Режим получил Ч сохранил Ч передал. По ясню его суть на примере: изменения, происшедшие на контрол лере домена в не будут сразу переданы на все контролле ры домена в В с реп ликации они будут приняты тем контроллером в Москве, через который проводится репликация с Питером (сервер-форпост). На нем они будут храниться до открытия окна а потом переданы на питерский сервер-форпост и уж только с него тира жируются по питерским контроллерам. Такое поведение суще ственно освобождает каналы связи.
Х Второе правило Механизм узнав, что на каком-то из партнеров по репликации произошли измене ния, контроллер домена обращается к нему и скачивает изменен ную информацию к себе. Мы еще рассмотрим этот процесс под а пока ограничимся тем, что сравним его с проталкивани ем информации. Это прямо противоположный механизм тиражи рования данных и что при изменении информа ции на одном из партнеров по репликации он рассылает измене ния по остальным партнерам. При этом его не интересует, готов ли партнер к приему и нужны ли ему эти данные. Механизм про талкивания в Active Directory не применяется.
Active подход профессионала Х Третье Репликация использует статус объектов для определения необходимости их обновления. Когда контроллер домена получает оповещение об изменении реплики у партнера, он сравнивает полученную информацию о из мененных объектов с хранящейся у него. Если, с точки зрения дан ного контроллера, статус объекта не изменился, то надобности в репликации нет. Если же это не так, контроллер запросит у парт нера измененные объекты. Статус служит также и средством раз решения конфликтов, так как позволяет решить, какое из измене ний является более свежим, и запросить именно его.
Обновления в Active Directory Представим, что на одном из контроллеров домена произошло из менение атрибутов объекта Active Directory. Обозначим этот момент (см. рисунок). Контроллер выдерживает после этого паузу после и в момент сообщает об изменении своему партнеру по репликации внутри сайта, затем, выдержав паузу опове щения, в момент оповещает второго партнера. Спустя очередную паузу оповещения информируется третий партнер и т. д., пока все партнеры по репликации не будут оповещены. Получив оповещение, партнеры запрашивают изменения. Пауза в оповещении позволяет предотвратить одновременное обращение всех контроллеров к свое му партнеру.
Длительность паузы после по умолчанию Ч 5 минут, паузы оповещения Ч 30 секунд. Еще раз подчеркну, что описанный процесс относится только к репликации.
репликация выполняется по расписанию.
Т, Т2 Тз Пауза после изменения Паузы оповещения К диаграмма оповещения партнеров по внутрисайтовой репликации Паузы можно изменить: откройте ветвь Параметр pause after Репликация Directory modify (sec) устанавливает длительность паузы после изменения и по умолчанию равен 300. Параметр Replicator notify pause between DSAs (sec) устанавливает длительность паузы оповещения и равен 30.
Замечание Уменьшение этих параметров вряд ли приведет к сколь заметным результатам. Дело в том, что все срочные измене ния (типа паролей) тиражируются по иной а 5-минутного интервала вполне хватает для распространения изменений внутри сайта в течение 15 минут (почему это так, см. ниже). Если же вам нужно срочно реплицировать изменения на какой-то контроллер, то это можно сделать через оснастку Active Directory Sites and Services.
Посмотрим теперь, что происходит после как партнеры по реп ликации оповещены. Для этого надо напомнить о таких понятиях, как исходные обновления и последовательные номера обновлений, ис пользуемые для разрешения конфликтов.
Изменения атрибутов объекта Active Directory являются атомарными транзакциями. Если один LDAP-запрос к каталогу должен выполнить модификацию нескольких атрибутов объекта, то этот запрос рассмат ривается как транзакция. Невозможность хотя бы одного из запрошенных атрибутов приводит к откату транзакции. Если тран закция была то говорят, что произошло исходное ление (originating update) объекта. Если в дальнейшем это обновление тиражируется на другой контроллер, оно становится ным и отличается от исходного.
USN Контроллер домена, уведомленный партнером по репликации в том, что у него произошло обновление базы, должен как-то решить, знает ли он об этом Зачем лишний раз тиражировать обнов ления, если они уже известны? Отследить обновления позволяют по номера обновлений (USN update sequence number).
USN отсчитывается на каждом контроллере домена независимо от других контроллеров. Произошло обновление атрибута какого-то объекта Ч номер увеличивается на 1. Но для каждого контролле ра USN начинает отсчитываться в разные моменты. Скажем, самый большой будет у первого контроллера в лесу Ч он ведь установ лен раньше а на нем произошло больше всего измене ний объектов. Поэтому и бесполезно сравнивать абсолютные значе ния USN на разных контроллерах: для целей отладки важнее отсле живать изменение в динамике.
Измененный сохраняется вместе с реплицируемым объектом.
При этом способ сохранения зависит от типа Для исход 184 Active Directory:
ного обновления существует три способа записи а для реплици рованного обновления Ч два. Вот они.
Х Для каждого измененного атрибута объекта сохраняется его номер независимо от типа Узнать этот номер команда Х Среди измененных есть такой, чей локальный USN бу дет самым большим. Например, если у пользователя поменяли пароль и имя, локальный для этих двух атрибутов увеличится на 1. Если вслед за этим снова поменять пароль, то только локальный USN для этого атрибута. Вот это максимальное число заносится в специальный атрибут объекта Посмотреть значение этого атрибута можно, в програм ме Edit. Х Если выполняется исходное обновление объекта, то для каждого измененного атрибута записывается значение исходного это го атрибута. Узнать этот номер позволяет команда repadmin / showmeta объектах В выводимой на экран таблице значение исходного в столбце Org. USN является числом, что на практике означает его уникальность в течение всей жизни контроллера домена. Если пред что атрибуты изменяются в Directory непрерывно со скоростью 1 атрибут то на исчерпание запаса номеров уйдет почти 585 лет. Наша Вселенная гораздо моложе. Штамп Предположим теперь, что изменения одного и того же атрибута у объекта были выполнены на двух разных контроллерах домена при мерно одновременно, т. е. еще до как репликация раннего изме нения завершилась. Нужен механизм, который бы гарантировал раз решение конфликтных ситуаций. Таким механизмом является добавление штампа реплици руемому Штамп путешествует с ним от одного партнера по репликации к другому. Если значение пришедшего с репли цируемым больше имеющегося у атрибута на контролле ре, то значения локального и его штампа переписываются на новые. Если нет, изменение игнорируется. Что содержит штамп? аналогичную той, что иногда проставляют секретари на исходящих письмах. Репликация Х Версия Всякий раз, как при исходном обновлении изменяется значение атрибута, номер его версии изменяется на 1. Если атри бут никогда не изменялся, его версия равна 1. Х Исходное время Это тот момент времени на часах контроллера когда выполнилось исходное обновление атрибута. Исходный DSA Это того контроллера на котором было выполнено исходное обновление атрибута. Штамп позволяет просмотреть команда repadmin repadmin /showmeta Originating DSA Date Attribute 3903 2763 2001-02- 22:34.42 3903 2002-03- 20:56.05 3903 2763 2001-02- 22:34.42 3903 8e36de48-93cd-4b5e-9bc4-d697acea747Q 2764 2001-02- 22:34.42 1 description 3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 2763 2001-02- 22:34.42 3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 2763 2001-02- 1 instanceType 3903 2763 2001-02- 22:34.42 3903 8e36de48-93cd-4b5e-9bc4-d697acea7470 3805 2001-02- 14:20.35 3903 2765 2001-02-ОБ 22:34.43 При сравнении двух штампов сначала версии. Тот ат рибут, чья версия больше, имеет преимущество, и его значение будет записано как реплицированное обновление. Если версии одинаковы, сравнивается исходное время. Атрибут, исходное время которого позже, победит. Наконец, если совершится столь маловероятное со бытие, что в обоих штампах исходное время также одинаково, побе дит тот, чей GU1D больше. В последнем условии, конечно, нет ника кого смысла, но ведь кто-то должен победить! _ rt Directory: подход Удаление объекта Выше рассмотрены создания и модификации объектов. А как быть в случае удаления объекта? Ведь если просто удалить объект на одном из контроллеров, надо как-то оповестить другие об этом событии. В Active Directory удаление объекта равноценно его измене нию. Дело Б том. что объекты не удаляются физически, а просто по мечаются как удаленные. Вот как это делается: значение атрибута устанавливается равным true; Х объект помечается как памятник, что означает, что объект удален, но не изъят из Active Directory; Х относительное отличительное имя объекта изменяется так, что его нельзя изменить с помощью из всех атрибутов остаются только objeccSid, distin и Х памятник перемещается в специальный скрытый контейнер. После этого партнеры по оповещаются о том, что про изошло изменение, и выполняется как это описано выше. Но не думайте, что все эти памятники так и остаются в Active Directory. В Active Directory каждые 12 часов выполняется сбор мусо ра. Этот процесс проверяет, нет ли памятников, срок существования которых завершился. Если есть, они физически удаляются из Active Directory. Мусор собирается независимо на каждом контроллере до мена. Срок существования памятников по умолчанию Ч 60 дней. Этого хватает, чтобы выполнилась репликация на все контроллеры в домене. Замечание Срок существования памятников и интервал сбора мусора (garbagecolperiod) можно изменить, опреде лив соответствующие атрибуты объекта леса>. Процесс репликации от А до Я Теперь рассмотрим репликацию в подробностях. Без понимания это го процесса бесполезно заниматься поиском проблем с репликацией (ну, за исключением самых простых). Создание объекта Представим что установлен новый контроллер домена и на нем создается новый пользователь. Для простоты вместо GUID будем использовать имя контроллера, а вместо полного набора его атрибу тов Ч только несколько. Пусть в момент создания USN контроллера домена был равен Добавление пользователя увеличит его на I. Репликация Active Directory Замечание В реальности при добавлении пользователя увели чивается больше, чем на 1. но для нас это не существенно: главное, что он В соответствии с этим будут присвоены значения и остальным атри бутам и номерам. Для простоты все значения сведены в Исходное Исходный Исходный Атрибут Значение USN Версия время DSA USN Иван Петров 2764 2764 2764 Таким образом, выполнено исходное добавление. Через 5 минут контроллер DCA оповестит своего по репли кации, контроллер DCB, о том, что у него произошло изменение. Те кущий контроллера DCB равен 1533- После записи информации о пользователе его увеличится на 1. Соответственно изменятся значения номеров usnChanged и Остальные параметры штампа останутся прежними. UsnCreated: 1534 Исходное Исходный Исходный Атрибут Значение USN Версия время DSA Иван Петров 1 22:34.42 DCA Иван 22:34.42 DCA 1 DCA userPassword 1534 Так выполнилось реплицированное Модификация объекта Допустим теперь, что немного погода пользователь изменил пароль и изменение произошло на контроллере К этому моменту этого контроллера был равен (мало ли какие объекты модифици ровались за это время). Значит, после изменения пароля USN контрол лера увеличится на 1, а метаданные объекта будут выглядеть таю UsnCreated: UsnChanged: Исходное Исходный Исходный Атрибут Значение USN Версия время DSA USN 22:34.42 DCA Иван Петров 1 22:34.42 DCA givenname Иван userPassword 2212 2 09:30.00 DCB профессионала Заметьте, изменились USN и штамп атрибута а так же атрибут usnChanged Теперь они указывают на то, что ис ходное обновление этого выполнено на контроллере DCB. Обновленный атрибут тиражируется на контроллер DCA, номер USN которого к этому моменту равен 3517. Метаданные объекта записы ваются на этом контроллере так: 1534 UsnChanged: Исходное Исходный Исходный Значение USN Версия время DSA USN Иван Петров 1 DCA 1534 22:34. Иван 1534 DCA userPassword 3518 2 09:30.00 DCB Как видите, меняется атрибут объекта usnChanged и USN. Так выпол няется реплицированное обновление. Демпфирование распространения В реальной сети между доменов может быть несколь ко путей, по которым репликация. Это в свою может привести к тому, что одни и те же изменения придут на кон троллер домена а то и трижды. Кроме того, из нашего при мера можно сделать вывод о том, что, получив реплику от партнера по репликации, контроллер домена оповестит его о том, что у него произошло изменение, и предложит те данные, которые только что он от него же и получил. Словом, может возникнуть положительная обратная связь, которая породит бесконечный цикл репликаций. Ну, уж коли мы использовали термин из радиотехники (я имею в положительную обратную связь Ч ПОС), то очевидно, что оттуда же можно позаимствовать название термина борьбы с ПОС Ч демпфи рование. Демпфирование затрудняет развитие обратной связи. Зна чит, и в процессе репликации нужны механизмы, которые бы не про сто развитие паразитных репликаций, но препятствова ли их возникновению. К таким механизмам относятся верхняя ватер линия watermark) и вектор (up-to-dateness vector). Термин пришел из мореплавания. Верхняя ватерлиния обозначает предел осадки корабля. В репликации же это число, кото рое на контроллере-приемнике соответствует изменениям объекта, полученным последними с С другой сторо ны, это число используется контроллером-источником для фильтра ции объектов, предлагаемых партнерам по репликации. Репликация Как я уже говорил, у каждого контроллера домена есть свой от слеживающий число изменений на контроллере. Также каждый кон троллер хранит таблицу с записями известных ему максимальных значений партнеров по репликации. Эта таблица называется век тором ватерлинии. Когда партнер запрашивает изменения, он посы лает на контроллер-источник известное ему значение верхней ватер линии для этого контроллера. Контроллер-источник анализирует полученное значение и реплицирует только те объекты, у которых значение атрибута больше полученного значения верх ней так как только они еще не были им посланы партне ру. Партнер, получив обновления, изменяет значение верхней ватер линии для данного партнера. Тем самым сокращается объем репли кации. Дополнительно к верхней ватерлинии на контроллерах домена хра нится и постоянно обновляется еще одна таблица. Она содержит GUID контроллеров домена, выполняющих оригинальное обновление, и их номера Эта таблица вектором и за висит от контекста имен. В Active Directory она записана как атрибут контекста имен. Когда контроллер домена запра шивает изменения для раздела каталога, он передает свой вектор об на запрашиваемый контроллер. Тот. основываясь на этом определяет, ли значения атрибута на запросившем контроллере, и, если нет, отсылает новое значение. Если же значение актуально, то для этого атрибута не выполняется пересылка данных. Верхняя и вектор являются взаимодопол няющими. В то время как верхняя ватерлиния не позволяет контрол рассматривать неподходящие объекты применитель но к одному вектор обновленности помогает отфильтровывать неподходящие атрибуты на основе взаимоотноше ний между всеми источниками исходных обновлений и одним парт нером. Для одного раздела Active Directory контроллер домена отсле живает верхнюю ватерлинию только тех контроллеров, с которых он запрашивает а вектор обновленности Ч для всех контрол на которых хоть раз выполнялось исходное обновление, т. е. практически всех контроллеров, хранящих полную реплику данного раздела. Рассмотрим пример. Пусть в домене четыре контроллера Будем что исходные обновления к данному моменту выпол нялись только на контроллерах DC1 и DC2 и, может быть, на контрол лере DC4. Active Directory: подход профессионала Пример USN для из контроллеров равны DC1 Ч 4711, DC2 2052. DC3 Ч 1217. DC4 Ч Тогда вектор обновленности и верх нюю ватерлинию на контроллере DC4 можно записать как: Вектор обновленности DC4 Верхняя ватерлиния DC GUID GUID Максимальный контроллера исходного USN контроллера известный DC1 DC 2 DC Пусть на контроллере домена добавили нового Его увеличится на 1 и станет равным 2053. После этого контроллер DC2 оповестит своего партнера по реплика ции об изменении. Тот, сравнив последний известный ему USN для контроллера что нужно получить полу чит их и увеличит свой на 1, т. е. станет равным При этом, как мы уже знаем, на контроллере DC1 для этого объекта будет записа но, что его исходное было выполнено на контроллере DC2. Далее оповестит DC4 о происшедшем изменении. В ответ на это DC4 пошлет запрос который будет включать следующую информацию. Контекст имен, для которого запрашиваются изменения (NC). Если на хранится неполная реплика этого контекста имен (т. е. это и контроллер другого домена), то список тех атрибутов, которые на нем хранятся для данного контекста. Будем считать, что DC4 хранит полную реплику. Максимальный известный номер с контроллером DC1 и с этим контекстом имен. (В рассматриваемом случае Ч Максимальное число объектов, которое может запро сить контроллер, Максимальное число атрибутов, которое может запросить кон троллер, Вектор обновленности. Х Логическую переменную, указывающую на необходимость пере сылки объекта родительского по отношению к запрошенному. В ответ на запрос пошлет на DC4 запрашиваемые данные, изме ненный номер для последнего объекта, а также флаг, указываю все ли данные были переданы или есть еще. Если есть другие посылается дополнительный вектор обновленности. В итоге репликации вектор обновленности и верхнюю ватерлинию на кон троллере DC4 можно записать так: Вектор DC4 Верхняя DC GU1D Максимальный Максимальный контроллера номер исходного контроллера известный USN DC1 4711 DC1 DC2 2053 Когда был добавлен на контроллере DC2, то, был также оповещен и второй партнер по репликации Ч кон троллер DC3. Аналогично тому, как это было для DC1, его после репликации изменится на Контроллер DC3 оповестит DC4 об изменении, и последний запро сит его, послав свой вектор обновленности. Так как в векторе обнов ленности для источника изменений (т. е. DC2) уже записано актуаль ное значение (2053), то DC3 не станет посылать данные, а ограничится лишь номером USN последнего измененного объекта и обновленности. После завершения репликации вектор обновленнос ти и верхняя ватерлиния на контроллере DC4 будут выглядеть так: Вектор обновленности DC4 Верхняя ватерлиния DC GUID Максимальный GUID Максимальный контроллера номер исходного USN контроллера известный USN DC1 4711 DC1 DC2 2053 DC3 Active профессионала Поскольку на контроллере DC4 не произошло, он не бу дет оповещать партнеров (DC1 и DC3), а значит, репликация завер шится. Если бы не использовались механизмы про цесс репликации пошел бы на второй крут, но в обратном направ лении. конфликтов Я уже показывал, как разрешать конфликты, сравнивая версии атри бутов. Однако в каталоге с несколькими мастерами могут воз никать у другие Вот они. Возможные конфликты в Active и способы разрешения Конфликт Описание Способ Значение атрибута На одном контроллере Атрибут с наибольшим домена операция Modify значением штампа изменяет значение атри- побеждает бута. Одновременно на другом контроллере атрибуту присваивается иное значение Выполнение опе- Операциями Add или Объект Р удаляется. раций Add или Move Move объект С делается Объект С переносится под удаленным дочерним по в контейнер родительским нию к Р. Одно объектом, на другом непустого контроллере объект Р контейнера удаляется Конфликт Операции Add или Move Для объекта, чье относи служат для создания у тельное отличительное имен объекта Р имя имеет меньшую вели объекта С1 с относитель- чину создается ным отличительным новое уникальное имя по именем R. Одновременно такому правилу: если до друтом контроллере разрешения конфликта rdn у объекта Р создается объекта было ABC, то пос дочерний объект С2 ле разрешения оно станет с же именем где CNF Ч константа, щая разрешение конфлик a GUID Ч значение объекта Таким образом, все потенциальные конфликты имеют свой механизм разрешения. Топология репликации В Directory под топологией репликации понимается набор со единений, используемых контроллерами доменов для синхронизации Directory общих разделов каталога в масштабах леса. Заправляет процессом создания топологии репликации процесс Consistency Chec ker (КСС). В дословном переводе это значит нечто вроде проверяю щий однородность знаний. О каких знаниях идет речь? Этот процесс выполняется каждые минут и, проверяя доступность контроллеров доменов, создает связи между ними для тиражирования данных. Та ким образом, речь идет о знаниях, известных каждому контроллеру. И именно КСС заботится о том, чтобы на каждом контроллере доме на хранилась идентичная информация, т. е. он однород ность знаний контроллеров. Репликация призвана синхронизировать информацию в Active Direc tory в масштабах всего леса. Однако, как мы только что видели, фак тически в каждый конкретный момент она толь ко между двумя контроллерами. Решение о том, с каким контролле ром установить связь для выполнения данных, при нимается на основе целого ряда факторов, таких как разделы катало га, хранимые на разных контроллерах, полнота этих разделов, при надлежность к сайту и др. все контроллеры одного домена долж ны быть способны полную реплику своего разде ла каталога. С другой стороны, все контроллеры в лесу обязаны син хронизировать контексты имен схемы и конфигурации. Топология репликации схемы и конфигурации отличается от топологии домен ной однако в простых случаях они совпадают. Если рассмотреть все возможные топологии репликации Active Direc tory, то получим: репликация конфигурации и схемы внутри сайта; Х репликация каждого из разделов каталога внутри сайта; репликация разделов ГК внутри сайта; репликация конфигурации и схемы сайтами; Х репликация каждого из разделов каталога между сайтами; репликация разделов ГК между сайтами. Ряд объектов Active Directory составляет основу реплика ции. Здесь я их только перечислю Ч подробности см. в главе Проек тируем Active Directory. Во-первых, это сайты и контроллеры доменов в них. Сайты Ч это участки сети с высокой пропускной способностью. Каждый сайт опре деляется минимум одной Сведения о подсетях в сайте ис пользуются для поиска контроллеров домена. Контроллеры домена Ч партнеры по репликации представляются объектами, содержащими специальный объект Settings, который хранит информацию о входящих соединениях. 194 Active Directory: подход соединения определяют репликации и представ ляют собой следующую категорию объектов репликации. Соединения от одного контроллера к другому. пытается, там где это возможно, одни и те же соедине ния удаляет соединения или создает новые. Чтобы соединения между сайтами стали возможны, нужны связи, ина че КСС не сможет создать а значит, не будет и реплика ции. По умолчанию создается только первая связь, которую и исполь КСС, но ее может быть недостаточно. Для каждой связи существует расписание, определяющее сроки выполнения репликации. Связи не должны быть беспорядочными. Если внутри сайта практи чески не между какими партнерами выполняется репликация, то связи между сайтами должны иметь четкий характер. С этой це лью КСС выбирает контроллер, через который будут осуществляться взаимоотношения с другими сайтами. Этот контроллер называется Форпосты следят за тем. чтобы репликация между партнерами шла в основном внутри сайта, а внешние связи выполнялись по Можно довериться КСС и не вмешиваться в процесс назначе ния форпоста. Но КСС может ошибаться и назначать далеко не луч шего кандидата на роль форпоста. Дабы такие можно вручную назначать выделенные (см. главу Active Ну и, наконец, остается по которому тиражируются данные при репликации. Протокол выбирается на основании того, сколь надежна связь между сайтами и что надо реплицировать. Если это качественный которого не вызывает сомнений, оптимальным протоколом является IP. Если же канал ненадежен, боль шую часть времени бывает недоступен или перегружен, то ется SMTP. Но об этом мы поговорим ниже. Какой транспорт предпочесть? Как вы уже знаете, в Windows 2000 два репликации. Это RPC поверх IP и SMTP. Первый служит для айтовой реплика ции и для синхронной второй Ч для асинхронной При этом надо придерживаться следующих правил. Х Репликация внутри сайта осуществляется всегда только посред ством RPC поверх IP. Топология репликации Ч кольцо. Сжатие данных не используется. Репликаций между сайтами может использовать как RPC поверх IP, так и SMTP. Топология Ч дерево. При передаче исполь зуется сжатие данных. Репликация Active Directory + Репликация по SMTP только между контроллера ми из разных доменов. Контроллеры одного домена должны пользовать поверх IP независимо от качества канала. Следо вательно, SMTP может применяться только для репликации разде ла схемы, конфигурации и ГК. Свойства и межсайтовой репликации таковы: Сравнение свойств внутри- и межсайтовой репликаций репликация репликация Транспорт RPC поверх RPC поверх IP или SMTP Топология Расписание зависит от зависит от оповещений канала Модель Уведомление и запрос Запрос по или хранение и передача Сжатие да Синхронная и асинхронная передача Синхронная репликация Active Directory предполагает, что контрол лер запрашивая изменения у партнера по репликации, ожи дает, пока запрашиваемый контроллер обработает запрос, составит и перешлет ответ. В период ожидания новые запросы не выполняются, т. е. в любой момент времени контроллер домена занят только одним Если у него 10 партнеров по репликации, он будет опра шивать их по очереди. Если репликация асинхронная, то контроллер, послав запрос, не ждет ответа. Он может послать запрос следующему партнеру. Главное от личие асинхронной репликации в том, что время ответа на запрос неизвестно, в то время как при синхронной репликации гарантиро ван максимальный интервал ожидания. транспорт Как я уже говорил, транспорт Ч это RPC поверх IP. Это быстрый механизм, способный с небольшими пе ресылать обновления сайта. Так как из определения сайта сле дует, что все связи между контроллерами имеют большую полосу нет смысла выполнять передаваемых данных. При обычной частоте тиражирования сайта это приведет к дополнительному расходу процессора. Удаленный вызов RPC использует динамическое назначение портов TCP. Обращаясь к Active Directory, клиент подключается по RPC к хорошо известному порту Ч 135. Сервер запрашивает у локатора 196 Directory: подход порт, в данный момент для репликации Active Directory. По умолчанию этот порт назначается динамически при стар те Active Directory и может быть любым среди портов с высокими номерами. (Поэтому в посвященной планированию Active Direc tory, я сказал, что для репликации через межсетевой эк ран надо открывать много портов.) Номер порта можно зафиксировать. Для этого надо в ветви реестра изменить TCP/IP Port. Значение может быть любым, кроме зарезер вированных за другими службами. Особенности Говоря о транспорте, обычно подразумевают RPC, a SMTP предпочитают не применять. Во-первых, это часто с тем, что в сайтах располагаются контроллеры из одного домена, что автома тически исключает SMTP Во-вторых, асинхронная природа SMTP не позволяет гарантированно тиражировать измене ния в течение заданного интервала. Если в удаленном сайте есть ГК, изменения до него могут доходить с большим опозданием, что при неудачном стечении обстоятельств может воспрепятствовать досту пу пользователей к ресурсам или, предоставить его в тот момент, когда он уже отобран. SMTP приводит к тому, что расписание доступности устанавливаемое для связи, полностью игнорируется. Что бы ни указали, это не будет иметь никакого значения. Можно указать лишь частоту обращения к партнеру удаленного сервера. В то же время и RPC, и SMTP имеют некоторые общие характеристи ки, используемые при репликации: для передачи данных между сайтами обоих транспор тов используется сжатие данных; Х у Active Directory существует максимальное число изменений, ко торые можно переслать в ответ на один запрос; оно зависит от размера конфигурируемого пакета репликации: Х каждому партнеру по репликации для каждого раздела каталога может быть передан только один запрос изменений; изменения, пересылаемые ответ на запрос, передаются в одном или нескольких фреймах в зависимости от общего числа изменений; Х если передача части данных сорвалась, требуется повторно пере дать все данные; если полоса пропускания мала, то для настройки используются одни и те же параметры TCP. Active Directory Помимо недостатков, SMTP имеет ряд преимуществ, делающих его порой незаменимым. Х Помните, мы это свойство записали в недостат ки? Но представьте себе жуткий канал, по которому тиражируют ся данные. При синхронной репликации процесс может затянуть ся, так как из-за постоянных тайм-аутов транзакции незавер шенными, и, следовательно, потребуется выполнять многократные откаты. И пока не будет одна транзакция, не начнется другая. При асинхронной репликации транзакции растянуты, и не нужно ждать завершения одной, прежде чем инициировать следу ющую. Поэтому на плохих линиях SMTP как транспорт реплика ции имеет преимущество. Х Трафиком SMTP можно управлять, выполнять мониторинг и защиту. Х Там, где нет трафика по протоколу IP, репликация может выпол няться по SMTP. Это могут участки, базирующие ся на Управление пакетом репликации Если на контроллере от 100 до 1 000 Мб ОЗУ, размер пакетов репликации равен 0,01 от объема ОЗУ. С другой стороны, размер пакетов в объектах равен 1/1 000 000 от объема ОЗУ (т. е. от 100 до 1 000 объектов). Одно исключение: размер пакета для асинх ронной репликации не превышает 1 Мб. Это связано с тем, что на многих почтовых системах стоит ограничение на макси мальный размер передаваемых сообщений. Эти значения по умолчанию можно изменить, определив параметры в ветви реестра meters. По умолчанию этих параметров реестре нет. Параметры реестра, за размер пакетов при репликации Параметр Допустимая величина Replicator Для репликации от packet (objects) внутри сайта Replicator into site Для репликации RPC от ко packet (bytes) внутри сайта inter site Для репликации RPC от size между сайтами inter site Для репликации RPC 10 кб между сайтами packet size (bytes) inter site репликации SMTP от size (objects) между сайтами async inter site Для репликации SMTP от кб size (bytes) между сайтами Directory: подход профессионала генерация топологии Рассмотрим генерацию внутрисайтовой топологии, выполняемую КСС. Мы от простого к сложному. Простейший случай Ч один контроллер домена: репликация при этом не а значит, нет и топологии репликации. Добавим второй контроллер. между контроллерами уста новятся две связи: для репликации от А к Б и Причем обе будут использоваться для репликации как доменного контекста имен, так и схемы и конфигурации. При добавлении третьего контроллера домена образуется простейшее кольцо. Каждый из контроллеров с двумя другими четырьмя связями Ч по две связи на соединение. Простая топология для одного контекста имен Как только добавляется четвертый контроллер домена, между ним и двумя ближайшими контроллерами устанавливается как показано на рисунке. Налицо очевидная избыточность связей для контроллеров DC2 и Они, конечно могут продолжать реплика цию но есть и еще два пути: через контроллеры и DC2. Поскольку КСС стремится создать кольцо, то избыточные связи меж ду DC2 и DC3 будут удалены. В ряде случаев КСС не удаляет избыточные связи. Их можно удалить вручную. Как же определить, какой из контроллеров домена является ближай шим соседом? Ведь внутри сайта все соединения имеют одинаково высокую пропускную способность, а других факторов будто нет. КСС считает, что, коль естественной разницы между контроллерами нет, надо ввести искусственную и использует номера контроллеров. Определив число доступных в момент проверки контроллеров опреде ленного домена, он ранжирует их по возрастанию номера КСС, исполняемый на каждом контроллере домена, выбирает два контролле ра с ближайшими номерами и создает для них односторонние связи. Сложная топология для одного контекста имен Если продолжить наращивание числа то кольцо реп ликации будет расти в диаметре. Сколь бесконечен этот рост? Крите рий, влияющий на размер кольца и определяющий наличие допол нительных связей, есть. Примечание Критерий внутрисайтовой репликации определяется между любыми двумя контроллерами одного домена в сайте дол жно быть не более 3 прыжков (hops) репликации. Active если всего три, то каждый связан с другими. добавлении четвертого контроллера он связи с двумя контроллерами, непосредственные связи между которыми становятся лишними Длительность прыжка Ч 5 минут (по истечении этого времени кон троллер уведомляет партнера об изменении) Ч гарантирует, что вре мя полной репликации внутри сайта не превышает минут. Если продолжить наращивание числа контроллеров в домене, то то пология в виде кольца удовлетворяет критерию только при числе контроллеров не более 7. Стоит добавить восьмой контроллер, как мы сразу переходим к усложненной схеме генерации топологии. Каждый КСС создает произвольное дополнительное число связей с другими контроллерами. Изначально число может быть но не мень ше такого, чтобы удовлетворялся критерий репликации. Например, на рисунке изображен случай 8 контроллеров. Рассмотрим процесс ге нерации топологии во времени. Допустим, первым начал работать КСС на контроллере DC1. Проана лизировав число контроллеров, он вычислил, что для репликации изменений с DC1 на самый дальний от него контроллер DC5 по коль цевой схеме понадобится 4 прыжка. Поэтому, кроме соединений Active Directory: подход профессионала с ближайшими соседями, он создаст прямое соединение с DC5. Этот контроллер в свою очередь также создаст три соединения: два с бли жайшими соседями и одно с а правило при генерации репликации не более 3 между любым из контроллеров домена предположим, что на DC3- Он также вычислит, что нужно создать с самым далеким от него DC7. Тот ответит на это созданием встречного соединения и пары соединений с соседями. КСС на остальных контроллерах уже будут знать о новых соединениях и обнаружат, что им не требуется создавать дополнительные связи, кроме связей с ближайшими Таким образом, формирова ние топологии репликации данного контекста имен завершится. В реальности совершенно что будет именно такая топология. мы предположили, что КСС запускает ся на контроллерах домена в такой последовательности: DC1 Ч DC5 Ч Ч DC7 - DC2 Ч DC4 - DC6 Ч Если же предположить, что КСС на контроллере DC2 запустится сразу после DC5, а потом запус тится КСС на DC7, то топология будет совершенно иной, и главное, и не будут созданы между одними и теми же парами контроллеров. Но все равно будет тот же, т, е. пол ное соответствие критерию репликации. Топология для нескольких контекстов имен Что усложним задачу. Пусть внутри сайта расположен не один, а два домена, т. е. кроме репликации общих контекстов схемы и кон Репликация Active Directory фигурации, должна раздельная репликация каждого из доменных контекстов имен. Сначала разберемся в топологии репликации схемы и конфигурации. Не трудно догадаться, что поскольку это один контекст имен, то фор мирование топологии для него будет выполняться по тем же прави лам, что и для одного домена в сайте. В частном случае с 8 контрол лерами получим ту же топологию, что и на предыдущем рисунке. Замечание Дальше будем считать, что в сайте нет серверов ГК. Пусть в сайт с одним доменом добавили еще один домен, установив первый контроллер. Так как база Active на этом ре хранит раздел того домена, для которого в сайте нет других кон троллеров, то это будет равносильно единственному контроллеру в а значит, отсутствие репликации. Но не следует забывать, что раздел схемы и конфигурации должен тиражироваться на новый кон троллер, а значит, он будет включен в общее кольцо для этого кон текста. После добавления еще одного контроллера для этого контекста мы добьемся того, что между двумя контроллерами установятся встреч ные связи. Добавление третьего контроллера приведет к образованию простейшего кольца и т. д. в точном соответствии с тем описанием, которое приведено для случая с одним контекстом имен. DCB DCB каждого контекста имен по своему Пока общее число контроллеров в двух доменах в сайте не превысит 7, топология репликации будет состоять из 3 колец: по одному для каж дого доменного контекста и одного для схемы и конфигурации. 202 Active Directory: профессионала С ростом числа доменов топология будет усложняться. Но в любом случае будет соблюдаться соответствие критерию репликации. КСС и его Вся эта интеллектуальная работа по генерации топо логии выполняется КСС. Как мы уже знаем, КСС Ч это процесс, вы полняемый на каждом контроллере домена. КСС не стартует сразу после запуска компьютера. Сначала он ждет некоторое время, назы ваемое задержкой запуска топологии. По умолчанию Ч 5 минут. После первого выполнения повторный запуск КСС состоится только через 15 минут. Итак, каждые минут КСС выполняет свою работу. Замечание Указанные устанавливаются по умолчанию. Их можно изменить в ветви реестра время начальной задержки влияет па раметр topology update delay По умолчанию он равен секундам. Если у вас не очень быстрый компьютер, а служба DNS ус тановлена на нем же, это значение стоит увеличить до 500 секунд. Интервал времени между последовательными запусками КСС опре деляет параметр topology update period по умолчанию Ч 900 секунд. Что же конкретно выполняет КСС? У него две задачи. 1. Основываясь на сетевой топологии, описываемой объектами Active Directory, объекты связи, используемые для репликации: Х для источников внутри Ч входящей по отношению к контроллеру домена, на котором выполняется КСС; Х для источников в других сайтах Ч входящей по отношению к тому сайту, в котором КСС; при этом контроллер, котором он работает, должен быть выбран генератором топологии. 2. Преобразует объекты Active Directory, созданные как КСС, так и администратором, в понятную для механизма репликации. Этот процесс не имеет интерфейса с пользователем в привычном понимании. Нет ни утилиты командной строки, ни графической кон соли, позволяющих задавать параметры работы или управлять запус ком/остановкой процесса. Все сведения о работе КСС можно почерп нуть из регистрации. Степень подробности зависит от пара метра Knowledge Consistency в ветви реестра Если он равен 3 и выше, в журнал будет заноситься максимум однако к такому радикальному методу стоит прибегать только в крайних Репликация Active чаях и на непродолжительное время, так как производительность кон троллера домена очень сильно Работой можно управлять следующими инструментами. Х Редактор служит для определения параметров КСС на одном отдельно взятом контроллере домена. Х Оснастка Active Directory Sites and Services позволяет контро лировать и корректировать топологию репликации. или Ldp служат для изменения атрибутов объекта CN=NTDS Site лесаХ Позволяют изменять работу всех КСС в сайте. Сценарии удобнее всего использовать для комплек сных операций над всеми КСС в сайте. Вот простейшие примеры использования этих инструментов. Пусть, редактируя топологию репликации, вы случайно один из всех объектов связи. Это, приведет к прекраще нию тиражирования данных между этим сайтом и другими. Устано вив через реестр диагностики работы КСС равным 3- вы об наружите в журнале регистрации об ошибке В со ответствии с этим сообщением об ошибке вы откроете Active Directory Sites and и выполните корректировку Второй пример. Вам может понадобиться остановить КСС на всех контроллерах домена, например, при оптимизации топологии в больших сетях. Для этого вы открываете, скажем, находите объект CN=NTDS Site леса> и измените значение атрибута options. Если ему задать 1. автоматическая генерация топо логии остановится. Генератор топологии Среди задач, выполняемых КСС, особенно интересна генерация объек тов связи для межсайтовой репликации. Рассмотрим ее подробнее, Внутри сайта есть один контроллер домена на котором КСС выпол няет, помимо обычных, и дополнительные обязанности. Он анализи рует доступность партнеров по репликации из других сайтов для сер веров-форпостов. При этом сам он может и не быть форпостом (ско рее всего так и будет). Такой сервер принято называть генератором межсайтовой топологии ISTG. Обнаружив необходимость создания нового объекта связи. ISTG изменяет Active на своем локаль ном контроллере домена. Это изменение тиражируется с помощью обычного механизма внутрисайтовой репликации на все контролле ры домена в том числе и на серверы-форпосты. Процессы КСС, кото рые работают на форпостах, анализируют пришедшее изменение и 204 подход профессионала преобразуют объекты связи соединения, используемые для кации из удаленных сайтов. 1STG также периодически в Active Directory атрибут, ука зывающий на то, что именно он является генератором топологии для данного Замечание Генератор межсайтовой топологии всегда только один внутри сайта независимо от числа имен, которые должны быть реплицированы. По умолчанию такая запись выполняется каждые 30 минут. Вы може те задать иную величину интервала в параметре КСС site generator renewal interval (minutes) в ветви реестра Эта информация тиражируется на все остальные контроллеры домена в сайте. КСС, исполняемые на них, проверяют, когда была выполнена последняя запись указанного атрибута. Если в течение последнего часа такая запись не была выбирается новый сервер ISTG. Срок, в течение которого дол жно произойти принадлежности к ISTG, зада ется параметром КСС site generator fail-over (minutes) в той же ветви Генератором межсайтовой топологии по умолчанию является самый первый контроллер сайте. Если он вовремя не изменит ат рибут в Active на его место будет выбран тот контроллер, чей номер будет следующим в порядке возрастания. При воз никновении этого события повторно произойдет выбор контролле ра по тому же принципу. При этом самый первый контроллер будет находиться в конце очереди. какой контроллер домена в сайте является генератором меж сайтовой топологии, значение атрибута Generator у объекта Site лесаХ Оно содержит отличительное имя кон выполняющего эту роль. Что произойдет, если а прежний еще жив? В этом случае временно могут существовать соединения, создан ные этими двумя компьютерами. Но стоит репликации в сайте завер генератор прекратит свою деятельность, а создан ные им соединения будут Теперь вернемся к рассмотренной выше ситуации, при которой тре буется остановить ISTG. Как об этом написано в главе Проек тирование Active КСС имеет выражаемое формулой: Active Directory <= где D Ч число доменов, a S Ч число сайтов. При большом числе сайтов КСС должен быть Для этого надо изменить у объекта CN=NTDS Site сайта>, леса> значение атрибута options. До пустимые значения; Х 0 Ч по умолчанию; КСС и ISTG работают в нормальном режиме; Х 1 Ч генерация топологии репликации остановлена; 4 16 Ч генерация межсайтовой репликации остановлена; Х 17 - КСС и ISTG остановлены. На практике оказывается неразумно останавливать КСС и генератор топологии межсайтовой репликации. При этом бремя отслеживания соединений и объектов связи ляжет на администратора. Он должен просчитывать оптимальную топологию и заботиться о ее поддержа нии. Альтернативой является временное включение/отключение КСС в периоды незначительной загрузки сети. При включении КСС про верит топологию внутри сайта и между сайтами и, если надо, обно вит их. Затем его можно выключить до следующего раза. Нагрузка, ко торая при этом ляжет на контроллеры доменов, не скажется на пользо так как эту работу лучше выполнять во внерабочее время. Управление работой КСС одновременно в нескольких сайтах облег чают Следующий сценарий на VBScript позволяет останав ливать/возобновлять автоматическую генерацию топологии реплика ции сразу во всех сайтах. Не составит никакого труда упростить его и использовать для тех же целей, но внутри одного сайта. Сценарий остановки и запуска КСС On Error Resume Next параметров командной строки Set Args = then If then Call end if Public Sub () об ошибке "Произошла ошибка: +_ + End Sub Public Sub () след. стр. 206 Active Directory: On Error Resume Next локального компьютера "Подключение к set if <> 0 then if <> 0 then wscript.echo "Обнаружен локальный компьютер + конфигурацию контекста if о 0 then ReportErrorWscript.Quit wscript.echo "Контекст имен + configNC к контейнеру Sites Set & & & configNC) = For each in ObJSites wscript.echo "Имя сайта: + obj.CN Set = Site Settings") значение атрибута options if = then origOptions= elseif then не надо else что делать с КСС if then КСС, он разрешен, или оставить как есть if And 16 then wscript.echo Автоматическая генерация топологии запрещена. не else Or wscript.echo Автоматическая генерация топологии разрешена. Запрещаем." см. стр. Репликация Active "options", if <> 0 then значения еще нет, то все нормально if = then значение "Ошибка значения атрибута options." "Проверьте правильность текущего "Выполнение прервано." if end if end if else запрещена, то Иначе оставить if 16 then wscript.echo Автоматическая генерация топологии запрещена. "options", if <> 0 then нет, то все нормально if = then значение в любом случае else ReportError wscript.echo Ошибка изменения значения атрибута options." wscript.echo Проверьте правильность текущего Выполнение прервано." Wscript.Quit end if end else wscript.echo Автоматическая генерация топологии разрешена. Изменений не end if end if Next End Sub Active Directory: подход профессионала Для запуска сценария скопируйте текст в файл с расширением VBS и в командной строке введите: cscript /аргумент где аргумент Ч enable для разрешения автоматической генерации a disable Ч для ее запрещения. Вот результат работы сценария (не забудьте, что вы должны обладать достаточными административными полномочиями в рамках леса): работы сценария: разрешение генерации топологии Репликация глобальных каталогов Серверы как известно, отличаются от остальных контроллеров домена тем, что, помимо полной реплики того пространства имен, которому принадлежит контроллер, а также реплик конфигурации и они хранят усеченные версии реплик остальных разделов Active Directory. Необходимость хранения того или иного атрибута в ГК Если его значе ние изменяется (с true на или то в течение следую щего цикла репликации он или включается в частичную или изымается из нее. Данный процесс порождает значительный трафик реп так как обновляется не только данный атрибут, но и все обладающие данным атрибутом. Партнером по репликации ГК могут выступать как обычные контрол леры так и другие серверы ГК. в сайте А находят ся два домена mycorp.ru и msk.mycorp.ru, а в сайте Б Ч corp.ru. Сначала будем что в каждом сайте Ч по одному сер веру ГК. Для ясности расположим ГК в сайте А на контроллере доме на mycorp.ru. Тогда полную реплику контекста mycorp.ru он будет получать от по репликации в домене mycorp.ru, частичную реплику msk.mycorp.ru Ч от одного из контроллеров домена corp.ru, с которым будет установлена связь репликации, а частичную реплику Ч с сервера форпоста в сайте Б. Репликаций Active Directory Глобальных каталогов Специально для этого будет установлена новая связь репликации, либо будет использована связь репликации схемы и конфигу рации. Многое в этом процессе зависит от того, является ли сервер форпост в сайте А выделенным. Если да, то скорее всего для реплика ции ГК будут задействованы связи репликации схемы и конфигура ции; нет Ч сервер ГК в сайте А будет назначен форпостом, и будет использована новая прямая связь. Теперь добавим в сайт А еще один сервер ГК. Столь незначительное изменение приведет к что одному из этих серверов ГК не пона добится создавать связь репликации с форпостом в сайте Б. Он мо жет получить всю нужную информацию от партнера, А вот тому уже придется действовать так, как описано выше. А что, если все контроллеры домена в лесу являются также и сервера ми ГК? для репликации будут задействованы связи, создан ные для репликации схемы и конфигурации. Таким образом, нагруз ка на КСС при этом снижается, но трафик репликации растет. Репликация критических событий Все изменения тиражируются между контроллерами доменов не сра зу, а на основе оповещений или по расписанию. По умолчанию пол ное время репликации сайта Ч около минут, а между сай тами определяется расписанием и числом сайтов, связанных с сайтом источником, и также составляет не менее минут. В то же время существуют события в Active информация о которых долж на тиражироваться сразу на все контроллеры домена. Перечень этих событий зависит от типа взаимодействующих контроллеров. Это может быть взаимодействие между контроллерами Windows 2000 и между контроллером Windows NT 4.0 и контроллером Windows 2000. 210 Active подход Критические события Windows 2000 2000 Windows 2000 <-> Windows NT 4. Репликация вновь вновь учетных ных учетных записей Изменение секрета LSA (особенно Изменение секрета LSA (особенно доверительной составляющей доверительной составляющей учетных записей компьютеров) записей компьютеров) Изменение состояния Изменение пароля доверительных отношений между доменами одного сайта оповещения о таких изменениях тиражируются между контроллерами, а вот что касается нескольких то тут все гораздо хуже. По умолчанию оповещения не тиражируются по связям. А это значит, что в худшем случае информация, например о новом пуле относительных адресов, дойдет до удаленно го контроллера домена не чем через что может при вести к объектов с одинаковыми ID. Настройка трансляции оповещений между сайтами Если такие задержки в распространении критических изменений между сайтами недопустимы, можно разрешить распространение оповещений между сайтами. Для этого нужно изменить значение ат options для того объекта связи между сайтами, тиражирование изменений по которому наиболее критично. Выполнить это позво ляют утилиты ADSIEdit или Скажем, если между двумя сайта ми су Репликация объект связи то отличительное имя это го объекта в Active Directory запишется как Transports, доме на>. Значение атрибута options устанавливается либо в 1 (если до этого оно не было установлено), либо определяется, исходя из поби товой операции ИЛИ. В результате данной модификации между сайтами будут передавать ся все оповещения о срочных и не очень изменениях в Active так, как это было бы внутри сайта. Замечу, что трансляция возможна только для связей по протоколу IP, но не по SMTP. Замечание Не рекомендуется активизировать измене ний по коммутируемым каналам, так как это приведет к неоправдан но завышенному времени связи. Книги, научные публикации