Βασικές έννοιες της Active Directory

Υπηρεσία Ενεργό αρχείο

Επεκτάσιμη και επεκτάσιμη υπηρεσία καταλόγου Ενεργός Κατάλογος (Active Directory)σας επιτρέπει να διαχειρίζεστε αποτελεσματικά τους πόρους του δικτύου.

Ενεργός Ο κατάλογος είναι μια ιεραρχικά οργανωμένη αποθήκη δεδομένων σχετικά με αντικείμενα δικτύου, παρέχοντας ένα βολικό μέσο για την εύρεση και χρήση αυτών των δεδομένων. Υπολογιστής που λειτουργεί ενεργόΚατάλογος, καλείται ελεγκτής τομέα . ΑΠΟ Ενεργό αρχείοεμπλέκονται σχεδόν όλα τα διοικητικά καθήκοντα.

Η τεχνολογία Active Directory βασίζεται σε πρότυπα Πρωτόκολλα Διαδικτύουκαι βοηθά στον ξεκάθαρο καθορισμό της δομής του δικτύου.

Active Directory και DNS

ΣΤΟ Ενεργός Διευθυντήςyχρησιμοποιείται το σύστημα ονομάτων τομέα.

ΤομέαΟνομα Το σύστημα , (DNS) είναι μια τυπική υπηρεσία Διαδικτύου που οργανώνει ομάδες υπολογιστών σε τομείς.Οι τομείς DNS έχουν μια ιεραρχική δομή που αποτελεί τη βάση του Διαδικτύου. διαφορετικά επίπεδαΑυτή η ιεραρχία προσδιορίζει υπολογιστές, τομείς οργανισμού και τομείς ανώτατου επιπέδου. Το DNS χρησιμεύει επίσης για την επίλυση ονομάτων κεντρικών υπολογιστών, για παράδειγμα z eta.webwork.com σε αριθμητικές διευθύνσεις IP, όπως 192.168.19.2. Μέσω του DNS, η ιεραρχία τομέα Active Directory μπορεί να εγγραφεί στο χώρο του Διαδικτύου ή να αφεθεί ανεξάρτητη και απομονωμένη από εξωτερική πρόσβαση.

Για πρόσβαση σε πόρους σε Ο τομέας χρησιμοποιεί το πλήρως πιστοποιημένο όνομα κεντρικού υπολογιστή, όπως zeta.webatwork.com. Εδώzκαιείναι το όνομα του μεμονωμένου υπολογιστή, το webwork είναι ο τομέας του οργανισμού και το com είναι ο τομέας ανώτατου επιπέδου. Οι τομείς ανώτατου επιπέδου αποτελούν τη βάση της ιεραρχίας DNS και ως εκ τούτου καλούνται τομείς ρίζας (root domains ). Είναι οργανωμένα γεωγραφικά, με ονόματα που βασίζονται σε κωδικούς χωρών δύο γραμμάτων (enγια τη Ρωσία), ανά τύπο οργανισμού (κύτταρογια εμπορικούς οργανισμούς) και κατόπιν ραντεβού (χιλιοστό της ίντσας για στρατιωτικούς οργανισμούς).

Τακτικοί τομείς όπως το microsoft.com, που ονομάζεται γονικός (γονικός τομέας ) επειδή αποτελούν τη βάση της οργανωτικής δομής. Οι γονικοί τομείς μπορούν να χωριστούν σε υποτομείς διαφορετικών τμημάτων ή απομακρυσμένων θυγατρικών. Για παράδειγμα, το πλήρες όνομα ενός υπολογιστή στο γραφείο της Microsoft στο Σιάτλ μπορεί να είναι jacob.seattle.microsoft.com , όπου ιacob- όνομα υπολογιστή, μικρόμιAltle - υποτομέας και το microsoft.com είναι ο γονικός τομέας. Ένα άλλο όνομα υποτομέα - θυγατρικό τομέα (παιδικό τομέα).

Συστατικά Ενεργός Ευρετήριο

Η υπηρεσία καταλόγου Active Directory ενοποιεί τη φυσική και τη λογική δομή για τα στοιχεία δικτύου. Οι λογικές δομές της υπηρεσίας καταλόγου Active Directory βοηθούν στην οργάνωση αντικειμένων καταλόγου και στη διαχείριση λογαριασμών δικτύου και κοινών χρήσεων. Η λογική δομή είναι τα ακόλουθα στοιχεία:

οργανωτική μονάδα (οργανωτική μονάδα) - μια υποομάδα υπολογιστών, που συνήθως αντικατοπτρίζει τη δομή της εταιρείας.

τομέα ( τομέα ) - μια ομάδα υπολογιστών που μοιράζονται μια κοινή βάση δεδομένων καταλόγου.

δέντρο τομέα (τομέα δέντρο) - ένας ή περισσότεροι τομείς που μοιράζονται έναν συνεχόμενο χώρο ονομάτων.

δάσος τομέα - ένα ή περισσότερα δέντρα που μοιράζονται πληροφορίες καταλόγου.

Τα φυσικά στοιχεία βοηθούν στο σχεδιασμό της πραγματικής δομής του δικτύου. Με βάση τις φυσικές δομές, σχηματίζονται σύνδεσμοι δικτύου και φυσικά όρια πόρων δικτύου. Η φυσική δομή περιλαμβάνει τα ακόλουθα στοιχεία:

υποδίκτυο ( υποδίκτυο) - ομάδα δικτύουμε δεδομένη περιοχή διευθύνσεις IPκαι μάσκα δικτύου?

ιστότοπος ( ιστοσελίδα) ένα ή περισσότερα υποδίκτυα. Ο ιστότοπος χρησιμοποιείται για τη ρύθμιση πρόσβασης καταλόγου και αναπαραγωγής.

Οργανωτικές μονάδες

Οι οργανωτικές μονάδες (OU) είναι υποομάδες εντός τομέων που συχνά αντικατοπτρίζουν τη λειτουργική δομή ενός οργανισμού. Οι PU είναι ένα είδος λογικών κοντέινερ που φιλοξενούν λογαριασμούς, κοινόχρηστα στοιχεία και άλλες PU. Για παράδειγμα, μπορείτε να δημιουργήσετε στον τομέα microsoftt. comτμήματα πόροι, ΤΟ, Εμπορία. Αυτό το σχήμα μπορεί στη συνέχεια να επεκταθεί για να συμπεριλάβει τμήματα παιδιών.

Επιτρέπεται η τοποθέτηση αντικειμένων στο OP μόνο από τον γονικό τομέα. Για παράδειγμα, οι RO από τον τομέα Seattle.microsoft.com περιέχουν μόνο αντικείμενα από αυτόν τον τομέα. Προσθήκη αντικειμένων απόΜy. ΜΤο icrosoft.com δεν μπορεί. Το OP είναι πολύ βολικό στο σχηματισμό ενός λειτουργικού ή επιχειρηματικές δομέςοργανώσεις.Δεν είναι όμως μόνο αυτός ο λόγος χρήσης τους.

Τα OP επιτρέπουν τον καθορισμό της πολιτικής ομάδας για ένα μικρό σύνολο πόρων σε έναν τομέα χωρίς να εφαρμόζεται σε ολόκληρο τον τομέα. Το OP δημιουργεί συμπαγείς και πιο διαχειρίσιμες αναπαραστάσεις αντικειμένων καταλόγου σε έναν τομέα, το οποίο βοηθά στη διαχείριση των πόρων πιο αποτελεσματικά.

Τα OP σάς επιτρέπουν να εκχωρείτε εξουσιοδότηση και να ελέγχετε την πρόσβαση διαχειριστή σε πόρους τομέα, γεγονός που βοηθά στον καθορισμό ορίων στις εξουσίες των διαχειριστών σε έναν τομέα. Είναι δυνατό να εκχωρήσετε δικαιώματα διαχειριστή στον χρήστη Α μόνο για ένα OU και ταυτόχρονα να δώσετε στον χρήστη Β δικαιώματα διαχειριστή για όλα τα OU στον τομέα.

Τομείς

Τομέα Η υπηρεσία καταλόγου Active Directory είναι μια ομάδα υπολογιστών που μοιράζονται μια κοινή βάση δεδομένων καταλόγου. Τα ονόματα τομέα Active Directory πρέπει να είναι μοναδικά. Για παράδειγμα, δεν μπορούν να υπάρχουν δύο τομείς Μicrosoft.com, αλλά μπορεί να υπάρχει γονικός τομέας microsoft.com με θυγατρικούς τομείς seattle.microsoft.com και Μy.microsoft.com. Εάν ο τομέας είναι μέρος ενός κλειστού δικτύου, το όνομα που δίνεται στον νέο τομέα δεν πρέπει να έρχεται σε διένεξη με κανένα από τα υπάρχοντα ονόματα τομέα σε αυτό το δίκτυο. Εάν ο τομέας είναι μέρος του παγκόσμιου Διαδικτύου, τότε το όνομά του δεν πρέπει να έρχεται σε αντίθεση με κανένα από τα υπάρχοντα ονόματα τομέα στο Διαδίκτυο. Για να διασφαλιστεί ότι τα ονόματα είναι μοναδικά στο Διαδίκτυο, το γονικό όνομα τομέα πρέπει να καταχωρηθεί μέσω οποιουδήποτε εξουσιοδοτημένου καταχωρητή.

Κάθε τομέας έχει τις δικές του πολιτικές ασφαλείας και σχέση εμπιστοσύνηςμε άλλους τομείς. Συχνά, οι τομείς διανέμονται σε πολλές φυσικές τοποθεσίες, δηλαδή αποτελούνται από πολλούς ιστότοπους και οι ιστότοποι εκτείνονται σε πολλά υποδίκτυα. Η βάση δεδομένων καταλόγου τομέα αποθηκεύει αντικείμενα που ορίζουν λογαριασμούς για χρήστες, ομάδες και υπολογιστές, καθώς και κοινόχρηστους πόρους, όπως εκτυπωτές και φακέλους.

Οι λειτουργίες του τομέα περιορίζονται και ρυθμίζονται από τον τρόπο λειτουργίας του. Υπάρχουν τέσσερις λειτουργικοί τρόποι τομέων:

μικτός λειτουργία windows 2000 (μικτή λειτουργία) - υποστηρίζει ελεγκτές τομέα με Windows NT 4.0, Wi ndows 2000 και Windows υπηρέτης 2003;

Εγγενής λειτουργία Windows 2000 (εγγενής λειτουργία) - υποστηρίζει ελεγκτές τομέα με Windows 2000 και Windows υπηρέτης 2003;

ενδιάμεση λειτουργία Windows υπηρέτης 2003 ( προσωρινός τρόπος) - υποστηρίζει τους ελεγκτές τομέα που εκτελούνται Windows NT 4.0 και Windows υπηρέτης 2003;

τρόπος Windows Server 2003 - Υποστηρίζει ελεγκτές τομέα που εκτελούν Windows Server 2003.

Δάση και δέντρα

Κάθε τομέας Ενεργός Ευρετήριοέχει DNS- πληκτρολογήστε όνομα microsoft.com. Οι τομείς που μοιράζονται δεδομένα καταλόγου σχηματίζουν ένα δάσος. Τα ονόματα δασικών τομέων στην ιεραρχία ονομάτων DNS είναι μη συνεχόμενες(ασυνεχής) ή σχετίζεται με(συνεχής).

Οι τομείς που έχουν συνεχή δομή ονόματος ονομάζονται δέντρο τομέα. Εάν οι δασικοί τομείς έχουν μη συνεχόμενα ονόματα DNS, σχηματίζουν ξεχωριστά δέντρα τομέων στο δάσος. Μπορείτε να συμπεριλάβετε ένα ή περισσότερα δέντρα σε ένα δάσος. Η κονσόλα προορίζεται για πρόσβαση σε δομές τομέα.Ενεργός Ευρετήριο- τομείς και εμπιστοσύνη (ΕνεργόςΕυρετήριο Τομείςκαι καταπιστεύματα).

Οι λειτουργίες των δασών περιορίζονται και ρυθμίζονται από το λειτουργικό καθεστώς του δάσους. Υπάρχουν τρεις τέτοιοι τρόποι λειτουργίας:

Windows 2000 - Υποστηρίζει ελεγκτές τομέα με Windows NT 4.0, Windows 2000 και Windows υπηρέτης 2003;

ενδιάμεσος ( προσωρινός) Windows υπηρέτης 2003 - υποστηρίζει ελεγκτές τομέα με Windows NT 4.0 και Windows Server 2003.

Windows Server 2003 - Υποστηρίζει ελεγκτές τομέα που εκτελούν Windows Server 2003.

Οι πιο προηγμένες δυνατότητες του Active Directory είναι διαθέσιμες στη λειτουργία Windows Server 2003. Εάν όλοι οι τομείς στο σύμπλεγμα δομών εκτελούνται σε αυτήν τη λειτουργία, μπορείτε να απολαύσετε βελτιωμένη αναπαραγωγή καθολικού καταλόγου και πιο αποτελεσματική αναπαραγωγή δεδομένων Active Directory. Μπορείτε επίσης να απενεργοποιήσετε τις κλάσεις και τα χαρακτηριστικά σχήματος, να χρησιμοποιήσετε δυναμικές βοηθητικές τάξεις, να μετονομάσετε τομείς και να δημιουργήσετε μονόδρομες, αμφίδρομες και μεταβατικές αξιοπιστίες στο δάσος.

Ιστότοποι και υποδίκτυα

Δικτυακός τόπος είναι μια ομάδα υπολογιστών σε ένα ή περισσότερα υποδίκτυα IP που χρησιμοποιούνται για τον σχεδιασμό της φυσικής δομής ενός δικτύου. Ο σχεδιασμός τοποθεσίας πραγματοποιείται ανεξάρτητα από τη λογική δομή του τομέα. Η υπηρεσία καταλόγου Active Directory σάς επιτρέπει να δημιουργείτε πολλούς ιστότοπους σε έναν μόνο τομέα ή έναν ιστότοπο που εκτείνεται σε πολλούς τομείς.

Σε αντίθεση με τους ιστότοπους που μπορούν να εκτείνονται σε πολλές περιοχές διευθύνσεων IP, τα υποδίκτυα έχουν μια καθορισμένη περιοχή διεύθυνσης IP και μάσκα δικτύου. Τα ονόματα υποδικτύων καθορίζονται στη μορφή net/bitmask, για παράδειγμα 192.168.19.0/24 όπου η διεύθυνση δικτύου 192.168.19.0 και η μάσκα δικτύου 255.255.255.0 συνδυάζονται για να σχηματίσουν το όνομα υποδικτύου 192.168.19.0/24.

Οι υπολογιστές εκχωρούνται σε τοποθεσίες με βάση τη θέση τους σε ένα υποδίκτυο ή ένα σύνολο υποδικτύων. Εάν οι υπολογιστές σε υποδίκτυα είναι σε θέση να επικοινωνούν με αρκετά υψηλές ταχύτητες, καλούνται καλά συνδεδεμένο (καλά συνδεδεμένο).

Στην ιδανική περίπτωση, οι ιστότοποι αποτελούνται από καλά συνδεδεμένα υποδίκτυα και υπολογιστές. Εάν η επισκεψιμότητα μεταξύ υποδικτύων και υπολογιστών είναι χαμηλή, ίσως χρειαστεί να δημιουργήσετε πολλούς ιστότοπους. Η καλή επικοινωνία δίνει στους ιστότοπους ορισμένα πλεονεκτήματα.

Όταν ένας πελάτης συμμετέχει σε έναν τομέα, η διαδικασία ελέγχου ταυτότητας αναζητά πρώτα τον ελεγκτή τοπικού τομέα στον ιστότοπο του πελάτη, δηλαδή οι τοπικοί ελεγκτές ερωτώνται πρώτα εάν είναι δυνατόν, γεγονός που περιορίζει την κυκλοφορία δικτύου και επιταχύνει τον έλεγχο ταυτότητας.

Οι πληροφορίες καταλόγου αναπαράγονται πιο συχνά μέσα τοποθεσίες παρά μεταξύ τοποθεσίες. Αυτό μειώνει την κυκλοφορία δικτύου που προκαλείται από την αναπαραγωγή και διασφαλίζει ότι οι ελεγκτές τοπικού τομέα λαμβάνουν ενημερωμένες πληροφορίες γρήγορα.

Μπορείτε να προσαρμόσετε τη σειρά με την οποία τα δεδομένα καταλόγου αντιγράφονται χρησιμοποιώντας συνδέσμους ιστότοπου (σύνδεσμοι ιστότοπου). Για παράδειγμα, ορίστε διακομιστής προγεφύρωσης (γέφυρα ) για αναπαραγωγή μεταξύ τοποθεσιών.

Το μεγαλύτερο μέρος του φορτίου από την αναπαραγωγή μεταξύ των τοποθεσιών θα πέσει σε αυτόν τον εξειδικευμένο διακομιστή και όχι σε κανέναν διαθέσιμος διακομιστήςιστοσελίδα. Τοποθεσίεςκαι τα υποδίκτυα έχουν ρυθμιστεί στην κονσόλα Ενεργό αρχείο-τοποθεσίες και υπηρεσίες(Ιστότοποι και υπηρεσίες Active Directory).

Εργασία με τομείς Ενεργό αρχείο

Σε σύνδεση Windows υπηρέτηςυπηρεσία 2003 ΕνεργόςΕυρετήριορυθμιστεί ταυτόχροναDNS. Ωστόσο, οι τομείς Active Directory και οι τομείς DNS έχουν διαφορετικούς σκοπούς. Οι τομείς Active Directory βοηθούν στη διαχείριση λογαριασμών, πόρων και ασφάλειας.

Η ιεραρχία τομέα DNS προορίζεται κυρίως για ανάλυση ονομάτων.

Οι υπολογιστές που εκτελούν Windows XP Professional και Windows 2000 μπορούν να εκμεταλλευτούν πλήρως την υπηρεσία καταλόγου Active Directory. Λειτουργούν ως πελάτες Active Directory στο δίκτυο και έχουν πρόσβαση σε μεταβατικά καταπιστεύματα που υπάρχουν σε ένα δέντρο τομέα ή σε ένα σύμπλεγμα δομών. Αυτές οι σχέσεις επιτρέπουν στους εξουσιοδοτημένους χρήστες να έχουν πρόσβαση σε πόρους σε οποιονδήποτε τομέα στο δάσος.

Σύστημα Ο Windows Server 2003 λειτουργεί ως ελεγκτής τομέα ή ως διακομιστής μέλους. Οι διακομιστές μελών γίνονται ελεγκτές όταν εγκαθίσταται η υπηρεσία καταλόγου Active Directory. Οι ελεγκτές υποβιβάζονται σε διακομιστές μελών μετά την κατάργηση της υπηρεσίας καταλόγου Active Directory.

Εκτελούνται και οι δύο διαδικασίεςΟδηγός εγκατάστασης Active Directory. Ένας τομέας μπορεί να έχει πολλούς ελεγκτές. Αναπαράγουν δεδομένα καταλόγου μεταξύ τους χρησιμοποιώντας ένα μοντέλο αναπαραγωγής πολλαπλών κυρίων που επιτρέπει σε κάθε ελεγκτή να επεξεργάζεται αλλαγές καταλόγου και στη συνέχεια να τις διαδίδει σε άλλους ελεγκτές. Λόγω της δομής multi-master, όλοι οι ελεγκτές έχουν την ίδια ευθύνη από προεπιλογή. Ωστόσο, μπορείτε να δώσετε προτεραιότητα σε ορισμένους ελεγκτές τομέα έναντι άλλων σε ορισμένες εργασίες, όπως η δημιουργία ενός διακομιστή προγεφύρωσης που έχει προτεραιότητα κατά την αναπαραγωγή δεδομένων καταλόγου σε άλλες τοποθεσίες.

Επιπλέον, ορισμένες εργασίες εκτελούνται καλύτερα σε έναν αποκλειστικό διακομιστή. Καλείται ένας διακομιστής που χειρίζεται έναν συγκεκριμένο τύπο εργασίας πλοίαρχος των επιχειρήσεων (κύριος λειτουργιών).

Όλοι οι υπολογιστές Windows 2000, Windows XP Professional και Windows Server 2003 που είναι συνδεδεμένοι σε έναν τομέα έχουν λογαριασμούς που έχουν δημιουργηθεί και αποθηκεύονται, όπως και άλλοι πόροι, ως αντικείμενα της υπηρεσίας καταλόγου Active Directory. Οι λογαριασμοί υπολογιστών χρησιμοποιούνται για τον έλεγχο της πρόσβασης στο δίκτυο και στους πόρους του. Προτού ένας υπολογιστής αποκτήσει πρόσβαση σε έναν τομέα χρησιμοποιώντας τον λογαριασμό του, πρέπει να περάσει από μια διαδικασία ελέγχου ταυτότητας.

Δομή καταλόγου

Τα δεδομένα καταλόγου παρέχονται σε χρήστες και υπολογιστές μέσω αποθήκευση δεδομένων (αποθήκες δεδομένων) και παγκόσμιους καταλόγους (παγκόσμιακαταλόγους). Αν και τα περισσότερα από τα χαρακτηριστικάΕνεργόςΕυρετήριοεπηρεάζουν την αποθήκη δεδομένων, οι παγκόσμιοι κατάλογοι (GC) είναι εξίσου σημαντικοί επειδή χρησιμοποιούνται για τη σύνδεση και την αναζήτηση πληροφοριών. Εάν το GC δεν είναι διαθέσιμο, οι κανονικοί χρήστες δεν θα μπορούν να συνδεθούν στον τομέα.Ο μόνος τρόπος για να παρακάμψετε αυτήν την κατάσταση είναι να αποθηκεύσετε τις συνδρομές στην κρυφή μνήμη τοπικά. καθολικές ομάδες.

Η πρόσβαση και η διανομή των δεδομένων Active Directory παρέχονται με μέσα πρωτόκολλα πρόσβασης καταλόγου (Ευρετήριο πρόσβασηπρωτόκολλα) και αντιγραφή (αντιγραφή).

Απαιτείται αναπαραγωγή για τη διανομή ενημερωμένων δεδομένων στους ελεγκτές. Η κύρια μέθοδος διανομής ενημέρωσης είναι η πολλαπλή αναπαραγωγή, αλλά ορισμένες αλλαγές αντιμετωπίζονται μόνο από εξειδικευμένους ελεγκτές - πλοίαρχοι επιχειρήσεων (κύριοι επιχειρήσεων ).

Ο τρόπος με τον οποίο εκτελείται η αναπαραγωγή multimaster στον Windows Server 2003 άλλαξε επίσης με την εισαγωγή του ενότητες καταλόγου εφαρμογές (εφαρμογήΕυρετήριοχωρίσματα). Μέσω αυτών, οι διαχειριστές συστήματος μπορούν να δημιουργήσουν κατατμήσεις αναπαραγωγής στο σύμπλεγμα δομών τομέα, οι οποίες είναι λογικές δομές που χρησιμοποιούνται για τη διαχείριση της αναπαραγωγής μέσα στο σύμπλεγμα δομών τομέα. Για παράδειγμα, μπορείτε να δημιουργήσετε ένα διαμέρισμα που θα χειρίζεται την αναπαραγωγή των πληροφοριών DNS σε έναν τομέα. Άλλα συστήματα στον τομέα δεν επιτρέπεται να αναπαράγουν πληροφορίες DNS.

Τα διαμερίσματα καταλόγου εφαρμογών μπορεί να είναι θυγατρική ενός τομέα, θυγατρική ενός άλλου διαμερίσματος εφαρμογής ή ένα νέο δέντρο στο σύμπλεγμα δομών τομέα. Τα αντίγραφα διαμερισμάτων μπορούν να φιλοξενηθούν σε οποιονδήποτε ελεγκτή τομέα Active Directory, συμπεριλαμβανομένων των καθολικών καταλόγων. Αν και τα διαμερίσματα καταλόγου εφαρμογών είναι χρήσιμα σε μεγάλους τομείς και δάση, αυξάνουν τα έξοδα σχεδιασμού, διαχείρισης και συντήρησης.

Αποθήκευση δεδομένων

Το αποθετήριο περιέχει πληροφορίες σχετικά με τα πιο σημαντικά αντικείμεναυπηρεσίες καταλόγου Active Directory - λογαριασμοί, κοινόχρηστα στοιχεία, OP και πολιτικές ομάδας. Μερικές φορές η αποθήκη δεδομένων καλείται απλώς κατάλογος (Ευρετήριο ). Στον ελεγκτή τομέα, ο κατάλογος αποθηκεύεται στο αρχείο NTDS.DIT, η θέση του οποίου προσδιορίζεται κατά την εγκατάσταση του Active Directory (πρέπει να είναι μονάδα NTFS). Ορισμένα δεδομένα καταλόγου μπορούν να αποθηκευτούν χωριστά από την κύρια αποθήκευση, για παράδειγμα, πολιτικές ομάδας, σενάρια και άλλες πληροφορίες που έχουν καταγραφεί στο κοινόχρηστο σύστημα SYSVOL.

Η κοινή χρήση πληροφοριών καταλόγου ονομάζεται δημοσίευση (δημοσιεύω). Για παράδειγμα, όταν ανοίγει ένας εκτυπωτής για χρήση στο δίκτυο, δημοσιεύεται. δημοσιευμένες πληροφορίες για κοινόχρηστο φάκελοκαι ούτω καθεξής. Οι ελεγκτές τομέα αντιγράφουν τις περισσότερες αλλαγές στον χώρο αποθήκευσης με τρόπο πολλαπλών κυρίων. Ο διαχειριστής ενός μικρού ή μεσαίου μεγέθους οργανισμού σπάνια διαχειρίζεται την αναπαραγωγή αποθήκευσης επειδή είναι αυτόματη, αλλά μπορεί να ρυθμιστεί σύμφωνα με τις ιδιαιτερότητες της αρχιτεκτονικής δικτύου.

Δεν αναπαράγονται όλα τα δεδομένα καταλόγου, αλλά μόνο:

Δεδομένα τομέα - πληροφορίες σχετικά με αντικείμενα στον τομέα, συμπεριλαμβανομένων αντικειμένων λογαριασμών, κοινών χρήσεων, πολιτικών OP και ομάδων.

Δεδομένα διαμόρφωσης - πληροφορίες σχετικά με την τοπολογία του καταλόγου: μια λίστα με όλους τους τομείς, τα δέντρα και τα δάση, καθώς και τη θέση των ελεγκτών και των διακομιστών του καθολικού.

Δεδομένα σχήματος - πληροφορίες για όλα τα αντικείμενα και τους τύπους δεδομένων που μπορούν να αποθηκευτούν στον κατάλογο. πρότυπο σχήμαΟ Windows Server 2003 περιγράφει αντικείμενα λογαριασμού, κοινόχρηστα αντικείμενα και πολλά άλλα και μπορεί να επεκταθεί ορίζοντας νέα αντικείμενα και χαρακτηριστικά ή προσθέτοντας χαρακτηριστικά σε υπάρχοντα αντικείμενα.

Παγκόσμιος Κατάλογος

Εάν υπάρχει τοπική προσωρινή αποθήκευση της ιδιότητας μέλους Οι καθολικές ομάδες δεν εκτελούνται, η είσοδος στο δίκτυο βασίζεται σε πληροφορίες μέλους καθολική ομάδαπαρέχεται από το Γ.Σ.

Παρέχει επίσης αναζήτηση καταλόγου σε όλους τους τομείς στο δάσος. Ελεγκτής, ηθοποιίαΟ διακομιστής GC, αποθηκεύει ένα πλήρες αντίγραφο όλων των αντικειμένων καταλόγου στον τομέα του και ένα μερικό αντίγραφο αντικειμένων στους υπόλοιπους τομείς δασικών δομών.

Απαιτούνται μόνο ορισμένες ιδιότητες αντικειμένου για σύνδεση και αναζήτηση, επομένως μπορούν να χρησιμοποιηθούν μερικά αντίγραφα. Για να σχηματιστεί ένα μερικό αντίγραφο, η αναπαραγωγή πρέπει να μεταφέρει λιγότερα δεδομένα, γεγονός που μειώνει την κίνηση του δικτύου.

Από προεπιλογή, ο πρώτος ελεγκτής τομέα γίνεται ο διακομιστής GC. Επομένως, εάν υπάρχει μόνο ένας ελεγκτής στον τομέα, τότε ο διακομιστής GC και ο ελεγκτής τομέα είναι ο ίδιος διακομιστής. Μπορείτε να τοποθετήσετε το GC σε διαφορετικό ελεγκτή για να μειώσετε τον χρόνο απόκρισης σύνδεσης και να επιταχύνετε τις αναζητήσεις. Συνιστάται να δημιουργήσετε ένα GC σε κάθε τοποθεσία τομέα.

Υπάρχουν διάφοροι τρόποι επίλυσης αυτού του προβλήματος. Φυσικά, μπορείτε να δημιουργήσετε έναν διακομιστή καθολικού σε έναν από τους ελεγκτές τομέα στο απομακρυσμένο γραφείο. Το μειονέκτημα αυτής της μεθόδου είναι η αύξηση του φόρτου του διακομιστή GC, η οποία μπορεί να απαιτεί πρόσθετους πόρους και προσεκτικό σχεδιασμό του χρόνου λειτουργίας του διακομιστή.

Ένας άλλος τρόπος επίλυσης του προβλήματος είναι η προσωρινή αποθήκευση των καθολικών συνδρομών ομάδων τοπικά. Ωστόσο, οποιοσδήποτε ελεγκτής τομέα μπορεί να εξυπηρετήσει τοπικά αιτήματα σύνδεσης χωρίς να επικοινωνήσει με τον διακομιστή του καθολικού. Αυτό επιταχύνει τη διαδικασία σύνδεσης και διευκολύνει τα πράγματα σε περίπτωση αποτυχίας του διακομιστή G/L. Μειώνει επίσης την κυκλοφορία αναπαραγωγής.

Αντί να ανανεώνετε περιοδικά ολόκληρο το GC σε όλο το δίκτυο, αρκεί να ενημερώνετε τις πληροφορίες στη μνήμη cache σχετικά με τη συμμετοχή στην καθολική ομάδα. Από προεπιλογή, η ανανέωση πραγματοποιείται κάθε οκτώ ώρες σε κάθε ελεγκτή τομέα που χρησιμοποιεί τοπική προσωρινή αποθήκευση της καθολικής ιδιότητας μέλους ομάδας.

Συνδρομή σε καθολική ομάδα ξεχωριστά για κάθε τοποθεσία. Θυμηθείτε ότι ένας ιστότοπος είναι μια φυσική δομή που αποτελείται από ένα ή περισσότερα υποδίκτυα που έχουν ένα μεμονωμένο σύνολο διευθύνσεων IP και μια μάσκα δικτύου. Ελεγκτές τομέα WindowsΟ διακομιστής 2003 και το GC στον οποίο αναφέρονται πρέπει να βρίσκονται στην ίδια τοποθεσία. Εάν υπάρχουν πολλοί ιστότοποι, θα πρέπει να ρυθμίσετε την τοπική προσωρινή αποθήκευση σε καθέναν από αυτούς. Επιπλέον, οι χρήστες που συνδέονται στην τοποθεσία πρέπει να αποτελούν μέρος ενός τομέα Windows Server 2003 που εκτελείται σε λειτουργία δασικής λειτουργίας Windows Server 2003.

Αναπαραγωγή στην υπηρεσία καταλόγου Active Directory

Ο κατάλογος αποθηκεύει τρεις τύπους πληροφοριών: δεδομένα τομέα, δεδομένα σχήματος και δεδομένα διαμόρφωσης. Τα δεδομένα τομέα αντιγράφονται σε όλους τους ελεγκτές τομέα. Όλοι οι ελεγκτές τομέα είναι ίσοι, δηλ. οποιεσδήποτε αλλαγές κάνετε από οποιονδήποτε ελεγκτή τομέα θα αντιγραφούν σε όλους τους άλλους ελεγκτές τομέα. Επιπλέον, όλα τα μεμονωμένα αντικείμενα τομέα και ορισμένες ιδιότητες των αντικειμένων του δάσους αντιγράφονται στο GC. Αυτό σημαίνει ότι ο ελεγκτής τομέα αποθηκεύει και αναπαράγει το σχήμα για το δέντρο ή το σύμπλεγμα δομών, τις πληροφορίες διαμόρφωσης για όλους τους τομείς στο δέντρο ή το σύμπλεγμα δομών και όλα τα αντικείμενα καταλόγου και τις ιδιότητες για τον δικό του τομέα.

Ο ελεγκτής τομέα που φιλοξενεί το GL περιέχει και αναπαράγει τις πληροφορίες σχήματος για το σύμπλεγμα δομών, τις πληροφορίες διαμόρφωσης για όλους τους τομείς στο σύμπλεγμα δομών και ένα περιορισμένο σύνολο ιδιοτήτων για όλα τα αντικείμενα καταλόγου στο δάσος (αναπαράγεται μόνο μεταξύ διακομιστών GC) και όλα τα αντικείμενα καταλόγου και ιδιότητες για τον τομέα σας.

Για να κατανοήσετε την ουσία της αναπαραγωγής, εξετάστε το ακόλουθο σενάριο για τη δημιουργία ενός νέου δικτύου.

1. Στον τομέα Και ο πρώτος ελεγκτής είναι εγκατεστημένος. Αυτός ο διακομιστής είναι ο μόνος ελεγκτής τομέα. Είναι επίσης ο διακομιστής GC. Η αναπαραγωγή δεν συμβαίνει σε ένα τέτοιο δίκτυο, αφού δεν υπάρχουν άλλοι ελεγκτές.

2. Στον τομέα Εγκαθίσταται ένας δεύτερος ελεγκτής και ξεκινά η αναπαραγωγή. Μπορείτε να ορίσετε έναν ελεγκτή ως κύρια υποδομή και τον άλλο ως διακομιστή GC. Η κύρια υποδομή παρακολουθεί και ζητά ενημερώσεις GL για αλλαγμένα αντικείμενα. Και οι δύο αυτοί ελεγκτές αναπαράγουν επίσης δεδομένα σχήματος και διαμόρφωσης.

3. Στον τομέα Και ένας τρίτος ελεγκτής είναι εγκατεστημένος, στον οποίο δεν υπάρχει GC. Η κύρια υποδομή παρακολουθεί για ενημερώσεις GC, τις ζητά για αλλαγμένα αντικείμενα και, στη συνέχεια, αναπαράγει τις αλλαγές σε έναν τρίτο ελεγκτή τομέα. Και οι τρεις ελεγκτές αναπαράγουν επίσης δεδομένα σχήματος και διαμόρφωσης.

4. Δημιουργείται ένας νέος τομέας B, προστίθενται ελεγκτές σε αυτό. Οι διακομιστές GC στον τομέα Α και στον τομέα Β αντιγράφουν όλα τα δεδομένα σχήματος και διαμόρφωσης, καθώς και ένα υποσύνολο δεδομένων τομέα από κάθε τομέα. Η αναπαραγωγή στον τομέα Α συνεχίζεται όπως περιγράφεται παραπάνω, ενώ η αναπαραγωγή ξεκινά εντός του τομέα Β.

ΕνεργόςΕυρετήριοκαι LDAP

Το Lightweight Directory Access Protocol (LDAP) είναι ένα τυπικό πρωτόκολλο για συνδέσεις Διαδικτύου μέσω δικτύων TCP/IP. Το LDAP έχει σχεδιαστεί ειδικά για πρόσβαση σε υπηρεσίες καταλόγου με ελάχιστη επιβάρυνση. Το LDAP ορίζει επίσης τις λειτουργίες που χρησιμοποιούνται για την αναζήτηση και την τροποποίηση πληροφοριών καταλόγου.

Πελάτες Η υπηρεσία καταλόγου Active Directory χρησιμοποιεί το LDAP για να επικοινωνεί με υπολογιστές που εκτελούν την υπηρεσία καταλόγου Active Directory κάθε φορά που συνδέονται στο δίκτυο ή αναζητούν κοινόχρηστα στοιχεία. Το LDAP απλοποιεί τη συσχέτιση καταλόγου και τη μετεγκατάσταση στην υπηρεσία καταλόγου Active Directory από άλλες υπηρεσίες καταλόγου. Για να βελτιώσετε τη συμβατότητα, μπορείτε να χρησιμοποιήσετε το Active Directory Service Interfaces (ΕνεργόςΕυρετήριο Υπηρεσία- Διεπαφές, ADSI).

Κύριοι ρόλοι λειτουργιών

Η κύρια μονάδα λειτουργιών εκτελεί εργασίες που δεν είναι βολικό να εκτελεστούν σε ένα μοντέλο αναπαραγωγής πολλαπλών βασικών στοιχείων. Υπάρχουν πέντε κύριοι ρόλοι λειτουργιών που μπορούν να εκχωρηθούν σε έναν ή περισσότερους ελεγκτές τομέα. Ορισμένοι ρόλοι πρέπει να είναι μοναδικοί σε επίπεδο δασικού δάσους, για άλλους το επίπεδο τομέα είναι αρκετό. Οι ακόλουθοι ρόλοι πρέπει να υπάρχουν σε κάθε δάσος Active Directory:

Master Schema) - διαχειρίζεται ενημερώσεις και αλλαγές στο σχήμα καταλόγου. Η ενημέρωση του σχήματος καταλόγου απαιτεί πρόσβαση στο κύριο σχήμα. Για να καθορίσετε ποιος διακομιστής Δοσμένος χρόνοςείναι ο κύριος του σχήματος στον τομέα, απλώς ανοίξτε το παράθυρο γραμμή εντολώνκαι πληκτρολογήστε: dsquery server -έχειφάsmo σχήμα .

Κύριο όνομα τομέα - διαχειρίζεται την προσθήκη και αφαίρεση τομέων στο δάσος. Για να προσθέσετε ή να αφαιρέσετε έναν τομέα, απαιτείται πρόσβαση στην κύρια ονομασία τομέα. Για να προσδιορίσετε ποιος διακομιστής είναι επί του παρόντος το κύριο όνομα τομέα, απλώς πληκτρολογήστε ένα παράθυρο γραμμής εντολών: διακομιστής dsquery -έχειφάsmo όνομα .

Αυτοί οι ρόλοι, που είναι κοινοί στο δάσος συνολικά, πρέπει να είναι μοναδικοί μέσα σε αυτό.

Οι ακόλουθοι ρόλοι είναι υποχρεωτικοί σε κάθε τομέα της υπηρεσίας καταλόγου Active Directory.

Σχετικό κύριο αναγνωριστικό (σχετικό κύριο αναγνωριστικό) - εκχωρεί σχετικά αναγνωριστικά σε ελεγκτές τομέα. Κάθε φορά που δημιουργείτε ένα αντικείμενο χρήστη, ομάδα ή υπολογιστή, οι ελεγκτές εκχωρούν ένα μοναδικό SID σε ένα αντικείμενο, το οποίο αποτελείται από ένα SID τομέα και ένα μοναδικό αναγνωριστικό που έχει εκχωρηθεί από τον κύριο των σχετικών αναγνωριστικών. Για να προσδιορίσετε ποιος διακομιστής είναι επί του παρόντος ο κύριος των σχετικών αναγνωριστικών στον τομέα, αρκεί να εισαγάγετε στο παράθυρο της γραμμής εντολών: dsqueryυπηρέτης-έχειφάsmoαπαλλάσσω.

Εξομοιωτής PDC (εξομοιωτής PDC) - Σε λειτουργία μικτού τομέα ή σταδιακής λειτουργίας, λειτουργεί ως κύριος ελεγκτής τομέα των Windows NT. Ελέγχει τα στοιχεία σύνδεσης των Windows NT, χειρίζεται αλλαγές κωδικών πρόσβασης και αναπαράγει ενημερώσεις σε P DC. Για να προσδιορίσετε ποιος διακομιστής είναι επί του παρόντος ο εξομοιωτής PDC στον τομέα, αρκεί να εισαγάγετε στο παράθυρο της γραμμής εντολών dsquery υπηρέτης - χασφσμο pdc.

Υποδομή υποδοχής (infrastructure κύριος ) - ενημερώνει συνδέσμους αντικειμένων, συγκρίνοντας τα δεδομένα του καταλόγου του με τα δεδομένα του γενικού καθολικού. Εάν τα δεδομένα είναι παλιά, ζητά από το GC ενημερώσεις και τις αναπαράγει στους υπόλοιπους ελεγκτές τομέα. Για να προσδιορίσετε ποιος διακομιστής είναι επί του παρόντος η κύρια υποδομή στον τομέα, αρκεί στο παράθυρο της γραμμής εντολών και εισάγετε dsqueryδιακομιστής -hasfsmo infr .

Αυτοί οι ρόλοι, οι οποίοι είναι κοινοί σε ολόκληρο τον τομέα, πρέπει να είναι μοναδικοί εντός αυτού. Με άλλα λόγια, μπορείτε να διαμορφώσετε μόνο ένα σχετικό κύριο αναγνωριστικό, έναν εξομοιωτή PDC και έναν κύριο υποδομής ανά τομέα.

Οι κύριοι ρόλοι λειτουργιών συνήθως εκχωρούνται αυτόματα, αλλά μπορούν να ανατεθούν εκ νέου. Όταν εγκαθίσταται ένα νέο δίκτυο, όλοι οι κύριοι ρόλοι λειτουργιών εκχωρούνται στον πρώτο ελεγκτή τομέα στον πρώτο τομέα. Εάν αργότερα δημιουργηθεί ένας νέος θυγατρικός τομέας ή ένας ριζικός τομέας σε ένα νέο δέντρο, οι κύριοι ρόλοι λειτουργιών εκχωρούνται επίσης αυτόματα στον πρώτο ελεγκτή τομέα. Στο νέο σύμπλεγμα δομών τομέα, στον ελεγκτή τομέα εκχωρούνται όλοι οι κύριοι ρόλοι λειτουργιών. Εάν δημιουργηθεί ένας νέος τομέας στο ίδιο δάσος, στον ελεγκτή του ανατίθενται οι ρόλοι του κύριου των σχετικών αναγνωριστικών, του εξομοιωτή P.ρεΓ και πλοίαρχος υποδομής. Οι κύριοι ρόλοι του συστήματος και της ονομασίας τομέα παραμένουν στον πρώτο τομέα στο δάσος.

Εάν υπάρχει μόνο ένας ελεγκτής στον τομέα, εκτελεί όλους τους ρόλους των κύριων λειτουργιών. Εάν υπάρχει μόνο μία τοποθεσία στο δίκτυο, η προεπιλεγμένη θέση των κύριων λειτουργιών είναι η βέλτιστη. Ωστόσο, καθώς προστίθενται ελεγκτές τομέα και τομείς, μερικές φορές είναι απαραίτητο να μετακινηθούν οι κύριοι ρόλοι λειτουργιών σε άλλους ελεγκτές τομέα.

Εάν υπάρχουν δύο ή περισσότεροι ελεγκτές τομέα σε έναν τομέα, συνιστούμε να διαμορφώσετε δύο ελεγκτές τομέα ώστε να λειτουργούν ως κύριοι λειτουργιών. Για παράδειγμα, ορίστε έναν ελεγκτή τομέα ως κύρια κύρια λειτουργία και έναν άλλο ως αντίγραφο ασφαλείας, το οποίο θα χρειαστεί όταν ο κύριος αποτύχει.

Διαχείριση Ενεργό αρχείο

ντοΧρησιμοποιώντας την υπηρεσία Active Directory, δημιουργούνται λογαριασμοί υπολογιστή, συνδέονται με τον τομέα και γίνεται διαχείριση υπολογιστών, ελεγκτών τομέα και οργανωτικών μονάδων (OU).

Παρέχονται εργαλεία διαχείρισης και υποστήριξης για τη διαχείριση του Active Directory. Τα εργαλεία που αναφέρονται παρακάτω υλοποιούνται ως συμπληρωματικά προγράμματα κονσόλας MMC (Microsoft διαχείρισηΚονσόλα):

Χρήστες και υπολογιστές Active Directory (Active Directory Χρήστες και Υπολογιστές) σας επιτρέπει να διαχειρίζεστε χρήστες, ομάδες, υπολογιστές και οργανωτικές μονάδες (OU).

Ενεργός Ευρετήριο- τομείς και εμπιστοσύνη ( Ενεργός Ευρετήριο Τομείςκαι Εμπιστεύματα ) χρησιμεύει για εργασία με τομείς, δέντρα τομέα και δάση τομέων.

Ενεργό αρχείο- τοποθεσίες καιΥπηρεσίες (Ιστότοποι και υπηρεσίες Active Directory) σας επιτρέπει να διαχειρίζεστε τοποθεσίες και υποδίκτυα;

Επακόλουθο πολιτική (Προκύπτον σύνολο πολιτικής χρησιμοποιείται για την προβολή της τρέχουσας πολιτικής χρήστη ή συστήματος και για τον προγραμματισμό αλλαγών πολιτικής.

ΣΤΟ Ο Microsoft Windows 2003 Server μπορεί να έχει πρόσβαση σε αυτά τα συμπληρωματικά προγράμματα απευθείας από το μενού Εργαλεία διαχείρισης.

Ένα άλλο εργαλείο διαχείρισης είναι ένα snap Σχέδιο ΕνεργόςΕυρετήριο (Ενεργός Ευρετήριο σχήμα) - σας επιτρέπει να διαχειρίζεστε και να τροποποιείτε το σχήμα καταλόγου.

Βοηθητικά προγράμματα γραμμής εντολών Ενεργός Ευρετήριο

Για τη διαχείριση αντικειμένων Ενεργός Ευρετήριουπάρχουν εργαλεία γραμμής εντολών που σας επιτρέπουν να εκτελείτε ένα ευρύ φάσμα διοικητικών εργασιών:

DSADD - προσθέτει σε Ενεργός Ευρετήριουπολογιστές, επαφές, ομάδες, ΕΠ και χρήστες.

DSGET - εμφανίζει ιδιότητες υπολογιστών, επαφών, ομάδων, OU, χρηστών, τοποθεσιών, υποδικτύων και διακομιστών που είναι εγγεγραμμένοι σε Ενεργός Ευρετήριο.

DSMOD - αλλάζει τις ιδιότητες των υπολογιστών, των επαφών, των ομάδων, των PO, των χρηστών και των διακομιστών που είναι εγγεγραμμένοι Ενεργός Ευρετήριο.

DSMOVE - Μετακινεί ένα μεμονωμένο αντικείμενο σε μια νέα θέση σε έναν τομέα ή μετονομάζει ένα αντικείμενο χωρίς να το μετακινήσει.

DSQXJERY - αναζητά υπολογιστές, επαφές, ομάδες, PO, χρήστες, τοποθεσίες, υποδίκτυα και διακομιστές σε Ενεργός Ευρετήριοσύμφωνα με τα δεδομένα κριτήρια.

DSRM - αφαιρεί ένα αντικείμενο από Ενεργός Ευρετήριο.

NTDSUTIL - σας επιτρέπει να προβάλλετε πληροφορίες σχετικά με τον ιστότοπο, τον τομέα ή τον διακομιστή, να διαχειρίζεστε πλοίαρχοι επιχειρήσεων (επιχειρήσεις πλοίαρχοι) και εξυπηρετήστε τη βάση δεδομένωνΕνεργός Ευρετήριο.

Κάθε αρχάριος χρήστης, αντιμέτωπος με τη συντομογραφία AD, αναρωτιέται τι είναι το Active Directory; Το Active Directory είναι μια υπηρεσία καταλόγου που αναπτύχθηκε από τη Microsoft για τομέα Δίκτυα Windows. Περιλαμβάνεται στα περισσότερα λειτουργικά συστήματα Windows Server ως σύνολο διεργασιών και υπηρεσιών. Αρχικά, η υπηρεσία αφορούσε μόνο τομείς. Ωστόσο, από τον Windows Server 2008, το AD έχει γίνει το όνομα για μια μεγάλη ποικιλία υπηρεσιών ταυτότητας που βασίζονται σε κατάλογο. Αυτό κάνει το Active Directory για αρχάριους πιο βέλτιστο για μάθηση.

Βασικός ορισμός

Ο διακομιστής που εκτελεί τις υπηρεσίες τομέα Active Directory ονομάζεται ελεγκτής τομέα. Πραγματοποιεί έλεγχο ταυτότητας και εξουσιοδότηση όλων των χρηστών και των υπολογιστών σε έναν τομέα δικτύου Windows, εκχωρώντας και εφαρμόζοντας μια πολιτική ασφαλείας σε όλους τους υπολογιστές και εγκαθιστά ή ενημερώνει λογισμικό. Για παράδειγμα, όταν ένας χρήστης συνδέεται σε έναν υπολογιστή που είναι συνδεδεμένος στον τομέα των Windows, η υπηρεσία καταλόγου Active Directory ελέγχει τον παρεχόμενο κωδικό πρόσβασης και καθορίζει εάν το αντικείμενο είναι διαχειριστής συστήματος ή τακτικός χρήστης. Σας επιτρέπει επίσης να διαχειρίζεστε και να αποθηκεύετε πληροφορίες, παρέχει μηχανισμούς ελέγχου ταυτότητας και εξουσιοδότησης και παρέχει ένα πλαίσιο για την ανάπτυξη άλλων σχετικών υπηρεσιών: υπηρεσίες πιστοποιητικών, ενοποιημένες και ελαφριές υπηρεσίες καταλόγου και διαχείριση δικαιωμάτων.

Η υπηρεσία καταλόγου Active Directory χρησιμοποιεί LDAP έκδοση 2 και 3, την έκδοση Kerberos της Microsoft και DNS.

Active Directory - τι είναι; Με απλά λόγια για σύνθετο

Η παρακολούθηση δεδομένων δικτύου είναι μια χρονοβόρα εργασία. Ακόμη και σε μικρότερα δίκτυα, οι χρήστες τείνουν να δυσκολεύονται να βρουν αρχεία δικτύου και εκτυπωτές. Χωρίς κάποιο είδος καταλόγου, δεν είναι δυνατή η διαχείριση μεσαίων έως μεγάλων δικτύων και συχνά δυσκολεύονται να βρουν πόρους.

ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣ Microsoft Windowsπεριλαμβάνονται υπηρεσίες που βοηθούν τους χρήστες και τους διαχειριστές να βρίσκουν δεδομένα. περιβάλλον δικτύουχρήσιμο σε πολλά περιβάλλοντα, αλλά το προφανές μειονέκτημα είναι η άβολη διεπαφή και η μη προβλεψιμότητά της. Το WINS Manager και το Server Manager μπορούν να χρησιμοποιηθούν για την προβολή μιας λίστας συστημάτων, αλλά δεν ήταν διαθέσιμα στους τελικούς χρήστες. Οι διαχειριστές χρησιμοποίησαν τη Διαχείριση χρηστών για να προσθέσουν και να αφαιρέσουν δεδομένα ενός εντελώς διαφορετικού τύπου αντικειμένου δικτύου. Αυτές οι εφαρμογές αποδείχθηκαν αναποτελεσματικές για μεγάλα δίκτυα και έθεσαν το ερώτημα, γιατί στην εταιρεία Active Directory;

Ένας κατάλογος, με τη γενικότερη έννοια, είναι πλήρης λίστααντικείμενα. Ο τηλεφωνικός κατάλογος είναι ένας τύπος καταλόγου που αποθηκεύει πληροφορίες σχετικά με άτομα, επιχειρήσεις και κυβερνητικούς οργανισμούς καισυνήθως περιέχουν ονόματα, διευθύνσεις και αριθμούς τηλεφώνου.αναρωτιούνται Active Directory - τι είναι, με απλά λόγιαμπορούμε να πούμε ότι αυτή η τεχνολογία είναι παρόμοια με το βιβλίο αναφοράς, αλλά είναι πολύ πιο ευέλικτη. Το AD αποθηκεύει πληροφορίες σχετικά με οργανισμούς, τοποθεσίες, συστήματα, χρήστες, κοινόχρηστα στοιχεία και οποιοδήποτε άλλο αντικείμενο δικτύου.

Εισαγωγή στις βασικές έννοιες του Active Directory

Γιατί ένας οργανισμός χρειάζεται την υπηρεσία καταλόγου Active Directory; Όπως αναφέρθηκε στην εισαγωγή του Active Directory, η υπηρεσία αποθηκεύει πληροφορίες σχετικά με στοιχεία δικτύου.Ο οδηγός "Active Directory for Beginners" λέει ότι αυτό είναι επιτρέπει στους πελάτες να βρίσκουν αντικείμενα στον χώρο ονομάτων τους.Αυτό το τ Ο όρος (ονομάζεται επίσης δέντρο κονσόλας) αναφέρεται στην περιοχή στην οποία μπορεί να εντοπιστεί ένα στοιχείο δικτύου. Για παράδειγμα, ο πίνακας περιεχομένων ενός βιβλίου δημιουργεί έναν χώρο ονομάτων στον οποίο τα κεφάλαια μπορούν να αντιστοιχιστούν σε αριθμούς σελίδων.

Το DNS είναι ένα δέντρο κονσόλας που επιλύει ονόματα κεντρικών υπολογιστών σε διευθύνσεις IP, όπως π.χΟι τηλεφωνικοί κατάλογοι παρέχουν έναν χώρο ονομάτων για την ανάλυση ονομάτων για αριθμούς τηλεφώνου.Και πώς συμβαίνει αυτό στην Active Directory; Το AD παρέχει ένα δέντρο κονσόλας για την επίλυση των ονομάτων των αντικειμένων δικτύου στα ίδια τα αντικείμενα καιμπορεί να επιλύσει μια μεγάλη ποικιλία αντικειμένων, συμπεριλαμβανομένων χρηστών, συστημάτων και υπηρεσιών στο δίκτυο.

Αντικείμενα και Ιδιότητες

Οτιδήποτε παρακολουθεί η υπηρεσία καταλόγου Active Directory θεωρείται αντικείμενο.Μπορείτε να το πείτε με απλά λόγια ότι αυτό στην υπηρεσία καταλόγου Active Directory είναι οποιοσδήποτε χρήστης, σύστημα, πόρος ή υπηρεσία. Οι κοινοί όροι αντικείμενο χρησιμοποιείται επειδή το AD είναι σε θέση να παρακολουθεί πολλά στοιχεία και πολλά αντικείμενα μπορούν να μοιράζονται κοινά χαρακτηριστικά. Τι σημαίνει?

Τα χαρακτηριστικά περιγράφουν αντικείμενα στην υπηρεσία καταλόγου Active Directory, για παράδειγμα, όλα τα αντικείμενα χρήστη μοιράζονται χαρακτηριστικά για την αποθήκευση του ονόματος του χρήστη. Αυτό ισχύει και για τις περιγραφές τους. Τα συστήματα είναι επίσης αντικείμενα, αλλά έχουν ένα ξεχωριστό σύνολο χαρακτηριστικών που περιλαμβάνει όνομα κεντρικού υπολογιστή, διεύθυνση IP και τοποθεσία.

Το σύνολο των ιδιοτήτων που είναι διαθέσιμα για κάθε συγκεκριμένο τύπο αντικειμένου ονομάζεται σχήμα. Κάνει τις κατηγορίες αντικειμένων διαφορετικές μεταξύ τους. Οι πληροφορίες σχήματος αποθηκεύονται πραγματικά στην υπηρεσία καταλόγου Active Directory. Ότι αυτή η συμπεριφορά του πρωτοκόλλου ασφαλείας είναι πολύ σημαντική είναι το γεγονός ότι το σχήμα επιτρέπει στους διαχειριστές να προσθέτουν χαρακτηριστικά σε κλάσεις αντικειμένων και να τα διανέμουν μέσω του δικτύου σε όλες τις γωνίες του τομέα χωρίς επανεκκίνηση ελεγκτών τομέα.

Δοχείο LDAP και όνομα

Ένα κοντέινερ είναι ένας ειδικός τύπος αντικειμένου που χρησιμοποιείται για την οργάνωση της λειτουργίας μιας υπηρεσίας. Δεν αντιπροσωπεύει μια φυσική οντότητα όπως ένας χρήστης ή ένα σύστημα. Αντίθετα, χρησιμοποιείται για την ομαδοποίηση άλλων στοιχείων. Τα αντικείμενα κοντέινερ μπορούν να τοποθετηθούν μέσα σε άλλα δοχεία.

Κάθε στοιχείο στο AD έχει ένα όνομα. Δεν είναι αυτά που έχεις συνηθίσει, για παράδειγμα, τον Ιβάν ή την Όλγα. Αυτά είναι διακεκριμένα ονόματα LDAP. Τα διακεκριμένα ονόματα LDAP είναι δύσκολα, αλλά σας επιτρέπουν να αναγνωρίζετε μοναδικά οποιοδήποτε αντικείμενο μέσα σε έναν κατάλογο, ανεξάρτητα από τον τύπο του.

Όροι και ιστοσελίδα

Ένα δέντρο όρου χρησιμοποιείται για να περιγράψει ένα σύνολο αντικειμένων στην υπηρεσία καταλόγου Active Directory. Τι είναι αυτό? Με απλά λόγια, αυτό μπορεί να εξηγηθεί χρησιμοποιώντας έναν συσχετισμό δέντρων. Όταν τα δοχεία και τα αντικείμενα συνδυάζονται ιεραρχικά, τείνουν να σχηματίζουν κλάδους - εξ ου και το όνομα. Ένας σχετικός όρος είναι ένα συνεχόμενο υποδέντρο, το οποίο αναφέρεται στον αδιάσπαστο κύριο κορμό ενός δέντρου.

Συνεχίζοντας τη μεταφορά, ο όρος "δάσος" περιγράφει μια συλλογή που δεν αποτελεί μέρος του ίδιου χώρου ονομάτων, αλλά μοιράζεται ένα κοινό σχήμα, διαμόρφωση και καθολικό κατάλογο. Τα αντικείμενα σε αυτές τις δομές είναι διαθέσιμα σε όλους τους χρήστες, εάν το επιτρέπει η ασφάλεια. Οι οργανισμοί που χωρίζονται σε πολλούς τομείς θα πρέπει να ομαδοποιούν τα δέντρα σε ένα ενιαίο δάσος.

Ένας ιστότοπος είναι μια γεωγραφική τοποθεσία που ορίζεται στην υπηρεσία καταλόγου Active Directory. Οι ιστότοποι αντιστοιχούν σε λογικά υποδίκτυα IP και ως εκ τούτου μπορούν να χρησιμοποιηθούν από εφαρμογές για την εύρεση του πλησιέστερου διακομιστή στο δίκτυο. Η χρήση πληροφοριών τοποθεσίας από την υπηρεσία καταλόγου Active Directory μπορεί να μειώσει σημαντικά την επισκεψιμότητα WAN.

Διαχείριση Active Directory

Συμπληρωματικό στοιχείο Active Directory - Χρήστες. Αυτό είναι το πιο βολικό εργαλείο για τη διαχείριση της υπηρεσίας καταλόγου Active Directory. Είναι άμεσα προσβάσιμο από την ομάδα προγραμμάτων Εργαλεία διαχείρισης στο μενού Έναρξη. Αντικαθιστά και βελτιώνει τη Διαχείριση διακομιστή και τη Διαχείριση χρηστών από τα Windows NT 4.0.

Ασφάλεια

Το Active Directory διαδραματίζει σημαντικό ρόλο στο μέλλον της δικτύωσης των Windows. Οι διαχειριστές πρέπει να μπορούν να προστατεύουν τον κατάλογό τους από εισβολείς και χρήστες ενώ αναθέτουν εργασίες σε άλλους διαχειριστές. Όλα αυτά είναι δυνατά χρησιμοποιώντας το μοντέλο ασφαλείας Active Directory, το οποίο συσχετίζει μια λίστα ελέγχου πρόσβασης (ACL) με κάθε χαρακτηριστικό κοντέινερ και αντικειμένου στον κατάλογο.

Ένα υψηλό επίπεδο ελέγχου επιτρέπει σε έναν διαχειριστή να εκχωρεί σε μεμονωμένους χρήστες και ομάδες διαφορετικά επίπεδα αδειών για αντικείμενα και τις ιδιότητές τους. Μπορούν ακόμη και να προσθέσουν χαρακτηριστικά σε αντικείμενα και να αποκρύψουν αυτά τα χαρακτηριστικά από ορισμένες ομάδες χρηστών. Για παράδειγμα, μπορείτε να ορίσετε ένα ACL έτσι ώστε μόνο οι διαχειριστές να μπορούν να βλέπουν τα τηλέφωνα του σπιτιού άλλων χρηστών.

Εντεταλμένη Διοίκηση

Μια νέα ιδέα στον Windows 2000 Server είναι η διαχείριση με ανάθεση. Αυτό σας επιτρέπει να αναθέσετε εργασίες σε άλλους χρήστες χωρίς να παραχωρήσετε πρόσθετα δικαιώματα πρόσβασης. Η ανάθεση διαχείρισης μπορεί να εκχωρηθεί μέσω συγκεκριμένων αντικειμένων ή συνεχόμενων υποδέντρων καταλόγου. Αυτή είναι μια πολύ πιο αποτελεσματική μέθοδος χορήγησης αδειών σε όλα τα δίκτυα.

ΣΤΟ προορισμός για κάποιον με όλα τα παγκόσμια δικαιώματα διαχειριστή τομέα, ο χρήστης μπορεί να λάβει δικαιώματα μόνο εντός ενός συγκεκριμένου υποδέντρου. Η υπηρεσία καταλόγου Active Directory υποστηρίζει κληρονομικότητα, επομένως τυχόν νέα αντικείμενα κληρονομούν τα ACL του κοντέινερ τους.

Ο όρος «εμπιστοσύνη»

Ο όρος "εμπιστοσύνη" εξακολουθεί να χρησιμοποιείται αλλά έχει διαφορετική λειτουργικότητα. Δεν υπάρχει διάκριση μεταξύ μονομερών και διμερών καταπιστεύσεων. Εξάλλου, όλα τα καταπιστεύματα Active Directory είναι αμφίδρομα. Επιπλέον, είναι όλα μεταβατικά. Έτσι, εάν ο τομέας Α εμπιστεύεται τον τομέα Β και ο Β εμπιστεύεται το C, τότε υπάρχει μια αυτόματη σιωπηρή σχέση εμπιστοσύνης μεταξύ του τομέα Α και του τομέα C.

Έλεγχος στην υπηρεσία καταλόγου Active Directory - τι είναι με απλά λόγια; Αυτή είναι μια δυνατότητα ασφαλείας που σας επιτρέπει να προσδιορίσετε ποιος προσπαθεί να αποκτήσει πρόσβαση σε αντικείμενα, καθώς και πόσο επιτυχημένη είναι αυτή η προσπάθεια.

Χρήση DNS (σύστημα ονομάτων τομέα)

Το σύστημα, αλλιώς γνωστό ως DNS, είναι απαραίτητο για κάθε οργανισμό που είναι συνδεδεμένος στο Διαδίκτυο. Το DNS παρέχει ανάλυση ονομάτων μεταξύ κοινών ονομάτων όπως το mspress.microsoft.com και των πρωτογενών διευθύνσεων IP που χρησιμοποιούν τα στοιχεία επίπεδο δικτύουγια επικοινωνία.

Η Active Directory χρησιμοποιεί εκτενώς την τεχνολογία DNS για αναζήτηση αντικειμένων. Αυτή είναι μια σημαντική αλλαγή από την προηγούμενη λειτουργία συστήματα Windows, τα οποία απαιτούν την επίλυση των ονομάτων NetBIOS από διευθύνσεις IP και βασίζονται σε WINS ή άλλες τεχνικές ανάλυσης ονομάτων NetBIOS.

Η υπηρεσία καταλόγου Active Directory λειτουργεί καλύτερα όταν χρησιμοποιείται με διακομιστές DNS με Windows 2000. Η Microsoft έχει διευκολύνει τη μετεγκατάσταση των διαχειριστών σε διακομιστές DNS των Windows 2000 παρέχοντας οδηγούς μετεγκατάστασης που καθοδηγούν τον διαχειριστή στη διαδικασία.

Μπορεί να χρησιμοποιηθούν άλλοι διακομιστές DNS. Ωστόσο, σε αυτήν την περίπτωση, οι διαχειριστές θα πρέπει να αφιερώσουν περισσότερο χρόνο στη διαχείριση βάσεων δεδομένων DNS. Ποιες είναι οι αποχρώσεις; Εάν αποφασίσετε να μην χρησιμοποιήσετε διακομιστές DNS των Windows 2000, πρέπει να βεβαιωθείτε ότι οι διακομιστές σας DNS συμμορφώνονται με το νέο πρωτόκολλο δυναμικής ενημέρωσης DNS. Οι διακομιστές βασίζονται στη δυναμική ενημέρωση των αρχείων τους για την εύρεση ελεγκτών τομέα. Δεν είναι άνετο. Άλλωστε, eΕάν η δυναμική ενημέρωση δεν υποστηρίζεται, οι βάσεις δεδομένων πρέπει να ενημερώνονται χειροκίνητα.

Οι τομείς των Windows και οι τομείς διαδικτύου είναι πλέον πλήρως συμβατοί. Για παράδειγμα, ένα όνομα όπως το mspress.microsoft.com θα προσδιορίζει τους ελεγκτές τομέα Active Directory που είναι υπεύθυνοι για τον τομέα, έτσι ώστε κάθε πελάτης με πρόσβαση DNS να μπορεί να βρει τον ελεγκτή τομέα.Οι πελάτες μπορούν να χρησιμοποιήσουν την ανάλυση DNS για να αναζητήσουν οποιονδήποτε αριθμό υπηρεσιών, επειδή οι διακομιστές Active Directory δημοσιεύουν μια λίστα διευθύνσεων σε DNS χρησιμοποιώντας τις νέες δυνατότητες δυναμικής ενημέρωσης. Αυτά τα δεδομένα ορίζονται ως τομέας και δημοσιεύονται μέσω εγγραφών πόρων υπηρεσίας. Το SRV RR ακολουθεί τη μορφή service.protocol.domain.

Οι διακομιστές Active Directory παρέχουν μια υπηρεσία LDAP για τη φιλοξενία ενός αντικειμένου και το LDAP χρησιμοποιεί το TCP ως το υποκείμενο πρωτόκολλο επιπέδου μεταφοράς. Επομένως, ένας πελάτης που αναζητά έναν διακομιστή Active Directory στον τομέα mspress.microsoft.com θα αναζητήσει μια καταχώρηση DNS για το ldap.tcp.mspress.microsoft.com.

Παγκόσμιος Κατάλογος

Η Active Directory παρέχει έναν παγκόσμιο κατάλογο (GC) καιπαρέχει μια ενιαία πηγή για την αναζήτηση οποιουδήποτε αντικειμένου στο δίκτυο του οργανισμού.

Ο καθολικός κατάλογος είναι μια υπηρεσία στον Windows 2000 Server που επιτρέπει στους χρήστες να βρίσκουν οποιοδήποτε αντικείμενο στο οποίο έχει παραχωρηθεί πρόσβαση. Αυτή η λειτουργικότητα υπερβαίνει κατά πολύ Βρείτε εφαρμογέςΟ υπολογιστής περιλαμβάνεται στο ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣ Windows. Εξάλλου, οι χρήστες μπορούν να αναζητήσουν οποιοδήποτε αντικείμενο στην υπηρεσία καταλόγου Active Directory: διακομιστές, εκτυπωτές, χρήστες και εφαρμογές.

Active Directory - Μια επεκτάσιμη και επεκτάσιμη υπηρεσία καταλόγου Active Directory (Active Directory) σας επιτρέπει να διαχειρίζεστε αποτελεσματικά τους πόρους του δικτύου.
Ενεργό αρχείοείναι μια ιεραρχικά οργανωμένη αποθήκη δεδομένων σχετικά με αντικείμενα δικτύου, παρέχοντας βολικά μέσα για την εύρεση και χρήση αυτών των δεδομένων. Ο υπολογιστής που εκτελεί την υπηρεσία καταλόγου Active Directory ονομάζεται ελεγκτής τομέα. Σχεδόν όλες οι διοικητικές εργασίες σχετίζονται με την υπηρεσία καταλόγου Active Directory.
Η τεχνολογία Active Directory βασίζεται σε τυπικά πρωτόκολλα Διαδικτύου και βοηθά στον ξεκάθαρο καθορισμό της δομής του δικτύου, με περισσότερες λεπτομέρειες πώς να αναπτύξετε έναν τομέα Active Directory από την αρχή, διαβάστε εδώ ..

Active Directory και DNS

Η υπηρεσία καταλόγου Active Directory χρησιμοποιεί το σύστημα ονομάτων τομέα.

Διαχείριση Active Directory

Με τη βοήθεια της υπηρεσίας Active Directory, δημιουργούνται λογαριασμοί υπολογιστή, συνδέονται με τον τομέα και γίνεται διαχείριση υπολογιστών, ελεγκτών τομέα και οργανωτικών μονάδων (OU).

Παρέχονται εργαλεία διαχείρισης και υποστήριξης για τη διαχείριση του Active Directory. Τα εργαλεία που αναφέρονται παρακάτω υλοποιούνται ως συμπληρωματικά προγράμματα MMC (Microsoft Management Console):

• Active Directory - χρήστες και υπολογιστές (Active Directory Users and Computers) σας επιτρέπει να διαχειρίζεστε χρήστες, ομάδες, υπολογιστές και οργανωτικές μονάδες (OD).
• Η υπηρεσία καταλόγου Active Directory - τομείς και αξιοπιστία (Τομείς και αξιοπιστίες της υπηρεσίας καταλόγου Active Directory) χρησιμοποιείται για εργασία με τομείς, δέντρα τομέων και δασικές δομές τομέων.
• Active Directory - τοποθεσίες και υπηρεσίες (Active Directory Sites and Services) σας επιτρέπει να διαχειρίζεστε τοποθεσίες και υποδίκτυα.
• Το σύνολο πολιτικής που προκύπτει χρησιμοποιείται για την προβολή της τρέχουσας πολιτικής χρήστη ή συστήματος και για τον προγραμματισμό αλλαγών πολιτικής.
• Στον Microsoft Windows 2003 Server, μπορείτε να αποκτήσετε πρόσβαση σε αυτά τα συμπληρωματικά προγράμματα απευθείας από το μενού Εργαλεία διαχείρισης.

Ένα άλλο εργαλείο διαχείρισης - το συμπληρωματικό πρόγραμμα Active Directory Schema - σας επιτρέπει να διαχειρίζεστε και να τροποποιείτε το σχήμα καταλόγου.

Βοηθητικά προγράμματα γραμμής εντολών Active Directory

Για τη διαχείριση αντικειμένων της υπηρεσίας καταλόγου Active Directory, υπάρχουν εργαλεία γραμμής εντολών που σας επιτρέπουν να εκτελείτε ένα ευρύ φάσμα διαχειριστικών εργασιών:

• DSADD - προσθέτει υπολογιστές, επαφές, ομάδες, OP και χρήστες στην υπηρεσία καταλόγου Active Directory.
• DSGET - Εμφανίζει τις ιδιότητες των υπολογιστών, των επαφών, των ομάδων, των PO, των χρηστών, των τοποθεσιών, των υποδικτύων και των διακομιστών που είναι εγγεγραμμένοι στην υπηρεσία καταλόγου Active Directory.
• DSMOD - αλλάζει τις ιδιότητες των υπολογιστών, των επαφών, των ομάδων, των PO, των χρηστών και των διακομιστών που είναι εγγεγραμμένοι στην υπηρεσία καταλόγου Active Directory.
• DSMOVE - Μετακινεί ένα μεμονωμένο αντικείμενο σε μια νέα θέση σε έναν τομέα ή μετονομάζει ένα αντικείμενο χωρίς να το μετακινήσει.
• DSQXJERY - αναζητά υπολογιστές, επαφές, ομάδες, OP, χρήστες, τοποθεσίες, υποδίκτυα και διακομιστές στην υπηρεσία καταλόγου Active Directory σύμφωνα με καθορισμένα κριτήρια.
• DSRM - Αφαιρεί ένα αντικείμενο από την υπηρεσία καταλόγου Active Directory.
• NTDSUTIL - σας επιτρέπει να προβάλλετε πληροφορίες τοποθεσίας, τομέα ή διακομιστή, να διαχειρίζεστε κύριες λειτουργίες και να διατηρείτε τη βάση δεδομένων Active Directory.

Γνωρίζοντας καλά τις μικρές επιχειρήσεις εκ των έσω, πάντα με ενδιέφεραν οι παρακάτω ερωτήσεις. Εξηγήστε γιατί ο υπάλληλος πρέπει να χρησιμοποιεί το πρόγραμμα περιήγησης που αρέσει στον διαχειριστή του συστήματος στον υπολογιστή εργασίας; Ή πάρτε οποιοδήποτε άλλο λογισμικό, για παράδειγμα, τον ίδιο αρχειοθέτη, πελάτη αλληλογραφίας, ένας πελάτης άμεσων μηνυμάτων ... Αυτό υπαινίσσομαι ομαλά την τυποποίηση, και όχι με βάση την προσωπική συμπάθεια του διαχειριστή του συστήματος, αλλά με βάση την επάρκεια λειτουργικότητας, το κόστος συντήρησης και υποστήριξης αυτών προϊόντα λογισμικού. Ας αρχίσουμε να θεωρούμε την Πληροφορική ως ακριβή επιστήμη, όχι ως τέχνη, όταν ο καθένας κάνει ό,τι μπορεί. Και πάλι, υπάρχουν πολλά προβλήματα με αυτό και στις μικρές επιχειρήσεις. Φανταστείτε ότι μια εταιρεία αλλάζει αρκετούς τέτοιους διαχειριστές σε μια δύσκολη περίοδο κρίσης, τι πρέπει να κάνουν οι φτωχοί χρήστες σε μια τέτοια κατάσταση; Ξαναμάθετε συνεχώς;

Ας δούμε από την άλλη πλευρά. Οποιοσδήποτε ηγέτης πρέπει να καταλάβει τι συμβαίνει στην εταιρεία (συμπεριλαμβανομένης της πληροφορικής) τώρα. Αυτό είναι απαραίτητο για την παρακολούθηση της τρέχουσας κατάστασης, για να ανταποκριθεί γρήγορα στην εμφάνιση διαφόρων ειδών προβλημάτων. Αλλά αυτή η κατανόηση είναι πιο σημαντική για τον στρατηγικό σχεδιασμό. Πράγματι, έχοντας γερά και αξιόπιστα θεμέλια, μπορούμε να χτίσουμε ένα σπίτι σε 3 ή 5 ορόφους, να φτιάξουμε στέγη διαφόρων σχημάτων, να φτιάξουμε μπαλκόνια ή έναν χειμερινό κήπο. Ομοίως, στον τομέα της πληροφορικής, έχουμε γερές βάσεις - μπορούμε να συνεχίσουμε να χρησιμοποιούμε πιο σύνθετα προϊόντα και τεχνολογίες για την επίλυση επιχειρηματικών προβλημάτων.

Στο πρώτο άρθρο, θα μιλήσουμε για ένα τέτοιο ίδρυμα - υπηρεσίες Active Directory. Έχουν σχεδιαστεί για να αποτελέσουν ισχυρό θεμέλιο για την υποδομή πληροφορικής μιας εταιρείας οποιουδήποτε μεγέθους και οποιουδήποτε κλάδου δραστηριότητας. Τι είναι? Ας το συζητήσουμε εδώ...

Και ας ξεκινήσουμε τη συζήτηση με απλές έννοιες - υπηρεσίες τομέα και υπηρεσία καταλόγου Active Directory.

Τομέαείναι η κύρια διοικητική μονάδα στην υποδομή δικτύου μιας επιχείρησης, η οποία περιλαμβάνει όλα τα αντικείμενα δικτύου, όπως χρήστες, υπολογιστές, εκτυπωτές, κοινόχρηστα στοιχεία και άλλα. Η συλλογή τέτοιων τομέων ονομάζεται δάσος.

Υπηρεσίες Active Directory (Υπηρεσίες Active Directory) είναι μια κατανεμημένη βάση δεδομένων που περιέχει όλα τα αντικείμενα τομέα. Το περιβάλλον τομέα Active Directory είναι ένα ενιαίο σημείο ελέγχου ταυτότητας και εξουσιοδότησης για χρήστες και εφαρμογές σε όλη την επιχείρηση. Με την οργάνωση του domain και την ανάπτυξη των υπηρεσιών Active Directory ξεκινά η κατασκευή της υποδομής πληροφορικής της επιχείρησης.

Η βάση δεδομένων Active Directory αποθηκεύεται σε αποκλειστικούς διακομιστές - ελεγκτές τομέα. Το Active Directory Services είναι ένας ρόλος λειτουργικού δωματίου διακομιστή. συστήματα της Microsoftδιακομιστής windows. Το Active Directory Services είναι εξαιρετικά επεκτάσιμο. Περισσότερα από 2 δισεκατομμύρια αντικείμενα μπορούν να δημιουργηθούν σε ένα δάσος Active Directory, καθιστώντας δυνατή την υλοποίηση μιας υπηρεσίας καταλόγου σε εταιρείες με εκατοντάδες χιλιάδες υπολογιστές και χρήστες. Η ιεραρχική δομή των τομέων σάς επιτρέπει να κλιμακώσετε ευέλικτα την υποδομή πληροφορικής σας σε όλα τα υποκαταστήματα και τα περιφερειακά τμήματα εταιρειών. Για κάθε υποκατάστημα ή τμήμα της εταιρείας, μπορεί να δημιουργηθεί ένα ξεχωριστό domain, με τις δικές του πολιτικές, τους δικούς του χρήστες και ομάδες. Για κάθε θυγατρικό τομέα, η διοικητική εξουσία μπορεί να ανατεθεί σε τοπικούς διαχειριστές συστήματος. Ταυτόχρονα, οι θυγατρικοί τομείς εξακολουθούν να είναι υποδεέστεροι των μητρικών.

Επιπλέον, οι υπηρεσίες Active Directory σάς επιτρέπουν να δημιουργήσετε σχέσεις εμπιστοσύνης μεταξύ δασικών δομών τομέα. Κάθε εταιρεία έχει το δικό της δάσος τομέων, το καθένα με τους δικούς του πόρους. Αλλά μερικές φορές μπορεί να είναι απαραίτητο να παρέχετε πρόσβαση στους εταιρικούς σας πόρους σε υπαλλήλους άλλης εταιρείας - εργαστείτε με κοινά έγγραφα και εφαρμογές ως μέρος ενός κοινού έργου. Για να γίνει αυτό, μπορούν να δημιουργηθούν σχέσεις εμπιστοσύνης μεταξύ των δασών των οργανισμών, οι οποίες θα επιτρέψουν στους υπαλλήλους ενός οργανισμού να συνδεθούν στον τομέα ενός άλλου.

Για να παρέχετε ανοχή σφαλμάτων για υπηρεσίες Active Directory, πρέπει να αναπτύξετε δύο ή περισσότερους ελεγκτές τομέα σε κάθε τομέα. Όλες οι αλλαγές αναπαράγονται αυτόματα μεταξύ ελεγκτών τομέα. Σε περίπτωση αποτυχίας ενός από τους ελεγκτές τομέα, το δίκτυο δεν επηρεάζεται, επειδή οι υπόλοιποι συνεχίζουν να λειτουργούν. Ένα επιπλέον επίπεδο ανθεκτικότητας παρέχεται με τη φιλοξενία διακομιστών DNS σε ελεγκτές τομέα στην υπηρεσία καταλόγου Active Directory, που επιτρέπει σε κάθε τομέα να έχει πολλούς διακομιστές DNS που εξυπηρετούν τη ζώνη του κύριου τομέα. Και αν ένας από τους διακομιστές DNS αποτύχει, οι υπόλοιποι θα συνεχίσουν να λειτουργούν. Θα μιλήσουμε για το ρόλο και τη σημασία των διακομιστών DNS στην υποδομή πληροφορικής σε ένα από τα άρθρα της σειράς.

Αλλά αυτές είναι όλες οι τεχνικές πτυχές της υλοποίησης και της διατήρησης των υπηρεσιών Active Directory. Ας μιλήσουμε για τα οφέλη που αποκομίζει μια εταιρεία με την απομάκρυνση από τη δικτύωση peer-to-peer χρησιμοποιώντας ομάδες εργασίας.

1. Ενιαίο σημείο ελέγχου ταυτότητας

Σε μια ομάδα εργασίας σε κάθε υπολογιστή ή διακομιστή, θα πρέπει να προσθέσετε μη αυτόματα μια πλήρη λίστα χρηστών που χρειάζονται πρόσβαση στο δίκτυο. Εάν ξαφνικά ένας από τους υπαλλήλους θέλει να αλλάξει τον κωδικό πρόσβασής του, τότε θα πρέπει να αλλάξει σε όλους τους υπολογιστές και τους διακομιστές. Λοιπόν, αν το δίκτυο αποτελείται από 10 υπολογιστές, αλλά αν υπάρχουν περισσότεροι; Όταν χρησιμοποιείτε έναν τομέα Active Directory, όλοι οι λογαριασμοί χρηστών αποθηκεύονται σε μία βάση δεδομένων και όλοι οι υπολογιστές έχουν πρόσβαση σε αυτόν για εξουσιοδότηση. Όλοι οι χρήστες τομέα περιλαμβάνονται στις κατάλληλες ομάδες, για παράδειγμα, "Λογιστική", "Οικονομικό Τμήμα". Αρκεί να ορίσετε δικαιώματα για ορισμένες ομάδες μία φορά και όλοι οι χρήστες θα έχουν την κατάλληλη πρόσβαση σε έγγραφα και εφαρμογές. Αν έρθει η παρέα νέος υπάλληλος, δημιουργείται ένας λογαριασμός για αυτόν, ο οποίος περιλαμβάνεται στην αντίστοιχη ομάδα - ο υπάλληλος αποκτά πρόσβαση σε όλους τους πόρους δικτύου στους οποίους θα πρέπει να του επιτρέπεται η πρόσβαση. Εάν ένας υπάλληλος παραιτηθεί, αρκεί να αποκλείσετε - και θα χάσει αμέσως την πρόσβαση σε όλους τους πόρους (υπολογιστές, έγγραφα, εφαρμογές).

2. Ενιαίο σημείο διαχείρισης πολιτικής

Σε μια ομάδα εργασίας, όλοι οι υπολογιστές είναι ίσοι. Κανένας από τους υπολογιστές δεν μπορεί να ελέγξει τον άλλον, είναι αδύνατο να ελεγχθεί η συμμόρφωση με ενιαίες πολιτικές και κανόνες ασφαλείας. Όταν χρησιμοποιείτε έναν ενιαίο κατάλογο Active Directory, όλοι οι χρήστες και οι υπολογιστές κατανέμονται ιεραρχικά σε οργανικές μονάδες, καθεμία από τις οποίες υπόκειται σε ενιαίες πολιτικές ομάδας. Οι πολιτικές σάς επιτρέπουν να ορίζετε ενιαίες ρυθμίσεις και ρυθμίσεις ασφαλείας για μια ομάδα υπολογιστών και χρηστών. Όταν ένας νέος υπολογιστής ή χρήστης προστίθεται στον τομέα, λαμβάνει αυτόματα ρυθμίσεις που συμμορφώνονται με τα αποδεκτά εταιρικά πρότυπα. Με τη βοήθεια πολιτικών, μπορείτε να εκχωρήσετε κεντρικά χρήστες εκτυπωτές δικτύου, εγκαταστήστε τις απαιτούμενες εφαρμογές, ορίστε τις ρυθμίσεις ασφαλείας του προγράμματος περιήγησης, διαμορφώστε εφαρμογές της Microsoftγραφείο.

3. Αυξημένο επίπεδο ασφάλειας πληροφοριών

Η χρήση υπηρεσιών Active Directory βελτιώνει σημαντικά την ασφάλεια του δικτύου. Πρώτον, είναι μια ενιαία και ασφαλής αποθήκευση λογαριασμούς. Σε ένα περιβάλλον τομέα, όλοι οι κωδικοί πρόσβασης για χρήστες τομέα αποθηκεύονται σε αποκλειστικούς διακομιστές, ελεγκτές τομέα, οι οποίοι συνήθως προστατεύονται από εξωτερική πρόσβαση. Δεύτερον, όταν χρησιμοποιείτε ένα περιβάλλον τομέα, το πρωτόκολλο Kerberos χρησιμοποιείται για έλεγχο ταυτότητας, το οποίο είναι πολύ πιο ασφαλές από το NTLM που χρησιμοποιείται σε ομάδες εργασίας.

4. Ενοποίηση με εταιρικές εφαρμογές και εξοπλισμό

Ένα μεγάλο πλεονέκτημα των υπηρεσιών Active Directory είναι η συμμόρφωση με το πρότυπο LDAP, το οποίο υποστηρίζεται από άλλα συστήματα, όπως διακομιστές αλληλογραφίας (Exchange Server), διακομιστές μεσολάβησης (ISA Server, TMG). Και δεν είναι απαραίτητα μόνο τα προϊόντα της Microsoft. Το πλεονέκτημα αυτής της ενσωμάτωσης είναι ότι ο χρήστης δεν χρειάζεται να θυμάται μεγάλο αριθμό συνδέσεων και κωδικών πρόσβασης για να αποκτήσει πρόσβαση σε μια συγκεκριμένη εφαρμογή, σε όλες τις εφαρμογές ο χρήστης έχει τα ίδια διαπιστευτήρια - ο έλεγχος ταυτότητας του πραγματοποιείται σε μια ενιαία υπηρεσία καταλόγου Active Directory. Ο Windows Server παρέχει ενσωμάτωση Active Directory με το πρωτόκολλο RADIUS, το οποίο υποστηρίζεται από μεγάλη ποικιλία εξοπλισμού δικτύου. Έτσι, είναι δυνατόν, για παράδειγμα, να παρέχεται έλεγχος ταυτότητας χρηστών τομέα κατά τη σύνδεση μέσω VPN από το εξωτερικό, χρησιμοποιώντας WiFi hotspotπρόσβαση στην εταιρεία.

5. Unified Application Configuration Store

Ορισμένες εφαρμογές αποθηκεύουν τις παραμέτρους τους στην υπηρεσία καταλόγου Active Directory, όπως ο Exchange Server. Η ανάπτυξη της υπηρεσίας καταλόγου Active Directory είναι απαραίτητη προϋπόθεση για να λειτουργήσουν αυτές οι εφαρμογές. Η αποθήκευση της διαμόρφωσης εφαρμογής σε μια υπηρεσία καταλόγου είναι επωφελής όσον αφορά την ευελιξία και την αξιοπιστία. Για παράδειγμα, σε περίπτωση πλήρους αποτυχίας του διακομιστή Exchange, ολόκληρη η διαμόρφωσή του θα παραμείνει άθικτη. Για επαναφορά της λειτουργικότητας εταιρική αλληλογραφία, θα είναι αρκετό να εγκαταστήσετε ξανά τον Exchange Server σε λειτουργία ανάκτησης.

Συνοψίζοντας, θα ήθελα να εστιάσω για άλλη μια φορά στο γεγονός ότι οι υπηρεσίες Active Directory είναι η καρδιά της υποδομής πληροφορικής μιας επιχείρησης. Σε περίπτωση αποτυχίας, ολόκληρο το δίκτυο, όλοι οι διακομιστές, η εργασία όλων των χρηστών θα παραλύσουν. Κανείς δεν θα μπορεί να συνδεθεί στον υπολογιστή, να έχει πρόσβαση στα έγγραφα και τις εφαρμογές του. Επομένως, η υπηρεσία καταλόγου πρέπει να σχεδιαστεί και να αναπτυχθεί προσεκτικά, λαμβάνοντας υπόψη όλες τις πιθανές αποχρώσεις, για παράδειγμα, εύρος ζώνηςκανάλια μεταξύ υποκαταστημάτων ή γραφείων της εταιρείας (η ταχύτητα σύνδεσης των χρηστών στο σύστημα, καθώς και η ανταλλαγή δεδομένων μεταξύ των ελεγκτών τομέα, εξαρτάται άμεσα από αυτό).

Σε προηγούμενα άρθρα μας, έχουμε συζητήσει κοινά ζητήματα που σχετίζονται με τις υπηρεσίες καταλόγου και την υπηρεσία καταλόγου Active Directory. Τώρα ήρθε η ώρα να προχωρήσουμε στην εξάσκηση. Αλλά μην βιαστείτε να τρέξετε στον διακομιστή, πριν αναπτύξετε μια δομή τομέα στο δίκτυό σας, πρέπει να το σχεδιάσετε και να έχετε μια σαφή ιδέα για το σκοπό μεμονωμένους διακομιστέςκαι τις αλληλεπιδράσεις μεταξύ τους.

Πριν δημιουργήσετε τον πρώτο σας ελεγκτή τομέα, πρέπει να αποφασίσετε για τον τρόπο λειτουργίας του. Ο τρόπος λειτουργίας καθορίζει τις διαθέσιμες δυνατότητες και εξαρτάται από την έκδοση της εφαρμογής που χρησιμοποιείται. λειτουργικό σύστημα. Δεν θα εξετάσουμε όλους τους πιθανούς τρόπους λειτουργίας, εκτός από αυτούς που είναι σχετικοί αυτήν τη στιγμή. Υπάρχουν τρεις τέτοιες λειτουργίες: Windows Server 2003, 2008 και 2008 R2.

Η λειτουργία Windows Server 2003 θα πρέπει να επιλέγεται μόνο όταν οι διακομιστές σε αυτό το λειτουργικό σύστημα έχουν ήδη αναπτυχθεί στην υποδομή σας και σκοπεύετε να χρησιμοποιήσετε έναν ή περισσότερους από αυτούς τους διακομιστές ως ελεγκτές τομέα. Σε άλλες περιπτώσεις, πρέπει να επιλέξετε τη λειτουργία Windows Server 2008 ή 2008 R2, ανάλογα με τις άδειες χρήσης που αγοράσατε. Θα πρέπει να θυμόμαστε ότι η λειτουργία του τομέα μπορεί πάντα να αυξηθεί, αλλά δεν θα είναι δυνατή η μείωση του (εκτός από την επαναφορά από ένα αντίγραφο ασφαλείας), επομένως προσεγγίστε αυτό το ζήτημα προσεκτικά, λαμβάνοντας υπόψη πιθανές επεκτάσεις, άδειες χρήσης σε υποκαταστήματα κ.λπ. . και τα λοιπά.

Δεν θα εξετάσουμε τώρα λεπτομερώς τη διαδικασία δημιουργίας ενός ελεγκτή τομέα, θα επιστρέψουμε σε αυτό το ζήτημα αργότερα, αλλά τώρα θέλουμε να επιστήσουμε την προσοχή σας στο γεγονός ότι στην πλήρη δομή Active Directory των ελεγκτών τομέα θα πρέπει να υπάρχει τουλάχιστον δύο. Διαφορετικά, εκθέτετε τον εαυτό σας σε περιττό κίνδυνο, επειδή σε περίπτωση αποτυχίας ενός μόνο ελεγκτή τομέα, η δομή AD σας θα καταστράφηκε ολοσχερώς. Είναι καλό αν υπάρχει ένα ενημερωμένο αντίγραφο ασφαλείας και μπορείτε να ανακτήσετε από αυτό, σε κάθε περίπτωση, όλο αυτό το διάστημα το δίκτυό σας θα είναι εντελώς παράλυτο.

Επομένως, αμέσως μετά τη δημιουργία του πρώτου ελεγκτή τομέα, πρέπει να αναπτύξετε έναν δεύτερο, ανεξάρτητα από το μέγεθος και τον προϋπολογισμό του δικτύου. Ο δεύτερος ελεγκτής θα πρέπει να παρέχεται στο στάδιο του σχεδιασμού και χωρίς αυτόν, η ανάπτυξη του AD δεν αξίζει καν να αναληφθεί. Επίσης, μην συνδυάζετε το ρόλο ενός ελεγκτή τομέα με άλλους ρόλους διακομιστή, προκειμένου να διασφαλιστεί η αξιοπιστία των λειτουργιών με τη βάση δεδομένων AD, η προσωρινή αποθήκευση εγγραφής είναι απενεργοποιημένη στο δίσκο, γεγονός που οδηγεί σε απότομη πτώση της απόδοσης του δίσκου υποσύστημα (αυτό εξηγεί και μακρά φόρτωσηελεγκτές τομέα).

Ως αποτέλεσμα, το δίκτυό μας θα πρέπει να έχει την ακόλουθη μορφή:

Σε αντίθεση με τη δημοφιλή πεποίθηση, όλοι οι ελεγκτές σε έναν τομέα είναι ίσοι. κάθε ελεγκτής περιέχει πλήρεις πληροφορίεςγια όλα τα αντικείμενα τομέα και μπορεί να εξυπηρετήσει ένα αίτημα πελάτη. Αλλά αυτό δεν σημαίνει ότι οι ελεγκτές είναι εναλλάξιμοι, η παρανόηση αυτού του σημείου συχνά οδηγεί σε αποτυχίες AD και διακοπές λειτουργίας του εταιρικού δικτύου. Γιατί συμβαίνει αυτό? Ήρθε η ώρα να θυμηθούμε τον ρόλο του FSMO.

Όταν δημιουργούμε τον πρώτο ελεγκτή, περιέχει όλους τους διαθέσιμους ρόλους, και είναι επίσης ένας παγκόσμιος κατάλογος, με την εμφάνιση του δεύτερου ελεγκτή, οι ρόλοι του κύριου υποδομής, του κύριου RID και του εξομοιωτή PDC μεταφέρονται σε αυτόν. Τι συμβαίνει εάν ο διαχειριστής αποφασίσει να απενεργοποιήσει προσωρινά τον διακομιστή DC1, για παράδειγμα, για να τον καθαρίσει από τη σκόνη; Με την πρώτη ματιά, δεν πειράζει, καλά, ο τομέας θα αλλάξει σε λειτουργία "μόνο για ανάγνωση", αλλά θα λειτουργήσει. Αλλά ξεχάσαμε τον καθολικό κατάλογο και εάν εφαρμογές που τον απαιτούν, όπως το Exchange, έχουν αναπτυχθεί στο δίκτυό σας, τότε θα το μάθετε πριν αφαιρέσετε το κάλυμμα από τον διακομιστή. Μαθαίνεις από δυσαρεστημένους χρήστες και η διοίκηση είναι απίθανο να ευχαριστηθεί.

Από το οποίο προκύπτει το συμπέρασμα: θα πρέπει να υπάρχουν τουλάχιστον δύο παγκόσμιοι κατάλογοι στο δάσος, και το καλύτερο από όλα, ένας σε κάθε τομέα. Δεδομένου ότι έχουμε έναν τομέα στο δάσος, και οι δύο διακομιστές πρέπει να είναι καθολικοί κατάλογοι, αυτό θα σας επιτρέψει να πάρετε οποιονδήποτε από τους διακομιστές για συντήρηση χωρίς προβλήματα, η προσωρινή απουσία ρόλων FSMO δεν οδηγεί σε αποτυχία AD, αλλά μόνο την καθιστά αδύνατο να δημιουργηθούν νέα αντικείμενα.

Ως διαχειριστής τομέα, πρέπει να κατανοήσετε ξεκάθαρα πώς κατανέμονται οι ρόλοι FSMO μεταξύ των διακομιστών σας και κατά τον παροπλισμό ενός διακομιστή για μεγάλο χρονικό διάστημα, να μεταφέρετε αυτούς τους ρόλους σε άλλους διακομιστές. Και τι θα συμβεί εάν ο διακομιστής που περιέχει τους ρόλους FSMO αποτύχει αμετάκλητα; Δεν πειράζει, όπως έχουμε ήδη γράψει, οποιοσδήποτε ελεγκτής τομέα περιέχει όλες τις απαραίτητες πληροφορίες και αν παρουσιαστεί τέτοια ενόχληση, τότε θα χρειαστεί να καταγράψετε τους απαραίτητους ρόλους από έναν από τους ελεγκτές, αυτό θα αποκαταστήσει την πλήρη λειτουργία της υπηρεσίας καταλόγου .

Ο χρόνος περνά, ο οργανισμός σας μεγαλώνει και έχει υποκατάστημα στην άλλη άκρη της πόλης και καθίσταται απαραίτητο να συμπεριλάβετε το δίκτυό τους στη συνολική υποδομή της επιχείρησης. Με την πρώτη ματιά, τίποτα περίπλοκο, δημιουργείτε ένα κανάλι επικοινωνίας μεταξύ των γραφείων και τοποθετείτε ένα επιπλέον χειριστήριο σε αυτό. Όλα θα ήταν καλά, αλλά υπάρχει ένα πράγμα. Δεν μπορείτε να ελέγξετε αυτόν τον διακομιστή και επομένως είναι δυνατή η μη εξουσιοδοτημένη πρόσβαση σε αυτόν και ο τοπικός διαχειριστής σας κάνει να αμφιβάλλετε για τα προσόντα του. Πώς να βρεθείτε σε μια τέτοια κατάσταση; Για τους σκοπούς αυτούς, υπάρχει ένας ειδικός τύπος ελεγκτή συγκεκριμένα: ελεγκτής τομέα μόνο για ανάγνωση (RODC), δεδομένη λειτουργίαδιαθέσιμο σε λειτουργικές λειτουργίες τομέα, ξεκινώντας από τον Windows Server 2008 και νεότερες εκδόσεις.

Ένας ελεγκτής τομέα μόνο για ανάγνωση περιέχει ένα πλήρες αντίγραφο όλων των αντικειμένων τομέα και μπορεί να είναι ένας καθολικός κατάλογος, αλλά δεν σας επιτρέπει να κάνετε αλλαγές στη δομή AD, σας επιτρέπει επίσης να ορίσετε οποιονδήποτε χρήστη ως τοπικό διαχειριστή, ο οποίος θα επιτρέψτε του να υπηρετήσει πλήρως δεδομένου διακομιστή, αλλά και πάλι χωρίς πρόσβαση σε υπηρεσίες AD. Στην περίπτωσή μας, αυτό διέταξε ο γιατρός.

Εγκαταστήσαμε το υποκατάστημα RODC, όλα λειτουργούν, είστε ήρεμοι, αλλά οι χρήστες αρχίζουν να παραπονιούνται για τη μεγάλη σύνδεση και οι λογαριασμοί κίνησης στο τέλος του μήνα δείχνουν υπέρβαση. Τι συμβαίνει? Ήρθε η ώρα να θυμηθούμε για άλλη μια φορά την ισοδυναμία των ελεγκτών τομέα, ο πελάτης μπορεί να στείλει το αίτημά του σε οποιονδήποτε ελεγκτή τομέα, ακόμη και σε άλλο υποκατάστημα. Λάβετε υπόψη το αργό και, πιθανότατα, απασχολημένο κανάλι επικοινωνίας - αυτός είναι ο λόγος για τις καθυστερήσεις σύνδεσης.

Ο επόμενος παράγοντας που δηλητηριάζει τη ζωή μας σε αυτήν την κατάσταση είναι η αναπαραγωγή. Όπως γνωρίζετε, όλες οι αλλαγές που γίνονται σε έναν από τους ελεγκτές τομέα διαδίδονται αυτόματα σε άλλους και αυτή η διαδικασία ονομάζεται αναπαραγωγή, σας επιτρέπει να έχετε ένα ενημερωμένο και συνεπές αντίγραφο των δεδομένων σε κάθε ελεγκτή. Η υπηρεσία αναπαραγωγής δεν γνωρίζει για το υποκατάστημά μας και ένα αργό κανάλι επικοινωνίας, και επομένως όλες οι αλλαγές στο γραφείο θα αναπαραχθούν αμέσως στο υποκατάστημα, φορτώνοντας το κανάλι και αυξάνοντας την κατανάλωση κίνησης.

Εδώ ερχόμαστε κοντά στην έννοια των ιστοσελίδων AD, που δεν πρέπει να συγχέεται με τοποθεσίες Διαδικτύου. Ιστότοποι Active Directoryαντιπροσωπεύουν έναν τρόπο φυσικής διαίρεσης της δομής μιας υπηρεσίας καταλόγου σε περιοχές που χωρίζονται από άλλες περιοχές με αργούς και/ή ασταθείς συνδέσμους. Οι ιστότοποι δημιουργούνται με βάση τα υποδίκτυα και όλα τα αιτήματα πελατών αποστέλλονται πρώτα στους ελεγκτές του ιστότοπού τους, είναι επίσης πολύ επιθυμητό να υπάρχει ένας παγκόσμιος κατάλογος σε κάθε τοποθεσία. Στην περίπτωσή μας, πρέπει να δημιουργήσουμε δύο ιστότοπους: Ιστότοπος AD 1για το κεντρικό γραφείο και Ιστότοπος AD 2για έναν κλάδο, πιο συγκεκριμένα έναν, αφού από προεπιλογή η δομή AD περιέχει ήδη έναν ιστότοπο, ο οποίος περιλαμβάνει όλα τα αντικείμενα που δημιουργήθηκαν προηγουμένως. Ας δούμε τώρα πώς γίνεται η αναπαραγωγή σε ένα δίκτυο με πολλές τοποθεσίες.

Θα υποθέσουμε ότι ο οργανισμός μας έχει μεγαλώσει λίγο και το κεντρικό γραφείο περιέχει έως και τέσσερις ελεγκτές τομέα, η αναπαραγωγή μεταξύ ελεγκτών ενός ιστότοπου ονομάζεται ενδοθέσιοκαι συμβαίνει αμέσως. Η τοπολογία αναπαραγωγής δημιουργείται σύμφωνα με το σχήμα δακτυλίου με την προϋπόθεση ότι δεν υπάρχουν περισσότερα από τρία βήματα αναπαραγωγής μεταξύ οποιωνδήποτε ελεγκτών τομέα. Το σχήμα δακτυλίου αποθηκεύεται έως και 7 ελεγκτές συμπεριλαμβανομένων, κάθε ελεγκτής δημιουργεί μια σύνδεση με δύο πλησιέστερους γείτονες, με μεγαλύτερο αριθμό ελεγκτών εμφανίζονται πρόσθετες συνδέσεις και ο κοινός δακτύλιος, όπως ήταν, μετατρέπεται σε μια ομάδα δακτυλίων που τοποθετούνται ο ένας πάνω στον άλλο.

IntersiteΗ αναπαραγωγή γίνεται διαφορετικά, σε κάθε τομέα επιλέγεται αυτόματα ένας από τους διακομιστές (διακομιστής γέφυρας), ο οποίος δημιουργεί μια σύνδεση με έναν παρόμοιο διακομιστή άλλου ιστότοπου. Από προεπιλογή, η αναπαραγωγή πραγματοποιείται μία φορά κάθε 3 ώρες (180 λεπτά), ωστόσο, μπορούμε να ορίσουμε το δικό μας πρόγραμμα αναπαραγωγής και για να εξοικονομήσουμε κίνηση, όλα τα δεδομένα μεταφέρονται σε συμπιεσμένη μορφή. Εάν υπάρχει μόνο ένα RODC σε μια τοποθεσία, η αναπαραγωγή πραγματοποιείται μονής κατεύθυνσης.

Φυσικά, τα θέματα που θίξαμε είναι πολύ βαθιά και σε αυτό το υλικό τα θίξαμε μόνο ελαφρώς, αλλά αυτή είναι η απαραίτητη ελάχιστη γνώση που πρέπει να έχετε πριν από την πρακτική εφαρμογή του Active Directory στην εταιρική υποδομή. Αυτό θα αποφύγει ανόητα λάθη κατά την ανάπτυξη και καταστάσεις έκτακτης ανάγκης κατά τη συντήρηση και επέκταση της δομής, και καθένα από τα θέματα που τέθηκαν θα συζητηθεί με περισσότερες λεπτομέρειες.