Главная

Категории:

ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника






Серверы Глобального каталога и Хозяева операций


Большинство операций с записями БД Active Directory администратор может выполнять, подключившись с помощью соответствующей консоли к любому из контроллеров домена. Однако, во избежание несогласованности, некоторые действия должны быть скоординированы и выполнены специально выделенными для данной цели серверами. Такие контроллеры домена называются Хозяевами операций ( Operations Masters ), или исполнителями специализированных ролей (Flexible Single-Master Operations, сокращенно — FSMO ).

Всего имеется пять специализированных ролей:

  1. Schema Master (хозяин схемы): контролирует возникающие изменения Схемы базы данных Active Directory (добавление и удаление классов объектов, модификация набора атрибутов). Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).
  2. Domain Naming Master (хозяин именования доменов): контролирует процесс добавления или удаления доменов в лесу. Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).
  3. PDC Emulator (эмулятор PDC): действует как PDC (главный контроллер домена) для BDC (резервный контроллер домена) под управлением Windows NT, когда домен находится в смешанном режиме; управляет изменениями паролей (изменение пароля учетной записи в первую очередь реплицируется на эмулятор PDC); является предпочтительным сервером (в Windows 2000 — единственный сервер) для редактирования групповых политик; является сервером времени для остальных контроллеров данного домена (контроллеры домена синхронизируют свои системные часы с эмулятором PDC). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).
  4. RID Master (хозяин RID, распределитель идентификаторов учетных записей): выделяет контроллерам домена пулы относительных идентификаторов (RID, которые являются уникальной частью идентификаторов безопасности SID). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).
  5. Infrastructure Master (хозяин инфраструктуры): отвечает за обновление связей "пользователи — группы" между доменами. Эта роль не должна храниться на контроллере домена, который также является сервером Глобального Каталогахозяин инфраструктуры не будет работать в данном сценарии (за исключением случая, когда в домене всего один контроллер). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

Просмотреть текущих владельцев ролей и передать ту или иную роль на другой контролер можно с помощью административных консолей:

  • роль Хозяина Схемы — с помощью консоли " Active Directory Schema " (чтобы запустить эту консоль, надо сначала зарегистрировать соответствующую программную компоненту в командной строке: regsvr32 schmmgmt.dll, а затем запустить саму консоль тоже в командной строке — schmmgmt.msc );
  • роль Хозяина именования доменов — с помощью консоли " Active Directory – домены и доверие ";
  • роли эмулятора PDC, хозяина RID и хозяина инфраструктуры — с помощью консоли " Active Directory – пользователи и компьютеры " (пример можно увидеть нарис. 6.40).


Рис. 6.40.

Необходимо знать, кто из пользователей имеет право менять роли хозяев операций:

  • эмулятор PDC — члены группы " Администраторы домена ";
  • хозяин RID — члены группы " Администраторы домена ";
  • хозяин инфраструктуры — члены группы " Администраторы домена ";
  • хозяин именования доменов — члены группы " Администраторы предприятия ";
  • хозяин схемы — члены группы " Администраторы Схемы " или группы " Администратор предприятия ".

Если контроллер домена, которому принадлежит роль хозяина операции, выходит из строя (вследствие повреждения оборудования или программного обеспечения), причем нет возможности восстановить данную систему из резервной копии, то с помощью административных консолей передать роли работоспособным серверам нет возможности. Восстановить функционирование определенной роли хозяина операций можно только путем захвата данной роли с помощью утилиты командной строки ntdsutil.

Сервер глобального каталога

Напомним, что Глобальный каталог ( global catalog ) — это перечень всех объектов леса Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и не обо всех атрибутах этих объектов), находящемся в данном лесу.

Сервер глобального каталога выполняет две очень важные функции:

  • поиск объектов в масштабах всего леса (клиенты могут обращаться к глобальному каталогу с запросами на поиск объектов по определенным значениям атрибутов; использование сервера глобального каталога — единственный способ осуществлять поиск объектов по всему лесу);
  • аутентификация пользователей (сервер глобального каталога предоставляет информацию о членстве пользователя в универсальных группах, universal groups ; поскольку универсальные группы со списками входящих в них пользователей хранятся только на серверах глобального каталога, аутентификация пользователей, входящих в такие группы, возможна только при участии сервера глобального каталога).

По умолчанию самый первый контроллер домена в лесу является сервером глобального каталога. Однако администратор сети может назначить любой контроллер домена сервером глобального каталога. Это делается с помощью административной консоли " Active Directory – сайты и службы ", в свойствах узла " NTDS Settings" выбранного контроллера (рис. 6.41):


Рис. 6.41.

Для эффективной работы службы каталогов Active Directory необходимо, чтобы в каждом сайте AD был либо сервер глобального каталога, либо контроллер домена, кэширующий у себя списки членов универсальных групп. Кэширование универсальных групп также настраивается в консоли " Active Directory – сайты и службы " в свойствах узла " NTDS Settings " для каждого сайта Active Directory. Для включения кэширования нужно поставить галочку у поля " Разрешить кэширование членства в универсальных группах " и указать, из какого сайта данный сайт будет получать списки универсальных групп в поле " Обновлять кэш из:" (рис. 6.42):


Рис. 6.42.



Последнее изменение этой страницы: 2016-06-10

headinsider.info. Все права принадлежат авторам данных материалов.