Типові завдання адміністрування мережі Windows 2000, Локальні мережі, статті

Як відомо, в Active Directory реалізована реплікація в режимі multi-master. У той же час деякі операції вигідніше проводити в режимі з одним головним сервером, тобто в режимі single-master (з виділеним основним контролером операцій). Цей контролер відповідає за виконання конкретних функцій, які називаються ролями контролера операцій. Оскільки ці ролі не мають жорсткої прив’язки до конкретному серверу в рамках домену чи лісу, їх називають переміщуваними (FSMO, Flexible Single Master Operations). Таких ролей в мережі Windows 2000 п’ять, і розподіляються вони по двом різним групам.


Ролі, унікальні в рамках лісу


Schema Master

Роль, відповідальна за управління змінами і модифікаціями схеми. В рамках лісу існує єдиний сервер, який зберігає доступну для запису копію схеми. Відповідно, для внесення до неї змін необхідно зв’язатися з цим контроллером домену.

Domain Naming Master

Роль, що управляє всіма доменними іменами в рамках лісу і відслідковує додавання та видалення доменів. У разі його недосяжності створення нового домену в рамках лісу стає неможливим.


Ролі, унікальні в рамках домену


PDC (Primary Domain controller)
Emulator

Найбільш часто використовуваний в роботі контролер. Відповідає за роботу з обліковими записами користувачів, групові політики та оновлення інформаційних баз резервних контролерів домену. Крім того, при наявності в мережі резервних контролерів домену NT 4.0 грає роль головного контролера домену. При цьому у випадку, якщо пароль користувача відкинутий резервним контроллером, то перед тим, як відкинути запит на доступ до ресурсу, цей запит буде переданий PDC Emulator’у, і тільки після підтвердження відмови користувач побачить стандартне повідомлення про невірність пароля.


Infrastructure Master

Цей контролер відповідає за все міждоменні відносини, зокрема управляє членством в міждоменної групах. Наприклад, у разі зміни імені члена групи або його видалення з групи цей контролер оновлює всі посилання з групи на цього користувача. При цьому всі зміни реплікуються в режимі multi-master, що змушує розносити на різні фізичні сервери роль Infrastructure Master і сервер глобального каталогу.


Relative ID (RID) Master

Цей контролер надає новим користувачам і групам користувачів відносні ідентифікатори (RID). Даний ідентифікатор необхідний для формування унікального ідентифікатора безпеки (SID) для кожного нового об’єкта типу «користувач», «група користувачів »або« комп’ютер ».


Управління носіями ролей
FSMO

Як ми бачимо, у порівнянні з доменом NT 4.0 кількість службових контролерів зросла. Якщо запорукою стабільної роботи домену NT 4.0 була наявність головного контролера домену (PDC) і сервера динамічного розподілу IP-адрес (DHCP), то кількість потенційних вузьких місць мережі Windows 2000 представляється помітно більшим. Відповідно збільшилося і кількість утиліт адміністрування, використовуваних в повсякденній роботі, доскональне знання яких є запорукою сталої роботи мережі. Крім успадкованих і звичних утиліт Server manager і User Manager зі складу NT 4.0, для адміністрування мережі Windows 2000 застосовуються додатково ще шість програмних засобів, розгляду яких ми і присвятимо цей розділ.


Монітор реплікації (Replication
monitor)

Ця утиліта, що входить до складу Windows 2000 Support Tools, дозволяє переглянути поточний розподіл ролей FSMO і перевірити доступність відповідного контролера. Її функції носять інформаційно-допоміжний характер, оскільки з її допомогою неможливо передати роль іншому контролеру домену. Найважливішою і корисною функцією цієї утиліти є можливість визначення доступності носіїв ролі.


Утиліта командного рядка
NetDom.exe

Ця утиліта командного рядка також входить в складу Windows 2000 Support Tools. При всій своїй невитіюватість і убогому інтерфейсі (хоча яким ще може бути інтерфейс у MS-DOS-додатків?) ця програма є найпотужнішим інструментом адміністрування, особливо в випадку, коли використання нових графічних адміністративних утиліт ще не стало автоматичним. Найбільш важливими є можливості перегляду носіїв ролей, перенесення робочих станцій і серверів між доменами і управління довірчими відносинами між доменами. Ця програма коштує того, щоб її використовувати.


Утиліта командного рядка
NTDSUtil.exe

Цю утиліту можна сміливо назвати NetDom extended, оскільки крім функцій утиліти NetDom.exe вона містить функції перерозподілу носіїв ролей FSMO. Ця програма дуже ефективна, але оцінити по достоїнству її зможуть лише ті, для кого командні рядки MS-DOS і UNIX shell до сих пір є улюбленими інструментами адміністрування мережі. Найбільшою перевагою цієї утиліти є те, що вона дозволяє переносити всі п’ять ролей. Це дуже важливо, оскільки завдання зміни носіїв ролей FSMO, виконана розглянутими нижче GUI-додатками, вимагає застосування двох утиліт.


Оснащення Active directory Users and
Computers

Ця оснастка являє собою подальший розвиток ідей, закладених в утиліти User Manager і Server Manager з складу NT 4.0. Вона дозволяє повністю управляти доменом як на рівні користувачів і груп, так і на рівні розподілу ролей в рамках домену. Її використання дозволяє переміщати ролі PDC Emultor, Rid Master і Infrastructure Master з граничною простотою.


Оснащення Active Directory Domains and
Trusts

Використання цієї оснастки дає можливість переміщати роль Domain Naming Master. Ідеологічно можна було б очікувати від даної оснастки та управління роллю Schema Master, однак ця функція надійно захована в надрах Windows 2000 Support Tools. Бажаючі поекспериментувати з налаштуваннями Schema Master повинні в ручному режимі додати snap-in управління схемою до консолі адміністрування. Перш ніж почати діяти, візьміть до відома, що всі зміни схеми незворотні!


Ролі FSMO і стабільність мережі Windows
2000

Тепер поговоримо про проблему стійкості нашої мережі і про те значення, яке кожна з ролей має для стабільності мережі в цілому. По роботі з мережею NT 4.0 ми пам’ятаємо, що вихід з ладу DHCP-, WINS-і DNS-серверів приводив до серйозних проблем при роботі з мережею. Однак за роки керування мережами NT 4.0 системні фахівці придбали досвід, що дозволяє в мінімальні терміни відновити працездатність мережі. Всі нижческазане пропонується як інформація до роздумів на тему визначення вразливих місць мережі Windows
2000.


Унікальні ролі лісу

Як ми вже говорили, в рамках лісу існують дві унікальні ролі: Schema Master і Domain Naming Master. Як правило, носієм цих двох ролей є один фізичний сервер. Крім того, оскільки ці ролі достатньо статичні і будь-яка зміна в них має виходити від провідного системного фахівця, представляється розумним розмістити їх поблизу від мережевого департаменту.


Schema Master

З усіх ролей FSMO ця роль створює менше Найбільше проблем у разі тимчасового обриву зв’язку. За великим рахунком, цей сервер потрібний тільки для внесення будь-яких змін в схему, що трапляється досить рідко. Однак для установки ряду серверних додатків (Наприклад, таких як Microsoft Exchange 2000) наявність цієї ролі в мережі обов’язково. При будь-яких модифікаціях схеми необхідно пам’ятати, що будь-яке її зміна незворотнім. Тому, якщо ви не впевнені в правильності дій, передайте роль майстра схеми на контролер домену та ізолюйте його від іншої мережі. Тоді всі зміни, які ви зробите в схемі, не поширяться відразу по лісі, а у вас буде можливість відновити
status-quo.


Domain Naming Master

Це єдина роль рівня лісу, що має права на зміну об’єктів домена. Її участь є необхідним не тільки при створенні і видаленні домену в лісі, а й при операціях з перехресними посиланнями на зовнішні каталоги. В межах лісу лише один сервер може бути носієм даної ролі. Найбільш часто причиною неможливості скористатися утилітою DCPromo є недоступність сервера DNM. Носії ролей Domain Naming Master і Schema Master слід розміщувати на одному контролері домену. Після закінчення етапу впровадження та доопрацювання мережі ці ролі втратять свою споконвічно високу значимість. Тим не Проте необхідно забезпечити гарантовано високу якість зв’язку між їхніми носіями і сервером глобального каталогу. Ідеальним варіантом буде їх розміщення на одному фізичному сервері, що висуває підвищені вимоги як до матеріальної частини цього комп’ютера, так і до якості його з’єднання.


Унікальні ролі домену


PDC emulator

Недоступність носія цієї ролі тягне за собою максимум неприємностей як для користувачів, так і для служби технічної підтримки. Типовими ознаками його відмови є неможливість доступу до масиву облікових записів домену та налаштувань Group Policy. Таким чином, у разі виходу з ладу цього сервера вся робота домену може бути паралізована. В конференціях неодноразово висувалося пропозиція знизити роль цього сервера шляхом переведення домену в native-режим. Мотивується цей крок тим, що в однорідному домені потреба в PDC emulator відпадає. При цьому не враховується, що навіть після переведення домену в native-режим PDC Emulator як і раніше продовжує відпрацьовувати всі зміни паролів.

Крім того, не слід забувати, що ця роль здатна сильно знизити продуктивність контролера домену. Коли цей факт отримує підтвердження, слід перемістити роль PDC Emulator на інший сервер, не несе на собі яких-небудь додаткових ролей.


RID master

Ця роль досить специфічна. Як було сказано вище, її основна функція полягає у формуванні відносного ідентифікатора безпеки (RID, relative identifier), використовуваного операційною системою для формування нового об’єкта захисту. На сервері цій ролі є база з кількома мільйонами RID, унікальних в межах існуючого лісу. При створенні нового контролера домену RID Master виділяє йому деякий масив RID-ідентифікаторів, які можуть бути використані при створенні нових об’єктів захисту. Відповідно, якщо цей запас підійде до кінця і при цьому RID Master виявиться недоступний, то створення нових об’єктів захисту буде неможливо. У нашій пілотної мережі така відмова одного разу стався при збої зв’язку між контролером домену та сервером RID Master. При цьому робота в режимі без зв’язку з RID Master тривала майже тиждень, що дозволяє з тим або іншим ступенем впевненості встановити час реакції на відмову RID Master в 2-3 дня в Залежно від інтенсивності створення нових об’єктів захисту.


Infrastructure master

Це сама «незрозуміла» роль мережі Windows 2000. І як тільки її не називають в конференціях – і сервер центральній захисту лісу, і головний сервер безпеки, контролюючий відбувається в лісі … Насправді цей сервер відповідає за перетворення імен при міждоменної взаємодіях. Прикладом такої взаємодії може бути приєднання користувача з домена А до групи домену Б.

Важливою особливістю носія цієї ролі є те, що на одному фізичному сервері не можна розміщувати Infrastructure Master і сервер глобального каталогу. В іншому випадку через сусідство з глобальним каталогом IM завжди буде містити самі останні дані, не потребуючи оновлення. В цьому випадку IM ніколи не отримає посилання на об’єкт, не обслуговується цим контролером домену. Отже, якщо не примусити IM шукати посилання на невідомий об’єкт, то він ніколи не буде оновлювати свою інформацію. Зрозуміло, в однодоменних режимі необхідність в IM мінімальна.

Мабуть, найбільшу складність в процесі міграції представляє усвідомлення необхідності того чи іншого сервера в рамках конкретної мережевої структури. На жаль, нерідкі випадки, коли системні адміністратори кидають всі сили на відновлення функціонування другорядного сервера, необхідність якого в їх мережі вельми сумнівна.



1. Ролі Schema Master і Domain Naming Master слід розміщувати на одному комп’ютері. Причому на цьому ж фізичному сервері повинен бути розміщений сервер глобального каталогу. Якщо на ньому відбудеться відмову, то перехоплювати цю роль слід тільки в разі необхідності внесення будь-яких змін в схему або створення нового домену.

2. Роль PDC Emulator пред’являє підвищені вимоги до апаратного забезпечення сервера і є явним кандидатом на розміщення на окремому контроллері домена. У разі виходу його з ладу для нормального функціонування мережі необхідний перехоплення цієї ролі.

3. Роль Infrastructure Master повинна бути одній на домен, при цьому вона не повинна фізично розташовуватися на тому ж сервері, що і сервер глобального каталогу.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*