Примечание ). В локальных сетях рекомендуется назначать серверами глобального каталога не менее двух контроллеров домена

В локальных сетях рекомендуется назначать серверами глобального каталога не менее двух контроллеров домена.

Серверы GC хранят наиболее часто используемые атрибуты объектов. Ус­ловно можно считать, что объем хранимых на GC данных снижается пример­но в 2 раза по сравнению с "полным" вариантом описания объекта. Но если конкретным приложениям необходим частый доступ к нереплицируемым атрибутам, то администратор может внести изменения в параметры GC, от­корректировав схему организации. Для этого достаточно в консоли управле­ния оснасткой AD Schema включить репликацию в свойствах соответствую­щих атрибутов; по умолчанию этой оснастки нет в списке меню, ее следует добавить в консоль управления.

{ Примечание ^

Некоторые приложения активно используют обращения kGC. Например, MS Exchange Server. В этих случаях сервер GC обязательно должен быть включен в соответствующий сайт ("рядом" с таким приложением).

I

В режиме только для чтения.

В реальной сети необходимо обеспечить некую разумную избыточность GC, шея в виду, что каждый дополнительный GC — это и дополнительный объ­ем копирования данных, передача которых может привести к повышенной нагрузке на системы и каналы связи.

DN, RDN

Для успешной работы с каталогами необходимо ориентироваться в терминах DN (Distinguished Names) и RDN (Relative Distinguished Names).

Объекты каталога хранятся в иерархической структуре. Условно можно срав­нить такую структуру со структурой файловой системы. Есть корневой ката­лог, есть вложенные в него каталоги, в них, в свою очередь, могут храниться как сами файлы, так и другие папки. В этой аналогии DN подобен полному пути имени файла. В DN приводится полный путь к объекту, начиная с самой 'верхней" точки иерархии каталога.

RDN подобен относительному пути к файлу. Это может быть только само имя файла (обычный RDN) или относительный путь (многоатрибутный RDN). Например, в организации может быть заведен пользователь Иванов. Если в организации в разных отделах работают два Иванова, то только по фамилии невозможно будет определить конкретного работника. Но если ис­пользовать миогоатрибутный RDN, состоящий, например, из фамилии и на­звания отдела, то работник будет обозначен точно:

СП = Иванов + ои = Бухгалтерия

Управление структурой домена предприятия

При проектировании логической структуры компьютерной сети организации следует учитывать многие факторы: решаемые задачи, требования безопас­ности, количество офисов, квалификацию обслуживающего персонала и т. п.

В небольших организациях не имеет особого смысла создание разветвленной логической структуры сети, поскольку обычно внутри организации приме­няются только одна или две групповые политики. С увеличением численно­сти компьютерных систем структура становится все более сложной.

В большинстве случаев логическая структура домена будет "следовать" за организационной структурой предприятия. На малых и средних предприяти­ях обычно не возникает задача оптимизации количества и размещения кон­троллеров домена'. Если исходить из критериев мощности компьютера, то производительности одного сервера обычно вполне достаточно для обслужи­вания нескольких сотен рабочих станций. Однако в целях резервирования

Ситуация с удаленным офисом будет обсуждена в главе 8.

целесообразно иметь в сети не менее двух контроллеров, чтобы времени неисправности на одном из них не отразились на функционировании пред­приятия.

Создание нового домена

Для создания нового домена необходимо запустить утилиту dcpromo (ее мож-
но стартовать также из задачи управления сервером, выбрав в меню пункт
создания контроллера домена). В зависимости от ответов на вопросы мастера
операции, вы сможете добавить новый контроллер в существующем доме
либо создать новый домен. Можно создать новый домен внутри уже сущест
вующего, либо создать новое дерево доменов, дав домену уникальное имя
Все операции достаточно просты и обычно выполняются в течение нескол
ких минут. После чего, перезагрузив компьютер, вы получаете новый ко
троллер домена. 1

Естественно, что для выполнения операций пользователь должен обладать со­ответствующими правами. Так, для создания нового дерева доменов предпри­ятия операцию необходимо выполнять с правами администратора предпри­ятия.

Перед началом операции следует тщательно обдумать то доменное имя, ко-
торое вы дадите вновь создаваемому домену. Если ваша организация имеет
уже зарегистрированное в Интернете доменное имя, то имя домена Windows
может быть основано на нем¹. Ничто не запрещает вам избрать для внутрен-
него домена имя, которое не соответствует реальным доменам Интернета,
например дать название myorg.Iocal. 1

Проследите, чтобы полное доменное имя не являлось именем первого уровня, а обязательно состояло из двух частей. В противном случае необходимо вы­полнить ряд дополнительных настроек, которые следует уточнить по докумен­тации с сайта разработчика.

Создание домена обязательно требует наличия сервера DNS. Если сервер DNS не настроен, по умолчанию программа установки предлагает создать и настроить сервер DNS локально. В общем случае служба каталогов не требу­ет обязательного использования DNS-сервера разработки Microsoft. AD мо­жет быть установлена, например, на сервер BIND. При этом следует учесть, что BIND версии 4.9.7 и старше поддерживает возможность создания SRV-

Можно присвоить внутреннему домену реальное имя Интернета, а можно дать только локальное название. В любом случае по соображениям безопасности данные структуры домена Windows (DNS-сервера) не публикуются в глобалыюП сети.

1исей, которые необходимы для работы службы каталогов, а, начиная с;рсии 8.2.2, поддерживаются и динамические обновления записей данного

•собенности создания дополнительного удаленного;онтроллера в домене Windows Server 2003

;ле создания нового контроллера домена программа пытается выполнить синхронизацию с другими контроллерами. Объем данных, передаваемый этой операции по сети, обычно составляет десятки мегабайт, а в средних (ганизациях может превышать и несколько сотен мегабайт. Поэтому уста­ву контроллеров для филиалов, подключенных через медленные каналы (язи, лучше производить непосредственно в центральном офисе. После пер-жачалыюй синхронизации компьютер можно выключить и перевезти на удаленную площадку. Объем синхронизуемых данных, которые будут пере­даны после включения компьютера в удаленном офисе, в этом случае будет щественно ниже объема первоначальной синхронизации и не создаст кри-ческой нагрузки на каналы связи.

В Windows 2003 введена новая возможность при создании контроллера доме-— это выполнение первоначальной синхронизации из файлов резервного юирования.

Дня создания нового контроллера в удаленном офисе необходимо сначала толнить резервное копирование состояния (system state) любого контрол-:ра домена, после чего полученные файлы резервной копии любым спосо­бом передать в удаленный офис (например, нарезать на CD-матрицы). В удаленном офисе следует восстановить эти данные утилитой ntbackup в другое место (выбрать данную опцию и указать папку для восстановления).

:м запустить утилиту dcpromo с ключом /adv. При таком варианте ее за­пуска на одном из шагов появится дополнительная опция, запрашивающая место, откуда следует провести загрузку первичных данных (рис. 5.5). Вам аточно указать папку, в которую было проведено восстановление данных с контроллера домена. В завершение операции система проведет синхрониза­цию последних изменений службы каталогов.

Новая возможность Windows 2003 Server позволяет при создании второго контроллера загрузить большую часть данных из файлов резервного копиро­вания основного контроллера, сократив объем реплицируемых по каналам связи данных.