Россия, Барнаул, АлтГТУ им. И.И. Ползунова, 2019 |
Контроллеры доменов
Описание ролей контроллера домена (DC)
Когда была выпущена версия Windows 2000, основное внимание было уделено тому факту, что принцип NT 4 "главные/резервные контроллеры домена (PDC/BDC)" остался в прошлом. Ввиду сложностей правил использования PDC/BDC и затруднений, возникавших при отключении или необходимости обслуживания PDC, это было приятной новостью. Кроме того, часто повторялось, что теперь "все контроллеры домена равны". Это не совсем верно, поскольку все контроллеры домена не обязательно должны быть "равны". На самом деле существует вполне логичный набор ролей, позволяющий упростить и сделать более эффективным управление вашим предприятием за счет использования Active Directory. Следующие пять различных ролей обязательно используются для поддержки леса и домена (доменов), и вы можете назначать различные роли различным DC, а также назначать сразу несколько ролей одному DC.
- Хозяин схемы (Schema master) - роль на уровне леса.
- Хозяин именования доменов (Domain naming master) - роль на уровне леса.
- Хозяин относительных идентификаторов [Relative ID (RID) master] - роль на уровне домена.
- Хозяин эмулятора главного контроллера домена [Primary Domain Controller (PDC) emulator master] - роль на уровне домена.
- Хозяин инфраструктуры (Infrastructure master) - роль на уровне домена.
Windows Server 2003 (и Windows 2000) поддерживает модель репликации с несколькими основными контроллерами (multimaster replication), когда на любом DC разрешается вносить изменения в структуру и объекты домена (что делает каждый DC основным контроллером ). Эти изменения реплицируются на все остальные DC в домене.
Этот подход, подразумевающий сбор информации и ее репликацию на любых DC, создал впечатление, что, начиная с Windows 2000, все DC "равны". Но если немного подумать, то становится ясно, что иметь домен с совершенно равноправными контроллерами совсем неэффективно. Возникает явная избыточность операций, если реплицировать все, что имеется в домене, на весь домен. А иногда это может быть даже опасным. Например, если два сотрудника отдела ИТ, работающие на различных DC, создают объекты с одинаковым именем, но с различными настройками конфигурации, то возникнет конфликт этих изменений в базе данных Active Directory.
Чтобы сделать этот подход более эффективным, вы можете назначать роли. Назначение роли контроллеру домена означает, что в смысле этой конкретной роли данный DC превышает остальные DC (хотя все DC считаются равными).
Назначение ролей
Когда вы устанавливаете первый DC Windows Server 2003 и создаете первый лес и первый домен, этот DC имеет все роли для этого леса и домена. По мере добавления контроллеров домена к данному домену эта ситуация не изменяется. При добавлении доменов к лесу первый DC в домене имеет все роли для этого домена, и добавление других DC не изменяет этой ситуации.
Windows не проявляет никакой самостоятельности или каких-либо попыток автоматического конфигурирования, чтобы распределять роли между контроллерами домена. Вы должны назначать роли контроллерам домена вручную и можете распределять их между любым числом DC. Выполняйте эти задачи, исходя из конфигурации вашего предприятия. В следующих разделах при описании каждой роли говорится также, как назначать эту роль конкретному DC.
Не изменяйте роли автоматически - здесь не подходит никакой принцип "сбалансированности". Эта одна из тех задач, которые выполняются только по мере необходимости, и ваши основные принципы - это "простота" и "если это не ломается, то не стоит это исправлять". Изменяйте роли, только когда в этом есть смысл. Например, если DC с несколькими ролями стал работать явно медленнее, то передайте роли другому DC. Или, если большинство администраторов, управляющих предприятием, находятся в одном сайте, но роли уровня леса содержатся на DC в другом сайте, переместите роли уровня леса на контроллеры домена, находящиеся ближе к этим администраторам, чтобы не приходилось выполнять работу через глобальную сеть.
Хозяин схемы
Хозяин схемы (schema master) - это роль уровня леса, и на этом DC выполняются все обновления и изменения, вносимые в схему. (Поскольку Active Directory - это база данных, вы можете рассматривать схему как описания полей этой базы данных.) В лесу может быть только один хозяин схемы.
Вы можете просматривать и модифицировать схему, хотя обычно администраторы не вносят изменения. Обычно схема модифицируется путем добавления объектов для программных приложений, и подробную информацию по работе со схемой можно получить от Microsoft с помощью программы MSDN.
Чтобы можно было видеть схему и определять, какой DC в лесу имеет роль хозяина схемы, у вас должна быть установлена оснастка Active Directory Schema.
Для установки этой оснастки таким образом, чтобы она появлялась в консоли MMC, откройте окно командной строки и введите regsvr32 schmmgmt.dll, что будет регистрацией этой оснастки. Система выведет сообщение об успешном выполнении. Щелкните на кнопке OK, чтобы убрать это сообщение, и затем выйдите из окна командной строки.
Чтобы просмотреть схему для вашего леса, вы должны загрузить эту оснастку в консоли MMC, используя следующие шаги.
- Выберите Start/Run, введите mmc /a и щелкните на кнопке OK, чтобы открыть консоль MMC в авторском режиме.
- В консоли MMC выберите File/Add/Remove Snap-in (Файл/Добавление/Удаление оснастки), чтобы открыть диалоговое окно Add/Remove Snap-in.
- Щелкните на кнопке Add, чтобы открыть диалоговое окно Add Standalone Snap-in (Открытие автономной оснастки).
- Выберите Active Directory Schema, щелкните на кнопке Add и затем щелкните на кнопке Close (или дважды щелкните Active Directory Schema и щелкните на кнопке Close), чтобы вернуться в диалоговое окно Add/Remove Snap-in.
- Щелкните на кнопке OK, чтобы загрузить эту оснастку в дерево консоли.
Имеет смысл сохранить эту консоль (чтобы вам не пришлось снова выполнять все шаги по добавлению этой консоли), что можно сделать, выбрав File/Save. Введите подходящее имя файла (например, schema). Система автоматически добавит расширение имени .msc. После этого сохраненная консоль будет доступна в подменю Administrative Tools меню All Programs, поэтому вам не придется открывать окно Run для ее использования.
После загрузки этой оснастки имя ее объекта в дереве консоли будет содержать имя DC, содержащего схему.
Вы можете раскрыть объект-схему для просмотра классов и атрибутов, которые являются довольно сложными объектами. Описание и модифицирование объектов схемы выходит за рамки изложения этого курса, поскольку эту задачу лучше оставить опытным программистам. Кстати, добавление объектов к схеме называется "расширением схемы".
Если вы являетесь членом группы Schema Admins, то можете перемещать роль хозяина схемы между контроллерами домена. Вы можете выполнить эту задачу с любого компьютера Windows Server 2003; это не обязательно должен быть контроллер домена.
Начните с открытия консоли MMC, которую вы сохранили (см. предыдущие разделы). Затем выполните следующие шаги для перемещения этой роли на другой DC.
- В дереве консоли щелкните правой кнопкой на объекте Active Directory Schema и выберите в контекстном меню пункт Change Domain Controller (Сменить контроллер домена).
- Щелкните на Specify Name (Задать имя) и введите имя DC, которому хотите передать роль хозяина схемы. Вы можете ввести NetBIOS-имя (Windows автоматически применит полностью уточненное имя [FQDN]).
- Щелкните на кнопке OK, чтобы вернуться в консоль, где в имя объекта Active Directory Schema будет включено имя нового сервера.
- В дереве консоли снова щелкните правой кнопкой на объекте Active Directory Schema и выберите Operations Master (Хозяин операций), чтобы открыть диалоговое окно Change Schema Master (Замена хозяина схемы).
- Щелкните на кнопке Change. Если кнопка Change недоступна, это означает, что вы не имеете достаточных полномочий, чтобы сделать это изменение. Добавьте себя в группу Schema Admins, выполните выход и снова выполните вход, затем вернитесь в это диалоговое окно.
- Подтвердите это изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.