Россия |
Контроллеры доменов
Записи журнала событий W32Time
Одной из досадных проблем службы времени Windows является отсутствие предупреждений в явном виде. Если вашему руководящему серверу времени не удается получить синхронизацию времени от какого-либо таймера в интернете, на экран не выводится никакого предупреждающего сообщения. Предупреждения не выводятся также, когда ваш контроллер домена (DC) не может получить синхронизацию времени от руководящего сервера времени или ваши сетевые компьютеры не могут получить синхронизацию времени от их аутентифицирующих DC.
Однако с помощью Event Viewer можно получить информацию о проблемах службы времени, хотя многие предупреждения и сообщения об ошибках не совсем ясны, поэтому не всегда удается легко понять, что происходит. Сообщения об ошибках W32Time записываются в журнал System вместе с источником W32Time (щелкните на колонке Source, чтобы отсортировать журнал по источникам).
Если руководящий сервер времени недоступен, и вы сталкиваетесь с проблемами репликации DC, то, возможно, вы не понимаете, что на самом деле проблема связана со службой времени. Если вы видите событие с текстом "The RPC server is unavailable" (Сервер RPC недоступен), то, скорее всего, источником проблемы является невыполнение синхронизации времени.
Если в Windows 2000 или последующих версиях клиент не может найти DC для аутентификации, то он может выполнить вход иным способом, поскольку система кэширует опознавательные данные для аутентификации по умолчанию. Но в данном случае не выполняется процесс синхронизации времени, что заставляет W32Time выдать сообщение "Event ID 11, The NTP Server didn't respond" (Событие 11, Сервер NTP не ответил) в журнале System.
Если на руководящем сервере времени вы видите событие-предупреждение "Event ID 11, The NTP server didn't respond", то, видимо, имеется одна из следующих проблем.
- Сервер времени интернет теперь недоступен.
- Ваш прокси-сервер, возможно, мешает доступу к серверу времени интернет.
Если данный сервер времени интернет недоступен, найдите другой сервер и используйте команду net time /setsntp, чтобы задать его адрес.
Если у вас работает прокси-сервер Windows, то, возможно, руководящему серверу времени запрещен доступ к серверу времени интернет. Служба времени Windows запускается с помощью локальной системной учетной записи на внутреннем сервере, а средство Access Control (Управление доступом) на прокси-сервере не дает этой учетной записи доступ к обмену данных через Интернет. Используйте одно и следующих средств устранения этой проблемы.
- Отключите средство Access Control для прокси-сервера Winsock, сбросив флажок Enable Access Control во вкладке Permissions диалогового окна Properties службы Winsock Proxy в IIS Manager.
- Создайте руководящий сервер времени для доступа к прокси-серверу для его сервера NTP и сконфигурируйте этот прокси-сервер, чтобы он указывал на внешний сервер.
Глобальный каталог
Поскольку в этой лекции при рассмотрении ролей и функций контроллеров домена упоминается глобальный каталог, здесь приводится обзор этого средства. Дается краткое описание того, что делает глобальный каталог, а также его активизация и отключение на контроллере домена (DC). Здесь не описывается, как добавлять объекты и атрибуты в глобальный каталог, поскольку это выходит за рамки изложения этого курса. Но если вы уже работали с Windows 2000 и знакомы с этим процессом, то будете довольны нововведением в Windows Server 2003: после добавления новых объектов в глобальный каталог реплицируются только соответствующие изменения, но не весь глобальный каталог.
Глобальный каталог - это база данных каталога для объектов Active Directory в лесу. Для крупных предприятий глобальный каталог имеет огромные размеры, и даже для компаний меньшего масштаба он тоже может занимать много места.
На любом контроллере домена, содержащем экземпляр глобального каталога, он содержит полную копию всех объектов каталога для домена этого контроллера, а также частичную копию всех объектов всех остальных доменов данного леса. В эти частичные копии включаются объекты, которые наиболее часто используются в операциях поиска для пользователя, что дает высокую эффективность поиска во всем лесу без перегрузки сети постоянными запросами ко всем контроллерам домена данного леса.
Поиск в глобальном каталоге
Если пользователь запускает поиск определенного пользователя, принтера или любого другого ресурса в лесу, то этот поиск выполняется в глобальном каталоге. Запрос поиска направляется в порт 3268 (порт по умолчанию для глобального каталога) и затем передается в глобальный каталог для разрешения. Если контроллер домена (DC), где содержится глобальный каталог, дает результат, то он возвращает его. Если целью поиска является другой домен, и данного объекта нет в частичном каталоге этого DC, то этот DC запрашивает DC, содержащий глобальный каталог другого домена, и возвращает результаты пользователю.
Решение задач аутентификации с помощью глобального каталога
Если пользователь выполняет вход в одном домене, используя пользовательское имя из другого домена, то аутентифицирующий DC не имеет сведений об этой учетной записи и поэтому обращается к глобальному каталогу. Глобальный каталог выполняет разрешение этого имени в виде имени UPN (user principal name), представляющего учетную запись пользователя в форме UserName@domain.company (например, billg@executives.microsoft.com). Поскольку в UPN включается домен, где находится учетная запись данного пользователя, аутентифицирующий DC может разрешить пользователю выполнить вход.
Глобальные каталоги поддерживают универсальные группы
В многодоменной среде сведения о членстве в глобальных группах хранятся в каждом домене, но в случае универсальных групп эти сведения хранятся только в глобальном каталоге. (Напомним, что универсальные группы доступы только в том случае, если домены находятся на собственном функциональном уровне доменов Windows 2000 или выше.)
Когда пользователь, являющийся членом универсальной группы, выполняет вход в любой домен, глобальный каталог предоставляет информацию о членстве в универсальных группах этой пользовательской учетной записи. Эту информацию нельзя получить из любой базы данных на уровне объектов домена.
Кэширование членства в универсальных группах
В Windows Server 2003 улучшен способ использования членства в универсальных группах при аутентификации пользователей. При первом входе члена универсальной группы кэшируется информация об этом члене в универсальной группе, полученная из глобального каталога. При последующих входах аутентифицирующий DC Windows Server 2003 получает информацию о членстве в универсальной группе из своего локального кэша. Для пользователей удаленных сайтов, где сайт не содержит глобального каталога, это экономит много времени и значительную долю пропускной способности сети. И, конечно, это означает, что члены универсальных групп могут выполнять вход, даже если глобальный каталог недоступен.
Контроллеры домена Windows Server 2003 проверяют глобальный каталог каждые восемь часов для обновления своей кэшированной информации, и они могут обновлять до 500 членств в универсальных группах с помощью одного запроса обновления. Это часто оказывается быстрее и эффективнее, чем размещение глобального каталога на сайте, поскольку репликация глобального каталога требует больших затрат времени. (Сведения по репликации Active Directory, включая глобальный каталог, см. в "Описание Active Directory" .)
Локальное кэширование не включено по умолчанию, и если вы хотите активизировать это средство на контроллерах домена Windows Server 2003, имеющих медленное соединение с глобальным каталогом, используйте следующие шаги.
- Откройте Active Directory Sites and Services из меню Administrative Tools.
- В дереве консоли выберите нужный объект Site.
- В правой панели щелкните правой кнопкой на объекте NTDS Settings и выберите пункт Properties.
- Установите флажок Enable Universal Group Membership Caching (Включить кэширование сведений о членстве в универсальных группах).
- В поле Refresh Cache From (Обновлять кэш из) выберите сайт из раскрывающегося списка или выберите вариант <Default>, чтобы обновлять кэш из ближайшего сайта, имеющего глобальный каталог.
Активизация/отключение глобального каталога на контроллере домена
Вы можете активизировать или отключать глобальный каталог на DC, и это означает, что нужно указать, должен ли определенный DC содержать копию глобального каталога. По умолчанию первый DC в первом домене леса содержит глобальный каталог, но вы можете при необходимости переместить его на другой DC (который менее загружен или содержит больший объем пространства на диске). Кроме того, вам может потребоваться копия глобального каталога на DC удаленного сайта, чтобы этому DC не нужно было аутентифицировать или разрешать глобальные объекты через медленное соединение глобальной сети. Используйте следующие шаги, чтобы активизировать или отключить глобальный каталог на контроллере домена.
- Откройте Active Directory Sites and Services из меню Administrative Tools.
- Раскройте объекты в дереве консоли до уровня \Sites\ Целевой-сайт \ Servers\ Целевой-контроллер-домена.
- В правой панели щелкните правой кнопкой на объекте NTDS Settings и выберите пункт Properties.
- Установите флажок Global Catalog, чтобы активизировать глобальный каталог, или сбросьте этот флажок, чтобы отключить его (активизировав глобальный каталог на другом DC и подождав, пока он будет установлен).