LDAP-разделитель Значение Представляет

DC COM Компонент домена

DC Microsoft Компонент домена

CN Users Общее имя

CN James Smith Отличительное имя

Отличительные имена уникальным образом идентифицируют узлы в базе данных AD, однако их нельзя называть дружественными. Можно не перечислять в имени все типы атрибутов явно (DC =, CN = и т. д.), а записать имя как: //Microsoft.com/Users/James Smith. В передаваемых LDAP-пакетах всегда указывается отличительное имя, однако в пользовательском интерфейсе можно применять более удобную и простую форму имени.

Помимо отличительного имени каждый объект каталога имеет относительное отличительное имя (relative distinguished name, RDN), которое является атрибутом самого этого объекта, а не образуется как цепочка имен от корня дерева до объекта. Таким образом, относительным отличительным именем для элемента James Smith будет en = James Smith. Active Directory позволяет копировать RDN объектов, однако в рамках одного организационного подразделения такие имена должны быть уникальны. Например, если в организационном подразделении Users есть учетная запись пользователя James Smith, добавить в то же ОП запись одноименного пользователя нельзя.

В AD имеется несколько контекстов имен, которые представляют собой законченные, непрерывные поддеревья каталога и являются объектами репликации'(копирования). Каждый контроллер домена имеет по меньшей мере три контекста имен:

• схема (Schema), описывающая классы объектов и их атрибуты, хранящиеся в AD;

• конфигурация (Configuration) - топология репликации и связанные с ней метаданные (например, сведения о контроллерах домена);

• один или несколько пользовательских, или доменных, контекстов имен, т. е. контекстов, содержащих реальные рабочие объекты каталога. При этом контроллеры домена хранят реальные объекты только своего домена.

При помощи протокола LDAP несложно получить доступ к некоторому элементу, если клиенту известны имя домена, к которому этот объект относится, и отличительное имя объекта. Однако в AD можно осуществлять поиск, зная только значение атрибута.

Для ускорения поиска AD позволяет индексировать атрибуты заданных типов. В более сложных случаях, например в таких, когда клиент знает, в каком лесе выполнить поиск, но ему не известно, в каком домене леса находится искомый атрибут, на помощь приходит глобальный каталог (Global Catalog, GC).

Все домены, входящие в некоторое дерево или лес доменов, используют общий, единый глобальный каталог, в котором имеется копия каждого элемента этих доменов.

Однако в GC входят только некоторые из атрибутов каждого элемента - те, которые__могут представлять интерес в масштабах леса. Сервером глобального каталога можно назначить любой контроллер домена с учетом требований сетевой среды к операциям поиска и обслуживанию запросов на регистрацию. Для этой цели надо в оснастке сайта и службы Active Directory выбрать требуемый контроллер, открыть окно Свойства:

NTDS Setting, в котором установить флажок Глобальный каталог. По умолчанию GC создается автоматически на первом контроллере домена в лесе.

Кроме поиска GC реализует единую регистрацию в сети. Глобальный каталог хранит информацию об универсальных группах, в которую могут входить члены разных доменов. Эта информация используется при регистрации в сети клиентов AD. Если в момент регистрации пользователя GC недоступен, то пользователь может зарегистрироваться только локально, но не в сети.

Репликация (replication, дублирование) данных в каталоге, т. е. хранение копий каталога на других компьютерах, повышает производительность и надежность работы сети. В AD используется так называемая multi-master replication - репликация со многими основными контроллерами доменов. Клиент может изменить любую копию, после чего изменения распространяются по всем другим копиям, хранящимся на других компьютерах данного домена. При этом копируются только измененные атрибуты элементов каталога.

Репликация не создает большого трафика в сети именно потому, что пересылаются не объекты целиком, а только их измененные атрибуты. Поэтому репликация данных AD на нескольких контроллерах домена вполне оправданна. Для доменов, занимающих большие территории, является разумным обращение клиента к службе каталогов ближайшего контроллера. С этой целью администратор может разделить домен на несколько сайтов (site), как показано на рис. 5.15 [35]. Сайт - это одна или несколько IP-подсетей, входящих в ту часть сети, где соединения между компьютерами выполняются быстро и надежно. По сути, сайты отражают физическую топологию коммуникационных каналов всей сети. Правильно спланированные сайты не перегружают сетевые каналы связи трафиком репликации, и репликация между компьютерами, входящими в сайт, выполняются чаще, чем между компьютерами различных сайтов.

Однако некоторые изменения в каталоге эффективнее выполнить с одним основным контроллером (single-master), называемым основным контроллером операций.

Он отвечает за выполнение определенных функций, которые называются ролями контроллера операций. Эти роли могут назначаться разным контролле

рис 5.15

 

В каждом лесе Active Directory должны существовать следующие роли, которые можно назначить только одному контроллеру в пределах леса:

• хозяин схемы (schema master), удовлетворяющий обновлениям и изменениям схемы каталога;

• хозяин именования доменов (domain naming master), управляющий добавлением и удалением доменов в лесу.

Эти роли, общие для всего леса в целом, должны быть в нем уникальными. Другими словами, можно настроить только одного хозяина схемы и одного хозяина именования доменов.

Следующие три роли можно назначать только одному контроллеру в рамках домена [35, 40]:

• хозяин RID (Relative ID Master), выполняющий генерацию последовательности относительных идентификаторов для всех контроллеров своего домена. При создании на некотором контроллере объектов типа ≪пользователь≫, ≪группа≫ или ≪компьютер≫, этому объекту назначается уникальный идентификатор безопасности (SID - Security Identifier), состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином RID;

• хозяин PDC (Primary Domain Controller Emulator), предназначенный для выполнения функций главного контроллера домена Windows NT, если в домен входят компьютеры, не имеющие клиента для Windows 2000/2003, или резервные контроллеры домена (BDC);

• хозяин инфраструктуры (Infrastructure Master), обновляющий ссылки на объекты других доменов при изменении этих объектов.

Если в домене несколько контроллеров домена, то не следует назначать роль хозяина инфраструктуры контроллеру, на котором находится глобальный каталог, так как в этом случае хозяин инфраструктуры функционировать не будет, поскольку при изменениях объектов не будут обновляться междоменные ссылки на эти объекты. Если в домене только один контроллер, он выполняет все роли хозяев операций. Но по мере добавления контроллеров и доменов целесообразно распределить роли хозяев операций на другие контроллеры.