[ Pobierz całość w formacie PDF ]
.To¿samoœæ wzorca nazw domeny jest przechowywana w atrybucie FSMORoleMasterobiektu Infrastructure w kontenerze Domain-DNS (np.cn=Infrastructure,dc=Company, dc=com).Atrybut ten zawiera nazwê wyró¿nion¹ obiektu NTDS Settingswskazuj¹c¹ dany serwer.Obiekt nie jest domyœlnie wyœwietlany w konsoli AD Users and Computers(U¿ytkownicy i komputery Active Directory).Ustawienia te mo¿esz jednakprzegl¹dn¹æ w nastêpuj¹cy sposób:Procedura 8.5.Przegl¹danie atrybutu FSMORoleMasterPrawym przyciskiem myszy kliknij ikonê AD Users and Computers (U¿ytkownicy ikomputery Active Directory) znajduj¹c¹ siê na wierzcho³ku drzewa.Z wyœwietlonego menu wybierz Operations Masters (Wzorce operacji).Wyœwietlonezostanie okno Infrastructure Role Master (Wzorzec infrastruktury).Kontrolery domenyKa¿dy kontroler domeny Windows 2000 posiada replikê do odczytu/zapisu kontekstunazw domeny oraz repliki tylko do odczytu kontekstów nazw schematu ikonfiguracji.W przeciwieñstwie do NetWare, serwery domeny Windows 2000 nieprzechowuj¹ zewnêtrznych replik katalogu.Gdy u¿ytkownicy uzyskuj¹ dostêp dodanego serwera, wstêpne uwierzytelnianie jest obs³ugiwane przez Kerberos, au¿ytkownicy otrzymuj¹ odpowiednie ¿etony dostêpu, które umo¿liwiaj¹ (albo inie) dostêp do obiektów zabezpieczeñ.Gdy serwer jest kontrolerem domeny,uwierzytelnianie prawie nie obci¹¿a wydajnoœci serwera.Okreœlanie liczby kontrolerów domeny i planowanie ich rozmieszczenia wymaga nietylko wiedzy technicznej, lecz równie¿ nieco zmys³u artystycznego.Tolerancjab³êdu wymaga, aby utworzyæ przynajmniej dwa kontrolery w domenie.Podstawowymikryteriami s¹ wydajnoœæ i niezawodnoœæ.Je¿eli oczywiœcie na podstawie raportówwydajnoœci obs³uga zapytañ przez jeden kontroler domeny jest wystarczaj¹coszybka, nie ma sensu zwiêkszania liczby kontrolerów a¿ do momentu, gdy sieciowysystem wejœcia/wyjœcia stanie siê tzw.w¹skim gard³em.DNS uczestniczy wpodziale ³adowania danych pomiêdzy kontrolerami.Utwórz zatem przynajmniej dwa kontrolery domeny w ka¿dym du¿ym biurze (z powodutolerancji b³êdu) oraz jeden w ka¿dym mniejszym zdalnym biurze, w którymu¿ytkownicy nie s¹ uwierzytelniani poprzez sieæ WAN.W przypadkach, gdy sieæzawiera tylko kilku u¿ytkowników, a w dodatku posiada bardzo dobre po³¹czenie zsieci¹ WAN, mo¿na ca³kiem zrezygnowaæ z kontrolera domeny.W takiej sytuacjimusisz jednak uœwiadomiæ wszystkich u¿ytkowników, ¿e awaria sieci WAN powodujeutratê dostêpu do ich lokalnego serwera.Bez biletu Kerberos i uwierzytelnieniau¿ytkowników serwer odrzuci próbê po³¹czenia.Awaria sieci WAN bêdzie odbieranaprzez u¿ytkownika tak, jakby nast¹pi³o wygaœniêcie wa¿noœci biletu.W wiêkszoœci przypadków ludzie pope³niaj¹ ten sam b³¹d stawiaj¹c zbyt wielekontrolerów domeny.Dziêki mo¿liwoœci replikacji wszystkie kontrolery domenywspó³dziel¹ te same kopie katalogu.Teoretycznie problem wydajnoœci niepowinien pojawiæ siê dla jednego serwera.Im wiêcej replik kontekstów nazw, tymwiêksze prawdopodobieñstwo zniszczenia jednego z nich przez któryœ zkontrolerów domeny.Gdy zmieniasz liczbê kontrolerów domeny, dok³adnieprzegl¹daj statystyki wydajnoœci NTDS za pomoc¹ monitora wydajnoœci(Performance Monitor).Je¿eli zauwa¿ysz zwiêkszanie natê¿enia przesy³u, oznaczato, ¿e znajdujesz siê w tzw.punkcie ekstremalnym charakterystyki wydajnoœci.Serwery katalogu globalnegoStandardowe kontrolery domeny nie przechowuj¹ kopii kontekstów nazw z innychdomen.Bez lokalnej kopii kontekstu nazw z zaufanej domeny, klienty zmuszone s¹do uwierzytelniania poprzez sieæ w celu uzyskania dostêpu do kontrolera domenyw zaufanej domenie.Kontroler domeny katalogu globalnego rozwi¹zuje wszystkieproblemy przechowywania czêœciowych replik wszystkich kontekstów nazw w lesiekatalogowym.Rozmiar bazy tego typu móg³by byæ olbrzymi dla du¿ych sieci,dlatego te¿ katalog zawiera tylko 60 atrybutów.Wyszukiwanie innego atrybutujest odsy³ane do kontrolera domeny przechowuj¹cego pe³n¹ replikê.Je¿eli ¿aden kontroler domeny nie jest dostêpny, u¿ytkownicy nie bêd¹ moglizalogowaæ siê do domeny.Jest to spowodowane tym, ¿e listy cz³onków grupuniwersalnych w zaufanych domenach s¹ dostêpne tylko w serwerach kataloguglobalnego.Microsoft zdecydowa³ siê na zablokowanie dostêpu u¿ytkowników, wprzypadku gdy niedostêpny jest katalog globalny pozwalaj¹cy na sprawdzenie ichcz³onkostwa grup.Ograniczenie to nie dotyczy administratorów.Serwery kataloguglobalnego u³atwiaj¹ wyszukiwanie LDAP poprzez udostêpnienie indeksunajczêœciej u¿ywanych atrybutów w ka¿dej zaufanej domenie.Redukuje tonatê¿enie transferu sieciowego pomiêdzy zaufanymi domenami, jak równie¿zwiêksza wydajnoœæ wyszukiwania.Mianowanie kontrolera domeny na serwer katalogu globalnego mo¿e znaczniezwiêkszyæ wymagania sprzêtowe dla serwera w du¿ej sieci.Domena podrzêdna z 300u¿ytkownikami mo¿e posiadaæ tablicê NTDS.DIT wielkoœci 15–20 MB, natomiastkatalog globalny mo¿e byæ 10, 20 albo nawet 100 razy wiêkszy
[ Pobierz całość w formacie PDF ]