Разработка инфраструктуры территориально распределенной корпоративной сети CorpPAA (вариант № 11-WLAN-DLink)

• Сайт Windows Server 2003/2008 - это группа контроллеров доменов, которые находятся в единой или нескольких IP-подсетях и связаны скоростными и надежными сетевыми соединениями. Сайты в основном используются для управления трафиком репликации. Контроллеры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов в разных сайтах сжимают трафик репликации и передают его по определенному расписанию, чтобы уменьшить сетевой трафик.

Сайты не являются частью пространства имен Active Directory. Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группируются в домены и OU без ссылок на сайты.

Сайты содержат объекты только двух типов:

• Контроллеры доменов в границах сайта.
• Связи сайта (site links), сконфигурированные для соединения данного сайта с остальными. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации (IP или SMTP). Объект связи сайта также инициирует выполнение запланированной репликации.

Планирование сайтов и их размещение зависит от физической топологии  сети, при этом необходимо учитывать  потребность в линиях связи для  осуществления межсайтовой репликации по создаваемому расписанию.

Сайт с Active Directory состоит из одной или нескольких подсетей IP, которые могут быть определены администратором и изменены им путем включения новых подсетей.

Деление на сайты не зависит от доменной (логической) структуры, то есть:

• в сайте может быть один домен (либо только его часть) или несколько доменов;
• в домене (или даже в организационном подразделении) может быть несколько сайтов.

Создание сайтов, структура которых  отражает физическое расположение контроллеров доменов на площадках компании, может  быть реализовано по одному из следующих  вариантов:

• структура с одним сайтом (единый сайт, включающий все IP-подсети);
• структура с несколькими сайтами (отдельный сайт для каждой площадки).

Особенностями сайта являются:

• оптимизация трафика тиражирования между сайтами по медленным линиям;
• помощь клиентам быстрее обнаруживать ближайшие к ним контроллеры.

Понятие сайта неразрывно связано  с топологией тиражирования. Тиражирование  внутри сайта и между сайтами  использует различные топологии:

• Внутри сайта - это двунаправленное кольцо. Тиражирование выполняется методом вызова удаленных процедур (Remote Procedure Calls, RPC). Внутри сайта контроллер домена задерживает оповещение о сделанных изменениях на некоторый устанавливаемый промежуток времени.
• Для тиражирования между сайтами применяется RPC или сообщения. Стандартно используется механизм SMTP, однако если в сети есть Microsoft Exchange, то он также может быть задействован для тиражирования Active Directory.

Служба каталогов отслеживает  целостность топологии: ни один контроллер домена не может быть исключен из процесса тиражирования, что обеспечивается отдельным контрольным процессом (Knowledge Consistency Checker, KCC), исполняемым на всех контроллерах домена - в случае нарушения топология тиражирования восстанавливается KCC.

Для поиска ближайших ресурсов или  контроллеров домена клиенты могут  использовать информацию о сайте. Концепция  поиска ближайшего ресурса или контроллера  домена позволяет сократить трафик в низкоскоростных частях глобальных сетей. В начале процесса входа в  сеть клиент получает от контроллера  домена имя сайта, к которому принадлежит, имя сайта, к которому относится  контроллер домена, а также информацию о том, является ли данный контроллер домена ближайшим к клиенту. Если это не ближайший контроллер, то клиент может обратиться к контроллеру  домена в его собственном сайте  и в дальнейшем работать с ним  как с ближайшим контроллером. Так как на клиенте данная информация сохраняется в реестре, она может  быть использована во время следующего входа в сеть.

Для возможности управления сертификатами  безопасности при многодоменной инфраструктуре (внедрение методов защиты информации), учитывающей интеграцию с другими платформами, а также для гарантированной идентификации пакетов при проведении межсайтовой репликации в структуре Active Directory планируется и создается архитектура открытых ключей (PKI).

Сервер сертификатов является важной частью архитектуры открытых ключей и позволяет издавать в компании собственные сертификаты для  своих пользователей, реализуя такие  возможности политик PKI, как проверка подлинности на основе сертификатов, IPSec, защищенная электронная почта и др.

Леса - группа из нескольких деревьев домена.

Контроллер домена - это компьютер-сервер, управляющий доменом и хранящий реплику каталога домена (локальную  БД домена). Поскольку в домене может  быть несколько контроллеров домена, все они хранят полную копию той  части каталога, которая относится  к их домену.

Ниже перечислены функции контроллеров доменов.

• Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена.
• Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. Какие-либо изменения, вносимые в Active Directory, на самом деле производятся на одном из контроллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликации и количество данных, которое Windows будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена.
• Важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно.
• Active Directory использует репликацию с несколькими хозяевами (multimaster replication), в котором ни один из контроллеров домена не является главным. Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом.
• Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например записывать изменения в Active Directory.
• Контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.

Существует две роли хозяина  операций, которые могут быть назначены  единственному контроллеру домена в лесу (роли, действующие в границах леса):

• Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно.
• Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, то добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.

Существует три роли хозяина  операций, которые могут быть назначены  одному из контроллеров в каждом домене (общедоменные роли).

• Хозяин RID (Relative Identifier (RID) Master). Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. SID в Windows Server<span class="Normal__Cha