Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3143 / 506 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 9:

Контроллеры доменов

Хозяин инфраструктуры

Хозяин инфраструктуры - это роль на уровне домена, и в каждом домене может быть только по одному хозяину инфраструктуры. Для работы с этими настройками вы должны быть членом группы Domain Admins. Хозяин инфраструктуры отслеживает объекты в своем домене и предоставляет эту информацию всем DC в этом домене. Для этого он сравнивает свои данные с глобальным каталогом, и если имеются отличия, то он запрашивает обновление с глобального каталога. (Глобальный каталог получает регулярные обновления объектов во всех доменах посредством репликации, поэтому данные глобального каталога всегда соответствуют текущему состоянию.)

По сути, данные, которые хранятся на этом DC, - это каталог домена. И здесь имеется источник потенциальной проблемы, поскольку приоритет получает глобальный каталог, и если он находится на DC, который действует как хозяин инфраструктуры, то данные домена никогда не реплицируются на другие DC в этом домене.

У вас не будет подобной проблемы, если у вас только один домен и только один DC в этом домене (поскольку глобальный каталог совпадает с каталогом домена). Кроме того, если все контроллеры домена содержат глобальный каталог, то все эти контроллеры имеют данные на уровне текущего состояния и тогда не имеет значения, какой контроллер домена исполняет роль хозяина инфраструктуры. Информацию по глобальному каталогу см. ниже в разделе "Глобальный каталог".

Чтобы передать роль хозяина инфраструктуры, когда вы работаете на компьютере, который является текущим обладателем этой роли, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите Connect to Domain Controller.
  3. Введите имя нужного DC или выберите его из списка имеющихся контроллеров домена.
  4. Щелкните на кнопке OK.
  5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  6. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure (Инфраструктура).
  7. Щелкните на кнопке Change.
  8. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина инфраструктуры указанному компьютеру.

Если вы работаете на DC, которому хотите передать эту роль, то выполните следующие шаги для передачи этой роли от текущего обладателя роли.

  1. Откройте Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  3. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure.
  4. Щелкните на кнопке Change.
  5. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина инфраструктуры локальному компьютеру.

W32Time

В Windows Server 2003 включена служба времени Windows (W32Time), которая обеспечивает синхронизацию таймеров всех компьютеров Windows 2000/XP/2003 в вашей сети. Ее нельзя назвать простым средством, поскольку с этой службой связаны безопасность Kerberos и другие средства сетевого уровня.

Аутентификация Kerberos не выполняется, если показания времени на клиентском компьютере и на аутентифицирующем DC отличаются более чем на пять минут. Этот интервал называется Maximum Tolerance for Synchronization of Computer Clocks (Максимальный допуск для синхронизации таймеров компьютеров). Вы можете использовать групповую политику, чтобы изменить (увеличить) это значение, но это ослабляет безопасность сети. (Политики Kerberos находятся в Default Domain Policy внутри Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy.)

Репликация зависит также от точности меток времени, поскольку в процессе репликации используется метка "последнего изменения", чтобы определить необходимость репликации данных. Но еще важнее то, что если отличие в значениях времени между двумя DC больше величины Kerberos Maximum Tolerance for Synchronization of Computer Clocks, то аутентификация между этими DC не проводится, а это означает, что не запускаются процессы репликации.

Не менее важно то, что компьютеры с различными значениями времени могут вызвать повреждения при записи в файлы данных. Неточность меток времени может нарушить работу таких функций, как синхронизация автономных файлов и работа над совместными документами.

Ознакомление с иерархией синхронизации времени

В рамках вашего предприятия синхронизация времени конфигурируется на иерархической основе, чтобы каждому компьютеру в сети не приходилось сверять свой таймер с одним компьютером. Вверху этой иерархии находится руководящий сервер времени, выбираемый следующим образом.

  • Для домена этим сервером является хозяин эмулятора PDC.
  • Если у вас несколько доменов, то хозяин эмулятора PDC в первом домене, который вы создали в лесу, является руководящим сервером времени для этого леса.

Все контроллеры доменов Windows Server 2003 и Windows 2000 находятся на втором уровне этой иерархии, и они синхронизируют свои таймеры по этому руководящему серверу времени. Все рядовые серверы и рабочие станции, работающие под управлением Windows 2000 или последующих версий Windows, автоматически синхронизируют свои таймеры по контроллеру домена, который аутентифицирует их.

В Windows Server 2003 (и Windows 2000) предлагается возможность поместить другой сервер времени поверх этой иерархии - как внешний таймер, который считается очень точным. Вы можете сделать так, чтобы ваш руководящий сервер времени синхронизировал свой таймер с этим таймером. См. ниже раздел "Использование внешнего таймера времени", где описывается, как найти и подсоединиться к внешнему таймеру.

Ознакомление с процессом синхронизации

При входе в домен компьютеров, работающих под управлением Windows 2000 или последующих версий, служба времени Windows проверяет время на подходящем компьютере, чтобы определить искомое время,которое должно использоваться как значение времени на этом компьютере. Для контроллеров домена искомое время - это время на руководящем сервере времени. Для всех остальных компьютеров искомое время - это время на аутентифицирующем DC.

Если искомое время не совпадает с временем локального таймера, то выполняющий вход компьютер выполняет следующие шаги, чтобы скорректировать свой таймер.

  • Если искомое время больше локального времени, то W32Time автоматически устанавливает локальное время равным искомому времени.
  • Если искомое время отстает от локального времени на три минуты или меньше, то W32Time "замедляет" локальный таймер, пока не совпадут показания времени.
  • Если искомое время отстает от локального времени более чем на три минуты, то W32Time автоматически приравнивает локальное время к искомому времени.

Синхронизация времени происходит не только в процессе входа - компьютеры периодически продолжают синхронизировать время. Компьютеры один раз за каждый период подсоединяются к компьютерам, которые являются их источниками времени, и каждый компьютер определяет свой период следующим образом.

  • Начальный период составляет 45 минут.
  • Если синхронизация времени успешно проходит три раза подряд с использованием периода 45 минут, то задается новый период, равный восьми часам.
  • Если время не удается синхронизировать три раза подряд, то период остается равным 45 минутам и процесс определения периода продолжается, пока не будут успешно выполнены три последовательные попытки синхронизации.
  • Если после изменения периода на восемь часов время не синхронизируется три раза подряд, то период изменяется на 45 минут и весь процесс начинается заново.

Прежде чем приступить к синхронизации времени, компьютер, на котором устанавливается время, обменивается пакетом данных с компьютером, который задает время. Целью обмена этим пакетом данных является измерение задержки в передаче данных между этими двумя компьютерами. Эта задержка учитывается в расчете при сравнении значений таймеров. Это означает, что услуги времени, предоставляемые через глобальную сеть, столь же эффективны, как и услуги, предоставляемые через локальную сеть.

Синхронизация компьютеров со старыми версиями Windows

На компьютерах со старыми версиями Windows нет службы W32Time, поэтому не существует автоматических проверок для синхронизации времени. Это не является препятствием для аутентификации или соединений, поскольку Kerberos не аутен-тифицирует эти компьютеры. Однако для поддержания точности меток времени в документах или в записях баз данных имеет смысл стараться держать таймеры этих компьютеров как можно ближе к остальным таймерам сети.

Компьютеры со старыми версиями Windows позволяют вручную синхронизировать их таймеры с уже синхронизированным таймером с помощью следующей команды:

net time \\<имя_компьютера> /set /yes

где:

<Имя_компьютера> - это имя компьютера в домене, на котором, как вы считаете, работает точный таймер.

/set - указывает компьютеру, что нужно синхронизировать время (а не только проверить время на удаленном компьютере).

/yes - подтверждает, что время на удаленном компьютере следует записать на локальном компьютере.

Вы можете ввести эту команду в пакетном файле и поместить ссылку (значок) на этот пакетный файл в папке Startup меню Programs, чтобы синхронизировать время при каждой загрузке данного компьютера, или можете поместить ссылку на эту команду в значке на рабочем столе и позволить пользователям синхронизировать время по мере надобности.

Кроме того, если ваша сеть охватывает сайты в различных временных зонах (часовых поясах), не беспокойтесь - Windows автоматически вносит поправку на часовые пояса (если вы правильно сконфигурировали ваши компьютеры для их локальных часовых поясов).

Использование сервера внешнего времени

Для служб вашей сети (таких как Kerberos) не имеет значения точность таймеров относительно внешнего мира; главное, чтобы они были синхронизированы между собой в пределах заданного допуска. Но если таймеры всех компьютеров вашей сети синхронизированы между собой, то, конечно, удобнее, если они будут соответствовать остальному миру.

Для этого нужно, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним таймером, точность которого гарантирована. А поскольку компьютеры вашего предприятия синхронизируют свое время в соответствии с иерархией, каждый таймер в вашей системе будет показывать точное время.

Имеется два способа, позволяющих вашему руководящему серверу времени синхронизировать свой таймер с внешним миром: приобрести устройство, получающее сигналы со спутников, и подсоединить его к руководящему серверу времени; или использовать Интернет для доступа к внешнему таймеру, показывающему точное время. Я предполагаю, что вы решите выбрать Интернет-вариант, поэтому в оставшейся части этого раздела дам его описание.

Серверы времени доступны по всему миру, и они поддерживаются в виде иерархии. Первичные серверы (уровень 1) наиболее точны, но вторичные серверы (уровень 2) обычно синхронизируются точно с серверами уровня 1 или отличаются всего лишь на несколько тактов от серверов уровня 1. Отличия между серверами уровней 1 и 2 никогда не превышают нескольких наносекунд, и этой величиной, несомненно, можно пренебречь.

Совет. Серверы уровня 1 часто бывают очень заняты, что может вызывать выход по тайм-ауту, прежде чем удастся синхронизировать ваш руководящий сервер времени, поэтому всегда имеет смысл выбрать в качестве внешнего источника времени сервер уровня 2.

Каждый список содержит серверы времени NTP (Network Time Protocol - синхронизирующий сетевой протокол), предоставляемые для открытого доступа, включая любые ограничения на их использование (например, некоторые сайты серверов времени требуют, чтобы вы уведомляли их, что используете их таймер). Списки отсортированы по кодам стран. Вы можете выбирать только те серверы времени, которые используют протокол Simple Network Time Protocol (это протокол, используемый службами времени Windows), и эти серверы помечены как "NTP Servers."

Если вы не хотите выполнять поиск, то можете использовать предлагаемые Microsoft серверы внешнего времени (все это серверы открытого доступа, то есть у вас не будут запрашиваться полномочия).

Единственный компьютер на вашем предприятии, который может выполнять доступ к серверу внешнего времени, - это ваш руководящий сервер времени (хозяин эмулятора PDC). Чтобы задать синхронизацию времени с внешним NTP-таймером, введите следующую команду в командной строке:

net time /setsntp: список-серверов

где список-серверов - это один или несколько адресов серверов времени NTP.

Список из нескольких внешних серверов вводится для того, чтобы в случае отсутствия доступа к одному из серверов руководящий сервер времени обращался к следующему серверу в списке. Адреса отделяются друг от друга пробелами, и весь список заключается в кавычки (например, net time /setsntp:"time.windows.com time.nist.gov" ).

Примечание. Вы можете вводить для внешних серверов IP-адреса вместо URL-ад-ресов, но если сайт сменил IP-адрес, то вам придется вносить изменения.

Вам достаточно ввести эту команду только один раз, поскольку система записывает список серверов времени NTP в реестр, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним источником автоматически. Адреса, которые вы указываете в команде, сохраняются в виде блока, который полностью заменяется, если вы вводите команду снова. Это означает, что если вы добавляете другой адрес, то должны ввести команду с полным списком, включая первоначальные и новые адреса. С другой стороны, если вы не боитесь работать с реестром, то можете добавить новый адрес непосредственно в раздел HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\W32Time\Parameters.

Чтобы увидеть текущий список серверов NTP, введите в командной строке на вашем руководящем сервере времени net time /querysntp. Система возвратит адрес(а) серверов внешнего времени.

Внимание. Следите за правильностью даты на вашем руководящем сервере времени, поскольку некоторые таймеры в интернете не предоставляют информацию компьютеру, имеющему неверную дату.
Игорь Ермачков
Игорь Ермачков
Латвия, Рига
Александр Демиденко
Александр Демиденко
Россия, Брянск