Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 10:

Описание Active Directory

< Лекция 9 || Лекция 10: 12345 || Лекция 11 >

Оснастка Active Directory Sites and Services

После того, как создана структура Active Directory и определены серверы глобального каталога, вы должны сконфигурировать ваши сайты и службы, чтобы реплицировать эту информацию в пределах данного леса. Используя оснастку Active Directory Users and Computers, вы можете определять логическую структуру своего домена. Оснастка Active Directory Sites and Services предназначена для работы с физической структурой вашей сети и определения того, как должна происходить репликация Active Directory.

Создание структуры сайтов

Когда вы устанавливаете первый контроллер домена в лесу, этот лес конфигурируется только с одним сайтом. Откройте Active Directory Sites and Services и раскройте узел Sites: вы увидите сайт Default-First-Site-Name (Имя-первого-сайта-по умолчанию), см. рис. 10.3.

Консоль управления Active Directory Sites and Services

Рис. 10.3. Консоль управления Active Directory Sites and Services

Новый созданный сервер будет представлен в этом сайте. Сайт - это сеть с высоким уровнем готовности и высокой пропускной способностью, например, локальная сеть (LAN). По мере добавления других серверов в вашем лесу, которые распределены по каналам глобальной сети (WAN), вам потребуется внести изменения с помощью Active Directory Sites and Services в соответствии с этой структурой WAN. Создавая эту структуру, вы можете оптимизировать свою репликацию. Чтобы создать сайт для нового местоположения, используйте следующую процедуру.

  1. В Active Directory Sites and Services раскройте узел Sites, щелкните правой кнопкой на соответствующем узле и выберите New Site (Создать сайт).
  2. В диалоговом окне New Object - Site (Новый объект - сайт) введите имя вашего сайта, например, "NewYork" (отметим, что пробелы не допускаются). Затем выберите DEFAULTIPSITELINK (канал связи для сайта по умолчанию; мы рассмотрим каналы связи между сайтами в следующем разделе, "Транспорт между сайтами"). Щелкните на кнопке OK.
  3. Если вы хотите, то можете переименовать Default-First-Site-Name на что-либо другое, щелкнув правой кнопкой на этом имени и выбрав пункт Rename (Переименовать). Например, переименуйте его в Chicago. Поскольку у вас был выбран канал DEFAULTIPSITELINK, то вы можете переименовать его, например, в NewYork-Chicago, чтобы сделать более понятным для просмотра.
  4. Раскройте узел Inter-Site Transports (Транспорт между сайтами), раскройте узел IP, щелкните правой кнопкой на DEFAULTIPSITELINK, выберите пункт Rename и переименуйте его в NewYork-Chicago.

Транспорт между сайтами

Узел Inter-Site Transports используется, чтобы определять путь для репликации в Active Directory. В предыдущем примере вы создали транспорт между сайтами New York и Chicago; это непосредственно относится к каналу глобальной сети между этими двумя точками. Узел Inter-Site Transports содержит два компонента - IP и SMTP. Каждый из этих видов транспорта будет использоваться в соответствии с каналом связи, соединяющим два сайта.

  • Надежная арендуемая линия.В этом случае, когда вы знаете, что линия будет доступна практически все время, рекомендуется транспортный механизм IP. IP рекомендуется использовать для всех случаев репликации Active Directory (когда это возможно).
  • Ненадежный канал.Если вы знаете, что линия ненадежна и периодически может отключаться, то вы можете выбрать в качестве транспортного механизма SMTP. Чтобы использовать SMTP, вам нужно установить Certificate Services (Службы сертификации) для шифрования и проверки репликации Active Directory.

Раскройте узел Inter-Site Transports, раскройте узел IP и затем щелкните правой кнопкой на канале связи сайта. Выберите пункт Properties, чтобы открыть диалогового окно свойств для этого канала. Во вкладке General (Общие) можно задавать следующие параметры.

  • Description (Описание).Вы можете ввести краткое описание, которое будет выводиться на экран.
  • Sites in the link и Sites not in the link (Сайты на этом канале и Сайты не на этом канале).В этих двух панелях вы можете выбирать или удалять сайты, которые хотите реплицировать с помощью этого канала.
  • Cost (Стоимость).Начинает использоваться, когда между сайтами имеется более одного канала. Например, предположим, что у вас имеется канал T1, соединяющий два сайта, New York и Chicago, и канал ISDN, соединяющий Chicago и Seattle. Вы можете задать стоимость канала ISDN выше, чем стоимость канала T1, чтобы репликация происходила с помощью T1, а не ISDN.
  • Replication Schedule (Расписание репликации).Вы можете задать интервал между репликациями и момент времени, когда должна запускаться репликация. Например, вы можете задать, чтобы в рабочее время репликация происходила реже, что позволит снизить трафик в период высокой нагрузки.

Как уже говорилось, при задании стоимостей вам могут потребоваться избыточные каналы между сайтами. Например, некоторые топологии имеют централизованную структуру глобальной сети (hub-and-spoke), где имеется один центр данных и каждый сайт имеет канал с этим центром данных. У вас может быть "ячеистая" сеть, содержащая каналы между несколькими сайтами. У вас может быть так, что

New York соединен с Chicago, Chicago соединен с Seattle и Seattle соединен с New York. При этом типе сети имеется несколько путей для репликации Active Directory.

Подсети

Подсети (Subnets) определяют физические сегменты вашей сети. Поэтому вы связываете подсети с определенным сайтом. Сайт может иметь несколько подсетей. Когда вы устанавливаете первый контроллер домена в вашем лесу, то никакие сайты еще не сконфигурированы. Вы должны войти в Active Directory Sites and Services и определить сегменты своей сети. Чтобы определить подсеть, выполните следующее.

  1. Щелкните правой кнопкой на узле Subnets и выберите в контекстном меню пункт New Subnet (Создать подсеть).
  2. В диалоговом окне New Object - Subnet (Новый объект - подсеть) введите IP-адрес и маску подсети для вашей локальной сети. В этом диалоговом окне допускаются маски подсети переменной длины; запишите нотацию CIDR, которая появляется, когда вы вводите маску подсети.
  3. Определив свою сеть, щелкните на сайте, чтобы связать с ним эту сеть. Щелкните на кнопке OK, чтобы завершить конфигурирование.

Определение сайтов, подсетей и транспортных механизмов жизненно важно для обеспечения правильности репликации и аутентификации в вашем домене. Например, когда пользователь входит в сеть и получает IP-адрес, компьютер запрашивает службу DNS, чтобы она определила, в каком сайте находится компьютер, и затем аутентифицирует его на контроллере домена в сайте, связанном с подсетью, в которой находится этот клиент. Поиск в глобальном каталоге сначала выполняется внутри сайта, в котором находится данный клиент. Много других средств Active Directory зависят от того, как сконфигурирована оснастка Active Directory Sites and Services, поэтому найдите время, чтобы сконфигурировать ее должным образом.

Службы (Services)

В этом разделе мы рассмотрим компонент Services оснастки Sites and Services. Щелкните правой кнопкой на узле верхнего уровня в Active Directory Sites and Services и выберите View/Services Node (Вид/Узел Services). По умолчанию узел Services не выводится на экран (администрирование объектов, содержащихся в этом узле, требуется очень редко).

Если раскрыть узел Services, то вы увидите дополнительные узлы, содержащие информацию о службах, которые работают в вашей сети.

  • MsmqServices. Содержит информацию, относящуюся к службам Microsoft Messaging Queue.
  • NetServices. Содержит информацию по различным сетевым службам, таким как DHCP.
  • Public Key Services. Управляет службами сертификации.
  • RRAS. Содержит информацию, относящуюся к службе Routing and Remote Access Services.
  • Windows NT. Содержит информацию для служб уровня домена.

Могут быть представлены и другие узлы служб в зависимости от установленных вами приложений, которые поддерживают информацию о сайтах и могут использовать информацию о топологии глобальной сети, например, Exchange Server. Вы можете также запускать для них мастер Delegation of Control Wizard, что позволяет вам делегировать администрирование различных служб.

Средства поддержки и устранения проблем для Sites and Services

Возможны ситуации, когда что-то в вашем домене работает неверно. Много проблем может возникать из-за того, что Active Directory реплицирует информацию не по всем сайтам. В этом разделе описываются некоторые средства, которые можно использовать для диагностирования проблем, возникающих в вашем домене.

Replmon

Replmon - это графическое средство для мониторинга репликации между сайтами. Replmon устанавливается во время установки Support Tools, как это описано выше в разделе "DCDiag". При запуске replmon из командной строки появляется окно Active Directory Replication Monitor (Монитор репликации Active Directory), см. рис. 10.4.

Окно Active Directory Replication Monitor

Рис. 10.4. Окно Active Directory Replication Monitor

Щелкнув правой кнопкой мыши на корневом узле, вы можете выбрать сервер для мониторинга. Появится диалоговое окно, где можно определить этот сервер. Выполнив соединение, вы можете выполнять разнообразные задачи.

  • Update the Status (Обновление состояния).Вывод любых ошибок в правой панели и вывод текущего состояния выбранного сервера.
  • Check Replication Topology (Проверка топологии репликации).Вывод в графической форме непосредственных партнеров репликации выбранного контроллера.
  • Synchronize Each Directory Partition with All Servers (Синхронизация каждого раздела каталога со всеми серверами).Отправка сообщения серверу, чтобы инициировать репликацию во всем домене.
  • Generate Status Report (Создание отчета о состоянии).Позволяет вам экспортировать отчет о состоянии в файл журнала на данном компьютере.
  • Show Domain Controllers in the Domain (Представление контроллеров данного домена).Вывод всех контроллеров домена в текущем домене.
  • Show Replication Topologies (Представление топологий репликации).Представление всех путей репликации на различные сайты вашего леса.
  • Show Group Policy Object Status (Представление состояния объектов Group Policy).Состояние объектов GPO в лесу.
  • Show Current Performance Status (Вывод информации о текущей производительности).Представление информации о производительности для репликации вашего леса.
  • Show Global Catalog Servers in the Enterprise (Представление серверов глобального каталога на предприятии).Представление любых серверов в лесу, которые сконфигурированы как серверы глобального каталога.
  • Show Bridgehead Servers (Представление серверов-плацдармов).Представление серверов, которые используются как серверы-плацдармы; сервер-плацдарм - это предпочтительный сервер репликации для определенного сайта.
  • Show Trust Relationships (Представление доверительных отношений).Вывод доверительных отношений для леса. Описание доверительных отношений см. ниже в этой лекции.
  • Show Attribute Meta-Data for Active Directory Object (Представление метаданных атрибутов для объекта Active Directory).Вывод любых метаданных для объектов леса.

В меню Action (Действия) вы можете также запускать поиск контроллеров доменов с ошибками репликации во всем лесу.

Как можно видеть из этого описания, утилита replmon должна быть включена в инструментарий любого администратора, поскольку она предоставляет целый ряд средств для мониторинга Active Directory.

Netdiag

Netdiag - это еще одна утилита, включенная в Support Tools на установочном CD. Вы можете использовать для поиска ошибок утилиты dcdiag и replmon, описанные выше в этой лекции, но вам следует также знать об утилите netdiag. Netdiag (Network diagnostics) выполняет несколько сетевых тестов и сообщает о любых найденных ошибках. Просто откройте окно командной строки и введите:

C:\Documents and Settings\Administrator>netdiag
....................................
Computer Name: SERVER2003 DNS Host Name: server2003.company.dom System info : 
Windows 2000 Server (Build 3718) Processor : 
x86 Family 6 Model 11 Stepping 1, GenuineIntel List of installed hotfixes : Q147222
Netcard queries test.......: Passed
Per interface results: Adapter : 
Local Area Connection Netcard queries test . . . : Passed
Host Name.........: server2003
IP Address........: 192.168.65.129
Subnet Mask........: 255.255.255.0
Default Gateway......: 192.168.65.2
Dns Servers........: 192.168.65.129
AutoConfiguration results......: Passed
Default gateway test . . . : Passed
NetBT name test......: Passed
[WARNING] At least one of the 
<00> 'WorkStation Service', 
<03> 'Messenger Service', 
<20> 'WINS' names is missing.
No remote names have been found.
WINS service test.....: Skipped
There are no WINS servers configured for this interface. Global results:
Domain membership test ...... : Passed
NetBT transports test ....... : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{C19E851C-C540-4E6C-A9C2-5AD7AB351712}
1 NetBt transport currently configured.
Autonet address test ....... : Passed
IP loopback ping test ....... : Passed
Default gateway test ....... : Passed
NetBT name test .......... : Passed
[WARNING] You don't have a single interface with the 
<00> 'WorkStation Service', 
<03> 'Messenger Service', 
<20> 'WINS' names defined.
Winsock test ........... : Passed
DNS test ............. : Passed
PASS - All the DNS entries for DC are registered on DNS server "192.168.65.129". 
Redir and Browser test ...... : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{C19E851C-C540-4E6C-A9C2-5AD7AB351712}
The redir is bound to 1 NetBt transport.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_{C19E851C-C540-4E6C-A9C2-5AD7AB351712}
The browser is bound to 1 NetBt transport.
DC discovery test ......... : Passed
DC list test ........... : Passed
Trust relationship test ...... : Skipped
Kerberos test ........... : Passed
LDAP test ............. : Passed
Bindings test ........... : Passed
WAN configuration test ...... : Skipped
No active remote access connections.
Modem diagnostics test ...... : Passed
IP Security test ......... : Skipped
Note: run "netsh ipsec dynamic show /?" 
for more detailed information The command completed successfully

Как видите, netdiag выводит обширный список сетевой диагностики на вашей машине. Если в этом списке встретилась ошибка, вам следует обратиться к базе знаний Microsoft Knowledge Base для получения информации по этому конкретному сообщению об ошибке.

< Лекция 9 || Лекция 10: 12345 || Лекция 11 >