Краткий обзор разделов Active Directory (Active Directory Partitions)

Внутри базы данных Active Directory существуют разделы каталога, также их называют naming context, которые содержат в себе однотипные объекты.

Основные Naming Context следующие:

• Domain (Domain Naming Context (NC)) — содержит все объекты хранящиеся в домене, включая пользователей, группы, компьютеры и контейнеры групповой политики (GPC)
• Configuration (Configuration Naming Context) — содержит объекты, представляющие собой логическую структуру леса, такие как домены, сайты, подсети, сервисы.
• Schema (Schema NC) — содержит классы объектов и их атрибуты для всего каталога.
Каждый контроллер домена поддерживает реплику нескольких разделов (NC). Раздел Configuration и раздел Schema реплицируется на все контроллеры домена в лесе. Domain naming context реплицируется на все контроллеры домена в домене. Каждый контроллер, таким образом, имеет минимум 3 реплики: Domain NC для домена, в котором находится контроллер, Configuration NC и Schema NC.

Иерархия разделов Active Directory

Иерархия разделов по умолчанию в Active Directory

Традиционно реплики были полными, содержали каждый объект и его атрибуты, были доступны для записи на всех DC. Начиная с Windows Server 2008, появился Read Only Domain Controller (RODC), который изменил эту картину. RODC поддерживает реплику только для чтения для всех объектов в Configuration и Schema NCs. Некоторые атрибуты вовсе не реплицируются на него, например хэши паролей пользователей, кроме тех, которые явно разрешили для репликации политикой.

Понятие глобального каталога Active Directory

Представим лес с двумя доменами А и В. Каждый домен имеет два контроллера домена. Все четыре контроллера поддерживают реплику Schema и Configuration разделов для леса. Домен-контроллер для домена А поддерживает реплику Domain NC для домена А, а домен-контроллер для домена В поддерживает реплику Domain NC для домена В. Что же произойдет, когда пользователь из домена В ищет пользователя или компьютер или группу в домене А? Контроллер домена В не имеет никакой информации об объектах в домене А, поэтому не может ответить на этот запрос. Тут на помощь приходит Глобальный Каталог (GC). GC это раздел, который хранит информацию обо всех объектах в лесе. Когда пользователь из домена В ищет объекты в домене А, глобальный каталог отвечает на его запрос. Для оптимизации быстродействия глобального каталога, он не должен хранить все атрибуты каждого объекта в лесе, вместо этого он содержит только те атрибуты, которые необходимы для меж доменного поиска.

Местоположение GC

GC значительно увеличивает эффективность каталога Active Directory и необходим для приложений типа MS Exchange Server, Office Outlook, его активно используют серверы IP телефонии для поиска номеров телефонов всех сотрудников во всех доменах леса. GC храниться и поддерживается только на контроллерах домена, и в идеале каждый контроллер домена должен быть сервером глобального каталога. Поэтому сейчас многие организации конфигурируют свои контроллеры как сервера глобального каталога. Потенциальная проблема, связанная с этим – увеличение трафика репликации, т.к. GC это тоже раздел Active Directory, нуждающийся в репликации. Увеличение трафика репликации происходит в больших мульти доменных лесах. В лесе с одним, двумя доменами в лесе такого резкого увеличения не происходит. Если все контроллеры домена сконфигурированы как сервера глобального каталога, то отпадает необходимость беспокоится о местонахождении Infrastructure Operations Master роли.
Глобальный каталог необходимо размещать в сайтах где:
• Используются приложения, которые для своей работы запрашивают GC (port 3268)
• Связь с глобальным каталогом очень медленная или не надежная.
• Установлен Exchange Server

Конфигурирование сервера глобального каталога

Когда устанавливается первый домен в лесе, первый контроллер домена конфигурируется как GC по умолчанию. Дальше необходимо решать, какой из дополнительных контроллеров будет нести на себе GC. Этот выбор (ставить GC или нет) дается при установке нового контроллера с помощью мастера установки AD DS и с помощью dcpromo.exe (была упразднена, начиная с Windows Server 2012). Также можно добавить или удалить GC на контроллер после его установки в оснастке Active Directory Sites and Services. Раскрываем контейнер сайта, servers и объект контроллера домена. Правый щелчок на узле NTDS Settings и выбираем свойства, на вкладке general “Global Catalog” check box.

Кэширование членства универсальных групп

Универсальные группы созданы для того чтобы включать в них объекты из разных доменов в лесе. Членство в универсальных группах реплицируется на GC. Когда пользователь входит в домен его членство в универсальных группах проверяется на сервере GC. Если сервер GC не доступен, то пользователь, который входит в универсальную группу не сможет войти в домен, если же пользователь вошел в домен, используя кэшированные данные входа, то он не сможет получить доступ к сетевым ресурсам. Это еще одна причина устанавливать GC на контроллерах. Если все же необходимо иметь контроллер без глобального каталога (в удаленном офисе со слабым каналом связи), то можно включить кэширование членства универсальных групп (Universal Group Membership Caching (UGMC)). Когда UGMC включено, то этот контроллер получает информацию о членстве в универсальных группах от GC для пользователей, когда они первый раз логинятся в этом сайте, и кэширует эту инфу у себя обновляя ее каждые 8 часов. UGMC рекомендовано включать, когда канал между GC и сайтом, в котором контроллер не несет GC не надежный. Настраивается UGMC в оснастке Active Directory Sites and Services. Выбираем сайт, справа появится объект NTDS Site Settings. Правый щелчок по этому объекту -> свойства -> поставить галку в check box “Enable Universal Group Membership Caching”.

Понятие о Application Directory Partitions

Application Directory Partition – часть хранилища, которая содержит объекты, необходимые для работы приложений или сервисов. В отличие от других разделов, Application Directory Partition можно реплицировать на определенные администратором контроллеры, а не на все сразу. Этот раздел может содержать любые объекты, кроме объектов – участников безопасности (юзеры, компьютеры, security группы). Рассмотрим на примере Application Directory Partition, который необходим для работы DNS сервера.

Когда мы создаем Active Directory интегрированную зону, DNS записи реплицируются между DNS серверами с помощью Application Directory Partition. Этот раздел не реплицируется на все контроллеры домена, а только на те, которые выполняют роль DNS сервера. Посмотреть «в лицо» Application Directory Partition можно с помощью ADSI Edit. Правый щелчок в корне оснастки ADSI Edit и выбрать Connect To. Из выпадающего списка «Well Known Naming Context» выбираем Configuration и щелкаем OK. Разворачиваем Configuration и папку, представляющую раздел конфигурации, затем выбираем CN=Partitions. Справа отобразятся существующие Application partitions. ForestDnsZones и DomainDnsZones – разделы приложений, используемые DNS. Члены Enterprise Admins могут создавать разделы приложений вручную с помощью Ntdsutil.exe.

При понижении роли контроллера домена до рядового сервера, необходимо решить, что делать с Application Directory Partition. Используется ли этот раздел каким-либо приложением, если используется, то нужно уточнить, не является ли этот раздел последним, чтобы не удалить безвозвратно ценные данные. Рекомендуется вручную удалить раздел приложений перед удалением AD DS.

Добавить комментарий