Концепція вузлів AD
Якщо домен включає в себе кілька каналів WAN, то деякі клієнти будуть реєструватися на віддалених контролерів. У такій ситуації будуть виникати затримки або помилки при реєстрації в мережі і доступ до ресурсів. Зазначені проблеми можна вирішити за допомогою утиліт, наприклад Setprfdc. Проте сама логічна природа доменів NT часто вступає в протиріччя з фізичною природою топології мережі. Механізм вузлів Active Directory був розроблений для того, щоб операційна система могла розуміти топологію мережі, виділяти високошвидкісні «острівці» і більш розумно керувати мережевим трафіком.
Згідно з документацією Microsoft під вузлом AD слід розуміти підмережа і IP, що використовує канали зв'язку з хорошою пропускною спроможністю. Як правило, вузли включають в себе комп'ютери, підключені до якісних каналів зв'язку, хоча це і не обов'язково. Існує ряд факторів (таких, як пропускна здатність каналу WAN і час затримки), що впливають на якість зв'язку, і поняття якісних каналів зв'язку може тлумачитися в різних організаціях по-різному. Тому неможливо дати чітке визначення меж вузлів, яке можна було б використовувати в кожному конкретному випадку.
Думаю, потрібно пояснити, в чому полягає відмінність вузлів від доменів. Воно полягає в тому, що вузли визначаються фізичною структурою мережі, в той час як домени - логічної (територіальної або організаційної) структурою підприємства. Вузол може включати в себе кілька доменів, утворюючи структуру, досить складну для управління. У свою чергу домен може розташовуватися на декількох вузлах.
управління реплікаціями
Правильне проектування вузлів AD дозволяє більш тонко управляти процесом реплікації даних, ніж при використанні одних лише доменів. Реплікація даних без стиснення між контролерами доменів всередині одного вузла (а, значить, і всієї мережі, якщо не було створено жодного вузла, крім вихідного) відбувається кожні п'ять хвилин. При цьому адміністратори не мають можливості змінити графік реплікації між контролерами домена усередині вузла. Служба Active Directory виходить з того, що в межах одного вузла між контролерами доменів є досить надійні канали зв'язку. Тому вона дає забезпечення малого часу очікування більш високий пріоритет у порівнянні із завантаженням мережі.
Коли створено кілька вузлів AD, з'являється можливість управління і настройки реплікації даних декількома способами. Можна визначити, як часто і в який час слід виробляти реплікацію між вузлами (мінімальний інтервал дорівнює 15 хв). Служба Active Directory не виробляє стиснення даних при їх реплікації всередині одного вузла, однак при реплікації інформації між вузлами стиснення даних відбувається автоматично. В результаті мережевий трафік складає від 10 до 40% від початкового значення. Крім того, можна встановити лінії зв'язку між вузлами, направляючи реплікації по заданих віртуальним маршрутами. Також можна призначити пріоритети при виборі каналів для передачі реплікації, встановивши «вартість» кожного з маршрутів.
Створення вузлів AD. Щоб створити вузол Active Directory, необхідно: сформувати об'єкт «вузол» (Site), додати в нього підмережа (Subnet) і перемістити існуючі сервери, а потім налаштувати реплікацію між вузлами, використовуючи лінії зв'язку (Site Link) для з'єднання даного вузла з іншими вузлами AD. Малюнок 1 ілюструє процес створення вузлів AD. В даному прикладі компанія, розташована в штаті Texas, має офіси в містах Dallas, Forth Worth і Austin. Dallas є «концентратором» каналів WAN в два інших офісу; місця розташування офісів і комп'ютери в них є вузли AD. Кожен з вузлів включає в себе кілька підмереж IP, побудованих по топології Ethernet LAN (т. Е. Вузли складаються з високопродуктивних підмереж IP). У компанії використовується тільки один домен; при цьому в кожному вузлі є декілька контролерів домену.
Малюнок 1. Топологія мережі та каналів WAN компанії, розташованої в штаті Texas.
Для створення об'єкта «вузол» слід в консолі управління Microsoft Management Console (MMC) запустити модуль Active Directory Sites and Services (його можна знайти в меню Start і далі Administrative Tools). Потім потрібно натиснути правою кнопкою миші на контейнері Sites і вибрати New Site. У діалоговому вікні New Object - Site, показаному на Екрані 1, вказується ім'я вузла (в імені не можна використовувати пробіли). Рекомендується дотримуватися угод про імена, прийнятих для DNS, так як імена вузлів розміщуються в DNS в записах типу SRV. Далі слід вибрати об'єкт «лінія зв'язку», яку буде використовувати даний вузол (іншими словами, це шлях, що з'єднує даний вузол з іншими), і натиснути OK. З'явиться повідомлення про те, що для завершення процедури формування вузла необхідно:
- за допомогою зв'язків з'єднати новий вузол з іншими вузлами;
- додати підмережі в новий контейнер вузла;
- встановити контролери домену або перемістити існуючі в цей вузол;
- вибрати в даному вузлі комп'ютер для ліцензування.
Екран 2. Діалогове вікно New Object - Subnet.
Екран 3. Переміщення сервера.
Формування окремих вузлів AD замість розміщення всіх комп'ютерів в одному вузлі Default-First-Site-Name є першим етапом процесу управління реплікаціями. По-перше, це забезпечує можливість взаємодії клієнтських станцій, що підтримують Active Directory, з контролером домену в тому ж офісі (якщо, звичайно, цей контролер знаходиться в стані очікування). Завдяки цьому, весь трафік, пов'язаний з реєстрацією в мережі, зосереджується всередині кожного з вузлів. Крім того, реплікації даних між різними офісами відбуваються зі збільшеним інтервалом (замість п'яти хвилин за замовчуванням - три години), при цьому здійснюється стиснення реплицируемой інформації.
Екран 4. Створення зв'язку між вузлами Dallas - Fort Worth.
Щоб настроїти зв'язку, потрібно в додатку AD Sites and Services клацнути мишею на знаку «плюс», який відноситься до контейнера Inter-Site Transports (або двічі клікнути на цьому контейнері), після чого відкриваються контейнери IP і SNMP. Потім слід натиснути правою кнопкою миші на контейнері IP і вибрати New Site Link. З'явиться діалогове вікно New Object-Site Link, показане на Екрані 4. Потім потрібно створити лінію зв'язку типу «точка-точка» між вузлами Dallas - Fort Worth. У список вузлів, що використовують цей зв'язок, можна також додати Austin і Default-First-Site-Name. Хоча додавати вузол Default-First-Site-Name не обов'язково, так як кожен новий вузол за замовчуванням вже застосовує зв'язок DEFAULTIPSITELINK. Якщо підключити всі вузли AD до створеної зв'язку, не змінюючи при цьому пріоритети зв'язків і графік використання, то нова зв'язок буде працювати як DEFAULTIPSITELINK. В кінці слід задати ім'я лінії зв'язку між вузлами. Воно повинно явно ідентифікувати вузли, які застосовують даний зв'язок, так, щоб працездатність зв'язків можна було легко відстежувати в процесі адміністрування.
Налаштування реплікації. Після створення лінії зв'язку між вузлами можна проводити настройку реплікації даних, забезпечуючи їх відповідність місцевим умовам роботи. Щоб налаштувати реплікації для даної компанії, потрібно натиснути правою кнопкою миші на об'єкті Site Link між вузлами Dallas-Fort Worth, який знаходиться в контейнері IP контейнера Inter-Site Transports. Далі слід відредагувати властивості цього об'єкта в діалоговому вікні Properties. Дане діалогове вікно виглядає так само, як вікно, що використовується при створенні лінії зв'язку, але дозволяє додатково встановлювати пріоритет зв'язку (параметр cost), інтервали між реплікаціями і графік реплікації.
Екран 5. Налаштування інтервалу реплікації.
На Екрані 5 показано діалогове вікно Properties для зв'язку Dallas-Fort Worth. Інтервал реплікації між вузлами Dallas і Fort Worth тут зменшений з трьох годин (за замовчуванням) до однієї години. В результаті реплікації відбуваються частіше, але займають більш короткий час для передачі необхідної інформації по мережі підприємства. Щоб обмежити мережевий трафік Dallas-Austin в денні години, зв'язок Dallas-Austin налаштована таким чином, що проведення реплікації з сьомої години ранку до сьомої години вечора заборонено. Це показано на Екрані 6. Крім того, інтервал реплікації зменшений з 180 до 30 хв так, щоб всі зміни, що відбулися на інших вузлах до семи годин ранку, були негайно реплікуються на вузол Austin. На рисунку 2 показаний остаточний варіант конфігурації вузлів і ліній зв'язку для компанії в штаті Texas.
Екран 6. Установка графіка і інтервалу реплікації для зв'язку.
Малюнок 2. Лінії зв'язку і управління реплікаціями між вузлами.
Локалізація доступу до ресурсів клієнт-серверних додатків
Малюнок 3. Локалізація доступу до ресурсу клієнт-сервер.