Kraina aktywnych katalogów

Domeny

Mimo implementacji Active Directory, z systemu Windows 2000 nie znika struktura domen znana administratorom Windows NT 4.0. Domena jest nadal podstawową jednostką organizacyjną i podobnie jak w NT 4.0 muszą w niej istnieć serwery pełniące rolę kontrolerów domenowych. W przypadku Windows 2000 takimi maszynami są wszystkie serwery przechowujące replikę usług katalogowych Active Directory.

W odróżnieniu od Windows NT 4.0 struktura relacji między domenami nie jest jednak płaska (co wymagało tworzenia wielu relacji zaufania między domenami dużych sieci), lecz hierarchiczna. Poszczególne domeny mogą być łączone w drzewa (tree) w ramach jednej domeny macierzystej, np. domeny CW, MARKETING, KSIEGOWOSC w obrębie domeny IDG.COM.PL. Te z kolei mogą być łączone w lasy (forest) w ramach pozornie niezależnych struktur, aczkolwiek zarządzanych w sposób scentralizowany, np. domeny IDG.COM.PL i IDGEXPO.COM.PL wraz z ich poddomenami mogą tworzyć jeden las, w którego ramach istnieją relacje zaufania (trust relationships), podobnie jak w Windows NT 4.0.

Zaletą Active Directory jest to, że domeny podrzędne zawsze standardowo "ufają" wszystkim domenom nadrzędnym, dzięki czemu administrator nie musi w wielodomenowych sieciach tworzyć kilkudziesięciu bądź kilkuset relacji zaufania (w trybie np. każdy z każdym), a zaledwie kilkanaście. Oczywiście, istnieje możliwość budowania dodatkowych relacji zaufania między dwoma dowolnie wybranymi domenami.

Jednostki organizacyjne

Aby ułatwić administrowanie, Microsoft wprowadził do Active Directory specjalny rodzaj kontenerów o nazwie Organizational Unit (OU). W ich ramach mogą być przechowywane pojedyncze obiekty opisujące użytkowników, grupy, komputery, drukarki, współdzielone foldery i inne, podrzędne kontenery OU. Każde z kont lub innych obiektów może niezależnie należeć do kilku OU.

Każdemu kontenerowi administrator może przydzielić odrębną konfigurację (np. z zastosowaniem mechanizmu Group Policy), a także delegować uprawnienia do zarządzania tym OU wyznaczonemu pracownikowi działu informatyki, wspomagającemu administratora systemu.

Replikacja

Podstawową cechą usług katalogowych Active Directory jest założenie ich bezproblemowej dostępności w dowolnym miejscu sieci korporacyjnej. Do zrealizowania tego wymogu niezbędne jest spełnienie innych warunków: zapewnienie efektywnego mechanizmu replikacji informacji wprowadzanych do Active Directory na różnych kontrolerach domeny oraz mechanizmu gwarantującego spójność tych danych, bez względu na liczbę zmian wprowadzanych w usługach katalogowych w różnych miejscach sieci LAN bądź WAN.

Mechanizm replikacji standardowo zaimplementowany w Windows 2000 wiąże się z wprowadzeniem nowego pojęcia "site", które określa grupę komputerów w ramach jednej domeny, a nawet kilku domen, które są połączone siecią lokalną o relatywnie dużej przepustowości w porównaniu do łączy sieci rozległej. Mogą one w dużych firmach zostać połączone za pomocą wolniejszych łączy WAN. Do konfiguracji replikacji w ramach całej sieci Windows 2000 jest wykorzystywane specjalne narzędzie Active Directory Sites and Services. Istotne jest jednak podkreślenie, że struktura site'ów jest niezależna od struktury domenowej, np. jedna domena może rozciągać się na wiele site'ów (czyli oddalonych od siebie sieci lokalnych), i odwrotnie.

Dzięki informacjom o konfiguracji site'ów Windows 2000 automatycznie określa parametry dotyczące replikacji usług katalogowych. W ramach tego samego site'u replikacja jest wykonywana relatywnie często i jej głównym celem jest zapewnienie jak najmniejszych opóźnień w zaktualizowaniu informacji na wszystkich kontrolerach domeny. Nie idzie to w parze z optymalizacją transmisji danych, aczkolwiek nie jest to najważniejsze, gdyż dzisiejsze sieci lokalne zapewniają dużą przepustowość. Replikowane dane, w celu zmniejszenia obciążenia procesorów serwerów, nie są nawet kompresowane. Jeśli administrator określił już konfigurację site'u, czyli jakie kontrolery domen pracują w jego ramach, to Active Directory automatycznie konfiguruje scenariusze replikacji, określając je w taki sposób, by dane do każdego z serwerów mogły być przesłane co najmniej dwiema trasami (każdy kontroler replikuje informacje z dwoma innymi, co zabezpiecza przed awarią pojedynczego serwera).

Na wolnych łączach

Z punktu widzenia dużych firm istotniejszym zagadnieniem jest stworzenie optymalnego scenariusza replikacji informacji katalogowych w sieciach rozległych. W tym celu tworzy się niezależne site'y, między którymi indywidualnie są konfigurowane połączenia - również z wykorzystaniem narzędzia Active Directory Sites and Services. Dla każdego takiego połączenia administrator może określić optymalny przedział czasowy, w którym może być przeprowadzana replikacja (np. pory nocne, gdy łącza są najmniej obciążone), częstotliwość, z jaką ma być realizowana wymiana danych, a także koszt takiej replikacji (podobnie jak w routingu danych umożliwia on wybieranie alternatywnych, tańszych tras przesyłania informacji).

Administrator ma do wyboru dwa protokoły komunikacyjne, dzięki którym można zrealizować replikację Active Directory: IP i SMTP. W pierwszym przypadku stosowane są standardowe odwołania RPC. Drugi ze sposobów replikacji można wykorzystać tam, gdzie nie ma bezpośredniego połączenia między site'ami, ale jest możliwa ich wzajemna komunikacja poprzez okresowo wymienianą pocztę elektroniczną.

Replikacja SMTP ma jednak wiele ograniczeń i dodatkowych wymogów w porównaniu z replikacją realizowaną za pomocą protokołu IP. Przede wszystkim nie można jej używać w przypadku kontrolerów jednej domeny. Wymaga również instalacji serwera zarządzającego certyfikatami elektronicznymi, które są stosowane do szyfrowania przesyłanej korespondencji (klucz 56-bitowy).


TOP 200