Actice Direckory struktura

logiczna i fizyczna

Opracowa

ł:

Artur

Bojko

2R

Active Directory wykorzystuje Domain Name System

(DNS) jako podstawowy mechanizm identyfikacji

obiektów takich jak komputery i domeny. DNS stanowi

standardową usługę internetową, pozwalającą

grupować komputery w domenach. Przeciwnie niż w

przypadku domen Windows NT 4, które miały

strukturę płaską, domeny DNS zbudowane są

hierarchicznie. Hierarchia ta zdefiniowana jest w

oparciu o całą sieć Internet. Różne poziomy hierarchii

pozwalają identyfikować komputery, domeny

organizacyjne lub domeny najwyższego poziomu

(domeny główne). DNS wykorzystywany jest także do

przypisywania nazwom hostów, takim jak

zeta.microsoft.com, odpowiadających im adresów

numerycznych protokołu TCP/IP (np. 192. 168. 19. 3).

Poprzez DNS hierarchia domen Active Directory może

zostać zdefiniowana w oparciu o nazwy internetowe,

bądź też może posługiwać się oddzielnymi,

prywatnymi nazwami.

W przypadku odwoływania się do zasobów

komputera w takim typie sieci należy

posłużyć się w pełni kwalifikowaną nazwą

hosta, taką jak zeta.microsoft.com. W tym

przykładzie zeta stanowi nazwę

indywidualnego komputera, microsoft nazwę

domeny organizacyjnej, zaś com nazwę

domeny najwyższego poziomu. Domeny

najwyższego poziomu znajdują się u

podstawy drzewa hierarchii DNS i są niekiedy

nazywane domenami głównymi. Domeny te

zorganizowane są geograficznie za pomocą

dwuliterowych identyfikatorów krajów, jak .pl

dla Polski lub .ca dla Kanady, lub zależnie od

typu organizacji. W tym ostatnim przypadku

stosowane są oznaczenia funkcjonalne, takie

jak .com dla firm komercyjnych lub .org dla.

instytucji niekomercyjnych.

Typowe domeny, takie jak microsoft.com są też niekiedy

nazywane domenami nadrzędnymi. Nazwa to wynika z

faktu, że stanowią one podstawę struktury

organizacyjnej. Domeny takie mogą być podzielone na

poddomeny, które odpowiadają różnym oddziałom,

sekcjom lub geograficznym lokalizacjom. W pełni

kwalifikowana nazwa hosta dla komputera znajdującego

się w biurze firmy Microsoft w Seattle może zatem

posiadać adres jacob.seattlf.microsoft.com. W tym

przypadku jacob jest nazwą komputera, seattle jest

poddomeną, zaś microsoft.com jest domeną nadrzędną.

DNS stanowi integralną część technologii Active

Directory - w rzeczywistości nie jest możliwe

zainstalowanie Active Directory bez wcześniejszego

skonfigurowania DNS w sieci. Po skonfigurowaniu DNS

można zainstalować Active Directory przy pomocy

Kreatora instalacji Active Directory (uruchamianego

poleceniem dcpromo z linii poleceń). W przypadku braku

istniejącej domeny Kreator pomoże utworzyć nową

domenę i skonfigurować w niej Active Directory. Kreator

pozwala też dodać poddomenę do istniejącej struktury.

Active Directory -

podstawowe pojęcia

Active Directory umożliwia opisanie zarówno fizycznej, jak i

logicznej struktury sieci i jej składników.

Struktury fizyczne to:

• Podsieci – Grupa sieciowa posługująca się jednolitym

zakresem adresów IP i maską sieci.

• Lokacje – Jedna lub kilka podsieci. Lokacje służą do

konfigurowania dostępu do katalogu i replikacji.

Struktury logiczne obejmują następujące pojęcia:

• Jednostka organizacyjna – Podgrupa w domenie, zazwyczaj

odpowiadająca elemen towi struktury funkcjonalnej organizacji.

• Domena – Grupa komputerów współdzielących wspólną bazę

katalogową.

• Drzewo domen – Jedna lub kilka domen korzystających z

ciągłej przestrzeni nazw.

• Las domen – Jedno lub kilka drzew dzielących wspólne

informacje katalogowe.

Tworzenie podsieci

Aby utworzyć podsieć należy;
1. Otwórz „Lokacje i usługi Active Direktory”. By to zrobić

kliknij: Start/Panel Sterowania/Narzędzia Administracyjne/

Lokacje i usługi Active.

2. W drzewie konsoli kliknij prawym przyciskiem myszy węzeł

Subnets, a następnie kliknij polecenie Nowa podsieć.

Znajduje się to w Lokacje i usługi Active

Directory/Sites/Subnets

3. W polu Adres wpisz adres podsieci.
4. W polu Maska wpisz maskę podsieci, która opisuje zakres

adresów należących do tej podsieci.

5. W obszarze Wybierz obiekt lokacji dla tej podsieci kliknij

lokację, która ma być skojarzona z tą podsiecią, a następnie

kliknij przycisk OK.

Tworzenie lokacji

Aby utworzyć lokację należy:
1.Otwórz „Lokacje i usługi Active Direktory”. By

to zrobić kliknij: Start/Panel
Sterowania/Narzędzia Administracyjne/
Lokacje i usługi Active.

2.Kliknij prawym przyciskiem myszy folder Sites,

a następnie kliknij polecenie Nowa lokacja.

3.W polu Nazwa wpisz nazwę nowej lokacji.
4.Kliknij obiekt typu łącze lokacji, a następnie

kliknij przycisk OK.

Kojarzenie podsieci z

lokacją

Aby skojarzyć podsieć z lokacją należy:
1.

Otwórz przystawkę o

Lokacje i

usługi Active Directory/Sites/Subnets.

2.

W drzewie konsoli kliknij prawym

przyciskiem myszy podsieć, z którą

chcesz skojarzyć lokację, a następnie

kliknij polecenie Właściwości.

3.

W polu Lokacja kliknij lokację, którą

chcesz skojarzyć z podsiecią.

Kiedy ustanowić jedną, a

kiedy wiele lokacji

Odpowiednie ustanowienie lokacji może zoptymalizować

wydajność replikacji i zmniejszyć obciążenie

administracyjne w sieci. Optymalna liczba lokacji

zależy od fizycznego projektu sieci. Podczas tworzenia

pierwszego lasu tworzona jest jedna, domyślna lokacja

usługi Active Directory (o nazwie Nazwa-pierwszej-

lokacji), która reprezentuje całą sieć. Las lub domena

składająca się z jednej lokacji może być bardzo

wydajna w przypadku nie rozproszonej, dobrze

połączonej sieci o dużej przepustowości. Jeśli las lub

domena obejmuje wiele lokalizacji geograficznych,

które komunikują się za pośrednictwem powolnych

połączeń sieci rozległej (WAN), ustanowienie wielu

lokacji daje większą kontrolę nad replikacją, skraca

opóźnienie uwierzytelniania i zmniejsza ruch w sieci

WAN.

Dlaczego przepustowość

jest ważna

Wewnątrz lokacji przepustowość decyduje o

wydajności replikacji. Ze względu na

częstotliwość, z jaką zachodzi replikacja

wewnątrzlokacyjna, do osiągnięcia wysokiej

wydajności niezbędna jest duża

przepustowość. Dlatego przed utworzeniem

nowej lokacji należy upewnić się, że

wszystkie komputery w tej lokacji będą

połączone szybkimi łączami. Każdy obszar, w

którym kontrolery domeny są połączone

łączami o szybkości przynajmniej 10

megabitów na sekundę (Mb/s), jest dobrym

kandydatem na lokację.

Kiedy ustanowić jedną

lokację

W przypadku jednej sieci lokalnej (LAN) składającej się z jednej

podsieci lub sieci zawierającej wiele podsieci połączonych

szybkim szkieletem ustanowienie topologii replikacji opartej

na jednej lokacji może przynieść następujące korzyści:

• Uproszczone zarządzanie replikacją

• Szybkie aktualizacje katalogu między wszystkimi

kontrolerami domeny

Topologia jednej lokacji umożliwia przeprowadzanie całej

replikacji jako replikacji wewnątrzlokacyjnej, która nie

wymaga konfigurowania ręcznego. Jedna lokacja pozwala

również na szybkie aktualizowanie wszystkich kontrolerów

domeny w przypadku wprowadzenia zmian w katalogu,

ponieważ zmiany są replikowane niemal natychmiast.

Kiedy ustanowić wiele

lokacji

Jeśli sieć obejmuje wiele lokalizacji geograficznych połączonych

łączami WAN, ustanowienie osobnych lokacji w każdej z tych

lokalizacji daje następujące korzyści:

Wydajne wykorzystanie przepustowości sieci WAN przez replikację

• Szczegółowa kontrola nad replikacją

• Skrócenie opóźnienia uwierzytelniania
Fizycznie oddzielne lokalizacje sieciowe zwykle komunikują się za

pośrednictwem połączeń WAN, które często charakteryzują się niską

przepustowością. Utworzenie osobnej lokacji dla każdej lokalizacji

fizycznej w sieci powoduje, że kontrolery domeny komunikujące się

za pośrednictwem połączeń WAN korzystają z replikacji

międzylokacyjnej, którą zaprojektowano specjalnie z myślą o

zapewnieniu wysokiej wydajności połączeń powolnych. W przypadku

wielu lokacji replikację można szczegółowo kontrolować za pomocą

kilku konfigurowalnych ustawień replikacji międzylokacyjnej. Te

ustawienia obejmują względny koszt różnych ścieżek replikacji,

kontrolery domeny i podsieci skojarzone z każdą lokacją,

częstotliwość transferowania aktualizacji katalogu oraz dostępność

połączeń dla replikacji.

Klient sieci logujący się do domeny musi w ramach

procesu uwierzytelniania skontaktować się z

kontrolerem domeny, którego najpierw poszukuje

we własnej lokacji. Jeśli lokacja obejmuje dwie lub

większą liczbę fizycznie oddzielnych lokalizacji

sieciowych, klient musi czasem uwierzytelniać się

na kontrolerze domeny za pośrednictwem

połączenia WAN. Takie uwierzytelnianie powoduje

opóźnienia w procesie uwierzytelniania. Kojarząc

fizycznie oddzielne lokalizacje sieciowe z osobnymi

lokacjami usługi Active Directory, można zapewnić,

że klienci najpierw próbują uwierzytelnić się na

kontrolerze domeny w ich własnej lokacji.

Omówienie lokacji

Lokacje w usłudze Active Directory reprezentują

fizyczną strukturę sieci, czyli jej topologię. Na

podstawie informacji o topologii, które są

przechowywane w katalogu jako obiekty typu

lokacja i łącze lokacji, usługa Active Directory

konstruuje najwydajniejszą topologię replikacji. Do

określania lokacji i łączy lokacji służy przystawka

Lokacje i usługi Active Directory. Lokacja jest

zestawem dobrze połączonych podsieci. Lokacje

różnią się od domen, ponieważ reprezentują

fizyczną strukturę sieci, podczas gdy domeny

reprezentują logiczną strukturę organizacji.

Korzystanie z lokacji

Lokacje ułatwiają przeprowadzanie niektórych procesów w usłudze

Active Directory:

• Replikacja. Usługa Active Directory wybiera kompromis między

zapotrzebowaniem na najświeższe informacje katalogowe a

koniecznością optymalizacji przepustowości, replikując informacje

wewnątrz lokacji częściej niż między lokacjami. Aby dodatkowo

zoptymalizować replikację, można również skonfigurować

względny koszt łączności między lokacjami.

• Uwierzytelnianie. Informacje o lokacjach pomagają przyspieszają

uwierzytelnianie i poprawiają jego wydajność. Gdy klient loguje się

do domeny, najpierw szuka kontrolera domeny, który mógłby go

uwierzytelnić, w swojej lokalnej lokacji. Ustanawiając wiele lokacji,

można zapewnić, że klienci będą uwierzytelniani przez kontrolery

domeny znajdujące się najbliżej nich, co skraca opóźnienie

uwierzytelniania i ogranicza ruch sieciowy przez połączenia WAN.

• Usługi obsługujące usługę Active Directory. Usługi

obsługujące usługę Active Directory mogą korzystać z informacji o

lokacjach i podsieciach, ułatwiając klientom lokalizację

najbliższych serwerów-dostawców rozmaitych usług. Określanie

lokacji za pomocą podsieci

W usłudze Active Directory lokacja jest zestawem komputerów

dobrze połączonych siecią o dużej szybkości, taką jak sieć

lokalna (LAN). Wszystkie komputery należące do lokacji

zwykle znajdują się w tym samym budynku lub w tej samej

sieci kampusowej. Jedna lokacja składa się z jednej lub kilku

podsieci IP (Internet Protocol). Podsieci są segmentami sieci

IP, przy czym każda z nich ma własny, unikatowy adres

sieciowy. Adres podsieci grupuje położone blisko siebie

komputery w podobny sposób, jak kod pocztowy grupuje

bliskie adresy pocztowe. Na następującym rysunku pokazano

kilku klientów wewnątrz podsieci, która określa lokację usługi

Active Directory.

Lokacje i podsieci są reprezentowane w usłudze Active Directory

jako obiekty typu lokacja i podsieć, które można tworzyć za

pomocą przystawki Lokacje i usługi Active Directory.

Każdy obiekt typu lokacja jest skojarzony z
jednym lub kilkoma obiektami typu podsieć.

Określanie przynależności

komputerów do lokacji

Przynależność komputerów do lokacji jest określana

na podstawie ich adresu i maski podsieci IP.

Odbywa się to inaczej w przypadku klientów i

serwerów członkowskich niż w przypadku

kontrolerów domeny. W przypadku klienta

przypisana mu lokacja jest określana dynamicznie

na podstawie adresu i maski podsieci IP podczas

logowania. W przypadku kontrolera domeny

przynależność do lokacji jest określana na

podstawie lokalizacji skojarzonego z nim obiektu

typu serwer w usłudze Active Directory..

Opis lokacji i domen

W usłudze Active Directory

lokacje reprezentują fizyczną

strukturę sieci, podczas gdy

domeny reprezentują logiczną

lub administracyjną strukturę

organizacji. To oddzielenie

struktury fizycznej od logicznej

daje następujące korzyści:

•Logiczną i fizyczną strukturę

sieci można projektować i

obsługiwać niezależnie.

•Obszarów nazw domen nie

trzeba tworzyć na podstawie

sieci fizycznej.

•W tej samej lokacji można

rozmieścić wiele kontrolerów

domeny dla wielu domen.

Można również rozmieścić

kontrolery domeny dla tej samej

domeny w wielu lokacjach.

Jednostki organizacyjne

Szczególnie przydatnym typem obiektu katalogu

zawartym w domenie jest jednostka organizacyjna.

Jednostki organizacyjne są kontenerami usługi Active

Directory, w których można umieszczać

użytkowników, grupy, komputery i inne jednostki

organizacyjne. Jednostka organizacyjna nie może

zawierać obiektów z innych domen. Jednostka

organizacyjna jest najmniejszym zakresem lub

jednostką, której można przypisać ustawienia zasad

grupy lub udzielić pełnomocnictw administracyjnych.

Korzystając z jednostek organizacyjnych, można

tworzyć kontenery z domeną reprezentującą

hierarchiczną, logiczną strukturę firmy. Pozwala to na

zarządzanie konfiguracją oraz na korzystanie z kont i

zasobów na podstawie modelu organizacyjnego.

Jak pokazano na rysunku,

jednostki organizacyjne

mogą zawierać inne

jednostki organizacyjne.

Hierarchię kontenerów

można w razie potrzeby

rozszerzyć, tak aby

odzwierciedlić w

domenie hierarchię

firmy. Korzystanie z

jednostek

organizacyjnych pomaga

zminimalizować liczbę

domen potrzebnych w

sieci.

Jednostek organizacyjnych można używać

do tworzenia modeli administracyjnych,

które można przeskalować do dowolnego

rozmiaru. Użytkownik może mieć prawa

administracyjne do wszystkich jednostek

organizacyjnych w domenie lub do jednej

jednostki organizacyjnej. Administrator

jednostki administracyjnej nie musi mieć

praw administracyjnych do żadnej innej

jednostki organizacyjnej w domenie.

Jak pokazano na rysunku, jednostki organizacyjne

mogą zawierać inne jednostki organizacyjne.

Hierarchię kontenerów można w razie potrzeby

rozszerzyć, tak aby odzwierciedlić w domenie

hierarchię firmy. Korzystanie z jednostek

organizacyjnych pomaga zminimalizować liczbę

domen potrzebnych w sieci.

Jednostek organizacyjnych można używać do

tworzenia modeli administracyjnych, które można

przeskalować do dowolnego rozmiaru. Użytkownik

może mieć prawa administracyjne do wszystkich

jednostek organizacyjnych w domenie lub do

jednej jednostki organizacyjnej. Administrator

jednostki administracyjnej nie musi mieć praw

administracyjnych do żadnej innej jednostki

organizacyjnej w domenie.

Domeny

Domeny są jednostkami replikacji. Wszystkie

kontrolery domeny w określonej domenie mogą

odbierać zmiany i replikować je na wszystkich innych

kontrolerach domeny w domenie. Każda domena w

usłudze Active Directory jest identyfikowana przez

nazwę systemu nazw domen (DNS) domeny i

wymaga przynajmniej jednego kontrolera domeny.

Jeśli sieć wymaga więcej niż jednej domeny, łatwo

można utworzyć wiele domen.

Jedna lub większa liczba domen korzystających ze

wspólnego schematu i wykazu globalnego jest

nazywana lasem. Pierwsza domena w lesie jest

nazywana domeną katalogu głównego lasu. Jeśli

wiele domen w lesie ma ciągłe nazwy DNS domeny,

ich struktura jest nazywana drzewem domen.

Jedna domena może obejmować wiele lokalizacji

fizycznych (lokacji) i może zawierać miliony

obiektów. Struktury lokacji i domeny są rozdzielne i

elastyczne. Domena może obejmować wiele lokacji

geograficznych, a lokacja może zawierać

użytkowników i komputery z wielu domen.

Domena daje następujące korzyści:

•Organizowanie obiektów.

Nie ma konieczności tworzenia osobnych drzew

domen jedynie w celu odzwierciedlenia organizacji

działów firmy. W tym celu można utworzyć w

domenie jednostki organizacyjne. Używanie

jednostek organizacyjnych ułatwia zarządzanie

kontami i zasobami w domenie. Następnie można

przypisać ustawienia zasady grupy i umieścić

użytkowników, grupy i komputery w jednostkach

organizacyjnych. Korzystanie z pojedynczej

domeny znacznie upraszcza administrację.

• Publikowanie zasobów i informacji o

obiektach domeny.

W domenie są przechowywane jedynie informacje

o obiektach umieszczonych w danej domenie, więc

utworzenie wielu domen dzieli katalog na

segmenty, które można osobno dostosować do

potrzeb różnych grup użytkowników. Używając

wielu domen, usługę katalogową Active Directory

można skalować zgodnie z wymaganiami

dotyczącymi administracji i publikowania katalogu.

• Stosowanie obiektu zasady grupy do domeny

konsoliduje zarządzanie zasobami i

zabezpieczeniami.

Domena określa zakres lub jednostkę zasad. Obiekt

zasad grupy (GPO) określa, w jaki sposób można

uzyskiwać dostęp do zasobów domeny,

konfigurować je i korzystać z nich. Te zasady są

stosowane jedynie wewnątrz domeny, a nie między

domenami.

•Możliwość udzielania pełnomocnictwa eliminuje

zapotrzebowanie na wielu administratorów z

szerokimi uprawnieniami administracyjnymi.

Udzielanie pełnomocnictwa w połączeniu ze

stosowaniem obiektów zasad grupy i określaniem

członkostwa grup umożliwia przypisanie

administracyjnych praw i uprawnień do zarządzania

obiektami w całej domenie albo w jednej lub wielu

jednostkach organizacyjnych wewnątrz domeny.

•Zasady i ustawienia zabezpieczeń (takie jak

prawa użytkownika i zasady haseł) nie

przechodzą z jednej domeny do innej.

Każda domena ma własne zasady zabezpieczeń i relacje

zaufania z innymi domenami. Jednak ostateczną

granicę zabezpieczeń wyznacza las.
W każdej domenie są przechowywane tylko

informacje o obiektach umieszczonych w danej

domenie.

Taki podział katalogu pozwala na skalowanie usługi

Active Directory w szerokim zakresie, tak że może

obejmować olbrzymią liczbę obiektów.

Tworzenie domeny

Domenę tworzy się przez utworzenie pierwszego

kontrolera domeny dla domeny. Aby to zrobić,

należy zainstalować usługę Active Directory na

serwerze członkowskim z systemem Windows

Server 2003 za pomocą Kreatora instalacji usługi

Active Directory. Kreator ten używa podanych

informacji do utworzenia kontrolera domeny i

utworzenia domeny w istniejącej strukturze domen

organizacji. W zależności od istniejącej struktury

domen, nowa domena może być pierwszą domeną

w nowym lesie, pierwszą domeną w nowym

drzewie domen lub domeną podrzędną w

istniejącym drzewie domen.

Kontroler domeny udostępnia usługę katalogową Active

Directory użytkownikom i komputerom w sieci,

przechowuje dane katalogowe oraz zarządza

oddziaływaniem użytkownik-domena, w tym procesami

logowania użytkowników, uwierzytelnianiem i

przeszukiwaniem katalogu. Każda domena musi

zawierać przynajmniej jeden kontroler domeny.

Po zainstalowaniu pierwszego kontrolera domeny dla

domeny można zainstalować dodatkowe kontrolery

domeny w istniejącej domenie, aby zapewnić

odporność na uszkodzenia i wysoką dostępność

katalogu.

Planowanie wielu domen
Oto niektóre z powodów do utworzenia więcej niż jednej

domeny:

•Różne wymagania dotyczące haseł w działach lub

oddziałach firmy

•Duża liczba obiektów

•Zdecentralizowana administracja siecią

•Większa kontrola nad replikacją

Mimo że używanie pojedynczej domeny

dla całej sieci ma kilka zalet, to ze
względu na ewentualne dodatkowe
wymagania związane ze skalowalnością,
zabezpieczeniami lub replikacją, można
wziąć pod uwagę utworzenie większej
liczby domen dla organizacji. Dokładne
poznanie sposobu replikacji danych
katalogowych między kontrolerami
domeny ułatwia zaplanowanie liczby
domen potrzebnych w organizacji.

Usuwanie domeny

Aby usunąć domenę, najpierw trzeba usunąć usługę

Active Directory ze wszystkich kontrolerów domeny

skojarzonych z daną domeną. Wraz z usunięciem

usługi Active Directory z ostatniego kontrolera

domeny domena zostaje usunięta z lasu, a razem z

nią — wszystkie informacje zawarte w tej domenie.

Domenę można usunąć z lasu tylko w przypadku,

gdy nie ma ona domen podrzędnych. Jeśli domena

jest ostatnią domeną w lesie, jej usunięcie

powoduje również usunięcie lasu. Przed

usunięciem usługi Active Directory z kontrolera

domeny najpierw należy usunąć wszystkie partycje

katalogu aplikacji z tego kontrolera domeny.

Relacje zaufania między

domenami

Relacje zaufania są tworzone automatycznie między

domenami przylegającymi (nadrzędną i podrzędną)

podczas tworzenia domeny w usłudze Active Directory. W

lesie relacja zaufania jest tworzona automatycznie między

domeną katalogu głównego lasu a domeną katalogu

głównego każdego drzewa lub każdą domeną podrzędną

domeny katalogu głównego lasu. Te relacje zaufania są

przechodnie, więc użytkownicy i komputery mogą być

uwierzytelniani między dowolnymi domenami w lesie.

W przypadku uaktualnienia domeny systemu Windows NT

do domeny systemu Windows Server 2003 istniejąca

relacja zaufania jednokierunkowego między tą domeną a

dowolną inną domeną pozostaje niezmieniona. Dotyczy to

również wszystkich relacji zaufania z innymi domenami

systemu Windows NT. W przypadku tworzenia nowej

domeny systemu Windows Server 2003, która ma być

połączona relacją zaufania z dowolną domeną systemu

Windows NT, trzeba utworzyć zaufanie zewnętrzne z tą

domeną.

Tworzenie nowego lasu

Utworzenie pierwszego kontrolera domeny w organizacji

jest równoznaczne z utworzeniem pierwszej domeny

(nazywanej również domeną katalogu głównego lasu) i

pierwszego lasu.

Kontener najwyższego poziomu w usłudze Active

Directory jest nazywany lasem. Las składa się z jednej

lub większej liczby domen, które mają wspólny schemat

i wykaz globalny. W organizacji może być wiele lasów.

Las wyznacza granice zabezpieczeń i administracji dla

wszystkich obiektów znajdujących się w lesie. W

odróżnieniu od lasu, domena wyznacza administracyjne

granice zarządzania obiektami, takimi jak użytkownicy,

grupy i komputery. Ponadto każda domena ma własne

zasady zabezpieczeń i relacje zaufania z innymi

domenami.

• Poszczególne drzewa domen w pojedynczym lesie

nie tworzą razem ciągłego obszaru nazw; innymi

słowy zawierają one nieciągłe nazwy domen DNS.

Chociaż drzewa w lesie nie współużytkują obszaru

nazw, las zawiera tylko jedną domenę katalogu

głównego, nazywaną domeną katalogu głównego

lasu. Domena katalogu głównego lasu jest

pierwszą domeną tworzoną w lesie. Do tej

domeny należą grupy Administratorzy

przedsiębiorstwa i Administratorzy schematu.

Domyślnie członkowie tych dwóch grup mają

poświadczenia administracyjne na poziomie lasu.

Kiedy tworzyć nowy las

Pierwszym krokiem w procesie wdrażania usługi Active

Directory jest określenie, ilu lasów potrzebuje dana

organizacja. W przypadku większości organizacji jeden

las jest modelem preferowanym i najłatwiejszym do

administrowania. Jednak jeden las może nie być

rozwiązaniem praktycznym dla każdej organizacji.

W przypadku jednego lasu użytkownicy nie muszą znać

struktury katalogu, ponieważ dzięki wykazowi

globalnemu wszyscy widzą jeden katalog. Dodanie do

lasu nowej domeny nie wymaga dodatkowej

konfiguracji zaufania, ponieważ wszystkie domeny w

lesie są połączone dwukierunkowymi, przechodnimi

relacjami zaufania. W lesie z wieloma domenami

jednokrotne zastosowanie zmian konfiguracji

wystarcza, aby zaktualizować wszystkie domeny.

Jednak istnieją scenariusze, w których celowe może

być utworzenie większej liczby lasów:

• Uaktualnienie domeny systemu Windows NT

do lasu systemu Windows Server 2003.

Domenę systemu Windows NT można uaktualnić,

tak aby stała się ona pierwszą domeną w nowym

lesie systemu Windows Server 2003. Aby to zrobić,

najpierw trzeba uaktualnić podstawowy kontroler

domeny w tej domenie. Następnie, w dowolnym

momencie można uaktualnić zapasowe kontrolery

domeny, serwery członkowskie i komputery

klienckie.

Można również zachować domenę systemu Windows

NT i utworzyć nowy las systemu Windows

Server 2003 , instalując usługę Active Directory na

serwerze członkowskim z systemem Windows

Server 2003.

Zapewnienie autonomii administracyjnej. Nowy

las można utworzyć, jeśli konieczne jest

posegmentowanie sieci do celów autonomii

administracyjnej. Administratorzy, którzy osobno

zarządzają autonomicznymi infrastrukturami IT w

organizacji, mogą przyjąć role właścicieli lasów i

zaprojektować poszczególne lasy zgodnie z

własnymi potrzebami. Jednak w innych sytuacjach

potencjalni właściciele lasów mogą uznać za

celowe scalenie swoich autonomicznych

infrastruktur w jeden las w celu obniżenia kosztów

wdrażania i korzystania z usługi Active Directory

lub ułatwienia udostępniania zasobów. Innym

wyjściem jest zapewnienie delegacji uprawnień

administracyjnych, która pozwala połączyć

korzyści obu podejść. Role wzorca operacji w

nowym lesie

Podczas tworzenia pierwszego lasu w organizacji

wszystkie pięć ról wzorca operacji automatycznie

przyjmuje pierwszy kontroler domeny w lesie. W

przypadku dodawania do lasu nowych domen

podrzędnych pierwszemu kontrolerowi domeny w

każdej nowej domenie podrzędnej są automatycznie

przypisywane następujące role:

•Wzorzec identyfikatora względnego (RID)
•Emulator podstawowego kontrolera domeny (PDC)
•Wzorzec infrastruktury
Ponieważ w lesie może istnieć tylko jeden wzorzec

schematu i jeden wzorzec nazw domen, role te

pozostają w domenie katalogu głównego lasu. W

lesie usługi Active Directory zawierającym tylko jedną

domenę i jeden kontroler domeny ten kontroler

domeny pełni wszystkie role wzorca operacji.

Dodawanie nowych domen

do lasu

W domenie są przechowywane jedynie

informacje o obiektach umieszczonych w danej

domenie, więc utworzenie wielu domen w

nowym lesie dzieli infrastrukturę usługi Active

Directory na segmenty, które można osobno

dostosować do potrzeb różnych grup

użytkowników.

Najłatwiejszą do administrowania strukturą

domen jest jedna domena w jednym lesie.

Planując strukturę domen, należy rozpocząć od

jednej domeny, a kolejne domeny dodawać

tylko wtedy, gdy model pojedynczej domeny

przestaje zaspokajać określone potrzeby.

Przed utworzeniem nowego

lasu

Do działania usługi Active Directory jest

wymagana usługa DNS i obie te usługi

mają tę samą hierarchiczną strukturę

domen. Na przykład microsoft.com jest

domeną usługi DNS i domeną usługi

Active Directory. Z powodu tego związku

między usługą Active Directory a usługą

DNS przed utworzeniem nowego lasu

należy dokładnie zapoznać się z

pojęciami dotyczącymi obu tych usług.

Tworzenie nowego drzewa

domen

Nowe drzewo domen należy utworzyć

tylko w przypadku, gdy jest potrzebna

domena, której obszar nazw DNS nie

będzie powiązany z innymi domenami

w lesie. Oznacza to, że nazwa domeny

katalogu głównego drzewa (i wszystkich

domen podrzędnych) nie musi zawierać

pełnej nazwy domeny nadrzędnej. Las

może składać się z jednego lub większej

liczby drzew domen.

Przed utworzeniem nowego drzewa domeny

zastanów się nad potrzebą utworzenia kolejnego

lasu. Utworzenie wielu lasów zapewnia izolację

schematu i konfiguracji partycji katalogu, osobne

granice zabezpieczeń, autonomię administracyjną

oraz możliwość niezależnego projektowania

obszaru nazw dla każdego lasu. Dodatkowy las

zwiększa jednak złożoność i koszt implementacji

oraz utrzymania wdrożonego rozwiązania. Dlatego

decyzję o ewentualnym utworzeniu nowego lasu

powinno się podejmować z rozwagą. Las należy

utworzyć tam, gdzie wdrażanie stawia określone

wymagania. Przykładowo las powinien być

utworzony, jeśli potrzebny jest osobny obszar

zabezpieczeń lub zachodzi potrzeba izolacji zmian

schematu. Utworzenie nowego drzewa domeny nie

spełnia tych wymagań.

Replikacja

Jak działa replikacja?
Aby zapewnić spójność i aktualność danych

katalogowych na wszystkich kontrolerach
domeny, usługa Active Directory regularnie
replikuje zmiany wprowadzane w katalogu.
Replikacja odbywa się za pośrednictwem
standardowych protokołów sieciowych, przy
czym śledzenie zmian zapobiega
niepotrzebnym replikacjom, a funkcja
replikacji wartości połączonych zwiększa
wydajność.

Transferowanie danych

replikacji

Usługa Active Directory przesyła dane replikacji między

kontrolerami domeny, używając zdalnego wywoływania

procedur (RPC) za pośrednictwem protokołu Internet

Protocol (IP), które służy zarówno do replikacji

międzylokacyjnej, jak i wewnątrzlokacyjnej. Do

zabezpieczenia danych podczas przesyłania replikacja RPC

przez IP używa uwierzytelniania (za pomocą protokołu

uwierzytelniania Kerberos V5) i szyfrowania danych.

Jeśli bezpośrednie i niezawodne połączenie IP jest

niedostępne, replikację między lokacjami można

skonfigurować do korzystania z protokołu SMTP (Simple

Mail Transfer Protocol). Replikacja SMTP ma jednak

ograniczoną funkcjonalność, a ponadto wymaga urzędu

certyfikacji przedsiębiorstwa. Protokół SMTP może być

używany tylko do replikowania konfiguracji, schematu i

partycji katalogu aplikacji; nie obsługuje replikacji partycji

katalogu domeny.

Zapobieganie niepotrzebnej

replikacji

Gdy kontroler domeny pomyślnie przetworzy

zmiany katalogowe z innego kontrolera

domeny, nie powinien replikować tych zmian

z powrotem na kontrolerze domeny, który je

wysłał. Ponadto kontroler domeny nie

powinien wysyłać aktualizacji na inny

kontroler domeny, jeśli docelowy kontroler

domeny już odebrał tę aktualizację od innego

partnera replikacji. Aby zapobiec takiej

niepotrzebnej replikacji, usługa Active

Directory używa przechowywanych w

katalogu informacji śledzenia zmian.

Rozwiązywanie konfliktów

między zmianami

Może się zdarzyć, że dwóch różnych użytkowników

dokona zmian dokładnie w tej samej właściwości

obiektu i te zmiany zostaną zastosowane na dwóch

różnych kontrolerach domeny w tej samej domenie,

zanim któraś z tych zmian zostanie zreplikowana. W

takim wypadku obie zmiany są replikowane jako nowe

zmiany, powodując konflikt. Aby rozwiązać ten

konflikt, kontrolery domeny, które odbierają zmiany

będące w konflikcie, sprawdzają takie atrybuty tych

zmian, jak wersja i sygnatura czasowa. Kontrolery

domeny akceptują zmianę z wyższym numerem

wersji, a drugą zmianę odrzucają. Jeśli obie wersje są

identyczne, kontrolery domeny akceptują zmianę z

nowszą sygnaturą czasową.

Poprawa wydajności

replikacji

Replikacja wartości połączonych, która jest dostępna

w systemach z rodziny Windows Server 2003,

umożliwia osobną replikację poszczególnych

wartości atrybutu wielowartościowego. W systemie

Windows 2000, gdy wprowadzono zmianę dotyczącą

jednego członka grupy (jednej wartości atrybutu

wielowartościowego z wartościami połączonymi),

cała grupa musiała być zreplikowana. Dzięki

replikacji wartości połączonych replikowany jest

tylko zmieniony członek grupy, a nie cała grupa. Aby

włączyć replikację wartości połączonych, należy

podwyższyć poziom funkcjonalności lasu do

poziomu Windows Server 2003.