Глобални стоките сървъри

Всеки системен администратор, който работи с Active Directory Domain Services, най-малко веднъж по време на работата му е изправен пред глобална каталог, но не всеки си мисли на системния администратор, каква е глобален каталог, както и за какво е. Global Catalog (Global каталог или GC) е хранилище на разпределена база данни, която съхранява информация за всеки обект, а също така улеснява търсенето в категория гората Active. Глобалната каталога се съхранява на домейн контролерите, които са определени като глобални стоките сървъри и разпространяват чрез репликация с няколко връстници. първият домейн контролера инсталиран в гората автоматично се конфигурира като сървър на глобалния каталог. Можете да прехвърляте възможност за глобален каталог на други домейн контролери, както и да промените местоположението на глобалния каталог е инсталиран по подразбиране, което показва различен контролер. Глобалната каталог дава възможност на потребителите и приложения, за да намерите обекти във всеки домейн в текущата гората чрез търсене на атрибутите включени в глобалния каталог, които са посочени в схемата, определен набор от атрибути (Частично атрибут, PAT). Да кажем, че имате гора с три домейна, всеки домейн се състои от две домейн контролери. Всичките шест домейн контролери поддържат репликацията на схема и конфигурация дървесината на. Съответно, контрольорите в област А съдържа контекста на домейна именуване реплика контролери в домейна B - реплика за именуване на домейни B и C, съответно, на администраторите на домейн реплика домейни В. разгледаме следната ситуация: С домейн потребителят иска да намери домейн А. на потребителя В този случай, когато потребителите извършват домейн търсене, C домейн на обект а, резултатите от заявките осигурява глобална директория. Но ако обектът съдържа специфична характеристика, която не е активирана по подразбиране в глобалния каталог, можете да добавите този атрибут с помощта на "Движеща сила за Active Directory» счупят. По този начин, ако не бяха за глобалното каталог сървър е домейн контролер, който получава Заявките обекти в други области със заявките за търсене, препратени към контролера в областта на желания обект. В тази статия ще научите за самото понятие сървър на глобалния каталог, тяхната архитектура, протоколи, процеси, физическа структура, но и за много нюанси, свързани с тази технология.

Взаимодействие с други технологии сървър на глобалния каталог

глобални стоките сървъри общуват следните технологии:

Инсталиране на Active Directory. Глобалната каталога е конфигуриран автоматично на първия домейн контролера, който е инсталиран в гората;

Взаимодействието на глобалните стоките сървъри от технологията на сървъра е както следва:

Фиг. 1. Пример на взаимодействието между глобалните стоките сървъри с Active Directory Services домейни

След създаването на новия контролер DC02 домейн, системният администратор я определя като сървър на глобалния каталог и репликира частично атрибут на DC01. Най-домейн, DC01 DC02 репликира промени домейн А, и DC02 - възпроизвеждането на актуализиране на данни за DC01 домейн Б.

В стъпка "А" клиентски компютър KlientH изпраща заявка към глобалния каталог, който пренасочва заявката за DNS на сървъра, за да търсят най-близкия сървър на глобалния каталог "В", а след това на клиента контактите на световния каталог сървъра, за да изпълняват своята заявка "C".

Развитие и използване на сценарии на глобалните стоките сървъри

Сървър на глобалния каталог обикновено се използва в ситуации, които са боядисани в следващите раздели.

Търсене на имот

Защото домейн контролера, който действа като сървър на глобалния каталог, който съдържа обектите на всички домейни в гората, глобалния каталог дава на потребителите и приложения с възможност за търсене на информация от указателя във всички сфери на гората, независимо от местоположението на съхранение. Ако вашият дървен материал се състои от един домейн, всички домейн контролери имат пълен достъп за писане на копия на всеки обект в областта на гората. Когато даден потребител търси главницата сигурност, което показва в менюто "Старт" в параметъра на заявката "Целият каталог на продукцията." След това се изпълнява търсенето директно в глобалния каталог.

За достъп до указателя обекти Активни използва протокол Lightweight Directory (Lightweight Directory Access Protocol, LDAP). LDAP заявки за търсене могат да бъдат изпратени и получени Active Directory справочна услуга на порт 389 (LDAP, портът по подразбиране) и порт 3268 (глобален каталог порт). LDAP трафик, който използва Secure Sockets Layer (SSL) протокол за удостоверяване осигурява достъп до пристанищата 686 и 3269. В съответствие с това поведение за търсене, който се отнася до пристанищата 389 и 3268 също се прилагат към съответните искания LDAP през пристанищата 686 и 3269. При изпращане на заявката за търсене на порт 389, търсенето се извършва в дял на домейн директория. Ако обектът не е в областта, вижте схема на директория или конфигурация на домейн контролера препраща искането до домейн контролер в домейна, който е посочен в отличава името на обекта. Когато искането за търсене се изпраща към порт 3268, а след това анкети всички директории дялове в гората, това е, търсене се обработват от сървър на глобалния каталог. Струва си да се обръща внимание на факта, че само глобални стоките сървъри могат да получават молби LDAP на порт 3268.

След като потребителят влезе искането му, искането се пренасочва към порт 3268 и изпратен за разрешаване на глобалния каталог сървъра. От друга страна, ако по някаква причина в своя домейн Active Directory не е сървър на глобалния каталог, вашите потребители или приложения не могат да извършват търсения в гората. Възможно е също да се отбележи, че всички копия, които се повтарят в глобалния каталог за включване на всички права на достъп за всеки обект и атрибут. Това означава, че ако търсите за съоръжение, до които достъпът е забранен за вас, вие няма да го видите в списъка с резултатите от търсенето. Съответно, потребителите могат да намерят само обекти, към които те имат достъп;

Потвърждаване на препратки към обекти в гората.

Домейн контролерите използват глобалния каталог за валидиране препратки към обекти на други домейни в гората. Това означава, че ако един домейн контролер съдържа обект с атрибут, който съдържа препратка към даден обект в друг домейн, домейн контролера проверява връзката, като се свържете сървър на глобалния каталог;

Потребителско име за удостоверяване.

Процес вход на потребителите и взаимодействието между глобалния каталог е както следва:

Фиг. 2. Процесът на взаимодействие между приноса на потребителите и глобален каталог

1. Тъй като потребител домейна, не съвпадат задължително с UPN-наставка, домейн контролера сканира принципите в следващия сайт на домейн, в която се намира на клиентския компютър;
2. Контролерът на домейн, който се опитва да се свърже с клиента, определя дали наставка DNS-име UPN домейн, с контролер упълномощен домейн. Ако името на домейна в UPN-наставка съвпада с домейна на домейн контролера, който обработва удостоверяване на клиента, но потребителското име не е намерен, домейн контролера се свързва с сървър на глобалния каталог. Също така, ако името на домейна в UPN-наставка не съвпада с домейн на домейн контролера на домейн контролера се свързва с сървър на глобалния каталог;
3. Използването на обекта му приписват userPrincipalName, глобалните търси каталог сървър за отличава името на обекта на потребителя и връща стойността на домейн контролер;
4. Контролерът на домейн извлича името на домейна на отличава името и връща резултат стойността на клиента;
5. Клиентът иска домейн контролер за вашия домейн.

Информация за универсално членство група в среда с няколко домейна.

Universal Group е група за сигурност, който ви позволява да управлявате ресурси, които са разпределени в няколко домейна. По време на работа, интерактивна влизане, домейн контролер извлича СИД на компютъра на потребителя. Поради тази причина, атрибутът на универсалната член групи. който съдържа списък на членовете в групата, се репликират на глобалния каталог. Например, за употреба в гората с няколко домейна е свързан към домейн, където домашни универсални групи. В този случай, на домейн контролера, за да се получи всеобщо членство група трябва да се свържете с глобален каталог сървъра. Ако потребителят не е свързан с домейна и глобалния каталог сървъра не е на разположение, той може да влезе само в локалната система. Но ако световната каталог сървъра не е достъпно, когато потребителите се регистрира в домейна, универсални групи са на разположение, и потребителят вече е свързан към този домейн, клиент компютъра на потребителя, може да се използва за достъп до кешираните пълномощията.

Кеширане универсално членство група.

Ето защо, контролери на домейни с ненадеждни комуникации с сървър на глобалния каталог, се препоръчва да се даде възможност и да конфигурирате кеширане универсално членство група. В същото време, информация относно участието на потребителите в универсален група, могат да бъдат модернизирани до 500 членства на всеки 8 часа. След първото влизане, кеша на потребителя се актуализира периодично по време на 180 дни.

По подразбиране, атрибути за потребителски и компютърни обекти не са пълни. Следващата илюстрация показва пример за изграждане на списък с идентификатори домейн контролер сигурност на кеша:

Фиг. 3. Пример за списък с идентификатори домейн контролер за сигурност, за да кешират

Архитектурата на глобалния каталог

глобална архитектура каталог на сървъра е различна от архитектурата на сървър, който не разполага с глобален каталог посредством персонализиран LDAP порт 3268, който изпраща заявки към глобалния каталог. Исканията, които отиват към порт 3268, са били също и всички LDAP-заявки, но Directory Domain Services промяна на активния поведение при търсене в зависимост от пристанището. Това означава, че исканията за порт 3268 са насочени към дяловете директория на глобалния каталог, включително дял директория е само за четене, за които е разрешено този сървър. Заявки се изпращат до пристанището 389 на домейна с възможност за запис, както и от конфигурацията директория прегради и приложения, както и копия на веригата, които са разположени в световен каталог на сървъра като домейн контролер. В допълнение, по време на комуникация с глобалните стоките сървъри, за да се получи всеобщо членство група, когато даден потребител влезе в системата, домейн контролери използват собственически репликация интерфейс.

Съответно, основните компоненти на една глобална каталог включват:

Следната илюстрация показва архитектурата на глобалния каталог:

Фиг. 4. Архитектурата на глобалния каталог

Протоколи от глобалния каталог

Протоколи и интерфейси за всички домейн контролери са едни и същи и не съществуват специфични протоколи за глобални стоките сървъри. В този случай, ние се интересуваме от четири интерфейси и три протоколи. Значението на глобален каталог е, че и домейн контролера, използвайки своите репликация протоколи собствен RPC не само за репликация, но също така и да общуват с сървър на глобалния каталог при извличане на информация за група членството в универсален и членството актуализира кеша в групата, когато "кеширане универсално членство група ". Следните протоколи се използват за всички глобален каталог на изискванията за:

• Лек протокол за достъп директория (LDAP).
• Прост протокол за предаване на поща (SMTP).
• Remote Procedure Call (RPC).

Следната илюстрация показва протоколите на глобалния каталог:

Фиг. 5. интерфейси и протоколи глобален каталог

Физическата структура на глобалния каталог

Както домейн контролера, глобален каталог съхранява писане дял домейн директория, в която обектите са подредени с всички атрибути. Също така е сървър на глобалния каталог съхранява частичен атрибут (PAS), с право да чете всички обекти на други домейни в многодомейнов гора. Схема обекти, определящи качества са обекти attributeSchema, които включват isMemberOfPartialAttributeSet атрибут. Ако стойността на този атрибут за TRUE, атрибутът се репликират на глобалния каталог. Global каталог репликация топология се генерира автоматично от център в Кумбу (Knowledge Съвместимост Checker, KCC) - вграден процес, който осъществява репликацията топология, който гарантира доставка на съдържанието на директорията на всяка секция за всеки сървър на глобалния каталог.

Физически представителство на световната директорията на данни не се различава от домейн контролера, тоест, в световен мащаб магазини каталог Ntds.dit бази данни атрибути на даден обект в един файл. A домейн контролер, който не е глобален каталог сървър, Ntds.dit файл съдържа пълен писане реплика на всеки обект в един домейн дял директория за вашия домейн, както и за писане директория прегради, и конфигурацията на веригата.

Помислете например за доста типичен сценарий. глобален каталог сървърът е пълен реплика на потребителите, както и частична реплика само за четене на всички други домейни в гората. На този сървър на глобалния каталог на всички директории дялове на глобалния каталог сървър се съхраняват в директорията на файла на базата данни (Ntds.dit). Съответно, в този случай не съществува отделен хранилища глобални стоките атрибути.

Компоненти на физическата структура на Глобалния каталог включват:

• файла с базата на Ntds.dit, който съхранява копие на обекти на Active Directory, извършвани от всяко домейн контролер, включително глобални стоките сървъри;
• Active Directory гора, т.е. набор от области, които се състоят логично Directory структурата на Active и които могат да се търсят в глобалния каталог;
• Домейн контролерите, които съхраняват едно пълно разделение на домейн директория достъпна за писане дяловете и конфигурацията директория и дървен кръг на;
• глобален каталог сървър, който е администратор на домейн, който съдържа пълна реплика на всеки може да се записва обект в един домейн дял директория за вашия домейн, както и за четене реплика други домейни в многодоменов гора.

Следната илюстрация показва физическата структура на глобалния каталог:

Фиг. 6. физическата структура на глобалния каталог

заключение

Свързани статии

• Намиране на информация с помощта на глобални сървъри за търсене и директории - studopediya

• Видимостта CS вървят сървър в глобалните сървъри за търсене