Курс Администрирование информационных систем Глобальный каталог Роли FSMO

Курс: Администрирование информационных систем Глобальный каталог Роли FSMO Тверской государственный технический университет Прохныч А. Н.

Глобальный каталог: История Ø появился в Windows Server 2000 ü схемы не было ü конфигурации не было ü контроллер домена мог ответить на любой запрос относительно объектов Active Directory

Глобальный каталог

Глобальный каталог Ø позволяет находить объекты в любом домене текущего леса Ø хранит копии ВСЕХ объектов Active Directory в лесу ü полная копия всех объектов каталога своего домена ü частичная копия всех объектов всех других доменов леса Ø содержит основной, но не полный набор атрибутов объекта

Глобальный каталог Ø копирование объектов в GC – используется стандартная репликация Ø значение параметра атрибута is. Member. Of. Partial. Attribute. Set = true ü оснастка «Схема Active Directory» ü опция «Реплицировать этот атрибут в глобальный каталог»

Сервер Глобального каталога Ø контроллеры домена, которые хранят копии глобального каталога Ø создается автоматически на первом контроллере домена в лесу Ø достаточно одного на сайт Ø дополнительный контроллер домена можно назначить GC ü оснастка «Сайты и службы Active Directory» ü опция «Глобальный каталог»

Функции сервера GC Поиск объектов Ø GC может ответить на любой запрос без перенаправления его контроллеру домена Ø LDAP запросы через порт 3268 Ø параметр «Весь каталог» при поиске объекта Ø GC содержит права доступа для объектов и атрибутов ü нет прав – объект не попадет в результат поиска по запросу

Функции сервера GC Проверка подлинности Ø аутентификация пользователей из других доменов леса Ø разрешает имя пользователя, если контроллер не знает «учетку» ü «учетка» из одного домена, а компьютер из другого домена леса

Функции сервера GC Проверка членства в универсальных группах Ø мультидоменная среда Ø в универсальной группе могут быть члены из других доменов

Функции сервера GC Проверка ссылок на объекты внутри леса Ø атрибут содержит ссылку на объект из другого домена Ø для проверки ссылки контроллер домена использует GC

Функции сервера GC Поиск в адресной книге Exchange Ø тесная интеграция Exchange и AD Ø поиск в Глобальной адресной книге Ø поиск пользователя по e-mail

Роли FSMO Ø Flexible single-master operations – «операции с одним исполнителем» Ø определить «более равного» контроллера среди всех остальных равных Ø разрешение конфликтных ситуаций Ø «мастерская роль» – это просто признак Ø в специальном объекте прописано, какой контроллер какими ролями владеет Ø уникальные для леса Ø уникальные для домена

Роли FSMO: уникальные для леса Ø Domain Naming Master ü Владелец доменных имён Ø Schema Master ü Владелец схемы

Роли FSMO: Domain Naming Master Ø добавление и удаление доменов ü уникальность NETBIOS-имени Ø создание и удаление разделов ü собственные partitions ü уникальность именования Ø создание и удаление перекрестных ссылок ü объекты класса cross. Ref ü могут быть на домены вне леса Ø одобрение переименования домена

Роли FSMO: Schema Master Ø «арбитр» при обнаружении конфликтов схем (к нему бегут два контроллера при обнаружении расхождения в схемах) Ø может изменять схему (разрешена запись с схему) Ø уведомляет остальных об изменении схемы Ø при «падении» schema master просто не сможем менять схему и все , т. к. копия схемы у всех контроллеров леса

Роли FSMO: уникальные для домена Ø RID Master ü Владелец относительных идентификаторов Ø Infrastructure Master ü Владелец инфраструктуры домена Ø PDC Emulator ü Эмулятор основного контроллера домена

Роли FSMO: Infrastructure Master Ø выполняет инспекцию всех «иностранцев» из другого домена ü проверка изменения атрибутов пользователей из других доменов ü поиск объектов неродного домена по GUID Ø при одном домене не имеет смысла Ø в многодоменной структуре IM не должен быть сервером GC

Роли FSMO: RID Master Ø выделение последовательности уникальных RID`ов каждому контроллеру в домене ü 500 номеров из общего пула § ссылки на идентификаторы ü порог получения новой «пачки» – 100 Ø обеспечивает корректность перемещения объектов между доменами ü каждый объект может перемещаться одновременно только в один домен

Роли FSMO: PDC Emulator Ø до Windows 2000 обеспечение совместимости с предыдущими версиями Windows ü обработка операции «смена пароля» ü репликация обновлений на BDC ü обозреватель сети (поиск сетевых ресурсов)

Роли FSMO: PDC Emulator Ø с Windows Server 2000 ü сервер точного времени домене ü изменение паролей и блокировка пользователей § «скоростная» репликация на PDC Emulator § «запасной» запрос на PDC Emulator ü сохранение групповых политик в SYSVOL ü изменения в пространстве имен Distributed File System (DFS) ü управление «Встроенными участниками системы безопасности» ü выполняется Admin. SDHolder (владелец административных дескрипторов безопасности)