[ Pobierz całość w formacie PDF ]
.Za³o¿enie to niestety jest mylne.Active Directory tworzy zwykle w obrêbielokacji dwie lub wiêcej odrêbnych topologii replikacji (w postacidwukierunkowych pierœcieni):Jedna na potrzeby kontekstów nazewniczych konfiguracji i schematuJedna dla ka¿dego kontekstu nazewniczego domenyEwentualnie jedna na potrzeby replikacji GCW istocie ka¿dy kontekst nazewniczy (schematu, konfiguracji i tak dalej) mo¿eposiadaæ w³asn¹ topologiê replikacji.Jednak¿e wewn¹trz lokacji kontekstynazewnicze schematu i konfiguracji u¿ywaj¹ domyœlnie wspólnej topologii,poniewa¿ informacje w nich zawarte s¹ replikowane do wszystkich DC w lokacji.Kontekst nazewniczy domeny posiada w³asn¹ topologiê, poniewa¿ jest replikowanydo wszystkich DC i GC w lokacji, nale¿¹cych do okreœlonej domeny.Jeœli wszystkie DC w lokacji nale¿¹ do tej samej domeny, wszystkie trzykonteksty nazewnicze mog¹ korzystaæ ze wspólnego pierœcienia replikacji.Jeœlilokacja zawiera wiêcej domen, pojawi¹ siê dodatkowe topologie replikacji.Podobnie jest dla replikacji miêdzylokacyjnej — tutaj miêdzy lokacjami tworzonajest automatycznie topologia drzewa czêœciowego.Jeœli wiêc planowane jest rêczne tworzenie wszystkich po³¹czeñ i wy³¹czenieKCC, nale¿y wzi¹æ pod uwagê potrzeby obu topologii replikacji.Rysunki 12.18 i12.19 przedstawiaj¹ wk³ad pracy wymagany do zaplanowania obiektów Po³¹czenie —powinny one daæ pojêcie o pracy wykonanej przez KCC i powód, dla któregoCzytelnik nie powinien ju¿ wiêcej myœleæ o wy³¹czeniu KCC.Rysunek 12.18„Typowa” domena z czterema DCSchema/Configuration topologyTopologia schematu i konfiguracjiConnection objectObiekt Po³¹czenieSite CPHLokacja CPHRysunek 12.19Domena z rysunku 12.18 po dodaniu trzech DC z innej domeny lasuSchema/Configuration topologyTopologia schematu i konfiguracjiConnection objectObiekt Po³¹czenieSite CPHLokacja CPHProszê równie¿ zauwa¿yæ, i¿ GC wykorzystuje topologiê u¿ywan¹ przez domeny,jeœli wiêc w jednej lokacji znajduje siê kilka domen, Active Directorydefiniuje równie¿ obiekty Po³¹czenie od DC nale¿¹cych do innych domen do DCgraj¹cego równie¿ rolê GC (jak na rysunku 12.20).Rysunek 12.20Zmiana sytuacji w porównaniu z rysunkiem 12.19, po promocji kontrolera Sales3do GC.Obiekt Po³¹czenie zosta³ dodany pomiêdzy kontrolerami Sales3 i Sales2 zewzglêdu na regu³ê trzech przeskokówSchema/Configuration topologyTopologia schematu i konfiguracjiConnection objectObiekt Po³¹czenieSite CPHLokacja CPHWskazówkaKluczem do zrozumienia tworzonych topologii replikacji jest fakt, i¿ ka¿dy DC iGC Active Directory jest w stanie replikowaæ jedynie lokalnie przechowywanekonteksty nazewnicze.Inaczej mówi¹c, kontroler domeny Active Directory mo¿nawykorzystaæ do:Dostarczania innym DC kontekstów nazewniczych schematu i konfiguracji.Dostarczania kontekstu nazewniczego domeny do innych DC nale¿¹cych do tej samejdomeny.Dostarczania kontekstu nazewniczego domeny do ka¿dego innego GC, któremupotrzebny jest czêœciowy zestaw atrybutów z tej¿e domeny.Kontroler domeny Active Directory zawieraj¹cy wykaz globalny mo¿e pos³u¿yæ dodostarczania czêœciowych kontekstów nazewniczych domen do wszystkichpozosta³ych GC.Topologiê replikacji mo¿na zbudowaæ rêcznie, korzystaj¹c z tych prostych regu³i pamiêtaj¹c, i¿ ka¿dy DC i GC zawsze usi³uje zminimalizowaæ liczbê serwerów,do których dokonuje replikacji.Znaczy to, i¿ DC bêdzie zawsze chcia³replikowaæ konteksty nazewnicze schematu i konfiguracji z serwerem,dostarczaj¹cym kontekst nazewniczy domeny.Us³uga Czas systemu WindowsZaczynaj¹c z ca³kiem innej beczki, Czytelnik powinien wiedzieæ równie¿ co niecoo us³udze Czas, której zadaniem jest zapewnienie, aby wszystkie DC, serwerycz³onkowskie i klienty w lesie u¿ywa³y tego samego czasu i daty.Chocia¿ czasnie jest podstawowym œrodkiem rozwi¹zywania kolizji replikacji, wci¹¿ potrzebnybêdzie w przypadku remisu USN.I co jeszcze wa¿niejsze: nowy protokó³uwierzytelniania (Kerberos) jest mocno zale¿ny od poprawnej synchronizacjiczasu w ca³ej domenie, poniewa¿ u¿ywa parametru czasu jako czêœci procesugenerowania biletu uwierzytelnienia.Inaczej mówi¹c, synchronizacja czasu jestdoœæ wa¿na dla dobrego samopoczucia Active Directory.Us³uga Czas w Windows 2000 stanowi implementacjê jednego z mniej znanychdokumentów RFC — RFC 1769: Simple Network Time Protocol (SNTP – prosty protokó³sieciowy czasu), który obecnie nie jest standardem.Jak sugeruje nazwa, SNTPjest uproszczon¹ wersj¹ protoko³u NTP (Network Time Protocol).Jest to raczej nieszczêœliwy wybór ze strony Microsoftu, poniewa¿ SNTP jestdoœæ ubogo udokumentowany w porównaniu z NTP, a co gorsza, nie jest standardem.Absurdalnoœæ tego wyboru podkreœla jeszcze bardziej znajduj¹ce siê w RFCbezpoœrednie stwierdzenie, i¿ klient SNTP w celu synchronizacji nie powiniennigdy polegaæ na innym kliencie SNTP — zamiast tego powinien korzystaæ zbardziej zaawansowanego protoko³u NTP.Wobec tego fakt, i¿ Microsoft zaimplementowa³ powszechnie SNTP we wszystkichwariantach Windows 2000, nie najlepiej pasuje do FRC.Radzi³bym stosowaæ siê jak najœciœlej, jak to mo¿liwe, do zaleceñ zawartych wRFC.W najgorszym przypadku kontrolery domen Active Directory zainstalowane wcentrum obliczeniowym powinny synchronizowaæ swoje zegary z pewnym serwerem(serwerami) NTP znajduj¹cymi siê w pobli¿u.UwagaPrzyczyna wyboru SNTP zamiast NTP jest mi nieznana.Prawdopodobnie Microsoftzdecydowa³ siê skorzystaæ z dobrze poznanego rozwi¹zania, poniewa¿ czêœæpotrzebnego kodu zosta³a ju¿ opracowana w zwi¹zku z narzêdziami Resource KitWindows NT 4 — TimeServ i W32Time
[ Pobierz całość w formacie PDF ]