Global kiszolgálók
Minden rendszergazda, amely együttműködik az Active Directory tartományi szolgáltatások legalább egyszer munkája során szembesül a globális katalógus, de nem mindenki hiszi, a rendszergazda, hogy mi van a globális katalógus, és mi az a. Globális katalógus (Global Catalog, vagy GC) egy tároló elosztott adatbázis, amely információkat tárol az egyes objektumok, valamint megkönnyíti a keresést az Active Directory erdő. A globális katalógus tárolt tartományvezérlők kijelölt globális katalógus kiszolgálók keresztül elosztott és replikáció több társaik. Az első tartományvezérlő telepítése erdőben automatikusan konfigurálva globális kiszolgáló. Akkor át a lehetőséget egy globális katalógus többi tartományvezérlő, valamint változtatni a helyét a globális katalógus alapértelmezés szerint telepítve van, jelezve egy másik vezérlő. A globális katalógus lehetővé teszi a felhasználók és alkalmazások objektumokat találni bármely területén a jelenlegi erdőben keres az attribútumok szerepelnek a globális katalógus, amely azonosítja a rendszer, mint egy bizonyos attribútumok (Részleges Képesség Set, PAT). Tegyük fel, hogy van egy erdő három domén, mindegyik domén két tartományvezérlő. Mind a hat tartományvezérlők replikációját támogatni a séma és a konfigurációs fa. Ennek megfelelően a tartományvezérlőit tartalmazza azokat a tartomány névhasználati környezet mása tartományvezérlőit B - replika tartománynév B és a C, illetve a domain replika tartományvezérlőkön C. Tételezzük fel az alábbiakat: C domén a felhasználó meg akarja találni a felhasználó domain A. Ebben az esetben ha egy felhasználó olyan keresési domain, C domén az objektum egy, a lekérdezés eredményét egy globális könyvtár. De ha az objektum tartalmaz egy különleges tulajdonság, amely alapértelmezés szerint nincs engedélyezve a globális katalógus, akkor add ezt az attribútumot a „Driving Active Directory» elszakadhat. Így, ha nem lenne a globális kiszolgáló egy tartományvezérlő, amely befogadja keresési kéréseket tárgyak más területeken keresőkifejezésekre továbbították a a tartományban a kívánt objektumot. Ebben a cikkben megtudhatja a fogalma a globális kiszolgáló, az építészet, jegyzőkönyvek, folyamatok, fizikai szerkezete, hanem a sok árnyalatok kapcsolódó ezt a technológiát.
Kölcsönhatás más globális kiszolgáló technológiák
globális katalógus kiszolgálók kommunikálnak az alábbi technológiákkal:
Telepítése Active Directory. A globális katalógus automatikusan beállítja az első tartományvezérlő telepítése az erdőben;
A kölcsönhatás a globális katalógus szerverek a szerver technológia a következő:
Ábra. 1. Példa közötti kölcsönhatás globális katalógus szerverek az Active Directory tartományi szolgáltatások
Miután létrejött az új DC02 tartományvezérlő, a rendszergazda határozza meg, mint a globális kiszolgáló és lemásolni részleges attribútum a DC01. A tartomány A, DC01 DC02 ismétlések változtatásokat domén és a DC02 - lemásolják adatok frissítéseit DC01 tartomány B.
Az első lépésben az „A” kliens számítógép KlientH kérést küld a globális katalógus, amely átirányítja a DNS kérést a szerver keresni a legközelebbi globális kiszolgáló „B”, akkor az ügyfél kapcsolatok a globális kiszolgáló ellássa lekérdezés „C”.
Fejlesztési és használat módja a globális katalógus szerverek
A globális kiszolgáló tipikusan olyan helyzetekben, hogy van festve a következő alfejezetekben.
Az ingatlan keresés
Mivel a tartományvezérlő úgy működik, mint a globális kiszolgáló, amely tartalmazza a tárgyak minden domain az erdő, a globális katalógus segítségével a felhasználók és az alkalmazások a képesség, hogy keressen címtáradatok minden területén az erdő, függetlenül attól, tárolási helyét. Ha a faanyag áll egy domain, minden tartományvezérlő teljes írási hozzáférést példányban tárgy a tartomány az erdő. Amikor a felhasználó keres bármilyen biztonsági igazgató, jelezve a „Start” menüben a lekérdezési paraméter „Minden termék katalógus.” akkor a keresés futtatása közvetlenül a globális katalógusban.
Ahhoz, hogy a Active Directory objektumok használ protokoll Lightweight Directory (Lightweight Directory Access Protocol, LDAP). LDAP keresési kéréseket lehet küldött és fogadott Active Directory szolgáltatás 389-es portot (LDAP, az alapértelmezett port), és 3268-as portot (globális katalógus port). LDAP-forgalom, amely a Secure Sockets Layer (SSL) hitelesítési protokoll hozzáférést biztosít a portok a 686 és 3269. Ezért a kutatások magatartás, amely vonatkozik a kikötők 389 és 3268 is alkalmazni a megfelelő LDAP kérések a portok a 686 és 3269. Amikor a keresési kérés érkezik 389-es portot, a keresés végezzük a domain címtárpartícióban. Ha a tárgy nem a tartomány, lásd Címtárséma vagy kialakítást, a tartományvezérlő továbbítja a kérést a domain a tartományban, hogy meg van adva a megkülönböztető nevét az objektum. Ha a keresési kérés érkezik 3268-as portot, akkor lekérdezi az összes címtárpartíciókat az erdőben, hogy van, a keresés dolgozza fel a globális kiszolgáló. Érdemes odafigyelni arra, hogy csak a globális katalógus szerverek kaphatnak LDAP-kérések porton 3268.
Miután a felhasználó beüti a kérést, a kérés átirányítása 3268-as portot, és elküldte, hogy megoldja a globális kiszolgáló. Az viszont, ha bármilyen okból az Active Directory-tartomány nem globális katalógus kiszolgáló, a felhasználóknak, vagy az alkalmazások nem kereséseket végrehajtani az erdőben. Azt is érdemes megjegyezni, hogy a replikák, amelyek reprodukálni a globális katalógus tartalmazza az összes hozzáférési jogokat minden egyes tárgy és attribútum. Azaz, ha keres egy lehetőség, amelyekre a belépés tilos az Ön számára, akkor nem fogja látni azt a keresési eredmények listájában. Ennek megfelelően, a felhasználók megtalálják csak a tárgyak, amelyekhez hozzáférést;
Megerősítése objektumokra mutató hivatkozásokat az erdőben.
Tartományvezérlők globális katalógus érvényesítéséhez objektumokra mutató hivatkozásokat más domainek az erdőben. Azaz, ha egy tartományvezérlő tartalmaz egy objektumot egy attribútummal, amely utalást tartalmaz egy objektum egy másik domain, a tartományvezérlő ellenőrzi a kapcsolatot a kapcsolatot a globális kiszolgáló;
Hitelesítési felhasználónév.
Process felhasználói és intenzívebb globális katalógus a következő:
Ábra. 2. A folyamat kölcsönhatása felhasználói és a globális katalógus
- Mivel a felhasználó domain nem feltétlenül esik egybe UPN-utótag a tartományvezérlő beolvassa a megbízók a következő tartományban hely, ahol a kliens számítógép található;
- A tartományvezérlő, amely igyekszik a kapcsolatot az ügyféllel, határozza meg, hogy a DNS-utótag UPN domain, a meghatalmazott tartományvezérlő. Amennyiben a domain név az UPN-utótag megegyezik a domain a tartományvezérlő, amely kezeli az ügyfél hitelesítést, de a felhasználói név nem található, a tartományvezérlő jár a globális kiszolgáló. Továbbá, ha a domain nevet a UPN-utótag nem egyezik domain a tartományvezérlő, a tartományvezérlő jár a globális kiszolgáló;
- Egy felhasználói objektum attribútum userPrincipalName, a globális katalógus szerver kikeresi a megkülönböztető nevét felhasználói objektum, és visszaadja az értékét egy tartományvezérlő;
- A tartományvezérlő beolvassa a domain nevet a megkülönböztető nevét, és visszaadja a kapott értéket az ügyféllel;
- Az ügyfél egy tartományvezérlő a domainhez.
Információ univerzális csoport tagsága környezetben több domaint.
Universal csoport is egy biztonsági csoportot, amely lehetővé teszi az erőforrások kezeléséhez, amelyek elosztva több domaint. A futási interaktív bejelentkezési, tartományvezérlő beolvassa a SID a felhasználó számítógépén. Emiatt a tulajdonsága univerzális csoportok tagja. amely tartalmaz egy listát a tagok a csoport replikálva a globális katalógust. Például, ha egy felhasználó az erdőben több domain van csatlakoztatva a tartományhoz, amelynél a megengedett univerzális csoportok. Ebben az esetben a tartományvezérlő szerezni univerzális csoport tagságát fel a kapcsolatot a globális kiszolgáló. Ha a felhasználó még soha nem csatlakozik a tartomány és a globális kiszolgáló nem érhető el, akkor meg csak a helyi rendszeren. De ha a globális kiszolgáló nem érhető el, amikor a felhasználó bejelentkezik a tartományba, ahol az univerzális csoportok állnak, és a felhasználó már csatlakoztatva van e területen, a felhasználó kliens számítógép segítségével hozzáférhet a tárolt adatokat.
Caching univerzális csoport tagság.
Ezért tartományvezérlők megbízhatatlan kommunikáció a globális kiszolgáló, ajánlott engedélyezése és beállítása caching univerzális csoport tagság. Ugyanakkor, információt részvételével felhasználók az egyetemes csoport, bővíthető 500 tagság 8 óránként. Miután az első bejelentkezés, a felhasználó cache rendszeresen frissít alatt 180 nap.
Alapértelmezésben az attribútumokat felhasználó és a számítógép tárgyak nincsenek kitöltve. Az alábbi ábra egy példát mutat az épület egy listát a tartományvezérlő biztonsági azonosítók cache:
Ábra. 3. Példa listáját tartományvezérlő biztonsági azonosítókat gyorsíthatóságát
Az építészet, a globális katalógus
globális kiszolgáló architektúra eltér a szerver architektúra, amely nem rendelkezik a globális katalógus egy egyedi LDAP port 3268, amely kérést küld közvetlenül a globális katalógusban. Kéri, hogy menjen a 3268-as portot is alakult, mint bármely LDAP-lekérdezéseket, de az Active Directory Domain Services keresési magatartás változása függvényében a port. Azaz kérelmeket 3268-as portot irányítja a címtárpartíciók a globális katalógus, beleértve a könyvtár partíció csak olvasható, amelyekre ez a szerver nem engedélyezett. Nak küldött 389-es portot a domain képes rögzíteni, valamint a konfigurációs címtárpartíciók, alkalmazások és másolatai az áramkör, ami vannak elrendezve a globális kiszolgáló tartományvezérlőként. Ezen túlmenően, a kommunikáció során a globális katalógus szerverek beszerzése univerzális csoport tagsága, amikor a felhasználó belép a rendszerbe, tartományvezérlők tulajdonosi interfésze.
Ennek megfelelően a fő összetevői a globális katalógus tartalmazza:
Az alábbi ábra azt mutatja, az építészet, a globális katalógus:
Ábra. 4. Az építészet, a globális katalógus
Jegyzőkönyvet a globális katalógus
Jegyzőkönyvek és interfészek minden tartományvezérlőjére azonos és nincsenek specifikus protokollok globális katalógus szerverek. Ebben az esetben mi érdekli négy interfészek és három jegyzőkönyvet. Különösen fontos a globális katalógus, hogy a tartományvezérlő használatával saját RPC replikációs protokollok nem csak a replikáció, hanem kommunikálni a globális kiszolgáló beolvasásakor információkat az egyetemes csoport tagság és a tagsági frissíti a cache a csoportban, ha a „Gyorsítás univerzális csoport tagság. " A következő protokollokat használják minden globális katalógusa követelmények:
- Lightweight Directory Access Protocol (LDAP).
- Simple Mail Transfer Protocol (SMTP).
- Távoli eljáráshívás (RPC).
Az alábbi ábrán a protokollok a globális katalógus:
Ábra. 5. interfészek és protokollok globális katalógus
A fizikai szerkezete a globális katalógus
Mivel a tartományvezérlő globális katalógus tárolja írható tartomány címtárpartícióját amelyben a tárgyak vannak elhelyezve az összes lószerszám. Azt is a globális kiszolgáló tárolja részleges attribútuma (PAS) a jogot, hogy olvassa el az összes tárgyat más domaint többtartományos erdőben. Sémaobjektumok meghatározó attribútumok tárgyak attributeSchema, amelyek magukban foglalják isMemberOfPartialAttributeSet attribútumot. Ha az attribútum értékét TRUE, az attribútum replikálódik a globális katalógust. Globális katalógus replikációs topológia automatikusan generálódik a KCC (Knowledge-ellenőrző, KCC) - a beépített folyamat, amely végrehajtja a replikációs topológia, amely biztosítja a szállítás a könyvtár tartalmát az egyes szekciók minden globális kiszolgáló.
A fizikai reprezentációja a globális adatok könyvtár nem különbözik a tartományvezérlő, hogy van, a globális katalógus Ntds.dit adatbázis tárolja egy objektum attribútumai egyetlen fájlban. A tartományvezérlő, amely nem a globális kiszolgáló, a Ntds.dit fájl tartalmazza a teljes írható mása minden tárgy egy domain címtárpartícióban a domain, valamint írható címtárpartíciók, és a konfiguráció az áramkör.
Vegyük például egy meglehetősen tipikus forgatókönyv. A globális kiszolgáló egy teljes mása, saját domain, valamint a részleges replika csak olvasható összes többi területen az erdő. Ezen a globális kiszolgáló minden címtárpartíciókat a globális kiszolgáló tárolja az adatbázis fájlban könyvtár (Ntds.dit). Ennek megfelelően, ebben az esetben nincs külön tároló globális katalógus attribútumokat.
Összetevői a fizikai struktúra Globális katalógus tartalmazza:
- A Ntds.dit adatbázis fájlt, amely tárolja a replika Active Directory objektumok által végzett bármely tartományvezérlő, ideértve a globális katalógus szerverek;
- Active Directory-erdőben, azaz egy sor domének, amelyek tartalmazzák a logikai Active Directory felépítése és amelyek kereshető a globális katalógus;
- Domain vezérlők tárolni egy teljes részlege a tartomány könyvtár írható válaszfalak és könyvtár konfigurációs és fa áramkör;
- A globális katalógus kiszolgáló egy tartományvezérlő, amely teljes mása minden írható objektum egy domain címtárpartícióban a domain, valamint olvasható replika más tartományok többtartományos erdőben.
Az alábbi ábrán a fizikai struktúra a globális katalógus:
Ábra. 6. A fizikai szerkezete a globális katalógus