К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 171
Текст из файла (страница 171)
Служба ломенньп имен Интернета (0КВ1, в отличие от доменов -вв; -лй; .:~в' ылгххке йг, имеет иерархическую структуру Атьтернативой использования доменов %шдовз ЫТ является примеиение так называемых рабочих грулн ~воФдгонрз), логических объединений компьютеров, каждое из которых использует собственную безу данных;, БАМ, включающую учетные данные, действительные только для данной системы. Для сети очень малого размера (приблизительно до 20 рабочих станций), в которой нет нужды в строгой системе защиты, организации комцьтотеров в рабочую группу может быть вполне достаточно. Компьютеры сети, основанной на рабочих группах, могут иметь любые комбинации операционных систем семейства %1пдозгз, включая %шип 2000 Рго(ешопа1, %йи)оъв 1ЧТ %огхзгагюп, %шдсеъ 95 или 93, и даже %шах (ог %ог)цропрв.
Хотя в сети на основе рабочих групп и могут присутствовать компьютеры с %шбснгз 1ЧТ Бсгуег и %абаев 2000 Бегтег, они не являются необходимыми для административных функций, как это свойственно доменной сети. С точки зрения сетевого алминистратора, сети на основе рабочих групп требуют от каждого пользомтеля инпивилуальной учетной записи для каждого из компъютеров, к которым пользователи будут иметь коллективный доступ. При этом либо каждый пользователь должен нести ответственность за поддержание учетных записей на своей рабочей станции, либо администратору необхолимо контролировать учетные записи на кюкяой рабочей сшнции по озцельности, перемепюясь между ними.
В сети на основе доменов, напротив, единственная учетная запись пользователя домена способна обеспечить ему возмажнасп» доступа, к ресурсам совместного пспальзонаия всех комдьЮтеров данного дамена, Администратор мажет осуществлять деятельность по обслуживанию учвппях записей всего домена с любой рабочей станции сати;: также важно отметить, что рабочие группы чтункпионируют в качестве исключительно организацианнога ресурса, в то время как домены на своих границах предастааляют дополнительный уровень защиты за счет ограничения доступ» пользователей.
Другими словами: говоря, ничто не мешает пользователю системы, состоящей членом одной рабочей труппы, обращаться к ресурсам мапптим, вхолящей в другую рабочую группу Отнюдь, пользователь одного:лпмвна не имеет возможности достуйа к ресурсам другого ломена, если толъкп4юаинистратор первого домена не уатановил доверительные отношения со вторым тюменем.
Контроллеры доменов Основой любого домена %шдоиз )ЧТ являются так называемые контроллеры домена. Они представляют собой компьютеры с операционной системой %йиЬез 1чТ Яегтег, которые были уготованы для данной рапи еще в процессе инсталляции ОС. Если ОС уже установлена, невозможно превратить систему на базе Жйикптз ХГ в контроллер домена„как и нсяьзв переделать контроллер домана обратно в обычный сервер. 'В обоих случаях придется проводить павторнута установку операционной системы для изменении статуса контроллера домена. Одно из наибапеи важных усаеерахмютвоиений.
операционная системы млпаама 2яю — Асане Ойесюгу, патеапнет в любой зазмент.еремина произвести сервер в кантраплер дамена. а также вернуть его в прежнее состояние при необходимости. Домен %щбгптз'ЙТ может иметь лва типа кантралхераж основным и резервные.
В структуру каждого дамена обязан входить олин (и только один) основной калллнвмр дамена (РЭС, рглла~ агнлавт галпаИег~. Последний представляет собой'Компьютер, солержаппгй только копию базы данных $АМ (администратора учетных данных в сжтемс запппы) дамена с вазможностью чтения и записи. Эта база данных вмещает инфармацию о пользователях, их группах и присвоенных им паролях. При.создании надой учетной записи ноль»си»геля, группы или изменении уже.рущсаглувщих запивай, происходит модификация именно базы данных БАМ асновнога.контроллера домена.
РезьунзгьиГЯаяяйинмер дамена тВЮС, Ьаскир йчлияззянпзИег), катан указывает его название, функционирует в качестве резерва: для'аснавнага контроллера домена на тат случай, если произойдет отказ системы или разрыв сетевых коммуникаций. Если по каким-либо причинам основной контроллер домена станет недастугшым, резервный контроллер домена может быль превращен в основной контроллер домена. Зто легко выполняется с помощыа упппгпя %шг)овв ХТ Берег Мапайег. Перевод резервного контроллера дамена в состояние основного контроллера домена нрнводит к таму, что бывший основной контроллер домена низводится до Функции резервного контроллера. Таким образам, когда исходный основной контроллер домена вновь станет функционировать нормально, он может быть возвращен к оригинальной роли.
Такой откат сопровсдится тем, что временный основной контроллер домена встанет на свое прежнее место, в качестве резервного контроллера. Домен может иметь любое количество резервных контроллеров дамена или вообще нн одного, однако, рекомендуется наличие хагя бы одного резервного контроллера в каждом домене. Домен становится абсолютно бесполезен, лишаясь основного контроллера, так как больше никто не сможет подключиться к сети или получить лоступ к сетевым ресурсам.
Каждый резервный контроллер домена содержит точную копию основной базы данных, хранящейся на основном контроллере, которая периодически обновляется сервисом Хебайап данной системы. Репликация базы данных домена всегда идет талька в одном направлении, а именно — от основного контроллера к каждому из резервных контроллеров. Этот процесс носит название репеикеиии с одним месмером фщфе люмег герйсаГ1сл), поскольку существует всего одна основная копия базы данных (зталан), в которую вносятся все изменения, тиражируемые затем во все остальные дубликаты. Альтернативный метод, применяемый в Мотей Вйгесгогу Бегясев и АстЬе Опесгощ называется реиликацией со миожествци меплерое Гюяийрй люпвг герлсадец), его суть состоит в том, чта любая коррекция мажет производиться в любой из множества калий базы данных, при атом изменения размножаются во все остальные копии (рис.
22.2). Использование только репликацяи с одним мастером является одним из ограничивающих Факторов для ломенов %(пйжз ЯТ, который делает очень неудобной зксплуазацию службы кягалагав в больших корпоративных сетях, связанных соединениями глобальной сети. Существует общее правило, согласно которому большая сеть, состоящая из множесгва сегментов, абьеднненных посредством соединений пюбальнай сети, должна иметь, па крайней мере, один контроллер домена в кюядам из сегментов.
В такам случае пользователи смогут подключаться к сети локально (то есть без необходимости преодоления одного соединения глобальной сети для достижении контроллера домена). С другой стороны, хотя резервный контроллер домена и может проводить аутентификацию пользователей и предвегаюгять,им доступ к сетевым ресурсам, ега копия базы данных БАМ предназначена талька для чтения, Все модификации базы данных домена осуществляютсл только основным контроющюм, и алминистратору удаленного сетевого сегмента может потребоваться связаться с основным контроллером посредством сравнительно медленного и' дорогостоящего соединения глобальной сети. Задействуя репликзцню с множеством мастеров, администратор может внести изменения в любуюиопию базы данных, и система в конечном итоге автоматически распространит их н» все другие копии.
Рис. Йа.й. Т~Ффик реоликааии о одним мастером Следует тальке е одном иапраалеима . от основного коктроалвра доьаиа к рееараимм комтроллараи тогда как при раоликации с мнокеством мастерок асе контроллеры домена обновляют базы данных друг друга СГЛЛКба- КатаЛОГОВ докуа Пяаоаяу, аКЛЮЧЕННая а ОоарацксинуЮ СИСтвиу уузкззка 2000, как и исчез Окескзу Зегйсез, осущеспиают релликацию с множ9отаом мастеров. Осмысление процесса репликации В связи с тем, что %шболуз 1ЧТ использует репликвЦню с панны мастером, процесс снищюнвзации баз данных ВАМ различных контроллеров доменов сравнительно.прост.
Во время собственно репликлцяи.информация баш данных БАМ следует только в одном направлении — от основного контроллера домена к его резервным контроллерам. По умолчанию основной контроллер домена каждые пять минут посылает сигналы всем. резервным контроллерам, показывая, что они должны передать основному контроллеру запросы на обновление их регистрационных баз. Запросы резервных контроллеров домена имеют определенный график, построенный таким образом, чтобы слишком большое количество резервных контрОллерОВ не правадилн синхрОнизацию Одновременнтх Затем ОснОВнОЙ контроллер передает ответы на запросы резервных контроллеров, где указывает каждому из них нв изменения, которые были внесены в "базу данных ЗАМ основного контроллера.с момента последнего обновления базы данных конкретного резервного контроллера.
Описанный процесс носит название чааничкой синхронизации 9агда! .рлг)тговьМоп). Основной кантраппвр ламвнв не посыпает импульсы, Вели с нанентв паспедн6й ситткранизации резервного контроллера нВ произвттдилась никаких изменений в базе данных ВАМ аснавнспт контроллера. Большинства событий репликацни дамена, происходящих в сети, относятся к случаю частичной синхронизации. Основной контроллер домена ведет журнал регистрации, тле фиксируются все изменения, Осуществляемые в базе данных ЯАМ, вюначая смену паролей, добавление новых пользователей, групп пользователей или модификации уже существующих.
Регистрационный журнал имеет жестко заданный размер (по умолчанию б4 Кбайт)„ более старые записи постепенно вытесняются из непз гго мере добавления новых. Запрос на обновление базы данных, направляемый резервным контроллером основному контроллеру, содержит указание ня ццсдсдиев из изменений, которое было зарегистрировано в базе данных резервного контроллера Получив такой запрос, основной контроллер отправляет резервному контроллеру инфармацию только а тех модификациях, которые случились паоле отмеченнога момента времени. Если же в запросе резервного контроллера фигурирует последнее изменение, которое уже было удалено из журнала регистрации осневиого Каитроялера, последний должен провести нолнуто сикуонизаиито Кии зулсьтев~олттн) и передать резервному контроллеру все содержание сваей базы данных БАМ. Такая синхронизация обычна обуславливается неработоспособностью резервного контроллера в течение продолжительного срока или добавлением в сеть нового резервного контроллера домена.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
