К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 174
Текст из файла (страница 174)
Данная модель с одним главным доменом не сможет обеспечить поддержки большего числа пользователей, нежели зто позяоляет 'модель с единственным доменом, хотя бы в силу того, по регистрационные записи всех пользователей по-прежнему должны храниться толыю'в базе данных главного домена. ТеЫ не йеиее, вместо этого, она дает' возможность задействовать большое количество доменов лля организацнонньсг целей и в то же время держать регистрационные записи всех пользователей й групп в одном месте. Если же сеть постоянно увеличивается, совсем неплохо заранее иметь план постепенного Перехада к модели сетя с мнсиюством главньзх доменов.
В противном случае, хорошо организованная сеть довернтельных отношений легко может деградировать до неразберихи модели домена:с полными ловерительными отношениями. Для дальнейшего сокрашения объема администрирования учетных записей, необходимого'нв уровне ресурсных доменов, возможно создание локальных групп в ресурсныд доменах и предоставление Им доступа к ресурсам совместного использования данных доменов. Затем, формируя глобальные группы и делая нх членами локальных групп, мсипвз упраюпггь лпступом к ресурсам уже путем добавления учетных записей пользователей к глобальным группам, вместо локальных групп. Вто свойство позволяет локализовать всю повседневную административную рабату в главном домене, причем в принципе без надобности обращения к учетным записям ресурсных доменов.
Модель с множеством главных доменов Модель с множеством главных доменов (пюМр1е пзазмг Нопзаш пзоде1) является своеобразным расширением модели с гдним пщвным доменом и разработана для поддержки крупных корпоративных сетей которые могут иметь отдельные админз1езрягивные подразделения, вгядаленные по территориальному или организационному признакам. Описываемая,модель предусматривает наличие пгг крайней мере двух главных доменов и невшторого количества ресурсных доменов. Как и в случае модели с одним главным доменом, ресурсные домены включают ресурсы совместного использования, а главные дамены ссдержат учетные записи пользователей и групп своего подразделения.
Однако в рассматриваемой модели каждый ресурсный домен довержт всем главным доменам, а главные домены находятся в двухсторонних доверительных отношениях между собой (Рис. 22.7), Ресурсные домены также шяуг устанавливать доверительные отношения друг с другом, но они не явлшотся необходимыми, если только этого не ликтуют физическьис факторы (например, медленная скорость связи по соелинению глобальной сети). Рис. аяЛ Модель с множеством главных доменов В рамках такой модели пользователь, имеющий учетную запись в одном из главных доменов, может получить возможность обратиться к любому ресурсу сети, поскольку асе Ресурсные домены доверяют всем главным доменам.
Двухсторонние ловерительные отношения между главными доменами позволяют пользователям, подключившимся непосредственно к одному из главных доменов„получать доступ к ресурсам остальных главных доменов. Использование этой модели преследует ту пель, чтобы позволип каждому подразделению вести свои собственные учетные записи пальзоваелей и юрупп в главном помене, но при этом обеспечить кюкдому пользователю возможность доступа к ресурсам других пазшазделений. Например, для компаний с несколькими филиалами наличие главного домена в каждом из дочерних офисов позволит администраторам каяллого нз них поддерживать собственные учетные записи. Самое большое преимушество модели с множеством главных доменов заклюиаатсш и ее практически неограниченном потенциале лдя роста сети.
Создавая дополнительные главные домены, можно расширять сеть в. организованном порялке или даже объединять сети между собой (например, в случаях слияния компаний). Число доверительных отношений, которые адми- нистраторам требуегсл устанавливать и поддерживать при использовании агой мгвгелй, может показаться одним из ее'недостатков, но„'тем не менее„' в модели с мйекасгвом главных доменов приманяегея намного меньшее их количество, чем в 'модели с полными доверительными отпошенилми.
Просмотр доверительных отношений %шпетта ХТ 4;О Кезепгсе Кгг включает графическую утилиту пгщ названием Вогнагп Мопггог (Вопипоп.ехе), которую можно задействовать для исследования защищенных каналов межлу контроллерами доменов конкретной сети. При запуске программы появляется сиисок доменов, присутствующих в сети и их доверяемвгх доменов. Двойной щелчок инопиой мьппи на любой строке этого списка позволяет вилеп окно, повизанное на рис. 22.8, леманстрирующее статус контроллеров выбранного домена'и зщдишенные каналы с доверяемыми доменами. Рис.
22.6. угилита Вогнано Монаог позволяет наглядно видать статус. защищенных нанвлюв между лсеернемымн доменами Использование утилиты Вогпагн Мопггог представляет'сббой "наиболее простой 'способ убедиться, что все защищенные каналы сети' функпионируют подобающим обрезом. Если защищенный канал между контроллером конкретного ресурсного домена и контроллером гяавного домен» неработоспо- гл яйд ивы аит собсн, локальные рабочие станции могут нс иметь возможности привлекать контроллер этого ресурсного ломена для осуществления сквозттбй аутентнфикации на контроллере главного домена. В результате можно обнаружить, что рабочие станции устанавливают соединение с другим, более удаленным.
контроллером ресурсного домена. Если этот удаленный контроллер ресурсного домена находится в другом месте, процесс полхлючения рабочих станций к сети может занять значительно больше времени и привести к порождению совершенно ненужного графика через соелинение глабалыюй сети. ттрн обнаружении в сети защищенных каналов, функционирующих неправильно, можно восстановить их с помощью утилиты командной строки под названием 1чйея.ехе, также включенной в ттшбоив ХТ 4;О Кезошсе М.
Команда, формат которой показан ниже, позволяет восстановить защищенный канал между системой, где она исполняется, н доменом,' Зайанныьт параметром ложен.' иьтазт узс алзвт: лсжен При исполнении этой команды на рабочей станции нли сервере, который не является контроллером домена, программа проводит восстановление'защищенного канала того домена, которому принадлежит учетная запись данного компьютера.
Если запустить утилиту 1чйезксхе на контроллере домена, можно воссоздать защищенный канал, инициированный в ходе вступления в доверительные отношения с другим доменом. ййеат.ехе — очень мощная утилита, которую также можно использовать для просмотра списка контроллеров конкретного домена, управления процессом репликации домена, отображения содержимого журнале региетрацни извинений, а также многих других целей. Более подробную информацию о ней можно узнать из документации, включенной в состав Вапогжта Ит 4.0 гтемллсе, Кк Подключение к сети Когда пользователь подключается к домену, сервис ХеНобоп рабочей станции выполняет последовательность различных действий, зависящую от того, как организованы домены данной сети.
В процессе загрузки операционной системы 'Мпдоиз ХТ рабочей станции еше до того, как появляется этцягн, приглашающий войти в сеть нажатием комбинации клавиш <Стп>+<Ай>+ +<Ое1>, система пытается найти контроллер домена, осуществляя процесс, получивший название'сблцрулталия ~тЬсотигр9. Если рабочая станция не била сконфигурирована для подключения к домену, работа сервиса Хебойоп прекращается н никакого обнаружения не происходит. Если же рабочая станция подключается к домену, сервис Хебойоп нытастся обйцружвть,контроллер того домена„членом которого является данная, систетиа, а, также контроллер каждого из его довсряемых домсноа. ОбнаруЖенИе-контроллера доййена сервис Хебойоп начинает процесс обнаружении кантраилера домена с отправки запросов соответствующему серверу %П~Б лля тех строк имен ХесВ1ОБ, которые имеют значение ! С в качестве 16-го рвзряла, что илентнфицирует их в качестве имен контроллеров ресурсных доменов.
Затем система передает, локальные широковещательные сообщения для каждой из записей, возвращеипых сервером %ПЧБ. Если зти сообтцеиия остаются без ответа, сервис начинает посылать запросы регистрации в сети ()сиоп жркзг), нспалъзуя по одной записи каждый раз, в вой очередности, в которой поступали Ответы от сервера уу1ИЗ. Когда синев(а обнаруживает контроллер для домена, на рабочей станции кпгорото заведена учетная запись данного компъютера, зш рабочая станция устанавливает защищенный канал с данным контроллером. Точно так же, как контроллеры доменов, находящихся в доверительных отношениях, имеют защищенные квнвзы между собой, рабочие станции иннцииЕчот защищенные каналы с котроллерами тех доменов, в которых расположены учетные записи нх компьютеров.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
