Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
O Autorze ............................................................................................................11
Wstp..................................................................................................................13
Cz I Przegld ................................................................................ 19
Rozdzia 1. Przegld rynku....................................................................................21
Microsoft jest wszdzie........................................................................................................... 22
NT a Windows 9.x .................................................................................................................. 23
Windows 2000 Server dla systemw high-end....................................................................... 26
W poszukiwaniu nowych moliwoci rynkowych ................................................................. 27
Nowa mantra Microsoftu Digital Nervous Systems .......................................................... 29
Wszystko prowadzi do Windows 2000 Server ....................................................................... 31
Rozdzia 2. Windows 2000 w skrcie ....................................................................33
Windows 2000 jest ogromnym nowym produktem................................................................ 33
Cz II Planowanie ........................................................................... 57
Rozdzia 3. Wprowadzenie do usug katalogowych .................................................59
Co skada si na usug katalogow?...................................................................................... 60
Dzisiejsze usugi katalogowe .................................................................................................. 70
Rozdzia 4. Podstawy Active Directory ..................................................................77
Active Directory wchodzi na scen ........................................................................................ 78
Podstawowe definicje usug katalogowych ............................................................................ 79
Domeny logiczny podzia katalogu na partycje................................................................. 83
Jednostki organizacyjne logiczny podzia domen.............................................................. 87
Wykaz globalny kolejna kluczowa funkcja Active Directory ........................................... 87
Kontrolery domen i lokacje fizyczne skadniki katalogu .................................................. 88
Kluczowe funkcje Active Directory ....................................................................................... 90
Jak Active Directory mieci si w architekturze systemu Windows 2000 Server.................. 94
Active Directory podsumowanie ....................................................................................... 97
Rozdzia 5. Kluczowe pojcia Active Directory.......................................................99
Domeny i jednostki organizacyjne.......................................................................................... 99
Drzewa i lasy......................................................................................................................... 101
Jak poczy ze sob te wane skadniki .............................................................................. 103
DNS i LDAP ......................................................................................................................... 107
Wykaz globalny .................................................................................................................... 110
Strona fizyczna Active Directory: lokacje i DC ................................................................... 111
Spis treci
Spis treci
Dodatki............................................................................................ 783
Dodatek A Poradnik projektanta implementacji Windows 2000 Server .................785
Dodatek B Przykady projektw Active Directory .................................................803
Skorowidz...............................................................................................................821
Rozdzia 4.
Jak zostao stwierdzone w rozdziale 3., w wikszoci przedsibiorstw informacje o osobach, aplikacjach i zasobach s rozrzucone po caej infrastrukturze sieciowej. Niemal
wszystkie istniejce systemy operacyjne i aplikacje, od poczty elektronicznej do systemw planowania zasobw przedsibiorstwa (ERP Enterprise Resource Planning)
posiadaj wasne skadnice danych inaczej katalogi suce do przechowywania
informacji o uytkownikach i zasobach. I poniewa wikszo firm systematycznie
zwiksza liczb uywanych i obsugiwanych aplikacji i platform, liczba rnych magazynw rwnie ronie.
Ten gwatowny rozwj magazynw zmusza przedsibiorstwa do zarzdzania informacjami w wielu rnych miejscach mimo i zawieraj one informacje podwojone i powizane ze sob. Aby zminimalizowa koszty i zwikszy zdolno reakcji na zmiany,
firmy potrzebuj usugi katalogowej na skal caego przedsibiorstwa, ktra udostpnia
uniwersalne miejsce skadowania danych przedsibiorstwa, dostpu do nich i zarzdzania nimi i nie powica funkcjonalnoci aplikacji i systemw operacyjnych. Active
Directory jest ofert Microsoftu w dziedzinie takich usug katalogowych na skal przedsibiorstwa.
Biecy rozdzia zawiera peny przegld kluczowej terminologii Active Directory i zwizki tej usugi z podstawowymi skadnikami Windows 2000 Server. Poziom rozumienia
Active Directory przez Czytelnika powinien wzrosn szybko dziki definicjom najwaniejszych poj i opisom dziaania. W trakcie lektury nastpnych rozdziaw znajomo Active Directory zostanie przeksztacona w wiedz, ktr Czytelnik bdzie mg
wykorzysta do projektowania i planowania wasnych implementacji Active Directory.
Zrozumienie podstawowych poj i terminologii Active Directory przedstawionych
w tym rozdziale jest niezbdne dla planowania rodowiska Windows 2000 Server i stanowi wymg wstpny dla pomylnego przejcia przez cao ksiki. Prosz jednak nie
poddawa si, jeli zawarty w tym rozdziale intensywny kurs terminologii Active
Directory okae si troch przytaczajcy. Nowe pojcia Active Directory wymagaj
nauki (i odwieenia) mnstwa informacji, niezalenie od poziomu dowiadczenia
z systemem NT 4 lub Windows 2000 Server. Z tego powodu nastpny rozdzia rozbuduje definicje najwaniejszych poj Active Directory.
78
Cz II
Planowanie
Rozdzia 4.
79
Podstawowe definicje
usug katalogowych
Przed zagbieniem si w podstawowe pojcia waciwe dla Active Directory, naley
zrozumie kilka podstawowych definicji, wsplnych dla Active Directory i niemal
wszystkich istniejcych obecnie usug katalogowych. Wiele terminw i poj moe
z pocztku wydawa si bardzo abstrakcyjnych, wic przejcie przez cay ten podrozdzia moe wymaga pewnego wysiku lecz okae si to pniej dobr inwestycj.
Obiekty i atrybuty
Obiekt jest oddzielnym, nazwanym zbiorem atrybutw, ktre reprezentuj co konkretnego, na przykad uytkownika, drukark czy aplikacj. Atrybuty (inaczej waciwoci)
zawieraj dane, ktre opisuj podmiot identyfikowany przez obiekt katalogowy. Do
atrybutw uytkownika mog nalee imi, nazwisko i adres poczty elektronicznej, jak
w przykadzie z rysunku 4.1.
Rysunek 4.1.
Przykadowy
obiekt typu konta
uytkownika
i jego atrybuty
Kontener
Kontener jest obiektem, ktry moe zawiera inne obiekty. Podobnie jak katalog
w systemie plikw jest pojemnikiem na dokumenty, kontener w katalogu jest pojemnikiem na obiekty katalogowe.
80
Cz II
Planowanie
Drzewo
Drzewo w caej niniejszej ksice jest pojciem opisujcym hierarchi obiektw. Drzewo prezentuje sposb poczenia obiektw, przedstawiajc cieki od jednego obiektu
do innego. Wyobraenie sobie katalogu plikw moe wikszoci osb pomc zrozumie pojcie (i podstawowe waciwoci) struktury drzewa.
W drzewie punkty kocowe nosz nazw lici (leaf node). W wiecie usug katalogowych wzy te czsto okrelane s pojciem nocontainer object (dos. obiekt niekontener), poniewa nie mog zawiera innych obiektw. Wzy drzewa (punkty odgazie
drzewa) nosz nazw nonleaf node (wze nie bdcy liciem) lub, po prostu, kontenera. Cige poddrzewo (pokazane na rysunku 4.2 wewntrz linii przerywanej) jest dowoln nieprzerwan ciek w drzewie, obejmujc zawarto wszystkich kontenerw
w obrbie tej cieki.
Rysunek 4.2.
Drzewo, w ktrym
cige poddrzewo
oznaczone jest
lini przerywan
Przestrze nazw
Active Directory jest w istocie, podobnie jak kada inna usuga katalogowa, przestrzeni nazw, ktra jest dowoln definiowaln przestrzeni lub kontekstem, w ktrym okrelona nazwa moe zosta rozwizana. Przykady przestrzeni nazw to:
J
Active Directory tworzy przestrze nazw, w ktrej nazwa obiektu w katalogu moe by
rozwizana na okrelony obiekt. Przestrze nazw definiuje rwnie zakres replikacji.
Rozdzia 4.
81
Kady serwer Active Directory zawsze zawiera przynajmniej trzy konteksty nazewnicze
(patrz te rysunek 4.3):
J
Rysunek 4.3.
Katalog Active
Directory jest
podzielony na trzy
odrbne czci
Warto zauway, i kontekst nazewniczy schematu Active Directory jest zaimplementowany w postaci zbioru egzemplarzy klas obiektw, zapisanych w bazie danych katalogu. Wiele konkurencyjnych usug katalogowych posiada schemat zapisany w postaci
82
Cz II
Planowanie
pliku tekstowego, wczytywanego przy uruchomieniu. Przechowywanie schematu w bazie danych ma wiele zalet na przykad, aplikacje mog odczytywa schemat, by
ustali, jakie obiekty i waciwoci s dostpne, za schemat Active Directory moe by
aktualizowany dynamicznie.
Nazwa
Active Directory opiera si na idei reprezentowania kadego obiektu w katalogu przez
wasn nazw. Nazwy uoone s w sposb hierarchiczny, wic mona tworzy cieki
powizane z oryginaln nazw.
Istniej dwa zasadniczo odmienne sposoby adresowania za pomoc nazw:
J
Rozdzia 4.
83
Rysunek 4.4.
Graficzne
przedstawienie
nazwy wyrniajcej
(DN). Zrozumienie
DN jest konieczne,
aby ustali wzgldn
nazw wyrniajc
Rozwizywanie nazw
Rozwizywanie nazw jest procesem tumaczenia nazwy na jaki typ informacji o obiekcie lub na informacj reprezentowan przez nazw. Active Directory do rozwizywania
nazw uywa usugi dynamicznego systemu nazw domen Dynamic Domain Name
System (DDNS).
84
Cz II
Planowanie
Active Directory moe posiada jedn lub wicej domen. Domeny s poczone ze sob
w jedno lub wicej drzew, ktre stanowi cz lasu. Inaczej mwic, las skada si
z jednego lub wielu drzew, z ktrych kade skada si z jednej lub wielu domen.
Chocia domeny nadal s podstawowymi elementami konstrukcyjnymi Active
Directory, prosz nie myli domen Active Directory w Windows 2000 Server
z domenami NT Server. Domeny Active Directory s cakowicie rne od domen
uywanych w systemie Windows NT Server.
Drzewa
Drzewo domen (lub po prostu drzewo) skada si z kilku hierarchicznie zorganizowanych domen o wsplnym schemacie i konfiguracji, tworzcych cig przestrze nazw.
Domeny w drzewie poczone s ze sob relacjami zaufania. Inaczej mwic, gdy domeny poczone s ze sob relacjami zaufania i posiadaj wsplny schemat, konfiguracj, wykaz globalny i cig przestrze nazw, wwczas tworz drzewo domen.
Najmniejszym drzewem domen jest pojedyncza domena Windows 2000 Server. Drzewa
mona widzie z dwch perspektyw:
J
Rozdzia 4.
85
Las
Las jest zbiorem jednego lub wielu drzew domen, ktre nie tworz cigej przestrzeni nazw
to znaczy, poszczeglne domeny w lesie nie maj wsplnego korzenia, o ile las nie
skada si z tylko jednego drzewa domen. Na przykad, domeny hq.com i sales.com nie
posiadaj ze sob oczywistych zwizkw. Jest to przykad nazw rozcznych, gdzie dwie
domeny nie mog nalee do tego samego drzewa, lecz musz zosta poczone w las.
czenie drzew w las daje nam elastyczno zarwno cigych, jak i rozcznych konwencji nazewniczych. Moe by to przydatne, na przykad, w przedsibiorstwach posiadajcych niezalene oddziay, z ktrych kady musi zachowa wasne nazwy DNS.
86
Cz II
Planowanie
Wszystkie drzewa w lesie musz mie wsplne: schemat, konfiguracj i wykaz globalny, oraz widzie pozostae drzewa lasu przez przechodnie, hierarchiczne relacje zaufania podobnie jak w przypadku drzewa domen. Wobec tego jedyn widoczn rnic pomidzy drzewem i lasem jest fakt, i kade drzewo w lesie posiada wasn
unikatow przestrze nazw, zamiast spjnej przestrzeni nazw (dlatego te las bywa czasem okrelany niespjn lub rozczn przestrzeni nazw).
Las istnieje jako zbir obiektw z wzajemnymi odnonikami i relacjami zaufania pomidzy drzewami i domenami. Drzewa domen w lesie tworz na potrzeby zaufa hierarchi;
nazwa drzewa w korzeniu drzewa zaufa (czyli pierwszego drzewa domen utworzonego
w lesie) uywane jest, gdy odnosimy si do okrelonego lasu (patrz rysunek 4.7).
Rysunek 4.7.
Dwa odrbne
drzewa domen
tworz w poczeniu
las, poniewa nazwy
DNS tych drzew
nie maj czci
wsplnych
Inaczej mwic, aby udostpni zasoby w domenie lub drzewie domen innym uytkownikom sieci, wystarczy doczy domen do istniejcego drzewa lub utworzy nowe drzewo domen jako cz istniejcego wczeniej lasu. Gdy domena docza si do
drzewa, tworzone jest zaufanie pomidzy dodawan domen a domen nadrzdn. Gdy
dwa drzewa zostaj skojarzone w las, tworzona jest relacja zaufania pomidzy domenami gwnymi kadego drzewa. Stosowane relacje zaufania s niewidoczne i nie jest
wymagane dalsze zarzdzanie relacjami zaufania. Poniewa drzewa domen poczone
ze sob w las s czone przechodnimi, dwukierunkowymi relacjami zaufania Kerberosa, uytkownicy maj dostp do zasobw w kadej domenie caego lasu.
Prosz jednak zauway, i gwn przewag drzewa domen (czyli cigej przestrzeni
nazw) nad lasem jest fakt, i wyszukiwanie LDAP z wza gwnego przestrzeni nazw
wydajnie przeszukuje ca hierarchi, podczas gdy w lesie mona przeszukiwa jedynie
wykaz globalny i lokalne drzewo domen. Rnica ta jest podstawowym powodem, dla
ktrego naley zawsze dy do tworzenia drzew domen zamiast lasw. Naley wic
Rozdzia 4.
87
widzie las jako sposb na osignicie elastycznoci, niezbdnej dla uytecznoci Active
Directory w prawdziwych zastosowaniach jedynie, gdy nie s dostpne adne rozwizania alternatywne. Mwic bardziej wprost, las naley bra pod uwag tylko wtedy,
gdy nie mona wykona okrelonego zadania za pomoc pojedynczego drzewa domen.
Jednostki organizacyjne
logiczny podzia domen
Jednostki organizacyjne (OU Organizational Unit) s jednym z wielu typw obiektw katalogowych, jakie mona tworzy w domenie. Jednake OU jest chyba najwaniejszym rodzajem obiektu katalogowego w domenie, poniewa pozwala utworzy kolejny poziom podziau logicznej przestrzeni nazw.
OU s obiektami typu kontener, mogcymi suy do organizowania obiektw w domenie w logiczne grupy administracyjne. Te kontenery logiczne mog zawiera wiele interesujcych obiektw, na przykad konta uytkownikw, grupy, komputery, drukarki
a nawet inne OU.
Kombinacja domen i OU udostpnia elastyczny sposb na zorganizowanie katalogu pod
ktem najbardziej wydajnego zarzdzania (to znaczy, moemy wprowadzi do struktury
logicznej dwa poziomy hierarchii). Gdy tworzymy OU w obrbie domen, moemy organizowa struktur logiczn na tylu poziomach, ilu chcemy, nadal zachowujc korzyci wypywajce z tworzenia niewielkiej liczby domen i zarzdzania ni.
Co waniejsze, OU udostpniaj model administracyjny, ktry moe zosta sprowadzony do najmniejszych potrzebnych jednostek. I dziki nowym funkcjom delegowania
w Active Directory uytkownicy i grupy mog wykonywa bardzo szczegowe zadania administracyjne, jak np. zmian hase i obsug specjalnych praw w okrelonych
kontenerach, na podstawie przynalenoci do OU. Na przykad, mona przyzna uytkownikowi prawa administracyjne ograniczone do poddrzewa OU, pojedynczej OU lub
nawet do podzbioru obiektw znajdujcych si w pojedynczej OU.
88
Cz II
Planowanie
w caym lesie, nawet jeli uytkownik lub aplikacja zna tylko jeden lub kilka atrybutw
docelowego obiektu. Korzystanie z GC pozwala na szybkie odpytywanie o obiekty w caym lesie.
Wykaz globalny jest dobr alternatyw dla penego przeszukiwania, poniewa po prostu
zawiera podzbir atrybutw wszystkich obiektw, znajdujcych si we wszystkich domenach Active Directory caego lasu.
Zadaniem GC jest udostpnienie usugi i magazynu, ktry:
J
Kada fizyczna lokacja powinna typowo zawiera przynajmniej jeden lokalnie dostpny
serwer GC, aby pozwoli na lokalny dostp przy wyszukiwaniu informacji o dowolnym
obiekcie w lesie (unikajc w ten sposb marnowania cennej przepustowoci czy). Wyszukiwanie w wykazie globalnym moe zosta zainicjowane w jeden z poniszych sposobw:
J
Lokacje (Sites)
Kontrolery domen
Jak ju wspomniano, struktura domen i struktura fizyczna s pojciami niezalenymi.
Pojedyncza domena moe rozciga si na wiele geograficznych lokacji, za pojedyncza lokacja moe zawiera uytkownikw i komputery nalece do wielu domen.
Rozdzia 4.
89
Ponadto Active Directory nie wymaga ju rozrnienia pomidzy podstawowymi kontrolerami domen (PDC Primary Domain Controller) i zapasowymi kontrolerami domeny (BDC Backup Domain Controller). W przeciwiestwie do modelu single-master,
uywanego przez Windows NT 3.51 oraz NT 4, zawierajcego PDC i BDC, wszystkie
DC Active Directory s rwnorzdne, za kady DC zawiera zapisywaln kopi katalogu domeny. Kady DC moe zmodyfikowa swoj kopi katalogu, a zmiany w katalogu
dokonane w jednym DC zostan przesane do pozostaych DC w domenie.
Tak wic wszystkie DC, bdce czonkami okrelonej domeny Active Directory, s
zdolne do bezporedniego przyjmowania zmian i replikacji tych zmian w caej domenie.
W ten sposb Active Directory pozbywa si rwnie irytujcego pojedynczego punktu
awarii, istniejcego w modelu replikacji single-master.
W modelu replikacji single-master wszyscy czonkowie domeny (BDC) pod wzgldem
aktualizacji polegaj na pojedynczym DC (PDC). Gdy wic PDC jest nieczynny, nikt
nie bdzie w stanie wprowadzi zmian w domenie (cznie ze zmianami hase),
ani zaktualizowa w BDC zmian, ktre zostay zaimplementowane od ostatniej tury
replikacji.
Lokacje
Aby zapewni, by replikacje pomidzy DC w okrelonej domenie pasoway do granic
fizycznych (to znaczy, do przepustowoci czy pomidzy lokalizacjami geograficznymi), Active Directory wprowadza pojcie lokacji.
Lokacja (site) jest z definicji miejscem w sieci, ktre zawiera serwery Active Directory
i skada si z jednej lub wielu dobrze poczonych ze sob podsieci TCP/IP. Lokacja
posiada typowo takie same granice, jak sie lokalna (LAN) lecz niekoniecznie musi
tak by.
Gdy uytkownik loguje si, klient Active Directory usiuje znale niezbdne usugi logowania Active Directory w serwerach, znajdujcych si w tej samej podsieci co uytkownik. atwo to osign, poniewa stacja robocza uytkownika ju wie, w jakiej
podsieci TCP/IP si znajduje, za podsieci przekadaj si bezporednio na lokacje Active Directory. Klient bdzie szuka gdzie indziej tylko wtedy, gdy potrzebne usugi nie
bd dostpne w lokacji.
90
Cz II
Planowanie
ktry nie naley do domeny Windows 2000 Server. Jeli instalujemy serwer w roli czonka
grupy roboczej, zostaje on serwerem autonomicznym.
J Serwer czonkowski to komputer z dziaajcym systemem Windows 2000 Server, ktry jest
czonkiem domeny, lecz nie jest DC Active Directory. Serwery czonkowskie nie otrzymuj
kopii katalogu. S typowo przeznaczone na usugi aplikacji lub zasobw, jak np. serwer
plikw i drukowania, lub serwer faksu.
Windows 2000 Server uywa Kreatora instalacji usugi Active Directory (dawniej noszcego
nazw Domain Controller Promotion Wizard, DCPROMO) w celu promocji serwera autonomicznego
lub czonkowskiego do roli DC, lub w celu degradacji DC do roli serwera autonomicznego lub
czonkowskiego. Prosz te zauway, i Windows 2000 Server ju nie rozrnia PDC i BDC.
W sieciach Active Directory wszystkie DC s rwnorzdne i zawieraj zapisywaln kopi katalogu.
Rozdzia 4.
91
Nazwy domen Windows 2000 Server s nazwami domen DNS. Na przykad, astonitgroup.com jest poprawn nazw domeny DNS, wic moe by te nazw domeny Windows 2000 Server. Kontroler domeny Active Directory podczas instalacji publikuje
swoj obecno za pomoc dynamicznego DNS-u (DDNS) niedawnego rozszerzenia
standardu DNS, ktre definiuje protok dynamicznego aktualizowania w serwerze DNS
nowych lub zmienionych wartoci. Przed pojawieniem si DDNS-u administratorzy musieli rcznie konfigurowa rekordy skadowane w serwerach DNS.
Serwery Active Directory publikuj swoje adresy w formie, ktra pozwala klientom
znajdowa je nawet wtedy, gdy klient zna jedynie nazw domeny. Serwery Active
Directory s publikowane w DNS-ie za pomoc rekordw zasobw usugi (SRV Service Resource Record). Rekord SRV jest rekordem DNS, ktry suy do odwzorowania
nazwy usugi na adres serwera, ktry t usug oferuje. Nazwa rekordu SRV przyjmuje
posta <usuga>.<protok>.<domena>.
Poniewa DC Active Directory uywaj usugi LDAP (Lightweight Directory Access
Protocol) przez protok TCP/IP, nazwy publikowane w Active Directory maj nastpujc form: _ldap._tcp.<domena>.
Rekordy SRV pozwalaj rwnie administratorowi wskaza priorytet i wag kadego
serwera, co pozwala klientom wybra serwer najlepszy do zaspokojenia ich potrzeb.
Jak stacja robocza znajduje serwer katalogu? Przez odpytywanie DNS. Serwery
katalogu dla okrelonej domeny publikuj w DNS-ie rekordy zasobw SRV w postaci
_ldap._tcp.<domena>. Tak wic stacja robocza logujca si do acme.com bdzie
odpytywa DNS o rekordy SRV dla _ldap._tcp.acme.com. Z listy zostanie nastpnie
wybrany serwer i nawizana z nim czno. Serwer ten wykorzystuje przedstawione
przez stacj robocz informacje o podsieci, aby znale> DC znajdujcy si w tej samej
lokacji, co stacja robocza.
92
Cz II
Planowanie
Replikacja
Active Directory wykorzystuje replikacj multi-master (z wieloma serwerami gwnymi), co oznacza, e wszystkie kopie okrelonej partycji (czyli kontrolery domeny) s
zapisywalne dziki czemu mona dokonywa aktualizacji w dowolnej kopii tej partycji. System replikacji Active Directory propaguje zmiany z jednej kopii (repliki) do
wszystkich pozostaych. Replikacja jest automatyczna i niewidoczna dla uytkownikw
i administratorw.
Niektre usugi katalogowe wykorzystuj znaczniki czasowe do wykrywania i propagacji zmian. W tych systemach zegary wszystkich serwerw katalogowych musz by
zawsze zsynchronizowane. Historycznie biorc, synchronizacja czasu w sieci okazaa
si trudnym przedsiwziciem. Nawet przy dobrej synchronizacji czasu w sieci, czas
w ktrym serwerze moe okaza si le ustawiony, co z kolei moe prowadzi do utraconych aktualizacji.
Aby unikn problemw z synchronizacj, system replikacji Active Directory nie polega cakowicie na czasie w celu propagacji aktualizacji. Wykorzystuje zamiast tego
Update Sequence Number (USN) 64-bitowe liczby utrzymywane przez kady serwer
DC Active Directory. Gdy DC zapisuje dowoln waciwo w Active Directory, USN
Rozdzia 4.
93
94
Cz II
Planowanie
System replikacji Active Directory dokonuje tumienia propagacji, aby zapobiec nieskoczonym propagacjom zmian i wyeliminowa nadmiarowe przesyy zmian do kopii,
ktre zostay ju zaktualizowane. Do tumienia propagacji uywane s wektory aktualne
(up-to-date vectors) listy par serwer-USN, przechowywane w kadym serwerze.
Wektor aktualny w kadym serwerze wskazuje najwyszy USN zapisw rdowych
otrzymanych z serwera w parze serwer-USN. Wektor aktualny dla serwera w okrelonej
lokacji wymienia wszystkie pozostae serwery (w ktrych nastpi zapis rdowy)
w danej lokacji.
Przy rozpoczciu cyklu replikacji, serwer dajcy danych wysya swj wektor aktualny
do serwera wysyajcego. Ten wykorzystuje wektor aktualny do odfiltrowania zmian
wysyanych do serwera dajcego. Gdy najwyszy USN posiadany dla okrelonego
zapisu jest wyszy lub rwny wartoci USN otrzymanego od autora zapisu rdowego
dla danej aktualizacji, serwer wysyajcy nie musi wysya zmiany, poniewa serwer
dajcy ju posiada dane aktualne.
Rozdzia 4.
95
Rysunek 4.8.
Architektura systemu
Windows 2000
Server wyglda
bardzo podobnie
jak w przypadku
Windows NT Server
4; mona jednak
znale kilka rnic
96
Cz II
Planowanie
Rysunek 4.9.
Active Directory
mieci si
w skadniku
Lokalny wystawca
zabezpiecze
(Local Security
Authority
LSASS.EXE)
wewntrz
podsystemu
zabezpiecze
Opis
Netlogon.DLL
MSV1_0.DLL
KERBEROS.DLL
KDCSVC.DLL
SCHANNEL.DLL
LSASRV.DLL
SAMSRV.DLL
NTDSA.DLL
SECUR32.DLL
Rozdzia 4.
97
Rysunek 4.10.
Modu usug
katalogowych
(NTDSA.DLL)
jest centralnym
skadnikiem
Active Directory
Opis
Extensible Storage
Engine (ESE)
Opis
LDAP
REPL
MAPI
SAM
98
Cz II
Planowanie
Opis
Domeny
Drzewo domen
Las
Jednostka organizacyjna
(OU Organizational
Unit)
Schemat katalogu
Wykaz globalny
(Global Catalog)
Replikacja