Настройка мостов связей сайтов
По умолчанию все связи сайтов объединены в мост (являются транзитивными). Это позволяет любым двум сайтам, не связанным непосредственно друг с другом, взаимодействовать через цепочку промежуточных сайтов и связей сайтов. Одним из преимуществ объединений в мост всех связей сайтов является упрощение поддержки сети, поскольку не требуется создавать связь сайтов для описания каждого возможного пути между парами сайтов.
В общем случае следует оставлять включенным автоматическое объединение связей сайтов в мосты. Однако в следующих особых случаях может потребоваться отключение автоматического объединения связей сайтов в мосты и создание мостов связей сайтов вручную только для определенных связей сайтов.
- В сети не настроена полная маршрутизация (не каждый контроллер домена может непосредственно взаимодействовать с любым другим контроллером домена).
- Используется маршрутизация или политика безопасности, препятствующая доступности каждого контроллера домена для непосредственного взаимодействия с любым другим контроллером домена.
- Используемая структура Active Directory включает большое количество сайтов. Дополнительные сведения см. в руководстве по планированию офисов подразделений в Active Directory см. на веб-узле корпорации Майкрософт.
Дополнительные сведения о мостах связей сайтов и их влиянии на репликацию Active Directory см. на веб-сайте Microsoft Windows Resource Kits.
Сведения об отключении автоматического объединения связей сайтов в мост см. в разделе Включение или отключение мостов связей сайтов..
Сведения о создании мостов связей сайтов вручную см. в разделе Создание моста связей сайтов.
Настройка основных серверов-плацдармов
Если средство проверки согласованности знаний строит топологию межсайтовой репликации, оно автоматически назначает один или несколько серверов-плацдармов для каждого сайта, чтобы гарантировать однократную репликацию изменения каталога через одну связь сайтов. Рекомендуется разрешить средству проверки согласованности знаний назначать серверы-плацдармы. В оснастке «Active Directory – сайты и службы» можно вручную назначать серверы-плацдармы. Однако если один из назначенных вручную серверов-плацдармов станет недоступен, возможно нарушение репликации. Дополнительные сведения (на английском языке) см. в разделе о репликации Active Directory на веб-узле Microsoft Windows Resource Kits .
Сведения о настройке серверов-плацдармов вручную см. в разделе Установка основного сервера-плацдарма.
Общее представление о глобальном каталоге
Общее представление о глобальном каталоге
В этом разделе:
- Роль глобального каталога
- Репликация глобального каталога
- Настройка глобального каталога
- Глобальные каталоги и сайты
Роль глобального каталога
Роль глобального каталога
Глобальный каталог является контроллером домена, хранящим копии всех объектов Active Directory в лесу. В нем хранится полная копия всех объектов каталога для его домена и частичная копия всех объектов для всех других доменов леса, как показано на следующем рисунке.
Частичные копии всех объектов домена, включенные в глобальный каталог, используются в операциях поиска наиболее часто. Включение этих атрибутов в глобальный каталог отмечено в определении их схемы. Хранение в глобальном каталоге наиболее часто использующихся для поиска атрибутов всех объектов домена предоставляет возможность эффективного поиска, не снижающего производительность сети ненужными обращениями к контроллерам домена.
Другие атрибуты объектов можно вручную добавлять или удалять из глобального каталога с помощью оснастки «Схема Active Directory». Дополнительные сведения см. в разделе Настройка глобального каталога.
Глобальный каталог создается автоматически на исходном контроллере домена в составе леса. Пользователь может переносить возможности глобального каталога на другие контроллеры домена, а также изменять расположение глобального каталога, устанавливаемое по умолчанию, указывая другой контроллер. Дополнительные сведения см. в разделе Включение или отключение глобального каталога.
Глобальный каталог выполняет следующие основные функции.
- Поиск объектов
Глобальный каталог обеспечивает возможность поиска данных каталога во всех доменах леса независимо от места хранения данных. Поиск внутри леса производится с максимальной скоростью и минимальным сетевым трафиком.
При поиске людей или принтеров из меню «Пуск», а также при выборе в качестве области поиска запроса всего каталога поиск производится в глобальном каталоге. После введения запроса поиска он направляется в стандартный порт глобального каталога 3268 и отсылается глобальному каталогу для разрешения. Для получения дополнительных сведений выполните поиск по фразам Поиск данных каталога и «Finding information in Active Directory» на веб-узле ресурсов Microsoft Windows. - Проверка подлинности с помощью основного имени пользователя
Глобальный каталог определяет основное имя пользователя (UPN, user principal name), если проверяющий подлинность контроллер домена не обладает сведениями об учетной записи. Например, если учетная запись расположена в узле example1.microsoft.com, а в качестве основного имени пользователя при входе в систему используется имя [email protected] узла example2.microsoft.com, контроллер домена узла example2.microsoft.com не сможет найти учетную запись и обратится к глобальному каталогу для завершения процедуры входа. Дополнительные сведения см. в разделе Именование в Active Directory. - Предоставление сведений об участии в универсальных группах в мультидоменной среде
В отличие от сведений о принадлежности к глобальной группе, хранящихся в каждом домене, сведения об участии в универсальных группах содержатся только в глобальном каталоге. Например, если член универсальной группы входит в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то глобальный каталог предоставляет сведения об участии учетной записи в универсальных группах во время входа в домен.
Если глобальный каталог недоступен при входе в домен с уровнем функциональности основного режима Windows 2000 или более высокого, то для пользователя, уже выполнявшего вход в домен, будут использоваться кэшированные учетные данные. Если пользователь еще не входил в домен, он может выполнить вход только на локальный компьютер. Однако вход в домен в качестве администратора (учетная запись «Встроенный администратор») всегда разрешен, даже если глобальный каталог недоступен.
Дополнительные сведения об универсальных группах см. в разделе Область действия группы. Дополнительные сведения об универсальных группах и о репликации см. в разделах Репликация глобального каталога и Глобальные каталоги и сайты.
Примечание - Если в составе леса находится только один домен, то при входе в систему нет необходимости получать в глобальном каталоге членство в универсальных группах. Это обусловлено тем, что Active Directory обнаруживает отсутствие в лесу других доменов и предотвращает отправление глобальному каталогу запроса на эти сведения.
- Проверка ссылок на объекты внутри леса
Контроллеры домена используют глобальный каталог для проверки ссылок на объекты других доменов леса. Если в контроллер домена входит объект каталога, чей атрибут содержит ссылку на объект другого домена, то эта ссылка проверяется с помощью глобального каталога.