Кэширование членства в универсальных группах

Доступная пропускная способность сети и ограничения оборудования сервера приводят к нецелесообразности использования глобального каталога в небольших дочерних подразделениях. Для таких сайтов можно внедрить контроллеры домена, работающие под управлением Windows Server 2003, которые могут хранить сведения об участии в универсальных группах локально.

Если такая возможность включена, то сведения сохраняются локально при первой попытке входа в систему. Контроллер домена получает сведения об участии пользователя в универсальных группах из глобального каталога. После получения эти сведения неограниченно кэшируются на контроллере домена данного сайта и периодически обновляются. При следующей попытке входа в систему проверяющий подлинность контроллер домена под управлением Windows Server 2003 получает сведения об участии пользователя в универсальных группах из локального кэша без необходимости обращаться к глобальному каталогу.

По умолчанию содержащиеся в кэше каждого контроллера домена сведения об участии пользователя в универсальных группах обновляются каждые 8 часов. Чтобы обновить кэш, контроллеры домена под управлением Windows Server 2003 посылают запрос на подтверждение участия в универсальных группах указанному глобальному каталогу. Одновременно могут обновиться до 500 членств в универсальных группах. Кэширование членства в универсальных группах можно включить с помощью оснастки «Active Directory — сайты и службы». Кэширование членства в универсальных группах применяется для конкретных сайтов, при этом требуется участие и наличие на сайте всех контроллеров домена под управлением Windows Server 2003. Дополнительные сведения о включении данной возможности см. в разделе Кэширование членства в универсальных группах.

Ниже приведен обзор возможных преимуществ применения кэширования членства в универсальных группах в дочерних подразделениях.

  • Сокращается время входа в систему благодаря тому, что проверяющим подлинность контроллерам домена больше нет необходимости связываться с глобальным каталогом для получения сведений о членстве в универсальных группах.
  • Нет необходимости обновлять аппаратное обеспечение существующих контроллеров домена, чтобы поддерживать дополнительные системные требования, необходимые для содержания глобального каталога.
  • Снижается загрузка сети, так как контроллеру домена нет необходимости управлять репликацией всех расположенных в лесу объектов.

Примечание



  • Глобальный каталог можно продолжать использовать в дочерних подразделениях, если приложение сайта посылает запросы глобального каталога порту 3268. Кэширование членства в универсальных группах не мешает вызовам порта 3268.

Взаимодействие с DNS и групповой политикой

Взаимодействие с DNS и групповой политикой

В этом разделе

  • Интеграция с DNS
  • Интеграция с групповой политикой

Интеграция с DNS

Интеграция с DNS

Active Directory интегрирована с DNS способами, перечисленными ниже.

  • Службы Active Directory и DNS имеют одинаковую иерархическую структуру.

    DNS и Active Directory используются для разных целей, однако пространство имен организации для этих служб имеет идентичную структуру. Например, microsoft.com является доменом DNS и Active Directory. Дополнительные сведения см. в разделе Планирование пространства имен для DNS.
  • Зоны DNS могут храниться в Active Directory.

    При использовании службы DNS-сервера Windows Server 2003 файлы основной зоны могут храниться в Active Directory для репликации на другие контроллеры домена Active Directory. Дополнительные сведения см. в разделе Интеграция с Active Directory.
  • Служба Active Directory использует DNS в качестве службы локатора для разрешения домена, сайта и имен служб Active Directory в IP-адрес.

    Для входа в домен Active Directory клиент Active Directory запрашивает настроенный DNS-сервер, чтобы получить IP-адрес службы LDAP, работающей на контроллере домена для указанного домена. Дополнительные сведения о зависимости клиентов Active Directory от DNS см. в разделе Поиск контроллера домена.

Примечание

  • Для устранения неполадок клиентских компьютеров, которые не могут найти контроллер домена, можно использовать программы Dcdiag.exe и Netdiag.exe. Эти средства позволяют определить неверные конфигурации DNS как сервера, так и клиента. Дополнительные сведения см. в статье Q265706 «DCDiag/NetDiag Facilitate Join and DC Creation» (Программы DCDiag и NetDiag упрощают создание и расширение контроллеров доменов) в базе знаний корпорации Майкрософт . Краткое описание средств поддержки см. в разделе Средства поддержки Active Directory.

Несмотря на то, что Active Directory интегрируется с DNS и они имеют общую структуру пространства имен, важно знать различие между ними.



  • DNS является службой разрешения имен.

    Клиенты DNS посылают запросы DNS-имени на свой DNS-сервер. DNS-сервер получает эти запросы и либо разрешает их с помощью локальных файлов, либо обращается к другому DNS-серверу для разрешения. Для работы DNS не требуется Active Directory.
  • Active Directory является службой каталога.

    Active Directory предоставляет базу данных и службы для обеспечения доступности данных пользователям и приложениям. Клиенты Active Directory посылают запросы контроллерам домена, используя протокол LDAP. Для поиска контроллера домена клиент Active Directory посылает запрос DNS. Для работы Active Directory требуется DNS.

Контрольный список для развертывания DNS для службы каталогов Active Directory см. в разделе Контрольный список для развертывания DNS для службы каталогов Active Directory.

Сведения о настройке DNS-серверов для службы Active Directory см. в разделе Настройка DNS-сервера для использования с Active Directory.

Наши рекомендации