Назад | Перейти на главную страницу

Как обеспечить устойчивость Active Directory на нескольких сайтах?

Я отвечаю за большую часть ИТ в компании, насчитывающей около 100 человек, которая работает примерно на пяти сайтах по всему миру. Мы используем Active Directory для аутентификации, в основном обслуживаемую системами Linux (CentOS 5) через LDAP.

Мы пережили серию событий, когда IP-туннель между двумя основными сайтами выходит из строя, и дополнительный контроллер домена на одном сайте не может связаться с основным контроллером домена на другом. Похоже, что вторичный контроллер домена начинает отказывать в аутентификации пользователя через несколько минут после потери связи с первичным.

Как сделать дополнительный контроллер домена более устойчивым к простоям? Есть ли способ кэшировать весь каталог и / или хотя бы хранить достаточно информации локально, чтобы выдержать многочасовое отключение?

(Мы все в одном организационном подразделении, если это имеет значение.)

(Здесь используются серверы Windows Server 2003R2; не думайте, что мы настроили это правильно. Я инженер-программист, а не ИТ-специалист.)

У вас всего 100 пользователей. Итак, ваш активный каталог крошечный. Просто убедитесь, что ваши сайты соответственно разделены на сайты и службы, и сделайте все ваши удаленные филиалы глобальными каталогами. Никаких дополнительных накладных расходов (по сегодняшним стандартам) на дисковое пространство, использование ЦП или пропускную способность не будет. Если линия обрывается, пользователи по-прежнему смогут аутентифицироваться в домене.

Я думаю, что кеширование универсального членства в группах - это то, что вам нужно изучить.

http://technet.microsoft.com/en-us/library/cc816797(WS.10).aspx

http://www.windowsnetworking.com/kbase/WindowsTips/Windows2003/AdminTips/ActiveDirectory/Whentouseandnotuseuniversalgroupmembershipcaching.html

Похоже, это хороший вариант использования сайтов Active Directory. Сайты - это то, как Active Directory обеспечивает осведомленность о сети в структуре дерева. Здесь есть несколько ответов о том, как работать с Сайтами, но вот краткое изложение.

Все ваши контроллеры домена равны (1), в отличие от WinNT, здесь нет основного / резервного контроллера домена. Active Directory использует IP-подсеть, чтобы определить, к какому сайту вы принадлежите, а это значит, что вам нужно куда-то войти. На каком сайте находится контроллер домена, определяется его IP-подсетью. Если контроллеры домена находятся на разных сайтах, то между сайтами создается политика репликации, которая определяет, как часто репликация происходит между ними. По умолчанию в этой политике указано, что репликация происходит каждые 4 часа, и ее легко изменить.

Сайты - это то, как вы позволяете своей сети выдерживать длительные перебои в работе ваших каналов WAN. Вообще говоря если у вас есть соединение WAN, а офис на другом конце этого канала WAN не может выйти из строя во время отключения, то этому офису необходимы как сайт, так и контроллер домена. Благодаря тому, что DC находится на другом сайте, он сможет выдержать до 4 часов отключения, даже не заметив, что это произошло (2).

Если вы хотите обновить свой DC до 2008, у вас есть другой вариант в виде DC только для чтения.

(1) Если вы не используете Server 2008 или выше, когда представлены контроллеры домена только для чтения. Но ты еще не там.

(2) Некоторые вещи копируются немедленно, например, пароль. изменения, но по замыслу они мелочи.