Решения для виртуализации контроллеров домена (часть 4)

Введение

В своей предыдущей статье я рассмотрел несколько различных вариантов распределения контроллеров домена между хост-серверами в виртуальной среде. Одним из вопросов, который я не затронул в этой статье, было размещение серверов глобального каталога. В этой статье я хочу сосредоточить свое внимание на том, как размещение сервера глобального каталога работает в виртуальной среде.

Что такое сервер глобального каталога?

Большинство из вас, читающих эту статью, вероятно, уже знакомы с концепцией сервера глобального каталога. Для тех, кто может быть новичком в Active Directory, я хочу воспользоваться моментом и объяснить, что такое сервер глобального каталога и что он делает. Если вы уже знакомы с серверами глобального каталога, смело переходите к следующему разделу.

Я легко мог бы написать целую серию статей о роли серверов глобального каталога, но, чтобы не терять фокус, я постараюсь сделать это просто. Active Directory состоит из одного или нескольких доменов. Каждый из этих доменов состоит из одного или нескольких контроллеров домена. Каждый контроллер домена содержит раздел каталога домена. Раздел каталога домена содержит копии всех объектов Active Directory (учетных записей пользователей, компьютеров, групп и т. д.), существующих в домене.

Поскольку процесс репликации Active Directory поддерживает синхронизацию каждого контроллера домена в домене, каждый контроллер домена содержит копию каждого объекта в домене, который обслуживает. Следовательно, контроллер домена может обслуживать запросы для своего домена.

В больших сетях часто используются леса Active Directory, состоящие из нескольких доменов. В средах такого типа серверы глобального каталога предоставляют возможность находить объекты в любом домене леса, но без необходимости знать, в каком домене находится объект. Это связано с тем, что контроллеры домена, назначенные для работы в качестве серверов глобального каталога, содержат -только реплика каждого раздела каталога домена в лесу. Эти разделы существуют в дополнение к разделу каталога домена для домена, членом которого является сервер глобального каталога.

Однодоменные леса

Как вы помните, в предыдущей статье я ссылался на диаграмму, показанную на рис. A. На этой диаграмме показан лес с одним доменом с контроллерами домена, распределенными как по физическим, так и по виртуальным машинам.

Рисунок А:
Размещение сервера глобального каталога становится спорным вопросом в лесу с одним доменом

В сети, подобной показанной выше, размещение сервера глобального каталога не является проблемой. Причина этого в том, что в одном доменном лесу есть только один раздел каталога домена. Каждый отдельный контроллер домена в лесу содержит копию единственного раздела каталога домена. Таким образом, каждый контроллер домена должен быть настроен для работы в качестве сервера глобального каталога. Делать это не рекомендуется в многодоменном лесу, но вы можете обойтись без настройки каждого контроллера домена в одном доменном лесу для работы в качестве сервера глобального каталога, потому что это не увеличивает использование ЦП или дискового пространства, а также не увеличивает увеличить трафик репликации.

Когда речь идет о многодоменных лесах, размещение сервера глобального каталога следует рассматривать более тщательно. Прежде чем я начну обсуждение размещения сервера глобального каталога, важно, чтобы вы осознали, что хотя роль сервера глобального каталога применяется на уровне контроллера домена, поиск в глобальном каталоге на самом деле является операцией на уровне леса.

Имея это в виду, Microsoft рекомендует, чтобы каждый сайт Active Directory был снабжен собственным сервером глобального каталога. Однако эта рекомендация содержит несколько различных предостережений.

Одним из основных соображений, которые необходимо учитывать, является зависимость приложения от серверов глобального каталога. Прекрасным примером этой зависимости является Exchange Server. Рекомендации корпорации Майкрософт по Exchange Server требуют, чтобы на каждом сайте Active Directory, на котором существует сервер почтовых ящиков, был хотя бы один сервер глобального каталога. В этой конкретной рекомендации нет ничего удивительного, поскольку она соответствует общей рекомендации Microsoft по размещению сервера глобального каталога. Однако бывают ситуации, когда на сайте может потребоваться несколько серверов глобального каталога. Например, организациям с большими развертываниями Exchange Server обычно требуется несколько серверов глобального каталога. Корпорация Майкрософт рекомендует соотношение серверов почтовых ящиков и серверов глобального каталога на сайте 4 к 1. Таким образом, если сайт Active Directory содержит восемь серверов почтовых ящиков, вам потребуется как минимум два сервера глобального каталога на сайте.

Однако количество необходимых серверов глобального каталога — не единственное соображение, которое вы должны учитывать, когда речь идет о ваших приложениях. Одним из часто упускаемых из виду требований Exchange Server является то, что серверы глобального каталога не могут находиться на контроллерах домена, доступных только для чтения. Хотя Microsoft поддерживает (а в некоторых случаях даже рекомендует) назначение контроллеров домена только для чтения в качестве серверов глобального каталога, Exchange Server несовместим с контроллерами домена только для чтения. Таким образом, ограничение существует не для самих контроллеров домена, а для приложения.

В некоторых случаях может оказаться непрактичным размещать сервер глобального каталога на сайте Active Directory. Это особенно актуально для удаленных площадок, которые отделены от главного офиса низкоскоростным соединением. В таких ситуациях трафик репликации Active Directory, необходимый для обслуживания сервера глобального каталога, может перегрузить ваше подключение к глобальной сети.

Размещение сервера глобального каталога на сайте Active Directory также может оказаться нецелесообразным, если на сайте менее 100 пользователей. Хотя вы можете предоставить сервер глобального каталога для таких сайтов, это считается излишним, если только не существует зависимости приложения или если сайт в первую очередь не обслуживает блуждающих пользователей (блуждающие пользователи должны обращаться к серверу глобального каталога при входе в систему).

Как видите, в некоторых ситуациях размещение сервера глобального каталога на сайте Active Directory может быть не лучшим решением. Даже в этом случае пользователи на этом сайте должны по-прежнему иметь возможность разрешать запросы Active Directory. К счастью, Microsoft предоставляет нам альтернативный метод, который можно использовать в таких ситуациях.

Я уверен, вы знаете, что для каждого сайта Active Directory требуется как минимум один контроллер домена. Вместо того, чтобы назначать контроллер домена сервером глобального каталога, вы можете включить кэширование членства в универсальной группе. Это позволяет контроллеру домена на сайте кэшировать SIDS глобальной группы и универсальной группы, полученные с сервера глобального каталога. Хотя кэширование членства в универсальных группах значительно снижает зависимость от серверов глобального каталога, важно убедиться, что сайты, использующие кэширование членства в универсальных группах, никогда не удаляются от сервера глобального каталога более чем на один шаг репликации.

Вывод

В этой статье я обсудил некоторые рекомендации Microsoft относительно размещения сервера глобального каталога. В следующей части этой серии статей я начну изучение многодоменных архитектур применительно к виртуальным центрам обработки данных. Как и я, я также буду обсуждать размещение сервера глобального каталога в таких средах.

на нашу рассылку новостей об обновлениях статей VirtualizationAdmin.com в режиме реального времени