Управление разделами каталога приложений

Опубликовано: 25 Марта, 2023

Как вы, вероятно, знаете, Windows Active Directory — это реляционная база данных, на которую ссылаются серверы и рабочие станции для всего, от безопасности до информации о конфигурации. Учитывая расширяемый характер Active Directory, неудивительно, что отдельные приложения могут быть спроектированы таким образом, чтобы они могли хранить данные или информацию о конфигурации в Active Directory.


Одним из преимуществ использования Active Directory для хранения информации, относящейся к приложениям, является то, что база данных Active Directory распределена между несколькими контроллерами домена. Это означает, что в случае сбоя контроллера домена другой контроллер домена должен по-прежнему содержать функциональную копию данных приложения.


Этот распределенный дизайн отлично работает в организациях малого и среднего размера, но создает некоторые интересные проблемы в более крупных организациях. Например, представьте, что финансовый отдел вашей компании развернул совершенно новое приложение с поддержкой Active Directory. В такой ситуации редко кому за пределами финансового отдела нужен доступ к приложению.


Проблема возникает из-за того, как Active Directory реплицирует данные приложения на другие контроллеры домена. Если у финансового отдела есть собственный домен, то нет смысла копировать данные приложения за пределы финансового домена. Ограничение данных приложения в финансовом домене помогло бы сохранить безопасность приложения, а также предотвратило бы ненужный трафик репликации, проходящий через остальную часть сети. Обычно Active Directory так не работает. Данные приложения будут реплицироваться по всей организации независимо от того, нужны они за пределами финансового отдела или нет.


Здесь в игру вступают разделы приложений. Разделы приложений позволяют выделить определенную область Active Directory для использования приложением. Кроме того, вы можете указать, на какие именно контроллеры домена следует реплицировать раздел приложения.


Пространство имени раздела приложения


Когда вы создаете раздел приложений, у этого раздела есть собственное пространство имен, подобное тому, как домен получает собственное пространство имен в Active Directory. Раздел приложения на самом деле структурно очень похож на домен. Самое большое отличие состоит в том, что раздел приложений не может содержать принципы безопасности (пользователи, группы, компьютеры и т. д.).


Поскольку разделы каталога приложений очень похожи структурно на домены, вас не должно удивлять, что они используют те же пространства имен, что и домены. Раздел каталога приложений может существовать как дочерний элемент домена, как дочерний элемент раздела каталога приложений или как новое дерево в лесу. Например, если у вас есть Active Directory, состоящая из одного домена с именем brienposey.com, и вы хотите создать раздел каталога приложений с именем application в качестве дочернего элемента этого домена, то пространством имен для нового раздела каталога приложений будет application. brienposey.com.


Раздел каталога приложений также может быть дочерним по отношению к другому разделу каталога приложений. Таким образом, если вы хотите создать раздел каталога приложений с именем application2 и сделать его дочерним по отношению к разделу с именем application, пространство имен DNS будет иметь вид application2.application.brienposey.com.


Однако если вы хотите создать раздел каталога приложений с именем application в качестве нового дерева в лесу, тогда пространство имен DNS будет просто application.com. Этот новый раздел каталога приложений не будет ссылаться на brienposey.com, поскольку brienposey.com является доменом корневого уровня в лесу. Новый раздел каталога приложений будет существовать параллельно с этим доменом, а не под ним, и поэтому будет иметь пространство имен DNS application.com.


Создание раздела каталога приложений


Существует несколько различных инструментов, которые можно использовать для создания раздела каталога приложений. Вы можете использовать инструмент командной строки NTDSUTIL, команды ADSIEDIT или LDAP. Некоторые поставщики приложений также включают в свои приложения код для создания раздела каталога приложений.


Если вам нужно создать раздел каталога приложений самостоятельно, проще всего это сделать с помощью команды NTDSUTIL. Для этого откройте окно командной строки и введите команду NTDSUTIL. Когда вы это сделаете, вы увидите приглашение NTDSUTIL. Введите команду DOMAIN MANAGEMENT в приглашении, и вы увидите, что приглашение изменится с NTDSUTIL на управление доменом.


На этом этапе вы должны решить, на каком контроллере домена вы хотите создать раздел каталога приложений. Вы всегда можете реплицировать раздел каталога приложений на другие контроллеры домена позже, но сначала вы должны выбрать один контроллер домена. Единственным условием выбора контроллера домена является то, что вы должны иметь достаточные права для создания раздела каталога приложений на назначенном контроллере домена, а контроллер домена должен работать под управлением Windows Server 2003. Windows 2000 Server не поддерживает разделы каталога приложений.


После того, как вы выбрали контроллер домена, вы должны подключиться к нему. Для этого введите команду CONNECT TO SERVER имя_сервера, где имя_сервера — это полное доменное имя контроллера домена, к которому вы хотите подключиться. После подключения к целевому контроллеру домена вы будете использовать следующую команду для создания раздела каталога приложений:



CREATE NC application_directory_partition domain_controller


Прежде чем вы на самом деле создадите раздел каталога приложений, я хочу воспользоваться моментом и немного объяснить эту команду. Часть команды domain_controller — это полное доменное имя контроллера домена, на котором вы хотите создать новый раздел каталога приложений. Например, если у вас есть контроллер домена с именем Taz в домене brienposey.com, то полное доменное имя будет Taz.brienposey.com.


Однако крайне важно помнить, что хотя вы используете контроллер домена, который вы выбрали для создания и хранения нового раздела каталога приложений, раздел каталога приложений будет иметь совершенно другое пространство имен, чем контроллер домена, и никоим образом не зависит от него. в пространстве имен контроллера домена. Помните, что новый раздел каталога приложений может существовать как дочерний элемент домена, как дочерний элемент другого раздела каталога приложений или параллельно домену корневого уровня.


Расположение раздела каталога приложений в лесу определяется именем, которое вы вводите в часть application_directory_partition команды CREATE NC.


Теперь, когда вы знаете, как работает эта команда, давайте создадим раздел каталога приложений с именем Application в качестве дочернего элемента домена brienposey.com, используя контроллер домена с именем Taz. Чтобы создать такой раздел, вы должны использовать следующую команду:



СОЗДАТЬ NC application.brienposey.com Taz.brienposey.com


Репликация раздела каталога приложений


До сих пор я показал вам, как создать раздел каталога приложений. По умолчанию этот раздел не будет реплицирован ни на какие другие контроллеры домена. Если вы хотите реплицировать раздел каталога приложений на другие контроллеры домена, вам нужно будет указать, какие контроллеры домена вы хотите использовать в качестве реплик.


Процесс указания реплики очень похож на процесс, который вы использовали для первоначального создания раздела. Вы должны начать процесс, открыв окно командной строки и введя команду NTDSUTIL, а затем команду DOMAIN MANAGEMENT и команду CONNECT TO SERVER имя_сервера. Затем вы должны ввести следующую команду, чтобы указать реплику:



ДОБАВИТЬ РЕПЛИКУ NC application_directory_partition domain_controller


Когда вы вводите эту команду, часть команды application_directory_partition относится к разделу каталога приложений, который вы уже создали. Часть команды domain_controller — это полное доменное имя контроллера домена, к которому вы хотите добавить реплику. Например, если вы хотите создать реплику раздела каталога приложений, который мы создали ранее, на контроллере домена с именем Relevant в домене brienposey.com, команда будет выглядеть так:



ДОБАВИТЬ реплику NC application.brienposey.com Relevant.brienposey.com


Процесс удаления реплики почти идентичен ее созданию. Синтаксис:



УДАЛИТЬ NC REPLICA application_directory_partition domain_controller


Удаление раздела каталога приложений


Удаление раздела каталога приложений является глобально разрушительным действием. Когда вы удаляете раздел каталога приложений, вы удаляете все реплики раздела и все данные, хранящиеся в разделе. Поэтому следует тщательно обдумать последствия своих действий и перед удалением раздела сделать полную резервную копию системы.


Команда для удаления раздела каталога приложений:



УДАЛИТЬ NC application_directory_partition


Вывод


Иногда полезно хранить информацию о конфигурации или даже данные, относящиеся к приложению, в Active Directory. При этом считается хорошим тоном помещать конкретную информацию о приложении в выделенный раздел каталога приложений. В этой статье я объяснил, как создавать и удалять разделы каталога приложений и как управлять репликами этих разделов.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023