Физическая структура и репликация

Физически информация AD хранится на одном или нескольких равнозначных контроллерах доменов, заменивших использовавшиеся в Windows NT основной и резервные контроллеры домена (хотя для выполнения некоторых операций сохраняется и так называемый сервер «операций с одним главным сервером», который может эмулировать главный контроллер домена). Каждый контроллер домена хранит копию данных AD, предназначенную для чтения и записи. Изменения, сделанные на одном контроллере, синхронизируются на все контроллеры домена при репликации. Серверы, на которых сама служба Active Directory не установлена, но которые при этом входят в домен AD, называются рядовыми серверами.

Репликация AD выполняется по запросу. Служба KCC создаёт топологию репликации, которая использует сайты, определённые в системе, для управления трафиком. Внутрисайтовая репликация выполняется часто и автоматически с помощью средства проверки согласованности (уведомлением партнёров по репликации об изменениях). Репликация между сайтами может быть настроена для каждого канала сайта (в зависимости от качества канала) — различная «оценка» (или «стоимость») может быть назначена каждому каналу (например DS3, T1, ISDN и т. д.), и трафик репликации будет ограничен, передаваться по расписанию и маршрутизироваться в соответствии с назначенной оценкой канала. Данные репликации могут транзитивно передаваться через несколько сайтов через мосты связи сайтов, если «оценка» низка, хотя AD автоматически назначает более низкую оценку для связей «сайт-сайт», чем для транзитивных соединений. Репликация сайт-сайт выполняется серверами-плацдармами в каждом сайте, которые затем реплицируют изменения на каждый контроллер домена своего сайта. Внутридоменная репликация проходит по протоколу RPC по IP, междоменная — может использовать также протокол SMTP.

Если структура Active Directory содержит несколько доменов, для решения задачи поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты леса, но с ограниченным набором атрибутов (неполная реплика). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Возможность операций с одним главным компьютером позволяет обрабатывать запросы, когда репликация с несколькими главными компьютерами недопустима. Есть пять типов таких операций: эмуляция главного контроллера домена (PDC-эмулятор), главный компьютер относительного идентификатора (мастер относительных идентификаторов или RID-мастер), главный компьютер инфраструктуры (мастер инфраструктуры), главный компьютер схемы (мастер схемы) и главный компьютер именования домена (мастер именования доменов). Первые три роли уникальны в рамках домена, последние две — уникальны в рамках всего леса.

Базу AD можно разделить на три логические хранилища или «раздела». «Схема» является шаблоном для AD и определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна схема). «Конфигурация» является структурой леса и деревьев AD. «Домен» хранит всю информацию об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры доменов в лесу, третий раздел полностью реплицируется между репликами контроллеров в рамках каждого домена и частично — на сервера глобального каталога.

База данных AD (хранилище каталогов) в Windows 2000 использует расширяемую подсистему хранения Microsoft Jet Blue, которая позволяет для каждого контроллера домена иметь базу размером до 16 терабайт и 1 миллиард объектов (теоретическое ограничение, практические тесты выполнялись только с приблизительно 100 миллионами объектов). Файл базы называется NTDS.DIT и имеет две основные таблицы — таблицу данных и таблицу связей. В Windows Server 2003 добавлена ещё одна таблица для обеспечения уникальности экземпляров дескрипторов безопасности.

17.Служба регистрации событий UNIX-систем Syslog (источники и виды событий, виды реакций на события).

Syslog — это полноценная система регистрации событий, написанная Эриком Оллманом (Eric Allman). Многие поставщики пользуются ею для управления информацией, которую генерируют ядро и системные утилиты.

Система Syslog выполняет две важнейшие функции: она освобождает программистов от утомительной механической работы по ведению журнальных файлов и передает управление регистрацией в руки администратора. До появления Syslog каждая программа могла сама выбирать политику регистрации, а у системных администраторов не было возможности контролировать, какая информация и где именно сохраняется.

Данная система отличается высокой гибкостью. Она позволяет сортировать сообщения по источникам и степени важности ("уровню серьезности” в терминологии системы Syslog) и направлять их в различные пункты назначения: в журнальные файлы, на терминалы пользователей и даже на другие машины. Одной из самых ценных особенностей этой системы является ее способность централизовать процедуру регистрации событий в сети.

Журналирующая система устроена достаточно просто. Программы шлют записи предназначенные для журналирования к системному демону syslogd. Syslogd сравнивает каждую пришедшую запись с правилами, которые находятся в файле /etc/syslog.conf. Когда обнаруживается соответствие, syslogd обрабатывает запись описанным в syslog.conf способом.

Файл /etc/syslog.conf состоит из двух столбцов. В первом указывается правило отбора записей для журнала (селектор). Во втором содержится описание действий, которые будут предприняты для обработки подошедшей записи. Источник журналируемых записей описывается указанием категории (facility) и уровня (level). Категория это или источник записей, или программа, которая шлет сообщения демону syslogd.

Файл /etc/syslog.conf содержит информацию, используемую системным демоном регистрации событий («лог-демоном») syslogd при обработке сообщений с целью определения того, как следует поступать с тем или иным поступившим сообщением.

Имеются следующие стандартные имена источников:

user - Сообщения от пользовательских процессов. Используется также по умолчанию при поступлении сообщений от источников, не указанных в настоящем файле.

kern - Сообщения ядра системы.

mail - Сообщения почтовой системы.

daemon - Системный демоны, например демон FTP in.ftpd

auth - Система авторизации (программы login, su, getty и др.).

lpr - Система печати (программы lpr, lpc и др.).

news - Зарезервировано для системы телеконференций USENET.

uucp - Зарезервировано для UUCP; в настоящий момент эта система не пользуется услугами syslogd.

cron - Диспетчеры расписаний cron/at (программы crontab, at, cron и др.).

local0-7 - Зарезервировано для локального использования.

mark - Отметки времени, генерируемые самим демоном syslogd.

* Все источники, кроме mark.

Имеются следующие значения уровней (указаны в порядке убывания серьезности ситуации):

emerg - Паника в системе, обычно широковещательно рассылается всем пользователям.

alert - Ситуации, требующие немедленного исполнения (например, испорченные системные данные).

crit - Предупреждения о критических условиях (например, ошибка аппаратного устройства).

err - Прочие ошибки.

warning - Предупреждения.

notice - Ситуации, не являющиеся ошибками, но могущие потребовать специальной обработки.

info - Информационные сообщения.

debug - Отладочный уровень.

none - Не обрабатывать сообщения от указанного источника. Например, селектор

*.debug;mail.none - определяет обработку всех сообщений (т.е. сообщений всех уровней от всех источников), кроме сообщений от системы электронной почты.

Указание уровня в селекторе подразумевает «данный уровень и все более серьезные уровни».

Действия:

Поле действие указывает, куда следует направить сообщение. Формат этого поля может быть одним из 4 типов:

1. Имя файла, начинающееся со слэша (/), которое указывает, что все сообщения определяемые селектором, должны быть записаны в этот файл. Файл будет открыт в режиме дополнения в конец файла.

2. Имя удаленного компьютера, предваренное символом @ (например, @athena), которое указывает, что все сообщения определяемые селектором, должны быть переправлены демону syslogd на этот компьютер. Имя "loghost" определяет компьютер, который будет регистрировать сообщения; каждый компьютер по умолчанию является лог-хостом для себя. Также возможно определить в качестве «loghost» какой-либо другой компьютер в сети путем указания этого факта в файле /etc/hosts. Если локальная машина является лог-хостом, сообщения, принимаемые демоном syslogd, будут записываться в соответствующие файлы; иначе они будут пересылаться компьютеру по имени loghost.

3. Разделенный запятыми список имен пользователей, которым с помощью команды write будут отправляться определяемые селектором сообщения в случае, если пользователь находятся на данный момент в системе.

4. Звездочка * указывает, что сообщения, определяемые селектором, будут отправляться помощью команды write всем пользователям, находящимся на данный момент в системе.

18.Групповые политики: назначение, создание и редактирование.

С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут.