Марк МИНАСИ Марк Минаси — редактор Windows NT Magazine, MCSE, и автор книги «Mastering Windows NT Server 4.0» (издательство Sybex). С ним можно связаться по адресу: mark@minasi.com. |
По ряду причин администраторы систем, работающих под управлением Windows NT 4.0, строят сети, состоящие из множества доменов. К техническим причинам можно отнести применение низкоскоростных соединений по каналам WAN, слишком большое для одного домена число учетных записей, необходимость локального управления серверами, а также наличие множества уже созданных доменов, которые не так-то просто объединить. В Windows 2000 предусмотрена возможность решения каждой из этих проблем.
Оптимальное использование каналов связи
При репликации изменений базы данных SAM с контроллера PDC на контроллеры BDC сервер PDC не управляет процессом передачи информации. PDC сообщает всем BDC-контроллерам о необходимости установить с ним сеанс связи, чтобы он мог реплицировать изменения базы данных SAM на каждый из BDC. Когда у «приглашенных» таким образом серверов BDC появляется свободное время, они обращаются к PDC-контроллеру за изменениями SAM. Сервер PDC выполняет репликацию этих изменений одним и тем же способом независимо от того, какой канал связи при этом задействован: высокоскоростной LAN или низкоскоростной WAN. Кроме того, в NT 4.0 PDC копирует на BDC всю информацию о пользователях. Например, если пользователь Joe изменил свой пароль, но не менял имя, описание, профиль и часы работы, контроллер PDC все равно передаст на BDC полную информацию об этом пользователе.
При использовании Windows 2000, напротив, передаются только те данные из учетной записи пользователя, которые были модифицированы. Например, если был изменен пароль пользователя Joe, то контроллер домена Windows 2000, выполняя репликацию данных на другой контроллер, передаст только его новый пароль. Кроме того, в Windows 2000 при конфигурировании службы Active Directory (AD) указывается, какие контроллеры доменов подключены к высокоскоростным каналам связи, а какие — к низкоскоростным. Таким образом, контроллер домена, прежде чем начать передачу данных, может оценить, с помощью каких каналов он связан с другим контроллером. Если эта связь низкоскоростная, то контроллер домена выполнит сжатие данных перед тем, как посылать их по каналу WAN.
Теперь предположим, что контроллер PDC NT 4.0 реплицирует изменения SAM на 10 контроллеров BDC. Места расположения PDC и BDC связаны низкоскоростным каналом. Так как PDC передает информацию для каждого BDC по отдельности, одни и те же данные об изменении пароля пользователя Joe будут переданы по каналу WAN 10 раз. Windows 2000 в такой ситуации работает более эффективно. Чтобы произвести обновление данных на 10 удаленных серверах, контроллер домена Windows 2000 передает новую информацию только одному из них. Затем удаленный сервер, получивший обновление, рассылает его остальным девяти контроллерам домена. С точки зрения использования канала WAN это оптимальное решение.
Увеличение размера базы данных учетных записей
Размер базы данных SAM в NT 4.0 теоретически не имеет верхнего предела, однако на практике этот предел равен приблизительно 10 000 пользователей. Поэтому администратор системы предприятия, насчитывающего 100 000 сотрудников, вынужден использовать модель сети, состоящую из множества доменов, и распределять учетные записи пользователей по разным доменам.
В Windows 2000 данное ограничение отсутствует. Как сообщили представители Microsoft, в компании Boeing была успешно протестирована база данных AD, включающая в себя 1,5 млн объектов. От специалистов фирмы Compaq я слышал о положительных результатах тестирования базы данных, состоящей из 20 млн объектов.
Локальный контроль над серверами
В большинстве организаций функции управления вычислительными ресурсами выполняют специалисты отдела информационных технологий (ИТ). Они создают учетные записи пользователей, обслуживают каналы LAN и WAN и часто даже занимаются закупкой серверов. В то же время данные, хранимые на серверах, обычно отделу информационных технологий не принадлежат. Целостность этих данных беспокоит отдел ИТ в значительно меньшей степени, чем, скажем, бухгалтерию. Если сотрудники отдела информационных технологий не обеспечат должным образом резервирование данных и сервер «упадет», то отдел ИТ будет наказан за эту оплошность только материально, тогда как работа бухгалтерии будет полностью парализована. Естественно, руководителю бухгалтерии было бы удобно, если бы администраторы серверов, на которых хранятся бухгалтерские данные, работали у него, а не в отделе информационных технологий.
В рамках операционной системы NT 4.0 сложно обеспечить возможность локального (на уровне отделов) управления серверами. Единственное, что можно сделать, — это выделить группу серверов бухгалтерии в отдельный ресурсный домен (т. е. создать новый домен для бухгалтерии). При организации новых доменов нужно позаботиться об установлении доверительных отношений между доменами, что всегда ложится тяжким грузом на плечи администраторов.
Для решения этой проблемы разработчики Windows 2000 предусмотрели возможность создания элементов структуры системы, называемых organizational unit (OU). При этом бухгалтерия может иметь внутри большого домена предприятия свой элемент OU (Accounting Servers OU), куда входят учетные записи всех принадлежащих ей серверов. Windows 2000 позволяет передать контроль над серверами, входящими в состав Accounting Servers OU, группе администраторов, работающих в бухгалтерии. Таким образом, они смогут управлять своими серверами, не создавая для этого отдельного домена.
Как объединить существующие домены
Во многих организациях операционная система NT устанавливалась много лет назад, и никакого планирования при построении доменной структуры тогда не проводилось. Сейчас в сетях этих компаний имеется неупорядоченное множество доменов, которое не соответствует ни одной из предлагаемых моделей построения доменной структуры. Кое-где доменная структура строилась по стандартной модели, но затем в компанию вливалась другая фирма; в результате появлялись дополнительные домены, и администраторам приходилось как-то внедрять их в сеть предприятия.
Стоящая перед администраторами задача объединения (консолидации) доменов в рамках системы NT 4.0 решается очень нелегко. Предположим, что в домене A имеется 1000 учетных записей, и в домене B — также 1000 учетных записей. Чтобы объединить домены A и B, необходимо переместить 1000 записей из домена A в домен B. Многие администраторы пытаются сделать это с помощью утилиты Addusers из пакета Microsoft Windows NT 4.0 Resource Kit, однако задача консолидации доменов никогда не решается просто.
Нужно сказать, что Windows 2000 содержит инструмент, способный упростить данный процесс. Но пока остается неясным, включит ли его Microsoft в состав окончательной коммерческой версии системы. Если это средство будет отсутствовать, то для упрощения и автоматизации процесса миграции доменов можно использовать продукты независимых компаний, такие, как FastLane Technologies DM/Manager. Кроме того, фирма Mission Critical Software разрабатывает Domain Migrator, технологию миграции, которая является компонентом Mission Critical OnePoint. Представители Microsoft недавно заявили о том, что корпорация собирается лицензировать эту технологию. Хотя они и говорят, что Domain Migrator будет поставляться в составе Windows 2000, это всего лишь обещание. Пока непонятно, будет ли Microsoft поставлять указанный продукт или использует его «потроха» для разработки собственного средства консолидации доменов. Поживем — увидим.
Меньше суеты
Далеко не все сетевые администраторы оказались способны справиться с многодоменной структурой сети предприятия. Суета вокруг доверительных отношений, подключение глобальных групп из главных доменов в ресурсные домены, использование таких программ, как Nltest и Netdom, для поддержки работоспособности существующих доверительных отношений требуют целого штата специалистов и больших временных затрат... Все эти проблемы в новой операционной системе решены. Не усложняйте себе жизнь: постройте однодоменную модель и установите Windows 2000.