Skip to main content
16. janúar 2014

Uppbygging á Active Directory samstillingu

BjornHMVidarssEins og flestir hafa kynnst er Internetið hafsjór upplýsinga. Margir kannast við hið fræga Technet sem Microsoft heldur úti og kennir þar ýmissa grasa. Hér hafa verið teknir saman nokkrir punktar bæði af þeim ágæta vef og úr reynslubanka höfundar sem varða það hvernig samstilling eða samkeyrsla gagna fer fram í Active Directory (e. active directory replication). Þetta er efni sem ekki margir kynna sér. Það getur verið vegna tímaskorts eða af öðrum ástæðum. En fróðlegt er að skoða aðeins nánar hvernig lénastjórar (e. domain controllers) tala sín á milli og hvernig þeir fá upplýsingar um breytingar sem gerðar eru í Active Directory umhverfinu.

Þegar búið er til nýtt setur (e. site) í Active Directory (AD) er vanalega eitt eða fleiri IP undirnet tengt við hið nýja setur. Einnig er hver og einn lénastjóri í langflestum tilfellum tengdur við ákveðið setur. Útstöðvar tengjast að sama skapi við sitt setur í samræmi við þá IP tölu sem útstöðin hefur fengið og sækir því allar þjónustur frá sínu setri. Þannig að IP tala útstöðvarinnar tengist ákveðnu undirneti og það net tengist aftur við eitt tiltekið setur. Þannig vita útstöðvar og netþjónar hvar á að finna þær þjónustur sem þarf að nota, innskráningu, skráaþjónustu og aðrar mögulegar AD þjónustur.

Í AD eru setur notuð til að:

  • hámarka hraða og nýtingu bandbreiddar við samstillingu (e. replication) á milli lénastjóra
  • finna næsta tiltæka lénastjóra fyrir innskráningu, þjónustur og leitir í kerfissafni (e. directory)
  • beina biðlurum (útstöðvum og netþjónum) á viðeigandi skráamiðlara (e. distributed file system, DFS) til að finna réttan skráaþjón sem geymir þau gögn sem notandinn þarf aðgang að
  • samstilla kerfisgögn (SYSVOL) sem vistuð eru á hverjum lénastjóra fyrir sig og eru nauðsynleg til að hægt sá að keyra GPO stillingar

Bæði uppbyggingin sjálf og allar tengingar vegna samstillinga gagna krefst þess einnig að:

  • til staðar sé nafnaþjónusta (e. domain name system, DNS) sem sér um nafnauppflettingar fyrir alla lénastjóra í umhverfinu. Í flestum tilfellum er gert ráð fyrir að DNS þjónustan sé innbyggð í AD þar sem upplýsingar sem tilheyra hverju léni verða vistaðar í AD og þær samstilltar á milli allra lénastjóra sem jafnframt eru DNS nafnaþjónar.
  • IP samband sé á milli allra AD setra. Þetta á sérstaklega við setur í umhverfinu sem innihalda svokallað Operations Master hlutverk en það hlutverk tekur á móti breytingabeiðnum.
  • viðeigandi fjöldi lénastjóra sé uppsettur fyrir hvert lén og í hverju setri fyrir sig. Samstilling getur sem dæmi ekki átt sér stað ef ekki er lénastjóri í setrinu.

KCC uppbygging og ferli

Sjálf uppbyggingin á AD samstillingunni er mynduð með innbyggðu ferli sem keyrir á öllum lénastjórum og kallast Knowledge Consistency Checker (KCC). KCC gerir fyrst og fremst breytingar á staðbundnum AD grunni með því að lesa, bæta inn og eyða gögnum í grunninum út frá breytingum sem gerðar eru í umhverfinu og KCC hefur verið látinn vita af. KCC býr til og viðheldur tengingum sem notaðar eru vegna samstillingar á gögnum bæði milli lénastjóra innan ákveðins seturs og á milli setra.

KCC skoðar og gerir breytingar á tengingum fyrir AD samstillingar á 15 mínútna fresti til að tryggja útbeiðslu gagna með því að eyða eða búa til tengingar á milli lénastjóra og tryggir þannig að engir lénastjórar séu ótengdir eða munaðarlausir í umhverfinu. Hægt er að breyta þessum tíma ef þörf krefur. Í flestum tilfellum talar einn KCC ekki beint við annan KCC á öðrum lénastjóra heldur notast þeir allir við sameinginlegar upplýsingar sem vistaðar eru í því sem kallast Configuration Directory Partition (CDP) í AD grunninum.

Hver KCC notar eigin upplýsingar til að búa til tengingar inn á sjálfan sig (e. inbound) og er þá bara að skoða upplýsingar sem eru honum sjálfum viðkomandi. KCC á bara bein samskipti við annan KCC til að leita að villum í samstillingum á milli þjóna. Þetta er gert með Remote Procedure Call (RPC) og eru villuboðin notuð til að finna hvort og þá hvar tengingar vegna samstillinga eru mögulega brotnar. Leit að bilun eða villuboðum á því einungis stað á milli lénastjóra sem eru í sama setrinu. KCC notar ekki Leightweight Directory Access Protocol (LDAP) fyrir sín samskipti.

Einn lénastjóri í hverju setri er síðan valinn til að vera svo kallaður Intersite Topology Generator (ISTG). Til að gera AD samstillingu mögulega yfir hlekki sem tengja saman mismunandi setur tilnefnir ISTG sjálfkrafa einn eða fleiri þjóna til að framkvæma allar samstillingar á milli setra. Þessir þjónar eru kallaðir bidgehead þjónar en bridgehead er sá punktur þar sem tengingar liggja til og frá hverju setri fyrir sig. ISTG býr til ákveðna sýn á uppbygginguna á þessum samstillingum fyrir öll setur. Þar með talið tengingar á milli allra lénastjóra sem hafa hlutver bridgehead þjóns.
ISTG býr síðan til hlut (e. object) fyrir tengingar inn á alla bridgehead þjóna í sínu setri. Því má segja að verksvið KCC sé að mestu innan sjálfs netþjónsins en verksvið ISTG sé allt setrið þó svo að skilin séu raunverulega óljós og hlutverkin haldist nokkuð í hendur. Stundum má sjá í skjölum hjá Microsoft að öðru hvoru hugtakinu sé sleppt og jafnan einungis talað um KCC og að það sjái um allt það sem hér hefur verið lýst.

Ef einn netþjónn hefur handvirkt verið skilgreindur sem bridgehead þjónn er hann strax valinn. Að öðrum kosti er fyrsti lénastjórinn sem hefur CDP og getur átt í samskiptum við aðra lénastjóra valinn. Það mætti nefna í þessu sambandi að Microsoft mælir ekki með því að hlekkir á milli lénastjóra séu búnar til handvirkt heldur sé KCC (eða ISTG) látið sjá um að mynda slíkar tengingar sjálfvirkt. Hver KCC hefur eftirfarandi upplýsingar um hluti í umhverfinu. Þessar upplýsingar fær hann með því að lesa upplýsingar um öll setrin sem geymdar eru í CDP. Upplýsingarnar eru síðan notaðar til þess að búa til sýnina á uppbyggingu þeirra tenginga sem notaðar eru fyrir samstillingar í AD:

  • setur (e. sites).
  • netþjónar
  • setur sem hver netþjónn tengist
  • Global Catalog þjónar
  • Directory Partition sem vistuð er á hverjum þjóni
  • hlekkir milli setra (e. site links)
  • brýr fyrir hlekki á milli setra (e. site link bridges)

Þannig býr hver KCC til sýn af tvennskonar uppbyggingum, bæði innan ákveðins seturs og á milli setra. Innan seturs myndar KCC hringlaga uppbyggingu (e. ring topology) og tengir saman alla þjónana í setrinu. Til að búa svo til mynd af samskiptum á milli setra notar hver ISTG þá sýn sem hann hefur af öllum bridgehead þjónum í öllum setrum í umhverfinu.

Hægt er að halda áfram lengi með útlistun á þessari virkni, hvernig lénastjórar vita hvort upplýsingar hafi verið uppfærðar, hvaða upplýsingar flæða á hvaða tímum og fleira. Hér hefur verið farið lauslega yfir uppbyggingu á AD samstillingu og vonandi hefur samantektin vakið áhuga hjá einhverjum til að fræðast meira um þessa hluti.

Höfundur: Björn Heimir Moritz Viðarsson, Sérfræðingur, Rekstrarlausnir, Advania

Skoðað: 3340 sinnum

Blaðið Tölvumál

Forsíða Tölvumála

Leita í vefútgáfu Tölvumála

Um Tölvumál

Tölvumál - tímarit Skýrslutæknifélags Íslands er óháð tímarit um tölvutækni og hefur verið gefið út frá árinu 1976.

Vefútgáfa Tölvumála birtir vikulega nýja grein á vef Ský og árlega er gefið út veglegt prentað tímarit undir nafninu "Tölvumál" þar sem fjallað er um tölvutækni frá ýmsum sjónarhornum og er þema blaðsins jafnan valið snemma árs og útgáfa að hausti.

Ritnefnd Ský sér um að afla efni í Tölvumál og geta allir sem áhuga hafa sent inn efni.

Um ritnefnd Tölvumála