Orazio Battaglia
Active Directory è una base di dati distribuita che modella il mondo reale della organizzazione. Definisce gli utenti, i computer le unità organizzative che costituiscono l organizzazione. I domini sono insiemi di oggetti confinati all interno di un ambito amministrativo. Prevedono oggetti (utenti, computer, unità organizzative) per quell ambito e amministratori per quell ambito. I domain controller (multimaster) contengono l intera partizione del dominio di appartenenza. Contengono cioè tutte le informazioni del loro dominio. Contengono inoltre le informazioni (partizioni) della Configurazione e dello Schema della Foresta. 2 Tecnico di Reti Informatiche, modulo 2
Il database di Active Directory non ha una struttura monolitica ma è organizzato in partizioni che identificano strutture gerarchiche di oggetti, ciascuna delle quali costituisce un'unità di replicazione indipendente. Le partizioni Active Directory possono essere di tipo generale oppure di tipo applicativo (Active Directory Partition ADP). Le partizioni generali possono essere di tre specie: Schema Partition. Contiene la definizioni degli oggetti (attributi e classi) utilizzabili in Active Directory (user, group, computer, organizational unit, etc...) e delle regole di utilizzo. Esiste una sola Schema Partition per ciascuna foresta. Configuration Partition. Contiene informazioni generali sulla struttura e la composizione di una foresta (site, subnet, partizioni che compongono la foresta, dc, etc...). Esiste una sola Configuration Partition per ciascuna foresta. Domain Partition. Contiene informazioni sugli oggetti creati in ogni dominio (user, group, computer, organizational unit, etc...). Esiste una sola Domain Partition per ogni dominio appartenente alla stessa foresta. Le informazioni della Schema Partition e della Configuration Partition sono comuni a tutti i domini della foresta e quindi verranno replicate a tutti i DC della foresta, mentre le informazioni della Domain Partition sono private del dominio e quindi verranno replicate solo ai DC dello stesso dominio. 3 Tecnico di Reti Informatiche, modulo 2
Le partizioni applicative possono essere di due specie: ADP builtin. Sono quelle dedicate al DNS (DomainDnsZones e ForestDnsZones) create automaticamente all'atto della creazione del dominio, nel caso si scelga di installare e configurare il serviziodns dal wizard Dcpromo. ADP custom o personalizzate. Possono essere create manualmente per ospitare informazioni riguardanti applicazioni integrate in Active Directory 4 Tecnico di Reti Informatiche, modulo 2
La replica consiste nella sincronizzazione dell intera partizione del dominio tra i domain controller dello stesso dominio e delle partizioni (Configurazione e Schema) della Foresta tra tutti i domain controller. La replica avviene a livello di singolo attributo di un oggetto. Componenti della replica: DNS. The Domain Name System (DNS) that resolves DNS names to IP addresses. Active Directory requires that DNS is properly designed and deployed so that domain controllers can correctly resolve DNS names of replication partners. Remote procedure call (RPC). Active Directory replication requires IP connectivity and the Remote Procedure Call (RPC) to transfer updates between replication partners. Kerberos v5 authentication. The authentication protocol for both authentication and encryption that is required for all Active Directory RPC replication. LDAP protocol. The primary access protocol for Active Directory. Replication of an entire replica of an Active Directory domain, as occurs when Active Directory is installed on an additional domain controller in an existing domain, uses LDAP communication rather than RPC. 5 Tecnico di Reti Informatiche, modulo 2
Diagramma del processo di replica 6 Tecnico di Reti Informatiche, modulo 2
Il processo di replica riguarda i domain controller di tutti i domini ma nel processo di replica intervengono i Siti e la loro configurazione. La definizione dei Siti è il meccanismo con il quale Active Directory costruisce le sue politiche di replica della base di dati distribuita. In Active Directory: I Domini rappresentano la struttura logica dell organizzazione I Siti rappresentano la struttura fisica dell organizzazione I Siti sono locazioni fisiche dell organizzazione. Tipicamente sono LAN dell organizzazione che hanno la necessità di dialogare con altre LAN attraversando delle WAN. 7 Tecnico di Reti Informatiche, modulo 2
«Active Directory Sites and Services» permette di configurare i Siti Un Sito è una locazione fisica dell organizzazione Un Sito contiene una o più Subnet, che sono range di indirizzi IP usati presso la locazione fisica Active Directory usa i Siti per: Ottimizzare i processi di replica tra i domain controller Trovare il domain controller più vicino per il logon di un client Indicare ad un client DFS (Distributed File System) il server che ospita i dati richiesti Replicare sui domain controller il volume di sistema (SYSVOL) che contiene cartelle e file per l implementazione delle Group Policy 8 Tecnico di Reti Informatiche, modulo 2
Per le repliche intervengono: Knowledge Consistency Checker (KCC) I Siti e la loro configurazione Il Knowledge Consistency Checker (KCC) è in esecuzione su ogni domain controller e: Costruisce una topologia di replica ad anello intrasito Costruisce, in base alla configurazione dei Siti, uno spanning tree di replica intersito che sia il più efficiente possibile. Nella configurazione dei Siti è possibile definire i percorsi tra i Siti e i relativi pesi in modo da indirizzare l algoritmo verso i percorsi migliori. 9 Tecnico di Reti Informatiche, modulo 2
Replica intrasito e intersito 10 Tecnico di Reti Informatiche, modulo 2
Definiamo due tipi di replica: Replica intrasito (tra domain controller nello stesso sito) Replica intersito (tra domain controller su siti diversi) La replica intrasito avviene all interno di un segmento di rete veloce, tipicamente una LAN. Nella replica intrasito la frequenza di scambio delle informazioni tra domain controller è elevata e il traffico di replica non viene compresso. La topologia di replica è ad anello. E ottimizzata per la velocità. La replica intersito avviene su reti con latenza più alta. Tipicamente tra LAN connesse in WAN. Nella replica intersito la frequenza di replica di default è di 180 minuti (3 ore). Il traffico di replica viene compresso. La topologia di rete è uno spanning tree. Due siti sono connessi da un solo percorso per volta tra un domain controller (bridgehead) del primo sito ed uno del secondo. E ottimizzata per il minimo uso di banda (costo). 11 Tecnico di Reti Informatiche, modulo 2