Концепция сайтов используется продуктами семейства Microsoft BackOffice для минимизации трафика в глобальной сети и основывается на том, что ее основу составляет IP-сеть, для которой надо обеспечить наилучшие условия подключений вне зависимости от используемых приложений.
Сайт Windows Server 2003 — это группа контроллеров доменов, которые находятся в единой или нескольких IP-подсетях и связаны скоростными и надежными сетевыми соединениями. Сайты в основном используются для управления трафиком репликации. Контроллеры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов в разных сайтах сжимают трафик репликации и передают его по определенному расписанию, чтобы уменьшить сетевой трафик.
Сайты не являются частью пространства имен Active Directory. Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группируются в домены и OU без ссылок на сайты.
Сайты содержат объекты только двух типов [3]:
|
|
- Контроллеры доменов в границах сайта.
- Связи сайта (site links), сконфигурированные для соединения данного сайта с остальными. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации (IP или SMTP). Объект связи сайта также инициирует выполнение запланированной репликации.
Планирование сайтов и их размещение зависит от физической топологии сети, при этом необходимо учитывать потребность в линиях связи для осуществления межсайтовой репликации по создаваемому расписанию.
Сайт с Active Directory состоит из одной или нескольких подсетей IP, которые могут быть определены администратором и изменены им путем включения новых подсетей.
Деление на сайты не зависит от доменной (логической) структуры, то есть:
- в сайте может быть один домен (либо только его часть) или несколько доменов;
- в домене (или даже в организационном подразделении) может быть несколько сайтов.
Создание сайтов, структура которых отражает физическое расположение контроллеров доменов на площадках компании, может быть реализовано по одному из следующих вариантов:
- структура с одним сайтом (единый сайт, включающий все IP-подсети);
- структура с несколькими сайтами (отдельный сайт для каждой площадки).
Особенностями сайта являются:
- оптимизация трафика тиражирования между сайтами по медленным линиям;
- помощь клиентам быстрее обнаруживать ближайшие к ним контроллеры.
Понятие сайта неразрывно связано с топологией тиражирования. Тиражирование внутри сайта и между сайтами использует различные топологии:
|
|
- Внутри сайта — это двунаправленное кольцо. Тиражирование выполняется методом вызова удаленных процедур (Remote Procedure Calls, RPC). Внутри сайта контроллер домена задерживает оповещение о сделанных изменениях на некоторый устанавливаемый промежуток времени.
- Для тиражирования между сайтами применяется RPC или сообщения. Стандартно используется механизм SMTP, однако если в сети есть Microsoft Exchange, то он также может быть задействован для тиражирования Active Directory.
Служба каталогов отслеживает целостность топологии: ни один контроллер домена не может быть исключен из процесса тиражирования, что обеспечивается отдельным контрольным процессом (Knowledge Consistency Checker, KCC), исполняемым на всех контроллерах домена — в случае нарушения топология тиражирования восстанавливается KCC.
Для поиска ближайших ресурсов или контроллеров домена клиенты могут использовать информацию о сайте. Концепция поиска ближайшего ресурса или контроллера домена позволяет сократить трафик в низкоскоростных частях глобальных сетей. В начале процесса входа в сеть клиент получает от контроллера домена имя сайта, к которому принадлежит, имя сайта, к которому относится контроллер домена, а также информацию о том, является ли данный контроллер домена ближайшим к клиенту. Если это не ближайший контроллер, то клиент может обратиться к контроллеру домена в его собственном сайте и в дальнейшем работать с ним как с ближайшим контроллером. Так как на клиенте данная информация сохраняется в реестре, она может быть использована во время следующего входа в сеть.
Для возможности управления сертификатами безопасности при многодоменной инфраструктуре (внедрение методов защиты информации), учитывающей интеграцию с другими платформами, а также для гарантированной идентификации пакетов при проведении межсайтовой репликации в структуре Active Directory планируется и создается архитектура открытых ключей (PKI).
Сервер сертификатов является важной частью архитектуры открытых ключей и позволяет издавать в компании собственные сертификаты для своих пользователей, реализуя такие возможности политик PKI, как проверка подлинности на основе сертификатов, IPSec, защищенная электронная почта и др.