[ Pobierz całość w formacie PDF ]
.Znaczy to, iż zamiast ograniczenia do pojedynczego serwera podstawowego, strefa zintegrowana z Active Directory pozwala na posiadanie serwerów podstawowych we wszystkich kontrolerach domeny! Wobec tego opcja integracji strefy z Active Directory nie tylko redukuje obciążenie pracą administracyjną (ponieważ nie trzeba ręcznie definiować każdej strefy w każdym serwerze DNS), lecz również oszczędza zachodu z projektowaniem, wdrażaniem i zarządzaniem topologią replikacji DNS.Ponadto oszczędza się w pewnym stopniu przepustowość łącza (ponieważ rekordy DNS są aktualizowane w lokalnym serwerze DNS oraz innych serwerach w ramach nieuniknionych replikacji Active Directory).Dodatkowo, bezpieczeństwo otaczające rekordy DDNS-u może być podniesione do dowolnego poziomu uznanego za stosowny, przy niewielkim obciążeniu administracyjnym.Jest to spowodowane tym, iż każdy obiekt Active Directory (łącznie z rekordami DNS przeniesionymi do Active Directory) jest chroniony przez listę kontroli dostępu (ACL — Access Control List), która pozwala administratorom na ustawianie właściwości zabezpieczeń w dowolny sposób, jaki uznają za stosowny.Nie ma przy tym naprawdę żadnych bezpośrednich ujemnych stron wykorzystania funkcji integracji strefy z Active Directory, ponieważ serwery DNS działające z wykorzystaniem kontrolerów domen Active Directory dla innych serwerów DNS sprawiają wrażenie podstawowych serwerów nazw.Dzięki temu, można swobodnie definiować pożądane serwery wtórne w serwerach DNS, które nie korzystają z DC Active Directory.Uwaga na pułapki w domenachNależy przyłożyć dużą wagę do zrozumienia, iż strefa zintegrowana z Active Directory może być jedynie częścią domeny Active Directory.I tak funkcja ta nie rozwiązuje wszystkich problemów, jeśli dysponujemy domenami DNS rozciągającymi się na więcej domen Active Directory.Nie znaczy to jednak, iż w takim scenariuszu nie da się zastosować stref zintegrowanych z Active Directory.W istocie, mogą się one okazać równie zdatne do zastosowania w tym scenariuszu, ponieważ zazwyczaj okazuje się, że większość aktualizacji pochodzi z jednej z domen Active Directory.W takim przypadku nie należy się zastanawiać, lecz załączyć integrację z Active Directory dla tejże domeny, a następnie zdefiniować wtórne serwery nazw dla strefy w odpowiednich serwerach DNS innych domen Active Directory.Głupie, głupsze, Zdarzenie 4011Podczas gdy serwer DNS zintegrowany z Active Directory w wielu przypadkach istotnie czyni cuda, zarazem zawiera jeden gigantyczny błąd o którym trzeba wiedzieć.Ten błąd konstrukcyjny (znany również jako Zdarzenie 4011) posiada bardzo niewdzięczne konsekwencje — serwer DNS nie jest w stanie dodać lub zaktualizować rekordów _ldap, _gc i (lub) gc w strefie DNS zintegrowanej z Active Directory w lokalnym serwerze.Ten dość żywotny błąd konstrukcyjny ze strony Microsoftu daje o sobie znać tylko jeśli spełnione są wszystkie poniższe warunki:lSerwer jest rejestrowany w strefie DNS zintegrowanej z Active Directory, używającej dynamicznego DNS-u.llSerwer zawiera wykaz globalny oraz serwer DNSllKonfiguracja sieci wskazuje na lokalny serwer jako preferowany serwer DNS.lDlaczego tak jest? Cóż, w istocie przyczyna jest całkiem prosta: kolejność uruchamiania usług.Jeśli serwer gra rolę wykazu globalnego (GC), niektóre usługi wymagające rejestracji w DNS-ie uruchamiają się, zanim lokalny serwer DNS zintegrowany z Active Directory będzie gotów przyjmować rejestracje.Wobec tego, zagrożenia właściwie nie ma, jeśli można w środowisku uniknąć chociażby jednego z powyższych warunków.Jednakże, jeśli nie da się uniknąć żadnego z nich, robi się naprawdę ciasno.Niestety istnieje kilka okoliczności, w których czytelnik może stanąć w twarz z tym problemem.Napotykałem go najczęściej podczas projektowania małych lokacji, które proszą się o pojedynczy serwer, lecz przepustowość łączy sieci rozległej jest tak niedostateczna (lub zawodna), że wszelką łączność trzeba utrzymać na bezwzględnie najniższym poziomie.W takich przypadkach trzeba zgodzić się na zapychanie dziennika zdarzeń wpisami Zdarzenie 4011 i przyjąć dość ryzykowne założenie, iż nie stworzy to problemów z funkcjonalnością sieci (czego autor nigdy nie zrobiłby w ustawieniach produkcyjnych, z powodu zasłyszanych z różnych źródeł pogłosek o użytkownikach, którzy nie byli w stanie się zarejestrować!); w przeciwnym razie należy zrezygnować z całego wspaniałego projektu [ Pobierz całość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl milosnikstop.keep.pl
.Znaczy to, iż zamiast ograniczenia do pojedynczego serwera podstawowego, strefa zintegrowana z Active Directory pozwala na posiadanie serwerów podstawowych we wszystkich kontrolerach domeny! Wobec tego opcja integracji strefy z Active Directory nie tylko redukuje obciążenie pracą administracyjną (ponieważ nie trzeba ręcznie definiować każdej strefy w każdym serwerze DNS), lecz również oszczędza zachodu z projektowaniem, wdrażaniem i zarządzaniem topologią replikacji DNS.Ponadto oszczędza się w pewnym stopniu przepustowość łącza (ponieważ rekordy DNS są aktualizowane w lokalnym serwerze DNS oraz innych serwerach w ramach nieuniknionych replikacji Active Directory).Dodatkowo, bezpieczeństwo otaczające rekordy DDNS-u może być podniesione do dowolnego poziomu uznanego za stosowny, przy niewielkim obciążeniu administracyjnym.Jest to spowodowane tym, iż każdy obiekt Active Directory (łącznie z rekordami DNS przeniesionymi do Active Directory) jest chroniony przez listę kontroli dostępu (ACL — Access Control List), która pozwala administratorom na ustawianie właściwości zabezpieczeń w dowolny sposób, jaki uznają za stosowny.Nie ma przy tym naprawdę żadnych bezpośrednich ujemnych stron wykorzystania funkcji integracji strefy z Active Directory, ponieważ serwery DNS działające z wykorzystaniem kontrolerów domen Active Directory dla innych serwerów DNS sprawiają wrażenie podstawowych serwerów nazw.Dzięki temu, można swobodnie definiować pożądane serwery wtórne w serwerach DNS, które nie korzystają z DC Active Directory.Uwaga na pułapki w domenachNależy przyłożyć dużą wagę do zrozumienia, iż strefa zintegrowana z Active Directory może być jedynie częścią domeny Active Directory.I tak funkcja ta nie rozwiązuje wszystkich problemów, jeśli dysponujemy domenami DNS rozciągającymi się na więcej domen Active Directory.Nie znaczy to jednak, iż w takim scenariuszu nie da się zastosować stref zintegrowanych z Active Directory.W istocie, mogą się one okazać równie zdatne do zastosowania w tym scenariuszu, ponieważ zazwyczaj okazuje się, że większość aktualizacji pochodzi z jednej z domen Active Directory.W takim przypadku nie należy się zastanawiać, lecz załączyć integrację z Active Directory dla tejże domeny, a następnie zdefiniować wtórne serwery nazw dla strefy w odpowiednich serwerach DNS innych domen Active Directory.Głupie, głupsze, Zdarzenie 4011Podczas gdy serwer DNS zintegrowany z Active Directory w wielu przypadkach istotnie czyni cuda, zarazem zawiera jeden gigantyczny błąd o którym trzeba wiedzieć.Ten błąd konstrukcyjny (znany również jako Zdarzenie 4011) posiada bardzo niewdzięczne konsekwencje — serwer DNS nie jest w stanie dodać lub zaktualizować rekordów _ldap, _gc i (lub) gc w strefie DNS zintegrowanej z Active Directory w lokalnym serwerze.Ten dość żywotny błąd konstrukcyjny ze strony Microsoftu daje o sobie znać tylko jeśli spełnione są wszystkie poniższe warunki:lSerwer jest rejestrowany w strefie DNS zintegrowanej z Active Directory, używającej dynamicznego DNS-u.llSerwer zawiera wykaz globalny oraz serwer DNSllKonfiguracja sieci wskazuje na lokalny serwer jako preferowany serwer DNS.lDlaczego tak jest? Cóż, w istocie przyczyna jest całkiem prosta: kolejność uruchamiania usług.Jeśli serwer gra rolę wykazu globalnego (GC), niektóre usługi wymagające rejestracji w DNS-ie uruchamiają się, zanim lokalny serwer DNS zintegrowany z Active Directory będzie gotów przyjmować rejestracje.Wobec tego, zagrożenia właściwie nie ma, jeśli można w środowisku uniknąć chociażby jednego z powyższych warunków.Jednakże, jeśli nie da się uniknąć żadnego z nich, robi się naprawdę ciasno.Niestety istnieje kilka okoliczności, w których czytelnik może stanąć w twarz z tym problemem.Napotykałem go najczęściej podczas projektowania małych lokacji, które proszą się o pojedynczy serwer, lecz przepustowość łączy sieci rozległej jest tak niedostateczna (lub zawodna), że wszelką łączność trzeba utrzymać na bezwzględnie najniższym poziomie.W takich przypadkach trzeba zgodzić się na zapychanie dziennika zdarzeń wpisami Zdarzenie 4011 i przyjąć dość ryzykowne założenie, iż nie stworzy to problemów z funkcjonalnością sieci (czego autor nigdy nie zrobiłby w ustawieniach produkcyjnych, z powodu zasłyszanych z różnych źródeł pogłosek o użytkownikach, którzy nie byli w stanie się zarejestrować!); w przeciwnym razie należy zrezygnować z całego wspaniałego projektu [ Pobierz całość w formacie PDF ]