Implementer Limited

Solution Design & Implementation

Active Directory 3

by nunt on 2009/08/14, no comments

ที่มา swu

Active Directory 1 | Active Directory 2 | Active Directory 3 | Active Directory 4

ทรี (Tree) และ ฟอเรสต์ (Forest)
Active Directory Database มีการจัดเก็บข้อมูลเป็นลำดับชั้น (Hierarchy) คล้ายโครงสร้างของป่าและต้นไม้ (Forest และ Tree) ดังที่ได้กล่าวไปแล้วในส่วนที่ 1 ก่อนหน้าที่ ในส่วนที่ 3 นี้จะกล่าวถึงรายละเอียดของทรี และฟอเรสต์ที่มีความสัมพันธ์กับโดเมนบนระบบ Windows Server 2003

ทรี (ต้นไม้ / Tree)
การจัดเรียงโดเมนของ Windows Server 2003 ตามโครงสร้างลำดับชั้น (Hierarchical) โดยชื่อของโดเมนจะถูกตั้งในลักษณะที่ต่อเนื่องกันเป็น Namespace เดียวกัน อยู่ภายใต้ทรีเดียวกัน เหมือนกับชื่อโดเมนอินเทอร์เน็ตของ DNS ที่มีการตั้งชื่อเป็นลำดับชั้นลงมา เช่น โครงสร้าง Active Directory ที่มีชื่อโดเมนเป็น company.com โดยมีโดเมนย่อยชื่อ bkk.company.com และ cm.company.com และสามารถมีแผนกย่อยได้อีก acc.bkk.company.com หรือ sale.bkk.company.com ด้วยเช่นกัน แสดงให้เห็นว่าเป็นโครงสร้างลำดับชั้นภายใต้ Name space เดียวกัน

ฟอเรสต์ (ป่า / Forest)
การจัดกลุ่มของทรี (โดเมน) หลายๆ ทรีเข้าไว้ด้วยกัน โดยแต่ละทรีจะมีชื่อโดเมนเป็นของตัวเอง ไม่ไปสัมพันธ์หรือเหมือนกับทรีอื่น
หากต้องการให้ทรีที่ชื่อโดเมนแตกต่างกันสามารถเชื่อมโยงถึงกันได้ สามารถทำการเชื่อมโยงกันโดยผ่าน Trust Relationship ซึ่งบน Windows Server 2003 จะเป็นความสัมพันธ์แบบ Automatic Two Way กับ Transitive

Trust Relationship ของ Windows Server 2003
เป็นการสร้างความสัมพันธ์หรือความน่าเชื่อถือระหว่างโดเมน เพื่อให้เกิดการแบ่งปันทรัพยากรและข้อมูลต่างๆ ระหว่างแต่ละโดเมน โดยยังคงใช้บัญชีรายชื่อผู้ใช้เดิมของแต่ละโดเมน เช่น โดเมน A ทำการทรัสต์ไปยังโดเมน B หมายความว่า ผู้ดูแลระบบโดเมน A อนุญาติผู้ใช้โดเมน B เข้ามาใช้ทรัพยากรของโดเมน A ได้
การทรัสต์ของ Windows NT 4.0
1. One Way Trust เช่น โดเมน A ทำการทรัสต์ไปยังโดเมน B ไม่ได้หมายความว่าโดเมน B จะทำการทรัสต์มายังโดเมน A โดยอัตโนมัติ ซึ่งผู้ดูแลระบบจะต้องสร้างทรัสต์ขึ้นมาใหม่ต่างหาก รูปแบบนี้แสดงให้เห็นว่าการสร้างทรัสต์จะเกิดขึ้น 2 ทาง คือทางไปและกลับ ซึ่งเป็นการเพิ่มทราฟฟิกในเน็ตเวิร์กด้วยเช่นกัน สูตรการคำนวณจำนวนทรัสต์คือ n*(n-1) เช่นมี 5 โดเมนจำนวนการทรัสต์จะเท่ากับ 5*(5-1) = 20 ทรัสต์
2. Non-transitive Trust เช่น โดเมน A ทำการทรัสต์ไปยังโดเมน B และโดเมน B ทำการทรัสต์ไปยังโดเมน C ด้วย ผู้ดูแลระบบไม่สามารถสรุปได้ว่า โดเมน A ได้ทรัสต์ไปยังโดเมน C ด้วย ถ้าหากต้องการให้ A สัมพันธ์กับ C จะต้องสร้างทรัสต์จากโดเมน A ไปยังโดเมน C ด้วยเช่นกัน
การทรัสต์ของ Windows Server 2000 และ 2003
1. Automatic Two Way เช่น โดเมน A ทำการทรัสต์ไปยังโดเมน B สามารถสรุปได้ว่า โดเมน B ได้ทำการทรัสต์กลับมาโดเมน A แบบอัตโนมัติแล้ว และจำนวนทรัสต์จะมีเพียง 1 ทรัสต์เท่านั้น สูตรการคำนวณจำนวนทรัสต์คือ n-1 เช่นมี 5 โดเมนจำนวนการทรัสต์จะเท่ากับ 5-1 = 4 ทรัสต์
2. Automatic Transitive เช่น โดเมน A ทำการทรัสต์ไปยังโดเมน B และโดเมน B ทำการทรัสต์ไปยังโดเมน C ด้วย สามารถสรุปได้ว่า โดเมน A ได้ทรัสต์ไปยังโดเมน C แบบอัตโนมัติแล้ว และโดเมมน C ได้ทำการทรัสต์มายังโดเมน A แบบอัตโนมัติด้วยเช่นกัน

ad_fore_tree

รูปภาพ: ทรี(Trees) และฟอเรสต์ (Forests)

การเรพลิเคชัน (Replication) บน Windows Server 2003
เนื่องจาก Active Directory Database ที่จัดเก็บอยู่บนเซิร์ฟเวอร์โดเมนคอนโทรลเลอร์เป็นฐานข้อมูลที่มีความสำคัญ ที่สุดต่อระบบโดเมนของระบบ Windows Server 2003 ไมโครซอฟต์จึงออกแบบให้ใน 1 โดเมนสามารถมีเครื่องโดเมนคอนโทรลเลอร์ได้มากกว่า 1 ตัว โดยที่ทุกๆ ตัวจะจัดเก็บ Active Directory Database ที่เหมือนกันไว้ เพราะหากโดเมนคอนโทรลเลอร์ตัวใดตัวหนึ่งเกิดปัญหาขึ้น ตัวอื่นๆ ที่เหลืออยู่ก็สามารถให้บริการ Active Directory Database ต่อไปได้ เรียกว่า “Fault Tolerance” ช่วยให้ระบบสามารถทำงานต่อไปได้อย่างไม่หยุดชะงัก
การที่จะทำให้ Active Directory Database ที่เก็บไว้แต่ละโดเมนคอนโทรลเลอร์ในโดเมนมีข้อมูลเหมือนหรือตรงกันตลอดเวลา นั้น โดเมนคอนโทรลเลอร์ทุกตัวต้องมีการแลกเปลี่ยนหรืออัพเดตข้อมูลระหว่างโดเมน คอนโทรลเลอร์ด้วยกันเป็นระยะ กระบวนการอัพเดตข้อมูลนี้เรียกว่า การเรพลิเคชัน (Replication) ระหว่างโดเมนคอนโทรลเลอร์

การเรพลิเคชันแบบ Multi Master
การอัพเดต Active Directory Database ของทุกโดเมนคอนโทรลเลอร์บนโดเมนเดียวกันผู้ดูแลระบบสามารถจะอัพเดตข้อมูลที่ เครื่องโดเมนคอนโทรลเลอร์เครื่องไหนก็ได้ เพราะโดเมนคอนโทรลเลอร์ที่ถูกอัพเดตข้อมูลจะทำการเรพลิเคตข้อมูลที่ปรับปรุง ใหม่ล่าสุดไปให้กับโดเมนคอนโทรลเลอร์ที่เหลือทั้งหมดในโดเมนเดียวกัน เพราะโดเมนคอนโทรลเลอร์ทุกตัวมีสิทธิเท่าเทียมกันและฐานข้อมูล Active Directory Database เป็นชุดที่สามารถอ่านและเขียนได้ (Read/Write) ดังนั้น Windows Server 2003 (รวมถึงเวอร์ชั่น 2000 ด้วย) จะเรียกเซิร์ฟเวอร์ทุกตัวว่า “โดเมนคอนโทรลเลอร์” เหมือนกันหมด นั่นคือความหมายของคำว่า Muti Master คือทุกตัวเป็น Master เท่าเทียมกันหมด (ไม่มีการแบ่งแยกเหมือน Windows NT 4.0 ที่มี Primary Domain Controller (PDC) และ Backup Domain Controller (BDC)

ไซต์ (Site)
ไซต์เป็นการจัดการด้าน IP Subnet ทั้งหมดของโดเมนที่เชื่อมต่อกันด้วยเน็ตเวิร์กความเร็วสูง การกำหนดไซต์จะช่วยให้ผู้ดูแลระบบสามารถกำหนดการเรพลิเคตระหว่างเครื่องโด เมนคอนโทรลเลอร์ได้ วัตถุประสงค์ของการจัดตั้งไซต์คือ

1. ช่วยออฟติไมซ์ (Optimize) เน็ตเวิร์กทราฟฟิกที่เกิดจากการเรพลิเคต Active directory Database ระหว่างโดเมนคอนโทรลเลอร์
2. การจัดการไซต์จะช่วยให้กระบวนการล็อกออนและการใช้บริการต่างๆ ของโดเมนคอนโทรลเลอร์ทำได้รวดเร็วขึ้น

ไซต์จะเป็นตัวบอกถึงการเชื่อมต่อทางกายภายของเน็ตเวิร์กภายในองค์กร ขณะที่ Domain และ OU จะสะท้อนให้เห็นถึงโครงสร้างเชิงลอจิคอลของการจัดการทรัพยากรภายในโดเมน โครงสร้างทางกายภายและลอจิคอลเหล่านี้เป็นอิสระจากกัน ซึ่งผู้ดูแลระบบสามารถกำหนดให้มีหลายๆ โดเมนอยู่ภายในไซต์เดียวกันได้ หรือกำหนดให้ใน 1 โดเมนถูกแบ่งออกเป็นหลายๆ ไซต์ได้ด้วยเช่นกัน และซื่อของไซต์จะไม่มีส่วนสัมพันธ์หรือมีผลต่อการออกแบบชื่อโดเมน (Domain Namespace)


บทความที่ใกล้เคียง:

  1. Active Directory 4
  2. Active Directory 2
  3. Active Directory 1
  4. Windows Server Update Services (WSUS)

ใส่ความเห็น

อีเมล์ของคุณจะไม่แสดงให้คนอื่นเห็น

CAPTCHA Image

*

คุณอาจจะใช้ป้ายกำกับและคุณสมบัติHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>