Domenski kontroleri su zaduženi za autentifikaciju korisnika, procesiranje sigurnosnih domenskih polisa i održavanje i replikaciju baze aktivnog direktorijuma.
Prvi razlog postavljanja domenskog kontrolera na određenom sajtu je smanjenje mrežnog saobraćaja putem širokopojasnih veza. Taj saobraćaj nastaje kada korisnici kontaktiraju domenski kontroler zbog autentifikacije i saobraćaj koji nastaje kao rezultat replikacije. Važan deo dizajna plana sajtova predstavlja planiranje postavke domenskih kontrolera. Plan treba da odredi tri važne stvari:
- Da li određena lokacija ima potrebu za domenskim kontrolerom
- Koji broj domenskih kontrolera je potreban na određenoj lokaciji
- Gde će biti postavljen korenski domenski kontroler šume domena
Prvi korak u izradi plana domenskih kontrolera na računarskoj mreži je odrediti gde sve bi trebalo da bude postavljen domenski kontroler. Postoji tendencija za postavljanje što manjeg broja domenskih kontrolera, uz pretpostavku da će manje domenskih kontrolera zahtevati manje angažovanja za njihovim upravljanjem. Sa druge strane, postoji i tendencija za postavljanje domenskih kontrolera na svakoj zasebnoj lokaciji uz pretpostavku da je to neophodno. Obe pretpostavke mogu da budu tačne, ali ne u svakom slučaju.
Domenski kontroler sa ulogom globalnog kataloga služi za sprovođenje korisničkih zahteva za autentifikacijom i pretraživanje objekata unutar šume domena.
Da bi se donela ispravna odluka o tome gde postaviti globalni katalog, potrebno je da se razume njegov način funkcionisanja i to razumevanje iskoristi za dizajn aktivnog direktorijuma.
Kada korisnik pokrene proces autentifikacije ili pokuša pristup određenom mrežnom resursu iz bilo kog dela šume domena, globalni katalog se konsultuje da razreši takav zahtev. Bez globalnog kataloga bilo bi potrebno da se taj proces obradi na svim domenskim kontrolerima šume domena, dok se ne razreši zahtev. Ova funkcija domenskog kontrolera nema svrhu u slučaju da se aktivni direktorijum zasniva na samo jednom domenu, jer svi domenski kontroleri iz jednog domena imaju informacije o objektima i resursima iz svog domena. Međutim, u slučaju više domena ova funkcionalnost globalnog kataloga je od esencijalnog značaja.
Windows 2003 Server uključuje funkcionalnost koja se zove keširanje članstva u univerzalnim grupama. Kada je ova funkcionalnost uključena na određenom sajtu, domenski kontroler na tom sajtu za vreme procesa autentifikacije pamti i čuva informacije o članstvu korisnika u univerzalnim grupama. Te informacije domenski kontroler ažurira kontaktiranjem globalnog kataloga u podešenom intervalu vremena. Kada je ova funkcionalnost uključena domenski kontroler može izvršiti autentifikaciju bez kontaktiranja globalnog kataloga, što je korisno za sajtove sa malim brojem računara gde bi postavljanje globalnog kataloga izazvalo nepotreban mrežni saobraćaj za potrebe replikacije.
Prvi domenski kontroler koji se instalira u šumi domena podrazumevano postaje globalni katalog. Za razliku od uloga operacionih mastera, uloga globalnog kataloga se može definisati na više domenskih kontrolera. Postavljanje prikladnog broja globalnih kataloga osigurava odgovor korisnicima na zahtev autentifikacije u razumno kratkom vremenu.
Preporuka Microsofta je da globalni katalog bude postavljen na svakom sajtu.
Postavljanje adekvatnog broja globalnih kataloga na svakoj lokaciji obezbeđuje nesmetano i brzo prijavljivanje korisnika i autentifikaciju ili pretražuju objekte aktivnog direktorijuma.
Smernice koje pomažu u odluci gde i koliko globalnih kataloga postaviti su sledeće:
- Ako se šuma domena sastoji samo iz jednog domena, čemu bi trebalo težiti kad god je to moguće, onda je preporučljivo da se svi domenski kontroleri dizajniraju kao globalni katalozi jer ne postoji dodatni mrežni saobraćaj za njihovu replikaciju (svi globalni katalozi već poseduju sve informacije o objektima unutar domena).
- Ako veliki broj roming korisnika posećuje određeni sajt, potrebno je postaviti bar jedan globalni katalog na tom sajtu.
- Ako na sajtu figurira manje od sto korisnika, umesto globalnog kataloga dovoljno je uključiti funkcionalnost keširanja članstva u univerzalnim grupama.
- Ako na sajtu postoji dva ili više domenskih kontrolera, preporučljivo je postaviti bar dva globalna kataloga.
- Postoje zadaci koji mogu biti obavljeni samo na posebnim domenskim kontrolerima. Takvi domenski kontroleri imaju uloge tzv. operacionih mastera. Dužnosti operacionih mastera su uvek specifične i odnose se ili na domen ili na šumu domena, i nije dozvoljeno da se ove dužnosti obavljaju na više domenskih kontrolera.
- Prve tri uloge koje se odnose na domenski nivo se automatski dodeljuju prvom instaliranom domenskom kontroleru u domenu. Kada god je to moguće, preporučljivo je da se sve tri uloge postave na jednom istom domenskom kontroleru, odnosno da se ostave na prvom domenskom kontroleru gde su automatski dodeljene. Ovako se pojednostavljuje administracija i samo je potrebno biti siguran da taj server nije globalni katalog i, ako jeste, da li su svi domenski kontroleri u domenu ujedno i globalni katalozi.
- Ako u domenu postoji više sajtova, domenski kontroler sa ovim ulogama trebalo bi postaviti na onom sajtu gde postoji najviše korisnika.
Slika 1. Uloge koje se odnose na domen
Uloge koje se odnose na domen su:
- PDC Emulator - koji je odgovoran za emuliranje Windows NT 4 Primarnog domenskog kontrolera za klijente koji nisu obavili migraciju na Windows 2003 Server, dakle služi za autentifikaciju legalnih klijenata ali kontaktira se i u slučajevima kada se korisnik neuspešno autentifikuje.
- RID master - odgovoran za relativne identifikatore pridružene svim domenskim kontrolerima u domenu. Sigurnosni identifikator (SID) je jedinstveni identifikator za svaki objekat u domenu. SID se sastoji iz dva dela. Prvi deo je zajednički za sve objekte u domenu, njemu se dodaje relativni identifikator (RID) i na taj način formira jedinstveni sigurnosni identifikator za svaki objekat u domenu.
- Infrastructure master - je domenski kontroler koji beleži promene koje se tiču objekata u domenu, a dalje se te promene repliciraju drugim domenskim kontrolerima. Domenski kontroler sa ovom ulogom bavi se grupama i članstvom u grupama svih objekata. Trebalo bi izbegavati postavljanje ove uloge na domenski kontroler koji je globalni katalog, osim ako svi domenski kontroleri u domenu nisu globalni katalozi. Ovo je zbog toga što uloga mastera infrastrukture ne može da funkcioniše ako na njemu postoje reference za objekte koji nisu u tom domenu.
Kada se planira postavljanje uloga operacionih mastera na nivou domena trebalo bi se pridržavati sledećih smernica:
- postaviti sve tri uloge operacionih mastera na jednom domenskom kontroleru da bi se pojednostavila administracija.
- Postaviti domenski kontroler kome su dodeljene tri uloge operacionih mastera na sajtu na kome se nalazi najveći broj korisnika.
- Uvek imati spreman domenski kontroler na istom sajtu kome se mogu brzo dodeliti ove uloge u slučaju potrebe.
- Ostaviti sve tri uloge na prvom instaliranom domenskom kontroleru i proveriti da taj domenski kontroler nije konfigurisan kao globalni katalog, i to samo u slučaju da postoji bar jedan domenski kontroler koji nije globalni katalog.
- Prvi domenski kontroler u šumi domena nosi ulogu šema mastera i odgovoran je za održavanje i distribuciju šeme ostatku šume domena. On čuva listu svih mogućih klasa i atributa koji definišu objekte aktivnog direktorijuma. Modifikaciju šeme mogu obavljati samo administratori koji su članovi grupe administartora šeme (Schema Admins Group). Ako je potrebno modifikovati šemu a domenski kontroler sa ovom ulogom nije dostupan, uloga se može prebaciti na drugi dostupni domenski kontroler.
- Domain Naming Master je domenski kontroler koji čuva podatke o dodavanju i brisanju domena unutar šume domena. Ova uloga je bitna sa gledišta očuvanja integriteta domena. Kada se dodaje novi domen kontaktira se domenski kontroler sa ovom ulogom. U slučaju da je ovaj domenski kontroler nedostupan, nije moguće dodati domen u postojećoj šumi domena, ali se u tom slučaju ova uloga može prebaciti na drugi dostupni domenski kontroler.
- Ove dve uloge se automatski dodeljuju prvom instaliranom domenskom kontroleru u šumi domena.
Slika 2. Uloge koje se odnose na šumu domena
Slika 3. Smernice za uloge na nivou šume domena
Kada se planira postavljanje uloga operacionih mastera na nivou šume domena trebalo bi se pridržavati sledećih smernica:
- U šumi domena sa jednim domenom ili više domena u kome su svi domenski kontroleri u korenskom domenu ujedno i globalni katalozi, trebalo bi ostaviti sve automatski dodeljene uloge na prvom instaliranom domenskom kontroleru. Uz to bi trebalo imati pripremljen drugi domenski kontroler koji može brzo prihvatiti transfer ovih uloga po potrebi.
- U šumi domena u kome u korenskom domenu nisu svi domenski kontroleri i globalni katalozi ove uloge trebalo bi postaviti na takav domenski kontroler koji nije konfigurisan kao globalni katalog. Pored ovog domenskog kontrolera, trebalo bi imati pripremljen treći domenski kontroler koji može brzo prihvatiti transfer ovih uloga po potrebi.