Командная строка Windows 2003

ОГЛАВЛЕНИЕ

 

Resource Kit

В отличие от пакета Support Tools, пакет инструментов Resource Kit на носителе с файлами установки операционной системы отсутствует. Хотя эти утилиты менее важны, чем утилиты, входящие в состав операционной системы и инструменты Support Tools, многие из них весьма полезны и также рекомендуются для установки на каждом сервере.

ADLB. Утилита балансировки нагрузки для службы каталога из состава Resource Kit, Active Directory Load Balancing (ADLB), появилась вместе с Windows 2003. Ее выпуск обусловлен реализацией новых возможностей в этой версии операционной системы. В Windows 2000 в качестве сервера-моста выделялся только один из контроллеров домена сайта, который обеспечивал соединения объектов внутри сайта и с сайтами, с которыми он должен быть соединен по решению диспетчера проверки целостности Knowledge Consistency Checker (KCC). Если в компании достаточно много сайтов, то такая ситуация может вызвать проблемы с масштабированием. С увеличением числа обслуживаемых сервером-мостом офисов филиалов может увеличиться нагрузка на этот контроллер домена, что в свою очередь может привести к его отказу. В Windows 2003 эта проблема решена путем разрешения всем контроллерам домена сайта становиться серверами-мостами для того раздела службы каталога, который они обслуживают. Поэтому работа объектов соединений обеспечивается несколькими контроллерами домена. Операционная система на начальном этапе проводит случайный выбор серверов на эту роль, но, к сожалению, не оптимизирует распределение нагрузки на них. Поэтому если конфигурация контроллеров домена в сайте изменилась (например, в сайт добавлен новый, более мощный контроллер домена), на распределении объектов межсайтовых соединений это никак не отразится. При помощи ADLB можно проверить и провести балансировку нагрузки путем оптимизации распределения внутрисайтовых соединений среди контроллеров домена сайта. Перед тем как использовать ADLB, необходимо закончить обновление контроллеров домена до уровня Windows 2003. Поскольку утилита будет взаимодействовать со всеми контроллерами домена, ADLB не производит балансировку нагрузки на контроллерах с Windows 2000.

Проще всего запустить ADLB с ключом /server:DcName) /site:SiteName. В этом случае команда выведет отчет об объектах соединений для выбранного сайта и выполнит необходимые изменения. Сервер, который был задан, должен быть одним из контроллеров домена леса. Нужно иметь в виду, что ADLB будет производить изменения в конфигурации сайта и его серверов-мостов только тогда, когда вы используете параметр /commit. Все операции, предлагаемые утилитой ADLB (за исключением ключа /commit), не требуют повышенных привилегий, что упрощает исследования загрузки серверов-мостов.

Для некоторой оптимизации результатов балансировки можно использовать ключ /stagger. Этот параметр позволяет ADLB управлять расписанием межсайтовой репликации и изменять интервалы репликации между объектами соединений, расположенными на сервере-мосте. Эта возможность распределяет пики репликации объектов соединений и предотвращает перегрузку сервера-моста единовременной репликацией объектов. Однажды применив ADLB для настройки интервалов репликации вместо KCC, вы наверняка и в дальнейшем будете пользоваться этой утилитой для настройки репликации.

ADLB для работы необходим некий набор правил. При необходимости все эти правила можно изменить. Ключ /maxbridge определяет максимальное число объектов соединений, которые Active Directory будет изменять одновременно в процессе балансировки нагрузки серверов-мостов. Параметр /maxperserver определяет максимальное число изменений, посылаемых на контроллер домена одновременно. Этот ключ помогает предотвратить перегрузку сервера, вызванную резким увеличением количества объектов соединений. Можно создавать отчеты (только в новых версиях) с /preimbalance (до балансировки) и /postimbalance (после балансировки) для оценки загруженности до проведения балансировки и после нее. Отчеты создаются в формате разделения запятыми CSV и легко импортируются в Microsoft Excel.

ADLB может стать мощным инструментом для реализации технологии репликации. Применение этого инструмента требует тщательного тестирования перед его использованием в реальной среде. Я рекомендую начать проверку с самого большого сайта (т. е. сайта, где имеется максимальное число контроллеров домена), поскольку контроллеры домена с наибольшей вероятностью загружены неравномерно. Если обнаружилась неравномерность распределения объектов соединений, не следует думать, что это сразу надо исправлять. Нужно провести анализ производительности на сервере-мосте, имеющем наибольшее число объектов соединений. Он действительно перегружен? Если нет, то лучше оставить его (и сайт) в покое. Отложите планирование и балансировку загрузки до того момента, когда она действительно понадобится. Зачем выполнять автоматические операции вручную, если для этого нет особых причин?

Если же применить ADLB для корректировки распределения объектов соединений действительно необходимо, нужно запустить утилиту по расписанию для анализа имеющегося окружения. Если конфигурация сайта активно изменяется установкой новых контроллеров домена, добавлением и изменением связей сайтов, созданием новых сайтов и т. п, то следует запускать ADLIB два раза в день. Когда все изменения будут внесены, ADLIB можно не использовать.

GPOTool. Возможно, при работе с групповыми политиками кто-то использует только утилиты с графическим интерфейсом. Тем не менее существует несколько утилит командной строки для работы с групповыми политиками. Утилита из состава Resource Kit, GPOTool, проверяет работоспособность и целостность групповых политик. Она считывает обязательные дополнительные свойства объектов из служб Active Directory (такие, как версия, дружественное имя, GUID и данные Sysvol), сравнивает номера версий в службе каталога и номера версий на Sysvol и выполняет проверку целостности.

Читайте также:
  • Аутентификация клиентов Linux с помощью Active Directory
    Начиная с Windows 2000, корпорация Майкрософт перешла с NTLM на Active Directory и ее интегрированные службы проверки подлинности Kerberos. Kerberos был значительно защищеннее NTLM, а также лучше масштабировался. К тому же, Kerberos был стандартом отрасли, уже используемым системами Linux и UNIX, чт...
  • Возможности веб кэширования брандмауэра ISA
    Заметка: Если настроить ISA только в качестве сервера кэширования, он потеряет большинство из своих функций брандмауэра, и вам потребуется устанавливать другой брандмауэр для защиты вашей сети.ISA поддерживает прямое кэширование (для исходящих запросов) и обратное кэширование (для входящих запросов)...
  • Защита Microsoft Exchange Server 2007
    Лично я всегда считал, что меры безопасности следует принимать уровень за уровнем. Коррекция группы настроек безопасности принесет мало пользы, если в системе защиты почтовой организации Exchange будут оставаться бреши. С учетом высказанных соображений я решил в данно...
  • Новые атаки против DNS
    WPADПервое уязвимое место связано с протоколом WPAD, с помощью которого браузеры определяют параметры proxy-сервера. В сущности, браузер, совместимый с WPAD, использует DNS для поиска имени wpad и подключения к Web-серверу по возвращенному адресу, чтобы получить ф...
  • Разделение DNS
    Разделение DNS — это метод конфигурации, обеспечивающий корректное разрешение имен (например, имени example.com) для пользователей, находящихся как в локальной сети, так и вне ее. Используется данный метод почти в каждой организации. Но, хотя он и получил широкое расп...