IT2web

Системному администратору Windows Server

Главная --> Active Directory --> Вопросы по Active Directory + Ответы. Собеседование

Вопросы по Active Directory + Ответы. Собеседование



Индекс материала
Вопросы по Active Directory + Ответы. Собеседование
Продолжение
Продолжение
Продолжение
Продолжение
Продолжение
Продолжение
Все страницы
Нашел в себе силы написать ответы на вопросы. Старался как можно полнее и яснее ответить на эти вопросы. Но сами понимаете, это достаточно трудно, да и если все детально описывать, то получится очередной resource kit. Пытался больше сосредоточиться на вопросах связанных с логикой работы AD, на другие вопросы предоставил ссылки в конце статьи. Большинство решений по вопросам проверены на практике или на стендах, на другие отвечал с использованием теории или логики. Будем верить, что теория не врет.


Вопросы:
1. Какие изменения в методах репликации произошли в GC Windows Server 2003 по сравнению с GC Windows Server 2000 при изменении (добавлении, удалении) признака PAS (partial attribute set) в схеме?

При изменении признака PAS в схеме у атрибута, GC под управлением Windows 2000 Server производил полную репликацию всех объектов, всех атрибутов (PAS) контекстов именования доменов, что способствовало увеличению репликации. В Windows Server 2003 производится репликация (а при удалении признака PAS локальное удаление) только измененного атрибута.

2. Сколько полных реплик NC (naming context), без учета NC-приложений, находится на GC в трех доменном лесе? Частичных реплик?
Полных три: схема, конфигурация, домен. Частичных реплик две.

3. Возможен ли поиск по всему лесу при соединении с GC по порту 389? Почему?
Нет, не возможен. При соединении с GC по порту 389, GC работает в контексте обычного DC и не позволяет использовать глобальный поиск, хотя может возвращать LDAP-пересылки.

4. Требуется ли доступность GC для разрешения членства в универсальных группах в однодоменном лесу?
В много доменном лесу для пользователя из домена с функциональным уровнем Windows Server 2000 Native/2003? Имеет ли значение уровень домена/леса при таких операциях? Какой? В однодоменном лесу не требуется. Все членство в группах находится в контексте именования домена. Уровень домена не влияет. В много доменном требуется. Пользователь из домена с режимом 2000 Native или выше может состоять в универсальных группах других доменов, эти группы, в свою очередь, могут использоваться для авторизации (доступа к ресурсам) в родном домене. Соответственно требуется доступность GC. Функциональный уровень домена пользователя имеет значение. Если уровень домена 2000 Mixed, то пользователь не может состоять в универсальных группах как родного, так и другого домена (при добавлении в универсальную группу в неродном домене производится проверка уровня функциональности домена добавляемого объекта), поэтому наличие GC не нужно.

5. Сценарий доступности GC из 4, но для операций логона по UPN в однодоменном лесу? В многодоменном лесу? Имеет ли значение уровень леса/домена при таких операциях? Какой?
Контроллер домена при обработке UPN-входов использует локальную базу для разрешения UPN-логинов. Если в собственной БД UPN-логина нет, то производится обращение к GC. Поэтому в однодоменном лесу GC не требуется, в многодоменном в определенных случаях требуется, в других нет. Уровень домена/леса не имеет значение.

6. Для чего членство универсальных групп реплицируется на глобальный каталог?
Смотрите ответ на 4.

7. Членство в каких группах (доменно-локальных, глобальных, универсальных) реплицируется на GC? Членство каких групп может быть на GC?
На GC с других контекстов именования реплицируется членство в универсальных группах. На GC может быть членство во всех группах родного домена, плюс членство в универсальных группах других доменов.

8. Как происходит разрешение UPN при логоне, если пользователь из одного леса, входит на рабочую станцию другого леса, при этом существуют доверительные отношения между доменами леса (для упрощения — двухсторонние, глобальные (domain-wide))? Как происходит вход по UPN между лесами при наличии forest-trust? А если в обоих лесах есть домены с одинаковыми именами?

8.1. Поскольку TDO внешнего доверительного отношения не содержит список UPN-суффиксов леса доверяющего домена, то вход по UPN ограничен UPN-именами вида имяпользователя@доверяющий_домен.

8.2. TDO для forest— trust содержит дополнительную информацию, такую как, список UPN-суффиксов, список SPN-суффиксов и т.д. Поэтому между лесами возможен вход по UPN. 8.3. При наличии одинаковых UPN-суффиксов в двух лесах, суффиксы (одинаковые) разрешаются локально, обращение к другому лесу не происходит.

9. Рассмотрим такую топологию: один лес, два сайта (A и B), два домена (A и B); в сайте A есть 3 контроллера домена из домена A, в сайте B есть три контроллера домена из домена B и один из домена A. Если указать один контроллер домена из сайта A в качестве предпочтительного сервера-плацдарма (Bridgehead Server, BH) и впоследствии он будет выведен из строя (недоступен), будет ли выбран другой контроллер домена из этого же сайта в качестве BH?
Предположим, что в сайте A не указаны предпочтительные BH, а в сайте B в качестве предпочтительных BH указаны контроллеры домена из домена B, будет ли контроллер домена из домена A сайта B выбран в качестве сервера-плацдарма для репликации NC домена A?

9.1. В данном случае, если в сайте А выбран в качестве BH GC, то при его недоступности другой BH выбран не будет. Если BH не GC и есть другой GC в сайте А, то 9.2. 9.2. Да. В сайте должен быть как минимум один BH на раздел, поэтому KCC выберет контроллер домена A в сайте B в качестве BH для репликации контекста именования домена А.

10. При обращении к GC по 3268 возможны ли операции модификации объектов? возвращение атрибутов не входящих в PAS?
Модификация объектов не возможна. Возвращение атрибутов не из PAS, а соответственно и поиск, невозможен. Даже для объектов родного домена. Объясняется это тем, что при использовании DC по порту 3268 (3269), DC переключается в режим работы GC.


Комментарии  

 
#1 ЛЮК 24.03.2013 15:03
Интересно автор сего опуса сам ответит хотя бы на половину вопросов без словаря ???


на должность сис.админа с з.п 50тыр рублей

такие вопросы задавать просто глупо

руководителю it отдела тем более
Цитировать
 

 

Яндекс.Метрика