Книги, научные публикации Pages:     | 1 | 2 | 3 | 4 | 5 |   ...   | 18 | -- [ Страница 1 ] --

Distributed Systems Guide Microsoft Windows 2000 Server Microsoft Press Распределенные системы Книга 1 Microsof Windows 2000

Server Москва 2001 r l Я fl Р I (I П Г IT l К H P КQ i I P EI i К111 УДК 004 ББК 32.973.26-018,2 М59 Microsoft Corporation М59 Распределенные системы. Книга 1. Ресурсы Microsoft Windows 2000 Server/Пер, с англ. Ч М.: Издательско-торговый дом Русская Редак ция, 2001. Ч 864 с.: ил.

ISBN 5-7502-0160-0 Эта книга посвящена технологиям поддержки распределенных систем в Windows 2000 Server, в том числе построению и защите распределенных сис тем, а также работе службы каталогов Active Directory. Здесь описаны центра лизованное управление пользователями, группами, службами и сетевыми ре сурсами посредством службы каталогов Active Directory, расширение схемы Active Directory для определения новых классов и свойств объектов, разреше ние имен в Active Directory, репликация с несколькими хозяевами в среде рав ноправных контроллеров доменов, а также безопасность распределенных сис тем в среде Windows 2000, в том числе проверка подлинности, управление до ступом и поддержка шифрования, Книга состоит из двух частей (16 глав), шести приложений и предметно го указателя.

Книга предназначена сетевым инженерам, системным администраторам, квалифицированным пользователям и всем, кто хочет досконально изучить работу распределенных систем на базе операционной системы Windows 2000, УДК ББК 32.973.26-018. Подготовлено к печати издателъско-торгоным домом Русская Редакция но лицензион ному договору с Microsoft Corporation, Редмонд, Вашингтон, С Ш А.

Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, AcliveMovie.

ActiveX, Authenticode, BackOffice, Direct Animation, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, From Page, Georgia, Hotmail, IntelliMirror, IntelliSense, JScript, Links, Microsoft, Microsoft Press, MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint. Sidewalk. Slale, Stuns Here, Truclmage, Verdana, Visual Basic, Visual C-+, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Mcc]i;

i и Windows N'T являются либо охраняемыми товарными знаками, либо товарными знаками корпорации Microsoft в США и/или других странах. NT Ч товарный знак компании Xolhern Telecom Limited.

Все другие товарные знаки являются собственностью соответствующих фирм.

Информация, приведенная в этой книге, и том числе URL и другие ссылки ни Web-узлы, мо жет быть изменена без предварительною уведомления. Все названия компаний, организаций и продуктов, а также имена л и ц, используемые в примерах, нымышлены и не имеют никакого от ношения к реальным компаниям, организациям, продуктам и лицам.

й Оригинальное издание па английском языке.

Microsoft Corporation, й Перевод на русский язык. Microsoft Corporation, ISBN 1-57231-805-8 (англ) й Оформление и подготовка к изданию, изда ISBN 5 7502-0160- тельско-торговый дом Русская Редакция.

Оглавление Введение XXIV ЧАСТЬ 1 Служба каталогов Active Directory ГЛАВА 1 Логическая структура Active Directory Иерархия доменов Active Directory Имена доменов в Active Directory Соглашения об именовании в DNS NetBIOS-имена доменов Active Directory и DNS Иерархия DNS и Active Directory DNS и Интернет Active Directory и Интернет, Имена хостов DNS и компьютеров под управлением Windows 2000 Серверы имен и зоны в DNS Э Служба DNS, интегрированная с Active Directory Поддержка динамического обновления Деревья и леса Реализация иерархии доменов и пространства имен DNS в дереве Реализация деревьев леса Корневой домен леса Доверительные отношения Транзитивные и нетранзитивные доверительные отношения Направление доверительных отношений Протоколы проверки подлинности Путь доверительных отношений Обработка перенаправления проверки подлинности Типы доверительных отношений Доверительные отношения между доменами Windows 2000 и Windows MT4.0 Пример среды смешанного режима Объекты Active Directory Именование объектов Составное имя Относительное составное имя Атрибуты именования Индивидуальность и уникальность объекта 2! Форматы имен Active Directory Соответствие между составными именами в DNS и LDAP Имя входа в систему Контроллеры доменов Операции с несколькими хозяевами Операции одиночного хозяина Серверы глобального каталога Атрибуты, включенные в глобальный каталог VI Оглавление Назначение компьютера сервером глобального каталога Глобальный каталог и процедура входа в домен Поиск и глобальный каталог Подразделения Административная иерархия Групповая политика Делегирование управления Безопасность объектов Управление доступом Делегирование административных полномочий Наследование Дополнительные материалы ГЛАВА 2 Хранение данных в Active Directory Архитектура Active Directory Active Directory и архитектура Windows 2000 Архитектура подсистемы безопасности Архитектура службы каталогов Агент системы каталогов Уровень базы данных Extensible Storage Engine Протоколы и интерфейсы Active Directory LDAP ADSI Репликация Active Directory MAPI SAM Хранение данных Требования к данным, хранящимся в Active Directory Ограничения нз. объем хранимых данных Соотношение размера объектов и максимальной длины записи в базе данных Сбор мусора Дефрагментация базы данных Оценка увеличения объема базы данных Active Directory при добавлении пользователей и подразделений Исследование размера базы данных каталога Подразделения Добавление атрибутов Хранение данных в SAM Windows 2000 Особенности хранения данных в доменах смешанного режима Структура SAM Учетные записи SAM на сервере под управлением Windows 2000 Server, назначаемым контроллером домена Переход от учетных записей SAM в Windows NT 4.0 к объектам Active Directory Модель данных Объекты-контейнеры и конечные объекты Дерево каталогов RootDSE Дополнительные элементы управления LDAP. Оглавление VII Параметр Range Разделы каталога Поддеревья разделов каталогов Корневой домен леса Раздел конфигурации Раздел схемы Разделы доменов Хранилище данных каталога Ссылочные атрибуты Поиск по обратным ссылкам Члены групп из внешних доменов Записи-фантомы Операции записи в базу данных Восстановление на основе записей журнала Индексация атрибутов Безопасность на основе объектов Идентификаторы безопасности Дескрипторы безопасности Безопасность объектов по умолчанию Установка Active Directory Конфигурации Active Directory Требования для установки Проверка уникальности имен Проверка наличия TCP/IP Проверка конфигурации клиента DNS Получение и проверка правильности DNS-имени домена Получение и проверка правильности NetBIOS-имени Введение пароля администратора Получение реквизитов пользователя Получение и проверка путей файлов Конфигурирование сайта Конфигурирование службы каталогов Конфигурирование разделов каталога Настройка автоматического запуска служб Настройка политики безопасности Создание нового домена Установка и конфигурирование DNS Операции, выполняемые после установки 10: Удаление Active Directory Административные реквизиты Удаление Active Directory с дополнительного или последнего контроллера домена. Удаление дополнительного контроллера домена Удаление последнего контроллера домена Автоматическая установка и удаление Active Directory ГЛАВА 3 Разрешение имен в Active Directory Поиск серверов Active Directory Регистрация имен контроллеров домена Регистрация доменных имен в DNS Оглавление VIII Регистрация доменных имен NetBIOS Записи ресурса SRV Поддомен _msdcs Записи SRV, регистрируемые службой сетевого входа в систему Записи для клиентов, не поддерживающих SRV Другая информация, содержащаяся в записях SRV Поиск контроллеров домена Функция DsGetDcName Поиск контроллера домена в ближайшем сайте Объекты-сайты и объекты-подсети в Active Directory Отображение IP-адресов на имена сайтов Автоматическое перекрытие сайтов Тайм-аут кэша и ближайший сайт Клиенты без определенного сайта Типы локаторов Локатор, поддерживающий IP/DNS, на клиентах под управлением Windows 2000.. Локатор, совместимый с Windows NT 4.0, для клиентов, не поддерживающих IP/DNS Поиск информации в Active Directory Разрешение имен в операциях каталога Параметры для LDAP-поиска Фильтры поиска Использование ObjectCategory или ObjectClass в фильтре поиска Перенаправления LDAP Ссылки на данные Нисходящие ссылки Перекрестные ссылки Создание внешних перекрестных ссылок Восходящие ссылки Неоднозначное разрешение имен Анонимные запросы Использование управления доступом для предоставления анонимного доступа... Предоставление анонимным пользователям доступа для чтения всех свойств Предосторожности при предоставлении анонимного доступа Глобальный каталог и LDAP-поиск Серверы глобального каталога Отличия поиска в глобальном каталоге и в доменах Поиск удаленных объектов Клиенты, использующие LDAP-поиск Административные клиенты Адресная книга Windows Служебная программа Ldp ГЛАВА 4 Схема Active Directory Общие сведения о схеме Active Directory Местоположение схемы в Active Directory Поиск контейнера Schema Запись subschema Файлы схемы.. Оглавление IX Объекты схемы Active Directory Объекты класса attribute Schema Однозначные и многозначные атрибуты Индексированные атрибуты 16: Атрибуты объектов класса attributeSchema Объекты класса>

Эта серия состоит из нескольких книг и брошюры, к которой прилагается компакт диск, содержащий различные служебные программы, дополнительные справочные материалы и электронные версии всех книг этой серии на английском языке, из данные Microsoft Press. Новая информация, касающаяся книги Ресурсы Microsoft Windows 2000 Server, будет доступна в Интернете по мере ее появления.

В руководстве Распределенные системы собраны теоретические и практические ма териалы, касающиеся технологий распределенных систем в Microsoft Windows 2000.

Оно выходит в двух книгах.

Распределенные системы. Книга 1 посвящена технологиям поддержки распреде ленных систем в Windows 2000 Server. В этом практическом руководстве рассказа но о построении и защите распределенных систем, а также о работе службы ката логов Active Directory. Здесь описаны централизованное управление пользователя ми, группами, службами безопасности и сетевыми ресурсами посредством службы каталогов Active Directory, расширение схемы Active Directory для определения новых классов и свойств объектов, разрешение имен в Active Directory, реплика ция с несколькими хозяевами в среде равноправных контроллеров доменов, а так же безопасность распределенных систем в среде Windows 2000, в том числе провер ка подлинности, управление доступом и поддержка шифрования.

Распределенные системы. Книга 2 также посвящена построению и защите рас пределенных систем и работе службы каталогов Active Directory. Здесь рассмотре ны управление механизмом кластеризации Windows Clustering для эффективной балансировки нагрузки и повышения доступности серверов, распределенная фай ловая система и службы репликации файлов для повышения надежности и доступ ности распределенных файловых систем, управление изменениями и конфигураци ями персональных компьютеров пользователей средствами групповой политики, в том числе удаленная установка и поддержка программного обеспечения и управле ние групповой политикой.

Введение XXV Соглашения, принятые в этой книге В этой книге приняты следующие правила оформления текста.

Элемент Примечание Полужирное начертание Им выделены символы, вводимые именно так, как показано Е тексте, в том числе команды и параметры, а также элементы пользовательского интерфейса Выделяет фрагменты, вместо которых Вы можете вставить Курсив собственные названия;

например вместо Filename.ext Ч имя конкретного файла Моноширинный шрифт Листинги работы программ командной строки и фрагмента текстовых файлов Папка, в которую установлена Windows %SystemRoot% Совет Дополнительные сведения, необязательные для выполнения рассматриваемой задачи Примечание Дополнительные сведения, касающиеся обсуждаемой темы Внимание! Особо важная информация, касающаяся конкретной операции.

Так же помечаются предупреждения о возможности потери данных, сбоев системы, появления брешей в защите и других серьезных проблемах, возникающих в результате гех или иных действий Компакт-диск Ресурсы Microsoft Windows Прилагаемый к книге компакт-диск Windows 2000 Server Resource Kit содержит множество инструментальных средств и ресурсов, облегчающих работу в среде Windows 2000.

Примечание Служебные программы созданы и протестированы с использованном американской версии Windows 2000. Выполнение этих программ в других версиях Windows 2000 или в Windows NT может привести к непредсказуемым результатам.

Компакт-диск содержит следующие материалы (на английском языке) и программ ное обеспечение.

Windows 2000 Server Resource Kit Online Books. Электронные версии книг этой серии в формате HTML Help позволяют быстро находить информацию, необходи мую для выполнения какой-либо операции.

Windows 2000 Server Resource Kit Tools and Tools Help. Более 200 служебных программ с документацией для них и другие ресурсы, которые позволят Вам пол нее использовать возможности Windows 2000. Они предназначены для управления службой каталогов Active Directory, администрирования служб защиты, работы с реестром, автоматизации рутинных операций и выполнения многих других важных задач. Правила использования служебных программ описаны к документации Tools Help.

Введение XXVI Windows 2000 Server Resource Kit References. Набор справочных материалов в формате HTML Help (перечислены ниже).

Х Error and Event Messages Help. Содержит полный перечень сообщений об ошибках и событиях, генерируемых Windows 2000. Здесь подробно описаны воз можные условия появления каждого сообщения и перечислены ответные дей ствия пользователя для разрешения возникшей проблемы.

Х Technical Reference to the Registry. Детальное описание ветвей, разделов, под разделов и параметров реестра Windows 2000, в частности тех, которые могут понадобиться опытным пользователям и которые нельзя изменить средствами Windows 2000 или через программные интерфейсы.

Performance Counter Reference. Сведения обо всех объектах и счетчиках, пре Х доставляемых для работы с инструментами оснастки (snap-in) Performance (Производительность) в Windows 2000. Из этого справочника Вы узнаете, как применять различные счетчики (показатели) для диагностики проблем и выяв ления лузких мест в Вашей системе.

Х Group Policy Reference. Полное описание всех параметров групповой полити ки в Windows 2000.

Условия поддержки Resource Kit Техническая поддержка программного обеспечения, прилагаемого к книгам книг се рии Ресурсы Microsoft Windows 2000 Server, не предусматривается. Microsoft не гарантирует безошибочную работу инструментальных средств и служебных про грамм, содержащихся на предлагаемом компакт-диске, немедленный ответ на ка кие-либо вопросы или исправление ошибок в программном обеспечении. Однако, если Вы обнаружите какие-либо ошибки в книгах или программном обеспечении этой серии, сообщайте о них по адресу rkinput@microsoft.com Ч вполне возможно, Вам будут предоставлены соответствующие исправления и обновления. Обратите внимание, что на этот адрес следует направлять сообщения лишь по вопросам, каса ющимся книг серии Ресурсы Microsoft Windows 2000 Server, а не самой операци онной системы Windows 2000. О том, как получить техническую поддержку по Windows 2000, Вы узнаете из документации, поставляемой с этим программным продуктом.

ЧАСТЬ I Служба каталогов Active Directory Служба каталогов Active Directory Ч это ключевой компонент распределенных си стем Windows 2000. В этой части подробно описаны архитектура и особенности ра боты Active Directory. Эта информация пригодится администраторам сетей при внедрении и устранении неполадок служб каталогов.

В этой части Глава 1 Логическая структура Active Directory Глава 2 Хранение данных в Active Directory Глава 3 Разрешение имен в Active Directory Глава 4 Схема Active Directory Глава 5 Публикация служб в Active Directory Глава 6 Репликация Active Directory Глава 7 Управление операциями одиночного хозяина Глава 8 Наблюдение за производительностью в Active Directory Глава 9 Архивирование и восстановление данных в Active Directory Глава 10 Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА !

Логическая структура Active Directory Active DirectoryЩ Ч это служба каталогов, включенная в Microsoftо Windowsо 2000, Она хранит информацию об объектах сети и обеспечивает доступ к этой информа ции пользователям, компьютерам и приложениям. Иерархическая система имено вания DNS в совокупности с системой доверительных отношений Windows образуют непротиворечивую логическую структуру, облегчающую создание пред сказуемой и эффективной организации доменов и их ресурсов.

В этой главе Иерархия доменов Active Directory Имена доменов в Active Directory Active Directory и DNS Деревья и леса Объекты Active Directory См. также Х Подробнее об архитектуре Active Directory и физическом хранении ее данных Ч в главе 2 Хранение данных в Active Directory.

Х Подробнее о планировании пространства имен DNS, иерархии доменов и струк туре подразделений Ч в книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

Х Подробнее о стандартных концепциях DNS и об использовании DNS-серверов Windows 2000 Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Иерархия доменов Active Directory В Windows 2000 домен является как границей администрирования, так и границей безопасности для совокупности объектов, относящихся к определенной группе пользователей, объединенных сетью. Административной Ч потому что админист ративные привилегии не простираются на другие домены, а граница безопасности потому что политика безопасности распространяется на все учетные записи данно Логическая структура Active Directory ГЛАВА го домена. В Active Directory хранятся сведения об объектах одного или более да ме нов.

Домены могут быть организованы посредством четкой иерархии с отношениями родитель Ч потомок;

в такой структуре родительский домен находится на один или более уровней выше подчиненного, или дочернего, домена. Дочерний домен, в свою очередь, может быть родителем одного или более дочерних доменов, как по казано на рис. 1-1.

Родитель доменов В и С Потомок домена А /В \ / С \Ч Потомок домена А и родитель домена D Потомок домена С и внук домена А Рис. 1-1, Пример иерархии доменов Эта иерархия отличается от плоской структуры доменов в Microsoft Windows NT версий 4.0 и 3.51. Иерархия доменов Windows 2000 позволяет с помощью одного запроса выполнять поиск в нескольких доменах, поскольку каждый уровень иерар хии обладает информацией об уровнях, находящихся в организации непосредствен но выше и ниже данного уровня. Такое устройство избавляет от необходимости точ но знать, где находится искомый объект. В Windows NT 4.0 и более ранних версиях для этого требовалось знать и домен, и сервер, на котором он расположен.

Подробнее об Active Directory Ч в главе 3 Разрешение имен в Active Directory;

*-.

Имена доменов в Active Directory Для иерархического именования доменов и компьютеров в Active Directory в Win dows 2000 используется система DNS. Поэтому объекты доменов и компьютеров являются как частью иерархии доменов DNS, так и иерархии доменов Active Di rectory. Хотя их имена идентичны в обеих системах, они относятся к различным пространствам имен.

Примечание Иерархия доменов определяет пространство имен. Это любая ограни ченная область, в которой для символического представления определенной инфор мации (такой, как объекты каталога или IP-адреса) используются имена стандарт ного вида, а имена могут разрешаться в сам объект. В каждом пространстве имен существуют свои правила и порядок создания и использования имен. Одни про странства имен, такие, как DNS и Active Directory, обладают четкой иерархической структурой и разбиваются на отдельные разделы по заранее определенным прави лам. Другие, например NetBIOS, являются плоскими (неструктурированными) и на разделы не делятся.

Служба каталогов Active Directory ЧАСТЬ Основная функция DNS заключается в прямом и обратном разрешении имен ком пьютеров, удобных для восприятия пользователями, в IP-адреса, понятные компь ютеру. В Windows NT 4.0 и более ранних версиях DNS-имена не требовались, по скольку для именования доменов и компьютеров применялись имена NetBIOS, ко торые и разрешались в IP-адреса средствами службы WINS (Windows Internet Name Service). Хотя для различения доменов и компьютеров в Windows 2000 использу ются DNS-имена, система также поддерживает именование NetBIOS. Таким обра зом реализуется обратная совместимость с доменами и клиентами под управлени ем Windows NT 4.0 (и более ранних версий), Microsoft Windows for Workgroups, Microsoft Windows 98 и Microsoft Windows 95.

Примечание В среде, где все компьютеры работают под управлением Windows 2000, WINS и NetBIOS не нужны. Тем не менее WINS требуется для взаимодействия контроллеров доменов под управлением Windows 2000 с компьютерами под управ лением более ранних версий Windows и с приложениями, зависящими от простран ства имен NetBIOS, например с приложениями, обращающимися к NetServerEnum и другим функциям API, имена которых начинаются с приставки Net.

Соглашения об именовании в DNS Взаимосоотвстствие DNS-имен доменов и их IP-адресов в Active Directory реали зовано в согласии с общепринятыми соглашениями об именовании в DNS. Разре шая имена компьютеров в IP-адреса, сервер DNS позволяет приложениям, поддер живающим протокол TCP/IP (Transmission Control Protocol/Internet Protocol), об ращаться к ним по их IP-адресам.

Кроме DNS-имеп компьютеров, контроллеры домена Active Directory идентифици руются по видам предоставляемых ими служб: серверы протокола LDAP (Light weight Directory Access Protocol), контроллеры доменов и серверы глобального ка талога (Global Catalog). Поэтому, получив указание на имя домена и службу, сер вер DNS способен найти контроллер со службой искомого типа в данном домене.

(Подробнее о поиске контроллеров доменов Ч в главе 3 Разрешение имен в Active Directory.) Существуют следующие правила иерархии DNS:

Х у дочернего домена один и только один родительский домен;

Х имена любых двух дочерних доменов одного родителя должны отличаться.

Эти же правила применимы к доменам Active Directory, поскольку в этой службе каталогов используется DNS-именование.

В структуре именования DNS каждая часть имени, отделенная точкой (.), относит ся к отдельному узлу древовидной иерархической структуры DNS, а в структуре доменов Windows 2000 - к имени домена Active Directory.

Примечание В DNS узлом в иерархии может быть домен или компьютер.

Например, в имени домена DNS calif.noain.reskit.com каждая из частей -- calif, noam, reskit и com Ч относится к отдельным доменам DNS. Как показано на рис. 1-2, в Active Directory имя домена calif.noam.reskit.com представляет иерархию, в которой reskit.com является корневым (самым верхним в иерархии) доменом, noam дочер ним доменом reskit.com (noam.reskit.com), a calif потомком домена noam.reskit.com.

Логическая структура Active Directory ГЛАВА reshit.com noam.reskit.com calif.noam.reskit.com Рис. 1-2. Пример иерархии DNS-имен в Active Directory Примечание В действительности, домен.com является внешним по отношению к Active Directory, тем не менее он включен в полное имя. Домены типа.com,.org и.edu, а также многие другие, называются доменами верхнего уровня и используют ся в Интернете для классификации организаций по типам. (Подробнее о DNS-до менах верхнего уровня Ч в справочной системе Microsoft Windows 2000 Server).

Иерархия доменов формируется в результате неразрывного именования, в котором имя каждого последующего уровня включает имя предыдущего.

Части DNS-имепи, разделенные точкой, называются метками. Просматривая имя домена справа налево, приложения корректно интерпретируют уровень каждой из меток в иерархии. Кроме того, имя домена всегда уникально, поскольку у любой пары потомков одного родителя имена разные. Каждый домен иерархии задает соб ственную часть полного пространства имен.

В отличие от дерева Active Directory, которое содержит только домены, дерево DNS включает как домены, так и компьютеры;

то есть крайняя левая метка DNS-имени может быть именем компьютера.

Примечание Подробнее о стандартных именах хостов в Интернете Ч в документе RFC 1123 на Web-странице Web Resources по адресу windows2000/rcsk.it/webresourees. Этот же стандарт именования узлов рекоменду ется, но не обязателен для Active Directory.

Подробнее об именовании и функциональности DNS Ч в справочной системе Windows 2000 Server и книге Сети TCP/IP. Ресурсы Microsoft Windows Server* (Русская Редакция, 2001).

NetBIOS-имена доменов Windows 2000 поддерживает приложения, использующие сетевые API-функции протокола NetBIOS, и применяемые приложениями NetBIOS-имена. Это позволя ет компьютерам под управлением Windows NT 4.0 и более ранних версий, а также Windows 95 или Windows 98 идентифицировать домены Windows 2000. Например, в смешанной среде резервные контроллеры доменов (backup domain controllers, BDC) под управлением Windows NT 4.0 распознают контроллер домена под упраи Служба каталогов Active Directory ЧАСТЬ лением Window;

;

2000 как основной контроллер домена (primary domain controller, PDC). Поскольку при этом используются имена NetBIOS, то, чтобы быть доступ ным из систем, отличных от Windows 2000, каждый контроллер домена должен об ладать NetBIOS-именем. Аналогично другие серверы и рабочие станции распозна ются по их NetBIOS-именам.

В процессе установки Active Directory при создании нового домена система по умолчанию присваивает домену NetBIOS-имя, соответствующее крайней левой метке в DNS-имени домена, но обрезанное до первых 15 байт (длина NetBIOS-име ни не должна превышать 15 байт). Вы можете изменить это имя, однако только в процессе установки Ч позже домен переименовать не удастся. Имя, присваиваемое изолированному серверу или компьютеру рабочей станции, используется как его NetBIOS-имя, а полное имя компьютера образуется объединением (конкатенаци ей) этого имени и имени домена.

Примечание Длина каждого из символов ASCII равна 1 байту. Однако имена DNS узлов записываются в формате UTF-8, в котором длина символов может быть раз ной (Русская Редакция, 2001).

Подробнее об именах доменов, компьютеров и хостов в DNS Ч в книге Сети TCP/IP Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001). Подробнее об установке службы каталогов Active Directory Ч в главе 3 Разрешение имен в Active Directory.

Active Directory и DNS DNS является стандартом де-факто системы именования в IP-сетях и использу ется для нахождения компьютеров в Интернете. В Windows 2000 система DNS при меняется для поиска компьютеров и контроллеров доменов (то есть для нахожде ния Active Directory)- Рабочие станции и рядовые серверы отыскивают контрол лер домена, обращаясь к DNS. Поэтому при установке или переходу на Microsoft Windows 2000 Server необходимо наличие инфраструктуры DNS, в противном слу чае ее придется устанавливать вместе с Windows 2000.

Windows 2000 DNS-сервер, входящий в состав Windows 2000 Server и Windows Advanced Server, позволяет интегрировать DNS и Active Directory, а также упрос тить управление DNS. Windows 2000 Server DNS можно установить как вместе с Windows 2000 Server, так и одновременно с Active Directory, а также вручную, пос ле завершения установки этих систем.

Подробнее об установке и использовании Windows 2000 DNS-сервера Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server. Подробнее об установке службы каталогов Active Directory Ч в главе 2 Храпение данных в Active Direc tory (Русская Редакция, 2001).

Иерархия ONS и Active Directory У каждого домена Windows 2000 и у каждого компьютера под управлением Win dows 2000 есть свое DNS-имя (например, win2kserver.reskit.com). Поэтому домены и компьютеры можно представлять в виде объектов Active Directory, а также как узлы DNS.

Логическая структура Active Directory ГЛАВА В DNS и в Active Directory действуют одинаковые имена доменов, поэтому их лег ко перепутать. Нужно понимать, что, невзирая на использование имен одинаковой доменной структуры, эти пространства хранят различные данные и управляют рав ными объектами: DNS содержит записи о зонах и о ресурсах, a Active Directory записи о доменах и их объектах. Для разрешения имен в каждой из этих систем используется своя отдельная база данных:

Х DNS разрешает имена доменов и компьютеров в записи ресурсов через вызовы DNS-сервера в виде DNS-запросов к базе данных DNS;

Х Active Directory разрешает имена доменных объектов в записи объектов посред ством вызовов контроллеров доменов в виде запросов на LDAP-поиск или за просов на изменение базы данных Active Directory.

Таким образом, объект учетной записи компьютера в домене Active Directory и за пись о DNS-хосте, представляющая этот же компьютер в зоне DKS, находятся в различных пространствах имен. Подробнее об использовании Windows 2000 DNS сервера Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Рус ская Редакция, 2001).

DNS и Интернет Интернет Ч это TCP/IP-сеть, в которой каждый компьютер идентифицируется по его IP-адресу. Для нахождения хостов TCP/IP сеть DNS разрешает имена компью теров, удобные для восприятия пользователям, в IP-адреса, попятные программам (например, имя DC1.reskit.com разрешается в IP-адрес 172.16.44.1). В Интернете адреса управляются средствами глобальной распределенной базы данных DNS, во DNS можно создать и в локальном масштабе для управления адресами в частных сетях TCP/IP. При подключении серверов корпоративной сети к Интернету реко мендуется зарегистрировать имя домена компании в уполномоченной регистриру ющей организации, чтобы другие организации не могли использовать данное до менное имя.

Интернет это единое глобальное пространство DNS-имен, разделенных на доме ны верхнего уровня, которые, в свою очередь, подразделяются па домены второго уровня. Корневые домены пространства имен Интернета управляются соответству ющими центральными учреждениями, ответственными за делегирование админис тративной ответственности за DNS-домены верхнего уровня и регистрацию имен доменов второго уровня. Домены верхнего уровня Ч это основные категории доме нов: коммерческие (.com), образовательные (.cdu), правительственные (.gov) и дру гие. Пространства имен доменов второго уровня обычно предоставляются (регист рируются) частным лицам или организациям. Их присутствие в Интернете обеспе чивается указателями в соответствующих базах данных доменов верхнего уровня на DNS-ссрверы, ответственные за соответствующий корневой домен. Наприме >.

серверы имен, ответственные за базу данных DNS домена.com, содержат указатели на серверы имен корпя частного домена reskit.com, что позволяет находить его в Интернете. Точно так же DNS-ссрвсры, ответственные за корневой корпоративный домен, поддерживают указатели па DNS-серверы дочерних доменов и так далее вниз по иерархии. Аналогично серверы доменных имен DNS в частной сети могут содержать указатели на серверы имен Интернета, если требуется найти другие до мены Всемирной паутины.

Служба каталогов Active Directory 8 ЧАСТЬ Подробнее о DNS и Интернете Ч в книге сети Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001). Подробнее о доменах верхнего и второго уровня Ч в справочной системе, Microsoft Windows 2000 Server.

Active Directory и Интернет Active Directory может входить в состав глобального пространства DNS-имен Ин тернета. Если требуется присутствие в Интернете, пространство имен Active Di rectory создается в виде одного или более доменов Windows 2000 в корневом доме не, зарегистрированном в глобальном пространстве имен DNS. Регистрация корне вого домена DNS обеспечивает глобальную уникальность всех DNS-имен и регист рацию выделенных сетевых адресов в глобальной базе данных DNS. Кроме того, регистрация корневого домена предоставляет владельцу полную свободу управле ния иерархией дочерних доменов, ;

юн и узлов в пределах этого домена, Примечание Служба DNS должна присутствовать в системе независимо от изоли рованности или интеграции в глобальное пространство имен Интернета, то есть наличия или отсутствия регистрации в пространстве DNS-имен Интернета. Она необходима для нахождения компьютеров под управлением Windows 2000 и, в час тности, для поиска контроллеров доменов под управлением Windows 2000.

Подробнее о DNS и серверах имен в справочной системе Windows 2000 Server и книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редак ция*, 2001).

Имена хостов DNS и компьютеров под управлением Windows В Windows 2000 компьютеру присваивается удобное для восприятия человеком имя, разрешаемое системой в сетевой IP-адрес, по которому и осуществляется фи зический поиск данного компьютера. Б Windows NT 4.0 и более ранних версиях компьютер идентифицировался прежде всего по NetBIOS-имени, разрешаемым WINS в статический IP-адрес или в адрес, динамически конфигурируемый в соот ветствии с протоколом DHCP (Dynamic Host Configuration Protocol). В более ран них версиях Windows NT в случае использования DNS приложения, поддерживаю щие NetBIOS, запрашивали пространство имен DNS, добавляя к NetBIOS-имени доменное имя DNS.

Для совместимости с именами NetBIOS компьютеров под управлением систем, от личных от Windows 2000, Windows 2000 включает NetBIOS-имя как имя узла DNS, а имя домена DNS в качестве основного суффикса DNS. Из этих двух частей со стоит полное имя компьютера (то же, что и FQDN). Это позволяет обеспечить под держку DNS и, по мере необходимости, NetBIOS.

Таким образом, в Windows 2000 полное имя компьютера состоит из двух частей:

Х имени DKS-узла. Крайняя левая метка - это полноценное имя DNS-узла, иден тифицирующее учетную запись компьютера, хранящуюся в Active Directory.

Кроме того, это также имя локальной учетной записи компьютера в диспетчере безопасности учетных записей (Security Accounts Manager, SAM) на рабочей станции или на рядовом сервере (компьютере, работающем под управлением Windows NT Server или Windows 2000 Server, но не являющимся контроллером домена). По умолчанию имя DNS-узла также используется в качестве NetBIOS ГЛАВА 1 Логическая структура Active Directory имени;

это делается для совместимости с доменами Windows NT 3.5x и Windows NT 4.0, а также с компьютерами под управлением Windows 95 итш Windows 98;

Примечание NetBIOS-имя и имя узла DNS не обязательно идентичны, потому что длина NetBIOS-имени ограничена 15 байтами*, но они совпадают, если дли на DNS-имени меньше или равна 15 байтам. Подробнее об именах хоста DNS - в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Servers- (Русская Ре дакция, 2001).

Х основного суффикса DNS-имени домена. По умолчанию Ч это домен Windows, к которому относится данный компьютер. Создаваемое по умолчанию значение можно изменить.

На рис. 1-3 проиллюстрировано, как создается полное имя компьютера.

Основной суффикс i Имя DNS-узла л +. DNS-имени домена j _ [ Прлире имiя комиьютера j clientl noam.reskit.com client1.noam.reskjt.com Рис. 1-3. Элементы полного имени компьютера Подробнее о DNS Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows Server (Русская Редакция, 2001).

Серверы имен и зоны в DNS DNS - это распределенная база данных, работающая по механизму клиент Ч сер вер, в котором серверная часть, сервер имен, отвечает за поддержку базы данных и обработку запросов и обновлений. DNS-сервер Windows 2000 можно установить на любой компьютер иод управлением Windows 2000 Server или Windows Advanced Server. При установке на контроллере домена DNS-сервер оптимизиру ется для взаимодействия с Active Directory. В современной реализации протокола TCP/IP клиенты DNS, называемые распознавателями (resolvers), являются встро енными компонентами и поэтому всегда доступны для обеспечения связи с DNS серв ерами.

DNS-серверы хранят базу данных DNS в зонах. Зона Ч это неразрывный раздел пространства имен DNS, содержащий записи принадлежащих ей ресурсов DNS-до мепов. Состав этих разделов задается в процессе конфигурирования DNS. Посколь ку между доменами Active Directory и DNS существует однозначное соответствие, то зоны DNS могут включать данные о компьютерах одного или более доменов Active Directory Ч то есть между зонами и доменами не обязательно есть однознач ное соответствие. Пространство имен DNS включает домены, поддомены и отдель ные компьютеры, или узлы.

* На самом деле длина NetBIOS-имени составляет 16 байт: первые 15 байт каждого имени зада ются при регистрации, а 16-й символ каждого NetBIOS-имени используется клиентами Microsoft NetBIOS в качестве суффикса имени для идентификации имени и указания сведений о ресурсе, имя которого регистрируется в сети. Ч Прим перев.

Служба каталогов Active Directory 10 ЧАСТЬ DNS-зоны содержат записи, относящиеся к компьютерам, объекты которых также имеются в Active Directory. На рис. 1-4 показаны взаимоотношения между объектом компьютер в Active Directory и узлом DKS с записью ресурса хоста для этого же компьютера. Объект-компьютер и запись ресурса хоста находятся в разных простран ствах имен, но представляют один и тот же реально существующий компьютер.

Пространства имен DNS Пространство имен Active Directory "." (Кпрень] CU Reskit reskit.com Домен Reskit.com Х Запись DNS-узпа дп?

Cliert1.reskit.com ~CH Domain Controllers ;

адреса узлов Users clien11.reskit.com IN A 1;

'2.16.72. c!ien12Q reskit.corn IN A 172.16.72. Рис. 1-4. Объект-компьютер clientl.reskit.com в Active Directory и соответствующая ему запись ресурса в DNS Данные зоны идентифицируют каждый хост по его DNS-имени и IP-адресу;

в час тности, компьютеры Ч контроллеры домена определяются путем связывания служ бы, поддерживаемой ими (Lightweight Directory Access Protocol, LDAP), с именем компьютера и его IP-адресом. Файлы зоны также содержат информацию о сайте, которая позволяет находить контроллеры доменов в этом же узле, а также другие контроллеры доменов, играющие в домене особые роли, например глобальный ка талог или сервер Kerberos v5. Данные зоны могут храниться в текстовых файлах или в Active Directory. В последнем случае зона конфигурируется как интегриро ванная с Active Directory.

Примечание Для поддержки Active Directory не обязательно пользоваться встро енным в Windows 2000 DNS-сервером. Однако при использовании другого DNS сервера требуется, чтобы тот поддерживал записи о ресурсах-службах (service resource records), или записи SRV, в соответствии с обновлением RFC 2052 доку мента сообщества IETF A DNS RR for Specifying the Location of Services (лDNS RR для определения местонахождения служб). Кроме того, для автоматического обновления зон DNS-сервер должен поддерживать протокол динамического обнов ления, определенный в RFC 2136. Подробнее о проектах документов группы IETF (Internet Engineering Task Force) Ч ссылки на проекты документов на Web-страни це ГЛАВА 1 Логическая структура Active Directory Подробнее о DNS, зонах DNS и распознавателях DNS, а также об интегрирован ных с Active Directory зонах Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001). Подробнее об определении того, какой DNS-сервср использовать - в книге Microsoft Windows 2000 Server. Deployment Planning Guide (Microsoft Press, 2000). Подробнее о записях ресурсов службы DNS в главе 3 Разрешение имен в Active Directory.

Служба DNS, интегрированная с Active Directory Интегрированная с Active Directory служба DNS, позволяет хранить и реплициро вать данные зон DNS в Active Directory. Эти функции поддерживаются DNS-ccp вером, включенным в Windows 2000 Server. В процессе конфигурирования компь ютера в качестве DNS-сервера зоны обычно сохраняются в виде текстовых файлов па серверах именования Ч то еств все необходимые зоны DNS хранятся в тексто вом файле на сервере. Эти текстовые файлы должны синхронизироваться во всех серверах имен DNS с помощью системы с отдельной топологией репликации и гра фиком;

такая система носит название зонная передача (zone transfer). Однако этих сложностей удается избежать, если в процессе назначения контроллера домена в качестве сервера имен DNS интегрировать его в Active Directory: данные зоны б\ дут сохранены в объекте Active Directory, и их репликация станет частью стандарт ной процедуры репликации доменов.

Примечание Загружать интегрированные с Active Directory зоны могут только DNS-серверы, расположенные на контроллерах доменов.

Для интеграции DNS в Active Directory нужно при создании зоны выбрать в каче стве типа Active Directory-integrated (Интегрированная в Active Directory) (Под робнее о создании зон Ч в справочной системе Microsoft Windows 2000 Server.) Объекты, представляющие записи базы данных зоны, будут созданы в контейнере MicrosoftDNS, находящемся в свою очередь в контейнере System (его можно уви деть, если установить флажок Advanced Features (Дополнительные функции) в меню View (Вид) консоли Active Directory Users and Computers [Active Directory - пользователи и компьютеры]), и в дальнейшем зона будет реплицироваться во все контроллеры данного домена. В условиях DNS-зоп, интегрированных с Active Directory, все соответствующим образом настроенные контроллеры домена Active Directory, на которых имеется DNS-сервер Windows 2000, выполняют функции ос новного сервера имен.

Если данные DNS хранятся в Active Directory, каждая DNS-зона представлена кон тейнером (объектом класса dnsZone) в Active Directory. Каждому уникальному имс ни в зоне соответствует объект DNS-узла (класс dnsNode) в объекте класса dnsZona.

Эти имена включают сведения о функциях конкретного узла, например об основ ном контроллере домена или сервере глобального каталога. В многозначном атри буте dnsRecord объекта класса dnsNode содержатся значения для каждой записи ре сурса, связанной с именем этого объекта.

На рис. 1-5 показана взаимосвязь между узлами DNS (объектами класса nsNode) в интегрированной с Active Directory зоне и объектами компьютеров, изображенны ми на рис. 1-4. В такой DNS каждому DNS-узлу компьютера соответствует объект класса dnsNode в каталоге. Записи ресурсов, зарегистрированные компьютером в DNS, представлены значениями атрибута объекта dnsNode.

Служба каталогов Active Directory 12 ЧАСТЬ Пространства имен DHS Пространство имен Active Directory ".' (Корень) Г~] Reshit.com [Х"СИ Buittin Зона Reskit.com reskit.com client!.reskH.com Копия зоны, помещенная в DNS и синхронизируемая с Active Directory ""С] MicrosoftDMS 72.16.172 iii-addr.arpa RootDWSServers Зона Re skit.с от Обьект класса dnsZone J Users Рис. 1-5. Зоны и узлы DNS в Active Directory Даже если в системе уже есть DNS-серверы, отличные от поставляемого с Win dows 2000, и домены Active Directory представляют только часть всего простран ства имен DNS, стандартная зонная передача остается пригодной для синхрониза ции данных между Active Directory и другими DNS-серверами (то есть использо вание интегрированных с Active Directory основных зон DNS не исключает другие в виды реализации DNS). Подробнее об использовании других серверов DNS Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редак ция, 2001).

Если Windows 2000 DNS-сервер с интегрированными с Active Directory зонами ус тановлен хотя бы на одном контроллере домена, данные зон будут реплицировать ся на все остальные контроллеры данного домена.

Подробнее о размещении серверов DNS Ч в справочной системе Windows Server, а также в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server* (Русская Редакция, 2001). Там же Вы найдете дополнительную информацию о зонной передаче и поиске данных зон в Active Directory. Подробнее об объектах DNS в Active Directory в справочной системе Microsoft Windows 2000 Server.

Поддержка динамического обновления DNS-сервер Windows 2000 поддерживает протокол динамического обновления стандарт, позволяющий хостам самостоятельно регистрировать свои имена в базе данных DNS. Таким образом упрощается администрирование DNS. Если зоны DNS Логическая структура Active Directory ГЛАВА хранятся в Active Directory, то по умолчанию DNS настраивается для поддержки динамического обновления. Спецификация протокола динамического обновления описана в документе RFC 2136.

Безопасное динамическое обновление Ч полезная возможность Windows 2000, по зволяющая проводить проверку подлинности клиентов, динамически регистрир} ющих имена своих хостов в DNS. Сервер не осуществит динамическое обновление от имени клиента, пока в Active Directory не будут проверены его подлинность и полномочия на выполнение такого обновления.

Примечание Безопасное динамическое обновление доступно только в зонах, интег рированных с Active Directory.

Подробнее об обычном и безопасном динамическом обновлении в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Деревья и леса В соответствии со стандартами именования в DNS структура доменов Active Di rectory имеет вид перевернутого дерева. Иерархия доменов Windows 2000 также базируется на доверительных отношениях, которые связывают домены.

Примечание По умолчанию доверительные отношения между доменами система устанавливает в момент создания контроллера домена. Число отношений доверия, необходимых для подключения п доменов, равно п-1, независимо от вида иерархии доменов Ч единой, типа родитель потомок, или совокупности двух или более связанных иерархий типа родитель - потомок.

При необходимости создания в одной организации различных пространств имен для каждого из них можно организовать отдельное дерево. В Windows 2000 корни деревьев автоматически связываются двунаправленными транзитивными довери тельными отношениями. Деревья, связанные доверительными отношениями, объе диняются в лес. Изолированное дерево (не связанное с другими деревьями) явля ется частным случаем леса, состоящего из единственного дерева.

Сведения о древовидных структурах всего леса Windows 2000 хранятся в Active Directory в форме отношений родитель Ч потомок и дерево - корень. Эти от ношения хранятся в виде объектов учетной записи доверительного отношении (класс trustedDomain) в контейнере System в разделе домена. Для каждого домена в лесу информация о его связи с родительским доменом (или, в случае корня дерев;

!, с другим корневым доменом) помещается в данные конфигурации, которые далее реплицируются во все домены леса. Таким образом, каждый контроллер домена леса обладает полным знанием о древовидной структуре всего леса, в том числе и п связи между деревьями. Увидеть древовидную структуру можно в оснастке Active Directory Domains and Trusts (Active Directory Ч домены и доверие). Подробнее п данных конфигурации Ч в главе 2 Хранение данных в Active Directory.

Реализация иерархии доменов и пространства имен DNS в дереве Дерево Windows 2000 Ч это пространство имен DNS: у него один корневой домен и четкая иерархическая структура;

у каждого некорневого домена имеется един Служба каталогов Active Directory 14 ЧАСТЬ ственный вышестоящий, или родительский, домен. Поэтому созданное этой иерар хией пространство имен является связанным каждый уровень иерархии непос редственно связан с вышестоящим и нижестоящим (если таковой имеется) уров нем, как проиллюстрировано на рис. 1-6.

Дерево reskil.com reskit.com eu.reskit.com cali1.noam.reskit.com Рис. 1-6. Пример связанной иерархии деревьев В Windows 2000 существуют следующие правила реализации деревьев в этом про странстве имен:

Х у дерева имеется одно и только одно имя Ч корневого домена DXS в данном дереве;

Х имена доменов, создаваемых ниже корня (дочерние домены), всегда связны с именем корневого домена;

Х эта структура отражена в DNS-именах дочерних доменов корневого домена де рева;

например, у корневого домена somedomain имена дочек таковы:

childl.somedomain, child2.somedomain и т. и.

Имена дочерних доменов могут отражать названия географических регионов (на пример, США или Европа), наименование административных подразделений орга низации (например, отдел продаж или отдел маркетинга) или др. Домены создают ся ниже корневого домена, это позволяет минимизировать репликацию Active Directory и создавать неизменяемые имена доменов. Крупномасштабные изменения архитектуры доменов, такие, как свертывание или развертывание домена, сложны и могут потребовать значительных усилий со стороны подразделения ИТ. Грамот но спроектированное пространство имен должно выдерживать неоднократную ре организацию компании без существенной перестройки уже действующей иерархии доменов.

Примечание Административные привилегии не наследуются от родительских к до черним доменам Ч их надо задавать явно для каждого домена.

Подробнее о пространстве имен и приемах именования корневого и создания до черних доменов Ч книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000). Подробнее об административных привилегиях Ч в главе 11 Проверка подлинности и в главе 12 Управление доступом.

ГЛАВА 1 Логическая структура Active Directory Реализация деревьев леса Лес Ч это совокупность одного или более равноправных деревьев Windows Active Directory, связанных двусторонними транзитивными доверительными отно шениями. Дерево может состоять из одного домена, а лес - из одного дерева. Та ким образом, лес является синонимом Active Directory Ч то есть набора всех раз делов каталогов в определенном экземпляре службы каталогов (включающей все домены, а также данные конфигурации и схемы) образует лес.

Пространство имен леса несвязанно Ч оно состоит из совокупности участков, ба зирующихся на различных именах корневых доменов DNS. Тем не менее деревья одного леса характеризуются общими схемой, конфигурацией и глобальным ката логом, что в совокупности с доверительными отношениям между корневыми доме нами и отличает лес от простого набора независимых деревьев. Невзирая на отли чия в корневых именах деревьев, их объединяет единое общее (хотя и несвязанное) пространство имен, так как имена объектов разрешаются одной и той же службой каталогов Active Directory. Лес существует в виде множества объектов перекрестных ссылок и доверительных отношений, известных деревьям Ч членам этого леса. Вза имный доступ к ресурсам обеспечивается транзитивными доверительными отноше ниями на уровне корневого домена каждого пространства имен. (Подробнее об объек тах перекрестных ссылок Ч в главе 3 Разрешение имен в Active Directory.) Внимание! Иерархия деревьев и лесов - это особенность доменов Windows 2000.

Домен Windows NT 4.0, в котором настроены доверительные отношения (в любую строну) с доменом Windows 2000, не может быть частью леса, к которому тот отно сится, Возможности леса позволяют компаниям конструировать информационное про странство предприятия из отдельных, четко определенных, несвязанных про странств имен. В некоторых условия желательно создать отдельное пространстио имен, например пространство имен приобретенной компании, которое изменяться не должно. Для бизнес-модулей с четко заданными DNS-именами можно создавать дополнительные деревья. Пример такой организации показан на рис. 1-7.

- Отношения доверия Acqtiired.com - дерево приобретенной компании Дерево Reskit.com reskit.com eu.reskit.com calif.noam.reskit.com Рис. 1-7. Пример леса из двух деревьев Служба каталогов Active Directory 16 ЧАСТЬ У доменов леса Active Directory общие схема, конфигурация и глобальный ката лог, а созданные между ними доверительные отношения позволяют пользователям в каждом из доменов получать доступ к ресурсам в других доменах дерева.

Примечание Схема и конфигурация используются совместно, так как находятся в отдельных логических разделах каталога, реплицируемых в контроллеры каждого из доменов леса. (Подробнее о разделах каталогов Ч в главе 2 Хранение данных в Active Directory.) Данные определенного домена реплицируются только в кон троллеры этого домена. (Подробнее о репликации Ч в главе 6 Репликация Active Directory.) Глобальный каталог - это контроллер домена, хранящий все объекты всех доменов леса Active Directory;

это позволяет проводить поиск на уровне леса, а не отдельных деревьев.

Подробнее о конфигурации, схеме и глобальном каталоге Ч в главе 2 Хранение данных в Active Directory. Подробнее о поиске в Active Directory Ч в главе 3 Раз решение имен в Active Directory.

Корневой домен леса Первый созданный в лесу домен называется корневым доменом леса. Его нельзя удалить, изменить или переименовать. В момент создания нового дерева указыва ется корневой домен начального дерева, и между корневыми доменами этого дере ва и леса устанавливаются доверительные отношения. Аналогично устанавливают ся доверительные отношения между корневым доменом третьего дерева и корне вым доменом леса. Будучи транзитивными и двусторонними, доверительные отно шения автоматически устанавливаются между корневыми доменами третьего и вто рого дерева.

Составное имя корневого домена леса используется для поиска разделов конфигу рации и схемы в пространстве имен. Составные имена контейнеров конфигурации и схемы в Active Directory всегда изображаются в виде дочерних объектов корне вого домена леса. Например, в дочернем домене noam.reskit.com составное имя кон тейнера конфигурации - cn=configuration,c=reskit,c=com, а составное имя контей нера схемы Ч cn=schema,cn=configuration,dc=reskit,dc=com. Однако это всего лишь соглашение о логическом местонахождении этих контейнеров. В действительности они не являются дочерними объектами корневого домена леса, так же как раздел ка талога схемы Ч не часть раздела каталога конфигурации. Схема и конфигурация это отдельные разделы каталога. Каждый контроллер домена в лесу хранит свою копию разделов конфигурации и схемы, и у всех этих копий - одинаковое состав ное имя.

В процессе установки Active Directory на компьютер под управлением Win dows 2000 Server конфигурация и данные схемы копируются па новый сервер с ро дительского домена. Обновления конфигурации и схемы реплицируются во все контроллеры доменов леса, а распространение этих данных гарантирует, что на каж дом контроллере имеется информация о топологии репликации и обо всех осталь ных доменах, объединенных доверительными отношениями, что позволяет нахо дить и использовать ресурсы в других доменах. (Подробнее о поиске информации в Active Directory Ч в главе 3 Разрешение имен в Active Directory.) Примечание Active Directory roolDSE - это условный (фигуральный) объект, у которого нет составного LDAP-имеии;

он также не является настоящей записью Логическая структура Active Directory ГЛАВА каталога и представлен пустым именем (" "). Тем не менее у него есть атрибуты, и LDAP различает его как rootDSE и использует в качестве точки входа в каталог.

Нужно четко различать этот корень Ч набор атрибутов, используемых LDAP для подключения к конкретному отделу каталога на конкретном контроллере домена, Ч и корневой домен леса. Кроме того, оба этих корня отличаются от пустого кор ня иерархии DNS, представленного точкой (".") и используемого как точка входа в иерархию DNS.

Подробнее об атрибутах rootDSE и дереве каталогов Ч в главе 2 Хранение дан ных в Active Directory. Подробнее о корне DNS в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Доверительные отношения Безопасность в совокупности доменов Active Directory обеспечивается посредством междоменных доверительных отношений. При наличии таких отношений механизм проверки подлинности каждого из доменов доверяет аналогичному механизму всех остальных доверенных доменов. Проверка подлинности пользователя (или прило жения) одним из доменов принимается остальными доверяющими ему доменами, и тот получает доступ к ресурсам, находящимся под управлением доступом в дове ряющем домене.

Примечание При обсуждении доверительных отношений доступ к ресурсам все гда подразумевает ограничения системы управления доступом. Доверительные от ношения позволяют пользователям и компьютерам проходить проверку подлинно сти в домене, а управление доступом разрешает им обращаться к ресурсам (фай лам, папкам и виртуальным контейнерам), к которым у них есть доступ, и закрыва ет им доступ (или даже видимость) к запретным для них ресурсам. Подробнее об авторизации ресурсов -- в главе 12 Управление доступом, Транзитивные и нетранзитивные доверительные отношения В Windows NT версий 3.51 и 4.0 доверительные отношения создавались только явно и только в одном направлении. Двусторонние доверительные отношения станови лись результатом задания двух односторонних отношений доверия. Домены разре шалось связывать явными одно- или двусторонними доверительными отношения ми для управления доступом к ресурсам, но это никак не зависело от любых дру гих видов взаимоотношений доменов.

В Windows 2000 домены можно объединять в деревья или лес, при этом каждый дочерний домен автоматически связывается двухсторонними транзитивными дове рительными отношениями с родителем. Под транзитивностью подразумевается, что при установлении доверительных отношений с одним доменом, такие же отноше ния автоматически распространяются на все домены, которому доверяет данный домен. Транзитивные доверительные отношения автоматически устанавливаются между всеми доменами Ч членами дерева или леса доменов. По этой причине со здаваемый внук автоматически перенимает существующие доверительные отно шения между родительским и дочерними доменами и наоборот. Например, если подлинность учетной записи пользователя подтверждена родительским доменом, го пользователь получает доступ к ресурсам домена-внука. Точно так же пользователь, Служба каталогов Active Directory 18 ЧАСТЬ подлинность которого подтверждена дочерним доменом, получает доступ к ресур сам обоих доменов Ч как родителя, так и внука.

В результате транзитивности в Windows 2000 устанавливаются полные доверитель ные отношения между всеми доменами леса Active Directory: у каждого домена имеются транзитивные доверительные отношения с его родительским доменом, а у каждого корневого домена дерева такие же отношения устанавливаются с корне вым доменом леса.

Примечание Б Windows 2000 транзитивные доверительные отношения всегда дву сторонние.

В случае необходимости разрешается явно установить нетранзитивные доверитель ные отношения м.ежду доменами Windows 2000. Например, такие отношения могут быть созданы между двумя доменами Windows 2000, относящимися к разным лесам.

Доверительные отношения между доменами Windows 2000 и Windows NT 4.0 всегда петранзитивиы. Если один из них Ч домен учетной записи, а другой Ч домен ресур са, то обычно создаются односторонние доверительные отношения. С другой сторо ны, если в обоих доменах имеются пользовательские учетные записи, то между ними обычно создается пара встречных односторонних доверительных отношений.

Доверительные отношения между двумя доменами, независимо от их типа одно сторонние или двусторонние, транзитивные или нетранзитивные - хранятся в Active Directory как объекты учетной записи междоменных доверительных отно шений.

Подробнее о природе и управлении объектами междоменных доверительных отно шений в главе 11 Проверка подлинности. Подробнее о доверительных отно шениях в смешанных средах Ч в книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

Направление доверительных отношений В описании доверительных отношений стрелки иллюстрируют направление дове рительных отношений между доменами.

Х Если В Ч домен-доверитель, а А - доверенный домен, то запись ВЧ>А указы вает на то, что домен В доверяет домену А (это же соотношение можно записать и в виде А<ЧВ).

Х Когда домен В доверяет домену А (В ->А), пользователи, учетные записи кото рых находятся в домене А, смогут пройти проверку подлинности для доступа к ресурсам в домене В. Однако пользователи с учетными записями в В не будут аутентифицированы для доступа к ресурсам А.

Иерархия доменов Windows 2000 базируется на доверительных отношениях. Меж ду родительским и дочерним доменами в Active Directory устанавливаются двусто ронние доверительные отношения (А< Ч>В) со следующими ограничениями:

Х родственные отношения между парой доменов в дереве заданы субординацией имен. Например, noam.reskit.coni потомок reskit.com, в то время когда noam.com не является потомком reskit.com. Доверительные отношения типа ро дитель Ч потомок требуют как родственных отношений (родитель потомок), так и направления доверия: домен Л может быть родителем дометта В только при условии, что ВЧ>А и имя В подчинено имени А;

ГЛАВД 1 Логическая структура Active Directory Х при добавлении в дерево нового домена в качестве потомка автоматически уста навливаются двусторонние транзитивные родственные доверительные отноше ния.

Примечание Для автоматического конфигурирования топологии репликации тре буется, чтобы все доверительные отношения между родителями и потомками были двусторонними и транзитивными.

Использование двусторонних транзитивных доверительных отношений сокращает время на их управление, уменьшая более чем наполовину количество нуждающих ся в управлении доверительных отношений. Это проиллюстрировано на схеме, при веденной на рис. 1-8.

Автоматически создаваемые Заданные явно двусторонние двусторонние доверительные отношения доверительные отношения между между доменами в Windows доменами в Windows NT 4. Рис. 1-8. Двусторонние доверительные отношения в Windows NT 4. и Windows Протоколы проверки подлинности Для проверки подлинности пользователей и приложений в Windows 2000 можно выбрать один из двух протоколов проверки подлинности - Kerberos v5 или NTLM.

Выбор протокола зависит от возможностей клиентов и сервера. Если клиент не поддерживает Kerberos (например, компьютер под управление Windows NT 3. или 4.0), используется протокол NTLM, работающий по схеме запрос Ч ответ.

И аналогично, если сервер ресурса не поддерживает Kerberos, клиент может при менить NTLM для проверки подлинности в нем.

По умолчанию для сетевой аутентификации в Windows 2000 используется Kir beros v5, в то время когда протокол NTLM по умолчанию поддерживается компью терами под управлением Windows NT 4.0, Windows 95 и Windows 98, на которых ра ботает клиент распределенных систем (Distributed Systems Client). NTLM поддержи вается в Windows 2000 для совместимости. В ситуациях, в которых можно выбрать между Kerberos v5 или NTLM, в Windows 2000 всегда выбирается Kerberos v5.

При проверке подлинности в доменах Windows 2000 по протоколу Kerberos v5 не обходимо соблюдать несколько условий:

Х пользователь должен входить в систему по учетной записи домена Windows 20011;

Служба каталогов Active Directory 20 ЧАСТЬ Х входящий в систему компьютер должен работать под управлением Windows 2000;

Х входящий в систему компьютер должен быть членом домена Windows 2000;

Х учетные записи компьютера и пользователя должны относиться к одному лесу.

Если хотя бы одно из этих условий не соблюдается (например, компьютер под уп равлением Windows NT 3.51 или 4.0, учетная запись пользователя в домене Win dows NT 3.51 или Windows NT 4.0), для проверки подлинности входа в систему применяется протокол NTLM.

Между протоколами NTLM и Kerberos существуют значительные различия:

Х в NTLM для проверки реквизитов клиента сервер должен обратиться в службу проверки подлинности на контроллере домела. Для этого он пересылает эти рек визиты в контроллер домена, в котором хранится учетная запись этого клиента;

Х при использовании протокола Kerberos сервер не обязан обращаться к контрол леру домена. Клиент получает билет на доступ к данному серверу, запросив его (билет) у контроллера домена, на котором хранится учетная запись сервера;

про верка действительности билета проходит на самом сервере.

Подробнее о протоколах проверки подлинности Kerberos v5 и NTLM Ч в главе Проверка подлинности.

Путь доверительных отношений Путь доверительных отношений - это ряд доверительных отношений между доме нами, которым должны следовать запросы на проверку подлинности. Например, когда пользователь запрашивает информацию, находящуюся на сервере другого домена, домену необходимо проверить подлинность этого пользователя. Но преж де всего служба безопасности Windows определяет состояние доверительных отно шений между пользовательским и запрашиваемым доменами. Для этого вычисля ется путь доверительных отношений между контроллерами этих доменов.

В модели распределенной безопасности Windows 2000 для каждого клиента и сер вера определен прямой путь доверительных отношений с контроллером своего домена. Этот путь поддерживается службой Net Logon (Сетевой вход в систему) по аутентифицированному подключению механизма удаленного вызова процедур (remote procedure call, RFC) к контроллеру домена. Кроме того, этот защищенный канал распространяется на другие домены Windows 2000 через междоменные доверитель ные отношения и используется для получения и проверки информации, связанной с безопасностью, в том числе идентификаторов безопасности (security ID, SID) пользователей и групп.

Каждый домен Windows 2000 располагает сведениями обо всех остальных доменах леса, а также обо всех внешних доменах, с которым связан какими-либо довери тельными отношениями. Подобная информация используется при поиске кратчай шего пути проверки подлинности. Создавая путь доверия, домен сначала выясняет, не является ли он сам искомым, а затем проверяет наличие сокращенных довери тельных отношений (shortcut trust relationships) с запрашиваемым доменом. В слу чае неудачи он перенаправляет запрос родительскому домену (поскольку, по опре делению, потомок доверяет родителю). Однако, если между родителем и потомком нет транзитивных доверительных отношений, то запрос будет отклонен. Если, пройдя по всей цепочке, запрос попадет в корневой домен, тот переадресует его в Логическая структура Active Directory ГЛАВА другой корневой домен дерева леса или при наличии внешних доверительных от ношений Ч в домен другого леса.

Примечание Сокращенные доверительные отношения создаются явно и служат для сокращения пути доверия между доменами одного леса.

При перенаправлении запроса на проверку подлинности вычисляется путь либо сквозной проверки подлинности по протоколу NTLM, либо переадресации по про токолу Kerberos на основании информации об обычных и сокращенных доверитель ных отношениях между деревьями. При этом сокращенные доверительные отноше ния позволяют обойти вышестоящие домены. На каждом уровне дерева выполи и ется проверка на наличие сокращенных доверительных отношений с искомым до меном, и, если они обнаруживаются, вышестоящий домен в дереве не проверяется.

Обработка перенаправления проверки подлинности Переадресация проверки подлинности, в процессе которой проверяется направле ние и вид (транзитивные или нет) доверительных отношений, по-разному обраба тывается протоколами проверки подлинности Windows.

Протокол проверки подлинности Kerberos v При применении протокола Kerberos v5 клиент запрашивает у контроллера своего домена билет на доступ к серверу в искомом домене. Центр распространения клю чей (Kerberos Key Distribution Centre, KDC), выполняя роль доверенного посред ника между клиентом и сервером, предоставляет взаимодействующим сторонам (в нашем случае клиенту и серверу) ключ сеанса, предназначенный для их взаимной проверки подлинности. Если искомый и текущий Ч разные домены, то для опреде ления возможности перенаправления запроса КОС выясняет следующие вопросы.

Х Доверяет ли искомый домен текущему напрямую?

Х Да Ч клиент перенаправляется на требуемый домен.

Х Нет Ч переход к следующему действию, Х Установлены ли транзитивные доверительные отношения между текущим доме ном и следующим доменом на пути доверительных отношений?

Х Да -- клиент перенаправляется на следующий домен на пути доверительных отношений.

Х Нет Ч клиенту передается сообщение об отклонении запроса на вход в домен.

Протокол проверки подлинности NTLM При применении протокола NTLM исходный клиентский запрос на проверку под линности передается непосредственно на сервер ресурса в искомом домене, а сер вер в свою очередь пересылает реквизиты пользователя контроллеру домена, хра нящему учетную запись компьютера. Контроллер проверяет учетную запись пользо вателя по своей базе данных учетных записей безопасности. Не обнаружив ее, кон троллер домена в процессе принятия решения переадресовать или отклонить зап рос Ч выясняет следующие вопросы.

Х Доверяет ли искомый домен текущему напрямую?

Х Да Ч контроллер домена посылает реквизиты клиента в контроллер домена пользователя для сквозной проверки подлинности.

22 ЧАСТЬ 1 Служба каталогов Active Directory Х Нет Ч переходит к следующему действию.

Х Установлены ли транзитивные доверительные отношения между текущим доме ном и доменом пользователя?

Х Да запрос на аутентификацию передастся следующему домену на пути доверительных отношений, на котором повторяется проверка удостоверения пользователя по базе учетных записей безопасности.

Х Нет Ч клиенту передается сообщение об отклонении запроса на вход в домен.

Подробнее о протоколе NTLM и механизмах проверки подлинности в Kerbcros v Ч в главе 11 Проверка подлинности. Подробнее об объектах перекрестных ссы лок в контейнере конфигурации Ч в главе 3 Разрешение имен в Active Directory.

Типы доверительных отношений Существует несколько типов доверительных отношений, устанавливаемых с доме нами Windows 2000.

Доверительные отношения по корню дерева (tree-root trust relationship) устанав ливаются в момент добавления п лес нового дерева. Процесс установки Active Directory автоматически создает доверительные отношения между создаваемым доменом (новый корень дерева) и корневым доменом леса. У этого типа отноше ний есть следующие ограничения:

Х они устанавливаются только между корнями деревьев одного леса;

Х они бывают только транзитивными и двусторонними.

Родственные доверительные отношения, или доверительные отношения роди тель Ч потомок (parent-child trust relationship), устанавливаются в момент созда ния нового домена в дереве. Процесс установки Active Directory автоматически создает доверительные отношения между новым доменом и непосредственно вы шестоящим доменом в иерархии пространства имен (например, при создании noani.rcskit.com как потомка reskit.com). Родственные доверительные отношения имеют следующие особенности:

Х возможны только между двумя доменами одного дерева и в одном пространстве имен;

Х дочерний домен всегда доверяет родительскому;

Х в Windows 2000 они обязательно транзитивны и двухсторонни. Последнее по зволяет реплицировать глобальную информацию каталогов по всей иерархии.

Сокращенные доверительные отношения (shortcut trust relationship), или перекре стные доверительные отношения (cross-link trust relationship), создаются вручную для повышения эффективности удаленного входа в систему посредством сокраще ния пути доверительных отношений. Например, если пользователям домена А час то приходится обращаться к ресурсам домена С, то можно создать сокращенный путь доверительных отношений в обход домена В, через который проходит обыч ный путь доверия. Сокращенные доверительные отношения имеют следующие осо бенности:

Х устанавливаются между любыми двумя доменами одного леса;

Х задаются явно в каждом из направлений;

Х обязательно должны быть транзитивными.

ГЛАВА 1 Логическая структура Active Directory Внешние доверительные отношения (external trust relationship) создаются вручную между доменами Windows 2000, находящимися в различных лесах, или между до меном Windows 2000 и доменом с контроллером под управлением Windows NT 4, или более ранней версии. Внешние доверительные отношения имеют следующие особенности:

Х они однонаправленны;

Х для создания двухсторонних внешних доверительных отношений требуется за дать явно в каждом из направлений;

Х они нетрапзитивны.

Доверительные отношения со сферой Kerberos не под управлением Windows (non-Windows Kerheros realm trust relationship) устанавливаются между доменом Windows 2000 и сферами, поддерживающими протокол Kerberos и базирующимися на отличных от Windows системах (сферами MIT Kerberos). Этот тин доверитель ных отношений обеспечивает взаимодействие со службами безопасности на других платформах на основе протокола Kerberos v5. (Подробнее о взаимодействии со сфе рами MIT Kerberos и установлении доверительных отношений между такими сфе рами и доменами Windows 2000 - на Web-странице windows2000/reskit/webresources (см. ссылку на Microsoft Windows 2000 Server, a также ссылки Deployment и Security Services).

Этот тип доверительных отношений характеризуется следующими особенностям и:

Х поддерживаются только для Kerberos v5 и не поддерживаются для NTLM и дру гих протоколов проверки подлинности;

Х по умолчанию однонаправлены. При создании двухсторонние внешние довери тельные отношения требуется задать явно в каждом из направлений;

Х по умолчанию нетранзитивны;

Х когда доверие направлено от сферы Kerberos не под управлением Windows к домену Windows 2000, эта сфера доверяет всем участникам безопасности (security principals) домена Windows 2000;

Х когда доверие направлено от домена Windows 2000 к сфере Kerberos не под уп равлением Windows 2000 (сферы на основе MIT), для внешних сущностей этой сферы Kerberos в Active Directory создаются особые локальные учетные записи.

Для определения степени доступа к обладающим дескрипторами безопасности объектам домена домен Windows 2000 использует учетные записи, созданные и поставленные в соответствие участникам безопасности внешней по отношению к Windows 2000 сферы. Необходимость этих особых учетных записей обуслов лена тем, что билеты Kerberos отличных от Windows систем не содержат псе необходимые для Windows 2000 данные. Такие замещающие учетные записи: в Windows 2000 могут использоваться в группах и списках управления доступом (access control list, ACL) для управления доступом отличного от Windows участника безопасности.

Учетные записи MIT-сфер управляются в оснастке Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры). (Подробнее о взми модействии с MIT Kerberos и управлении внешними сущностями KerberosЧ на Web-странице (см.

ссылку Microsoft Windows 2000 Server, а также ссылки Deployment и Security Services).

Служба каталогов Active Directory 24 ЧАСТЬ Примечание Вновь создаваемые с помощью оснастки Active Directory Domains and Trusts (Active Directory -- домены и доверие) доверительные отношения со сфера ми MIT Kerberos являются односторонними и нетранзитивными. Для установле ния двусторонних транзитивных отношений можно воспользоваться служебной программой Netdom (Netdom.exe). Netdom также разрешается применять для на стройки уже созданных в Active Directory доверительных отношений этого типа средствами оснастки Active Directory Domains and Trusts. Например, чтобы преоб разовать нетранзитивные отношения в транзитивные, надо задать в Netdom пара метр /Transitive:yes. (Чтобы наладить доступ к Netdom, Вам придется установить служебные программы, находящиеся в папке Support\Tools на компакт-диске с опе рационной системой Windows 2000 Server. Для этого достаточно дважды щелкнуть значок Setup этих программ.) Подробнее об использования Netdom Ч в справоч ной системе Microsoft Windows 2000 Support Tools.

Для управления доверительными отношениями используйте оснастку Active Di rectory Domains and Trusts (Active Directory Ч домены и доверие). Для этого нуж но открыть окно Properties (Свойства) требуемого домена. В нем на вкладке Trust (Доверия) расположены два списка: в одном Ч Domains trusted by this domain (До мены, которым доверяет этот домен) перечислены домены, которым доверяет данный, а в другом Ч Domains that trust this domain (Домены, которые доверяют этому домену) Ч указаны домены, доверяющие данному.

Подробнее о создании доверительных отношений средствами оснастки Active Directory Domains and Trusts Ч в справочной системе Windows 2000 Server. Под робнее о планирования доверительных отношений Ч в книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

Доверительные отношения между доменами Windows 2000 и Windows NT 4. Домены Windows 2000 и Windows NT 4.0 могут доверять друг другу. Если между доменами явно заданы однонаправленные доверительные отношения (и только тог да) пользователи любого их них получают право проходить проверку подлинности в другом домене и получать доступ к ресурсам.

В приведенных ниже примерах показано влияние направления доверительных от ношений между доменами Windows 2000 и Windows NT 4.0.

Х А (домен Windows 2000) Ч> В (домен Windows NT 4.0). В этом случае пользо ватели домена В имеют доступ только к ресурсам домена А, а к ресурсам других доменов дерева Ч нет.

Х В (домен Windows NT 4.0) Ч> А (домен Windows 2000). В этом случае только пользователи домена А (и никаких других доменов данного дерева) имеют дос туп к ресурсам В.

Вид доверительных отношений в Windows 2000 с точки зрения компьютера под управлением Windows NT 4.0 зависит от типа домена, к которому он принадлежит:

Х в домене основного (native) режима клиент увидит полное перечисление доме нов леса;

Х в домене смешанного (mixed) режима клиент увидит только те домены, которым непосредственно доверяет его домен. В домене смешанного режима клиент может использовать резервный контроллер домена под управлением Windows NT 4.0.

Логическая структура Active Directory ГЛАВА 1 Независимо от операционной системы контроллера Ч Windows NT 4.0 или Windows 2000 Ч клиент получит один и тот же ограниченный список доменов.

Пример среды смешанного режима На рис. 1-9 показан пример среды смешанного режима, состоящей из двух лесов Windows 2000 и домена Windows NT 4.0 и объединяющей четыре отдельных про странства имен: A.com, D.com, G.com, и F Лес 1 Лес Односторонние Двусторонние транзитивные нетранзитивные доверительные отношения внешние доверительные между корнями деревьев отношения f A.com Двусторонние транзитивные доверительные отношения типа "родитель Ч потомок 1 i3i Односторонние С.А.сот т р а н з и т и в н ы е E.D.corn Н.G.com сокращенные доверительные отношения i Односторонние нетранзитивные внешние доверительные отношения Домен Windows NT 4. Рис. 1-9. Среда смешанного режима, состоящая из двух лесов Windows и домена Windows NT 4. На рис. 1-9 показаны:

Х А.сот и D.com Ч корни отдельных деревьев леса 1, объединенных двухсторон ними транзитивными доверительными отношениями корней, что обеспечивает полное доверие типа всех-со-всемил1ежду доменами двух деревьев этого леса;

Х E.D.cora использует ресурсы в С.А.сот для ежедневных деловых операций, по этому для простоты между этими двумя доменами созданы сокращенные дове рительные отношения. Сокращение пути за счет уменьшения числа переходов от трех (от Е.D.com к D.com, от D.com к А.сот и от А.сот к С.А.сот) до одного (от E.D.com к C.A.coni) позволяет ускорить проверку подлинности;

Х G.com Ч корень единственного дерева, из которого состоит лес 2. Двухсторон ние, транзитивные доверительные отношения между G.com и Н.G.com позволя ют обоим доменам использовать ресурсы друг друга;

Х домен G.com леса 2 связан явно заданными односторонними внешними довери тельными отношениями с доменом D.com леса 1;

пользователи D.com допуще ны к ресурсам домена G.com. Поскольку такие доверительные отношения не Служба каталогов Active Directory 26 ЧАСТЬ транзитивны, то у всех остальных доменов леса 1 нет доступа к ресурсам G.com, а у D.com - к ресурсам Н.G.com;

Х домен F Ч это домен Windows NT 4.0, предоставляющий услуги по поддержке пользователям домена Е.D.com. Нетранзитивные доверительные отношения, объе диняющие его с E.D.com, не распространяются на остальные домены леса 1.

Объекты Active Directory Объекты Active Directory представляют физические объекты, из которых состоит сеть. Объект это экземпляр класса. Класс определяется в схеме Active Directory как определенный набор обязательных и дополнительных атрибутов. Кроме того, он содержит правила, задающие порядок наследования, то есть классы, объекты которых могут порождать (быть родителями) объекты данного класса. Все атрибу ты также определены в схеме каталога Ч для каждого из них задан синтаксис его допустимых значений.

В момент создания объекта в Active Directory задаются его атрибуты в соответствии со структурой его класса и правилам схемы каталога. Например, при создании объекта пользователь необходимо указать значения имени и фамилии, иденти фикатор входа в систему (в соответствии со схемой Ч обязательные атрибуты без которых объект создан не будет), а также, вероятно, другие значения, такие, как помер телефона и адрес.

Для определения обязательных и дополнительных атрибутов, а также их вида, то есть структуры данных и ограничений синтаксиса, приложения, создающие или модифицирующие объекты в Active Directory, используют схему каталогов. Таким образом, лоднообразие всех объектов обеспечивается поддержкой единой схемы для всего леса.

Объекты подразделяются на конечные (или листовые) и контейнеры. Контейнеры могут содержать другие объекты Ч тогда они занимают определенное положение в древовидной иерархии в иерархии поддеревьев. Класс является контейнером, если хотя бы в одном из остальных классов он определен в качестве возможного над класса. Конечный, листовой объект не может содержать другие объекты и поэтому занимает конечную позицию в древовидной иерархии.

Подробнее о хранении объектов Active Directory Ч в главе 2 Хранение данных в Active Directory*- Подробнее о схеме каталогов Ч в главе 4 Схема Active Directory.

Именование объектов Основным протоколом доступа в Active Directory является LDAP. Его требования к форматам имен объектов каталога указаны в RFC 1779 и RFC 2247.

Составное имя Поиск объектов доменов Active Directory выполняется но иерархическому пути, включающему метки имен доменов и каждого из контейнерных объектов. Полный путь к объекту задается составным именем (distinguished name, DN), а имя самого объекта Ч относительным составным именем (relative distinguished name, RDN).

Охватывая полный путь к объекту, включающий имя объекта и всех его родителей, начиная с корня домена, составное имя уникально (указывает только на данный объект) и однозначно (в каталоге нет другого объекта с данным именем) иденти ГЛАВА 1 Логическая структура Active Directory фицирует объект в иерархии доменов и позволяет LDАР-клиенту получить в ката логе сведения об этом объекте.

Например, пользователь по имени James Smith работает в отделе маркетинга компа нии в должности координатора рекламных кампаний. По этой причине его пользо вательская учетная запись размещена в подразделении, объединяющем учетные за писи сотрудников отдела маркетинга, занимающихся рекламными кампаниями.

Идентификатор пользователя James Smith J Smith, а работает он Североамери канском (North American) филиале компании. Корневой и локальный домены ком пании - reskit.com и noam.reskit.com соответственно. На рис. 1-10 показаны ком поненты, из которых состоит составное имя объекта пользователя JSmith в домене noam.reskit.com.

cn=JSmith,ou=Promotions,ou=Marketing,dc=noam,dc=reskit,dc=corn | етка доменного имени (Domain Component) =(jorn f _j_ Mетка доменного имени (Domain Component! =reskit Mетка доменного имени (Domain ComporjenlJ =noam \ П >дразделение (Organizational Unit)=f|arketing J Пздразделение (Organizational (Jm|}=Prornotions Идентификатор пользователя (Common Name)=JSmith Рис. 1-Ю. Составное имя объекта-пользователя JSmith Примечание Оснастки Active Directory не отображают LDAP-сокращения при име новании меток доменных имен (dc=), организационных единиц (ои=), общего име ни (сп=) и т. д. Эти сокращения показаны только для иллюстрации LDAP-формата составного имени. Большинство служебных программ Active Directory отображает имена объектов в канонической форме (подробнее Ч далее в этой главе). Состав ные имена довольно трудны для запоминания, поэтому в Active Directory поддер живается поиск по атрибуту (например, по номеру здания, где может находиться искомый принтер), то есть, чтобы найти объект, не обязательно знать его полное составное имя. (Подробнее о поиске в Active Directory в главе 3 Разрешение имен в Active Directory.) Относительное составное имя Относительное составное имя (relative distinguished name, RDN) Ч это часть име ни объекта, являющаяся атрибутом его самого и отличающая его от других объек тов па одном уровне иерархии имен. В примере, приведенном на рис. 1-10, относ и тельное составное имя объекта пользователя Ч JSmith, а родительского объекта Ч Users. Но умолчанию максимальная длина относительного составного имени Ч символов, но в схеме каталога могут быть заданы дополнительные ограничения на Служба каталогов Active Directory 28 ЧАСТЬ атрибуты. Например, длина атрибута сп, который часто используется в качестве относительного составного имени, не может превышать 64 символа.

Относительные составные имена в Active Directory уникальны среди потомков од ного родителя, то есть в одном родительском контейнере не могут существовать два объекта с одним RDN. Однако, два объекта одного каталога могут иметь одинако вые относительные составные имена и оставаться уникальным, находясь в разных :

родительских контейнерах. Например, объект cn=JSmith,c= noam,c=regkit,c=com рассматривается LDAP отличным от объекта cn=JSmith,c=reskit,c=com.

Относительные составные имена всех объектов, а также ссылки на родительские объекты, хранятся в базе данных Active Directory. При выполнении LDAP-операции полное составное имя реконструируется путем прохождения по ссылкам вплоть до имени корневого домена. (Подробнее о LDAP-операциях Ч в главе 3 Разрешение имен в Active Directory.) Атрибуты именования Как было показано ранее, имя объекта состоит из совокупности относительных со ставных имен, представляющих как его самого, так и все объекты, находящиеся в иерархии выше него вплоть до корневого. Каждая часть составного имени имеет вид тип_атрибута=значение (например, cn=JSmith). Тип атрибута, используемого для описания относительного составного имени (в данном случае сп =), называется атрибутом именования (naming attribute). При создании нового класса в схеме Active Directory (то есть нового объекта класса>

В таблице 1-1 приведены атрибуты именования, используемые в Active Directory в соответствии с RFC 2253.

Таблица 1-1. Принятые по умолчанию в Active Directory атрибуты именования Класс Форма экранного представления LDAP-имя атрибута именования имени атрибута Common-Name (Обшее имя) user сп Organizational-Unit-Name organizationalUmt oti (Имя подразделения) Domain-Component (Имя домена) domain dc Другие атрибуты именования, описанные в RFC 2253, такие, как о= для имени орга низации и с= для названия страны/региона, в Active Directory не используются, хотя LDAP их и поддерживает.

Нужно понимать, что составные и относительные составные имена, а также атри буты именования применяются только при создании программ для LDAP, исполь зовании интерфейсов службы Active Directory (Active Directory Service Interfaces, ADSI) или других языков сценариев или программирования. В Windows 2000 за дания этих значений не требуется.

Логическая структура Active Directory ГЛАВА 1 Подробнее о создании новых объектов класса dassSchema Ч в главе 4 Схема Active Directory. Дополнительную информацию о работе с ADSI Вы найдете па Web странице ссылка Microsoft Platform SDK.

Индивидуальность и уникальность объекта В дополнение к своему составному имени у каждого объекта Active Directory име ется идентификатор, по которому служба каталогов Active Directory их различает и который не изменяется при перемещении или переименовании объекта. Этот идентификатор называется глобально уникальным идентификатором (globally uni que identifier, GUID) и имеет вид 128-разрядного номера, присваиваемого объекту в момент его создания. GUID хранится в защищенном от изменения и удаления атрибуте objectGUID, имеющемся у каждого объекта. В отличие от составного или относительного составного имен, которые можно изменять, GUID модифицировать нельзя. При создании ссылки на объект Active Directory во внешнем хранилище (например, в базе данных типа Microsoft SQL Server) необходимо использова гь значение objectGUID, Форматы имен Active Directory Служба каталогов Active Directory поддерживает несколько форматов имен объек тов, служащих для совместимости с различными формами представления имен в зависимости от их происхождения. Административные инструментальные средства Active Directory отображают строку имени в заданном по умолчанию каноничес ком формате. Ниже перечислены форматы, поддерживаемые Active Directory и ба зирующиеся на составных именах LDAP.

Составные имена LDAP. LDAP версий 2 и 3 поддерживает соглашения об имено вании, определенные в документах RFC 1779 и RFC 2247 и предусматривающие следующую форму представления:

сп=общее_имя,ои=подразделенне,о=наэвание_организацин, с=страна_или_регион В Active Directory вместо о= используется метка доменного имени домена (dc) и не поддерживается с=. В LDAP-представлении составного или относительного со ставного имени иерархия представлена слева направо, начиная с оконечного объек та и заканчивая именем корня, как показано ниже:

cn=jsmith,ou=promotions,ou=markBting,dc=noam,dc=reskit,dotcom LDAP URL-адреса используются в Active Directory при создании сценариев. В LDAP URL-адресах сначала указывается сервер службы каталогов Active Directory, а после него атрибуты имени объекта (составное имя):

LDAP://serveг1.noam.reskit.com/cn=jsmith,ou=promotlons, ou=inarketing, dc=noam,dc=reskit,dc=com Каноническое имя (Active Directory Canonical Name). По умолчанию Windows отображает имена объектов в каноническом виде, в котором корень предшествует составному имени объекта без тегов атрибутов LDAP (таких, как сп= или dc=").

Сегменты имени разделяются косой чертой (/). Например, для приведенного выше составного LDAP-имепи канонический вид выглядит так:

noam.reskit.com/marketing/promotions/jsmith 30 ЧАСТЬ 1 Служба каталогов Active Directory Примечание Если имя подразделения содержит прямую наклонную черту (/), то после нее необходимо вставить управляющий символ Ч обратную наклонную вле во черту (\). Это позволить системе отличить наклонную черту, разделяющую час ти канонического имени и такую же черту, являющуюся частью имени подразделе ния. Такой символ присутствует в канонических именах, представленных на стра ницах свойств оснастки Active Directory Users and Computers (Active Directory пользователи и компьютеры). Например, если имя подразделения Promotions/ Northeast, а имя домена Ч Reskit.com, то каноническое имя будет иметь вид Reskit.com/Promotions \/Northeast.

Соответствие между составными именами в DNS и ШАР Хотя между именами доменов DNS и Active Directory существует однозначное со ответствие, они не суть одно и то же. Формат имен Active Directory отличается и приспособлен для нужд идентификации объектов каталогов в LDAP. Необходимо задать взаимное соответствие (mapping) между именами доменов DNS и Active Directory, как определено в документе RFC 2247.

Доступ к Active Directory осуществляется исключительно по протоколу LDAP, в котором для выделения уникальных имен объектам каталогов используются их со ставные LDAP-имена. Алгоритм создания составного имени заключается в форми ровании строки с именами компонентов иерархии, начиная с самого объекта и за канчивая корневым объектом дерева доменов. Такой алгоритм автоматически со здает соответствие между составными LDAP-именами и именами доменов DNS. В нем каждой метке домена DNS ставится в соответствие атрибута-подобный тег dc (domain component, dc). Каждой метке домена DNS соответствует относительное составное имя домена Active Directory. Например, домен DNS noam.reskit.com бу дет преобразован в составное LDAP-имя dc=noam,dc=reskit,dc=com.

Имя входа в систему Уникальное имя входа в систему необходимо участникам безопасности для полу чения доступа к домену и его ресурсам. Участник безопасности (security principal) Ч это объект, к которому применимы процедуры безопасности Windows Ч провер ка подлинности и авторизация. Пользователи являются участниками безопаснос ти, они проходят проверку подлинности (проверку их аутентичности) при попыт ке входа в домен или локальный компьютер, а также авторизуются (то есть им пре доставляется или закрывается доступ) для использования ресурсов.

Существуют два типа имен, по которым клиенты входят в систему как участники безопасности.

Имя учетной записи SAM (SAM Account Name) необходимо для совместимости с доменами Windows NT 3.x и Windows NT 4.0. SAM-имена иногда называют плоски ми, поскольку из них невозможно построить какую-либо иерархию имен, и каждое имя уникально в пределах домена. Этим они отличаются от иерархических DNS имен.

Основное имя пользователя (User Principal Name, UPN) короче составного имени и проще для запоминания. Основное имя пользователя состоит из сокращенного имени пользователя и, как правило, DNS-имени дерева доменов, в котором распо лагается объект данного пользователя или любого другого выделенного имени.

ГЛАВА 1 Логическая структура Active Directory Формат основного имени пользователя состоит из имени учетной записи пользо вателя, знака @ и суффикса основного имени пользователя (суффикса UPN). Напри мер, основное имя пользователя James Smith с учетной записью в домене reskit.com может иметь вид JSmith@reskit.coin. Основное имя пользователя не зависит от со ставного имени, поэтому объект пользователя может быть перемещен или переиме нован, и это никак не повлияет на вид имени входа.

Основное имя пользователя это атрибут userPrincipalName объекта участника безопасности, принимающий по умолчанию вид @.

По умолчанию в качестве суффикса UPN будет использоваться имя домена, в ко тором создана соответствующая учетная запись (например, @reskit.com). В случае необходимости (например, когда имя домена довольно длинное и трудно запоми наемое) этот суффикс можно изменить. Кроме того, в качестве основного имсчш разрешается использовать адрес электронной почты, например: в большой оргаг.и зации с многими доменами, адрес электронной почты пользователя может иметь вид <гшя_пользователя>@<название_организацгш>.сот.

Для управления суффиксами UPK в доменах в Active Directory используется осна стка Active Directory Domains and Trusts (Active Directory Ч домены и доверие).

Чтобы добавить или удалить суффикс UPN, откройте в этой оснастке окно свойств узла Active Directory. Основные имена пользователей назначаются в процессе со здания пользователя или группы, и, если для данного домена дополнительные суф фиксы уже созданы, суффикс UPN можно выбрать из списка, Суффиксы UPN в этом списке размешаются в следующем порядке:

Х дополнительные суффиксы UPN. Первым в списке размещается последний со зданный суффикс;

Х имя корневого домена;

Х имя текущего домена.

Подробнее о создании основных имен пользователей Ч в справочной системе Microsoft Windows 2000 Server.

Контроллеры доменов Контроллер домена Ч это компьютер под управлением Windows 2000 Server, на котором работает служба каталогов Active Directory. На контроллерах доменов так же находится центр распространения ключей (КОС), отвечающий за проверку под линности входа в систему пользователей этого домена. На контроллере домена хра нятся разделы каталога (известные также как контексты именования), соответству ющие- логическим сегментам Active Directory, реплицируемым как 1 элементарные неделимые единицы:

Х разделы домена, количество которых в данном лесу (каталоге) не ограничен);

Х схема Ч единая для всего леса (каталога);

Х контейнер конфигурации единый для всего леса (каталога).

Кроме обычных разделов домена на каждом контроллере хранятся реплики схемы и конфигурации каталога. (Подробнее о разделах каталогов Ч в главе 2 Хранение данных в Active Directory.) Служба каталогов Active Directory 32 ЧАСТЬ Операции с несколькими хозяевами В домене может быть множество контроллеров домена, и каждый из них способен изменять Active Directory. Предыдущие версии Windows NT также допускали на личие многих контроллеров доменов, но только один из них Ч основной контрол лер домена (primary domain controller, PDC) Ч мог модифицировать базу данных каталога, и все изменения реплицировались с него на резервные контроллеры доме на (backup domain controller, BDC).

В Windows 2000 каждый из контроллеров домена способен изменять базу данных каталогов, и эти изменения реплицируются во все остальные контроллеры. Обыч ные рутинные операции по управлению пользователями, группами и компьютера ми обычно выполняются как операции с несколькими хозяевами (multimaster opera tions), то есть изменения осуществляются в любое время на любом из контролле ров домена.

Операции одиночного хозяина Большинство операций разрешается выполнять на любом из контроллеров домена, и результат их (например, удаление объекта-пользователя) копируется на все осталь ные контроллеры домена, хранящие копию соответствующего раздела каталога. Од нако существуют операции одиночного хозяина (single-master operations), которые дол жны выполняться в любой момент времени только в одном месте домена (то есть монопольно), и ими управляют специально выделенные контроллеры домена.

Контроллер домена, управляющий монопольными операциями, называется владель цем роли (role owner) или хозяином операций (operations master) данного тина.

(Подробнее об управлении операциями одиночного хозяина Ч в главе 7 Управле ние операциями одиночного хозяина*.) Операций одиночного хозяина, их также называют FSMO-операциями - от Flexible Single-Master Operations (произносится: физмо), несколько.

Выделение пула относительных идентификаторов. Один контроллер домена от вечает за выделение пулов относительных идентификаторов остальным контрол лерам. В совокупности с идентификатором домена относительные идентификато ры (relative ID, RID) используются для назначения идентификаторов безопаснос ти (security ID, SID) для каждого из участников безопасности Active Directory.

Уникальность этих идентификаторов в границах домена гарантируется монополь ностью таких операций, выполняемых хозяином относительных идентификаторов, который выделяет относительные идентификаторы из единого доменного пула.

Модификация схемы. Изменения одних и тех же объектов схемы различными кон троллерами способно нарушить целостность ее данных, поэтому в домене имеется только один хозяин схемы, отвечающий за любые изменения этого раздела каталога.

Эмуляция основного контроллера домена выполняется для совместимости с сер верами под управлением Windows NT 3.51 и 4.0, которые могут выполнять роль резервных контроллеров в домене Windows 2000 смешанного режима. Для эмуля ции PDC выделяется один контроллер домена под управлением Windows 2000, то есть контроллеры под управлением Windows NT 3.51 и Windows NT 4.0 восприни мают его как основной контроллер домена.

Подробнее о переходе с доменов Windows NT 3.51 и Windows NT 4.0 к доменам Windows 2000 Ч в книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 2000).

Логическая структура Active Directory ГЛАВА Определенные изменения инфраструктуры. При перемещении или удалении объек тов хозяин инфраструктуры отвечает за обновление ссылок группа Ч пользова тель* при переименовании или изменении членов группы.

Именование доменов. Хозяин именования доменов управляет операциями добав ления или удаления доменов в составе леса и отвечает за уникальность доменных имен леса и поддержку объектов перекрестных ссылок па внешние каталоги.

Подробнее об управлении ролями хозяев FSMO-операций Ч в главе 7 Управле ние операциями одиночного хозяина.

Серверы глобального каталога Каждый контроллер домена в лесу хранит три полных (доступных для записи) раз дела каталога: домена, схемы и конфигурации. Глобальный каталог (Global Catalog, GC) Ч это контроллер домена, содержащий кроме этих изменяемых разделов час тичные реплики (только для чтения) всех остальных разделов каталогов доменов леса. Частичными они называются потому, что, хотя в совокупности они и содержат все объекты каталогов, набор атрибутов каждого из этих объектов ограничен. Гло бальный каталог автоматически создается системой репликации Active Directory, Все разделы каталогов на сервере глобального каталога, как полные, так и частич ные, хранятся в одной базе данных каталога (Ntds.dit). В этой же базе находятся атрибуты глобального каталога, рассматриваемые как некая дополнительная ин формация в базе данных каталога контроллера домена.

Сведения о новом домене, добавленном в лес, сохраняется в разделе конфигурации и попадает на сервер глобального каталога (и все остальные контроллеры доменов) посредством репликации информации, относящейся ко всему лесу. Аналогично об рабатывается информация о назначении нового сервера глобального каталога.

Атрибуты, включенные в глобальный каталог Как говорилось выше, выполняя роль контроллера домена, сервер глобального ка талога содержит один раздел домена с изменяемыми объектами, обладающими пол ным набором изменяемых атрибутов, а объекты остальных разделов каталогов до менов леса хранятся как объекты только для чтения с неполным набором атри бутов. Выбор атрибутов, попадающих в глобальный каталог, определен в схеме- и управляется флажком Replicate this attribute to the Global Catalog (Репликация этого атрибута в глобальный каталог) на страницах свойств в оснастке Active Directory Schema (Схема Active Directory). При установленном флажке значение атрибута isMemberO/PartialAttributeSet объекта attributeSchema устанавливается в TRUE, указывая на то, что атрибут будет реплицироваться в глобальный каталог в процессе стандартной репликации Active Directory. Топология репликации глобаль ного каталога автоматически создается службой проверки согласованности знаний (Knowledge Consistency Checker, KCC) Ч встроенным процессом, реализующим топологию репликации, гарантирующую доставку каждого из разделов каталога на все серверы глобального каталога. По умолчанию в глобальный каталог попадают атрибуты, включенные Microsoft в базовый набор. В соответствии с местными тре бованиями администраторы вправе определять дополнительные свойства средства ми оснастки Active Directory Schema (Схема Active Directory).

Служба каталогов Active Directory 34 ЧАСТЬ Подробнее о добавления атрибута в набор атрибутов глобального каталога Ч в справочной системе Windows 2000 Server и в главе 4 Схема Active Directory. Под робнее о службе КСС Ч в главе 6 Репликация Active Directory.

Назначение компьютера сервером глобального каталога Первый контроллер домена леса автоматически становится глобальным каталогом.

Дальнейшее назначение компьютера сервером глобальных каталогов проводится в диалоговом окне NTDS Settings Properties (Свойства NTDS Settings) в оснастке Active Directory Sites and Services (Active Directory Ч сайты и службы). В дереве консоли нужно найти объект NTDS Settings (в следующей последовательности:

Active Directory Ч сайты и службы, Sites, данный_сайт, Servers, данный _сервер, NTDS Settings) и щелкнуть его правой кнопкой мыши, после чего выбрать в кон текстном меню Properties (Свойства). Для назначения контроллера домена серве ром глобального каталога установите флажок Global Catalog Server (Глобальный каталог) на вкладке General (Общие). При этом он будет добавлен в топологию репликации глобальных каталогов и заполнен данными посредством стандартного процесса репликации. Все изменения любого из атрибутов глобального каталога в любом домене автоматически будут реплицироваться во все серверы глобального каталога.

Pages:     | 1 | 2 | 3 | 4 | 5 |   ...   | 18 |    Книги, научные публикации