Книги, научные публикации
Pages: | 1 | 2 | 3 | 4 | 5 | ... | 15 | Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...
-- [ Страница 3 ] --98 ЧАСТЬ 1 Служба каталогов Active Введение пароля администратора При обновлении переносятся все учетные записи сервера. При ус с все учетные записи и пароли [кроме учетных записей группы Power (Опытные сохраняются. В процессе установки Active Directory пользователь не может ввести другой пароль.
При удалении Active Directory можно ввести пароль учетной записи администратора, мастером установки Active Directory.
Получение реквизитов пользователя При создании нового контроллера домена установки Active Directory тре бует ввести имя и пароль административной учетной записи. Административные удостоверения мастер проверяет самостоятельно, за случая, когда со здается новый лес.
Х Чтобы создать домена в существующем домене, предоставляемых реквизитов должно быть для подключения компь ютера к реплицируемому домену и создания объекта NTDS Settings в реплици руемом контейнере конфигурации.
Х Чтобы создать дочерний домен, предоставить реквизиты члена груп пы Enterprise Admins (Администраторы предприятия).
Х Чтобы создать новый домен корня леса, также необходимо рекви зиты члена группы Enterprise Admins предприятия).
Примечание Мастер запрашивает следующие реквизиты: имя пользователя, пароль и имя домена Ч и принимает имя пользователя только в виде идентификатора пользователя для входа в систему Основное имя пользо вателя (User Principal в формате не принимается.
Если Вы вошли в систему не как администратор домена, мастер попросит ввести имя и пароль соответствующей учетной Примечание В процессе установки или удаления леса, контроллер домена, играющий роль хозяина доменов, должен быть готов и по протоколу RPC.
Подробнее о хозяине именования доменов Ч в главе 7 Управление операциями одиночного и в справочной системе Microsoft Windows 2000 Server.
Получение и проверка путей файлов В установки Active Directory задается местоположение файлов базы дан ных Active Directory, журнала и общего тома (Sysvol). В томе по умолчанию размещаются файлы Active Directory, которые обязательно должны быть открыты для общего доступа из всего домена. Системный том создается на томе NTFS v5. Установка не будет завершена, если том v5 не существует или на нем недостаточно свободного дискового пространства. Объекты системного тома создаются позже, после перезагрузки компьютера.
ГЛАВА 2 Хранение данных Active Directory Из безопасности рекомендуется устанавливать файл Ntds.dit на томе несмотря на то, что мастер установки Active Directory этого не требует.
Мастер выбрать местоположение для файла Ntds.dit, журналов Active Directory и каталога Для повышения быстродействия контроллера размещайте файл Ntds.dit и журналы Active Directory различных дисках.
Конфигурирование сайта Мастер установки Active Directory самостоятельно определяет сайт, в который бу дет добавлен новый контроллер домена. Он проверяет существующие сайты, ясь найти подсеть текущего компьютера. Если мастер не нашел подсеть в сайте, содержащем исходный контроллер домена, он выбрать один из существу сайтов для размещения компьютера. Новый сайт для данного контроллера домена можно после установки Active Directory, после чего переместить этот контроллер домена с установочного сайта в новый, Примечание В автоматической установки сайт указывается в параметре SiteName в файле ответов.
Далее порядок определения сайта.
Х Мастер установки Active Directory пытается с помощью локатора определить сайт, к которому относится компьютер. В случае неудачи (если подсеть компь ютера не связана с сайтом) мастер полагает, что новый контроллер домена надо в сайте исходного контроллера домена.
Х При установке первого домена в лесе используется заданное по умолчанию имя сайта Default-First-Site-Name.
Х правильный сайт, мастер далее проверяет наличие объекта этого сай та в Active Directory, а также существование объекта-сервера дополнительного контроллера домена.
Х Если объект-сервер не существует, мастер его создает.
Х Если объект-сервер существует, связанный с ним объект NTDS Settings уда ляется, а затем создается для нового контроллера (Объект NTDS Settings создается для каждого контроллера домена в лесу. Если он уже су мастер выполняет такие же как при переустановке кон Примечание Объект NTDS Settings для контроллера все гда создается на удаленном сервере (исходном контроллере домена). Для этот создается на компьютере, роль хозяина имено вания доменов новом домене. В контейнера конфигурации объект NTDS Settings реплицируется во все контроллеры домена. (Подробнее о хозяине именования доменов --- в главе 7 операциями одиночного хо и в справочной системе Windows 2000 Server.) ЧАСТЬ 1 Служба каталогов Active Directory Конфигурирование службы каталогов Проверив наличие всех необходимых компонентов, мастер установки Active Direc tory просит Вами параметры. После подтверждения он на чинает процесс конфигурирования службы каталогов. Этот можно отме нить, щелкнув Cancel (Отмена).
Во всех вариантах установки мастер следующие операции:
Х устанавливает значения параметров реестра;
Х устанавливает счетчики производительности Active Directory;
Х настраивает компьютер на автоматический запрос сертификата стандарта для контроллера домена от первого сертификации, который обработает от компьютера. Этот сертификат требуется для репликации по протоко лу SMTP. Подробнее сертификатах и центрах сертификации Ч в главе верка подлинности и главе 16 Службы сертификации и от крытого ключа в Windows 2000;
Х запускает службу проверки подлинности Kerberos v5. Подробнее о проверке подлинности Kerberos Ч в главе подлинности;
Х при перезапуске политику LSA для контроллера до мена. В обновления основного контроллера мастером конфи гурируются участники безопасности домена, участники локальной безопаснос ти и членство компьютера в LSA;
Х устанавливает ярлыки для средств администрирования Active Directory.
Конфигурирование разделов каталога Мастер установки Active Directory файл базы данных каталога из каталога указанное при установке Active Directory ме сто, после чего конфигурирует в качестве сервера, на котором работает служба каталогов. Этот процесс создает разделы каталога и заданные по участники домена, перечислены разделы каталогов, создаваемые по умолчанию на первом кон троллере домена в лесе и переносимые но механизму репликации во все контрол леры домена, создаются позже в лесе.
Х Раздел схемы создается как Schema.ini используется для создания определенных по умол объектов каталога, спецификаторов экрана и реализации безопасности в базе данных каталога.
Х Раздел конфигурации создается как т домена создается как и содержит участники безопас домена:
Х при создании домена создает раздел каталога, который содержит все заданные по умолчанию Х при контроллера домена в существующем домене объекты обновляются посредством репликации. Мастер создает по объекты раздела домена;
ГЛАВА 2 Хранение данных в Active Directory Х при обновлении основного контроллера домена под управлением Windows NT мастер создает участники домена и участники локаль ной а также перемещает членство в LSA и существующие учет ные автоматического запуска служб перечислены службы, которые после установки Active Directory будут запус каться автоматически.
Х RPCLocator позволяет приложениям пользоваться службой имен Microsoft Locator (Локатор управляет базой данных служ бы имен RPC. (Подробнее о локаторе RPC Ч в главе 5 Публикация служб в Active Х Служба Net Logon (Сетевой вход в систему) выполняет алгоритм локатора кон троллера Эта служба отвечает за создание безопасного канала между клиентом и контроллерами в процессе входа в систему, за регист рацию записей ресурсов-служб в и протокола реплика ции Windows NT 4. Х Центр ключей (Key Distribution Center, KDC) Ч это на физически сервере и поддерживающая базу данных с учетными записями для всех участников безопасности в своей сфере - эквиваленте протокола проверки подлинности Kerberos домена Windows 2000.
Х Messaging (TSM) Ч Messaging] для с использованием электронной почты. Active Directory поддерживает межсайтовую репликацию по протоколу SMTP поверх IP Поддержка SMTP службой SMTP, TTS. Набор транспортов для связи сайтами Ч расширяемый, поэтому транспорты определяются в дополнительных DLL-библиотеках расширения (add-in). Эти дополнительные DLL загружаются в службы ISM на всех контроллерах домена, для связей между сайтами. Служба ISM пе ренаправляет запросы на прием или передачу в соответствующие DLL расширения, которые в свою очередь пересылают эти сообщения службе ISM компьютера-адресата.
Х (Distributed Link Tracking Server Ч Сервер отслеживания изменившихся связей) выполняется на каждом контроллере в Она позволяет ким приложениям находить документы, доступные по ссылкам и перемещенные на другие диски с файловой системой версии 5 в этом же домене, в дру гом домее или в пределах рабочей группы. TrkSvr разрешать и OLE-связи с и/или перемещенными файлами NTFS Х служба времени Windows синхронизирует часы клиентов и серве ров управлением Windows 2000. Синхронизация времени выполняется ав томатически.
Подробнее о службе Net Logon (Сетевой вход в систему) Ч главе имен в Active Directory. Подробнее о KDC и протоколе проверки подлинности Kerberos v5 Ч в главе 11 Проверка подлинности.
ЧАСТЬ 1 Служба каталогов Active Directory Настройка политики безопасности При установке службы каталогов Active Directory в политике ивается управление доступом к службе каталогов и к каталогам репликации фай лов, а также определяются действия, которые разрешается осуществлять над объек тами домена, Управление Для файлов и объектов каталога создаются заданные по умолчанию списки управ ления доступом. Они также задаются для перечисленных ниже разделов реестра и объектов файловой системы, а также для всех их дочерних объектов:
Х Х Х HKEY_USERS\.DEFAULT Х PROGRAM FILES Х Подробнее об управлении доступом Ч в главе 12 Управление Групповая Групповая политика реплицируется только из первого контроллера домена во все контроллеры. Если данный контроллер Ч первый, то в нем ется стандартная групповая политика, создаваемая на основе следующих шаблонов безопасности, хранящихся в папке т DCFirst.inf используется для определения заданного по по рядка блокировки при неудачной попытке входа и параметров групповой политики Kerberos стандартного доменного объекта Group Policy;
Х применяется для политики аудита и параметров груп повой политики прав пользователей в стандартном Group Policy троллера домена;
Х используется для определения характерных для Windows 2000 пара метров конфигурации при обновлении домена под управлением Windows NT 4.6.
Примечание Существуют стандартные (по умолчанию) политики для доменов и для контроллеров домена. Политика контроллера домена обладает более высоким приоритетом по сравнению с политикой домена. Например, предоставляя пользо вателю привилегию Add to Domain (Добавление рабочих к до мену), следует изменить стандартную политику контроллера домена, а не самого Подробнее о параметрах групповой политики домена и контроллера Ч в гла ве 22 книги Книга 2. Ресурсы Microsoft Windows 2000 2001).
Безопасность в более ранних версиях Windows Во всех тинах установки мастер установки Directory позволяет сократить число дабы обеспечить совместимость с приложениями более ранних версий Windows, в которых менее строги по с контроллера ГЛАВА 2 Хранение данных в Active Directory ми под управлением 2000. Если в Вашей системе имеются серве ры доступа (Remote Access под NT 4. или серверы Microsoft SQL под NT 3.x или 4.0 или если эти работают на компьютерах под Windows по в нах Windows NT 3.x или Windows NT 4.0, то включение флага compatible permissions (Разрешения, совместимые с серверами 2000) предоставить этим приложениям для аноним ного доступа для к определенным атрибутам пользователей и объектов. Это флаг установлен по и вызывает добавлентте групп Everyone (Все) в локальную группу 2000 Compatible Access (Пред Windows 2000 доступ), которая обладает доступом к атрибутам пользователей и в Windows NT 4.0 и необходимым серверным для взаимодействия с Directory.
Примечание Группа Everyone (Все) содержит все учетные записи пользователей в лесе, том числе и учетные записи (Гости) и Session вход). Таким образом, установка флага 2000 compatible permissions (Разрешения, совместимые с серверами 2000) позволя ет всем пользователям, включая получить доступ для к атрибу там пользователей и домена.
Члены группы 2000 Access 2000 доступ) обладают для чтения* к атрибутам:
Х ко всем атрибутам объектов-пользователей, определенных в Windows NT 4. (например SID, имя, часы входа в систему, управление учетной записью пользо вателя);
Х ко всем атрибутам объектов-групп.
Если все серверные приложения па серверах под Win dows Windows 2000, установите флажок Windows permissions (Разрешения, совместимые только с серверами Windows 2000). Это не по зволит анонимным пользователям получить о группах и Подробнее о разрешениях Ч в доступом. Подробнее об уда лепном доступе Ч в книге взаимодействие. Ресурсы Microsoft dows 2000 Server. (Русская Редакция, Изменение разрешений более ранних версий Windows после установки Active Если в Вы обновите все серверы и домены до Windows 2000, Вы мо жете группу Everyone (Все) из группы dows Access 2000 При добавлении в имеющийся домен Win dows 2000 приложений, на серверах под Windows NT 3.x или 4.0, или при Windows NT 3.x или Win dows NT 4.0 в существующий лег. группу Everyone (Все) нужно поместить груп пу 2000 Compatible 2000 доступ).
Внимание! Чтобы группы Everyone вступили в силу, не обходимо перезагрузить все контроллеры в домене.
? 402:
ЧАСТЬ 1 Служба каталогов Active Directory Удаление или добавление группы Everyone в группу Compatible Access 2000 доступ) 1. В меню Start (Пуск) последовательно перейдите к Programs (Программы), Accessories (Стандартные), а затем щелкните Command prompt (Командная 2. Чтобы добавить группу Everyone введите в строке:
net "Pre-Windows 2000 Compatible Access" Everyone /add 3. Чтобы удалить группу Everyone (Все), введите в командной строке:
net localgroup "Pre-Windows 2000 Compatible Access" Everyone /delete База данных SAM Сразу же после обновления основного контроллера домена Windows NT 4.0 до Windows 2000 запускается мастер установки Active Directory. Учетные записи из хранящейся в реестре базы данных SAM переносятся в Active Directory, существу ющая в реестре база данных SAM и заменяется новой, значительно мень шей по объему и используемой только для запуска контроллера домена в режиме восстановления службы каталогов.
Примечание Как в смешанном, так и в режиме при обновлении основно го контроллера домена под Windows NT 4.0 до Windows 2000 (в стве первого контроллера в домене) и при обновлении резервного контроллера до мена под управлением Windows NT 4.0 до Windows 2000 предыдущая база данных SAM удаляется;
это атаки, связанные с подбором пароля.
новый контроллер домена, как обновленный с Windows NT 4.0, так и с за установленной системой, предлагает ввести пароль учетной за писи Administrator (Администратор). Он необходим для проверки подлинности при запуске компьютера в режиме восстановления службы каталога.
При удалении с сервера Active Directory новый SAM для локальных пользователей и учетных записей групп на рядовом сервере. При установке или удалении Active Directory идентификатор безопасности (SID) компьютера не из меняется.
Создание нового домена При создании домена, являющегося первым доменом нового леса, необходимо учитывать наличие уже существующих доменов. Это обусловлено тем, что присое нового домена к лесу подразумевает множества новых учетных отношений доверия и объектов перекрестных ссылок.
Примечание Создание нового леса никак не влияет на существующие и поэтому в процессе установки Active Directory контроллер домена Ч источник, не используется.
от тина создаваемого домена мастер установки Active Directory выпол няет следующие операции:
Х создает нового корневого домена по следующей схеме:
ГЛАВА 2 Хранение данных в Active Directory Х определяет, относится ли сервер к домену. Если данный компьютер рядовой сервер домена, мастер удаляет его из домена и повторно зует его учетную запись, либо сообщает, что администратор должен удалить учетную запись компьютера-сервера из домена;
Х создает учетную запись компьютера в контейнере Domain Controllers нового домена. Эта учетная запись добавляется в глобальную группу Domain Controllers в контейнере Users. Она позволяет компьютеру проходить проверку подлинно сти на других контроллерах домена;
Х устанавливает предоставленный пароль учетной записи администратора, назначенный для запуска контроллера домена в режиме восстановления служ бы каталога;
Х создает объект перекрестной ссылки в конфигурации. Когда реплицируется новый контроллер домена, на хозяине имено вания доменов создается соответствующий объект перекрестной ссылки, рый в дальнейшем во лесе. Этот объект используется LDAP для поиска ресурсов в других об объектах перекрестных ссылок Ч в главе 3 в Active Х удаляет элемент меню Start (Пуск), содержащий ссылку на параметры ки локальной безопасности и добавляет два новых ярлыка в следующие два узла настройки групповой политики:
Х параметры безопасности домена для пользователей и компьютеров;
Х параметры безопасности, относящейся к контроллерам домена.
Х создает папку содержащую:
Х общую Sysvol;
Х общие папки службы Net Logon (Сетевой вход в систему). В них обычно хра нятся сценарии входа в систему и объекты политики для клиентов под уп равлением систем, отличных от Windows 2000;
Х подключения (junctions) файловой системы;
Х сценарии входа в систему клиентов под управлением Windows 2000 и клиен тов под управлением Windows 95, Windows 98 или Windows NT 4.0;
Х групповую Windows 2000;
Х папки службы файлов (FRS) и фай лы, которые должны быть доступны и синхронизированы на контроллер до В установки Active Directory создаются только каталогов.
завершения установки Active Directory и перезапуски контроллера домена файлов создает в локальном каталоге объекты папки системного тома, что позволяет проводить Sysvol на данном контроллере домена.
Примечание На серверах, обновленных с операционной системы Windows NT 4.0, файлы из общей папки службы Net переносятся в пап ку в дереве Sysvol, 106 ЧАСТЬ 1 Служба каталогов Active Порядок корневого домена леса создании корневого следующие операции:
Х создаются папки схемы и Х мастер Active Directory назначает на эму PDC, относительных идентификаторов, доменов, схемы и фраструкту Порядок создания нового дочернего домена При нового дочернего домена выполняются следующие Х проверяется допустимость предоставленного доменного Х находится исходный домела в родительском домене и синхронизи руется системное время дочернего домена и исходного контроллера домена;
Х создаются объекты доверия в папках роди тельского и дочернего домена. Эти объекты (класса указывают на двусторонние транзитивные доверительные отношения между дочерним и родительским доменом;
Х из родительского домена реплицируются папки схемы и Active Directory.
Порядок создания нового корневого домена дерева в существующем лесе При создании корневого домена дерева в следующие операции:
Х находится в корневом домене леса и синхронизируется си стемное время и Х отношения доверия между корневыми доменами дерева и леса и со здается объект класса обоих доменах.
ния между корневыми доменами дерева и леса и Х мастер установки Directory назначает на контроллере хозяев: эму лятора PDC, относительных идентификаторов и инфраструктуры.
о доверительных отношениях Ч в главе \ Логическая структура Active Directory. Подробнее об операциях одиночного хозяина Ч в главе операциями одиночного и и справочной системе Server.
Порядок создания дополнительного домена Чтобы в существующий домен контроллер, требуется установить Active Directory на под управлением Windows 2000 Server.
В процессе создания контроллера домена выполняются такие же операции и как и при создании нового домена. Ника кие особые проверки TCP/IP не осуществляются. Если какая либо из перечисленных ниже операций терпит неудачу, установка Directory останавливается:
Х присоединение компьютера к домену. Если компьютер уже к доме ну, присоединяется его запись;
если при этом учетная запись находится в другом она отсоединяется от этого домена;
ГЛАВА 2 Хранение данных в Active Directory Х от сервера-источника к хозяину относительных что гарантирует предоставление пула фикаторов для контроллера каторов обязательно должен доступен в течение Active Direc но далее должен стать доступным на время, необходимое для передачи относительных идентификаторов новому контроллеру После этих операций мастер напускает процесс Репликация разделов каталога При домена в существующем лесе разделы схемы и конфигурации всегда обновляются на новом контроллере домепа посредством Вы дополнительный контроллер домена в существующем домене, кроме разделов схемы и конфигурации и раздел домена, Компьютер, на котором устанавливается Active Directory, использует локатор для нахождения домепа в родительском домене (при создании нового домена) или в собственном троллера существующего домена), который будет выполнять роль троллера дометта репликации. у составные имена папок конфигурации и с нулевым именем (NULL) и получая в ответе атрибуты Он разделы схемы и (именно в этом порядке), задаваемые их ным именам. По завершении репликации разделов каталога па компьютер, на тором устанавливается Active Directory, по данным восстанав ливаются контейнеров, хотя в дальнейшем новки обращение к разделам каталога по их составным именам.
Примечание Неудача репликации любого из каталога за собой невозможность установки Directory. Для обеспечения целостности данных в процессе репликации после которого процесс остано вить невозможно - это репликация атрибутов раздела домена. До этого процесс можно отменить После начала бутов раздела домепа процесс установки о локаторе контроллеров домена в главе 3 Разрешение имен в Active Directory.
Установка и конфигурирование DNS в момент установки первого контроллера в DNS Вы мо установить и автоматически настроить DNS при установке Active Directory.
Мастер Active Directory спросит, устанавливать ли и ли автоматически службу DNS, если верно хотя бы одно из следующих условий.
Х создается новый лес, и мастер Active не может найти в се ги ни одного доступного DNS;
Х создается новый домен, и динамическое обновление недоступно.
Вы также вправе установить оснастку DNS (DNS) и использовать ее для настройки DNS до или после Active Directory. об 108 ЧАСТЬ 1 Служба каталогов ческой настройке DNS и требований к используемой в Active Directory, Ч в книге Ресурсы Microsoft Windows 2000 Server. (Русская Редак 2001).
Операции, после установки После успешной установки Active Directory и перезапуска компьютера мастер ус тановки Active выполняет операции:
Х если создавался новый лес, в реестр помещается команда вызова служебной про граммы (Comma Separated Value Directory Exchange). Команда вызыва ет импорт всех локализованных спецификаторов экрана перезапуска ком пьютера;
Х если создавался новый домен (в том числе новый лес) и были выбраны уста и настройка службы DNS, то запускается процесс установки и конфигу рирования DNS;
Х в каталоге создаются объекты тома и служба репликации фай лов сообщает службе Net Logon (Сетевой вход в систему) о готовности Sysvol.
После этого служба сетевого входа в выделяет Sysvol в общее пользо вание и объявляет компьютер контроллером домена, Если устанавливаемый компьютер - дополнительный контроллер служба репликации файлов (File service, FRS) должна заполнить (реплицировать в него) его си стемный том файлами и каталогами из другого контроллера в домене. Контрол лер домена не и Sysvol не выделяется в общее пользование, пока процесс заполнения не завершится. Процессом заполнения параметр в SysvolSeeding.
Примечание Информационные сообщения службы репликации файлов, создавае мые процессе заполнения Sysvol, регистрируются в журнале служб в Viewer (Просмотр событий). Используйте окно просмотра событий для изучения сообще ний, связанных с созданием и папки системного тома.
Удаление Active Directory Для удаления Active Directory используйте то же самое приложение, которое при для ее установки, Ч Active Directory (Мастер установки Directory). При запуске на контроллере домена он автоматически определя систему как сервер с Active Directory и запрашивает сведения, необходимые для удаления Active Directory.
Мастер установки Active Directory удаляет все ссылки на параметры настройки безопасности политики контроллеров домена и размещает в меню Administrative Tools ярлыки программ, ных для настройки параметров локальной безопасности рядового сервера домена или изолированного сервера.
Па рис. 2-10 показаны схемы работы установки Active Directory при нении роли компьютера от контроллера до изолированного сервера или рядового сервера домена.
ГЛАВА 2 Хранение данных в Active Directory сервер под управлением Windows Контроллер домена под управлением DCPROMO Windows Рис. 2-10. Серверы, создаваемые при удалении Active Directory Административные реквизиты Чтобы удалить Active Directory, необходимо предоставить административные рек визиты следующим образом:
Х для удаления Active Directory с последнего контроллера домена в дочернем до мене предоставить реквизиты администратора предприятия или быть членом группы Enterprise Admins (Администраторы предприятия);
Х для удаления Active Directory с последнего контроллера домена в корневом до мене дерева требуется предоставить реквизиты администратора предприятия или войти в систему как член группы Enterprise Admins (Администраторы пред приятия);
Х для удаления Active Directory с контроллера домена в корневом до мене леса требуется войти в домен под учетной записью Administrator (Адми нистратор) или как член группы Domain Admins (Администраторы домена);
Х для удаления Active Directory с контроллера который не является по следним в домене предъявлять реквизитов не нужно, однако необходимо войти в систему как член группы Domain (Администраторы домена) либо кик член группы Admins (Администраторы предприятия).
Удаление Active с дополнительного или последнего контроллера домена Перечисленные ниже операции процесса удаления Active Directory с дополнитель ного или последнего контроллера домена совпадают. Если хотя бы одна из них по терпит неудачу, удаление Active Directory будет остановлено, Х Репликация изменений в разделы конфигурации и схемы. На дополнительном контроллере домена требуется репликация изменений как разделов конфигура ции и схемы, так и раздела Х на другие контроллеры домена ролей одиночного хозяина, кото рыми обладает данный контроллер домена.
Примечание В случае удаления последнего контроллера в домене требование о перемещении касается только ролей одиночного хозяина схемы или хозяина именования доменов в масштабе леса.
Удаление объектов системного тома из базы данных каталога, удаление объек тов системного тома из базы данных NtFrs и уничтожение иерархии каталогов ЧАСТЬ 1 Служба каталогов Active Directory (NtFrs). NtFrs у службы Net Logon (Сетевой вход в му) разрешение отменить в общее пользование тома.
Х Удаление NTDS Settings и ссылок.
Х Обновление заключающаяся в удалении записей локатора до менов. После удаления объекта системы DSA уве домляет службу сетевого в систему, и та удаляет указанные записи.
Х Создание локальной базы данных SAM так же, как и при с включая учетной записи администратора и задание Х Модификация политики членства LSA е указанием типа которым ста новится данный компьютер Ч сервером или рядовым сервером домена.
Х Остановка службы Net Logon (Сетевой вход в систему) и других служб. Оста навливаются все службы, в процессе предыдущей Active Directory. автоматический запуск служб, только к службе каталогов.
Удаление дополнительного контроллера домена Далее перечислены операции по удалению дополнительного домена.
Если хотя бы одна из них неудачу, понижение роли домена будет остановлено, Х Поиск в домене, где находится учетная запись контроллера домена и к нему для репликации Х Изменение типа учетной записи на рядовой сервер и пере мещение ее из папки Domain в папку Computers.
Удаление последнего контроллера домена Далее перечислены операции удалению последнего контроллера в домене. Если хотя бы одна из них потерпит процесс удаления будет Х Проверка наличия дочерних доменов. Удаление Active Directory продолжается только при отсутствия дочерних доменов.
Х Поиск контроллера-источника в и подключения к нему для репликации изменений.
Х Удаление из леса объектов Directory, относящихся к данному домену.
Мастер связывается с хозяином именования доменов и удаляет объект NTDS Settings и объекты перекрестных ссылок.
Х Удаление объектов доверительных с родительского сервера. Из ки System удаляются объекты класса Х Размещение в рабочей группе но имени Workgroup (Рабочая группа).
объект NTDS Settings не удалось удалить из Active Directory (па пример, в случае сбоя в процессе удаления Active Directory), необходимо удалить его вручную. об удалении данных конфигурации в случае сбоя процесса удаления Active Directory в главе Выявление и устранение непола док, а также восстановление Active Directory.
ГЛАВА 2 Хранение данных в Active Directory Автоматическая установка и удаление Active Directory Для автоматической работы мастера установки Active Directory можно вать файл ответов (answer в котором содержатся ответы на задавае мые мастером в процессе установки или удаления. Создав файл Вы смо жете запускать его из строки на компьютере, где проводится установка или по созданию файла ответов хранятся в документе Microsoft Windows 2000 Guide to Unattended Setup (файл Unattend.doc ся в файле Deploy.cab в на компакт-диске с опера ционной системой Windows 2000. Для данного документа в Windows или Windows 2000 можно воспользоваться Windows Explorer. В Windows 95 и бо лее версиях операционных систем Windows или в MS DOS для открытия файла воспользуйтесь командой Extract. В Вы можете Unattend.doc под другим в любом удобном для Вас месте.
Текстовый файл ответов содержит все параметры, мастеру для уста новки Directory, включая тин (дополнительный или новый и гурацию создаваемого лес, новый корень дерева или новый ний Файл ответов можно использовать для установки Windows 2000 Server, в том чис ле и для установки Active Directory. Вы также можете создать файл ответов, кото рый содержит только раздел [Deinstall] Active Directory) файла Unat tend.doc. Такой файл ответов будет выполняться после завершения установки Windows 2000 Server и входа и систему. Для запуска мастера установки Active Directory с файлом введите в командной строке следующую строку:
Кроме инструкций по созданию файла ответов файл Unattend.doc содержит типо вые файлы ответов для Directory. Подробнее об использовании файлов ответов в книге Microsoft Windows 2000 Deployment Planning Guide (Microsoft 2000).
Разрешение имен в Active Directory Поиск информации в Active Directory Ч службе каталогов Microsoft Windows состоит из нескольких этапов: во-первых, розыска сервера Active Directory (кон троллера домена) для входа в домен, во-вторых, поиска нужных в Active Directory. В обоих случаях используется разрешение имен. При розыске контрол лера домена система доменных имен (DNS) разрешает имя домена или компьюте ра в IP-адрес, а в процессе поиска данных в Active Directory операционная система Windows 2000 находит с помощью протокола LDAP (Lightweight Directory Access Protocol) составному имени контроллер домена, на котором располагается за пись об этом имени.
В главе Поиск серверов Active Directory Поиск информации в Active Directory См. также Х Подробнее о DNS, TCP / IP, сетях, подсетях и масках подсети Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 (Русская 2001).
Х Подробнее о планировании и развертывании доменов и контроллеров доменов Ч в книге Microsoft Windows 2000 Server Deployment Guide (Microsoft Press, 200).
Поиск Active Directory Когда приложения запрашивают доступ к Active Directory, поиск сервера Active Directory (контроллера домена) выполняет механизм, носящий название локатор домена или просто локатор (Locator). Это алгоритм, исполняемый в контексте службы Net Logon (Сетевой вход в систему). Он разыскивает контрол леры домена по их DNS-именам (для компьютеров, поддерживающих IP-транспорт и именование DNS) или NetBIOS-именам (для компьютеров под управлением Microsoft Windows 3.x, Microsoft Windows for Workgroups, Microsoft Windows NT версии 3.5 и последующих, Microsoft Windows 95, Microsoft Windows 98, а также для компьютеров сети, для которых IP не доступен).
ГЛАВА 3 Разрешение имен в Active Directory Примечание В этой термин локатор, совместимый с Windows NT 4.0 отно сится к локатору, который клиентами под управлением Windows 3,х, Windows for Workgroups, Windows NT 3.5 и более поздних версий, Windows 95 или Windows 98 Ч для розыска контроллера домена в домене любого типа, а также кли ентами под управлением Windows 2000 для розыска контроллера в домене Mic rosoft Windows NT версии 3.51 или 4.0.
Основная тема этой главы Ч поиск доменов. Подробнее о прямом и обратном разрешении DNS-имен в IP-адреса Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server 2001).
Регистрация имен контроллеров домена При загрузке каждый контроллер домена под управлением Windows 2000 регист рирует свое имя в двух форматах:
Х доменное имя DNS Ч в службе DNS (например, noam.reskit.com);
Х NetBIOS-имя Ч в WINS или другой транспортной службе (например, Когда пользователь запускает компьютер и входит в компьютеру необходи мо выполнить одно из двух действий:
Х если имя домена представлено в виде в DNS запрос на поиск контроллера домена, где будет проводиться проверка подлинности;
Х если Ч в виде NetBIOS-имени, отправить почтовое чтобы найти кон троллер указанного домена.
После того как контроллер домена найден, информация о нем и в пос ледующих сеансах входа в систему не Регистрация доменных имен в DNS Active Directory поддерживает динамическую регистрацию адресов домена в DNS. После установки Active Directory в процессе создания контроллера домена служба Net Logon (Сетевой вход систему) динамически создаст к базе данных DNS, используемые для поиска сервера. Динамическое (определенное в документе RFC это самое последнее расширение та DNS, представляющее собой протокол динамического обновления сервера и внесения новых или измененных записей ресурсов. До появления этого протоко ла администраторам приходилось вручную создавать записи, на рах DNS. Динамическое обновление в Windows 2000 DNS реализовано так как и в Berkeley Internet Name Domain (BIND) DNS версии 8.x. (Подробнее о BIND DNS - в книге TCP/IP. Ресурсы Microsoft Windows 2000 Server Редакция, Все контроллеры домена под управлением Windows 2000 динамически регистриру ют в DNS записи служб которые позволяют находить серверы по служб (например, и протоколов (например, TCP). Поскольку контроллеры домена Ч это взаимодействующие по протоколу TCP, записи можно использовать для поиска DNS-имен компьютеров контроллеров домена.
Кроме записей SRV, относящихся к LDAP, служба входа в систему также ре гистрирует записи SRV для протокола проверки подлинности Kerberos что позво ляет разыскивать серверы со службой центра ключей (Key Distribution 114 ЧАСТЬ 1 Служба каталогов Active Directory Center, (Подробнее о протоколе проверки подлинности и Ч в главе 11 Проверка Все контроллеры домена под управлением Windows 2000 также динамически реги стрируют отдельную в котором контроллер домена и IP-адрес этого контролле ра. ресурсов А позволяет клиентам, не поддерживающим работу с записями контроллер домена стандартными средствами сервера.
Вы можете отключить регистрацию службой Net Logon (Сетевой в записей ресурсов А, которая ставит в соответствие доменному имени Active Direc tory IP-адрес контроллера домена. Это рекомендуется для предотвращения описан ной далее ситуации. Если Web-сервер зарегистрирует имя, с домен ным потребуется обеспечить, чтобы другие не смогли зарегистрировать ресурсов А на имя. В противном случае, пыта ясь обратиться к Web-серверу, браузер попадет на контроллер и возвратит о невозможности подключиться к Web-узлу. Вот еще один пример: если почтовый сервер не настроен на поиск записей ресурса почтового (mail exchanger, MX) и поэтому полагается па ресурсов А в то имена, ис пользуемые для почтовых серверов, могут с именами, применяемыми другими службами (например Active Directory).
Отключение регистрации службой Net Logon записи ресурсов А для контроллера домена 1. В Start (Пуск) щелкните Run (Выполнить).
2. В поле ввода диалогового Run (Выполнить) введите или и щелкните ОК.
3. В редакторе реестра в раздел:
4. Если в этом есть параметр дважды его, 5. В диалоговом окне редактирования параметра DWORD Editor (Редактор двой ных слов) (в Edit DWORD Value (Изменение параметра (в Regedit.exe) в текстовом поле введите 0, а затем щелкните ОК.
6. Если параметра в разделе создайте его одним из сле дующих способов.
Х В Regedt32.exe выберите в меню Edit (Правка) щелкните Add Value (Доба вить параметр).
В поле Value Name (Параметр) введите DnsRegisterARecords.
В поле со списком Data Type (Тип данных) выберите а за тем щелкните ОК.
В диалоговом окне DWORD Editor (Редактор двойных слов) в поле Data (Значение) введите 0, а затем ОК.
Х В Regedit.exe в меню Edit (Правка) выберите подменю New (Создать) и в нем - DWORD Value (Параметр В поле имени параметра DnsRegisterARecords.
Отредактируйте созданный параметр и присвойте ему значение 0, как опи 7. Закройте редактор реестра.
ГЛАВА 3 Разрешение имен в Active Directory Внимание! Не модифицируйте самостоятельно (с помощью редактора реес тра) Ч делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит защиты, не допускать ввода конфликтующих значений параметров, а также спо снизить быстродействие системы или разрушить ее. Не что по следствия прямого реестра окажутся не такими, как Вы и, возможно, Вам придется переустанавливать Windows 2000. Для настройки и кон Windows 2000 рекомендуется использовать Control Panel (Панель управления) или Microsoft Management (Консоль управления Microsoft).
Перед изменением реестра советуем резервную копию. Подробнее о редак тировании параметров реестра в системе редактора реестра.
нее о реестре Ч в техническом руководстве Technical Reference Microsoft dows 2000 Professional Resource Kit (файл Регистрация доменных имен NetBIOS Контроллер домена регистрирует свое NetBIOS-имя переда вая широковещательное сообщение или направляя запрос на регистрацию имени имен такой, как сервер WINS. Регистрация NetBIOS-имени ляет под управлением Windows, не поддерживающим DNS, находить кон троллеры домена под управлением Windows 2000, Windows NT 4.0 или Windows NT 3.51. В случае клиент отыскивает домена, отправляя по почте рос на вход в систему и создавая его на основе NetBIOS-имени домена.
Примечание NetBIOS распознает контроллеры домена по зарегистрированному имени [1C].
о регистрации имен в WINS Ч в книге TCP/IP. Ресурсы Microsoft Windows 2000 (Русская 2001).
Записи ресурса SRV В процессе загрузки контроллеров домена под Windows 2000 служба Net Logon (Сетевой вход в систему) регистрирует записи ресурсов в базе дан ных DNS по динамического обновления, описанному в RFC 2052 A RR for specifying location of services (DNS Подробнее об этом документе на Web-странице Web Resources по адресу ссылка IETF Engineering Task Force), далее ссылка Internet Drafts (проведите поиск по ключевым словам), Запись ресурса предназначена для создания связи между службы (в данном случае службы LDAP) и сервера, на котором исполняется данная служба. В сетях Windows 2000 запись ресурса указывает на контрол лер Общая форма запроса записи на DNS рабочей относящейся к доме Windows 2000, выглядит следующим образом:
На серверах Active Directory работает служба LDAP по протоколу TCP, поэтому клиенты находят сервер LDAP, запрашивая в DNS запись вида:
ЧАСТЬ 1 Служба каталогов Active Directory Примечание В строках службы и протокола требуется указывать приставку в виде символа (_), чтобы избежать возможных совпадений с уже суще ствующими именами в пространстве имен.
_msdcs Существуют реализации LDAP-серверов, отличные от контроллеров домена под уп равлением Windows 2000, и службы LDAP, использующие глобального ка талога не под управлением Windows 2000. Чтобы облегчить поиск контроллеров до мена под управлением Windows 2000, в к стандартному формату вида:
служба сетевого входа в систему регистрирует записи с наиболее известными псевдонимами, присоединяемыми в начало имени _msdcs: dc (domain controller Ч контроллер домена), gc Catalog Ч глобальный каталог), pdc (primary domain controller Ч основной контроллер домена) и domains (уникальный глобальный идентификатор GUID). Этот поддомен является отличительной чер той Microsoft и позволяет вести поиск контроллеров домена, выполня ющих особые, характерные для Windows 2000, роли в доменах или лесах, а также находить переименованные домены по их Для выполнения поиска контроллеров домена по типу сервера или (сокращенно dctype) кон троллеры домена под управлением Windows 2000 регистрируют записи SRV в сле дующей форме;
Добавление имени поддомена что для поиска сервера LDAP раз применять два набора имен DNS: DNS-имя домена используется для по иска серверов LDAP или Kerberos, поддерживающих TCP сервера существует выбор протокола: либо TCP, либо (User Datagram a поддомен для обнаружения серверов LDAP, поддер живающих TCP и одновременно выполняющих определенную роль Windows 2000.
Ключевое слово зарезервировано для розыска контроллеров домена, а вы бор всего лишь одного слова стремлением не перегружать пространство имен DNS. Остальные стандартные известные имена (pdc, dc и gc) Ч короткие, что бы избежать превышения максимальной длины домена.
Записи SRV, регистрируемые службой сетевого входа в систему В приведенном далее списке даны определения интерпретируемых как заре гистрированные записи SRV. Кроме того, в нем описаны критерии поиска, поддер живаемые каждой из записей, а также операции проверки, выполняемые службой Net Logon (Сетевой вход в систему) в процессе регистрации записей. Обычным начертанием выделены постоянные составляющие записей, а курсивом Ч изменяе мые элементы.
Для зарегистрированных записей термин обозначает DNS-имя домена, присвоенное ему в процессе создания контроллера домена при присоединении к дереву доменов или создании нового дерева (то есть во время ра боты мастера установки Directory). Термин относится к DNS-имсни корневого леса.
ГЛАВА 3 Разрешение имен в Active Directory Итак, перед Вами Ч список имен владельцев записей SRV, регистрируемых служ бой Net Logon. Имя владельца Ч это имя DNS-узла, к которому относится ресурса, Эта запись клиентам находить серверы со службой LDAP в домене с именем При этом сервер не является ром домена Ч единственное, что о нем можно он LDAP API. Все контроллеры домена под управлением 2000 регистриру ют эту запись SRV (например, Эта запись клиентам находить серверы со службой LDAP в домене с именем в сайте Ч это относи тельное составное имя объекта сайт в контейнере конфигурации в Active tory. Сервер не обязательно выполняет роль контроллера домена. Все домена под управлением Windows 2000 регистрируют эту запись _l Эта запись позволяет клиентам находить контроллеры домена (сокращенно dc) с именем Все контроллеры домена под управлением Win dows 2000 регистрируют эту запись с Эта запись позволяет клиентам находить контроллеры домена (dc) домена с име нем в сайте Все контроллеры домена под уп равлением Windows 2000 регистрируют эту запись Эта запись позволяет клиентам находить серверы Ч основные контроллеры доме на (сокращенно pdc) в домене смешанного режима Эту запись SRV регистрирует только хозяин эмулятора PDC в домене (контроллер домена под управлением Windows 2000, объявляющий себя основным контроллером среди компьютеров, нуждающихся в PDC).
Эта запись позволяет клиентам находить серверы глобального каталога (сокращен но gc) в данном лесе. Эту запись SRV регистрируют только контроллеры выполняющие роль серверов глобального для леса (например, Эта запись позволяет клиентам находить серверы глобального каталога (сокращен но gc) данного леса в сайте Эту запись регистрируют только контроллеры домена, выполняющие роль ров глобального каталога для леса 118 ЧАСТЬ 1 Служба каталогов Active Directory Эта позволяет клиентам серверы глобального каталога (сокращен но gc) в данном домене. Сервер обязательно является домена. Эту запись регистрируют только го службой LDAP, являющиеся сервера ми глобального каталога леса (например, Примечание В Windows 2000 глобального каталога также выполняет роль контроллера домена. Другие, отличные от Windows 2000 реализации службы ката лога, серверы в качестве глобального каталога.
Эта позволяет клиентам серверы глобального каталога (сокращен но gc) данного леса в сайте Сер вер обязательно является контроллером домена. Эту запись регистрируют только серверы со службой LDAP, серверами глобального каталога леса Эта запись клиентам находить контроллеры домена по их - это число, создаваемое для обращения к объектам в Active - в данном случае речь идет об объекте что такой выполняется редко Ч только когда имя домена а имя леса известно и не менялось (например, Эту запись регистрируют все контроллеры домена.
Эта запись позволяет клиентам находить в домене серверы со службой Kerberos Сервер не обязательно является домена. Эту запись регистрируют все контроллеры домена под управлением Windows исполняющие службу Kerberos KDC в соответствии с RFC 1510, _kerbe ros.
То же, что и но для протокола UDP.
Эта запись клиентам находить серверы со службой Kerberos KDC в сайте Сервер не обязательно является кон троллером домена. Эту запись регистрируют все контроллеры домена под уп Windows 2000 Server, на которых выполняется служба Kerberos KDC, соответствующая RFC 1510.
Эта запись позволяет клиентам находить в домене серверы, на которых выполняется реализация Kerberos KDC для 2000. Эту за пись регистрируют все домена под управлением Windows 2000 со службой KDC (то есть в которых реализовано расширение Kerberos Ч Service ГЛАВА 3 Разрешение имен в Active Directory Эта клиентам находить в сайте контроллеры доме на на которых работает реализация службы Windows 2000. Эту запись регистрируют контроллеры домена под лением Windows 2000 со службой То есть такие, в которых рас ширение протокола v5 Ч (Authentication Service Exchange).
Эта запись позволяет клиентам находить ключа Kerberos (Kerberos Change) в домене. Эту все на которых работает служба ключа Kerberos (к ним относятся все контроллеры домена под управлением Windows 2000). Такие серверы как минимум поддерживают кол смены пароля Kerberos в соответствии с документом RFC Kerberos Password (Подробнее об этом на Web-странице Web Resources адресу в Для хождения нужного документа воспользуйтесь поиском по ключевым словам.) Сер вер не обязательно выполняет функции контроллера домена. Эту запись регис трируют все контроллеры домена под Windows 2000, на которых няется служба Kerberos KDC, соответствующая RFC 1510.
То же, что и но для протокола UDP.
Если у нескольких контроллеров домена критерии поиска совпадают, одному име ни владельца соответствует несколько записей. Клиент, выполняющий поиск кон троллера по определенным критериями, получает от сервера все под ходящие записи, из которых может выбрать отдавая предпочтение определен ному контроллеру домена, как это описано в документе RFC 2052 A DNS RR or specifying the location of (DNS Подробнее об этом документе Ч на Web-странице Web Resources по адресу ссылка (Internet Engineering Task Force) и далее ссылка Internet Drafts (выполните по ключевым словам), Подробнее о протоколе проверки Kerberos v5 и рас ширения Kerberos -- в главе 11 Проверка подлинности.
Записи для клиентов, не поддерживающих SRV Далее записи ресурсов А, регистрируемые службой Net Logon (Сете вой вход в систему) для LDAP, не записи Лока тор эти записи не использует. (В приведенном списке под словом клиент мы подразумевает клиент LDAP, не записи SRV, если иное не оговорено особо.) Позволяет клиенту находить контроллеры домена по А.
LDAP возвращается имя в виде (Подробнее о Ч в разделе далее в этой главе.) Обыч ные клиенты обращаются по этому имени, а поддерживающие обра щаются к соответствующей записи ресурса ЧАСТЬ 1 Служба каталогов Active Directory Позволяет клиенту находить в лесе серверы глобального каталога по ресур са А. Клиенту LDAP возвращается имя в виде Обычные клиенты обращается по этому имени, а клиенты, обраща ются к соответствующей записи Служба сетевого входа в систему также регистрирует псевдоним DNS который используется для репликации Directory. Локатор эту запись не ис пользует.
Имя владельца записи CNAME:
Она позволяет клиенту находить контроллеры домена в лесе по записи ресурса А.
Единственное, что известно о контроллере домена, Ч объекта в DSA, соот контроллеру и имя леса, в котором этот контроллер домена находится. Эта запись используется для облегчения процедуры переименования контроллера домена.
Другая информация, содержащаяся в записях SRV Ниже перечислена информация, также помещаемая в записи SRV.
Priority Задает предпочтение для Клиенты DNS, запрашиваю щие запись ресурса установить контакт с первым достижимым уз лом с минимальным значением приоритета.
Weight (Вес). Используется для балансировки нагрузки в том случае, когда для нескольких серверов задан одинаковый уровень предпочтения (приоритет). Попыт ки доступа к серверам, имеющим одинаковый приоритет, распределяются пропор ционально весу.
Port Number (Номер порта). Указывает порт, на котором сервер принимает сы к службе.
Target (Цель). Указывает полное DNS-имя домена для узла, обеспечивающего зап рашиваемую службу, Приведенный ниже пример иллюстрирует содержащуюся в записях ресурсов А и Контроллер с именем Phoenix в домене reskit.com имеет IP-адрес 157.55.81.157. Вот как выглядят регистрируемые им в записи А и SRV:
А SRVO 0 SRVO 0 SRVO 0 SRVO 0 наличии всех соответствующих записей А и SRV поиск в DNS со строкой возвратит имена и адреса всех контроллеров домена.
Подробнее о записях А и SRV, DNS и их динамическом обновлении Ч в книге TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).
Поиск контроллеров домена Каждый контроллер домена под управлением Windows 2000 регистрирует свое до менное DNS-имя на сервере DNS, a NetBIOS-имя Ч по механизму, определяемому транспортом (например, WINS). Таким образом клиент DNS обнаруживает кон ГЛАВА 3 Разрешение имен в Active Directory домена, запрашивая DNS, а клиент NetBIOS соответствующую, зави сящую от вида транспорта службу имен. Как в локаторах Windows 2000. поддержи вающих IP/DNS, так и в локаторах Windows NT 4.0 совместно программный код, поэтому эта служба одновременно клиентов DNS и NetBIOS.
В итоге процесс поиска контроллера домена выполняется в следующем порядке.
1. На (компьютере, поиск контроллера домена) инициализиру ется локатор как удаленной процедуры (RPC) локальной службы Net Logon (Сетевой вход в систему). Соответствующая API-функция реа лизована в службе Net Logon.
2. Клиент собирает информацию, необходимую для выбора контроллера домена, и передает ее службе Net Logon в параметрах вызова DsGetDcName - API-функ ции локатора.
3. Собранная информация используется службой Net Logon клиентского компью тера для розыска контроллера указанного домена одним из двух способов:
Х получив служба сетевого входа в систему DNS, ис пользуя локатор, поддерживающий IP/DNS, то есть, соответ ствующую строку в начало доменного имени, определяющего DsGetDcName вызывает чтобы прочитать в DNS записи SRV и А;
Х получив имя NetBIOS, служба сетевого входа в систему ищет контроллер домена, используя локатор, совместимый с Windows NT 4.0, то есть механизм, определяемый (например, WINS).
Примечание В Windows NT версии 4.0 и более ранних поиск (discovery) Ч это процесс поиска контроллера домена для выполнения проверки подлинности либо в основном, либо в доверенном домене.
4. Служба Net Logon дейтаграмму обнаруженным домена (ping). Для доменных имен NetBIOS, дейтаграмма имеет вид почтового сообще ния, а для имен DNS она оформляется как поиск LDAP UDP.
5. Все доступные контроллеры домена отвечают на дейтаграмму, подтверждая свою готовность к работе, а затем возвращают информацию функции DsGetDcName.
6. Служба Net Logon возвращает клиенту информацию, полученную от первого ответившего контроллера домена.
7. Служба Net Logon кэширует информацию о домена, чтобы при по следующих запросах не повторять поиск. Такое кэширование способствует по стоянному использованию одного и того же контроллера домена и, таким обра зом, постоянству представления Active Directory.
Функция DsGetDcName Далее перечислены параметры функции DsGetDcName, используемые службой Net Logon (Сетевой вход в систему) для приема информации от клиента и составления запроса в WINS или DNS. Как уже упоминалось в разделе Поиск контроллеров эта функция вызывается удаленно посредством дейтаграммы, отправляе мой обнаруженным контроллерам домена. Они отвечают на полученную дейтаграм му, предоставляя клиенту затребованную информацию.
Далее параметры и флаги функции DsGetDcName.
122 ЧАСТЬ 1 Служба каталогов Active Directory Указатель па строку с именем компьютера, запрашивающего ин формацию. Обычно в этом параметре передается значение NULL, указывающее на локальный компьютер, DomainName. Имя домена. Возможно как иерархическое Ч R сти ле (например так и плоское - типа NetBIOS reskit).
При задании имени в формате DNS точку можно опускать.
DomainGuid. домена. для доменов. Если это и DomainName функция DsGetDcName пытается найти домена с ука DomainGuid.
SiteName, Имя сайта, в котором найти контроллер Обычно этот па раметр указывается. Когда сайт сведения о контрол лере находящемся в сайте, ближайшем к компьютеру ComputerName.
Flags. Флаги, для обработки запроса. В DsGetDcNarnc определены следующие флаги:
Х DS_FORCE_REDISCOVERY - вынуждает контроллера до мена, даже если о уже находятся в кэше. Этот флаг можно зовать в случае установки или ранее контроллера Не следует применять его, если только функция вызывалась недавно без него. Рекомендуется сначала дос туп к домена, информация о котором хранится в и только в случае неудачи флаг при повторном вызове функции;
Х требует вести поиск лера домена, Directory API (то есть контроллер до мена должен работать под управлением 2000 Server);
Х - указывает на желательность того, чтобы найденный домена поддерживал Active Directory (то есть работал под управлением Windows 2000 Server). Если такой домена найти невозможно, возвращаются сведения о контроллере домена под управлением Windows NT версии 4.0 или более ранней. Если DsGetDcName удается найти никакого домена, поддерживающего службу каталогов, ближайшего контроллера домена, кото поддерживает службу Active Directory. Однако нужно иметь в виду, что DsGetDcName возвращает ату только после истечения сро ка ожидания поиска контроллера домена с Active Directory;
Х - требует вести выполняющего функции сервера глобального каталога для леса, в котором указанный домен является корневым. Этот флаг нельзя если флаг Х DS Ч требует вести поиск основного контроллера (Primary Domain Controller, PDC) домена. Этот флаг нельзя если определен флаг При флага флаги и игнорируются;
ГЛАВА 3 Разрешение имен в Active Directory Ч требует вести поиск контроллера с доступной для записи (полной) копией Active Directory (или SAM). Если имя домена заданно в формате NetBIOS, флага вынуждает искать основной контроллер контроллер домена под Windows 2000 Server. В случае ука в виде этот флаг игнорируется;
Ч требует возвратить IP-адрес обнаруженного контрол лера домена;
DS Ч требует искать контроллер домена со службой рас пространения ключей (Key Distribution Center, KDC);
Ч требует искать контроллер на кото ром выполняется служба времени Windows (Windows Time Service);
DS вынуждает отдавать контроллерам домена, являющимся серверами време ни. В службе времени Windows существует возможность объявить один или несколько контроллеров домена надежными времени. Этот флаг предназначен только для службы времени. Поведение, этим флагом, может быть изменено в версиях функций в целях совер шенствования службы Windows Time Service (W32time);
Ч что параметр DomainName передается в формате NetBIOS, поэтому не нужно использовать локатор, поддерживаю щий IP/DNS, а сразу применять локатор, совместимый с Windows NT 4.O.
о розыске контроллеров домена но NetBIOS-именам в разде ле совместимый с Windows NT 4.0, для клиентов, не ющих далее в этой главе.) Этот флаг совмещать с флагом не устанавливать ни один из флагов или однако в этом случае DsGetDcName понадобится времени на поиск контроллеров домена, поскольку ей придется проверить оба пространства имен: DNS и NetBIOS.
Кроме того, отсутствие этих флагов может создавать ситуа ции. Например, если имя домена в и в ют два разных домена с идентичными именами Ч один с именем в NetBIOS, а другой Ч в формате DNS, DsGetDcName найдет кон троллер одного из доменов, при этом нельзя сказать заранее Ч которого, DS_IS_DNS_NAME указывает, что параметр передается в формате DNS. о поиске контроллеров по NetBIOS-име нам Ч в разделе Локатор, совместимый с Windows NT 4.0, для IP/DNS>> далее в этой главе.) Этот флаг совмещать с флагом DS_AVOID_SELF вести поиск контроллера домена с именем, от личным от Если компьютер не является кон троллером домена, этот флаг игнорируется. Этот флаг может использовать ся для розыска другого, отличного от запрашивающего контроллера - указывает, что имена и DomainName возвращенные розыском должны быть плоскими (то в формате NetBIOS). Процесс розыска возвращает ошибку, если контроллер ЧАСТЬ 1 Служба каталогов Active Directory домена с таким именем найти не удается. Этот флаг нельзя устанавливать одновременно с флагом Х указывает, что имена и возвращенные розыском должны быть иерархическими (то есть вида Процесс розыска возвращает ошибку, если контроллер домена с таким именем найти не удается. Этот флаг нельзя одновремен но с флагом Флаг подразумевает установку флага Х Ч требует вести поиск LDAP-сервера. Найденный в результате розыска с этим флагом сервер обязательно является контролле ром домена, кроме того, ничего заранее неизвестно о составе служб (за исклю чением LDAP), работающих па сервере. Также на найденном сервере не обязательно есть полные разделы конфигурации или Найденный не обязательно применяется для настройки политик безопасности. Этот флаг иногда совместно с флагом чтобы найти LDAP-сервер, являющийся одновременно сервером глобального катало га. Найденный в результате поиска с этими флагами сервер не обязательно яв ляется контроллером кроме того, ничего заранее нельзя сказать о дру гих его службах. Если флаг игнориру ются следующие флаги:
DS_GOOD_TIMESERV_PREFERRED и Подробнее об API-функции и ее Ч на Web-странице Web Resources по адресу ссылка Microsoft Platform SDK.
Поиск контроллера домена в ближайшем сайте Локатор пытается найти контроллер домена в ближайшем к клиенту сайте. Когда поиск проводится в домене Windows 2000, для нахождения сайта кон троллер домена использует информацию, хранящуюся в Active Directory. В случае же домена Windows NT 4.0 поиск контроллера домена при загрузке клиента, после чего он использует первый найденный контроллер домена.
Как описано в разделе этой главы Записи SRV, регистрируемые службой сетевого входа в систему, каждый контроллер домена под управлением Windows 2000 ре гистрирует в DNS записи, содержащие информацию о сайте, в котором зарегистри рован данный контроллер домена. Имя сайта (относительное составное имя объек та-сайта в Active Directory) регистрируется в нескольких записях, чтобы сопоста вить все выполняемые контроллером домена роли (например, роль сервера глобаль ного каталога или сервера сайту, в котором он находится, При поиске в DNS локатор разыскивает сначала записи с информацией о сайте и лишь потом пе реходит к записям, в которых таких сведений нет (таким предпочтение от дается контроллерам домена в указанном сайте).
Клиентский компьютер хранит информацию о своем сайте в реестре, но он не обя зательно физически расположен в сайте, к которому относится его IP-адрес. На пример, переносной компьютер каждый раз связывается с контроллером домена в сайте, а не в том, к которому он в данный момент подключен. Контрол лер домена определяет сайт клиента по его IP-адресу сравнивая его с адресами сай тов, указанных в Active Directory, и возвращает имя ближайшего к клиенту сайта, после чего клиент вносит эти в свой реестр.
ГЛАВА 3 Разрешение имен в Active Directory Контроллер домена хранит информацию о сайтах всего леса в контейнере конфи гурации. Он использует ее для сравнения клиентских компьютеров со списком подсетей леса. Таким контроллер домена определяет сайт, в ко тором находится клиент, или ближайший к нему сайт и эту информа цию клиенту.
Объекты-сайты и в Active Directory Сайт Ч это набор подсетей, объединенных высокоскоростными связями. В Active Directory сайт представлен объектом-сайтом в контейнере Подсеть это адресованный сегмент сайта, пред ставленный соответствующим объектом-подсетью в контейнере Сайт, в котором находится контроллер домена, указан в контейнере конфигурации в объекте контроллера расположенного в контейнере Servers внутри кон тейнера данного сайта. Контроллер домена определяет сайт клиента, используя в контейнере У всех объектов подсети есть атрибут содержащий информацию о привязке к объекту сайта;
значение атрибута Ч это составное имя Такая привязка контроллеру выяснить, в каком сайте находятся клиенты, определяя принадлежность их сов к конкретной подсети, которая в свою очередь находится в конкретном сайте.
Имена подсетей в Active Directory имеют форму (например, подсеть 172.16.72.0/22 относится к подсети 172.16.72.0 и обладает 22 разрядной маской подсети). Если бы у этой подсети было свойство siteObject со зна чением, содержащим составное имя объекта-сайта Seattle, все IP-адреса в 172.16.72.0/22 считались бы относящимися к сайту siteObject Ч однознач ный атрибут, то подсеть сопоставляется только одному сайту. Однако в одном объекте-сайте можно создать привязку для нескольких объектов-подсетей. Для это го администратор вручную создает дополнительные и вместе с ними - соответствующие значения свойств siteObject.
Контейнер конфигурации (в том числе все его объекты сайтов и подсетей) цируется во все контроллеры доменов в лесе. Таким образом, любой контроллер домена в лесе способен идентифицировать сайт, в котором клиент находится в те кущий момент, сравнить его с сайтом, в котором находится он сам, и сообщить кли енту, является ли сайт контроллера домена, ближайшим к клиенту.
Подробнее о объектах-сайтах и объектах-подсетях Ч в главе 6 Active Directory, Подробнее о сетях, подсетях, и масках подсетей Ч в книге Сети TCP/ IP. Ресурсы Windows 2000 (Русская Редакция, 2001).
Отображение IP-адресов на имена сайтов При запуске служба Net Logon (Сетевой вход в систему) перечисляет объекты-сай ты, находящиеся в контейнере конфигурации, а также получает сведения обо всех таких объектов. Служба Net Logon использует эти сведения о для создания в памяти структуры structure), необходима для отображения IP-адресов на имена сайтов.
Получив из DNS список IP-адресов контроллеров домена, клиент, выполняющий поиск, переходит к выяснению доступности и пригодности контроллеров домена.
Active Directory перехватывает запрос, содержащий IP-адрес клиента, и передаст его в службу сетевого входа контроллера домена. Получив клиентский IP-адрес, 126 ЧАСТЬ 1 Служба каталогов Active Directory служба Net Logon проверяет свою таблицу соответствия и сайтов, пыта ясь найти объект, к адресу клиента и возвра щает следующие сведения:
Х имя сайта, в находится или сайта, адрес которого, более всего соответствует IP-адресу Х сайта, в котором данный контроллер домена;
Х бит, указывающий, где находится контроллер домена: в ближайшем к клиенту сайте (бит установлен) или нет (бит сброшен).
Эту информацию контроллер домена клиенту В также содержат другие данные о Получив эти клиент принимает стоит ли искать более подходящий контроллер доме на. Решение принимается в порядке.
Х Если контроллер домена находится в ближайшем (соответ ствующий бит установлен), выбирает его.
Х Если клиент уже разыскивал контроллера домена в сайте, в котором, как утвер ждает контроллер домена, клиент находится, он выбирает этот контроллер домена.
Х Если контроллер домена находится в ближайшем сайте, принимает к сведению данные о своем сайте и отправляет в DNS новый запрос о поиске кон троллера в нем. В случае успеха клиент использует новый контроллер домена. он выбирает ранее контрол лер домена.
Если компьютер находится в сведения о сайте, в котором этот компьютер расположен (в с информацией, кон троллером домена), помещаются в реестр Ч в параметр в разделе Таким образом, возвращает имя в котором находит ся компьютер.
Никогда не изменяйте динамически установленные значения. Чтобы переопреде лить динамическое сайта, добавьте параметр с именем и типом в раздел Параметр SiteName обладает более высоким приорите том, и при его наличии параметр DynamicSiteName Подробнее о па раметрах SiteName и DynamicSiteName -- в техническом руководстве Reference Microsoft Windows 2000 Professional Resource Kit (файл Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) Ч делайте в крайнем когда другого выхода нет. В отличие от управления редактор рее< тра обходит стандартные средства защиты, призванные не допускать ввода конфликтующих значений параметров, а также спо собных снизить быстродействие системы или разрушить ее. Не исключено, что по следствия прямого редактирования реестра окажутся не такими, как Вы ожидали, и возможно, Вам придется переустанавливать Windows 2000. Для настройки и кон фигурирования Windows 2000 использовать Control Panel (Панель управления) или Microsoft Console (Консоль управления Microsoft), Перед изменением реестра советуем Вам сделать резервную Подробнее о ГЛАВА 3 Разрешение имен в Active Directory реестра - в системе редактора Подробнее о Ч в техническом руководстве Technical Reference Microsoft Windows 2000 Professional Kit (файл Если компьютер находится в и со времени последнего запроса ком пьютер физически перемещался в другой сайт, определенное имя сайта в реестре Ч это и есть сайт, в котором этот Поэто му клиент найдет домена в нужном сайте, к операции поиска. Если в реестре и текущий сайт компьютера не совпада ют (например при переносного для сведе ний реестра выполняется поиск Автоматическое перекрытие сайтов Совсем обязательно, что в каждом из сайтов есть но которым в локальном сайте может не быть контроллера ка кого-то домена. По умолчанию каждый все сайты леса и изучает матрицу стоимостей репликации. После контроллер домена оповещает о (регистрирует в DNS относящуюся к сайту запись во всех сайтах, имеющих собственного для данного и связи кото рых с сто сайтом имеют стоимость. Этот процесс что для каждого домена в лесе во всех сайтах имеется используемый по троллер даже если сайт не содержит контроллера домена. В публикуются сведения о контроллерах из ближайшего сайта (как лено топологией репликации).
Представьте себе, что один и три сайта. Контроллер домена может находиться в одном из двух сайтов, но в третьем. Репликация в л котором нет контроллера домена (в третий сайт) оказывается слишком дорогой с точки зрения стоимости или 2000 пытается обес печить к к (если тот находится в другом сайте), и для этого автоматически пытается заре гистрировать домена в каждом из сайтов. алгоритм автоматического перекрытия (site coverage) Ч о Х как одни сайты могут перекрывать другие, когда тех пет контроллера Определение перекрытия сайтов на основе стоимости Рассмотрим пример с одним доменом и сайтами А, В и С, причем в сайте Л контроллера данного домена. Сведения о каком контроллере будут щены на запрос клиента в сайте А? Ответ зависит от какой из сайтов пере крывает сайт А для данного домена. Перекрытие сайта определяется на основе сто имостей связей, регистрируют себя в сайтах л соответствии с этими В нашем примере между сайтом А и каждым из сайтов В и С существуют связи:
связи между контроллерами домена в сайтах Л, В и, С в оснастке Active Directory Services (Active Directory -- сайты и службы) для по связям. (Подробнее о связях сайтов и стоимостях связей - в главе 6 Репликация Active Стоимостные показатели сай тов определяются на затрат на передачу по ним. На ско рости между сайтами администраторы задают стоимость линий ЧАСТЬ 1 Служба каталогов Active Directory Эти данные в дальнейшем используются механизмом репликации для определения самого дешевого маршрута данных.
Сайты А и В соединены связью АВ, а сайты А и С Ч связью АС. Их стоимость такова:
Х связь сайтов АВ Ч 50;
Х связь сайтов АС Ч 100, Связь АВ намного дороже, чем АС. Администратор определил ее, зная, что сайты А и С соединяет дорогая ISDN-линия. Таким образом администратор вынуждает систему отдать предпочтение ресурсам в сайте В. Алгоритм перекрытия сайтов га рантирует, что контроллер домена сайте В зарегистрирует себя как контроллер домена для сайта А. Таким образом, клиенты сайта А, разыскивающие контроллер домена, найдут его в сайте В, а не в С. Подробнее о стоимости связи сайтов Ч в главе 6 Репликация Active Directory.
перекрытия сайтов Приведенный далее в этом разделе алгоритм используется для определения того, какие контроллеры домена регистрируют SRV-записи сайта в DNS. Такие записи определяют их в качестве предпочтительных контроллеров домена в сайтах, в ко торых эти домены не представлены. Каждый контроллер домена выполняет следу ющие операции.
1. Создает список (target sites), то есть сайтов, не имеющих кон троллеров данного домена (домена, которому относится текущий контроллер).
2. Создает список (candidate sites) Ч сайтов, в которых есть контроллеры данного домена.
3. Для каждого сайта-приемника выполняет следующие операции.
1. Создает список сайтов-кандидатов, членом которых является данный домен.
(Если таких сайтов нет, этот пункт не выполняется.) 2. Из отобранных сайтов-кандидатов создает список сайтов с самой низкой сто имостью связи с сайтом-приемником. (Если таких сайтов нет, этот пункт не выполняется.) Х Если в списке несколько сайтов, оставляет сайт с наибольшим числом троллеров домена.
Х Если в списке несколько выбирает первый по алфавиту сайт.
Х Регистрирует относящиеся к сайту-приемнику записи SRV для контролле ров данного домена в выбранном сайте.
Тайм-аут кэша и ближайший сайт Если рядовой домена контроллер домена, когда все кон троллеры домена недоступны или неизбежно найдет контрол лер домена в другом сайте. Сведения об этом контроллере домена помещаются в кэш клиента. Время жизни данных в кэше определяется параметром в реестре.
Контроллер домена проверяет подлинность и устанавливает защищенный ка нал. При последующих контроллер домена ищется в ближайшем сайте, несмотря на наличие данных в кэше и существование защищенного канала.
ГЛАВА 3 Разрешение имен в Active Если в клиентский кэш содержит сведения о контроллере домена, расположенном не в ближайшем сайте, служба Net Logon вход в систему) попытается най ти ближайший контроллер домена при наступлении любого из перечисленных ниже событий:
Х процесс интерактивного входа в систему выполняет сквозную проверку подлин ности по каналу;
Х истек срок, определенный в параметре реестра, со времени пос ледней попытки розыска и реализованы все возможные попытки использования защищенного канала (например, сквозная проверка подлинности при входе в систему).
Таким образом, служба Net Logon пытается разыскать ближайший контроллер до мена только по особому требованию. значения параметра Timeout находятся в диапазоне от 60 секунд до 49 дней, а значение по - 15 минут. Смысл задания слишком большого значения том, что клиент никог да не будет пытаться найти ближайший контроллер домена, если только при пуске у него нет вообще никакой информации о контроллере домена. Слишком маленькое значение этого параметра вызовет перегрузку защищенного канала росами на розыск.
Подробнее о создании параметра CloseSiteTimeout реестре Ч в техническом водстве Technical Reference Microsoft Windows 2000 Professional Resource Kit (файл Клиенты без определенного сайта Иногда при поиске клиентом контроллера домена (то при оправке ping) удается найти клиентский IP-адрес в таблице соответствия сайтов и подсетей. В таком случае контроллер домена возвращает нулевое (NULL) имя сайта, и клиент использует этот контроллер домена.
Подробнее о розыске сайтов Ч в главе 6 Репликация Active Типы локаторов В зависимости от параметров, переданных службе Net Logon (Сетевой вход в сис тему) через функцию механизм поиска контроллера домена ет по одной из двух описанных ниже схем.
Х Если в DsGetDcName передается используется локатор, ющий IP/DNS. Добавив к этому доменному имени соответствующую служба Net Logon (Сетевой вход в систему) на клиентском компьютере найти его в DNS (вызывая DnsQuery). Средствами службы DNS дут получены сведения о контроллерах домена. Если сайт известен, он указывается в запросе DNS. DNS возвращает соответствующие ловиям запроса IP-адреса контроллеров домена. Клиентская служба входа в отправляет сообщение UDP в один или несколько кон троллеров домена, возвращенных DNS, чтобы определить их доступность и под держку ими данного домена.
Х Если в DsGetDcName передается NetBIOS-имя, используется локатор, совмес тимый с Windows NT 4.0. Служба Net Logon (Сетевой вход в систему) на кли компьютере отправляет определяемый видом транспорта запрос на вход ЧАСТЬ 1 Служба каталогов Active Directory в найти домена, а затем сообщение одному или нескольким контроллерам, пытаясь установить их до ступность и поддержку данного домена.
Подробнее об API-функции локатора Ч на Web-странице Web Re sources по адресу ссылка Microsoft Platform SDK. Подробнее о DNS и разрешении IP-адресов Ч в книге Сети TCP/IP. Ресурсы Windows 2000 (Русская Редак 2001).
Локатор, поддерживающий IP/DNS, на клиентах под управлением Windows Локатор, IP/DNS, использует записи SRV в DNS для поиска бли жайшего контроллера домена, извлекая сведения о указанных для контрол леров домена.
Примечание Имя сайта регистрируется в DNS в виде метки DNS. Таким синтаксис имени сайта должен соответствовать требованиям, предъявляемым к меткам В частности, длина метки не должна быть более 63 октетов и содер жать запрещенные символы, например точку. (Подробнее о правилах именования в DNS Ч книге TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, Алгоритм локатора, поддерживающего IP/DNS, выполняется в контексте службы Net Logon (Сетевой вход в систему), работающей (как правило) на ком пьютере. Приведенная ниже последовательность операций выполняется после как служба Net Logon установила, что запрошено 1. Локатор запрашивает в DNS (вызывает функцию одно определя емых поиска клиенту известно имя сайта, локатор сначала запрашивает из этого сайта. В зависимости от параметров, в DsGetDcName, и успеха или неудачи поиска, выпол няются DNS, описанные ниже, Примечание Когда функция DsGetDcName вызывается без сайта, она всегда найти контроллер домена в клиентском или ближайшем сайте, как в разделе перекрытие сайтов ранее в главе.
В дальнейшем тексте относящиеся к сайтам особенности поиска кон троллеров домена.
Х Если флаг установлен, выполняется поиск имени и возвращаются сведения об успе хе или Х Если флаг установлен и определен параметр проводится поиск Если не удается найти никакого контроллера домена, выполняется следующий В противном случае возвращаются сведения об или Х Если флаг установлен, а определен, ищется имя и возвращаются сведения об успехе или неудаче.
ГЛАВА 3 Разрешение имен в Active Directory Х Если флаг и SiteName опреде лен, проводится поиск имени Если удается найти никакого домена, выполняется следующий В случае сведения об успехе или неудаче.
Х Если флаг а параметр SiteName не делен, проводится поиск имени и возвращаются сведения успехе неудаче, Х Если флаг и параметр SiteName оп ределен, ищется Если удается найти никакого контроллера домена, выполняется следующий Б противном случае возвращаются сведения об успехе пли неудаче.
Х Если флаг а параметр SiteName определен, ищется имя и возвращаются све дения об успехе или неудаче.
Х параметр SiteName определен, проводится поиск Если удается никакого домена, следующий пункт. В случае об или неудаче, Х параметр не определен, поиск имени Если невозможно найти доме на с таким именем (то то же самое, что и не удается кого контроллера домена), пункт. Б противном случае сведения об успехе или неудаче.
Х Если указан параметр имя В противном случае воз вращаются об или неудаче.
2. Если или не поддерживаются (о чем свидетельствует возвращае мая вызывается локатор, совместимый с Windows NT 4.0.
3. Если не удается найти указанное имя (например, по переименования локатор, совместимый с Windows NT 4.0.
4. DNS возвращает содержащих искомый домен записях (то I Р-адреса контроллеров домена) и по приоритету и весу, как в RFC 2052 < A DNS RR lor the location of (DNS Подробнее об этом документе на Web-странице Resources по адресу resources, ссыл ка IETF (Internet Engineering Task Force), далее ссылка Drafts поиск по словам). Эхо-запрос Ч по протоколу UDP LDAP в порт 389. отправляет сообщения по каждому ресу в порядке, указанном в Отослав очередной эхо-запрос, клиент дает ответа одну десятую долю секунды, после чего запрашивает следующий домена в списке. Выбор контроллеров домена наугад первый нагрузки. Отправка эхо-запросов с корот кими интервалами позволяет алгоритм розыска в времени.
ЧАСТЬ 1 Служба каталогов Active Directory 5. Отправка сообщений Ping продолжается до получения эхо-ответа или до того момента, когда список контроллеров домена будет исчерпан.
6. Получив эхо-ответ от контроллера домена, клиент полученную ин формацию с данными, переданными в DsGetDcName, и при несоответствии иг норирует ответ.
7. Возвращаются сведения о первом контроллере домена, ответившем на сообще ние ping.
Локатор, совместимый с Windows NT 4.0, для клиентов, не поддерживающих IP/DNS Когда невозможно использовать локатор, поддерживающий IP/DNS, по иска контроллера домена обращается к локатору, совместимому с Windows NT 4.0.
Локатор, поддерживающий IP/DNS, не используется, если:
Х в функцию DsGetDcName передано доменное имя в формате NetBIOS;
Х IPX или NetBEUI является единственным доступным транспортом;
Х найден домена Windows NT 3.51 или Windows NT 4.0;
Х поиск ведет клиент под управлением Windows 3.1, Windows for Workgroups 3.1, Windows for Workgroups Windows NT 3.51, Windows NT 4.0, Windows 95 или Windows 98.
В этих случаях для розыска контроллера домена используется локатор, совмести мый с Windows NT 4.0. Вот в какой последовательности действует локатор в таком случае.
1. Клиент разыскивает контроллер домена, посылая сообщение NETLOGON_ в почтовый ящик \mailslot\net\ntlogon на NetBIOS имя [1C] домена, контроллер которого требуется найти.
2. NetBIOS-имя [1C] регистрируется каждым контроллером домена Win dows NT. Конкретные механизмы разрешения имен и доставки дейтаграмм оп ределяются видом транспорта. Клиент использует контроллер домена, первым ответивший на сообщение.
Примечание По описанному здесь алгоритму ищется любой контроллер данного домена. Аналогичный алгоритм, реализованный в функции в Win dows NT 4.0, используется для поиска основного контроллера домена Эхо-запрос к контроллеру домена Клиент запрашивает контроллера домена, посылая сообщение NETLOGON_SAM_ В Windows 2000 сообщение расширено за счет дополни тельных сведений:
Х в поле указано, что сообщение должно содержать определенные в Windows 2000 поля с дополнительной информацией;
Х если поле RequestedDomainGuid со значением GUID запрашиваемого домена отсутствует, служба сетевого входа в систему указывает имя этого домена в поле Это поле следует сразу за Х в поле RequestedDomainGuid служба сетевого входа в систему указывает запра шиваемый домен. Это поле следует сразу за ГЛАВА 3 Разрешение имен в Active Directory Контроллер домена под Windows NT 3.51 или 4.0 эту до полнительную Примечание Когда домен Windows 2000 связан внешними доверительными отноше ниями с доменом, отличным от домена Windows 2000 (домены Windows NT 3.51 или Windows NT 4.0), поиск контроллеров домена во внешнем доверенном домене вы немедленно после загрузки клиента. Поиск при входе в систему невоз можен, потому что учетные записи в доверенном за пре делами леса, отсутствуют в глобальном Последний требуется для входа домен.
Эхо-ответ от контроллера домена Контроллер домена отвечает на запрос REQUEST почтовым сообщением 1. Контроллер домена под управлением Windows NT 3.51 или Windows NT 4.0 воз вращает почтовое сообщение 2. Контроллер домена под управлением Windows 2000 возвращает почтовое сооб щение клиентам под управлением Microsoft Windows 3.1, Microsoft Windows for Workgroups Microsoft Windows for Workgroups Windows NT 3.51 или Windows NT 4.0.
3. Контроллер домена под Windows 2000 возвращает сообщение клиентам под управлением Win dows 2000. Такое сообщение полностью состоит из символов в стандарте Эхо-ответ содержит дополнительную информацию:
Х в ноле сообщается о наличии определенных только в Windows полей;
Х в поле DomainGuid содержится домена;
Х в поле домена;
Х в поле DnsForestName содержится DNS-имя корневого домена леса, в кото ром находится контроллер домена;
Х в передается имя сайта контроллера домена;
Х в поле возвращается имя сайта, в котором находится клиент;
Х в поле DcSockAddr передается IP-адрес контроллера домена;
Х в поле Flags передаются следующие сведения о контроллере домена:
Х является ли он основным контроллером домена;
Х содержит ли он глобальный каталог;
Х есть ли на нем служба Directory;
Х находится ли он в ближайшем к клиенту сайте.
Локатор, совместимый с Windows NT 4.0, не полностью поддерживает флат DsGetDcName, поэтому необходимо, чтобы найденный контроллер домена живал API службы каталогов (то есть функционировал под управлением 2000). Когда параметр DomainGuid принимает значение NULL, это что в системе WINS и среди 25 ближайших контроллеров домена ни один ЧАСТЬ 1 Служба каталогов Active Directory работает под управлением Windows 2000;
в этом случае DsGetDcName не срабатыва ет и возвращает ошибку об отсутствии доступных домена.
Повтор запроса для поиска ближайшего сайта Клиент под управлением Windows 2000, использующий локатор, совместимый с Windows NT 4.0, пытается домена в ближайшем сайте. Отыскав его, клиент проверяет следующую информацию в почтовом эхо-ответе:
Х ли домена (условие не соблюдается, если контроллер до мена работает под Windows NT 3.51 или Windows NT 4.0);
Х возвращено ли значение (условие не соблюдается, нет под сети, IP-адресу клиента).
Х сообщил ли контроллер домена, что расположен в ближайшем к клиенту сайте.
Если все эти условия соблюдены, DsGetDcName повторно вызывает DsGetDcName и передает домена и сайта. В этом новом запросе DsGetDcName ис пользует локатор, IP/DNS, пытаясь найти контроллер домена в сайте. Если новый запрос отыскивает контроллер домена, информа ция о нем возвращается клиенту в качестве ответа на первоначальный DsGetDcName. Если новому найти контроллер домена удается, возвра щаются о домена.
Поиск информации в Active Directory Клиентские приложения используют различные механизмы для поиска информа ции в Active Directory. Большинство запросов объектов каталога осуществляется либо через поставщика LDAP (Active Directory Service Interfaces), либо че рез интерфейс LDAP API. В конечном итоге все запросы должны соответствовать правилам поиска объектов по протоколу LDAP. Active Directory обрабатывает хранимой локально информации каталога (то есть информации, относящейся к локальному разделу домена) и перенаправ ления для поиска объектов, расположенных в других разделах каталога.
объект не существует, служба возвращает ошибку, информирующую об отсутствии запрашиваемого объекта в каталоге.
Разрешение имен в операциях каталога Когда клиент выполнение операции каталога, контроллер домена, к которому он обратился, разрешает имена, используя свои собственные данные обо всем каталоге, и пытается установить, ли он сам выполнить операцию или должен перенаправить клиент на другой сервер для выполнения всей или части LDAP находит объект в каталоге по пути, указанному в составном имени (distin name, DN) объекта. Каждый объект заносится в базу данных каталога со гласно своему имени (relative distinguished name, RDN) и идентификатору родителя, а не по составному имени. Составное имя Ч это по следовательность относительных имен Ч от относительного составного имени объекта до RDN самого высокого уровня в иерархии имен. Таким образом, зная составное имя объекта, всегда можно восстановить полное со имя, перемещаясь по ссылкам на родительские объекты вплоть до корне ГЛАВА 3 Разрешение имен в Active Directory объекта. в имени следующего объекта-пользователя ряд относительных составных имен относится к объекта. Этой части составного имени обычно соответствует дерево доменных определенных атрибутов, хранимых в контейнере Примечание Объекты в это объекты перекрестных ссылок;
они содержат используемую Active Directory для создания иерархии дерева каталога.
Поскольку каждый контроллер домена знает обо всех разделах каталога в то деление составного имени на суффикс (указывающий на относительный путь пределах домена) и префикс (компоненты относящиеся непосредственно к является локальной операцией. Если локальный контроллер домена хра нит копию требуемого домена, он может самостоятельно проверить префикс ного имени и выполнить требуемую операцию. В противном случае локальный кон троллер домена возвращает перенаправление другой сервер или сообщение об ошибке, если искомый объект не существует.
Параметры в позволяет отыскать информацию обо всех объектах с за данными характеристиками в определенной области, например номера телефонов всех субъектов подразделения, Далее перечислены параметры поиска по протоколу LDAP.
Х (search base) (составное имя объекта базы поиска) мес то (объект) каталога, с которого начнется поиск.
Х (search определяет, как глубоко поиск по от ношению к базе поиска:
Х (base), или нулевой, уровень поиска указывает, что нужно искать только в базовом объекте;
Х первый (one level) поиска подразумевает поиск среди объектов, на ходящихся на один уровень в иерархии по отношению к базовому объекту, но включая его;
Х поиск в (subtree) указывает на поиск в базовом объекте и во всем поддереве, вершиной иерархии которого является составное имя объекта.
Х (filter) позволяет включить или исключить из поиска отдельные ветки поддерева.
Х Задание выбранных атрибутов (selection) позволяет только ные атрибуты объектов, соответствующих критериям фильтра.
Х управления позволяют задать порядок обработки результатов поиска.
Рис. 3-1 иллюстрирует составное имя базы и области LDAP-поиска, ( ЧАСТЬ 1 Служба каталогов Active Directory - Составное имя базового объекта поиска Базовый объект Первый уровень Ч Поддерево Рис. 3-1. Базовый объект и область На рис. 3-2 составное имя базового объекта.
DC=Reskii Составное имя базового объекта Рис. 3-2. Составное имя объекта LDAP-поиска Фильтры Фильтры для выбора критерия поиска, что позволяет проводить его и производительно. Представьте себе, что требуется найти всех с фамилией Smith или всех членов группы подотчетных менеджеру Mary Jones. ADSl поддерживает фильтры LDAP-поиска в соответствии с RFC 2254, В таких фильтрах строки заданы в формате В таблице 3-1 показаны наибо лее часто используемые строки фильтра поиска.
Таблица 3-1. Часто используемые строки фильтра LDAP-поиска Фильтр Описание объекты Все объекты за исключением Все объекты пользователь с фамилией, начинаю щейся с букв Все записи адресной книги с фамилией Smith или Johnson ГЛАВА 3 Разрешение имен в Active Directory В в таблице 3-1 фильтрах поиска используется один из форматов:
или В 3-2 перечислены некоторые из наиболее часто используемых фильтра.
Таблица 3-2. Часто используемые операторы фильтра Оператор Описание Равно Лексически меньше или или равно & И ИЛИ ! НЕ Подробнее о синтаксисе и операторах запроса на на Web-странице Web Resources по адресу ссылки Microsoft Platform SDK и Request for (RFC) и далее ссылка RFC 2254.
Использование ObjectCategory или в фильтре поиска Иерархия наследования классов в схеме приводит к тому, что каждый объект в Active Directory экземпляром нескольких классов Ч в нем четырех или пяти. По этой причине индекс атрибута objectClass большой (в пашем примере он приблизительно равен 4п, где п Ч число объектов в системе). Кроме того, у атрибута objectClass неудовлетворительная избирательность по значениям классов. Например, фильтр поиска воз вратит все имеющиеся в системе объекты пользователей и групп.
С другой стороны, обычно относится к вполне сам в иерархии классов объектов. Атрибут может иметь несколько a У каждого объекта Active Directory есть атри бут которого имя объекта класса У каждого объекта класса dassSchema есть атрибут является категорией объекта данного класса, если не то иначе. Для классов значение является самим классом. Вы задать в фильтре поиска object где X Ч атрибут класса, и LDAP автоматически расширит и фильтр objectCategory = <атрибут класса Х>. Синтаксис атрибута аналогичен синтаксису составного имени, поэтому LDAP чески значение objectCategory в формат составного имени. Например, если задать в фильтре фильтр автоматически будет преоб разован в (person Ч это атрибут класса contact).
Подробнее о наследовании - в главе 4 Active Directory.
138 ЧАСТЬ 1 Служба каталогов Active Directory Перенаправления LDAP Когда требуемый в каталоге, но не на текущем контроллере до мена, процесс разрешения имен от того, знает ли этот домена о том, как каталог разбит на разделы, и что По каталог разбит на разделы, которые хранятся на контроллерах домена. Поэтому пол ной версии каталога нет ни на одном домена.
Перенаправление LDAP это один из способов, используемых контроллером до мена для того, чтобы проинформировать клиентское о том, что у него нет копии требуемого объекта (а что он не содержит раздел дерева катало гов, где этот объект должен быть или реально существует), и предоставить клиенту адрес, где этот объект может находиться. Этот адрес клиент может использовать в качестве базы поиска контроллера домена в DNS. В долж но содержать ссылку на контроллер домена, хранящий искомый объект. Однако ничто не мешает контроллеру домена, на который запрос, возвра тить новое перенаправление. Чтобы обнаружить отсутствие искомого объекта и известить об этом клиент, обычно не требуется много времени. Directory возвращает перенаправление в соответствии с RFC 2251.
Каждый контроллер домена хранит в своем конфигурации о других доменах в лесе. Когда операция Active Directory требует обращения к которые существуют в но отсутствуют в домена, хранимом на контроллере тот должен сообщить клиенту, их найти Ч то есть кли ент перенаправляется на контроллер домена, который, предположительно, содер жит требуемый объект (или объекты).
Клиенту не обязательно знать имя или местоположение дочернего домена, чтобы обратиться к контроллеру домена в нем. Он может отправить запрос в корневой домен, который и перенаправит его на соответствующий контроллер домена. Такой тип ответа домена создается если:
Х составного имени базы поиска нет в текущем каталоге, но контроллеру домена известен другой каталог LDAP, где его можно найти (так называемое внешнее Х составное имя базы операции есть в текущем каталоге, но операция об ращения к областям дерева каталогов, не хранящимся на данном контроллере домена (так называемое нисходящее Каждый контроллер домена содержит о том, как каталог разбит на разде лы. Их можно использовать для поиска в DNS нужного домена Active Directory.
Ссылки на данные Active Directory хранит информацию о и размещении ка талога, в том числе их имена, имя сервера, содержащего копии только для чтения (частичные разделы каталога, хранимые на серверах глобального каталога), и имя сервера, хранящего копии (полные разделы каталога). Active Directory использует эту информацию для формирования перенаправлений на другие кон троллеры домена.
В Active Directory три вида ссылок на данные:
Х нисходящая ссылка Ч сведения о разделе (или разделах) каталога, расположен ных ниже по по отношению к разделу каталога, ко торый содержит данный контроллер домена;
ГЛАВА 3 Разрешение имен в Active Х перекрестная ссылка данные об одном разделе каталога, хранимые в объекте ссылки. всех перекрестных ссылок Ч это хранимые на контроллере домена полные данные обо всех разделах каталога в лесе безот к их положению в каталогов;
Примечание Информация о перекрестных ссылках в каждый момент может зависеть от репликации (то есть конечного времени, необ для данных).
Х восходящая ссылка Ч это информация об особом адресе Он используется, когда контроллер домена не обладает никакими сведениями о базе поиска.
Ссылки на данные являются тем который объединяет час ти распределенного каталога. Так как Active Directory разбит на логические разде лы, собой дискретные компоненты каталога, реплицируемые сре ди контроллеров домена, то на определенном контроллере домена присутствуют либо все объекты раздела каталога, либо ни один из них. По этой причине объединяют разделы, в результате чего операции (например, поиск) могут выпол няться сразу в нескольких разделах.
Перенаправление создается в Active Directory, когда клиент требует от службы най ти объект, копии которого нет в месте, с которого начинается поиск. Если Active Directory способна достоверно установить, что объект в вообще не существует, вместо перенаправления служба каталогов возвращает кли сообщение об ошибке, информирующее об отсутствии искомого объекта в лесс.
о репликации разделов каталога Ч в б Active Directory Нисходящие ссылки Получив от запрос на поиск, контроллер домена ищет среди объектов в базе поиска и ниже по иерархии раздела каталога, который он содержит. Если поиска в поддереве содержит дочерние разделы, контроллер домена использует нис ходящие ссылки для формирования Ч они называются щими (subordinate referrals) Ч на разделы.
Нисходящие перенаправления включаются в состав данных, возвращенных разде лом с составным именем базы поиска. содержит составное подчиненного раздела каталога и точку (access point) для направления запросов. Точка в свою очередь, состоит из и номера порта, то есть содержит сведения достаточные для обращения к определен серверу LDAP. Точки доступа на информации, содержащей ся в объекте перекрестной ссылки.
Перекрестные ссылки Перекрестные ссылки хранятся в каталоге в виде объектов класса жат о существовании и положении всех разделов каталога независимо от их положения в дереве каталогов. Перекрестные ссылки позволяют домена обладать знанием обо всех каталога в лесе, а не о своих разделах. Поскольку эти объекты хранятся в конфигурации, содержа щиеся в них сведения реплицируются на все домена в лесе.
ЧАСТЬ 1 Служба каталогов Active Directory Каждая ссылка должна содержать значения следующих атрибутов:
Х nCName -- имя раздела каталога, на которое ссылается объект Первые две буквы имени атрибута обозначают контекст именования (пС naming context) или, что то же самое, Ч раздел каталога. Совокупность всех ат nCName в лесе определяет все дерево каталогов, включая и восходящие связи между разделами;
Х в котором можно найти серверы, хранящие данный раздел каталога. Это значение также может быть именем узла DNS.
Объекты перекрестных ссылок используются для создания перенаправлений в дру гие разделы каталога в лесе и во внешние каталоги.
Существуют два способа создания объектов перекрестных ссылок:
Х ссылки системой для перенаправления в пределах леса;
Х внешние ссылки создаются администраторами для перенаправления за пределы леса.
перекрестные ссылки Внутренние перекрестные cross-reference) Ч это объекты, создава емые системой. Для каждого разделов каталога в лесе в контейнере разделов Partitions хранится объект перекрестной ссылки. При создании нового леса мастер установки Active Directory создает три раздела каталога Ч домена, кон фигурации и схемы. Объекты перекрестных ссылок на каждый из этих разделов генерируются автоматически. В дальнейшем при добавлении лес нового домена создается новый раздел домена и соответствующий объект перекрестной ссылки.
Поскольку объекты внутренних перекрестных ссылок находятся в контейнере кон фигурации, они реплицируются во контроллеры доменов и таким обра каждый из них обладает об всех разделов леса (а также об их взаимных отношениях и старшинства). На основании этого знания любой контроллер может сформировать перенаправление в любой другой домен леса, а также в разделы схемы и конфигурации.
Внешние перекрестные ссылки ссылка (external cross-reference) это объект перекрестной ссылки, создаваемый вручную и предназначенный для указания местоположения объекта, пределами леса. Если клиенты запрашивают у серверов леса операции, требующие обращения к объектам внешних областей гло бального имен и чтобы эти серверы перенаправ ляли клиента в соответствующие разделы, Вы можете создать объект перекрестной ссылки на запрашиваемый каталог в контейнере Partitions.
ссылки используются в двух случаях:
Х для ссылки на внешние каталоги по их именам (то есть по не к связанному пространству имен текущего дерева каталогов).
В этом случае создается перекрестная ссылка на объект, потом ком ни одного объекта текущего каталога;
Х для ссылки на внешние каталоги по имени, относящемуся к пространству имен Active Directory (то есть по имени, являющемуся частью связанного простран ГЛАВА 3 Разрешение имен в Active ства имен текущего дерева каталогов). В этом случае создается на объект потомок реального объекта каталога.
Примечание каталог, расположенный на контроллере домена под управ Windows 2000, нуждается в создании явного объекта перекрестной ссыл ки. Все контроллеры доменов под управлением Windows 2000 формируют внешние перенаправления автоматически. Это обусловлено тем, что доменная (dc =) составных имен доменов Windows 2000 является одновременно их то есть частью всемирного пространства имен.
Создание внешних перекрестных ссылок Создавать объект перекрестной ссылки придется в том единственном случае, копы в область поиска нужно включить каталог, пределами леса и со держащий службу каталогов, отличную от Windows 2000 LDAP. В такой ситуации для в контейнере Partitions объектов класса можно ваться такими редакторами LDAP, как Edit или Ldp, Примечание Чтобы ADSI Edit и средства поддержки (Windows 2000 Support Tools), которые находятся в папке на ком пакт-диске с операционной системой Windows 2000 Server. Чтобы установить сред ства поддержки, дважды щелкните значок Setup в указанной папке. Подробнее об установке и использовании средств поддержки Windows 2000 и справки по в файле в папке на компакт-диске с операционной сис темой Windows 2000 Server. Подробнее об использовании ADSI Edit и Ldp - в спра вочной системе Microsoft Windows 2000 Resource Kit Tools.
Создавая объект перекрестной ссылки, следует задать значения трех атрибутов:
этот атрибут содержит описательное имя каталога. Например, домену может соответствовать значение атрибута сп или более формативное, например составное имя раздела домена, па которое ссылается ная ссылка. доменному имени noam.rcskit.com соответствует атрибута nCName;
Ч сервера LDAP в домене, на который указывает nCName (напри мер, serverl.noam.reskit.com). В можно не задавать сервер, а только указать имя домена.
Примечание Достаточно, чтобы удалось разрешить имя в (направлением эхо-запроса Ping), которое не обязательно должно ссылаться на другую систему под управлением Windows 2000 и может быть сервера LDAP, а кон троллера домена. Если рассматриваемый раздел каталога домен Windows 2000 в другом то обычно в этом случае автоматически созданных данных вполне до статочно, и никаких внешних перекрестных ссылок не требуется.
Для создания объектов перекрестных ссылок в контейнере конфигурации Вы може те воспользоваться ADSi Edit или Ldp. Однако нужно иметь в виду, что при добав в Active Directory нового объекта Ldp требует указать составное имя объекта, а также его и дополнительных атрибутов. Подробнее об ис пользовании Ldp - в справочной системе Microsoft Windows 2000 Resource Kit Tools.
142 ЧАСТЬ 1 Служба каталогов Active Directory Служебная программа Edit предоставляет графический интерфейс:
для создания объектов перекрестных ссылок.
Создание объекта перекрестной ссылки средствами ADSI Edit 1. В ADSI Edit раскройте узел конфигурации.
2. Щелкните правой кнопкой мыши контейнер и в контекстном меню выберите New (Создать), а затем щелкните Object (Объект).
3. Б окне Select a>
4. В ноле Value атрибута сп введите описательное имя на кото рое создается ссылка и щелкните кнопку Next (Далее).
5. В поле Value атрибута составное имя внешнего домена и щелк ните кнопку Next (Далее).
6. В поле Value атрибута введите сервера, на котором хра нится требуемый раздел или имя домена.
7. Убедившись в правильности введенных щелкните кнопку (Готово).
Чтобы использовать перекрестные ссылки, клиент необходимо настроить для сле (chase) по перенаправлениям. Windows Book (Ад ресная книга Windows) по следует по перенаправлениям В этот параметр можно задать, установив флажок Chase Referrals в окне иска Search Options. При обращении к ADSI из программ, например при исполь зовании для поиска Active Data Objects (ADO), необходимо указать, следовать ли по перенаправлениям. Подробнее об обращении к ADSI из программ Ч на Web странице Web Resources по адресу reskit/webresourccs, ссылка Microsoft Platform SDK.
Создание внешней перекрестной ссылки на внешний каталог Чтобы создать перекрестную ссылку на внешний каталог, содержащую обращение к внешнему местоположению, нужно в атрибута nCName фактическое имя внешнего каталога. Например, внешний каталог L.DAP спосо бен поддерживать именование в стандарте (вида о= который при указании атрибута Зап росы к этому каталогу должны на внешний объект по имени в состав ном имени базы поиска. Запрос перенаправления на такое местоположение может иметь форму адреса LDAP URL, вложенного в сообщение электронной почты, или исходить от приложения, конкретное составное имя каталога.
Создание перекрестной ссылки для Чтобы поиск по поддереву каталога всегда включал внешний каталог яв ляющийся службой каталогов Windows 2000, можно создать для мес тоположения ссылку на каталог. Чтобы создать внутренний объект, ссылающейся на каталог, укажите в качестве значения атрибута nCName перекрестной ссылки имя непосредственного потомка существующего объекта каталога, причем имя этого потомка должно соответствовать составному имени внешнего каталога. Выберите местоположение, из которого можно будет най ти внешний каталог в Active 3 Разрешение имен в Active Этот тип перекрестной ссылки чрезвычайно для мягкой интеграции ди намических каталогов. Например, если Вы пользуетесь такими приложениями мо обмена сообщениями, как для списка или планируемых конференций. эффектив ный протокол запросов таких списков, однако такие непостоянные, данные не могут храниться в Active Directory. Поэтому стоит воспользо ваться отображенным в памяти LDAP-сервером (который способен хранить такие непостоянные данные) в произвольном месте пространства имен. Такой службе каталогов стоит выделить имя в про имен Active Directory предприятия и сделать доступной пользовате лям через ссылку в Active Directory. Таким образом, смогут видеть список встреч в дереве каталогов.
что имя домена и приложение обмена сообщениями уста новлено на который не поддерживает службу катало гов. На этом сервере Вы можете создать каталог для хранения дан ных и присвоить ему произвольное имя, например Далее на своем контроллере домена Active Directory Вы можете создать объект пере крестной ссылки со следующими атрибутов:
server выполняя поиск по кроме сведений от домена под управлением 2000 клиент получит нисходящее перенап равление на сервер летучей службы каталогов с именем Здесь он узнает о необходимости продолжить на этом сервере, начи ная с имени и продвигаясь вниз по иерархии.
Восходящие ссылки Восходящая ссылка Ч это составное имя раздела каталога, хранящееся в атрибуте объекта класса домена леса (первого доме на, созданного в лесе). Контроллер домена использует эту ссылку для возврата пе ренаправления, только когда базу поиска не удается сопоставить ни с одним из раз делов каталога, объектами перекрестных ссылок. Восходящая ссыл ка не содержит о каталогов и состоит лишь из точки указывающей, где можно поискать ответ на запрос, не удается обработать.
По никакого значения, но служба каталога создает ссылки, используя составного имени базы поиска. В качестве значения атрибута можно указать местоположение, куда будут перенаправляться все запросы, кото рые не удается разрешить.
Неоднозначное разрешение имен Неоднозначное разрешение (ambiguous name resolution, ANR) Ч это процесс поиска строкового значения в атрибутов с помощью фильтра в фор ме 144 ЧАСТЬ 1 Служба каталогов Active Directory атрибутов ANR По умолчанию при задании строки неоднозначного имен в фильтре просматриваются подмножество атрибутов:
Х (имя);
Х (фамилия);
Х (имя, данное объекту при его Х (относительное составное имя объекта);
Х (составное имя старого почтового оно ана логично в Active Directory. Этот атрибут только на предприятиях, которые перешли со старой версии Exchange на новую, с Active Directory, версию);
Х (адрес документов в офис, например ение А, комната Х proxy (подмножество адресов электронной почты во про имен электронной почты, известных серверу Exchange).
Обнаружив фильтр механизм поиска расширяет и конкретизи рует его, включая в поиск все атрибуты из ANR.
В оснастке Active Directory Users and Computers (Active Directory пользователи и компьютеры) можно, щелкнув пункт меню Filter (Параметры фильтра) или Find (Найти) (в меню или на панели инструментов), перейти к Custom (Создать особый фильтр) и Advanced чтобы ввести фильтр ANR.
Задать фильтр неоднозначного имен можно также в LDAP.
например Ldp. Этот LDAP-клиснт способен задавать с фильтрами и получать ответы по протоколу Подробнее об использовании Ldp - в гла ве 2 Хранение данных в Active и в справочной системе Microsoft Windows 2000 Resource Kit.
Интерпретация пробела в строках Если в строке фильтра присутствует то строка разбивается в месте первого пробела на две части, которые рассматриваются как значения атрибутов givenName и sn. Эта особенность позволяет искать объект задавая лишь несколько первых букв имени (givenName) и фамилии Например, при поиске с фильтром (ANR=dar st) будут найдены все объекты, значение атрибута givenName которых начинается с а значение sn начинается с st. К примеру, Darlene Stuart и Darren Strong.
При поиске при сопоставлении частей строки и атрибутов sn и givenName рассматриваются как прямая (первая/последняя), так и обратная (по следняя/первая) последовательности частей строки нечеткого поиска. То есть, кро ме уже описанной ранее строки с пробелом, вторая часть строки также может рассматриваться как значение givenName, а первая как sn. Таким образом, рассмотренный выше фильтр st) позволяет найти как пользо вателя David Strong, так и Steven Davis.
Расширенный фильтр ANR Механизм LDAP-поиска расширяет фильтр для поиска заданной строки во всех используя операцию ИЛИ. Кроме того, в построении этого ГЛАВА 3 Разрешение имен в Active Directory для атрибутов и учитываются описанные в предыдущем разде ле прямая и обратная частей строки.
вида (апг = ххх расширяется до:
(sn=xxx Последние три строки расширенного фильтра описывают обработку имени и фа Расширение подмножества атрибутов Заданное по умолчанию атрибутов ANR можно расширять, устанав ливая соответствующий флагу объектов класса В служебной про грамме Edit разверните папку схемы и откройте страницу свойств который требуется добавить в подмножество. В атрибута не обходимо указать число Ч результат применения поразрядного ИЛИ к величинам: значению атрибута, 4 и 1. Значение 4 атрибут в подмножество а единица его в качестве индексируемого.
о настройке атрибута searchFlags Ч на Web-странице Web Resources ссылка Mic rosoft Platform SDK.
Отмена особой обработки атрибутов и givenName Стандартная конфигурация Active Directory особую обработку стро ки с пробелом в Атрибут объекта Service содер жит строковое значение, которое интерпретацией частей строки поиска, пробелом. Значение по умолчанию Ч 00, подразумеваю щее, что проверяются обе последовательности частей строки. 0 в этом числе, подразумевают выполнение стандартных операций.) Первая цифра ет проверкой прямой последовательности, а вторая Ч обратной.
Первые две цифры строки можно использовать для отмены проверки или обратной последовательности следующим образом:
10 Ч не обрабатывать последовательность (полная строка может иметь вид как 1, так и 10 000 Ч здесь важна лишь первая цифра, а остальные в любом случае операций по умолчанию);
01 не обрабатывать обратную 11 Ч не обрабатывать ни прямую, ни обратную Анонимные запросы Если необходимо обеспечить пользователям за пределами леса Windows можность обращаться за общедоступной справочной информацией в Active Direc стоит анонимный доступ к объектам Для это 146 ЧАСТЬ 1 Служба каталогов Active Directory го необходимо предоставить доступ к соответствующим объектам Active Directory группе Everyone (Все).
Существуют три основных условия анонимного доступа к Active Directory:
конфигурация сервера Ч Everyone надо предоставить доступ для чтения папок Active открываемых для анонимного доступа;
конфигурация клиента Ч для поиска в Active Directory необходимо клиент, поддерживающий LDAP;
формат составного имени Ч Active Directory подразумевает в обязательном поряд ке, чтобы клиенты указывали имя базы поиска в виде составного имени LDAP, включающего домена и конкретный для нимного доступа.
Примечание Для предоставления анонимного доступа пользователей нужно разрешить его на Web-сервере IIS (Internet Information Services).
Использование управления доступом для анонимного доступа доступом следует применять при предоставлении анонимного доступа к отдельным объектам. Для этого достаточно группе Everyone (Все) для чтения хранящего объекты открытого доступа Члены группы Everyone В Active Directory пользователи, проверку подлинности, автоматичес ки включаются в группу Authenticated Users (Прошедшие проверку). Пользовате ли, вошедшие без проверки подлинности, выделяются в анонимных пользо вателей. Пользователи, вошедшие как Guest (Гость), включаются в группу Domain Guests (Гости домена). Но в любом их этих случаев входят в группу Everyone (Все). предоставляя доступ группе Everyone (Все), Вы дадите его не только прошедшим проверку подлинности, но и всем аноним пользователям.
Примечание На всех компьютерах под управлением Windows 2000 или Windows NT существует встроенная учетная Guest (Гость), не требующая указания паро ля (пароль может быть пустым) для всех пользователей пер сональных учетных записей. В каком-то смысле такие пользователи Но учетная запись Guest (Гость) отключена.
По умолчанию группа Everyone обладает доступом для чтения к объекту до мена и его атрибутам, причем дочерние контейнеры доступ не наследуют. Такой доступ предоставляется, чтобы пользователи могли войти анонимно в случае окон чания срока действия пароля. В такой ситуации пароль нужно изменить до входа в систему. При этом пользователь подключается к домену и изменяет пароль, указав старый и новый пароль. Выполнить такие действия пользователь может, только подключившись анонимно, - ведь на тот момент у него нет пароля для стандарт ного входа в систему.
Внимание! Не предоставляйте анонимный доступ к контейнерам уровня домена с отличным от This object only (Только этот объект), который задан по 3 Разрешение имен в Active Directory умолчанию. Это значение позволяет всем пользователям читать свойства только данного объекта домена и предоставляет доступ к объектам, расположенным ниже в иерархии.
Предоставление для чтения группе Everyone доступ для чтения группе Everyone (Все) на определенный контей нер объектов, Вы можете задавать его только для тех объектов Active Directory, которые находятся в этом контейнере. Для этого воспользуйтесь тки Active Directory Users and Computers (Active Directory Ч пользователи и ком пьютеры), причем, предоставив доступ к определенному контейнеру, Вы поместите в него все объекты, для которых открытый доступ. Чтобы получить воз можность управлять параметрами безопасности, выделите команду Advanced Fea tures (Дополнительные функции) в меню View (Вид).
Предоставление анонимного доступа к отдельному контейнеру Active Directory 1. В View (Вид) консоли Active Directory Users and Computers (Active Directory - пользователи и компьютеры) выделите команду Advanced Features функции), если она не была выделена ранее.
2. Щелкните правой кнопкой мыши контейнер, к которому требуется предоставить анонимный доступ, в меню Properties (Свойства) выберите ку Security (Безопасность) и щелкните кнопку Advanced (Дополнительно).
3. Если группы Everyone (Все) в списке Permission Entries (Элементы разре щелкните Add (Добавить). В столбце Name (Имя) выберите Everyone (Все), а затем щелкните ОК.
4. В диалоговом окне Permission Entry for (Элементы разре шения для...) перейдите к вкладке Properties (Свойства).
5. Б Apply onto (Применять) выберите User objects (Пользователь объектов).
В списке Permissions в Allow (Разрешить) флажки для одного или нескольких которые требуется установить, Read All Properties (Чтение всех свойств), а затем щелкните ОК.
7. Во всех открывающихся окнах с предупреждением (если система их откроет) щелкните Yes (Да).
8. В диалоговом окне Access Control Settings (Параметры управления доступом) щелкните ОК.
Внимание! Предоставление анонимного доступа ослабляет стандартную среды Active Directory. Необходимо с предоставлять ано нимным пользователям доступ к контейнерам и атрибутам.
Предоставление анонимным пользователям доступа для чтения всех свойств Встроенная группа 2000 Compatible Access 2000 дос туп) обладает доступом Read All Properties (Чтение всех свойств) к объектам-груп пам и объектам-пользователям. По умолчанию группа Everyone (Все) не является членом группы. Если надо предоставить такой уровень доступа пользователям, Вы добавить группу Everyone (Все) в группу 148 ЧАСТЬ 1 Служба каталогов Active Directory 2000 Compatible Access. Таким образом, анонимные пользователи получат до ступ для чтения всех объектов пользователей и групп. Подробнее об уп равлении доступом Ч в главе 12 доступом.
Предосторожности при предоставлении анонимного Предоставляя анонимный при наличии выхода в важно настроить брандмауэр для портов, используемых для доступа к Active Directory.
Брандмауэр Ч это комплекс, обеспечивающий межсетевую защиту. Обычно он применяется для предотвращения доступа из Интернета локальную сеть. не допускает прямого меж ду компьютерами локальной сети и внешними системами, перенаправляя связи че рез прокси-сервер за пределами сети. Прокси-сервер принимает решения о допустимости и безопасности получения конкретных данных из внешних сетей.
Брандмауэр должен перекрывать следующие порты:
Х порт 389 для открытых запросов по Х порт 63G для запросов по с использованием протокола SSL;
Х порт 3268, используемый глобальным каталогом;
Х порт 3269 для запросов каталога с протокола SSL.
Подробнее о настройке - в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server Редакция, 2001).
Глобальный каталог и LDAP-поиск Глобальный каталог позволяет проводить поиск Active Directory во всех доменах леса, не возвращая нисходящие перенаправления. Таким образом, пользо ватели ищут и находят объекты, даже не зная, в каком домене они нахо дятся.
Серверы глобального каталога Сервер глобального каталога Ч это контроллер хранящий кроме стандарт ной, дополнительную информацию;
база данных обладает сведениями о каж дом объекте леса, а не только данными об объектах одного домена. Есть один ню анс: в глобальном каталоге хранятся все атрибуты каждого из объектов других доменов, а лишь их часть. Таким он позволяет выполнять поиск во всем лесе, при этом не требуется реплицировать всю базу данных Active Directory на каждый из контроллеров доменов. Служба знаний (Kno wledge Consistency создает топологию репликации, которая тирует добавление содержания всех разделов каталога на каждый сервер глобаль ного каталога в лесе.
Примечание Как и любой контроллер домена, сервер глобального каталога хранит для записи) реплики разделов схемы и конфигурации.
По умолчанию сервер, на котором устанавливается Active Directory в процессе со здания первого домена нового леса, сервером глобального каталога. В по мере необходимости назначать дополнительные серверы глобального каталога.
ГЛАВА 3 Разрешение имен в Active Directory Отличия поиска в глобальном каталоге и в доменах Решение о том, где искать Ч в глобальном каталоге или домене, на основании следующих условий:
Х когда областью поиска является домен или запрос может быть обработан в разделе домена с применением поиска по протоколу Х когда областью поиска является лес, запрос может быть обработан в любом раз деле с применением поиска в глобальном каталоге.
Типы поиска по умолчанию в глобальном каталоге Любые запросы на отправляемые в порт 3268, обрабатываются в ном каталоге. Кроме того, глобальный каталог используется для поиска в следую щих случаях:
Х при входе в систему, когда указывается основное имя пользователя. Определе ние домена и имени учетной записи по основному имени пользователя няется на информации в каталоге;
Х при входе в систему для расширения которые могут ватывать несколько доменов. Поэтому пользователь иногда членом универсальной которой нет в домене, куда он При членства в универсальных группах поиск проводится в глобальном каталоге, Если удается найти, такая группа присоединяется к пользовательским реквизитам на вход в систему;
Х при задании в качестве области поиска Entire Directory (Целиком папка);
Х когда задается свойство с составным именем, относящимся к объекту, не храни мому локально. Например, при добавлении пользователя из другого домена гло бальный каталог применяется для проверки фактического ветствующего объекта-пользователя.
База поиска в глобальном каталоге В любом необходимо указывать реально составное имя. При поиске в глобальном кагалоге, составное имя базы поиска может любым, включая значение Составное имя NULL базы поиска для ло кального компьютера автоматически вызывает поиск в глобальном каталоге. По этому ничего не удастся найти, если задать базу поиска NULL, указать в области поиска один уровень или поддерево и порт 389 (стандартный порт LDAP).
Кроме того, следует быть при с порта глобального катало га после поиска со NULL на порт LDAP, поскольку обязательно следует указывать конкретное составное имя базы поиска (а не NULL).
Примечание (Windows Address Book) скон фигурирована на использование NULL в качестве имени записи и имени базы а также по умолчанию использует порт 3268. По этому, чтобы отправить запрос на поиск в порт 389, необходимо предоставить дей ствительное составное имя базы, как в RFC 2247. Задание пустого зна чения в качестве базы вызывает ошибку на любом из этих портов.
ЧАСТЬ 1 Служба каталогов Active Directory Особенности поиска в каталоге Ниже особенности поиска в глобальном каталоге по сравнению с обычным поиском по LDAP.
Х Запросы в каталог направляются в порт 3268 и требуют пред ставления в соответствии с семантикой глобального каталога. LDAP запросы направляются в порт 389. Даже при создании привязки к порту вера каталога поиск все равно выполняется в одном разделе доме на. Привязка же к порту 3268 гарантирует, что поиск будет проведен во всех разделах каталога в лесе. Сервер, не являющийся глобальным каталогом, отка зывается создавать привязку к порту 3268.
Х В запросах к глобальному каталогу можно указывать базу по иска, например или (пустая база поиска).
Х Запросы к глобальному каталогу распространяются за границы разделов, в время как всегда ограничен одним разделом каталога.
Х Запросы к глобальному каталогу не возвращают нисходящие перенаправления.
Направив в порт 3268 атрибута, отсутствующего в глобальном каталоге, Вы никогда не получите перенаправление на искомый атрибут. Нисходящие перенаправления Ч это особенность LDAP;
отправив запрос в порт 3268, Вы получите ответ только на основании данных, хранящихся в глобальном катало ге. Запросив этот же сервер через порт 389, Вы получите перенаправление на объекты, которые есть в лесе, но атрибутов которых в глобальном каталоге нет, Примечание Глобальный каталог если в него направить запрос на поиск базового уровня во внешнем каталоге и имя внешнего каталога с доменными атрибутами (dc =). Такое возвращается благодаря способности Active Directory формировать полное из компонентов составного имени до мена, а не вследствие наличия каких-либо объектов перекрестных ссылок. Это же можно получить, направив запрос в порт то есть та кая функция не является прерогативой глобального каталога. (Подробнее о по строении DNS-имени па основе доменных компонентов имени Ч в ходящие ссылки ранее в этой главе.) Поиск по прямым и обратным ссылкам при наличии глобального каталога Значения некоторых атрибутов в Active Directory нельзя найти, просто просмот рев соответствующую строку в базе данных каталога. Обратная ссылка (back link) это атрибут, значение которого можно определить только путем обращения к другому атрибуту (или атрибутам), прямой ссылкой (forward link).
Пример атрибута ссылки Ч атрибут объекта-пользователя, ко торый ссылается на атрибут группы. Поэтому, к примеру, при поиске к которым принадлежит определенный пользователь, имя пользовате ля ищется в прямой ссылке members.
Из-за особенностей нумерации групп в глобальном каталоге результаты поиска по обратной зависят от множества факторов: в какой порт направляется зап рос Ч порт 3268 (глобальный каталог) или порт 389 (домен), от группы, к которой принадлежит (глобальная или локальная домена), а также от того, является ли членом групп, выходящих за пределы ло кального При подключении к локальному домену не удастся обнаружить ГЛАВА 3 Разрешение имен в Active Directory пользователей в группах, находящихся вне домена. к гло бальному позволяет определять в глобальных но не ло кальных группах домена, поскольку локальные группы не в гло бальный каталог. Подробнее о поиске атрибутам обратной ссылки Ч в главе Хранение в Active Поиск удаленных объектов объект Directory помещается в контейнер Deleted Objects на которое можно настроить. Это позволяет распространить информацию об удалении данного объекта. Воспользовавшись элементом управления Show Deleted Object = и командами поиска, Вы увидите уда ленные объекты Active Directory, еще не уничтоженные процессом сбора Такие объекты (tombstones). После сбора мусора, объекты перестают существовать в базе данных каталога.
Чтобы увидеть объекты, откройте папку Deleted Objects. Вы можете воспользоваться программой Ldp поиска этих объектов элемента управления, Поиск в домене удаленных (захороненных) объектов средствами Ldp 1. В меню Start (Пуск) выберите Run (Выполнить) и в открывшемся диалоговом окне введите Нажмите ОК.
2. Подключитесь и к домена, в котором требуется просмотреть объекты.
Х Для подключения в меню Connection щелкните Connect и затем введите имя сервера и номер порта.
Х Для создания привязки в меню Connection щелкните Bind и затем введите имя учетной записи, пароль и доменное имя, если требуется подключиться к домену, отличному от к которому подключен компьютер.
3. В Browse Search.
А. В диалоговом окне Search в поле Base DN введите составное имя домена, в ко тором Вы хотите просмотреть объекты.
5. В поле Filter установите фильтр (isDeleted = *).
G. В разделе Scope установите переключатель Subtree.
7. Options.
8. В диалоговом окне Search Option в поле Search Call Type щелкните Extended.
9. Щелкните Controls и в поле Object Identifier введите:
1.2,840.113556.1.4. 10. В поле Control Type щелкните Server.
Чтобы добавить элемент в список Active Controls щелкните Check in, а затем ОК.
12. В диалоговом окне Search Option щелкните ОК.
13. В диалоговом окне Search щелкните Run.
152 ЧАСТЬ 1 Служба каталогов Active о как использовать Ldp Ч в справочной системе Mic rosoft Windows 2000 Resource Kit Tools. Подробнее об Ldp для уп равления и устранения главе 10 Выявление и устранение непола док, а также восстановление Active Клиенты, использующие LDAP-поиск Присутствующие в Windows 2000 клиенты позволяют выполнять в Active Directory поиск различной степени сложности.
Административные клиенты Административные клиенты, такие, как оснастка Active Directory Users and Com puters (Active Directory -- пользователи и компьютеры) консоли ММС, позволяют задавать параметры и фильтры поиска для нахождения конкретных объектов. Кро ме того, функция Find (Поиск), открытая из Network Places (Мое сетевое окруже ние), Network (Вся сеть) или Active Directory (Папка) обладает такими же возможностями поиска, что и аналогичная функция Find (Поиск) в оснастке Active Directory and Computers.
Определение фильтра для отображения информации в оснастке Active Directory and Computers В оснастке Active Directory Users and Computers (Active Directory Ч пользователи и можно задавать фильтры для определения состава отображаемой информации. При установке фильтра в папке отображаются только объекты, удов летворяющие условиям этого фильтра. умолчанию (фильтры отсутствуют) ото бражаются все объекты. Тем не менее Вы вправе выбрать для отображения только некоторые типы объектов, например пользователей, группы и т. п. Кроме того, Вы можете настраивать вид отображаемой информации для каждого типа объектов, выбирая отдельные поля и устанавливая условия и значения, а также вводя LDAP Фильтр действует, пока его Вы его не отмените. Его нельзя заместить или отменить никаким другим фильтром.
Оснастка Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры) позволяет задавать параметры фильтров, не прибегая к запросам (Подробнее об использовании фильтрования Ч в справочной системе Windows 2000 Server.) Если стандартного интерфейса для фильтров Вас не устраивает, Вы можете воспользоваться дополнительными (пользовательскими) параметрами фильтра для создания необходимых Вам Например, выбрать только но не дает воз можности задать все возможные атрибуты объекта-пользователя. В частности, ког да требуется отобразить только учетные записи пользователей, созданные позже какой-то даты, Вы можете применить задав соответствующее огра на значение атрибута Использование окна Filter Options для создания фильтра контейнера с 1. В левой панели консоли Active Directory Users and Computers (Active Directory пользователи и компьютеры) правой кнопкой котором нужно создать фильтр.
2. В меню View (Вид) выберите Filter Options (Параметры фильтра).
Pages: | 1 | 2 | 3 | 4 | 5 | ... | 15 | Книги, научные публикации