Иллюстрированный самоучитель по Microsoft Windows 2003

Основные концепции Active Directory

  • Понятие службы каталога и Active Directory

    Для организации доменов на базе систем Windows 2000 Server и Windows Server 2003 используется служба каталога Active Directory. Каждый контроллер домена под управлением этих систем является сервером каталога Active Directory, и службу Active Directory невозможно развернуть без создания доменной структуры.
  • Протокол LDAP

    Для лучшего понимания роли протокола LDAP рассмотрим основные идеи спецификации Х.500. Данная спецификация была разработана Международным консультационным комитетом по телефонии и телеграфии (Consultative Committee for International Telephone and Telegraph, CCITT) совместно с Международной организацией по стандартизации (International Standardization Organization, ISO).
  • Информационная модель Active Directory. Объекты и дерево каталога. Атрибуты. Схема каталога.

    Основным структурным компонентом каталога является элемент (entry), который в терминологии Active Directory называется объектом (object). Объекты являются фундаментальными единицами, которыми манипулирует служба каталога.
  • Модель именования LDAP

    Одним из условий успешного манипулирования объектами каталога является однозначная идентификация каждого объекта. Для именования и идентификации объектов в каталоге протокол LDAP использует механизм отличительных имен (Distinguished Name, DN).
  • Схемы именования объектов в Active Directory. Основные имена субъектов безопасности. Полные доменные имена.

    Протокол LDAP предполагает единственный способ идентификации объектов в каталоге посредством отличительных имен. Однако служба каталога Active Directory позволяет использовать целый ряд дополнительных схем именования, каждая из которых применяется в определенных ситуациях.
  • Глобально уникальные идентификаторы. Имена NetBIOS. Унифицированный указатель ресурсов LDAP. Канонические имена.

    Отличительное имя однозначно определяет объект в каталоге. Однако перемещение объекта или его переименование (равно как и переименование любого из контейнеров, внутри которых данный объект содержится) приводит к изменению его отличительного имени.
  • Служба DNS

    Протокол LDAP представляет собой механизм доступа пользователей к каталогу. Однако для того, чтобы клиент смог подключиться к серверу LDAP и отправить свой запрос, он должен точно знать его расположение в сети.
  • SRV-записи

    Служба доменных имен использует SRV-записи для определения местонахождения серверов, предоставляющих услуги определенных служб. Каждая SRV-запись, используемая для работы с Active Directory, представляет собой DNS-псевдоним службы, записанный в формате: | _Service._Protocol.DnsDomainName | Где:
  • Протокол аутентификации Kerberos

    Протокол аутентификации Kerberos является основным механизмом аутентификации, используемым в среде доменов Active Directory на базе Windows 2000 Server и Windows Server 2003. Этот протокол был разработан в Массачусетском технологическом институте (Massachusetts Institute of Technology, MIT) в начале 1980-х. Существует несколько версий протокола Kerberos.
  • Компоненты службы Active Directory

    Перейдем от терминологии к рассмотрению механизмов и подсистем, составляющих архитектуру Active Directory. Для начала рассмотрим структуру службы каталога. | Active Directory представляет собой совокупность служб, обслуживающих обращения пользователей к каталогу.
  • Доменная структура Active Directory. Домены.

    Понятие домена является ключевым для Active Directory. Домены выступают в качестве основного средства формирования пространства имен каталога. Другие уровни формирования структуры каталога сосредотачиваются либо на административной иерархии, либо на физической структуре сети.
  • Иерархия доменов

    Для именования доменов используется соглашение о доменных именах. Имя домена записывается в форме полного доменного имени (Fully Qualified Domain Name, FQDN), которое определяет положение домена относительно корня пространства имен.
  • Контроллеры домена

    Серверы Windows Server 2003, на которых функционирует экземпляр службы каталога Active Directory, называются контроллерами домена (domain controller, DC). Контроллеры домена являются носителями полнофункциональных копий каталога.
  • Специализированные роли контроллеров домена

    Служба каталога Active Directory использует модель репликации с множеством равноправных участников (multimaster replication). С точки зрения подсистемы репликации не имеет значения, какой из носителей осуществляет изменения в каталоге. Изменения могут быть произведены в любой из копий каталога.
  • Доверительные отношения

    Доверительные отношения (trusts) представляют собой связь, устанавливаемую между доменами, позволяющую пользователям одного домена аутентифицироваться контроллером другого домена. Наличие механизма доверительных отношений позволяет организовывать совокупность доменов в некоторую структуру.
  • Доверительные отношения между лесами доменов

    Процесс создания отношений между лесами доменов заслуживает особого внимания. Организация взаимодействия двух лесов доменов, соединенных между собой отношениями доверия, имеет свои специфические моменты. | Рассмотрим процесс аутентификации пользователей.
  • Подразделения (Организационные единицы)

    Подразделения, или организационные единицы (organizational unit) представляют собой объекты каталога контейнерного типа, посредством которых администратор может организовать объекты в соответствии с некоторой логической структурой вычислительной сети.
  • Группы

    Подразделения являются не единственным механизмом, который администратор может использовать для группировки объектов по некоторому признаку. Объекты, ассоциированные с пользователями, компьютерами и контактной информацией, могут быть объединены в специальные группы (groups).
  • Физическая структура каталога. Сайты.

    Вычислительная сеть крупных компаний представляет собой совокупность подсетей, соединенных между собой коммуникационными линиями с различной пропускной способностью. В этом случае на передний план выходит задача оптимизации трафика через эти коммуникационные линии.
  • Транспорт репликации

    Понятие транспорта репликации характеризует механизмы и протоколы, используемые для передачи изменений. Active Directory может использовать в качестве транспорта RFC over IP ("RPC поверх IP") или протокол SMTP. В табл.
  • Соединения сайтов. Расписание репликации.

    Топология репликации формируется при помощи специального класса объектов – соединений (connections). Соединение представляет собой однонаправленное соглашение между двумя контроллерами домена о передаче изменений. С каждым соединением ассоциируется объект в разделе конфигурации каталога.
  • Серверы глобального каталога

    Глобальный каталог (global catalog) представляет собой базу данных, содержащую фрагменты всех доменных контекстов имен, образующих пространство имен каталога. Глобальный каталог является важной и неотъемлемой частью Active Directory.
  • Механизмы репликации каталога. Разделы каталога.

    Каталог рассматривается как база данных, распределенная между множеством носителей. Каждый контроллер домена является носителем копии каталога. При этом каждая из копий является полнофункциональной. Это означает, что каждый контроллер домена может вносить изменения в собственную копию каталога.
  • Разделы приложений

    Дополнительно к перечисленным разделам, в каталоге Active Directory на базе систем Windows Server 2003 могут быть созданы специализированные разделы, которые получили название разделов приложений (application directory partitions).
  • Топология репликации

    Процесс репликации предполагает обмен изменениями в разделах каталога между отдельными участниками. Для обозначения односторонней передачи данных от одного партнера по репликации к другому используется термин соединение (connection).
  • Служба репликации файлов. Создание системного тома SYSVOL.

    Каталог рассматривается как централизованное место хранения информации о сетевых ресурсах. Однако в силу определенных причин некоторая часть информации не может быть размещена в каталоге. Например, старые версии операционных систем (Windows 9x/NT) используют специальный сетевой ресурс NETLOGON для размещения информации, необходимой для регистрации в сети.
  • Групповые политики. Объекты групповой политики.

    В настоящее время практически любой производитель системного программного обеспечения встает перед проблемой снижения общей стоимости владения системой (total cost ownership). Эта проблема заключается в том, что развитие и связанное с этим усложнение технологий приводит к увеличению затрат на администрирование.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.