Обзор компонентов Windows 2000
Ссылка LDAP
Ссылка LDAP – это один из механизмов, которыми пользуется контроллер домена для уведомления клиентского приложения о том, что у него нет копии запрашиваемого объекта (или, что более точно, что у него нет того раздела дерева каталога, в котором этот объект мог бы находиться, т.е. фактически существовать). Эта ссылка указывает клиенту наиболее вероятное место расположения объекта, которое клиент принимает в качестве исходных параметров поиска контроллера домена в DNS. В идеальном варианте ссылки всегда указывают на тот контроллер домена, в котором действительно находится объект. Тем не менее, не исключена ситуация, при которой тот контроллер, на который была дана ссылка, даст еще одну ссылку. Обычно контроллеру не требуется много времени для того, чтобы определить отсутствие объекта и проинформировать об этом клиента. Служба каталогов Active Directory возвращает ссылки в соответствии с тем, как это определено в документе RFC 2251.
RootDSE
RootDSE является вершиной логического пространства имен и, к тому же, вершиной дерева, по которому осуществляется поиск с помощью LDAP. Атрибуты rootDSE определяют оба раздела каталога (домен, схему и настройки разделов каталога), которые являются особыми для отдельно взятого контроллера домена и для леса раздела каталога корневого домена.
RootDSE публикует информацию о сервере LDAP, включая информацию о том, какую версию LDAP он поддерживает, поддерживаемые механизмы SASL и механизмы управления, точно так же, как и различающееся имя для его записи подсхемы.
Клиенты подсоединяются к rootDSE, в начале работы по LDAP.
LDAP поверх TCP
Сообщения протокола LDAP PDU (Protocol Data Units) включаются непосредственно в поток данных, передаваемый по протоколу TCP. В документе RFC 2251 определена рекомендация, согласно которой на сервере устанавливается служба, прослушивающая назначенный порт 389. Служба каталогов Active Directory по умолчанию использует порт 389 для связи с контроллерами домена. Кроме этого служба каталогов Active Directory поддерживает порт 636 для защищенной связи по протоколу LDAP с применением SSL (Secure Sockets Layer). Контроллер домена Windows 2000, выступающий в роли сервера глобального каталога (Global Catalog, GC) будет использовать порт 3268 для связи по протоколу LDAP и порт 3269 – для защищенной связи по протоколу LDAP с использованием SSL.
Использование протокола LDAP при загрузке и входе в систему
Протокол LDAP широко используется во время процесса загрузки Windows 2000 и входа в систему. Клиент использует LDAP во время процесса поиска контроллера домена, необходимого для определения того контроллера домена, который он будет использовать. Протокол LDAP также используется для поиска применимых к компьютеру или пользователю объектов групповой политики. Наконец, протокол LDAP используется во время процесса автоматической подачи заявки для обнаружения подходящих сертификатов для клиента.
Для получения дополнительной информации обратитесь к следующим материалам:
- Документация Windows 2000 Resource Kit.
- Техническое руководство по Active Directory ОС Windows 2000 (Windows 2000 Active Directory Technical Reference) (EN)
- Документы RFC: 1777, 1778, 1779, 1959, 1960, 1823.
- Документы RFC: 2251-2256.