Опубликован: 29.07.2008 | Доступ: свободный | Студентов: 5945 / 487 | Оценка: 4.12 / 3.54 | Длительность: 14:06:00
ISBN: 978-5-94774-969-4
Лекция 3:

Архитектура Active Directory

< Лекция 2 || Лекция 3: 1234 || Лекция 4 >
Аннотация: Приводятся модель данных и структура функционирования службы Active Directory в виде многоуровневой архитектуры. В архитектуре службы каталогов выделяются логическая структура и физическая структура, а также дается описание их компонентов
Ключевые слова: представление, Active, directory, объект, модель данных, schema, логическая структура, класс, атрибут класса, функциональная структура, доступ, БД, связь, DSA, контроллер доменов, MAPI, база данных, сегменты (разделы), сегменты, разделы, домен, доменное дерево, Лес, сайт, организационная единица, ресурс, физическая структура, организационные единицы, групповая политика, централизованное управление, делегирование полномочий, очередь, global, catalog, хранилище данных, Локальные БД, self-replication, хозяин схемы, хозяин именования доменов, хозяин RID, эмулятор основного контроллера домена, PDC, emulation, хозяин инфраструктуры, сервер глобального каталога, связь сайта, linked object, remote procedure call, consistent, checker, управление сертификатами, PKI, сервер сертификатов, IPsec, NTDS, DIT, accounting management, деление, служба каталогов, целостность, контроллер, knowledge, топология

Цель лекции: Сформировать представление об архитектуре службы каталогов Active Directory, определить компоненты структур Active Directory.

Модель данных

Active Directory хранит информацию о сетевых ресурсах. Эти ресурсы (например, данные пользователей, описания принтеров, серверов, баз данных, групп, компьютеров и политик безопасности) называются объектами.

Объект - это отдельный именованный набор атрибутов, которыми представлен сетевой ресурс. Атрибуты объекта являются его характеристиками в каталоге (см. рис. 3.1).

Модель данных Active Directory строится на основе модели данных спецификации X.500 [ 2 ] .

Схема объектов Active Directory и их атрибуты

Рис. 3.1. Схема объектов Active Directory и их атрибуты

В каталоге хранятся объекты, которые представляют собой самые различные единицы хранения, описываемые с помощью атрибутов. Множество объектов, которые могут храниться в каталоге, задается в логической структуре (schema). Для каждого класса объектов логическая структура определяет, какие атрибуты обязательно должен иметь представитель данного класса, какие дополнительные атрибуты он может иметь и какой класс объектов может являться родительским по отношению к данному классу. Схема Active Directory содержит формальное описание содержания и структуры Active Directory, в том числе все атрибуты, классы и свойства классов.

Функциональная структура

Функциональную структуру Active Directory можно представить в виде многоуровневой архитектуры, в которой уровни являются процессами, предоставляющими клиентским приложениям доступ к службе каталога.

Active Directory состоит из трех уровней служб и нескольких интерфейсов и протоколов, совместно работающих для предоставления доступа к службе каталога. Три уровня служб охватывают различные типы информации, необходимой для поиска записей в базе данных (БД) каталога. Выше уровней служб в этой архитектуре находятся протоколы и API-интерфейсы, осуществляющие связь между клиентами и службой каталога.

На рис. 3.2 изображены уровни службы Active Directory и соответствующие им интерфейсы и протоколы. Здесь показано, как различные клиенты получают при помощи интерфейсов доступ к Active Directory.

Многоуровневая архитектура Active Directory

Рис. 3.2. Многоуровневая архитектура Active Directory

Основные компоненты служб [ 4 ] :

  • Системный агент каталога (Directory System Agent, DSA). Выстраивает иерархию наследственных ("предок-потомок") отношений, хранящихся в каталоге. Предоставляет API-интерфейсы для вызовов доступа к каталогу. Клиенты получают доступ к Active Directory, используя механизмы, поддерживаемые DSA.
  • Уровень БД. Предоставляет уровень абстрагирования между приложениями и БД. Вызовы из приложений никогда не выполняются напрямую к БД, а только через уровень БД.
  • Расширяемое ядро хранения. Напрямую взаимодействует с конкретными записями в хранилище каталога на основе атрибута относительного составного имени объекта.
  • Хранилище данных (файл БД NTDS.dit). Управляется при помощи расширяемого механизма хранения БД, расположенного на контроллере домена.
  • LDAP/ADSI. Клиенты, поддерживающие LDAP, используют его для связи с DSA. Active Directory поддерживает LDAP версии 2. Клиенты Windows с установленными клиентскими компонентами Active Directory для связи с DSA применяют LDAP версии 3. Хотя ADSI является средством абстрагирования API LDAP, Active Directory использует только LDAP.
  • API-интерфейс обмена сообщениями (Messaging API, MAPI). Традиционные клиенты MAPI, например Microsoft Outlook, подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC.
  • Диспетчер учетных записей безопасности (Security Accounts Manager, SAM). Репликация с резервных контроллеров в домене смешанного режима также выполняется через интерфейс SAM.
  • Репликация (REPL). При репликации каталога агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC.

База данных Active Directory содержит следующие структурные объекты [ 13 ] :

  • Разделы (сегменты). Разделы Active Directory называются контекстами именования (NC - Naming Contexts) и содержат следующие сегменты: раздел домена каталога, раздел конфигурации каталога, раздел схемы каталога, раздел глобального каталога, разделы приложений каталога.
  • Домены. Домен служит в качестве административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена (оптимально иметь два или более). Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии становится корневым доменом леса, обычно он называется корневым доменом или доменом леса.
  • Деревья доменов. Домены, которые создаются в инфраструктуре Active Directory после создания корневого домена, могут использовать существующее пространство имен Active Directory совместно или иметь отдельное пространство имен. Чтобы выделить отдельное пространство имен для нового домена, нужно создать новое дерево домена.
  • Леса. Лес определяет границу безопасности для предприятия, являясь общим для всех контроллеров домена в лесу. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory.
  • Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования сайтов в Active Directory: они обеспечивают соединение между логическими компонентами Active Directory и физической сетевой инфраструктурой.
  • Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Они служат для создания иерархической структуры в пределах домена и используются, чтобы сделать более эффективным управление единственным доменом (вместо управления несколькими доменами Active Directory).

Компонентами логической структуры Active Directory являются домены, тогда как компонентами физической структуры являются сайты.

  • Домен - объединение серверов и других сетевых ресурсов, собранных под одним именем.
  • Сайт - комбинация одной или более IP-подсетей, которые должны быть соединены высокоскоростным каналом связи.
< Лекция 2 || Лекция 3: 1234 || Лекция 4 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Виктор Мамонов
Виктор Мамонов
http://www.intuit.ru/studies/courses/1068/259/lecture/3546