Опубликован: 30.04.2006 | Доступ: свободный | Студентов: 2959 / 243 | Оценка: 4.05 / 3.94 | Длительность: 23:23:00
ISBN: 978-5-9570-0037-X
Лекция 4:

Интеграция с Windows Server 2003

Другие компоненты Active Directory

Active Directory представляет собой сложную систему, включающую множество других элементов, помимо описанной базовой структуры. В данном параграфе пойдет речь о других важнейших компонентах Active Directory.

Разделы определений

Active Directory можно подразделить на три различных каталога, или раздела: раздел домена, раздел конфигурации и раздел схемы. Каждый раздел представляет собой самодостаточную секцию Active Directory, обладающую собственными свойствами, такими как настройки репликации и структура разрешений. Контроллер домена Windows Server 2003 всегда содержит эти три раздела определений в своем файле базы данных (Ntds.dit). Ниже приведены пути LDAP по умолчанию к указанным разделам:

  • Конфигурация: cn=configuration,dc=sales,dc=microsoft,dc=com
  • Схема: cn=schema,cn=configuration,dc=sales,dc=microsoft,dc=com
  • Домен: dc=sales,dc=microsoft,dc=com

В мультидоменной структуре контроллеры доменов принадлежат различным доменам. Эти серверы используют один и тот же раздел конфигурации и определения схемы, но имеют уникальный раздел определений домена. Exchange Server 2003 хранит большую часть своей информации в разделе определения конфигурации. Так как этот раздел подвергается репликации в рамках всего леса, глобальное администрирование осуществляется проще, нежели в Exchange 5.5.

Сайты

Сайт в Active Directory представляет собой набор подсетей протокола интернета (IP), объединенных постоянным и высокоскоростным каналом связи. Active Directory подразумевает, что все компьютеры в одном сайте имеют высокоскоростное соединение между собой. Сайты, как правило, совпадают с физической структурой сети: медленные WAN-соединения воспринимаются как внесайтовые, а высокоскоростные соединения формируют сайты.

Топологии сайта и домена не являются зависимыми друг от друга; один домен может охватывать несколько сайтов, равно как несколько доменов могут располагаться в одном сайте. Соединение между сайтами подразумевается низкоскоростным или ненадежным, что является причиной необходимости использования коннектора некоторого типа для соединения сайтов. Этот коннектор называется связью сайтов.

Связи сайтов устанавливаются вручную администратором и формируют физическую топологию сети. Для создания маршрутов репликации между контроллерами доменов через связи сайтов (а также между контроллерами доменов внутри сайта) Windows Server 2003 задействует службу проверки консистентности знаний (KCC), которая работает автоматически, но может быть настроена вручную при необходимости. KCC создает объекты соединений на каждом контролере домена в разделе определения конфигурации; эти объекты соединений формируют общую топологию репликации, посредством которой распространяется информация Active Directory. KCC представляет собой службу, работающую на каждом контроллере домена для создания объектов соединений для конкретного контроллера домена.

Службы поиска

В Windows NT 4 для нахождения службы, например службы сервера на контроллере домена, клиенту необходимо связаться со службой Windows Internet Name Service (WINS), чтобы получить IP-адрес сервера, на котором работает искомая служба. (WINS обеспечивает динамическое преобразование имен NetBIOS в IP-адреса.) В Windows Server 2003 эту функцию выполняет DNS, которая помогает клиенту находить нужные службы в сети. Динамическая DNS поставляется с Windows Server 2003 и является стандартным компонентом установки Active Directory. С помощью динамической DNS клиенты запрашивают записи DNS службы (SRV) для нахождения служб в сети.

Глобальные серверы каталогов

Резонно предположить, что в мультидоменной среде некоторым пользователям потребуется доступ к объектам вне их собственных доменов. Например, пользователю в домене A может понадобиться доступ к цветному принтеру, расположенному в домене B. Так как контроллеры доменов управляют лишь экземплярами (копиями) объектов в своих доменах, для получения доступа к объектам, расположенным в удаленных доменах, лес должен содержать специальную службу. Эту функцию выполняет сервер глобального каталога. Этот сервер содержит вхождения всех объектов леса с ограниченным набором атрибутов этих объектов. Схема определяет набор атрибутов для каждого объекта в глобальном каталоге. Глобальный каталог не является отдельным файлом; он содержится в файле NTDS.DIT. Глобальный каталог составляет примерно 40 процентов от размера Active Directory или размера файла NTDS.DIT на контроллере домена без глобального католога.

Совет. По умолчанию лес содержит только один сервер глобального каталога, и этим сервером является первый контроллер домена, устанавливаемый в первом домене первого дерева. Все дополнительные серверы глобального каталога должны настраиваться вручную. Для этого нужно открыть оснастку Active Directory Sites And Services (Active Directory – сайты и службы), перейти к параметрам NTDS на сервере, на котором требуется установить эту службу, щелкнуть правой кнопкой мыши на NTDS Settings (Настройка NTDS), выбрать Properties (Свойства) и отметить опцию Global Catalog Server (Сервер глобального каталога).

Помимо пользователей, которым требуется доступ к службам вне их собственного домена, некоторым приложениям также требуется доступ к общему для леса перечню объектов. Exchange Server 2003 входит в число таких приложений. Например, пользователю может понадобиться просмотреть глобальный список адресов, генерируемый сервером глобального каталога. Сервер глобального каталога регистрирует все объекты, которым разрешена работа с почтой, в своем списке и возвращает этот список пользователю в интерфейс адресной книги.

Даже в однодоменной среде клиенты Exchange обращаются к серверу глобального каталога для осуществления поиска в адресных книгах. В этом случае по умолчанию любой поиск происходит на контроллере корневого домена. Рекомендуется создавать два или более серверов глобального каталога для обеспечения избыточности и масштабируемости.

Сервер глобального каталога представлен в виде записи SRV в базе данных DNS. Сервер глобального каталога можно найти двумя способами: с помощью службы или с помощью службы и имени сайта. Чтобы найти контроллер домена без указания имени сайта, следует указать путь узла ._tcp._gc._msdcs.домен. Именем записи будет _LDAP, а данные записи будут иметь вид [0][100][3268] имя_сервера.домен. На рисунке 4.3 видно, что эта запись выглядит как в оснастке DNS.

Запись DNS для служб глобального каталога в indianapolis.trainsbydave.com

увеличить изображение
Рис. 4.3. Запись DNS для служб глобального каталога в indianapolis.trainsbydave.com

Полезно заметить, что сервер глобального каталога возвращает различные атрибуты в зависимости от того, какой порт TCP используется для запроса. Например, запрос по порту 389 (порт LDAP по умолчанию) позволяет клиенту осуществлять поиск объектов только внутри домашнего домена, с полным набором атрибутов возвращаемого объекта. Для сравнения, запрос через порт 3268 позволяет клиенту осуществлять поиск объектов домена из всех доменов леса, включая домашний домен сервера глобального каталога. Тем не менее, запрос через этот порт возвращает только поднабор доступных атрибутов, даже если объект находится в домашнем домене сервера глобального каталога.

Аутентификация клиента

При попытке входа в домен клиент запрашивает записи DNS SRV для нахождения контроллера домена. DNS осуществляет сопоставление IP-адреса клиента с сайтом Active Directory, после чего возвращает список контроллеров домена, которые могут аутентифицировать клиента. Клиент выбирает произвольный контроллер домена из списка, затем пингует его перед отправкой запроса на вход. В собственном режиме работы аутентифицирующий контроллер домена передает аутентификационные данные клиента серверу глобального каталога, чтобы глобальный каталог мог отслеживать доступ к универсальной группе безопасности.

Имена Active Directory

Пользователи и группы подчиняются правилам именования, используемым в каталоге. Чтобы найти сетевой ресурс, необходимо знать его имя или одно из его свойств. Active Directory поддерживает множество схем наименования для различных форматов субъектов доступа в Active Directory.

Отличительное имя

Каждый объект в каталоге имеет отличительное имя (DN), определяющее место расположения объекта во всей объектной иерархии. Например, имя

cn=benglish,cn=users,dc=microsoft,dc=com

означает, что объект пользователя Вenglish находится в контейнере Users, расположенном в домене microsoft.com. Если объект Benglish перемещается в другой контейнер, его DN изменяется для отражения нового местоположения объекта в иерархии. Отличительные имена являются гарантированно уникальными в рамках леса. Не может существовать двух объектов с одинаковым отличительным именем.

Относительное отличительное имя

Относительное отличительное имя объекта представляет собой часть отличительного имени, являющуюся атрибутом объекта. В приведенном выше примере относительным отличительным именем объекта Benglish является Benglish. Относительным именем родительской организационной единицы является Users. Active Directory не допускает наличия двух объектов с одинаковым относительным отличительным именем в одном родительском контейнере.

Главное имя пользователя

Главное имя пользователя генерируется для каждого объекта в виде имя_пользователя@имя_домена_DNS. Пользователи осуществляют вход с помощью главного имени, а администратор может при необходимости определить суффиксы главных имен пользователей. Главные имена пользователей должны быть уникальными, но в Active Directory это требование не является обязательным. Тем не менее, рекомендуется следовать определенным правилам именования, чтобы избежать дубликатов главных имен пользователей.

Глобально уникальный идентификатор

Некоторые приложения требуют, чтобы обращение к объекту происходило по постоянному идентификатору. Это достигается посредством присвоения объекту атрибута, именуемого глобально уникальным идентификатором (GUID), представляющего собой гарантированно уникальное 128-битное число. GUID присваивается объекту при его создании и впредь никогда не изменяется при перемещении объекта между контейнерами внутри одного домена.