|
Добро пожаловать в статью 13 моей
серии. Статья этой недели – первая,
относящаяся к Active
Directory
и в ней сделан обзор концепции Active
Directory
и службы DNS. Сюда относится описание
логической и физической структуры Active
Directory,
так же как и терминология DNS,
ее концепции и новые возможности.
Эта статья повторяет некоторые
материалы, рассмотренные в статье 8
данной серии, в которой излагались
основы Active Directory для экзамена 70-215. На следующей
неделе эта тема будет продолжена, а
также будет рассмотрена
фактическая реализация и
администрирование DNS,
а также установка Active
Directory
в домене.
В данной статье рассмотрены
следующие материалы:
-
Обзор базовых терминов и
концепций Active Directory
-
Логическая структура
-
Физическая структура
-
Обзор основ DNS
-
Новые возможности DNS
в Windows 2000
Обзор Active Directory
Как уже рассказывалось в статьях,
посвященных серверу Windows 2000, Active Directory
– это служба каталога в Windows
2000. Служба каталога является
хранилищем информации, которая
используется для целей как доступа
к информации об объектах (таких как
пользователи, компьютеры, домены и т.д.),
так и для обеспечения служб
аутентификации (проверки
подлинности) и безопасности. Active
Directory
очень похожа на другие службы
каталога, основанные на протоколе Х.500,
такие как NDS фирмы Novell
и Directory Service фирмы Sun,
если рассматривать базовые
структуры и службы, ими
предоставляемые.
В Active
Directory
может быть создан широкий круг
различных объектов. Объект
представляет собой уникальную
сущность внутри Каталога и обычно
обладает многими атрибутами,
которые помогают описывать и
распознавать его. Учетная запись
пользователя является примером
объекта. Этот тип объекта может
иметь множество атрибутов, таких
как имя, фамилия, пароль, номер
телефона, адрес и многие другие.
Таким же образом общий принтер
тоже может быть объектом в Active Directory и его атрибутами являются его
имя, местоположение и т.д. Атрибуты
объекта не только помогают
определить объект, но также
позволяют вам искать объекты внутри
Каталога. Например, я могу провести
поиск в Active Directory всех пользователей с именем Марк
(возможно, для того, чтобы найти его
телефон) и мне будет представлен
список пользователей, атрибут имя
которых эквивалентен значению Марк.
Имейте в виду, что в Active Directory может быть найдено множество
различных объектов – любой объект
из домена – пользователи, серверы,
сайты, принтеры и другие. Объекты
получают определение в том, что мы
именуем Schema (схема) – это, в принципе, «калька»,
в которой определены типы объектов,
которые могут быть созданы в Active
Directory.
Однако, вы должны быть в курсе, что
можно определять (добавлять) новые
типы объектов и атрибутов, расширяя
Схему так, чтобы она удовлетворяла
потребностям вашей организации. Это
может быть добавление атрибута (например,
телефон няньки к объекту
учетная запись пользователя) или
создание абсолютно нового объекта (называемого
транспортные средства компании,
например). Подробнее о расширении
схемы мы узнаем позднее в данной
серии.
Active
Directory
функционирует при помощи протокола,
называемого LDAP (Lightweight
Directory
Access Protocol - облегченный протокол службы
каталогов). Открытый и описанный в
стандартах для доступа к каталогам, LDAP предоставляет механизм для
обновления информации, запросов и
определения объектов в каталоге.
Например, каждый объект в Active Directory представлен тем, что принято
называть LDAP distinguished name (различающимся именем). Это имя
уникально идентифицирует объект в
целом каталоге. Например,
различающимся именем для объекта
пользовательская учетная запись Dan
DiNicolo,
которая существует в OU
Information
Technology
домена
2000trainers.com будет следующая конструкция:
CN=Dan DiNicolo, OU=Information
Technology, DC=2000trainers, DC=com
Различающееся имя LDAP
состоит из трех главных элементов:
CN – Common Name (общее имя), имя объекта в Active
Directory.
OU
– организационная единица, имя
организационной единицы в Active Directory.
Заметьте, что встроенные контейнеры,
такие как Users, могут использовать CN= вместо
OU=
в различающемся имени.
DC
– Domain Component (доменная часть), DNS
имя домена, в котором объект
существует, представляющее по
одному из уровней именования домена
за один раз, начиная с домена
нижнего уровня и заканчивая доменом
верхнего уровня.
Два других примера:
CN=John Doe, CN=Users,
DC=domain, DC=com представляет
объект пользователь, называемый
John Doe,
который существует во встроенном
контейнере Users,
в домене, называемом domain.com.
CN=Jane Doe, OU=Sales, OU=Toronto,
DC=canada, DC=company, DC=net представляет объект пользователь,называемый Jane
Doe, который находится в OU, называемой
Sales OU, которая вложена в OU Toronto, находящейся в домене
canada.company.net.
Другой путь для определения
объектов в Active Directory – это его определение через relative distinguished name (относительное различающееся
имя). Попросту говоря, относительное
различающееся имя – это более
короткий путь описания объекта,
основанный на том, где объект
находится. Например, если я ищу в
объекте OU, называемом Sales, которая вложена в OU Toronto
в домене canada.company.net, я могу сказать, что
относительное различающееся имя
объекта, который я описывал ранее
такое: CN=Jane
Doe
(Это имя уникально для контейнера, в
котором содержится объект).
Логическая структура Active Directory
Active
Directory
может рассматриваться как
физическая и логическая структура и
эти структуры тесно
взаимодействуют друг с другом.
Логическая часть Active Directory
включает в себя леса, деревья,
домены, OU
и глобальные каталоги. Каждый из
элементов логической структуры
описан ниже:
Домен – домен в Windows
2000 очень похож на домен в Windows NT. Он остается
логической группой пользователей и
компьютеров, которые поддерживают
централизованное
администрирование и безопасность.
Домен продолжает являться единицей
безопасности – это означает, что
администратор для одного домена, по
умолчанию, не может управлять
другим. Домен также является
единицей для репликации – все
контроллеры домена, которые входят
в один домен, должны участвовать в
репликации друг с другом. Как и в NT;
поддерживаются доверительные
отношения, что позволяет
пользователям из одного домена
получать доступ к ресурсам в другом.
Домены в одном лесу имеют
автоматически настроенные
доверительные отношения, но вы
должны также знать, что вы можете
создавать доверительные отношения
с внешними доменами, не входящими в
ваш лес (включая домены на ОС NT 4), если необходимо. В Active Directory
именование доменов соответствует
соглашению об именовании DNS, domain.com, например.
Дерево – является набором доменов,
которые используют связанные (прилегающие)
пространства имен. В данной
конфигурации домены подпадают под
взаимоотношение дети-родители, при
котором дочерний домен получает имя
от родительского. Например, я могу
создать дочерний домен называемый Canada в домене
company.com, тогда его полное имя будет –
Canada.company.com. Дочерний домен
автоматически получает
двухсторонние транзитивные
доверительные отношения с
родительским доменом. Это означает,
что доверительные отношения могут
быть использованы всеми другими
доменами данного леса для доступа к
данному домену. Заметьте, что домен Canada.company.com продолжает оставаться
отдельным доменом, что означает, что
он остается единицей для целей
безопасности и репликации. Поэтому
администраторы из домена company.com не могут администрировать
домен Canada.company.com до тех пор, пока им явно не
будет дано такое право.
Лес – лес является наиболее
крупной структурой в Active Directory и объединяют деревья, которые
поддерживают единую Схему (определение
объектов, которые могут создаваться).
В лесе все деревья объединены
транзитивными двунаправленными
доверительными отношениями, что
позволяет пользователям в любом
дереве получать доступ к ресурсам в
любом другом, если они имеют
соответствующие разрешения и права
на доступ. По умолчанию, первый
домен, создаваемый в лесе, считается
его корневым доменом. Кроме всего, в
корневом домене по умолчанию
хранится Схема. Вы не можете
переименовать или удалить корневой
домен – это вызовет удаление всего
вашего леса Active Directory.
OU
– организационная единица является
контейнером, который помогает
группировать объекты для целей
администрирования или применения
групповых политик. OU существуют только внутри
доменов и могут объединять только
объекты из своего домена. OU
могут быть вложенными друг в друга,
что позволяет осуществлять более
гибкий административный контроль.
Существует несколько методов
разработки структуры OU, среди которых стоит
выделить методы, основанные на
задачах администрирования (наиболее
часто используемый),
географического расположения или
организационной структуры
предприятия. Одним из наиболее
распространенных способов
использования OU является делегирование
административных полномочий – это
позволяет вам давать пользователям
определенный уровень
административных полномочий только
над данной OU,
а не над всем доменом в целом,
например.
Глобальный каталог – глобальный
каталог является перечнем всех
объектов, которые существуют в лесу Active
Directory.
По умолчанию, контроллеры домена
содержат только информацию обо всех
объектах в домене. Сервер
Глобального каталога является
контроллером домена, в котором
содержится информация о каждом
объекте (хотя и не обо всех
атрибутах этих объектов),
находящемся в данном лесу. Это
облегчает и ускоряет поиск
информации в Active Directory. По умолчанию
только первый контроллер домена,
созданного в лесу, имеет копию
глобального каталога – другие
контроллеры должны назначаться на
эту роль вручную.
Физическая структура Active Directory
Физическая структура Active Directory
помогает управлять взаимодействием
между серверами по отношению к
каталогу. Два элемента физической
структуры Active
Directory
– это контроллеры и сайты. Их
описание приведено ниже:
Контроллеры домена – контроллерами
домена являются сервера Windows
2000, которые хранят базу данных Active
Directory.
Каждый контроллер домена Windows
2000 имеет редактируемую копию
каталога. Этим они отличаются от NT 4.0, где только PDC – главный контроллер домена
обладал этим свойством. Контроллеры
домена в одном домене содержат
реплики каталога, которые должны
периодически синхронизироваться.
Сайт – концепция сайтов не
существовала в структуре службы
каталога в Windows
NT. В Active Directory сайтом является группа IP-подсетей, между которыми
существует высокоскоростная связь.
И хотя понятие «высокая скорость»
еще остается открытым, обычно под
ней понимают соединения на
скоростях LAN
(скажем – 10 Мбайт) или выше. Целью
введения понятия «сайт» в Active Directory
является необходимость контроля
сетевого трафика, относящегося к
синхронизации каталога, так же как и
обеспечение подключения
пользователей к локальным ресурсам
для снижения загрузки сетей.
Например, контроллеры домена,
расположенные на одном сайте
осуществляют репликацию друг с
другом каждые 5 минут, как и в NT 4. Однако репликация между
контроллерами домена из разных
сайтов может быть настроена по
расписанию, исходя из ваших нужд.
Это дает вам большую гибкость в
отличие от NT 4. Например, вы можете установить
настройки так, чтобы репликация
между сайтами происходила только в
промежуток времени от полночи до 6
часов утра – это даст вам
уверенность в том, что трафик
репликации не будет влиять на
нормальную передачу данных в
рабочее время. Сайты также могут
помочь избежать использования
пользователями ресурсов через сети WAN. Для этого вам необходимо
установить требуемые сервисы на том
же физическом сайте, что и
компьютеры пользователей.
Планирование внедрения DNS для Active
Directory
Прежде чем устанавливать Active Directory
в среду Windows 2000, важно
разработать реализацию DNS,
которая бы соответствовала как
вашей системе разрешения имен, так и
требованиям Active Directory. DNS
необходим Active
Directory как для разрешения
имен, так и для определения
пространства имен, так как доменные
имена в Windows 2000 базируются на
соглашении об именовании DNS.
Как следствие, любой сервер, на
который вы устанавливаете Active Directory,
должен иметь в своих настройках
протокола TCP/IP указание на сервер DNS, который необходимо установить и
настроить предварительно. Если вы
не сделаете это заранее, то
инсталляция Active Directory
автоматически создаст для вас
структуру DNS, которая, возможно, не будет
соответствовать вашим пожеланиям.
Так как базовое представление о том,
как работает запрос DNS, уже было дано ранее в нашей
серии статей, я не буду повторяться.
Вместо этого я раскрою основные
аспекты службы DNS, которые необходимы вам для
успешного внедрения службы как для
разрешения имен, так и для поддержки
Active Directory.
Первая концепция, с которой вы
должны быть хорошо знакомы, это
использование DNS
для разрешения имен узлов (нахождение
соответствующего узлу IP-адреса) или разрешения FQDN (Fully Qualified Domain Name – полностью
определенное имя домена) в его IP-адрес.
Чтобы напомнить вам, FQDN
представляет имя узла в виде
доменного имени системы. Например:
www.2000trainers.com
В этом примере имя узла – левая
часть полного имени, а именно www. Имена узла
также могут разрешаться при помощи
файла HOSTS,
который является статическим
текстовым файлом и находится в
папке %systemroot%\system32\drivers\etc
на локальном компьютере. Не стоит
путать DNS
c
WINS,
которая ставит в соответствие Netbios
имени соответствующий IP-адрес
(также имеется текстовый эквивалент
данной службы, файл LMHOSTS).
Служба
DNS
хранит большое число записей
ресурсов различного типа, кроме
простой записи хоста, т.н. «А» записи.
Наиболее используемые типы записей,
которые можно встретить в файле
зоны, рассмотрены ниже:
SOA – представляет из себя запись
ресурса начальной записи зоны, и
предоставляет информацию о зоне,
включая сведения о том, какой сервер
является основным, кто отвечает за
административный контакт, как часто
файл базы данных проверяется на
наличие изменений, серийный номер
базы данных, значение времени жизни,
и т.д.
A – представляет уникальный адрес
узла в сети, сопоставляя его имя IP-адресу.
NS – обозначает доменное имя и
связанное с ним FQDN
сервера имен, который является
полномочным для домена.
MX – обозначает, что данный узел
является почтовой службой (сервером
почты или сервером пересылки) для
определенного домена.
PTR – предоставляет возможность для
обратного просмотра (сопоставляет IP-адресу узла его FQDN). Это позволяет находить имя
узла, связанное с IP-адресом.
Записи PTR
находятся в файле reverse
lookup
zone
(зоны обратного просмотра).
SRV – сопоставляет отдельные службы
одному или нескольким узлам и
наоборот. Например, записи могут
обозначать сервер как сервер
Глобального Каталога, контроллер
домена и т.д.
Вторая
главная концепция, с которой вы
должны быть знакомы – эта концепция
Зоны. Зона – это область
пространства имен DNS,
которая функционирует как
административная единица. То есть
группа серверов ответственна (имеет
полномочие) за записи, относящиеся к
некоторому домену или поддомену. Я
хотел бы говорить о зонах как об
областях ответственности. Например,
я могу создать зону для домена 2000trainers.com
и создать 2 сервера, которые будут
отвечать (будут полномочны) за
хранение записей для данной зоны. Я
могу затем создать другую зону,
которая будет управляться кем-то
еще, для домена asia.2000trainers.com,
и у меня будет 2 других сервера (возможно
в Азии), которые будут отвечать (будут
полномочны) за эту другую зону.
Однако зона может включать в себя
несколько доменов, если они лежат в
прилегающих друг к другу
пространствах имен. Например, 2000trainers.com
и asia.2000trainers.com
могут являться частями одной зоны и
иметь несколько серверов,
отвечающих за хранение записей,
относящихся к обоим доменам. Если
посылается запрос на этот DNS
сервер для поиска записи ресурса,
находящегося в 2000trainers.com
или asia.2000trainers.com,
этот DNS
сервер сможет ответить на запрос,
так как он будет полномочен для зоны,
в которую включены оба домена.
Главной
причиной для того, чтобы иметь
несколько зон, является разделение
административной ответственности,
так же как и задача пересылки зон.
Например, у меня есть один DNS администратор в Канаде и один в
Азии. Тогда применение двух зон
может быть оправданным. Другими
словами, если у меня только одна
зона, тогда все DNS сервера (возможно, их два в Канаде и два
в Азии) будут вынуждены участвовать
в передаче зоны для получения
обновлений. Это может вызвать
недопустимый уровень трафика по
линиям WAN.
Существует
5 основных типов серверов DNS, с которыми вы должны быть
знакомы. Это основные, вторичные,
интегрированные в Active
Directory,
серверы пересылки и кэширующие
сервера. Каждый из типов описан ниже:
Основной
сервер DNS – основным сервером DNS
является сервер, который полномочен
для зоны. По существу это означает,
что в зоне есть только один сервер,
на котором можно производить
изменения в базе данных зоны.
Вторичный сервер DNS – вторичный сервер DNS содержит копии «только для
чтения» информации, хранящейся на
основном сервере DNS,
и получают обновления в ходе
передачи зоны. Один вторичный сервер является
минимально необходимым, но и другие
могут создаваться с целью
выравнивания нагрузки и
обеспечению отказоустойчивости.
Интегрированный в Active Directory
сервер DNS – возможен только
для серверов DNS на базе OS
Windows
2000, в данной реализации DNS
файл зоны хранится как объект в Active
Directory,
а не как несколько файлов на жестком
диске. В данном сценарии каждый
контроллер домена, на котором
установлена DNS
по существу действует как основной
сервер DNS, допускает изменения в зоне и
осуществляет синхронизацию файла
зоны через репликацию Каталога. Как
следствие, если какой-либо сервер DNS выйдет из строя, любой другой
сервер, интегрированный в Active
Directory
может продолжать осуществлять
изменения.
Кэширующий только – кэширующий
сервер DNS не является полномочным для
зоны. Как следствие, он только
получает клиентские запросы,
осуществляет запросы других
серверов DNS, кэширует результаты и
посылает ответы клиентам. По
умолчанию кэширующий сервер DNS
пересылает все запросы, ответы на
которые не найдены в его кэше,
корневому серверу DNS.
Сервер пересылки DNS – серверы DNS
могут быть настроены так, что будут
пересылать запросы, которые не
могут разрешить к какому-либо
определенному серверу. Такие
серверы называются forwarder (сервер пересылки).
Серверы пересылки могут
впоследствии обрабатывать запросы,
вместо других серверов DNS. Это позволяет уменьшить
время обработки некоторых запросов
по поиску узлов (в Интернете,
например), т.к. сервер пересылки
обрабатывает запросы и кэширует
результат, который потом
возвращается к компьютеру,
сделавшему запрос. Это может
улучшить и скорость и
производительность.
Новые свойства DNS в Windows 2000
В реализации DNS
в Windows 2000 есть ряд
изменений по сравнению с NT
4. Наиболее важные из них это –
поддержка записей служб,
динамическая DNS, безопасное динамическое
обновление, добавочная передача
зоны и интегрирование с Active
Directory.
Все эти возможности описаны ниже:
Записи для служб – в реализации DNS в Windows
2000 поддерживаются записи для такого
важного типа ресурсов, как записи
служб (часто упоминаемые как SRV
записи). Записи служб позволяют
клиентам запрашивать DNS-поиск для систем, на которых
запущены определенные службы, такие
как Глобальный Каталог (который
обозначается как GC-запись).
Динамическая DNS – в традиционных реализациях DNS все записи было необходимо
создавать и изменять вручную на DNS сервере, что могло отнимать
огромное количество времени.
Реализация DNS
в Windows 2000 поддерживает RFC 2136 и обычно называется Dynamic DNS
или DDNS. В данной реализации клиенты
имеют возможность автоматически
обновлять свои записи, которые
главным образом используются в
среде, где клиенты подключаются к
серверу DHCP для получения IP-адресов.
Windows 2000 является
единственной OS фирмы Microsoft
(теперь еще и Windows
XP), которая поддерживает
динамическое обновление. Однако
можно настроить сервер DHCP
в Windows 2000 так, что он
сможет обновлять DNS на стороне
клиентов, что позволяет клиентам,
работающим под другими (не-Windows 2000) OS,
обновлять информацию о себе в DNS.
Динамическая DNS
также очень удобна для контроллеров
домена, которые также могут
автоматически регистрировать
записи своих сервисов, в противном
случае, все это было бы необходимо
делать вручную.
Безопасное динамическое
обновление
– если DNS зона является
интегрированной в Active Directory, то Windows
2000 позволяет вам использовать нечто,
что называется безопасным
динамическим обновлением. Заметьте,
что простые динамические
обновления могут быть потенциально
опасными, потому что любой клиент
может быть зарегистрирован в DNS, так как динамическая DNS только отвечает на запросы, но не
аутентифицирует их. Если
установлено безопасное
динамическое обновление, только
пользователь или система, которые
имеют соответствующие разрешения
на связанных ACL (access
control
list – списках контроля доступа)
для зоны, могут добавлять записи в DNS.
По умолчанию Группа
Аутентифицированных Пользователей
имеет необходимые разрешения.
Клиентские системы сначала
предпринимают попытку использовать
обычный запрос по умолчанию и, если
он будет отвергнут, безопасное
обновление.
Добавочная передача зоны –
реализация NT 4 DNS
поддерживает только AXFR,
или полную передачу зоны. При этой
конфигурации каждый раз, когда
основной сервер имен осуществлял
передачу зоны вторичному серверу,
файл базы данных зоны передавался
целиком, даже если в нем произошло
единичное изменение. Windows 2000 поддерживает IXFR или добавочную
передачу зоны. В данной реализации,
только изменения передаются в ходе
передачи зоны, вместо передачи
всего файла базы данных зоны.
Интеграция с Active Directory
– Windows 2000 продолжает
поддерживать традиционную
реализацию по схеме основной/вторичный
сервера DNS. В данном сценарии, изменения
в файле зоны могут быть сделаны
только на основном сервере, так как
только он содержит редактируемую
копию файла зоны. В Windows
2000 вводится новая концепция – DNS,
интегрированная в Active
Directory.
В этой реализации файл зоны DNS
и связанная с ним информация
хранится как объект в Active Directory
вместо того, чтобы находиться в
папке DNS
на жестком диске. Эта интеграция
позволяет любому контроллеру
домена, на котором запущена служба DNS,
делать изменения в базе данных DNS,
при этом изменения в зоне
реплицируются как часть процесса
репликации Active Directory. Это также позволяет сделать
службу DNS более отказоустойчивой. В
традиционной среде DNS, если основной сервер имен
выходит из строя, все динамические
изменения в DNS
становятся невозможными, так как
редактируемая копия зоны
недоступна. В DNS, интегрированной в Active Directory,
все DNS сервера могут осуществлять
обновления. Заметьте, что
традиционные сервера DNS
могут продолжать существовать в
такой среде – они могут быть
вторичными и использовать сервер DNS,
интегрированный в Active
Directory,
как основной сервер для получения
файла зоны.
Это конец первой части первой
статьи, посвященной Active Directory. Я прошу извинения за то, что
пришлось разбить эту тему, но, в
противном случае, получилась бы
слишком длинная статья. На
следующей неделе мы рассмотрим, как
происходит установка и настройка DNS и как устанавливается Active Directory.
Я надеюсь, что вы получаете
удовольствие от серии и находите ее
полезной. Как всегда, я надеюсь на
ваши комментарии и обратную связь с
вами. Желаю успехов в вашей учебе.
Дэн
Вернуться
к списку статей
|
