Комментарии Microsoft к заявлениям Novell по поводу технологии Active Directory

1. ТРЕБУЕТСЯ ЛИ ДЛЯ ИСПОЛЬЗОВАНИЯ ACTIVE DIRECTORY МОДЕРНИЗАЦИЯ КОМПЬЮТЕРОВ?
2. ДОЛЖНЫ ПОЛЬЗОВАТЕЛИ ПОДОЖДАТЬ С РАЗВЕРТЫВАНИЕМ ACTIVE DIRECTORY, ПОКА ВСЕ КЛИЕНТСКИЕ СИСТЕМЫ НЕ БУДУТ МОДЕРНИЗИРОВАНЫ?
3. ПРИДЕТСЯ ЛИ ПОЛЬЗОВАТЕЛЯМ ДОЛГО ОЖИДАТЬ ПРИЛОЖЕНИЙ, ИСПОЛЬЗУЮЩИХ ACTIVE DIRECTORY?
4. ОБЕСПЕЧИВАЕТ ЛИ ACTIVE DIRECTORY СТРОГО ИЗБИРАТЕЛЬНОЕ АДМИНИСТРИРОВАНИЕ?
5. ДОПУСКАЕТ ЛИ ACTIVE DIRECTORY ПРЕДОСТАВЛЕНИЕ ПРАВ ТОЛЬКО ОРГАНИЗАЦИЯМ?УТВЕРЖДЕНИЕ NOVELL: ACTIVE DIRECTORY ПОЗВОЛЯЕТ ПРЕДОСТАВЛЯТЬ АДМИНИСТРАТИВНЫЕ ПРАВА ТОЛЬКО НА УРОВНЕ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ.
6. ЕСТЬ ЛИ В ACTIVE DIRECTORY МЕХАНИЗМЫ УДАЛЕНИЯ ССЫЛОК ПРИ УДАЛЕНИИ ОБЪЕКТА?
7. ДОЛЖНЫ ЛИ ОРГАНИЗАЦИОННЫЕ ГРУППЫ БЫТЬ ПРИНЦИПАЛАМИ БЕЗОПАСНОСТИ?
8. ПРИДЕТСЯ ЛИ ПОЛЬЗОВАТЕЛЯМ ПОДДЕРЖИВАТЬ БОЛЬШОЕ КОЛИЧЕСТВО ДОМЕНОВ WINDOWS 2000?
9. УПРОЩАЮТ ЛИ УПРАВЛЕНИЕ ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ ACTIVE DIRECTORY?
10. ВЕРНО ЛИ, ЧТО ACTIVE DIRECTORY ОБЕСПЕЧИВАЕТ ХУДШУЮ ДОСТУПНОСТЬ, ЧЕМ NDS?
11. ДОЛЖНА ЛИ ACTIVE DIRECTORY ПОДДЕРЖИВАТЬ БОЛЕЕ МЕЛКОЕ РАЗБИЕНИЕ, ЧЕМ ДОМЕНЫ?
12. ЭФЕКТИВНЕЕ ЛИ ДИНАМИЧЕСКОЕ НАСЛЕДОВАНИЕ, ЧЕМ СТАТИЧЕСКОЕ?
13. ПОДДЕРЖИВАЕТ ЛИ ACTIVE DIRECTORY РЕПЛИКАЦИЮ НА УРОВНЕ АТРИБУТОВ?
14. ДОЛЖНА ЛИ ACTIVE DIRECTORY ПОДДЕРЖИВАТЬ НАСЛЕДОВАНИЕ АДМИНИСТРАТИВНЫХ ПОЛНОМОЧИЙ МЕЖДУ ДОМЕНАМИ?
15. ЯВЛЯЕТСЯ ЛИ МОДЕЛЬ РАЗДЕЛОВ, ИСПОЛЬЗУЕМАЯ В NDS, БОЛЕЕ ЭФФЕКТИВНОЙ, ЧЕМ МОДЕЛЬ ACTIVE DIRECTORY?
16. ВЕРНО ЛИ, ЧТО ОСУЩЕСТВЛЯЕТСЯ РЕПЛИКАЦИЯ ACTIVE DIRECTORY ОСУЩЕСТВЛЯЕТСЯ СЛИШКОМ МЕДЛЕННО?
17. ВЕРНО ЛИ, ЧТО КАТАЛОГИ NDS БОЛЕЕ УПРАВЛЯЕМЫ И ЭФФЕКТИВНЫ, ЧЕМ КАТАЛОГИ ACTIVE DIRECTORY?
18. ВЕРНО ЛИ, ЧТО ВОССТАНОВИТЬ ACTIVE DIRECTORY В СЛУЧАЕ ПОВРЕЖДЕНИЯ СЛОЖНЕЕ, ЧЕМ NDS?
19. ВЕРНО ЛИ, ЧТО MICROSOFT ОТРИЦАЕТ ВАЖНОСТЬ СЛУЖБ ВРЕМЕНИ?
20. ПОТРЕБУЕТСЯ ЛИ ПОТРЕБИТЕЛЮ БОЛЬШЕ АППАРАТНЫХ РЕСУРСОВ ДЛЯ РАБОТЫ С ДОМЕНАМИ WINDOWS 2000?
21. ОТСУТСТВУЮТ ЛИ В ACTIVE DIRECTORY ВАЖНЫЕ ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ МАНИПУЛИРОВАНИЯ ДЕРЕВЬЯМИ?
22. ПРИДЕТСЯ ЛИ ПОТРЕБИТЕЛЯМ МОДЕРНИЗИРОВАТЬ СВОЮ ИНФРАСТРУКТУРУ DNS ДЛЯ ИСПОЛЬЗОВАНИЯ WINDOWS 2000?
23. ТРЕБУЕТ ЛИ ACTIVE DIRECTORY НАЛИЧИЯ DNS-СЕРВЕРА В WINDOWS 2000?
24. ВЕРНО ЛИ, ЧТО ИСПОЛЬЗОВАНИЕ ДИНАМИЧЕСКОЙ DNS НЕБЕЗОПАСНО ?
25. РАБОТАЕТ ЛИ ACTIVE DIRECTORY С DNS-СЕРВЕРАМИ НА ОСНОВЕ UNIX?
26. ДОЛЖНЫ ЛИ ПОТРЕБИТЕЛИ РАЗВОРАЧИВАТЬ ДИНАМИЧЕСКИЕ DNS ПРЕЖДЕ, ЧЕМ БУДЕТ ПРИНЯТ СТАНДАРТ IETF?
27. ПОТРЕБУЕТСЯ ЛИ СОЗДАВАТЬ НОВЫЕ ДОМЕНЫ, КОГДА ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ СТАНУТ ОЧЕНЬ БОЛЬШИМИ?
28. ТРУДНО ЛИ ИЧПОЛЬЗОВАТЬ DNS ДЛЯ ВЗАИМОДЕЙСТВИЯ СО СЛУЖБАМИ WINDOWS 2000?
29. ДОСТАТОЧНО ЛИ БЕЗОПАСНА ДИНАМИЧЕСКАЯ DNS ДЛЯ ШИРОКОГО ИСПОЛЬЗОВАНИЯ В СЕТИ?
30. СУЩЕСТВУЕТ ЛИ В DNS-СЕРВЕРЕ WINDOWS 2000 МЕХАНИЗМ УДАЛЕНИЯ УСТАРЕВШИХ ЗАПИСЕЙ?
31. ДОЛЖНЫ ЛИ КОМПЬЮТЕРЫ, НА КОТОРЫХ РАБОТАЕТ WINDOWS NT 4.0 WORKSTATION, ПОДВЕРГНУТЬСЯ МОДЕРНИЗАЦИИ ДЛЯ ИСПОЛЬЗОВАНИЯ С ACTIVE DIRECTORY?
32. ДОЛЖНЫ ЛИ ПОТРЕБИТЕЛИ ПОДОЖДАТЬ С РАЗВЕРТЫВАНИЕМ ACTIVE DIRECTORY, ПОКА ВСЕ КЛИЕНТСКИЕ СИСТЕМЫ НЕ БУДУТ МОДЕРНИЗИРОВАНЫ?
33. ТРЕБУЕТ ЛИ ACTIVE DIRECTORY НАЛИЧИЯ DNS-СЕРВЕРА В WINDOWS 2000?
34. ПРОПАДАЕТ ЛИ ИНФОРМАЦИЯ ПРИ РЕПЛИКАЦИИ ACTIVE DIRECTORY?
35. ОТСУТСТВУЮТ ЛИ В ACTIVE DIRECTORY КЛЮЧЕВЫЕ ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ?
36. ЯВЛЯЕТСЯ ЛИ INTELLIMIRROR ОТВЕТОМ MICROSOFT НА ZENWORKS?
37. ДЕЙСТВИТЕЛЬНО ЛИ ACTIVE DIRECTORY НЕЭФФЕКТИВНО ИСПОЛЬЗУЕТ ДИСКОВОЕ ПРОСТРАНСТВО?

top

ТРЕБУЕТСЯ ЛИ ДЛЯ ИСПОЛЬЗОВАНИЯ ACTIVE DIRECTORY МОДЕРНИЗАЦИЯ КОМПЬЮТЕРОВ?

Утверждение Novell:
Потребители, выбравшие Active Directory, должны модернизировать все компьютеры, работающие в среде Windows NT^® 4.0 Workstation, до Windows 2000 Professional.

Комментарии Microsoft:
Поскольку Active Directory обеспечивает полную поддержку всех клиентов более низкого уровня, не существует никаких причин, по которым пользователям было бы необходимо модернизировать какой-либо из клиентских компьютеров при модернизации серверов до Windows 2000. Однако, если заказчик хочет, чтобы пользователь получил максимальную выгоду от применения Active Directory, он должен модернизировать клиентские системы до версий, поддерживающих функциональные возможности Active Directory. К таковым относятся Windows 95 и Windows 98 с обновленной оболочкой, поддерживающей Active Directory, и клиенты на основе Windows 2000 со встроенной поддержкой Active Directory. Использование этих клиентов обеспечивает такие преимущества, как богатые возможности поиска в Active Directory людей, служб и системных ресурсов, и такие расширенные системные функции, как поиск контроллеров домена для поддержки ключевых операций (например, процессов регистрации).

top

ДОЛЖНЫ ПОЛЬЗОВАТЕЛИ ПОДОЖДАТЬ С РАЗВЕРТЫВАНИЕМ ACTIVE DIRECTORY, ПОКА ВСЕ КЛИЕНТСКИЕ СИСТЕМЫ НЕ БУДУТ МОДЕРНИЗИРОВАНЫ?

Утверждение Novell:
Заказчики должны забыть о развертывании Active Directory, пока они не модернизируют все компьютеры и не установят на них Windows 2000 Professional. В противном случае, заказчики не получат никакой отдачи от своих инвестиций, продолжая использовать Windows NT 4.0, Windows 95 и Windows 98.
Комментарии Microsoft:
Вывод о том, что потребители не получат выгоды от развертывания Active Directory, пока все клиенты и серверы не будут модернизированы до Windows 2000, игнорирует важные факты. На самом деле, выгода от использования Active Directory ощущается уже после модернизации до Windows 2000 контроллеров домена Windows NT (в результате потребитель получает домен Windows 2000 с полнофункциональной службой Active Directory). Управление пользователями после этого может осуществляться через Active Directory, работают средства делегирования, упрощается само управление доменом и т.д. Более того, становятся доступными средства и возможности поддержки объединенного управления серверами Microsoft Exchange (например, Active Directory Connector for Exchange 5.X и использование следующей версией Exchange под кодовым названием "platinum" службы Active Directory вместо отдельного каталога). Затем, по мере того, как пользователь устанавливает на клиентах расширения оболочки Windows 95 и Windows 98, а также модернизирует некоторые компьютеры до Windows 2000 Professional, становятся доступны дополнительные преимущества - в особенности те, которые "видны" пользователю.

top

ПРИДЕТСЯ ЛИ ПОЛЬЗОВАТЕЛЯМ ДОЛГО ОЖИДАТЬ ПРИЛОЖЕНИЙ, ИСПОЛЬЗУЮЩИХ ACTIVE DIRECTORY?

Утверждение Novell:
Интеграция приложений с Active Directory - дело далекого будущего. Например, Microsoft потребуется 12-18 месяцев после выхода Active Directory для обновления Microsoft Exchange Server так, чтобы он использовал Active Directory. Поэтому потребители не должны ждать интеграции своих приложений с Active Directory и переходить на NDS уже сегодня.
Комментарии Microsoft:
Важно понимать, что преимущества интеграции с Active Directory проявляются в различных формах, и ими можно будет воспользоваться сразу же после выхода Windows 2000. Например, Windows 2000 использует Active Directory для упрощения управления, повышения безопасности и расширения возможностей взаимодействия платформы Windows 2000. Кроме того, многие возможности Windows 2000 Server, такие как поддержка IPSec, службы удаленного доступа (RAS), службы качества Quality of Service (QoS), обслуживание очередей (Microsoft Message Queue Service -MSMQ) и COM+, интегрированы с Active Directory. Что касается Exchange, Microsoft публично заявляет, что намерена выпустить версию Exchange, которая использует Active Directory вместо собственного каталога, в течение 90 дней после выхода Windows 2000. Microsoft включит в его состав Windows 2000 Active Directory Connector (ADC) для осуществления автоматической двусторонней синхронизации Active Directory с предыдущими версиями Exchange. Отдавая должное приложениям других компаний, Microsoft уже несколько лет проводит обучение разработчиков приложений, посвященное интеграции с Active Directory, и предоставляет им соответствующие ресурсы. Microsoft также реализовала технологию под названием Active Directory Service Interfaces (ADSI), основанную на модели компонентных объектов Microsoft (COM), которая упрощает создание приложений, использующих службу каталогов, и может применяться совместно с популярными средствами разработки, такими как Microsoft Visual Basic^®. Очень важно, что логотип соответствия требованиям Windows 2000 будет включать требования интеграции с Active Directory. Microsoft надеется, что все эти усилия приведут к появлению значительного числа приложений, использующих преимущества Active Directory, сразу же после того, как Windows 2000 и Active Directory станут доступны.

top

ОБЕСПЕЧИВАЕТ ЛИ ACTIVE DIRECTORY СТРОГО ИЗБИРАТЕЛЬНОЕ АДМИНИСТРИРОВАНИЕ?

Утверждение Novell:
Строго избирательное администрирование отдельных объектов в Active Directory невозможно. Например, Active Directory не позволяет предоставить пользователю права на администрирование отдельных объектов или групп объектов.
Комментарии Microsoft:
Модель управления Active Directory позволяет администраторам предоставлять права на уровне вплоть до отдельного объекта или атрибута. Например, администраторы могут назначить определенному пользователю права для управления конкретным атрибутом заданного объекта. Это делается путем модификации элемента списка контроля доступа (Access Control List - ACL) к атрибуту так, чтобы он включал только того пользователя, который наделен соответствующими правом.

top

ДОПУСКАЕТ ЛИ ACTIVE DIRECTORY ПРЕДОСТАВЛЕНИЕ ПРАВ ТОЛЬКО ОРГАНИЗАЦИЯМ?УТВЕРЖДЕНИЕ NOVELL: ACTIVE DIRECTORY ПОЗВОЛЯЕТ ПРЕДОСТАВЛЯТЬ АДМИНИСТРАТИВНЫЕ ПРАВА ТОЛЬКО НА УРОВНЕ ОРГАНИЗАЦИОННЫХ ЕДИНИЦ.
Комментарии Microsoft:
Novell, вероятно, перепутала процесс предоставления административных прав со средствами групповых политик Active Directory. Как отмечалось ранее, административные права могут быть предоставлены на уровне объектов и атрибутов. Политики, которые позволяют администраторам применять различные операции по управлению к группам пользователей или компьютеров, могут быть связаны с организационными единицами, сайтами или доменами, но не с отдельными объектами. Поскольку задача групповой политики - снижение затрат на администрирования за счет управления целыми наборами объектов как единым целым, Microsoft не считает, что это недостаток архитектуры Active Directory.

top

ЕСТЬ ЛИ В ACTIVE DIRECTORY МЕХАНИЗМЫ УДАЛЕНИЯ ССЫЛОК ПРИ УДАЛЕНИИ ОБЪЕКТА?

Утверждение Novell:
В Active Directory отсутствует механизм удаления ссылок при удалении объекта, поэтому она будет сохранять ссылки на несуществующие объекты.
Комментарии Microsoft:
Active Directory отслеживает ссылки внутренних связей и автоматически исправляет их при удалении объекта. Например, если пользователь Петр является членом группы под названием Инженеры, и Петр удаляется как пользователь, то Петр также удаляется и из группы Инженеры, причем происходит это автоматически. Более того, алгоритм, который Active Directory использует при удалении, спроектирован с учетом решения многих сложных проблем, возникающих в большинстве схем репликации с несколькими мастер-копиями. Например, в силу природы асинхронной репликации для распространения информации об удалении требуется некоторое время, поэтому может возникнуть ситуация, когда некоторые копии могут "предполагать", что объект все еще существует. Кроме того, часто полезно иметь в течение некоторого промежутка времени свидетельство о том, что объект действительно существовал. Поэтому Active Directory оставляет "памятники" объектам, свидетельствующие об их удалении - то, что кажется Novell непонятным, это природа этих "памятников". Active Directory периодически удаляет "памятники", когда необходимость в них пропадает, и этот прием приводит к значительному повышению эффективности по сравнению с NDS при широком тиражировании данных.

top

ДОЛЖНЫ ЛИ ОРГАНИЗАЦИОННЫЕ ГРУППЫ БЫТЬ ПРИНЦИПАЛАМИ БЕЗОПАСНОСТИ?

Утверждение Novell:
Active Directory не позволяет организационным группам выступать в качестве принципалов безопасности; она ограничивается управлением группами безопасности.
Комментарии Microsoft:
Основной вопрос, поднятый Novell, заключается в том, должно ли включение нового члена в организационную единицу каталога приводить к автоматическому получению привилегий для доступа к другим ресурсам среды. В NDS организационные единицы являются принципалами безопасности и могут быть связаны с такими сетевыми ресурсами, как файлы. Включение в организационную единицу (ОЕ) автоматически предоставляет права доступа к ресурсам, для которых ОЕ присутствует в списке объектов, которые должны обладать этими правами. В Active Directory организационные единицы не являются принципалами безопасности, и включение в ОЕ не означает автоматического получения каких-либо прав доступа.
Novell уверена, что подход, реализованный в NDS, лучше, поскольку может упростить управление. Например, когда пользователи включаются в ОЕ, например, "Маркетинг", они автоматически получают права доступа к файлам, у которых списки управления доступом содержат организационную единицу "Маркетинг".
Однако, Microsoft считает, что подобный подход, хотя и привлекателен, имеет побочные эффекты, которые делают его использование нежелательным. Например, в соответствии со структурой организационных единиц как в среде NDS, так и в Active Directory, было бы естественным иметь в одной ОЕ пользователей с различными ролями. Например, в ОЕ "Маркетинг" может наряду с менеджерами по продуктам входить ассистент группы. Если доступ к файлам, используемым менеджерами по продуктам, контролируется через членство в ОЕ "Маркетинг", ассистент может получить доступ к файлам менеджеров, что недопустимо. Поскольку организационные единицы NDS наследуют права доступа, достичь точного понимания того, какие именно права предоставляются при включении в ОЕ, становится довольно трудно. Более того, переход пользователей из одной ОЕ в другую может привести к неожиданной потере прав, поскольку они были получены вследствие членства в ОЕ, а не в соответствии с ролью пользователя в организации.
Исходя из подобных соображений, Microsoft решила сделать группы безопасности главным механизмом предоставления прав доступа определенным категориям пользователей. При использовании групп безопасности право на доступ к ресурсам всегда предоставляется в явном виде и не зависит от перемещения пользователей между организационными единицами. Кроме того, Microsoft включила в Active Directory расширенные средства, такие как поддержка вложенных групп безопасности, а также возможность создавать группы из пользователей, находящихся в разных местах и соединенных только глобальной сетью, что гарантирует высокую пригодность выбранного подхода к использованию в организациях любого масштаба.

top

ПРИДЕТСЯ ЛИ ПОЛЬЗОВАТЕЛЯМ ПОДДЕРЖИВАТЬ БОЛЬШОЕ КОЛИЧЕСТВО ДОМЕНОВ WINDOWS 2000?

Утверждение Novell:
Администрирование доменов при использовании Active Directory будет затруднено и это станет значительной проблемой, поскольку пользователи будут продолжать поддерживать большое число доменов, как они делают это сегодня в Windows NT 4.0.
Комментарии Microsoft:
В утверждении Novell подразумевается, что компании сохранят большое количество доменов Windows 2000 после перехода с Windows NT Server 4.0. Однако, перед тем как согласиться с этим утверждением, необходимо понять, почему организации имеют так много доменов.
Microsoft считает, что есть две причины, в силу которых организации имеют множество доменов:

• Менеджер учетных записей безопасности (Security Account Manager - SAM) в Windows NT Server 4.0 ограничивает число объектов (например, пользователей, компьютеров и групп) в домене 40 тысячами.
• Windows NT Server 4.0 обеспечивает лишь простейшую поддержку делегирования полномочий.

Организации с большим числом пользователей, компьютеров или групп, либо те, которые хотят делегировать полномочия, часто используют для решения этих проблем множество доменов.
Windows 2000 использует Active Directory вместо SAM для хранения информации о пользователях, компьютерах и группах. Active Directory хорошо масштабируется, организует объекты в иерархию, соответствующую организационной структуре, предусматривает делегирование полномочий и автоматически управляет доверительными отношениями. Применение Active Directory вместо SAM обеспечивает несколько важных преимуществ:

• Домены Windows 2000 могут содержать миллионы пользователей и компьютеров, поскольку в Active Directory используется технология масштабируемого, индексированного репозитария. Ограничения на размеры домена практически устранены.
• Главные администраторы могут делегировать административные права бригадам, отделам, территориальным подразделениям и т.д., используя преимущества иерархической структуры Active Directory. Это позволяет организациям сочетать преимущества централизованного контроля с эффективностью самоуправления.
• Домен может включать сайты, связанные только глобальными сетями. Active Directory осуществляет репликацию информации между сайтами, применяя высоко оптимизированные методы, такие как сжатие данных и автоматическое использование межсетевых серверов, чтобы обеспечить эффективную передачу трафика репликации по низкоскоростным сетевым соединениям между сайтами. Это делает включение в домен сайтов, связанных низкоскоростными глобальными сетями, более практичным, чем когда-либо ранее.
• Active Directory обеспечивает высокую доступность и отказоустойчивость за счет использования методов репликации с несколькими мастер-копиями для поддержания доступности полноценных копий каждого объекта домена, допускающих чтение и запись, на всех контроллерах домена, даже если границы доменов простираются на несколько сайтов. Это предотвращает нарушения работоспособности сайтов при разрыве соединения.

В Windows 2000 Server и Active Directory доменная модель Windows NT Server 4.0 значительно расширена - это должно привести к тому, что большинство компаний будут иметь меньшее число более крупных доменов, что обеспечит повышенную безопасность и упростит администраторам управление. Для облегчения перехода к консолидированной структуре доменов, Windows 2000 позволяет администраторам одновременно поддерживать и домены Windows NT Server 4.0, и домены Windows 2000. Число ситуаций, когда компаниям требуется много доменов, должно значительно сократиться по сравнению с общим количеством установок Windows NT Server 4.0 и свестись только к тем случаям, когда управление множеством административных групп действительно необходимо.

top

УПРОЩАЮТ ЛИ УПРАВЛЕНИЕ ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ ACTIVE DIRECTORY?

Утверждение Novell:
Организационные единицы Active Directory, хотя и обеспечивают иерархию в дереве домена, не упрощают управление Active Directory.
Комментарии Microsoft:
Две основные задачи организационных единиц в Active Directory - поддержка групповой политики и возможностей делегирования полномочий. Групповая политика позволяет упростить выполнения многие операций администрирования, таких как управление рабочими станциями, путем применения политик к организационным единицам. При этом ко всем пользователям ОЕ будет применена одна и та же политика, и администратору не придется управлять каждым пользователем индивидуально. Возможности делегирования в Active Directory позволяют администраторам предоставить некоторые полномочия по управлению ОЕ ответственным сотрудникам (например, предоставить права на изменение паролей пользователей организационной группы "Маркетинг" руководителю подразделения).
И в том и в другом случае иерархия Active Directory используется для упрощения администрирования в наиболее важных сферах. Более того, Microsoft рекомендует пользователям проектировать иерархию Active Directory с учетом того, как они намерены использовать групповые политики и делегирование полномочий. Это становиться возможным, поскольку пользователи и приложения никогда не используют информацию о структуре дерева.
Напротив, Novell рекомендует, чтобы при проектировании дерева NDS в первую очередь принимались во внимание особенности сети, такие как соединения по глобальным сетям, чтобы учесть относительно неэффективный механизм репликации NDS. Далее, NDS требует осведомленности пользователей о структуре каталога NDS для регистрации и доступа к ресурсам в дереве.

top

ВЕРНО ЛИ, ЧТО ACTIVE DIRECTORY ОБЕСПЕЧИВАЕТ ХУДШУЮ ДОСТУПНОСТЬ, ЧЕМ NDS?

Утверждение Novell:
Поскольку в NDS используется разбиение на разделы, она обеспечивает более высокую доступность, чем Active Directory. Из-за использования репликации Active Directory с несколькими мастер-копиями, обновления в домене могут происходить только тогда, когда существует доступная для записи копия домена.
Комментарии Microsoft:
В доменах Windows 2000 на всех контроллерах домена хранится полноценная, доступная для записи копия Active Directory, и все контроллеры в пределах одного домена равноправны. По сравнению с Windows NT Server 4.0, где для выполнения некоторых операций требовался доступ к Главному контроллеру домена, это можно считать усовершенствованием. Кроме того, благодаря высокой эффективности технологии репликации, используемой в Active Directory, администраторы имеют возможность размещать контроллеры домена повсюду, где это может потребоваться для обеспечения высокой доступности.

top

ДОЛЖНА ЛИ ACTIVE DIRECTORY ПОДДЕРЖИВАТЬ БОЛЕЕ МЕЛКОЕ РАЗБИЕНИЕ, ЧЕМ ДОМЕНЫ?

Утверждение Novell:
Домены Windows 2000 - это наименьшие единицы разбиения и дублирования. Невозможно разбить домен Active Directory на более мелкие и легче управляемые компоненты.
Комментарии Microsoft:
Действительно, наименьшая единица разбиения в Windows 2000 - это домен. Однако, Microsoft не считает, что дальнейшее разбиение может привести к улучшению управляемости. В действительности потребители говорили Microsoft, что:

• Управление множеством небольших разделов NDS высокозатратно
• Они разбивают данные на разделы, поскольку NDS неэффективно производит репликацию в крупномасштабной среде с использованием глобальных сетей
• Они бы предпочли иметь возможность разворачивать каталоги без вынужденного разбиения на разделы.

В ответ Microsoft разработала высокоэффективную технологию репликации по принципу "сохрани и отправь дальше" (store-and-forward), что позволяет разделам Active Directory (т.е. доменам) масштабироваться до миллионов объектов и, в то же время, прекрасно работать в средах, использующих соединения через глобальные сети. Другими словами, Active Directory сводит к минимуму влияние сети на структуру каталога, предоставляя организациям гораздо большую свободу при ее проектировании.

top

ЭФЕКТИВНЕЕ ЛИ ДИНАМИЧЕСКОЕ НАСЛЕДОВАНИЕ, ЧЕМ СТАТИЧЕСКОЕ?

Утверждение Novell:
Используя статическое наследование через списки контроля доступа (ACL) база данных Active Directory быстро разрастется из-за избыточного дублирования информации в ACL множества объектов. Более того, Active Directory не хранит управляющую информацию ACL иерархически; напротив, Active Directory требует обновления каждого отдельного объекта в каталоге. Когда Active Directory производит обновление всех объектов, при изменении ACL будет порождаться чудовищный трафик синхронизации каталога. Динамическое наследование списков контроля доступа позволяет NDS хранить управляющую информацию каталога в одном месте. Затем логические механизмы каталога NDS определяют распространение прав по всему каталогу, что устраняет необходимость расточительного хранения избыточной управляющей информации для каждого отдельного объекта NDS. Благодаря динамическому наследованию база данных, NDS всегда остается компактной, быстрой и эффективной.
Комментарии Microsoft:
Наследование - это механизм, реализованный в большинстве объектно-ориентированных систем; он позволяет атрибутам дочерних объектов унаследовать значения от родительских объектов, если они не заменены явным образом на другие значения. Поскольку службы каталогов, такие как Active Directory и NDS, организуют объекты в иерархическую структуру, возможности наследования прав доступа позволяют администраторам упростить администрирование каталога, разрешив дочерним объектам наследовать настройки безопасности от своих родительских объектов. Изменения родительских объектов автоматически воздействуют на права доступа к дочерним, что сокращает необходимость индивидуального управления группами объектов с одинаковыми требованиями к безопасности.
Существует два основных метода реализации наследования прав доступа: 'динамический' и 'статический'.

• Строго говоря, динамическое наследование требует, чтобы в момент обращения к дочернему объекту рассчитывались права доступа (путем проверки всех родительских объектов). При каждом обращении к объекту возможность доступа к нему должна рассчитываться заново.
• Статическое наследование требует перерасчета прав доступа всех дочерних объектов (и 'присоединенных' непосредственно к дочернему объекту) при изменении прав доступа к родительскому объекту. В момент обращения никаких вычислений не требуется, поскольку каждый объект содержит полный набор прав.

Из определения статического наследования не следует, что администратор должен вносить явные изменения для каждого дочернего объекта при изменении прав доступа к родительскому или того, что все изменения в объектах должны быть разосланы индивидуально между копиями каталога. В Active Directory реализована усовершенствованная форма статического наследования. Каждый дочерний объект имеет 'присоединенный' список контроля доступа, который содержит 'итоговые' права доступа явно присвоенные объекту либо унаследованные им от родительских объектов. При изменении прав доступа к родительскому объекту Active Directory каждый раз автоматически вычисляет права доступа к дочерним. Таким образом, только изменения родительского объекта тиражируются в копиях каталога и глобальных каталогах. Права доступа к дочерним объектам вычисляются затем на каждом контроллере домена - это быстрая локальная операция.
Active Directory реализована таким образом потому, что каталоги в большей степени должны быть оптимизированы на чтение, чем на запись. Active Directory 'платит цену', вычисляя права доступа однократно (когда изменениям подвергается родительский объект), а не при каждой операции чтения. Кроме того, влияние среды глобальных сетей минимально. С точки зрения пользователя поведение систем с динамическим наследованием и моделью наследования, принятой в Active Directory, аналогично.
В NDS реализовано динамическое наследование прав доступа к объекту. В большинстве случаев различия между этим методом и моделью, используемой в Active Directory, минимальны. Однако существуют ситуации, когда время чтения становится критичным. Например, из-за реализации динамического наследования каталоги NDS не "навязывают" защиты данных на уровне объекта или атрибутов (доступ к данным в каталоге подтверждается или отвергается на уровне всего каталога). Каждая попытка поиска объектов в каталоге будет приводить к просмотру всех базовых объектов в его разделах - возможно через соединение по глобальной сети - и повторному вычислению его прав доступа перед включением в результат поиска.

top

ПОДДЕРЖИВАЕТ ЛИ ACTIVE DIRECTORY РЕПЛИКАЦИЮ НА УРОВНЕ АТРИБУТОВ?

Утверждение Novell:
Active Directory поддерживает репликацию только на уровне объектов (в отличие от уровня атрибутов).
Комментарии Microsoft:
Novell использует для подтверждения этого высказывания простой сценарий, который она часто демонстрирует на публичных мероприятиях, таких как конференция Novell BrainShare:

• На одной клиентской машине одновременно запускаются две копии приложения Microsoft для управления пользователями.
• В одной из копий изменяется атрибут, скажем, 'номер комнаты'; а в другой - атрибут 'номер телефона'.
• В обоих приложениях производится сохранение, и они закрываются.
• Затем приложение запускается снова, и демонстрируется, что только одно из изменений было "внесено", а другое пропало.

Заметьте, что во всех подобных случаях "внесенное" изменение было сделано в приложении, которое было закрыто последним. Это происходит потому, что приложение, которое демонстрирует Novell, помечает все поля ввода как "измененные", независимо от того, были ли они действительно обновлены. Впоследствии приложение, в котором сохранение выполнялось позже и которое было закрыто последним, перезаписывает все изменения, сохраненные предыдущим приложением. Таким образом, на самом деле это явление показывает, что необходимо исправить отдельное приложение, чтобы оно посылало в Active Directory не все поля, а только те, которые подверглись изменению. Фактически, это приложение было исправлено Microsoft в Windows 2000 Server версии Beta 3.
Важно отметить, что обычно на демонстрациях такой ситуации Novell делает вывод о том, что Active Directory не может поддерживать репликацию на уровне атрибутов. В данном случае приложение сообщает Active Directory, что было изменено большее, чем на самом деле, число атрибутов, и Active Directory "честно" копирует их все.

top

ДОЛЖНА ЛИ ACTIVE DIRECTORY ПОДДЕРЖИВАТЬ НАСЛЕДОВАНИЕ АДМИНИСТРАТИВНЫХ ПОЛНОМОЧИЙ МЕЖДУ ДОМЕНАМИ?

Утверждение Novell:
Административные полномочия не могут передаваться между доменами, и каждый домен должен поддерживаться отдельно.
Комментарии Microsoft:
Поскольку домены Windows 2000 могут быть очень большими и простираться на связанные через глобальные сети подразделения, наиболее вероятные ситуации, когда может потребоваться несколько доменов, обусловлены геополитическими факторами или очень низкой скоростью сетевых соединений. В случае геополитических ограничений, например, когда законодательные нормы запрещают управление из другой страны, передача наследуемых прав между доменами не рекомендуется. В случае очень низкой скорости сетевого соединения определение наследуемых прав будет отнимать слишком много времени. Таким образом, тот факт, что Active Directory ограничивает область наследования доменом, является ее достоинством, а не ограничением.

top

ЯВЛЯЕТСЯ ЛИ МОДЕЛЬ РАЗДЕЛОВ, ИСПОЛЬЗУЕМАЯ В NDS, БОЛЕЕ ЭФФЕКТИВНОЙ, ЧЕМ МОДЕЛЬ ACTIVE DIRECTORY?

Утверждение Novell:
Модель разделов, используемая в NDS, позволяет организациям дублировать в удаленных филиалах только подмножество данных дерева каталога. Active Directory требует репликации всего дерева во всех территориальных единицах, где имеется контроллер домена (а большинство территориальных единиц будет требовать наличия контроллера домена). Кроме того, стоимость аппаратных ресурсов, связанных с использованием Active Directory, будет чрезмерна велика. Например, крупные домены с 5000 пользователей, 5000 рабочих станций и 300 рабочих групп могут потребовать более 150 МБ для хранения данных каталога.
Комментарии Microsoft:
Во-первых, существует серьезная причина того, почему Active Directory дублирует все объекты, относящиеся к домену во всех копиях Active Directory, в домене. Полная репликация обеспечивает приложениям возможность осуществлять чтение и запись всех объектов домена в локальной копии и избежать обращения к объектам через сеть. Таким образом, запросы типа "Найти в компании всех пользователей электронной почты с фамилией Орлов" будут выполняться быстро и эффективно, даже если сетевое соединение с другими частями домена недоступно. Напротив, если приложение обратится с таким же запросом в NDS, для получения правильного результата он будет разослан всем серверам разделов NDS, которые могут быть доступны через глобальную сеть. Если часть сети недоступна, результат будет неполным.
Во-вторых, дополнительные затраты на хранение для большинства пользователей будут минимальны, поскольку стоимость устройств хранения продолжает падать гораздо быстрее, чем стоимость глобальных высокоскоростных сетевых соединений. В примере, приводимом Novell, дополнительные затраты на хранение составят порядка 10 долларов на один компьютер.

top

ВЕРНО ЛИ, ЧТО ОСУЩЕСТВЛЯЕТСЯ РЕПЛИКАЦИЯ ACTIVE DIRECTORY ОСУЩЕСТВЛЯЕТСЯ СЛИШКОМ МЕДЛЕННО?

Утверждение Novell:
Для репликации базы данных Active Directory объемом 100 мегабайт через соединение с удаленным офисом со скоростью 56 Кбит/с при установке потребуется около 4 часов.
Комментарии Microsoft:
Поскольку при передаче данных по глобальным сетям Active Directory сжимает данные с коэффициентом примерно 1 к 10, репликация должна занять значительно меньше времени, чем предсказывает Novell.

top

ВЕРНО ЛИ, ЧТО КАТАЛОГИ NDS БОЛЕЕ УПРАВЛЯЕМЫ И ЭФФЕКТИВНЫ, ЧЕМ КАТАЛОГИ ACTIVE DIRECTORY?

Утверждение Novell:
Службы каталогов в NDS более управляемы и эффективны, чем в Active Directory. Кроме того, при изменении атрибута в Глобальном каталоге Active Directory, должен быть установлен контакт со всеми остальными серверами Глобального каталога.
Комментарии Microsoft:
При использовании как Active Directory, так и NDS существуют ситуации, когда хранить все возможные объекты в одном разделе каталога непрактично. Например, в случае интернациональной компании трафик репликации по глобальным сетям между Северной Америкой, Азией и Европой может оказаться неприемлемо медленным. Поскольку есть некоторая информация, представляющая интерес для всей компании, важно предусмотреть способ ее сбора из всех отдельных разделов и обеспечить доступ к ней в одном и том же месте. И Active Directory, и NDS обладают возможностями организации 'каталога', которые удовлетворяют этим потребностям.
Active Directory предоставляет механизм под названием Глобальный каталог (Global Catalog), позволяющий администраторам создавать специализированные каталоги, содержащие подмножества атрибутов объекта, представляющих интерес за пределами одного домена. Глобальный каталог использует принятую в Windows 2000 концепцию 'деревьев' и 'лесов', связанных доверительными отношениями доменов для определения участия доменов в работе Глобального каталога. В частности, Active Directory позволяет администраторам указать, какой контроллер домена в данном домене должен содержать в своих разделах Active Directory информацию глобального каталога. Затем администратор с помощью Active Directory Schema Manager указывает, какие атрибуты объектов должны дублироваться в Глобальном каталоге. Когда любой из объектов дерева или леса добавляется или обновляется, информация об этом автоматически распространяется (с помощью той же технологии, что используется для репликации в пределах домена) на все контроллеры доменов, хранящие информацию Глобального каталога.
В упомянутой ситуации домены могут быть организованы в виде дерева с родительским доменом в Северной Америке и дочерними доменами в Азии и Европе. Каждый домен может иметь копию Глобального каталога, содержащую выбранные атрибуты объектов всех доменов. Среди сильных сторон использованного в Active Directory подхода к каталогам:

• Глобальные каталоги обновляются одновременно с выполнением других циклов репликации, что обеспечивает согласованность каталогов с базовыми объектами в доменах.
• Поскольку репликация каталогов выполняется при помощи тех же механизмов, что и репликация в пределах домена, которые включают, например, использование межсетевых серверов (bridgehead servers) для предотвращения дублирования операций репликации, трафик в глобальных сетях между копиями каталогов в различных доменах сводится к минимуму.
• Глобальные каталоги хранятся в разделах Active Directory, что позволяет использовать единый универсальный метод для доступа ко всем объектам Active Directory.
• Объекты и атрибуты в глобальном каталоге имеют собственные списки контроля доступа, что обеспечивает отсутствие влияния операций в каталоге на безопасность.

NDS предлагает для создания каталогов механизм под названием Службы каталогов (Catalog Services). С помощью каталогов NDS пользователи и приложения могут обращаться с запросами к единому ресурсу, который включает копии объектов из нескольких разделов NDS. Novell рекомендует использование каталогов для устранения необходимости просмотра дерева NDS при поиске.
Для создания каталогов и управления ими администраторы используют утилиту под названием Catalog Service Manager. Она позволяет администраторам указать разделы, информация из которых должна быть включена в каталог, а также представляющие интерес атрибуты объектов. Администраторы используют Catalog Service Manager также для выполнения операций над процессом, который Novell называет Dredger - это процесс, выполняемый периодически для пересоздания каталогов. Microsoft считает, что каталоги NDS имеют несколько существенных недостатков:

• Каталоги не используют инкрементальное обновление (как и методика репликации NDS в рамках раздела). Когда запускается Dredger, он начинает формирование каталога с пустого файла и опрашивает каждый раздел индивидуально. После завершения сбора информации Dredger заменяет старую версию файла обновленной версией.
• Поскольку пересоздание каталога отнимает некоторое время на опрос отдельных разделов, Novell рекомендует делать это лишь время от времени (по умолчанию, Dredger выполняется каждые 24 часа). Это означает, что каталоги с большой вероятностью устаревают по сравнению с основными объектами в разделах.
• Объекты теряют свои исходные атрибуты управления доступом. Вместо этого права доступа назначаются для всего каталога, как единого целого. Если пользователь получает доступ к каталогу, он имеет доступ ко всем объектам и атрибутам.

Чтобы обеспечить эффективный поиск и гарантировать определенную защиту на уровне атрибутов, потребители должны создать несколько каталогов, содержащих разные представления объектов. Например, администраторы могут описать отдельный каталог Human Resources (Кадры), содержащий информацию об уровне зарплаты, чтобы она не была доступна в аналогичном каталоге, используемом в качестве адресной книги. Учитывая все эти обстоятельства, Microsoft считает, что используемая в NDS архитектура каталогов доставляет гораздо больше "головной боли" администраторам и содержит больше "подводных камней" для приложений, чем архитектура, используемая в Active Directory.

top

ВЕРНО ЛИ, ЧТО ВОССТАНОВИТЬ ACTIVE DIRECTORY В СЛУЧАЕ ПОВРЕЖДЕНИЯ СЛОЖНЕЕ, ЧЕМ NDS?

Утверждение Novell:
Восстановление поврежденных баз данных NDS гораздо проще по сравнению с методом восстановления базы данных Active Directory. В случае Active Directory перед использованием утилиты NTSDUTIL для восстановления сервера каталога администратор должен завершить работу Windows 2000 Server, перезагрузить систему в специальном режиме "Directory Repair" ("Восстановление каталога"), зарегистрироваться, не указывая пароля, и запустить процесс восстановления.
Комментарии Microsoft:
Потребители жалуются Microsoft, что повреждения NDS - постоянный источник эксплуатационных проблем, а базы данных NDS нуждаются в частом восстановлении. Чтобы свести к минимуму необходимость восстанавливать базу данных, Microsoft спроектировала Active Directory на основе базы данных, ориентированной на обработку транзакций, что обеспечивает превосходную отказоустойчивость и производительность. В случае маловероятного сбоя системы база данных Active Directory автоматически повторит все завершенные транзакции и отменит все отвергнутые. Если и это окажется невозможным, предусмотрены несколько методов восстановления. Режим, который Novell упоминает как "Directory Repair", требует ввода пароля в версии Beta 3 Windows 2000 Server, никак не нарушая целостность защиты каталога, и используется только в тех случаях, когда требуется восстановление базы данных вручную.

top

ВЕРНО ЛИ, ЧТО MICROSOFT ОТРИЦАЕТ ВАЖНОСТЬ СЛУЖБ ВРЕМЕНИ?

Утверждение Novell:
Microsoft отрицает важность служб времени (Time Services) в связи с репликацией, однако требует точных служб времени для Kerberos. Active Directory использует временные отметки (time stamps) в качестве 'арбитра' при возникновении коллизий синхронизации Active Directory.
Комментарии Microsoft:
Microsoft не отрицает важность служб времени. Microsoft просто пытается избежать создания технологий для распределенных систем, которые подразумевают очень точную синхронизацию времени, поскольку опыт показывает, что точную синхронизацию практически невозможно поддерживать в крупномасштабных корпоративных средах с множеством компьютеров и глобальными сетями.
Что касается Kerberos, единственное требование заключается в том, чтобы синхронизация времени поддерживалась с точностью 5 минут, а такого уровня синхронизации достичь нетрудно.
Что касается репликации и управления коллизиями, Active Directory работает должным образом независимо от синхронизации времени. Никакой временной сдвиг между компьютерами не может привести к несоответствию между копиями. Временной сдвиг может повлиять только на то, кто из вносящих изменения 'выиграет', а кто 'проиграет' в конфликтной ситуации. Например, если часы на "Машине А" ушли вперед, администратор, вносящий изменения в атрибут на "Машине А ", 'одержит победу' над изменениями, внесенными другим администратором в тот же самый атрибут и в тот же самый момент на "Машине Б", у которой часы идут точно. Важно отметить, что, несмотря на это:

• "Машина А " 'выиграет', не вызывая противоречий, и все копии будут содержать одно и то же значение атрибута
• После того, как часы на "Машине А" будут переведены в обратном направлении и установлены правильно, разрешение будущих конфликтов не будет зависеть от прошлой "истории" часов

Такое "гуманное" поведение контрастирует с тем, что случается при переводе часов в обратном направлении в сети NDS. В худшем случае администратор NDS должен объявить 'новую эпоху', что подразумевает обновление всех объектов в каталоге.

top

ПОТРЕБУЕТСЯ ЛИ ПОТРЕБИТЕЛЮ БОЛЬШЕ АППАРАТНЫХ РЕСУРСОВ ДЛЯ РАБОТЫ С ДОМЕНАМИ WINDOWS 2000?

Утверждение Novell:
Контроллеры доменов Windows 2000 (где хранятся копии Active Directory) потребуют больше аппаратных ресурсов, чем Windows NT 4.0, поскольку домены масштабированы для хранения большего числа объектов, чем обычно использовалось в Windows NT 4.0. Кроме того, поскольку информация в Active Directory является критически важной для функционирования системы, потребуется больше аппаратных ресурсов для обеспечения доступности домена и его отказоустойчивости.
Комментарии Microsoft:
Поскольку большинство потребителей сможет сократить количество необходимых им доменов при переходе с Windows NT Server 4.0 на Windows 2000 Server, они смогут сократить и общее число необходимых контроллеров доменов. Например, участники программы Microsoft по экспериментальной эксплуатации Windows 2000 сообщают, что, по их ожиданиям, сокращение числа необходимых контроллеров доменов составит около 30%.

top

ОТСУТСТВУЮТ ЛИ В ACTIVE DIRECTORY ВАЖНЫЕ ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ МАНИПУЛИРОВАНИЯ ДЕРЕВЬЯМИ?

Утверждение Novell:
В Active Directory продолжают отсутствовать такие ключевые средства, как возможности перемещать объекты между доменами и сами домены, переименовать домен верхнего уровня, объединять деревья доменов. Таким образом, обновление доменов при переходе на Windows 2000 будет сложно осуществить.
Комментарии Microsoft:
Active Directory в версии Beta 3 содержит множество средств для манипуляций с деревьями и легко справляется с такими задачами, как перемещение объектов между доменами. К моменту выхода Windows 2000 Microsoft надеется предложить обстоятельное решение еще большего числа проблем манипуляций с деревьями, чем отмечает Novell. Проблема переименования доменов в этой версии не будет решена. В то же время, Microsoft не считает, что это главная проблема для большинства компаний, которые, как правило, будут подбирать эти имена очень тщательно (в соответствии с рекомендациями Microsoft по проектированию систем). Более того, хорошие средства манипуляции позволят компаниям справиться с причинами, которые обычно приводят к потребности переименования доменов.

top

ПРИДЕТСЯ ЛИ ПОТРЕБИТЕЛЯМ МОДЕРНИЗИРОВАТЬ СВОЮ ИНФРАСТРУКТУРУ DNS ДЛЯ ИСПОЛЬЗОВАНИЯ WINDOWS 2000?

Утверждение Novell:
Поскольку большинство потребителей не имеет необходимой инфраструктуры DNS, те, кто выбрал Active Directory, должны будут либо модернизировать свои системы DNS для использования DNS-сервера Windows 2000, либо терпеть существенное увеличение затрат на администрирование.
Комментарии Microsoft:
Active Directory использует DNS, однако это не означает, что имеющаяся у пользователей структура DNS должна быть изменена или что серверы должны быть заменены DNS-сервером Windows 2000. Единственным требованием является поддержка DNS-сервером, который обслуживает имена домена Windows 2000, записей 'SRV' (RFC 2052). Microsoft также рекомендует, чтобы этот сервер поддерживал защищенные динамические обновления. При полном развертывании Windows 2000 и Active Directory всего лишь один сервер DNS должен быть модифицирован, а все остальные DNS-серверы компании могут оставаться нетронутыми. Можно даже подключить DNS-серверы Windows 2000 к сети "бесшовно", используя для этого возможности делегирования DNS, и при этом не затрагивать единственного существующего DNS-сервера, разве что для создания отношений делегирования.

top

ТРЕБУЕТ ЛИ ACTIVE DIRECTORY НАЛИЧИЯ DNS-СЕРВЕРА В WINDOWS 2000?

Утверждение Novell:
Для успешного развертывания Active Directory заказчик должен использовать на сервере Windows 2000 Server DNS-сервер (Domain Name System), а структура DNS должна соответствовать структуре, используемой в Active Directory.
Комментарии Microsoft:
Active Directory не требует использования DNS-сервера в Windows 2000. Windows 2000 и Active Directory будут работать с любым DNS-сервером, который поддерживает записи 'SRV' (RFC 2052). Если DNS-сервер также поддерживает функции динамического обновления, администрирование будет проще, однако средства динамического обновления не являются обязательными. Кроме того, DNS-сервер в Windows 2000 способен взаимодействовать с Bind версии 8.1, которая поддерживает динамическое обновление и записи SRV. DNS-сервер Windows 2000 имеет множество преимуществ, таких как простое администрирование через графический интерфейс, и интегрируется с хранилищем Active Directory (если потребитель пожелает). Применение Active Directory для хранения информации DNS позволяет потребителю воспользоваться преимуществами средств репликации Active Directory, полностью сохранив возможности взаимодействия с другими серверами DNS, построенными на основе существующих стандартов. Более того, структура DNS не обязательно должна соответствовать структуре Active Directory при использовании служб DNS Microsoft.

top

ВЕРНО ЛИ, ЧТО ИСПОЛЬЗОВАНИЕ ДИНАМИЧЕСКОЙ DNS НЕБЕЗОПАСНО ?

Утверждение Novell:
Динамическая DNS (DDNS) слишком нова, чтобы полагать, что развертывание Active Directory окажется простым для потребителей. Например, Novell предупреждает, что должны быть рассмотрены следующие вопросы:

• Поддерживает ли ваша платформа DNS DDNS?
• Способна ли существующая у вас система DHCP динамически обновлять DNS?
• Обеспечит ли DDNS достаточный уровень безопасности в вашей среде?
• Если ваша платформа DNS не поддерживает защищенных обновлений DDNS, приемлем ли риск для безопасности?
• Если DDNS не доступна на вашей платформе DNS или если DDNS не может использоваться в вашей организации, подойдите со всей серьезностью к созданию дополнительных документов и процедур для осуществления обновлений DNS, необходимых для домена Active Directory. Одна ошибка - такая как перестановка местами двух символов в GUID (глобальном уникальном идентификаторе) домена - приведет к невозможности использования домена Active Directory.

Комментарии Microsoft:
Учитывая возрастающую динамичность сетевых инфраструктур, динамическая DNS быстро станет стандартом в корпоративных сетях. Более того, динамическая DNS поддерживалась в популярном стандарте 'Bind', начиная с версии 8. Если у потребителей отсутствует необходимая инфраструктура, они могут использовать один из следующих вариантов развертывания Windows 2000:

• Не использовать динамическую DNS во всей сети. Только один DNS-сервер в домене должен поддерживать динамическое обновление, а все операции, связанные с использованием DNS-сервера в Windows 2000, автоматически выполняются при установке.
• Интегрировать DNS-сервер Windows 2000 с существующей средой DNS. Развертывание полностью интегрированных служб DNS вместе с Active Directory не сложнее установки самой Active Directory. Администрирование и управление этой структурой происходит автоматически. В дальнейшем интеграция DNS-сервера Windows 2000 с любой из существующих систем потребует весьма незначительных усилий, даже в очень масштабной среде DNS.

Использование DHCP для обновлений DNS - это факультативная возможность Windows 2000, которая не обязательна при развертывании Active Directory. Если существующая у потребителя система DHCP не способна производить динамическое обновление, он может продолжать обновлять DNS вручную. Кроме того, важно отметить, что вся сеть не обязательно должна поддерживать динамические обновления. Рекомендуется лишь, чтобы DNS-сервер, обслуживающий имена домена Windows 2000, поддерживал динамические обновления.
Если пользователь предпочитает ручное обновление записей DNS для Active Directory, ему не нужно беспокоиться о правильности ввода символов имен. Windows 2000 выводит записи для каждого контроллера домена в стандартный текстовый файл, который может быть вставлен прямо в файл зоны DNS.

top

РАБОТАЕТ ЛИ ACTIVE DIRECTORY С DNS-СЕРВЕРАМИ НА ОСНОВЕ UNIX?

Утверждение Novell:
Большинству организаций не стоит даже рассматривать вопрос о замене программного обеспечения DNS, поскольку это требует слишком больших затрат. Поэтому переход к использованию среды Active Directory неосуществим. Поскольку большинство корпоративных инфраструктур DNS поддерживается серверами Unix, использование Windows 2000 Server для DNS означает замену прекрасного оборудования и программного обеспечения.
Комментарии Microsoft:
В среде Windows 2000 к DNS-серверам предъявляется всего два требования:

• DNS-сервер должен поддерживать стандарт RFC 2052, который определяет записи локаторов служб ('Service Resource Records'). 'Bind' поддерживает эти спецификации RFC, начиная с версии 4.9.6.
• Сервер должен поддерживать стандарт RFC 2136, описывающий протокол динамического обновления ('Dynamic Update Protocol'). 'Bind' поддерживает эти спецификации RFC, начиная с версии 8.

DNS-серверы, удовлетворяющие этим требованиям, могут продолжать использоваться на платформах Unix без ограничений.

top

ДОЛЖНЫ ЛИ ПОТРЕБИТЕЛИ РАЗВОРАЧИВАТЬ ДИНАМИЧЕСКИЕ DNS ПРЕЖДЕ, ЧЕМ БУДЕТ ПРИНЯТ СТАНДАРТ IETF?

Утверждение Novell:
Динамическая DNS не является принятым IETF стандартом. До тех пор, пока динамическая DNS не будет принята IETF в качестве стандарта, Active Directory требует развертывания корпоративных служб DNS на серверах Windows 2000 Server.
Комментарии Microsoft:
Протокол динамического обновления DNS (Dynamic Update Protocol, RFC 2136) был создан рабочей группой IETF "DNS Incremental Zone Transfer, Notify, and Dynamic Update"(DNSIND), и уже был ратифицирован IESG (Internet Engineering Steering Group) в качестве предварительного стандарта (Proposed Standard). Это тот же самый уровень ратификации стандарта, что и у механизма Service Location Protocol (RFC 2165), используемого Novell для поиска серверов NDS. Windows 2000 будет работать с любым DNS-сервером, который поддерживает RFC 2136.

top

ПОТРЕБУЕТСЯ ЛИ СОЗДАВАТЬ НОВЫЕ ДОМЕНЫ, КОГДА ОРГАНИЗАЦИОННЫЕ ЕДИНИЦЫ СТАНУТ ОЧЕНЬ БОЛЬШИМИ?

Утверждение Novell:
Если предположить, что организационная единица вырастет настолько, что ей потребуется стать самостоятельным доменом, процесс создания этого нового домена и его наполнения будет непомерно сложным. Например:

• Все клиенты DNS в новом домене должны быть обновлены, чтобы отражать свое новое положение в доменной структуре DNS. Сюда включаются все клиенты, использующие Active Directory, и потребители DNS (компьютеры и устройства), не использующие Active Directory.
• Все корпоративные ресурсы, относящиеся к новому домену DNS, такие как Web-узлы и URL, ссылающиеся на старый домен, должны быть перенастроены для использования имени нового домена DNS.
• Изменения в структуре дерева домена Active Directory может затронуть гораздо больше ресурсов, чем только серверы и клиенты Windows NT. Перемещение домена Active Directory в дереве доменов Active Directory может потребовать перенастройки клиентов OS/2, Unix и Macintosh, физических устройств, таких как входные модемные пулы и маршрутизаторы, а также всех HTML-документов или Web-узлов. Другими словами всего, где упоминается старое имя DNS.

Комментарии Microsoft:
Во-первых, маловероятно, что размер организационной единицы сам по себе может стать причиной создания нового домена. В противоположность NDS, где администратор должен часто разбивать разделы по мере их роста, домен Windows 2000 не требует разбиения только из-за размеров, пока число объектов не превысит по меньшей мере 1 миллиона. Если организационная единица становится слишком большой, чтобы управляться эффективно, администраторы могут просто создать новые организационные единицы в том же самом домене и переместить объекты в них. Во-вторых, даже в случае разбиения домена, изменения коснутся только тех ресурсов, которые требуют включения имени нового домена Windows 2000, к которому они принадлежат, в свои FQDN (Fully Qualified Domain Names). Фактически, единственные, кому требуются новые FQDN - это контроллеры домена в новом домене. Все остальные члены домена могут продолжать использовать свои старые DNS-имена. Кроме того, компьютеры, которые не входят в домен Windows 2000, а просто принадлежат домену DNS с тем же именем, не затрагиваются.

top

ТРУДНО ЛИ ИЧПОЛЬЗОВАТЬ DNS ДЛЯ ВЗАИМОДЕЙСТВИЯ СО СЛУЖБАМИ WINDOWS 2000?

Утверждение Novell:
Поскольку многие из служб доменов Active Directory являются собственными разработками и не основаны на стандартах Интернета, другим разработчикам приложений чрезвычайно трудно воспользоваться моделью поиска служб домена Active Directory. Windows 2000 частично придерживается RFC 2052 при объявлении служб, связанных с Интернетом, таких как LDAP, однако большинство имен DNS, определенных для Active Directory, являются весьма специфическими для Microsoft, например PDC (Primary Domain Controller - главный контроллер домена), GC (Глобальный каталог Active Directory), а также сайты. Клиенты должны иметь представление о специфической структуре DNS Microsoft для поиска служб. Разработчики приложений также должны знать структуру DNS, чтобы объявлять свои службы в относящейся к домену Active Directory части DNS.
Комментарии Microsoft:
Службы, регистрируемые Windows 2000 в DNS, используются прежде всего внутренними функциями системы, а приложения, работающие с клиентскими библиотеками Microsoft для Active Directory, вообще не нуждаются в поиске служб через DNS. Что касается публикации служб в доменах Windows 2000, Microsoft не рекомендует, чтобы приложения публиковали свои службы в DNS. Вместо этого они должны публиковаться в Active Directory, где клиенты могут найти службы с помощью LDAP. Подробная информация о публикации служб в Active Directory приведена в Руководстве по программированию для Active Directory (Active Directory Programmer's Guide).

top

ДОСТАТОЧНО ЛИ БЕЗОПАСНА ДИНАМИЧЕСКАЯ DNS ДЛЯ ШИРОКОГО ИСПОЛЬЗОВАНИЯ В СЕТИ?

Утверждение Novell:
Использование DNS для объявления и поиска служб в Active Directory некорректно, поскольку отсутствует контроль над данными домена Active Directory, хранящимися в DNS-сервере. Другими словами, все компоненты сети, использующие часть DNS из домена Active Directory, такие как клиенты Active Directory, серверы приложений на основе Windows NT, DHCP-серверы и т.д., сами отвечают за свои записи. Не существует процесса или кого-либо, ответственного за достоверность информации домена Active Directory, хранящейся в DNS.
Комментарии Microsoft:
Проблема, которую рассматривает Novell, может возникнуть только, если компоненты сети могут обновлять записи DNS без проверки подлинности и прав на внесение изменений. Для решения этой проблемы Microsoft рекомендует использовать защищенное обновление динамической DNS (Secure Dynamic DNS), при котором DNS-серверы не могут обновляться "кем попало".

top

СУЩЕСТВУЕТ ЛИ В DNS-СЕРВЕРЕ WINDOWS 2000 МЕХАНИЗМ УДАЛЕНИЯ УСТАРЕВШИХ ЗАПИСЕЙ?

Утверждение Novell:
Службы DNS, предоставляемые Windows 2000, не имеют механизма для удаления устаревших ('stale') записей. Это означает, что персонал поддержки должен досконально знать все о записях DNS Active Directory. Процесс осложняется еще и тем обстоятельством, что некоторые записи DNS, представляющие интерес для Windows 2000, совершенно "непонятны" (например, глобальные уникальные идентификаторы (GUID) серверов, состоящие из смеси букв и цифр).
Комментарии Microsoft:
DNS-сервер в Windows 2000 поддерживает автоматическое удаление устаревших записей.

top

ДОЛЖНЫ ЛИ КОМПЬЮТЕРЫ, НА КОТОРЫХ РАБОТАЕТ WINDOWS NT 4.0 WORKSTATION, ПОДВЕРГНУТЬСЯ МОДЕРНИЗАЦИИ ДЛЯ ИСПОЛЬЗОВАНИЯ С ACTIVE DIRECTORY?

Утверждение Novell:
Потребители, выбравшие Active Directory, должны модернизировать все компьютеры, работающие в среде Windows NT^® 4.0 Workstations, до Windows 2000 Professional.
Комментарии Microsoft:
Поскольку Active Directory обеспечивает полную поддержку всех клиентов более низкого уровня, не существует никаких причин, по которым пользователям было бы необходимо модернизировать какой-либо из клиентских компьютеров при модернизации серверов до Windows 2000. Однако, если заказчик хочет, чтобы пользователь получил максимальную выгоду от применения Active Directory, он должен модернизировать клиентские системы до версий, поддерживающих функциональные возможности Active Directory. К таковым относятся Windows 95 и Windows 98 с обновленной оболочкой, поддерживающей Active Directory, и клиенты на основе Windows 2000 со встроенной поддержкой Active Directory. Использование этих клиентов обеспечивает такие преимущества, как богатые возможности поиска в Active Directory людей, служб и системных ресурсов, и такие расширенные системные функции, как поиск контроллеров домена для поддержки ключевых операций (например, процессов регистрации).

top

ДОЛЖНЫ ЛИ ПОТРЕБИТЕЛИ ПОДОЖДАТЬ С РАЗВЕРТЫВАНИЕМ ACTIVE DIRECTORY, ПОКА ВСЕ КЛИЕНТСКИЕ СИСТЕМЫ НЕ БУДУТ МОДЕРНИЗИРОВАНЫ?

Утверждение Novell:
Заказчики должны забыть о развертывании Active Directory, пока они не модернизируют все компьютеры и не установят на них Windows 2000 Professional. В противном случае, заказчики не получат никакой отдачи от своих инвестиций, продолжая использовать Windows NT 4.0, Windows 95 и Windows 98.
Комментарии Microsoft:
Вывод о том, что потребители не получат выгоды от развертывания Active Directory, пока все клиенты и серверы не будут модернизированы до Windows 2000, игнорирует важные факты. На самом деле, выгода от использования Active Directory ощущается уже после модернизации до Windows 2000 контроллеров домена Windows NT (в результате потребитель получает домен Windows 2000 с полнофункциональной службой Active Directory). Управление пользователями после этого может осуществляться через Active Directory, работают средства делегирования, упрощается само управление доменом и т.д. Более того, становятся доступными возможности поддержки объединенного управления серверами Microsoft Exchange (например Active Directory Connector for Exchange 5.X и использование следующей версией Exchange под кодовым названием "Platinum" службы Active Directory вместо отдельного каталога). Затем, по мере того, как пользователь устанавливает на клиентах расширения оболочки Windows 95 и Windows 98 и модернизирует некоторые компьютеры до Windows 2000 Professional, становятся доступны дополнительные преимущества - в особенности те, которые "видны" пользователю.

top

ТРЕБУЕТ ЛИ ACTIVE DIRECTORY НАЛИЧИЯ DNS-СЕРВЕРА В WINDOWS 2000?

Утверждение Novell:
Для успешного развертывания Active Directory, заказчик должен использовать на сервере Windows 2000 Server DNS-сервер (Domain Name System), а структура DNS должна соответствовать структуре, используемой в Active Directory. Это серьезная проблема для потребителей, уже имеющих существующую инфраструктуру DNS, которая, скорее всего, работает на платформе, отличной от Microsoft.
Комментарии Microsoft:
Скажем просто: Active Directory не требует использования DNS-сервера в Windows 2000. Windows 2000 и Active Directory будут работать с любым DNS-сервером, который поддерживает записи 'SRV'. Если DNS-сервер также поддерживает функции динамического обновления, администрирование будет проще, однако средства динамического обновления не являются обязательными. Кроме того, DNS-сервер в Windows 2000 способен взаимодействовать с Bind версии 8.1, которая поддерживает динамическое обновление и записи SRV. DNS-сервер Windows 2000 имеет множество преимуществ, таких как простое администрирование через графический интерфейс, и интегрируется с хранилищем Active Directory (если это нужно заказчику). Применение Active Directory для хранения информации DNS позволяет потребителю воспользоваться преимуществами средств репликации Active Directory, полностью сохранив возможности взаимодействия с другими серверами DNS, построенными на основе существующих стандартов. Более того, структура DNS не обязательно должна соответствовать структуре Active Directory при использовании служб DNS Microsoft.

top

ПРОПАДАЕТ ЛИ ИНФОРМАЦИЯ ПРИ РЕПЛИКАЦИИ ACTIVE DIRECTORY?

Утверждение Novell:
У Microsoft существуют проблемы с репликацией каталога, которые могут привести к потере информации. Если какой-либо объект будет модифицирован на двух различных серверах перед тем, как эти серверы смогут произвести взаимную синхронизацию, более ранние изменения пропадут. Это свидетельствует о том, что Active Directory поддерживает репликацию только на уровне объектов (в отличие от уровня атрибутов).
Комментарии Microsoft:
Прежде всего, форма этого высказывания вводит в заблуждение. Оно подразумевает, что Active Directory может потерять информацию, которая не должна отвергаться. В ситуации, на которую ссылается Novell, (1) изменен один и тот же атрибут (2) одного и того же объекта (3) в двух различных копиях Active Directory (4) в одно и то же время, (5) причем установлены различные его значения. В соответствии с природой репликации с несколькими мастер-копиями (multi-master replication), даже при использовании NDS, только одно из изменений будет иметь силу, а другое должно быть отвергнуто. Например, если администратор #1 в Нью-Йорке изменяет номер кабинета пользователя на '1234', а администратор #2 в Сиэтле как раз в этот же самый момент изменяет номер офиса того же пользователя на '4321', только одно из изменений будет иметь силу, а другое будет отвергнуто - равно как в NDS, так и в Active Directory.
Вот описание того, как Novell демонстрирует эту ситуацию на публичных мероприятиях, таких как конференция Novell BrainShare:

• На одной клиентской машине одновременно запускаются две копии приложения Microsoft для управления пользователями.
• В одной из копий изменяется атрибут, скажем, 'номер комнаты'; а в другой - атрибут 'номер телефона'.
• В обоих приложениях производится сохранение, и они закрываются.
• Затем приложение запускается снова и демонстрируется, что только одно из изменений было "внесено", а другое пропало.

Заметьте, что во всех подобных случаях "внесенное" изменение было сделано в приложении, которое было закрыто последним. Это происходит потому, что приложение, которое демонстрирует Novell, помечает все поля ввода как "измененные", независимо от того, были ли они действительно обновлены. Впоследствии приложение, в котором сохранение выполнялось позже и которое было закрыто последним, перезаписывает все изменения, сохраненные предыдущим. Таким образом, на самом деле это явление показывает, что необходимо исправить отдельное приложение, чтобы оно посылало в Active Directory не все поля, а только те, которые подверглись изменению. Фактически, это приложение было исправлено Microsoft в Windows 2000 Server версии Beta 3.
Важно отметить, что обычно на демонстрациях такой ситуации Novell делает вывод о том, что Active Directory не может поддерживать репликацию на уровне атрибутов. На самом деле, Active Directory обеспечивает полноценную поддержку репликации на уровне атрибутов. В данном случае приложение сообщает Active Directory, что было изменено большее, чем на самом деле, число атрибутов, и Active Directory честно копирует их все.

top

ОТСУТСТВУЮТ ЛИ В ACTIVE DIRECTORY КЛЮЧЕВЫЕ ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ?

Утверждение Novell:
В Active Directory продолжают отсутствовать такие ключевые средства, как возможности перемещать объекты между доменами и сами домены, переименовать домен верхнего уровня, объединять деревья доменов, а также удалять ссылки после удаления объекта.
Комментарии Microsoft:
Здесь смешаны два вопроса: общие функции манипуляций с деревьями и то, как осуществляется удаление объекта.
Во-первых, Active Directory в версии Beta 3 содержит множество средств для выполнения манипуляций с деревьями и легко справляется с такими задачами, как перемещение объектов между доменами. К моменту выхода Windows 2000 Microsoft надеется предложить обстоятельное решение еще большего числа проблем манипуляций с деревьями, чем отмечает Novell. Проблема переименования доменов в этой версии не будет решена. С другой стороны, Microsoft не считает, что это главная проблема для большинства компаний, которые, как правило, будут подбирать эти имена очень тщательно (в соответствии с рекомендациями Microsoft по проектированию систем). Более того, хорошие средства манипуляции позволят компаниям справиться с причинами, которые обычно приводят к потребности переименовать домены.
Во-вторых, алгоритм, который Active Directory использует при удалении, спроектирован с учетом решения многих сложных проблем, возникающих в большинстве схем репликации с несколькими мастер-копиями. Например, в силу природы асинхронной репликации для распространения информации об удалении требуется некоторое время, поэтому может возникнуть ситуация, когда некоторые копии могут "предполагать", что объект все еще существует. Кроме того, часто полезно иметь в течение некоторого промежутка времени свидетельство о том, что объект действительно существовал. Поэтому Active Directory оставляет "памятники" объектам, свидетельствующие об их удалении - то, что кажется Novell непонятным, это природа этих "памятников". Active Directory периодически удаляет "памятники", когда необходимость в них пропадает, и этот прием приводит к значительному повышению эффективности по сравнению с NDS при широком тиражировании данных. Кроме того, Active Directory отслеживает ссылки внутренних связей и автоматически исправляет их при удалении объекта. Например, если пользователь Петр является членом группы под названием Инженеры и Петр удаляется как пользователь, то Петр также удаляется и из группы Инженеры, причем происходит это автоматически.

top

ЯВЛЯЕТСЯ ЛИ INTELLIMIRROR ОТВЕТОМ MICROSOFT НА ZENWORKS?

Утверждение Novell:
Технология управления IntelliMirror™, являющаяся ответом Microsoft на ZENWorks, обеспечивает отдачу от инвестиций только для компьютеров, работающих под управлением Windows 2000. В противоположность этому ZENWorks поддерживает Windows 3.1, Windows 95, Windows 98 и Windows NT. Novell работает с существующей у заказчиков средой, а Microsoft заставляет их изменить клиентские системы, чтобы получить хоть какую-то выгоду.
Комментарии Microsoft:
Novell высокомерно заявляет, что IntelliMirror - это всего лишь ответ Microsoft на ZENWorks. На самом деле, Microsoft System Management Server 2.0 - продукт, который гораздо более конкурентоспособен при сравнении продуктов Novell и Microsoft в этой области. Учитывая это, Microsoft полагает, что System Management Server приносит потребителям, сделавшим вложения в Windows 3.1, Windows 95, Windows 98 и Windows NT, гораздо больше пользы, чем ZENWorks.

top

ДЕЙСТВИТЕЛЬНО ЛИ ACTIVE DIRECTORY НЕЭФФЕКТИВНО ИСПОЛЬЗУЕТ ДИСКОВОЕ ПРОСТРАНСТВО?

Утверждение Novell:
NDS имеет гораздо более эффективный дизайн базы данных, чем Active Directory. Только для установки Active Directory требуется более 50 МБ дискового пространства на каждом контроллере домена (сравните с 700 КБ для NDS). В результате обычных действий, подобных выдаче пользователю прав на управление объектами каталога, база данных Active Directory на всех серверах разрастается до нескольких сотен мегабайт.
Комментарии Microsoft:
Прежде всего, трудно понять, что Novell подразумевает под "только установкой Active Directory". Active Directory устанавливается вместе с множеством других компонентов Windows 2000 и не может быть установлена сама по себе. Во-вторых, ситуация, которую Novell исторически приводила в качестве подтверждения своего заявления о 'нескольких сотнях мегабайт' не является типичной и демонстрирует наихудший из возможных вариантов, подразумевающий, что администраторы используют Active Directory так, как они использовали бы NDS - это неправильное допущение. Если Novell может предоставить более подробную информацию о своих тестах, проведенных с использованием Active Directory версии Beta 3, которая содержит средства оптимизации хранения, отсутствовавшие в более ранних версиях, Microsoft с удовольствием ответит ей в будущем.

В начало страницы