Операционная система

 

 

 

 

Обзор характеристик службы каталогов Active Directory

Информационный документ

Аннотация

 

В данной публикации содержится краткий обзор характеристик службы каталогов Active Directory, разъясняются основные используемые понятия и описываются наиболее важные свойства этой службы. В публикации освещаются также общие принципы архитектуры Active Directory, приводятся сведения, касающиеся перехода от операционной системы Microsoft® Windows NTÒ (версия 4.0) к операционной системе Microsoft WindowsÒ 2000, и предлагаются ответы на некоторые часто задаваемые вопросы. Служба каталогов Active Directory – это основа распределенной системы Windows 2000 Distributed System, которая, в свою очередь, является той платформой, на которой строится все семейство продуктов Microsoft BackOffice®.


© 1999 Microsoft Corporation. Все права защищены.

Информация, изложенная в этом документе, представляет собой точку зрения корпорации Microsoft на обсуждаемые вопросы на день публикации. Поскольку Microsoft реагирует на изменения условий рынка, эта точка зрения не должна восприниматься как обязательство, и Microsoft не может гарантировать точность представленной информации после даты публикации.

Этот документ имеет исключительно информационный характер. MICROSOFT НЕ ДАЕТ НИ ПРЯМЫХ, НИ КОСВЕННЫХ ГАРАНТИЙ НА ЭТОТ ДОКУМЕНТ.

Microsoft, BackOffice, логотип BackOffice, MSN, Visual Basic, Win32, Windows и Windows NT являются зарегистрированными торговыми знаками или торговыми марками корпорации Microsoft в Соединенных Штатах и\или других странах.

Другие продукты и имена компаний, упомянутые здесь, могут быть торговыми марками их законных владельцев.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA

0399


содержание


Введение. 1

Что такое служба каталогов?  1

Зачем нужна служба каталогов?  1

Что такое Active Directory?  2

Основные понятия.. 3

Область действия  3

Пространство имен  3

Объект  3

Контейнер  4

Дерево  4

Имя  5

Уникальное имя  5

Относительное имя  6

Контексты имен и сегменты  6

Домены  6

Дерево доменов  7

Представление доменного дерева через доверительные отношения  7

Представление доменного дерева через пространство имен  7

Лес  8

Узлы  9

Архитектура.. 10

Модель данных  10

Логическая структура  10

Модель защиты данных  10

Модель управления  10

Свойства Active Directory.. 12

Интеграция DNS  12

Служба поиска  12

Динамическая DNS  13

Именование объектов  13

Неповторимость имен  14

Доступ к Active Directory  14

Поддержка протоколов  15

Интерфейсы прикладного программирования  15

Виртуальные контейнеры  16

Глобальный каталог 16

Безопасность  17

Защита объектов  17

Передача полномочий  17

Наследование  18

Репликация  18

Распространение изменений  18

Обнаружение сбоев и номера версий  19

Подавление распространения  20

Деревья и лес  21

Двусторонние транзитивные доверительные отношения  21

Пространство имен  21

Условия для создания доменного дерева  22

Как создать дерево доменов или лес  22

Узлы  23

Узлы и репликация  23

Создание узлов  24

Логическая структура  24

Необходимость расширения логической структуры  24

Расширение логической структуры  25

Публикация  26

Условия публикации  26

Процедура публикации  27

Группы  28

переход к Windows 2000. 29

Варианты модернизации  29

Контроллеры домена  29

Серверы  30

Клиенты  30

Учетные записи пользователей  30

Учетные записи компьютеров  30

Глобальные группы  30

Часто задаваемые вопросы... 31

Как рабочая станция определяет, в каком узле она находится?  31

Как рабочая станция находит сервер каталогов?  31

Как можно войти в систему?  31

Что происходит со списками контроля доступа в ресурсах доменов после миграции?  32

Что происходит со списками ACL при уничтожении домена?  32

Что происходит с локальными группами?  32

Когда производится поиск по глобальному каталогу?  33

Обязательно ли использовать DNS-сервер Microsoft?  33

Каковы преимущества использования DNS-сервера Microsoft?  33

Что происходит с DHCP-серверами?  34

Что происходит с WINS?  34

Дополнительная информация.. 35

 


Введение


В данном документе содержится краткое техническое описание службы Active Directory – новой службы каталогов, разработанной для операционной системы Microsoft® Windows® 2000 Server. В документе отражены принципы построения службы Active Directory, ее свойства и главные структурные элементы. В разделе “Основные понятия” приводится разъяснение терминов, без понимания которых знакомство с Active Directory было бы затруднительным. Следующие два раздела – “Архитектура” и “Свойства Active Directory” – более подробно освещают устройство и работу Active Directory, а также те новые возможности, которые эта служба привносит в Windows. Раздел “Переход к Windows 2000” посвящен описанию различных вариантов перехода от работы с доменами и каталогами под управлением Windows NT 4.0 к работе в Windows 2000. В последнем разделе, который называется “Часто задаваемые вопросы”, предлагаются ответы на ряд вопросов практического характера, связанных с использованием и принципами работы Active Directory.

Что такое служба каталогов?

Каталог (directory) – это информационный ресурс, используемый для хранения информации о каком-либо объекте. Например, телефонный справочник (каталог телефонных номеров) содержит информацию об абонентах телефонной стеи. В файловой системе каталоги хранят информацию о файлах.

В распределенной вычислительной системе или в компьютерной сети общего пользования, как например Интернет, имеется множество объектов,- например, принтеры, факс-серверы, приложения, базы данных и др. Пользователи хотят иметь доступ к каждому из таких объектов и работать с ними, а администраторы – управлять правилами использования этих объектов.

В данном документе термины каталог (directory) и служба каталогов (directory service) относятся к каталогам, размещаемым в частных сетях и сетях общего пользования. Служба каталогов отличается от каталога тем, что она является не только информационным ресурсом, но также представляет собой услугу, обеспечивающую поиск и доставку пользователю необходимой ему информации.

Зачем нужна служба каталогов?

Служба каталогов – одна из наиболее важных составных частей развитой компьютерной системы. Пользователи и администраторы зачастую не знают точных имен нужных им объектов, которые им в данный момент требуются. Они могут знать один или несколько их признаков или атрибутов (attributes) и могут послать запрос (query) к каталогу, получив в ответ список тех объектов, атрибуты которых совпадают с указанными в запросе. Например, запрос может выглядеть следующим образом: “Найти все дуплексные принтеры в зданиии 26”. Служба каталогов позволяет найти любой объект по одному из его атрибутов.

Служба каталогов позволяет:

·         Обеспечивать защиту информации от вмешательства посторонних лиц в рамках, установленных администратором системы

·         Распространять каталог среди других компьютеров в сети.

·         Проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных.

·         Разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.

Служба каталогов – это одновременно и инструмент управления и пользовательский инструмент. По мере роста числа объектов в сети служба каталогов начинает играть все более важную роль. Можно сказать, что служба каталогов – это та основа, на которой строится вся работа крупной распределенной компьютерной системы.

Что такое Active Directory?

Active Directory – это служба каталогов, входящая в Windows 2000 Server. Она не только расширяет возможности служб каталогов предыдущих Windows-систем, но и обладает совершенно новыми свойствами. Служба Active Directory является защищенной, распределенной, сегментированной и реплицируемой. Она предназначена для надежной работы в системе любого размера – от отдельного сервера, работающего с несколькими сотнями объектов, до нескольких тысяч серверов с миллионами объектов. Active Directory обладает рядом новых свойств, которые облегчают поиск объектов и управление большими объемами информации; она также обеспечивает экономию времени пользователей и администраторов системы.

Основные понятия


Часть понятий и терминов, используемых для описания Active Directory, не представляют ничего нового, другие же раньше не использовались. К сожалению, некоторые из использовавшихся ранее терминов не имеют однозначного толкования. Прежде чем приступить к знакомству с Active Directory, определим значения ряда терминов применительно к этой службе каталогов.

Область действия

Область действия (scope) Active Directory достаточно обширна. Она может включать отдельные сетевые объекты (принтеры, файлы, имена пользователей), серверы и домены в отдельной глобальной сети. Она может также охватывать несколько объединенных сетей. Некоторые из рассматриваемых ниже терминов относятся к группе сетей, поэтому важно помнить, что Active Directory может быть настроена на управление как отдельным компьютером, так и компьютерной сетью или группой сетей.

Пространство имен

Active Directory, как и любая другая служба каталогов, является прежде всего пространством имен. Пространство имен – это такая ограниченная область, в которой может быть распознано данное имя. Распознавание имени заключается в его сопоставлении с некоторым объектом или объемом информации, которому это имя соответствует. Например, телефонный справочник представляет собой пространство имен, в котором именам телефонных абонентов могут быть поставлены в соответствие телефонные номера. Файловая система Windows образует простанство имен, в котором имя файла может быть поставлено в соответствие конкретному файлу.

Active Directory образует пространство имен, в котором имя объекта в каталоге может быть поставлено в соответствие самому этому объекту.

Объект

Объект – это непустой, именованный набор атрибутов, обозначающий нечто конкретное, например, пользователя, принтер или приложение. Атрибуты содержат информацию, однозначно описывающую данный объект. Атрибуты пользователя могут включать имя пользователя, его фамилию и адрес электронной почты.

Подписи к рисунку:

Атрибуты объекта User:

Имя: Joe

Фамилия: Smith

Aдрес электронной почты: js@user.com

Рис. 1. Объект User и его атрибуты.

Контейнер

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имен. Однако, в отличие от объекта, контейнер не обозначает ничего конкретного – он может содержать группу объектов или другие контейнеры.

Дерево

Термин дерево используется в данном документе для описания иерархии объектов и контейнеров. Как правило, конечными элементами дерева являются объекты. В узлах (точках ветвления) дерева располагаются контейнеры. Дерево отражает взаимосвязь между объектами или указывает путь от одного объекта к другому. Простой каталог представляет собой контейнер. Компьютерная сеть или домен тоже являются контейнерами. Непрерывным поддеревом называют любую непрерывную часть дерева, включающую все элементы каждого входящего в нее контейнера.

Рис. 2. Непрерывное поддерево каталога файлов.

Имя

Имена используются для различения объектов в Active Directory. Служба Active Directory допускает существование двух типов имен.

Уникальное имя

Каждый объект в Active Directory имеет уникальное имя (distinguished name, DN). Это имя содержит указание на домен, в котором находится объект, и полный путь в иерархической структуре контейнеров, который приводит к данному объекту. Типичным уникальным именем (DN) является имя

 

/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith

 

Это имя обозначает объект типа “пользователь” с именем “James Smith”, находящийся в домене Microsoft.com.

Рис. 3. Графическое изображение уникального имени.

Относительное имя

Относительное уникальное имя объекта (Relative Distinguished Name, RDN) – это та часть имени, которя сама является частью атрибута объекта. В приведенном выше примере RDN-именем объекта “James Smith” является групповое имя (CN) CN=James Smith. RDN-именем родительского объекта является имя CN=Users.

Контексты имен и сегменты

Active Directory может состоять из одного или нескольких контекстов имен или сегментов. Контекстом имен может быть любое непрерывное поддерево каталога. Контексты имен являются единицами репликации.

В Active Directory каждый сервер всегда содержит не менее трех контекстов имен:

·         Логическую структуру

·         Конфигурацию (топологию репликации и соответствующие метаданные)

·         Один или несколько пользовательских контекстов имен (поддеревья, содержащие объединенные в каталог объекты)

Домены

Домен – это единая область, в пределах которой обеспечивается безопасность данных в компьютерной сети под управлением ОС Windows NT или Windows 2000. (Более подробную информацию о доменах можно найти в документации по операционным системам Windows.) Active Directory состоит из одного или нескольких доменов. Применительно к отдельной рабочей станции доменом является сама рабочая станция. Границы одного домена могут охватывать более чем одно физическое устройство. Каждый домен может иметь свои правила защиты информации и правила взаимодействия с другими доменами. Если несколько доменов связаны друг с другом доверительными отношениями и имеют единую логическую структуру, конфигурацию и глобальный каталог, то говорят о дереве доменов. Несколько доменных деревьев могут быть объединены в лес.

Дерево доменов

Дерево доменов (дерево) состоит из нескольких доменов, которые имеют общую логическую структуру и конфигурацию и образуют непервывное пространство имен. Домены в дереве связаны между собой доверительными отношениями. Active Directory является множеством, которому принадлежат одно или несколько деревьев.

Дерево графически можно представить двумя способами: либо через доверительные отношения между доменами, либо через пространство имен доменного дерева.

Представление доменного дерева через доверительные отношения

Доверительные отношения между несколькими доменами, объединенными в дерево, можно представить в виде схемы.

Доверительные отношения между доменами в ОС Windows 2000 устанавливаются на основе протокола безопасности Kerberos. Отношения, установленные с помощью этого протокола, обладают свойствами транзитивности и иерархичности: если домен А доверяет домену В и домен В доверяет домену С, то домен А доверяет и домену С.

Подписи к рисунку: Домен А, Домен В, Домен С

Implicit trust – неявные доверительные отношения

Established Trust – установленные доверительные отношения

Рис. 4. Представление доменного дерева через схему доверительных отношений.

Представление доменного дерева через пространство имен

Доменное дерево можно также схематически изобразить с помощью пространства имен. Уникальное имя объекта можно определить, двигаясь вверх по доменному дереву, начиная с объекта. Такой метод оказывается удобным при объединении объектов в логическую иерархическую структуру. Главное достоинство непрерывного пространства имен состоит в том, что глубокий поиск, проводимый от корня дерева, позволяет просмотреть все иерархические уровни пространства имен.

Рис. 5. Представление дерева доменов в виде пространства имен.

Лес

Лесом называется одно или несколько деревьев, которые не образуют непрерывного пространства имен. Все деревья одного леса имеют общие логическую структуру, конфигурацию и глобальный каталог. Все деревья данного леса поддерживают друг с другом транзитивные иерархические доверительные отношения, устанавливаемые на основе протокола Kerberos. В отличие от дерева, лес может не иметь какого-то определенного имени. Лес существует в виде совокупности объектов с перекрестными ссылками и доверительных отношений на основе протокола Kerberos, установленных для входящих в лес деревьев. Поддержка протокола Kerberos требует, чтобы деревья одного леса составляли иерархическую структуру: имя дерева, располагающегося в корне этой структуры, может использоваться для обозначения всего данного леса деревьев.

Рис. 6. Лес, состоящий из нескольких деревьев

Узлы

Узлом называется такой элемент сети, который содержит серверы Active Directory. Узел обычно определяется как одна или несколько подсетей, поддерживающих протокол TCP/IP и характеризующихся хорошим качеством связи. “Хорошее” качество связи в данном случае подразумевает высокую надежность и скорость передачи данных (например, для локальных сетей это означает скорость передачи порядка 10 Мбит/с или выше). Определение узла как совокупности подсетей позволяет администратору быстро и без больших затрат настроить топологию доступа и репликации в Active Directory и полнее использовать достоинства физического расположения устройств в сети. Когда пользователь входит в систему, клиент Active Directory ищет серверы Active Directory, расположенные в узле пользователя. Поскольку компьютеры, принадлежащие к одному узлу, в масштабах сети можно считать расположенными близко друг к другу, связь между ними должна быть быстрой, надежной и эффективной. Распознавание локального узла в момент входа в систему не составляет труда, так как рабочая станция пользователя уже знает, в какой из подсетей TCP/IP она находится, а подсети напрямую соответствуют узлам Active Directory.

Архитектура


В этом небольшом разделе приводится краткое описание основных элементов архитектуры Active Directory.

Модель данных

Модель данных Active Directory строится на основе модели данных спецификации X.500. В каталоге хранятся объекты, которые представляют собой самые различные единицы хранения, описываемые с помощью атрибутов. Множество объектов, которые могут храниться в каталоге, задается в логической структуре (schema). Для каждого класса объектов логическая структура определяет, какие атрибуты обязательно должен иметь представитель данного класса, какие дополнительные атрибуты он может иметь, и какой класс объектов может являться родительским по отношению к данному классу.

Логическая структура

Логическая структура Active Directory реализуется в виде набора объектов различных классов, хранящихся в каталоге. В этом отношении Active Directory значительно отличается от других каталогов, имеющих логическую структуру, но хранящих ее в виде текстового файла, к которому система обращается при запуске. Хранение логической структуры в каталоге имеет целый ряд преимуществ. Например, приложения пользователей могут обращаться к логической структуре и с ее помощью определять наличие тех или иных объектов и свойств.

Логическая структура Active Directory может обновляться динамически. Это означает, что приложение может расширить логическую структуру, добавив в нее новые атрибуты и классы, и сразу после этого воспользоваться полученным расширением. Обновление логической структуры производится путем создания новых или модификации существующих объектов логической структуры (schema objects), хранящихся в каталоге. Как и все остальные объекты в Active Directory, объекты логической структуры защищены списками контроля доступа (access control lists, ACLs), поэтому изменять логическую структуру могут лишь пользователи, имеющие определенные права (авторизованные пользователи).

Модель защиты данных

Каталог является частью Windows 2000 Trusted Computing Base и полноценным элементом инфраструктуры обеспечения безопасности данных в ОС Windows 2000. Списки контроля доступа (ACL) защищают все объекты в Active Directory. Процедуры разрешения доступа к данным в Windows 2000 используют ACL при каждой попытке доступа к объекту или атрибуту в Active Directory.

Модель управления

Управление Active Directory осуществляют авторизованные пользователи. Пользователь может быть разрешено выполнение определенных действий (или последовательностей действий) над определенным набором объектов и их классов в некоторой части дерева каталога. Такая деятельность называется делегированным управлением. Делегированное управление позволяет с большой гибкостью распределять возможности управления, избегая пир этом передачи излишних полномочий.

Агент системы каталогов (Directory System Agent, DSA) представляет собой процесс, управляющий физическим устройством, в котором хранится каталог. Клиенты с помощью одного из поддерживаемых интерфейсов обращаются к DSA, а затем производят поиск объектов и выполняют над ними или над их атрибутами операции чтения или записи. DSA изолирует клиента от физического формата, в котором хранятся данные в каталоге.

Свойства Active Directory


В данном разделе приводится описание основных свойств и элементов Active Directory.

Интеграция DNS

Служба Active Directory тесно интегрирована с системой имен доменов (Domain Name System, DNS). DNS представляет собой распределенноое пространство имен, которое используется в Интернет и в котором именам отдельных компьютеров и служб ставятся в соответствие адреса, формируемые по правилам протокола TCP/IP. Большинство крупных организаций, имеющих свои внутренние сети (интрасети), используют DNS в качестве системы распознавания имен. The Active Directory использует DNS в качестве службы размещения (location service).

Имена доменов в Windows 2000 строятся по правилам DNS. Например, “Microsoft.com” – корректное DNS-имя домена; оно также может являться именем домена и в Windows 2000. Высокая степень интеграции DNS означает, что служба Active Directory хорошо совместима с такими сетевыми средами как Интернет и интрасети. С ее помощью клиенты быстро и без труда могут находить серверы каталогов. Организация может напрямую подключать к Интернету свои серверы, поддерживающие Active Directory – это упростит защиту передаваемых данных и будет способствовать развитию связей компании с клиентами и деловыми партнерами.

Служба поиска

Серверы Active Directory публикуют свои адреса таким образом, что клиенты могут найти их, зная только имя домена. Публикация имен серверов Active Directory осуществляется с помощью записей ресурсов служб (Service Resource Records, SRV RRs) в системе DNS. Каждая такая запись служит для сопоставления имени службы с адресом сервера, который поддерживает данную службу. Запись SRV RR имеет следующую форму:

 

<service>.<protocol>.<domain>

 

Серверы Active Directory поддерживают работу службы LDAP поверх протокола TCP, поэтому опубликованные имена имеют такой вид:

 

ldap.tcp.<domain>

 

Таким образом, запись SRV RR для имени “Microsoft.com” будет иметь вид “ldap.tcp.microsoft.com.” Дополнительная информация в записи указывает приоритет и вес сервера, что позволяет клиентам выбирать тот сервер, который наилучшим образом подходит для выполнения их конкретной задачи.

После того, как сервер Active Directory установлен, он публикует свое имя черз систему Dynamic DNS (см. ниже). Поскольку адреса TCP/IP могут со временем изменяться, серверы время от времени проверяют правильность своей регистрационной информации и при необходимости обновляют ее.

Динамическая DNS

Динамическая DNS (Dynamic DNS) – это недавнее добавление к стандарту DNS[1]. Она определяет протокол, в соответствии с которым происходит динамическое обновление параметров DNS-сервера. До появления динамической DNS администратору приходилось вручную вносить исправления в записи, хранящиеся на DNS-серверах.

Именование объектов

Каждый объект может иметь одно и только одно имя, которое называется уникальным именем. Уникальное имя однозначно определяет объект и содержит информацию, достаточную для того, чтобы клиент мог найти данный объект в каталоге. Уникальное имя объекта может оказаться достаточно длинным и быть трудным для запоминания. Кроме того, со временем оно может измениться. Поскольку это имя объекта состоит из относительного имени объекта и имен его родительских каталогов, переименование объекта или любого из его родительских каталогов приведет к изменению уникального имени объекта.

Так как уникальные имена могут иметь большую длину и быть трудны для запоминания, полезно иметь другие способы поиска объектов. Active Directory поддерживает запросы по атрибутам, поэтому объект можно найти даже в том случае, когда его точное уникальное имя неизвестно или изменилось. Чтобы упростить процедуру поиска объектов по запросам, логическая структура Active Directory поддерживает две полезных функции[2]:

·         Глобальный уникальный идентификатор объекта (Object globally unique identifier, GUID). Идентификатор представляет собой 128-разрядное число, гарантированно индивидуальное для каждого объекта. Этот идентификатор присваивается объекту в момент его создания и никогда не изменяется, даже при переименовании и перемещении объекта. Приложения могут хранить идентификаторы GUID объектов и гарантировать возможность отыскания нужного объекта независимо от его текущего разрешенного имени (DN).

·         Имя администратора (User Principal Name). Лица, ответственные за безопасность данных в системе (ими могут быть отдельные пользователи или их группы), имеют “дружественные” имена, которые называются User Principal Name (UPN). Эти имена короче, чем уникальные имена, и их легче запомнить. UPN-имя состоит из “сокращенного” имени пользователя и DNS-имени дерева доменов, в котором располагается объект данного пользователя. Например, пользователь James Smith в дереве доменов microsoft.com может иметь UPN-имя "JamesS@Microsoft.com."

Неповторимость имен

Для уникальных имен гарантирована их неповторимость. Active Directory не разрешает существования в одном родительском каталоге двух объектов с одинаковым относительным именем (RDN). Уникальные имена составляются из относительных имен, и поэтому они не повторяются для каждого объекта. Идентификаторы GUID являются уникальными по определению; это гарантируется алгоритмом их создания. По отношению к другим атрибутам требование уникальности не выдвигается.

Доступ к Active Directory

Доступ к Active Directory осуществляется по протоколам передачи данных, которые определяют формат передачи сообщений и взаимодействий клиента и сервера. Доступ к протоколам осуществляется с помощью различных интерфейсов прикладного программирования (API).


Поддержка протоколов

Active Directory поддерживает следующие типы протоколов:

·         LDAP – Основным протоколом в Active Directory является упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP). Обеспечена поддержка версий 2 и 3[3] этого протокола.

·         MAPI-RPCActive Directory поддерживает интерфейсы вызова удаленных процедур (RPC), которые поддерживают интерфейсы прикладного программирования электронной почты (MAPI).

·         X.500 – Информационная модель Active Directory строится на основе информационной модели спецификации X.500. Последняя определяет несколько протоколов передачи, которые не поддерживаются в Active Directory. В их число входят следующие протоколы:

DAP –Directory Access Protocol

DSP – Directory System Protocol

DISP – Directory Information Shadowing Protocol

DOP – Directory Operational Binding Management Protocol

Active Directory не поддерживает указанные протоколы по следующим причинам:

   Эти протоколы малопопулярны и редко используются на практике.

   Эти протколы зависят от реализации модели взаимодействия открытых систем (OSI). Модель OSI является альтернативной по отношению к протоколам TCP/IP и не получила широкого распространения. Реализация OSI в сети TCP/IP менее эффективна, чем прямое использование протоколов TCP/IP.

   Протокол LDAP обеспечивает наиболее важные функции, реализованные в протоколах DAP и DSP и предназначен для работы поверх стека протоколов TCP/IP без необходимости затрат ресурсов на эмуляцию OSI.

   Спецификации протоколов DISP и DOP 1993 и 1997 гг. допускают значительное количество неоднозначных трактовок; в результате чего возникает опасность, что реализация этих протоколов может привести к программно-аппаратной несовместимости. Все это значительно снижает ценность указанных протоколов.

Интерфейсы прикладного программирования

К интерфейсам API, поддерживаемм Active Directory, относятся следующие:

·         ADSI – Интерфейсы служб Active Directory (Active Directory Service Interfaces, ADSI). Это простой и мощный объектно-ориентированный интерфейс для работы с Active Directory[4]. Разработчики могут использовать различные языки программирования, включая Java, Visual Basic®, C, C++ и др. Интерфейс ADSI полностью поддерживает сценарии и поэтому он будет удобен для системных администраторов. Кроме этого, он скрывает от пользователей вспомогательные процедуры протокола LDAP.

·         LDAP API – Интерфейс LDAP C, описанный в спецификации RFC 1823, представляет собой интерфейс нижнего уровня и предназначен для программирования на языке Си.

·         MAPI – В целях обеспечения обратной совместимости Active Directory поддерживает интерфейс прикладного программирования электронной почты (MAPI). Новые приложения должны использовать интерфейс ADSI или LDAP C.

Виртуальные контейнеры

Active Directory позволяет представлять каталоги в виде виртуальных контейнеров (Virtual Containers). Виртуальный контейнер позволяет осуществлять доступ через Active Directory к любому каталогу, совместимому со спецификацией LDAP. Виртуальный контейнер можно создать, используя специальную информацию (knowledge information), которая хранится в Active Directory. Эта информация описывает, в какой части Active Directory должен появиться новый каталог, а также содержит DNS-имя сервера, на котором хранится копия этого каталога, и уникальное имя (DN), с которого следует начинать операции поиска в новом каталоге.

Глобальный каталог

Active Directory может быть разбитf на множество сегментов или контекстов имен. Уникальное имя  объекта содержит достаточно информации, чтобы найти копию того сегмента, в котором находится этот объект. Однако очень часто оказывается, что пользователь или приложение не знают уникального имени нужного им объекта или не знают, в каком сегменте он находится. Глобальный каталог (Global Catalog, GC) помогает находить нужный объект в дереве доменов по одному или нескольким известным атрибутам объекта.

Глобальный каталог содержит частичные копии всех пользовательских контекстов имен в каталоге. В нем также хранятся логическая структура и конфигурационные контексты имен. Это означает, что глобальный каталог содержит копию каждого объекта в Active Directory, но при этом хранит лишь небольшую часть его атрибутов. В глобальном каталоге хранятся те атрибуты, которые наиболее часто используются в операциях поиска (например, имя и фамилия пользователя, зарегистрированные имена пользователей системы и др.), а также атрибуты, необходимые для нахождения полной копии объекта. Глобальный каталог позволяет быстро найти нужный объект, когда неизвестно, в каком домене он находится, причем при этом не требуется, чтобы в системе было обеспечено непрерывное расширенное пространство имен.

Система репликации в Active Directory автоматически создает глобальный каталог и поддерживает репликационную топологию. Базовый набор функций, копии которых хранятся в глобальном каталоге, определяется Microsoft. Администратор системы может по своему желанию расширять этот набор, добавляя к нему новые функции.

Безопасность

В данной публикации приводится лишь краткий обзор системы обеспечения безопасности данных в Windows 2000. Более подробные сведения о модели безопасности данных можно почерпнуть из технического отчета “Secure Networking Using Microsoft Windows 2000 Distributed Security“.

Защита объектов

Все объекты в Active Directory защищены списками контроля доступа (ACLs), которые определяют, кто из пользователей может видеть данный объект и какие действия с объектом разрешены каждому из пользователей. Если пользователю не разрешено видеть данный объект, то у него нет и никаких средств узнать о его существовании.

Список контроля доступа состоит из записей управления доступом (Access Control Entries, ACEs). Они хранятся вместе с объектом, который защищается данным списоком. В операционной системе Windows 2000 список ACL хранится в двоичном формате и называется дескриптором безопасности (Security Descriptor). Каждая запись ACE содержит идентификатор защиты (Security Identifier, SID), который однозначно указывает на лицо, ответственное за безопасность данного объекта (principal) – им может быть отдельный пользователь или группа пользователей), и содержит информацию о том, какой тип доступа к объекту разрешен записью ACE.

Списки ACL в каталогах содержат записи, относящиеся к объекту в целом, и записи, относящиеся к отдельным атрибутам объекта. Это дает возможность администратору не только указывать, какие пользователи могут видеть данный объект, но и какие свойства этого объекта будут видны пользователям. Например, всем пользователям может быть разрешено чтение таких атрибутов, как телефонные номера и адреса электронной почты других пользователей, но параметры, относящиеся к безопасности данных, могут быть доступны только членам специальной группы администраторов системы. Отдельным пользователям может быть разрешена запись в их личные атрибуты, например, внесение исправлений в номера их телефонов или адреса электронной почты.

Передача полномочий

Передача полномочий (Delegation) – одно из наиболее важных средств защиты данных в Active Directory. Передача полномочий позволяет администратору системы, имеющему более высокий приоритет, передавать определенные права по управлению контейнерами и поддеревьями отдельным пользователям или группам пользователей. Благодаря такому распределению полномочий исчезает необходимость в “администраторах доменов” (Domain Administrators), передающих полномочия излишне большому числу пользователей.

Записи ACE могут предоставлять четко определенные права по управлению объектами в контейнере одному или нескольким пользователям. Эти права распространяются на определенные операции над определенными классами объектов через записи ACE, хранящиеся в списке ACL, относящемся к тому контейнеру, к которому принадлежат эти объекты. Например, чтобы передать пользователю с именем “James Smith” права администрирования в отношении организационной единицы “Corporate Accounting”, в список контроля доступа ACL контейнера “Corporate Accounting” нужно добавить следующие записи[5]:

“James Smith”;Grant ;Create, Modify, Delete;Object-Class User
“James Smith”;Grant ;Create, Modify, Delete;Object-Class Group
“James Smith”;Grant ;Write;Object-Class User; Attribute Password

Теперь пользователь James Smith может создавать бюджеты новых пользователей и новые группы в контейнере Corporate Accounting и устанавливать пароли для уже зарегистрированных пользователей. Однако, он не может создавать другие классы и изменять параметры пользователей в других контейнерах (если, конечно, дополнительные записи не разрешают ему доступ к другим контейнерам).

Наследование

Принцип наследования (Inheritance) записей ACE позволяет распространять влияние записей, сделанных для какого-либо контейнера, на все объекты, содержащиеся в нем. Наследование можно совмещать с передачей полномочий и таким образом в одной операции передавать административные права целому поддереву каталога.

Репликация

Active Directory поддерживает репликацию с несколькими мастер-доменами. Такая модель позволяет вносить изменения в любую базу данных на контроллере домена. Благодаря этому оказывается возможным обновлять базы данных контроллера. Система репликации в Active Directory тиражирует внесенные изменения на другие контроллеры. Репликация происходит автоматически и остается прозрачной для пользователя.

Распространение изменений

В некоторых службах каталогов для распознавания и тиражирования изменений используются метки времени. При работе с такими системами очень важно, чтобы часы на всех серверах каталогов были синхронизованы друг с другом, но соблюсти это условие в сети зачастую оказывается довольно сложно. Однако даже при хорошей синхронизации часов остается вероятность того, что часы на одном из серверов могут быть установлены неверно, поэтому обновления информации на этом сервере не произойдет.

Windows 2000 поддерживает распределенную синхронизацию времени, однако система репликации Active Directory не использует меток времени при передаче изменений. Вместо них в репликационной модели Active Directory используются порядковые номера изменений (Update Sequence Numbers, USNs). USN-номер представляет собой 64-разрядное число, хранящееся на каждом сервере Active Directory. Когда сервер вносит изменение в Active Directory, этот номер увеличивается на единицу и сохраняется вместе с записанным изменением. Эти операции неразделимы: увеличение USN-номера на единицу и сохранение его нового значения, а также внесение изменения в данные представляют собой единую рабочую процедуру.

Каждый сервер Active Directory поддерживает также таблицу USN-номеров, которые он получает от других серверов в результате тиражирования. Наибольшее значение номера, полученного от каждого сервера, сохраняется в этой таблице. Когда какой-либо сервер сообщает серверу каталогов (Directory Server) о необходимости репликации данных, сервер запрашивает все изменения, номера которых превышают самый большой USN-номер в его таблице. Эта простая модель не зависит от точности присвоения временных меток.

Поскольку обновление USN-номера, хранящегося в таблице сервера, неразрывно связано с обновлением данных, восстановление информации при сбое системы не представляет больших трудностей. При повторной репликации сервер запрашивает другие серверы обо всех изменениях с USN-номерами, превышающими наибольший сохранившийся номер в его таблице. Так как обновление таблицы и обновление данных составляет одну рабочую операцию, то прерванная репликация будет возобновлена точно с того места, на котором произошел сбой.

Обнаружение сбоев и номера версий

В модели репликации с несколькими мастер-доменами, на которой строится Active Directory, одну и ту же базу данных можно обновлять на двух и более контроллерах домена. Если база данных на втором (третьем, четвертом и т. д.) контроллере обновляется до того, как обновление на первом контроллере было тиражировано на все контроллеры системы, то происходит конфликт репликации (replication collision). Возникновение сбоев обнаруживается с помощью номеров версий баз данных (property version numbers). В отличие от USN-номеров, которые связаны с конкретным сервером, номер версии базы данных связан с конкретной базой данных в объекте Active Directory. Когда база данных в первый раз записывается в объект Active Directory, ее версии присваивается первый номер.

Записи создания (originating writes) приводят к увеличению номера версии. Записью создания называется такая запись в базу данных, при которой содержимое базы изменяется. Операции записи свойств (property writes), выполняемые при репликации данных, не являются записями создания и не приводят к увеличению номера версии. Например, изменяя свой пароль, пользователь инициирует выполнение записи создания, и номер версии его пароля увеличивается при этом на единицу. Репликационные записи измененного пароля на других серверах не приводят к увеличению номера версии пароля.

Конфликт репликации обнаруживается, когда у обновленной базы данных, получаемой сервером в результате тиражирования, номер версии совпадает с номером версии той же базы данных, хранящейся на данном сервере, а содержимое баз данных отличается. В этом случае сервер, на который прислана обновленная версия, сохранит ту версию, временная метка которой соответствует более позднему значению. Это единственный случай, когда при операциях репликации используются временные метки.

Если номер версии получаемого изменения меньше номера версии, хранящейся на сервере, то обновления базы данных не происходит. Обновление базы данных производится только в том случае, когда номер версии получаемого изменения больше номера версии базы данных, хранящегося на сервере.

Подавление распространения

Репликационная модель Active Directory допускает наличие кольцевых связей между серверами. Такая схема позволяет администратору организовать тиражирование данных между серверами несколькими различными путями, что повышает быстродействие системы и облегчает доступ к данным. Репликационная модель Active Directory поддерживает механизм подавления распространения (propagation dampening), который предотвращает бесконечное тиражирование данных и исключает повторную передачу изменений на те контроллеры доменов, которые в них не нуждаются.

Для подавления распространения в Active Directory используются векторы обновления данных (up-to-date vectors). Вектор обновления данных представляет собой список пар “имя сервера – USN-номер”, хранящийся на каждом сервере. Этот вектор содержит наибольшее значение USN-номера, соответствующего последнему обновлению информации на данном сервере. Вектор обновления данных, хранящийся на сервере, содержит список всех серверов, принадлежащих данному узлу.

В начале цикла тиражирования данных сервер, пославший запрос на репликацию, посылает свой вектор обновления данных тому серверу, с которого он намерен получить обновленную информацию. Сервер, у которого данные запрошены, использует полученный вектор для фильтрации данных перед их отсылкой на запрашивающий сервер. Если наибольшее значение USN-номера для последней выполненной операции записи данных больше или равно номеру, который должен быть присвоен запрошенному обновлению, то серверу нет необходимости передавать обновление базы данных: информация на запрашивающем сервере имеет ту же версию, что и на запрошенном сервере.

Деревья и лес

Дерево доменов в Windows 2000 имеет иерархческую структуру, и каждый из доменов, входящих в него, является сегментом Active Directory. Структура дерева и отношения между его элементами определяются DNS-именами доменов. Имена доменов одного дерева должны образовывать непрерывное пространство имен, то есть домен с именем a.myco.com должен быть поддоменом по отношению к домену myco.com, а домен b.myco.com должен быть поддоменом домена a.myco.com, и т. д.

Двусторонние транзитивные доверительные отношения

Когда домен присоединяется к дереву доменов Windows 2000, между вновь присоединенным доменом и его родительским доменом автоматически устанавливаются двусторонние транзитивные доверительные отношения. Такой тип отношений не требует установления никаких дополнительных отношений между элементами дерева. Иерархия доверительных отношений является составной частью метаданных, хранящихся в контейнере конфигурации.

Эти данные обязательно создаются в каталоге, когда к дереву доменов присоединяется новый домен.

Пространство имен

Дерево доменов в Windows 2000 должно представлять собой непрерывное пространство имен. Непосредственные дочерние домены (поддомены), входящие в состав своего родительского домена, по умолчанию являются частью неперывного пространства имен этого домена. Это означает, что уникальное имя каждого объекта, принадлежащего дочерним доменам, содержит имя родительского домена в качестве префикса.

Подпись к рисунку: Проведение поиска по домену root.com означает поиск по всем его дочерним доменам

Рис. 7. Родительский домен и его дочерний домен (поддомен) образуют непрерывное пространство имен, так как имя поддомена является прямым расширением имени родительского домена.

Например, родительский домен O=Internet/DC=COM/DC=Microsoft и его поддомен O=Internet/DC=COM/DC=Microsoft/DC=PBS образуют непрерывное дерево имен, поскольку корневой объект в родительском домене O=Internet/DC=COM/DC=Microsoft является непосредственным родительским объектом по отношению к корневому объекту в дочернем домене O=Internet/DC=COM/DC=Microsoft/DC=PBS. Так как родительский и дочерний домены образуют непрерывное дерево имен, при поиске объекта по родительскому домену будет производиться также и его поиск по дочернему домену.

Условия для создания доменного дерева

Дерево доменов в Windows 2000 представляет собой службу Active Directory масштаба предприятия. Желательно, чтобы все домены Windows 2000 в одной организации принадлежали одному доменному дереву. Организациям, в которых необходимо поддерживать разрозненные домены, придется создавать лес доменов.

Как создать дерево доменов или лес

Домены в Windows 2000 объединяются в дерево при установке системы. При установке нового сервера Windows 2000 (или при переходе к Windows 2000 от более ранней версии Windows NT) администратор может выбрать следующие варианты:

·         Создать первое дерево в новом лесу

·         Создать новое дерево в существующем лесу

·         Создать новый контроллер существующего домена

·         Установить дочерний домен (поддомен)

Чтобы включить новую информацию в уже существующее доменное дерево, следует выбрать опцию Install a Child Domain и указать родительский домен, в котором будет создан новый поддомен. В следующих версиях Windows будет реализована операция слияния двух (или нескольких) существующих деревьев в одно более крупное дерево.

Конфигурацию дерева можно изменять, свободно перемещая в нем домены. Очень важно, чтобы дерево доменов было организовано правильно, однако понятие правильности в данном случае определить довольно трудно, поскольку оно зависит от конкретных задач, стоящих перед той или иной организацией. Возможность скорректировать кофигурацию дерева не делает столь острой необходимость заранее знать оптимальную структуру дерева.

Узлы

Узлом называется область сети, в которой обеспечена высококачественная связь между компьютерами. В Windows 2000 узлом считается одна или несколько подсетей IP. В основе такого определения лежит предположение, что компьютеры с одинаковым адресом подсети включены в один сегмент сети – как правило, это либо локальная сеть, либо иная сетевая среда с высокой скоростью передачи[6], например, АТМ, Frame Relay и др.

В Windows 2000 информация об узле используется для отыскания сервера Active Directory, ближе других расположенного к данному пользователю. Когда пользователь входит в сеть, DHCP-сервер присваивает его рабочей станции IP-адрес. В этом адресе содержится указание на подсеть, к которой принадлежит рабочая станция. У рабочих станций, которым присвоены постоянные IP-адреса, информация об их принадлежности к той или иной подсети также неизменна. Независимо от того, какой IP-адрес – динамический или постоянный – присвоен рабочей станции, система поиска контроллеров домена (DC) в Windows 2000, попытается найти сервер Active Directory в той же подсети, где зарегистрирована рабочая станция, используя для этой цели доступную ей информацию.

Узлы и репликация

При тиражировании информации между серверами Active Directory на одном узле система репликации в Windows 2000 генерирует кольцевую топологию. В пределах одного узла репликация каталогов производится с помощью операций вызова удаленных процедур (RPC). Репликацию между узлами можно по выбору осуществлять либо посредством RPC, либо путем передачи сообщений. Windows 2000 поддерживает простой протокол передачи сообщений SMTP, который входит в число стандартных функций этой операционной системы. Если имеется возможность использовать пакет Microsoft Exchange, то репликацию между узлами можно произвести с помощью этого пакета, применив любой из почтовых протоколов, поддерживаемых пакетом Exchange (включая такие как SMTP, X.400 и др.).

Создание узлов

Узел должен состоять как минимум из одной IP-подсети. Windows 2000 предполагает, что все компьютеры, принадлежащие к одному узлу, находятся в одной высокоскоростной сети. С учетом этого можно говорить о том, что в хорошо организованной системе все подсети, относящиеся к одному узлу, объединены в быстродействующую сеть. Сегменты сети, отделенные друг от друга территориальными сетями, несколькими маршрутизаторами или другими элементами с относительно низким быстродействием, должны принадлежать разным узлам.

Логическая структура

Логическая структура Active Directory определяет набор классов и атрибутов, которые могут храниться в каталоге. Логическая структура определяет, в какой части дерева каталогов может быть создан тот или иной класс, и указывает для каждого класса разрешенные родительские каталоги. Содержимое класса определяется списком атрибутов, которые может или должен содержать данный класс.

Необходимость расширения логической структуры

Логическую структуру может расширить пользователь или приложение. Это делается в том случае, когда в ней не оказывается подходящих классов. Расширение логической структуры – достаточно очевидная и несложная процедура.

Добавление атрибутов

Новые атрибуты можно добавлять в логическую структуру в любое время. Задание атрибута заключается в указании имени объекта, индивидуального идентификатора объекта (Object Identifier, OID), синтаксической структуры, определяющей, какой тип данных может содержать атрибут, и его допустимые размеры (дополнительный параметр). В случае строкового представления допустимые размеры указывают минимальную и максимальную длину строки. Для целых чисел допустимые размеры определяют минимальное и максимальное значения числа.

Эффективность выполнения запросов в Active Directory прямо связана с наличием или отсутствием индекса, который помогает оптимизировать отработку запроса. Если индекса, облегчающего выполнеие запроса, не существует, то для выполнения запроса LDAP-сервер вынужден будет просмотреть весь текущий сегмент. При создании атрибута пользователь может создать индекс для этого атрибута. Можно также снабжать индексами уже существующие атрибуты, установив значение атрибута searchFlags в объекте attributeSchema равным 1. Атрибут следует снабжать индексом в следующих случаях:

·         Атрибут будет часто использоваться при запросах. Добавление индекса к атрибуту требует ресурсов памяти и снижает скорость выполнения операции вставки информации (поскольку необходимо поддерживать связь индекса и вставляемого объекта), поэтому не рекомендуется снабжать индексами такие атрибуты, которые не будут использоваться достаточно часто.

·         Содержимое атрибутов не должно принимать часто встречающихся значений. Никогда не следует снабжать индексами логические атрибуты, поскольку они могут принимать всего два значения: True или False. Регистрационные номера сотрудников организации или их фамилии, наоборот, повторяются очень редко и поэтому являются хорошим примером атрибутов, которые вполне можно снабжать индексами.

·         Атрибут встречается у нескольких объектов. Индексирование атрибута позволяет быстро отыскать объекты, у которых данный атрибут отмечен индексом. Прежде чем присвоить атрибуту индекс, целесообразно проверить, к какой категории – обязательных или дополнительных – атрибутов объекта относится индексируемый атрибут.

Добавление новых объектов

Новые классы объектов можно добавлять к логической структуре в любое время. Задание объекта заключается в указании его имени, идентификатора объекта (OID), списка обязательных и дополнительных атрибутов, списка классов, котые могут быть родительскими по отношению к данному объекту, класса, к которому принадлежит объект, и списка других классов, связанных с этим объектом.

Расширение логической структуры

Поскольку логическая структура определяет, какая информация может храниться в каталоге и описыват хранящуюся там информацию, право записи в логическую струтуру по умолчанию имеют только администраторы системы. В Windows 2000 есть подключаемый модуль (snap-in) для программы Microsoft Management Console (MMC), позволяющий управлять логической структурой. Чтобы расширить логическую структуру, имеющий соответствующие права пользователь может создавать новые атрибуты и классы. К новым или уже существующим классам можно добавлять новые атрибуты. Для каждого вновь созданного класса или атрибута требуется идентификатор объекта (OID).

Идентификаторы объектов (OIDs)

Идентификатор объекта – это число, однозначно указывающее класс объекта или атрибут в службе каталогов[7]. Идентификаторы OID присваиваются соответствующими регистрационными организациями (issuing authorities) и имеют иерархическую структуру. Идентификатор OID представляет собой строку десятичных чисел, разделенных точками (например, “1.2.3.4”). Для получения своего корневого идентификатора организации и частные лица могут обращаться в регистрационные организации и затем использовать выданные им OID для создания дополнительных идентификаторов. Например, корпорации Microsoft присвоен корневой идентификатор 1.2.840.113556, на основе которого компания создает разветвленную систему дополнительных идентификаторов. Одна из таких ветвей используется для присвоения идентификаторов классам в Active Directory, другая – атрибутам и т. д.

Во многих странах мира действуют Национальные регистрационные комиссии (National Registration Authority, NRA), контролирующие присвоение идентификаторов OID различным организациям. В США функции такой регистрационной комиссии выполняет Американский национальный институт стандартов (American National Standards Institute, ANSI). Национальная регистрационная комиссия присваивает организации корневой идентификатор. Присвоение корневого идентификатора и регистрация имен являются платными услугами. Более подробные сведения об этом можно получить в национальной регистрационной комисии каждой страны [8].

Публикация

Публикация– это процесс создания в каталоге объектов, которые либо непосредственно содержат информацию, котрую вы хотите сделать доступной, либо содержат ссылки на такую информацию. Например, объект типа “пользователь” содержит полезную информацию о пользователях (номера их телефонов и адреса электронной почты), а объект типа “том” содержит ссылку на том совместно используемой файловой системы.

Условия публикации

Информацию в Active Directory следует публиковать в тех случаях, когда она может быть полезна или представлять интерес для большой части сообщества пользователей и когда она должна быть легко доступной.

Информация, опубликованная в Active Directory, имеет два основных качества:

·         Она имеет сравнительно статичный характер и редко подвергается изменениям. Примерами относительно статичной информации, пригодной для опубликования, могут служить номера телефонов и адреса электронной почты сотрудников организации; текст же электронного сообщения, которое в данный момент готовит пользователь, наоборот, является примером в высшей степени изменчивой информации.

·         Информация хорошо стуктурирована и может быть предствалена в виде набора отдельных атрибутов. Примером хорошо структурированной информации, пригодной для публикования, может служить почтовый адрес пользователя. Запись с образцом человеческого голоса может служить примером неструктурированной информации; и такие данные лучше хранить в файловой системе.

Оперативная информация, используемая приложениями, прекрасно подходит для публикации в Active Directory. В частности, такой информацией являются сведения о глобальной конфигурации, которые относятся ко всем экземплярам данного приложения. Например, программный пакет реляционной базы данных может хранить в виде объекта в Active Directory сведения о настройках серверов баз данных, используемых по умолчанию. При установке новых экземпляров пакета в организации данные о настройках по умолчанию будут считываться из объекта в Active Directory. Это упростит процедуру установки программного пакета и гарантирует единообразие настроек во всех экземплярах программы в организации.

Приложения могут также публиковать в каталоге свои точки стыковки (connection points). Эти точки используются для обеспечения связи между клиентами и серверами. Active Directory определяет архитектуру интегрированного управления службами с использованием объектов типа “Service Administration Point” и поддерживает стандартные точки стыковки для приложений RPC, Winsock и COM. Приложения, которые для опубликования своих точек стыковки не используют интерфейсы RPC или Winsock, могут в явном виде публиковать в каталоге объекты типа “Service Connection Point”.

Данные, используемые приложениями, можно также публиковать в каталоге при помощи объектов, связанных с конкретным приложением. Данные, относящиеся к конкретному приложению, должны удовлетворять рассмотренным выше критериям, то есть они должны представлять всеобщий интерес, быть относительно статичными и хорошо структурированными.

Процедура публикации

Процедура публикования информации зависит от используемого приложения или службы:

·         RPC – Для публикации в каталоге своих точек стыковки и для поиска таких точек, опубликованных другими приложениями и службами, RPC-приложения используют API семейства RpcNs*.

·         Windows Sockets – Для публикации в каталоге своих точек стыковки и для поиска таких точек, опубликованных другими приложениями и службами, Windows Sockets-приложения используют API семейства Registration and Resolution, входящее  в Winsock 2.0.

·         DCOM – Службы DCOM публикуют в каталоге свои точки стыковки через базу данных DCOM Class Store, которая хранится в Active Directory.


 Группы

Операционная система Windows 2000 поддерживает новые свойства групп:

·         Если в системе установлена новая версия программы Exchange, то группы могут рассматриватться как списки рассылки.

·         Группы могут содержать незащищенных членов (такая возможность становится особенно актуальной, когда группа используется одновременно и как средство защиты данных и как список рассылки).

·         Функция защиты данных может быть отключена (это оказывается удобным, если группа используется исключительно как список рассылки)

·         Группы могут быть вложенными.

·         Вводится новый тип группы – универсальная (Universal).

Универсальная группа является самой простой разновидностью группы. Такие группы могут отражаться в списках ACL и размещаться в любом месте доменного леса. Они могут содержать другие универсальные группы, глобальные группы и объекты типа “пользователь”, расположенные в любом месте леса. В системах небольших организаций можно использовать только универсальные группы, не прибегая к созданию глобальных и локальных групп.

Глобальная группа (Global goup) может отражаться в списках ACL и располагаться в любом месте леса. В нее могут входить объекты типа “пользователь” и другие глобальные группы, принадлежащие к тому же домену.

Локальная группа домена используется только в пределах своего домена. Такая группа может содержать объекты типа “пользователь” и другие глобальные группы, принадлежащие к любому домену леса, универсальные группы и другие локальные группы домена, принадлежащие к тому же домену.

Указанные типы групп обеспечивают широкие и универсальные возможности по управлению системой, одновременно снижая интенсивность репликационного трафика, направляемого в глобальный каталог при изменении состава групп. Наличие универсальной группы отражается в глобальном каталоге, но в ее состав, в основном, входят глобальные группы доменов, входящих в лес. После того как будут созданы глобальные группы, состав универсальной группы будет изменяться сравнительно редко. Глобальные группы (но не их содержимое) отражаются в глобальном каталоге. Изменения в составе глобальных групп не тиражируются за пределами того домена, в котором эти группы определены. Локальные группы домена могут существовать только в пределах того домена, в котором они определены, и их наличие никогда не отражается в глобальном каталоге.

переход к Windows 2000


В данном разделе представлены варианты перехода (миграции) с более ранних версий Windows NT на Windows 2000. Вопросы, связанные с миграцией на Windows 2000, более подробно освещены в ряде документов, которые можно найти по адресу: http://www.microsoft.com/ntserver.

Варианты модернизации

Операционные системы Windows NT 3.51 и 4.0 можно непосредственно модернизировать до Windows 2000. Для Windows NT 3.1 и 3.5 необходимо сначала провести модернизацию до Windows NT 3.51 или 4.0, а затем уже осуществить модернизацию до Windows 2000. Первоначальную установку Windows 2000 можно производить на любой системе, указанной в списке совместимости Windows 2000 Hardware Compatibility List.

Контроллеры домена

Контроллеры домена содержат копии каталога. В Windows NT 3.51 и 4.0 поддерживается два типа контроллеров доменов – основные (Primary Domain Controllers, PDC) и резервные контроллеры (Backup Domain Controllers, BDC). Основные контроллеры хранят копию каталога, доступную для чтения и записи, а копия на резервных контрллерах доступна только для чтения.

В Windows 2000 все контроллеры домена содержат копии каталога, доступные для записи. Различия между основными и резервными копиями не существует, – все контроллеры домена идентичны друг другу.

Чтобы перевести домен, управляемый Windows NT 3.51 или 4.0, в Windows 2000, необходимо сначала провести модернизацию его основной контроллера. При этом происходит автоматическая загрузка информации о пользователях и объектах из каталога домена в Active Directory. В ходе модернизации домена администратору системы придется указать, должен ли модернизируемй домен быть

·         корневым для нового доменного дерева в новом лесу

·         корневым для нового доменного дерева в существующем лесу

·         дочерним доменом в существующем доменном дереве.

На этом этапе модернизации домен имеет смешанную структуру и называется смешанным доменом. С помощью инструментов администрирования можно управлять доменом и распределять полномочия по управлению системой, создавая иерархическую структуру папок в каталоге, соответствующих организационным единицам. Резервные контроллеры, серверы и клиенты остаются при этом неизменными: превращение основного контроллера (PDC) в сервер Active Directory никак на них не отражается.

Преобразование резервных контроллеров сводится к модернизации каждого из них. В ходе модернизации система распознает резервный контроллер, автоматически преобразует его в контрллер Active Directory и включает его в репликационную топологию. Когда все контроллеры домена будут модернизированы, домен более не будет иметь смешанную структуру, и в нем будет обеспечена поддержка вложенных групп.

Серверы

Миграция серверов заключается в их модернизации до формата Windows 2000. Информация о локальных пользователях и локальных группах хранится в реестре сервера и не переносится в Active Directory. Модернизация сервера позволяет использовать защитный протокол Kerberos и совместимые с Active Directory приложения, а также обеспечивает поддержку Microsoft Management Console, оболочки Active Directory и стандартных диалогов.

Клиенты

Клиенты Windows NT Workstation следует модернизировать до Windows 2000 Professional. Клиенты Windows 95 можно модернизировать, установив вспомогательный пакет с дополнительными программными компонентами, которые обеспечивают совместимость с Active Directory. Модернизация клиента позволяет ему использовать защитный протокол Kerberos и совместимые с Active Directory приложения, а также обеспечивает поддержку оболочки Active Directory и стандартных диалогов.

Учетные записи пользователей

При модернизации основного контроллера (PDC) младшей версии (3.51 или 4.0) до формата Windows 2000 учетные записи пользователей переносятся в Active Directory и помещаются в контейнер с названием “Users” в корневом каталоге домена.

Учетные записи компьютеров

При модернизации основного контроллера (PDC) младшей версии (3.51 или 4.0) до Windows 2000 учетные записи компьютеров переносятся в Active Directory и помещаются в контейнер с названием “Computers” в корневом каталоге домена.

Глобальные группы

При модернизации основного контроллера (PDC) младшей версии (3.51 или 4.0) до Windows 2000 информация о группах переносится в Active Directory и помещается в контейнер с названием “Users” в корневом каталоге домена. Встроенные группы помещаются в специальный контейнер с названием “Built-in”.

Часто задаваемые вопросы


Как рабочая станция определяет, в каком узле она находится?

Рабочая станция определяет свое местонахождение в сети, сообщая адрес своей подсети первому серверу Active Directory, с которым ей удалось установить связь. Адрес подсети рабочая станция определяет на основе маски подсети и своего IP-адреса. Маска подсети и IP-адрес присваиваются либо динамически с помощью протокола DHCP, либо статически при конфигурировании сети. Первый сервер, с которым рабочая станция установила контакт, с помощью полученной от нее маски подсети ищет объект типа “Site”, соответствующий тому узлу, в котором расположена рабочая станция. Если данный сервер принадлежит к другому узлу, то он сообщает рабочей станции адрес более близкого к ней сервера.

Как рабочая станция находит сервер каталогов?

Рабочая станция находит сервер каталогов, обращаясь с запросом к системе DNS. Серверы каталогов данного домена публикуют записи SRV RR в DNS с именами в следующем виде:

LDAP.TCP.<domain name>

Таким образом, рабочая станция, соединяющаяся с доменом Microsoft.com, должна послать запрос о записях SRV RR, имеющих вид LDAP.TCP.Microsoft.com. После этого рабочая станция выберет из полученного списка сервер и свяжется с ним. Получив от рабочей станции маску подсети, этот сервер по описанной в предыдушем ответе процедуре использует полученную информацию, чтобы определить сервер, ближайший к данной рабочей станции.

Как можно войти в систему?

Один и тот же пользователь может входить в Windows 2000 Professional под различными именами, представленными в нескольких разных форматах. Набор разрешенных форматов определяется программным интерфейсом Win32®, который называется DsCrackNames и используется для преобразования различных форматов имен к единому виду.

·         NETBIOS-имя домена и учетное имя SAM. Это формат имени, использумый при входе в Windows NT 4.0. NETBIOS-имя домена это имя, которое домен имел до миграции, учетное имя SAM – это учетное имя пользователя до миграции.

·         Имя администратора (User Principal Name). – имя, записанное в формате <дружественное имя>@<DNS-имя домена, разделенное точками>. Если это имя не является уникальным, то попытка входа в систему будет неудачной и завершится с ошибкой “Unknown User

Что происходит со списками контроля доступа в ресурсах доменов после миграции?

Миграция не влияет на списки контроля доступа (ACL). Если все домены Windows NT 3.51 и Windows NT 4.0 модернизированы без дополнительных изменений, то с точки зрения списков контроля доступа ничего не меняется.

Если серверы из ресурсного домена при миграции перемещаются в организационные единицы (OU) в доменах учетных записей, а затем ресурсный домен уничтожается, то необходимо отредактировать все списки ACL, в которых имеются записи ACE, относящиеся к уничтоженному домену. Это требование является общим для всех версий Windows: при уничтожении домена в любой версии Windows NT идентификаторы безопасности, относящиеся к этому домену, становятся недействительными.

Для упрощения процедуры редактирования ресурсов ACL можно воспользоваться следующим правилом. Если у вас имеется ресурсный домен в Windows NT 3.51 или 4.0 и вы намерены заменить его организационной единицей в Windows 2000 и затем уничтожить, то не следует помещать группы из этого домена в ресурсы ACL. Это не относится к локальным группам на серверах; данное правило распространяется только на группы в контроллерах доменов.

Microsoft планирует создать специальные инструменты, облегчающие редактирование списков ACL и включить эти инструменты в состав Windows 2000.

Что происходит со списками ACL при уничтожении домена?

При создании группы домен присваивает ей идентификатор безопасности (Security Identifier, SID). Если этот идентификатор занести в список ACL, то доступ к данной группе будет открыт для тех пользователей, в чьих признаках содержится этот SID. Пользователь может присоединить идентификатор SID к своему признаку, связавшись с доменом, выдавшим этот идентификатор. Эта процедура может осуществляться при входе пользователя в сеть и производиться в “прозрачном” режиме.

При редактировании списка ACL одновременно с поиском идентификатора SID система инициализирует программный интерфейс LookupAccountName. Если уничтожить домен, привоивший идентификатор SID, то в перечне пользователей и групп данного списка ACL появится строка “Неизвестный пользователь” ("Unknown User”). То же самое происходит в Windows NT 3.51 и Windows NT 4.0 при уничтожении домена или разрыве доверительных отношений между доменами.

Что происходит с локальными группами?

Ответ на этот вопрос можно разделить на две части:

·         Часть 1: Локальные группы на серверах. Локальные группы на сервере сохраняют свой характер; они существуют только в модулях SAM сервера и не переносятся в Active Directory. Локальные группы, как правило, используются для хранения глобальных групп на серверах учетных записей. Администратор сервера указывает локальную группу в списках ACL в ресурсах сервера и добавляет глобальные группы в локальную группу. Данная процедура сохраняется и в Windows 2000. Единственная разница заключается в том, что в новой системе глобальные группы превращаются в обычные группы, которые публикуются в Active Directory.

·         Часть 2: Локальные группы в основных и резервных контроллерах доменов. Модули SAM резервных контроллеров доменов доступны только для записи. Когда в резервном контроллере домена создается локальная группа, операция создания группы транслируется на основной контроллер домена, а оттуда тиражируется на все остальные резервные контроллеры. С точки зрения содержания эти локальные группы ничем не отличаются от локальных групп на сервере, но размещаются на основном и на всех резервных контроллерах домена. При модернизации до Windows 2000 для каждой из групп в Active Directory создается свой объект локальной группы домена.

Когда производится поиск по глобальному каталогу?

Поиск по глобальному каталогу инициируется одним из следующих способов:

·         В результате поиска по поддереву или одноуровневого поиска по протоколу LDAP, начатым в нулевом домене (являющемся корневым для данного пространства имен). При этом генерируется ссылка на глобальный каталог.

·         В результате прямой ссылки на порт глобального каталога в копии глобального каталога (программы-клиенты редко используют этот способ).

·         В результате явной ссылки на источник интерфейса ADSI в глобальном каталоге (GC://).

Обязательно ли использовать DNS-сервер Microsoft?

Нет, не обязательно. Использование Microsoft DNS дает определенные преимущества, но система будет работать с любым стандартным DNS-сервером. Рекомендуется использовать динамическую DNS, поскольку при наличии динамических DNS-серверов серверы Active Directory могут автоматически регистрировать в DNS необходимые записи. Статические DNS-серверы работают столь же надежно, но в этом случае регистрацию записей приходися производить вручную.

Каковы преимущества использования DNS-сервера Microsoft?

DNS-сервер, входящий в состав Windows 2000, представляет собой стандартную и BIND-совместимую реализацию динамической DNS. Этот сервер специально разработан для Windows 2000 и не является частью BIND-совместимых доменов общего доступа. DNS-сервер Microsoft хранит в Active Directory информацию о зонах DNS, которыми он может управлять. DNS-данные тиражируются на другие DNS-серверы через процедуры репликации Active Directory, а не через передачу зон. DNS-сервер Microsoft поддерживает стандартные операции передачи зон в целях обеспечения совместимости с другими DNS-серверами.

Что происходит с DHCP-серверами?

DHCP-серверы в Windows 2000 изменяются мало. DHCP-клиент совместим с системой DNS и использует службы динамической DNS для непосредственной регистрации в DNS динамически присваиваемых адресов. При переходе к Windows 2000 DHCP-клиент будет по-прежнему регистрироваться в WINS, если DHCP распознает сервер WINS.

Что происходит с WINS?

Служба WINS в ОС Windows 2000 остается неизменной. Клиенты Windows 2000 (а также клиенты Windows 95, модернизированные для Active Directory) не используют пространство имен NETBIOS. Служба WINS нужна в Windows 2000 для того, чтобы клиенты нижнего уровня могли находить серверы, и наоборот. Если в системе какой-либо организации клиенты нижнего уровня больше не используются, то серверы WINS можно отключить.


Дополнительная информация


С самой последней информацией о Windows 2000 Server можно познакомиться в Интернете по адресу http://www.microsoft.com/ntserver или посетив электронную конференцию Windows NT Server Forum в сети Microsoft Network (GO WORD: MSNTS).

 



[1] RFC 2136.

[2] Логическая структура определяет ряд вспомогательных функций, которые особенно полезны при поиске объектов.

[3] На момент подготовки данной публикации (8/12/98) версия 3 протокола LDAP (RFC 2251) являлась проектом стандарта.

[4] Интерфейс ADSI обеспечивает единый доступ к каталогам, включая все каталоги LDAP, а также каталоги в ОС Windows NT 4.0, NetWare 3.x и NetWare 4.x.

[5] Данные записи ACE приведены исключительно с иллюстративной целью; синтаксис записей в реальных списках контроля доступа будет иметь другой вид.

[6] В данном контексте под “высокой скоростью передачи” подразумевается скорость передачи данных по линиям Ethernet (10 млн. бит в секунду или выше).

[7] Идентификаторы OID используются и во многих других приложениях, но чаще всего они упоминаются применительно к приложениям службы каталогов.

[8] На узле Web Международной организации стандартов (ISO) имеется список таких организаций. Адрес ISO в системе Интернет http://www.iso.ch.