1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд
Скачать 3.9 Mb.
|
38. Логическая структура AD. Схема AD. Классы объектов, атрибуты. Домен, дерево, лес. Логическая структура Active Directory по сути представляет собой контейнеры, которые используются для хранения объектов службы каталога (разделов каталога, доменов и лесов) на предприятии. Домены – это базовые элементы, логической структуры службы каталога Active Directory. Устанавливая Active Directory, сразу создается домен. Количество объектов входящих в домен может исчисляться миллионами. Домены — это объединения компьютеров, коллективно управляемых с помощью контроллеров домена, т. е. систем Windows Server 2003, регулирующих доступ к сети, базе данных каталога и общим ресурсам. Все сетевые объекты (принтеры, общие папки, компы, приложения и т. д...) существуют в границах того или иного домена. Каждый домен хранит информацию только о самом себе, то есть только об объектах, хранящихся в данном домене. Общие характеристики для всех доменов таковы: Все объекты сети существуют в рамках того домена, в котором они были включены. Границами домена определяются границы безопасности. Доступ к объектам домена осуществляется в базе "списки управления доступом" (ACL - access control list), в которых содержится информация о разрешениях на каждый объект домена. Эти разрешения определяют, к примеру, каким пользователям разрешен доступ к конкретному объекту в сети и какие права каждого пользователя на данный объект. Деревом (tree) называется группировка или иерархическая структура одного или нескольких доменов использующая общие пространство имен Active Directory. Формируется дерево путем введения нескольких дочерних доменов в состав родительского или корневого домена. Иерархичность структуры имен сохраняется путем добавление нового имени в иерархии имен путем разделения от корневого имени через точку. Если у нас корневой домен rk.com, то дочерние домены второго уровня arctida.rk.com и office.rk.com. А домен третьего уровня в нашей иерархии с соблюдением пространства имен будет домен roga.arctida.rk.com. Создание в рамках дерева иерархической структуры позволяет нам поддерживать на должном уровне безопасность и выполнять административные функции по управлению доменов в масштабе, как подразделения, так и отдельного домена, входящего в дерево. Дерево легко подается модификации. Лесом (forest) называется группировка или иерархическая система, состоящая из одного или нескольких полностью независимых друг от друга деревьев доменов. Имена в иерархии имен DNS бывают смежными (contiguous) или несмежными (discontiguous). То есть если мы имеем дерево, то имена смежные и прорастают от одного корня (родителя). Если лес то имена несмежные. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory. Характеристики леса: Все домены в составе леса построены на основе общей схемы. Общая конфигурация доверительных отношений. Все домены в лесу автоматически сконфигурированы так, чтобы доверять всем другим доменам леса. Все домены леса связаны неявными двухсторонними транзитивными отношениями. Структура имен деревьев леса различаются в соответствие с доменами. Домены в составе леса функционируют независимо друг от друга, но в то же время лес позволяет обмениваться информацией между любыми доменами (в независимости от дерева, в котором он состоит) в пределах всей организации, которой принадлежит лес. 50 39. Физическая структура Active Directory. Сайты, подсети, контроллеры домена. Физические компоненты Active Directory - это узлы (сайты) и контроллеры домена. Эти компоненты применяются для разработки структуры каталога, отражающей физическую структуру организации, которая, в свою очередь, влияет на создание сайтов для компании. Физическое проявление службы Active Directory состоит в наличии отдельного файла данных, расположенного на каждом контроллере домена. Физическая реализация службы Active Directory описывается местоположением контроллеров домена, на которых расположена служба. При реализации службы Active Directory можно добавлять столько контроллеров доменов, сколько необходимо для поддержания служб каталога в данной организации. Имеется пять определенных ролей, которые может играть каждый из контроллеров домена. Они известны как роли хозяина операций (operations master roles). Еще одна роль, которую может выполнять любой отдельный контроллер домена в домене, связана с глобальным каталогом (GC -Global Catalog). Контроллер домена - это компьютер, на котором установлен Windows Server 2003, и который поддерживает копию базы данных службы Active Directory. Все данные базы данных службы Active Directory хранятся в отдельном файле Ntds.dit на контроллере домена. Этот файл данных по умолчанию находится в папке %SystemRoot%\NTDS, расположенной на контроллере домена. В нем хранится вся информация каталога, предназначенная для данного домена, а также данные, являющиеся общими для всех контроллеров домена в данной организации или предприятии. Такое обозначение как %SystemRoot% надо понимать как, та директория (папка), в которой мы установили Windows Server 2003. По умолчанию (если мы в процессе инсталляции ничего не меняли) это директория под именем Windows. Вторая копия файла Ntds.dit находится в папке %SystemRoot%\System32. Эта версия файла - поставляемая копия (копия, заданная по умолчанию) базы данных каталога, она используется для установки службы Active Directory. Этот файл копируется на сервер во время установки Microsoft Windows Server 2003, чтобы сервер можно было назначать контроллером домена без необходимости обращаться к инсталляционной среде. Во время выполнения мастера инсталляции Active Directory файл Ntds.dit копируется из папки System32 в папку NTDS. Затем копия, сохраненная в папке NTDS, становится действующей копией хранилища данных каталога. Если это не первый контроллер домена в домене, то файл будет обновлен из других контроллеров домена через процесс репликации. Компьютерная сеть любой большой компании (предприятии, фирме), как правило, состоит из некоторого количества сетей или скажем совокупности сетей, соединенных между собой. Один из важных параметров сетей есть их пропускная способность. Недостаточная пропускная способность отдельных сетей нашей компании может стать причиной при регистрации пользователей в сети, при поиске объектов в сети, а так же при репликации, и другое. В зависимость от пропускной способности коммуникационных линий что образуют компьютерные сети, сетевой администратор делит вычислительную сеть компании (предприятия) на области, которые получили такое название как сайт. Сайт (site) или узел представляет собой часть от общей сети предприятия. Сайты сведены между собой. Получается, что сайт - это группа компьютеров в одной или нескольких IP- подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Также нет связи между диапазоном IP-адресов сайта и пространством имен домена. 51 Сайты являются самостоятельными образования и не зависят (не связаны) с доменной структуры предприятия или сети. Хотя сетевой администратор может использовать домены для регулирования трафика репликации, зачастую структура сайтов не отображается на структуру доменов. Сайты не являются частью пространства имен каталога Active Directory, они лишь характеризуют его физическую структуру. Это означает что принадлежность объекта (компа) к тому или иному сайту не зависит (не связан) с его положением (местонахождением) в Active Directory. Выбор того или иного сайта определяется прежде всего, тем, в какой подсети физически находятся данный объект. На сайтах содержится только такие объекты как компьютеры и соединения, причем последние применяются при настройке межсайтовой репликации. Подсеть Active Directory - объект, позволяющий определять принадлежность компьютеров к тому или иному сайту. Подсеть описывает отдельную IP-сеть и связывает ее с сайтом Active Directory, таким образом, при регистрации компьютера в домене можно сказать, в каком сайте он находится. Это позволяет обслуживать пользователей компьютера тому контроллеру домена, который находится к ним ближе всего. В большинстве случаев экземпляры сайтов в Active Directory физически распола- гаются в подсети, отдельной от других сайтов. Эта идея вытекает из того факта, что топология сайтов чаще всего повторяет, или должна повторять, физическую сетевую инфраструктуру среды. 52 40. Роли хозяина/мастера операций на уровне леса Active Directory. 1 вариант: Доменом называется группа компьютеров в сети, имеющих общую политику безопасности. Домены, использующие единое пространство имен DNS, единую схему и топологию репликации, образуют дерево доменов. Домены в дереве имеют общий глобальный каталог, связаны между собой доверительными отношениями Kerberos. Группа деревьев, использующих общую схему и глобальный каталог, корневые домены которых связаны доверительными отношениями Kerberos, образует лес деревьев. В каждом лесу Active Directory существует лишь одна схема, которая может реплицироваться на каждый контроллер домена в лесу. Поэтому, если нужно в организации развернуть несколько приложений, которые могут создать конфликты в схеме Active Directory, целесообразно развѐртывать и поддерживать два отдельных леса. Для уровня леса Active Directory предусмотрены две роли мастеров операций, а именно: Мастер схемы - отвечает за все изменения, которые вносятся в схему леса Active Directory. Контроллер домена, отвечающий за данную роль должен быть единственным во всем лесу, а все остальные контроллеры домена будут содержать лишь реплики схемы леса только для чтения. То есть, при внесении любых изменений в схему AD вручную или при установке приложений, которые изменяют схему, администратору нужно выполнять изменения на контроллере домена, который управляет данной ролью. Для внесения изменений администратор должен подключиться к мастеру схемы и должен входить в группу безопасности «Администраторы схемы». После обновления схемы она реплицируется с мастера схемы на все остальные контроллеры домена. При попытке модификации схемы не на контроллере домена, выполняющем роль мастера схемы, действие обычно завершается отказом и нужно после внесения изменений в схеме переслать их на контроллер домена с ролью мастера схемы. В свою очередь, располагаться роль мастера схемы может на любом назначенном для этой цели контроллере домена в лесу. Роль мастера именования доменов предназначена для выполнения следующих операций: добавление и удаление доменов, добавление и удаление перекрѐстных ссылок, добавление и удаление разделов каталогов приложений, подтверждение инструкций переименования доменов. По умолчанию, роль мастера именования доменов получает первый контроллер домена в новом лесу. Идентифицируется мастер схемы значением атрибута fSMORoleOwner в контейнере Partitions. 2 вариант: Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу (роли, действующие в границах леса): Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно. Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, то добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру. 53 41. Роли хозяина/мастера операций на уровне домена Active Directory. 1 вариант: Мастер относительных идентификаторов RID используется для управления пулом идентификаторов RID с целью генерирования идентификаторов безопасности (SID) для таких принципалов безопасности как пользователи, группы и компьютеры, а также за перемещение объектов из одного домена в другой. Идентификатор SID принципала безопасности должен быть уникальным для всего домена, поэтому каждому принципалу безопасности присваивается уникальный идентификатор безопасности SID, который содержит идентификатор домена и относительный идентификатор RID, который является уникальным для каждого принципала безопасности. Во всех идентификаторах SID присутствуют четыре различных элемента. Переместить эту роль можно при помощи оснастки «Active Directory – пользователи и компьютеры» или средствами утилиты Ntdsutil.exe. Мастер RID идентифицируется значением атрибута fSMORoleOwner в объекте класса rIDManager в разделе Domain. Эмулятор главного контроллера домена выполняет функции основного контроллера домена для обеспечения обратной совместимости с операционными системами ниже Windows 2000. Эмулятор PDC выполняет следующие важные функции: участие в репликации обновлений паролей домена, управление обновлениями групповой политики в домене, выполнение функции центрального браузера домена, обеспечение главного источника времени домена. По умолчанию, роль мастера эмулятора PDC получает первый контроллер домена, установленный в лесу. Можно переместить эту роль при помощи оснастки «Active Directory – пользователи и компьютеры» или средствами утилиты Ntdsutil.exe. Мастер эмулятора PDC идентифицируется значением атрибута fSMORoleOwner в объекте класса rIDManager в корневом объекте раздела Domain. Мастер инфраструктуры подобен устройству, которое отслеживает членов группы из доменов. Мастер инфраструктуры отвечает за обновление ссылок «группа — пользователь» между доменами, обеспечивая отражение изменений имѐн объектов в информации о членствах в группах, локализованных в домене. Мастер инфраструктуры поддерживает обновляемый список таких ссылок, а затем реплицирует эту информацию на все контроллеры в домене. Роль мастера инфраструктуры не должна выполняться контроллером домена, который является сервером глобального каталога. В противном случае мастер инфраструктуры не будет обновлять сведения об объектах, так как он не содержит ссылок на объекты, которые не хранит. Междоменные объектные ссылки в этом домене обновляться не будут, а в журнале событий данного контроллера домена появится предупреждение. По умолчанию, эту роль получает первый контроллер домена, установленный в лесу. Переместить эту роль можно при помощи «Active Directory – пользователи и компьютеры» или средствами утилиты Ntdsutil.exe. Мастер инфраструктуры идентифицируется значением атрибута fSMORoleOwner в контейнере Infrastructure в разделе Domain. 2 вариант: Существует три роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене (общедоменные роли): Хозяин RID (Relative Identifier (RID) Master). Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан. Эмулятор основного контроллера домена (Primary Domain Controller (PDC) Emulator). Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC - регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обращение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход. Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры домена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master - передавать информацию об изменениях, внесенных в объекты, в другие домены 54 42. Планирование размещения хозяев операций в структуре AD. Если у вас один лес, один домен и один контроллер домена, то все пять ролей мастеров операций будут размещены именно на этом контроллере домена, но в целях балансировки нагрузки рекомендуется передавать роли на другие контроллеры домена. Размещайте роли мастера RID и PDC-эмулятора на одном контроллере домена. Совместное размещение этих ролей мастеров операций обусловлено соображениями балансировки нагрузки. Поскольку эти роли прямые партнѐры по репликации, разместив эти роли на отдельных контроллерах домена, придѐтся для соответствующих двух систем устанавливать быстрое подключение и в Active Directory для них создавать явные объекты. Помимо этого, если в организации присутствуют серверы, играющие роли резервных мастеров операций, на таких серверах эти роли также обязаны быть прямыми партнѐрами; Хозяин RID должен быть доступен для всех контроллеров домена через подключение по удаленному запросу процедуры (RPC). Когда контроллеру домена потребуется больше идентификаторов RID, он будет использовать RPC-подключение, чтобы запросить их у хозяина RID. Размещайте роли мастеров схемы и именования доменов на одном контроллере домена. Как правило, роли мастера схемы и мастера именования доменов рекомендуется размещать на одном контроллере домена, который служит сервером глобального каталога. Роль мастера именования доменов, должна одновременно являться сервером глобального каталога, потому что при добавлении нового домена, мастер должен гарантировать, что в лесу нет объекта с тем же именем, что и у нового добавляемого домена. Если же контроллер домена с ролью мастера именования доменов не будет являться сервером глобального каталога, такие операции как создание внучатых доменов могут завершаться с ошибками. В связи с тем, что эти роли используются реже всего, стоит проследить, чтобы контроллер домена, который ими управляет, был максимально защищѐн; |