Základné pojmy Active Directory

servis Aktívny adresár

Rozšíriteľná a škálovateľná adresárová služba Aktívne Adresár (Active Directory) umožňuje efektívne spravovať sieťové zdroje.

Aktívne Adresár je hierarchicky usporiadané úložisko údajov o sieťových objektoch, ktoré poskytuje pohodlné prostriedky na vyhľadávanie a používanie týchto údajov. Počítač beží Active Adresár, tzv radič domény . OD Aktívny adresártakmer všetky administratívne úlohy.

Technológia Active Directory je založená na štandarde Internetové protokoly a pomáha jasne definovať štruktúru siete.

Active Directory a DNS

AT Aktívne riaditeľrpoužíva sa systém doménových mien.

doménanázov System , (DNS) je štandardná internetová služba, ktorá organizuje skupiny počítačov do domén.DNS domény majú hierarchickú štruktúru, ktorá tvorí základ internetu. rôzne úrovne Táto hierarchia identifikuje počítače, organizačné domény a domény najvyššej úrovne. DNS slúži napríklad aj na rozlíšenie názvov hostiteľov z eta.webwork.com na číselné adresy IP, napríklad 192.168.19.2. Pomocou DNS môže byť hierarchia domény Active Directory vpísaná do internetového priestoru alebo ponechaná nezávislá a izolovaná od vonkajšieho prístupu.

Na prístup k zdrojom v Doména používa plne kvalifikovaný názov hostiteľa, napríklad zeta.webatwork.com. Tuzetaje názov jednotlivého počítača, webová práca je doménou organizácie a com je doména najvyššej úrovne. Domény najvyššej úrovne tvoria základ hierarchie DNS, a preto sa nazývajú koreňové domény (koreňové domény). Sú usporiadané geograficky, s názvami založenými na dvojpísmenových kódoch krajín (enpre Rusko) podľa typu organizácie (bunka pre komerčné organizácie) a po dohode ( mil pre vojenské organizácie).

bežné domény ako microsoft.com, volal rodičovský (materská doména), pretože tvoria základ organizačnej štruktúry. Nadradené domény možno rozdeliť na subdomény rôznych oddelení alebo vzdialených pobočiek. Napríklad úplný názov počítača v pobočke spoločnosti Microsoft v Seattli môže byť jacob.seattle.microsoft.com , kde jakob- názov počítača, seAltle - subdoména a microsoft.com je nadradená doména. Ďalší názov subdomény - podradená doména (podradená doména).

Komponenty Aktívne Adresár

Active Directory zjednocuje fyzickú a logickú štruktúru sieťových komponentov. Logické štruktúry Active Directory pomáhajú organizovať adresárové objekty a spravovať sieťové účty a zdieľané položky. Logická štruktúra je nasledujúce prvky:

organizačná jednotka (organizačná jednotka) - podskupina počítačov, ktorá zvyčajne odráža štruktúru spoločnosti;

doména ( doména) - skupina počítačov zdieľajúcich spoločnú databázu katalógu;

strom domén (domény strom) - jedna alebo viac domén zdieľajúcich súvislý menný priestor;

doménový les - jeden alebo viac stromov, ktoré zdieľajú informácie o adresári.

Fyzické prvky pomáhajú plánovať skutočnú štruktúru siete. Na základe fyzických štruktúr sa vytvárajú sieťové prepojenia a fyzické hranice sieťových zdrojov. Fyzická štruktúra zahŕňa nasledujúce prvky:

podsieť ( podsieť) - sieťová skupina s danou oblasťou IP adresy a sieťovú masku;

webová stránka ( stránky) jednej alebo viacerých podsietí. Stránka sa používa na nastavenie prístupu k adresárom a replikácie.

Organizačné jednotky

Organizačné jednotky (OU) sú podskupiny v rámci domén, ktoré často odrážajú funkčnú štruktúru organizácie. PU sú akési logické kontajnery, ktoré hosťujú účty, zdieľania a iné PU. Môžete napríklad vytvoriť v doméne microsoftt. com divízií zdrojov, IT, marketing. Táto schéma sa potom môže rozšíriť o detské oddelenia.

Do OP je povolené umiestňovať objekty len z nadradenej domény. Napríklad RO z domény Seattle.microsoft.com obsahujú iba objekty z tejto domény. Pridať objekty zmr. microsoft.com nemôže. OP je veľmi vhodný pri tvorbe funkčného resp obchodných štruktúr organizácií. Ale to nie je jediný dôvod ich použitia.

Operačné programy umožňujú definovať skupinovú politiku pre malú množinu zdrojov v doméne bez toho, aby sa aplikovala na celú doménu. OP vytvára kompaktné a lepšie spravovateľné reprezentácie adresárových objektov v doméne, čo pomáha efektívnejšie spravovať zdroje.

Operačné programy vám umožňujú delegovať oprávnenie a riadiť administratívny prístup k zdrojom domény, čo pomáha nastaviť limity oprávnenia správcov v doméne. Používateľovi A je možné udeliť administratívne privilégiá len pre jednu OU a zároveň používateľovi B udeliť administratívne oprávnenia pre všetky OU v doméne.

domény

doména Active Directory je skupina počítačov, ktoré zdieľajú spoločnú databázu adresárov. Názvy domén Active Directory musia byť jedinečné. Napríklad nemôžu existovať dve domény microsoft.com, ale môže existovať nadradená doména microsoft.com s podriadenými doménami seattle.microsoft.com a my.microsoft.com. Ak je doména súčasťou uzavretej siete, názov pridelený novej doméne nesmie byť v konflikte so žiadnym z existujúcich názvov domén v tejto sieti. Ak je doména súčasťou globálneho internetu, jej názov by nemal byť v konflikte so žiadnym z existujúcich názvov domén na internete. Aby boli názvy na internete jedinečné, názov nadradenej domény musí byť zaregistrovaný prostredníctvom ktoréhokoľvek autorizovaného registrátora.

Každá doména má svoje vlastné bezpečnostné zásady a dôverný vzťah s inými doménami. Domény sú často distribuované na viacerých fyzických miestach, to znamená, že pozostávajú z viacerých lokalít a lokality zahŕňajú viacero podsietí. Databáza doménových adresárov ukladá objekty, ktoré definujú účty pre používateľov, skupiny a počítače, ako aj zdieľané prostriedky, ako sú tlačiarne a priečinky.

Funkcie domény sú obmedzené a regulované spôsobom jej fungovania. Existujú štyri funkčné režimy domén:

zmiešané režim Windows 2000 (zmiešaný režim) - podporuje radiče domény so systémom Windows NT 4.0, Wi ndows 2000 a Windows server 2003;

Natívny režim Windows 2000 (natívny režim) - podporuje radiče domény so systémom Windows 2000 a Windows server 2003;

stredný režim Windows server 2003 ( dočasný režim) - podporuje spustené radiče domény Windows NT 4.0 a Windows server 2003;

režim Windows Server 2003 - Podporuje radiče domény so systémom Windows Server 2003.

Lesy a stromy

Každá doména Aktívne AdresárDNS- zadajte názov microsoft.com. Domény, ktoré zdieľajú údaje adresára, tvoria les. Názvy domén domén v hierarchii názvov DNS sú nesúvislý(nespojitý) príp súvisiace(nepretržité).

Domény, ktoré majú súvislú štruktúru názvov, sa nazývajú strom domén. Ak majú domény lesa nesúvislé názvy DNS, tvoria samostatné stromy domén v lese. Do lesa môžete zahrnúť jeden alebo viac stromov. Konzola je určená na prístup k doménovým štruktúram.Aktívne Adresár- domény a dôveryhodnosť (AktívneAdresár doménya trusty).

Funkcie lesov sú obmedzené a regulované funkčným režimom lesa. Existujú tri takéto režimy:

Windows 2000 - Podporuje radiče domény so systémom Windows NT 4.0, Windows 2000 a Windows server 2003;

medziprodukt ( dočasný) Windows server 2003 - podporuje radiče domény so systémom Windows NT 4.0 a Windows Server 2003;

Windows Server 2003 - Podporuje radiče domény so systémom Windows Server 2003.

Najpokročilejšie funkcie služby Active Directory sú dostupné v režime Windows Server 2003. Ak sú všetky domény v lese spustené v tomto režime, môžete si vychutnať vylepšenú replikáciu globálneho katalógu a efektívnejšiu replikáciu údajov služby Active Directory. Môžete tiež zakázať triedy a atribúty schém, použiť dynamické pomocné triedy, premenovať domény a vytvoriť jednosmerné, obojsmerné a prechodné dôveryhodnosti v lese.

Stránky a podsiete

webové stránky je skupina počítačov v jednej alebo viacerých podsieťach IP používaných na plánovanie fyzickej štruktúry siete. Plánovanie lokality prebieha nezávisle od logickej štruktúry domény. Služba Active Directory vám umožňuje vytvoriť viacero lokalít v rámci jednej domény alebo jednu lokalitu zahŕňajúcu viacero domén.

Na rozdiel od lokalít, ktoré môžu pokrývať viacero oblastí adries IP, podsiete majú nastavenú oblasť adries IP a masku siete. Názvy podsietí sú špecifikované vo formáte sieť/bitová maska, napríklad 192.168.19.0/24, kde sieťová adresa 192.168.19.0 a maska ​​siete 255.255.255.0 sú spojené do názvu podsiete 192.168.19.0/24.

Počítače sú priradené k lokalitám na základe ich umiestnenia v podsieti alebo skupine podsietí. Ak sú počítače v podsieťach schopné komunikovať dostatočne vysokou rýchlosťou, sú tzv dobre pripojený (dobre pripojený).

V ideálnom prípade sa lokality skladajú z dobre prepojených podsietí a počítačov. Ak je návštevnosť medzi podsieťami a počítačmi nízka, možno budete musieť vytvoriť viacero lokalít. Dobrá komunikácia dáva stránkam určité výhody.

Keď sa klient pripojí k doméne, proces autentifikácie najskôr vyhľadá lokálny radič domény na lokalite klienta, t. j. ak je to možné, najprv sa dopytuje na lokálne radiče, čo obmedzuje sieťovú prevádzku a zrýchľuje autentifikáciu.

Informácie z adresára sa replikujú častejšie vnútri lokality než medzi stránky. To znižuje sieťovú premávku spôsobenú replikáciou a zaisťuje, že lokálne radiče domény dostanú aktualizované informácie rýchlo.

Môžete prispôsobiť poradie, v ktorom sa pomocou replikujú údaje adresára odkazy na stránky (odkazy na stránky). Napríklad definovať predmostí server (predmostí ) na replikáciu medzi lokalitami.

Prevažná časť záťaže z replikácie medzi lokalitami pripadne na tento špecializovaný server a nie na žiadny dostupný server stránky. Stránky a podsiete sú nakonfigurované v konzole Aktívny adresár- stránky a služby(Stránky a služby Active Directory).

Práca s doménami Aktívny adresár

Online Windows server 2003 servis AktívneAdresárnakonfigurovaný v rovnakom časeDNS. Domény služby Active Directory a domény DNS však majú rôzne účely. Domény Active Directory pomáhajú spravovať účty, zdroje a zabezpečenie.

Hierarchia domén DNS slúži predovšetkým na rozlíšenie mien.

Služby Active Directory môžu naplno využívať počítače so systémom Windows XP Professional a Windows 2000. V sieti fungujú ako klienti služby Active Directory a majú prístup k prechodným dôveryhodnostiam, ktoré existujú v strome domény alebo v lese. Tieto vzťahy umožňujú autorizovaným užívateľom pristupovať k prostriedkom v akejkoľvek doméne v lese.

Systém Windows Server 2003 funguje ako radič domény alebo ako členský server. Členské servery sa stanú radičmi, keď je nainštalovaný Active Directory; Po odstránení služby Active Directory sa radiče degradujú na členské servery.

Vykonajú sa oba procesy Sprievodca inštaláciou služby Active Directory. Doména môže mať viacero radičov. Replikujú dáta adresára medzi sebou pomocou multi-master replikačného modelu, ktorý umožňuje každému radiču spracovať zmeny v adresári a potom ich šíriť do iných radičov. Vzhľadom na štruktúru viacerých riadiacich jednotiek majú všetky riadiace jednotky štandardne rovnakú zodpovednosť. Niektoré radiče domény však môžete uprednostniť pred ostatnými v určitých úlohách, ako je napríklad vytvorenie servera predmostie, ktorý má prioritu pri replikácii údajov adresára na iné lokality.

Niektoré úlohy sa navyše najlepšie vykonávajú na dedikovanom serveri. Volá sa server, ktorý spracováva špecifický typ úlohy veliteľ operácií (majster prevádzky).

Všetky počítače so systémom Windows 2000, Windows XP Professional a Windows Server 2003, ktoré sú pripojené k doméne, majú vytvorené a uložené kontá, podobne ako iné zdroje, ako objekty služby Active Directory. Počítačové účty sa používajú na riadenie prístupu k sieti a jej zdrojom. Skôr ako počítač získa prístup k doméne pomocou svojho účtu, musí prejsť overovacím postupom.

Adresárová štruktúra

Údaje adresára sa používateľom a počítačom poskytujú prostredníctvom Uloženie údajov (úložiská údajov) a globálne adresáre (globálnekatalógov). Hoci väčšina funkciíAktívneAdresárovplyvňujú dátový sklad, globálne katalógy (GC) sú rovnako dôležité, pretože slúžia na prihlasovanie a vyhľadávanie informácií. Ak GC nie je k dispozícii, bežní používatelia sa nebudú môcť prihlásiť do domény. Jediný spôsob, ako tento stav obísť, je lokálne ukladať členstvá do vyrovnávacej pamäte. univerzálne skupiny.

Prístup a distribúcia údajov služby Active Directory sú zabezpečené prostriedkami protokoly prístupu k adresárom (adresár prístupprotokoly) a replikácie (replikácie).

Replikácia je potrebná na distribúciu aktualizovaných údajov kontrolérom. Hlavnou metódou distribúcie aktualizácií je replikácia s viacerými hlavnými servermi, ale niektoré zmeny sa iba spracujú špecializované ovládače - prevádzkových majstrov (majstri prevádzky).

Spôsob, akým sa multimaster replikácia vykonáva v systéme Windows Server 2003, sa tiež zmenil zavedením sekcie adresárov aplikácie (aplikácieadresárpriečky). Prostredníctvom nich môžu správcovia systému vytvárať replikačné oddiely v doménovom lese, čo sú logické štruktúry používané na riadenie replikácie v doménovom lese. Môžete napríklad vytvoriť oddiel, ktorý bude spracovávať replikáciu informácií DNS v rámci domény. Ostatné systémy v doméne nemajú povolené replikovať informácie DNS.

Oddiely adresára aplikácií môžu byť detský prvok doména, potomok iného aplikačného oddielu alebo nový strom v doménovom lese. Repliky oddielov môžu byť umiestnené na ľubovoľnom radiči domény Active Directory vrátane globálnych katalógov. Hoci sú oddiely katalógu aplikácií užitočné vo veľkých doménach a lesoch, zvyšujú réžiu plánovania, správy a údržby.

Uloženie údajov

Úložisko obsahuje informácie o najdôležitejšie predmety adresárové služby Active Directory - účty, zdieľané položky, OP a skupinové politiky. Niekedy sa dátový sklad nazýva jednoducho katalóg (adresár). Na radiči domény je adresár uložený v súbore NTDS.DIT ​​​​, ktorého umiestnenie je určené počas inštalácie Active Directory (musí to byť jednotka NTFS). Niektoré katalógové údaje môžu byť uložené oddelene od hlavného úložiska, napr. skupinové politiky, skripty a ďalšie informácie zaznamenané v zdieľanom systéme SYSVOL.

Zdieľanie informácií o adresári sa nazýva zverejnenie (zverejniť). Napríklad, keď sa tlačiareň otvorí na použitie v sieti, zverejní sa; zverejnené informácie o zdieľaný priečinok a tak ďalej. Radiče domény replikujú väčšinu zmien v úložisku spôsobom s viacerými hlavnými servermi. Správca malej alebo strednej organizácie zriedka spravuje replikáciu úložiska, pretože je automatická, ale dá sa nakonfigurovať podľa špecifík sieťovej architektúry.

Nie sú replikované všetky údaje adresára, ale iba:

Údaje o doméne - informácie o objektoch v doméne, vrátane objektov účtov, zdieľaní, OP a skupinových politík;

Konfiguračné údaje - informácie o topológii adresára: zoznam všetkých domén, stromov a lesov, ako aj umiestnenie radičov a serverov knihy;

Schema data - informácie o všetkých objektoch a typoch údajov, ktoré môžu byť uložené v adresári; štandardná schéma Windows Server 2003 popisuje objekty konta, zdieľané objekty a ďalšie a možno ho rozšíriť definovaním nových objektov a atribútov alebo pridaním atribútov k existujúcim objektom.

Globálny adresár

Ak miestne ukladanie členstva v univerzálne skupiny sa nevykonávajú, vstup do siete je založený na informáciách o členstve univerzálna skupina poskytuje GC.

Poskytuje tiež vyhľadávanie adresárov vo všetkých doménach v lese. ovládač, herectvo GC server ukladá úplnú repliku všetkých objektov adresára vo svojej doméne a čiastočnú repliku objektov vo zvyšku domén lesa.

Na prihlásenie a vyhľadávanie sú potrebné len niektoré vlastnosti objektu, takže je možné použiť čiastočné repliky. Na vytvorenie čiastočnej repliky potrebuje replikácia prenášať menej údajov, čo znižuje sieťovú prevádzku.

V predvolenom nastavení sa prvý radič domény stane serverom GC. Preto, ak je v doméne iba jeden radič, potom server GC a radič domény sú ten istý server. GC môžete umiestniť na iný ovládač, aby ste skrátili čas odozvy prihlásenia a urýchlili vyhľadávanie. Odporúča sa vytvoriť jeden GC v každej doménovej lokalite.

Existuje niekoľko spôsobov, ako tento problém vyriešiť. Samozrejme, môžete vytvoriť hlavný server na jednom z radičov domény vo vzdialenej kancelárii. Nevýhodou tejto metódy je zvýšenie zaťaženia servera GC, čo môže vyžadovať dodatočné zdroje a starostlivé plánovanie doby prevádzky servera.

Ďalším spôsobom, ako vyriešiť problém, je lokálne ukladať členstvo v univerzálnej skupine do vyrovnávacej pamäte. Každý radič domény však môže obsluhovať požiadavky na prihlásenie lokálne bez toho, aby kontaktoval server hlavnej knihy. To urýchľuje postup prihlásenia a uľahčuje prácu v prípade zlyhania servera hlavnej knihy. Znižuje tiež replikačnú prevádzku.

Namiesto pravidelného obnovovania celého GC v celej sieti stačí aktualizovať informácie v cache o členstve v univerzálnej skupine. V predvolenom nastavení dochádza k obnoveniu každých osem hodín na každom radiči domény, ktorý používa lokálnu vyrovnávaciu pamäť členstva v univerzálnej skupine.

Členstvo v univerzálna skupina individuálne pre každú lokalitu. Pripomeňme, že lokalita je fyzická štruktúra pozostávajúca z jednej alebo viacerých podsietí, ktoré majú individuálnu sadu adries IP a masku siete. Radiče domén Windows Server 2003 a GC, na ktoré odkazujú, musia byť na tej istej lokalite. Ak existuje niekoľko lokalít, budete musieť nastaviť lokálne ukladanie do vyrovnávacej pamäte na každej z nich. Okrem toho používatelia prihlasujúci sa na lokalitu musia byť súčasťou domény Windows Server 2003 spustenej v režime lesa Windows Server 2003.

Replikácia v Active Directory

V adresári sú uložené tri typy informácií: údaje domény, údaje schémy a konfiguračné údaje. Údaje domény sa replikujú do všetkých radičov domény. Všetky radiče domény sú si rovné, t.j. všetky zmeny vykonané z ľubovoľného radiča domény sa replikujú na všetky ostatné radiče domény. Schéma a konfiguračné údaje sa replikujú do všetkých domén v strome alebo lese. Okrem toho sú všetky jednotlivé objekty domény a niektoré vlastnosti objektov lesa replikované do GC. To znamená, že radič domény ukladá a replikuje schému pre strom alebo les, konfiguračné informácie pre všetky domény v strome alebo lese a všetky adresárové objekty a vlastnosti pre svoju vlastnú doménu.

Radič domény, ktorý je hostiteľom GL obsahuje a replikuje informácie o schéme pre les, informácie o konfigurácii pre všetky domény v lese a obmedzenú množinu vlastností pre všetky objekty adresára v lese (replikuje sa iba medzi servermi GC) a všetky adresárové objekty a vlastnosti pre vašu doménu.

Aby ste pochopili podstatu replikácie, zvážte nasledujúci scenár nastavenia novej siete.

1. V doméne A prvý ovládač je nainštalovaný. Tento server je jediným radičom domény. Je to tiež server GC. Replikácia sa v takejto sieti nevyskytuje, pretože neexistujú žiadne iné radiče.

2. V doméne Nainštaluje sa druhý radič a spustí sa replikácia. Jeden radič môžete určiť ako hlavný server infraštruktúry a druhý ako server GC. Hlavný server infraštruktúry monitoruje a požaduje aktualizácie GL pre zmenené objekty. Oba tieto radiče tiež replikujú schému a konfiguračné údaje.

3. V doméne A je nainštalovaný tretí ovládač, na ktorom nie je GC. Hlavný server infraštruktúry sleduje aktualizácie GC, požaduje ich pre zmenené objekty a potom replikuje zmeny na tretí radič domény. Všetky tri ovládače tiež replikujú schému a konfiguračné údaje.

4. Vytvorí sa nová doména B, pridajú sa do nej radiče. Servery GC v doméne A a doméne B replikujú všetky údaje schémy a konfigurácie, ako aj podmnožinu údajov domény z každej domény. Replikácia v doméne A pokračuje tak, ako je opísané vyššie, plus replikácia začína v doméne B.

AktívneAdresár a LDAP

Lightweight Directory Access Protocol (LDAP) je štandardný protokol pre internetové pripojenia cez siete TCP/IP. LDAP je navrhnutý špeciálne pre prístup k adresárovým službám s minimálnou réžiou. LDAP tiež definuje operácie používané na dopytovanie a úpravu informácií o adresári.

klientov Služba Active Directory používa protokol LDAP na komunikáciu s počítačmi so službou Active Directory vždy, keď sa prihlásia do siete alebo vyhľadajú zdieľané položky. LDAP zjednodušuje priradenie adresárov a migráciu do Active Directory z iných adresárových služieb. Na zlepšenie kompatibility môžete použiť rozhrania služby Active Directory (AktívneAdresár servis- Rozhrania, ADSI).

Roly vedúcich operácií

Hlavný operačný server vykonáva úlohy, ktoré je nepohodlné vykonávať v modeli replikácie s viacerými hlavnými servermi. Existuje päť rolí hlavného servera operácií, ktoré možno priradiť jednému alebo viacerým radičom domény. Niektoré roly musia byť jedinečné na úrovni lesa, iným stačí úroveň domény. V každej doménovej štruktúre služby Active Directory musia existovať nasledujúce roly:

Majster schémy) - spravuje aktualizácie a zmeny adresárovej schémy. Aktualizácia schémy katalógu vyžaduje prístup k hlavnému serveru schém. Ak chcete zistiť, ktorý server daný čas je master schémy v doméne, stačí otvoriť okno príkazový riadok a zadajte: dsquery server -fsmo schéma .

Majster názvov domén - spravuje pridávanie a odstraňovanie domén v lese. Ak chcete pridať alebo odstrániť doménu, vyžaduje sa prístup k hlavnému serveru názvov domén. Ak chcete zistiť, ktorý server je momentálne hlavným serverom názvov domén, jednoducho zadajte do okna príkazového riadka: dsquery server -fsmo názov .

Tieto úlohy, ktoré sú spoločné pre les ako celok, musia byť v rámci neho jedinečné.

Nasledujúce roly sú povinné v každej doméne Active Directory.

Relatívny hlavný ID (relatívny hlavný ID) - prideľuje relatívne identifikátory radičom domény. Zakaždým, keď vytvoríte užívateľský objekt, skupinu alebo počítaču, radiče priradia objektu jedinečné SID pozostávajúce z SID domény a jedinečného identifikátora, ktorý bol pridelený relatívnym hlavným identifikátorom. Ak chcete zistiť, ktorý server je momentálne hlavným relatívnym identifikátorom v doméne, stačí zadať do okna príkazového riadka: dsqueryserver-fsmozbaviť.

Emulátor PDC (emulátor PDC) - V režime zmiešanej alebo postupnej domény funguje ako primárny radič domény Windows NT. Overuje prihlásenia Windows NT, spracováva zmeny hesiel a replikuje aktualizácie do P DC. Ak chcete zistiť, ktorý server je momentálne emulátorom PDC v doméne, stačí zadať do okna príkazového riadka dsquery server - hasfsmo pdc.

Hostiteľ infraštruktúry (infraštruktúra majster ) - aktualizuje prepojenia objektov, porovnáva údaje svojho katalógu s údajmi hlavnej knihy. Ak sú údaje zastarané, požiada GC o aktualizácie a replikuje ich na zvyšok radičov domény. Ak chcete zistiť, ktorý server je momentálne hlavným serverom infraštruktúry v doméne, stačí v okne príkazového riadku zadať dsqueryserver -hasfsmo infr .

Tieto roly, ktoré sú spoločné pre celú doménu, musia byť v rámci nej jedinečné. Inými slovami, môžete nakonfigurovať iba jeden relatívny hlavný server ID, jeden emulátor PDC a jeden hlavný server infraštruktúry na doménu.

Roly hlavného operačného servera sa zvyčajne prideľujú automaticky, ale je možné ich priradiť znova. Keď je nainštalovaná nová sieť, všetky roly hlavného operačného servera sa priradia prvému radiču domény v prvej doméne. Ak sa neskôr v novom strome vytvorí nová dcérska doména alebo koreňová doména, roly hlavného operačného servera sa tiež automaticky priradia prvému radiču domény. V novom doménovom lese sú radiču domény priradené všetky roly hlavného operačného servera. Ak sa v tej istej doméne vytvorí nová doména, jej radiču sú priradené roly hlavného relatívnych identifikátorov, emulátora P.DC a majstra infraštruktúry. Roly hlavného servera schém a hlavného servera názvov domén zostávajú v prvej doméne v lese.

Ak je v doméne iba jeden radič, vykonáva všetky úlohy hlavných operácií. Ak je v sieti iba jedna lokalita, predvolené umiestnenie hlavných operácií je optimálne. Keď sa však pridávajú radiče domény a domény, niekedy je potrebné presunúť úlohy hlavného servera operácií na iné radiče domény.

Ak sú v doméne dva alebo viac radičov domény, odporúčame vám nakonfigurovať dva radiče domény, ktoré budú slúžiť ako hlavné operácie. Napríklad určte jeden radič domény ako primárny operačný hlavný server a druhý ako záložný, ktorý bude potrebný, keď primárny zlyhá.

Administrácia Aktívny adresár

CPomocou služby Active Directory sa vytvárajú účty počítačov, sú pripojené k doméne a spravujú sa počítače, radiče domény a organizačné jednotky (OU).

Na správu služby Active Directory sú k dispozícii nástroje na správu a podporu. Nástroje uvedené nižšie sú implementované ako moduly snap-in konzoly MMC (Microsoft zvládanieKonzola):

Používatelia a počítače služby Active Directory (Active Directory Používatelia a počítačov) umožňuje spravovať používateľov, skupiny, počítače a organizačné jednotky (OU);

Aktívne Adresár- domény a dôveryhodnosť ( Aktívne Adresár doménya Trusty ) slúži na prácu s doménami, doménovými stromami a doménovými lesmi;

Aktívny adresár- stránky aslužby (Stránky a služby Active Directory) umožňuje spravovať lokality a podsiete;

Výsledný politika (Výsledný súbor zásad používa sa na zobrazenie aktuálnej používateľskej alebo systémovej politiky a na plánovanie zmien politiky.

AT Microsoft Windows 2003 Server má prístup k týmto modulom snap-in priamo z ponuky Nástroje na správu.

Ďalším administračným nástrojom je snap Schéma AktívneAdresár (Aktívne Adresár schému) - umožňuje spravovať a upravovať adresárovú schému.

Pomôcky príkazového riadku Aktívne Adresár

Na správu objektov Aktívne Adresár existujú nástroje príkazového riadka, ktoré vám umožňujú vykonávať širokú škálu administratívnych úloh:

DSADD - dodáva Aktívne Adresár počítače, kontakty, skupiny, OP a používatelia.

DSGET - zobrazuje vlastnosti počítačov, kontaktov, skupín, organizačných jednotiek, používateľov, lokalít, podsietí a serverov zaregistrovaných v Aktívne Adresár.

DSMOD - mení vlastnosti počítačov, kontaktov, skupín, PO, používateľov a serverov zaregistrovaných Aktívne Adresár.

DSMOVE - Presunie jeden objekt na nové miesto v rámci domény alebo premenuje objekt bez toho, aby ho presunul.

DSQXJERY - hľadá počítače, kontakty, skupiny, PO, používateľov, stránky, podsiete a servery v Aktívne Adresár podľa daných kritérií.

DSRM - odstraňuje predmet z Aktívne Adresár.

NTDSUTIL - umožňuje vám zobraziť informácie o stránke, doméne alebo serveri, spravovať prevádzkových majstrov (operácií majstrov) a slúži databázeAktívne Adresár.

Každý začínajúci používateľ, ktorý čelí skratke AD, sa pýta, čo je to Active Directory? Active Directory je adresárová služba vyvinutá spoločnosťou Microsoft pre doménu Siete Windows. Zahrnuté vo väčšine operačných systémov Windows Server, ako súbor procesov a služieb. Spočiatku sa služba zaoberala iba doménami. Od systému Windows Server 2008 sa však AD stalo názvom pre širokú škálu služieb identity založených na adresároch. Vďaka tomu je Active Directory pre začiatočníkov optimálnejší na učenie.

Základná definícia

Server, na ktorom sú spustené služby domény Active Directory, sa nazýva radič domény. Overuje a autorizuje všetkých používateľov a počítače v sieťovej doméne Windows, priraďuje a aplikuje bezpečnostnú politiku na všetky počítače a inštaluje alebo aktualizuje softvér. Napríklad, keď sa používateľ prihlási do počítača pripojeného k doméne Windows, Active Directory overí poskytnuté heslo a určí, či je objekt správcom systému alebo bežný používateľ. Umožňuje vám tiež spravovať a ukladať informácie, poskytuje autentifikačné a autorizačné mechanizmy a poskytuje rámec pre nasadenie ďalších súvisiacich služieb: certifikačné služby, federatívne a zjednodušené adresárové služby a správu práv.

Active Directory používa LDAP verzie 2 a 3, verziu Kerberos od spoločnosti Microsoft a DNS.

Active Directory - čo to je? Jednoducho povedané o komplexe

Sledovanie sieťových údajov je časovo náročná úloha. Dokonca aj v menších sieťach majú používatelia tendenciu nájsť sieťové súbory a tlačiarne. Bez určitého druhu adresára nie je možné spravovať stredné až veľké siete a často majú problém nájsť zdroje.

Predchádzajúce verzie Microsoft Windows zahrnuté služby, ktoré pomáhajú používateľom a správcom nájsť údaje. Network Neighborhood je užitočný v mnohých prostrediach, ale zjavnou nevýhodou je nepohodlné rozhranie a jeho nepredvídateľnosť. WINS Manager a Server Manager možno použiť na zobrazenie zoznamu systémov, ale neboli dostupné pre koncových používateľov. Správcovia používali Správcu používateľov na pridávanie a odstraňovanie údajov úplne iného typu sieťového objektu. Tieto aplikácie sa ukázali ako neefektívne pre veľké siete a vyvolávali otázku, prečo práve v spoločnosti Active Directory?

Adresár v najvšeobecnejšom zmysle je úplný zoznam predmety. Telefónny zoznam je typ adresára, v ktorom sú uložené informácie o ľuďoch, firmách a vládnych organizáciách azvyčajne obsahujú mená, adresy a telefónne čísla. premýšľal Active Directory - čo to je, jednoduchými slovami môžeme povedať, že táto technológia je podobná referenčnej knihe, ale je oveľa flexibilnejšia. AD ukladá informácie o organizáciách, lokalitách, systémoch, používateľoch, zdieľaných zložkách a akomkoľvek inom sieťovom objekte.

Úvod do základných pojmov Active Directory

Prečo organizácia potrebuje Active Directory? Ako bolo spomenuté v úvode Active Directory, služba ukladá informácie o sieťových komponentoch. Sprievodca "Active Directory pre začiatočníkov" hovorí, že je to tak umožňuje klientom nájsť objekty v ich mennom priestore. Toto t termín (nazývaný aj strom konzoly) označuje oblasť, v ktorej sa môže nachádzať sieťový komponent. Napríklad obsah knihy vytvára priestor názvov, v ktorom môžu byť kapitoly mapované na čísla strán.

DNS je strom konzoly, ktorý prekladá názvy hostiteľov na IP adresy, ako naprtelefónne zoznamy poskytujú priestor mien na rozlíšenie mien pre telefónne čísla. A ako sa to deje v Active Directory? AD poskytuje strom konzoly na rozlíšenie názvov sieťových objektov na samotné objekty adokáže vyriešiť širokú škálu objektov vrátane používateľov, systémov a služieb v sieti.

Objekty a atribúty

Čokoľvek, čo Active Directory sleduje, sa považuje za objekt. Jednoduchými slovami môžete povedať, že toto v Active Directory je ľubovoľný používateľ, systém, zdroj alebo služba. Bežné pojmy objekt sa používajú, pretože AD dokáže sledovať mnoho prvkov a mnohé objekty môžu zdieľať spoločné atribúty. Čo to znamená?

Atribúty popisujú objekty v Active Directory, napríklad všetky používateľské objekty zdieľajú atribúty na uloženie mena používateľa. To platí aj pre ich popisy. Systémy sú tiež objekty, ale majú samostatnú sadu atribútov, ktorá zahŕňa názov hostiteľa, IP adresu a umiestnenie.

Množina atribútov dostupných pre akýkoľvek konkrétny typ objektu sa nazýva schéma. Odlišuje od seba triedy objektov. Informácie o schéme sú v skutočnosti uložené v Active Directory. To, že toto správanie bezpečnostného protokolu je veľmi dôležité, je skutočnosť, že schéma umožňuje správcom pridávať atribúty do tried objektov a distribuovať ich cez sieť do všetkých kútov domény bez reštartovania akýchkoľvek doménových radičov.

Kontajner a názov LDAP

Kontajner je špeciálny typ objektu, ktorý sa používa na organizáciu prevádzky služby. Nepredstavuje fyzickú entitu, ako je používateľ alebo systém. Namiesto toho sa používa na zoskupenie iných prvkov. Objekty kontajnera môžu byť vnorené do iných kontajnerov.

Každý prvok v AD má meno. Nie sú to tie, na ktoré ste zvyknutí napríklad Ivan či Oľga. Toto sú charakteristické názvy LDAP. Rozlišovacie názvy LDAP sú zložité, ale umožňujú vám jednoznačne identifikovať akýkoľvek objekt v adresári bez ohľadu na jeho typ.

Strom pojmov a webová stránka

Termín strom sa používa na opis množiny objektov v Active Directory. Čo je toto? Zjednodušene sa to dá vysvetliť pomocou asociácie stromu. Keď sú kontajnery a objekty hierarchicky kombinované, majú tendenciu vytvárať vetvy - odtiaľ názov. Súvisiacim pojmom je súvislý podstrom, ktorý označuje neprerušený hlavný kmeň stromu.

Pokračujúc v metafore, výraz „les“ opisuje kolekciu, ktorá nie je súčasťou rovnakého menného priestoru, ale zdieľa spoločnú schému, konfiguráciu a globálny katalóg. Objekty v týchto štruktúrach sú dostupné všetkým používateľom, ak to bezpečnosť umožňuje. Organizácie, ktoré sú rozdelené do viacerých domén, by mali zoskupiť stromy do jedného lesa.

Lokalita je geografická poloha definovaná v Active Directory. Lokality zodpovedajú logickým podsieťam IP a ako také ich môžu aplikácie použiť na nájdenie najbližšieho servera v sieti. Používanie informácií o lokalite zo služby Active Directory môže výrazne znížiť návštevnosť siete WAN.

Správa Active Directory

Active Directory snap-in komponent - Používatelia. Toto je najpohodlnejší nástroj na správu Active Directory. Je priamo prístupný z programovej skupiny Nástroje na správu v ponuke Štart. Nahrádza a vylepšuje Server Manager a User Manager z Windows NT 4.0.


Bezpečnosť

Active Directory hrá dôležitú úlohu v budúcnosti sietí Windows. Správcovia musia byť schopní chrániť svoj adresár pred votrelcami a používateľmi a zároveň delegovať úlohy na iných správcov. Toto všetko je možné pomocou bezpečnostného modelu Active Directory, ktorý priraďuje zoznam riadenia prístupu (ACL) ku každému atribútu kontajnera a objektu v adresári.

Vysoký stupeň ovládanie umožňuje správcovi udeľovať jednotlivým užívateľom a skupinám rôzne úrovne oprávnení k objektom a ich vlastnostiam. Môžu dokonca pridávať atribúty k objektom a skryť tieto atribúty pred určitými skupinami používateľov. Môžete napríklad nastaviť zoznam prístupových práv tak, aby si domáce telefóny iných používateľov mohli prezerať iba manažéri.

Delegovaná správa

Novým konceptom Windows 2000 Server je delegovaná správa. To vám umožňuje prideľovať úlohy iným používateľom bez udeľovania ďalších prístupových práv. Delegovaná správa môže byť priradená prostredníctvom špecifických objektov alebo súvislých podstromov adresárov. Toto je oveľa efektívnejší spôsob udeľovania povolení naprieč sieťami.

AT cieľ pre niekoho so všetkými právami globálneho správcu domény, používateľovi môžu byť udelené povolenia iba v rámci konkrétneho podstromu. Služba Active Directory podporuje dedičnosť, takže všetky nové objekty zdedia zoznamy prístupových práv svojho kontajnera.

pojem "dôvera"

Termín "dôvera" sa stále používa, ale má inú funkčnosť. Nerozlišuje sa medzi jednostrannými a bilaterálnymi trustmi. Koniec koncov, všetky dôveryhodnosti Active Directory sú obojsmerné. Navyše sú všetky tranzitívne. Ak teda doména A dôveruje doméne B a doména B dôveruje doméne C, potom medzi doménou A a doménou C existuje automatický implicitný dôveryhodný vzťah.

Audit v Active Directory – čo to v jednoduchosti je? Ide o bezpečnostnú funkciu, ktorá vám umožňuje určiť, kto sa pokúša o prístup k objektom, ako aj úspešnosť tohto pokusu.

Používanie DNS (Domain Name System)

Systém, inak známy ako DNS, je nevyhnutný pre každú organizáciu pripojenú na internet. DNS poskytuje rozlíšenie názvov medzi bežnými názvami, ako je mspress.microsoft.com, a nespracovanými IP adresami, ktoré komponenty používajú sieťová vrstva pre komunikáciu.

Služba Active Directory vo veľkej miere využíva technológiu DNS na vyhľadávanie objektov. Ide o výraznú zmenu oproti predchádzajúcej prevádzke systémy Windows, ktoré vyžadujú preklad názvov NetBIOS podľa IP adries a spoliehajú sa na WINS alebo iné techniky rozlíšenia názvov NetBIOS.

Služba Active Directory funguje najlepšie pri použití so servermi DNS so systémom Windows 2000. Spoločnosť Microsoft uľahčila správcom migráciu na servery DNS systému Windows 2000 poskytnutím sprievodcov migráciou, ktorí prevedú správcu celým procesom.

Môžu sa použiť iné servery DNS. V tomto prípade však správcovia budú musieť stráviť viac času správou databáz DNS. Aké sú nuansy? Ak sa rozhodnete nepoužívať servery DNS systému Windows 2000, musíte zabezpečiť, aby vaše servery DNS vyhovovali novému protokolu DNS Dynamic Update Protocol. Servery sa spoliehajú na dynamickú aktualizáciu svojich záznamov, aby našli radiče domény. Nie je to pohodlné. Veď naprAk dynamická aktualizácia nie je podporovaná, databázy sa musia aktualizovať manuálne.

Domény Windows a internetové domény sú teraz plne kompatibilné. Napríklad názov ako mspress.microsoft.com identifikuje radiče domény Active Directory zodpovedné za doménu, takže každý klient s prístupom DNS môže nájsť radič domény.Klienti môžu použiť rozlíšenie DNS na vyhľadanie ľubovoľného počtu služieb, pretože servery Active Directory zverejňujú zoznam adries pre DNS pomocou nových funkcií dynamickej aktualizácie. Tieto údaje sú definované ako doména a zverejnené prostredníctvom záznamov o zdrojoch služieb. SRV RR dodržujte formát doména.protokol služby.

Servery Active Directory poskytujú službu LDAP na hosťovanie objektu a LDAP používa TCP ako základný protokol transportnej vrstvy. Preto klient, ktorý vyhľadá server Active Directory v doméne mspress.microsoft.com, vyhľadá položku DNS pre ldap.tcp.mspress.microsoft.com.

Globálny adresár

Active Directory poskytuje globálny katalóg (GC) aposkytuje jediný zdroj na vyhľadávanie akéhokoľvek objektu v sieti organizácie.

Globálny katalóg je služba v systéme Windows 2000 Server, ktorá umožňuje používateľom nájsť akýkoľvek objekt, ktorému bol udelený prístup. Táto funkcia ďaleko presahuje Nájdite aplikácie Počítač, zahrnutý v predchádzajúcom Verzie systému Windows. Koniec koncov, používatelia môžu hľadať akýkoľvek objekt v Active Directory: servery, tlačiarne, používateľov a aplikácie.

Active Directory – Rozšíriteľná a škálovateľná adresárová služba Active Directory (Active Directory) vám umožňuje efektívne spravovať sieťové zdroje.
Aktívny adresár je hierarchicky usporiadané úložisko údajov o sieťových objektoch, ktoré poskytuje pohodlné prostriedky na vyhľadávanie a používanie týchto údajov. Počítač, na ktorom je spustená služba Active Directory, sa nazýva radič domény. Takmer všetky administratívne úlohy súvisia so službou Active Directory.
Technológia Active Directory je založená na štandardných internetových protokoloch a pomáha jasne definovať štruktúru siete, podrobnejšie informácie o tom, ako nasadiť doménu Active Directory od začiatku, si prečítajte tu ..

Active Directory a DNS

Služba Active Directory používa systém názvov domén.

Administrácia Active Directory

Pomocou služby Active Directory sa vytvárajú účty počítačov, sú pripojené k doméne a spravujú sa počítače, radiče domény a organizačné jednotky (OU).

Na správu služby Active Directory sú k dispozícii nástroje na správu a podporu. Nástroje uvedené nižšie sú implementované ako moduly snap-in konzoly MMC (Microsoft Management Console):

  • Active Directory – používatelia a počítače (Active Directory Users and Computers) umožňuje spravovať používateľov, skupiny, počítače a organizačné jednotky (OD);
  • Active Directory – domény a dôveryhodnosť (Active Directory Domains and Trusts) sa používa na prácu s doménami, stromami domén a doménovými lesmi;
  • Active Directory – lokality a služby (Active Directory Sites and Services) vám umožňuje spravovať lokality a podsiete;
  • Výsledná množina politík sa používa na zobrazenie aktuálnej politiky používateľa alebo systému a na plánovanie zmien politiky.
  • V systéme Microsoft Windows 2003 Server môžete k týmto modulom pristupovať priamo z ponuky Nástroje na správu.

Ďalší administračný nástroj – modul Active Directory Schema – vám umožňuje spravovať a upravovať adresárovú schému.

Pomôcky príkazového riadka služby Active Directory

Na správu objektov Active Directory existujú nástroje príkazového riadka, ktoré vám umožňujú vykonávať širokú škálu administratívnych úloh:

  • DSADD – pridáva počítače, kontakty, skupiny, OP a používateľov do Active Directory.
  • DSGET – zobrazuje vlastnosti počítačov, kontaktov, skupín, PO, používateľov, lokalít, podsietí a serverov registrovaných v Active Directory.
  • DSMOD – mení vlastnosti počítačov, kontaktov, skupín, PO, používateľov a serverov registrovaných v Active Directory.
  • DSMOVE - Presunie jeden objekt na nové miesto v rámci domény alebo premenuje objekt bez toho, aby ho presunul.
  • DSQXJERY - vyhľadáva počítače, kontakty, skupiny, OP, používateľov, lokality, podsiete a servery v Active Directory podľa zadaných kritérií.
  • DSRM – odstráni objekt zo služby Active Directory.
  • NTDSUTIL – umožňuje prezerať informácie o lokalite, doméne alebo serveri, spravovať hlavné operácie a udržiavať databázu Active Directory.

Keďže som dobre oboznámený s malým podnikaním zvnútra, vždy ma zaujímali nasledujúce otázky. Vysvetlite, prečo by mal zamestnanec na pracovnom počítači používať prehliadač, ktorý má rád správca systému? Alebo si vezmite akýkoľvek iný softvér, napríklad rovnaký archivátor, poštového klienta, instant messaging klient ... To hladko naznačujem štandardizáciu, a to nie na základe osobných sympatií správcu systému, ale na základe dostatočnosti funkčnosti, nákladov na údržbu a podporu týchto softvérové ​​produkty. Začnime IT považovať za exaktnú vedu, nie za remeslo, keď každý robí, čo môže. Opäť je s tým veľa problémov aj v malých podnikoch. Predstavte si, že firma v ťažkej kríze vystrieda niekoľko takýchto správcov, čo by mali chudáci užívatelia v takejto situácii robiť? Neustále sa učiť?

Pozrime sa z druhej strany. Každý líder by mal pochopiť, čo sa v súčasnosti deje v spoločnosti (vrátane IT). To je potrebné na sledovanie aktuálnej situácie, na rýchlu reakciu na vznik rôznych druhov problémov. Toto pochopenie je však dôležitejšie pre strategické plánovanie. S pevným a spoľahlivým základom môžeme postaviť dom na 3 alebo 5 poschodiach, urobiť strechu rôznych tvarov, urobiť balkóny alebo zimnú záhradu. Podobne aj v IT máme pevné základy – na riešenie biznis problémov môžeme naďalej využívať komplexnejšie produkty a technológie.

V prvom článku si povieme niečo o takejto nadácii – o službách Active Directory. Sú navrhnuté tak, aby sa stali pevným základom pre IT infraštruktúru spoločnosti akejkoľvek veľkosti a akéhokoľvek druhu podnikania. Čo to je? Poďme sa o tom porozprávať tu...

A začnime konverzáciu jednoduchými pojmami – doménovými a Active Directory službami.

doména je hlavná administratívna jednotka v sieťovej infraštruktúre podniku, ktorá zahŕňa všetky sieťové objekty, ako sú používatelia, počítače, tlačiarne, zdieľané položky a ďalšie. Zbierka takýchto domén sa nazýva les.

Active Directory Services (Active Directory Services) je distribuovaná databáza, ktorá obsahuje všetky doménové objekty. Prostredie domény Active Directory je jediným bodom autentifikácie a autorizácie pre používateľov a aplikácie v celom podniku. Práve organizáciou domény a nasadením služieb Active Directory sa začína budovanie IT infraštruktúry podniku.

Databáza Active Directory je uložená na dedikovaných serveroch – doménových radičoch. Active Directory Services je rola serverovej operačnej miestnosti. systémy Microsoft Windows server. Služba Active Directory je vysoko škálovateľná. V doméne Active Directory je možné vytvoriť viac ako 2 miliardy objektov, čo umožňuje implementovať adresárovú službu v spoločnostiach so stovkami tisíc počítačov a používateľov. Hierarchická štruktúra domén vám umožňuje flexibilne škálovať vašu IT infraštruktúru na všetky pobočky a regionálne divízie spoločností. Pre každú pobočku alebo divíziu spoločnosti môže byť vytvorená samostatná doména s vlastnými politikami, vlastnými používateľmi a skupinami. Pre každú podradenú doménu je možné delegovať administratívne oprávnenie na lokálnych systémových administrátorov. Zároveň sú podriadené domény stále podriadené nadradeným.

Okrem toho vám služby Active Directory umožňujú nastaviť vzťahy dôveryhodnosti medzi doménovými lesmi. Každá spoločnosť má svoj vlastný les domén, z ktorých každá má svoje vlastné zdroje. Niekedy však môže byť potrebné poskytnúť prístup k vašim firemným zdrojom zamestnancom inej spoločnosti – spolupracujúcim spoločné dokumenty a aplikácie v rámci spoločný projekt. Na tento účel možno medzi lesmi organizácií vytvoriť dôveryhodné vzťahy, ktoré umožnia zamestnancom jednej organizácie prihlásiť sa do domény inej.

Na zabezpečenie odolnosti voči chybám pre služby Active Directory musíte nasadiť dva alebo viac radičov domény v každej doméne. Všetky zmeny sa automaticky replikujú medzi radičmi domény. V prípade zlyhania jedného z radičov domény nie je sieť ovplyvnená, pretože ostatné naďalej fungujú. Ďalšiu vrstvu odolnosti poskytuje hosťovanie serverov DNS na radičoch domény v službe Active Directory, čo umožňuje každej doméne mať viacero serverov DNS obsluhujúcich zónu primárnej domény. A ak jeden zo serverov DNS zlyhá, zvyšok bude naďalej fungovať. O úlohe a význame DNS serverov v IT infraštruktúre si povieme v jednom z článkov seriálu.

Ale to všetko sú technické aspekty implementácie a údržby služieb Active Directory. Poďme sa porozprávať o výhodách, ktoré spoločnosť získa odklonom od sietí typu peer-to-peer pomocou pracovných skupín.

1. Jediný bod autentifikácie

AT pracovná skupina na každom počítači alebo serveri budete musieť ručne pridať úplný zoznam používateľov, ktorí potrebujú prístup k sieti. Ak si zrazu jeden zo zamestnancov bude chcieť zmeniť heslo, bude ho potrebné zmeniť na všetkých počítačoch a serveroch. No, ak sa sieť skladá z 10 počítačov, ale ak ich je viac? Pri použití domény Active Directory sú všetky používateľské účty uložené v jednej databáze a všetky počítače k ​​nej pristupujú na účely autorizácie. Všetci používatelia domény sú zaradení do príslušných skupín, napríklad "Účtovníctvo", "Finančné oddelenie". Stačí raz nastaviť povolenia pre určité skupiny a všetci používatelia dostanú príslušný prístup k dokumentom a aplikáciám. Ak príde spoločnosť nový zamestnanec, vytvorí sa mu účet, ktorý je zaradený do zodpovedajúcej skupiny - zamestnanec získa prístup ku všetkým sieťovým zdrojom, ku ktorým má mať povolený prístup. Ak zamestnanec skončí, stačí zablokovať - ​​a okamžite stratí prístup ku všetkým zdrojom (počítače, dokumenty, aplikácie).

2. Jediný bod riadenia politiky

V pracovnej skupine sú si všetky počítače rovné. Žiadny z počítačov nemôže ovládať ten druhý, je nemožné kontrolovať dodržiavanie jednotných zásad a bezpečnostných pravidiel. Pri použití jedného adresára Active Directory sú všetci používatelia a počítače hierarchicky rozmiestnení do organizačných jednotiek, z ktorých každá podlieha jednotným skupinovým politikám. Politiky vám umožňujú nastaviť jednotné nastavenia a nastavenia zabezpečenia pre skupinu počítačov a používateľov. Keď sa do domény pridá nový počítač alebo používateľ, automaticky dostane nastavenia, ktoré sú v súlade s prijatými podnikovými štandardmi. Pomocou politík môžete centrálne prideľovať používateľov sieťové tlačiarne, nainštalovať požadované aplikácie, nastaviť bezpečnostné nastavenia prehliadača, nakonfigurovať aplikácie spoločnosti Microsoft kancelária.

3. Zvýšená úroveň informačnej bezpečnosti

Používanie služieb Active Directory výrazne zlepšuje bezpečnosť siete. Po prvé, ide o jediné a bezpečné úložisko účtov. V prostredí domény sú všetky heslá pre používateľov domény uložené na dedikovaných serveroch, radičoch domény, ktoré sú zvyčajne chránené pred externým prístupom. Po druhé, pri použití doménového prostredia sa na autentifikáciu používa protokol Kerberos, ktorý je oveľa bezpečnejší ako NTLM používaný v pracovných skupinách.

4. Integrácia s podnikovými aplikáciami a zariadeniami

Veľkou výhodou služieb Active Directory je súlad so štandardom LDAP, ktorý podporujú aj iné systémy, ako sú poštové servery (Exchange Server), proxy servery (ISA Server, TMG). A nemusí ísť len o produkty Microsoftu. Výhodou tejto integrácie je, že používateľ si na prístup do konkrétnej aplikácie nemusí pamätať veľké množstvo prihlasovacích údajov a hesiel, vo všetkých aplikáciách má používateľ rovnaké prihlasovacie údaje – jeho autentifikácia prebieha v jedinom adresári Active Directory. Windows Server poskytuje integráciu Active Directory s protokolom RADIUS, ktorý je podporovaný širokou škálou sieťových zariadení. Tak je možné napríklad zabezpečiť autentifikáciu používateľov domény pri pripojení cez VPN zvonku, pomocou WiFi hotspoty prístup do spoločnosti.

5. Unified Application Configuration Store

Niektoré aplikácie ukladajú svoju konfiguráciu v Active Directory, ako napríklad Exchange Server. Nasadenie adresárovej služby Active Directory je nevyhnutným predpokladom fungovania týchto aplikácií. Ukladanie konfigurácie aplikácie v adresárovej službe je výhodné z hľadiska flexibility a spoľahlivosti. Napríklad v prípade úplného zlyhania servera Exchange zostane celá jeho konfigurácia nedotknutá. Na obnovenie funkčnosti firemná pošta, bude stačiť preinštalovať Exchange Server v režime obnovenia.

Keď to zhrniem, rád by som sa ešte raz zameral na skutočnosť, že služby Active Directory sú srdcom podnikovej IT infraštruktúry. V prípade zlyhania bude paralyzovaná celá sieť, všetky servery, práca všetkých používateľov. Nikto sa nebude môcť prihlásiť do počítača, pristupovať k svojim dokumentom a aplikáciám. Preto musí byť adresárová služba starostlivo navrhnutá a nasadená, berúc do úvahy všetky možné nuansy, napr. šírku pásma kanály medzi pobočkami alebo kanceláriami spoločnosti (od toho priamo závisí rýchlosť prihlásenia používateľa do systému, ako aj výmena údajov medzi radičmi domény).

V predchádzajúcich článkoch sme diskutovali o bežných problémoch súvisiacich s adresárovými službami a službou Active Directory. Teraz je čas prejsť na prax. Neponáhľajte sa však spustiť na server, pred nasadením štruktúry domény vo vašej sieti ju musíte naplánovať a mať jasnú predstavu o účele jednotlivé servery a interakcie medzi nimi.

Pred vytvorením prvého radiča domény sa musíte rozhodnúť o režime jeho fungovania. Režim prevádzky určuje dostupné funkcie a závisí od verzie používanej aplikácie. operačný systém. Nebudeme brať do úvahy všetky možné režimy, okrem tých, ktoré sú momentálne relevantné. Existujú tri takéto režimy: Windows Server 2003, 2008 a 2008 R2.

Režim Windows Server 2003 by ste mali vybrať len vtedy, keď sú servery v tomto OS už nasadené vo vašej infraštruktúre a plánujete použiť jeden alebo viacero z týchto serverov ako radiče domény. V ostatných prípadoch je potrebné zvoliť režim Windows Server 2008 alebo 2008 R2 v závislosti od zakúpených licencií. Malo by sa pamätať na to, že režim prevádzky domény je možné vždy zvýšiť, ale nebude možné ho znížiť (okrem obnovenia zo záložnej kópie), preto k tomuto problému pristupujte opatrne a berte do úvahy možné rozšírenia, licencie v pobočkách a pod. atď.

Nebudeme sa teraz podrobne zaoberať procesom vytvárania doménového radiča, k tejto problematike sa vrátime neskôr, ale teraz vás chceme upozorniť na skutočnosť, že v plnej Active Directory štruktúre doménových radičov by mali byť aspoň dve. V opačnom prípade sa vystavujete zbytočnému riziku, pretože v prípade zlyhania jedného radiča domény sa vaša AD štruktúra úplne zničené. Je dobré, ak je to aktuálne záložná kópia a bude možné sa z toho zotaviť, v každom prípade bude vaša sieť po celú dobu úplne paralyzovaná.

Preto ihneď po vytvorení prvého radiča domény musíte nasadiť druhý bez ohľadu na veľkosť siete a rozpočet. Druhý ovládač by mal byť poskytnutý vo fáze plánovania a bez neho sa nasadenie AD ani neoplatí. Taktiež nekombinujte rolu doménového radiča so žiadnymi inými rolami servera, aby sa zaistila spoľahlivosť operácií s AD databázou, zapisovanie do vyrovnávacej pamäte je na disku zakázané, čo vedie k prudkému poklesu výkonu disku. subsystém (toto vysvetľuje a dlhé nakladanie radiče domény).

V dôsledku toho by naša sieť mala mať nasledujúcu formu:

Na rozdiel od všeobecného presvedčenia sú všetky radiče v doméne rovnaké; každý ovládač obsahuje úplné informácie o všetkých doménových objektoch a môže obslúžiť požiadavku klienta. To však neznamená, že ovládače sú zameniteľné, nepochopenie tohto bodu často vedie k poruchám AD a výpadkom podnikovej siete. Prečo sa to deje? Je čas pripomenúť si úlohu FSMO.

Keď vytvoríme prvý radič, obsahuje všetky dostupné roly a zároveň je globálnym katalógom, s príchodom druhého radiča sa naň prenesú roly master infraštruktúry, RID master a emulátor PDC. Čo sa stane, ak sa správca rozhodne dočasne vypnúť server DC1, napríklad aby ho vyčistil od prachu? Na prvý pohľad je to v poriadku, dobre, doména sa prepne do režimu „len na čítanie“, ale bude to fungovať. Zabudli sme však na globálny katalóg a ak sú vo vašej sieti nasadené aplikácie, ktoré ho vyžadujú, ako napríklad Exchange, budete o tom vedieť skôr, ako odstránite kryt zo servera. Učíte sa od nespokojných používateľov a vedenie pravdepodobne nebude nadšené.

Z čoho vyplýva záver: v lese by mali byť aspoň dva globálne katalógy a najlepšie jeden v každej doméne. Keďže máme v lese jednu doménu, oba servery musia byť globálne adresáre, umožní vám to bez problémov zobrať ktorýkoľvek zo serverov na údržbu, dočasná absencia akýchkoľvek rolí FSMO nevedie k zlyhaniu AD, ale iba k tomu nie je možné vytvárať nové objekty.

Ako správca domény musíte jasne pochopiť, ako sú roly FSMO rozdelené medzi vaše servery, a keď vyraďujete server z prevádzky na dlhšiu dobu, preneste tieto roly na iné servery. A čo sa stane, ak server obsahujúci roly FSMO nenávratne zlyhá? Nevadí, ako sme už písali, každý doménový radič obsahuje všetky potrebné informácie a ak by sa takáto nepríjemnosť predsa len vyskytla, potom budete musieť obsadiť potrebné roly niektorým z radičov, čím sa obnoví plná prevádzka adresárovej služby .

Čas plynie, vaša organizácia rastie a má pobočku na druhej strane mesta a je potrebné začleniť ich sieť do celkovej infraštruktúry podniku. Na prvý pohľad nič zložité, nastavíte komunikačný kanál medzi kanceláriami a umiestnite do neho ďalší ovládač. Všetko by bolo v poriadku, ale je tu jedna vec. Tento server nemôžete ovládať, a preto je možný neoprávnený prístup k nemu a miestny správca vás núti pochybovať o jeho kvalifikácii. Ako byť v takejto situácii? Na tieto účely existuje špeciálny typ ovládača, konkrétne: radič domény len na čítanie (RODC), danú funkciu dostupné vo funkčných režimoch domény počnúc systémom Windows Server 2008 a novším.

Radič domény len na čítanie obsahuje úplnú kópiu všetkých doménových objektov a môže byť globálnym katalógom, ale neumožňuje vykonávať žiadne zmeny v štruktúre AD, umožňuje vám tiež vymenovať ľubovoľného používateľa za lokálneho správcu, ktorý dovoľte mu plne slúžiť daný server, ale opäť bez prístupu k službám AD. V našom prípade to nariadil lekár.

Nastavili sme sa v pobočke RODC, všetko funguje, ste pokojní, ale používatelia sa začínajú sťažovať na dlhé prihlasovanie a účty za prevádzku na konci mesiaca vykazujú prebytok. Čo sa deje? Je načase si ešte raz pripomenúť rovnocennosť doménových radičov, klient môže poslať svoju požiadavku na ľubovoľný doménový radič, aj keď sa nachádza v inej pobočke. Berte do úvahy pomalý a pravdepodobne vyťažený komunikačný kanál - to je dôvod oneskorenia prihlásenia.

Ďalším faktorom, ktorý otrávi naše životy v tejto situácii, je replikácia. Ako viete, všetky zmeny vykonané na jednom z radičov domény sa automaticky prenesú na ostatné a tento proces sa nazýva replikácia, čo vám umožňuje mať aktuálnu a konzistentnú kópiu údajov na každom radiči. Replikačná služba nevie o našej pobočke a pomalom komunikačnom kanáli, a preto sa všetky zmeny v kancelárii okamžite replikujú do pobočky, načítavajú kanál a zvyšujú spotrebu prevádzky.

Tu sa dostávame bližšie k pojmu AD stránky, ktoré by sa nemali zamieňať s internetovými stránkami. Stránky Active Directory predstavujú spôsob fyzického rozdelenia štruktúry adresárovej služby do oblastí oddelených od ostatných oblastí pomalými a/alebo nestabilnými linkami. Stránky sa vytvárajú na základe podsietí a všetky požiadavky klientov sa posielajú najskôr kontrolórom ich lokality, je tiež veľmi žiaduce mať na každej lokalite globálny katalóg. V našom prípade musíme vytvoriť dve lokality: Stránka AD 1 pre centrálu a Stránka AD 2 pre pobočku, presnejšie jednu, keďže štruktúra AD už štandardne obsahuje lokalitu, ktorá zahŕňa všetky predtým vytvorené objekty. Teraz sa pozrime, ako prebieha replikácia v sieti s niekoľkými lokalitami.

Budeme predpokladať, že naša organizácia sa trochu rozrástla a hlavná kancelária obsahuje až štyri radiče domény, replikácia medzi radičmi jednej lokality je tzv. intrasite a stane sa okamžite. Topológia replikácie je zostavená podľa kruhovej schémy s podmienkou, že medzi ľubovoľnými radičmi domény nie sú viac ako tri kroky replikácie. Schéma zvonenia je uložená až do 7 ovládačov vrátane, každý ovládač nadviaže spojenie s dvoma najbližšími susedmi, pri väčšom počte ovládačov sa objavia ďalšie spojenia a spoločný prstenec sa takpovediac zmení na skupinu prstencov nad sebou.

Intersite replikácia prebieha inak, v každej doméne sa automaticky vyberie jeden zo serverov (premosťovací server), čím sa vytvorí spojenie s podobným serverom inej lokality. Štandardne prebieha replikácia raz za 3 hodiny (180 minút), môžeme si však nastaviť vlastný plán replikácie a pre úsporu prevádzky sa všetky dáta prenášajú v komprimovanej forme. Ak je v lokalite iba RODC, replikácia prebieha jednosmerne.

Samozrejme, témy, ktorých sme sa dotkli, sú veľmi hlboké a v tomto materiáli sme sa ich dotkli len mierne, no ide o nevyhnutné minimálne znalosti, ktoré musíte mať pred praktickou implementáciou Active Directory do podnikovej infraštruktúry. Vyhnete sa tak hlúpym chybám pri nasadzovaní a núdzovým situáciám pri údržbe a rozširovaní konštrukcie a o každej z nastolených tém sa bude diskutovať podrobnejšie.