Professional Documents
Culture Documents
Лекції
Лекції
Лекції
Ціль лекції
Вказати потребу у використанні єдиного інструменту для організації та спрощення
доступу до інформаційних ресурсів. Дати загальне уявлення про каталог та службу
каталогів, навести їх призначення, основні функції та завдання, сформулювати переваги
використання Active Directory .
● масштабованість;
1
Exchange Server 2000 покладається на Active Directory для своєї служби каталогу, тому багато
адміністраторів реалізують Active Directory для модернізації до Exchange Server 2000
каталогами, щоб керувати обліковими записами. Інша вигода від централізованого
каталогу полягає в тому, що він може також використовуватися іншими додатками,
такими як Exchange Server 2000. Це спрощує повне мережеве адміністрування,
оскільки використовується єдина служба каталогу для всіх програм.
● Єдина реєстрація. Після успішної ідентифікації користувачам буде надано доступ
до всіх мережевих ресурсів, для яких їм надано дозвіл, без необхідності
реєструватися знову на різних серверах або доменах.
● Делеговане адміністрування. Active Directory надає адміністраторам можливість
передавати адміністративні права. Використовуючи майстер Delegation Of Control
Wizard (Делегування керування) або встановлюючи певні дозволи на об'єкти Active
Directory , адміністратори можуть пропонувати тонко налаштовані адміністративні
права. Наприклад, можна призначити певний обліковий запис користувача
адміністративне право скидати паролі в домені, але не створювати, видаляти або
змінювати об'єкт користувача.
● Інтерфейс загального керування. Є кілька способів, якими можна отримати зиск
від інтеграції між Active Directory та операційної системи. Один із шляхів полягає у
використанні інтерфейсу загального управління – консолі управління Microsoft
(ММС – Microsoft Management Console ). При взаємодії з Active Directory через
графічний інтерфейс користувача ММС всі інструментальні засоби управління
дають ураження та відчуття від їх використання, що узгоджується один з одним.
Для Active Directory ці засоби включають Active Directory Users And Computers
(Active Directory: користувачі і комп'ютери ), Active Directory Domains And Trusts
(Active Directory: домени і довірчі відносини ) та Active Directory Sites And Services
(Active Directory: сайти і служби ). Оснащення ММС функціонують так само, як усі
інші засоби адміністрування Windows Server 2003, наприклад оснастки DHCP та
DNS .
● Інтегрована безпека. Служба Active Directory працює пліч-о-пліч з підсистемою
безпеки Windows Server 2003 під час автентифікації безпечних користувачів та
захисту загальнодоступних мережевих ресурсів. Мережевий захист у мережі
Windows Server 2003 починається з автентифікації під час реєстрації. Коли
безпечний користувач входить до домену Windows Server 2003, підсистема захисту
разом із Active Directory створює лексему доступу, яка містить ідентифікатор
захисту ( SID — Security Identifier ) облікового запису користувача, а також
ідентифікатори SID всіх груп, членом яких є цей користувач. Ідентифікатор SID є
атрибутом об'єкта користувача в Active Directory . Потім лексема доступу
порівнюється з дескриптором захисту ресурсі, і, якщо встановлюється
відповідність, то користувачеві надається необхідний рівень доступу.
● Масштабованість. Оскільки організація або поступово зростає в процесі бізнесу,
або це відбувається швидко через ряд злиттів з іншими компаніями і в результаті
придбань служба Active Directory спроектована масштабованою для того, щоб
справлятися з цим зростанням. Можна розширити розмір доменної моделі або
просто додати більше серверів, щоб пристосуватися до збільшення обсягу. Будь-які
зміни в інфраструктурі Active Directory повинні бути ретельно реалізовані
відповідно до проекту Active Directory , яка передбачає таке зростання. Окремий
домен, що представляє найменший розділ інфраструктури Active Directory , який
може реплікуватися на єдиний контролер домену, може підтримувати більше
одного мільйона об'єктів, тому модель окремого домену підходить навіть для
великих організацій.
Короткі підсумки
У цій лекції було дано визначення каталогу та служби каталогів.
Перераховані служби та стандарти, що використовуються в сучасних мережах:
● Х.500 та Directory Access Protocol (DAP) .
● Windows NT та SAM.
● масштабованість;
● стандартизація;
● розширюваність;
● безпека.
● Єдина реєстрація.
● Делеговане адміністрування.
● Інтегрована безпека.
● Масштабованість.
Лекція 2. ПРОЕКТУВАННЯ ACTIVE DIRECTORY
Коротка інструкція : Для розуміння предметної області дано терміни та їх визначення в
контексті Active Directory . Визначається послідовність робіт, необхідних для
проектування служби Active. Directory : збір інформації, її аналіз, розробка структури та
архітектури рішення.
Ключові слова : область дії ( scope ), простір імен, об'єкт, контейнер, дерево, ім'я об'єкта,
контексти імен (сегменти, розділи), домен, довірчі відносини, доменне дерево, ліс,
організаційні одиниці (підрозділи), сайт (вузол).
Ціль лекції
Ввести поняття служби каталогів, що використовуються в курсі, дати уявлення про
етапи проектування служби Active Directory .
Область дії
Область дії ( scope ) Active Directory досить велика. Вона може включати окремі
об'єкти (принтери, файли, імена користувачів), сервери та домени в окремій глобальній
мережі. Вона також може охоплювати кілька об'єднаних мереж. Деякі з термінів, що
розглядаються нижче, відносяться до групи мереж, тому важливо пам'ятати, що Active
Directory може бути налаштована на керування як окремим комп'ютером, і комп'ютерної
мережею чи групою мереж.
Простір імен
Active Directory , як і будь-яка інша служба каталогів, є насамперед простором
імен. Простір імен — це обмежена область, в якій може бути розпізнане дане ім'я.
Розпізнавання імені полягає у його зіставленні з деяким об'єктом чи обсягом інформації,
якому це ім'я відповідає. Наприклад, телефонний довідник є простір імен, в якому іменам
телефонних абонентів можуть бути поставлені у відповідність телефонні номери. Файлова
система Windows утворює простір імен, в якому ім'я файлу може бути поставлене у
відповідність до конкретного файлу.
Active Directory утворює простір імен, в якому ім'я об'єкта в каталозі може бути
поставлене у відповідність до цього об'єкта.
Об'єкт
Об'єкт - це непустий, іменований набір атрибутів, що означає щось конкретне,
наприклад користувача, принтер або програму. Атрибути містять інформацію, що
однозначно описує даний об'єкт. Атрибути користувача можуть включати ім'я
користувача, його прізвище та адресу електронної пошти.
Контейнер
Контейнер аналогічний об'єкту тому, що він також має атрибути і належить
простору імен. Однак, на відміну від об'єкта, контейнер не означає нічого конкретного: він
може містити групу об'єктів або інші контейнери.
Дерево
Термін «дерево» використовується в цьому документі для опису ієрархії об'єктів та
контейнерів. Зазвичай, кінцевими елементами дерева є об'єкти. У вузлах (точках
розгалуження) дерева розміщуються контейнери. Дерево відбиває взаємозв'язок між
об'єктами чи вказує шлях від одного об'єкта до іншого. Простий каталог є контейнером.
Комп'ютерна мережа чи домен також є контейнерами. Безперервним піддеревом
називають будь-яку безперервну частину дерева, що включає всі елементи кожного
контейнера, що входить до неї.
Ім'я
Служба Active Directory допускає існування двох типів імен, які використовуються
для ідентифікації об'єктів:
● Унікальне ім'я Кожен об'єкт у Active Directory має унікальне ім'я ( Distinguished
Name , DN). Це ім'я містить вказівку на домен, в якому знаходиться об'єкт, та
повний шлях у ієрархічній структурі контейнерів, що призводить до даного об'єкта.
Типовим унікальним ім'ям (DN) є ім'я: /O=Internet/DC=COM/DC=Microsoft/CN=
Users /CN=James Smith. Це ім'я позначає об'єкт типу « користувач» з ім'ям « James
Smith », що знаходиться у домені Microsoft.com.
● Відносне ім'я. Відносне унікальне ім'я об'єкта ( Relative Distinguished Name , RDN)
— це частина імені, яка сама є частиною атрибута об'єкта. У наведеному вище
прикладі RDN-ім'ям об'єкта « James Smith » служить групове ім'я (CN) CN = James
Smith. RDN-іменем батьківського об'єкта є ім'я CN= Users .
Домени
Домен – це єдина область, в межах якої забезпечується безпека даних у
комп'ютерній мережі під керуванням Windows 2. Active Directory складається з одного або
кількох доменів. Стосовно окремої робочої станції доменом є сама станція. Межі одного
домену можуть охоплювати більш ніж один фізичний пристрій. Кожен домен може мати
2
Докладнішу інформацію про домени можна знайти в документації з операційних систем Windows .
свої правила захисту та правила взаємодії з іншими доменами. Якщо кілька доменів
пов'язані один з одним довірчими стосунками та мають єдину логічну структуру,
конфігурацію та глобальний каталог, то говорять про дерево доменів.
Довірчі відносини
Оскільки домени розмежовують зони безпеки, спеціальний механізм, званий
довірчими відносинами . relationships ), дозволяє об'єктам в одному домені [довіряється
( trusted domain )] звертатися до ресурсів в іншому [ trusting domain )].
Windows Server 2003 підтримує шість типів довірчих відносин:
● Довіра до батьківського та дочірнього доменів. Active Directory автоматично
вибудовує транзитивні двосторонні довірчі стосунки між батьківськими та
дочірніми доменами у дереві доменів. При створенні дочірнього домену довірчі
стосунки автоматично формуються між дочірнім доменом та його батьком. Ці
відносини двосторонні. Довіра також є транзитивною, тобто контролери домену,
що довіряється, пересилають запити на автентифікацію контролерам довіряючих
доменів.
● Довіра до кореневого домену дерева. Двосторонні транзитивні довірчі відносини
автоматично створюються між кореневими доменами дерев у одному лісі. Це різко
спрощує керування доменами в порівнянні з тим, що було у версіях Windows , що
передували Windows 2000. Більше не потрібно конфігурувати окремі односторонні
довірчі відносини між доменами.
● Довіра до зовнішнього домену. Зовнішня довіра використовується, коли потрібно
створити довірчі відносини між доменом Windows Server 2003 та доменом
Windows NT 4.0. Оскільки обмежені домени ( down - level domains ) (домени, які не
підтримують Active Directory ) не можуть брати участь у двосторонніх
транзитивних довірчих відносинах, слід використовувати зовнішню довіру, яка є
односторонньою.
● Довіра до скорочення. Довіра до скорочення — це спосіб створення прямих
довірчих відносин між двома доменами, які можуть бути вже пов'язані ланцюжком
транзитивних довір, але потребують оперативнішого реагування на запити один від
одного.
● Довіра до сфери. Довіра до сфери служить для підключення домену Windows
Server 2003 до сфери Kerberos , яка не підтримує Windows та використовує
протокол захисту Kerberos V 5. Довіра до сфери може бути транзитивною або
нетранзитивною , одно- або двосторонньою.
● Довіра до лісу. Довіра до лісу спрощує керування кількома лісами та забезпечує
більш ефективну захищену взаємодію між ними. Цей тип довіри дозволяє
звертатися до ресурсів в іншому лісі за тією самою ідентифікацією користувача
( user IDentification , ID ), що у його власному лісі.
Доменне дерево
Дерево доменів складається з кількох доменів, які мають загальну логічну
структуру та конфігурацію та утворюють безперервний простір імен. Домени у дереві
пов'язані між собою довірчими стосунками. Active Directory є безліччю, якій належать
одне чи кілька дерев доменів.
Дерево доменів графічно можна уявити двома способами:
● Подання доменне дерево через довірчі відносини між доменами. Довірчі
відносини між доменами в Windows 2000 встановлюються на основі протоколу
безпеки Kerberos . Відносини, створені за допомогою цього протоколу, мають
властивості транзитивності та ієрархічності: якщо домен А довіряє домену В і
домен В довіряє домену С, то домен А довіряє і домену С.
● Подання доменне дерево через простір імен доменного дерева. Доменне дерево
також можна представити за допомогою простору імен. Унікальне ім'я об'єкта
можна визначити, рухаючись вгору по доменному дереву, починаючи з об'єкта.
Такий метод виявляється зручним при об'єднанні об'єктів у логічну ієрархічну
структуру. Головна перевага безперервного простору імен полягає в тому, що
глибокий пошук, що проводиться від кореня дерева, дозволяє переглянути всі
ієрархічні рівні простору імен.
Ліс
Лісом називається одне чи кілька дерев, які утворюють безперервного простору
імен. Всі дерева одного лісу мають загальну логічну структуру, конфігурацію та
глобальний каталог. Усі дерева цього лісу підтримують один з одним транзитивні
ієрархічні довірчі відносини, що встановлюються на основі протоколу Kerberos . На
відміну від дерева, ліс може не мати певного імені. Ліс існує у вигляді сукупності об'єктів
з перехресними посиланнями та довірчих відносин на основі протоколу Kerberos ,
встановлених для дерев, що входять до лісу. Підтримка протоколу Kerberos вимагає, щоб
дерева одного лісу складали ієрархічну структуру: ім'я дерева, що знаходиться в корені
цієї структури, може використовуватися для позначення всього лісу дерев.
Сайт (вузол)
Вузлом (сайтом) називається такий елемент мережі, який містить сервери Active
Directory . Вузол зазвичай визначається як одна або кілька підмереж, що підтримують
протокол TCP/IP і характеризуються гарною якістю зв'язку, що має на увазі високу
надійність та швидкість передачі даних. Визначення вузла як сукупності підмереж
дозволяє адміністратору швидко і без великих витрат налаштувати топологію доступу та
реплікації в Active Directory і повніше використовувати переваги фізичного розташування
пристроїв у мережі. Коли користувач входить до системи, клієнт Active Directory шукає
сервери Active Directory , розташовані у вузлі користувача. Оскільки комп'ютери, що
належать до одного вузла, в масштабах мережі можна вважати розташованими близько
один до одного, зв'язок між ними повинен бути швидким, надійним і ефективним.
Розпізнавання локального вузла в момент входу в систему не складно, оскільки робоча
станція користувача вже знає, в якій із підмереж TCP/IP вона знаходиться, а підмережі
безпосередньо відповідають вузлам Active Directory .
Збір та аналіз інформації
На даному етапі передпроектного дослідження збираються основні відомості щодо
існуючої інфраструктури компанії.
● Для планування структури Active Directory — інформація про доменну структуру
та її тип, структуру груп користувачів та розподіл їх по доменам, кількість
існуючих контролерів доменів усередині кожного домену. Визначення існуючих
довірчих відносин між доменами, односторонніх та двосторонніх довірчих
відносин та доменів, які не повинні включатися до лісів Active Directory , простір
імен DNS, що існують в організації, та переліку існуючих доменних імен
організації, зареєстрованих в мережі Інтернет.
● Для планування сайтів Active Directory - інформація про існуючу структуру сайтів,
про топологію мережі, про канали зв'язку та їх пропускну здатність.
● Для планування перенесення поточної структури мережевих сервісів на платформу
Active Directory - інформація про топологію мережевих сервісів DHCP, WINS,
DNS.
● Задля більшої можливості резервного відновлення даних під час міграції — схема
резервного копіювання інформації.
● Для визначення можливої розширюваності рішення - дослідження можливих
варіантів зміни схеми при зростанні організації або її реорганізації, визначення
області Active Directory (дослідження підрозділів, включаючи віддалені філії
організації, необхідні включення до Active Directory ).
● Для планування міграції додатків, які використовують Active Directory — список
програм, пов'язаних із Active Directory , та можливих обмежень, що накладаються
ними на структуру Active Directory , Визначення механізмів ідентифікації
користувачів.
Короткі підсумки
У цій лекції були наведені терміни для розуміння предметної області Active
Directory , а також згадано про етап передпроектного дослідження, призначеного для
збирання та аналізу інформації.
Основні відомості щодо існуючої інфраструктури в компанії:
● Інформація про доменну структуру та її тип, структуру груп користувачів та
розподіл їх по доменам, про кількість існуючих контролерів доменів усередині
кожного домену.
● Інформація про існуючу структуру сайтів, про топологію мережі, про канали
зв'язку та їх пропускну здатність.
● Інформація про топологію мережевих сервісів DHCP, WINS, DNS.
Ціль лекції
Сформувати уявлення про архітектуру служби каталогів Active Directory ,
визначити компоненти структур Active Directory .
Модель даних
Active Directory зберігає інформацію про мережеві ресурси. Ці ресурси (наприклад,
дані користувачів, описи принтерів, серверів, баз даних, груп, комп'ютерів та політик
безпеки) називаються об'єктами.
Об'єкт — це окремий набір атрибутів, якими представлений мережевий
ресурс. Атрибути об'єкта є його характеристиками у каталозі (див. рис. 3.1).
Модель даних Active Directory будується з урахуванням моделі даних специфікації
X.500 [2].
Функціональна структура
Функціональну структуру Active Directory можна представити у вигляді
багаторівневої архітектури, де рівні є процесами, що надають клієнтським додаткам
доступ до служби каталогу.
Active Directory складається з трьох рівнів служб та кількох інтерфейсів і
протоколів, які спільно працюють для надання доступу до служби каталогу. Три рівні
служб охоплюють різні типи інформації, яка потрібна на пошуку записів у базі даних (БД)
каталогу. Вище рівні служб у цій архітектурі знаходяться протоколи та API-інтерфейси,
що здійснюють зв'язок між клієнтами та службою каталогу.
На рис. 3.2 зображено рівні служби Active Directory та відповідні їм інтерфейси та
протоколи. Тут показано, як різні клієнти отримують за допомогою інтерфейсів доступ до
Active Directory .
Логічна структура
В Active Directory ресурси організовані в логічну структуру, яка відображає
структуру організації, що дозволяє знаходити ресурс за його ім'ям, а не за фізичним
розташуванням. Завдяки логічному об'єднанню ресурсів у Active Directory фізична
структура мережі не є важливою для користувачів.
Логічна структура Active Directory є моделлю служби каталогу, яка визначає
кожного учасника безпеки на підприємстві та організацію цих учасників.
На рис. 3.3 показані взаємовідносини компонентів Active Directory .
Мал. 3.3. Ресурси, організовані у логічну структуру
● Класи об'єктів.
Фізична структура
Фізична структура мережі з Active Directory досить проста в порівнянні з її
логічною структурою. Фізичні компоненти Active Directory – це вузли (сайти) та
контролери домену. Ці компоненти застосовуються розробки структури каталогу, що
відбиває фізичну структуру організації, яка, своєю чергою, впливає створення сайтів для
компанії.
Фізичний прояв служби Active Directory складається з окремого файлу даних,
розташованого на кожному контролері домену. Фізична реалізація служби Active Directory
описується розташуванням контролерів домену, на яких розташована служба. При
реалізації служби Active Directory можна додавати стільки контролерів доменів, скільки
необхідно для підтримки служб каталогу в цій організації. Є п'ять певних ролей, які може
грати кожен із контролерів домену. Вони відомі як ролі господаря операцій ( operations
master roles ). Ще одна роль, яку може виконувати будь-який окремий контролер домену в
домені, пов'язана з глобальним каталогом (GC - Global Catalog ). У цьому розділі ми
розглянемо сховище даних служби Active Directory та контролери домену, на яких воно
розташоване.
Контролери доменів та їх ролі
Контролер домену - це комп'ютер-сервер, що управляє доменом і зберігає репліку
каталогу домену (локальну БД домену). Оскільки в домені може бути кілька контролерів
домену, всі вони зберігають повну копію частини каталогу, яка відноситься до їх домену
[6].
Нижче наведено функції контролерів доменів [4].
● Кожен контролер домену зберігає повну копію всієї інформації Active Directory ,
що відноситься до його домену, а також управляє змінами цієї інформації та
реплікує їх на інші контролери того ж домену.
● Всі контролери в домені автоматично реплікують всі об'єкти в домені. Будь-які
зміни, які вносяться в Active Directory насправді виробляються на одному з
контролерів домену. Потім цей контролер домену реплікує зміни інші контролери у
межах свого домену. Задаючи частоту реплікації та кількість даних, яку Windows
передаватиме при кожній реплікації, можна регулювати мережевий трафік між
контролерами домену.
● Важливі оновлення, наприклад відключення облікового запису користувача,
контролери домену негайно реплікують.
● Active Directory використовує реплікацію з кількома господарями ( multimaster
replication ), в якому жоден із контролерів домену не є головним. Усі контролери
рівноправні, і кожен із них містить копію бази даних каталогу, куди дозволяється
вносити зміни. У короткі періоди часу інформація в цих копіях може відрізнятися,
поки всі контролери не синхронізуються один з одним.
● Наявність у домені кількох контролерів забезпечує відмовостійкість. Якщо один із
контролерів домену недоступний, інший виконуватиме всі необхідні операції,
наприклад записувати зміни в Active Directory .
● Контролери домену управляють взаємодією користувачів та домену, наприклад
знаходять об'єкти Active Directory і розпізнають спроби входу до мережі.
Існує дві ролі господаря операцій, які можуть бути призначені єдиному контролеру
домену в лісі (ролі, що діють у межах лісу) [3]:
● Господар схеми ( Schema Master ). Перший контролер домену в лісі бере участь
господаря схеми та відповідає за підтримку та поширення схеми на решту лісу. Він
підтримує список усіх можливих класів об'єктів та атрибутів, які визначають
об'єкти, які знаходяться в Active Directory . Якщо схему потрібно оновлювати чи
змінювати, наявність Schema Master обов'язково.
● Господар іменування доменів ( Domain Naming Master ). Протоколує додавання та
видалення доменів у лісі та життєво необхідний для підтримки цілісності доменів.
Domain Naming Master запитується при додаванні до лісу нових доменів. Якщо
Domain Naming Master недоступний, то додавання нових доменів неможливе; проте
за необхідності ця роль може бути передана іншому контролеру.
Існує три ролі господаря операцій, які можуть бути призначені одному з
контролерів у кожному домені ( загальнодоменні ролі) [3].
● Господар RID (Relative Identifier (RID) Master). Відповідає за виділення діапазонів
відносних ідентифікаторів (RID) для всіх контролерів у домені. SID у Windows
Server 2003 складається із двох частин. Перша частина – загальна для всіх об'єктів
у домені; до створення унікального SID до цієї частини додається унікальний RID.
Водночас вони унікально ідентифікують об'єкт та вказують, де його було створено.
● Емулятор основного контролера домену ( Primary Domain Controller (PDC)
Emulator ). Відповідає за емуляцію Windows NT 4.0 PDC для клієнтських машин,
які ще не переведені на Windows 2000, Windows Server 2003 або Windows XP і на
яких не встановлений клієнт служби каталогів. Одне з основних завдань емулятора
PDC – реєструвати застарілі клієнти. Крім того, до емулятора PDC відбувається
звернення, якщо автентифікація клієнта виявилася невдалою. Це дозволяє
емулятору PDC перевіряти недавно змінені паролі для застарілих клієнтів у домені,
перш ніж відхиляти запит на вхід.
● Господар інфраструктури ( Infrastructure Master ). Реєструє зміни, що вносяться
до контрольованих об'єктів у домені. Про всі зміни спочатку повідомляється
Infrastructure Master , і потім вони реплікуються інші контролери домену.
Infrastructure Master обробляє інформацію про групи та членство в них для всіх
об'єктів у домені. Ще одне завдання Infrastructure Master — передавати інформацію
про зміни, внесені до об'єктів, до інших доменів.
Роль "Сервер глобального каталогу" (GC - Global Catalog ) може виконувати будь-
який окремий контролер домену в домені - одна з функцій сервера, яку можна призначити
контролеру домену [13]. Сервери глобального каталогу виконують два важливі завдання.
Вони дають можливість користувачам входити до мережі та знаходити об'єкти у будь-якій
частині лісу. Глобальний каталог містить підмножину інформації з кожного домену і
реплікується між серверами глобального каталогу в домені. Коли користувач намагається
увійти до мережі або звернутися до якогось мережевого ресурсу з будь-якої точки лісу,
відповідний запит дозволяється за участю глобального каталогу. Інше завдання
глобального каталогу, корисне незалежно від того, скільки доменів у вашій мережі, -
участь у процесі автентифікації при вході користувача до мережі. Коли користувач
входить до мережі, його ім'я спочатку звіряється з вмістом глобального каталогу. Це
дозволяє входити в мережу з комп'ютерів у доменах, відмінних від того, де зберігається
потрібний обліковий запис користувача.
Концепція сайтів
Концепція сайтів використовується продуктами сімейства Microsoft BackOffice для
мінімізації трафіку в глобальній мережі та ґрунтується на тому, що її основу становить IP-
мережа, для якої треба забезпечити найкращі умови підключень незалежно від
використовуваних програм.
Сайт Windows Server 2003 - це група контролерів доменів, які знаходяться в єдиній
або декількох IP-підмережах і пов'язані швидкісними та надійними мережевими
з'єднаннями. Сайти переважно використовуються для управління трафіком реплікації.
Контролери доменів усередині сайту можуть вільно реплікувати зміни до бази даних
Active Directory щоразу, коли відбуваються такі зміни. Однак контролери доменів у різних
сайтах стискають трафік реплікації та передають його за певним розкладом, щоб
зменшити мережевий трафік.
Сайти не є частиною простору імен Active Directory . Коли користувач переглядає
логічний простір імен, комп'ютери та користувачі групуються до доменів та OU без
посилань на сайти.
Сайти містять об'єкти лише двох типів [3]:
● Контролери доменів у межах сайту.
● Зв'язки сайту ( site links ), налаштовані для з'єднання даного сайту з іншими. Зв'язок
складається з двох частин: фізичного з'єднання між сайтами (зазвичай WAN-
каналу) та об'єкта зв'язку сайту ( site link object ). Цей об'єкт створюється в Active
Directory та визначає протокол передачі трафіку реплікації (IP або SMTP). Об'єкт
зв'язку також ініціює виконання запланованої реплікації.
Особливостями сайту є:
● оптимізація трафіку тиражування між сайтами повільними лініями;
Короткі підсумки
У цій лекції було наведено модель даних та структуру функціонування служби
Active Directory у вигляді багаторівневої архітектури:
● Системний агент каталогу (Directory System Agent, DSA).
● Рівень БД.
● LDAP/ADSI.
● Домени.
● Дерева доменів.
● Ліси.
● Сайти.
● Організаційні одиниці.
● Класи об'єктів.
● зв'язку сайту ( site links ), налаштовані для з'єднання даного сайту з іншими.
Особливостями сайту є:
● оптимізація трафіку тиражування між сайтами повільними лініями;
Ціль лекції
Визначити порядок розгортання служби каталогу, дати уявлення про початковий
етап планування Active Directory - проектування структури лісу та доменної структури.
План-графік розгортання
Основні віхи у плані-графіці розгортання Active Directory
● Формування проектної групи.
● Розробка архітектури PKI.
● Планування політики резервного копіювання.
● Інформування користувачів.
● Проведення міграції.
● Навчання адміністраторів.
● Регіональні моделі.
● Національні моделі.
● Міжнародні моделі.
● Філії.
● Дочірні компанії.
● Децентралізоване керування.
● Оптимізація трафіку.
Краще планувати домени так, щоб вони входили в одне дерево доменів. Так як всі
домени в одному дереві ділять один простір імен, адміністративні витрати будуть значно
нижчими, ніж при використанні кількох дерев. При створенні кількох доменів визначати
їх межі краще відповідно до тих розмежувань усередині компанії, ймовірність зміни яких
найменше. Наприклад, створення доменів за територіальним принципом, як правило,
надійніше, ніж створення доменів відповідно до ієрархії підрозділів компанії, оскільки
зміна організаційної структури більш ймовірна, ніж зміна територіальної.
При використанні моделі Active Directory з кількома доменами виконуються такі
правила [3]:
● у кожному домені потрібно хоча б один контролер;
● планування WINS;
Короткі підсумки
У цій лекції наведено план-графік розгортання Active Directory , який без
деталізації виглядає так:
● Формування проектної групи.
● Довірчі відносини.
● Централізоване керування.
● Довірені адміністратори.
● децентралізоване керування;
● оптимізація трафіку;
Коротка інструкція: Наведено варіанти побудови єдиного лісу служби Active Directory ,
вказана можливість застосування кількох лісів та недоліки такої моделі. Наведено
варіанти деталізації доменної структури Active Directory та коротко описаний процес
призначення власників доменів.
Ключові слова: ліс, домен, доменне дерево, контролер домену, організаційна одиниця.
Ціль лекції
Дати уявлення про можливі моделі побудови лісів та відповідну їм деталізацію
доменної структури.
Ліс - це група з одного або декількох дерев доменів, які не утворюють єдиний
простір імен, але використовують загальну схему, конфігурацію каталогів, глобальний
каталог і автоматично встановлюють двосторонні довірчі відносини між доменами.
У мережі завжди є щонайменше один ліс, створюваний, коли в мережі
встановлюється перший контролер домену. Перший домен стає кореневим доменом лісу.
Під регіонами в контексті даної лекції маються на увазі віддалені офіси компанії, в
якій планується розгорнути службу Active Directory .
Мінуси моделі:
● видимість списку доменів усієї організації;
● для наявності права створення нових дерев/доменів адміністратор повинен бути
присутнім у групі Enterprise Admins ;
● тиражування конфігурації та схеми Active Directory для всіх регіонів;
Мінуси моделі:
● видимість списку доменів усієї організації;
Мінуси моделі:
● видимість списку доменів усієї організації;
Мінуси:
● ведення подвійної бази даних облікових записів користувачів;
Мінуси:
● ведення подвійної бази даних облікових записів користувачів;
Єдиний ліс
Негативним моментом попередніх варіантів є існування двох лісів Active Directory ,
що змушує впроваджувати додаткову систему синхронізації двох лісів чи вести дублюючі
записи у двох лісах (фактично ручна синхронізація). Виникає бажання уникнути
існування двох лісів.
У даному варіанті побудови Active Directory всі домени знаходяться в загальному
лісі. Колишній домен, підготовлений для міграції, відсутній: він може бути дочірнім по
відношенню до домену, що створюється, або кореневого домену.
Даний варіант побудови Active Directory дозволяє уникнути двох облікових записів
для кожного користувача. Усі ресурси DMZ (і навіть front - end поштові сервери)
розміщуються у дочірньому домені (DMZ Internal VLAN). Поштові скриньки користувачів
знаходяться на сервері нового домену (LAN центрального офісу). Облікові записи
користувачів центрального офісу заведені в домені. Облікові записи мобільних
користувачів, які потребують доступу до ресурсів зони DMZ Internal , заведено в
дочірньому домені. Для таких користувачів доступ до ресурсів буде обмежений із
застосуванням прав доступу користувачів та групової політики дочірнього домену.
Зокрема, використовуючи групу Domain Users дочірнього домену, можна настроїти
автоматичну початкову заборону доступу до ресурсів Active Directory для нових
користувачів для підвищення безпеки системи.
Плюси цього варіанта:
● унікальність облікових записів у межах Active Directory для будь-якого
користувача;
● користувачі, перебуваючи як усередині корпоративної мережі, так і в Інтернеті,
зможуть отримати доступ до ресурсів усієї мережі (регіони та центральний офіс)
згідно з правами доступу.
Короткі підсумки
У цій лекції дано опис різних моделей (із зазначенням переваг та недоліків)
побудови лісів Active Directory :
● Варіант 1 "Єдиний ліс, кожен регіон - окреме дерево".
Ціль лекції
Дати уявлення про планування стратегії іменування об'єктів у Active Directory .
Після ухвалення рішення про те, яку структуру доменів і лісів потрібно створити,
необхідно перейти на планування іменування елементів Active Directory , що входять до
цієї структури.
● складові імена;
● канонічні імена;
Складові імена
У кожного об'єкта в каталозі є складове ім'я (DN), яке унікальне на глобальному
рівні та ідентифікує не тільки сам об'єкт, але й місце, яке об'єкт займає в загальній ієрархії
об'єктів. DN можна як відносне DN об'єкта, об'єднане з відносними DN всіх батьківських
контейнерів, утворюють шлях до об'єкта.
Ось типовий приклад складеного імені:
CN= wjglenn , CN=Users, DC= kd , DC= ru .
Це DN означає, що об'єкт користувача wjglenn міститься в контейнері Users , який у
свою чергу міститься в домені kd.ru. Якщо об'єкт wjglenn переміститься в інший
контейнер, його DN зміниться і відображатиме нове розташування в ієрархії. DN
гарантовано унікальні у лісі, існування двох об'єктів з однаковими DN неможливе.
Канонічні імена
Канонічне ім'я об'єкта використовується багато в чому так само, як складове.
Просто має інший синтаксис. Складове ім'я, наведене у попередньому підрозділі,
відповідало б наступне канонічне ім'я: kd . ru / Users / wjglenn .
Таким чином, у синтаксисі складових та канонічних імен — дві основні
відмінності. Перше – канонічне ім'я формується від кореня до об'єкта, а друге – в
канонічному імені не використовуються теги LDAP-атрибутів (наприклад, CN та DC).
Ідентифікатори захисту
Active Directory використовує модель реплікації з кількома господарями, коли на
кожному контролері домену зберігається своя копія розділу Active Directory ; Контролери
домену є рівноправними господарями. Можна змінити об'єкти, які зберігаються на будь-
якому контролері домену, і ці зміни реплікуються на інші контролери.
Модель із кількома господарями добре підходить для більшості операцій, але не
для всіх. Деякі операції повинні виконуватися лише одним контролером у кожному
домені чи навіть у кожному лісі. Для виконання цих спеціальних операцій певні
контролери доменів призначаються господарями операцій.
При виробленні стратегії іменування становлять інтерес дві ролі господарів
операцій [3]:
● Господар іменування доменів ( domain naming master ). Один домен у кожному
лісі, обробляє додавання та видалення доменів та генерує унікальний
ідентифікатор захисту (SID);
● Власник RID (relative ID master). Генерує послідовності кожного з контролерів
домену. Чинить у межах домену. Генерує для кожного контролера домену пул 500
RID.
До створюваних імен для учасників системи безпеки висуваються такі вимоги [3]:
● імена можуть містити будь-які символи Unicode , крім наступних символів: #, +,
«, \, < , > ;
● довжина імен облікових записів користувачів не повинна перевищувати 20
символів;
● довжина імен облікових записів комп'ютерів не повинна перевищувати 15
символів;
● довжина імен облікових записів груп не повинна перевищувати 63 символи;
Короткі підсумки
У цій лекції наведено угоду про іменування в Active Directory , з описом різних
форматів імен:
● Відносні складові імена.
● Складові імена.
● Канонічні імена
● Хазяїн RID.
Ціль лекції
Дати уявлення про процеси планування доменного простору імен та створення
структури організаційних одиниць.
Проектування структури OU
Після визначення структури домену організації та планування доменного простору
імен необхідно розробити структуру організаційних одиниць ( OU чи підрозділів – ВП). За
інформацією, зібраною про компанію та її персонал, необхідно визначити, як найкраще
делегувати адміністративні повноваження у доменах. Можна створити ієрархію ОП в
домені: в окремому домені розмістити користувачів та ресурси, повторивши структуру
компанії у конкретному підрозділі. Таким чином, можна створити логічну та осмислену
модель організації та делегувати адміністративні повноваження на будь-який рівень
ієрархії.
У кожному домені дозволяється впроваджувати свою ієрархію ВП. Якщо
організація має кілька доменів, можна створити структури ОП всередині кожного домену
незалежно від структури в інших доменах.
Організаційний підрозділ дозволяє [4]:
● відобразити структуру підприємства та організації всередині домену. Без ОП усі
користувачі підтримуються та відображаються в одному списку незалежно від
підрозділу, розташування та ролі користувача;
● делегувати управління мережевими ресурсами, але зберегти здатність керувати
ними, тобто надавати адміністративні повноваження користувачам чи групам лише
на рівні ОП;
● змінювати організаційну структуру підприємства;
Не слід створювати структуру OU виключно для того, щоб просто мати якусь
структуру: OU використовуються з певною метою. До цих цілей відносяться [3]:
● делегування адміністративного управління об'єктами Правильно розроблена
структура OU дозволяє адміністраторам ефективно делегувати повноваження.
Кожне OU за замовчуванням успадковує дозволи для батьківського OU.
Аналогічно об'єкти, що містяться в OU, успадковують дозволи, задані для цього
OU (і кожного з його батьків). Спадкування – ефективний спосіб надати або
делегувати дозволи на доступ до об'єктів. Перевага спадкування в тому, що
адміністратор може керувати дозволами на доступ до всіх об'єктів у OU, задаючи
дозволи для самого OU, а не конфігуруючи всі дочірні об'єкти окремо;
● обмеження видимості об'єктів. У деяких організаціях певні об'єкти мають бути
приховані від певних адміністраторів чи користувачів. Навіть якщо заборонити
зміну атрибутів об'єкта, користувачі, які мають доступ до контейнера з таким
об'єктом, все одно зможуть бачити, чи цей об'єкт існує. Однак можна приховати
об'єкти, помістивши їх в OU і обмеживши коло користувачів, які мають дозвіл на
список вмісту ( List Contents ) для цієї OU. Тоді об'єкти, поміщені в контейнер,
будуть невидимі користувачам, які не мають цього дозволу;
● керування застосуванням групової політики. Групова політика дозволяє
застосовувати одні й самі параметри конфігурації відразу до кількох об'єктів. З її
допомогою можна визначати параметри користувачів (наприклад, обмеження
паролів) або комп'ютерів. При використанні групової політики створюється об'єкт
групової політики ( Group Policy Object , GPO) — об'єкт, пов'язаний з доменом,
сайтом або OU і містить параметри конфігурації, які потрібно застосувати.
Планування ієрархії OU
При плануванні ієрархії ВП важливо дотриматися таких правил [4]:
● Хоча глибина ієрархії ВП не обмежена, продуктивність дрібної ієрархії вища, ніж
глибокої.
● ОП повинні відбивати постійні структурні одиниці організації.
Слід приділяти особливу увагу верхньому рівню структури OU, який завжди
повинен відображати відносно незмінну частину структури підприємства, щоб його не
доводилося змінювати у разі реорганізації. Так, такі типи структури верхнього рівня
засновані на постійних характеристиках підприємства, зміна яких є малоймовірною [3]:
● Фізичні ділянки. У філіях, фізично розташованих у різних місцях (особливо, коли
компанія діє на великій території, наприклад у кількох країнах), часто є свої ІТ-
відділи, тому філії мають різні вимоги до адміністрування. Створення окремого OU
верхнього рівня для кожної філії - один із варіантів архітектури, заснованої на
завданнях; Залежно від місцезнаходження визначаються різні адміністративні
завдання.
● Типи адміністративних завдань. Структура верхнього рівня, що ґрунтується на
адміністративних завданнях, відносно постійна. Які б реорганізації не відбувалися
в компанії, основні типи адміністративних завдань навряд чи зміняться.
● Типи об'єктів. Як і структура, заснована на завданнях, структура, в якій OU
верхнього рівня відповідають типу об'єктів, забезпечує стійкість архітектури до
змін.
Недоліки:
● передбачається наявність адміністратора у кожному філії;
Недолік:
● вразлива при реорганізації, оскільки може знадобитися зміна верхнього рівня
структури ОU.
Недоліки:
● під час реорганізації адміністративного персоналу необхідно переглянути
структуру;
● необхідна взаємодія між адміністраторами, які працюють у різних відділах однієї
філії.
Недолік:
● уразливість при реорганізаціях.
Типова конфігурація OU
Як правило, звичайна конфігурація — це якраз змішана модель ієрархії ВП,
наприклад: OU вищого рівня, засновані на географічних регіонах, з наступним рівнем OU
у межах кожного регіону, заснованих на ділових підрозділах. Деякі компанії можуть
вибрати OU вищого рівня, що базуються на ділових підрозділах, а потім створювати під
вищим рівнем структуру OU, засновану на географії.
OU найвищого рівня можуть включати OU служби облікових записів для всіх
службових облікових записів, які використовуються в домені. Створення на вищому рівні
OU для спеціальних облікових записів користувачів, таких як службові облікові записи,
спрощує їхнє адміністрування. OU найвищого рівня можуть включати OU серверів, якщо
всі сервери керуються централізовано. Крім цих адміністративних OU можуть бути
створені також OU вищого рівня, засновані на географії корпорації. Організаційні одиниці
вищого рівня, що ґрунтуються на географії, можуть використовуватися для делегування
адміністративних завдань.
OU другого рівня у кожному географічному регіоні засновані на ділових
підрозділах регіону. OU бізнес-підрозділів могли б застосовуватися для делегування
адміністрування, а також призначення групових політик. Під діловими OU розташовані
OU, засновані на відділах. На цьому рівні OU використовуватиметься для призначення
групових політик чи певних адміністративних завдань, типу права скидання паролів.
OU відділів можуть містити інші OU [13]:
● OU облікових записів. Містить облікові записи користувачів та груп відділу. У
деяких випадках OU облікових записів розбиваються на OU, які містять групи,
облікові записи користувачів або видалених користувачів.
● OU комп'ютери. Містить всі комп'ютери користувача і включає окремі OU
комп'ютерів з різними операційними системами.
● OU ресурсів. Містить ресурси, пов'язані з цією OU. Включає домени локальних
груп, сервери, принтери та спільно використовувані папки.
● OU додатків чи проектів. Якщо група людей і ресурсів працюють над певним
проектом (додатком), який потребує унікального управління, можна створити
структуру OU для цих користувачів, а потім згрупувати користувачів, ресурси та
комп'ютери, необхідні для цього проекту, у OU.
Короткі підсумки
У цій лекції було продовжено розгляд питання, як планувати службу Active
Directory перед її розгортанням.
У службі Active Домени Directory мають DNS-імена. При дослідженні існуючої
інфраструктури DNS слід виконати такі дії.
● Задокументувати всі DNS-імена доменів, які використовуються в даний час у
межах компанії.
● Задокументувати всі додаткові імена, які компанія зареєструвала для використання
в Інтернеті.
● Задокументувати існуючу конфігурацію DNS-серверів.
Для впровадження Active Directory існують два види просторів імен (внутрішній та
зовнішній), при цьому простір імен Active Directory збігається із заданим зареєстрованим
простором імен DNS або відрізняється від нього.
Після визначення структури домену організації та планування доменного простору
імен необхідно розробити структуру організаційних одиниць ( OU чи підрозділів – ВП).
Організаційний підрозділ дозволяє:
● відобразити структуру підприємства та організації всередині домену;
Ціль лекції
Виробити стратегію управління обліковими записами для можливості її
застосування під час розгортання Active Directory .
● Використання складної схеми для паролів (малі, великі літери, цифри та інші
символи).
Планування груп
Групи полегшують надання дозволів користувачам. Наприклад, призначити
дозволи групі та додати користувачів до цієї групи набагато простіше, ніж окремо
призначати дозволи численним користувачам та керувати цими дозволами. Коли
користувачі входять до групи, для зміни того чи іншого дозволу всіх користувачів
достатньо однієї операції.
Як і у випадку облікових записів користувачів, групи бувають локальні та рівня
домену. Локальні групи зберігаються в базі даних захисту локального комп'ютера і
призначені для керування доступом до ресурсів комп'ютера. Групи рівня домену
зберігаються в Active Directory і дозволяють розміщувати в них користувачів та керувати
доступом до ресурсів домену та його контролерів.
● використовуються ОС.
● Групи розповсюдження:
● Універсальні групи:
Active Directory дозволяє вкладати групи, тобто поміщати одні групи до інших.
Вкладення груп – ефективний спосіб упорядкування користувачів. При вкладенні груп
потрібно прагнути до того що, щоб рівень вкладення був мінімальним; по суті краще
обмежитися одним рівнем. Чим глибше вкладення, тим складніше підтримувати
структуру дозволів.
Групи користувачів допомагають досягти найбільших успіхів у стратегії
управління обліковими записами при виконанні наступних правил [3]:
● Уникати дозволу на облікові записи.
Незалежно від типу параметрів групової політики є три наступні категорії [3].
● Параметри програм ( Software Settings ). Категорія містить параметри для
встановлення програмного забезпечення на клієнтських комп'ютерах
(підтримуються ОС Windows 2000 та новіші), до яких застосовується групова
політика. Використовуються два компоненти:
● служба інсталяції Windows . Встановлення та оновлення ПЗ відповідно до
інструкцій у інсталяційних пакетах;
● інсталяційні пакети Windows . Виконувані файли сценаріїв з усіма
вказівками ( msi ).
● Параметри Windows ( Windows Settings ). Категорія призначена для зміни низки
параметрів конфігурації, пов'язаних із середовищем Windows :
● сценарії ( Scripts ). Настроюючи конфігурацію комп'ютера, можна
встановити сценарії, які виконуються під час його увімкнення або
вимкнення. При налаштуванні конфігурації для користувача можна
встановити сценарії, що виконуються під час входу або виходу користувача;
● параметри безпеки ( Security Settings ). Це параметри безпеки, що
задаються для комп'ютерів та користувачів;
● налаштування Internet Explorer (Internet Explorer Maintenance). Цей вузол
доступний лише користувачам і служить керувати роботою Internet Explorer
на клієнтських комп'ютерах;
● служби віддаленої установки (Remote Installation Services, RIS). RIS
дозволяє автоматично виконувати віддалене встановлення операційної
системи на нові клієнтські комп'ютери. Ці параметри також доступні лише
для конфігурацій користувачів. Вони керують віддаленим встановленням
операційних систем;
● перенаправлення папок ( Folder Redirection ). Ці настройки доступні лише
для конфігурацій користувачів. Вони дозволяють перевизначити спеціальні
папки Windows , змінивши їх місцезнаходження за умовчанням на
мережевий каталог. Це дозволяє централізовано керувати папками
користувачів.
● Адміністративні шаблони ( Administrative Templates ). Категорія містить усі
параметри групової політики, які зберігаються в реєстрі, які можна
використовувати для конфігурацій комп'ютерів та користувачів.
Дозвіл GPO з кількох джерел
Оскільки GPO, які застосовуються до користувача або комп'ютера, можуть
надходити з кількох джерел, потрібен спосіб визначення того, як ці GPO поєднуються
один з одним. GPO обробляються в наступному порядку [3]:
● локальний GPO. Обробляється локальний GPO комп'ютера, і використовуються
всі параметри захисту, задані в цьому GPO;
● GPO сайту. Обробляються GPO, пов'язані із сайтом, до якого належить комп'ютер.
Параметри, задані цьому рівні, перевизначають будь-які параметри попереднього
рівня, із якими конфліктують. Якщо з веб-сайтом пов'язано кілька GPO,
адміністратор веб-сайту може задати, в якому порядку обробляються ці GPO;
● GPO домену. Обробляються GPO, пов'язані з доменом, до якого належить
комп'ютер, і застосовуються параметри, що містяться в них. Параметри, задані на
рівні домену, перевизначають параметри, застосовані на локальному рівні або рівні
сайту, з якими вони конфліктують. Якщо з доменом пов'язано кілька GPO,
адміністратор, як і в попередньому випадку, може встановити порядок їх обробки;
● GPO OU. Обробляються GPO, які пов'язані з будь-якими OU, які містять
користувача чи комп'ютер. Параметри, задані на рівні OU, перевизначають
параметри, застосовані на локальному рівні або на рівні домену та/або сайту, з
якими вони конфліктують. Один і той самий об'єкт може входити в кілька OU. У
цьому випадку спочатку обробляються GPO, пов'язані з OU, що знаходиться на
найвищому рівні ієрархії Active Directory , потім з OU, що знаходиться на
наступному рівні, і т. д. Якщо з однією OU пов'язано кілька GPO, адміністратор, як
і в попередніх випадках, може задати порядок їх обробки.
Зв'язування G P O із сайтом
GPO пов'язують із сайтами дуже рідко, оскільки набагато ефективніше пов'язувати
GPO з OU, структура яких ґрунтується на територіальному розподілі.
Але за певних обставин зв'язування GPO з сайтом є прийнятним рішенням. Якщо
параметри мають бути спільними для всіх комп'ютерів, що фізично знаходяться в певному
місці, і для цього місця створено сайт, є сенс зв'язати GPO з сайтом. Наприклад, для
комп'ютерів, розташованих у певній філії, потрібно задати певну мережну конфігурацію
за допомогою підключення до Інтернету. В цьому випадку ідеально підходить GPO,
пов'язаний із сайтом.
Зв'язування GPO з OU
Найчастіше краще зв'язувати GPO з добре продуманою структурою OU, ніж із
сайтами чи доменами. OU забезпечують найбільшу гнучкість, оскільки дозволяють
спроектувати структуру, хоча б частково спрощує застосування групової політики. Крім
того, OU гнучкіші в адмініструванні: можна без проблем переміщувати користувачів та
комп'ютери між OU, змінювати структуру OU і навіть перейменовувати самі OU.
Короткі підсумки
В Active Directory можна створити п'ять типів облікових записів:
● Комп'ютер;
● Користувач;
● Група;
● InetOrgPerson ;
● Контакт.
У Windows Server 2003 існує два основних типи облікових записів користувачів:
● локальні;
● доменні.
● Гість ( Guest ).
● групи розповсюдження;
● глобальні групи;
● універсальні групи:
● конфігурація користувача.
● GPO сайту.
● GPO домену.
● GPO OU.
Лекція 9. ПЛАНУВАННЯ ТОПОЛОГІЇ САЙТІВ
Коротка інструкція: У цій лекції продовжено розгляд питання, як планувати службу
Active Directory перед її розгортанням. Розглянуто процес планування топології сайтів для
моделювання фізичної структури Active Directory .
Ключові слова : фізична структура, сайт, контролер домену, логічна структура, ліс,
домен, організаційна одиниця, зв'язок сайту, DNS , господар схеми, господар іменування
доменів, господар RID , емулятор основного контролера домену, господар
інфраструктури, сервер глобального каталогу.
Ціль лекції
Дати уявлення про процес планування топології сайтів.
● план лісів;
● план доменів;
При плануванні сайту слід подумати і про те, хто керуватиме структурою сайту
після його розгортання. Зазвичай відповідальними за топологію сайтів призначають
адміністратора (або адміністраторів). Він повинен у міру зростання та зміни фізичної
мережі вносити необхідні зміни до структури сайтів. Відповідальний за топологію сайтів
виконує такі обов'язки [3]:
● змінює топологію сайтів відповідно до змін у фізичній топології мережі;
Розміщення DNS-серверів
Без служби DNS користувачі не зможуть знаходити контролери домену Active
Directory , а контролери домену не можуть знаходити один одного для реплікації. DNS
повинна бути розгорнута в кожному офісі організації, за винятком, можливо, тільки дуже
маленьких офісів з кількома користувачами. Служба DNS Windows Server 2003 забезпечує
кілька варіантів розгортання. Можна розміщувати DNS-сервери в офісі там, де немає
контролера домену. Наприклад, контролер домену небажано розташовувати в маленькому
офісі з повільним мережним підключенням до центрального офісу через трафіку
реплікації, спрямованого на контролер домену. Однак DNS-сервер в цей офіс помістити
можна, оскільки він може бути налаштований так, щоб трафік реплікації був дуже малий
або взагалі був відсутній. Якщо налаштувати DNS-сервер як сервер, призначений тільки
для кешування, він оптимізуватиме пошуки клієнта, але не створить трафіку зонної
передачі. Можна настроїти DNS-сервер зі скороченими зонами для доменів Active
Directory . Оскільки скорочені зони містять лише кілька записів, до віддаленого офісу
надсилатиметься дуже невеликий трафік реплікації.
Короткі підсумки
При плануванні сайтів мають бути вирішені два завдання:
● оптимізація трафіку реєстрації робочої станції;
● оптимізація реплікації каталогів
Ціль лекції
Дати уявлення про процес реплікації в Active Directory .
Протоколи реплікації
Видалені дзвінки процедур виконуються при надсиланні повідомлень реплікації
всередині сайту та між сайтами. Протокол RPC використовується за умовчанням при всіх
операціях реплікації Active Directory , оскільки є галузевим стандартом та сумісний з
більшістю типів мереж [3].
Обмін даними з каталогу здійснюється за допомогою різних мережевих протоколів,
таких як IP або SMTP [4]:
● ІР-реплікація. Використовує віддалений виклик процедур ( R emote P rokudure C
all , R P C) для реплікації через зв'язки сайтів (міжсайтовий) і всередині сайту
( внутрісайтовий ). За замовчуванням міжсайтова IP-реплікація виконується за
відповідним розкладом, проте можна налаштувати реплікацію Active Directory ,
щоб ігнорувати розклад. Для IP-реплікації не потрібний центр сертифікації.
● SMTP-реплікація. Виробляється тільки через зв'язки сайтів (міжсайтова), але не в
межах сайту. Оскільки протокол SMTP асинхронний, зазвичай усі розклади ним
ігноруються. Необхідно встановити та налаштувати центр сертифікації ( C
ertification A uthority , CA) компанії для використання SMTP-зв'язків сайтів. Центр
сертифікації підписує повідомлення SMTP, якими обмінюються контролери
домену для підтвердження автентичності оновлень каталогу.
Процес реплікації
Реплікація дозволяє відображати зміни в одному контролері домену на інших
контролерах домену. Інформація каталогу реплікується на контролери домену як у межах
вузлів, і між ними. При цьому з будь-якого комп'ютера в дереві доменів або лісі
користувачі та служби могли постійно отримувати доступ до інформації в каталозі.
Існують два типи оновлень інформації Active Directory , що стосується певного
контролера домену [13]. Перший тип оновлень - Вихідне оновлення ( originating update ).
Вихідне оновлення виконується при додаванні, зміні або видаленні об'єкта на контролері
домену. Другий тип оновлень - репліковане оновлення ( replicated update ). Реплікація
виконується тоді, коли зміна, зроблена на одному контролері домену, копіюється на інший
контролер домену. За визначенням вихідне оновлення, що стосується будь-якої
конкретної зміни, тільки одне, воно виконується на тому контролері домену, де було
зроблено. Потім вихідне оновлення копіюється на всі контролери домену, які мають
репліку розділу Active Directory , порушеного оновленням.
Вихідні оновлення Active Directory відбуваються у таких випадках [13]:
● до Active Directory доданий новий об'єкт;
Короткі підсумки
Модель реплікації, що використовується в Active Directory представляє модель з
нежорстким узгодженням, що володіє збіжністю.
● Реплікація не є жорстко узгодженою, оскільки контролери домену, що містять
репліку розділу, не завжди мають ідентичну інформацію.
● Процес реплікації завжди сходиться, тобто, якщо система підтримується в
стаціонарному стані, без внесення нових змін до каталогу протягом деякого часу,
то всі контролери домену досягнуть одноманітного стану і матимуть ідентичну
інформацію.
● дані домену.
Ціль лекції
Навчитися впроваджувати Active Directory , сформулювати умови встановлення,
розібрати питання тестування.
● встановлює DNS-сервер;
Режими домену
Існують два режими домену - змішаний та основний [4].
● Змішаний режим. При першому встановленні або оновленні контролера домену
до Windows 2000 Server контролер запускається в змішаному режимі ( mixed
mode ), що дозволяє йому взаємодіяти з будь-якими контролерами доменів під
керуванням попередніх версій Windows NT.
● Основний режим. Якщо на всіх контролерах домену встановлено Windows 2000
Server і не планується більше додавати до цього домену контролери нижнього
рівня, то рекомендується перевести домен в основний режим ( native mode ).
Короткі підсумки
Під час встановлення Active Directory виконуються такі функції:
● Додавання контролера домену до існуючого домену.
● сервер, який виконував роль основного контролера домену, перестає бути таким,
тому всі контролери стають рівноправними.
Ціль лекції
Дати уявлення про процес міграції під час розгортання Active Directory .
Варіанти модернізації
Існує два основні варіанти модернізації доменної інфраструктури [4]:
● Оновлення доменів. Даний спосіб є найпоширенішим і найпростішим для
реалізації при міграції доменів. Цей спосіб дозволяє зберегти поточну структуру
доменів, налаштування системи, структуру користувачів та груп. Оновлення
домену ( in - place оновлення) включає переведення контролерів існуючого домену
в створюваний домен.
● Реструктуризація доменів. Цей спосіб дозволяє змінити існуючу структуру
доменів, об'єднати домени або перетворити домени на організаційні підрозділи.
Крім зазначених вище варіантів, існує також змішаний варіант, заснований на них -
оновлення доменів з їх подальшою реструктуризацією [13].
Ці варіанти називаються шляхами переходу під час впровадження Active Directory .
Вибраний із них шлях переходу буде головною ланкою у загальній стратегії оновлення
доменної інфраструктури. Ця стратегія включатиме опис того, які об'єкти служби каталогу
та в якому порядку необхідно перемістити. Найкращий спосіб будь-якого переміщення
програм при впровадженні Active Directory полягає у документуванні кожної деталі у
робочий документ, званий планом переходу.
Планування модернізації
Перший крок у плануванні модернізації Active Directory полягає в документуванні
існуючого каталогу та платформи мережевих служб, опис яких необхідно включити до
плану [13]:
● Поточна доменна структура. Ця інформація буде потрібна для можливості
відкату переходу. Найкраща практика полягає в документуванні наступної
інформації про поточний каталог, мережеві служби та середовище, в якому вони
виконуються:
● всі домени організації (домени ресурсів та облікових записів);
● оперативна пам'ять;
● системи зберігання інформації;
Як тільки поточне середовище буде описано, необхідно ухвалити рішення про те,
як і коли модернізувати Active Directory , тобто створити сценарій (план) модернізації -
покроковий список завдань та порядок їх виконання.
У плані модернізації рекомендується мати такі складові [13]:
● порядок модернізації;
● дії, які необхідно вжити для того, щоб гарантувати продовження роботи мережевих
служб у процесі оновлення;
● дії щодо перевірки правильності виконання;
Короткі підсумки
Для можливості функціонування в компанії різних програм, що використовуються
в бізнес-процесах до впровадження служби Active Directory , необхідно здійснити
коректне перенесення цих додатків та їх налаштувань у нову спроектовану структуру.
У процесі міграції даних забезпечується безперервність роботи користувачів та
мінімальний час простою інформаційних систем компанії.
Під час проведення міграції необхідно виконати такі задачи:
● перевести існуючі домени ресурсів до організаційних одиниць нових доменів, що
дозволить спростити управління мережевими ресурсами;
● «імітувати» перебіг міграції, у своїй реального перенесення даних немає;
● перетворити безліч доменів на один або кілька великих доменів у вже створеному
середовищі Active Directory ;
● реструктуризувати існуючі групи або об'єднати кілька груп в одну в цільовому
домені;
● провести аналіз процесу перенесення даних за допомогою журналізації
міграційних подій.
● Визначення моменту перемикання для кожного домену з Mixed mode в Native mode
Windows .
● Тестування наявних критичних програм в оточенні Active Directory у змішаному
режимі роботи контролерів доменів.
● Реструктуризація доменів.
Ціль лекції
Висвітлити процес моніторингу Active Directory .
4
Існують набори інструментів, які можуть поєднати моніторинг цих ключових індикаторів в один
легко керований інтерфейс, і для великих організацій наявність таких коштів дуже суттєва, але вони дорогі,
складні та потребують багато ресурсів.
5
Можливо, ця інформація не допоможе запобігти виникненню сьогоднішньої помилки, але вона
дозволить отримати цінні дані, з якими можна будувати плани щодо подальшого розвитку інфраструктури
компанії.
Переваги, які можна отримувати від моніторингу Active Directory , включають такі
компоненти [13]:
● здатність підтримувати SLA-угоду з користувачами, уникаючи простою служби;
Елементи моніторингу
Для моніторингу стану Active Directory слід відстежувати роботу, пов'язану зі
службою, та індикатори функціонування, пов'язані з сервером, а також події. Мета
моніторингу – гарантувати, що Active Directory та контролери домену, на яких вона
виконується, працюють в оптимальному режимі.
При проектуванні моніторингу рекомендується планувати спостереження за
такими елементами (областями роботи) [5], [13]:
● Продуктивність служб Active Directory . Ці індикатори функціонування
відстежуються за допомогою лічильників NTDS в інструменті адміністрування
Performance .
● Реплікація Active Directory . Функціонування реплікації істотно задля забезпечення
збереження даних у межах домену.
● Функціонування служби DNS та стан DNS-сервера. Оскільки Active Directory
покладається на DNS при пошуку ресурсів у мережі, то сервер DNS і сама служба
повинні працювати в нормальному режимі, щоб Active Directory задовольняла
заданий рівень якості обслуговування.
● Сховище Active Directory . Дискові томи, які містять файл бази даних Active
Directory Ntds . dit та файли журналів. log повинні мати достатньо вільного
простору, щоб допускати нормальне зростання і функціонування. Крім того, якщо
моніторинг функціонування служби показує, що диск, на якому розташована база
даних Active Directory , фрагментований, необхідно його дефрагментувати .
● Служба реплікації файлів (File Replication Service, FRS). Служба FRS повинна
працювати в межах норми, щоб гарантувати, що загальний системний том
( Sysvol ) реплікується по всьому домену.
● "Здоров'я" системи контролера домену. Моніторинг цієї області повинен
охоплювати всі аспекти стану сервера, включаючи лічильники, що характеризують
використання пам'яті, процесора та розбиття на сторінки.
● "Здоров'я" лісу. Ця область повинна відстежуватися для того, щоб перевірити
довірчі стосунки та доступність сайту.
● Господарі операцій. Необхідно відстежувати кожного господаря операцій, щоб
гарантувати здоров'я сервера. Крім того, слід проводити моніторинг для
забезпечення доступності GC-каталогу, що дозволяє користувачам входити до
системи та підтримувати членство універсальних груп.
Моніторинг продуктивності
Як і будь-яка критична для бізнесу система, Active Directory повинна бути під
постійним контролем. Для вирішення цього завдання Microsoft вбудувала механізм Active
Directory цілий ряд можливостей, що включає як розширену діагностику в EventLog
контролерів домену, звіти та логи в текстові файли, так і вбудовані лічильники
продуктивності.
Дані про продуктивність Active Directory дозволяють [4]:
● оцінити продуктивність Active Directory та її вплив на ресурси системи;
Моніторинг реплікації
Один із критичних компонентів Active Directory , за роботою якого необхідно
спостерігати, - це реплікація.
Існують два стандартні засоби адміністрування серверів для моніторингу та
пошуку несправностей реплікації. Перший інструмент – Event Viewer (Засіб перегляду
подій). Журнал подій Directory Service (Служба каталогу) — це один із журналів
реєстрації подій, який додається до всіх контролерів домену. Більшість подій, пов'язаних з
реплікацією каталогу, записується в нього, і це перше місце, яке необхідно переглянути у
разі виникнення збою при реплікації.
Інструмент адміністрування Performance (Продуктивність) корисний для контролю
діяльності, пов'язаної з реплікацією, що відбувається на сервері. Коли сервер
призначається контролером домену, до списку лічильників продуктивності додається
об'єкт NTDS Performance . Лічильники продуктивності можна використовувати для
контролю обсягу трафіку реплікації, а також іншої діяльності, пов'язаної з Active Directory
.
Один із найбільш корисних інструментальних засобів, призначених для
моніторингу та пошуку несправностей реплікації, — це Replication Monitor (Монітор
реплікації). Монітор реплікації контролює один або більше серверів за списком серверів,
що створюється адміністратором, надаючи можливість керувати майже всіма аспектами
реплікації Active Directory – наприклад, відстежувати поточний стан реплікації, останню
успішну реплікацію або будь-які відмови при реплікації; змушувати реплікацію;
змушувати КСР до повторного обчислення топології маршрутизації. Використовуючи цей
інструмент моніторингу, можна контролювати реплікації на всіх контролерах домену
корпоративної мережі.
Другий корисний інструмент моніторингу реплікацій - Repadmin , що входить до
набору Windows Server 2003 Support Tools (Кошти обслуговування Windows Server 2003) і
забезпечує такі ж функціональні можливості, як і Replication Monitor , але через інтерфейс
командного рядка. Інструмент Repadmin додатково дозволяє змінювати топологію
реплікації, додаючи об'єкти зв'язку, та повідомляє про відмови реплікаційних зв'язків між
двома партнерами по реплікації.
Також до складу пакета Windows Server 2003 Support Tools входить інструмент
командного рядка Dcdiag , який може перевіряти DNS-реєстрацію домену контролера. Він
відстежує наявність ідентифікаторів захисту (SID) у заголовках контексту іменування
( naming context ), відповідні дозволи для реплікації, аналізує стан контролерів домену в
лісі чи підприємстві та багато іншого.
● Database Size.
● DC OS Metrics Overview.
● DC Response Time.
● DC/Gc Response.
● GC Response Time.
● Memory metrics.
● Replication Latency.
Короткі підсумки
Моніторинг служби каталогу є комбінацією завдань, що мають спільну мету -
вимірювання поточної характеристики деякого ключового індикатора (об'єм диска,
ступінь використання процесора, період працездатного стану служби і т. д.), що
займається, в порівнянні з відомим станом (відправна точка).
Причини проведення моніторингу:
● Моніторинг ідентифікує потенційні проблеми, перш ніж вони виявляться і
закінчаться тривалими періодами простою служби.
● Моніторинг дозволяє підтримувати угоду про рівень сервісу з користувачем
мережі.
● Потрібно відстежувати зміни інфраструктури.
● "Здоров'я" лісу.
● Господарі операцій.
Ціль лекції
Дати уявлення про можливі проблеми з Active Directory та способи їх усунення.
Помилки реплікації
Неефективна реплікація викликає падіння продуктивності служби Active Directory ,
наприклад, можуть не розпізнавати нові користувачі. Найчастіше внаслідок неефективної
обробки запитів та неефективної реплікації інформація каталогу застаріває, а контролери
домену стають недоступними.
Журнал служби каталогу повідомляє про помилки реплікації, які відбуваються
після встановлення реплікаційного зв'язку. Потрібно переглядати журнал реєстрації подій
служби каталогу в пошуках подій реплікації, які мають тип Error (Помилка) або Warning
(Попередження).
Далі наведено два приклади типових помилок реплікації у тому вигляді, як вони
відображені в журналі реєстрації подій служби каталогу [13].
● Подія з ID 1311. Інформація про конфігурацію реплікації в інструменті Active
Directory Sites And Services (Сайти та служби Active Directory ), не відображає
точно фізичну топологію мережі. Ця помилка вказує на те, що один або більше
контролерів домену або сервер-плацдарм знаходяться в автономному режимі (або
відключені), або що сервери-плацдарми підключені, але не містять потрібних
контекстів іменування (NC) або при реплікації необхідного контексту
найменування між сайтами Active Directory виникають помилки. Також можлива
причина цієї помилки полягає в тому, що один або кілька вузлів не включені у
зв'язку сайтів або зв'язку сайтів містять усі сайти, але не всі зв'язки сайтів, що
взаємодіють між собою.
● Подія з ID 1265 ( Access denied - Доступ заборонено). Ця помилка може виникати
в тому випадку, якщо локальний контролер домену не зміг підтвердити
справжність свого партнера щодо реплікації при створенні реплікаційного зв'язку
або при спробі реплікувати існуючий зв'язок. Помилка виникає тоді, коли
контролер домену був від'єднаний від решти мережі протягом тривалого часу і
його пароль облікового запису комп'ютера не синхронізовано з паролем облікового
запису комп'ютера, що зберігається в каталозі його реплікаційного партнера.
Якщо отримано повідомлення про подію з ID 1265 та помилку «Помилка пошуку в
DNS» або про помилку «RPC-сервер недоступний» у журналі служби каталогів, можлива
причина свідчить про проблеми DNS.
Реплікація Active Directory залежить від наступних факторів:
● Записи повинні реплікуватися на сервери DNS, які використовуються партнерами
реплікації.
● Кожна зона DNS повинна мати потрібне делегування дочірніх зон.
Як правило, проблеми, які можна усунути засобами консолі Active Directory Sites
and Services , такі [4]:
● нова інформація каталогу не поширюється своєчасно;
Короткі підсумки
Деякі типові проблеми з Active Directory , з якими можна зіткнутися:
● Неможливо додати або видалити домен.
Ціль лекції
Вказати на необхідність спланувати підготовку до відмов для можливості
відновлення Active Directory .
Підготовка до відмовимо
Перші кроки у відновленні системи після відмови виконуються набагато раніше,
ніж станеться сама відмова.
Підготовка включає перегляд усіх елементів, що становлять нормальну мережеву
інфраструктуру, а також деякі специфічні для Active Directory речі.
Наведені нижче процедури є критично важливими [13].
● Розробити послідовне створення резервної копії та відновити управління
контролерів домену. Перший крок у будь-якому плані відновлення полягає у
встановленні відповідних апаратних засобів та програмного забезпечення для
підтримки створення резервних копій контролерів домену; після цього
рекомендується створити та протестувати план резервування та відновлення.
● Розгорнути контролери домену Active Directory з апаратною надмірністю.
Більшість серверів можна замовляти з деяким рівнем апаратної надмірності за
невеликої додаткової вартості. Наприклад, сервер з подвійним джерелом живлення,
надмірними мережевими картками та надмірною апаратною системою жорсткого
диска має бути стандартним обладнанням для контролерів домену. У багатьох
великих компаніях апаратна надмірність піднята на такий рівень, коли всі
контролери домену пов'язані з різними ланцюгами живлення та підключені до
різних комутаторів Ethernet або мережевих сегментів.
● папку Sysvol ;
Процес відновлення
Існують дві причини, через які, можливо, доведеться відновлювати Active Directory
[13].
● Перша причина виникне, коли база даних стане непридатною для використання,
тому що на одному з контролерів домену відбулася відмова в роботі жорсткого
диска або база даних зіпсована настільки, що її більше не вдається завантажити.
● Друга причина виникне, коли в результаті помилки хтось видалив організаційну
одиницю, яка містить кілька сотень облікових записів користувачів та груп. І тут
бажано відновити інформацію, ніж вводити її повторно.
Короткі підсумки
Перші кроки у відновленні системи після відмови виконуються набагато раніше,
ніж станеться сама відмова. Підготовка включає перегляд усіх елементів, що становлять
нормальну мережеву інфраструктуру, а також деякі специфічні для Active Directory речі.
Наведені нижче процедури є критично важливими.
● Розробити послідовне створення резервної копії та відновити управління
контролерів домену.
● Розгорнути контролери домену Active Directory з апаратною надмірністю.
Найважливіше з обмежень, які накладаються створення резервної копії служби
каталогу, у тому, що Active Directory може копіюватися лише як частина даних
системного стану контролера домену.
Дані системного стану контролера домену включають:
● базу даних Active Directory та журнали транзакцій;
● папку Sysvol ;
Для відновлення Active Directory необхідно архівувати дані стану служби: реєстр,
базу даних реєстрації СОМ+, системні завантажувальні файли та базу даних служб
сертифікації (якщо це сервер служб сертифікації).