Лекции по "Администрированию сетей"

Лес

Наиболее крупная структура  в Active Directory. Лес объединяет деревья, которые поддерживают единую схему ( схема Active Directory — набор определений типов, или классов, объектов в БД Active Directory). В лесу между всеми доменами установлены двухсторонние транзитивные доверительные отношения, что позволяет пользователям любого домена получать доступ к ресурсам всех остальных доменов, если они имеют соответствующие разрешения на доступ. По умолчанию, первый домен, создаваемый в лесу, считается его корневым доменом, в корневом домене хранится схема AD.

Новые деревья в лесу создаются  в том случае, когда необходимо построить иерархию доменов с  пространством имен, отличным от других пространств леса.

При управлении деревьями  и лесами нужно помнить два  очень важных момента:

1. Первое созданное в лесу доменов дерево является корневым деревом, первый созданный в дереве домен называется корневым доменом дерева (tree root domain);
2. Первый домен, созданный в лесу доменов, называется корневым доменом леса (forest root domain), данный домен не может быть удален (он хранит информацию о конфигурации леса и деревьях доменов, его образующих).

Организационные подразделения.

Организационные подразделения (Organizational Units, OU) — контейнеры внутри AD, которые создаются для объединения объектов в целях делегирования административных прав и применения групповых политик в домене. ОП существуют только внутри доменов и могут объединять только объекты из своего домена. ОП могут быть вложенными друг в друга, что позволяет строить внутри домена сложную древовидную иерархию из контейнеров и осуществлять более гибкий административный контроль. Кроме того, ОП могут создаваться для отражения административной иерархии и организационной структуры компании.

Глобальный каталог

Глобальный каталог является перечнем всех объектов, которые существуют в лесу Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и не обо всех атрибутах этих объектов), находящемся в данном лесу.

Именование объектов

В службе каталогов должен быть механизм именования объектов, позволяющий  однозначно идентифицировать любой  объект каталога. В каталогах на базе протокола LDAP для идентификации  объекта в масштабе всего леса используется механизм отличительных  имен ( Distinguished Name, DN ). В Active Directory учетная  запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users, будет иметь следующее отличительное имя: "DC=ru, DC=company, CN=Users, CN=User".

Обозначения:

• DC (Domain Component) — указатель на составную часть доменного имени;
• OU (Organizational Unit) — указатель на организационное подразделение (ОП);
• CN (Common Name) — указатель на общее имя.

Если отличительное имя  однозначно определяет объект в масштабе всего леса, то для идентификации  объекта относительно контейнера, в  котором данный объект хранится, существует относительное отличительное имя (Relative Distinguished Name, RDN). Для пользователя User из предыдущего примера RDN-имя будет иметь вид " CN=User ".

Кроме имен DN и RDN, используется основное имя объекта ( User Principal Name, UPN ). Оно имеет формат <имя субъекта>@<суффикс  домена>. Для того же пользователя из примера основное имя будет  выглядеть как User@company.ru.

Имена DN, RDN могут меняться, если объект перемещается из одного контейнера AD в другой. Для того чтобы не терять ссылки на объекты при их перемещении  в лесу, всем объектам назначается  глобально уникальный идентификатор ( Globally Unique Identifier, GUID ), представляющий собой 128-битное число.

Планирование пространства имен

Планирование пространства имен и структуры AD — очень ответственный  момент, от которого зависит эффективность  функционирования будущей корпоративной  системы безопасности. При этом надо иметь в виду, что созданную  вначале структуру в процессе эксплуатации будет очень трудно изменить (например, в Windows 2000 изменить имя домена верхнего уровня вообще невозможно, а в Windows 2003 решение этой задачи требует выполнения жестких  условий и тщательной подготовки данной операции). При планировании AD необходимо учитывать следующие  моменты:

1. Тщательный выбор имен доменов верхнего уровня. Необходимо учитывать вопросы интеграции внутреннего пространства имен и пространства имен сети Интернет, так как пространство имен AD базируется на пространстве имен DNS, при неправильном планировании могут возникнуть проблемы с безопасностью;
2. Качество коммуникаций в компании;
3. Организационная структура компании;
4. Количество пользователей и компьютеров в момент планирования;
5. Прогноз темпов роста количества пользователей и компьютеров.

Основные варианты

1. Один домен, одна зона DNS.

В данном примере используется одна и та же зона DNS (company.ru) как для поддержки внутреннего домена AD с тем же именем (записи DC, SRV-1, SRV-2, WS-1), так и хранения ссылок на внешние ресурсы компании — веб-сайт, почтовый сервер (записи www, mail ).

Такой способ максимально  упрощает работу системного администратора, но при этом DNS-сервер, доступный  для всей сети Интернет, хранит зону company.ru и предоставляет доступ к  записям этой зоны всем пользователям  Интернета. Таким образом, внешние  злоумышленники могут получить полный список внутренних узлов корпоративной  сети. Даже если сеть надежно защищена межсетевым экраном и другими  средствами защиты, предоставление потенциальным  взломщикам информации о структуре  внутренней сети — вещь очень рискованная, поэтому данный способ организации  пространства имен AD не рекомендуется (хотя на практике встречается довольно часто).

2. Расщепление пространства имен DNS - одно имя домена, две различные зоны DNS

В данном случае на различных  серверах DNS создаются различные  зоны с одним и тем же именем company.ru. На внутреннем DNS-сервере функционирует  зона company.ru.для Active Directory, на внешнем DNS-сервере  — зона с таким же именем, но для  ссылок на внешние ресурсы. Важный момент — данные зоны никак между собой  не связаны — ни механизмами репликации, ни ручной синхронизацией.

3. Поддомен в пространстве имен DNS для поддержки Active Directory
4. В данном примере корневой домен компании company.ru служит для хранения ссылок на внешние ресурсы. В домене company.ru настраивается делегирование управление поддоменом corp.company.ru на внутренний DNS-сервер, и именно на базе домена corp.company.ru создается домен Active Directory. В этом случае во внешней зоне хранятся ссылки на внешние ресурсы, а также ссылка на делегирование управления поддоменом на внутренний DNS-сервер. Таким образом, пользователям Интернета доступен минимум информации о внутренней сети. Такой вариант организации пространства имен довольно часто используется компаниями.
4. Два различных домена DNS для внешних ресурсов и для Active Directory.
6. В этом сценарии компания регистрирует в Интернет-органах два доменных имени: одно для публикации внешних ресурсов, другое — для развертывания Active Directory.
7. Данный сценарий планирования пространства имен самый оптимальный. Во-первых, имя внешнего домена никак не связано с именем внутреннего домена, и не возникает никаких проблем с возможностью показа в Интернет внутренней структуры. Во-вторых, регистрация (покупка) внутреннего имени гарантирует отсутствие потенциальных конфликтов, вызванных тем, что какая-то другая компания может зарегистрировать в Интернете имя, совпадающее с внутренним именем вашей компании.
5. Домен с именем типа company.local.

Во многих учебных пособиях и статьях используются примеры  с доменными именами вида company.local. Такая схема вполне работоспособна и также часто применяется  на практике. Однако в материалах разработчика системы Windows, корпорации Microsoft, нет  прямых рекомендаций об использовании  данного варианта.

Логическая структура Active Directory

Служба каталогов Active Directory организована в виде иерархической  структуры, построенной из различных  компонентов, которые представляют элементы корпоративной сети. В этой структуре есть, например, пользовательские объекты, компьютерные объекты, и различные  контейнеры. Способ организации этих элементов представляет собой логическую структуру Active Directory в корпоративной  сети. Логическая структура Active Directory включает в себя леса, деревья, домены и Организационные  подразделения (ОП). Каждый из элементов  логической структуры описан ниже.

Домен — логическая группа пользователей и компьютеров, которая поддерживает централизованное администрирование и управление безопасностью. Домен является единицей безопасности – это означает, что администратор для одного домена, по умолчанию, не может управлять другим доменом. Домен также является основной единицей для репликации — все контроллеры одного домена должны участвовать в репликации друг с другом. Домены в одном лесу имеют автоматически настроенные доверительные отношения, что позволяет пользователям из одного домена получать доступ к ресурсам в другом. Необходимо также знать, что можно создавать доверительные отношения с внешними доменами, не входящими в лес.

Дерево является набором доменов, которые связаны отношениями "дочерний"/"родительский", а также используют связанные (смежные, или прилегающие) пространства имен. При этом дочерний домен получает имя от родительского.

Лес — это одно или несколько деревьев, которые разделяют общую схему, серверы Глобального каталога и конфигурационную информацию. В лесу все домены объединены транзитивными двухсторонними доверительными отношениями.

Каждая конкретная инсталляция Active Directory является лесом, даже если состоит всего из одного домена.

Организационное подразделение (ОП) является контейнером, который помогает группировать объекты для целей администрирования или применения групповых политик. ОП могут быть созданы для организации объектов в соответствии с их функциями, местоположением, ресурсами и так далее. Примером объектов, которые могут быть объединены в ОП, могут служить учетные записи пользователей, компьютеров, групп и т.д. Напомним, что ОП может содержать только объекты из того домена, в котором они расположены.

Подводя итог, можно сказать, что логическая структура Active Directory позволяет организовать ресурсы корпоративной сети таким образом, чтобы они отражали структуру самой компании.

Физическая структура Active Directory

Физическая структура Active Directory служит для связи между логической структурой AD и топологией корпоративной сети.

Основные элементы физической структуры Active Directory — контроллеры домена и сайты.

Сайт — группа IP-сетей, соединенных быстрыми и надежными коммуникациями. Назначение сайтов — управление процессом репликации между контроллерами доменов и процессом аутентификации пользователей. Понятие "быстрые коммуникации" очень относительное, оно зависит не только от качества линий связи, но и от объема данных, передаваемых по этим линиям. Считается, что быстрый канал — это не менее 128 Кбит/с (хотя Microsoft рекомендует считать быстрыми каналы с пропускной способностью не менее 512 Кбит/с).

Структура сайтов никак не зависит от структуры доменов. Один домен может быть размещен в нескольких сайтах, и в одном сайте могут  находиться несколько доменов

Серверы глобального  каталога и Хозяева операций.

Большинство операций с записями БД Active Directory администратор может  выполнять, подключившись с помощью  соответствующей консоли к любому из контроллеров домена. Однако, во избежание  несогласованности, некоторые действия должны быть скоординированы и выполнены  специально выделенными для данной цели серверами. Такие контроллеры  домена называются Хозяевами операций ( Operations Masters ), или исполнителями специализированных ролей ( Flexible Single-Master Operations, сокращенно — FSMO ).

Всего имеется пять специализированных ролей:

1. Schema Master (хозяин схемы): контролирует возникающие изменения Схемы базы данных Active Directory (добавление и удаление классов объектов, модификация набора атрибутов). Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).
2. Domain Naming Master (хозяин именования доменов): контролирует процесс добавления или удаления доменов в лесу. Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).
3. PDC Emulator (эмулятор PDC): действует как PDC (главный контроллер домена) для BDC (резервный контроллер домена) под управлением Windows NT, когда домен находится в смешанном режиме; управляет изменениями паролей (изменение пароля учетной записи в первую очередь реплицируется на эмулятор PDC); является предпочтительным сервером (в Windows 2000 — единственный сервер) для редактирования групповых политик; является сервером времени для остальных контроллеров данного домена (контроллеры домена синхронизируют свои системные часы с эмулятором PDC). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).
4. RID Master (хозяин RID, распределитель идентификаторов учетных записей): выделяет контроллерам домена пулы относительных идентификаторов (RID, которые являются уникальной частью идентификаторов безопасности SID). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).
5. Infrastructure Master (хозяин инфраструктуры): отвечает за обновление связей "пользователи — группы" между доменами. Эта роль не должна храниться на контроллере домена, который также является сервером Глобального Каталога – хозяин инфраструктуры не будет работать в данном сценарии (за исключением случая, когда в домене всего один контроллер). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).