WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 | 5 |   ...   | 18 |

«Distributed Systems Guide Microsoft Windows 2000 Server Microsoft Press Распределенные системы Книга 1 Microsof Windows 2000 ...»

-- [ Страница 3 ] --

Раздел схемы Схема Active Directory состоит из совокупности классов объектов, атрибутов и син таксисов, а также содержит правила, гарантирующие согласованность создаваемых и изменяемых объектов. В Active Directory существует стандартный набор неизме няемых классов и атрибутов. Однако при наличии соответствующих полномочий и при условии, что контроллер домена имеет право модифицировать схему, ее можно расширять, добавляя новые атрибуты и классы, необходимые конкретным прило жениям. Изменения схемы производятся контроллером домена, обладающем FSMO-ролью хозяина схемы леса.

Подробнее о том, как сделать схему доступной для модификации, и о расширении схемы — в главе 4 «Схема Active Directory». Подробнее о ролях одиночного хозяи н а — в главе 7 «Управление операциями одиночного хозяина» и в справочной си стеме Windows 2000 Server. Подробнее о заданных по умолчанию классах и схе ме — на Web-странице Web Resources по адресу http://windows.microsoft.com/ windows2000/reskit/webresources, ссылка Microsoft Platform SDK.

Если созданы все условия для модификации схемы, можно установить оснастку ММС Active Directory Schema (Схема Active Directory), чтобы управлять объекта ми классов attributeSchema и classSchema, По умолчанию эта оснастка недоступна, и ее надо устанавливать отдельно. Для просмотра объектов раздела схемы и их свойств также можно воспользоваться программой ADSI Edit. При запуске ADSI Edit по умолчанию отображается контейнер схемы, который разрешается раскры вать для просмотра атрибутов и классов.

Подробнее об установке оснастки Active Directory Schema (Схема Active Directory) в главе 4 «Схема Active Directory». Подробнее об управлении объектами схемы - в справочной системе Microsoft Windows 2000 Server.

Служба каталогов Active Directory 82 ЧАСТЬ Разделы доменов Когда Вы создаете новый домен, раздел домена создается в Active Directory как экземпляр класса domainDns и помещается в список контейнера Partitions.

Просмотр содержания раздела домена Объект верхнего уровня в каждом разделе домена — это контейнерный объект, но сящий DNS-имя домена. Его дочерние контейнеры можно просматривать в консо ли Active Directory Users and Computers (Active Directory — пользователи и ком пьютеры).

Далее перечислены дочерние контейнеры раздела домена.

Примечание Некоторые контейнеры видимы в консоли Active Directory Users and Computers (Active Directory — пользователи и компьютеры), только когда отмече на команда Advanced Features (Дополнительные функции) в меню View (Вид), Кроме контейнеров, в этом режиме доступны также подробные сведения об объек тах и страницы параметров безопасности. На вкладке Object (Объект) отображены сведения о классе, создании и модификации объекта, а на вкладке Security (Безо пасность) можно установить его разрешения.

Users — это хранилище, по умолчанию предназначенное для новых учетных запи сей пользователей, созданных унаследованными API, которые не поддерживают операции с Active Directory. Когда домены Windows NT 4.0 или Windows NT 3. обновляются до Windows 2000, учетные записи пользователей и групп автоматичес ки переносятся в контейнер Users. Этот контейнер также поддерживает служебную программу Windows NT 4.0 User Manager (Usrmgr), кроме того, его нельзя пере именовать.

Примечание В клиентских приложениях контейнер Users и другие специальные кон тейнеры (такие, как Computers, System, Domain Controllers, Infrastructure, Deleted Objects и Lost And Found) можно найти по известным GUID-идентификаторам. Под робнее об использовании ADSI для поиска специальных контейнеров — па Web-стра нице Web Resources по адресу http://windows.microsoft.com/windows2000/reskit/ webresourcc-s, ссылка Microsoft Platform SDK.

System [контейнер доступен, только когда отмечена команда Advanced Features (Дополнительные функции)] содержит встроенные системные параметры различ ных системных служебных контейнеров и объектов. (Подробнее о контейнере System в разделе «Контейнер System» далее в этой главе.) LostAndFound [контейнер доступен только, когда отмечена команда Advanced Features (Дополнительные функции)! хранит объекты глобальной конфигурации, создаваемые в контейнерах, которые в это же время удаляются в другом месте сети.

Если объект был создан или перемещен в место, которое после репликации не су ществует, такой «потерянный?- объект помещается в контейнер LostAndFound. Кон тейнер LostAndFoundConfig в разделе домена выполняет аналогичные функции для объектов домена.

Builtin содержит объекты, которые представляют стандартные встроенные группы [например. Administrators (Администраторы)].

Deleted Objects — это специальный контейнер, невидимый в графическом интерфей се. Б него перемещаются удаленные и захороненные объекты, которые в конечном ГЛАВА 2 Хранение данных в Active Directory счете уничтожаются механизмом «сбора мусора». Чтобы просмотреть содержимое этого контейнера, воспользуйтесь элементом управления 1.2.840.113556.1.4.417, под держивающем отображение удаленных объектов. (Подробнее о просмотре удаленных объектов и LDAP-поиске — в главе 3 «Разрешение имен в Active Directory».) Domain Controllers — УТО контейнер, куда по умолчанию помещаются контролле ры доменов Windows 2000. Этот контейнер переименовать нельзя.

Infrastructure содержит информацию, необходимую контроллеру домена, который выполняет роль хозяина инфраструктуры. В функции последнего входит содержа ние в актуальном виде междоменных ссылок па объекты. Удаленные дочерние объек ты хозяин инфраструктуры переносит в контейнер Infrastructure. При репликации таких объектов удаляются устаревшие записи-фантомы (phantom record). (Подроб нее о записях-фантомах — в разделе «Записи-фантомы» далее в этой главе.) Computers — это контейнер, куда по умолчанию помешаются все новые объекты компьютеры, первоначально созданные средствами унаследованных АР1-интерфей~ сов, нс поддерживающих операций с Active Directory. При обновлении домена Windows NT 4.0 или Windows NT 3.51 до Windows 2000 компьютерные учетные за писи автоматически переносятся в этот контейнер.

ForeignSecurityPrincipals объекты-заместители (proxy) участников безопаснос ти из доменов Windows NT 4.0 или Windows NT 3.51, а также из других лесов, до бавленных к группам Windows 2000.

Примечание В отличие от разделов конфигурации и схемы, полная копия раздела домена реплицируется только на контроллеры данного домена и не попадает в ос тальные домены леса. Частичная копия объектов домена (реплика всех объектов с ограниченным набором атрибутов, выделенных для копирования в глобальный ка талог) реплицируется во все контроллеры доменов, являющиеся серверами глобаль ного каталога.

Управляют содержимым раздела домена с помощью консоли Active Directory Users and Computers (Active Directory — пользователи и компьютеры). Чтобы получить доступ к свойствам, не отображаемым в этой оснастке, воспользуйтесь служебной программой ADSI Edit. По умолчанию при запуске ADSI Edit в окне программы отображается раздел текущего домена.

Контейнер System Контейнер System содержит операционные данные домена, в том числе сведения о стандартной политике локальной безопасности, ассоциации файлов, сетевых кон ференциях, объектах, представляющих другие доверенные домены, а также о кон тейнерах для точек соединения RPC и Winsock.

Далее перечислены дочерние контейнеры папки System.

• AdminSDHolder содержит административные дескрипторы безопасности. В Windows 2000 защита административных групп выполняется фоновым задани ем, которое вычисляет совокупность члснств и проверяет, относятся ли их деск рипторы безопасности к множеству известных дескрипторов. Такое задание вы полняется только на контроллере домене — хозяине роли эмулятора РОС. (Под робнее о дескрипторах безопасности в главе 12 «Управление доступом». Под робнее о роли эмулятора PDC — в главе 7 <• Управление операциями одиночно го хозяина».) Служба каталогов Active Directory 84 ЧАСТЬ Default Domain Policy содержит группы безопасности и разрешения домена по умолчанию. Хранит политики паролей, блокировок, Kerberos, восстановления данных шифрованной файловой системы (Encrypting File System, EPS) и дове ренных корневых сертификатов. Здесь же находится контейнер AppCategories.

У каждого установленного приложения имеется одна или более связанных с ним категорий, которые используются для управления приложениями на предприя тии. Категории появляются при добавлении или изменении программы в дис петчере Add/Remove Programs (Установка и удаление программ) в Control Panel (Панель управления). В поле со списком отображены все категории. В этом контейнере хранятся объекты класса classStore. В объектах именно этого класса публикуются СОМ-компоненты и приложения, и записи в них осуще ствляет мастер Application Deployment (Установка программ). (Подробнее стан дартной политике домена — в главе 22 книги «Распределенные системы. Книга 2.

Ресурсы Microsoft Windows 2000» («Русская Редакция», 2001).

Dfs-Configuration содержит конфигурацию устойчивой к сбоям распределенной файловой системы (Distributed file system, DFS) и данные тома DFS (Подроб нее о DFS — и главе 17 книги «Распределенные системы. Книга 2. Ресурсы Microsoft Windows 2000» («Русская Редакция», 2001).

File Replication Service содержит папку Domain System Volume (общая папка SYSVOL) - набор репликации FRS и поддерживает полное расписание репли кации файлов. (Подробнее о службе репликации файлов — в главе 18 книги «Распределенные системы. Книга 2. Ресурсы Microsoft Windows 2000* («Русская Редакция», 2001).

FileLinks используется службой Distributed Link Tracking Server (TrkSvr) (Служ ба отслеживания изменившихся связей) для хранения информации об отмечен ных ссылками файлах, перемещаемых по томам NTFS. Содержит специальную папку ObjectMoveTable, в которой отслеживаются перемещенные файлы, и VolumeTable, в которой содержатся соответствия между идентификаторами то мов и компьютеров. (Подробнее о службе отслеживания изменившихся связей на Web-странице Web Resources по адресу http://windows.microsoft.com/ windows2000/reskit/webresourccs, ссылка Microsoft Platform SDK.) IP Security содержит политики IP-безопасности, применяемые на локальных ком пьютерах, рядовых серверах домена, доменах, в подразделениях и на всех осталь ных объектах групповой политики в Active Directory. В зависимости от принятых на предприятии правил политика IP-безопасности может поддерживать пакетные действия по обеспечению безопасности, называемые правилами и предназначен ные для реализации единой политики на многих компьютерах. Эти правила безо пасности применяются ко всем пользователям, входящими в систему с данного компьютера. (Подробнее о политике IP-безопасности — в книге «Сети TCP/IP Ресурсы Microsoft Windows 2000 Server».(«Русская Редакция», 2001).

Meetings используется в Microsoft* NetMeeting® для хранения объектов сетевых конференций (встреч).

MicrosoftDNS — в этом контейнере создаются записи базы данных зон, интег рированных с Active Directory. Содержание MicrosoftDNS реплицируется на все контроллеры данного домена. При хранении данных DNS в Active Directory каж дая DNS-зона представлена объектом-контейнером класса dnsZone в Active Directory. Каждому уникальному имени в данной зоне соответствует отдельный объект dnsNode в контейнере dnsZone. У объекта dnsNode есть многозначный Хранение данных в Active Directory ГЛАВА атрибут dnsRecord, каждое значение которого соответствует отдельной записи ресурса, связанного с именем объекта. Подробнее о зонах, интегрированных с Active Directory — в книге «Сети TCP/IP. Ресурсы Microsoft Windows Servers- («Русская Редакция», 2001).

• Policies содержит объекты групповой политики, в которых определены конфи гурации групп пользователей и компьютеров. Этот контейнер идентифицирует ся по своему GUID и хранит информацию о версии, необходимую для синхро низации с данными шаблона групповой политики, сведения о состоянии объек тов групповой политики: «активен» или «отключен», а также список дополни тельных компонентов, которые- настраиваются в объекте групповой политики.

(Подробнее о групповой политике — в главе 22 книги «Распределенные систе мы. Книга 2. Ресурсы Microsoft Windows 2000» («Русская Редакция», 2001).

Примечание Кроме контейнера Policies объекты групповой политики также хранят ся в шаблоне групповой политики и идентифицируются по своим GUID-иденти фикаторам. Шаблон групповой политики расположен на системном томе и исполь зуется для хранения данных о типах файлов для объекта групповой политики.

Внимание! Настоятельно не рекомендуется что-либо изменять в этом контейне ре. Для изменения отдельных объектов групповой политики в конфигурации компьютера используйте оснастку Group Policy (Групповая политика).

• RpcServices содержит справочную таблицу доменных имен службы RPC (Remote Procedure Call) для более ранних по сравнению с Windows 2000 версий Windows.

• WinsockServices содержит службы сокетов Windows Sockets, опубликован ные посредством API-интерфейсов RnR (Registration and Resolution).

Подробнее о службах, публикуемых в системном контейнере — в главе 5 «Публи кация служб в Active Directory».

Хранилище данных каталога Данные Active Directory хранятся в Ntds.dit — файле базы данных ESE. На кон троллере домена хранятся две копии Ntds.dit в следующих папках:

%5iystemRoo%\NTDS\Ntds.dit здесь содержится база данных, используемая контроллером домена. В ней находятся данные домена и реплика значений леса (данные контейнера конфигурации);

% System Root %\System32\Ntds,dit это стандартная дистрибутивная копия ката лога, которая используется при повышении роли компьютера под управлением Windows 2000 до контроллера домена. Наличие этого файла позволяет обращаться к мастеру установки Active Directory (Dcpromo.exe), не пользуясь установочным компакт-диском с операционной системой Windows 2000 Server. В процессе повы шения роли Ntds.dit копируется из каталога %SystemRoot%\Systen\3'2 в каталог %SystemRoot %\NTDS. При последующем запуске Active Directory использует но вую копию файла, который далее обновляется в процессе репликации данных с других контроллеров домена.

Ссылочные атрибуты Для нормальной работы или целей администрирования некоторые ссылки на обы-к ты в каталоге нуждаются в обратных ссылках. Предположим, что атрибут managedBy Служба каталогов Active Directory 86 ЧАСТЬ объекта ObjectA, указывает, что тот управляется объектом ObjcctB. Иногда же не обходимо знать, каким объектами управляет объект Object В (атрибут managedObjects). Active Directory поддерживает ссылочную целостность между ссы лающимися друг на друга объектами. Это означает, что при перемещении объекта в пределах дерева каталогов ссылки между ним и другими объектами обновляют ся. Такое перенаправление реализовано с помощью механизма ссылочных атрибу тов (linked attributes).

Каждый из пары ссылочных атрибутов обладает в схеме парными идентификато ром связи: один отмечается как прямая ссылка, а другой как обратная. Из сооб ражений безопасности и репликации изменять можно только атрибут прямой ссыл ки. Например, в паре ссылок managed By/managedObjects первый атрибут — это пря мая ссылка. Поэтому для модификации атрибута managedObjects объекта «пользо ватель» необходимо перейти к объектам, которые требуется добавить или удалить из атрибута managedObjects и изменить значения managedBy каждого их объектов.

Атрибуты обратные ссылки, вычисляются при первом обращении пользователя к ним.

Примечание Расширяя схему, необходимо понимать, когда преобразование объекта в ссылочный допустимо. Подробнее о расширении схемы — в главе 4 «Схема Active Directory».

Для нахождения всех объектов, управляемых ObjectB, проверяются все записи в парах managedBy/managedObjects, в которых атрибут обратной ссылки указывает на ObjectB. Пары ссылок таких записей указывают на идентификаторы базы данных для всех записей (объектов), управляемых ObjectB.

В приведенном примере используется однозначная прямая и многозначная обрат ная ссылки, но прямая ссылка не обязательно является однозначным атрибутом.

Например, членство в списке распространения реализовано в виде пар прямых и обратных ссылок. Обратными ссылками могут быть объекты с атрибутом isMem berOfDl. Атрибут прямой ссылки member — многозначный, так как пользователь иногда включен в несколько списков распространения. Обратная ссылка всегда многозначна, поскольку невозможно ограничить создание ссылок со стороны дру гих объектов.

В таблице 2-8 показаны значения ссылок для объекта (ObjectB), который управля ет другими объектами (ObjectA, ObjectC и ObjcctD). В качестве примера объекта, содержащего другие объекты, использован список распространения (DL1).

Таблица 2-8. Пример значений прямых и обратных ссылок Объект прямой ссылки Объект обратной ссылки Пары ссылочных атрибутов ObjectA ObjectB managedBy/managedOhjects ObjectC ObjectB managedBy/managedQbjects ObjectD ObjectB managedBy/managedOhjects DL1 ObjectE member/isMemberOfDl DL1 ObjectF member-/isMemberOfDl DL1 ObjectG member/isMemberO/Dl Вместе с удаляемым ссылочным объектом уничтожаются все значения его ссылоч ных атрибутов. В приведенном выше примере видно, что при удалении объекта ObjectA немедленно уничтожается одно из значений многозначного атрибута та Хранение данных в Active Directory ГЛАВА 2 nagedObjects объекта ObjectB (причем это никак не отразится на репликативных метаданных). Точно так же при удалении ObjectB удаляется значение атрибута managedBy объекта ObjectA. В любом случае вся остальная информация объекта (за исключением этих атрибутов) не изменяется.

Поиск по обратным ссылкам При запросе значения обратной ссылки определенного объекта (например, «Каки ми объектами управляет ObjectB?*) система отыскивает все объекты, прямая ссыл ка которых указывает на этот объект (то есть «У каких объектов атрибут managedBy содержит значение ObjectB?»). Результаты такого поиска и, следовательно, полу ченное содержание атрибута обратной ссылки зависят от порта протокола LDAP, к которому подключается клиент. То есть результаты могут быть разными, в зависи мости от того, подключился ли клиент к локальному домену (порт 389) или к гло бальному каталогу (порт 3268).

Представьте себе, к примеру, что Вы изучаете объект пользователя по имени John Doe и Вас интересуют группы, в которые он входит. Предположим, что JobnDoe находится в домене В, который, в свою очередь, является потомком домена А. Свя завшись с объектом JohnDoe в домене В, Вы обнаружите в его атрибуте memberOf список всех локальных и глобальных групп в домене В, членом которых является JobnDoe, но не найдете никаких групп других доменов. С другой стороны, подклю чившись к объекту JohnDoe в глобальном каталоге, Вы найдете в атрибуте тегп ЬегО/ все универсальные группы леса, к которым относится этот объект, а вот ло кальные группы домена обнаружить не удастся, так как они не реплицируются в глобальный каталог. Таким образом, чтобы получить список всех групп, членом которых является данный объект, необходимо выполнить поиск как в локальном экземпляре, так и и копии объекта в глобальном каталоге.

Если Вы хотите найти все группы, к которым принадлежит JohnDoe, то неявно си стема будет искать все объекты, прямая ссылка которых указывает на этот объект (то есть объекты-группы, атрибут member которых содержит значение JohnDoe).

Как Вы помните, JohnDoe находится в домене В потомке домена А. Когда в лесе несколько доменов, нужно учитывать следующие особенности групп:

• по определению глобальные группы не могут содержать членов из других доме нов. Поэтому в нашем примере объект JohnDoe может быть членом только гло бальных групп одного домена (то есть того, которому принадлежит его учетная запись);

• локальные группы домена могут содержать члены других доменов, однако, хотя объекты этих групп и реплицируются в глобальный каталог, их атрибут member туда не попадает.

Таким образом, подключившись к объекту JohnDoe в домене В и изучив атрибут memberOf, Вы обнаружите, что Active Directory отображает членство JohnDoe в локальных и глобальных группах, но только домена В.

При подключении к объекту JohnDoe в глобальном каталоге содержание атрибута memberOf зависит от того, в каком домене находится сервер глобального каталога А или В (вариант, когда в каждом из доменов есть свой сервер глобального ката лога, мы не рассматриваем).

• Если сервер глобального каталога расположен в домене A, Active Directory пре доставит информацию о членстве во всех глобальных группах леса. Однако ло кальные группы домена В в этот список не попадут, поскольку атрибут member Служба каталогов Active Directory 88 ЧАСТЬ не реплицируется в контроллеры домена вместе с объектами локальных групп.

Таким образом, чтобы получить сведения обо всех группах, членом которых яв ляется JohnDoe, нужно провести поиск как в копии объекта в локальном доме не (домен В), так и в экземпляре объекта в глобальном каталоге (в домене А), если только контроллер домена не является сервером глобального каталога.

• Если сервер глобального каталога одновременно является контроллером доме на В, в Active Directory будут перечислены все группы — и глобальные, и ло кальные группы домена, членом которых является JohnDoe. Лучший вариант, когда сервер глобального каталога находится в локальном домене.

Примечание Членство в группах доменов, внешних по отношению к лесу, в таком поиске не обнаруживается, поскольку они находятся вне контекста леса. Чтобы обнаружить такое членство, воспользуйтесь соответствующими внешними перекре стными ссылками. (Подробнее о внешних перекрестных ссылках — в главе 3 «Раз решение имен в Active Directory».) Члены групп из внешних доменов При добавлении члена доверенного домена из другого леса в группу данного доме на Samsrv.dll создает объект-заместитель класса foreignSecurityPrincipal. Он пред ставляет реальный объект, о котором в Active Directory нет никакой информации, потому что тот находится в другом лесе. Перечисляя членов группы. Active Direc tory обычно указывает их составные имена. Для члена, принадлежащего внешнему домену, Active Directory отображает составное имя «чужого* объекта участника безопасности в форме NetBIOS-имени. Например, пользователь JohnD из домена Acquired.com будет отображен, как показано на рис. 2-7.

acqu.red JOinD JsneO петит reskft.corrAJsers SaiesAdmii noair. reskit com/Sates CancaS Рис. 2-7. Пример вкладки Members (Члены группы) с составным именем участника безопасности внешнего домена ГЛАВА 2 Хранение данных в Active Directory Открыв страницу свойств такого члена группы, Вы увидите информационное окно, подобное приведенному на рис. 2-8. В нем сообщается, что это не настоящий объект Active Directory, а всего лишь объект-заместитель. Идентификатор безопасности (S1D) объекта отображен в заголовке диалогового окна.

Desaptran. '-. |Sales Manager, Departmerrt. Note. НШ this abntfi^Milaptocehetefcilar $ uset ш fli№# ftom a trusted вкингч! domatn. ТЫ object was created when an external obpct wai added to a group (ft this doffiem. -The preperBesfor-Ihe actual user oigtetip garawf be cftsplajjed Рис. 2-8. Свойства члена группы из внешнего домена Этот SID можно использовать в LDAP-запросе для определения LDAP-имени это го объекта. При таком запросе выбираются все доверенные домены, а затем в каж дый из них направляет запрос об объекте, атрибут objectSid которого соответствует S1D объекта внешнего участника безопасности.

Записи-фантомы В Active Directory все ссылки между объектами хранятся в базе данных виде идек тификаторов объектов, на которые они ссылаются. Например, в атрибуте объекта «пользователь» иногда указан его непосредственный начальник;

значением этого атрибута может быть идентификатор объекта, соответствующего начальнику, в базе данных. Если упомянутого объекта в базе данных пет (например, учетная запись начальника находится в другом домене и текущий сервер не является глобальным каталогом), система создает запись-фантом (phantom), идентификатор которой и применяется в дальнейшем. Запись-фантом содержит GUID, SID (в случае ссылки на участника безопасности) и составное имя объекта, на который она ссылается.

Записи-фантомы не создаются, если в локальной базе данных имеется экземпляр объекта, указанного в атрибуте. Если объект расположен в разделе внешнего катало га, в локальной базе создается фантомная запись. Например, если объект в домене dc=noam,dc=reskit,dc=com содержит ссылку на объект в dc=europe,dc=reskit,dc=coin, для самого объекта и его родителя в домене dc=noam,dc=reskit,dc=com создаются записи-фантомы. Хозяин инфраструктуры удаляет фантомы при переименовании или удалении объектов, на которые они ссылаются. Подробнее о хозяине инфра Служба каталогов Active Directory 90 ЧАСТЬ структуры — в главе 7 «Управление операциями одиночного хозяина» и в справоч ной системе Windows 2000 Server.

Операции записи в базу данных Операции записи в базу данных Active Directory выполняются как транзакции единицы операций, выполняемых базой данных. Транзакции атомарны (atomic), то есть они выполняются как единое целое: либо полностью, либо не выполняются вообще. Если по какой-либо причине происходит сбой, в результате которого не возможно завершить все шаги транзакции, система возвращается в состояние, не посредственно предшествующее началу исполнения транзакции. Пример атомарной транзакции — осуществление платежа, в котором деньги со счета А перечисляются на счет В. Если после списания денет со счета А система сбоит, механизм транзак ций поместит деньги назад на счет А и возвратит систему к первоначальному со стоянию — то есть «откатит* транзакцию.

В Active Directory в транзактном режиме проводятся операции изменения отдель ных объектов, то есть механизм транзакций для операций со множественными объектами не поддерживается. Active Directory синхронно записывает транзакцию в журнал транзакций и в базу данных. Прежде всего изменения применяются к ко пии объекта в оперативной памяти. Далее они вносятся в журнал. Это гарантирует, что изменение будет произведено, даже если база данных закроется. Ядро базы дан ных постоянно вносит последние изменения в файл базы данных. Информация об обновлениях извлекается из памяти, а не из журналов, поэтому база данных сама следит за изменениями, не ожидая готовности сервера. Этот метод обновления на зывается перемещением контрольной точки, где под контрольной точкой (check point) подразумевается момент времени, когда все текущие изменения полностью внесены в базу данных.

Восстановление на основе записей журнала Ведение журнала (logging) и система восстановления Active Directory созданы для обеспечения целостности и согласованности данных в случае сбоя системы. Веде ние журнала — это процесс записи сведений об операциях базы данных в специ альном файле. Восстановление на основе записей журнала заключается в восста новлении базы данных после сбоя системы к последнему состоянию, зарегистриро ванному в журнале.

Примечание Благодаря механизму репликации Active Directory (при наличии по крайней мере двух контроллеров в домене), достаточно провести восстановление контроллера домена из архива данные обо всех изменения после последнего ар хивирования он получит автоматически.

Для эффективного использования дискового пространства в Active Directory при меняется круговой метод ведения журнала (circular logging), когда ставшие ненуж ными старые записи немедленно замещаются новыми. В таком режиме ядро базы данных автоматически удаляет файлы журналов, устаревшие после передвижения контрольной точки.

Подробнее об архивировании и восстановлении Active Directory — в главе 9 «Ар хивирование и восстановление данных в Active Directory». Подробнее о реплика ции транзакций базы данных — в главе 6 «Репликация Active Directory».

Хранение данных в Active Directory ГЛАВА Индексация атрибутов Для повышения эффективности поиска по наиболее часто используемым атрибу там в Active Directory используется индексация, которая сокращает время, необхо димое для нахождения записи в большой базе данных. Индексация заключается в определении одного или группы атрибутов, позволяющих однозначно идентифи цировать записи в таблице.

По умолчанию индексируются часто используемые атрибуты, такие, как фамилия (surname), составное имя (сп), основное имя пользователя (userPrincipalName) и др.

Атрибуты для индексации назначаются в консоли Active Directory Schema (Схема Active Directory). Открыв страницу свойств объекта-атрибута, Вы увидите, выбран ли он для индексации. Если нет, то чтобы включить индексацию, достаточно уста новить соответствующий флажок. Значение этого флага реплицируется, и после об новления схемы DSA выполняет индексацию. Аналогично, если Вы сбросите флаг, изменения вступят в силу после завершения обновления схемы.

Примечание Состав и число атрибутов индексации может влиять на размер и вре мя обновления базы данных. Индексировать атрибуты следует, только когда они действительно часто используются для поиска.

Подробнее о поиске по атрибутам — в главе 4 «Разрешение имен в Active Directory ».

Безопасность на основе объектов Существует глубокая связь между Active Directory и службами безопасности Win dows 2000. Active Directory хранит информацию политики безопасности домена, которая имеет самое непосредственное отношение к особенностям работы систем и.

Это сведения об общедоменных ограничениях на пароль и привилегиях доступа к системе. Кроме того, политика безопасности и управление доступом в Wm dows 2000 реализованы на уровне объектов. Это касается всех объектов в Active Directory. У каждого объекта Active Directory имеется уникальный дескриптор бе зопасности, определяющий разрешения доступа, необходимые для чтения или мо дификации свойств. Разрешения можно задавать на уровне свойств.

Идентификаторы безопасности У каждого участника безопасности (пользователя, группы, компьютера или всего домена) есть свой идентификатор безопасности (STD) — свойство (pbjectSid), кото рое полномочно идентифицирует объект в системе безопасности. Идентификаторы безопасности пользователей, групп и компьютеров являются производными от S1D домена, к которому они принадлежат, и образованы путем добавления к SID доме на дополнительного 32-разрядного компонента называемого относительным иден тификатором (relative identifier).

Дескрипторы безопасности В Windows 2000 каждому объекту ставится в соответствие дескриптор безопаснос ти (security descriptor), в котором содержится связанная с этим объектом инфор мация управления доступом. Ниже перечислены компоненты, из которых состоит дескриптор безопасности:

• заголовок (header) содержит управляющие флаги и указатели на четыре состав ные части описателя безопасности;

ЧАСТЬ 1 Служба каталогов Active Directory • владелец (owner) — STD, указывающий на владельца объекта пользователя или группу. Владелец обладает определенными особыми правами на объект;

• основная группа (primary group) SIT), обеспечивающий совместимость с POSIX;

• избирательная таблица управления доступом (discretionary access control list, DACL) содержит список записей управления доступом, в которых определен порядок доступа к объекту - кому разрешены или запрещены определенные виды доступа. DACL управляется владельцем объекта. Владелец может предо ставлять это право другим;

• системная таблица управления доступом (system access control list, SACL) со держит список записей управления доступом, которые определяют порядок со здания сообщений аудита или предупреждения при попытке получения опреде ленных типов доступа к объекту. SACL управляется администраторами безопас ности, являющимися по умолчанию членами группы Administrators (Админист раторы).

Безопасность объектов по умолчанию В момент создания объекта в Active Directory его создатель может самостоятельно (вручную) определить его дескриптор безопасности. Если не определить дескрип тор безопасности явно, система присвоит объекту дескриптор безопасности по умолчанию. Ниже перечислены правила, согласно которым создается такой деск риптор безопасности.

• Владелец обычно назначается автоматически. Если маркер доступа создателя содержит владельца по умолчанию, то устанавливается именно это значение. В противном случае задастся SID пользователя, создавшего объект. Однако это условие действует не всегда: элементу «владелец» не присваивается SID пользо вателя — создателя объекта, если он член группы Domain Administrators (Адми нистраторы домена). В этом случае владелец по умолчанию устанавливается в SID группы Domain Administrators (Администраторы домена). Таким образом, все объекты, создаваемые администраторами, принадлежат всем членам группы Domain Administrators.

• Значение основной группы обычно назначается по умолчанию. Если маркер до ступа создателя содержит заданную по умолчанию основную группу, то она ус танавливается в качестве основной. Б противном случае присваивается значе ние нулевого идентификатора NULL SID.

• Если DACL (discretionary access control list) нового объекта (не наследуемая) не указана явно, ему присваивается DACL создателя. При наличии в DACL роди тельского контейнера наследуемых записей управления доступом унаследованная DACL объединяется с заданной явно избирательной таблицей нового объекта.

При отсутствии явно заданной DACL используется се значение по умолчанию, определенное в схеме Active Directory. Если в схеме такое значение DACL не за дано, система проверяет наличие значения по умолчанию в маркере доступа со здателя и, найдя ее, использует в качестве значения DACL нового объекта. В слу чае невозможности обнаружить в маркере доступа создателя никакой таблицы DACL значение DACL новому объекту не назначается. Это означает, что доступ к объекту будет предоставлен всем, без каких-либо ограничений.

Хранение данных в Active Directory ГЛАВА • Новому объекту назначается любая заданная явно SACL (system access control list). При наличии в SACL родительского контейнера наследуемых записей уп равления доступом унаследованная SACL объединяется с заданной явным об разом системной таблицей нового объекта. При отсутствии явно заданной SAC L используется ее значение по умолчанию, определенное в схеме Active Directory.

Если в схеме такое значение SACL не определено, новому объекту не назначает ся никакая системная таблица управления доступом.

Примечание Понятия «диспетчер объекта» и * владелец объекта* существенно раз личаются. Для каждого типа объекта имеется специальный диспетчер, который от вечает за создание объекта. Примеры диспетчеров: Active Directory - для объек тов каталога и NTFS — для объектов файловой системы, Подробнее о том, как в подсистеме безопасности используются управление досту пом, маркеры доступа, участники безопасности и дескрипторы безопасности, — в главе 12 «Управление доступом», Установка Active Directory Windows 2000 Server можно установить либо как новую операционную систему, либо как обновление существующей операционной системы Windows NT Server. В любом случае 'создавать Active Directory на сервере необходимо независимо от опе рационной системы, то есть сначала устанавливается Windows 2000 Server, после чего создается Active Directory на серверах, которые будут выполнять роль кон троллеров домена.

Для успешной установки Active Directory необходимо соблюдать определенные условия. Поскольку большинство их обеспечиваются в процессе установки Win dows 2000 Server, а также так как требуемая сетевая и системная конфигурация со здается и настраивается до создания Active Directory, установка Active Directory реализована в виде отдельной программы (Dcpromo.exe), запускаемой после уста новки операционной системы.

Существует несколько способов установки Active Directory на компьютер под уп равлением Windows 2000 Server.

• Средствами мастера Active Directory Installation Wizard (Мастер установки Active Directory), который запускается следующим образом.

В диалоговом окне Windows 2000 Configure Your Server (Настройка сервера Windows 2000), открывающемся при запуске сервера, щелкните Active Directory.

Это наиболее предпочтительный метод.

Или в меню Start (Пуск) щелкните Run (Выполнить) и в открывшемся диалоговом окне Run (Выполнить) введите dcpromo.

• Для выполнения автоматической («без вопросов») установки Active Directory можно использовать специальный текстовый файл. Запустите мастера Active Directory Installation Wizard (мастер установки Active Directory) из командной строки, при этом указав имя файла ответов (answer file) автоматической уста новки следующим образом dcpromo /answer:<имя_файла_ответов> ЧАСТЬ 1 Служба каталогов Active Directory В этом случае при установке Active Directory будут использованы указанные в этом файле ответы на вопросы, обычно задаваемые мастером.

Примечание При обновлении систем под управлением Windows NT 4.0 до Win dows 2000 после установки операционной системы автоматически запускается мас тер установки Active Directory). Роль сервера не повысится до контроллера доме на, пока мастер не завершит свою работу.

Мастер установки Active Directory также используется для удаления с сервера службы каталогов Active Directory.

Подробнее об автоматической установке в разделе «Автоматическая установка и удаление Active Directory» далее в этой главе. Подробнее об использовании масте ра Configure Your Server (Мастер настройки сервера) — в справочной системе Windows 2000 Server. Подробнее об удалении Active Directory — в разделе «Удале ние Active Directory» далее в этой главе.

Конфигурации Active Directory При установке Active Directory на изолированном (члене рабочей группы) или ря довом (члене домена Windows 2000) сервере под управлением Windows 2000 Server можно выбрать одну из следующих конфигураций:

• первый домен в новом дереве в новом лесе;

• первый домен в новом дереве в существующем лесе;

• дочерний домен в существующем дереве;

• дополнительный контроллер домена в существующем домене.

В процессе установки Windows 2000 Server в каталоге %SystemRoot %\System размещается стандартный файл базы данных Active Directory (Ntds.dit). Это всего лишь дистрибутивная копия, не используемая в качестве базы данных каталога и размещаемая в этом месте с единственной целью избежать обращения к компакт диску с операционной системой при установке Active Directory.

Файл Ntds.dit содержит копию стандартных разделов схемы и конфигурации, а так же раздел домена. В процессе установки Active Directory схема и конфигурация (наряду с разделом домена, если данный контроллер домена устанавливается в ка честве дополнительного контроллера домена) синхронизируются с соответствую щими репликами на существующих контроллерах домена. После завершения уста новки Active Directory полностью синхронизирована и доступна для обновлений на новом сервере.

Примечание В процессе установки Active Directory можно прервать и отложить некритичный процесс репликации. Репликация будет выполнена после перезагруз ки компьютера по стандартному механизму репликации контроллеров домена. До завершения репликации контроллер домена не оповещает о себе в этой роли.

Установка Active Directory возможна по различным сценариям в зависимости от способа установки Windows 2000 Server. Ниже перечислены возможные сценарии установки Windows 2000 Server.

• При установке Windows 2000 Server в качестве первой операционной системы (установка «с нуля») или обновлении существующей операционной системы на компьютере - не контроллере домена создается либо изолированный сервер, ГЛАВА 2 Хранение данных в Active Directory либо рядовой сервер домена. После этого возможны только два тина дальней шей установки Active Directory:

• создание нового домена;

• создание дополнительного контроллера домена в существующем домене.

• При обновлении существующего резервного контроллера домена под управле нием Windows NT 4.0 мастер установки Active Directory запускается автомати чески сразу после завершения обновления. В этом случае существуют два воз можных пути:

• создание Active Directory, что приведет к образованию дополнительного кон троллера существующего домена;

• преобразование резервного контроллера домена в рядовой сервер домена.

• При обновлении существующего основного контроллера домена под управлени ем Windows NT 4.0 необходимо установить Active Directory, создав при этом новый домен.

На рис. 2-9 показаны различные варианты установки Windows 2000 Server до со здания Active Directory, Изолированный сервер sem Установка *"*" под управлением Windows NT 4 Изолированный сервер под управлением *" Windows Установка "-* Установка™™* «с нуля» Рядовой сервер пзд „_ Рядовой сервер управлением ь.

под Windows управлением •™DCPROIV Windows NT 4 Не устам авливать Active Directory Изолированный сервер под Дополнительный Резервный управление Windows 2000 — DCPROMO HI*- контроллер домена -«t— -«fr* контроллер "Установка-^*' под управлением домена под (с автозапуском управлением Windows DCPromo) Windows NT Контроллер корневого домена леса, дерева Установка DCPROMO' или дочернего домен под управлением Windows Рис. 2-9. Варианты установки Windows 2000 Server и создания Active Directory Служба каталогов Active Directory 96 ЧАСТЬ Подробнее о деревьях и лесах в главе 1 «Логическая структура Active Directory».

Подробнее о файле Ntds.dit — в разделе «Хранилище данных каталога» ранее в этой главе. Подробнее о разделах каталога в разделе «Разделы каталога» ранее в этой главе.

Требования для установки Прежде чем приступить к установке Active Directory, мастер Active Directory Installation Wizard (Мастер установки Active Directory) проверяет некоторые пара метры конфигурации и безопасности. Состав и порядок проверки зависит от мно гих условий, а также от типа устанавливаемого контроллера домена. Эта процеду ра позволяет проверить соответствие заданных параметров и службы каталогов, к которой присоединяется данный сервер.

Примечание Мастеру установки Active Directory необходимо 200 мегабайт свобод ного дискового пространства для хранения базы данных Active Directory и 50 ме габайт для транзакционных журналов ESENT. Эти требования зависят от числа и типа объектов в базе данных домена (или базы данных лееа, если компьютер явля ется сервером глобального каталога).

При запуске мастера установки Active Directory до открытия его главного диалого вого окна проверяются следующие условия:

• текущий пользователь вошел в систему локального компьютера в качестве чле на группы администраторов локального компьютера;

• на компьютере установлена Windows 2000 Server;

• предыдущая установка или удаление Active Directory не проводились без пред варительной перезагрузки;

• на компьютере не запущена другая копия мастера установки Active Directory;

• в настоящее время не выполняются операции по установке или удалению Active Directory;

• на компьютере есть по крайней мере один логический диск под управлением файловой системы KTFS версии 5.

Подробнее о форматировании логического дисковода для файловой системы NTFS v5 в книге Microsoft Windows 2000 Professional Resource Kit.

Проверка уникальности имен При установке контролера в существующих доменах и новых доменов в существу ющем лесе проверяются следующие условия:

• при установке как дополнительного контроллера домена, так и нового домена в существующем лесе относительное составное имя (relative TD, RID) сервера не должно существовать в объекте NTDS Settings сайта, в который добавляется контроллер. Обнаружив объект NTDS Settings с совпадающим RID, мастер уда лит существующий объект, предполагая, что выполняется переустановка;

• при установке нового домена в существующем лесе NetBIOS-имя домена также не должно существовать в виде относительного составного имени объекта пере крестной ссылки в контейнере cn=partitions,cn=configuration,dc=<«^w_jra/weeo т домена леса>.

Хранение данных в Active Directory ГЛАВА Примечание При установке нового леса проверка перечисленных выше условий не выполняется, поскольку отсутствует исходный контроллер домена.

Подробнее об объектах NTDS Settings в главе 6 «Репликация Active Directory».

Подробнее об объектах перекрестных ссылок — в главе 3 «Разрешение имен в Active Directory*.

Проверка наличия TCP/IP При любой установке контроллера домена мастер проверяет сетевую конфигура цию на предмет наличия TCP/IP. Если TCP/IP не установлен или недоступен ад рес, предоставленный DHCP, необходимо установить и настроить TCP/IP и ука зать IP-адреса подсети и шлюза по умолчанию.

Примечание Для установки контроллера домена статический IP-адрес не обязателен.

Проверка конфигурации клиента DNS Мастер проверяет наличие и конфигурацию клиента DNS на сервере. Настройка клиента DNS является частью настройки TCP/IP и заключается в указании IP-ад реса одного или более DNS-серверов в сети, поскольку для поиска контроллеров домена используется DNS, то база данных DNS должна содержать соответствую щие записи ресурсов для нахождения контроллеров в каждом из доменов. В процес се установки Active Directory на сервере — первом контроллере нового домена мастер пытается найти DNS-сервер, поддерживающий динамическое обновление и являющийся полномочным (authoritative) для имен домена, в котором устанавли вается данный сервер в качестве контроллера. Программа установки не сможет най ти такой сервер DNS, если тот не существует (например, при установке нового леса) или если у клиента DNS на сервере нет ни одного верно указанного IP-адреса сер вера DNS, который должен применяться для разрешения DNS-имен. В любом из этих случаев мастер предложит на выбор установить и настроить локальный DNS сервер в процессе установки или вручную, после установки Active Directory. При наличии дополнительного контроллера домена в существующем домене использует ся DNS-сервер в сети, а поиск полномочного сервера DNS не выполняется.

Подробнее об автоматической настройке DNS и требований к DNS для установки Active Directory - в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server», («Русская Редакция», 2001).

Получение и проверка правильности DNS-имени домена В процессе создания нового домена необходимо задать его имя и, если требуется, указать родительский домен. Мастер Active Directory Installation Wizard (Мастер установки Active Directory) проверит существование родительского домепа и уни кальность имени нового домена. Если указанное имя уже существует, мастер по просить задать другое.

Получение и проверка правильности NetBIOS-имени NetBIOS-имя создается из доменного имени DNS, если только новый домен не со здается путем обновления основного контроллера домепа. Тогда используется пре дыдущее NetBIOS-имя домена. Мастер установки Active Directory предложит из менить или принять NetBIOS-имя, полученное из доменного имени, после чего обя зательно проверит его уникальность в сети.

Служба каталогов Active Directory 98 ЧАСТЬ Введение пароля администратора При обновлении переносятся все существующие учетные записи сервера. При ус тановке «с нуля» все локальные учетные записи и пароли [кроме учетных записей группы Power Users (Опытные пользователи)] сохраняются. В процессе установки Active Directory пользователь не может ввести другой административный пароль.

При удалении Active Directory можно ввести пароль учетной записи локального администратора, созданной мастером установки Active Directory.

Получение реквизитов пользователя При создании нового контроллера домена мастер установки Active Directory тре бует ввести имя и пароль административной учетной записи. Административные удостоверения мастер проверяет самостоятельно, за исключением случая, когда со здается новый лес.

• Чтобы создать дополнительный контроллер домена в существующем домене, предоставляемых реквизитов должно быть достаточно для подключения компь ютера к реплицируемому домену и создания объекта NTDS Settings в реплици руемом контейнере конфигурации.

• Чтобы создать дочерний домен, необходимо предоставить реквизиты члена груп пы Enterprise Admins (Администраторы предприятия).

• Чтобы создать новый домен корня леса, также необходимо предоставить рекви зиты члена группы Enterprise Admins (Администраторы предприятия).

Примечание Мастер запрашивает следующие реквизиты: имя пользователя, пароль и имя домена — и принимает имя пользователя только в виде идентификатора пользователя для входа в систему (например, johnSmith). Основное имя пользо вателя (User Principal Name, UPN) в формате <имя_полъзоват.еля>@<имя_<}оме на> не принимается.

Если Вы вошли в систему не как администратор домена, мастер попросит ввести имя и пароль соответствующей административной учетной записи.

Примечание В процессе установки или удаления домена леса, контроллер домена, играющий роль хозяина именования доменов, должен быть готов и доступен по протоколу RPC.

Подробнее о хозяине именования доменов — в главе 7 «Управление операциями одиночного хозяина» и в справочной системе Microsoft Windows 2000 Server.

Получение и проверка путей файлов В процессе установки Active Directory задается местоположение файлов базы дан ных Active Directory, журнала и общего системного тома (Sysvol). В системой томе по умолчанию размещаются файлы Active Directory, которые обязательно должны быть открыты для общего доступа из всего домена. Системный том создается на томе NTFS v5. Установка не будет завершена, если том NTFS v5 не существует или на нем недостаточно свободного дискового пространства. Объекты системного тома создаются позже, после перезагрузки компьютера.

Хранение данных в Active Directory ГЛАВА Примечание Из соображений безопасности рекомендуется устанавливать файл Ntds.dit на томе NTFS несмотря на то, что мастер установки Active Directory этого не требует.

Мастер позволяет выбрать местоположение для файла Ntds.dit, журналов Active Directory и каталога Sysvol. Для повышения быстродействия контроллера домена размещайте файл Ntds.dit и журналы Active Directory па различных дисках.

Конфигурирование сайта Мастер установки Active Directory самостоятельно определяет сайт, в который бу дет добавлен новый контроллер домена. Он проверяет существующие сайты, пыта ясь найти подсеть текущего компьютера. Если мастер не нашел подсеть в сайте, содержащем исходный контроллер домена, он позволяет выбрать один из существу ющих сайтов для размещения компьютера. Новый сайт для данного контроллера домена можно создать после установки Active Directory, после чего переместить этот контроллер домена с установочного сайта в новый, Примечание В случае автоматической установки сайт указывается в параметре SiteName в файле ответов.

Далее описан порядок определения сайта.

• Мастер установки Active Directory пытается с помощью локатора определить сайт, к которому относится компьютер. В случае неудачи (если подсеть компь ютера не связана с сайтом) мастер полагает, что новый контроллер домена надо разместить в сайте исходного контроллера домена.

• При установке первого домена в лесе используется заданное по умолчанию имя сайта Default-First-Site-Name.

• Определив правильный сайт, мастер далее проверяет наличие объекта этого сай та в Active Directory, а также существование объекта-сервера дополнительного контроллера домена.

• Если объект-сервер не существует, мастер его создает.

• Если объект-сервер существует, связанный с ним объект NTDS Settings уда ляется, а затем создается для нового контроллера домена. (Объект NTDS Settings создается для каждого контроллера домена в лесу. Если он уже су ществует, мастер выполняет такие же операции, как при переустановке кон троллера домена.) Примечание Объект NTDS Settings для дополнительного контроллера домена все гда создается на удаленном сервере (исходном контроллере домена). Для нового домена этот объект создается на компьютере, выполняющем роль хозяина имено вания доменов в новом домене. В процессе репликации контейнера конфигурации объект NTDS Settings реплицируется во все контроллеры домена. (Подробнее о хозяине именования доменов --- в главе 7 «Управление операциями одиночного хо зяина» и в справочной системе Windows 2000 Server.) Служба каталогов Active Directory 100 ЧАСТЬ Конфигурирование службы каталогов Проверив наличие всех необходимых компонентов, мастер установки Active Direc tory просит подтвердить заданные Вами параметры. После подтверждения он на чинает процесс конфигурирования службы каталогов. Этот процесс можно отме нить, щелкнув кнопку Cancel (Отмена).

Во всех вариантах установки мастер выполняет следующие операции:

• устанавливает значения параметров реестра;

• устанавливает счетчики производительности Active Directory;

• настраивает компьютер на автоматический запрос сертификата стандарта Х. для контроллера домена от первого центра сертификации, который обработает запрос от компьютера. Этот сертификат требуется для репликации по протоко лу SMTP. Подробнее сертификатах и центрах сертификации — в главе 11 «Про верка подлинности» и главе 16 «Службы сертификации и инфраструктура от крытого ключа в Windows 2000»;

• запускает службу проверки подлинности Kerberos v5. Подробнее о проверке подлинности Kerberos — в главе 11 «Проверка подлинности»;

• при перезапуске компьютера устанавливает политику LSA для контроллера до мена. В процессе обновления основного контроллера домена мастером конфи гурируются участники безопасности домена, участники локальной безопаснос ти и членство компьютера в LSA;

• устанавливает ярлыки для средств администрирования Active Directory.

Конфигурирование разделов каталога Мастер установки Active Directory копирует файл базы данных каталога (Ntds.dit) из каталога %SystemRoot\System32 и указанное при установке Active Directory ме сто, после чего конфигурирует локальный сервер в качестве сервера, на котором работает служба каталогов. Этот процесс создает разделы каталога и заданные по умолчанию участники безопасности домена, Ниже перечислены разделы каталогов, создаваемые по умолчанию на первом кон троллере домена в лесе и переносимые но механизму репликации во все контрол леры домена, которые создаются позже в лесе.

• Раздел схемы создается как cn=schema,cn=configuration,dc=. Schema.ini используется для создания определенных по умол чанию объектов каталога, спецификаторов экрана и реализации безопасности в базе данных каталога.

• Раздел конфигурации создается как cn=configuration,dc=, т Раздел домена создается как (\с=<имя_домена> и содержит участники безопас ности домена:

• при создании нового домена мастер создает новый раздел каталога, который содержит все заданные по умолчанию объекты домена;

• при создании дополнительного контроллера домена в существующем домене объекты обновляются посредством репликации. Мастер не создает заданные по умолчанию объекты раздела домена;

Хранение данных в Active Directory ГЛАВА • при обновлении основного контроллера домена под управлением Windows NT -1.0 мастер создает участники безопасности домена и участники локаль ной безопасности, а также перемещает членство в LSA и существующие учет ные записи.

Настройка автоматического запуска служб Далее перечислены службы, которые после установки Active Directory будут запус каться автоматически.

• RPCLocator позволяет распределенным приложениям пользоваться службой имен Microsoft RFC. RFC Locator (Локатор RFC) управляет базой данных служ бы имен RPC. (Подробнее о локаторе RPC — в главе 5 «Публикация служб в Active Directory».) • Служба Net Logon (Сетевой вход в систему) выполняет алгоритм локатора кон троллера домена. Эта служба также отвечает за создание безопасного канала между клиентом и контроллерами домена в процессе входа в систему, за регист рацию записей ресурсов-служб (SRV) в DNS и поддержку протокола реплика ции Windows NT 4.0 (LMRepl).

• Центр распространения ключей (Key Distribution Center, KDC) — это служба, функционирующая на физически защищенном сервере и поддерживающая базу данных с учетными записями для всех участников безопасности в своей сфере - эквиваленте протокола проверки подлинности Kerberos v5 домена Windows 2000.

• IsmServ [Intersitc Messaging (TSM) — Служба Intersite Messaging] применяется для межсайтовой репликации с использованием электронной почты. Active Directory поддерживает межсайтовую репликацию по протоколу SMTP поверх IP Поддержка SMTP обеспечивается службой SMTP, входящей в TTS. Набор транспортов для связи между сайтами — расширяемый, поэтому транспорты определяются в дополнительных DLL-библиотеках расширения (add-in). Эти дополнительные DLL загружаются в службы ISM на всех контроллерах домена, которые используются для обеспечения связей между сайтами. Служба ISM пе ренаправляет запросы на прием или передачу в соответствующие транспортные DLL расширения, которые в свою очередь пересылают эти сообщения службе ISM компьютера-адресата.

• TrkSvr (Distributed Link Tracking Server — Сервер отслеживания изменившихся связей) выполняется на каждом контроллере в домене. Она позволяет клиентс ким приложениям находить документы, доступные по ссылкам и перемещенные на другие диски с файловой системой NTFS версии 5 в этом же домене, в дру гом домее или в пределах рабочей группы. TrkSvr позволяет разрешать ссылки и OLE-связи с переименованными и/или перемещенными файлами на NTFS дисках.

• W32tiine - служба времени Windows синхронизирует часы клиентов и серве ров иод управлением Windows 2000. Синхронизация времени выполняется ав томатически.

Подробнее о службе Net Logon (Сетевой вход в систему) — в главе 3 «Разрешение имен в Active Directory». Подробнее о KDC и протоколе проверки подлинности Kerberos v5 — в главе 11 «Проверка подлинности».

Служба каталогов Active Directory 102 ЧАСТЬ Настройка политики безопасности При установке службы каталогов Active Directory в политике безопасности настра ивается управление доступом к службе каталогов и к каталогам репликации фай лов, а также определяются действия, которые разрешается осуществлять над объек тами домена, Управление доступом Для файлов и объектов каталога создаются заданные по умолчанию списки управ ления доступом. Они также задаются для перечисленных ниже разделов реестра и объектов файловой системы, а также для всех их дочерних объектов:

• HKEY_LOCAL_MACHINE\SOFTWARE • HKEY_LOCAL_MACHINE\SYSTEM • HKEY_USERS\.DEFAULT • PROGRAM FILES • %SystemRoot% Подробнее об управлении доступом — в главе 12 «Управление доступом*.

Групповая политика Групповая политика реплицируется только из первого контроллера домена во все дополнительные контроллеры. Если данный контроллер — первый, то в нем созда ется стандартная групповая политика, создаваемая на основе следующих шаблонов безопасности, хранящихся в папке %Windir%\lnf:

DCFirst.inf используется для определения заданного по умолчанию пароля, по т рядка блокировки при неудачной попытке входа и параметров конфигурации групповой политики Kerberos стандартного доменного объекта Group Policy;

• DefltDC.inf применяется для определения политики аудита и параметров груп повой политики прав пользователей в стандартном объекте Group Policy кон троллера домена;

• DCUp.inf используется для определения характерных для Windows 2000 пара метров конфигурации при обновлении контроллера домена под управлением Windows NT 4.6.

Примечание Существуют стандартные (по умолчанию) политики для доменов и для контроллеров домена. Политика контроллера домена обладает более высоким приоритетом по сравнению с политикой домена. Например, предоставляя пользо вателю привилегию Add Workstation to Domain (Добавление рабочих станций к до мену), следует изменить стандартную политику контроллера домена, а не самого домена.

Подробнее о параметрах групповой политики домена и контроллера домена — в гла ве 22 книги «Распределенные системы. Книга 2. Ресурсы Microsoft Windows 2000» («Русская Редакция*, 2001).

Безопасность в более ранних версиях Windows Во всех тинах установки мастер установки Active Directory позволяет сократить число разрешений, дабы обеспечить совместимость с приложениями более ранних версий Windows, разрешения в которых менее строги по сравнению с контроллера Хранение данных в Active Directory ГЛАВА 2 ми домена под управлением Windows 2000. Если в Вашей системе имеются серве ры удаленного доступа (Remote Access Service) под управлением Windows NT 4. или серверы Microsoft SQL под управлением Windows NT 3.x или 4.0 или если эти приложения работают на компьютерах под управлением Windows 200(1, по в доми нах Windows NT 3.x или Windows NT 4.0, то включение флага Pre-Windows compatible permissions (Разрешения, совместимые с серверами пред-Windows 2000) позволяет предоставить этим приложениям разрешения, необходимые для аноним ного доступа для чтения к определенным атрибутам пользователей и групповых объектов. Это флаг установлен по умолчанию и вызывает добавлентте г р у п п,i Everyone (Все) в локальную группу Pre-Windows 2000 Compatible Access (Пред Windows 2000 доступ), которая обладает доступом к атрибутам пользователей и групповых объектов, заданным в Windows NT 4.0 и необходимым серверным при ложениями для взаимодействия с Active Directory.

Примечание Группа Everyone (Все) содержит все учетные записи пользователей в лесе, R том числе и учетные записи Guest (Гости) и Anonymous/Null Session (Ано нимный вход). Таким образом, установка флага Pre-Windows 2000 compatible permissions (Разрешения, совместимые с серверами пред-Windows 2000) позволя ет всем пользователям, включая анонимных, получить доступ для чтения к атрибу там пользователей и групп домена.

Члены группы Pre-Windows 2000 Compatible Access (Пред-Windows 2000 доступ) обладают доступом «для чтения* к следующим атрибутам:

• ко всем атрибутам объектов-пользователей, определенных в Windows NT 4. (например SID, имя, часы входа в систему, управление учетной записью пользо вателя);

• ко всем атрибутам объектов-групп.

Если все серверные приложения исполняются па серверах под управлением Win dows 2000— членов доменов Windows 2000, установите флажок Windows 2000-only permissions (Разрешения, совместимые только с серверами Windows 2000). Это не по зволит анонимным пользователям получить информацию о группах и пользователям.

Подробнее о разрешениях — в главе 12 «Управление доступом». Подробнее об уда лепном доступе — в книге «Межсетевое взаимодействие. Ресурсы Microsoft Win dows 2000 Server». («Русская Редакция», 2001).

Изменение разрешений более ранних версий Windows после установки Active Directory Если в дальнейшем Вы обновите все серверы и домены до Windows 2000, Вы мо жете удалить группу Everyone (Все) из группы Pre-Win dows 2000 Compatible Access (Пред-Windows 2000 доступ)- При добавлении в имеющийся домен Win dows 2000 серверных приложений, выполняющихся на серверах под управлением Windows NT 3.x или 4.0, или при добавлении доменов Windows NT 3.x или Win dows NT 4.0 в существующий лег. группу Everyone (Все) нужно поместить н груп пу Pre-Windows 2000 Compatible Access (Пред-Windows 2000 доступ).

Внимание! Чтобы изменения членства группы Everyone (Все) вступили в силу, не обходимо перезагрузить все контроллеры в домене.

? Зак 402:

Служба каталогов Active Directory 104 ЧАСТЬ > Удаление или добавление группы Everyone (Все) в группу Pre-Windows Compatible Access (Пред-Windows 2000 доступ) 1. В меню Start (Пуск) последовательно перейдите к Programs (Программы), Accessories (Стандартные), а затем щелкните Command prompt (Командная строка).

2. Чтобы добавить группу Everyone (Все), введите в командной строке:

net localgroup "Pre-Windows 2000 Compatible Access" Everyone /add 3. Чтобы удалить группу Everyone (Все), введите в командной строке:

net localgroup "Pre-Windows 2000 Compatible Access" Everyone /delete База данных SAM Сразу же после обновления основного контроллера домена Windows NT 4.0 до Windows 2000 запускается мастер установки Active Directory. Учетные записи из хранящейся в реестре базы данных SAM переносятся в Active Directory, существу ющая в реестре база данных SAM удаляется и заменяется новой, значительно мень шей по объему и используемой только для запуска контроллера домена в режиме восстановления службы каталогов.

Примечание Как в смешанном, так и в основном режиме при обновлении основно го контроллера домена под управлением Windows NT 4.0 до Windows 2000 (в каче стве первого контроллера в домене) и при обновлении резервного контроллера до мена под управлением Windows NT 4.0 до Windows 2000 предыдущая база данных SAM удаляется;

это предотвращает атаки, связанные с подбором пароля.

Любой новый контроллер домена, как обновленный с Windows NT 4.0, так и с за ново установленной операционной системой, предлагает ввести пароль учетной за писи Administrator (Администратор). Он необходим для проверки подлинности при запуске компьютера в режиме восстановления службы каталога.

При удалении с сервера Active Directory новый SAM доступен для локальных пользователей и учетных записей групп на рядовом сервере. При установке или удалении Active Directory идентификатор безопасности (SID) компьютера не из меняется.

Создание нового домена При создании домена, не являющегося первым доменом нового леса, необходимо учитывать наличие уже существующих доменов. Это обусловлено тем, что присое динение нового домена к лесу подразумевает создание множества новых учетных записей, отношений доверия и объектов перекрестных ссылок.

Примечание Создание нового леса никак не влияет на существующие домены, и поэтому в процессе установки Active Directory контроллер домена — источник, не используется.

Независимо от тина создаваемого домена мастер установки Active Directory выпол няет следующие операции:

• создает DNS-имя нового корневого домена по следующей схеме:

<иня_компьютера>.<имя_домвна>...<имякорневого_домена_леса> Хранение данных в Active Directory ГЛАВА • определяет, относится ли данный сервер к домену. Если данный компьютер рядовой сервер домена, мастер либо удаляет его из домена и повторно исполь зует его учетную запись, либо сообщает, что администратор должен удалить учетную запись компьютера-сервера из домена;

создает учетную запись компьютера в контейнере Domain Controllers нового • домена. Эта учетная запись добавляется в глобальную группу Domain Controllers в контейнере Users. Она позволяет компьютеру проходить проверку подлинно сти на других контроллерах домена;

• устанавливает предоставленный пароль учетной записи администратора, пред назначенный для запуска контроллера домена в режиме восстановления служ бы каталога;

• создает объект перекрестной ссылки в контейнере конфигурации. Когда раздгл конфигурации реплицируется па новый контроллер домена, на хозяине имено вания доменов создается соответствующий объект перекрестной ссылки, кото рый в дальнейшем реплицируется во всем лесе. Этот объект используется LDAP для поиска ресурсов в других доменах (подробнее об объектах перекрестных ссылок — в главе 3 «Разрешение имей в Active Directory»);

удаляет элемент меню Start (Пуск), содержащий ссылку на параметры настрой • ки локальной безопасности и добавляет два новых ярлыка в следующие два узла настройки групповой политики:

• параметры безопасности домена для всех пользователей и компьютеров;

• параметры безопасности, относящейся к контроллерам домена.

• создает папку Sysvol, содержащую:

• общую папку Sysvol;

• общие папки службы Net Logon (Сетевой вход в систему). В них обычно хра нятся сценарии входа в систему и объекты политики для клиентов под уп равлением систем, отличных от Windows 2000;

• точки подключения (junctions) файловой системы;

• сценарии входа в систему клиентов под управлением Windows 2000 и клиен тов под управлением Windows 95, Windows 98 или Windows NT 4.0;

• групповую политику Windows 2000;

• промежуточные (staging) папки службы репликации файлов (FRS) и фай лы, которые должны быть доступны и синхронизированы на контроллер до мена В процессе установки Active Directory создаются только папки каталогов. Носче завершения установки Active Directory и перезапуски контроллера домена служба репликации файлов создает в локальном каталоге объекты папки системного тома, что позволяет проводить репликацию Sysvol на данном контроллере домена.

Примечание На серверах, обновленных с операционной системы Windows NT 4.0, файлы из общей папки службы Net Logon (Repl\Export\Scripts) переносятся в пап ку \Sysvol\\Scripts в дереве Sysvol, Служба каталогов Active Directory 106 ЧАСТЬ Порядок создания корневого домена леса При создании корневого домена леса выполняются следующие операции:

• создаются папки схемы и конфигурации;

• мастер установки Active Directory назначает на контроллере домена хозяев: эму лятора PDC, относительных идентификаторов, именования доменов, схемы и и и фраструкту ры.

Порядок создания нового дочернего домена При создании нового дочернего домена выполняются следующие операции:

• проверяется допустимость предоставленного доменного имени;

• находится исходный контроллер домела в родительском домене и синхронизи руется системное время дочернего домена и исходного контроллера домена;

• создаются объекты родственных отношений доверия в системных папках роди тельского и дочернего домена. Эти объекты (класса trustedDomairi) указывают на двусторонние транзитивные доверительные отношения между дочерним и родительским доменом;

• из родительского домена реплицируются папки схемы и конфигурации Active Directory.

Порядок создания нового корневого домена дерева в существующем лесе При создании нового корневого домена дерева в существующем лесе выполняются следующие операции:

• находится контроллер-источник в корневом домене леса и синхронизируется си стемное время нового домена и контроллера-источника;

• создаются отношения доверия между корневыми доменами дерева и леса и со здается объект класса trustedDomain n обоих доменах. Доверительные отноше ния между корневыми доменами дерева и леса двусторонние и транзитивные;

• мастер установки Active Directory назначает на контроллере домена хозяев: эму лятора PDC, относительных идентификаторов и инфраструктуры.

Подробнее о доверительных отношениях — в главе \ «Логическая структура Active Directory». Подробнее об операциях одиночного хозяина — в главе 7 «Управление операциями одиночного хозяина» и и справочной системе Windows 2000 Server.

Порядок создания дополнительного контроллера домена Чтобы добавить в существующий домен дополнительный контроллер, требуется установить Active Directory на компьютере под управлением Windows 2000 Server.

В процессе создания дополнительного контроллера домена выполняются такие же операции проверки и конфигурирования, как и при создании нового домена. Ника кие особые проверки пространства имен TCP/IP не осуществляются. Если какая либо из перечисленных ниже операций терпит неудачу, установка Active Directory останавливается:

• присоединение компьютера к домену. Если компьютер уже присоединен к доме ну, присоединяется его учетная запись;

если при этом учетная запись находится в другом домепе, она отсоединяется от этого домена;

ГЛАВА 2 Хранение данных в Active Directory • принудительная синхронизация от сервера-источника к хозяину относительных идентификаторов, что гарантирует предоставление пула относительных иденти фикаторов для нового контроллера домена. Хозяин относительных идентифи каторов не обязательно должен быть доступен в течение установки Active Direc tory, но далее непременно должен стать доступным на время, необходимое для передачи относительных идентификаторов новому контроллеру домена.

После успешного выполнения этих операций мастер напускает процесс репликации, Репликация разделов каталога При создании нового домена в существующем лесе разделы схемы и конфигурации всегда обновляются на новом контроллере домепа посредством репликации. Когда Вы создаете дополнительный контроллер домена в существующем домене, кроме разделов схемы и конфигурации обновляется и раздел домена, Компьютер, на котором устанавливается Active Directory, использует локатор для нахождения контроллера домепа в родительском домене (при создании нового до чернего домена) или в собственном домепе (при создании дополнительного кон троллера существующего домена), который будет выполнять роль исходного кон троллера дометта репликации. Компьютер запрашивает у контроллера-источника составные имена папок конфигурации и схемы, отправляя LDAP-запрос с нулевым составным именем (NULL) и получая в ответе атрибуты rootDSE. Он реплицирует разделы схемы и конфигурации (именно в этом порядке), задаваемые но их состав ным именам. По завершении репликации разделов каталога па компьютер, на ко тором устанавливается Active Directory, по реплицированным данным восстанав ливаются GUTD-идентификаторы контейнеров, хотя в дальнейшем процессе уста новки обращение к разделам каталога производится по их составным именам.

Примечание Неудача полной репликации любого из разделов каталога влечет за собой невозможность установки Active Directory. Для обеспечения целостности данных в процессе репликации существует момент, после которого процесс остано вить невозможно - это репликация атрибутов раздела домена. До этого момента процесс установки можно отменить («откатить*). После начала репликации атри бутов раздела домепа отменить процесс установки нельзя, Подробнее о локаторе контроллеров домена в главе 3 «Разрешение имен в Active Directory».

Установка и конфигурирование DNS Если в момент установки первого контроллера в домене DNS недоступна, Вы мо жете установить и автоматически настроить DNS при установке Active Directory.

Мастер установки Active Directory спросит, устанавливать ли и конфигурировать ли автоматически службу DNS, если верно хотя бы одно из следующих условий.

• создается новый лес, и мастер установки Active Directory не может найти в се ги ни одного доступного сервера DNS;

• создается новый домен, и динамическое обновление недоступно.

Вы также вправе установить оснастку DNS Manager (DNS) и использовать ее для настройки DNS до или после установки Active Directory. Подробнее об автомат и Служба каталогов Active Directory 108 ЧАСТЬ ческой настройке DNS и требований к DNS, используемой в Active Directory, — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server». («Русская Редак ция», 2001).

Операции, выполняемые после установки После успешной установки Active Directory и перезапуска компьютера мастер ус тановки Active Directory выполняет следующие операции:

• если создавался новый лес, в реестр помещается команда вызова служебной про граммы CSVDE (Comma Separated Value Directory Exchange). Команда вызыва ет импорт всех локализованных спецификаторов экрана после перезапуска ком пьютера;

• если создавался новый домен (в том числе новый лес) и были выбраны уста новка и настройка службы DNS, то запускается процесс установки и конфигу рирования DNS;

• в каталоге Sysvol создаются объекты системного тома и служба репликации фай лов сообщает службе Net Logon (Сетевой вход в систему) о готовности Sysvol.

После этого служба сетевого входа в систему выделяет Sysvol в общее пользо вание и объявляет компьютер контроллером домена, Если устанавливаемый компьютер - дополнительный контроллер домена, служба репликации файлов (File Replication service, FRS) должна заполнить (реплицировать в него) его си стемный том файлами и каталогами из другого контроллера в домене. Контрол лер домена не публикуется и Sysvol не выделяется в общее пользование, пока процесс заполнения не завершится. Процессом заполнения управляет параметр в реестре SysvolSeeding.

Примечание Информационные сообщения службы репликации файлов, создавае мые t процессе заполнения Sysvol, регистрируются в журнале служб в Event Viewer (Просмотр событий). Используйте окно просмотра событий для изучения сообще ний, связанных с созданием и заполнением папки системного тома.

Удаление Active Directory Для удаления Active Directory используйте то же самое приложение, которое при меняли для ее установки, — Active Directory Installation Wizard (Мастер установки Active Directory). При запуске на контроллере домена он автоматически определя ет систему как сервер с Active Directory и запрашивает сведения, необходимые для удаления Active Directory.

Примечание Мастер установки Active Directory удаляет все ссылки на параметры настройки безопасности групповой политики контроллеров домена и размещает в меню Administrative Tools (Администрирование) ярлыки программ, предназначен ных для настройки параметров локальной безопасности рядового сервера домена или изолированного сервера.

Па рис. 2-10 показаны схемы работы мастера установки Active Directory при изме нении роли компьютера от контроллера домена до изолированного сервера или рядового сервера домена.

Хранение данных в Active Directory ГЛАВА Изолированный сервер под управлением DCPROMO Windows Контроллер домена под управлением DCPROMO Windows Рис. 2-10. Серверы, создаваемые при удалении Active Directory Административные реквизиты Чтобы удалить Active Directory, необходимо предоставить административные рек визиты следующим образом:

• для удаления Active Directory с последнего контроллера домена в дочернем до мене требуется предоставить реквизиты администратора предприятия или быть членом группы Enterprise Admins (Администраторы предприятия);

• для удаления Active Directory с последнего контроллера домена в корневом до мене дерева требуется предоставить реквизиты администратора предприятия или войти в систему как член группы Enterprise Admins (Администраторы пред приятия);

• для удаления Active Directory с последнего контроллера домена в корневом до мене леса требуется войти в домен под учетной записью Administrator (Адми нистратор) или как член группы Domain Admins (Администраторы домена);

• для удаления Active Directory с контроллера домена, который не является по следним в домене предъявлять реквизитов не нужно, однако необходимо войти в систему как член группы Domain Admins (Администраторы домена) либо кик член группы Enterprise Admins (Администраторы предприятия).

Удаление Active Directory с дополнительного или последнего контроллера домена Перечисленные ниже операции процесса удаления Active Directory с дополнитель ного или последнего контроллера домена совпадают. Если хотя бы одна из них по терпит неудачу, удаление Active Directory будет остановлено, • Репликация изменений в разделы конфигурации и схемы. На дополнительном контроллере домена требуется репликация изменений как разделов конфигура ции и схемы, так и раздела домена.

• Перемещение на другие контроллеры домена ролей одиночного хозяина, кото рыми обладает данный контроллер домена.

Примечание В случае удаления последнего контроллера в домене требование о перемещении касается только ролей одиночного хозяина схемы или хозяина именования доменов в масштабе леса.

Удаление объектов системного тома из базы данных каталога, удаление объек тов системного тома из базы данных NtFrs и уничтожение иерархии каталогов ЧАСТЬ 1 Служба каталогов Active Directory Sysvol (NtFrs). NtFrs запрашивает у службы Net Logon (Сетевой вход в систе му) разрешение отменить выделение в общее пользование системного тома.

• Удаление объекта NTDS Settings и объектов перекрестных ссылок.

• Обновление DNS, заключающаяся в удалении записей локатора контроллеров до менов. После удаления объекта NTDS Settings агент системы каталоге» DSA уве домляет службу сетевого входа в систему, и та удаляет указанные записи.

• Создание локальной базы данных SAM так же, как и при установке «с нуля», включая создание учетной записи администратора и задание пароля.

• Модификация политики членства LSA е указанием типа сервера, которым ста новится данный компьютер — изолированным сервером или рядовым сервером домена.

• Остановка службы Net Logon (Сетевой вход в систему) и других служб. Оста навливаются все службы, запущенные в процессе предыдущей установки Active Directory. Отменяется автоматический запуск служб, относящихся только к службе каталогов.

Удаление дополнительного контроллера домена Далее перечислены операции по удалению дополнительного контроллера домена.

Если хотя бы одна из них потерпит неудачу, понижение роли контроллера домена будет остановлено, • Поиск контроллера-источника в данном домене, где находится учетная запись дополнительного контроллера домена и подключения к нему для репликации изменений.

• Изменение типа учетной записи компьютера на рядовой сервер домена и пере мещение ее из папки Domain Controllers в папку Computers.

Удаление последнего контроллера домена Далее перечислены операции по удалению последнего контроллера в домене. Если хотя бы одна из них потерпит неудачу, процесс удаления будет остановлен, • Проверка наличия дочерних доменов. Удаление Active Directory продолжается только при условии отсутствия дочерних доменов.

• Поиск контроллера-источника в родительском домене и подключения к нему для репликации изменений.

• Удаление из леса объектов Active Directory, относящихся к данному домену.

Мастер связывается с хозяином именования доменов и удаляет объект NTDS Settings и объекты перекрестных ссылок.

• Удаление объектов доверительных отношений с родительского сервера. Из пап ки System удаляются объекты класса trustedDomain.

• Размещение сервера в рабочей группе но имени Workgroup (Рабочая группа).

Если объект NTDS Settings не удалось успению удалить из Active Directory (па пример, в случае сбоя сервера в процессе удаления Active Directory), необходимо удалить его вручную. Подробнее об удалении данных конфигурации в случае сбоя процесса удаления Active Directory в главе 10 «Выявление и устранение непола док, а также восстановление Active Directory».

Хранение данных в Active Directory ГЛАВА Автоматическая установка и удаление Active Directory Для автоматической работы мастера установки Active Directory можно использо вать файл ответов (answer file), в котором содержатся ответы на вопросы, задавае мые мастером в процессе установки или удаления. Создав файл ответов, Вы смо жете запускать его из командной строки на компьютере, где проводится установка или удаление. Инструкции по созданию файла ответов хранятся в документе «Microsoft Windows 2000 Guide to Unattended Setup» (файл Unattend.doc находит ся в архивном файле Deploy.cab в папке \Support\Tools) на компакт-диске с опера ционной системой Windows 2000. Для извлечения данного документа в Windows или Windows 2000 можно воспользоваться Windows Explorer. В Windows 95 и бо лее ранних версиях операционных систем Windows или в MS DOS для открытия файла воспользуйтесь командой Extract. В дальнейшем Вы можете сохранить файл Unattend.doc под другим именем в любом удобном для Вас месте.

Текстовый файл ответов содержит все параметры, необходимые мастеру для уста новки Active Directory, включая тин (дополнительный или новый домен) и конфи гурацию создаваемого дометт (новый лес, новый корень дерева или новый дочер ний домен).

Файл ответов можно использовать для установки Windows 2000 Server, в том чис ле и для установки Active Directory. Вы также можете создать файл ответов, кото рый содержит только раздел [Deinstall] (установка Active Directory) файла Unat tend.doc. Такой файл ответов будет выполняться после завершения установки Windows 2000 Server и входа и систему. Для запуска мастера установки Active Directory с файлом ответов введите в командной строке следующую строку:

dcpromo /апзиег:<имя_0айла_огветое> Кроме инструкций по созданию файла ответов файл Unattend.doc содержит типо вые файлы ответов для установки Active Directory. Подробнее об использовании файлов ответов в книге «Microsoft Windows 2000 Server Deployment Planning Guide» (Microsoft Press, 2000).

ГЛАВА Разрешение имен в Active Directory Поиск информации в Active Directory — службе каталогов Microsoft Windows состоит из нескольких этапов: во-первых, розыска сервера Active Directory (кон троллера домена) для входа в домен, во-вторых, поиска нужных данных в Active Directory. В обоих случаях используется разрешение имен. При розыске контрол лера домена система доменных имен (DNS) разрешает имя домена или компьюте ра в IP-адрес, а в процессе поиска данных в Active Directory операционная система Windows 2000 находит с помощью протокола LDAP (Lightweight Directory Access Protocol) no составному имени контроллер домена, на котором располагается за пись об этом имени.

В этой главе Поиск серверов Active Directory Поиск информации в Active Directory См. также • Подробнее о DNS, TCP / IP, сетях, подсетях и масках подсети — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).

• Подробнее о планировании и развертывании доменов и контроллеров доменов — в книге Microsoft Windows 2000 Server Deployment Planning Guide (Microsoft Press, 200).

Поиск серверов Active Directory Когда приложения запрашивают доступ к Active Directory, поиск сервера Active Directory (контроллера домена) выполняет механизм, носящий название локатор контроллера домена или просто локатор (Locator). Это алгоритм, исполняемый в контексте службы Net Logon (Сетевой вход в систему). Он разыскивает контрол леры домена по их DNS-именам (для компьютеров, поддерживающих IP-транспорт и именование DNS) или NetBIOS-именам (для компьютеров под управлением Microsoft Windows 3.x, Microsoft Windows for Workgroups, Microsoft Windows NT версии 3.5 и последующих, Microsoft Windows 95, Microsoft Windows 98, а также для компьютеров в сети, для которых IP не доступен).

Разрешение имен в Active Directory ГЛАВА Примечание В этой главе термин «локатор, совместимый с Windows NT 4.0» отно сится к локатору, который используется клиентами под управлением Windows 3,х, Windows for Workgroups, Windows NT 3.5 и более поздних версий, Windows 95 или Windows 98 — для розыска контроллера домена в домене любого типа, а также кли ентами под управлением Windows 2000 для розыска контроллера в домене Mic rosoft Windows NT версии 3.51 или 4.0.

Основная тема этой главы — поиск контроллеров доменов. Подробнее о прямом и обратном разрешении DNS-имен в IP-адреса — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).

Регистрация имен контроллеров домена При загрузке каждый контроллер домена под управлением Windows 2000 регист рирует свое имя в двух форматах:

• доменное имя DNS — в службе DNS (например, noam.reskit.com);

• NetBIOS-имя — в WINS или другой транспортной службе (например, noam).

Когда пользователь запускает компьютер и входит в домен, компьютеру необходи мо выполнить одно из двух действий:

• если имя домена представлено в виде DNS-имени, направить в DNS запрос на поиск контроллера домена, где будет проводиться проверка подлинности;

• если — в виде NetBIOS-имени, отправить почтовое сообщение, чтобы найти кон троллер указанного домена.

После того как контроллер домена найден, информация о нем котируется, и в пос ледующих сеансах входа в систему запрос не выполняется.

Регистрация доменных имен в DNS Active Directory поддерживает динамическую регистрацию адресов контроллеров домена в DNS. После установки Active Directory в процессе создания контроллера домена служба Net Logon (Сетевой вход в систему) динамически создаст записг к базе данных DNS, используемые для поиска сервера. Динамическое обновление (определенное в документе RFC 2136) это самое последнее расширение стандар та DNS, представляющее собой протокол динамического обновления сервера DNS и внесения новых или измененных записей ресурсов. До появления этого протоко ла администраторам приходилось вручную создавать записи, хранящиеся на серве рах DNS. Динамическое обновление в Windows 2000 DNS реализовано так же, как и в Berkeley Internet Name Domain (BIND) DNS версии 8.x. (Подробнее о BIND DNS - в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).) Все контроллеры домена под управлением Windows 2000 динамически регистриру ют в DNS записи служб (SRV), которые позволяют находить серверы по типам служб (например, LDAP) и протоколов (например, TCP). Поскольку контроллеры домена — это LDAP-серверы, взаимодействующие по протоколу TCP, записи SEV можно использовать для поиска DNS-имен компьютеров контроллеров домена.

Кроме записей SRV, относящихся к LDAP, служба сетевого входа в систему также ре гистрирует записи SRV для протокола проверки подлинности Kerberos v5, что позво ляет разыскивать серверы со службой центра распределения ключей (Key Distribution Служба каталогов Active Directory 114 ЧАСТЬ Center, КОС). (Подробнее о протоколе проверки подлинности Kerberos v5 и КОС — в главе 11 «Проверка подлинности».) Все контроллеры домена под управлением Windows 2000 также динамически реги стрируют отдельную запись ресурсен Л, содержащую DNS-имя домена (DnsDo mamNume}, в котором расположен контроллер домена и IP-адрес этого контролле ра. Запись ресурсов А позволяет клиентам, не поддерживающим работу с записями SRV, находить контроллер домена стандартными средствами сервера.

Вы можете отключить регистрацию службой Net Logon (Сетевой вход в систему) записей ресурсов А, которая ставит в соответствие доменному имени Active Direc tory IP-адрес контроллера домена. Это рекомендуется для предотвращения описан ной далее ситуации. Если Web-сервер зарегистрирует имя, совпадающею с домен ным именем Active Directory, потребуется обеспечить, чтобы другие серверы не смогли зарегистрировать запись ресурсов А на это имя. В противном случае, пыта ясь обратиться к Web-серверу, браузер попадет на контроллер дометта и возвратит ошибку о невозможности подключиться к Web-узлу. Вот еще один пример: если почтовый сервер не настроен на поиск записей ресурса почтового обменпика (mail exchanger, MX) и поэтому полагается па записи ресурсов А в OKS, то имена, ис пользуемые для почтовых серверов, могут не совпадать с именами, применяемыми другими службами (например Active Directory).

^ Отключение регистрации службой Net Logon записи ресурсов А для контроллера домена 1. В меню Start (Пуск) щелкните Run (Выполнить).

2. В поле ввода диалогового окна Run (Выполнить) введите regedt32.exe или regedit.exe и щелкните ОК.

3. В редакторе реестра перейдите в раздел:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 4. Если в этом разделе есть параметр DnsRegisterARecords, дважды щелкните его, 5. В диалоговом окне редактирования параметра DWORD Editor (Редактор двой ных слов) (в Regedt32.exe) или Edit DWORD Value (Изменение параметра DWORD) (в Regedit.exe) в текстовом поле введите 0, а затем щелкните ОК.

6. Если параметра DnsRegisterARecords в разделе нет, создайте его одним из сле дующих способов.

• В Regedt32.exe выберите в меню Edit (Правка) щелкните Add Value (Доба вить параметр).

В поле Value Name (Параметр) введите DnsRegisterARecords.

В поле со списком Data Type (Тип данных) выберите REGDWORD, а за тем щелкните ОК.

В диалоговом окне DWORD Editor (Редактор двойных слов) в поле Data (Значение) введите значение 0, а затем щелкните ОК.

• В Regedit.exe в меню Edit (Правка) выберите подменю New (Создать) и в нем - DWORD Value (Параметр DWORD).

В поле имени параметра введите DnsRegisterARecords.

Отредактируйте созданный параметр и присвойте ему значение 0, как опи сано выше.

7. Закройте редактор реестра.

Разрешение имен в Active Directory ГЛАВА Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) — делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит стандартные средства защиты, призванные не допускать ввода конфликтующих значений параметров, а также спо собных снизить быстродействие системы или разрушить ее. Не исключено, что по следствия прямого редактирования реестра окажутся не такими, как Вы ожидали, и, возможно, Вам придется переустанавливать Windows 2000. Для настройки и кон фигурирования Windows 2000 рекомендуется использовать Control Panel (Панель управления) или Microsoft Management Console (Консоль управления Microsoft).

Перед изменением реестра советуем делать резервную копию. Подробнее о редак тировании параметров реестра в справочной системе редактора реестра. Подроб нее о реестре — в техническом руководстве Technical Reference Microsoft \Vm dows 2000 Professional Resource Kit (файл Regentry.chm).

Регистрация доменных имен NetBIOS Контроллер домена регистрирует свое NetBIOS-имя (<имя_домена> [1C]), переда вая широковещательное сообщение или направляя запрос на регистрацию имени на сервер имен NetBIOS, такой, как сервер WINS. Регистрация NetBIOS-имени позво ляет клиентам под управлением Windows, не поддерживающим DNS, находить кон троллеры домена под управлением Windows 2000, Windows NT 4.0 или Windows NT 3.51. В этом случае клиент отыскивает контроллер домена, отправляя по почте ;

;

i n рос на вход в систему и создавая его на основе NetBIOS-имени домена.

Примечание NetBIOS распознает контроллеры домена по зарегистрированному имени [1C].

Подробнее о регистрации имен в WINS — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).

Записи ресурса SRV В процессе загрузки контроллеров домена под управлением Windows 2000 служба Net Logon (Сетевой вход в систему) регистрирует записи ресурсов SRV в базе дан ных DNS по механизму динамического обновления, описанному в RFC 2052 «A DNS RR for specifying the location of services (DNS SRV)». Подробнее об этом документе на Web-странице Web Resources по адресу http://windows.microsoft.com/win dows2000/reskit/webresources, ссылка IETF (Internet Engineering Task Force), далее ссылка Internet Drafts (проведите поиск по ключевым словам), Запись ресурса SRV предназначена для создания связи между именем службы (в данном случае службы LDAP) и DNS-именем сервера, на котором исполняется данная служба. В сетях Windows 2000 запись ресурса LDAP указывает на контрол лер домена.

Общая форма запроса записи SRV на DNS рабочей станцией, относящейся к доме ну Windows 2000, выглядит следующим образом:

_<название_службы>. _<название_протокола>. <ОЛ/5-имя_доиена> На серверах Active Directory работает служба LDAP по протоколу TCP, поэтому клиенты находят сервер LDAP, запрашивая в DNS запись вида:

_ldap, _tcp.

Служба каталогов Active Directory 116 ЧАСТЬ Примечание В строках службы и протокола требуется указывать приставку в виде символа подчеркивания (_), чтобы избежать возможных совпадений с уже суще ствующими именами в пространстве имен.

Поддомен _msdcs Существуют реализации LDAP-серверов, отличные от контроллеров домена под уп равлением Windows 2000, и службы LDAP, использующие серверы глобального ка талога не под управлением Windows 2000. Чтобы облегчить поиск контроллеров до мена под управлением Windows 2000, в дополнение к стандартному формату вида:

_<названив_службы>._<название„протокола>.<ОН5-имя_домена> служба сетевого входа в систему регистрирует записи SRV с наиболее известными псевдонимами, присоединяемыми в начало имени поддомена _msdcs: dc (domain controller — контроллер домена), gc (Global Catalog — глобальный каталог), pdc (primary domain controller — основной контроллер домена) и domains (уникальный глобальный идентификатор GUID). Этот поддомен является отличительной чер той продуктов Microsoft и позволяет вести поиск контроллеров домена, выполня ющих особые, характерные для Windows 2000, роли в доменах или лесах, а также находить переименованные домены по их GUID-идентификатору. Для выполнения поиска контроллеров домена по типу сервера или GUID (сокращенно dctype) кон троллеры домена под управлением Windows 2000 регистрируют записи SRV в сле дующей форме;

„<наэвание„службы>...<наэвание_протокола>.<тип_котроллера_домена>._тз<}С5.<ОНЗ-имя_домена> Добавление имени поддомена _msdcs означает, что для поиска сервера LDAP раз решается применять два набора имен DNS: DNS-имя домена используется для по иска серверов LDAP или Kerberos, поддерживающих TCP [для сервера Kerberos существует выбор протокола: либо TCP, либо UDP (User Datagram Protocol)], a поддомен _msdcs. для обнаружения серверов LDAP, поддер живающих TCP и одновременно выполняющих определенную роль Windows 2000.

Ключевое слово _msdcs зарезервировано для розыска контроллеров домена, а вы бор всего лишь одного слова обусловлен стремлением не перегружать пространство имен DNS. Остальные стандартные известные имена (pdc, dc и gc) — короткие, что бы избежать превышения максимальной длины DNS-имеии домена.

Записи SRV, регистрируемые службой сетевого входа в систему В приведенном далее списке даны определения имей, интерпретируемых как заре гистрированные записи SRV. Кроме того, в нем описаны критерии поиска, поддер живаемые каждой из записей, а также операции проверки, выполняемые службой Net Logon (Сетевой вход в систему) в процессе регистрации записей. Обычным начертанием выделены постоянные составляющие записей, а курсивом — изменяе мые элементы.

Для зарегистрированных записей SRV термин обозначает DNS-имя домена, присвоенное ему в процессе создания контроллера домена при присоединении к дереву доменов или создании нового дерева (то есть во время ра боты мастера установки Active Directory). Термин <О№-имя_корневого_домена_ леса> относится к DNS-имсни корневого домена леса.

Разрешение имен в Active Directory ГЛАВА 3 Итак, перед Вами — список имен владельцев записей SRV, регистрируемых служ бой Net Logon. Имя владельца — это имя DNS-узла, к которому относится запись ресурса, -имя л омена> Эта запись позволяет клиентам находить серверы со службой LDAP в домене с именем . При этом сервер не обязательно является контролле ром домена — единственное, что о нем можно сказать: он поддерживает интерфейс LDAP API. Все контроллеры домена под управлением Windows 2000 регистриру ют эту запись SRV (например, _ldap._tcp.reskit.com.).

Эта запись позволяет клиентам находить серверы со службой LDAP в домене с именем <ОМ5-имя_домена> в сайте <имя_сайта>. <имя_сайта> — это относи тельное составное имя объекта «сайт» в контейнере конфигурации в Active Direc tory. Сервер не обязательно выполняет роль контроллера домена. Все контроллеры домена под управлением Windows 2000 регистрируют эту запись SRV (например, _ldap._tcp.charlotte._sites. re.skit.com.), _l dap._tcp.dc._ Эта запись позволяет клиентам находить контроллеры домена (сокращенно dc) с именем . Все контроллеры домена под управлением Win dows 2000 регистрируют эту запись SRV.

_1йар._1ср.<*шя_сэй ra>._sites.dc._m sd с $.<ОН8-имя_домена> Эта запись позволяет клиентам находить контроллеры домена (dc) домена с име нем <П№5-имя_домено> в сайте <имя_сайта>. Все контроллеры домена под уп равлением Windows 2000 регистрируют эту запись SRV.

Эта запись позволяет клиентам находить серверы — основные контроллеры доме на (сокращенно pdc) в домене смешанного режима <О№-имя_домена>. Эту запись SRV регистрирует только хозяин эмулятора PDC в домене (контроллер домена под управлением Windows 2000, объявляющий себя основным контроллером домена среди компьютеров, нуждающихся в PDC).

Эта запись позволяет клиентам находить серверы глобального каталога (сокращен но gc) в данном лесе. Эту запись SRV регистрируют только контроллеры домена, выполняющие роль серверов глобального каталога для леса (например, _ldap._tcp.gc._msdcs.reskit.com.).

Эта запись позволяет клиентам находить серверы глобального каталога (сокращен но gc) данного леса <О№5-имя_корневого_домена_леса> в сайте <имя_сайта>. Эту запись SRV регистрируют только контроллеры домена, выполняющие роль серве ров глобального каталога для леса <В№-имя_корлевого_домена_леса> (например, _ldap.tcp.charlotte._sites.gc._msdcs. reskit.com.).

Служба каталогов Active Directory 118 ЧАСТЬ Эта запись позволяет клиентам находить серверы глобального каталога (сокращен но gc) в данном домене. Сервер не обязательно является контроллером домена. Эту запись SRV регистрируют только серверы го службой LDAP, являющиеся сервера ми глобального каталога леса <В\'5-имя_кориевого_домена_леса> (например, _gc._tcp.reskit.corn.).

Примечание В Windows 2000 сервер глобального каталога также выполняет роль контроллера домена. Другие, отличные от Windows 2000 реализации службы ката лога, также способны регистрировать серверы в качестве глобального каталога.

_дс._\с\>.<имя_сайта>._$Пе$.<ОМ5-имя_корневого_домена_леса> Эта запись позволяет клиентам находить серверы глобального каталога (сокращен но gc) данного леса <О№-гшя_корнево?,о_домена_леса> в сайте <имя_сайто>. Сер вер не обязательно является контроллером домена. Эту запись SRV регистрируют только серверы со службой LDAP, работающие серверами глобального каталога леса <ОШ'-имя_корневого_домена_лес(1> (например, _gc._tcp.charlotte._sites.reskit.com.).

._ms dc 5.<ОН5-имя_корневого_доменэ_леса> Эта запись позволяет клиентам находить контроллеры домена по их GUID-иден тификаторах. GU1D - это 128-разрядное число, автоматически создаваемое для обращения к объектам в Active Directory - в данном случае речь идет об объекте «домен». Предполагается, что такой поиск выполняется редко — только когда имя домена <ОМ5-гшядомена> изменилось, а имя леса <ВН5-имя_корнево?,о_домена_ леса> известно и не менялось (например, _ldap._tcp.4f904480-7c78-llcf h057-OOaa006Mf8l'.domains._msdcs. reskit.com.). Эту запись SRV регистрируют все контроллеры домена.

_kerbe ros.

Эта запись позволяет клиентам находить в домене серверы со службой Kerberos KDC. Сервер не обязательно является контроллером домена. Эту запись SRV регистрируют все контроллеры домена под управлением Windows Server, исполняющие службу Kerberos KDC в соответствии с RFC 1510, _kerbe ros.

То же, что и _kerberos._tcp., но для протокола UDP.

Эта запись позволяет клиентам находить серверы со службой Kerberos KDC доме на <О№5-имя_домена> в сайте <имя_сайто>. Сервер не обязательно является кон троллером домена. Эту запись SRV регистрируют все контроллеры домена под уп равлением Windows 2000 Server, на которых выполняется служба Kerberos KDC, соответствующая RFC 1510.

Эта запись позволяет клиентам находить в домене <ОН$-имя_Зомеиа> серверы, на которых выполняется реализация службы Kerberos KDC для Windows 2000. Эту за пись SRV регистрируют все контроллеры домена под управлением Windows 2000 со службой KDC (то есть в которых реализовано расширение протокола Kerberos v5 — подпротокол AS-обмена [Authentication Service Exchange]).

Разрешение имен в Active Directory ГЛАВА Эта запись позволяет клиентам находить в сайте <шш_сайта> контроллеры доме на , на которых работает реализация службы Kcrberos KDC для Windows 2000. Эту запись SRV регистрируют все контроллеры домена под управ лением Windows 2000 со службой КОС. То есть такие, в которых реализовано рас ширение протокола Kerberos v5 — подпротокол AS-обмена (Authentication Service Exchange).

Эта запись позволяет клиентам находить серверы смены ключа Kerberos (Kerberos Password Change) в домене. Эту запись SRV регистрируют все серверы, на которых работает служба смены ключа Kerberos (к ним относятся все контроллеры домена под управлением Windows 2000). Такие серверы как минимум поддерживают прото кол смены пароля Kerberos в соответствии с документом RFC «Kerberos Change Password Protocol». (Подробнее об этом документе на Web-странице Web Resources но адресу в http://windows.microsoft.com/wmdows2000/reskit/webresources. Для на хождения нужного документа воспользуйтесь поиском по ключевым словам.) Сер вер не обязательно выполняет функции контроллера домена. Эту запись SRV регис трируют все контроллеры домена под управлением Windows 2000, на которых выпол няется служба Kerberos KDC, соответствующая RFC 1510.

_kpasswd.

То же, что и _kpasswd._tcp., но для протокола UDP.

Если у нескольких контроллеров домена критерии поиска совпадают, одному име ни владельца соответствует несколько записей. Клиент, выполняющий поиск кон троллера домена по определенным критериями, получает от сервера DNS все под ходящие записи, из которых может выбрать одну, отдавая предпочтение определен ному контроллеру домена, как это описано в документе RFC 2052 «A DNS RR or specifying the location of services (DNS SRV)». Подробнее об этом документе — на Web-странице Web Resources по адресу http://windows.microsoft.com/windows2000/ reskit/webresources, ссылка IETF (Internet Engineering Task Force) и далее ссылка Internet Drafts (выполните поиск по ключевым словам), Подробнее о протоколе проверки подлинности Kerberos v5 и поднротоколах рас ширения Kerberos -- в главе 11 «Проверка подлинности».

Записи для клиентов, не поддерживающих SRV Далее перечислены записи ресурсов А, регистрируемые службой Net Logon (Сете вой вход в систему) для клиентов LDAP, не поддерживающих записи SRV. Лока тор эти записи не использует. (В приведенном ниже списке под словом «клиент» мы подразумевает клиент LDAP, не поддерживающий записи SRV, если иное не оговорено особо.) <ОНЗ-имя_домена> Позволяет клиенту находить контроллеры домена по записи ресурсов А. Клиенту LDAP возвращается имя в виде LDAP-неренаправления. (Подробнее о LDAP-uc ренаправлеиии — в разделе «LDAP-перенаправления» далее в этой главе.) Обыч ные клиенты обращаются по этому имени, а клиенты, поддерживающие SRV, обра щаются к соответствующей записи ресурса SRV.

Служба каталогов Active Directory 120 ЧАСТЬ gc._msdcs. Позволяет клиенту находить в лесе серверы глобального каталога по записи ресур са А. Клиенту LDAP возвращается имя в виде LDAP-перенаправления. Обычные клиенты обращается по этому имени, а клиенты, поддерживающие SK.V, обраща ются к соответствующей записи ресурса SRV.

Служба сетевого входа в систему также регистрирует псевдоним DNS (CNAM.E), который используется для репликации Active Directory. Локатор эту запись не ис пользует.

Имя владельца записи CNAME:

<биЮ-идентнфикатор_08А>.^шйс$.<ОМ8-иш_корневого_домена_леса> Она позволяет клиенту находить контроллеры домена в лесе по записи ресурса А.

Единственное, что известно о контроллере домена, — GUID объекта в DSA, соот ветствующего контроллеру домена, и имя леса, в котором этот контроллер домена находится. Эта запись используется для облегчения процедуры переименования контроллера домена.

Другая информация, содержащаяся в записях SRV Ниже перечислена информация, также помещаемая в записи SRV.

Priority (Приоритет). Задает предпочтение для узла. Клиенты DNS, запрашиваю щие запись ресурса SRV, пытаются установить контакт с первым достижимым уз лом с минимальным значением приоритета.

Weight (Вес). Используется для балансировки нагрузки в том случае, когда для нескольких серверов задан одинаковый уровень предпочтения (приоритет). Попыт ки доступа к серверам, имеющим одинаковый приоритет, распределяются пропор ционально указанному весу.

Port Number (Номер порта). Указывает порт, на котором сервер принимает запро сы к службе.

Target (Цель). Указывает полное DNS-имя домена для узла, обеспечивающего зап рашиваемую службу, Приведенный ниже пример иллюстрирует информацию, содержащуюся в записях ресурсов А и SRV. Контроллер домена с именем Phoenix в домене reskit.com имеет IP-адрес 157.55.81.157. Вот как выглядят регистрируемые им в DNS записи А и SRV:

phoenix.reskit.com А 157.55.81. „Idap.jtcp.reskit.com SRVO 0 389 phoenix.reskit.com _kerberos._tcp.reskit.com SRVO 0 88 phoenix.reskit.com _ldap._tcp.do.jnsdcs.reskit.com SRVO 0 389 phoenix.reskit.com _kerberos._tcp.dc. jnsdcs.reskit.com SRVO 0 88 phoenix.reskit.com.

При наличии всех соответствующих записей А и SRV поиск в DNS со строкой _ldap._tcp.dc._msdcs.reskit.com возвратит имена и адреса всех контроллеров домена.

Подробнее о записях А и SRV, DNS и их динамическом обновлении — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).

Поиск контроллеров домена Каждый контроллер домена под управлением Windows 2000 регистрирует свое до менное DNS-имя на сервере DNS, a NetBIOS-имя — по механизму, определяемому транспортом (например, WINS). Таким образом клиент DNS обнаруживает кон ГЛАВА 3 Разрешение имен в Active Directory триллеры домена, запрашивая DNS, а клиент NetBIOS соответствующую, зави сящую от вида транспорта службу имен. Как в локаторах Windows 2000. поддержи вающих IP/DNS, так и в локаторах Windows NT 4.0 совместно используется один программный код, поэтому эта служба поддерживает одновременно клиентов DNS и NetBIOS.

В итоге процесс поиска контроллера домена выполняется в следующем порядке.

1. На клиенте (компьютере, ведущем поиск контроллера домена) инициализиру ется локатор как вызов удаленной процедуры (RPC) локальной службы Net Logon (Сетевой вход в систему). Соответствующая API-функция (DsGetDcName) реа лизована в службе Net Logon.

2. Клиент собирает информацию, необходимую для выбора контроллера домена, и передает ее службе Net Logon в параметрах вызова DsGetDcName - API-функ ции локатора.

3. Собранная информация используется службой Net Logon клиентского компью тера для розыска контроллера указанного домена одним из двух способов:

• получив DNS-имя, служба сетевого входа в систему запрашивает DNS, ис пользуя локатор, поддерживающий IP/DNS, то есть, присоединив соответ ствующую строку в начало доменного имени, определяющего запись SRV, DsGetDcName вызывает DnsQuery, чтобы прочитать в DNS записи SRV и А;

• получив имя NetBIOS, служба сетевого входа в систему ищет контроллер домена, используя локатор, совместимый с Windows NT 4.0, то есть механизм, определяемый транспортом (например, WINS).

Примечание В Windows NT версии 4.0 и более ранних поиск (discovery) — это процесс поиска контроллера домена для выполнения проверки подлинности либо в основном, либо в доверенном домене.

4. Служба Net Logon посылает дейтаграмму обнаруженным контроллерам домена (ping). Для доменных имен NetBIOS, дейтаграмма имеет вид почтового сообще ния, а для имен DNS она оформляется как поиск LDAP UDP.

5. Все доступные контроллеры домена отвечают на дейтаграмму, подтверждая свою готовность к работе, а затем возвращают информацию функции DsGetDcName.

6. Служба Net Logon возвращает клиенту информацию, полученную от первого ответившего контроллера домена.

7. Служба Net Logon кэширует информацию о контроллере домена, чтобы при по следующих запросах не повторять поиск. Такое кэширование способствует по стоянному использованию одного и того же контроллера домена и, таким обра зом, постоянству представления Active Directory.

Функция DsGetDcName Далее перечислены параметры функции DsGetDcName, используемые службой Net Logon (Сетевой вход в систему) для приема информации от клиента и составления запроса в WINS или DNS. Как уже упоминалось в разделе «Поиск контроллеров домена», эта функция вызывается удаленно посредством дейтаграммы, отправляе мой обнаруженным контроллерам домена. Они отвечают на полученную дейтаграм му, предоставляя клиенту затребованную информацию.

Далее перечислены параметры и флаги функции DsGetDcName.

Служба каталогов Active Directory 122 ЧАСТЬ ComputerName. Указатель па строку с именем компьютера, запрашивающего ин формацию. Обычно в этом параметре передается значение NULL, указывающее на локальный компьютер, DomainName. Имя запрашиваемого домена. Возможно как иерархическое — R сти ле DNS (например reskit.com.), так и плоское - типа NetBIOS (например, reskit).

При задании имени в формате DNS конечную точку можно опускать.

DomainGuid. GUID-идептификатор запрашиваемого домена. Используется для запроса переименованных доменов. Если это значение задано и домен DomainName переименован, функция DsGetDcName пытается найти контроллер домена с ука занным DomainGuid.

SiteName, Имя сайта, в котором нужно найти контроллер домена. Обычно этот па раметр не указывается. Когда сайт не задай, функция возвращает сведения о контрол лере домена, находящемся в сайте, ближайшем к компьютеру ComputerName.

Flags. Флаги, используемые для обработки запроса. В DsGetDcNarnc определены следующие флаги:

• DS_FORCE_REDISCOVERY - вынуждает повторить поиск контроллера до мена, даже если сведения о нем уже находятся в кэше. Этот флаг можно исполь зовать в случае установки дополнительного или недоступности обнаруженного ранее контроллера домена. Не следует применять его, если только функция не вызывалась недавно без него. Рекомендуется сначала попытаться получить дос туп к контроллеру домена, информация о котором хранится в кэше, и только в случае неудачи установить флаг DS_FORCE_REDISCOVERY при повторном вызове функции;

• DS_DIRECTORY_SERVICE_REQUIRED требует вести поиск контрол лера домена, поддерживающего Directory Server API (то есть контроллер до мена должен работать под управлением Windows 2000 Server);

• DS^DIRECTORY SERVICE_PREFERRED - указывает на желательность того, чтобы найденный контроллер домена поддерживал Active Directory (то есть работал под управлением Windows 2000 Server). Если такой контроллер домена найти невозможно, возвращаются сведения о контроллере домена под управлением Windows NT версии 4.0 или более ранней. Если DsGetDcName ие удается найти никакого контроллера домена, поддерживающего службу каталогов, функция возвращает имя ближайшего контроллера домена, кото рый не поддерживает службу Active Directory. Однако нужно иметь в виду, что DsGetDcName возвращает ату информацию только после истечения сро ка ожидания поиска контроллера домена с Active Directory;

• DS_GC_SERVER_REQUIRED - требует вести поиск контроллера домена, выполняющего функции сервера глобального каталога для леса, в котором указанный домен является корневым. Этот флаг нельзя устанавливать, если определен флаг DS_PDC_REQIJIRED;

• DS PDC^REQUIRED — требует вести поиск основного контроллера (Primary Domain Controller, PDC) данного домена. Этот флаг нельзя устанавливать, если определен флаг DS_GC_S1RVER_REQUIRED. При установке флага DS_PDC_REQUIRED флаги DSDIRECTORY_SERVICE_PREFERRED и DS_WRITABLE_REQUIRED игнорируются;

Разрешение имен в Active Directory ГЛАВА DS_WRITABLEREQUIRED — требует вести поиск контроллера домена с доступной для записи (полной) копией Active Directory (или SAM). Если имя домена DomainName заданно в формате NetBIOS, установка данною флага вынуждает DsGetDcName искать либо основной контроллер домена, либо контроллер домена под управлением Windows 2000 Server. В случае ука зания DomainName в виде DNS-имсни этот флаг игнорируется;

DS_IP_REQUIRED — требует возвратить IP-адрес обнаруженного контрол лера домена;

DS KDC_REQUIRED — требует искать контроллер домена со службой рас пространения ключей (Key Distribution Center, KDC);

DS_TIMESERV_REQUIRED — требует искать контроллер домена, на кото ром выполняется служба времени Windows (Windows Time Service);

DS GOOD_TIMESERV_PREFERRED вынуждает отдавать предпочтение контроллерам домена, являющимся «надежными» (reliable) серверами време ни. В службе времени Windows существует возможность объявить один или несколько контроллеров домена «надежными» серверами времени. Этот флаг предназначен только для службы времени. Поведение, определяемое этим флагом, может быть изменено в следующих версиях функций в целях совер шенствования поддержки службы Windows Time Service (W32time);

DS_IS_FLAT_NAME — указывает, что параметр DomainName передается в формате NetBIOS, поэтому не нужно использовать локатор, поддерживаю щий IP/DNS, а сразу применять локатор, совместимый с Windows NT 4.O.

(Подробнее о розыске контроллеров домена но NetBIOS-именам в разде ле «Локатор, совместимый с Windows NT 4.0, для клиентов, не поддержива ющих JP/DNS» далее в этой главе.) Этот флаг нельзя совмещать с флагом DS_IS_DNS_NAME. Допускается не устанавливать ни один из флагов DS_IS_FLAT_NAME или DS_IS_DNS_NAME;

однако в этом случае функции DsGetDcName понадобится больше времени на поиск контроллеров домена, поскольку ей придется проверить оба пространства имен: DNS и NetBIOS.

Кроме того, отсутствие этих флагов может создавать неоднозначные ситуа ции. Например, если имя домена определено в виде Reskit и в сети существу ют два разных домена с идентичными именами — один с именем в формате NetBIOS, а другой — в формате DNS, функция DsGetDcName найдет кон троллер одного из доменов, при этом нельзя сказать заранее — которого, DS_IS_DNS_NAME указывает, что параметр DomaiaNamc передается в формате DNS. (Подробнее о поиске контроллеров домена по NetBIOS-име нам — в разделе «Локатор, совместимый с Windows NT 4.0, для клиентов, не поддерживающих IP/DNS>> далее в этой главе.) Этот флаг нельая совмещать с флагом DS_IS_FLAT_NAME;

DS_AVOID_SELF -требует вести поиск контроллера домена с именем, от личным от ComputerName. Если компьютер ComputcrName не является кон троллером домена, этот флаг игнорируется. Этот флаг может использовать ся для розыска другого, отличного от запрашивающего контроллера доме: ta;

DS_RETURN_FLAT_NAME - указывает, что имена DornainControllerNaine и DomainName возвращенные розыском должны быть плоскими (то есть в формате NetBIOS). Процесс розыска возвращает ошибку, если контроллер Служба каталогов Active Directory 124 ЧАСТЬ домена с таким именем найти не удается. Этот флаг нельзя устанавливать одновременно с флагом DS_RETURN_DNS_NAME;

• DS_RETURN_DNS_NAME указывает, что имена DomainControllerName и DomainName возвращенные розыском должны быть иерархическими (то есть вида DNS-имен). Процесс розыска возвращает ошибку, если контроллер домена с таким именем найти не удается. Этот флаг нельзя устанавливать одновремен но с флагом DS_RETURN_FLAT_NAME. Флаг DS_RETURN_DNS_NAME подразумевает установку флага DS_IP_REQL'IRED;

• DS_ONLV_LDAP_NEEDED — требует вести поиск LDAP-сервера. Найденный в результате розыска с этим флагом сервер не обязательно является контролле ром домена, кроме того, ничего заранее неизвестно о составе служб (за исклю чением LDAP), работающих па этом сервере. Также на найденном сервере не обязательно есть полные разделы конфигурации или схемы. Найденный сервер не обязательно применяется для настройки политик безопасности. Этот флаг иногда используют совместно с флагом DS_GC_SERVER_REQUIRED, чтобы найти LDAP-сервер, являющийся одновременно сервером глобального катало га. Найденный в результате поиска с этими флагами сервер не обязательно яв ляется контроллером домена, кроме того, ничего заранее нельзя сказать о дру гих его службах. Если флаг DS_ONLY_LDAP_NEEDED установлен, игнориру ются следующие флаги: DS_PDC_REQUIRED, DSJTIMESERV_REQUIRED, DS_GOOD_TIMESERV_PREFERRED и DS_KDC_REQUIRED.

Подробнее об API-функции DsGetDcName и ее флагах — на Web-странице Web Resources по адресу http://wmdows.inicrosoft.com/windows2000/reskit/webresources, ссылка Microsoft Platform SDK.

Поиск контроллера домена в ближайшем сайте Локатор пытается найти контроллер домена в ближайшем к клиенту сайте. Когда поиск проводится в домене Windows 2000, для нахождения ближайшего сайта кон троллер домена использует информацию, хранящуюся в Active Directory. В случае же домена Windows NT 4.0 поиск контроллера домена выполняется при загрузке клиента, после чего он использует первый найденный контроллер домена.

Как описано в разделе этой главы «Записи SRV, регистрируемые службой сетевого входа в систему», каждый контроллер домена под управлением Windows 2000 ре гистрирует в DNS записи, содержащие информацию о сайте, в котором зарегистри рован данный контроллер домена. Имя сайта (относительное составное имя объек та-сайта в Active Directory) регистрируется в нескольких записях, чтобы сопоста вить все выполняемые контроллером домена роли (например, роль сервера глобаль ного каталога или сервера Kerberos) сайту, в котором он находится, При поиске в DNS локатор разыскивает сначала записи с информацией о сайте и лишь потом пе реходит к записям, в которых таких сведений нет (таким образом, предпочтение от дается контроллерам домена в указанном сайте).

Клиентский компьютер хранит информацию о своем сайте в реестре, но он не обя зательно физически расположен в сайте, к которому относится его IP-адрес. На пример, переносной компьютер каждый раз связывается с контроллером домена в «родном» сайте, а не в том, к которому он в данный момент подключен. Контрол лер домена определяет сайт клиента по его IP-адресу сравнивая его с адресами сай тов, указанных в Active Directory, и возвращает имя ближайшего к клиенту сайта, после чего клиент вносит эти изменения в свой реестр.

Разрешение имен в Active Directory ГЛАВА Контроллер домена хранит информацию о сайтах всего леса в контейнере конфи гурации. Он использует ее для сравнения IP-адресов клиентских компьютеров со списком подсетей леса. Таким образом, контроллер домена определяет сайт, в ко тором находится клиент, или ближайший к нему сайт и возвращает эту информа цию клиенту.

Объекты-сайты и объекты-подсети в Active Directory Сайт — это набор подсетей, объединенных высокоскоростными связями. В Active Directory сайт представлен объектом-сайтом в контейнере cn= Sites, cn= Co nfigura 1юп,<{с=<корневой_домен_леса>. Подсеть это адресованный сегмент сайта, пред ставленный соответствующим объектом-подсетью в контейнере cn=Subnets,cn= Сайт, в котором находится контроллер домена, указан в контейнере конфигурации в объекте контроллера домена, расположенного в контейнере cn= Servers внутри кон тейнера данного сайта. Контроллер домена определяет сайт клиента, используя объект-подсеть в контейнере Sites. У всех объектов подсети есть атрибут siteObject, содержащий информацию о привязке к объекту сайта;

значение атрибута siteObject — это составное имя объекта- «сайт». Такая привязка позволяет контроллеру домена выяснить, в каком сайте находятся клиенты, определяя принадлежность их IP-адре сов к конкретной подсети, которая в свою очередь находится в конкретном сайте.

Имена подсетей в Active Directory имеют форму <сетевой_адрес>/<биты_маски> (например, подсеть 172.16.72.0/22 относится к подсети 172.16.72.0 и обладает 22 разрядной маской подсети). Если бы у этой подсети было свойство siteObject со зна чением, содержащим составное имя объекта-сайта Seattle, все IP-адреса в подсети 172.16.72.0/22 считались бы относящимися к сайту Seattle. siteObject — однознач ный атрибут, то есть подсеть сопоставляется только одному сайту. Однако в одном объекте-сайте можно создать привязку для нескольких объектов-подсетей. Для это го администратор вручную создает дополнительные объекты- подсети и вместе с ними - соответствующие значения свойств siteObject.

Контейнер конфигурации (в том числе все его объекты сайтов и подсетей) репли цируется во все контроллеры доменов в лесе. Таким образом, любой контроллер домена в лесе способен идентифицировать сайт, в котором клиент находится в те кущий момент, сравнить его с сайтом, в котором находится он сам, и сообщить кли енту, является ли сайт контроллера домена, ближайшим к клиенту.

Подробнее о объектах-сайтах и объектах-подсетях — в главе 6 «Репликация Active Directory», Подробнее о сетях, подсетях, и масках подсетей — в книге «Сети TCP/ IP. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).

Отображение IP-адресов на имена сайтов При запуске служба Net Logon (Сетевой вход в систему) перечисляет объекты-сай ты, находящиеся в контейнере конфигурации, а также получает сведения обо всех изменениях таких объектов. Служба Net Logon использует эти сведения о сайтах для создания отображенной в памяти структуры (in-memory structure), которая необходима для отображения IP-адресов на имена сайтов.

Получив из DNS список IP-адресов контроллеров домена, клиент, выполняющий поиск, переходит к выяснению доступности и пригодности контроллеров домена.

Active Directory перехватывает запрос, содержащий IP-адрес клиента, и передаст его в службу сетевого входа контроллера домена. Получив клиентский IP-адрес, 126 ЧАСТЬ 1 Служба каталогов Active Directory служба Net Logon проверяет свою таблицу соответствия подсетей и сайтов, пыта ясь найти объект, соответствующий подсети ближайшей к адресу клиента и возвра щает следующие сведения:

• имя сайта, в котором находится клиент, или сайта, адрес которого, более всего соответствует IP-адресу клиента;

• имя сайта, в котором расположен данный контроллер домена;

• бит, указывающий, где находится найденный контроллер домена: в ближайшем к клиенту сайте (бит установлен) или нет (бит сброшен).

Эту информацию контроллер домена возвращает клиенту В ответе также содержат ся другие дополнительные данные о контроллере домена. Получив эти сведения, клиент принимает решение, стоит ли искать более подходящий контроллер доме на. Решение принимается в определенном порядке.

• Если найденный контроллер домена находится в ближайшем сайте (соответ ствующий бит установлен), клиент выбирает его.

• Если клиент уже разыскивал контроллера домена в сайте, в котором, как утвер ждает контроллер домена, этот клиент находится, он выбирает этот контроллер домена.

• Если контроллер домена находится не в ближайшем сайте, клиент принимает к сведению данные о своем сайте и отправляет в DNS новый запрос о поиске кон троллера домена в нем. В случае успеха повторного запроса клиент использует новый контроллер домена. При неудаче он выбирает найденный ранее контрол лер домена.

Если компьютер находится в запрашиваемом домене, сведения о сайте, в котором этот компьютер расположен (в соответствии с информацией, возвращенной кон троллером домена), помещаются в реестр — в параметр DynamicSiteName в разделе HKEY_ЮCAL_MACHINE\SYSTEM\CurrentControlSet\Seгvices\Netlogon\Parameteгs.

Таким образом, функция DsGelSiteName возвращает имя сайта, в котором находит ся данный компьютер.

Никогда не изменяйте динамически установленные значения. Чтобы переопреде лить динамическое имя сайта, добавьте параметр с именем SiieName и типом REG_SZ в раздел HKEY_LOCAL_MACHlNE\SYSTEM\CurrentControlSet\Scr vices\Netlogon\Paraineters. Параметр SiteName обладает более высоким приорите том, и при его наличии параметр DynamicSiteName игнорируется. Подробнее о па раметрах SiteName и DynamicSiteName -- в техническом руководстве Technical Reference Microsoft Windows 2000 Professional Resource Kit (файл Regentry.chm).

Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) — делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор рее< тра обходит стандартные средства защиты, призванные не допускать ввода конфликтующих значений параметров, а также спо собных снизить быстродействие системы или разрушить ее. Не исключено, что по следствия прямого редактирования реестра окажутся не такими, как Вы ожидали, и возможно, Вам придется переустанавливать Windows 2000. Для настройки и кон фигурирования Windows 2000 рекомендуется использовать Control Panel (Панель управления) или Microsoft Management Console (Консоль управления Microsoft), Перед изменением реестра советуем Вам сделать резервную копию. Подробнее о Разрешение имен в Active Directory ГЛАВА редактировании параметров реестра - в справочной системе редактора реестрз Подробнее о реестре — в техническом руководстве Technical Reference Microsoft Windows 2000 Professional Resource Kit (файл Regentry.chm) Если компьютер находится в искомом домене и со времени последнего запроса ком пьютер физически не перемещался в другой сайт, тогда динамически определенное имя сайта в реестре — это и есть сайт, в котором этот компьютер находится. Поэто му клиент найдет контроллер домена в нужном сайте, не прибегая к повторении!

операции поиска. Если значение в реестре и текущий сайт компьютера не совпада ют (например при перемещении переносного компьютера), для обновления сведе ний реестра выполняется поиск контроллера домена.

Pages:     | 1 | 2 || 4 | 5 |   ...   | 18 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.