Физическая структура сети с Active Directory довольно проста по сравнению с ее логической структурой. Физическими компонентами являются контроллеры доменов и сайты.
4.1 Контроллер домена
Контроллер домена — это сервер под управлением Windows Server 2003, на котором установлена и работает служба Active Directory. В домене можно создать любое число контроллеров. На каждом контроллере домена хранится полная копия раздела каталога данного домена. Контроллеры домена локально разрешают запросы на информацию об объектах в своем домене и пересылают в другие домены запросы на информацию, отсутствующую в данном домене. Контроллеры домена также отслеживают изменения в информации каталога и отвечают за репликацию этих изменений на другие контроллеры. А раз каждый контроллер домена хранит полную копию раздела каталога для своего домена, это означает, что контроллеры следуют модели репликации с несколькими хозяевами (multimaster model). То есть каждый контроллер просто хранит мастер-копию раздела, и с его помощью можно модифицировать эту информацию.
Однако есть роли, которые могут быть присвоены контроллерам домена и при которых выбранный контроллер становится единственным, кому дозволено выполнять упомянутую выше задачу. К таковым относятся роли хозяина операций (operations master roles).
Роли, действующие в границах леса. Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу.
· Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно.
· Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.
Сервер глобального каталога - одна из функций сервера, которую можно назначить контроллеру домена. Сервер глобального каталога поддерживает подмножество атрибутов объектов Active Directory, к которым чаше всего обращаются пользователи или клиентские компьютеры, например регистрационное имя пользователя. Серверы глобального каталога выполняют две важные функции. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса.
Глобальный каталог содержит подмножество информации из каждого доменного раздела и реплицируется между серверами глобального каталога в домене. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Без глобального каталога этот запрос мог бы долго передаваться от одного контроллера домена к другому. Если в вашей сети один домен, необходимости в этой функции глобального каталога нет, так как информация обо всех пользователях и объектах сети находится на любом контроллере домена. Ноприналичии нескольких доменов функция глобального каталога становится важной.
Другая функция глобального каталога, полезная независимо от того, сколько доменов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть.
Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись.
По умолчанию сервером глобального каталога становится первый контроллер домена, установленный в лесу. Однако в отличие от ролей хозяина операций, роль сервера глобального каталога может быть назначена нескольким контроллерам. Вы можете определить столько серверов глобального каталога, сколько нужно для балансировки нагрузки и создания «запаса по прочности». Microsoft рекомендует размешать на каждом сайте минимум один сервер глобального каталога.
Хотя любой контроллер домена можно сделать сервером глобального каталога, будьте осторожны, решая, каким серверам назначить те или иные роли. Прежде всего, не следует превращать один и тот же контроллер домена в хозяина инфраструктуры и в сервер глобального каталога, если у вас не один контроллер домена. Кроме того, сервер глобального каталога требует большого объема ресурсов от контроллера домена. По этой причине не стоит создавать сервер глобального каталога из контроллера домена, выполняющего другие ресурсоемкие роли.
4.2 Сайт
Вторым типом физической структуры Active Direct, является сайт.
Сайт Windows Server 2003 — это группа контроллеров доменов, которые находятся в одной или нескольких IP-подсетях и связаны скоростными и надежными сетевыми соединениями. Под скоростным подразумеваются соединения не ниже 1 Мбит/с. Иначе говоря, сайт обычно соответствует границам локальной сети (local area network, LAN). Если в сети несколько LAN, соединенных региональной сетью (wide area network, WAN), вы, вероятно, создадите по одному сайту для каждой LAN.
Сайты в основном используются для управления трафиком репликации. Контроллеры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов в разных сайтах сжимают трафик репликации и передают его по определенному расписанию, чтобы уменьшить сетевой трафик.
Сайты не являются частью пространства имён Active Directory. Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группируются в домены и OU без ссылок на сайты. Сайты содержат объекты только двух типов. Первые — это контроллеры доменов в границах сайта, а вторые — связи сайта (site links), сконфигурированные для соединения данного сайта с остальными.
Связи сайта. Внутри сайта репликация осуществляется автоматически. Для репликации между сайтами вы должны установить связь между ними. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации [Internet Protocol (IP) или Simple Mail Transfer Protocol (SMTP)]. Объект связи сайта также инициирует выполнение запланированной репликации.
Выбор имени домена
По сравнению с Windows NT правила именования доменов Active Directory изменились: теперь имена доменов Active Directory выглядят так же, как имена доменов Интернета. Если домен Windows NT мог называться company, то имя домена Active Directory должно иметь хотя бы один суффикс: company.com или company.local.
Само по себе имя company — это имя NetBIOS, в то время, как company.com — это имя DNS. Начиная с Windows 2000, имена DNS стали основным средством именования узлов сети.
Если вы решили устанавливать домен Active Directory в системе Windows 2003 Server, нужно, прежде всего, тщательно выбрать для него имя, ведь потом его невозможно будет поменять. Оно входит составной частью в имена других доменов того же дерева.
Рис 18.4. Вновь организованное дерево
Как уже сказано, суффикс является необходимой составной частью имени домена. Поскольку домены Active Directory именуются так же, как домены Интернета, то возникают две возможности:
Ø Суффикс, совпадающий с именем Интернет -домена верхнего уровня (com, org, ru, by,ua). Если у предприятия уже есть зарегистрированное доменное имя company.com, то оно может использовать суффикс com и для домена Active Directory. Если предприятие пока в Интернете не представлено, то впоследствии оно сможет использовать для представительства готовое имя домена AD — при условии, что не возникнет конфликта с чужим, ранее зарегистрированным доменным именем.
Ø Суффикс, который нельзя использовать в Интернете. Если предприятие не собирается регистрировать свой домен AD как Интернет-домен, то в качестве суффикса можно использовать что угодно, например, local.
У каждого варианта есть свои плюсы и минусы. Все зависит от того, что в конкретном случае будет выгодно предприятию. Обычно администраторы руководствуются правилом: если предприятие имеет или планирует завести Интернет-представительство (company.com), то имя внутреннего домена должно быть другим, таким, которое невозможно использовать в Интернете (company.local). Дело в том, что предприятие само управляет зоной DNS своего Интернет- домена, и такое решение позволяет отделить управление этой зоной от управления зоной DNS для нужд домена Active Directory.
Поскольку наше учебное предприятие Study использует только внутреннюю сеть, мы выбрали суффикс local.
Если мы будем устанавливать домен в системе Windows 2000 Server, изменить его имя будет невозможно. В Windows Server 2003 же имя домена Active Directory изменить можно. Для этого служит утилита Domain Rename Tool, которая находится на установочном компакт-диске; ее также можно скачать с сайта компании Microsoft.
Служба DNS
Как уже говорилось, служба DNS выполняет функцию разрешения имен узлов сети в IP –адреса. Полное доменное имя компьютеров в сети (fully qualified domain name, FQDN) — исчерпывающее описание местоположения конкретного хоста в иерархии DNS; можно сравнить его с полным именем файла (вместе с путем к нему) в файловой системе. Вот пример FQDN: www.asu.bru.mogilev.by – полное имя веб сервера кафедры АСУ.
В домене, с определенным именем, помимо имен компьютеров, может также содержаться имена поддоменов.
Пространство имен (namespace) — определенная сфера, в которой имена всех схожих компонентов должны быть уникальны, но структурированы сходным образом. Интернет — самое понятное пространство имен DNS. Все хосты в Интернете должны быть уникально идентифицируемыми; их полные DNS-имена должны указывать на конкретные адреса.
Пространство имен DNS иерархическое и разбивается по границам доменов. Конкретное хост-имя должно быть уникальным лишь в пределах своего домена, а не всей сети. Каждый домен считается правомочным на выдачу соответствующих имен в своих границах.
6.1 Зоны и серверы имен
Пространство имен DNS делится не только на домены, но и на так называемые зоны. Каждая зона (zone) — это файл, представляющий неразрывную часть пространства имен, за которую отвечает конкретный сервер имен (или группа таких серверов). В реальности зона соответствует набору записей ресурсов (resource records), хранящихся на DNS-сервере, которые сопоставляют IP-адреса с хостами и службами в данной зоне. Эта БД записей считается авторитетной для всех доменов в зоне.
Зона охватывает минимум один домен, который считается корневым доменом зоны. Зона может включать поддомены этого корневого домена, но не обязательно охватывать их все. Взгляните на рис. 18.4, где показан домен второго уровня contoso.com, содержащий два поддомена: sales.contoso.com и research.contoso.com. В данном случае соntoso.com является корневым для зоны 1; в нее же входит и sales.conioso.com. Вторая зона сконфигурирована так, что включает только research.contoso.com.
Рис 18.4 Домен, разделенный на зоны.
В каждой зоне должен быть минимум один сервер имен, отвечающий за информацию об адресах для каждого устройства в этой зоне, а один сервер имен можно настроить на управление не одной зоной. Каждому серверу имен известен адрес хотя бы одного родительского сервера имен.
Использование в зоне нескольких серверов имен. Вы можете создать несколько серверов имен для одной зоны. Один из этих серверов содержит мастер - копию файла БД для зоны; этот файл называется основным файлов зоны (primary zone file). Остальные серверы имен, созданные для зоны, работают как дополнительные, и каждый из них содержит дополнительный файл зоны (secondary zone file). При обновлении записей в зоне они сначала обновляются на основном сервере, а затем реплицируются на дополнительные серверы. Применение нескольких серверов в зоне дает ряд важных преимуществ, в том числе:
· избыточность (redundancy) — если основной сервер имен выходит из строя, сервисы DNS предоставляют дополнительные серверы;
· балансировку нагрузки (load balancing) — в крупных сетях создание нескольких серверов позволяет распределять нагрузку (клиентские запросы) между основным и дополнительными серверами, что уменьшает время отклика;
· более эффективный удаленный доступ — создание дополнительных серверов в удаленных подсетях избавляет от пересылки клиентских запросов по каналам удаленного доступа, что также уменьшает время отклика.
Типы зон.
Windows Server 2003 поддерживает три типа зон.
1. Интегрированная зона Active Directory (Active Directory- Integrated Zone), В зоне этого типа БД DNS хранится в Active Directory. Все DNS-серверы в зоне, интегрированной в Active Directory, считаются основными, так как DNS-информация становится частью БД Active Directory. Обновлять можно любой DNS-сервер, и любой из них способен разрешать клиентские запросы. Active Directory отвечает за репликацию информации зоны между DNS-серверами, что обычно ускоряет репликацию и обеспечивает управление ею в рамках управления Active Directory.
2. Основная зона (Primary Zone). Мастер-копия БД DNS размещается в стандартном текстовом ASCII-файле. Вы можете напрямую модифицировать только информацию основной зоны.
3. Дополнительная зона (Secondary Zone). Информация зоны представляет собой копию данных (только для чтения) существующей основной зоны. Эти сведения обновляются на основном DNS- сервере, а затем передаются на все дополнительные сервера.
6.2 Записи ресурсов
Зонные файлы состоят из записей ресурсов. Запись ресурса (resource record) содержит сопоставление хост-имени или службы с IP-адресом. В таблице 18.1 перечислены основные типы записей ресурсов, поддерживаемые DNS-службой Windows Server 2003.
Таблица 18. 1
| Запись ресурса | Применение |
| A | Запись адреса, сопоставляющая хост-имя с IP-адресом. Записи типа А используют 32-битный формат для IP версии 4 |
| AAAA | Аналогичная запись адреса, но использующая 128-битный формат для протокола IP следующего поколения — IPv6 |
| CNAME | Запись канонического имени создает псевдоним (alias) — синоним хост-имени. Используя записи CNAME, вы можете разрешать более одного имени и один IP-адрес |
| MX | Запись / почтового сервера (mail exchange record) идентифицирует почтовый сервер для конкретного DNS-домена |
| NS | Запись сервера имен (name server record) идентифицирует сервер имен для конкретного DNS-домена |
| PTR | Запись указателя (pointer record) сопоставляет IP-адрес с хостом в DNS-зоне обратного именования (DNS reverse-naming zone) |
| SOA | Запись Start of Authority — обязательный первый элемент в любых зонах прямого и обратного просмотра. Она указывает домен, за который отвечает DNS-сервер. Она также определяет разнообразные параметры работы DNS- сервера. |
| SRV | Запись службы (service record) позволяет указывать, какие службы предоставляет сервер, и какой домен он обслуживает. Запись SRV обязательна для использования Active Directory |
| WINS | Запись Windows Internet Name Service идентифицирует WINS-сервер, к которому можно обращаться для получения имен, не зарегистрированных в пространстве имен DNS |
| WINS_R | Запись обратного просмотра WINS (reverse WINS record) заставляет Microsoft DNS использовать команду nbstat для выполнения клиентских запросов на обратный просмотр (преобразования адресов в имена) |
| WKS | Запись общеизвестных сервисов (well-known service record) описывает сервисы, предоставляемые конкретным протоколом при использовании конкретного адаптера |
Сервер каталогов Active Directory тесно связан со службой DNS. Собственно говоря, без нее он работать не будет. Он использует эту службу для поиска информации в сети точно так же, как и клиентские компьютеры. Сервер DNS — еще один важный компонент для правильного функционирования домена Active Directory.
Исходя из того, что служба DNS — неотделимая составная часть домена Active Directory, мастер установки домена производит ее поиск и, если она еще не установлен, предлагает ее автоматическую установку и настройку.
Согласиться с этим можно тогда, когда компьютер, на который устанавливается контроллер управления доменом, одновременно будет служить и сервером DNS. Если же в сети несколько серверов, то рекомендуется освободить контроллер домена от других серверных служб. В этом случае сервер DNS должен быть установлен и настроен заранее.
Установка домена требует службы DNS. Если в сети работает эта служба, то в зоне, имя которой совпадает с именем домена, появятся новые записи SRV, определяющие расположение отдельных доменных служб. Если зоны с таким именем не существует или если в сети вообще нет службы DNS, Мастер установки домена предложит ее установить и настроить. При этом служба DNS будет установлена на контроллере домена.
7. Контрольные вопросы
1) Назначение Active Directory (AD). Какая информация хранится в AD?
2) Что, позволяет достичь применение AD?
3) Назовите составляющие логической и физической структуры Active Directory.
4) Как называется компьютер, на котором работает сервер каталога AD?
5) С чего начинается реализация доменной сети?
6) При каких требованиях и обстоятельствах необходимо организовать несколько доменов в корпоративной сети?
7) Дерево в AD, дать определение!!!
8) Структура «Дерево» в доменной сети. Как называется первый домен в сети?
9) Что означает доверительными отношения в сети? Транзитивные отношения?
10) Структура лес в доменной сети!!!
11) Какое может быть имя леса? Назовите пример!
12) Сколько структур «Лес» может содержать AD?
13) Как предоставить доступ к ресурсам и учетным записям, которые находятся вне данного леса?
14) Что представляют собой организационные единицы OU, как они соотносятся к доменам?
15) Назначение организационных единиц (OU). В соответствии с какими принципами администратор сети вводит те или другие OU в Active Directory?
16) Свойства и особенности OU, что обычно содержится в OU, как в контейнере? Приведите пример.
17) Какие типы доверительных отношений поддерживает Windows Server 2003?
18) Физические компоненты Active Directory?
19) Контроллер домена - дать определение?
20) Как реагируют контроллеры домена на изменение информации в каталоге AD?
21) Какие роли могут быть присвоены контроллерам домена, при которых выбранный контроллер становится единственным? Расскажите о каждой!
22) В каких случаях можно назначить контроллеру домена функцию сервера глобального каталога, и для чего он нужен?
23) В каком компоненте логической структуры AD желательно использовать глобальный каталог?
24) Какие две базовые функции глобального каталога Вы знаете? Опишите их.
25) Компонент физической структуры – Сайт? Датьопределение, назначение.
26) Какие объекты содержит сайт?
27) Из каких частей состоят связи сайта и какие протоколы использует сайт для передачи трафика?
28) Какую функцию выполняет служба DNS?
29) Пространство имен DNS-определение, свойства: уникальность, границы.
30) Что собой представляет зона DNS и чему соответствует?
31) Что входит в зону DNS?
32) Сколько серверов может входить в зону?
33) Что такое primary zone file и secondary zone file и где они располагаются?
34) Как обновляются записи в зоне?
35) Какие преимущества дает применение нескольких серверов в зоне? Назовите их и охарактеризуйте их.?
36) Назовите типы зон?
37) Записи ресурсов в зонах, назовите записи ресурсов и их применение. (см. табл. 18.1)
38) Может ли работать Active Directory без службы DNS?
39) Могут ли располагаться на разных серверах домена служба DNS и Active Directory?
40) В имени домена должен ли присутствовать суффикс? И как выбирается имя домена?
Необходимо знать ответы на все перечисленные вопросы. При защите данной лабораторной студент должен ответить на 10 -12 вопросов по выбору преподавателя.