Логическая и физическая структуры, управление репликацией AD. Серверы Глобального каталога и Хозяева операций.

Логическая структура Active Directory

Служба каталогов Active Directory организована в виде иерархической структуры, построенной из различных компонентов, которые представляют элементы корпоративной сети. В этой структуре есть, например, пользовательские объекты, компьютерные объекты, и различные контейнеры. Способ организации этих элементов представляет собой логическую структуру Active Directory в корпоративной сети. Логическая структура Active Directory включает в себя леса, деревья, домены и Организационные подразделения (ОП). Каждый из элементов логической структуры описан ниже.

Домен — логическая группа пользователей и компьютеров, которая поддерживает централизованное администрирование и управление безопасностью. Домен является единицей безопасности – это означает, что администратор для одного домена, по умолчанию, не может управлять другим доменом. Домен также является основной единицей для репликации — все контроллеры одного домена должны участвовать в репликации друг с другом. Домены в одном лесу имеют автоматически настроенные доверительные отношения, что позволяет пользователям из одного домена получать доступ к ресурсам в другом. Необходимо также знать, что можно создавать доверительные отношения с внешними доменами, не входящими в лес.

Дерево является набором доменов, которые связаны отношениями «дочерний»/«родительский», а также используют связанные (смежные, или прилегающие) пространства имен. При этом дочерний домен получает имя от родительского. Например, можно создать дочерний домен, называемый it, в домене company.com, тогда его полное имя будет it.company.com (рис. 4.33). Между доменами автоматически устанавливаются двухсторонние транзитивные доверительные отношения (домен it.company.com доверяет своему «родительскому» домену, который в свою очередь «доверяет» домену sales.company.com – таким образом, домен it.company.com доверяет домену sales.company.com, и наоборот). Это означает, что доверительные отношения могут быть использованы всеми другими доменами данного леса для доступа к ресурсам данного домена. Заметим, что домен it.company.com продолжает оставаться самостоятельным доменом, в том смысле, что он остается единицей для управления системой безопасности и процессом репликации. Поэтому, например, администраторы из домена sales.company.com не могут администрировать домен it.company.com до тех пор, пока им явно не будет дано такое право.

Рис. 4.33

Лес — это одно или несколько деревьев, которые разделяют общую схему, серверы Глобального каталога и конфигурационную информацию. В лесе все домены объединены транзитивными двухсторонними доверительными отношениями.

Каждая конкретная инсталляция Active Directory является лесом, даже если состоит всего из одного домена.

Организационное подразделение (ОП) является контейнером, который помогает группировать объекты для целей администрирования или применения групповых политик. ОП могут быть созданы для организации объектов в соответствии с их функциями, местоположением, ресурсами и так далее. Примером объектов, которые могут быть объединены в ОП, могут служить учетные записи пользователей, компьютеров, групп и т.д. Напомним, что ОП может содержать только объекты из того домена, в котором они расположены.

Подводя итог, можно сказать, что логическая структура Active Directory позволяет организовать ресурсы корпоративной сети таким образом, чтобы они отражали структуру самой компании.

Физическая структура Active Directory

Физическая структура Active Directory служит для связи между логической структурой AD и топологией корпоративной сети.

Основные элементы физической структуры Active Directory — контроллеры домена и сайты.

Контроллеры домена были подробно описаны в предыдущем разделе.

Сайт — группа IP-сетей, соединенных быстрыми и надежными коммуникациями. Назначение сайтов — управление процессом репликации между контроллерами доменов и процессом аутентификации пользователей. Понятие «быстрые коммуникации» очень относительное, оно зависит не только от качества линий связи, но и от объема данных, передаваемых по этим линиям. Считается, что быстрый канал — это не менее 128 Кбит/с (хотя Microsoft рекомендует считать быстрыми каналы с пропускной способностью не менее 512 Кбит/с).

Структура сайтов никак не зависит от структуры доменов. Один домен может быть размещен в нескольких сайтах, и в одном сайте могут находиться несколько доменов (рис. 4.34).

Рис. 4.34

Поскольку сайты соединяются друг с другом медленными линиями связи, механизмы репликации изменений в AD внутри сайта и между сайтами различные. Внутри сайта контроллеры домена соединены линиями с высокой пропускной способностью. Поэтому репликация между контроллерами производится каждые 5 минут, данные при передаче не сжимаются, для взаимодействия между серверами используется технология вызова удаленных процедур (RPC). Для репликации между сайтами кроме RPC может использоваться также протокол SMTP, данные при передаче сжимаются (в результате сетевой трафик составляет от 10 до 40% от первоначального значения), передача изменений происходит по определенному расписанию. Если имеется несколько маршрутов передачи данных, то система выбирает маршрут с наименьшей стоимостью.

Кроме управления репликацией, сайты используются при аутентификации пользователей в домене. Процесс аутентификации может вызвать заметный трафик, особенно если в сети имеется большое количество пользователей (особенно в начале рабочего дня, когда пользователи включают компьютеры и регистрируются в домене). При входе пользователя в сеть его аутентификация осуществляется ближайшим контроллером домена. В процессе поиска «ближайшего» контроллера в первую очередь используется информация о сайте, к которому принадлежит компьютер, на котором регистрируется пользователь. Ближайшим считается контроллер, расположенный в том же сайте, что и регистрирующийся пользователь. Поэтому рекомендуется в каждом сайте установить как минимум один контроллер домена.

В процессе аутентификации большую роль играет также сервер глобального каталога (при использовании универсальных групп). Поэтому в каждом сайте необходимо также размещать как минимум один сервер глобального каталога (или на одном из контроллеров домена в каждом сайте настроить кэширование членства в универсальных группах). Пользователи сети (в том числе компьютеры и сетевые службы) используют серверы глобального каталога для поиска объектов. В случае, если доступ к серверу глобального каталога осуществляется через линии связи с низкой пропускной способностью, многие операции службы каталога будут выполняться медленно. Это обстоятельство также стимулирует установку сервера глобального каталога в каждом сайте (более подробно о серверах глобального каталога будет рассказано ниже).

В самом начале создания леса автоматически создается сайт по умолчанию с именем Defauit-First-site-Name. В дальнейшем сетевой администратор должен сам планировать и создавать новые сайты и определять входящие в них подсети, а также перемещать в сайты соответствующие контроллеры доменов.. При создания нового контроллера на основании выделенного ему IP-адреса служба каталога автоматически отнесет его к соответствующему сайту.

Репликация, управление топологией репликации

Рассмотрим сам процесс репликации изменений в AD как внутри сайта, так и между сайтами.

Репликация внутри сайта.

Репликация изменений в AD между контроллерами домена происходит автоматически, каждые 5 минут. Топологию репликации, т.е. порядок, в котором серверы опрашивают друг друга для получения изменений в базе данных, серверы строят автоматически (эту задачу выполняет компонента служб каталогов, называемая Knowledge Consistency Checker, или KCC, вариант перевода данного термина — «наблюдатель показаний целостности»). При достаточно большом количестве контроллеров KCC строит кольцевую топологию репликации, причем для надежности образует несколько колец, по которым контроллеры передают данные репликации. Наглядно увидеть топологию репликации можно с помощью административной консоли «Active Directory - сайты и службы». Если в этой консоли раскрыть последовательно контейнеры Sites, Defauit-First-site-Name, Servers, далее — конкретный сервер (например, DC1) и установить на узле NTDS Settings, то в правой половине окна видно, что сервер DC1 запрашивает изменения с сервера DC2 (рис. 4.35):

Рис. 4.35

Возможностей управления репликацией у администратора сети в данном случае немного. Можно лишь вызвать принудительную репликацию в той же консоли «Active Directory - сайты и службы». Если в правой части того же окна консоли, изображенного на рис. 4.35, щелкнуть правой кнопкой мыши на имени DC2 и выбрать вариант «Реплицировать сейчас», то контроллер DC1 получит изменения в базе данных AD с контроллера DC2 (рис. 4.36):

Рис. 4.36

Репликация между сайтами.

Разбивать большую корпоративную сеть на отдельные сайты необходимо по следующим причинам: отдельные подсети корпоративной сети, расположенные в удаленных офисах, могут быть подключены друг к другу медленными каналами связи, которые сильно загружены в течение рабочего дня; поэтому возникает необходимость осуществления репликации в те часы, когда сетевой трафик минимален, и передавать данные репликации со сжатием.

Вернемся к сетевой структуре, изображенной на рис. 4.34, и обсудим понятия и термины, играющие важную роль в управлении репликацией между сайтами.

В этой конфигурации топология репликации также строится системной компонентой KCC. KCC выбирает контроллеры, которые осуществляют репликацию между сайтами, проверяет их работоспособность и, в случае недоступности какого-либо сервера, назначает для репликации другой доступный сервер.

Для репликации между сайтами используется тот или иной межсайтовый транспорт — это либо IP (RPC), либо SMTP. Для каждого вида межсайтового транспорта определяется «соединение сайтов» (site link), с помощью которого строится управление репликацией между двумя и более сайтами. Именно для соединения («линка») задаются такие параметры как «Расписание репликации» и «Стоимость». На рис. 4.34. соединение Link-1 связывает в единую цепочку сайты Сайт-1, Сайт-3, Сайт-4 и Сайт-2, соединение Link-2 связывает два сайта — Сайт-1 и Сайт-2. В данном примере репликация между сайтами Сайт-1 и Сайт-2 будет проходить либо по соединению Link-1, либо по соединению Link-2 — в зависимости от расписания, стоимости соединения и его доступности (при доступности обоих соединений преимущество будет иметь соединение с более низкой стоимостью). На рис. 4.37 изображено созданное автоматически соединение для транспорта IP (RPC) — DEFAULTIPSITELINK. Если открыть Свойства этого соединения (рис. 4.38), то можно управлять списком сайтов, относящихся к этому соединению, назначать стоимость соединения (значение по умолчанию — 100), интервал репликации (по умолчанию — каждые 3 часа), а если нажать кнопку «Изменить расписание», то можно более тонко определить дни и часы, в которые будет производиться репликация.

Контейнер Subnets консоли «Active Directory - сайты и службы» служит для описания подсетей, входящих в тот или иной сайт.

Рис. 4.37

Рис. 4.38

Функциональные уровни домена и леса

Набор возможностей, предоставляемых службой каталогов Active Directory, зависит от того, на каком уровне (или в каком режиме) функционируют отдельный домен или весь лес в целом.

Для Windows 2003 имеются 4 уровня функционирования (в Windows 2000 — 2 уровня):

Windows 2000 смешанный (Windows 2000 mixed)

В данном режиме в домене могут существовать резервные контроллеры домена под управлением системы Windows NT Server. Этот режим рассматривается как переходный в процессе модернизации служб каталогов с Windows NT на Windows 2000/2003. В этом режиме отсутствует ряд возможностей Active Directory — универсальные группы, вложенность групп. Кроме того, наличие контроллеров домена под управлением Windows NT накладывает ограничение на размер БД Active Directory (40 мегабайт).

После установки системы и создания первого контроллера домена домен всегда работает именно в смешанном режиме.

Windows 2000 основной (Windows 2000 native)

В данном режиме контроллерами домена могут быть серверы под управлением Windows 2000 и Windows 2003. В данном режиме появляется возможность использования универсальных групп, вложенность групп, и ликвидируется ограничение на размер БД Active Directory.

Windows 2003 промежуточный (Windows 2003 interim)

Данный уровень возможен только в том случае, когда контроллеры домена работают под управлением Windows NT и Windows 2003 (не может быть контроллеров с системой Windows 2000). Этот уровень доступен только тогда, когда производится установка Windows 2003 поверх контроллеров домена с Windows NT. Ограничения этого режима аналогичны смешанному режиму.

Windows 2003

Это наивысший уровень функционирования домена, в котором есть контроллеры с Windows 2003, причем все контроллеры обязаны быть с системой Windows 2003.

Изменять уровень функционирования домена можно только в сторону его повышения. Сделать это можно с помощью административных консолей «Active Directory – домены и доверие» или «Active Directory – пользователи и компьютеры». Если в какой-либо из этих консолей щелкнуть правой кнопкой мыши на имени домена и выбрать в контекстном меню пункт «Изменение режима работы домена», то появится панель, изображенная на рис.4.39:

Рис. 4.39

Для повышения уровня надо выбрать необходимый уровень и нажать кнопку «Изменить». После репликации данного изменения на все контроллеры в данном домене станут доступны специфичные для данного уровня возможности. Заметим, что произведенные изменения необратимы.

Для всего леса в целом также можно определять функциональные уровни. Это делается с помощью консоли «Active Directory – домены и доверие». Только правой кнопкой мыши надо щелкнуть не на имени домена, а на надписи «Active Directory – домены и доверие».

Существуют 3 уровня функционирования леса:

- Windows 2000 (с контроллерами под управлением Windows NT, 2000 и 2003);

- Windows 2003 interim (с контроллерами под управлением только Windows NT и 2003);

- Windows 2003 (все домены всего леса — с контроллерами под управлением только Windows 2003).

Самый высокий уровень функционирования леса позволяет выполнять две очень важные задачи:

- переименование доменов;

- установление доверительных отношений между двумя не связанными друг с другом лесами с использованием Kerberos в качестве протокола аутентификации (без такого режима доверительные отношения могут устанавливаться только между отдельными доменами, а не целыми лесами, при этом будет использоваться менее защищенный протокол аутентификации NTLM).

Серверы Глобального каталога и Хозяева операций

Большинство операций с записями БД Active Directory администратор может выполнять, подключившись с помощью соответствующей консоли к любому из контроллеров домена. Однако, во избежание несогласованности, некоторые действия должны быть скоординированы и выполнены специально выделенными для данной цели серверами. Такие контроллеры домена называются Хозяевами операций (Operations Masters), или исполнителями специализированных ролей (Flexible Single-Master Operations, сокращенно — FSMO).

Всего имеется пять специализированных ролей:

1. Schema Master (хозяин схемы): контролирует возникающие изменения Схемы базы данных Active Directory (добавление и удаление классов объектов, модификация набора атрибутов). Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесе).

2. Domain Naming Master (хозяин именования доменов): контролирует процесс добавления или удаления доменов в лесу. Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесе).

3. PDC Emulator (эмулятор PDC):
действует как PDC (главный контроллер домена) для BDC (резервный контроллер домена) под управлением Windows NT, когда домен находится в смешанном режиме;
управляет изменениями паролей (изменение пароля учетной записи в первую очередь реплицируется на эмулятор PDC);
является предпочтительным сервером (в Windows 2000 — единственный сервер) для редактирования групповых политик;
является сервером времени для остальных контроллеров данного домена (контроллеры домена синхронизируют свои системные часы с эмулятором PDC).
Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

4. RID Master (хозяин RID, распределитель идентификаторов учетных записей): выделяет контроллерам домена пулы относительных идентификаторов (RID, которые являются уникальной частью идентификаторов безопасности SID). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

5. Infrastructure Master (хозяин инфраструктуры): отвечает за обновление связей «пользователи — группы» между доменами. Эта роль не должна храниться на контроллере домена, который также является сервером Глобального Каталога – хозяин инфраструктуры не будет работать в данном сценарии (за исключением случая, когда в домене всего один контроллер). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

Просмотреть текущих владельцев ролей и передать ту или иную роль на другой контролер можно с помощью административных консолей:

- роль Хозяина Схемы — с помощью консоли «Active Directory Schema» (чтобы запустить эту консоль, надо сначала зарегистрировать соответствующую программную компоненту в командной строке: «regsvr32 schmmgmt.dll», а затем запустить саму консоль тоже в командной строке — «schmmgmt.msc»);

- роль Хозяина именования доменов — с помощью консоли «Active Directory – домены и доверие»;

- роли эмулятора PDC, хозяина RID и хозяина инфраструктуры — с помощью консоли «Active Directory – пользователи и компьютеры» (пример можно увидеть на рис. 4.40).

Рис. 4.40

Необходимо знать, кто из пользователей имеет право менять роли хозяев операций:

- эмулятор PDC — члены группы «Администраторы домена»;

- хозяин RID — члены группы «Администраторы домена»;

- хозяин инфраструктуры — члены группы «Администраторы домена»;

- хозяин именования доменов — члены группы «Администраторы предприятия»;

- хозяин схемы — члены группы «Администраторы Схемы» или группы «Администратор предприятия».

Если контроллер домена, которому принадлежит роль хозяина операции, выходит из строя (вследствие повреждения оборудования или программного обеспечения), причем нет возможности восстановить данную систему из резервной копии, то с помощью административных консолей передать роли работоспособным серверам нет возможности. Восстановить функционирование определенной роли хозяина операций можно только путем захвата данной роли с помощью утилиты командной строки ntdsutil.

Сервер глобального каталога.

Напомним, что Глобальный каталог (global catalog) — это перечень всех объектов леса Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и не обо всех атрибутах этих объектов), находящемся в данном лесу.

Сервер глобального каталога выполняет две очень важные функции:

- поиск объектов в масштабах всего леса (клиенты могут обращаться к глобальному каталогу с запросами на поиск объектов по определенным значениям атрибутов; использование сервера глобального каталога — единственный способ осуществлять поиск объектов по всему лесу);

- аутентификация пользователей (сервер глобального каталога предоставляет информацию о членстве пользователя в универсальных группах, universal groups; поскольку универсальные группы со списками входящих в них пользователей хранятся только на серверах глобального каталога, аутентификация пользователей, входящих в такие группы, возможна только при участии сервера глобального каталога).

По умолчанию самый первый контроллер домена в лесе является сервером глобального каталога. Однако администратор сети может назначить любой контроллер домена сервером глобального каталога. Это делается с помощью административной консоли «Active Directory – сайты и службы», в свойствах узла «NTDS Settings» выбранного контроллера (рис. 4.41):

Рис. 4.41

Для эффективной работы службы каталогов Active Directory необходимо, чтобы в каждом сайте AD был либо сервер глобального каталога, либо контроллер домена, кэширующий у себя списки членов универсальных групп. Кэширование универсальных групп также настраивается в консоли «Active Directory – сайты и службы» в свойствах узла «NTDS Settings» для каждого сайта Active Directory. Для включения кэширования нужно поставить галочку у поля «Разрешить кэширование членства в универсальных группах» и указать, из какого сайта данный сайт будет получать списки универсальных групп в поле «Обновлять кэш из:» (рис. 4.42):

Рис. 4.42