|
|
- Службы каталогов. Общие вопросы В рамках
этой книги невозможно подробно рассмотреть все аспекты использования
службы каталогов Active Directory и доменов Windows 2000, поэтому
в данной и следующих двух главах изложены основные термины
и принципы построения служб каталогов и, конкретно, Active
Directory; без понимания этих принципов трудно воспринимать материал
многих других глав и эффективно использовать системы Windows 2000
в сложной сетевой среде. Рассмотрены также некоторые вопросы развертывания
доменов Windows 2000 и типовые операции администрирования Active Directory
(создание объектов каталога, делегирование прав администрирования,
управление доверительными отношениями и т. д.). Разобравшись с изложенными
в упомянутых главах темами, читатель сможет правильно подойти к решению
многочисленных вопросов, возникающих в процессе эксплуатации сетевой
многодоменной среды Windows 2000.
- Назначение службы каталогов
- Каталоги и Windows 2000
- Терминология
- Объекты и объектные классы
Каталог состоит
из элементов (entries), представляющих собой информацию,
или атрибуты, связанные с некоторым реальным объектом,
например компьютером, человеком или организацией. Термины "элемент"
и "объект" часто используют как взаимозаменяемые, хотя объект — это
нечто относящееся к физическому миру, а элемент — его представление
в каталоге. Каждый
объект принадлежит по крайней мере к одному объектному классу,
представляющему собой некоторое семейство объектов с определенными
общими характеристиками. Класс объектов определяет тип информации,
содержащейся в Active Directory для экземпляров (объектов) данного
класса. В качестве примера объектных классов можно привести два стандартных
класса: person и domain. Среди множества атрибутов этих классов —
cn (Common-Name), userPassword (User-Password) и dc (Domain-Component),
url (WWW-Page-Other), соответственно. Атрибуты могут быть как
обязательными (mandatory) для данного класса (например, сn и
dc), так и дополнительными (optional) (userPassword и url).
- Атрибуты и их типы
- Контейнер
- Информационное дерево каталога
- Схема каталога
- Пространство имен
- Служба каталогов Active Directory
Основные компоненты любой службы каталога — база данных, содержащая
нужную информацию, и один или несколько протоколов, обеспечивающих
доставку данных пользователям. Active Directory обеспечивает хранение
любой общедоступной информации. Как и другие службы каталогов, Active
Directory обеспечивает некоторый механизм хранения информации и протоколы
для доступа к ней.
- Домены и Контроллеры доменов
- Службы DNS и Aciive Directory
В большинстве
современных сетей TCP/IP используется служба DNS, главное назначение
которой — преобразовывать простые для запоминания имена типа company.com
в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор
записей с информацией о ресурсах. Каждая запись имеет некоторый тип,
определяющий характер и назначение хранящейся информации. Например,
запись типа А применяется для преобразования доменного имени компьютера
в заданный IP-адрес, а запись типа MX — для поиска почтового сервера
в определенном почтовом домене. Каждый DNS-сервер "знает" свое место
в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные
запросы другим серверам. Поэтому — пусть и не сразу— почти каждый
клиентский запрос находит нужный сервер, хранящий искомую информацию.
- Листья н контейнеры LDAP
- Механизмы именовании в Active Directory
- Организация доменов: Лес и Деревья
- Доверительные отношения
- Поиск информации: Индексы и Глобальный каталог
- Изменение местоположения глобального каталога
- Репликация
(replication,
дублирование) данных в каталоге (хранение копий каталога на различных
компьютерах) повышает производительность и готовность, {надежность).
Как и все другие службы каталога, Active Directory позволяет реплицировать
данные. Как показано на рис. 23.4, когда клиент изменяет какой-нибудь
элемент каталога, изменения реплицируются на все контроллеры данного
домена. Поскольку протокол LDAP не поддерживает возможности репликации,
в Active Directory для выполнения этой задачи используются различные
протоколы, разработанные компанией Microsoft.
- Сайты
- Основные контроллеры операций
- Роли контроллера операций (FSMO)
- Роли, уникальные для леса
- Роли, уникальные для домена
- Передача ролей FSMO
Для передачи
ролей FSMO, уникальных для всего леса, используются оснастки
Схема Active Directory (Active Directory Schema) (для назначения
роли "хозяин схемы") и Active Directory- домены и доверие
(Active Directory Domains and Trusts) (для назначения роли "хозяин
именования доменов"). В окне соответствующей оснастки нужно вызвать
контекстное меню для корня структуры, выбрать команду Подключение
к контроллеру домена (Change Domain Controller) и соединиться
с нужным контроллером домена. Затем в контекстном меню выбрать команду
Хозяин операций (Operations Master) и в появившемся окне,
нажав кнопку Изменить (Change), подтвердить передачу роли
выбранному контроллеру домена.
- Отказы основных контроллеров операций
- Интерфейсы API в Active Directory
- Active Directory и промышленные стандарты
(RFC)
Проектирование доменов и развертывание Active Directory
- Предварительные операцииПредполагается,
что читатель уже знаком с основными понятиями и концепциями службы
каталогов Active Directory, изложенными в главе 23. Теперь можно в
общих чертах рассмотреть процесс развертывания службы каталогов и
создания контроллеров доменов, на которых она функционирует. Для краткости
(тема планирования доменов и миграции из предыдущих версий заслуживает
отдельной книги) мы не будем рассматривать многочисленные доменные
модели Windows NT 4.0 и способы их преобразования в домены Windows
2000. Важно понять сам принцип создания и обновления контроллеров
домена (запуск процесса повышения роли сервера, очередность обновления
РОС и BDC и т. д.) и на его базе строить стратегию перевода существующих
доменов в домены Windows 2000.
- Планирование структуры доменов
- Разработка модели делегирования прав администрирования
- Планирование организационных единиц (подразделений)
Организационные единицы
(OU), или подразделения, могут содержать пользователей, группы, компьютеры,
принтеры и общие папки, а также другие
OU. OU — это минимальная "единица" администрирования, права
управления которой можно делегировать некоторому пользователю или
группе. С помощью OU можно обеспечить локальное администрирование
пользователей (создание, модификация и удаление учетных записей) или
ресурсов.
- Проектирование структуры сайтов
- Установка контроллеров домена
- Подготовка к созданию контроллера домена
- Создание первого контроллера домена
- Установка DNS-cepвepa
- Запуск мастера установки Active Directory
- Подключение рабочих станций и рядовых серверов
Серверы и рабочие
станции (клиентские компьютеры) включаются в домен Windows 2QOO аналогично
тому, как это делается в Windows NT 4.O. При этом используется оснастка
Active Directory — пользователи я компьютеры. Компьютерам
нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы
они могли находить контроллеры домена. IP-адрес DNS-сервера может
передаваться клиентам автоматически при помощи DHCP (серверы DHCP
более подробно описаны в главе 17) или задаваться вручную. Системы
Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена
службу WINS, которую нужно установить, если в доменах Windows 2000
должны работать эти клиенты. Если на .клиентах установлен Active Directory
Client и применяется только TCP/IP, то ставить WINS необязательно.
- Включение в домен дополнительных контроллеров
- Добавление к дереву дочерних доменов
- Создание нового дерева в лесе
- Понижение контроллера домена
- Переключение домена в основной режим
- Миграция в Active Directory
- Переход к Active Directory
- Active Directory Migration Tool
- Миграция из Novell NetWare
Как уже говорилось,
можно перейти к Active Directory из различных служб каталогов (Exchange,
Windows NT Server 4.0 NTDS и др.). Кроме того, компания Microsoft
предлагает средства для перехода от Novell NetWare к Windows 2000,
что особенно актуально для смешанных сетевых сред. Такие средства
уже существовали в предыдущих версиях Windows NT и позволяли переносить
пользователей, группы, файлы и списки управления доступом к файлам
из базы данных bindery в контроллер домена Windows NT Server. Для
системы Windows 2000 компания Microsoft выпустила два облегчающих
миграцию инструмента, которые входят в отдельно приобретаемый продукт
- Microsoft Services for NetWare v.5 (SFNW5):
- Microsoft Directory Synchronization Services
- File Migration Utility
|