Архитектура Active Directory

Контроллеры домена и сайты

Управление объектами Active Directory

Концепция распределенной обработки в сетевых ОС

Модели распределенных приложений

Передача сообщений в распределенных системах

Вызов удаленных процедур

Сетевые файловые системы

Контрольные вопросы к главе 5

Понятие службы каталогов

Современный этап развития ОС характеризуется созданием и совершенствованием корпоративных сетевых операционных систем [12, 28, 35, 37]. Эти системы отличаются способностью обеспечивать надежное и безопасное функционирование крупных сетей, характерных для больших предприятий, имеющих отделения в различных городах или даже странах. Таким сетям присуща высокая неоднородность программных и аппаратных средств, в рамках которой сетевая ОС должна надежно взаимодействовать с различными операционными системами и работать на различных компьютерах. С ростом сети возникает множество дополнительных проблем, таких как, например, поиск необходимого ресурса, компьютера или пользователя. С этой целью вся информация об объектах сети объединяется в так называемый каталог (directory), подобный каталогам файловой системы обычных ОС.

В сети крупного предприятия (корпорации) каталоги могут разрастаться до немыслимых размеров. Поэтому, чтобы сделать информацию, содержащуюся в каталогах, доступной и полезной для пользователей и администраторов сети, в системе реализуется служба каталогов (Directory Service). По своей сути служба каталогов - это средство именования, хранения и выборки информации в некоторой распределенной среде, доступное клиентам этой среды. Требуется она и операционным системам, которым удобно хранить в едином каталоге учетные записи пользователей, информацию о файлах и приложениях, политике безопасности и многое другое.

Существует несколько реализаций служб каталогов для различных ОС. Из наиболее известных можно выделить Novell Directory Service, Banyan Street Talk, Microsof Windows NT Directory Service (затем Windows Active Directory). Отдельно стоит упомянуть стандарт Х.500, разработанный Комитетом по коммуникациям (Consultative Committee for International Telephone and Telegraph, CCITT) совместно с Международной организацией стандартизации (International Organization for Standardization, ISO) как стандарт построения службы каталогов.

Надо сказать, что первоначально реализованная фирмой Microsoft в Windows NT (NTDS) служба каталогов имела много недостатков, которые отчетливо проявлялись при построении интрасетей крупных корпораций. Вся инфраструктура корпораций представлялась как одноуровневая модель доменов (см. ниже), связанных между собой односторонними доверительными отношениями. Каждый домен мог иметь только один основной контроллер домена, на котором размещалась база данных, содержащая информацию обо всех пользователях домена. В целях обеспечения отказа устойчивости можно было установить резервные контроллеры домена.

Тем не менее наличие в домене всего лишь одного основного контроллера накладывало достаточно жесткие ограничения на размер домена (в нем можно было определить до 40 000 пользователей, что совсем не так много для больших корпораций). Чтобы обеспечить возможность присутствия в сети большого количества пользователей, приходилось реализовывать модель с несколькими доменами. При этом администрирование такой сети было сопряжено с множеством трудностей в части управления ресурсами и пользователями.

Понимая всю ограниченность Windows NT Directory Service, разработчики Microsoft в ОС Windows 2000 предложили, а затем усовершенствовали в Windows 2003 новую модель службы каталогов - Active Directory [I, 35,40].

Служба Active Directory, реализованная в Windows 2000, позволяет организовать централизованное управление всеми объектами сети, скрывая от пользователей физическую организацию сети. Чтобы получить доступ к объекту, пользователю совершенно не нужно знать, где этот объект физически находится. При этом проверка прав доступа пользователя происходит лишь один раз - в момент входа в систему. Администраторы получают в свое распоряжение средства для организации объектов и последующего управлениями ими.

Служба каталогов Windows 2000/2003 упорядочивает сетевые ресурсы и упрощает к ним доступ, используя два типа сетей: рабочие группы и домены (рис. 5.7). Рабочая группа (Workgroup) - это логическая группировка объединенных в сеть компьютеров, предоставляющих доступ к некоторым ресурсам, например принтерам или файлам (рис. 5.7, а). Рабочую группу можно сравнить с одноранговой сетью, так как в ней все компьютеры могут совместно обращаться к ресурсам без выделенного сервера.

Каждый компьютер рабочей группы ведет свою базу данных безопасности, администрирования учетных записей пользователей и децентрализованный доступ к ресурсам.

Пользователь должен иметь учетную запись на каждом компьютере, к которому ему нужен доступ. Любые изменения учетных записей пользователя, например смену пароля или добавление новой учетной записи, нужно проделывать на каждом компьютере (представьте работу администратора!). Поэтому рабочие группы удобны для небольшого количества (до 10) рядом расположенных компьютеров, эксплуатируемых опытными пользователями. В противном случае более удобна другая логическая группировка компьютеров - домен (рис. 5.7, б).__

 

 

 

 

Рис 5.7

 

В домене организуется общая база данных каталога, содержащая учетные записи пользователей и правила безопасности домена. Каталог (Active Directory) хранится на контроллерах домена - серверах, управляющих всеми действиями пользователей, связанных с безопасностью в домене, и обеспечивающих централизацию администрирования. Домен не относится к конкретному расположению или конфигурации сети.

Компьютеры могут находиться как близко друг к другу в малой ЛВС, так и быть разбросаны по всему миру, имея между собой линии связи, аналоговые или цифровые. Все сетевые объекты существуют в пределах домена и отражены в его каталоге, который теоретически может содержать более 10 млн. объектов. На практике проверен работающий каталог с 1 млн. объектов.

Active Directory Windows 2000/2003 предоставляет способ разработать структуры каталога с учетом потребностей и специфики предприятия. Поэтому перед установкой и использованием Active Directory необходимо исследовать бизнес-структуру и деятельность организации.