Архитектура Active Directory

Служба каталогов Active Directory, являясь частью операционной системы Windows 2000/2003, обеспечивает централизованное управление сетью.

Эффективная работа сложной корпоративной среды достигается с помощью следующих возможностей, предоставляемых службой каталогов Active Directory [35, 40]:

• централизованное управление, позволяющее администраторам удобно управлять всеми корпоративными ресурсами. Рутинные задачи администрирования не нужно повторять для многочисленных объектов сети;

• масштабируемость - способность службы охватывать как один домен, так и множество доменов, один контроллер домена или множество контроллеров домена.

Несколько доменов можно объединить в дерево доменов, а несколько деревьев доменов можно связать в лес;

• расширяемость каталога, обеспечивающая администраторам возможность добавления в схему каталога новых классов объектов или добавлять новые атрибуты к существующим классам;

• интеграция с DNS (Domain Name Service), позволяющая именовать объекты Active Directory в соответствии с соглашением о доменных именах. Это обеспечивает автоматическое преобразование доменных имен объектов в IP-адреса и позволяет естественным образом интегрировать сети на основе Windows 2000/2003 в глобальной сети, такие как Internet;

• администрирование с использованием групповых политик, представляющих собой некоторую совокупность настроек, которые применяются к определенной группе компьютера, пользователей, доменов или сайтов. Active Directory позволяет устанавливать групповую политику на нескольких уровнях, что открывает перед администратором широкие возможности управления;

• единая регистрация в сети, позволяющая пользователям получать доступ ко всем сетевым ресурсам (серверам, принтерам, файлам и т. д.) независимо от их расположения в сети;

• безопасность информации, достигаемая централизованной защитой сети за счет средств аутентификации и управления доступом к ресурсам, встроенным в службу Active Directory. Права доступа можно определять не только для каждого объекта, но и для каждого свойства (атрибута) объекта;

• гибкость изменений в службе каталогов в соответствии с изменениями в структуре предприятия;

• репликация информации по схеме со многими ведущими (multi-master), позволяющая модифицировать каталог на любом контроллере домена. При наличии в домене нескольких контроллеров это обеспечивает высокую отказоустойчивость и возможность распределения сетевой нагрузки.

В основе архитектуры Active Directory лежат следующие технологии:

1. Стандарты Х.500 и Х.509, определяющие информационную модель данных, синтаксис и формат цифровых сертификатов, используемых для аутентификации пользователей.

2. Стандартный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol), позволяющий приложениям работать с информацией, содержащейся в каталоге.

3. Стек протоколов TCP/IP, являющийся основным при построении сети масштаба корпорации на основе ОС Windows 2000/2003.

4. Служба DNS (Domain Name Service), используемая для разрешения доменных имен в IP-адреса. Разрешение имен - это процесс преобразования имени объекта в ссылку на объект. В данном случае это преобразование DNS-имени в IP-адрес. ОС Windows 2000/2003 использует динамическую DNS (DDNS), позволяющую клиентским компьютерам с динамическими адресами регистрироваться на сервере DNS.

5. Протокол динамической конфигурации клиента DHCP (Dynamic Host Configuration Protocol), взаимодействующий с DNS и позволяющий упростить процесс конфигурирования клиентов сети TCP/IP и облегчить расширение сети.

6. Система Kerberos — протокол аутентификации пользователей, используемый в качестве основного средства при реализации системы безопасности Windows 2000/2003._

В многоуровневой архитектуре Active Directory (рис. 5.8) каждый уровень соответствует серверному процессу, предоставляющему службу каталога клиентским приложениям. Архитектура AD включает три уровня служб, несколько интерфейсов и протоколов. Уровни служб (системный агент каталога, уровень базы данных и расширяемое ядро хранилища) обрабатывают данные, необходимые для поиска записей в базе данных (БД) каталога. Над уровнями служб в этой архитектуре расположены протоко-

лы и интерфейсы, обеспечивающие взаимодействие клиентов со службой каталогов.

Высшим уровнем AD является системный агент каталога (Directory System Agent, DSA), предоставляющий API-интерфейсы для доступа к каталогу. DSA поддерживает несколько интерфейсов. Основной клиентский интерфейс - ADSI (Active Directory Service Interlaces) - является средством абстрагирования от API-интерфейса протокола LDAP, используемого в AD.

Интерфейс REPL используется службой репликации для копирования сведений из AD через RPC (Remote Procedure Call - вызов удаленных процедур) поверх протоколов IP или SMTP из стека протоколов TCP/IP. SMTP (Simple Mail Transport Protocol) применяется только для межсайтовой репликации. Вызов удаленных процедур RPC поверх IP используется как для внутрисайтовых, так и для межсайтовых репликаций.

Еще два поддерживаемых интерфейса - SAM и MAPL применяются для взаимодействия с клиентами, использующими программное обеспечение более ранних версий. В частности, SAM (Security Accounts Manager - диспетчер учетных записей) обеспечивает низкоуровневую совместимость для связи доменов Windows 2000/2003 и Windows NT 4.0. Репликация информации с резервных контроллеров доменов в домен смешанного режима также осуществляется через интерфейс SAM. ≪Устаревшие≫ клиенты MAPI, например клиент MS Outlook, для обмена сообщениями подключаются к

DSA посредством MAPI (Messaging Application Programming Interface).

Следующий уровень архитектуры AD - уровень базы данных - обеспечивает объектное предоставление информации базы данных путем применения семантики схемы к записям БД и изолирования верхних уровней службы каталога от исходной СУБД. Уровень БД является скрытым внутренним интерфейсом__

 

Рис 5.8

 

Основной функцией базы данных является перевод каждого различного относительного составного имени объекта, который запрашивается клиентом в целом число - тег, применяемый для всех внутренних операций доступа. Уровень БД гарантирует уникальность тега DN (distinguished name - составное имя) для каждой записи в базе.

Все данные, описывающие объект, содержатся в виде набора атрибутов, хранимых в форме полей записи БД. Уровень БД отвечает за создание, извлечение и удаление индивидуальных записей, полей записей и значений полей.

Нижний уровень архитектуры AD представлен расширяемым ядром хранилища.

Службы АР реализованы поверх диспетчера таблиц ISAM (Indexed Sequential Access Method - метод индексно-последовательного доступа). В Windows 2000/2003 действует улучшенная версия диспетчера таблиц ESE (Extensible Storage Engine). Последний реализует транзакционную БД, применяющую файлы журнала для подтверждения корректного выполнения транзакции. ESE отвечает за хранение всех объектов AD и поддерживает БД объемом до 16 Тбайт, теоретически способную содержать несколько миллионов объектов для каждого домена.

ESE удовлетворяет потребности AD по хранению информации:

• выполняет операции обновления в виде транзакции для поддержания устойчивости и целостности системы на случай системных сбоев;

• эффективно обрабатывает разреженные записи, в которых многим полям не присвоены значения свойств объектов.

При установке AD создается стандартная схема, определяющая все необходимые и допустимые атрибуты для данного объекта. ESE оставляет место только для назначенных объекту атрибутов, а не для всех возможных атрибутов. Если в дальнейшем будут добавлены новые атрибуты, для их размещения будет выделен дополнительный объем.

Каталог Active Directory предусматривает выделение в сети двух структур - логической и физической.

К логической структуре относятся следующие элементы:

• объект (object), представляющий некоторую конкретную сущность (принтер, модем, папка, пользователь и др.), с отличительным набором именованных атрибутов (характеристик объекта). Объекты являются экземплярами некоторого класса, логически группирующего объекты;

• контейнер (container) или контейнерный объект (container object);

• логическое объединение, группирующее объекты или другие контейнеры по какому-либо признаку. Этим контейнеры сходны с папками файловой системы.

Тем не менее контейнеры тоже являются элементами некоторого класса и имеют определенный набор атрибутов;

• организационное подразделение (organizational unit);

• некоторый контейнерный объект, организующий объекты в логические административные группы в рамках домена. Организационное подразделение ОП может содержать такие объекты, как группы, компьютеры, приложения и др. Как правило, ОП отражают структуру предприятия;

• домен (domain) - совокупность компьютеров, совместно использующих общую базу данных каталога;

• дерево доменов (domain tree) - группировка одного или нескольких доменов со смежной структурой имен, предоставляющих совместный доступ к ресурсам;

• лес доменов (domain forest) - объединение одного или более деревьев, совместно использующих информацию каталога.__

К физической структуре сети, представленной в Active Directory, относятся следующие элементы:

• контроллер домена - компьютер с серверной ОС Windows Server

(Advanced Server, Datacenter Server), хранящий раздел каталога (локальную базу данных домена);

• подсеть (Subnet) - сетевая группа с заданной областью IP-адресов и сетевой маской, которая имеет определенное географическое место;

• сайт (site) - одна или несколько подсетей со своим множеством областей IP-адресов. Компьютеры приписываются сайтом в зависимости от местоположения в подсети или в наборе подсетей. В идеале сайты состоят из хорошо связанных подсетей и компьютеров.

Определения всех объектов, которые допустимо размещать в Active Directory AD, a также совокупность правил, позволяющих управлять структурой и содержимым AD, содержатся в схеме каталога (Directory Schema). Схема является обязательным компонентом AD и хранится в каталоге в виде двух классов объектов: объектов Class Schema и объектов Attribute Schema. Другим обязательным компонентом является глобальный каталог (Global catalog), выполняющий функции поискового механизма.

Множество объектов, содержащихся во множестве вложенных контейнеров, образуют иерархию - дерево (tree) AD. Листьями этого дерева являются объекты, а узлами - контейнеры. В общем случае сеть корпоративного предприятия представляется доменным деревом или доменным лесом. Каждый домен является разделом каталога AD. В корне при помощи доверительных отношений связаны дочерние домены. Каждый из них также может быть связан с доменами-потомками. Полное имя домена, входящего в состав дерева, включает в себя по стандартам DNS имена всех его предков, разделенные символом точки.

Домены, использующие одинаковую схему именования, образуют дерево доменов, как показано на рис. 5.9. В этом случае говорят, что домены используют смежную структуру имен. Пространство имен - набор правил именования, обеспечивающих иерархическую структуру, или путь в дереве. По стандартам DNS имя дочернего домена дополняется именем родительского.

Деревья различают по ряду признаков:

• иерархии доменов;

• непрерывности пространства имен;

• доверительным отношениям между доменами;

• общей схеме;

• способности отображать любой объект в списке глобального каталога.

Однако смежная структура имен необязательна. В этом случае, если у корпорации есть подразделения, работающие независимо друг от друга и использующие различные схемы именования, их доменные деревья могут быть объединены в лес. Деревья в лесу обеспечивают доступ к одинаковой схеме и правилам совместной работы объектов. Все домены леса имеют единый глобальный каталог и конфигурационный контроллер (рис. 5.10).

Домены в дереве связываются друг с другом, используя двусторонние транзитивные доверительные отношения по протоколу Kerberos. Транзитивное доверие означает, что если домен А доверяет домену В и домен В доверяет домену С, то домен А доверяет домену С. Поэтому присоединенный к дереву домен сразу вступает в доверительные отношения с каждым деревом домена. Пользовательские учетные записи и группы, определенные в доверяемом домене, могут получать права и полномочия в доверяющем домене, даже если их нет в его каталоге.__

рис 5.9

 

 

рис 5.10

 

 

Каждый домен включает один или несколько контроллеров, на которых хранится полная реплика (копия) каталога домена. Для упрощения администрирования все контроллеры домена равноправны. Поэтому изменения, выполненные на любом контроллере домена, можно реплицировать на другие контроллеры

рис 5.11

 

Леса различаются по одному или более набору деревьев; несвязанному пространству имен между деревьями; доверительным отношениям между этими деревьями; общей схеме; способности отображать любой объект в списке глобального каталога.

Для доступа к доменным структурам в ОС Windows 2000/2003 предназначена консоль Active Directory - домены и доверие, показанная на рис. 5.11. Для каждого корневого домена отображаются отдельные записи. На рис. 5.11 показан домен NAZAROV.com.

В доменах корпораций выделяются организационные подразделения (ОП) - это подгруппы, которые часто отображают функциональную структуру организации. ОП являются своего рода логическими контейнерами, в которых размещаются учетные записи, общие ресурсы и другие ОП (дочерние). Для каждого ОП можно определить свою групповую политику, не применяя ее ко всему домену. Кроме того, ОП позволяет делегировать административные полномочия пользователям, ответственным за использование ресурсов данного ОП.

Организационные подразделения представлены в виде папок в консоли Active Directory - пользователи и компьютеры (рис. 5.12, 5.13).

Хотя ОП позволяют группировать ресурсы и пользователей домена, относящихся к тому или иному структурному подразделению предприятия, они не способны организовать сеть таким образом, чтобы оптимизировать сетевой трафик. Дело в том, что при построении сети нужно учитывать и тот факт, что подсети, относящиеся к одному домену, могут располагаться в различных географических точках и при этом быть соединенными медленными линиями связи. В связи с этим в AD, как отмечено выше, введено понятие сайта (site). Сайт может состоять из нескольких подсетей. В отличие от сайтов, способных охватывать множество областей IP-адресов, подсети обладают за данной областью IP-адресов и сетевой маской.

Планирование сайта производится независимо от логической структуры домена.

AD позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Нет также связи между диапазоном IP-адресов сайта и пространством имени домена. Компьютеры приписываются к сайтам в зависимости от местоположения в подсети или в наборе подсетей. Если компьютеры в подсетях способны взаимодействовать на достаточно высоких скоростях, их называют хорошо связанными. В идеале сайты состоят из хорошо связанных подсетей и компьютеров. Если скорость обмена между подсетями и компьютерами низка, может потребоваться создать несколько сайтов. Хорошая связь дает сайтам некоторые преимущества.__

 

рис 5.12

 

рис 5.13

 

Когда клиент входит в домен, в процессе аутентификации сначала производится поиск локального контроллера домена в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры, что ограничивает сетевой трафик и ускоряет аутентификацию.

Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вызванный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию. Имеется возможность настройки порядка репликации данных каталога, используя связи сайтов. Например, определить сервер-плацдарм для репликации между сайтами. Основная часть нагрузки от репликации между сайтами ляжет на этот специализированный сервер, а не на любой доступный сервер сайта.

Сайты и подсети настраиваются в консоли Active Directory - сайты и службы, показанной на рис. 5.14.

рис 5.14

 

Контроллеры домена и сайты

В роли контроллера домена в среде Windows 2000/2003 выступает компьютер, отвечающий за аутентификацию пользователей и содержащий полную копию базы данных AD этого домена. В каждом домене один или несколько компьютеров должны выполнять функции контроллеров доменов. Для поиска контроллера домена клиент обращается к протоколу, описанному в DNS, - стандартной службе каталогов, применяемой в настоящее время для сетей TCP/IP. Главное назначение службы DNS – преобразовать простые для запоминания имена (DNS-имена) в IP-адреса.

Каждый DNS-сервер ≪знает≫ свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому - пусть и не сразу - каждый клиентский запрос находит нужный контроллер домена. После этого для доступа к данным AD используется протокол LDAP. Протокол LDAP работает поверх TCP/IP и определяет способы доступа к каталогу со стороны клиентов. Кроме механизма доступа протокол реализует соглашение по именованию информации в каталоге, в явном виде описывая структуру этой информации.

Для получения информации о некотором элементе клиент должен указать уникальное имя этого элемента, которое называется отличительным, или различающимся, именем (distinguished name, DN). Отличительное имя - это набор имен, отражающих путь от корня дерева домена до интересующего элемента. Например, следующее DNS-имя идентифицирует объект - пользователя James Smith в домене microsoft.com:

DC = com/DC = Microsoft/CN = Users/CN = James Smith.

Разделители и значения, использованные в DN для James Smith, в данном случае имеют смысл, показанный ниже.