Р-узел (или двухточечный узел)

Этот метод НЕ использует пересылку пакетов для регистрации и разрешения имен. Вместо этого все системы после загрузки регистрируются самостоятельно на NBNS-сервере (сервер имен NetBIOS). NBNS-сервер отвечает за сопоставление имен компьютеров и IP-адресов и предотвращает дублирование имен в сети. Все системы должны знать IР-адрес NBNS-сервера, который соответствует серверу WINS. Метод р-узла не будет работать, если в системе не настроен правильный IP-адрес NBNS-сервера.

В методе р-узла для коммуникации с NBNS-сервером используются направленные UDP-датаграммы и сеансы TCP.

Главный недостаток метода р-узла заключается в том, что не имея доступа к NBNS-серверу невозможно разрешить имя и, следовательно, установить связь с другим компьютером сети.

М-узел (или смешанный узел)

Метод М-узла является комбинацией двух описанных ранее методов. Вначале используется метод b-узла, а затем — метод р-узла, что теоретически должно привести к повышению производительности локальной сети (LAN). Преимущество метода m-узла перед методом р-узла в том, что, если NBNS-сервер не доступен, соединение с компьютерами локальной подсети может быть установлено с помощью метода b-узла для разрешения имен.

Так как в методе m-узла используется пересылка пакетов, его нецелесообразно использовать в больших сетях. Однако если сеть разделена на несколько подсетей, соединенных медленными связями глобальной сети, то использование метода m-узла позволит снизить трафик в медленных связях.

Н-узел (или гибридный узел)

Для разрешения имен методом h-узла (в настоящий момент находится в эскизной форме в RFC) также используются методы b-узла и р-узла, однако метод b-узла — только в самом крайнем случае. Система, настроенная на применение метода h-узла, вначале всегда использует метод р-узла и ТОЛЬКО если попытка не удалась, использует метод b-узла. Кроме того, компьютер можно настроить таким образом, чтобы после неудачной попытки использования метода р-узла просматривался файл LMHOSTS.

При использовании метода h-узла для запуска системы не обязательно успешное проведение регистрации методом р-узла. Однако система будет использовать только метод b-узла до тех пор, пока такая регистрация не будет выполнена. Если NBNS-сервер недоступен и, следовательно, применяется метод b-узла, система продолжает попытки установить связь с NBNS-сервером и перейти на использование метода р-узла.

Как работает WINS

По умолчанию если для разрешения имен используется WINS, для регистрации имени применяется метод h-узла. Этот же метод (с небольшими отличиями) будет использован для разрешения имен. Система выполнит следующие действия.

• Проверит, является ли указанное имя именем локальной машины.
• Проверит кэш имен удаленных систем. Любое разрешенное имя помещается в кэш и находится там на протяжении 10 минут.
• Использует сервер WINS.
• Использует пересылку пакетов.
• Проверяет файл LMHOSTS (при наличии соответствующей настройки).
• Использует файл HOSTS и DNS (при наличии соответствующей настройки).

Служба Active Directory

Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать программное обеспечение на множестве компьютеров через групповые политики. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

В отличие от версий Windows до Windows 2000, которые использовали в основном протокол NetBIOS для сетевого взаимодействия, служба Active Directory интегрирована с DNS и TCP/IP. Для аутентификации по умолчанию используется протокол Kerberos. Если клиент или приложение не поддерживает аутентификацию Kerberos, используется протокол NTLM ^[1].

Объекты

Active Directory имеет иерархическую структуру, состоящую из объектов. Объекты разделяются на три основные категории: ресурсы (например, принтеры), службы (например, электронная почта) и люди (учётные записи пользователей и групп пользователей). Active Directory предоставляет информацию об объектах, позволяет организовывать объекты, управлять доступом к ним, а также устанавливает правила безопасности.

Объекты могут быть вместилищами для других объектов. Объект уникально определяется своим именем и имеет набор атрибутов — характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются составляющей базой структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.Сама схема состоит из двух типов объектов: объекты классов схемы и объекты атрибутов схемы. Один объект класса схемы определяет один тип объекта Active Directory (например, объект «Пользователь»), а один объект атрибута схемы определяет атрибут, который объект может иметь.

Каждый объект атрибута может быть использован в нескольких разных объектах классов схемы. Эти объекты называются объектами схемы (или метаданными) и позволяют изменять и дополнять схему, когда это необходимо. Однако каждый объект схемы является частью определений объектов Active Directory, поэтому отключение или изменение этих объектов могут иметь серьёзные последствия, так как в результате этих действий будет изменена структура Active Directory. Изменение объекта схемы автоматически распространяется в Active Directory. Будучи однажды созданным, объект схемы не может быть удалён, он может быть только отключён. Обычно все изменения схемы тщательно планируются.

Контейнер аналогичен объекту в том смысле, что он также имеет атрибуты и принадлежит пространству имён, но, в отличие от объекта, контейнер не обозначает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Структура

Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия. Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия. Домены идентифицируются своими структурами имён DNS — пространствами имён.

Объекты в домене могут быть сгруппированы в контейнеры — подразделения. Подразделения позволяют создавать иерархию внутри домена, упрощают его администрирование и позволяют моделировать организационную и/или географическую структуры компании в Active Directory. Подразделения могут содержать другие подразделения. Корпорация Microsoft рекомендует использовать как можно меньше доменов в Active Directory, а для структурирования и политик использовать подразделения. Часто групповые политики применяются именно к подразделениям. Групповые политики сами являются объектами. Подразделение является самым низким уровнем, на котором могут делегироваться административные полномочия.

Другим способом деления Active Directory являются сайты, которые являются способом физической (а не логической) группировки на основе маски подсети. Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При проектировании Active Directory важно учитывать сетевой трафик, создающийся при синхронизации данных между сайтами.

Ключевым решением при проектировании Active Directory является решение о разделении информационной инфраструктуры на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для такого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.