ActiveDirectory («Активные директории», AD) + Домен
Primary tabs
ActiveDirectory («Активные директории», AD) — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.
ActiveDirectory позволяет администраторам =
- использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды
- развёртывать программное обеспечение на множестве компьютеров через групповые политики,
- устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления WindowsServer
.
ActiveDirectory хранит данные и настройки среды в централизованной базе данных.
ActiveDirectory имеет иерархическую структуру, состоящую из объектов.
Объекты разделяются на три основные категории:
- ресурсы (например, принтеры)
- службы (например, электронная почта)
- и учётные записи пользователей и компьютеров.
ActiveDirectory =
- предоставляет информацию об объектах
- позволяет организовывать объекты
- управлять доступом к ним
- а также устанавливает правила безопасности.
Структура
Верхним уровнем структуры является лес — совокупность всех объектов, атрибутов и правил (синтаксиса атрибутов) в ActiveDirectory.
Лес содержит одно или несколько деревьев, связанных транзитивными отношениями доверия.
Дерево содержит один или несколько доменов, также связанных в иерархию транзитивными отношениями доверия.
Домены идентифицируются своими структурами имён DNS — пространствами имён.
Другим способом деления ActiveDirectory являются сайты, которые являются способом логической группировки на основе сегментов сети.
Сайты подразделяются на=
- имеющие подключения по низкоскоростным каналам (например по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например через локальную сеть).
Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов.
При проектировании ActiveDirectory важно учитывать сетевой трафик, создающийся при синхронизации данных между сайтами.
Домен AD использует общую политику защиты и те же самые локальные и глобальные группы домена.
Домен служит границей репликации. AD допускает репликацию объектов домена только на контроллеры данного домена.
Мастерустановки Active Directory:
Start->Run->dcpromo->ActiveDirectory installation wizard.
Консолиуправления AD
Start->Administrative tools (Active Directory Users and Computers, Computermanagement,Group Policy Management, etc.)
Контексты именования AD
- • Контекст именования «Схема» реплицируется на все DC в лесу.
- • Контекст именования "Конфигурация" реплицируется как «Схема», содержит информацию о конфигурации расположения AD на уровне леса.
- • Контекст именования «Домен» реплицируется на все DC в пределах одного домена - это основное хранилище данных.
- Пространство имен AD
Состав AD
Объекты =
- • groups
- • computers
- • domains
- • cites
Контроллер домена (DC)
Контроллер домена (DC)- хранитель копии БД ActiveDirectory
Управляет доступом и изменяет данные AD.
Функциональный уровень домена – регулирование уровня совместимости с теми или иными функциями и возможностями AD.
Лес представляет собой одно или несколько деревьев доменов, использующих общую схему и общую систему защиты.
В пределах леса существуют транзитивные доверительные отношения объединяющие все домены. По отношению к “чужим “ доменам лес может установить доверительные не транзитивные отношения.
SiteLink( или Связь сайтов) - это логическая цепочка связывающая два и более сайтов можно ассоциировать ее с физическим каналом, соединяющим сайты.
Sitebridge - Мосты связей сайтов применяются в сетях, не являющихся полностью маршрутизируемыми. Если сеть полностью маршрутизируемая, клиент (или сервер), расположенный в любой части сети, может подключиться к клиенту (или серверу) в любой другой части этой же сети (за исключением тех случаев, когда такая операция блокируется брандмауэрами). Типичная ситуация с не полностью маршрутизируемой сетью возникает, когда в компании имеется несколько региональных офисов и из одного такого офиса нет возможности через сеть связаться с другим. Или такая ситуация: сайты из одного региона не могут связаться с сайтами из другого региона.
В этом случае контроллер домена на сайте Бостона (см. рисунок выше) может напрямую осуществлять репликацию с контроллером домена сайта в Атланте, минуя все контроллеры домена в Нью-Йорке, даже если связи, соединяющей сайты Бостона и Атланты, не существует.
Динамическая служба DNS
Динамический DNS— технология, позволяющая информации на DNS -сервере обновляться в реальном времени, и (по желанию) в автоматическом режиме. Она применяется для назначения постоянного доменного имени устройству (компьютеру, сетевому накопителю) с динамическим IP-адресом. Это может быть IP-адрес, полученный по DHCP или по IPCP в PPP-соединениях (например, при удалённом доступе через модем). Другие машины в Интернете могут устанавливать соединение с этой машиной по доменному имени и даже не знать, что IP-адрес изменился.
Динамическая DNS так же часто применяется в локальных сетях где клиенты получают IP-адрес по DHCP, а потом регистрируют свои имена в локальном DNS-сервере.
Протокол для обновления DNS описан в RFC 2136 и реализован (например) утилитой «nsupdate». Для безопасной аутентификации клиента можно использовать технологию «TSIG»
- Log in to post comments
- 4880 reads