Служба Active Directory-Розширювана та масштабована служба каталогів Active Directory(Активний каталог) дозволяє ефективно управляти мережевими ресурсами.
Active Directory- це ієрархічно організоване сховище даних про об'єкти мережі, що забезпечує зручні засоби для пошуку та використання цих даних. Комп'ютер, на якому працює Active Directory, називається контролером домену. З Active Directory пов'язані майже всі адміністративні завдання.
Технологія Active Directory заснована на стандартних Інтернет-протоколах і допомагає чітко визначати структуру мережі, детальніше як розгорнути з нуля домен Active Directory читайте тут.

Active Directory та DNS

В Active Directory використовується доменна системаімен.

За допомогою служби Active Directory створюються облікові записи комп'ютерів, здійснюється підключення до домену, здійснюється управління комп'ютерами, контролерами домену та організаційними підрозділами (ОП).

Для управління Active Directory призначені засоби адміністрування та підтримки. Наведені нижче інструменти реалізовані і у вигляді оснасток консолі ММС ( Microsoft Management Console):

Active Directory - користувачі та комп'ютери (Active Directory Users and Computers) дозволяє керувати користувачами, групами, комп'ютерами та організаційними підрозділами (ОП);

Active Directory - домени та довіра (Active Directory Domains and Trusts) служить для роботи з доменами, деревами доменів та лісами доменів;

Active Directory - сайти та служби (Active Directory Sites and Services) дозволяє керувати сайтами та підмережами;

Результуюча політика (Resultant Set of Policy) використовується для перегляду поточної політики користувача або системи та планування змін у політиці.

У Microsoft Windows 2003 Server можна отримати доступ до цих оснасток безпосередньо з меню Administrative Tools.

Ще один засіб адміністрування – оснащення Схема Active Directory (Active Directory Schema) – дозволяє керувати та модифікувати схему каталогу.

Для керування об'єктами Active Directory існують засоби командного рядка, які дозволяють здійснювати широкий спектр адміністративних завдань:

DSADD - додає до Active Directory комп'ютери, контакти, групи, ОП та користувачів.

DSGET – відображає властивості комп'ютерів, контактів, груп, ОП, користувачів, сайтів, підмереж та серверів, зареєстрованих у Active Directory.

DSMOD – змінює властивості комп'ютерів, контактів, груп, ОП, користувачів та серверів, зареєстрованих у Active Directory.

DSMOVE – переміщує одиночний об'єкт у нове розташування в межах домену або перейменовує об'єкт без переміщення.

DSQXJERY - здійснює пошук комп'ютерів, контактів, груп, ОП, користувачів, сайтів, підмереж та серверів в Active Directory за заданими критеріями.

DSRM – видаляє об'єкт із Active Directory.

NTDSUTIL - дозволяє переглядати інформацію про сайт, домен або сервер, керувати господарями операцій (operations masters) та обслуговувати базу даних Active Directory.

У наших попередніх матеріалах ми розібрали спільні питання щодо служб каталогів та Active Directory. Тепер настав час переходити до практики. Але не поспішайте бігти до сервера, перед розгортанням доменної структури у вашій мережі необхідно її спланувати та мати чітке уявлення про призначення окремих серверівта процесах взаємодії між ними.

Перед тим, як створювати ваш перший контролер домену, необхідно визначитися з режимом його роботи. Режим роботи визначає доступні можливостіі залежить від версії операційної системи, що застосовується. Ми не розглядатимемо всі можливі режими, крім тих, які мають актуальність на поточний момент. Таких режимів три: Windows Server 2003, 2008 та 2008 R2.

Режим Windows Server 2003 слід вибирати лише тоді, коли у вашій інфраструктурі вже розгорнуті сервери на даній ОС і планується використовувати один або кілька таких серверів як контролери домену. В інших випадках потрібно обирати режим Windows Server 2008 або 2008 R2 залежить від куплених ліцензій. Слід пам'ятати, що режим роботи домену можна завжди підвищити, а ось знизити вже не вдасться (хіба що відновивши з резервної копії), тому підходите до даному питаннюобачно, з урахуванням можливих розширень, ліцензій у філіях тощо. і т.п.

Ми зараз не будемо докладно розглядати сам процес створення контролера домену, до цього питання ми повернемося пізніше, а зараз хочемо звернути вашу увагу на те, що у повноцінній структурі Active Directory контролеров домену має бути не менше двох. В іншому випадку ви наражаєте себе на невиправданий ризик, так як у разі відмови єдиного контролера домену ваша структура AD буде повністю знищено. Добре, якщо буде актуальна резервна копія і з неї вдасться відновитись, у будь-якому випадку весь цей час ваша мережа буде повністю паралізована.

Тому відразу після створення першого контролера домену потрібно розгорнути другий, незалежно від розмірів мережі та бюджету. Другий контролер повинен бути передбачений ще на стадії планування і без нього за розгортання AD не варто братися. Також не варто поєднувати роль контролера домену з будь-якими іншими серверними ролями, З метою забезпечення надійності операцій з базою AD на диску відключається кешування запису, що призводить до різкого падіння продуктивності дискової підсистеми (це пояснює і довге завантаженняконтролерів домену).

У результаті наша мережа має набути наступного вигляду:

Попри поширену думку, все контролери у домені рівнозначні, тобто. кожен контролер містить повну інформацію про всі об'єкти домену і може обслуговувати запит клієнта. Але це не означає, що контролери взаємозамінні, нерозуміння цього моменту часто призводить до відмови AD і простою мережі підприємства. Чому так відбувається? Саме час згадати про ролі FSMO.

Коли ми створюємо перший контролер, він містить усі доступні ролі, а також є глобальним каталогом, з появою другого контролера йому передаються ролі господаря інфраструктури, господаря RID та емулятора PDC. Що буде, якщо адміністратор вирішив тимчасово вивести з ладу сервер DC1, наприклад, щоб почистити від пилу? На перший погляд нічого страшного, ну перейде домен в режим "тільки читання", але працюватиме щось. Але ми забули про глобальний каталог і якщо у вашій мережі розгорнуто програми, які вимагають його наявності, наприклад Exchange, то ви дізнаєтеся про це раніше, ніж знімете кришку з сервера. Дізнаєтеся від незадоволених користувачів, та й керівництво навряд чи прийде у захват.

З чого випливає висновок: у лісі має бути не менше двох глобальних каталогів, а найкраще по одному в кожному домені. Так як у нас домен у лісі один, то обидва сервери повинні бути глобальними каталогами, це дозволить вам без особливих проблемвивести будь-який із серверів на профілактику, тимчасова відсутність будь-яких ролей FSMO не призводить до відмови AD, а лише унеможливлює створення нових об'єктів.

Як адміністратор домену, ви повинні чітко знати, як ролі FSMO розподілені між вашими серверами і при виведенні сервера з експлуатації на довгий термінпередавати ці ролі іншим серверам. А що буде якщо сервер, що містить ролі FSMO, незворотно вийде з ладу? Нічого страшного, як ми вже писали, будь-який контролер домену містить всю необхідну інформацію і якщо така неприємність все ж таки відбулася, то потрібно буде виконати захоплення необхідних ролей одним з контролерів, це дозволить відновити повноцінну роботуслужби каталогів.

Проходить час, ваша організація росте і у неї з'являється філія в іншому кінці міста і виникає необхідність включити їх мережу в загальну інфраструктурупідприємства. На перший погляд нічого складного, ви налаштовуєте канал зв'язку між офісами та розміщуєте у ньому додатковий контролер. Все було б добре, але є одне але. Даний сервер ви контролювати не можете, а отже не виключено несанкціонований доступдо нього, та й місцевий адмін викликає у вас сумніви щодо його кваліфікації. Як бути в такій ситуації? Для цього спеціально існує особливий тип контролера: контролер домену доступний тільки для читання (RODC), дана функціядоступна в режимах роботи домену, починаючи з Windows Server 2008 і вище.

Контролер домену, доступний тільки для читання, містить повну копію всіх об'єктів домену і може бути глобальним каталогом, проте не дозволяє вносити жодних змін до структури AD, також він дозволяє призначити будь-якого користувача локальним адміністраторомщо дозволить йому повноцінно обслуговувати даний сервер, але знову ж таки без доступу до служб AD. У нашому випадку це те, що "лікар прописав".

Налаштовуємо у філії RODC, все працює, ви спокійні, але користувачі починають скаржитися на довгий вхід до системи та рахунки за трафік наприкінці місяця показують перевищення. Що відбувається? Саме час ще раз згадати про рівнозначність контролерів у домені, клієнт може направити свій запит до будь-якого контролера домену, що навіть знаходиться в іншій філії. Зважте на повільний і, з великою ймовірністю, завантажений канал зв'язку - ось і причина затримок входу.

Наступний фактор, який отруює нам життя в цій ситуації, це реплікація. Як відомо, всі зміни, зроблені на одному з контролерів домену, автоматично поширюються на інші і називається цей процес реплікацією, він дозволяє мати на кожному контролері актуальну та несуперечливу копію даних. Служба реплікації не знає про нашу філію та повільний канал зв'язку і тому всі зміни в офісі відразу реплікуватимуться у філію, завантажуючи канал і збільшуючи витрату трафіку.

Тут ми підійшли до поняття сайтів AD, які не слід плутати з інтернет сайтами. Сайти Active Directoryявляють спосіб фізичного поділу структури служби каталогів на області відокремлені від інших областей повільними та/або нестабільними каналамизв'язку. Сайти створюються на основі підмереж і всі клієнтські запити надсилаються насамперед контролерам свого сайту, також дуже бажано мати в кожному сайті свій глобальний каталог. У нашому випадку потрібно створити два сайти: AD Site 1для центрального офісу та AD Site 2для філії, точніше один, оскільки за умовчанням структура AD містить сайт, куди входять все раніше створені об'єкти. Тепер розглянемо, як відбувається реплікація в мережі з кількома сайтами.

Вважатимемо, що наша організація трохи підросла і головний офіс містить цілих чотири контролери домену, реплікація між контролерами одного сайту називається внутрішньосайтовийі відбувається миттєво. Топологія реплікації будується за схемою кільця з умовою, щоб між будь-якими контролерами домену було трохи більше трьох кроків реплікації. Схема кільця зберігається до 7 контролерів включно, кожен контролер встановлює зв'язок з двома найближчими сусідами, при більшій кількості контролерів з'являються додаткові зв'язки і загальне кільце перетворюється на групу накладених один на одного кілець.

Міжсайтовареплікація відбувається інакше, у кожному домені автоматично вибирається один із серверів (сервер-плацдарм), який встановлює зв'язок з аналогічним сервером іншого сайту. Реплікація за замовчуванням відбувається раз на 3 години (180 хвилин), однак ми можемо встановити власний розклад реплікації та для економії трафіку всі дані передаються у стислому вигляді. За наявності у сайті тільки RODC реплікація відбувається односпрямовано.

Домен – це основна адміністративна одиниця у мережній інфраструктурі підприємства, до якої входять усі мережеві об'єкти, такі як користувачі, комп'ютери, принтери, загальні ресурси тощо. Сукупність (ієрархія) доменів називається лісом. Кожна компанія може мати зовнішній і внутрішній домен.

Наприклад, сайт – зовнішній домен у мережі Інтернет, який був придбаний у реєстратора імен. У цьому домені розміщено наш WEB-сайт та поштовий сервер. lankey.local – внутрішній домен служби каталогів Active Directory, де розміщуються облікові записи користувачів, комп'ютерів, принтерів, серверів і корпоративних додатків. Іноді зовнішні та внутрішні доменні імена роблять однаковими.

Microsoft Active Directory стала стандартом систем єдиного каталогу підприємства. Домен на базі Active Directory впроваджений практично у всіх компаніях світу, і на цьому ринку у Microsoft практично не залишилося конкурентів, частка того ж Novell Directory Service (NDS) зневажливо мала, та й компанії, що залишилися, поступово мігрують на Active Directory.

Active Directory (Служба каталогів) є розподіленою базою даних, яка містить усі об'єкти домену. Доменне середовище Active Directory є єдиною точкою автентифікації та авторизації користувачів та додатків у масштабах підприємства. Саме з організації домену та розгортання Active Directory починається побудова ІТ-інфраструктури підприємства. База даних Active Directory зберігається на виділених серверах – контролерах домену. Служба Active Directory є роллю серверних операційних систем Microsoft Windows Server. У Наразікомпанія ЛанКей здійснює впровадження доменів Active Directory на базі операційної системи Windows Server 2008 R2.

Розгортання служби каталогів Active Directory у порівнянні з робочою групою (Workgroup) дає такі переваги:

• Єдина точка автентифікації. Коли комп'ютери працюють у робочій групі, вони не мають єдиної бази даних користувачів, кожен комп'ютер вона своя. Тому за замовчуванням жоден з користувачів не має доступу до мережі до комп'ютера іншого користувача або сервера. А, як відомо, сенс мережі якраз у тому, щоб користувачі могли взаємодіяти. Співробітникам потрібно спільний доступдо документів чи додатків. У робочій групі на кожному комп'ютері чи сервері доведеться вручну додавати повний списоккористувачів, яким потрібно мережевий доступ. Якщо раптом, один із співробітників захоче змінити свій пароль, його потрібно буде поміняти на всіх комп'ютерах і серверах. Добре, якщо мережа складається з 10 комп'ютерів, але якщо їх 100 чи 1000, то використання робочої групибуде неприйнятним. При використанні домену Active Directory всі облікові записи користувачів зберігаються в одній базі даних, і всі комп'ютери звертаються до неї за авторизацією. Усі користувачі домену включаються до відповідних груп, наприклад, «Бухгалтерія», «Кадри», «Фінансовий відділ» тощо. Достатньо один раз задати дозволи для тих чи інших груп, і всі користувачі отримають відповідний доступ до документів та додатків. Якщо в компанію приходить новий співробітник, для нього створюється обліковий запис, який включається до відповідної групи, і все! Через кілька хвилин новий співробітник отримує доступ до всіх ресурсів мережі, до яких йому повинен бути дозволений доступ, на всіх серверах та комп'ютерах. Якщо співробітник звільняється, достатньо заблокувати або видалити його обліковий запис, і він відразу втратить доступ до всіх комп'ютерів, документів і додатків.
• Єдина точка управління політиками. У одноранговій мережі (робочій групі) всі комп'ютери є рівноправними. Жоден з комп'ютерів не може керувати іншим, всі комп'ютери налаштовані по-різному, неможливо проконтролювати дотримання єдиних політик, ні правил безпеки. При використанні єдиного каталогу Active Directory всі користувачі та комп'ютери ієрархічно розподіляються по організаційним підрозділам, до кожного з яких застосовуються єдині групові політики. Політики дають змогу встановити єдині параметри та параметри безпеки для групи комп'ютерів та користувачів. При додаванні до домену нового комп'ютера або користувача він автоматично отримує настройки, що відповідають прийнятим корпоративним стандартам. Також за допомогою політик можна централізовано призначити користувачам принтери, встановити необхідні програми, встановити параметри безпеки Інтернет-браузера, налаштувати програми Microsoft Office і т.д.
• Інтеграції з корпоративними додаткамита обладнанням. Великою перевагою Active Directory є відповідність стандарту LDAP, який підтримується сотнями програм, такими як поштові сервери (Exchange, Lotus, Mdaemon), ERP-системи (Dynamics, CRM), проксі-сервери (ISA Server, Squid) та ін. лише програми під Microsoft Windows, а й сервери з урахуванням Linux. Переваги такої інтеграції полягає в тому, що користувачу не потрібно пам'ятати велику кількість логінів та паролів для доступу до того чи іншого додатку, у всіх додатках користувач має одні й ті самі облікові дані, т.к. його автентифікація відбувається у єдиному каталозі Active Directory. Крім того, співробітнику не потрібно по кілька разів вводити свій логін і пароль, достатньо при запуску комп'ютера один раз увійти в систему, і надалі користувач автоматично автентифікуватиметься у всіх додатках. Windows Server для інтеграції з Active Directory надає протокол RADIUS, який підтримується великою кількістюмережевого обладнання. Таким чином, можна, наприклад, забезпечити аутентифікацію доменних користувачів при підключенні до маршрутизатору CISCOза VPN.
• Єдине сховище конфігурації програм. Деякі програми зберігають конфігурацію в Active Directory, наприклад Exchange Server або Office Communications Server. Розгортання служби каталогів Active Directory є обов'язковою умовоюдо роботи цих додатків. Також у службі каталогів можна зберігати конфігурацію сервера доменних імен DNS. Зберігання конфігурації програм у службі каталогів є вигідним з точки зору гнучкості та надійності. Наприклад, у разі повної відмови сервера Exchange, вся конфігурація залишиться недоторканою, т.к. зберігається у Active Directory. І для відновлення працездатності корпоративної пошти, достатньо буде перевстановити Exchange серверу режимі відновлення.
• Підвищений рівень інформаційної безпеки. Використання Active Directory значно підвищує рівень безпеки мережі. По-перше – це єдине та захищене сховище облікових записів. В одноранговій мережі облікові дані користувачів зберігаються у локальній базі даних облікових записів (SAM), яку теоретично можна зламати, заволодівши комп'ютером. У доменному середовищі всі паролі доменних користувачів зберігаються на виділених серверах контролерах домену, які зазвичай захищені від зовнішнього доступу. По-друге, при використанні доменного середовища для аутентифікації використовується протокол Kerberos, який значно безпечніший, ніж NTLM, що використовується в робочих групах. Крім того, для входу користувачів до системи можна використовувати двофакторну автентифікаціюза допомогою смарт-карток. Тобто. щоб співробітник отримав доступ до комп'ютера, йому потрібно буде ввести свій логін та пароль, а також вставити свою смарт-картку.

Масштабованість та відмовостійкість служби каталогів Active Directory

Служба каталогів Microsoft Active Directory має широкі можливостімасштабування. У лісі Active Directory може бути створено понад 2 мільярди об'єктів, що дозволяє впроваджувати службу каталогів у компаніях із сотнями тисяч комп'ютерів та користувачів. Ієрархічна структурадоменів дозволяє гнучко масштабувати ІТ-інфраструктуру на всі філії та регіональні підрозділи компаній. Для кожної філії або підрозділу компанії може бути створений окремий домен зі своїми політиками, своїми користувачами та групами. До кожного дочірнього домену можуть бути делеговані адміністративні повноваження місцевим системним адміністраторам. При цьому дочірні домени підпорядковуються батьківським.

Крім того, Active Directory дозволяє налаштувати довірчі відносиниміж доменними лісами. Кожна компанія має власний ліс доменів, кожен із яких має власні ресурси. Але іноді буває потрібно надати доступ до своїх корпоративним ресурсамспівробітникам із компаній-партнерів. Наприклад, за участю в спільних проектахСпівробітникам із компаній партнером може спільно знадобитися працювати із загальними документами чи додатками. Для цього між лісами організацій можна налаштувати довірчі стосунки, що дозволить співробітникам з однієї організації авторизуватись у домені іншої.

Відмовостійкість служби каталогів забезпечується шляхом розгортання 2-х і більше серверів - контролерів домену в кожному домені. Між контролерами домену забезпечується автоматична реплікація всіх змін. Що стосується виходу з ладу однієї з контролерів домену, працездатність мережі порушується, т.к. продовжують працювати ті, що залишилися. Додатковий рівеньвідмовостійкість забезпечує розміщення серверів DNS на контролерах домену в Active Directory, що дозволяє в кожному домені отримати кілька серверів DNS, які обслуговують основну зону домену. І в разі відмови одного з DNS серверів, продовжать працювати, що залишилися, причому вони будуть доступні, як на читання, так і на запис, що не можна забезпечити, використовуючи, наприклад, DNS сервера BIND на базі Linux.

Переваги Windows Server 2008 R2

Навіть якщо у вашій компанії вже розгорнуто службу каталогів Active Directory на базі Windows Server 2003, то ви можете отримати низку переваг, перейшовши на Windows Server 2008 R2. Windows Server 2008 R2 надає такі додаткові можливості:

Контролер домену лише для читання RODC (Read-only Domain Controller). Контролери домену зберігають облікові записи користувачів, сертифікати та багато іншого конфіденційної інформації. Якщо сервери розташовані в захищених ЦОД-ах, то про збереження цієї інформації можна бути спокійним, але що робити, якщо котролер домену стоїть у філії в загальнодоступному місці. В даному випадку існує можливість, що сервер вкрадуть зловмисники і зламають його. А потім використовують ці дані для організації атаки на вашу корпоративну мережу з метою крадіжки чи знищення інформації. Саме для запобігання таким випадкам у філіях встановлюють контролери домену тільки для читання (RODC). По-перше, RODC-контролери не зберігають паролі користувачів, а лише кешують їх для прискорення доступу, а по-друге вони використовують односторонню реплікацію, тільки з центральних серверіву філію, але не назад. І навіть якщо зловмисники заволодіють RODC контролером домену, то вони не отримають паролі користувачів і не зможуть завдати шкоди основній мережі.

Відновлення видалених об'єктів Active Directory. Майже кожен системний адміністратор стикався з необхідністю відновити випадково віддалений обліковий запис користувача або цілої групи користувачів. У Windows 2003 для цього потрібно відновлювати службу каталогів з резервної копії, якої часто не було, але навіть якщо вона і була, відновлення займало досить багато часу. У Windows Server 2008 R2 з'явився кошик Active Directory. Тепер при видаленні користувача або комп'ютера він потрапляє в кошик, з якого він може бути відновлений за пару хвилин протягом 180 днів зі збереженням всіх початкових атрибутів.

Спрощене керування. У Windows Server 2008 R2 було внесено низку змін, які значно скорочують навантаження на системних адміністраторів і полегшують управління ІТ-інфраструктурою. Наприклад, з'явилися такі засоби, як: Аудит змін Active Directory, що показує, хто, що і коли змінював; політики складності паролів, що налаштовуються на рівні груп користувачів, раніше це було можливо зробити тільки на рівні домену; нові засоби управління користувачами та комп'ютерами; шаблони політик; керування за допомогою командного рядка PowerShell і т.д.

Використання служби каталогів Active Directory

Служба каталогів Active Directory є серцем ІТ-інфраструктури підприємства. У разі її відмови вся мережа, всі сервери, робота всіх користувачів будуть паралізовані. Ніхто не зможе увійти в комп'ютер, отримати доступ до своїх документів та програм. Тому служба каталогів має бути ретельно спроектована та розгорнута, з урахуванням усіх можливих нюансів. Наприклад, структура сайтів має будуватися на основі фізичної топології мережі та пропускну здатністьканалів між філіями чи офісами компанії, т.к. від цього залежить швидкість входу користувачів у систему, і навіть реплікація між контролерами домену. Крім того, на основі топології сайтів Exchange Server 2007/2010 здійснює маршрутизацію пошти. Також потрібно правильно розрахувати кількість та розміщення серверів глобального каталогу, які зберігають списки універсальних груп, та безліч інших часто використовуваних атрибутів усіх доменів лісу. Саме тому компанії покладають завдання щодо впровадження, реорганізації чи міграції служби каталогів Active Directory на системних інтеграторів. Тим не менш, потрібно не помилитися при виборі системного інтегратора, слід переконатися, що він сертифікований на виконання даного виду робіт та має відповідні компетенції.

Компанія ЛанКей є сертифікованим системним інтегратором і має статус Microsoft Gold Certified Partner. ЛанКей має компетенцію Datacenter Platform (Advanced Infrastructure Solutions), що підтверджує наш досвід та кваліфікацію у питаннях пов'язаних із розгортанням Active Directory та впровадженням серверних рішень компанії Microsoft.

Всі роботи в проектах виконують сертифіковані Microsoft інженери MCSE, MCITP, які мають багатий досвід участі у великих та складних проектах з побудови ІТ-інфраструктур та впровадження доменів Active Directory.

Компанія ЛанКей розробить ІТ-інфраструктуру, розгорне службу каталогів Active Directory та забезпечить консолідацію всіх наявних ресурсів підприємства в єдине інформаційний простір. Впровадження Active Directory допоможе зменшити сукупну вартість володіння інформаційною системою, а також підвищити ефективність спільного використання загальних ресурсів. ЛанКей також надає послуги з міграції доменів, об'єднання та поділу ІТ-інфраструктур при злиття та поглинання, обслуговування та підтримки інформаційних систем.

Приклади деяких проектів із впровадження Active Directory, реалізованих компанією ЛанКей:

Вже давно увійшла до розряду консервативних принципів логічної побудови мережної інфраструктури. Але багато адміністраторів продовжують використовувати робочі групи та домени Windows NT у своїй роботі. Впровадження служби каталогів буде цікавим і корисним як початківцям, так і досвідченим адміністраторам для централізації управління мережею та забезпечення належного рівня безпеки.

Active Directory - технологію, що з'явилася в лінійці систем Win2K шість років тому, можна було охарактеризувати як революційну. За своєю гнучкістю та масштабованістю вона перевершує домени NT 4 на порядок, не кажучи вже про мережі, що складаються з робочих груп.

Вони поділяються по області дії:

• універсальні групи можуть включати користувачів в рамках лісу, а також інші універсальні групи або глобальні групи будь-якого домену в лісі;
• глобальні групи домену можуть включати користувачів домену та інші глобальні групи цього ж домену;
• локальні групи домену використовуються для розмежування прав доступу, можуть включати користувачів домену, а також універсальні групи і глобальні групи будь-якого домену в лісі;
• локальні групи комп'ютерів – групи, що містять SAM (security account manager) локальної машини. Область їх поширення обмежується тільки даною машиною, але вони можуть включати локальні групи домену, в якому знаходиться комп'ютер, а також універсальні і глобальні групи свого домену або іншого, якому вони довіряють. Наприклад, ви можете включити користувача з доменної локальної групи Users до групи Administrators локальної машини, тим самим надавши йому права адміністратора, але тільки для цього комп'ютера.

Сайти

Це спосіб фізичного поділу служби каталогів. За визначенням сайт – це група комп'ютерів, з'єднаних швидкими каналамипередачі даних.

Наприклад, якщо ви маєте кілька філій у різних кінцях країни, з'єднаних низькошвидкісними лініями зв'язку, то для кожної філії ви можете створити свій сайт. Робиться це підвищення надійності реплікації каталогу.

Таке розбиття AD не впливає на принципи логічної побудови, тому як сайт може містити кілька доменів, так і навпаки, домен може містити кілька сайтів. Але така топологія служби каталогів таїть у собі каверзу. Як правило, для зв'язку з філіями використовується Інтернет – дуже небезпечне середовище. Багато компаній використовують засоби захисту, наприклад брандмауери. Служба каталогів у своїй роботі використовує близько півтора десятка портів і служб, відкриття яких для проходження трафіку AD через брандмауер фактично виставить її «назовні». Вирішенням проблеми є використання технології тунелювання, а також наявність у кожному сайті контролера домену для прискорення обробки запитів клієнтів AD.

Сутність служби каталогів

Для забезпечення певного рівня безпеки будь-яка операційна система повинна мати файли, що містять базу даних користувачів. У ранніх версіях Windows NT для цього використовувався файл SAM (Security Accounts Manager – менеджер облікових записів). Він містив облікові дані користувачів та був зашифрований. Сьогодні SAM також використовується в операційні системисімейства NT 5 (Windows 2000 та вище).

Коли ви підвищуєте роль рядового сервера до контролера домену за допомогою команди DCPROMO (фактично вона запускає майстер установки служби каталогів), підсистема безпеки Windows Server 2000/2003 починає використовувати централізовану базу даних AD. Це можна легко перевірити – спробуйте після створення домену відкрити на контролері оснащення Computer Management та знайти там. Локальні користувачіта групи». Більше того, спробуйте увійти на цей сервер під локальним обліковим записом. Навряд чи у вас вийде.

Більшість користувачів зберігаються у файлі NTDS.DIT ​​(Directory Information Tree – дерево інформації каталогу). NTDS.DIT ​​– це модифікована база даних. Вона створена з використанням тієї ж технології, що й база даних Microsoft Access. Алгоритми роботи контролерів домену містять варіант двигуна JET бази даних Access, Який був названий ESE (Extensible Storage Engine - розширюваний двигун зберігання інформації). NTDS.DIT ​​і служби, які забезпечують взаємодію Космосу з цим файлом, власне і є служба каталогів.

Структура взаємодії клієнтів AD та основного сховища даних, аналогічно як і простір імен служби каталогів, представлені у статті . Для повноти опису слід згадати використання глобальних ідентифікаторів. Глобальний унікальний ідентифікатор (Global Unique Identifier, GUID) – це 128-розрядне число, яке порівнює кожен об'єкт при його створенні для забезпечення унікальності. Ім'я об'єкта AD можна змінити, а ось GUID залишиться незмінним.

Глобальний каталог

Напевно, ви встигли помітити, що структура AD може бути дуже складною і вміщати в себе велику кількість об'єктів. Чого вартий тільки той факт, що домен AD може включати до 1,5 млн. об'єктів. Але через це можуть виникнути проблеми з продуктивністю під час виконання операцій. Ця проблема вирішується за допомогою Глобального каталогу ( , ). Він містить скорочену версію всього лісу AD, що допомагає прискорювати пошук об'єктів. Власником глобального каталогу можуть бути спеціально призначені для цього контролери домену.

Ролі

AD існує певний перелік операцій, виконання яких можна покласти тільки на один контролер. Вони називаються ролями FSMO (Flexible Single-Master Operations – операції з одним господарем). Усього в AD 5 ролей FSMO. Розглянемо їх докладніше.

У межах лісу обов'язково має бути гарантія унікальності доменних імен при додаванні нового домену до лісу доменів. Така гарантія здійснюється виконавцем ролі власника операції іменування доменів ( Domain Naming Master) Виконавець ролі власника схеми ( Schema Master) здійснює всі зміни у схемі каталогу. Виконавці ролей власника доменних імен та власника схеми мають бути унікальними в рамках лісу доменів.

Як я вже казав, під час створення об'єкта йому зіставляється глобальний ідентифікатор, який гарантує його унікальність. Саме тому контролер, який відповідає за генерацію GUID і виконує роль власника відносних ідентифікаторів ( Relative ID Master), має бути один-єдиний у рамках домену.

На відміну від доменів NT в AD немає поняття PDC та BDC (основний та резервний контролери домену). Однією з ролей FSMO є PDC Emulator(Емулятор основного контролера домену). Сервер під керуванням Windows NT Server може бути ролі резервного контролера домену в AD. Але відомо, що в доменах NT може використовуватись лише один основний контролер. Саме тому Microsoft зробила так, що в рамках одного домену AD ми можемо призначити єдиний сервер носій ролі PDC Emulator. Таким чином, відступаючи від термінології, можна говорити про наявність головного та резервних контролерів домену, маючи на увазі володаря ролі FSMO.

При видаленні та переміщенні об'єктів один із контролерів повинен зберегти посилання на цей об'єкт, доки не буде повністю завершено реплікацію. Таку роль виконує власник інфраструктури каталогу ( Infrastructure Master).

Останні три ролі вимагають унікальності виконавця у межах домену. Усі ролі покладаються перший контролер, створений лісі. Під час створення розгалуженої інфраструктури AD ви можете передавати ці ролі іншим контролерам. Можуть також виникати ситуації, коли власник однієї з ролей недоступний (вийшов з ладу сервер). У цьому випадку необхідно виконати операцію захоплення ролі FSMO за допомогою утиліти NTDSUTIL(Про її використання ми поговоримо в наступних статтях). Але варто бути обережним, тому що при захопленні ролі служба каталогів вважає, що попереднього власника немає і не звертається до нього зовсім. Повернення до мережі колишнього виконавця ролі може призвести до порушення її функціонування. Особливо це критично для власника схеми, власника доменних імен та власника ідентифікаторів.

Щодо продуктивності: найбільш вимоглива до запасу ресурсів комп'ютера роль емулятора основного контролера домену, тому її можна покласти на інший контролер. Інші ролі не такі вимогливі, тому при їхньому розподілі ви можете керуватися нюансами логічної побудови схеми вашої AD.
Останній крок теоретика

Прочитання статті зовсім не повинно перевести вас з теоретиків на практику. Тому що, поки ви не врахували всі фактори від фізичного розміщення вузлів мережі до логічної побудови всього каталогу, не варто братися за справу та будувати домен простими відповідями на питання майстра установки AD. Подумайте, як буде називатися ваш домен і якщо ви збираєтеся створити дочірні для нього, за якими ознаками вони будуть іменуватися. За наявності у мережі кількох сегментів, з'єднаних ненадійними каналами зв'язку, розгляньте можливість використання сайтів.

Як посібник зі встановлення AD можу порадити використовувати статті та , а також базу знань Microsoft.

Насамкінець кілька порад:

• Намагайтеся по можливості не поєднувати ролі PDC Emulator і проксі-сервера на одній машині. По-перше, при великій кількості машин у мережі та користувачів Інтернету зростає навантаження на сервер, а по-друге, при вдалій атаці на ваш проксі «впаде» не тільки Інтернет, а й основний контролер домену, а це загрожує некоректною роботоювсієї мережі.
• Якщо ви постійно адмініструєте локальну мережу, а не збираєтеся зайнятися використанням Active Directory для замовників, вносите машини в домен поступово, скажімо, по чотири-п'ять на день. Оскільки якщо у вас в мережі велика кількість машин (50 і більше) і ви керуєте нею один, то навряд чи ви впораєтеся навіть за вихідні, а якщо і впораєтеся, наскільки все буде коректно, невідомо. До того ж для обміну документацією всередині мережі ви можете використовувати файловий або внутрішній поштовий сервер (який був описаний мною №11 за 2006 р.). Єдине, що в цьому випадку варто коректно розібратися в налаштуванні прав користувачів для доступу до файлового сервера. Тому що, якщо, наприклад, він не буде включений до домену, автентифікація користувачів буде здійснюватися, ґрунтуючись на записах локальної бази SAM. Там немає даних про доменних користувачів. Однак якщо ваш файловий сервер буде серед перших машин, включених в AD, і не буде контролером домену, то існуватиме можливість аутентифікації за допомогою як локальної бази SAM, так і облікової бази AD. Але для останнього варіанту вам потрібно буде в локальних налаштуванняхбезпеки дозволити (якщо ще не зроблено) доступ до файлового сервера по мережі як учасникам домену, так і локальним обліковим записам.

Про подальшому налаштуванніслужби каталогів (створення та керування обліковими записами, призначення групових політик та ін.) читайте у наступній статті.

додаток

Новинки Active Directory у Windows Server 2003

З виходом Windows Server 2003 у Active Directory з'явилися такі зміни:

• Стало можливим перейменування домену після його створення.
• Поліпшився користувальницький інтерфейсуправління. Наприклад, можна змінити атрибути відразу кількох об'єктів.
• З'явилося гарний засібуправління груповими політиками– Group Policy Management Console (gpmc.msc, її потрібно завантажувати із сайту Microsoft).
• Змінилися функціональні рівні домену та лісу.

Про останню зміну треба сказати докладніше. Домен AD у Windows Server 2003 може перебувати на одному з наступних рівнів, перерахованих у порядку зростання функціональності:

• Windows 2000 Mixed (змішаний Windows 2000). У ньому допускається мати контролери різних версій – як Windows NT, і Windows 2000/2003. Причому, якщо сервери Windows 2000/2003 рівноправні, то сервер NT, як уже говорилося, може виступати тільки резервним контролеромдомену.
• Windows 2000 Native (природний Windows 2000). Дозволяється мати контролери під керуванням Windows Server 2000/2003. Цей рівень більш функціональний, але має обмеження. Наприклад, ви не зможете перейменовувати контролери доменів.
• Windows Server 2003 Interim (проміжний Windows Server 2003). Використовується, наприклад, коли головний контролер домену під керуванням Windows NT оновлюється до W2K3. Рівень має більшу функціональність, ніж рівень Windows 2000 Native.
• Windows Server 2003. Допускається наявність у домені контролерів тільки під керуванням Windows Server 2003. На цьому рівні можна скористатися всіма можливостями служби каталогів Windows Server 2003

Функціональні рівні лісу доменів практично такі самі, як і для доменів. Єдиним винятком є ​​лише один рівень Windows 2000, на якому можливе використання в лісі контролерів під керуванням Windows NT, а також Windows Server 2000/2003.

Варто зауважити, що зміна функціонального рівня домену та лісу є операцією незворотною. Тобто відсутня зворотна сумісність.

1. Коробко І. Active Directory – теорія побудови. //« Системний адміністратор», № 1, 2004 р. - C. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

2. Марков Р. Домени Windows 2000/2003 - відмовляємося від робочої групи. //«Системний адміністратор», №9, 2005 - C. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a=01).

3. Марков Р. Встановлення та налаштування Windows 2К Server. //«Системний адміністратор», №10, 2004 - C. 88-94. (http://www.samag.ru/cgi-bin/go.pl? q=articles;n=10.2004;a=12).

Олександр Ємельянов

Технологія Active Directory (AD) є службою каталогів, створеною корпорацією Microsoft. Служба каталогів містить дані в організованому форматі та надає до них впорядкований доступ. Служба Active Directory - це винахід компанії Microsoft, а реалізація існуючої індустріальної моделі (зокрема X.500), комунікаційного протоколу (LDAP - Lightweight Directory Access Protocol) та технології пошуку даних (служби DNS).

Вивчення Active Directory слід розпочати зі знайомства з метою, поставленою перед цією технологією. У загальному плані каталогом вважається контейнер зберігання даних.

Телефонний довідник є наочним прикладом служби каталогів, оскільки містить набір даних і надає можливість отримання необхідних відомостейз каталогу. Довідник містить різні записи, кожна з яких має власне значення, наприклад, імена/прізвища абонентів, їх домашню адресу та, власне, номер телефону. У розширеному довіднику записи групуються за географічним розташуванням, типом або обома ознаками. Отже, кожному за географічного розташування може бути сформована ієрархія типів записів. Крім того, телефонний оператор також підходить для визначення служби каталогів, оскільки має доступ до даних. Отже, якщо надати запит на отримання будь-яких даних каталогу, оператор видасть необхідну відповідь на отриманий запит.

Служба каталогів Active Directory призначена для зберігання інформації про всі ресурси мережі. Клієнти мають можливість надсилати запити Active Directory для отримання інформації про будь-який об'єкт мережі. Список можливостей Active Directory містить такі функції.

• Безпечне сховище даних. Кожен об'єкт у Active Directory має власний списоккерування доступом (ACL), який містить список ресурсів, що отримали право доступу до об'єкта, а також визначений рівень доступу до об'єкта.
• Багатофункціональний механізм запитів, що базується на створеному Active Directory глобальному каталозі (GC). Всі клієнти, які підтримують Active Directory, можуть звертатися до цього каталогу.
• Реплікація даних каталогу на всі контролери домену спрощує доступ до інформації, підвищує ступінь її доступності та збільшує надійність усієї служби.
• Концепція модульного розширення дозволяє додавати нові типи об'єктів або доповнювати існуючі об'єкти. Наприклад, до об'єкта "користувач" можна додати атрибут "зарплата".
• Мережева взаємодія з використанням кількох протоколів. Служба Active Directory заснована на моделі X.500, завдяки чому підтримуються різні мережеві протоколи, наприклад, LDAP 2, LDAP 3 та HTTP.
• Для реалізації служби імен контролерів доменів та пошуку мережних адрес замість NetBIOS використовується служба DNS.

Інформація каталогу розподіляється по всьому домену, що дозволяє уникнути надмірного дублювання даних.

Хоча Active Directory розподіляє інформацію каталогу за різними сховищами, користувачі мають можливість запросити Active Directory на отримання інформації про інші домени. Глобальний каталог містить відомості про всі об'єкти лісу підприємства, допомагаючи здійснювати пошук даних у межах лісу.

При запуску утиліти DCPROMO (програми підвищення звичайного сервера до контролера домену) на комп'ютері під керуванням Windows для створення нового домену утиліта створює домен на сервері DNS. Потім клієнт зв'язується із сервером DNS для отримання інформації про свій домен. Сервер DNSнадає інформацію не лише про домен, а й про найближчого контролера домену. Клієнтська система, у свою чергу, підключається до бази даних домену Active Directory на найближчому контролері домену з метою знаходження необхідних об'єктів (принтерів, файлових серверів, користувачів, груп, організаційних підрозділів), що входять до домену. Оскільки кожен контролер домену зберігає посилання на інші домени в дереві, клієнт може шукати у всьому дереві домену.

Різновид Active Directory, який перераховує всі об'єкти в лісі доменів, доступний для тих випадків, коли необхідно знайти дані за межами дерева доменів клієнта. Подібна версія називається глобальний каталог. Глобальний каталог можна зберігати на будь-якому контролері домену у лісі AD.

Глобальний каталог надає швидкий доступдо кожного об'єкта, що знаходиться в лісі доменів, але містить лише деякі параметри об'єктів. Для отримання всіх атрибутів слід звернутися до служби Active Directory цільового домену (контролеру домену, що цікавить). Глобальний каталог можна настроїти на надання необхідних властивостей об'єктів.

Для спрощення процесу створення об'єктів Active Directory контролер домену містить копію та ієрархію класів для всього лісу. Служба Active Directory містить структури класів у схемі, в яку можна додати нові класи.

Схема (Schema)- це частина конфігураційного простору імен Windows, що підтримується всіма контролерами доменів у лісі. Конфігураційний простір імен Windows складається з кількох структурних елементів, таких як фізичне розташування, сайти Windows та підмережі.

Сайт (site)міститься всередині лісу і може об'єднувати комп'ютери з будь-якого домену, причому всі комп'ютери сайту повинні мати швидкі та надійні мережеві з'єднаннярезервування даних контролера домену.

Підмережа (subnet)- це група IP-адрес, виділена сайту. Підмережі дозволяють прискорити реплікацію даних Active Directory між контролерами доменів.