Хакасский государственный университет им. Н.Ф.Катанова

Институт информатики и телематики

Кафедра информационной безопасности

Лабораторная работа

Тема: "Планирование Active Directory"

г. Абакан, 2006г.

Active Directory

Что такое Active directory?

На протяжении многих лет функции каталога для приложений и пользователей выполняли реестры и базы данных. Тем не менее ни один из этих объектов ни в коей мере нельзя назвать взаимосвязанной, направленной на предоставление общих ресурсов или распределенной системы. В свою очередь, каталог Active Directory – это универсальное распределенное хранилище информации, доступа ко всем объектам которого (параметры приложений, службам, компьютерам, пользователям и процессам) возможен из любой точки сети или даже из точки, находящейся за ее пределами. Все это удалось осуществить благодаря логической структуре данного каталога. Прежде чем глубоко задуматься по поводу всего вышесказанного, постарайтесь понять одну простую вещь: без службы каталога Active Directory вы просто не сможете войти в домен windows 2003 Server.

Обзор Active Directory

Ни системному администратору, ни рядовому пользователю windows 2003 Server не следует начинать планирование Active Directory, не разобравшись в сути этой службы каталога.

Структура Active Directory включает в себя четыре основных компонента: план домена (domain plan), план топологии сайта (site topology plan), план леса (forest plan) и план подразделения (organizational unit plan). В данной лабораторной работе будут рассмотрены наиболее важные вопросы, связанные с планированием Active Directory.

Основные принципы проектирования Active Directory

Разрабатывая план Active Directory, необходимо следовать нескольким базовым принципам, которые помогут вам в процессе принятия решений. Один из главных принципов – простота. Простые структур легко поддерживать, отлаживать и описывать.

Если при создании структуры службы каталога не будет составлен план или не будут сделаны хотя бы какие-то наброски, это самым негативным образом скажется в долгосрочной перспективе.

Другой важный принцип – планирование изменений. Изменения возможны в структуре каждой организации: преобразование, поглощение другой компанией, прием сотрудников на работу, их увольнение. Любые изменения влияют на структуру Active Directory; следовательно, вам необходимо быть готовыми к ним.

Независимо от реального положения дел, старайтесь планировать «идеальную» структуру для Active Directory. Даже если этот «идеал» не достижим, его осознание в контексте определенной организации всегда очень полезно.

Структура Active Directory

Версии Windows 2003 Server Standard Edition, Enterprise Edition и Datacenter Edition включают в себя службу каталога, которая называется Active Directory. Эта служба хранит в себе информацию об объектах и предоставляет доступ к ней администраторам и пользователям. Информация находится в хранилище (datastore), которое обеспечивает логическую, а так же иерархическую организацию данных.

Планирование домена

Прежде чем приступить к созданию плана домена, необходимо познакомиться с некоторыми его основными характеристиками. Рассмотрим каждую характеристику подробно, что позволит наилучшим образом разобраться в жизненном цикле планирования.

ЛЕС (forest) представляет собой базу данных, разделенную в соответствии с доменами леса. Эта база данных состоит из множества маленьких баз данных, рассредоточенных по отдельным компьютерам. Каждая из маленьких баз данных содержит объекты-участники безопасности (security principal object), такие как компьютеры, пользователи и группы. Результатом проверки подлинности, осуществляемой контролером домена, к которому эти объекты относятся, им может быть предоставлен или запрещен доступ к ресурсам.

Домены и соответствующие им групповые политики должны быть явно связаны между собой.

ДОМЕН (domain) описывается именем DNS, позволяющим найти контроллер данного домена. От имени DNS зависит местоположение домена в иерархии леса. При планировании домена выполняется следующая последовательность действий:

1. Определите количество доменов в лесу

2. Определите корневой домен леса

3. Создайте имя домена

4. Создайте план развертывания домена

5. Определите сокращенные доверительные отношения

6. Проанализируйте возможные изменения домена и и спрогнозируйте их эффект

7. Организуйте группы для управления сетью

Определяя число доменов леса, рассмотрите модель с одним доменом. Наличие нескольких доменов может быть оправдано необходимостью сохранения структуры существующего домена, а также административным и физическим разделением организации. Тем не менее постарайтесь ни чего не усложнять. Если у вас есть веские причины использования нескольких доменов, подробно опишите их (это необходимо, прежде всего, в административных целях). Следует отметить, что затраты, связанные с добавлением дополнительных доменов, невелики и как правило сводятся к затратам на дополнительное администрирование.

Определив требуемое количество доменов в лесу, выберите корневой домен леса (forest root domain). Корневой домен (root domain) – первый домен, созданный в лесу. В этом домене не размещаются данные о группах уровня леса, администраторах предприятия и администраторах схем. Если предполагается один домен, этот домен должен быть корневым доменом леса.

После выбора структуры домена необходимо определить структуру имен DNS (DNS naming structure). Имя DNS является глобальным и может быть легко зарегистрировано. Имена DNS используются клиентами при поиске контроллеров домена.

Планирование топологии сайта

Топология сайта (site topology) размещается над физической топологией сети. Структура домена расположена над топологией сайта и под топологией сетевого уровня. Очень важно делать различие между планом домена и планом топологии сайта. Домены содержат объекты, вто время как сайты отражают пользовательские группы. Домен сопоставляется с сайтом пу­тем размещения на сайте реплики домена. Таким образом, сайт содержит весь домен.

Топология сайта способствует эффективной маршрутизации трафика запросов и трафика репликации, а также помогает определить место размещения контроллеров доменов. Сайт представляет собой множество IP-сетей, скорость передачи данных в которых, как правило, не уступает скорости передачи данных в локальных сетях. Для определения доступной про­пускной способности между сайтами используются связи сайтов. Скорость передачи данных связи сайтов обычно медленнее, чем скорость передачи данных в локальной сети. Связь сай­тов характеризуют следующие четыре параметра.

• Транспорт. Транспорт, использующийся для репликации.

• Стоимость. Определяет путь репликации.

• Расписание репликации. Определяет доступность связи сайтов для передачи тра­фика репликации.

• Интервал репликации. Опрашивает контроллеры домена, расположенные на про­тивоположном конце связи сайтов, на предмет наличия изменений.

После включения компьютера он соединяется с контроллером домена, к которому отно­сится пользователь. Затем на основе IP-адреса компьютера определяется имя сайта. Эта ин­формация помещается в буфер на компьютере пользователя и применяется для последующих запросов. Процесс репликации (replication) использует топологию сайта с целью построения подключений для репликации. Встроенный процесс, известный как средство проверки согла­сованности знаний (Knowledge Consistency Checker, КСС), создает и поддерживает подклю­чения для репликации между контроллерами доменов на основе топологии сайта. Внутрисайтовая репликация используется для оптимизации всего процесса репликации, а межсайтовая репликация—для минимизации пропускной способности. В табл. 8.1 приводятся различия между двумя типами репликации.

Перед тем как приступать к планированию, необходимо проделать следующее. Убедитесь, что сайты и связи определены на основе физической топологии сети. Возможно, вам понадобится про­консультироваться с руководителями группы планирования ТСРЛР и группы планирования леса. При создании топологии леса вновь обратитесь к физической топологии сети. Постарайтесь по максимуму упростить план леса, опираясь на советы, приведенные в следующем разделе.

Планирование леса

Лес (forest)— один из главных компонентов Active Directory. Лес представляет собой коллекцию доменов Active Directory и преследует две цели: упростить управление пользова­телями внутри каталога и упростить взаимодействие пользователей внутри каталога.

Рассмотрим еще несколько основных понятий, относящихся к Active Directory: одиночный контейнер конфигурации (single configuration container), схема (schema), доверие (trust) и глобальный каталог (global catalog). Контейнер конфигурации предоставляет данные репли­кации всем контроллерам домена в лесу. В то время как контейнер конфигурации хранит ин­формацию о принадлежащих лесу приложениях, ориентированных на работу с каталогом, схема определяет классы объектов (типы объектов, хранящихся в каталоге) и их атрибуты. Схема реплицируется на все контроллеры домена. Между лесом и доменом автоматически создается двустороннее транзитивное отношение доверия, доступное всем пользователям и группам входящих в доверие доменов. Глобальный каталог содержит ограниченное число атрибутов объектов всех доменов леса, что Способствует проведению быстрого и эффектив­ного поиска во всем лесу. Кроме того, глобальный каталог позволяет обеспечить целостное представление каталога для конечных пользователей.

Мы рекомендуем начинать планирование с рассмотрения сценария, предполагающего наличие всего лишь одного леса. В большинстве случаев его оказывается вполне достаточно. Вообще гово­ря, старайтесь ничего не усложнять до тех пор, пока не будете твердо убеждены в необходимости создания дополнительных лесов. Одному лесу соответствует один каталог в глобальном каталоге, что позволяет конечным пользователям не задумываться о структуре леса.

Если в соответствии с планом сети необходимо администрирование нескольких отделов организации, вам может понадобиться создать несколько лесов. Помните, что создание каж­дого дополнительного леса приводит к увеличению затрат. На рис. 8.1 представлен пример конфигурации с несколькими лесами.

Рис. 8.1. Конфигурация с несколькими лесами

Каждый дополнительный лес должен содержать как минимум один домен, что

ведет к увеличению затрат. Именно поэтому мы и настаиваем на необходимости

разработки плана, подразумевающего наличие всего лишь одного леса

Пользователь, просматривающий глобальный каталог леса Б в поисках ресурса из леса А, имеет возможность найти и получить непосредственный доступ к запрашиваемому ресурсу благодаря наличию одностороннего доверия между лесами.

Определяя необходимое количество лесов, руководствуйтесь потребностями пользовате­лей, а не администраторов. Создание нескольких лесов для решения проблем администриро­вания может привести к существенному усложнению представления структуры лесов для пользователей. В некоторых случаях, когда представление леса не имеет большого значения для пользователей, подобная тактика оказывается вполне приемлемой.

В план каждого леса необходимо включить соответствующую политику контроля изме­нении леса (forest change control policy). Эта политика будет применяться каждый раз при внесении изменений на уровне леса. Конечно же, на данном этапе от вас не требуется разра­ботки мельчайших деталей политики; тем не менее она должна содержать информацию обо всех совместно используемых элементах леса.

Большое значение имеет также политика изменения схемы. Эта политика должна вклю­чать в себя имена групп, администрирующих схему, количество членов группы, а также принципы, которыми следует руководствоваться при внесении изменений в схему. Кроме то­го, рекомендуется разработать политику изменения конфигурации, в которую будут входить политики, аналогичные политикам изменения схемы, дополненные принципами создания или изменения доменов леса и изменения топологии.