Функции корневого домена

Корневой домен первого дерева доменов является точкой входа леса доменов. Леса не яв­ляются частью какого-либо пространства имен и определяются при подключении к корнево­му домену каждого леса. Корневой домен может оставаться как практически пустым, содер­жащим только встроенные учетные записи, так и заполненным подразделениями, объекта ми — участниками безопасности и другими объектами. Большинство мелких компаний не нуждается в наличии глубокой иерархии доменов, так как зачастую одного лишь корневого домена оказывается достаточно для хранения сведений о нескольких сотнях пользователей.

Рис. 9.4. Использование нескольких суффиксов VPN домена

Тем не менее при проектировании домена следует обязательно обратить внимание на такие вопросы.

• Если корневой домен "разрежен", его репликация будет проходить быстрее, что яв­ляется еще одним средством обеспечения отказоустойчивости. Периодическая реп­ликация корневого домена позволяет защитить "основу" леса доменов предприятия на случай повреждения его нижних уровней, так как всегда возможно создать новый домен и присоединить его к корневому.

• Администратор корневого домена может чувствовать себя не менее превосходно, чем японский феодал. Небольшая группа подчиненных ему самураев — администра­торов леса доменов может быть отнесена к корневому домену, что позволит"феодалу" лучше контролировать ситуацию в доменах нижних уровней.

• Единственный недостаток такого подхода состоит в том, что он приводит к необходи­мости приобретения дополнительного оборудования для контроллеров доменов, однако корневой домен, играя больше формальную, чем функциональную, роль, может существо­вать далеко не на самом дорогом сервере. Например, наш первый корневой домен разме­щался на компьютере Compaq, оснащенном процессором Pentium 133 и имел 64 Мбайт оперативной памяти.

Причины для добавления новых уровней, дополнительных деревьев или отдельных ле­сов к иерархии доменов должен дать анализ предприятия. Иерархия доменов для про­странства имен mcity показана на рис. 9.5. Это так называемое расширенное (extended) пространство имен, поскольку оно выходит за рамки, определенные создателями службы доменных имен DNS.

Рис. 9.5. DNS-иерархия Active Directory для расширенного пространства имен MCITY

Мы решили ограничиться всего одним пространством имен в Internet— mcity.org (см. рис. 9.5). Это позволяет обеспечить корректное разрешение службой DNS в Internet имен Web-узлов, FTP-серверов, почтовых серверов и т.д. Следует отметить, что первый контрол­лер домена города (MCDC01), выступающий в роли корневого домена леса Active Directory, фактически принадлежит домену второго уровня. Как показано на рис. 9.5, этот сервер нахо­дится за брандмауэром, а также защищен с помощью преобразования сетевых адресов (см. главу 15, "Сетевые возможности Windows Server 2003").

Таким образом, обращенный к Internet каталог можно представить как LDAP.mcity.org. Он будет выступать в роли сервера глобального каталога для каталога LDAP так называемой экстрасети, обеспечивая для пользователей возможность поиска адресов электронной почты, телефонных адресов и т.д.

В рамках корневого домена созданы домены второго уровня cityhall.mcdclO. mcity.org, mcpd.mcdclO.mcity.org и ditt.mcdcl5.mcity.org. Эти домены второго уровня (являющиеся доменами третьего уровня по отношению к корневым доменам Internet) хо­рошо защищены, поскольку их имена не могут быть разрешены и они существуют в частных под­сетях, скрытых за брандмауэром. Злоумышленникам придется искать другие лазейки, такие как не­защищенные модемы, офисная АТС, серверы удаленного доступа или просто похищенные пароли.

Рассмотренная структура корневого домена позволяет расширить иерархию путем введения в строй 'подчиненных" доменов в рамках одного и того же корневого домена Internet. Напри­мер, имя mcnippon.mcity.org как нельзя лучше подходит для имени контроллера домена, находящегося в Японии. Следовательно, политика предприятия, принятая по отношению к про­странству имен и контроллерам доменов, может заключаться в использовании всех доменов первого уровня в рамках заданного корневого домена для представления географического, гео политического или структурного разделения предприятия. В этом случае домены второго и третьего уровней используются для представления нижних уровней иерархии (рис. 9.6).

MCDCXX.MCSOUTH.MCITY.ORG 100.70.X.X

Рис. 9.6. Структура домена предприятия

Данная схема имеет всего лишь одно уязвимое место — "феодала", отвечающего за кор­невой домен. Однако если кто-то сможет выманить его из защищенной серверной комнаты, преодолеть брандмауэры, систему безопасности Kerberos, сложные схемы шифрования с ис­пользованием смарт-карт и множество других схем защиты, нам останется лишь собрать ве­щи и начать искать новое место работы.

Конечно же, структура домена вашей организации может отличаться от предложенного нами решения. Ниже приведено несколько наиболее распространенных подходов.

• Разделенное пространство имен. Пространство имен, показанное на рис. 9.7, явля­ется несвязанным. Несмотря на то что имя корневого домена Active Directory нельзя разрешить из Internet, он все же является логическим расширением общедоступного пространства имен DNS. Другими словами, корневой домен Active Directory, с од­ной стороны, является логическим продолжением корневого домена DNS, а с дру­гой— образует собственное пространство имен. Internet-серверы (DNS-сервер, FTP-сервер, почтовый сервер и др.) можно разместить в Internet, в интрасети (защитив ихс помощью брандмауэров или NAT) или и там, и там.

• Отдельные пространства имен. Как показано на рис. 9.8, оба пространства имен зарегистрированы. Их нельзя объединить, так как каждое пространство имен пред­ставляет отдельный корневой домен DNS. Один из корневых доменов DNS являетсятакже и корневым доменом Active Directory.

"Нелегальное" пространство имен. Как бы вам этого ни хотелось, "нелегальное" пространство имен не позволит вам добиться полной конспирации в Internet. {"Нелегальной" сетью (illegal network) называется сеть, диапазон ЕР-адресов кото­рой нельзя использовать в Internet, поскольку он уже имеет своего владельца.) Если имя домена соответствует всем DNS-стандартам, однако еще не зарегистрировано, в некотором смысле оно также является "нелегальным", в особенности если такое же имя принадлежит кому-нибудь еще. Кроме того, "нелегальным" считается имя, которое нельзя зарегистрировать в Internet (например, из-за использования недопус­тимых символов или неверных имен корневых доменов DNS) (рис. 9.9). Следует от­метить, что "нелегальные" адреса активно используются в частных сетях.

Рис. 9.9. "Нелегальное " пространство имен

Советы по выбору имен DNS

Как отмечалось в разделе "Определение имени корневого домена", к выбору и защите имен DNS следует подходить очень серьезно. Зарегистрируйте выбранные имена, прибегнув к услугам уполномоченных на то организаций. Кроме того, при проектировании логической структуры до­мена и разработке окончательной блок-схемы следует использовать корректные имена DNS.

Использование стандартных имен DNS

В качестве имен доменов Active Directory рекомендуется использовать имена DNS, соот­ветствующие международным стандартам. Согласно документу RFC 1123 в именах DNS до­пускается использование следующих символов: прописные и строчные буквы латинского ал­фавита (A-Z, a-z), цифры от 0 до 9 и символ дефиса (-). Как вы уже, видимо, отметили, Win­dows Server 2003 поддерживает нестандартные имена DNS, позволяющие использовать практически любые символы Unicode. Постарайтесь не прибегать к такой практике даже в том случае, если у вас пока еще нет постоянного соединения с Internet.

Используйте уникальные пространства имен

При проектировании логической структуры домена следует очень внимательно подходить к выбору пространств имен, дабы не допустить их дублирования в пока еще не объединенных сетях предприятия. Если группа по развертыванию Active Directory разделена между несколь­кими офисами компании, существует вероятность создания двух или более идентичных де­ревьев доменов, принадлежащих различным подразделениям. Последствия объединения по­добных сетей могут быть весьма плачевны.

Обеспечьте поддержку наследуемых клиентов

Наиболее вложенная часть DNS-имени только что созданного домена используется в ка­честве NetBIOS-имени для клиентов NetBIOS. Это имя не должно иметь ничего общего с именем DNS. Возможность изменения имени NetBIOS предоставляется всего лишь один раз — при установке домена.

При выборе имени NetBIOS учитывайте следующие рекомендации.

• Убедитесь в том, что имя NetBIOS будет понятно наследуемым клиентам. Не забы­вайте о том, что наследуемые клиенты будут использовать NetBIOS-имя домена при по­иске ресурсов и при входе в систему. Несмотря на то что клиенты Windows Server 2003могут регистрироваться в домене под именем имя_лользователя@тсitу.org, клиенты NetBIOS могут регистрироваться в домене только с помощью стандартных имен NetBIOS, таких как cityhall или genesis. А теперь представьте себе, чтоNetBIOS-клиенту необходимо зарегистрироваться в домене eggonyourfасе.landof oz . mcity. org. Конечно же, все не должно быть так плохо, но кто знает?

При создании домена имя NetBIOS легко изменить с помощью псевдонима. К сожале­нию, после создания домена сделать это будет практически невозможно. Еще раз про­смотрите план домена и выделите на нем все имена NetBIOS "красным карандашом".

Хотя это и не всегда возможно, совпадение имени NetBIOS и последней части имени DNS (справа налево) обеспечит определенный уровень постоянства. Например, если имя DNS имеет вид genesis. mcity. org, следует использовать имя NetBIOS genesis.

• Убедитесь в том, что имена NetBIOS не повторяются. При создании еще одного домена для другой части предприятия удостоверьтесь, что в его плане указаны уни­кальные имена NetBIOS. Наличие идентичных имен NetBIOS в двух различных доменах DNS приведет к весьма нежелательному конфликту имен.