1.2.1. Функциональные уровни, которые поддерживаются в Windows Server 2008 r2 ad ds

В Windows Server 2008 R2 предлагаются функциональные уровни для обеспечения обратной совместимости с доменами предыдущих версий. Ниже перечислены доступные в Windows Server 2008 R2 функциональные уровни:

• Собственный функциональный уровень Windows 2000 (Windows 2000 Native). Этот функциональный уровень позволяет контроллерам доменов, которые функционируют под управлением Windows Server 2008 R2, сосуществовать в пределах леса с контроллерами доменов Windows 2000 Server с пакетом обновлений SP3 и выше, а также с контроллерами доменов Windows Server 2003.

• Функциональный уровень Windows Server 2003. Этот функциональный уровень позволяет сосуществовать только контроллерам доменов, которые функционируют под управлением Windows Server 2003 и Windows Server 2008 R2. Его использование приводит к появлению в лесе дополнительных функциональных возможностей, касающихся установки транзитивных отношений доверия между лесами, и усовершен­ствований, связанных с процессом репликации данных.

• Функциональный уровень Windows Server 2008. Этот функциональный уровень требует, чтобы все контроллеры доменов функционировали под управлением Windows Server 2008 или последующей версии. Повышение функционального уровня домена или леса до уровня Windows Server 2008 приводит к появлению дополнительной функциональности, такой как возможность более точной настройки политики паролей.

• Функциональный уровень Windows Server 2008 R2. Этот функциональный уровень требует, чтобы все контроллеры домена функционировали только под управлением Windows Server 2008 R2. Повышение функционального уровня леса до этого самого высокого уровня AD DS обеспечивает доступ к дополнительным компонентам Windows Server 2008 R2, таким как Active Directory Recycle Bin (Корзина Active Directory).

1.2.2. Компоненты ad ds

Связь с протоколом Х.500

Служба каталогов AD DS в целом, но не в точности, следует информационной модели службы каталогов на базе протокола Х.500. Согласно ему служба каталогов описывается через распределенный подход, определенный информационным деревом каталога (Directory Information Tree — DIT). Это дерево логически разбивает структуру службы каталогов на формат имя_сервера.имя_поддомена.имя_домена.com. Информация каталога хранится в иерархической структуре, получившей название агентов системы каталогов (Directory System Agent — DSA).

Схема AD DS

Схемой (schema) в AD DS называется набор определений для всех имеющихся в каталоге типов объектов и связанных с ними атрибутов. Именно схема задает способ, которым в AD DS должны храниться и конфигурироваться данные обо всех пользователях, компьютерах и других объектах для того, чтобы они имели стандартный вид по всей структуре AD DS. Она защищается за счет применения списков разграничительного контроля доступа (Discretionary Access Control List — DACL) и отвечает за предоставление возможных атрибутов для каждого объекта в AD DS.

Сохраняемые внутри структуры AD DS элементы, вроде пользователей, принтеров, компьютеров и сайтов, в рамках схемы называются объектами. У каждого такого объекта имеется свой список атрибутов, которые определяют его характеристики и могут применяться для его поиска.

Одним из главных преимуществ структуры AD DS является возможность напрямую изменять и расширять схему, включая в нее специальные атрибуты.

Облегченный протокол доступа к каталогам (LDAP)

В основе протокола службы каталогов (Directory Service Protocol), который используется в AD DS, лежит стандартный Интернет-протокол LDAP, определение которого содержится в документе RFC-3377. Протокол LDAP обеспечивает в AD DS возможность выполнения запросов и внесения изменений. Объекты, размещаемые в совместимых с LDAP каталогах, должны обязательно идентифицироваться уникальным образом за счет применения указывающих на их месторасположение путей именования. Эти пути именования могут принимать две формы: отличительные и относительные отличительные имена.

Отличительные имена

Отличительное имя (distinguished name) объекта в AD DS представляет собой полный именованный путь к тому месту, которое данный объект занимает в AD DS.

Например, отличительное имя может включать следующие компоненты:

• CN (Common Name — общее имя) в отличительном имени отражает общее имя, под которым данный объект хранится в каталоге;

• OU (Organizational Unit) — организационную единицу или подразделение, к которому относится данный объект;

• DC (Domain Controller) — DNS-имя домена Active Directory, которому этот объект принадлежит.

Относительные отличительные имена

Относительное отличительное имя (relative distinguished name) объекта представляет собой, по сути, усеченное отличительное имя, указывающее на место объекта в конкретном контейнере. Например, относительное отличительное имя может содержать только компоненты OU (Organizational Unit) и DC (Domain Controller).

Репликация нескольких главных копий

В AD DS для аутентификации пользователей используются контроллеры доменов (Domain Controllers — DC). Эти контроллеры доменов являются членами одной группы. На каждом из них хранится главная (master) копия информации домена с разрешениями на запись и чтение. Изменения, вносимые в каком-то одном из этих доменов, автоматически реплицируются во все остальные домены, из-за чего данный процесс и называется репликацией нескольких главных копий (multi-master replication).

Глобальный каталог

Глобальный каталог (global catalog) — это своего рода индекс базы данных AD DS, в котором хранится частичная копия ее содержимого. В нем содержатся ссылки на все имеющиеся в лесе AD DS объекты, что позволяет пользователям производить поиск объектов, расположенных в других доменах. В глобальный каталог реплицируются не все атрибуты каждого объекта, а только те, которые наиболее часто используются в операциях поиска.

Серверы глобальных каталогов, часто называемые просто GC или GC/DC, представляют собой контроллеры доменов AD DS, на которых содержится копия глобального каталога. Целесообразным считается либо размещение минимум одного сервера глобального каталога в каждом физическом месте, либо использование на удаленных сайтах серверов RODC (Read-Only Domain Controllers — контроллеры домена с доступом только для чтения). Выбор правильного соотношения серверов глобального каталога и контроллеров домена очень важен для правильной работы среды AD DS.

Роли мастера операций

Большая часть функций контроллеров домена разрабатывалась с таким расчетом, чтобы их можно было распределять для устранения единой точки отказа, которая существовала при использовании первичных контроллеров домена (Primary Domain Controllers — PDC) в Windows NT. Однако для пяти функций по-прежнему должен использоваться единственный сервер, поскольку подразумеваемые под ними функциональные возможности не поддаются распределению. Эти функции раньше назывались ролями FSMO (Flexible Single Master Operations — гибкие операции с одним мастером), а теперь называются просто ролями мастера (Operations Master — ОМ):

• Мастер схемы (schema master). В одном лесе AD DS существует только одна главная копия схемы AD с разрешением записи в нее. Так было сделано специально для того, чтобы ограничить доступ к схеме и свести к минимуму вероятность возникновения конфликтов репликации. В пределах леса AD DS только один сервер может исполнять роль мастера схемы.

• Мастер именования доменов (domain naming master). Мастер именования доменов отвечает за добавление доменов в лес AD DS. Эта роль ОМ должна размещаться на сервере глобального каталога, поскольку ей для работы нужны записи обо всех доменах и объектах. Роль мастера именования доменов в лесе может выполнять только один сервер.

• Эмулятор PDC (PDC emulator). Раньше эта роль применялась для эмуляции унаследованного первичного контроллера домена Windows NT 4.0 для низкоуровневых клиентов. В Windows Server 2008 R2 она по-прежнему продолжает существовать и позволяет выполнять определенные функции, например, создавать для домена сервер синхронизации основного времени. В каждом домене AD DS роль эмулятора PDC может исполнять только один сервер.

• Мастер RID (RID master). Все объекты в AD DS, которым могут предоставляться разрешения, обязательно идентифицируются уникальным образом за счет использования специального идентификатора безопасности (Security ID — SID). Каждый SID- идентификатор состоит из SID-идентификатора домена, который выглядит одинаково для всех объектов в данном домене, и относительного идентификатора (Relative ID — RID), который является уникальным для каждого объекта в этом домене. При назначении SID-идентификаторов контроллер домена назначает соответствующий RID-идентификатор из специального пула, который он получает от мастера RID. После истощения данного пула он запрашивает у мастера RID еще один пул. В случае выхода мастера RID из строя возможность создавать новые объекты в домене может исчезнуть, если у какого-то конкретного контроллера домена заканчиваются RID-идентификаторы в выделенном для него пуле. В каждом домене AD DS роль мастера RID может выполнять только какой-то один сервер.

• Мастер инфраструктуры (infrastructure master). Мастер инфраструктуры отвечает за управление ссылками на объекты домена, находящиеся за пределами его собственного домена. Другими словами, DC в одном домене содержит список всех объектов собственного домена плюс список ссылок на другие объекты из других доменов леса. Если объект, на который имеется ссылка, изменяется, мастер инфраструктуры учитывает эти изменения. Поскольку мастер инфраструктуры имеет дело только со ссылками на объекты и не копирует сами эти объекты, он не должен находиться на сервере глобального каталога в средах с несколькими доменами. Исключениями являются случаи, когда каждый контроллер домена является сервером глобального каталога, и в среде присутствует только единственный домен. В первом случае ссылки на объекты других доменов не нужны, так как доступны их полные копии. Во втором случае роль мастера инфраструктуры не используется, поскольку все копии объектов являются локальными по отношению к домену.

Роли ОМ могут как переноситься (transfer) на другой контроллер домена в виде части регулярного процесса обслуживании, так и захватываться (seize) на случай возникновения аварийной ситуации с выходом сервера ОМ из строя и необходимостью его возвращения в работоспособное состояние.