Issuu on Google+

Официальное

пособием для

самоподготоики

Проектирование инфраструктуры Active Directory' и сети на основе Microsoft®

Windows erver 2003 Экзамен 7 0 - 2 9 7

Москва * Санкт-Петербург * Нижний Новгород * Воронеж Новосибирск * Ростов-на-Дону * Екатеринбург * Самара Киев * Харьков * Минск 2006

М . РУССКАЯ Р Е И К Ш

[^ППТЕР


Оф и ц и *шь н о с п о с о б и с дл я само п од го то i J I % .> i

» »,«,.

m i l l ,

j Li iP'

Проектирование инфраструктуры Active Direct и сети на основе Microsoft8

indows erver 2003 Экзамен 7<

ICS Москва * Санкт-Петербург * Нижний Новгород * Ворон Новосибирск * Ростов-на-Дону * Екатеринбург * Сама| Киев * Харьков * Минск 2006

ML РУССКАЯ Р Е П

Е^ППТЕР*


УДК 004 Б Б К 32.973.81-018.2 Г53

Уолтер Гленн при участии Майкла Т. Симпсона

Г53

Проектирование инфраструктуры Active Directory и сети на ос­ нове Microsoft Windows Server 2003. Учебный курс Microsoft / пер. с англ. — М. : Издательско-торговый дом «Русская Редакция»; СПб.: Питер, 2006. - 364 стр.: ил. ISBN 5-7502-0031-0 ISBN 5-469-01180-1 Этот учебный курс посвящен проектированию инфраструктуры службы ката­ логов Active Directory и сетей на основе Microsoft Windows Server 2003. Книга содержит необходимые сведения о сетевых технологиях Windows Server 2003, опи­ сание основных принципов проектирования сети, отвечающей требованиями кон­ кретной организации, и внедрения в ней Active Directory. Освоив теоретические материалы и выполнив практические задания курса, вы получите знания и навы­ ки, необходимые проектировщику сетевой инфраструктуры и службы каталогов. Книга адресована всем, кто хочет освоить методологию проектирования сетей на основе Microsoft Windows Server 2003 и внедрения Active Directory. Настоящий учебный курс поможет вам самостоятельно подготовиться к сдаче экзамена по программе сертификации Microsoft (сертификат Microsoft Certified System Engi­ neer) 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure. Книга состоит из 10 глав и предметного указателя, содержит множество иллюстраций и примеров из практики. На прилагаемом компакт-диске находятся электронная версия книги на английском языке, вопросы пробного экзамена, словарь терминов и др. справочные материалы. УДК 004 Б Б К 32.973.81-018.2 Подготовлено к изданию по лицензионному договору с Microsoft Corporation, Редмонд, Вашингтон, США. Active Directory, Authenticode, Microsoft, Microsoft Press, NetMeeting, логотипы Windows, Windows NT и Windows Server являются товарными знаками или охраня­ емыми товарными знаками корпорации Microsoft в США и/или других странах. Все другие товарные знаки являются собственностью соответствующих фирм. Все адреса, названия компаний, организаций и продуктов, а также имена лиц, используемые в примерах, вымышлены и не имеют никакого отношения к реаль­ ным компаниям, организациям, продуктам и лицам.

ISBN 0-7356-1970-0 (англ.) ISBN 5-7502-0031-0 ISBN 5-469-01180-1

© Оригинальное издание на английском языке, Microsoft Corporation, 2003-2005 © Перевод на русский язык, Microsoft Corporation, 2005 © Оформление и подготовка к изданию, издательскоторговый дом «Русская Редакция», 2005


Содержание

Об этой книге Глава 1 Введение в Active Directory и инфраструктуру сетей Занятие 1. Обзор Active Directory Что такое Active Directory? Потребность в службах каталогов Что дают службы каталогов? Как Active Directory отвечает на предъявляемые требования Логическая структура Active Directory Объекты Домены Деревья Леса Организационные единицы Доверительные отношения Доверие к родительскому и дочернему доменам, а также к корневому домену дерева Внешнее доверие Доверие к сокращению Доверие к сфере Доверие к лесу Разбиение базы данных Active Directory на разделы Физическая структура сети Контроллер домена Сайт Репликация в Active Directory Закрепление материала : Резюме Занятие 2. Обзор DNS Разрешение имен Введение в DNS Пространство доменных имен Зоны и серверы имен Процесс разрешения имен Записи ресурсов Как Active Directory использует DNS Закрепление материала Резюме

XVII 1 2 2 2 2 4 4 4 5 6 7 7 8 8 9 9 10 10 10 11 11 13 13 15 15 16 16 17 17 19 20 22 23 24 24


Содержание Занятие 3. Обзор TCP/IP Архитектура TCP/IP Прикладной уровень Транспортный уровень Межсетевой уровень Уровень сетевого доступа IP-адресация Классы IP-адресов Classless Internet Domain Routing (CIDR) Частные адреса IP-маршрутизация Автоматическое назначение IP-адресов через DHCP Закрепление материала Резюме Занятие 4. Базовые сведения об удаленном доступе Что дает удаленный доступ Типы соединений удаленного доступа Протоколы, используемые при маршрутизации и удаленном доступе Протоколы удаленного доступа Защита при удаленном доступе Защита на основе аутентификации пользователей Защита на основе управления соединением Защита на основе управления доступом Закрепление материала Резюме Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

25 25 26 26 27 28 28 29 30 31 32 33 34 34 35 35 35 36 36 37 37 38 39 39 40 40 41 41 42 43

Глава 2 Анализ существующей инфраструктуры Занятие 1. Изучение структуры организации Учет географии организации Локальная модель Региональная модель Национальная модель Международная модель Филиалы Дочерние компании Запись результатов анализа Оценка текущего использования WAN-соединений Информационные потоки Анализ текущей модели администрирования Планирование на будущее Закрепление материала Резюме Занятие 2. Анализ топологии существующей сети Сетевая среда Маршрутизаторы и другое сетевое оборудование IP-адресация Серверы и рабочие станции Создание инвентарного списка В какое время используется система

46 47 47 48 48 49 49 49 50 51 52 52 53 54 54 55 55 55 55 56 56 57 57


Содержание

у||

Анализ требований к производительности Изучение нерешенных проблем Проверка текущей производительности Оценка требований Закрепление материала Резюме Занятие 3. Анализ структуры существующих каталогов Анализ существующей инфраструктуры Windows 2000 Текущая модель доменов Текущая структура организационных единиц Текущая структура сайтов и контроллеров домена Анализ существующей инфраструктуры Windows NT 4.0 Функциональные уровни Windows 2003 Функциональность домена Функциональность леса Лабораторная работа. Анализ существующей структуры каталогов Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

58 58 58 59 59 59 59 60 60 61 62 62 64 64 64 65 65 66 66 67 67 67 67 67 68 68 68 68 68 69 69 70 70

Глава 3 Планирование структуры Active Directory Занятие 1. Проектирование модели лесов и доменов Применение одного домена Применение нескольких доменов Применение нескольких деревьев в лесу Применение нескольких лесов Лабораторная работа. Создание модели лесов и доменов Сценарий Вопросы по лабораторной работе Закрепление материала : Резюме Занятие 2. Выработка стратегии именования LDAP и именование в Active Directory Относительные составные имена Составные имена Канонические имена Основные имена пользователей Идентификаторы защиты Определение стратегии именования

74 75 75 77 81 82 84 84 85 86 86 86 86 87 87 88 88 88 89


¥111

Содержание

Поддержка зарегистрированных DNS-имен Выбор доменных имен Именование участников системы безопасности Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

90 91 91 92 93 93 93 93 93 94 94 94 94 95 95 95 96 96

Глава 4 Проектирование административной структуры защиты

100

Занятие 1. Проектирование структуры OU Введение в OU Применение OU для делегирования административного управления Архитектура, основанная на объектах Архитектура, основанная на задачах Планирование структуры OU Применение OU для ограничения видимости объектов Применение OU для управления групповой политикой Контейнеры и OU по умолчанию Планирование наследования Стандартные модели структуры OU Модель на основе местонахождения Модель на основе структуры организации Модель на основе функций Смешанная модель — сначала по местонахождению, затем по структуре организации Смешанная модель — сначала по структуре организации, затем по местонахождению Лабораторная работа. Проектирование структуры OU Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 2. Планирование стратегии управления учетными записями Типы учетных записей Планирование учетных записей компьютеров Планирование учетных записей пользователей Типы учетных записей пользователей Встроенные учетные записи пользователей Именование учетных записей пользователей Планирование политики управления паролями Выработка стратегии аутентификации

101 102 !02 103 104 104 106 107 108 109 109 110 111 112 113 114 114 115 116 116 116 117 117 118 118 119 119 120 120 121


Содержание

|)(

Планирование групп 122 Типы групп 122 Области действия групп 122 Вложение групп 124 Именование групп 124 Взаимодействие пользователей и групп 124 Лабораторная работа. Планирование стратегии управления учетными записями .. 125 Закрепление материала 126 Резюме 126 Занятие 3. Планирование реализации групповой политики 126 Введение в групповую политику 127 Параметры программ 127 Параметры Windows 128 Административные шаблоны 128 Разрешение GPO из нескольких источников 129 Наследование групповой политики 130 Фильтрация GPO с помощью разрешений 131 Планирование структуры GPO 131 Связывание GPO с доменом 131 Связывание GPO с сайтом 131 Связывание GPO с OU 132 Планирование развертывания GPO 132 Администрирование групповой политики 132 Требования к клиентам, поддерживающим групповую политику 133 Лабораторная работа. Проектирование реализации групповой политики 133 Сценарий 134 Вопросы 135 Закрепление материала 135 Резюме 135 Пример из практики 136 Краткие сведения о компании 136 География 136 Сетевая инфраструктура 136 ИТ-менеджмент 137 Требования 137 Вопросы 137 Резюме главы 137 Рекомендации по подготовке к экзамену 139 Основные положения 139 Основные термины 139 Вопросы и ответы 140 Глава 5 Планирование сайтов Занятие 1. Проектирование топологии сайтов : Для чего нужны сайты Управление трафиком входа на рабочие станции Управление трафиком репликации Управление топологией DFS Управление FRS Выбор структуры сайтов Закрепление материала Резюме

144 145 145 146 147 147 148 148 150 150


)(

Содержание

Занятие 2. Планирование контроллеров доменов Планирование размещения контроллеров доменов Как определить, нужен ли контроллер домена для данного участка Как определить количество необходимых контроллеров доменов Как разместить контроллеры корневого домена леса Планирование серверов — хозяев операций Роли хозяев операций уровня леса Роли хозяев операций уровня домена Планирование серверов глобального каталога Планирование пропускной способности контроллеров доменов Определение требований к процессорам Определение требований к дисковому пространству Определение требований к памяти Лабораторная работа. Планирование контроллеров доменов Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 3. Планирование стратегии репликации Процесс репликации Внутрисайтовая и межсайтовая репликация Как выполняется репликация Связи сайта Транзитивность связей сайтов и мосты таких связей Назначение цен связям сайтов Расписание доступности связей сайтов Создание связей сайтов Серверы-плацдармы Лабораторная работа. Создание структуры сайтов и стратегии репликации Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 4. Разработка стратегии перехода Переход от доменов Windows NT 4 Переход от доменов Windows 2000 Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Вопросы Основные и ответы термины

151 151 151 152 153 153 153 154 155 157 157 157 158 158 158 159 160 160 161 161 161 162 163 163 165 166 166 166 167 167 169 169 169 170 170 171 171 172 172 172 172 172 173 173 173 173 174 175 175 176


Содержание Глава 6 Проектирование структуры DNS Занятие 1. Анализ существующей реализации DNS Обзор DNS Компоненты DNS Зоны DNS Зонные передачи Роли DNS-серверов Анализ существующего пространства имен Ход анализа Закрепление материала Резюме Занятие 2. Проектирование стратегии разрешения DNS-имен Создание проекта пространства имен Проектирование пространства имен DNS Выбор домена Проектирование пространства имен DNS для Active Directory Взаимодействие DNS с Active Directory, WINS и DHCP Интеграция с Active Directory Установка Active Directoiy Интеграция DNS с DHCP Служба WINS Запись ресурса WINS Запись обратного просмотра WINS Требования к зонам Стандартная основная зона Зона, интегрированная в Active Director»' Защита DNS Потенциальные угрозы безопасности Защита инфраструктуры DNS Защита данных при репликации Взаимодействие со службой BIND в UNIX Версии BIND, протестированные Microsoft Зонная передача BIND Лабораторная работа. Проектирование пространства имен DNS для лесов и доменов Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Занятие 3. Проектирование реализации DNS Хранение зон Разделы каталога приложений Зоны-заглушки Проектирование зон обратного просмотра Параметры DNS-сервера Настройка DNS-сервера Закрепление материала Резюме Занятие 4. Разработка стратегии размещения служб DNS Проектирование размещения служб DNS Размещение серверов Мониторинг DNS Кэширующие серверы

181 182 182 183 183 184 185 185 186 187 187 188 188 188 188 189 189 190 190 191 191 191 192 192 193 193 193 194 194 195 196 196 196 197 197 198 199 199 199 200 200 201 201 201 201 201 202 202 202 203 204 204


Содержание Балансировка нагрузки Удаленные участки сети Лабораторная работа. Проектирование инфраструктуры DNS Сценарий Вопросы к лабораторной работе Закрепление материала Резюме Пример из практики •. Общие сведения о компании География Сетевая инфраструктура Планы на будущее ИТ-менеджмент Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

205 206 206 206 206 206 207 207 207 207 207 208 208 208 209 210 210 210 210

Глава 7 Проектирование структуры WINS Занятие 1. Введение в WINS Обзор WINS Новинки Windows Server 2003 Обзор разрешения NetBIOS-имен Разрешение NetBIOS-имен Компоненты WINS WINS-сервер WINS-клиенты Прокси WINS База данных WINS Файлы БД WINS Размер БД Закрепление материала Резюме Занятие 2. Проектирование инфраструктуры WINS Создание концептуального плана Выработка стратегии разрешения NetBIOS-имен Сколько потребуется WINS-серверов? Стратегия размещения WINS-серверов Стратегия для медленных линий связи Обеспечение отказоустойчивости Немаршрутизируемые сети Маршрутизируемые сети Закрепление материала Резюме Занятие 3. Разработка стратегии репликации WINS Выработка стратегии репликации Пример стратегии репликации Извещающие партнеры Опрашивающие партнеры Опрашивающие/извещающие партнеры Удаление и захоронение записей Защита инфраструктуры WINS

215 216 216 216 216 220 220 220 222 222 224 224 225 225 226 226 227 227 227 228 228 229 230 230 231 231 232 232 232 233 233 234 234 234


Содержание

"К\\\

Лабораторная работа. Проектирование репликации WINS Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

235 235 235 235 236 236 236 236 236 236 237 237 237 238 238 239 239

Глава 8 Проектирование инфраструктуры сети и маршрутизации Занятие 1. Создание схемы IP-адресации Введение в двоичную систему счисления Двоичная система счисления Шестнадцатеричная система счисления J Р-адресация Классы IP-адресов Получение IP-адреса Маска подсети Организация подсетей Сколько битов занимать? Лабораторная работа. Создание схемы IP-адресации Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Занятие 2. Проектирование периметра сети Защита частной сети Документирование периметра Программные и аппаратные компоненты периметра Имена, пароли и IP-адреса Закрепление материала Резюме Занятие 3. Введение в DHCP Обзор DHCP :, Назначение IP-адресов Создание области DHCP Агент DHCP-ретрансляции Автоматическая частная IP-адресация Защита инфраструктуры DHCP Закрепление материала Резюме Занятие 4. Разработка стратегии DHCP Проектирование схемы адресации DHCP Сколько потребуется DHCP-серверов?

243 244 244 244 245 246 246 247 248 249 249 253 253 253 254 255 255 255 258 258 258 258 259 259 260 260 260 261 262 262 262 263 263 263 263


Содержание

Размещение DHCP-серверов Требования к серверу Повышение доступности DHCP-серверов: правило «80/20» Интеграция DNS Поддержка различных DHCP-клиентов Лабораторная работа. Выработка стратегии DHCP Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании Сетевая инфраструктура Планы на будущее Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

264 264 265 265 265 266 266 266 266 267 267 267 267 268 268 268 268 270 270 270 271

Глава 9 Проектирование подключения к Интернету

276

Занятие 1. Определение требований к избыточности Создание избыточной инфраструктуры Оценка поставщиков услуг Интернета Закрепление материала Резюме Занятие 2. Определение требований к пропускной способности канала Потребности в пропускной способности Потребности дополнительных служб в пропускной способности Виртуальные частные сети Увеличение доступной пропускной способности Закрепление материала Резюме Занятие 3. Преобразование сетевых адресов Обзор NAT Проблема нехватки IP-адресов Дополнительная защита NAT Ограничения NAT Редакторы NAT Технология NAT Traversal Закрепление материала Резюме Занятие 4. Проектирование стратегии NAT Создание концептуального проекта Серверы NAT Размещение сервера Производительность сервера Конфигурация интерфейса сервера Защита NAT входящего трафика Фильтры исходящего трафика

277 277 278 279 280 280 281 281 282 282 283 283 284 284 286 286 287 287 287 287 288 288 288 290 290 290 290 291 291


Содержание

Wlf

Доступ к ресурсам частной сети Лабораторная работа. Разработка стратегии NAT Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Пример из практики География Сетевая инфраструктура Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

291 293 293 294 294 295 295 295 296 296 296 297 297 298 299

Глава 10 Выработка стратегии удаленного доступа Занятие 1. Стратегия удаленного доступа Обзор удаленного доступа Компоненты удаленного доступа через коммутируемые линии Сетевой клиент Сколько точек доступа потребуется? Защита беспроводного доступа Сервер доступа к сети Методы аутентификации при удаленном доступе Размещение серверов доступа к сети Удаленный доступ через VPN Обзор VPN Компоненты VPN Размещение VPN серверов Создание концептуального плана Задавайте верные вопросы Лабораторная работа. Проектирование доступа через беспроводную сеть Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Занятие 2. Проектирование инфраструктуры удаленного доступа Планирование пропускной способности инфраструктуры удаленного доступа Требования к оборудованию VPN-сервера Требования к проекту Обеспечение избыточности Создание решения на основе коммутируемого доступа Создание решения на основе VPN Лабораторная работа. Проектирование инфраструктуры удаленного доступа Сценарий Вопросы по лабораторной работе Закрепление материала Резюме Занятие 3. Проектирование защиты удаленного доступа Защита инфраструктуры удаленного доступа Создание политики удаленного доступа Применение серверов IAS

303 304 304 304 305 308 308 309 310 311 311 311 312 313 313 313 315 315 315 315 316 316 316 317 317 319 319 319 320 320 320 320 321 321 321 322 323


Содержание Как работает RADIUS Проектирование решения на основе RADIUS Защита решений на основе RADIUS Обеспечение доступности решений на основе RADIUS Проектирование подключений клиентов Размещение серверов и клиентов RADIUS Лабораторная работа. Проектирование защиты удаленного доступа Закрепление материала Резюме Пример из практики Сценарий Краткие сведения о компании География Сетевая инфраструктура Планы на будущее Вопросы Резюме главы Рекомендации по подготовке к экзамену Основные положения Основные термины Вопросы и ответы

324 325 325 326 326 327 327 327 328 328 328 328 329 329 329 329 329 331 331 331 332

Предметный указатель

336


Об этой книге

Мы рады представить вам учебный курс, посвященный проектированию инфраструк­ туры службы каталогов Active Directory и сетей на основе Microsoft Windows Server 2003. Вы узнаете, как формулировать требования к корпоративной сети, анализировать существующую сеть, а также проектировать инфраструктуру сети и службы каталогов Active Directory. В первой главе этой книги дается обзор технологий, которыми вы пользуетесь в сети под управлением Windows Server 2003. В следующих нескольких главах объясняет­ ся, как проектировать структуру Active Directory, т. е. планировать леса и домены, орга­ низационные единицы, административное управление, топологию сайтов и др. В ос­ тальных главах рассматривается, как проектировать инфраструктуру сети, причем ос­ новное внимание уделяется DNS (Domain Name System), WINS (Windows Internet Naming System), маршрутизации и удаленному доступу. Примечание О программе сертификации специалистов Microsoft Certified System En­ gineer — в разделе «Программа сертификации специалистов Microsoft».

Кому адресована эта книга Данный курс предназначен для ИТ-специалистов, занимающихся проектированием, разработкой и реализацией программных решений для сетевых сред Microsoft Windows с применением инструментария и технологий Microsoft, а также всем, кто желает сдать сертификационный экзамен 70-297: Designing a Microsoft Windows Server 2003 Active Di­ rectory and Network Infrastructure. Примечание Конкретное содержание любого экзамена определяется компанией Micro­ soft и может быть изменено без предварительного уведомления.

Предварительные требования Для изучения данного курса необходимо хорошо понимать сетевые технологии в Win­ dows Server 2003. Хотя в главе 1 дан обзор этих технологий, у вас должен быть опыт администрирования Windows в сетевой среде (от 12 до 18 месяцев).


Об этой книге

- Содержимое компакт-диска Компакт-диск учебного курса содержит ряд вспомогательных материалов, необходи­ мых при изучении всего курса. • Примерные экзаменационные вопросы в системе Microsoft Press Readiness Review Suite, поддерживающей разные режимы тестирования. Они дадут вам представление о сертификационном экзамене, а .также позволят выяснить, насколько полно вы ус­ воили материал этого курса: • Электронные книги. На компакт-диске записана полная электронная версия мате­ риалов учебного курса, книги «Microsoft Encyclopedia of Networking, Second Edition» и «Microsoft Encyclopedia of Security», а также избранные главы из книг издательства Microsoft Press no Windows Server 2003 на английском языке. • Словарь терминов. Дополнительные "сведения о данном курсе и прилагаемом компакт-диске (включая ответы на типичные вопросы об установке и использовании) см. на Web-сайте техни­ ческой поддержки издательства Microsoft Press по ссылке http://www.microsoft.com/mspress/ support. Вы также можете связаться с издательством Microsoft Press по электронной {tkinput@microsoft.com) или обычной почте (Microsoft Press Technical Support, One Micro­ soft Way, Redmond, WA 98052-6399).

Структура книги Для повышения эффективности обучения главы этой книги разбиты на разделы: • каждая глава начинается с раздела «Темы экзамена», где перечисляются освещае­ мые в ней разделы программы экзамена, за ним идет раздел «В этой главе» с крат­ ким обзором содержания главы в связи с реалиями проектирования и поддержки сетей; следующий раздел «Прежде всего» поможет подготовиться к изучению мате­ риала главы; • главы делятся на занятия, посвященные отдельным темам. Многие занятия включа­ ют не только теоретическую часть, но и лабораторную работу, которая позволит вам закрепить полученные знания; • занятия завершаются разделом «Закрепление материала». Вопросы этого раздела помогут проверить, насколько твердо вы усвоили материал. Ответы на вопросы при­ водятся в конце соответствующей главы; • в разделах «Пример из практики» в конце главы вам будет предложено проанализи­ ровать реальную ситуацию, чтобы научиться решать проблемы, возникающие в ре­ альных сетях; • каждое занятие завершается разделом «Резюме», где подводятся краткие итоги за­ нятия, а каждая глава — разделом «Резюме главы»; в нем формулируются основ­ ные выводы с указанием ключевых терминов и понятий, необходимых для сдачи экзамена.

Примечания В книге встречаются различные виды примечаний. • Совет — подсказывает более быстрый или нетривиальный способ решения задач, а также содержит полезные советы других специалистов.


Внимание! — содержит сведения, критические для выполнения поставленной зада­ чи, или предупреждение о возможной потере данных и повреждении системы. • Примечание — содержит дополнительную информацию. в Подготовка к экзамену — отмечает моменты, важные для подготовки к экзамену. и На заметку — практический совет, как эффективно применить навыки, получен­ ные на занятии.

Обозначения •

я • • •

и

Названия элементов интерфейса Windows, с которыми работают при помощи мыши или клавиатуры, набраны буквами полужирного начертания, первыми приводятся названия из русской версии Windows 2003 Server, а за ними в скобках — названия тех же элементов из английской версии этой ОС; пример: кнопка Пуск (Start). Курсив в операторах указывает, что в этом месте следует подставить собственные значения; новые понятия и термины; названия служб и инструментов также напе­ чатаны курсивом. Расширения имен файлов набраны строчными буквами. Аббревиатуры напечатаны ПРОПИСНЫМИ БУКВАМИ. Примеры кода, текста, выводимого на экран, а также вводимого в командной стро­ ке и в различных полях, выделены моноширинным шрифтом. В квадратные скобки, [ ], заключаются необязательные элементы. Например, нали­ чие в синтаксисе команды элемента [filename] показывает, что здесь можно ввести имя файла. Сами скобки вводить не надо. В фигурные скобки, {}, заключаются обязательные элементы. Так, наличие в син­ таксисе команды элемента {filename} показывает, что здесь необходимо ввести имя файла, сами скобки вводить не надо.

Начало работы Данный учебный курс дает массу возможностей на практике опробовать изучаемые концепции проектирования. Упражнения, представленные в этой книге, помогают ос­ воить принципы проектирования и не требуют работы за компьютером. Однако, если вы планируете работать с Windows Server 2003 Enterprise Edition, используйте этот раз­ дел для подготовки необходимой аппаратно-программной среды.

Оборудование Тестовый компьютер должен соответствовать.приведенной ниже минимальной конфи­ гурации. Все оборудование должно быть перечислено в списке устройств, совместимых с Microsoft Server 2003 (http://www.microsoft.com/windowsserver2003/evaluation/sysreqs/). Windows Server 2003 Enterprise Edition предъявляет следующие требования: • процессор с тактовой частотой минимум 133 МГц для компьютеров на базе процес­ соров х86 (рекомендуется 733) и 733 МГц для компьютеров на базе процессоров Itanium; я» не менее 128 Мб оперативной памяти (рекомендуется 256); * 1,5 Гб свободного дискового пространства для компьютеров на базе процессоров х86 и 2,0 Гб для компьютеров на базе процессоров Itanium.


)Q(

Об этой книге

Вопросы пробного экзамена На компакт-диске находится пробный экзамен из 300 вопросов для повторения основ­ ных тем. Используйте его для закрепления материала и выявления тем, которые жела­ тельно повторить. Чтобы установить на жесткий диск вопросы пробного экзамена, выполните следу­ ющие действия. 1. Вставьте прилагаемый компакт-диск в привод CD-ROM. Примечание Если на вашем компьютере отключена функция автозапуска, следуй­ те указаниям из файла Readme.txt на компакт-диске. 2. В открывшемся меню щелкните Readiness Review Suite и следуйте указаниям про­ граммы.

Электронные книги На прилагаемом компакт-диске вы найдете электронную версию этой книги на ан­ глийском языке, а также книги Microsoft Encyclopedia of Security и Microsoft Encyclopedia of Networking, Second Edition в формате PDF. Для просмотра электронных книг вос­ пользуйтесь программой Adobe Acrobat Reader. Для установки электронных кн��г выполните следующие действия. 1. Вставьте прилагаемый компакт-диск в привод CD-ROM своего компьютера. Примечание Если на вашем компьютере отключена функция автозапуска, следуй­ те указаниям из файла Readme.txt на компакт-диске. 2. Щелкните в открывшемся меню ссылку Training Kit eBook и следуйте указаниям программы. Аналогичным образом можно установить или просмотреть другие элек­ тронные книги, имеющиеся на компакт-диске.

Программа сертификации специалистов Microsoft Программа сертификации специалистов Microsoft (Microsoft Certified Professional, MCP) — отличная возможность подтвердить ваши знания современных технологий и профаммных продуктов этой фирмы. Лидер отрасли в области сертификации, Microsoft разработала современные методы тестирования. Экзамены и программы сертифика­ ции подтвердят вашу квалификацию разработчика или специалиста по реализации решений на основе технологий и программных продуктов Microsoft. Сертифицирован­ ные Microsoft профессионалы квалифицируются как эксперты и высоко ценятся на рынке труда. Примечание Полный список преимуществ сертифицированных специалистов см. по ссылке http://www.microsoft.com/traincert/siart/itpro.asp.


Об этой книге

)()(|

Типы сертификации Программа сертификации специалистов предлагает 7 типов сертификации по разным специальностям. •

Сертифицированный специалист Microsoft (Microsoft Certified Professional, MCP) — пред­ полагает доскональное знание по крайней мере одной ОС из семейства Windows или ключевой платформы Microsoft. Такой специалист обладает навыками внедре­ ния продукта или технологии Microsoft как части корпоративного бизнес-решения.

Сертифицированный разработчик программных решений Microsoft (Microsoft Certified Solution Developer, MCSD) — проектирование и разработка решений для бизнеса с использованием средств разработки, платформ и технологий Microsoft, включая Microsoft .NET Framework.

т Сертифицированный разработчик прилохсений Microsoft (Microsoft Certified Application Developer, MCAD) — способен создавать, тестировать, развертывать и поддерживать мощные приложения с использованием средств и технологий от Microsoft, включая Visual Studio .NET и Web-сервисы XML. •

Сертифицированный системный инженер Microsoft (Microsoft Certified Systems Engineer, MCSE) — умеет эффективно анализировать потребности компаний, а также проек­ тировать и реализовать инфраструктуры для бизнес-решений на базе Windows Server 2003 и других операционных систем Microsoft.

Сертифицированный системный администратор Microsoft (Microsoft Certified System Administrator, MCSA) — занимается вопросами управления и устранения неполадок в существующих сетях и системах на основе Windows Server 2003 и других версий Windows.

Сертифицированный администратор баз данных Microsoft (Microsoft Certified Database Administrator, MCDBA) — разработка, реализация и администрирование баз данных Microsoft SQL Server.

Сертифицированный преподаватель Microsoft (Microsoft Certified Trainer, MCT) — теоре­ тическая и практическая подготовка для ведения соответствующих курсов с ис­ пользованием учебных материалов Microsoft Official Curriculum (MOC) в сертифи­ цированных центрах технического обучения Microsoft (Microsoft Certified Technical Education Centers, CTEC).

Требования к соискателям Требования к соискателям определяются специализацией, а также служебными функ­ циями и задачами. Соискатель сертификата Microsoft должен сдать экзамен, подтверждающий его глу­ бокие знания в области программных продуктов Microsoft. Экзаменационные вопросы, подготовленные с участием ведущих специалистов компьютерной отрасли, отражают реалии применения программных продуктов Microsoft. •

На звание Сертифицированного специалиста Microsoft сдают экзамен по работе с од­ ной из операционных систем. Кандидат может сдать дополнительные экзамены, которые подтвердят его право на работу с другими продуктами, инструментальными средствами или прикладными программами Microsoft.


I

Об этой миге

На звание Сертифицированного разработчика программных решений Microsoft сда три ключевых экзамена и один по выбору (соискатели сертификата MCSD для Mi­ crosoft .NET сдают четыре ключевых экзамена и один по выбору). • На звание Сертифицированного разработчика приложений Microsoft сдают два клю вых экзамена и один по выбору. • На звание Сертифицированного системного инженера Microsoft сдают семь экзам нов: пять ключевых и два по выбору. • На звание Сертифицированного системного администратора Microsoft сдают чет экзамена: три ключевых и один по выбору. • На звание Сертифицированного администратора баз данных Microsoft сдают три к чевых экзамена и один по выбору. • На звание Сертифицированного преподавателя Microsoft надо подтвердить свою те ретическую и практическую подготовку для ведения соответствующих курсов в ав­ торизованных учебных центрах Microsoft. Участие в программе требует соответствия требованиям, предъявляемым при ежегодном обновлении статуса сертифицирован­ ного преподавателя. Более подробные сведения о сертификации по этой программе можно получить на сайте http://www.microsoft.com/traincert/mcp/mct или в местном от делении компании Microsoft.

Техническая поддержка

Мы постарались сделать все от нас зависящее, чтобы и учебный курс, и прилагаемый к нему компакт-диск не содержали ошибок. Издательство Microsoft Press публикует постоянно обновляемый список исправлений и дополнений к своим книгам по ссылке http://mspress. microsoft, com/support. Если у вас все же возникнут вопросы или вы захотите поделиться своими предло­ жениями или комментариями, обращайтесь в издательство Microsoft Press по одному из указанных ниже адресов: Электронная почта: TKINPUT@MICROSOFT.COM Почтовый адрес: Microsoft Press Attn: MCSE Self-Paced Training Kit (Exam 70-297): Designing a Microsoft Windows Se 2003 Active Directory and Network Infrastructure, Editor One Microsoft Way Redmond, WA 98052-6399 Самостоятельно найти ответы на свои вопросы можно в базе знаний Microsoft Press Knowledge Base на сайте http://www.microsoft.com/mspress/support/search.asp. Информаци по вопросам, связанным с поддержкой программных продуктов Microsoft, можно полу­ чить на сайте http://support.microsoft.com.


ГЛАВА

1

Введение в Active t и инфраструктуру сет

Занятие 1. Обзор Active Directory

2

Занятие 2. Обзор DNS

16

Занятие 3. Обзор TCP/IP

25

Занятие 4. Базовые сведения об удаленном доступе

35

Темы экзамена •

Первая глава представляет собой обзор технологий, о которых нужно знать при про­ ектировании инфраструктуры сети, и не является изложением какой-либо темы эк­ замена.

В этой главе Проектирование сети — задача непростая. Во всех главах этой книги вы будете учиться оценивать требования к сети, анализировать существующие структуру предприятия и сетевую конфигурацию, а также проектировать соответствующее решение на основе технологий Microsoft Windows Server 2003. Большая часть книги посвящена практиче­ ским аспектам проектирования сети. В этой главе вы познакомитесь с соответствующей теоретической частью. Она начи­ нается с обзора службы каталогов Microsoft Active Directory и доменной системой име­ нования (Domain Name System, DNS), от которых зависит базовая структура сети. Здесь же вы найдете обзоры проектирования инфраструктуры TCP/IP и удаленного доступа. Хотя одна-единственная глава никогда не сделает вас экспертом по этим технологиям, вы получите необходимые базовые сведения, необходимые для понимания принципов проектирования, рассматриваемых в остальных главах книги. Эти сведения также важ­ ны для понимания того, как устроена сеть и какова роль Microsoft Windows Server 2003 в управлении и поддержке работы сети.

Прежде всего Для изучения материалов этой главы вы должны знать базовые концепции администри­ рования Microsoft Windows 2000 Server или Windows Server 2003.


Введение и Actwe Directory и инфраструктуру сетей

Глава 1

Занятие 1. Обзор Active Directory Active Directory предоставляет средства для координации ресурсов в сети и служит цен­ трализованным источником информации об этих ресурсах. На этом занятии вы позна­ комитесь с основными функциями и архитектурой Active Directory. Изучив материал этого занятия, вы сможете:

•/ объяснить предназначение Active Directory в сети; •S описать логическую и физическую структуру Active Directory; •S рассказать о взаимодействии между различными компонентами Active Directory; •f описать значение Active Directory Schema. Продолжительность занятия - около 45 минут.

Что такое Active Directory? Каталог (directory) — на самом деле простой способ упорядочения чего угодно. Ката­ логи прочно вошли в нашу жизнь. Вы пользуетесь каталогом, отыскивая номер в теле­ фонной книге. То же самое вы делаете, когда организуете файлы и папки на жестком диске своего компьютера. И Active Directory тоже является неким набором информа­ ции — в данном случае о ресурсах, доступных в сети Windows Server 2003. Потребность в службах каталогов

Традиционный способ обращения с колоссальным объемом информации о сетевых ре­ сурсах — хранение ее в отдельных каталогах, которые обычно управляются приложени­ ем или компонентом операционной системы, использующим эту информацию. Если вам нужен пример, вспомните, что было всего несколько лет назад в версиях Windows, предшествующих Windows 2000. Так, в типичной сети на основе Windows NT 4.0 вы могли бы обнаружить несколько каталогов с информацией, разбросанной по сер­ верам этой сети. Списки пользователей и управления доступом хранились в каталоге, который назывался базой данных Security Accounts Manager (SAM). Почтовые ящики Exchange Server и их сопоставления с пользователями размещались в каталоге Exchange. Прочие службы и приложения поддерживали свои каталоги. Хотя взаимодействие меж­ ду этими каталогами в какой-то мере было возможным, по большей части ��ни были изо­ лированными. Чаще всего каталоги разрабатывались под конкретные приложения. У разработчиков этих каталогов не было реального стимула думать об интеграции с другими системами. Однако администраторы и пользователи, вынужденные выполнять все больше и больше работы, отчаянно нуждались в том, чтобы все эти раздельные базы данных могли взаи­ модействовать между собой и чтобы ими можно было управлять как единым целым. Что дают службы каталогов?

Функциональность служб каталогов выходит далеко за рамки таковой у разрозненных каталогов, поскольку они служат единым источником всей информации. Active Di­ rectory — не первая служба каталогов. В современных сетях используется несколько служб каталогов и стандартов. Вот лишь некоторые из них.


Занятие 1 •

• •

Обзор Active Directory

Х.500 и Directory Access Protocol (DAP). X.500 — спецификация Internet Standards Organization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов. Lightweight Directory Access Protocol (LDAP). LDAP была разработана в ответ на критические замечания по DAP, которая оказалась слишком сложной для примене­ ния в большинстве случаев. LDAP быстро стала стандартным протоколом каталогов в Интернете. Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, со­ вместимая со стандартом Х.500. Active Directory. Составная часть сетей под управлением Windows Server 2000 или Windows Server 2003. Соответствует стандарту LDAP.

Примечание Более подробные технические сведения о стандартах Х.500, DAP и LDAP (а также о любых других стандартах Интернета) — на www.ietf.org, официальном сайте Internet Engineering Task Force (IETF). Используйте поиск по ключевым словам «Х.500», «DAP» или «LDAP». В сложной сети служба каталогов должна обеспечивать эффективный способ управ­ ления, поиска и доступа ко всем ресурсам в этой сети, например к компьютерам, прин­ терам, общим папкам и т. д. Хорошая реализация службы каталогов дает следующие ос­ новные преимущества. а Централизация. Смысл централизации — уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог со­ здает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей (или их компьютеров/приложений), когда возникает необходимость в поиске ресурсов, ш Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек. То есть она должна поддерживать какой-либо спо­ соб разбиения базы данных каталога на разделы, чтобы не утратить контроль над ба­ зой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации. •

Стандартизация. Служба каталогов должна предоставлять доступ к своей инфор­ мации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в Active Directory (и публиковать их в ней), а не поддержи­ вать собственные каталоги. в Расширяемость. Служба каталогов должна тем или иным способом позволять адми­ нистраторам и приложениям расширять в соответствии с потребностями организа­ ции набор информации, хранимой в каталоге. я Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть траспарентной пользователям и администраторам. Ресурсы можно на­ ходить (и обращаться к ним), не зная, как и где они подключены к сети. • Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, вы­ борки и публикации информации о сетевых ресурсах.


Введение в Active Directory и инфраструктуру сетей

Гяава 1

Как Active Directory отвечает на предъявляемые требования Active Directory отвечает всем требованиям к службе каталогов, изложенным в предыду­ щем разделе. • Active Directory — централизованная служба каталогов с единой базой данных сете­ вых ресурсов, которой легко управлять и в которой нетрудно вести поиск. я Active Directory является масштабируемой, так как позволяет разбивать базу данных на разделы и распределять, ее по доменам сети, в то же время обеспечивая управле­ ние ею как единым каталогом. и Active Directory соответствует стандартам, поскольку к ее информации можно обра­ щаться через LDAP (открытый стандарт Интернета, утвержденный IETF). я Active Directory расширяема, что позволяет разработчикам использовать каталог для хранения информации своих приложений. и Active Directory безопасна, так как тесно интегрирована с системой защиты Windows Server 2003, • Active Directory абстрагирует логическую структуру сети и идентификацию сетевых ресурсов от ее физической структуры. Подготовка к экзамену Важно помнить о роли Active Directory в Windows Server 2003. Active Directory является не только базой данных с информацией о сетевых ресурсах, но и службой, которая работает на контроллере домена и предоставляет доступ к этой базе данных.

Логическая структура Active Directory Почему у Active Directory такая высокая масштабируемость и такие широкие возмож­ ности в конфигурировании? Дело в том, что она отделяет логическую структуру иерар­ хии доменов Windows Server 2003 (которая состоит из доменов, деревьев, лесов, орга­ низационных единиц и объектов) от физической структуры самой сети. Логическая структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, от­ талкиваясь не от требований физической сети, а от административных и организаци­ онных требований. Поскольку Active Directory отделяет логическую структуру сетевых ресурсов от физи­ ческой структуры самой сети, рассмотрение Active Directory целесообразно построить по тому же принципу. Логические компоненты структуры Active Directory включают: • объекты; • домены; • деревья; • леса; • организационные единицы

Объекты Ресурсы хранятся в Active Directory как объекты. Поскольку объект — самый понят­ ный компонент Active Directory (обычно представляющий реальный ресурс), с него мы и начнем.


Занятие 1

Обзор Active Directory

Объекты хранятся в Active Directory в виде иерархической структуры контейнеров и подконтеинеров, упрощающей поиск, доступ и управление, она во многом похожа на файловую систему Windows с файлами в папками. Вы можете адаптировать структуру каталога в соответствии с потребностями вашей организации и масштабировать ее под сеть любого размера. • Классы объектов. Объект на самом деле представляет собой просто набор атрибу­ тов. Например, объект пользователя (user object) состоит из таких атрибутов, как имя, пароль, телефонный номер, сведения о членстве в группах и т. д. Атрибуты, образующие объект, определяются классом объекта. В частности, класс пользовате­ ля описывает атрибуты, из которых состоит объект пользователя. Классы помогают классифицировать объекты по сходным характеристикам. Все объекты пользователей относятся к классу Users. Когда вы создаете новый объект, он автоматически наследует атрибуты от своего класса. Microsoft определяет исходный набор классов объектов (и атрибутов, которые они описывают), используемых Active Directory в Windows Server 2003. Конечно, поскольку Active Directory расширяема, администраторы и приложения могут модифицировать доступные классы объектов и атрибуты, определенные в этих классах. в Active Directory Schema. Классы и атрибуты, определяемые ими, собирательно на­ зываются Active Directory Schema — в терминологии баз данных схема (schema) — это структура таблиц и полей, а также их взаимосвязи. Active Directory Schema можно считать набором данных (классов объектов), определяющим то, как органи­ зована и хранится реальная информация (атрибуты объекта) в каталоге. Почти все, что есть в Active Directory, — объекты; это относится и к самой схеме. Как и любые другие объекты, схема защищается списками управления доступом (access control lists, ACL), которые контролируются подсистемой защиты Windows Server 2003. Пользователи и приложения с соответствующими разрешениями могут читать и даже модифицировать эту схему.

Домены Базовая организационная структура в сетевой модели Windows Server 2003 — домен. Домен представляет административную единицу (administrative boundary). Компьютеры, пользователи и другие объекты внутри домена делят общую базу данных защиты (security database). Домены позволяют администраторам разделять сеть на зоны безопасности (security boundaries). Кроме того, администраторы из разных доменов могут устанавливать свои модели защиты; таким образом, модель защиты одного домена может быть изолирована от моделей защиты других доменов. Домены в основном предназначены для логическо­ го деления сети в соответствии с внутренней структурой организации. В достаточно круп­ ных организациях, где есть более одного-домена, обычно имеются подразделения, отве­ чающие за поддержку и защиту своих ресурсов. Домен Windows Server 2003 также представляет пространство имен, которое соответ­ ствует системе именования, давно привычной большинству администраторов сетей: DNS, применяемой в Интернете (DNS посвящено следующее занятие). При создании домену присваивается имя, отвечающее структуре, принятой в DNS. Например, полное доменное им�� (fully qualified domain name, FQDN) сервера msnews в домене microsoft.com выглядело бы так: msnews.microsoft.com.


Введение в Active Directory и инфраструктуру сетей

Глава 1

Подготовка к экзамену Пространство имен — очень распространенный термин. Вам стоит запомнить, что в простейшем случае пространство имен является структурой (ча­ сто базой данных), в которой имена всех объектов уникальны, хотя и присваиваются по одному принципу. Примечание Когда все контроллеры домена работают под управлением Windows Server 2003, в этом домене доступен полный набор средств Active Directory. Но в доменах, где сосуществуют разные версии Windows Server, доступны не все средства. То же относится к лесам (forests). Если все контроллеры доменов в лесу работают под управлением Windows Server 2003, вы получаете доступ к дополнительным средствам Active Directory уровня лесов, блокируемые в лесах, где присутствуют более ранние версии Windows Server. Домены и леса только с Windows Server 2003 имеют более высокий функциональ­ ный уровень, чем таковые со смешанными версиями Windows Server. В этой главе под­ разумеваются домены и леса только с Windows Server 2003. Случаи сосуществования раз­ ных версий более подробно рассматриваются в главах 2 и 5. Деревья Несколько доменов организуется в иерархическую структуру, называемую деревом (tree). На самом деле, даже если в организации лишь один домен, у вас все равно имеется дерево. Первый домен, созданный в дереве, является корневым. Следующий домен считается дочерним по отношению к корневому. Это позволяет создавать в дереве мно­ жество доменов. Пример дерева показан на рис. 1-1. Здесь microsoft.com — первый домен, созданный в Active Directory, поэтому он считается корневым.

microsoft.com

microsoft.com

Рис. 1-1. Дерево — это иерархия доменов Все домены в дереве совместно используют общую схему и непрерывное простран­ ство имен. В примере на рис. 1-1 все домены, находящиеся в дереве под корневым


тие 1

Обзор Astive Directory

7

доменом, делят пространство имен microsoft.com. Единственное дерево достаточно для тех организаций, которые пользуются одним пространством имен DNS. Но для органи­ заций, где задействовано несколько пространств имен DNS, одного дерева мало. Вот здесь и применяется такая концепция, как лес.

Леса Лес — это группа из одного или более деревьев доменов, которые не образуют непре­ рывного пространства имен, но могут совместно использовать общую схему и глобаль­ ный каталог. В сети всегда есть минимум один лес, и он создается, когда в сети устанав­ ливается первый компьютер с поддержкой Active Directory (контроллер домена). Пер­ вый домен в лесу, называемый корневым доменом леса (forest root domain), играет осо­ бую роль, так как на нем хранится схема и он управляет именованием доменов для цело­ го леса. Его нельзя удалить из леса, не удалив сам лес. Кроме того, в иерархии доменов леса нельзя создать домен, который находился бы над корневым. На рис. 1-2 показан пример леса с двумя деревьями. У каждого дерева в лесу свое пространство имен. В данном случае microsoft.com — это одно дерево, а contoso.com — другое. Оба дерева находятся в лесу с именем microsoft.com.

Также является корневым доменом дерева microsoft.com

Корневой домен леса microsoft.com

д

research. \ '..i-j-jsoft.com \

bales. microsoft.com

- - Корневой домен дерева contoso.com

TKtg. contoso.com

1\!А europe.sales. microsoft.com

usa.sales. microsoft.com

Рис. 1-2. Деревья в лесу используют одну схему, но разные пространства имен Лес является крайней границей Active Directory — каталог не может охватывать более одного леса. Однако вы можете создать несколько лесов, а затем создать дове­ рительные отношения между нужными доменами в этих лесах; это позволяет предо­ ставлять доступ к ресурсам и учетным записям, которые находятся вне данного леса.

Организационные единицы Организационные единицы (organizational units, OU) позволяют разделять домен на зоны административного управления, т. е. создавать единицы административного управления внутри домена. В основном это дает возможность делегировать административные зала-


Введение в Active Directory к инфраструктуру сетей

Глаза

чи в домене. До появления Active Directory домен был наименьшим контейнером, кото­ рому вы могли бы назначить административные разрешения. То есть передать группе администраторов контроль над конкретным ресурсом было затруднительно или вообще невозможно, не предоставив им широких полномочий во всем домене. OU служит контейнером, в который можно поместить какие-либо ресурсы домена. После этого вы назначаете административные разрешения самой OU. Обычно структура OU соответствует функциональной или бизнес-структуре организации. Например, в сравнительно небольшой организации с единственным доменом можно было бы создать отдельные OU для отделов этой организации. OU поддерживают вложение (создание OU внутри другой OU), что обеспечивает более широкие возможности в управлении ресурсами. Однако чрезмерно сложная структура ОU внутри домена имеет свои недостатки. Ведь чем проще структура, тем легче реализация этой структуры и управление ею. Также учтите, что, начиная при­ мерно с 12-го уровня вложения OTJ, возникают серьезные проблемы с производитель­ ностью.

Доверительные отношении Поскольку домены разграничивают зоны безопасности, специальный механизм, назы­ ваемый доверительными отношениями (trust relationships), позволяет объектам в одном домене [доверяемом (trusted domain)] обращаться к ресурсам в другом [доверяющем (trusting domain)]. Windows Server 2003 поддерживает шесть типов доверительных отношений: • доверие к родительскому и дочернему доменам (parent and child trusts); м доверие к корневому домену дерева (tree-root trusts); ш доверие к внешнему домену (external trusts); • доверие к сокращению (shortcut trusts); •s доверие к сфере (realm trusts); ш доверие к лесу (forest trusts).

Доверие к родительскому и дочернему доменам, а также к корневому домену дерева Active Directory автоматически выстраивает транзитивные двусторонние доверитель­ ные отношения между родительскими и дочерними доменами в дереве доменов. При создании дочернего домена доверительные отношения автоматически формируются между дочерним доменом и его родителем. Эти отношения двусторонние, т. е. запросы на доступ к ресурсам могут поступать от одного из данных доменов к другому и наобо­ рот. Иначе говоря, оба домена доверяют друг другу. Доверие также является транзитивным, т. е. контроллеры доверяемого домена пе­ ресылают запросы на аутентификацию контроллерам доверяющих доменов (рис. 1-3). В данном примере транзитивные, двусторонние доверительные отношения существу­ ют между доменами А и В. Поскольку домен А доверяет домену В, а домен В — домену С, то домен А автоматически доверяет домену С.


Занятое

Обзор Active Directory

А А А

Двустороннее доверие /

\ Двустороннее доверие

Подразумеваемое транзитивное доверие

Рис. 1-3. Доверие между родительским и дочерними доменами позволяет пересылать запросы на аутентификацию по всему дереву доменов Двусторонние транзитивные доверительные отношения автоматически создаются и между корневыми доменами деревьев в одном лесу. Это резко упрощает управление доменами по сравнению с тем, что было в версиях Windows, предшествовавших Windows 2000. Вам больше не нужно конфигурировать отдельные односторонние доверительные отношения между доменами. В Windows Server 2003 в большинстве случаев вы можете полагаться на автоматически устанавливаемые типы доверительных отношений. Но бывают ситуации, где вам понадобятся другие типы доверительных отношений.

Внешнее доверие Внешнее доверие используется, когда нужно создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0. Поскольку ограниченные доме­ ны (down-level domains) (домены, не поддерживающие Active Directory) не могут уча­ ствовать в двусторонних транзитивных доверительных отношениях, следует использо­ вать внешнее доверие. Внешнее доверие является односторонним. Доверяющий домен разрешает доступ к своим объектам пользователям из доверяемого домена, но в обрат­ ном направлении доверие не действует. Впрочем, вы можете создать два раздельных вне­ шних доверия (действующих в противоположных направлениях) между двумя доменами для имитации двустороннего доверия. Внешнее доверие также не является транзитивным; это означает, что доверительные отношения существуют лишь между двумя доменами и не распространяются на другие домены.

Доверие к сокращению Доверие к сокращению — это способ создания прямых доверительных отношений меж­ ду двумя доменами, которые уже могут быть связаны цепочкой транзитивных доверий, но которым нужно оперативнее реагировать на запросы друг от друга. Взгляните на де­ рево доменов, показанное на рис. 1-4. В этом сложном дереве все домены связаны тран­ зитивными доверительными отношениями. Но допустим, пользователь в домене В хочет получить доступ к ресурсу в домене К. Поскольку этого ресурса нет в домене пользова­ теля, запрос переадресуется следующему домену и так до тех пор, пока запрос не дойдет до нужного домена.


Введение в Active Directory и инфраструктуру сетей

^' *

Гяава 1

Доверие к сокращению

Рис. 1-4. Хотя все домены связаны транзитивными доверительными отношениями, разрешение этих связей требует времени Если же пользователям в домене В нужно часто обращаться к ресурсам в домене К, задержки, связанные с процессом переадресации запросов, могут стать весьма раздра­ жающим фактором. Выход — создать с помощью доверия к сокращению прямой дове­ рительный путь между доменами В и К. Это позволит напрямую передавать аутентификационные запросы между доменами В и К.

Доверие к сфере Доверие к сфере — новшество Windows Server 2003 — служит для подключения домена Windows Server 2003 к сфере Kerberos, которая не поддерживает Windows и использует протокол защиты Kerberos V5. Доверие к сфере может транзитивным или нетранзитив­ ным, одно- или двусторонним.

Доверие к лесу Доверие к лесу — тоже новшество Windows Server 2003 — упрощает управление не­ сколькими лесами и обеспечивает более эффективное защищенное взаимодействие между ними. Этот тип доверия позволяет обращаться к ресурсам в другом лесу по той же идентификации пользователя (user identification, ID), что и в его собственном лесу.

Разбиение базы данных Active Directory на разделы Как вы теперь знаете, Active Directory — набор всех объектов в лесу. По мере роста леса растет и каталог. Одна из проблем, которые пришлось решать при разработке каталога, — как сделать так, чтобы база данных каталога могла увеличиваться по мере расширения организации без ограничений по производительности сервера или по местонахождению в сети. Выход был найден: каталог разделяется на распределен­ ные разделы.


Занятие 1

0§зор Active Directory

Поскольку домены — основные строительные блоки сети, имеет смысл разделять каталог по границам доменов. Каждый домен содержит раздел каталога, который хранит информацию об объектах в этом домене. Разделы из всех доменов леса образуют полный каталог Active Directory. Важное преимущество разбиения каталога на разделы по доменам заключается в том, что в лес можно добавлять новые домены, не создавая лишней нагрузки на существую­ щие домены. При добавлении нового домена создается новый раздел, и контроллеры нового домена берут на себя большую часть работы, связанной с управлением этим разделом. На заметку Из-за поддержки доменов, деревьев, лесов и организационных единиц у вас может появиться соблазн задействовать все эти компоненты в своей реализации Active Directory. Однако всегда лучше проектировать инфраструктуру настолько про­ стой, насколько это позволяют потребности вашей организации. Проектирование и ре­ ализация инфраструктуры Active Directory — задача сама по себе достаточно трудная, и усложнять ее без необходимости незачем. Если для ваших административных задач хватает единственного домена и пары OU, на том и остановитесь. Ведь смысл Active Directory — облегчить админстрирование. Простая, тщательно продуманная инфраструк­ тура поможет добиться этой цели.

Физическая структура сети Физическая структура сети с Active Directory довольно проста по сравнению с ее логической структурой. Физическими компонентами являются контроллеры доменов и сайты.

Контроллер домена Контроллер домена — это сервер под управлением Windows Server 2003, на котором установлена и работает служба Active Directory. В домене можно создать любое число контроллеров. На каждом контроллере домена хранится полная копия раздела каталога данного домена. Контроллеры домена локально разрешают запросы на информацию об объектах в своем домене и пересылают в другие домены запросы на информацию, отсут­ ствующую в данном домене. Контроллеры домена также отслеживают изменения в ин­ формации каталога и отвечают за репликацию этих изменений на другие контроллеры. А раз каждый контроллер домена хранит полную копию раздела каталога для своего до­ мена, это означает, что контроллеры следуют модели репликации с несколькими хозяевами (multimaster model). To есть каждый контроллер просто хранит мастер-копию раздела, и с его помощью можно модифицировать эту информацию. Однако есть роли, которые могут быть присвоены контроллерам домена и при ко­ торых выбранный контроллер становится единственным, кому дозволено выполнять упомянутую выше задачу. К таковым относятся роли хозяина операций (operations master roles). Роли, действующие в границах леса. Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу. • Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов. 2 Зак. 312


Введение в Active Directory « инфраструктуру сетей

Глава 1

определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно. и Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности до­ менов. Domain Naming Master запрашивается при добавлении к лесу новых доме­ нов. Если Domain Naming Master недоступен, добавление новых доменов невозмож­ но; однако при необходимости эта роль может быть передана другому контроллеру. Общедоменные роли. Существует три роли хозяина операций, которые могут быть на­ значены одному из контроллеров в каждом домене. в Хозяин RID [Relative Identifier (RID) Master]. Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. Идентифика­ тор защиты (security identifier, SID) — уникальный идентификатор каждого объекта в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан. а Эмулятор основного контроллера домена [Primary Domain Controller (PDC) Emulator]. Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC — ре­ гистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обра­ щение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход. в Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры до­ мена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master — передавать информацию об изменениях, внесенных в объекты, в другие домены. Сервер глобального каталога. Одна из функций сервера, которую можно назначить контроллеру домена. Сервер глобального каталога поддерживает подмножество атрибу­ тов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компьютеры, например регистрационное имя пользователя. Серверы гло­ бального каталога выполняют две важные функции. Они дают возможность пользова­ телям входить в сеть и находить объекты в любой части леса. Глобальный каталог содержит подмножество информации из каждого доменного раз­ дела и реплицируется между серверами глобального каталога в домене. Когда пользова­ тель пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Без гло­ бального каталога этот запрос мог бы долго передаваться от одного контроллера домена к другому. Если в вашей сети один домен, необходимости в этой функции глобального каталога нет, так как информация обо всех пользователях и объектах сети находится на любом контроллере домена. Но при наличии нескольких доменов эта функция глобаль­ ного каталога становится важной. Другая функция глобального каталога, полезная независимо от того, сколько доме­ нов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть.


Занятие 1

Обзор Active Directory

Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобально­ го каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись. По умолчанию сервером глобального каталога становится первый контроллер доме­ на, установленный в лесу. Однако в отличие от ролей хозяина операций роль сервера глобального каталога может быть назначена нескольким контроллерам. Вы можете оп­ ределить столько серверов глобального каталога, сколько нужно для балансировки на­ грузки и создания «запаса по прочности». Microsoft рекомендует размещать на каждом сайте минимум один сервер глобального каталога. Хотя любой контроллер домена можно сделать сервером глобального каталога, будь­ те осторожны, решая, каким серверам назначить те или иные роли. Прежде всего не следует превращать один и тот же контроллер домена в хозяина инфраструктуры и в сер­ вер глобального каталога, если у вас не один контроллер домена. Кроме того, сервер глобального каталога требует большого объема ресурсов от контроллера домена. По этой причине не стоит создавать сервер глобального каталога из контроллера домена, выпол­ няющего другие ресурсоемкие роли.

Сайт Сайт Windows Server 2003 — это группа контроллеров доменов, которые находятся в эдной или нескольких IP-подсетях (о подсетях см. занятие 3) и св��заны скоростными и надежными сетевыми соединениями. Под скоростым подразумеваются соединения не ниже 1 Мбит/с. Иначе говоря, сайт обычно соответствует границам локальной сети (local ггга network, LAN). Если в сети несколько LAN, соединенных региональной сетью (wide ?.:га network, WAN), вы, вероятно, создадите по одному сайту для каждой LAN. Сайты в основном используются для управления трафиком репликации. Контролле­ ры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов з разных сайтах сжимают трафик репликации и передают его по определенному распи:анию, чтобы уменьшить сетевой трафик. Сайты не являются частью пространства имён Active Directory. Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группиру­ ются в домены и OU без ссылок на сайты. Сайты содержат объекты только двух типов. Первые — это контроллеры доменов в границах сайта, а вторые — связи сайта (site links), сконфигурированные для соединения данного сайта с остальными. Связи сайта. Внутри сайта репликация осуществляется автоматически. Для реплика­ ции между сайтами вы должны установить связь между ними. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации [Internet Protocol (IP) или Simple Mail Transfer Protocol -SMTP)]. Объект связи сайта также инициирует выполнение запланированной репли­ кации.

Репликация в Active Directory Процесс репликации в Active Directory просто восхитителен. Все объекты и атрибуты нужно реплицировать на все контроллеры в домене, чтобы у каждого контроллера была актуальная мастер-копия раздела каталога для данного домена. А это огромный объем передаваемых данных, отслеживать которые весьма трудно.


•\ 4

Введение в Active Directory и инфраструктуру сетей

Глава 1

В Windows Server 2003 применяется модель репликации с несколькими хозяевами (multimaster replication model), в которой все реплики (точные копии) базы данных Active Directory считаются равными хозяевами (equal masters). Вы можете вносить изменения в эту БД на любом контроллере домена, и изменения будут реплицированы на другие контроллеры доменов. Контроллеры доменов в рамках одного сайта выполняют репликацию на основе уве­ домлений. Когда на одном из контроллеров домена вносятся изменения, он уведомляет­ ся своих партнеров по репликации (прочие контроллеры доменов в пределах сайта); за­ тем партнеры запрашивают изменения, и происходит репликация. Поскольку внутри сайта предполагается наличие высокоскоростных и недорогостоящих соединений, ре­ пликация выполняется по мере необходимости, а не по расписанию. Пока вы не сконфигурируете свои сайты в Active Directory, все контроллеры доменов автоматически включаются в один сайт по умолчанию с именем «Default-First-SiteName», который создается при создании первого домена. Если вам нужно контролировать трафик репликации по более медленным WANканалам, создайте дополнительные сайты. Например, у вас есть группа контроллеров домена в основной LAN и несколько контроллеров домена в LAN филиала, как пока­ зано на рис. 1-5. Эти две LAN соединены медленным WAN-каналом (256 Кбит/с). Внутри каждой LAN репликация между контроллерами домена может выполняться по мере необходимости, но репликацией по WAN-каналу следует управлять, чтобы не мешать передаче более приоритетного сетевого трафика. С этой целью вы могли бы создать два сайта: один включает все контроллеры домена в основной LAN, а второй — все контроллеры домена в удаленной LAN.

Рис. 1-5. Сайты позволяют управлять трафиком репликации по низкоскоростным соединениям Сначала рассмотрим репликацию внутри одного сайта (называемую внутрисайтовой репликацией), а затем сравним ее с репликацией между сайтами (межсайтовой реплика­ цией). •

Внутрисайтовая репликация (intrasite replication). Трафик репликации передается в несжатом виде. В этом случае предполагается, что все контроллеры домена внутри сайта связаны широкополосными соединениями. Более того, репликация происхо­ дит по механизму уведомления об изменениях. То есть, если изменения вносятся в домене, они быстро реплицируются на другие контроллеры домена. в Межсайтовая репликация (intersite replication). Все данные передаются в сжатом виде. Здесь учитывается вероятность того, что трафик будет передаваться по более


Занятие 1

Обзор Active Directory

j g

медленным WAN-линиями связи, но нагрузка на серверы возрастает из-за необхо­ димости компрессии/декомпрессии данных. Вы можете использовать не только сжа­ тие, но и планировать репликацию на те периоды времени, которые наиболее опти­ мальны для вашей организации. Например, разрешать репликацию лишь в те часы, когда сетевой трафик между двумя сетями уменьшается. Конечно, такая задержка в репликации (на основе расписания) может приводить к рассогласованию информа­ ции на серверах, входящих в разные сайты.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Что из перечисленного ниже соответствует самой дальней (внешней) границе дей­ ствия единственной схемы? a. Дерево доменов. b. Лес. c. Домен. d. Контроллер домена. 2. Вы планируете добавить к своему сайту серверы глобального каталога. Какая схема их размещения рекомендована? a. Вы должны разместить как минимум один сервер глобального каталога в каж­ дом дереве доменов. b. Вы должны разместить как минимум один сервер глобального каталога в каж­ дом домене. c. Вы должны разместить как минимум один сервер глобального каталога в каж­ дом сайте. d. Вы должны сделать каждый контроллер домена сервером глобального каталога. 3. Каковы преимущества доверия к сокращению?

Резюме •

• •

Службы каталогов, в том числе Active Directory, предоставляют доступ к информации о ресурсах в сети. Централизация и масштабируемость, обеспечиваемые Active Di­ rectory, упрощают администрирование больших сетей. Active Directory разделяется на логические структуры (объекты, домены, деревья, леса и организационные единицы) и физические (контроллеры домена и сайты). В логической структуре домены разграничивают основные зоны безопасности в сети. Множество доменов, использующих непрерывное (одно и то же) пространство имен, организуется в деревья. Несколько деревьев образует лес. Лес является самой внеш­ ней границей организации. Организационные единицы (OU) используются для со­ здания административных границ внутри домена. Контроллеры доменов и сайты образуют физическую структуру. Контроллер доме­ на — это система Windows Server 2003 с работающей службой Active Directory; каж­ дый контроллер домена хранит полную копию раздела каталога для данного домена. Сайты — это наборы контроллеров домена, связанных скоростными надежными соединениями. Сайты позволяют управлять трафиком репликации.


Введение в Active Directory а инфраструктуру сетей

Глава 1

Занятие 2. Обзор DNS Доменная система именования (Domain Name System, DNS) — способ сопоставления имен компьютеров с IP-адресами в распределенной БД. На этом занятии вы познако­ митесь с DNS и тем, как она используется в сети Windows Server 2003. Изучив материал этого занятия, вы сможете: S объяснить, зачем нужны разрешение имен и DNS; •S перечислить основные компоненты, необходимые для создания структуры DNS; •S описать процесс разрешения имен; •/ рассказать, как DNS используется службой Active Directory. Продолжительность занятия - около 30 минут.

Разрешение имен Как вы узнаете на занятии 3, компьютеры в TCP/IP-сети (Transmission Control Protocol/ Internet Protocol) уникально идентифицируются по IP-адресам. IP-адрес — это деся­ тичное представление длинных двоичных чисел; пример типичного IP-адреса — 192.168.132.103. Хотя десятичные числа легче воспринимаются людьми, чем двоич­ ные, запомнить их и работать с ними все равно тяжело. Компьютеры в TCP/IP-сети называются хостами (hosts) [или узлами (nodes)]. Им присваиваются уникальные и в то же время достаточно простые имена. Пример имени хоста (хост-имени) — mailserver. Людям гораздо проще работать с именами, но протоко­ лы в TCP/IP оперируют IP-адресами. Процесс, который «связывает» имена и IP-адре­ са, называется разрешением имен (name resolution). Разрешение имен — получение IP-адреса хоста по его имени. Когда пользователь или приложение ищет компьютер по имени хоста, выдается запрос к службе разреше­ ния имен, применяемой в данной сети. Эта служба сверяет имя хоста со списком сопо­ ставлений имен и IP-адресов, находит нужный адрес и возвращает его компьютеру, с которого был отправлен запрос. Здесь вступает в действие IP-маршрутизация (IP routing), которая обеспечивает отправку данных по правильному адресу. Сегодня используется несколько служб разрешения имен, перечисленных ниже, я Файлы HOSTS. Это файлы со статическими сопоставлениями имен и IP-адресов; по-прежнему применяются в некоторых сетях и являются предшественниками DNS. в Файлы LMHOSTS. На заре развития сетей для именования компьютеров в сети использовались NetBIOS-имена. NetBIOS-имена являются альтернативой именам хостов. В файлах LMHOSTS отслеживались сопоставления NetBIOS-имен и IPадресов. в DNS (Domain Name System). Это стандартная служба разрешения имен в Интер­ нете. Кроме того, она была выбрана в качестве службы разрешения имен в сетях Windows 2000 и Windows Server 2003 и тесно интегрирована со службой Active Directory. a WINS (Windows Internet Naming Service). Это служба, которая отслеживает NetBIOSимена и IP-адреса, используя БД. WINS применялась в версиях Windows, предше-


ствующих Windows 2000, а потом от нее отказались, и в качестве основной службы разрешения имен в Windows была принята DNS. Подготовка к экзамену Пару слов об эволюции служб разрешения имен в Windows. Фай­ лы HOSTS были заменены на DNS (сопоставление имен хостов), а файлы LMHOSTS — на WINS (сопоставление NetBIOS-имен). DNS теперь является стандартом (тесно ин­ тегрированным с Windows Server 2003 и Active Directory) и постепенно вытесняет WINS.

Введение в DNS Когда Интернет был молод — настолько молод, что назывался ARPANET, — он объеди­ нял всего несколько сотен компьютеров. Поэтому отслеживать сопоставления имен хо­ стов и IP-адресов было сравнительно нетрудно. Все сопоставления были записаны в файл с именем HOSTS, который хранился на центральном компьютере сети и, возможно, ко­ пировался на несколько дополнительных компьютеров. Всякий раз, когда нужно было разрешить имя хоста, система обращалась к этому файлу (время от времени копируя его на локальный компьютер). Но с ростом сети единственный файл не годится для хране­ ния всех сопоставлений. Возникло три проблемы: ш файл стал слишком велик, чтобы им можно было эффективно управлять; и весь трафик разрешения имен должен был проходить через компьютер, на котором хранится файл HOSTS, и этот файл нельзя было копировать достаточно часто, чтобы его содержимое всегда было актуальным; я для файла HOSTS использовалась линейная структура данных, поэтому у каждого компьютера в сети должно было быть уникальное хост-имя. Для решения этих проблем была разработана DNS. База данных DNS распределяет­ ся по множеству компьютеров в Интернете, и все они участвуют в процессе разреше­ ния имен. Пространство имен DNS иерархическое и разбивается по границам доменов. Конкретное хост-имя должно быть уникальным лишь в пределах своего домена, а не всей сети. Каждый домен считается правомочным на выдачу соответствующих имен в своих границах.

Пространство доменных имен Пространство имен (namespace) — определенная сфера, в которой имена всех схожих компонентов должны быть уникальны, но структурированы сходным образом. Интер­ нет — самое понятное пространство имен DNS. Все хосты в Интернете должны быть уникально идентифицируемыми; их полные DNS-имена должны указывать на кон­ кретные адреса. Пространство доменных имен организОва-но в иерархию, во многом похожую на структуру папок в файловой системе. В" одной папке не может быть двух файлов с од­ ним именем readme.txt. Однако таких файлов могут быть десятки, если каждый из них находится в отдельной папке. DNS устроена аналогично. В одном домене не может быть двух хостов с именем mailserver, но в каждом домене одному хосту можно присвоить имя mailserver. Иерархическую природу пространства доменных имен иллюстрирует рис. 1-6.


Введение в Active Directory и инфраструктуру сетей

Глава

- Корневой домен

net

org

microsoft

headrest

yarrao

Домены второго уровня

saJes

research

Домены третьего уровня

serverl

Рис. 1-6.

Домены верхнего уровня

gov

server2

-Имена хостов

DNS-домены организованы в иерархическую структуру

Корневой домен. Наверху иерархии DNS находится единственный домен, называе­ мый корневым. Корневой домен представлен одной точкой (в доменных именах она обычно опускается). Домены верхнего уровня. Домены верхнего уровня контролируются Internet Activities Board (1AB), Интернет-организацией, отвечающей в том числе за выдачу имен доменов. Имена таких доменов имеют вид вроде com (для коммерческих организаций), gov (для правительственных организаций) и т. д. Самые популярные имена доменов верхнего уровня перечислены в табл. 1-1. Табл. 1-1.

Наиболее часто используемые имена доменов верхнего уровня

Домен верхнего уровня

Тип организации

com edu

Коммерческие организации Образовательные учреждения

org

Некоммерческие организации (нестрогое требование)

net

Провайдеры сетевых сервисов (нестрогое требование)

gov

Правительственные организации

mil

Военные организации

num

Телефонные номера

arpa

Используется для обратного просмотра DNS (reverse DNS lookups); см. раздел «Обратный просмотр DNS» далее в этой главе

xx

Двухбуквенные коды стран; каждой стране выделено свое имя домена верхнего уровня

info

Доступно для любых применений

name

Используется для персональных сайтов


Обзор DNS

занятие 2

Домены второго уровня. Сразу под доменами верхнего уровня располагается второй уровень доменов, регистрируемый индивидуальными организациями. Например, micro­ soft.com и contoso.com являются доменами второго уровня в рамках com — домена верх­ него уровня. Как только домен второго уровня зарегистрирован, управление простран­ ством имен в этом домене передается организации, которой он выделен. Далее органи­ зация может разбить это пространство имен на домены следующего уровня (поддомены). Так, компания с доменом contoso.com могла бы поделить его на домены третьего уров­ ня sales.contoso.com и research.contoso.com. Полное доменное имя (fully qualified domain name, FQDN) — исчерпывающее описание местоположения конкретного хоста в иерархии DNS; считайте его аналогом полного имени файла (вместе с путем к нему) в файловой системе. Вот пример FQDN: milserver. sales, contoso. com

Это имя указывает на хост mailserver в поддомене sales, который находится в домене второго уровня contoso под доменом верхнего уровня com, а тот, конечно же, располо­ жен в корневом домене (.).

Зоны и серверы имен Пространство имен DNS делится не только на домены, но и на так называемые зоны. Каждая зона (zone) — это файл, представляющий неразрывную часть пространства имен, за которую отвечает конкретный сервер имен (или группа таких серверов). В реально­ сти зона соответствует набору записей ресурсов (resource records), хранящихся на DNSсервере, которые сопоставляют IP-адреса с хостами и службами в данной зоне. Эта БД записей считается авторитетной для всех доменов в зоне. Зона охватывает минимум один домен, который считается корневым доменом зоны. Зона может включать поддомены этого корневого домена, но не обязательно охватывать их все. Взгляните на рис. 1-7, где показан домен второго уровня contoso.com, содержа­ щий два поддомена: sales.contoso.com и research.contoso.com. В данном случае con­ toso.com является корневым для зоны 1; в нее же входит и sales.contoso.com. Вторая зона сконфигурирована так, что включает только research.contoso.com. corn

contoso.com

sales.contosQ.com Зона 1

Рис. 1-7. Домен, разделенный на зоны

research.contoso.com Зона 2


2Q

Введение в Active Directory и инфраструктуру сетей

Глава

Зоны должны содержать целые домены внутри пространства имен. То есть един­ ственная зона может включать домен и его поддомены, но не может содержать два разных поддомена без родительского домена. Взгляните на рис. 1-7 еще раз. Зоны мож­ но было бы сконфигурировать так, как они показаны на иллюстрации. Или включить в единственную зону contoso.com и два его поддомена. Однако нельзя создать зону, кото­ рая содержала бы домен contoso.com, а потом создать вторую зону, охватывающую толь­ ко два его поддомена. В каждой зоне должен быть минимум один сервер имен, отвечающий за информа­ цию об адресах для каждого устройства в этой зоне, а один сервер имен можно настро­ ить на управление не одной зоной. Каждому серверу имен известен адрес хотя бы одного родительского сервера имен. Если конкретный сервер имен не в состоянии раз­ решить некое хост-имя, он передает запрос другому серверу имен, который может хра­ нить нужную информацию. Использование в зоне нескольких серверов имен. Вы можете создать несколько серверов имен для одной зоны. Один из этих серверов содержит мастер-копию файла БД для зоны; этот файл называется основным файлов зоны (primary zone file). Остальные серве­ ры имен, созданные для зоны, работают как дополнительные, и каждый из них содер­ жит дополнительный файл зоны (secondary zone file). При обновлении записей в зоне они сначала обновляются на основном сервере, а затем реплицируются на дополнительные серверы. Применение нескольких серверов в зоне дает ряд важных преимуществ, в том числе: ш избыточность (redundancy) — если основной сервер имен выходит из строя, сервисы DNS предоставляют дополнительные серверы; в балансировку нагрузки (load balancing) — в крупных сетях создание нескольких серверов позволяет распределять нагрузку (клиентские запросы) между основным и дополнительными серверами, что уменьшает время отклика; и более эффективный удаленный доступ — создание дополнительных серверов в уда­ ленных подсетях избавляет от пересылки клиентских запросов по каналам удален­ ного доступа, что также уменьшает время отклика. Типы зон. Windows Server 2003 поддерживает три типа зон. в Интегрированная зона Active Directory (Active Directory Integrated Zone). В зоне этого типа БД DNS хранится в Active Directory. Все DNS-серверы в зоне, интегрирован­ ной в Active Directory, считаются основными, так как DNS-информация становится частью БД Active Directory; обновлять можно любой DNS-сервер, и любой из них способен разрешать клиентские запросы. Active Directory отвечает за репликацию информации зоны между DNS-серверами, что обычно ускоряет репл��кацию и обес­ печивает управление ею в рамках управления Active Directory, и Основная зона (Primary Zone). Мастер-копия БД DNS размещается в стандартном текстовом ASCII-файле. Вы можете напрямую модифицировать только информа­ цию основной зоны. и Дополнительная зона (Secondary Zone). Информация зоны представляет собой ко­ пию данных (только для чтения) существующей основной зоны. Эти сведения об­ новляются на основном DNS-сервере, а затем передаются на все дополнительные серверы.

Процесс разрешения имен Разрешение имени — это определение IP-адреса, сопоставленного с этим именем. В DNS клиент, выполняющий разрешение имен, называется интерпретатором (resolvcr).


Занятое 2

Обзор DNS

В Windows такой интерпретатор является службой, называемой DNS-клиентом (DNS Client). Интерпретатор работает на прикладном уровне модели TCP/IP (эта модель бу­ дет рассмотрена позже) и часто встраивается в различные программы, которым нужно разрешать хост-имена. Например, когда вы вводите некое FQDN в своем Web-браузе­ ре, последний обращается к DNS-серверу, указанному на локальном хосте, и таким образом получает адрес. Интерпретатор может выполнять два типа запросов: прямого просмотра (forward lookup query) для трансляции имен в IP-адреса и обратного (reverse lookup query) для трансляции IP-адресов в имена. DNS-серверы обслуживают запросы обоих типов. Запросы прямого просмотра (forward lookup queries). Это самый распространенный тип запросов, требующий разрешения доменного или хост-имени в IP-адрес. Интерпрета­ тор посылает запрос заданному серверу имен. Если на этом сервере есть нужная ин­ формация, она возвращается клиенту. А если ее нет, первый сервер посылает запросы другим серверам имен до тех пор, пока не найдет эту информацию. Пример на рис. 1-8 иллюстрирует этот процесс при попытке разрешить в Интернете имя www.contoso.com. Корневой сервер имен

Сервер имен домена com Локальный сервер имен

Рис. 1-8.

Сервер имен домена CQntoso.com

Один запрос может потребовать обращения ко множеству серверов имен

1. Интерпретатор посылает запрос своему локальному DNS-серверу для разрешения доменного имени contoso.com. Сервер имен либо возвращает информацию интер­ претатору, либо нет; он не может перенаправить интерпретатор к другому серверу имен (хотя сам сервер имен может обращаться к другому интерпретатору). Такой тип запроса называется рекурсивным — в конечном счете сервер должен либо вер­ нуть сопоставление, либо ответить, что разрешить имя не удалось. 2. Локальный сервер имен, принимающий запрос от интерпретатора, проверяет зоны, которые находятся под его управлением. Если запрошенное доменное или хост-имя зарегистрировано в одной из его зон, он возвращает информацию клиенту. А если его нет, как в данном случае, локальный сервер имен проверяет локальный кэш имен, чтобы проверить, не было ли это имя недавно разрешено. Если и там нет имени, он посылает запрос по www.contoso.com корневому серверу имен. 3. Корневой сервер имен обслуживает корневой домен и сообщает локальному серверу IP-адрес сервера имен для домена верхнего уровня com. 4. Локальный сервер имен передает тот же запрос по www.contoso.com на IP-адрес, предоставленный корневым сервером имен. Такие запросы называются итератив­ ными (iterative queries), поскольку один и тот же запрос посылается нескольким серверам до тех пор, пока он не будет разрешен.


22

Введение s Active Directory Й инфраструктуру сетей

Глава 1

5. Сервер, полномочный для домена com, сообщает IP-адрес сервера имен, полномоч­ ного для домена второго уровня contoso.com. 6. Тогда локальный сервер имен вновь посылает запрос по www.contoso.com на IPадрес сервера имен contoso.com. 7. Сервер имен contoso.com сообщает IP-адрес для www.contoso.com. 8. Локальный сервер имен возвращает IP-адрес www.contoso.com исходному интерпре­ татору. - ..,Запросы обратного просмотра (reverse lookup queries). При таком запросе IP-адрес раз­ решается в доменное или хост-имя. Некоторые утилиты TCP/IP (в частности nslookup, ping и netstat) используют запросы обратного просмотра. Обратный просмотр также полезен, если вы наблюдаете за использованием сети, пытаетесь отследить хост, вызы­ вающий проблемы в сети, или даже хотите проверить идентификацию какого-либо хоста. Поскольку базы данных DNS -индексируются по именам, а не IP-адресам, поиск имени на основе IP-адреса в БД DNS с обычной структурой может оказаться весьма медленным процессом. Для решения этой проблемы в корневом домене агра был создан специальный домен in-addr.arpa (сокращение от inverse address). In-addr.arpa использует IP-адрес в качестве индекса. Обнаружив подходящую запись ресурса, он извлекает нужное хост-имя. Узлы в домене in-addr.arpa именуются с использованием точечно-десятичного пред­ ставления IP-адресов. Однако, поскольку в IP-адресах детализация нарастает слева направо, а в доменных именах — справа налево, порядок октетов IP-адреса при фор­ мировании соответствующего имени в домене in-addr.arpa меняется на обратный. На­ пример, хост-имя для IP-адреса 192.168.201.35 было бы записью PTR (записью указате­ ля) для файла зоны 20I.168.192.in-addr.arpa. Элемент этого файла мог бы выглядеть как 35 IN PTR host_name. Иерархия домена in-addr-arpa точно соответствует таковой стандартного DNS-домена. В БД домена in-addr-arpa добавляются специальные записи ресурсов — записи ука­ зателей [pointer (PTR) records] — для сопоставления IP-адресов с хост-именами. Под­ робнее о записях ресурсов — в следующем разделе.

Записи ресурсов Зонные файлы состоят из записей ресурсов. Запись ресурса (resource record) содержит сопоставление хост-имени или службы с IP-адресом. В табл. 1-2 перечислены многие типы записей ресурсов, поддерживаемые DNS-службой Windows Server 2003. Табл. 1-2.

Записи ресурсов в DNS

Запись ресурса

Применение

А

Запись адреса, сопоставляющая хост-имя с IP-адресом. Записи типа А используют 32-битный формат для IP версии 4 Аналогичная запись адреса, но использующая 128-битный формат для протокола IP следующего поколения — IPv6

АААА CNAME

Запись канонического имени создает псевдоним (alias) — синоним хостимени. Используя записи CNAME, вы можете разрешать более одного имени в один IP-адрес


Занятие 2

Табл. 1-2.

Эбзор DNS

(окончание)

Запись ресурса

Применение

MX

Запись почтового сервера (mail exchange record) идентифицирует почтовый сервер для конкретного DNS-домена Запись сервера имен (name server record) идентифицирует сервер имен для конкретного DNS-домена Запись указателя (pointer record) сопоставляет IP-адрес с хостом в DNS-зоне обратного именования (DNS reverse-naming zone) Запись Start of Authority — обязательный первый элемент в любых зонах прямого и обратного просмотра. Она указывает домен, за который отвечает DNS-сервер. Она также определяет разнообразные параметры работы DNS-сервера Запись службы (service record) позволяет указывать, какие службы предо­ ставляет сервер и какой домен он обслуживает. Запись SRV обязательна для использования Active Directory Запись Windows Internet Name Service идентифицирует WINS-сервер, к которому можно обращаться для получения имен, не зарегистрированных в пространстве имен DNS Запись обратного просмотра WINS (reverse WINS record) заставляет Microsoft DNS использовать команду nbstat для выполнения клиентских запросов на обратный просмотр (преобразования адресов в имена) Запись общеизвестных сервисов (well-known service record) описывает сервисы, предоставляемые конкретным протоколом при использовании конкретного адаптера

NS PTR SOA

SRV

WINS

WINS_R

WKS

Подготовка к экзамену На экзамене от вас потребуется знание нескольких важнейших записей ресурсов, в том числе A, CNAME, MX, NS, PTR, SOA и SRV. Запомните их пред­ назначение, а также полные и сокращенные названия.

Применение динамической DNS Динамическая DNS, введенная в Windows с появлением Microsoft Windows 2000 Server, позволяет клиентам автоматически уведомлять DNS-сервер при смене IP-адресов; при этом сервер обновляет соответствующие записи ресурсов. Это особенно удобно в сетях с автоматическим выделением IP-адресов, например при использовании Dynamic Host Configuration Protocol (DHCP), так как DHCPклиенты могут автоматически информировать DNS-серверы о своих IP-адресах, полученных от DHCP-сервера. Динамическая DNS применима только в зонах, интегрированных в Active Directory.

Как Active Directory использует DNS Active Directory и DNS тесно интегрируются и даже используют общее пространство имен. А значит, важно, чтобы вы понимали, как устроена каждая из этих систем и как они работают совместно.


Введение в Active Directory я инфраструктуру сетей

Глава 1

DNS — это служба локатора (locator service), используемая Active Directory (и мно­ гими другими компонентами Windows). Active Directory делает свои службы доступны­ ми в сети, публикуя их в DNS. Когда устанавдивается контроллер домена (или к нему добавляются службы), он использует динамические обновления для регистрации своих служб в DNS как записей SRV. После этого клиенты могут находить службы через простые DNS-запросы. По умолчанию служба Microsoft DNS работает на каждом кон­ троллере домена под управлением Windows Server 2003.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Как Active Directory использует DNS? 2. Какой из следующих типов записей ресурсов позволяет создать псевдоним для суще­ ствующего хост-имени? a. Тип А. b. Тип ALIAS. c. Тип CNAME. а. Тип HINFO. 3. Вам нужно включить динамическую DNS в определенной ��оне и сконфигурировать сервер так, чтобы он разрешал только безопасные обновления. Что для этого необхо­ димо? a. Зона должна быть корневой. b. Зона должна быть интегрированной в Active Directory. c. В зоне должна быть запись SRV. & Динамическую DNS нельзя включить в определенной зоне — только для всего сервера.

Резюме и Службы разрешения имен преобразуют хост-имена в IP-адреса, a DNS является основной службой разрешения имен в Windows Server 2003. Active Directory тесно интегрируется с DNS; контроллеры доменов публикуют все свои службы в БД DNS как записи служб (SRV). Благодаря этому любой DNS-клиент может найти какуюлибо службу в сети (в том числе Active Directory) по механизму просмотра DNS (DNS lookup). а Пространство имен DNS в сети отражает пространство имен Active Directory. DNS разделяется на домены. Каждый домен отвечает за записи, хранящиеся в этом доме­ не, и за сопоставление хост-имен и служб с IP-адресами в своих границах. в Пространство имен DNS также разделяется на зоны — неразрывные части про­ странства имен, за управление которыми отвечают определенные серверы. Зона охватывает минимум один домен и может включать другие домены.


Занйтие 3

Збзор TCP/IP

25

Занятие 3. Обзор TCP/IP TCP/IP — открытый стандартизированный набор сетевых протоколов, определяющих, как передается трафик по сети. TCP/IP — также стандартные протоколы Интернета и основные протоколы в Windows Server 2003. По сути, без них вы даже не сможете рабо­ тать с Windows Server 2003. На этом занятии вы ознакомитесь с основными концепция­ ми TCP/IP. Изучив материал этого занятия, вы сможете:

•S рассказать о роли TCP/IP в сети Windows Server 2003; •S объяснить, как формируются IP-адреса; •S описать использование идентификаторов сетей (network ID), идентификаторов хостов (host ID) и применение подсетей (subnets); •S описать базовый процесс маршрутизации в ТСРДР-сети. Продолжительность занятия — около 30 минут.

Архитектура TCP/IP TCP/IP включает целый ряд протоколов и утилит. Протоколы в наборе (стеке) TCP/IP разделены на четыре логических уровня (рис. 1-9): прикладной (application layer), транс­ портный (transport layer), межсетевой (internet layer) и сетевого доступа (network access layer), или сетевого интерфейса. Это сделано для создания уровня абстракции между каким-либо приложением или протоколом и самой сетью. Например, приложению при­ кладного уровня достаточно знать, как передать информацию транспортному уровню (и в каком формате); ему незачем учитывать специфику данной сетевой конфигурации. Пакеты данных передаются по уровням сверху вниз на хосте-отправителе и снизу вверх на хосте-получателе.

Данные передаются сверху вниз на хосте-отправителе

Хост-отп ра витель

Хост-получатель

Прикладной уровень

Прикладной уровень

Транспортный уровень

Транспортный уровень

Межсетевой уровень

Межсетевой уровень

Уровень ~ сетевого интерфейса

Уровень сетевого интерфейса

Рис. 1-9. Четыре логических уровня TCP/IP

Данные передаются снизу вверх на хосте-получателе


Введение в Active Directory и инфраструктуру сетей

Глава 1

Прикладной уровень Прикладной уровень является самым верхним в четырехуровневой модели. Большин­ ство приложений и утилит размешаются именно на прикладном уровне и используют его для доступа к сетевым функциям TCP/IP. Windows Server 2003 предоставляет два интерфейса, позволяющие приложениям обращаться к остальной части TCP/IP: • WinSock — Microsoft-версия Berkeley Sockets API, который является стандартным интерфейсом для доступа к-ТСР/ЧР-протоколам; • NetBIOS Helper Service (служба поддержки NetBIOS) — NetBIOS (network basic input output system) представляет собой унаследованный (legacy) интерфейс, который из­ начально базировался на DOS BIOS, но расширял ее набором функций для доступа к сети. NetBIOS все еще используется при взаимодействии между процессами в Windows. NetBIOS Helper Service управляет взаимодействием между NetBIOS и сокетами (sockets). Эти два интерфейса дают начало двум группам TCP/IP-приложений: WinSock и NetBIOS. Если не считать некоторые Windows-функции и программы Microsoft, боль­ шинство приложений опирается на WinSock. На прикладном уровне работает целый ряд хорошо известных вам TCP/IP-приложений, в том числе: • Hypertext Transfer Protocol (HTTP) — протокол передачи данных между Web-сервера­ ми и браузерами; • File Transfer Protocol (FTP) — протокол передачи файлов между компьютерами; • Simple Mail Transfer Protocol (SMTP) — протокол передачи электронной почты меж­ ду почтовыми серверами и от почтовых клиентов серверам; • Telnet — протокол эмуляции терминала (terminal emulation protocol), позволяющий предоставлять удаленный доступ к какому-либо хосту; в Domain Name System (DNS) — набор протоколов и служб, обеспечивающих разреше­ ние имен.

Транспортный уровень Транспортный уровень управляет взаимодействием между компьютерами; он передает данные приложению на прикладном уровне или межсетевому уровню для доставки по сети. Транспортный уровень также определяет уникальный идентификатор для каждо­ го взаимодействующего приложения в виде номера порта, который позволяет отслежи­ вать, какие пакеты данных адресованы тому или иному приложению. Доставка данных (data delivery) на транспортном уровне контролируется двумя про­ токолами. • Transmission Control Protocol (TCP) — протокол, ориентированный на логические соединения (connection-oriented protocol), поскольку до передачи любых данных он требует установления соединения между двумя компьютерами. Он также является надежным протоколом (reliable protocol), так как проверяет доставку данных на уда­ ленный компьютер, требуя подтверждения об их получении. Если удаленный ком­ пьютер не возвращает подтверждение за отведенный интервал времени, компьютеротправитель повторяет передачу данных. Большинство приложений передают дан­ ные по протоколу TCP. a

User Datagram Protocol (UDP) — протокол, не ориентированный на логические со­ единения (connectionless protocol), так как перед передачей данных он не устанав­ ливает соединение. UDP также не требует подтверждать прием данных. Благодаря


Занятие 3

Обзор TCP/IP

этому он доставляет данные быстрее, чем TCP, но не предусматривает возможности повторной передачи данных в случае их потери на пути доставки. UDP обычно применяется в приложениях, посылающих очень малые объемы данных, или в при­ ложениях для потоковой передачи медийной информации по сети, где повторение передачи таких данных бесполезно. С приложениями, использующими протокол TCP или UDP, сопоставляется опреде­ ленный порт — TCP- или UDP-порт соответственно. Номера портов варьируются в диапазоне 0—65535. Номера портов от 0 до 1023 зарезервированы для общепринятых стандартных приложений. Такие номера портов называются общеизвестными (wellknown port numbers); они контролируются организацией Internet Assigned Numbers Authority (IANА). Порты с номерами от 1024 до 49151 также находятся под контролем IANA и называются зарегистрированными (registered ports); они предназначены для ме­ нее известных стандартных приложений. Наконец, порты с номерами 49152—65535 рас­ сматриваются как динамические, или частные (private). Подробнее о номерах портов — в главе 7.

Межсетевой уровень Межсетевой уровень отвечает за адресацию, разбиение на пакеты и маршрутизацию данных, которые он получает от транспортного уровня. Межсетевой уровень образуют четыре основных протокола: Internet Protocol (IP), Address Resolution Protocol (ARP), Internet Control Message Protocol (ICMP) и Internet Group Management Protocol (IGMP). IP Это не ориентированный на логические соединения (а значит, и не надежный) протокол, который отвечает в основном за адресацию пакетов и их пересылку между компьютерами в сети. Хотя IP всегда пытается доставить пакет, он может быть утерян, поврежден, доставлен вне исходной последовательности, дублирован или задержан. IP не исправляет такие ошибки и не запрашивает повторную передачу данных. Эти задачи возлагаются на протоколы более высокого уровня, например на TCP, или на само при­ ложение. Кроме того, IP присваивает каждому пакету значение «времени жизни» — TTL (Time to Live), — определяющее максимальный период, в течение которого пакет мо­ жет «путешествовать» по сети и по истечении которого он отбрасывается. TTL измеря­ ется в секундах. Каждый экземпляр IP, обрабатывающий пакет, уменьшает его TTL на единицу. И любой экземпляр IP, обнаруживающий пакет с TTL, равным 0, отбрасыва­ ет его. ARP Этот протокол отвечает за сопоставление IP-адресов с аппаратными (т. е. с МАСадресами), «зашитыми» в сетевые адаптеры компьютеров. Готовя пакет к передаче на удаленный компьютер, IP использует IP-адрес этого компьютера. Однако сетевые пла­ ты (и другие сетевые интерфейсы) обмениваются данными по сети на основе длинных аппаратных адресов, гарантирующихуникальную идентификацию каждого сетевого интерфейса в сети. ARP, реализованный в Windows Server 2003, выполняет преобразования IP-адресов в аппаратные и наоборот, а также поддерживает таблицу сопоставлений, которая назы­ вается ARP-кэшем. Таблица формируется динамически. Получив запрос на трансля­ цию IP-адреса, ARP ищет этот адрес в своей таблице. Если адрес найден, ARP возвра­ щает его. Если же адреса в таблице нет, ARP посылает широковещательный пакет в локальной подсети; этот пакет содержит IP-адрес, для которого нужно определить ап­ паратный адрес. Если принимающий хост распознает переданный IP-адрес как свой,


Введение в Active Directory и инфраструктуру сетей

Глаза 1

он сообщает собственный аппаратный адрес запросившему хосту. После этого ответ сохраняется в ARP-кэше. ICMP Этот протокол поддерживает средства диагностики и сообщает об ошибках, когда доставить пакеты не удается. Благодаря ICMP компьютеры и маршрутизаторы (routers), использующие IP для коммуникационной связи, могут сообщать об ошибках и обмениваться информацией о состоянии и базовыми управляющими сообщениями. Например, если IP не удается доставить пакет адресату, ICMP посылает компьютеруисточнику сообщение Destination Unreachable (Адресат недоступен). IGMP Этот протокол используется хостами, чтобы сообщать соседним маршрутизато­ рам о членстве в группах IP-рассылки (multicast group membership). Поддержка группо­ вой рассылки (multicasting) позволяет одному хосту передавать данные сразу нескольким хостам-получателям. Примеры групповой рассылки — потоковая передача медийной информации множеству компьютеров по широкополосному соединению, одновремен­ ное обновление программного обеспечения на нескольких компьютерах, некоторые виды списков рассылки. Как правило, группа компьютеров объединяется в группу IP-рассылки, чтобы они могли получать групповые сообщения.

Уровень сетевого доступа Уровень сетевого доступа отвечает за пересылку данных в сетевую среду и их прием из этой среды. Данный уровень охватывает физические устройства, например сетевые ка­ бели и адаптеры. На этом уровне действуют такие протоколы, как Ethernet и Asynchronous Transfer Mode (ATM), которые определяют, как данные передаются по сети.

1Р-адресация Каждый интерфейс в TCP/IP-сети получает уникальный IP-адрес, который идентифи­ цирует этот интерфейс в сети. Адресацией управляет IP, определяя, как формируются адреса и как передаются пакеты с использованием этих адресов. IP-адрес состоит из четырех чисел, каждое из которых варьируется от 0 до 255. Каждое из этих чисел отделяется десятичной точкой, поэтому типичный IP-адрес в точечно-десятичной нотации выглядит наподобие 192.168.1.102. Почему каждое число должно укладываться в диапазон 0-255? Дело в том, что за каждым из этих чисел на самом деле стоит двоичный октет, или восьмиразрядное двоичное число. Например, двоичное представление IP-адреса 192.168.1.102 - 11000000 10101000 00000001 01100110. Компьютеры работают с двоичным форматом, но людям гораздо легче иметь дело с десятичным представлением. Любой IP-адрес включает идентификатор сети и идентификатор хоста. • Идентификатор сети (network ID) — часть IP-адреса, начинающаяся слева. Опреде­ ляет сегмент сети, в котором находится хост. В примере с IP-адресом 192.168.1.102 часть 192.168.1 может быть идентификатором сети. Когда указывают только иденти­ фикатор сети, недостающие октеты обычно представляются нулями. Поэтому пол­ ная запись идентификатора сети в данном случае выглядела бы как 192.168.1.0. • Идентификатор хоста (host ID) — часть IP-адреса, определяющая конкретный хост в сегменте сети. Этот идентификатор для каждого хоста с одним идентификатором сети должен быть уникальным. Если продолжить пример с IP-адресом 192.168.1.102 (где 192.168.1.0 — идентификатор сети), то идентификатор хоста равен 102.


р TCP/IP

Занятие 3

Два компьютера с разными идентификаторами сети могут иметь одинаковый иден­ тификатор хоста. Однако комбинация идентификаторов сети и хоста должна быть уни­ кальной для всех компьютеров, взаимодействующих друг с другом. При определении того, какая часть IP-адреса является идентификатором сети, а какая — идентификатором хоста, используется еще одно число, которое называется маской подсети (subnet mask). Маска подсети указывает, где заканчивается идентифи­ катор сети и начинается идентификатор хоста. Вам будет легче понять, почему это работает, если вы на минутку отвлечетесь от десятичного представления и посмотрите на числа, образующие IP-адрес, в двоичном формате. На рис. 1-10 показан один IP-адрес в двух форматах — десятичном и двоичном. Маска подсети также показана в обоих форматах. В двоичном формате маска подсети всегда представляет строку сплошных единиц, за которой идет строка сплошных нулей. Позиция, где единицы сменяются нулями, указывает на конец идентификатора сети и начало идентификатора хоста. Десятичный формат

Двоичный формат

IP-адрес:

131.104.16.92

10000011 011010000001000001011100

Маска подсети:

255.255.0.0

11111111 111111110000000000000000

Идентификатор сети:

131.104.0.0

10000011 01101000 00000000 00000000

Идентификатор хоста:

0.0.16.92

00000000 00000000 00010000 01011100

Рис. 1-10.

Маска подсети разделяет идентификаторы сети и хоста

Классы IP-адресов IP-адреса организуются по классам, которые помогают определять размер адресуемой сети. Такая классификация называется IP-адресацией с применением классов (classful IP addressing). Существует пять классов IP-адресов, определяющих сети разного раз­ мера — с разным макимальным числом хостов. IP-адресация с применением классов основана на структуре IP-адреса и позволяет семантически отличать идентификаторы сетей от идентификаторов хостов. Как вы уже знаете, IP-адрес состоит из четырех сегментов, значения которых варьируются от 0 до 255. В данном случае сегменты представляются как w.x.y.z. Исходя из значения первого октета (w), IP-адреса разделяются на пять классов, перечисленных в табл. 1-3. Табл. 1-3.

Классы IP-адресов

Класс

ID сети

Диапазон первого октата

Число'доступных сегментов сети

Число доступных хостов

Маска подсети

A В С D Е

w.0.0.0 w.x.0.0 w.x.y.O неприменимо неприменимо

1-126 128-191 192-223 224—239 240—255

126 16 384 2 097 152 неприменимо неприменимо

16 777 214 65 534 254 неприменимо неприменимо

255.0.0.0 255.255.0.0 255.255.255.0 неприменимо неприменимо


Введение 8 Active Directory и инфраструктуру сетей

Глава 1

Классы А, В и С доступны для регистрации общественными организациями. На самом деле большинство этих адресов давным-давно закреплено за крупными компа­ ниями и интернет-провайдерами (Internet service providers, ISP), поэтому IP-адрес ва­ шей организации скорее всего будет выделен вашим ISP. Классы D и Е зарезервирова­ ны для особых целей. Класс адреса определяет используемую маску подсети, а значит, указывает точку де­ ления IP-адреса на идентификаторы сети и хоста. Для класса А идентификатор сети — это первый октет IP-адреса (например значение 98 в адресе 98.162.102.53). Для класса В под идентификатор сети отводятся первые два октета, а для класса С — первые три. Октеты, не занятые под идентификатор сети, определяют идентификатор хоста. Подготовка к экзамену Запомните диапазоны IP-адресов и маску подсети по умолчанию для каждого класса. Это поможет определить, в каких случаях предпочтительна IP-адре­ сация с классами, а в каких — без классов (об этом см. следующий раздел).

Classless Internet Domain Routing (CIDR) При IP-адресации с применением классов максимальное число сетей и хостов, под­ держиваемых конкретным классом адресов определяется маской подсети по умолчанию (default subnet mask) для этого класса. Как результат, организации, которой выделен не­ кий идентификатор сети, доступен единственный, фиксированный идентификатор сети и определенное число идентификаторов хостов. При наличии единственного идентифи­ катора сети в организации может быть лишь одна сеть, способная объединить столько хостов, сколько у нее есть идентификаторов хостов. Когда хостов слишком много, сеть работает неэффективно. Для решения этой проблемы была введена концепция Classless Internet Domain Routing (CIDR)*. CIDR позволяет разделять единственный «классовый» идентификатор сети на мень­ шие идентификаторы сетей. Идея в том, что вы берете маску подсети по умолчанию, применяемую для данного класса, к которому относится ваш диапазон IP-адресов, а за­ тем выделяете какую-то часть битов из идентификатора хоста и используете ее как расширение идентификатора сети, создавая собственную маску подсети. Собственная маска подсети не ограничивается правилами, действующими при ис­ пользовании классов. Вспомните, что маска подсети состоит из четырех чисел, как в IPадресе. Возьмем маску подсети по умолчанию для сети класса В (255.255.0.0), которая в двоичном формате выглядела бы так: 11111111 11111111 00000000 00000000

Эта маска указывает, что первые 16 битов IP-адреса отводятся под идентификатор сети, а вторые 16 —- под идентификатор хоста. Чтобы создать собственную маску подсе­ ти, вы просто расширяете маску, отбирая часть битов у идентификатора хоста. Для этого вы добавляете единицы слева направо. (Не забудьте, что маска подсети состоит из стро­ ки сплошных единиц и строки сплошных нулей.) Например, собственная маска подсети могла бы быть такой: 11111111 11111111 11111000 00000000

Двоичное значение 1111 1000 соответствует десятичному значению 248. В табл. 1-4 перечислены возможные значения октета в собственной маске подсети. * C1DR чаще расшифровывается так: Classless Interdomain Routing. — Прим. перев.


Занятие 3

Обзор TCP/IP

Табл. 1-4. Значения для собственной маски подсети Двоичное значение

Десятичное значение

10000000

128

11000000

192

11100000

224

11110000

240

11111000

248

11111100

252

11111110

254

При адресации с применением классов каждое из четырех чисел в маске подсети может быть либо 255, либо 0, причем эти числа располагаются как октеты со значения­ ми 255, за которыми следуют октеты с нулевыми значениями. Например, 255.255.0.0 яв­ ляется допустимой маской пдсети, а 255.0.255.0 — нет. Октеты со значениями 255 указы­ вают идентификатор сети, а октеты с нулевыми значениями — идентификатор хоста. Так, маска подсети 255.255.0.0 сообщает, что идентификатор сети занимает первые два ок­ тета IP-адреса. Разбивая существующий идентификатор сети для создания дополнительных подсе­ тей, вы можете использовать л��бые маски подсети, указанные в табл. 1-4. Тогда у IPадреса 184.12.102.20 могла бы быть маска подсети 255.255.255.0 и идентификатор сети 184.12.102.0 (в отличие от маски подсети по умолчанию 255.255.0.0, которая дает иден­ тификатор сети 184.12.0.0). Это позволяет организации создавать на основе существую­ щего идентификатора сети 184.12.0.0 класса В подсети меньшего размера, соответствую­ щие реальной конфигурации ее сети. Подготовка к экзамену Не пожалейте немного времени — вместо того чтобы запоми­ нать числа, приведенные в табл. 1-4, посмотрите повнимательнее на то, откуда берутся двоичные числа и как они связаны с десятичными.

Частные адреса Каждый сетевой интерфейс, напрямую подключенный к Интернету, должен иметь IPадрес, зарегистрированный организацией Internet Assigned Numbers Authority (IANA). Это предотвращает конфликты устройств из-за дублирования IP-адресов. Если вы конфигу­ рируете частную сеть (private network), не подключенную к Интернету, или сеть, рас­ положенную за брандмауэром (firewall) либо прокси-сервером, то можете присваивать устройствам в своей сети частные адреса, а общий адрес (public address) вам понадобится лишь для того интерфейса, который виден из Интернета. В каждом классе предусмотрен диапазон частных адресов, доступных для универсаль­ ного применения: • класс А - от 10.0.0.0 до 10.255.255.255; • класс В - от 172.16.0.0 до 172.31.255.255; • класс С - от 192.168.0.0 до 192.168.255.255.


32

Введение a Active Directory и инфраструктуру сетей

Ттшв 1

Вы можете выбрать для своей сети любой из этих диапазонов и реализовать соб­ ственные подсети. Ни один из таких адресов никогда не будет официально присвоен общедоступному в Интернете хосту.

IP-маршрутизация Маршрутизация (routing) — это процесс перенаправления информации на пути от ис­ точника к адресату. В TCP/iP-сети источник и адресат называются хостами, а ин­ формация разбивается на небольшие пакеты, которые и передаются между этими хостами. IP управляет маршрутизацией всех пакетов в сети. Вспомните, что протокол типа TCP или UDP пересылает пакет данных протоколу IP для передачи удаленному хосту. IP должен определить, куда отправляется пакет. Для к; чала он сравнивает идентификаторы сети локального хоста и адресата, указанного в пакете. Если эти идентификаторы совпадают, два хоста находятся в одном сегменте сети, и пакет можно послать непосредственно хосту-получателю. Если же идентификаторы не совпадают, значит, хосты находятся в разных сегмен­ тах сети, и пакет нельзя передать напрямую. Тогда IP должен отправить пакет шлюзу (gateway), которым является маршрутизатор (router), соединяющий один сегмент сети с другим. Когда этот шлюз получает пакет, его протокол IP сравнивает идентифика­ торы сетей, чтобы определить, куда лучше всего переслать пакет. Если хост-получатель находится в одном из сегментов сети, к которым напрямую подключен данный шлюз, последний может переслать пакет непосредственно адресату. В ином случае шлюз пере­ сылает пакет другому шлюзу, а тот, возможно, третьему — и так до тех пор, пока пакет наконец не попадет в место назначения. Каждый пересекаемый пакетом шлюз назы­ вается переходом (hop). Например, если пакет должен пересечь три маршрутизатора, чтобы попасть адресату, считается, что на его маршруте три перехода. Обычно на хосте-отправителе задается IP-адрес основного шлюза (default gateway) — маршрутизатора, которому посылаются все пакеты, если хост-получатель находится в другом сегменте сети. Маршрутизаторы (и все устройства, на которых установлен IP) умеют просматривать таблицы маршрутизации (routing tables), хранящиеся в памяти маршрутизатора. Таблица маршрутизации содержит информацию о предпочтительных маршрутах (preferred routes) для различных идентификаторов сетей (сетевых адресов). На основе этой таблицы и идентификатора сети хоста-получателя данного пакета маршрутизатор определяет наилучший шлюз, на который нужно переслать пакет. Мар­ шрутизатор может формировать свою таблицу маршрутизации двумя способами: • статически — на статическом маршрутизаторе таблица формируется и обновляется вручную. Иначе говоря, кто-то должен иметь доступ к таблице маршрутизации и са­ мостоятельно прописывать в ней маршруты, которые сможет использовать данный маршрутизатор; • динамически — на динамическом маршрутизаторе таблица формируется и обновляет­ ся динамически по мере того, как обнаруживаются подходящие маршруты. Находя более короткие маршруты, он отдает предпочтение им по сравнению с более длин­ ными. Что еще важнее, динамические маршрутизаторы могут делиться своей инфор­ мацией с другими маршрутизаторами в сети. Почти все современные маршрутизато­ ры — динамические; статические маршрутизаторы требуют слишком много усилий в поддержке. Динамические маршрутизаторы используют один из двух стандартных протоколов маршрутизации: Routing Information Protocol (RIP) или Open Shortest Path First (OSPF).


Занятие 3

Обзор TCP/IP

Автоматическое назначение IP-адресов через DHCP Dynamic Host Configuration Protocol (DHCP) — стандартный протокол, позволяющий серверу автоматически назначать IP-адреса клиентам. Он избавляет администраторов от бремени назначения IP-адресов вручную и задания другой информации, связанной с TCP/IP. Пользоваться DHCP быстрее и надежнее, чем назначать IP-адреса вручную; кроме того, DHCP исключает ошибки из-за ввода неправильной информации. На практике DHCP — довольно простой механизм, особенно в сравнении с такими системами, как DNS. На серверной стороне задается диапазон IP-адресов, который DHCP-сервер вправе выделять клиентам; этот диапазон называется областью (scope). Вы также должны указать маску подсети и адрес основного шлюза, которые будут передаваться клиентам. Дополнительно (но не обязательно) можно задать и другую ин­ формацию TCP/IP вроде сведений о DNS- и WINS-серверах. На клиентской стороне вы просто сообщаете клиентам, что они должны получать свои IP-адреса и прочую информацию автоматически (большинство Windows-клиентов предлагает этот вариант по умолчанию). При загрузке на клиентском компьютере TCP/IP посылает широковещательное со­ общение в локальной IP-подсети, чтобы найти DHCP-серверы. Любой DHCP-сервер, принявший этот запрос и располагающий допустимой областью IP-адресов, возвращает ответ, где предлагается определенная конфигурация. Когда клиент получает предложе­ ние конфигурации и соглашается с ним, он настраивает IP-адрес и другие параметры в соответствии со значениями, переданными DHCP-сервером. Этот процесс называет­ ся арендой (leasing) (клиент арендует IP-адрес у сервера). Срок аренды ограничен, по его истечении аренда заканчивается, если клиент не запрашивал ее возобновления. Когда проходит 50% времени аренды, клиент пытается возобновить аренду, связываясь с сервером, который выдал аренду. Если попытка за­ канчивается успехом, аренда возобновляется на полный срок. А если нет, клиент про­ должает обращаться к серверу-арендодателю до тех пор, пока срок аренды не истечет. По окончании аренды IP-адрес возвращается в пул, принадлежащий серверу. DHCP работает как служба на компьютерах под управлением Windows Server 2003. DHCP-сервер — это просто контроллер домена или рядовой сервер Windows Server 2003, на котором установлена служба DHCP и который авторизован и сконфигурирован на выдачу IP-адресов клиентам. На заметку Автоматическое назначение частных IP-адресов (Automatic Private IP Add­ ressing, APIPA) — функция, впервые появившаяся в Windows 2000; она также поддер­ живается в Windows XP и Windows Server 2003. APIPA позволяет компьютеру, настроен­ ному на автомагическое получение IP-адреса, самостоятельно назначать себе IP-адрес из диапазона частных адресов, если в данный момент нет доступных DHCP-серверов. APIPA выделяет адреса из диапазона 169.254.0.1—169.254.255.255, зарезервированного Microsoft как раз для таких целей. В принципе, APIPA рассчитана на малые сети, где вообще нет DHCP-сервера. APIPA дает возможность компьютерам под управлением Windows 2000, Windows Server 2003 или Windows XP подключаться к сети и идентифицировать друг друга; при этом от админи­ стратора не требуется особых усилий по настройке. Если в вашей сети используется DHCP-сервер, но какой-то клиент получил адрес из диапазона, выделенного APIPA, значит, этот клиент не сумел найти DHCP-сервер.


Введение в Active Directory и инфраструктуру сетей

Глава 1

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. На каком из четырех уровней модели TCP/lP-сетей выполняется маршрутизация пакетов между источником и адресатом? a. Прикладном. b. Транспортном. c. Межсетевом. d. Канальном (link).* 2. Ваша компания зарегистрировала идентификатор сети 131.107.0.0, который исполь­ зует маску подсети по умолчанию 255.255.0.0. Вам нужно создать собственную маску подсети, позволяющую разделить сеть на максимальное количество подсетей, в каж­ дой из которых могло бы быть минимум по 20 хостов. Какой должна быть эта маска подсети? 3. Какую из следующих масок подсетей по умолчанию использовал бы компьютер с IPадресом 157.54.4.201? a. 255.0.0.0. b. 255.255.0.0. c. 255.255.255.0. d. 255.255.255.255.

Резюме •

Протоколы TCP/IP разделены на четыре логических уровня: прикладной, транспор­ тный, межсетевой и сетевого доступа (сетевого интерфейса). На хосте-отправителе пакеты данных передаются от верхних уровней нижним, а на хосте-получателе — от нижних верхним. в Каждому интерфейсу в ТСРДР-сети присваивается уникальный IP-адрес, обычно представляемый четырьмя октетами в точечно-десятичной нотации; значение каж­ дого октета может варьироваться от 0 до 255. IP-адрес разделяется на идентификатор сети, определяющий подсеть, где находится хост, и идентификатор хоста, указыва­ ющий хост в этой подсети. Позиция, в которой IP-адрес разделяется на идентифи­ каторы сети и хоста, определяется маской подсети. • Основной способ автоматического назначения IP-адресов клиентам в сети — ис­ пользование Dynamic Host Configuration Protocol (DHCP). DHCP-сервер управляет областью IP-адресов, которые он может назначать клиентам, а также сообщает дру­ гую важную информацию, в том числе маску подсети, основной шлюз и адреса DNS-серверов в сети.

* Здесь в оригинале допущена неточность: в модели TCP/IP этот уровень называется сетевым интерфей­ сом или уровнем сетевого доступа. Канальный уровень имеется в сетевой модели OSI. — Прим. перев.


Занятие 4

Базовые сведений об удаленном доступе

gg

Занятие 4. Базовые сведения об удаленном доступе Удаленный доступ в Windows Server 2003 поддерживается службой маршрутизации и уда­ ленного доступа (Routing and Remote Access service). Эта служба работает в системе Windows Server 2003 и позволяет другим серверам или клиентам, не подключенным че­ рез локальную сеть, устанавливать временные соединения по телефонным линиям, че­ рез Интернет и по другим каналам связи. На этом занятии вы получите базовые сведе­ ния о том, как Windows Server 2003 предоставляет удаленный доступ к сети. Изучив материал этого занятия, вы сможете:

•/ рассказать, как Windows Server 2003 предоставляет удаленный доступ через службу маршрутизации и удаленного доступа; •S пояснить способы подключения для удаленного доступа; У описать протоколы удаленного доступа; •S объяснить механизмы защиты при удаленном доступе. Продолжительность занятия — около 20 минут.

Что дает удаленный доступ Система Windows Server 2003 со службой маршрутизации и удаленного доступа способ­ на принимать запросы на соединения от клиентов, которые физически отделены от основной сети, но все равно должны подключаться к этой сети для доступа к ее ресур­ сам. Служба маршрутизации и удаленного доступа также позволяет использовать сер­ веры под управлением Windows Server 2003 как маршрутизаторы, соединяющие подсе­ ти по LAN- или WAN-каналам. После соединения клиенты удаленного доступа обращаются к сетевым ресурсам с помощью стандартных средств и приложений. Фактически служба маршрутизации и удаленного доступа — просто еще один способ использования стандартных сетевых протоколов и команд, уже применяемых в сети. Информация поступает не по сетевому кабелю через плату сетевого интерфейса (сетевого адаптера), а форматируется (и, воз­ можно, защищается) службой маршрутизации и удаленного доступа, а затем передает­ ся по сконфигурированному соединению удаленного доступа.

Типы соединений удаленного доступа Служба маршрутизации и удаленного доступа поддерживает два способа подключения удаленных пользователей. н По коммутируемым линиям (dial-up). В этом случае клиент устанавливает времен­ ное, соединение по коммутируемой линии с физическим портом на сервере со службой маршрутизации и удаленного доступа. Это соединение использует серви­ сы оператора телекоммуникационной связи, например коммутируемую телефонную сеть общего пользования (public switched telephone network, PSTN), Integrated Services Digital Network (ISDN) или Х.25. Яркий пример подключения по коммути­ руемой линии — соединение клиента с сервером по стандартному модему. Здесь клиент инициирует соединение удаленного доступа через модем. Соединение


Введвкие a Active Directory и инфрастрртуpf сетей

Глава 1

с модемом на серверной стороне устанавливается по телефонным линиям обшего пользования; сервер аутентифицирует пользователя и предоставляет доступ к сети с соответствующими правами. Через виртуальную частную сеть (Virtual Private Neiwork, VPN). VPN позволяет кли­ енту устанавливать защищенное соединение с сервером по сети общего пользова­ ния, например по Интернету. В отличие от первого способа, при котором соедине­ ние устанавливается непосредственно между клиентом и сервером, VPN-соедине­ ние является логическим- и.-туннелируется по соединению другого типа. Обычно удаленный пользователь подключается к Интернету через интернет-провайдера (ISP) с применением одной из форм коммутируемых соединений. Сервер со службой мар­ шрутизации и удаленного доступа также подключается к Интернету (возможно, по постоянному выделенному соединению); при этом он должен быть сконфигуриро­ ван на прием VPN-соединений. Как только клиент подключается к Интернету, он устанавливает VPN-соединение по своей коммутируемой линии с сервером марш­ рутизации и удаленного доступа.

VPN обладает двумя важными преимуществами по сравнению с коммутируемыми соединениями. Во-первых, удаленным пользователям, не находящимся в том же городе, что и сервер удаленного доступа, не нужно делать междугородных звонков для подклю­ чения к сети. Вместо этого они пользуются местной связью и подключаются к ISP в сво­ ем городе. Во-вторых, каждое стандартное коммутируемое соединение требует наличия на сервере удаленного доступа физического устройства, выделенного под это соедине­ ние, плюс отдельной телефонной линии. Это ограничивает число одновременно под­ ключаемых удаленных пользователей и приводит к удорожанию связи из-за издержек, связанных с покупкой дополнительного оборудования и его обслуживания, так как мо­ жет понадобится большое количество модемов и соответствующее число линий связи. Если же у сервера маршрутизации и удаленного доступа имеется сравнительно широко­ полосное соединение с Интернетом, VPN позволит одновременно подключать гораздо большее количество удаленных пользователей за меньшие деньги.

Протоколы, используемые при маршрутизации ш удаленном доступе Существует два универсальных типа протоколов, которые вы должны знать, чтобы рабо­ тать со службой маршрутизации и удаленного доступа: протоколы удаленного доступа (или линий связи) и сетевого транспорта (или LAN-протоколы).

Протоколы удаленного доступа Протоколы удаленного доступа управляют тем, как информация форматируется и пере­ дается по WAN-соединениям (например по телефонной линии). Служба маршрутизации и удаленного доступа поддерживает четыре протокола удаленного доступа: • Point-to-Point Protocol (PPP). На сегодняшний день самый распространенный протокол удаленного доступа. Большинство серверов, принимающих соединения через телефонные линии, в том числе серверы со службой маршрутизации и уда­ ленного доступа, поддерживают РРР, и этот протокол считается лучшим выбором для реализации удаленного доступа. Служба маршрутизации и удаленного доступа поддерживает РРР как для исходящих, так и входящих вызовов по коммутируе­ мым соединениям.


Занятие 4

Базовые сведения об удаленном доступе

ду

a

Serial Line Internet Protocol (SLIP). Более старый протокол, разработанный для UNIX и по-прежнему широко используемый. Служба маршрутизации и удаленного доступа поддерживает SLIP в конфигурациях с исходящими вызовами, но не позво­ ляет задействовать SLIP-клиент для входящих вызовов. в Протокол RAS. Применяется для поддержки схемы именования NetBIOS и явля­ ется закрытым (proprietary) протоколом, используемым только между сетями на ос­ нове технологий Microsoft. Необходим для поддержки NetBIOS-имен и устанавли­ вается по умолчанию при установке службы маршрутизации и удаленного доступа. и Шлюз NetBIOS. Обеспечивает совместимость со старыми версиями службы марш­ рутизации и удаленного доступа, не поддерживающими сетевые протоколы типа TCP/IP. Шлюз NetBIOS транслирует данные от протокола NetBIOS Extended User Interface (NetBEUI) для использования другими протоколами удаленного доступа.

Подготовка к экзамену Запомните протоколы удаленного доступа и их предназначение. РРР является самым распространенным на сегодняшний день; остальные используются только в определенных обстоятельствах. Также запомните, что РРР поддерживает как входящие, так и исходящие вызовы, a SLIP — только исходящие (для применения на устаревших серверах).

Защита при удаленном доступе Удаленный доступ всегда считался одним из слабых мест в защите сетей. Хотя обезопа­ сить сеть от несанкционированного физического доступа сравнительно легко, нынеш­ няя популярность доступа через Интернет и большое количество удаленных пользовате­ лей предъявляют более жесткие требования к защите современных сетей. К счастью, разработаны новые технологии защиты и протоколы, которые упрощают решение про­ блемы безопасности, связанной с удаленным доступом.

Защита на основе аутентификации пользователей Основной способ защиты соединения удаленного доступа включает аутентификацию пользователя, который пытается подключиться к сети. Для этого пользователь (или кли­ ентская система пользователя) должен предоставить какие-то удостоверения (creden­ tials), которые позволили бы серверу маршрутизации и удаленного доступа убедиться в том, что данный пользователь им��ет право на доступ к сети. Windows Server 2003 поддерживает пять протоколов аутентификации пользователей. в Password Authentication Protocol (PAP). Обеспечивает базовый вид аутентифика­ ции. Пароль и имя пользователя посылаются по коммутируемому соединению сер­ веру маршрутизации и удаленного доступа. Эта информация передается открытым текстом, без всякого шифрования," поэтому ее легко перехватить. Кроме того, РАР не предусматривает никакой возможности взаимной аутентификации клиента и сер­ вера. Поскольку имеются более надежные протоколы аутентификации, Microsoft рекомендует использовать РАР только в случае крайней необходимости. и Shiva Password Authentication Protocol (SPAP). Shiva — частная компания (теперь принадлежит Intel), выпускающая оборудование для удаленного доступа. SPAP под­ держивается главным образом для совместимости с этим оборудованием и в боль­ шинстве сетей на самом деле не используется. SPAP обеспечивает нестойкое шиф-


Введение в Active Directory ш инфраструктуру сетей

Глава 1

рование аутентификационных удостоверений, но не поддерживает шифрование дан­ ных. Не полагайтесь на этот протокол, если вам требуется стойкое шифрование. • Challenge Handshake Authentication Protocol (CHAP). Этот протокол гораздо надеж­ нее PAP или SPAP. Сервер посылает клиенту вызов (challenge), и клиент использует свои удостоверения для шифрования вызова. Затем зашифрованная информация (ответ) передается серверу по коммутируемому соединению, который расшифровы­ вает ее и пытается проверить пользователя. Если ответ совпадает с вызовом, аутенти­ фикация считается успешной. Поскольку вызов и ответ шифруются, они менее уязвимы перед попытками прослушивания. CHAP часто называют MD5-CHAP, так как он применяет для шифрования алгоритм хэширования RSA MD5. • Microsoft CHAP (MS-CHAP). Модифицированная версия CHAP, позволяющая ис­ пользовать аутентификационную информацию Windows Server 2003. Существует две версии MS-CHAP. Версия 2 самая надежная и поддерживается только Windows 2000, Windows Server 2003 и Windows XP. Версия 1 поддерживается более ранними версия­ ми Windows. • Extensible Authentication Protocol (EAP). Универсальный протокол для РРР-аутентификации, поддерживающий несколько механизмов аутентификации. Вместо забла­ говременного выбора какого-то одного способа аутентификации для данного соеди­ нения ЕАР позволяет договариваться о способе аутентификации во время установ­ ления соединения. Компьютер, запрашивающий способ аутентификации, называ­ ется аутентифицирующим (authenticator); он может потребовать несколько разных блоков аутентификационной информации. Это позволяет задействовать практичес­ ки любой способ аутентификации, в том числе с применением маркеров защищенно­ го доступа (secure access tokens) или систем с одноразовыми паролями (one-time password systems). Подготовка к экзамену Протокол аутентификации РАР не шифрует аутентификацион­ ную информацию. SPAP обеспечивает нестойкое шифрование аутентификационных удостоверений, но не поддерживает шифрование данных. CHAP, MS-CHAP и ЕАР поддерживают более стойкое шифрование; выбирайте эти протоколы, если вам необхо­ димо шифрование.

Защита на основе управления соединением Помимо разнообразных способов аутентификации пользователей, служба маршрутиза­ ции и удаленного доступа поддерживает ряд методов для защиты самого соединения между клиентом и сервером. Один из таких методов — применение Callback Control Protocol, который позволяет серверам маршрутизации и удаленного доступа договари­ ваться об обратном вызове (callback) с другой стороной. Например, сервер можно на­ строить так, чтобы, получив запрос на соединение, он тут же разрывал связь и перезва­ нивал клиенту по заданному номеру. Это дает два преимущества. Первое заключается в том, что успешное соединение возможно лишь с определенного номера, а это неплохой способ, позволяющий устанавливать соединение только авторизованным пользователям. Второе преимущество — бремя оплаты междугородных звонков можно переложить с пользователей на компанию, в которой они работают.


Занятие 4

Базовые сведения об удаленном доступе

Еще один способ управления соединениями — настройка сервера маршрутизации и удаленного доступа на прием или отклонение вызовов на основе идентификации звоня­ щего (Caller ID) или автоматического определения номера (Automatic Number Identifica­ tion, ANI). Например, сервер можно сконфигурировать на прием вызовов только с оп­ ределенного номера.

Защита на основе управления доступом Служба маршрутизации и удаленного доступа поддерживает несколько способов уп­ равления доступом удаленных пользователей к серверу маршрутизации и удаленного доступа. Основной из них — включение или отключение разрешения на удаленный доступ в учетных записях индивидуальных пользователей. Кроме этого базового спо­ соба, политики удаленного доступа (Remote Access Policies, RAP) позволяют расширить контроль, указывая ряд условий, от выполнения которых зависит, имеет ли право дан­ ный пользователь на удаленный доступ. RAP служат для задания условий, при которых пользователи могут подключаться по определенному соединению удаленного доступа. Ограничения основаны на таких критериях, как время вызова, тип соединения и др. Если учетные записи определяют настройки для индивидуальных пользователей, то политики удаленного доступа — для целых групп пользователей. Политика (policy) со­ стоит из правил (rules), проверяемых системой, когда она определяет, следует принять данный запрос на соединение или отклонить его. При поддержке удаленного доступа полезно сочетать политики и параметры учетных записей. Политика обычно определяет общие параметры, а учетные записи — индивидуальные.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вам нужно обеспечить шифрование всех удостоверений, передаваемых между уда­ ленными клиентами и сервером маршрутизации и удаленного доступа. Какой из сле­ дующих способов аутентификации вы могли бы задействовать? a. РАР. b. CHAP. c. SPAP. d. MS-CHAP. 2. Какой из следующих протоколов удаленного доступа используется службой маршру­ тизации и удаленного доступа чаще всего и при этом разрешает как входящие, так и исходящие вызовы? ._. • ~ * ' a. РРР. b. SUP. c. RAS. d. Шлюз NetBIOS. 3. Каковы преимущества VPN-соединений по сравнению с традиционными соедине­ ниями удаленного доступа по коммутируемым линиям?


Введение п Active Directory и инфраструктуру сетей

Глава

Резюме •

Windows Server 2003 поддерживает удаленный доступ средствами службы маршрути­ зации и удаленного доступа. Клиенты могут обращаться к сети, подключаясь напря­ мую к серверу или через виртуальную частную сеть (Virtual Private Network, VPN). • Служба маршрутизации и удаленного доступа поддерживает несколько протоколов удаленного доступа, самый важный из которых — РРР. Как только соединение ус­ тановлено, протокол удаленного" доступа определяет физические аспекты передачи данных по соединению. • Три основных способа защиты при удаленном доступе — аутентификация (проверя­ ется, есть ли у пользователя разрешение на доступ к сети), управление соединением (разрешается установление соединений только из определенных мест) и управление доступом (пользователям или их группам разрешается или запрещается удаленный доступ).

j f Резюме главы • •

а

и

Active Directory разделяется на логические структуры (объекты, домены, деревья, леса и организационные единицы) и физические (контроллеры домена и сайты). В логической структуре домены разграничивают основные зоны безопасности в сети. Множество доменов, использующих непрерывное (одно и то же) пространство имен, организуется в деревья. Несколько деревьев образует лес. Лес является самой внеш­ ней границей организации. Организационные единицы (OU) используются для со­ здания административных границ внутри домена. Контроллеры доменов и сайты образуют физическую структуру. Контроллер до­ мена — это система Windows Server 2003 с работающей службой Active Directory; каждый контроллер домена хранит полную копию раздела каталога для данного до­ мена. Сайты — это наборы контроллеров домена, связанных скоростными надеж­ ными соединениями. Сайты позволяют управлять трафиком репликации. Службы разрешения имен преобразуют хост-имена в IP-адреса, a DNS является основной службой разрешения имен в Windows Server 2003. Active Directory тесно интегрируется с DNS; контроллеры доменов публикуют все свои службы в базе данных DNS как записи служб (SRV). Благодаря этому любой DNS-клиент может найти какую-либо службу в сети (в том числе Active Directory) по механизму про­ смотра DNS (DNS lookup). Пространство имен DNS в сети отражает пространство имен Active Directory. DNS разделяется на домены. Каждый домен отвечает за записи, хранящиеся в этом доме­ не, и за сопоставление хост-имен и служб с IP-адресами в своих границах. Пространство имен DNS также разделяется на зоны — неразрывные части про­ странства имен, за управление которыми отвечают определенные серверы. Зона охватывает минимум один домен и может включать другие домены. Протоколы TCP/IP разделены на четыре логических уровня: прикладной, транспорт­ ный, межсетевой и сетевого доступа (сетевого интерфейса). На хосте-отправителе пакеты данных передаются от верхних уровней нижним, а на хосте-получателе — от нижних верхним.


'екомвндаций по подготовке к экзамену

Каждому интерфейсу в TCP/IP-сети присваивается уникальный IP-адрес, обычно представляемый четырьмя октетами в точечно-десятичной нотации; значение каж­ дого октета может варьироваться от 0 до 255. IP-адрес разделяется на идентификатор сети, определяющий подсеть, где находится хост, и идентификатор хоста, указываю­ щий хост в этой подсети. Позиция, в которой IP-адрес разделяется на идентификато­ ры сети и хоста, определяется маской подсети. Основной способ автоматического назначения IP-адресов клиентам в сети — исполь­ зование Dynamic Host Configuration Protocol (DHCP). DHCP-сервер управляет обла­ стью IP-адресов, которые он может назначать клиентам, а также сообщает другую важную информацию, в том числе маску подсети, основной шлюз и адреса DNSсерверов в сети. Windows Server 2003 поддерживает удаленный доступ средствами службы маршрути­ зации и удаленного доступа. Клиенты могут обращаться к сети, подключаясь напря­ мую к серверу или через VPN. Служба маршрутизации и удаленного доступа поддерживает несколько протоколов удаленного доступа, самый важный из которых — РРР. Как только соединение уста­ новлено, протокол удаленного доступа определяет физические аспекты передачи дан­ ных по соединению. Однако тем, как форматируются и пересылаются данные, все равно управляет сетевой протокол вроде TCP/IP. Три основных способа защиты при удаленном доступе — аутентификация (проверя­ ется, есть ли у пользователя разрешение на доступ к сети), управление соединением (разрешается установление соединений только из определенных мест) и управление доступом (пользователям или их группам разрешается или запрещается удаленный доступ).

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Логические компоненты Active Directory. Четко уясните, что такое домены, деревья, леса и организационные единицы. Также разберитесь в принципах именования до­ менов, деревьев и лесов. • Физическая структура Active Directory. Запомните основную функцию контроллеров доменов и дополнительные роли, которые они могут выполнять. Изучите, как они группируются в сайты и как сайты используются для управления репликацией. м Разные виды доверительных отношений. Уясните, как стандартное двустороннее транзитивное доверие обеспечивает аутентификацию между доменами и в каких слу­ чаях применяются другие виды доверия. и Базовая структура DNS. Уясните взаимосвязь доменов и принципы их именования. Также запомните, для чего предназначены DNS-серверы и как база данных DNS де­ лится на зоны.


Введение в Active Directory и инфраструктуру сетей

Оша 1

Процесс разрешения имен. Изучите базовый процесс как для прямого, так и обрат­ ного просмотра. Разберитесь, как происходит разрешение имен в адреса в сети Windows Server 2003 network. • Запомните четыре уровня в наборе протоколов TCP/IP и важнейшие протоколы на каждом из этих уровней. • Структура IP-адреса. Уясните способы IP-адресации с применением классов и без них. Освойте принципы маршрутизации протоколом IP на основе IP-адреса и маски подсети. - ..• и Способы соединения, поддерживаемые службой маршрутизации и удаленного до­ ступа. Уясните разницу между удаленным доступом по коммутируемым соедине­ ниям и удаленным доступом через виртуальные частные сети. • Протоколы удаленного доступа и сетевые протоколы, используемые службой марш­ рутизации и удаленного доступа. • Способы аутентификации и другие механизмы защиты, предоставляемые службой маршрутизации и удаленного доступа.

Основные термины Пространство имен - namespace — структура (например база данных) объектов, исполь­ зующих общую схему именования, но уникально идентифицируемых в контексте этой структуры. Например, у двух компьютеров в одном домене не могут быть одинако­ вые имена. Объект ~ object — набор атрибутов, определяющих конкретный ресурс. Класс объекта определяет атрибуты, из которых состоит объект. Корневой домен ~ root domain — домен в основе конкретной структуры именования (naming structure). Первый домен, установленный в сети Active Directory, служит в качестве корневого для леса Active Directory и первого дерева в этом лесу. У дополнительного дерева также может быть корневой домен — таковым становит­ ся первый домен, установленный в этом дереве. Роли хозяина операций ~ operations master roles — хотя большинство контроллеров доме­ на считаются равноправными, некоторые контроллеры могут быть выбраны на роли хозяина операций; эти роли уникальны в пределах домена или леса. Одни роли мо­ жет выполнять только контроллер домена в лесу, другие — лишь один контроллер в каждом домене. Зона, интегрированная в Active Directory ~ Active Directory Integrated Zone — тип DNSзоны, в которой база данных DNS хранится как часть базы данных Active Directory. В этом случае информация DNS автоматически реплицируется между контроллера­ ми домена. Classless Internet Domain Routing (CIDR) — способ IP-адресации, при котором не исполь­ зуются маска подсети по умолчанию и традиционное деление IP-адресов на классы A—F. Для реализации CIDR нужно создать собственную маску подсети и тем самым разбить сеть на подсети.


Вопросы и ответы

Щ . Вопросы ш ответы Занятие 1. Закрепление материала 1. Что из перечисленного ниже соответствует самой дальней (внешней) границе дей­ ствия единственной схемы? a. Дерево доменов. b. Лес. c. Домен. d. Контроллер домена. Правильный ответ: Ь. 2. Вы планируете добавить к своему сайту серверы глобального каталога. Какая схема их размещения рекомендована? a. Вы должны разместить минимум один сервер глобального каталога в каждом де­ реве доменов. b. Вы должны разместить минимум один сервер глобального каталога в каждом домене. c. Вы должны разместить минимум один сервер глобального каталога в каждом сайте. d. Вы должны сделать каждый контроллер домена сервером глобального каталога. Правильный ответ: с. 3. Каковы преимущества доверия к сокращению? Правильный ответ: доверие к сокращению позволяет устанавливать прямые доверитель­ ные отношения между двумя доменами, которые могут быть уже связаны цепочкой тран­ зитивных доверий. Доверие к сокращению ускоряет обработку запросов между связан­ ными доменами.

Занятие 2. Закрепление материала 1. Как Active Directory использует DNS? Правильный ответ: Active Directory использует DNS как службу локатора (locator service). Контроллеры домена регистрируют все предоставляемые ими службы (включая Active Directory) в DNS в виде записей SRV. 2. Какой из следующих типов записей ресурсов позволяет создать псевдоним для су­ ществующего хост-имени? a. Тип А. b. Тип ALIAS. c. Тип CNAME. d. Тип HINFO. Правильный ответ: с. 3. Вам нужно включить динамическую DNS в определенной зоне и сконфигурировать сервер так, чтобы он разрешал только безопасные обновления. Что для этого необхо­ димо? a. Зона должна быть корневой. b. Зона должна быть интегрированной в Active Directory.


Введение в Active Directory Й инфраструктуру сетей

Глава 1

c. В зоне должна быть запись SRV. d. Динамическую DNS нельзя включить в определенной зоне — только для всего сервера. Правильный ответ: Ь.

Занятие 3. Закрепление материала 1. На каком из четырех уровней модели TCP/IP-сетей выполняется маршрутизация па­ кетов между источником и адресатом? a. Прикладном. b. Транспортном. c. Межсетевом. d. Сетевого доступа. Правильный ответ: с. 2. Ваша компания зарегистрировала идентификатор сети 131.107.0.0, который исполь­ зует маску подсети по умолчанию 255.255.0.0. Вам нужно создать собственную маску подсети, позволяющую разделить сеть на максимальное количество подсетей, в каж­ дой из которых могло бы быть минимум по 20 хостов. Какой должна быть эта маска подсети? Правильный ответ: прежде всего вы должны взять часть битов от идентификатора хо­ ста в третьем и четвертом октетах. Любая собственная маска подсети со значением более 240 в четвертом октете даст вам менее 20 хостов в каждой подсети. Используя 255.255.255.240 в качестве маски подсети, вы получите максимум 4095 подсетей, в каж­ дой из которых может быть до 31 хоста. Общепринято вычитать 2 адреса из возможно­ го количества хостов, чтобы учесть идентификаторы хостов, содержащие только нули или только единицы. 3. Какую из следующих масок подсетей по умолчанию использовал бы компьютер с IP-адресом 157.54.4.201? a. 255.0.0.0. b. 255.255.0.0. c. 255.255.255.0. d. 255.255.255.255. Правильный ответ: Ь.

Занятие 4. Закрепление материала 1. Вам нужно обеспечить шифрование всех удостоверений, передаваемых между уда­ ленными клиентами и сервером маршрутизации и удаленного доступа. Какой из сле­ дующих способов аутентификации вы могли бы задействовать? a. РАР. b. CHAP. c. SPAP. d. MS-CHAP. Правильные ответы: Ь, с и d.


Вопросы и ответы -

Какой из следующих протоколов удаленного доступа используется службой марш­ рутизации и удаленного доступа чаще всего и при этом разрешает как входящие, так и исходящие вызовы? a. РРР. b. SLIP. ;. RAS. d. Шлюз NetBIOS. Правильный ответ: а.

:

Каковы преимущества VPN-соединений по сравнению с традиционными соедине­ ниями удаленного доступа по коммутируемым линиям? Правильный ответ: во-первых, удаленным пользователям, не находящимся в том же городе, что и сервер маршрутизации и удаленного доступа, не нужно делать междуго­ родных звонков для подключения к сети. Во-вторых, применение VPN-соединений резко сокращает расходы на оборудование, необходимое для поддержки множества одновре­ менных соединений, и соответствующее количество телефонных линий. Наконец, реше­ ния на основе VPN обычно предоставляют более скоростные соединения (по широкопо­ лосным подключениям к Интернету) за меньшую цену, чем традиционные решения на основе коммутируемых линий.


Г Л А ВА

2

Анализ существующей инфраструктуры

Занятие 1. Изучение структуры организации

47

Занятие 2. Анализ топологии существующей сети

55

Занятие 3. Анализ структуры существующих каталогов

59

Темы экзамена •

Изучение топологии сети и уровней производительности: • выявление ограничений в текущей инфраструктуре сети; а оценка требований к производительности каждой из основных подсистем.

и

Анализ существующей реализации сетевой операционной системы: а определение существующей модели доменов; а идентификация количества и местонахождения контроллеров доменов в сети; а сбор детальных сведений о конфигурациях всех серверов в сети (серверы могут быть таких типов, как основные контроллеры доменов, резервные контроллеры доменов, файловые серверы, серверы печати и Web-серверы).

н

Анализ влияния Active Directory на существующую сетевую среду. • анализ требований к взаимодействию; • анализ текущего уровня обслуживания в существующей сетевой среде; а анализ текущей модели администрирования сети; • анализ требований к сети.

Анализ требований к службе каталогов Active Directory по безопасности. а изучение существующих политик, стандартов и процедур безопасности; • определение влияния Active Directory на текущую инфраструктуру защиты; а идентификация существующих доверительных отношений.

Анализ влияния проекта инфраструктуры на существующую сетевую среду. • определение требований к аппаратному и программному обеспечению; а определение требований к взаимодействию;


Занятие 1 л з

изучение структуры организации

определение текущего уровня обслуживания в существующей сетевой среде; определение требований к сети.

В этой главе Прежде чем погружаться в детали установки Microsoft Windows Server 2003, создания доменов и организации ресурсов, вы должны глубоко изучить текущую конфигурацию сети. Понимание структуры вашей компании наряду с анализом структуры существую­ щей сети жизненно необходимо для успешной реализации вашего плана новой инфра­ структуры. Эта глава посвящена тому, как собирать информацию; здесь вы ознакомитесь с зада­ чами, которые вам предстоит решить до того, как проектировать свою инфраструктуру сети и службы каталогов Active Directory. Прежде чем приступать к закупкам аппаратнопрограммных средств или к реализации каких-либо рекомендаций, вы должны понять структуру самой организации, а затем провести анализ существующих структуры сети и модели доменов.

Прежде всего Для изучения материалов этой главы необходимо ознакомиться с концепциями, пред­ ставленными в главе 1.

Занятие 1. Изучение структуры организации Первый шаг в анализе сетевой инфраструктуры компании — изучение самой компании. Понимание того, как работает организация и как идут в ней информационные потоки, ляжет в основу вашего проекта сети.

Изучив материал этого занятия, вы сможете: •/ определить географическую модель организации; S создать карту территориального размещения организации; •S собрать сведения об информационных потоках в организации.

Продолжительность занятия — около 20 минут.

Учет географии организации Ваша первая задача — определить физическое размещение различных отделов, подраз­ делений или филиалов компании. С точки зрения формирования сети, самых крупных затрат требует соединение между разными физическими точками. WAN-канал связи между городами, например, не только имеет более узкую полосу пропускания, чем LAN-соединения, но и стоит относительно дороже. Поэтому одной из основных целей вашего проекта будет минимизация сетевого трафика по WAN-каналам (или хотя бы контроль за временем их использования). Чем шире территориальный охват сети, тем важнее эта цель.


Анализ существующей инфраструктуры

Глава 2

Подготовка к экзамену В версиях Windows, предшествовавших Windows 2000, Microsoft рекомендовала создавать один домен на каждую территориальную область. Теперь это не так. Следуя принципу «чем проще, тем лучше», Microsoft рекомендует по возможно­ сти использовать один домен на всю организацию. Для разграничения по территориаль­ ному признаку с целью управления сетевым трафиком используйте сайты, а для разгра­ ничения по тому же признаку с целью администрирования — организационные единицы (organizational units, OU). . . , Microsoft определяет четыре основные географические модели: локальная, региональ­ ная, национальная и международная. Кроме того, существуют два других типа офисов, которые могут вам понадобиться, — дочерние фирмы и филиалы (branch offices). Локальная модель Локальная географическая модель — самая простая и одна из тех, в которых все ресурсы соединены быстрыми и постоянными каналами связи. В локальной модели обычно реа­ лизуют только один сайт и только один домен. Соответствующей компании незачем со­ здавать соединения между разными географическими точками с использованием средств сторонних поставшиков. По сути, за локальные границы скорее всего будут выходить канал связи с Интернетом и какие-то линии для удаленного доступа пользователей. По сравнению с другими моделями она не требует особых усилий в планировании. Сетевой трафик не является особо важным фактором ввиду высокой пропускной спо­ собности и доступности локальных соединений. Подавляющее большинство сетей в мире являются локальными. Региональная модель В региональной модели все участки находятся в пределах одной, четко очерченной тер­ ритории. Пример региональной сети показан на рис. 2-1.

Мемфис Ф^5±2-«ИАО&41ИЫЙ канал Frame Relay у/дтланта У256-килобитный канал Frame Relay Мобил щ

Рис. 2-1. Типичная региональная сеть


Занятие 1

Изучение структуры организаций

Существует несколько ключевых отличий региональной модели от более сложных и более крупных моделей (национальной и международной). Самое важное — все каналы связи между географическими точками в региональной модели обычно относятся к одно­ му типу и предоставляются одним провайдером. Другое важное отличие в том, что сети, соответствующие региональной модели, сравнительно просты в установке. То есть соединения между географическими точками должны быть высокоскоростными WANканалами с постоянным подключением.

Национальная модель Масштаб национальной модели на ступень выше региональной. Хотя одно ее название предполагает, что данная компания территориально охватывает всю страну (обычно так и бывает), еще одна отличительная особенность, которая позволяет отнести компанию к национальной модели, — сложность сети. Компания, отвечающая национальной моде­ ли, скорее всего располагает разными WAN-каналами от разных провайдеров. Наличие более медленных каналов (менее 512 Кбит/с) между несколькими участками также ус­ ложняет ваш проект и позволяет отнести сеть такой компании к национальной модели. Соединения удаленного доступа используются гораздо чаще и могут быть частично ос­ нованы на WAN-каналах. Возможно применение разных топологий сетей, например Asynchronous Transfer Mode (ATM) и Frame Relay. Помимо сложности соединений между участками, в компаниях, отвечающих этой модели, обычно учитывают и другие факторы, в том числе: • наличие офисов в нескольких часовых поясах; • необходимость учета различий в местном законодательстве; • большее число пользователей.

Международная модель Главная отличительная характеристика компании, соответствующей международной модели, — ее сети пересекают границы стран (рис. 2-2). Многое из того, что относится к национальной модели, распространяется и на международную. Тот факт, что такая ком­ пания использует каналы связи разных типов от разных провайдеров, осложняется тем, что соединения устанавливаются по международным линиям. Важно, чтобы вы понима­ ли стоимость различных соединений и их надежность. Эта модель требует гораздо более тщательного планирования по сравнению с остальными. Здесь вам придется иметь дело с более серьезными различиями в законодательстве, появятся и языковые проблемы. Вы должны учитывать, какой контент считается допу­ стимый в той или иной стране, законы, регулирующие экспорт в разных странах, трудо­ вое законодательство и даже тарифы.

Филиалы Филиал — офис, так или иначе контролируемый вашей компанией, но сохраняющий некую степень самостоятельности. Примеры организаций, традиционно располагающих филиалами, — банки, страховые компании и крупные сети магазинов. В филиалах обыч­ но не поддерживают все сетевые службы, поддерживаемые в главном офисе. Однако в зависимости от типа соединения между филиалом и главным офисом может оказаться необходимым продублировать некоторые службы в филиале, чтобы уменьшить трафик по соединяющей сети.


йализ существующей инфраструктуры

Глава

512-килобитны'й * * N " - N ^ канал Frame Relay 64\\ килобит-\\ ный \ канал \ Frame ' Relay

\ \

64-кмлобитный канал Frame Relay

Рис. 2-2. Международная сеть Филиалы, как правило, не выступают в роли связующих звеньев, или хабов (hubs) между другими офисами; вместо этого каждый филиал соединяется с главным офисом напрямую (рис. 2-3). Конечно, бывают и исключения. В особо крупных, распределен­ ных компаниях, например в сети универмагов (department stores), можно обнаружить, что региональные филиалы связаны с национальной штаб-квартирой. В свою очередь более мелкие филиалы могут подключаться к региональным филиалам, а не напрямую к главному офису. Это позволяет распределить полномочия в управлении структурой сети и работать эффективнее, так как каждый региональный филиал управляет более мелки­ ми филиалами. Филиалы могут располагать (а могут и не располагать) ИТ-персоналом или штатом администраторов, и в них обычно нет пользователей со столь разнообразными потреб­ ностями, как в центральном офисе. Более мелкие филиалы полагаются на ИТ-персонал, сетевые службы и экспертов, предоставляемых центральным офисом.

Дочерние компании Дочерняя компания (subsidiary office) является частью основной компании, но не управ­ ляется ею. Классический пример — организация, купившая другую компанию, чтобы предлагать на рынке специфические услуги второй компании (возможно, в увязке со своими услугами). Обычно дочерняя компания располагает собственным штатом администраторов и ИТотделом — в конце концов, раньше она была отдельным предприятием. Проектировщику


Анализ существующей инфраструктуры

64-

Глава 2

512-килобитный "~^^^_^ канал Frame Relay

V4

КИЛОбИТ-\\

ный канал Frame Relay

\ \ '

\ \

64-килобитный канал Frame Relay

Рис. 2-2. Международная сеть Филиалы, как правило, не выступают в роли связующих звеньев, или хабов (hubs) между другими офисами; вместо этого каждый филиал соединяется с главным офисом напрямую (рис. 2-3). Конечно, бывают и исключения. В особо крупных, распределен­ ных компаниях, например в сети универмагов (department stores), можно обнаружить, что региональные филиалы связаны с национальной штаб-квартирой. В свою очередь более мелкие филиалы могут подключаться к региональным филиалам, а не напрямую к главному офису. Это позволяет распределить полномочия в управлении структурой сети и работать эффективнее, так как каждый региональный филиал управляет более мелки­ ми филиалами. Филиалы могут располагать (а могут и не располагать) ИТ-персоналом или штатом администраторов, и в них обычно нет пользователей со столь разнообразными потреб­ ностями, как в центральном офисе. Более мелкие филиалы полагаются на ИТ-персонал, сетевые службы и экспертов, предоставляемых центральным офисом.

Дочерние компании Дочерняя компания (subsidiary office) является частью основной компании, но не управ­ ляется ею. Классический пример — организация, купившая другую компанию, чтобы предлагать на рынке специфические услуги второй компании (возможно, в увязке со своими услугами). Обычно дочерняя компания располагает собственным штатом администраторов и ИТотделом — в конце концов, раньше она была отдельным предприятием. Проектировщику


Изучение структуры организаций

Снятие 1

Типичная структура филиалов

v

Структура при наличии региональных филиалов

•У

Г'\ г^\ ,^\ Рис. 2-3. Типичная и структура филиалов и структура при наличии региональных филиалов сети это создает особую проблему. Весьма вероятно, что рабочие процессы в дочерней компании отличаются от тех, которые приняты в основной компании. Ее администрато­ ры поддерживают свои политики и могут сопротивляться принятию новых политик. Воз­ можно, вы сочтете необходимым создать отдельный домен и пространство имен для до­ черней компании. Также вероятно, что в дочерней компании предъявляются другие тре­ бования к безопасности и сетевым службам. Ваш проект должен учитывать как автоно­ мию дочерней компании, так и политики, действующие в основной компании. Подготовка к экзамену Маловероятно, что на экзамене вам покажут какую-то компа­ нию и спросят, к какой модели она относится. Тем не менее понимание базовых моделей в дальнейшем поможет вам в определении потребностей компаний.

Запись результатов анализа При определении географических границ компании можно взять простую карту, кото­ рая заведомо охватывает все территориальные подразделения этой компании. Напри­ мер, вы могли бы использовать карту западного полушария для международных компа­ ний, имеющих подразделения в Северной и Южной Америке. Для региональной компа­ нии с подразделениями в Джорджии,. Алабаме и Теннесси хватит карты юго-восточной части США. Если же структура компании очень сложна, то, по-видимому, стоит подго­ товить отдельные детализированные карты для каждого региона, в котором есть подраз­ деления этой компании; такие карты должны быть связаны с более крупной, менее дета­ лизированной картой. Задайте себе следующие вопросы, я В каких городах есть офисы у данной компании? • Что представляет собой данный офис — штаб-квартиру, филиал или дочернюю ком­ панию? В случае дочерних компаний, даже малых, весьма вероятно, что вам придет­ ся подготовить отдельные проекты, отличающиеся по структуре от общего проекта.


Анализ существующей инфраструктуры

Глава 2

я Сколько пользователей в каждом офисе? в Как соединены офисы? Пока просто отметьте типы соединений (например, линия Т1), максимальную пропускную способность каждого соединения и поставщиков со­ ответствующих каналов связи. Обязательно поговорите с администраторами сетей и узнайте, насколько они удовлетворены этими соединениями и поставщиками; также выясните уровень надежности соединений и что на этот счет предлагает каждый по­ ставщик. • По какому тарифу компания оплачивает сетевой трафик? За использование некото­ рых соединений оплата взимается на основе общего трафика, переданного по дан­ ному каналу связи за месяц. Другие соединения оплачиваются исходя из пикового трафика. Поэтому не забывайте отмечать на своих схемах применяемые тарифные планы. а Если соединения пересекают границы государств, проверьте, нет ли каких-то осо­ бенностей, связанных с тарифами и законами по экспорту. По мере чтения этой главы вы продолжите заполнять информацией свои карты и создавать другую проектную документацию.

Оценка текущего использования WAN-соединений Подготовив свою географическую карту (или карты) и определив максимальную полосу пропускания WAN-каналов между участками, вы должны установить текущие уровни использования каждого соединения. Сравнивая максимальную полосу пропускания с текущим ее использованием, вы поймете, какая полоса пропускания свободна. Провайдер каждого WAN-соединения скорее всего сможет предоставить вам стати­ стику использования. В ином случае придется собирать информацию самостоятельно. Вы должны выяснить, какая часть полосы пропускания используется в определенные часы дня, — это даст представление об обычном характере работы с сетью. Вы также должны отметить объем сетевого трафика при важнейших событиях в сети, когда, на­ пример, пользователи входят в сеть утром (или вечером), выполняются операции резер­ вного копирования, осуществляется репликация каталога или другой информации и т. д. Нанесите полученные данные на основную схему (или на отдельную в более слож­ ных случаях). Наряду с максимальной полосой пропускания для каждого соединения следует отмечать пиковое и среднее использование, а также обращать внимание на опре­ деленные часы дня и записывать причины высокого уровня сетевого трафика.

Информационные потоки Информация жизненно важна для любой современной компании. При проектировании сети не забывайте: весь смысл вашей работы в том, чтобы сотрудники компании могли создавать, хранить, распространять, находить и использовать информацию. Вы должны провести детальный анализ того, с какими видами информации имеет дело данная ком­ пания, откуда она берется, кто ее создает, где она хранится, куда передается и кто имеет права на доступ к ней. В каждом отделе или подразделении компании вам нужно поговорить с ключевыми сотрудниками о том, какие виды информации они используют. Задайте им следующие вопросы. а Какие типы документов создаются в их отделе и в каких приложениях? н Для кого предназначены эти документы? Только ли те, кто создают данные докумен­ ты, хранят их и обращаются к ним? Не передаются ли созданные документы другим


Занятие 1

Изучение структуры организаций

м

сотрудникам отдела или компании в целом? Хранят ли они их и обращаются ли к ним? Каков круг таких сотрудников? Нужна ли распечатка документов? Являются ли какие-то документы общедоступными, например, через Интернет? Если да, кто отвечает за публикацию информации — сами пользователи или кто-то еще? Кто? Где хранятся такие документы? На этот вопрос важно получить ответ как от пользо­ вателей, так и от сотрудника ИТ-отдела. Типичный пользователь может ответить «в папке Мои документы (My Documents)» или «на моем диске Z:». В то же время администратор сети скажет вам, хранится информация на сервере или на компью­ терах пользователей и как пользователю предоставляется доступ к этому хранилищу. Хранится ли информация в БД? Если да, то какая и в какой базе? Сколько пользова­ телей имеют доступ к ней? Глее находится эта БД?

Еще несколько вопросов, на которые вы должны ответить себе, связаны с тем, каки­ ми средствами связи пользуются сотрудники компании. • Является ли электронная почта основным механизмом коммуникационной связи между сотрудниками? • Применяется ли механизм мгновенного обмена сообщениями (instant messaging), а если нет, то возможно ли вообще его применение? • Что представляет собой телефонная система? На каком оборудовании она построена и где находится? Связана ли она с компьютерной сетью? На заметку На стадии сбора информации возникает соблазн просто пойти и погово­ рить с людьми. Однако лучше как следует подготовиться. Приходите с вопросами, на которые нужно получить ответы в первую очередь. Решите, кто сумеет ответить на них. Помните, что не всякий, с кем вы будете говорить, хорошо разбирается в компьютерах (или хотя бы интересуется ими). Мой совет — начинайте с сотрудников ИТ-отдела. Но будьте осторожны, чтобы они не подумали, что вы чересчур назойливы и лезете не в свое дело. Учтите, что многие, с кем вы будете разговаривать, наверняка приложили руку к проектированию существующей структуры сети. Также поговорите с сотрудниками в каждом отделе. В ИТ-отделе вам, вероятно, под­ скажут, к кому лучше обращаться. В отделах обычно полагаются на квалифицирован­ ных пользователей для оказания базовых администраторских услуг. С ними и следует пообщаться.

Анализ текущей модели администрирования Поскольку многие цели вашего проекта так или иначе направлены на минимизацию уси­ лий в администрировании, важно понять'Текущую структуру администрирования, при­ нятую в ИТ-отделе. Начнем с того, что существует две базовые модели администрирова­ ния: централизованная и децентрализованная. При централизованной модели сеть полностью обслуживается штатом ИТ-отдела. Его менеджеры контролируют все части сети, в том числе структуру Active Directory. У этой модели два основных преимущества. Во-первых, упрощается структура админи­ стрирования. Это означает, что облегчается принятие решений и что вы можете исполь­ зовать меньше OU при проектировании структуры Active Directory, так как нет особой необходимости делегировать административные полномочия. А во-вторых, чем меньше


Анализ существующей инфраструктуры

Глава 2

группа лиц, отвечающая за поддержку сетевых служб, тем большего единообразия уда­ ется достичь в проекте и в подходе к управлению. Недостаток централизованной модели в том, что она не слишком хорошо масштаби­ руется. В более сложной сети, распределенной по большей территории, централизован­ ное администрирование нередко приводит к замедлению многих процессов. В децентра­ лизованной модели эта проблема снимается благодаря наличию администраторов на каж­ дом участке. Если участок небольшой, ИТ-специалистов могут заменить квалифициро­ ванные пользователи. В некоторых проектах локальным администраторам передается полный контроль над локальными ресурсами. Как уже упоминалось, реальное преиму­ щество этой модели состоит в том, что возникающие проблемы или вопросы решаются на месте. Однако это преимущество имеет свою цену. Поддержка децентрализованной модели требует усложнения структуры сети и Active Directory. А это обычно означает, что нужно создавать больше OU или доменов. Кроме того, содержание административ­ ного персонала на различных участках затрудняет своевременное обучение. Отмечая особенности административной модели в данной компании, включите сле­ дующие сведения. • Сделайте простую схему организационной структуры, по которой была бы ясна иерархия сотрудников административного персонала. Если в компании используется децентрализованная модель, подготовьте такую схему для каждого участка. и Узнайте, кто управляет бюджетом, выделяемым на ИТ. Выясните, когда определяется бюджет и какие его параметры повлияют на ваш проект. • Если для управления какими-то службами используется аутсорсинг, получите их спи­ сок, выясните, какая организация предоставляет эти услуги и какова их стоимость. Опишите процесс принятия решений по ИТ. Все ли решения принимаются сверху? Не предоставляется ли некая степень самостоятельности в управленческой цепочке? Если да, то каковы границы этой самостоятельности? В основном вас должно инте­ ресовать, кто и какие решения принимает при изменении сети и ее обслуживании.

Планирование на будущее Одна из замечательных особенностей Windows 2003 — ее масштабируемость: размеры сети можно увеличивать без лишних издержек. Однако это не означает, что вам не нуж­ но думать о будущем при проектировании сети. Ваши планы должны предусматривать возможность изменений, в том числе появление дополнительных участков и изменение численности персонала.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какие факторы, помимо сетевых соединений, усложняют проектирование сети для международной компании? 2. В чем разница между филиалом и дочерней компанией? 3. Вы готовите географическую карту для компании с тремя участками в пределах одного штата. Два участка соединены выделенной линией Т1. Третий участок под-


Занятие 2

Анализ ТОПОЛОГИЙ существующей сети

ключей лишь к одному из первых двух, при этом используется 64-килобитная ли­ ния. К какой географической модели можно отнести эту компанию?

Резюме •

Существует четыре географических модели компаний: локальная, региональная, на­ циональная и международная. Основные различия между этими моделями (кроме государственных границ) заключаются в уровне сложности сети и статусе соедине­ ний между участками. • При рассмотрении географических факторов следует учитывать два типа офисов: филиалы (контролируются компанией) и дочерние компании (принадлежащие основной компании, но обычно располагающие своими штатом и сетевыми поли­ тиками). • Вы должны максимально полно выяснить, как информация создается, хранится и передается внутри организации.

Занятие 2. Анализ топологии существующей сети Уяснив структуру компании, переходите к оценке существующей сети. На этом заня­ тии вы научитесь собирать информацию о схеме IP-адресации, о том, как в сети осуществляется маршрутизация, а также о серверах и ресурсах. Изучив материал этого занятия, вы сможете:

•/ описать текущую сетевую среду; •S идентифицировать серверы и рабочие станции в сети; •S описать требования к производительности. Продолжительность занятия - около 30 минут.

Сетевая среда Создавая географическую карту компании, вы определили основные участки и получи­ ли базовые сведения о сетевых соединениях между этими участками. Теперь вы начнете собирать более детализированную информацию о существующей структуре сети.

Маршрутизаторы и другое сетевое оборудование Начните сбор информации с создания индивидуальной схемы для каждого географиче­ ского участка. Здесь отлично подойдет простая концептуальная схема. Каждый участок должен быть отдельной LAN, в которой все хосты соединены друг с другом. На схеме нужно указать следующее. • Разделена ли LAN на подсети. • Местонахождение маршрутизаторов — служат они для соединения подсетей в LAN или для подключения LAN к WAN. Определите производителя и модели маршрута-


Анализ существующей инфраструктуры

• в

А

Глава 2

заторов, а также тип маршрутизации, обеспечиваемой ими. Кроме того, отметьте любые другие службы, например DHCP или DNS, которые предоставляет маршрути­ затор. Выясните версию программного обеспечения или микрокода (прошивки). Если маршрутизатор базируется на Windows, нужно отметить другие службы (если таковые есть), предоставляемые маршрутизатором, и версию Windows, под управлением ко­ торой он работает. Тип применяемых кабелей и где они проложены. Если сеть построена по устаревше­ му стандарту, то, вероятно', её пора модернизировать. Расположение соединительных панелей (patch panels) и монтажных шкафов (closets). Отметьте, какие типы компонентов там находятся и какие типы соединений они обес­ печивают. Размещение оборудования для поддержки удаленного доступа. Если ваша компания предоставляет удаленный доступ по коммутируемым линиями (dial-up access) множе­ ству пользователей, должны быть стойки с соответствующим оборудованием. Вы дол­ жны записать название компании-производителя, марку и модель этого оборудова­ ния, а также отметить, как оно подключено к сети. Если оно не контролируется Windows-сервером, решите, понадобится ли это в дальнейшем. В сложных средах следует подготовить схему и набор документов для каждой LAN. на географической карте нужно отметить, как эти LAN соединены друг с другом.

1Р-адресация Описав физическую структуру сети, займитесь схемой адресации по Internet Protocol (IP). Ваш первый шаг — выяснить, какой IP-адрес или диапазон адресов компания арендова­ ла у своего Интернет-провайдера. Далее вы должны определить, используются в сети общедоступные IP-адреса или частные. Вам также понадобится узнать, как выделяются IP-адреса в сети — вручную (что крайне маловероятно в любой сети, кроме самой ма­ лой) или автоматически через Dynamic Host Configuration Protocol (DHCP). Затем следует задокументировать информацию по каждой подсети. в Идентификатор сети и маску подсети, а также диапазон идентификаторов хостов для каждой подсети. • Основной шлюз для хостов в подсети. • Имеется в подсети DHCP-сервер или в ней используется агент ретрансляции DHCP (DHCP relay agent). в Любая дополнительная информация, назначаемая DHCP-сервером, например адре­ са DNS-серверов. • Список TCP- и UDP-портов, используемых службами в сети, особенно если приме­ няются собственные службы или если для стандартных служб задействованы порты с номерами, отличными от общеизвестных.

Серверы и рабочие станции Много работы при сборе информации о сети требует сведение воедино данных о ком­ пьютерах, из которых состоит сеть. Вы должны создать инвентарный список (inventory) каждой системы и определить, когда система используется наиболее интенсивно.


Занятие 2

Анализ ТОПОЛОГИИ существующей сета

Создание инвентарного списка Создание инвентарных списков для компьютеров в сети отнимает много времени, и вы наверняка захотите воспользоваться уже имеющейся информацией. Но обязательно про­ верьте актуальность этой информации, — не исключено, что она уже устарела. Если же такой информации слишком мало, используйте программное обеспечение, автоматизи­ рующее сбор инвентарных сведений, а также попросите помочь кого-то из сотрудников ИТ-персонала. При инвентаризации системы обращайте внимание на следующие данные. • Имя компьютера, его текущая IP-конфигурация, местонахождение в сети. • Изготовитель и модель компьютера. Если компьютер собран самостоятельно или по заказу, нужно еще внимательнее отнестись к компонентам, из которых он собран. Убедитесь, что у вас есть доступ к драйверам нужного оборудования. • Изготовитель и модель материнской платы, а также версия ее BIOS. • Тип процессора и его тактовая частота. • Объем и тип памяти. • Размер, тип и изготовитель жестких дисков, а также контроллеров дисковых устройств. • Изготовитель и тип сетевых адаптеров. Обязательно отметьте, какие типы соедине­ ний и скорость передачи данных поддерживает адаптер. • Изготовители и модели любых подключенных периферийных устройств. Обязатель­ но отметьте текущие версии драйверов или прошивок. • Любые службы, работающие в системе. В случае серверов сюда нужно включить све­ дения о таких службах, как DHCP, DNS или WINS. На рабочих станциях тоже могут выполняться какие-то службы. Если система является контроллером домена, вы дол­ жны собрать и те сведения, о который пойдет речь на следующем занятии. • Установленное ПО. Обязательно укажите названия программных продуктов, версии и любые установленные обновления, а также ключ для активации продукта (если та­ ковой требуется). • Общие папки и принтеры, сконфигурированные в системе. Отметьте также права и разрешения, выданные пользователям и группам на доступ к этим общим ресурсам. • Список пользователей, имеющих доступ к системе. Примечание Кроме аппаратно-программных средств, необходимых для работы Windows Server 2003, следует определить количество контроллеров домена, необходимых для под­ держки вашего плана Active Directory, и требования к оборудованию каждого такого кон­ троллера. Подробнее на эту тему см. главу 5.

В какое время используется система При инвентаризации системы, особенно сервера, не пожалейте времени на анализ того, в какие часы суток используется система. Поговорите с пользователями, если это воз­ можно, а также с ИТ-персоналом. Эта информация нужна для того, чтобы определить, в какое время можно отключить систему от сети и провести ее модернизацию. Обычно модернизация и обслуживание систем проводится в нерабочее время. Однако в некото­ рых системах (например на серверах удаленного доступа и менеджерах репликации) пи­ ковая нагрузка наблюдается как раз в нерабочее время. Поэтому в вашем плане нужно продумать расписание развертывания.


Анализ существующей инфраструктуры

Глава 2

Анализ требований к производительности Высокая производительность важна в сетевой среде. Серверы должны передавать ин­ формацию другим серверам и выполнять свои задачи за приемлемое время. Пользо­ ватели хотят побыстрее получать ответы от сетевых служб. Поэтому, собирая сведения о сети от администраторов и пользователей, обратите внимание на их отзывы о произ­ водительности сети. Хотя к этим отзывам следует относиться с долей здорового скеп­ тицизма (в конце концов, разве найдется хоть один пользователь, который сказал бы, что сеть работает слишком быстро?), обратить на них внимание все же стоит. Когда многие пользователи жалуются на одну и ту же проблему, что-то, наверное, нуждается в усовершенствовании.

Изучение нерешенных проблем Прежде чем вы начнете проверку производительности сети и анализ ее соответствия ва­ шим требованиям, выявите любые проблемы, которые пока не решены и которые могут повлиять на производительность. Очевидно, что эта задача потребует привлечения ИТперсонала, так как лишь им известны все существующие проблемы. Обработав информацию об известных проблемах, постарайтесь добиться должной настройки текущей конфигурации сети и установки всех обновлений. То есть вы долж­ ны убедиться, что сетевое оборудование вроде маршрутизаторов правильно сконфигу­ рировано и что прошивки обновлены до последних версий. В случае серверов просмо­ трите их журналы событий на предмет проблем, о которых вы, возможно, не знали, ус­ тановите любые необходимые обновления для операционной системы и сетевых компо­ нентов и проверьте правильность настройки служб и сетевых компонентов.

Проверка текущей производительности Один из лучших способов оценить производительность сети или хотя бы прочувствовать ее, сесть рядом с основными пользователями и понаблюдать за скоростью операций. Обратите внимание на то, сколько времени уходит на запуск компьютера, вход в сеть, запуск приложений и доступ к сетевым ресурсам. Проверьте журналы для основных служб в сети и посмотрите, все ли выполняется в пределах ожидаемого. Не отнимает ли резервное копирование больше времени, чем пред­ полагалось? И как насчет доступа к базе данных или репликации? Получив общее представление о производительности сети, протестируйте с помощью нескольких инструментов серверы и сетевые соединения. в Консоль Производительность (Performance Console). Эта консоль (которая в версиях Windows, предшествовавших Windows 2000, называлась Performance Monitor) позво­ ляет наблюдать за использованием ресурсов на компьютере. Она полезна для опреде­ ления базовых параметров производительности ключевых системных компонентов, в том числе процессора, памяти, дисковой подсистемы и сетевых соединений. В кон­ соли Производительность используется оснастка Системный монитор (System Moni­ tor). Описание этих средств вы найдете в документации на Windows Server 2003. в Сетевой монитор (Network Monitor). Применяется для анализа локальных сетей и выявления проблем в них. Эта утилита захватывает кадры (frames) или пакеты, пе­ редаваемые по сети, и предоставляет инструменты для анализа захваченной инфор­ мации.


Занйтяе 3

АЙЗЛЙЗ структуры существующих каталогов

Оценка требований Определив текущие уровни производительности в сети, вы должны оценить, соответ­ ствуют ли они вашему проекту. Во-первых, прикиньте, способны ли серверы работать с Windows Server 2003 и любыми службами, необходимыми для выполнения их ролей в сети. Во-вторых, следует определить, справится ли сама сеть с трафиком, который заложен в вашем проекте. Эта оценка на самом деле будет не раз пересматриваться в процессе планирова­ ния. В частности, если вы обнаружите, что ваш проект Active Directory превышает воз­ можности существующей сети, вам придется решать, что делать дальше — увеличить пропускную способность сети или пересмотреть проект.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какую информацию вы должны собрать при инвентаризации сервера? 2. Расскажите об основных элементах IP-адресации для каждой подсети. 3. Какие два основных инструмента используются для анализа производительности в сети Windows.

Резюме я

Оцените текущую сетевую среду и соберите, в том числе, информацию о подсетях, IP-адресации и сетевом оборудовании на каждом участке. и Создайте инвентарный список серверов и рабочих станций на каждом участке. В него следует включить описание аппаратно-программных средств и используемых служб. Также отметьте характер использования систем, чтобы выбрать наиболее оптималь­ ные периоды времени для их обновления. • Анализируя требования к производительности, начните с выявления любых суще­ ствующих пробле�� и проверки правильности конфигураций. Составьте представле­ ние о впечатлениях пользователей от работы с сетью и их ожиданиях, а затем про­ верьте текущую производительность. В процессе планирования будьте готовы к час­ тому пересмотру этих требований.

Занятие 3. Анализ структуры существующих каталогов Анализ структуры каталогов состоит в том, что вы выявляете существующую модель до­ менов, применяемую в сети, и определяете то, как распределяются ресурсы между доме­ нами. Если Active Directory уже используется, вы также должны определить текущие гра­ ницы лесов, организационные единицы и размещение контроллеров доменов.


Анализ существующей инфраструктуры

Глава 2

Изучив материал этого занятия, вы сможете: •S •S •S •S

описать текущую модель доменов; идентифицировать существующие доверительные отношения; описать текущую структуру организационных единиц; определить размещение и роли контроллеров доменов.

Продолжительность занятия — около 30 минут.

Анализ существующей инфраструктуры Windows 2000 Если в сети уже создана структура Active Directory, исходите из того, что она проектиро­ валась с учетом определенных факторов. Поэтому, собирая информацию о текущей структуре, внимательно изучите, почему она спроектирована именно такой. Если этот проект в целом вас устраивает, то, возможно, понадобится лишь оптимизация существу­ ющей структуры, чтобы она точнее соответствовала вашим требованиям. Текущая модель доменов Первый шаг в документировании существующей модели доменов — создание базовой схемы, подобной показанной на рис. 2-4. Эта схема должна отражать имеющиеся доме­ ны, а также их организацию в деревья и леса. Для более сложных структур придется соз­ дать несколько схем — по одной на каждое дерево доменов. . Корневой домен для treyresearch.com

Корневой домен дляi cpancll.com

Корень леса

/

/

/ treyresearch com

/ \

/ /

\

, treyresearch.com

Л . -Л

/f /

\

\

treyresearch.com

Доверие к сокращению research. dallas. cpandl.com

Рис. 2-4.

• •

Схематическое отображение существующей структуры доменов Windows 2000

Обязательно включите в схему следующую информацию: полное имя домена; какой домен является корневым в каждом дереве доменов;


Занятие 3

• • • •

Анализ структуры существующих каталогов

какой домен является корневым в лесу; любые созданные доверия к сокращению (shortcut trusts); любые доверительные связи между лесами; любые односторонние доверительные связи с доменами Windows NT 4.0.

Текущая структура организационных единиц Создав общую схему, отражающую взаимосвязи доменов, вы должны создать схему для каждого домена, показывающую текущую структуру OU. Такая схема должна быть срав­ нительно простой, как на рис. 2-5.

Рис. 2-5. Схематическое отображение существующей структуры OU Вам также понадобится собрать о каждой OU следующую информацию: объекты, содержащиеся в OU (в том числе другие OU); как и какие разрешения назначаются для управления OU и содержащимися в них объектами. Здесь нужно отметить разрешения для самой OU, наследуются ли разре­ шения объектами в OU, а также любые вариации в разрешениях для объектов; в объекты групповой политики (Group Policy Objects, GPO), связанные с данной OU. Записывать эту информацию в отдельный документ для каждой OU или включить ее в какие-то другие, уже созданные документы — решать вам. Например, можно соз­ дать отдельный список ресурсов в OU или вернуться к уже созданному документу с описанием ресурсов и указать в нем, к какой OU относится каждый ресурс. • •

На заметку Документируя существующую инфраструктуру, ищите любые возможности ее упрощения. Если в этой инфраструктуре несколько доменов там, где можно было бы обойтись одним доменом с несколькими OU, сейчас самое время внести эти изменения. Если существующая структура OU слишком сложна, а система разрешений слишком запутана, то скорее всего ее с самого начала плохо продумали. В любом случае у вас появляется шанс устранить массу проблем, уменьшив глубину иерархии OU и упростив систему разрешений в OU. О том, как проектировать эффективные структуры OU, вы узнаете в следующих главах, но уже на стадии сбора информации стоит отмечать любые излишества.


g2

Анализ существующей инфраструктуры

Глава 2

Текущая структура сайтов и контроллеров домена Следующий шаг — создание другой схемы для каждого домена, отражающей то, как он делится на сайты и как на этих сайтах размещены контроллеры домена. Даже если домен содержит всего один сайт, все равно создайте эту схему и отметьте на ней контроллеры домена. Вы можете использовать документы со сведениями об аппаратно-программном обес­ печении, собранными при инвентаризации серверов и рабочих станций, но для каждого контроллера домена нужно дополнительно получить следующую информацию. • Выполняет ли сервер, используемый в качестве контроллера домена, другие роли уровня домена или леса, например роли хозяина операций (operations master roles) и т.д. Список ролей см. в главе 1. • Является ли контроллер домена еще и сервером глобального каталога. • Является ли контроллер домена сервером межсайтовой репликации (bridgehead server) информации Active Directory. • Также можно перечислить серверы, не являющиеся контроллерами домена, но пре­ доставляющие жизненно важные службы вроде DNS, DHCP, электронной почты и др. Хотя вы, вероятно, уже записали информацию об этих серверах в других докумен­ тах проекта, будет полезно отметить размещение этих серверов в структуре домена и сайтов.

Анализ существующей инфраструктуры Windows NT 4.0 Если организация на данный момент использует инфраструктуру Windows NT 4.0, работа над вашим проектом потребует больше усилий, чем при наличии у организации инфра­ структуры Windows 2000 и Active Directory. В среде Windows NT 4.0 тоже есть модель доме­ нов, но нет централизованной службы каталогов. Windows NT 4.0 использует более слож­ ную систему из основного контроллера домена (primary domain controller, PDC) и резервных контроллеров домена (backup domain controllers, BDC); кроме того, в этой среде нет такого гибкого контроля над репликацией, потому что Windows NT не поддерживает сайты вну­ три домена. Вам предстоит сделать важный выбор — обновить все «по месту» и сохранить суще­ ствующую модель доменов или модифицировать имеющуюся структуру. Помните, что в среде Windows NT 4.0 доступна лишь одна единица административного деления — доме­ ны. В Windows 2003 обычно удобнее пользоваться OU, а не доменами. Благодаря этому вы, вероятно, сможете уменьшить количество доменов в сети (или вообще свести их к одному домену), если OU будет достаточно для нужд администрирования. Одна из ва­ ших целей — упростить администрирование (тем самым уменьшив затраты на него и повысив его эффективность), поэтому чем меньше доменов вы реализуете, тем лучше. Подготовка к экзамену Прорабатывая варианты реализации, представленные в учебном курсе, вы постоянно будет решать вопрос о том, что эффективнее использовать — OU или домены. Сохранение существующей структуры доменов Windows NT дает некоторые преиму­ щества, в том числе: я все доменные объекты обновляются до модели Active Directory; • у пользователей сохраняются текущие пароли и профили;


Занятие 3

• •

Анализ структуры существующих каталогов

такая реализация отнимает меньше времени и ресурсов; сохраняются системные политики безопасности.

Однако очевидный недостаток заключается в том, что вы можете получить далеко не оптимальную структуру, не способную в полной мере задействовать средства Active Directory или не позволяющую без проблем наращивать сеть в будущем. Собирая информацию о текущей модели доменов, создайте базовую концептуаль­ ную схему наподобие показанной на рис. 2-6. На эту схему вы должны нанести следующие данные: и имя домена; • имена серверов в домене; • имена контроллеров домена; • доверительные отношения между доменами.

Рис. 2-6. Схематическое отображение существующей структуры доменов Windows NT 4.0 Помимо общей схемы доменов вы должны подготовить отдельный документ для каж­ дого существующего домена. В этом документе должна быть следующая информация. • Имя и IP-адрес каждого сервера в домене. Перечислите все службы и роли, выполня­ емые каждым сервером. Обратите внимание на такие службы, как DNS, DHCP, Internet Information Services (IIS), а также на службу маршрутизации и удаленного доступа. Если это файловый сервер или сервер БД, отметьте, как именно он исполь­ зуется, и прочие детали. Для контроллеров домена укажите, какой из них является основным, а какие служат резервными. •

Количество и имена пользователей в домене. Хотя это приведет к разбуханию вашего документа, такой список поможет в проектировании и избавит от многих ошибок в процессе реализации.


Анализ существующей инфраструктуры

• •

Глаза 2

Ресурсы, сконфигурированные в домене. К ним относятся общие сетевые ресурсы, принтеры и т. д. Члены глобальной группы администраторов домена. Это пользователи, которые по­ лучат право управлять доменом в процессе реализации вашего проекта. Запишите, как связаться с каждым из членов этой группы.

Функциональные уровни Windows 2003 В сети Windows 2003 для домена или леса доступны разные функциональные уровни в зависимости от того, все ли контроллера в этом домене или лесу работают под управле­ нием Windows Server 2003.

Функциональность домена Функциональность домена (domain functionality) влияет на то, какие средства будут доступны внутри домена. Существует четыре уровня функциональности домена. • Windows 2000 (смешанный режим) (Windows 2000 Mixed). Это функциональный уро­ вень по умолчанию. В этом случае подразумевается, что контроллеры домена могут работать под управлением Windows NT 4.0, Windows 2000 и Windows 2003. В смешан­ ном режиме доступен минимум функциональности. • Windows 2000 (основной режим) (Windows 2000 Native). В этом случае подразумевает­ ся, что контроллеры домена могут работать под управлением Windows 2000 или Windows 2003. Данный уровень обеспечивает наибольшую (после функционального уровня Windows Server 2003) функциональность. • Windows Server 2003 (промежуточный режим) (Windows Server 2003 Interim). В этом случае подразумевается, что контроллеры домена могут работать под управлением как Windows 2003, так и Windows NT 4.0. Этот уровень предназначен для использо­ вания в процессе обновления сети с Windows NT 4.0 до Windows 2003 Server. • Windows Server 2003. Это высший функциональный уровень для домена. В данном случае подразумевается, что контроллеры домена работают только под управлением Windows Server 2003.

Функциональность леса Функциональность леса (forest functionality) влияет на то, какие средства будут доступны внутри леса. Существует три уровня функциональности леса. • Windows 2000. Это функциональный уровень по умолчанию для леса; предпола­ гается, что контроллеры доменов в лесу могут работать под управлением Win­ dows NT 4.0, Windows 2000 и Windows 2003. • Windows Server 2003 (промежуточный режим). В этом случае подразумевается, что контроллеры домена в лесу могут работать под управлением как Windows 2003, так и Windows NT 4.0. Этот уровень предназначен для использования в процессе перевода леса с Windows NT 4.0 на Windows 2003 Server. • Windows Server 2003. Это высший функциональный уровень для леса. В данном случае подразумевается, что все контроллеры доменов в лесу работают только под управлением Windows Server 2003. Примечание Подробнее о функциональных уровнях Windows 2003 см. в документации на продукт или в Microsoft Windows Server 2003 Resource Kit.


Занятие 3

Аналяз структуры существующих каталогов

Лабораторная работа. Анализ существующей структуры каталогов На этой лабораторной работе вы соберете информацию, необходимую для создания про­ екта лесов и доменов Active Directory. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце данной главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих воз­ можности в передаче данных. Сейчас Northwind Traders использует основную модель доменов Microsoft Windows NT 4.0 (master domain model) и располагает отдельным доме­ ном ресурсов для каждой территории. Все домены настроены на двухсторонние довери­ тельные отношения между собой. В последние годы компания значительно расширилась и ожидает дальнейшего суще­ ственного роста в следующие три года, в том числе увеличения своей доли рынка, дохо­ дов и численности сотрудников. Помимо открытия двух новых офисов, администрация решила реализовать новый проект Windows Server 2003 Active Directory, отвечающий те­ кущим и будущим потребностям компании. В следующей таблице перечислены территории, отделы на каждой территории и ко­ личество пользователей. Территория

Отделы

Число пользователей

Париж

Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

2 000

Лос-Анджелес

Продажи Маркетинг Финансы ИТ

1000

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

750

Етазго, Шотландия

Исследования Разработка Долгосрочные проекты ИТ

750

Сидней, Австралия

Консалтинг Производство Продажи Финансы

500


Днашз существующей инфраструктур

Глава 2

Большая часть вычислительных мощностей компании находится в главном офисе в Париже. Корпоративный ИТ-отдел хочет централизовать управление паролями и пара­ метрами защиты. Локальному ИТ-отделу в Лос-Анджелесе нужно сохранить управление свой инфраструктурой без участия корпоративного ИТ-отдела. Локальный ИТ-отдел в Глазго требует эксклюзивного управления своей сетевой средой по соображениям безо­ пасности, так как должен исключить несанкционированный доступ к данным, получае­ мым в результате научно-исследовательских и опытно-конструкторских работ (research and development, R&D). Ton-менеджеры корпорации разделяют эту озабоченность и хо­ тят добиться максимальной защиты данных R&D. Следующая схема отражает соединения между разными территориальными участками компании. Кроме того, в Лос-Анджелесе и Атланте имеются VPN-соединения с главным офисом в Париже через Интернет.

Атланта

Широкополосное***'4*^ соединение

Вопросы по лабораторной работе Исходя из представленного сценария ответьте на следующие вопросы. 1. Набросайте схему текущей структуры доменов Windows NT. 2. Каковы требования Northwind Traders к автономии и изоляции? 3. Каковы административные цели Northwind Traders?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы проектируете структуру Active Directory для сети, в которой сейчас используется Windows NT 4.0. В ней 12 серверов под управлением Windows NT 4.0 и 300 рабочих станций с разными системами — Windows 98, Windows NT 4.0 Workstation и Windows XP Professional. Вся сеть расположена в одном здании. На данный момент в сети три домена Windows NT 4.0 — по одному на каждый из крупных отделов компании. Каж­ дый отдел управляет ресурсами в своем домене. Каков один из способов упрощения существующей сети при сохранении административного управления ресурсами каждого отдела за ИТ-сотрудниками этих отделов? 2. Вы собираете информацию о текущей модели доменов в сети с Windows 2000 и Active Directory. Вы подготовили схему доменов, на которой изображен каждый домен и


Пример из практики

доверительные отношения между ними. Какие документы следует подготовить по каждому домену при анализе текущей модели? 3. Перечислите несколько преимуществ сохранения существующей модели доменов Windows NT 4.0 при обновлении до Windows 2003,

Резюме •

Собирая информацию о текущей инфраструктуре Windows 2000, вы должны сна­ чала создать схему, показывающую существующие домены и их доверительные отношения. • Для каждого домена Windows 2000 создайте схему структуры OU и схему, отражаю­ щую структуру сайтов и размещение контроллеров домена. а Собирая информацию об инфраструктуре Windows NT 4.0, создайте схему, показы­ вающую домены и их доверительные отношения. Для каждого домена соберите све­ дения о контроллерах домена, пользователях и ресурсах.

Ц Пример из практики Изучите следующий сценарий и ответьте на вопросы.

Сценарий Вы должны составить план новой инфраструктуры для Contoso Ltd., производителя мо­ демов с главным офисом в Далласе, штат Техас. В настоящее время все серверы в сети этой компании работают под управлением Windows NT Server 4.0. На клиентских ком­ пьютерах установлены разные системы — Windows 98 и Windows 2000 Professional. Contoso наняла вас для модернизации сетевой инфраструктуры компании. Нужно, чтобы все сер­ веры работали под управлением Windows Server 2003 и чтобы вы подготовили проект реализации Active Directory. Компания также хочет перевести все клиентские компью­ теры на Windows XP Professional.

Краткие сведения о компании За последнее десятилетие Contoso стала одним из основных производителей модемов в стране, продавая их главным образом крупным компаниям и интернет-провайдерам. Два года назад Contoso приобрела лондонскую фирму Trey Research — производителя модемов, которая ориентирована на аналогичный рынок в Европейских странах.

География

г

Кроме основного участка, Contoso располагает двумя филиалами в США — в Атланте (Джорджия) и Сан-Франциско (Калифорния). Оба филиала имеют полноценные отделы маркетинга и продаж, но у них нет собственного ИТ-персонала. Вместо этого они пола­ гаются на ИТ-персонал в главном офисе (в Далласе). Дочерняя компания (Trey Research) находится в Лондоне. Лондонский офис распо­ лагает полным штатом сотрудников, в том числе собственным ИТ-персоналом, и само­ стоятельно управляет своей сетевой инфраструктурой. Лондонский офис также поддер­ живает собственное пространство имен.


gg

Анализ существующей инфраструктуры

Глава 2

Сетевая инфраструктура Главный офис в Далласе соединен с филиалом в Атланте 256-килобитным каналом Frame Relay, а с филиалом в Сан-Франциско — 128-килобитным. Офис в Далласе так­ же соединен со штаб-квартирой в Лондоне 64-килобитным каналом Frame Relay. В качестве опорной сети (backbone) офисы в Далласе и Лондоне используют 155-мегабитную ATM. Клиенты подключаются к опорной сети через 10/100-мегабитные соединения. В филиалах все клиенты и, серверы связаны 10/100-мегабитными соединениями. В настоящее время на каждом территориальном участке сконфигурирован свой до­ мен, имя которого соответствует названию участка. Домены филиалов и дочерней ком­ пании доверяют домену Dallas, который в свою очередь доверяет всем остальным до­ менам.

Планы на будущее На данный момент у компании нет планов по значительному расширению штатов. Од­ нако не исключено, что компания приобретет небольшую фирму в Монреале, которая владеет новой многообещающей технологией, относящейся к модемам. Если покупка состоится, компания в Монреале сохранит свой ИТ-персонал и собственное простран­ ство имен. Ваши планы должны учитывать этот момент.

ИТ-менеджмент ИТ-персонал в Далласе отвечает за обслуживание офисов в Далласе, Атланте и СанФранциско. Сеть в лондонском офисе обслуживается местным штатом ИТ-сотрудников. Однако старшие должностные лица ИТ-отдела в Далласе отвечают в конечном счете за всю сеть.

Вопросы Исходя из предложенного сценария ответьте на следующие вопросы. 1. Нарисуйте географическую карту для данной компании. Какую дополнительную ин­ формацию вы должны собрать о каналах связи между территориальными участками? 2. Допустим, что при проектировании новой инфраструктуры вы должны изменить структуру текущей модели доменов. Какие дополнительные проблемы вам придется решать из-за таких изменений? 3. Нарисуйте схему для существующей модели доменов, отметив на ней и доверитель­ ные отношения между доменами. Какие еще документы нужно подготовить по каж­ дому домену? 4. Поскольку лондонский офис сохраняет свое пространство имен и собственный ИТперсонал, какой могла бы быть структура Active Directory в вашем проекте?

Ц Резюме главы •

Существует четыре географических модели компаний: локальная, региональная, на­ циональная и международная. Основные различия между этими моделями (кроме государственных границ) заключаются в уровне сложности сети и статусе соедине­ ний между участками.


Рекомендаций по подготовке к экзамену •

• • •

• •

При рассмотрении географических факторов следует учитывать два типа офисов: филиалы (контролируются компанией) и дочерние компании (принадлежащие основной компании, но обычно располагающие своими штатом и сетевыми поли­ тиками). Вы должны максимально полно выяснить, как информация создается, хранится и передается внутри организации. Оцените текущую сетевую среду и соберите, в том числе, информацию о подсетях, IP-адресации и сетевом оборудовании на каждом участке. Создайте инвентарный список серверов и рабочих станций на каждом участке. В него следует включить описание аппаратно-программных средств и используемых служб. Также отметьте характер использования систем, чтобы выбрать наиболее оптималь­ ные периоды времени для их обновления. Анализируя требования к производительности, начните с выявления любых суще­ ствующих проблем и проверки правильности конфигураций. Составьте представле­ ние о впечатлениях пользователей от работы с сетью и их ожиданиях, а затем про­ верьте текущую производительность. В процессе планирования будьте готовы к час­ тому пересмотру этих требований. Собирая информацию о текущей инфраструктуре Windows 2000, вы должны снача­ ла создать схему, показывающую существующие домены и их доверительные отно­ шения. Для каждого домена Windows 2000 создайте схему структуры OU и схему, отражаю­ щую структуру сайтов и размещение контроллеров домена. Собирая информацию об инфраструктуре Windows NT 4.0, создайте схему, показыва­ ющую домены и их доверительные отношения. Для каждого домена соберите сведе­ ния о контроллерах домена, пользователях и ресурсах.

01 Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Базовые территориальные участки и соединения между ними диктуют физическую структуру сети, определяя IP-адресацию и маршрутизацию, структуру сайтов Active Directory и принципы управления сетевым трафиком. Административная и территориальная организация компании определяет логическую структуру сети, т. е. структуру деревьев и доменов, доверительные отношения между доменами и деление доменов на OU. Функциональный уровень сети определяется главным образом требованиями к взаи­ модействию между Windows Server 2003 и предыдущими версиями Windows. Если все контроллеры домена работают под управлением Windows 2003, вам доступен весь набор средств. При наличии контроллеров домена с Windows 2000, этот набор сокра­ щается, а при наличии контроллеров домена с Windows NT 4.0 он еще меньше. Ваш проект повлияет на сеть в том плане, что придется модернизировать серверы для поддержки новой операционной системы и расширять пропускную способность


Анализ существующей инфраструктуры

Глава 2

сети, чтобы она справлялась с возросшим трафиком. Также учтите, что на время ре­ ализации проекта сеть нужно будет отключить.

Основные термины Централизованная/децентрализованная ~ centralized/decentralized — централизованная модель администрирования требует меньшего числа OU и позволяет упростить струк­ туру управления. Децентрализованная модель обычно требует большего числа OU и иногда большего количества доменов. WAN-канал ~ WAN link — соединение между локальными сетями (LAN), расположен­ ными на разных территориях. WAN-каналы менее скоростные, менее надежные и более дорогостоящие, чем соединения внутри LAN. Важнейшая цель при проекти­ ровании сети — оптимизировать трафик по WAN-каналам. Функциональный уровень ~ functional level — набор средств, доступных в домене или лесу в зависимости от версии Windows, под управлением которой работают контроллеры в домене или лесу. Чем старее версия ОС, тем меньше этот набор.

Щ

Вопросы и ответы

Занятие 1. Закрепление материала 1. Какие факторы, помимо сетевых соединений, усложняют проектирование сети для международной компании? Правильный ответ: языковые барьеры, различия в законодательстве, законах, регулиру­ ющих экспорт, и в тарифах — вот лишь некоторые из факторов, усложняющих проекти­ рование сети для международной компании. 2. В чем разница между филиалом и дочерней компанией? Правильный ответ: главное различие между филиалом и дочерней компанией в том, что филиал управляется основной компанией, а дочерняя компания, хотя и принадлежит основной компании, более автономна и может проводить свою политику. 3. Вы готовите географическую карту для компании с тремя участками в пределах од­ ного штата. Два участка соединены выделенной линией Т1. Третий участок подклю­ чен лишь к одному из первых двух, при этом используется 64-килобитная линия. К какой географической модели можно отнести эту компанию? Правильный ответ: медленная 64-килобитная линия значительно усложняет проект сети, из-за чего географическую модель компании следует отнести к национальной. Если бы все участки были соединены высокоскоростными линиями, эту компанию можно было бы отнести к региональной модели.

Занятие 2. Закрепление материала 1. Какую информацию вы должны собрать при инвентаризации сервера? Правильный ответ: вы должны сначала собрать сведения об аппаратном обеспечении сервера, в том числе модель компьютера, а также типы и характеристики таких компо­ нентов, как материнская плата, память, дисковая подсистема и периферия. Затем нужно собрать информацию об операционной системе, установленных службах и приложениях.


Зопросы и ответы

71

-. Расскажите об основных элементах IP-адресации для каждой подсети. Правильный ответ: перечислите идентификатор сети, маску подсети, основной шлюз и дополнительную информацию, например адреса DNS-серверов. Вы также должны опре­ делить, используется ли DHCP и, если да, как он сконфигурирован для данной подсети. 3. Какие два основных инструмента используются для анализа производительности в сети Windows. Правильный ответ: консоль Производительность (Performance) (которая называлась Performance Monitor в прежних версиях Windows) служит для наблюдения за использо­ ванием ресурсов на компьютере. Сетевой монитор (Network Monitor) предназначен для захвата и анализа трафика в локальной сети.

Занятие 3. Лабораторная работа 1. Набросайте схему текущей структуры доменов Windows NT. Правильный ответ: текущая структура доменов соответствует географическому располо­ жению, поэтому на схеме следует изобразить один домен ресурсов для каждого города и единственный домен, содержащий учетные записи всех пользователей. На схеме нужно показать двусторонние доверительные отношения между доменами.

/

.• для Лос- \ Агдх-лги \

/ /

\ * \

*~~-—-~-^/ Доме» V / -isc>3so-i \ •а П мкжа \

Каковы требования Xorthwind Traders к автономии и изоляции? Правильный ответ: судя по сценарию, в изоляции данных и служб нуждается офис в Глаз­ го. Руководство офиса в Лос-Анджелесе хочет того же, но, по-видимому, нуждается лишь в автономии. Каковы административные цели Northwind Traders? Правильный ответ: централизованное управление из Парижа и до некоторой степени де­ централизованное администрирование в Лос-Анджелесе. Офис в Глазго сохранит свою инфраструктуру ИТ.


72

Анализ существующей инфраструктуры

Глава 2

Занятие 3. Закрепление материала 1. Вы проектируете структуру Active Directory для сети, в которой сейчас используется Windows NT 4.0. В ней 12 серверов под управлением Windows NT 4.0 и 300 рабочих станций с разными системами — Windows 98, Windows NT 4.0 Workstation и Windows XP Professional. Вся сеть расположена в одном здании. На данный момент в сети три домена Windows NT 4.0 — по одному на каждый из крупных отделов компании. Каж­ дый отдел управляет ресурсами в своем домене. Каков один из способов упрощения существующей сети при сохранении административного управления ресурсами каж­ дого отдела за ИТ-сотрудниками этих отделов? Правильный ответ: очевидным выбором в этой ситуации было бы использование одного домена для всей компании с созданием OU для каждого отдела. Даже если бы сеть выходила за рамки одного территориального участка, вы все равно могли создать один домен, а для управления трафиком по менее скоростному WAN-соединению использо­ вать сайты. 2. Вы собираете информацию о текущей модели доменов в сети с Windows 2000 и Active Directory. Вы подготовили схему доменов, на которой изображен каждый домен и доверительные отношения между ними. Какие документы следует подготовить по каждому домену при анализе текущей модели? Правильный ответ: создайте документ для каждого домена, отражающий структуру OU в рамках домена. Соберите информацию об объектах и разрешениях, назначенных каж­ дой OU. Также подготовьте документ для каждого домена, который показывает структу­ ру сайтов внутри домена и размещение контроллеров домена на этих сайтах. 3. Перечислите несколько преимуществ сохранения существующей модели доменов Windows NT 4.0 при обновлении до Windows 2003. Правильный ответ: этот способ дает несколько преимуществ. Все существующие домен­ ные объекты переносятся в модель Active Directory. У пользователей сохраняются теку­ щие пароли и профили. Процесс реализации проходит быстрее. Также сохраняются си­ стемные политики безопасности.

Пример из практики 1. Нарисуйте географическую карту для данной компании. Какую дополнительную ин­ формацию вы должны собрать о каналах связи между территориальными участками? Правильный ответ: на географической карте следует отметить местонахождение главно­ го офиса в Далласе, обоих филиалов и дочерней компании. Отметьте на этой карте типы соединений между каждым территориальным участком. Кроме того, выясните, кто явля­ ется провайдером каждого соединения и сколько оно стоит. Определите текущую нагруз­ ку на WAN-каналы и оцените доступную полосу пропускания. 2. Допустим, что при проектировании новой инфраструктуры вы должны изменить структуру текущей модели доменов. Какие дополнительные проблемы вам придется решать из-за таких изменений? Правильный ответ: вам придется заново создавать профили пользователей и назначать пароли. Скорее всего потребуется и пересмотр системных политик безопасности. Про­ цесс реализации займет гораздо больше времени; кроме того, сеть будет недоступна пользователям в течение более длительного периода.


Вопросы и ответы :

-

уд

Нарисуйте схему для существующей модели доменов, отметив на ней и доверитель­ ные отношения между доменами. Какие еще документы нужно подготовить по каж­ дому домену? Правильный ответ: существующая модель сравнительно проста. Каждый участок в сети (главный офис, оба филиала и дочерняя компания) сейчас находится в своем домене. Двусторонние доверительные отношения сконфигурированы между доменом в Далласе и всеми остальными доменами. Для каждого домена вы также должны собрать информа­ цию о серверах и службах в домене, количестве пользователей и о сотрудниках глобаль­ ной группы администраторов домена. Поскольку лондонский офис сохраняет свое пространство имен и собственный ИТперсонал, какой могла бы быть структура Active Directory в вашем проекте? Правильный ответ: один из вариантов, который должен отлично сработать, — создать один домен для главного офиса и обоих филиалов. Поскольку в офисе в Далласе имеется центральный ИТ-отдел, структура OU также могла бы быть довольно простой. Для кон­ троля трафика репликации между участками можно использовать сайты. Так как лон­ донскому офису нужно сохранить свое пространство имен, вы должны создать для него отдельное дерево доменов и выделить ему собственный домен. Оба дерева доменов могут быть частью одного леса. Корневым доменом леса должен быть домен в Далласе.


ГЛАВА

3

Планирование структуры Active Directory

Занятие 1. Проектирование модели лесов и доменов

75

Занятие 2. Выработка стратегии именования

86

Темы экзамена •

Проектирование инфраструктуры Active Directory в соответствии с бизнес-требова­ ниями и техническими условиями: а создание концептуального проекта структуры лесов Active Directory; о создание концептуального проекта структуры доменов Active Directory. Разработка стратегии именования для Active Directory: а определение требований к регистрации доменных имен Интернета; а использование иерархических пространств имен Active Directory; а определение требований к NetBIOS-именам.

В этой главе После того как вы собрали информацию о компании и сети, пора переключить внима­ ние на проектирование структуры Active Directory, отвечающей потребностям компа­ нии. Для построения сети, которая соответствует текущим потребностям вашей компа­ нии и которую можно масштабировать, чтобы обеспечить такое соответствие в будущем, нужно тщательно продумать структуру Active Directory. Часто оказывается, что реше­ ния, принимаемые на этапе проектирования, сложно изменить в дальнейшем, поэтому лучше потратить время на то, чтобы создать качественную структуру, проанализировать ее и при необходимости пересмотреть. При создании структуры определите количество доменов и выберите их организа­ цию — в деревья или в лес. Кроме того, выработайте стратегию именования доменов и других элементов службы каталогов Microsoft Active Directory.

Прежде всего Для усвоения материалов этой главы вы должны быть знакомы с основными концеп­ циями Active Directory, изложенными в главе 1. Также следует собрать и проанализи­ ровать всю информацию о существующей в вашей компании инфраструктуре Active Directory (см. главу 2).


Занэтие 1

Проектирование модели лесов и доменов

jg

Занятие 1. Проектирование модели лесов и доменов Первый шаг в проектировании структуры Active Directory — определение общей модели лесов и доменов, подходящей для вашей сети. Здесь нужно решить, достаточно одного домена или же придется создать несколько доменов. Также продумайте, есть ли необхо­ димость в создании нескольких деревьев доменов или даже нескольких лесов. Изучив материал этого занятия, вы сможете: •S создать концептуальный проект структуры лесов Active Directory; •S различить модели лесов и деревьев и описать их предназначение; •S выбрать, какую модель лесов и доменов следует использовать в конкретной ситуации. Продолжительность занятия — около 40 минут.

Применение одного домена Простейшая модель Active Directory — единственный домен (рис. 3-1). Подавляющее большинство сетей во всем мире позволяет использовать единственный домен, поэтому такая модель, хотя и может показаться не столь гибкой, как другие, обычно заслуживает самого тщательного рассмотрения. В сущности, при планировании структуры Active Directory полезно всегда исходить из предположения, что будет использоваться один до­ мен, и пытаться остаться в рамках этой модели. Это хороший способ отличить соблазн создать более сложную структуру от действительной необходимости так поступить.

Л contoso.com Рис. 3-1. Типичная модель Active Directory с единственным доменом В модели с единственным доменом все объекты находятся в одной зоне безопасно­ сти, поэтому не приходится заниматься планированием доверительных отношений с другими доменами или реализовать кросс-доменные аутентификацию и разрешения. Кроме того, при использовании одного домена ИТ-отделу гораздо проще обеспечить централизованное управление сетью. Модель с единственным доменом упрощает управление пользователями и группами, а также реализацию групповых политик. По сути, становится легче выполнять почти все операции по управлению сетью, а значит, требуется меньше усилий на планирование, администрирование и устранение неполадок, что в итоге приведет к сокращению общих затрат. Домены Active Directory масштабируемы в гораздо большей мере, чем домены Win­ dows NT. Поэтому исчезает существенное препятствие, не позволявшее применять однодоменные сети на основе Windows NT, в которых диспетчер учетных записей безопас-


JQ

Планирование структуры Active Directory

Глава 3

ности (Security Accounts Manager, SAM) поддерживал только до 40 000 объектов в доме­ не. В отличие от Windows NT в домен Active Directory может входить более миллиона объектов. Для еще большей масштабируемости доменов Active Directory используются два типа элементов: организационные единицы (OU) и сайты. В однодоменной модели для делегирования административных разрешений на до­ ступ к объектам домена применяются OU. В Active Directory организационные единицы представляют собой наименьшие элементы, которыми может управлять администратор. В этом состоит отличие Active Directory от доменов Windows NT (в которых наимень­ шим элементом администрирования был домен), благодаря чему больше нет нужды оп­ ределять домены исключительно для делегирования административных полномочий. Фактически OU — это контейнеры, в которые можно помещать объекты домена. OU можно назначить административные разрешения. И даже вкладывать в другие OU (со­ здавать OU внутри других OU), чтобы обеспечить более тонкое управление. Как правило, структура OU соответствует функциональной или бизнес-структуре организации. Например, вы могли бы создать по одной OU для каждого территориаль­ ного участка вашей организации, чтобы местные администраторы получили во��мож­ ность управлять ресурсами этих участков; при этом все объекты входили бы в один домен. На рис. 3-2 показан один домен, разбитый на OU по географическому прин­ ципу. Подробнее о планировании OU — в главе 4.

Рис. 3-2. Применение OU для разделения административных функций между территориальными участками OU предназначены для логического деления домена, что позволяет делегировать ад­ министративные полномочия, а сайты используются, чтобы физически разбить домен для управления трафиком репликации между контроллерами домена, связанными WANканалами. Сайт — это группа контроллеров домена, находящихся в одной или несколь­ ких IP-подсетях и связанных быстрым и надежным сетевым соединением. Быстрыми считаются соединения со скоростью от 1 Мбит/с. Другими словами, сайт обычно огра­ ничен рамками локальной сети (LAN). Если различные LAN объединены между собой с помощью WAN, вы скорее всего создадите по одному сайту для каждой LAN. О плани­ ровании структуры сайтов и контроллеров домена — в главе 5.


;.1~;тие 1

Проектирование модели лесов и доменов

-з заметку Повсюду в этом разделе (как и в большинстве разделов данной книги) часто ~::торяется одна и та же мысль: упрощайте проект насколько это возможно. Каждый ;:.волнительный элемент, добавляемый вами в проект, усложняет развертывание и, что ;_е хуже, администрирование сети. Кстати, чем сложнее эти элементы, тем больше все : :~лтывается. Например, даже простое решение использовать два домена вместо одного ^сличит издержки. Но добавьте еще одно дерево доменов, и придется иметь дело не ~:.~ъко с дополнительными доменами, но и с новой структурой именования. Потом до~.~-ъъте еще один лес, и, наверное, этого хватит, чтобы уловить, что мы имеем в виду. Человеку свойственно стремление решать сложные задачи путем деления их на более простые. Вероятно, вы поймаете себя на том, что рассуждаете так: «Поскольку у нас два :тдела, нужно создать два домена, чтобы все было в ажуре». Гоните от себя такие мысли. Запомните: две основные причины использования нескольких доменов, существовав­ шие до появления Active Directory, ушли в прошлое. Во-первых, домены Active Directory практически не налагают ограничений на число охватываемых ими пользователей или ресурсов. Во-вторых, применение сайтов для управления репликацией по более медлен­ ным WAN-каналам означает, что для этой цели домены больше не нужны. Одного доме­ на может оказаться вполне достаточно для сложной сети, которая объединяет несколько территориальных участков. Если в связи с политической, технической или административной ситуацией в компа­ нии требуется более сложная структура, приложите все усилия, чтобы усложнения за­ тронули только нижние уровни структуры Active Directory. Дополнительные OU лучше, нем дополнительные домены. Дополнительные домены лучше, чем дополнительные де­ ревья. А дополнительные деревья лучше, чем дополнительные леса. Усложняйте верхние уровни только при абсолютной технической необходимости.

Применение нескольких доменов Хотя однодоменная модель дает существенное преимущество — простоту, иногда прихо­ дится использовать несколько доменов. В последнем случае старайтесь планировать до­ мены так, чтобы все они входили в одно дерево доменов. Так как все домены в одном дереве делят одно пространство имен, административные издержки будут значительно ниже, чем при использовании нескольких деревьев. При создании нескольких доменов определять их границы лучше в соответствии с теми разграничениями внутри компании, вероятность изменения которых меньше все­ го. Например, создание доменов по территориальному принципу, как правило, надеж­ нее, чем создание доменов в соответствии с иерархией подразделений компании, по­ скольку изменение организационной структуры более вероятно, чем изменение терри­ ториальной. На рис. 3-3 показано несколько доменов, структурированных по террито­ риальному принципу. Хотя структуру доменов можно определять по любым критериям (на рис. 3-4 представлено несколько доменов, структурированных по отделам), часто оказывается, что для разграничения объектов лучше подходят OU или даже группы.


78

Планирование структуры Active Directory

houston. contoso.com

Глава 3

atlanta. contoso.com

Рис. 3-3. Домены, структурированные по территориальному принципу

chem. research. contoso.com

robotic.research. contoso.com

Рис. 3-4. Домены, структурированные по функциональному принципу Существует несколько причин, по которым может понадобиться определение не­ скольких доменов. • Нужно реализовать разные политики безопасности в разных доменах. Некоторыми политиками можно управлять только на уровне доменов. Например, для одного от­ дела может потребоваться более строгая политика управления паролями или блоки­ рования учетных записей, чем для другого.


Занятие 1

я

Проектирование модели лесов и доменов

Есть необходимость в децентрализованном администрировании. Это особенно акту­ ально для компаний, у которых имеются филиалы. В каждом филиале может быть собственный ИТ-отдел, управляющий ресурсами на этом участке. Владельцы каждо­ го домена могут создавать и удалять контроллеры домена, резервировать и восста­ навливать их данные, а также определять структуру и политики для своего филиала. Требуется оптимизировать передаваемый по WAN-каналам трафик репликации — причем в большей мере, чем того можно достичь, разбив домен на несколько сайтов. Чтобы домен функционировал, необходима репликация данных между контроллера­ ми этого домена. Даже если вы разобьете домен на несколько сайтов для управления трафиком репликации между контролерами, может оказаться, что WAN-каналы слишком медленны или ненадежны и не могут справиться с трафиком репликации. Тогда можно создать для таких территориальных подразделений отдельные домены. Нужно задать разные пространства имен для разных участков, отделов или функций. Хотя домены одного дерева образуют единое пространство имен, может потребовать­ ся отличать две структуры, входящие в это пространство имен. Например, может ока­ заться, что эффективнее использовать два слегка различающихся пространства имен вроде hr.contoso.com и sales.contoso.com, а не одно пространство имен, такое как contoso.com. Необходимо сохранить существующую архитектуру доменов Windows NT. При сохра­ нении доменов Windows NT, уже существующих в сети, не остается иного выбора, кроме использования нескольких доменов Active Directory. Требуется поместить хозяина схемы (schema master) в отдельный домен, не содержа­ щий объектов пользователей или другие ресурсы. Для защиты схемы от несанкцио­ нированного доступа годятся обычные средства, но схема — чрезвычайно важный ресурс сети с Active Directory. Чтобы обеспечить более надежную защиту, можно по­ местить компьютер, которому отведена роль хозяина схемы, в свой домен.

Подготовка к экзамену Определить, использовать для делегирования административных полномочий домены или 0U, — настоящее искусство, в котором вам предстоит попрак­ тиковаться перед экзаменом. Вообще говоря, учтите, что обычно лучшее решение — сде­ лать так, чтобы усложнения затрагивали более низкие уровни. Используйте несколько 0U, если только вам не предъявляют одно из перечисленных выше специфических тре­ бований (тогда вам придется задействовать несколько доменов, а не 0U). Применение нескольких доменов дает много преимуществ, и бывают случаи, когда без этого не обойтись, но следует иметь в виду и некоторые недостатки. При реализации нескольких доменов возникают следующие проблемы. • Каждый домен требует хотя бы один контроллер, а там, где нужна отказоустойчи­ вость или балансировка нагрузки, обязательно наличие минимум двух контроллеров домена. Следовательно, растут издержки, увеличивается время первоначального раз­ вертывания, затрачивается больше усилий на администрирование, поскольку каждо­ му дополнительному домену, который вы создаете, требуются контроллеры. • Групповая политика и управление доступом действуют на уровне доменов. Создание каждого дополнительного домена означает, что вы должны применить эти средства защиты к новому домену. Хотя поддержка групповых политик и делегирование адми­ нистративных полномочий между различными доменами не составляют особого тру­ да, потребуются дополнительные усилия на планирование и управление.


QQ •

Плакирование етруюуры Active Directory

Гяааа 3

Когда создается дочерний домен, между родительским и дочерним доменами авто­ матически устанавливаются двусторонние транзитивные доверительные отношения. То есть аутентификация выполняется автоматически. Однако между доменами, кото­ рые далеко отстоят друг от друга в иерархии и между которыми регулярно пересыла­ ются запросы на аутентификацию, может понадобиться доверие к сокращению (shortcut trust). Также заметьте: хотя доверие конфигурируется автоматически, этого нельзя сказать о доступе к ресурсам между доменами. Вы должны планировать и реализо­ вать междоменный доступ к ресурсам самостоятельно, используя труппы безопасно­ сти (см. главу 4). По умолчанию административные права, действующие между доменами, выдаются лишь членам группы Администраторы предприятия (Enterprise Admins). Вам придет­ ся вручную указ��вать дополнительные административные права. Всякий раз, когда добавляется домен, добавляется и глобальная группа Администраторы домена (Do­ main Admins). Мониторинг членства в этой группе потребует дополнительного адми­ нистрирования. Если пользователь одного домена входит во второй, контроллер второго домена дол­ жен иметь возможность связаться с контроллером домена, к которому относится пользователь. Если контроллеры доменов не смогут связаться друг с другом, пользо­ ватель скорее всего не получит доступ к требуемому ресурсу. Чтобы решить эту про­ блему, создайте несколько доверяемых каналов (trust links), но это потребует дополни­ тельных усилий по их настройке и обслуживанию.

На заметку Корневой домен леса — первый домен, который вы создаете в лесу Active Directory; он образует основу структуры леса. Любой другой домен, создаваемый в лесу (даже в других деревьях доменов), наследует свое составное имя (distinguished name, DN) и используемое по умолчанию DNS-имя от имени корневого домена леса. При планировании корневого домена леса есть два варианта. Вы можете использовать существующий домен или создать выделенный. Применение существующего домена означает, что корневой домен леса будет содержать и другие ресурсы, такие как пользо­ ватели или группы. Если вы задействовали однодоменную модель, это ваш единствен­ ный выбор. А если вы используете несколько доменов, то можете также создать домен, специально предназначенный для применения в качестве корневого домена леса и не содержащий другие ресурсы. Основное преимущество такого подхода в том, что админи­ страторам корневого домена леса будет проще управлять членством в универсальных группах Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins). Следующее преимущество: поскольку выделенный корневой домен не представляет конкретный участок или функцию, он лучше изолирован от измене­ ний в структуре компании. И еще один плюс в том, что корневой домен леса будет компактнее (он не содержит другие ресурсы), а значит, его будет проще реплицировать в масштабе предприятия для обеспечения отказоустойчивости. Хотя в Windows Server 2003 есть средства, позволяющие безопасно переименовывать до­ мены (даже корневые), это не такая простая операция и куда лучше присваивать пра­ вильные имена еще на этапе планирования. Хотя переименовать корневой домен леса можно, изменить то, какой домен является корневым в лесу, нельзя.


Занятие 1

Проектирование модели лесов и доменов

Применение нескольких деревьев в лесу Дерево доменов — это иерархическая структура доменов, использующих единое про­ странство имен. Первый домен дерева, который вы создаете, становится корневым для данного дерева, а любой домен, добавляемый в дерево, — дочерним для этого корнево­ го домена. Определить, нужно ли использовать в лесу несколько деревьев, не так уж сложно. Есть лишь одна веская причина, по которой может понадобиться несколько деревьев доменов, — поддержка в лесу нескольких пространств имен DNS. Тогда применение нескольких деревьев — это еще и отличный способ объединить отдельные леса, чтобы использовать общие схему и глобальный каталог, в то же время поддержи­ вая разные пространства имен. На рис. 3-5 показаны два раздельных пространства имен в двух деревьях.

fabrikam.com

us.sales. contoso.com

asia.sales. contoso.com

Рис, 3-5. Два дерева, представляющие два пространства имен Подготовка к экзамену На практике могут быть и другие причины использования не­ скольких деревьев в лесу, но на экзамене во внимание принимается лишь одна: необхо­ димость поддержки более одного пространства имен DNS. Хотя решение об использовании нескольких деревьев принимается при необходимо­ сти поддержки разных пространств имен (в этом случае у вас фактически нет выбора), вы должны понимать недостатки такого варианта. и Поскольку у каждого дерева должно быть отдельное пространство имен DNS, ИТотделу придется поддерживать больше DNS-имен, чем в случае однодоменной мо­ дели. • Чем больше деревьев, тем больше доменов, поскольку каждое дерево должно содер­ жать минимум один домен. Следовательно, возникнут все проблемы, связанные с применением нескольких доменов.


Планирование структуры Active Directory

Глава 3

Возможно, что LDAP-клиенты (Lightweight Directory Access Protocol), разработанные не Microsoft, не смогут выполнять поиск по глобальному каталогу и вместо этого им придется вести LDAP-поиск по каждому дереву отдельно. В результате увеличится время отклика для таких клиентов. С учетом этих недостатков имеет смысл подумать об альтернативном решении: объ­ единить пространства имен и использовать одно дерево с разными доменами вместо не­ скольких деревьев. Несмотря на некоторые неудобства в именовании, полученные пре­ имущества могут перевесить этот недостаток. На рис. 3-6 показана та же среда, что и на рис. 3-5, но преобразованная в одно дерево.

us.sales. contoso.com

asia.sales. contoso.com

Рис. 3-6. Отдельные пространства имен, объединенные в одно дерево

Применение нескольких лесов Лес — это группа из одного или нескольких деревьев доменов, которые не образуют еди­ ное пространство имен, но используют общие схему, конфигурацию каталогов, глобаль­ ный каталог и автоматически устанавливают двусторонние транзитивные доверительные отношения между доменами. В сети всегда есть минимум один лес, создаваемый, когда в сети устанавливается первый контроллер домена. Первый домен становится корневым доменом леса. Леса представляют собой крайние границы зон безопасности. Между лесами невоз­ можно административное управление или пользовательский доступ, если на то нет яв­ ного разрешения в конфигурации. Для этого предназначен новый тип доверия, введен­ ный в Windows Server 2003, — доверие к лесу (forest trust), применяемое при управлении отношениями между двумя лесами. Оно упрощает администрирование защиты между лесами и позволяет указывать, что все домены одного леса доверяют всем доменам дру­ гого леса, причем используются транзитивные доверительные отношения. Однако дове­ рие к лесу не является транзитивным на уровне лесов. Другими словами, если первый лес доверяет второму, а второй — третьему, это еще не означает, что первый автомати-


Занйтме 1

Проектирование модели лесов и домеко!

чески доверяет третьему. Также учтите, что для использования доверия к лесу нужно, чтобы оба леса находились на функциональном уровне Windows 2003, т. е. чтобы все кон­ троллеры доменов в обоих лесах работали под управлением Windows Server 2003. В общем и целом, следует по возможности избегать использования нескольких ле­ сов. Однако есть несколько случаев, в которых может потребоваться реализация несколь­ ких лесов. К этим случаям относятся следующие. • Объединение двух существующих организаций. Независимо от того, слияние это или поглощение, вы можете столкнуться с тем, что у вас появятся два полностью раз­ дельных леса, которые нужно связать друг с другом для совместного использования ресурсов. Эта связь может быть временной, если в дальнейшем один лес планируется сделать частью другого, или постоянной, если обе компании должны остаться отно­ сительно автономными. • Создание автономного подразделения. Поскольку леса являются крайними зонами безопасности, отдельный лес можно использовать для того, чтобы создать сеть, в которой администрирование в значительной мере независимо от основного леса. В таком случае ИТ-персонал отдельного леса может поддерживать и изменять схе­ му, не оказывая влияния на другие леса. Это полезно, когда какой-нибудь группе нужно устанавливать или тестировать приложения, работающие с каталогами (или изменять структуру каталогов по какой-то другой причине), не влияя на работу цен­ трального ИТ-отдела, или когда требуется развернуть пилотный вариант Active Directory. В автономном лесу основные полномочия по-прежнему сохраняются за центральным ИТ-отделом, но администраторам автономного леса предоставляется определенная степень гибкости в действиях. • Создание изолированного подразделения. Изолированный лес отличается от авто­ номного в первую очередь уровнем полномочий по управлению, доступных админи­ страторам вне леса. В изолированном лесу гарантируется, что администратор вне леса не сможет повлиять на управление им. Это полезно, если вы хотите добиться повы­ шенной безопасности или выполнить некие юридические требования. Прежде чем приступить к планированию структуры нескольких лесов, вы должны принять к сведению, что большая часть функциональности, доступной в пределах одно­ го леса, недоступна между лесами. Кроме того, поддержка нескольких лесов требует зна­ чительно больше усилий в администрировании, чем поддержка одного леса. Архитектура с несколькими лесами имеет следующие недостатки. • При поиске ресурсов от пользователей требуется более высокий уровень подготовки. С точки зрения пользователя, поиск ресурсов в рамках одного леса сравнительно прост благодаря единому глобальному каталогу. При наличии нескольких лесов су­ ществует несколько глобальных каталогов, и пользователям приходится указывать, в каком лесу вести поиск ресурсов. и Сотрудникам, которым требуется входить на компьютеры, включен��ые во внешние леса, должны указывать при входе основное имя пользователя (user principal name, UPN) по умолчанию. От таких сотрудников требуется более высокий уровень под­ готовки. и Часто для наблюдения за отдельными лесами и управления ими нужен дополни­ тельный ИТ-персонал, а значит, расходуются средства на подготовку большего штата ИТ-сотрудников и на оплату их труда. • Администраторам приходится хранить несколько схем. • Для каждого леса используются отдельные контейнеры конфигурации. Изменения в топологии необходимо реплицировать в другие леса.


Планирование структуры Active Directory

• •

Глава 3

Любую репликацию информации между лесами приходится настраивать вручную. Администраторы должны конфигурировать разрешение DNS-имен между лесами, чтобы обеспечить функционирование контроллеров доменов и поддержку поиска ресурсов. Администраторам приходится настраивать списки управления доступом (ACL) к ре­ сурсам, чтобы соответствующие группы из разных лесов могли обращаться к этим ресурсам, а также создавать новые группы, чтобы можно было использовать роли одних лесов в других лесах.

Подготовка к экзамену Когда вы размышляете над информацией, содержащейся в экза­ менационном вопросе, и пытаетесь определить, надо ли использовать несколько лесов, скорее всего окажется, что необходимости в нескольких лесах нет. Применение несколь­ ких лесов настоятельно не рекомендуется за исключением случаев, когда требуется авто­ номия или изоляция. Обычно гораздо лучше создать несколько деревьев доменов в од­ ном лесу. Но поскольку связи между лесами являются нововведением Windows Sei'ver 2003, вы, возможно, встретите вопросы, касающиеся их использования.

Лабораторная работа. Создание модели лесов и доменов На этой лабораторной работе вы создадите структуру лесов и доменов для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и отве­ ты» в конце главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих воз­ можности в передаче данных. Сейчас Northwind Traders использует основную модель доменов Microsoft Windows NT 4.0 (master domain model) и располагает отдельным доме­ ном ресурсов для каждой территории. Все домены настроены на двусторонние довери­ тельные отношения между собой. В последние годы компания значительно расширилась и ожидает дальнейшего суще­ ственного роста в следующие три года, в том числе увеличения своей доли рынка, дохо­ дов и численности сотрудников. Помимо открытия двух новых офисов, администрация решила реализовать новый проект Windows Server 2003 Active Directory, отвечающий те­ кущим и будущим потребностям компании. В следующей таблице перечислены территории, отделы на каждой территории и ко­ личество пользователей. Территория Париж

Отделы Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

Число пользователей 2000


Проектирование модели лесов и доменвв

Занятие 1 (окончание) Территория

Отделы

Число пользователей

Лос-Анджелес

Продажи Маркетинг Финансы ИТ

1000

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

750

Глазго, Шотландия

Исследования Разработка Долгосрочные проекты ИТ

750

Сидней, Австралия

Консалтинг Производство Продажи Финансы

500

Большая часть вычислительных мощностей компании находится в главном офисе в Париже. Корпоративный ИТ-отдел хочет централизовать управление паролями и пара­ метрами защиты. Локальному ИТ-отделу в Лос-Анджелесе нужно сохранить управление свой инфраструктурой без участия корпоративного ИТ-отдела. Локальный ИТ-отдел в Глазго требует эксклюзивного управления своей сетевой средой по соображениям безо­ пасности, так как должен исключить несанкционированный доступ к данным, получае­ мым в результате научно-исследовательских и опытно-конструкторских работ (research and development, R&D). Ton-менеджеры корпорации разделяют эту озабоченность и хо­ тят добиться максимальной защиты данных R&D. Следующая схема отражает соединения между разными территориальными участка­ ми компании. Кроме того, в Лос-Анджелесе и Атланте имеются VPN-соединения с глав­ ным офисом в Париже через Интернет.

I

Атланта

V Широкополосное4соединение

л

-

Вопросы по лабораторной работе Исходя из представленного сценария, ответьте на следующие вопросы. 1. Какую модель лесов вы предложили бы? Сколько лесов использовать? Почему? 2. Нарисуйте схему предлагаемой вами для Northwind Traders структуры доменов.


Планирование структуры Active Directory

Fnasa 3

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы разрабатываете модель лесов для компании и размышляете, сколько доменов использовать — один или несколько. По каким причинам может потребоваться не­ скольких доменов? 2. Зачем может понадобиться выделенный домен для использования в качестве корне­ вого домена компании? 3. Какова основная причина использования в сети нескольких деревьев доменов? В чем заключаются недостатки такого подхода? 4. По каким причинам может потребоваться реализация нескольких лесов?

Резюме и По возможности всегда используйте один домен, поскольку такая структура наибо­ лее проста в планировании, развертывании и сопровождении. м Применяйте несколько доменов, когда требуется реализовать разные политики безо­ пасности, обеспечить децентрализованное администрирование, оптимизировать тра­ фик репликации или сохранить существующую структуру доменов. и Используйте несколько деревьев доменов, если вам нужно поддерживать несколько пространств имен DNS. • Используйте несколько лесов, если требуется поддерживать несколько компаний или обеспечить автономную/изолированную работу какого-либо подразделения компании.

Занятие 2. Выработка стратегии именования Решив, какую структуру доменов и лесов нужно создать, переключите свое внимание на именование элементов, входящих в эту структуру. На этом занятии мы рассмотрим про­ токол LDAP (Lightweight Directory Access Protocol), имена, применяемые в Active Direc­ tory, и выработку стратегии именования для сети. Изучив материал этого занятия, вы сможете:

•S •/ •S •S

рассказать о соглашениях по именованию, используемых в Active Directory; описать требования к регистрации доменных имен Интернета; определить требования к именованию для NetBIOS; создать структуру именования для среды Active Directory. Продолжительность занятия — около 20 минут.

ШАР и именование в Active Directory LDAP — стандартный протокол, используемый клиентами для поиска информации в каталоге. Служба каталогов, поддерживающая LDAP (например Active Directory), ин­ дексирует все атрибуты всех объектов, хранящихся в каталоге, и публикует их. Клиенты, поддерживающие LDAP, могут выполнять всевозможные запросы к серверу.


Занятие 2

Выработка стратегии именована?

Каждый объект в Active Directory является экземпляром класса, определенного в схеме Active Directory. У каждого класса имеются атрибуты, обеспечивающие уникаль­ ную идентификацию каждого объекта каталога. Чтобы это реализовать, в Active Direc­ tory действует соглашение об именовании, позволяющее логически упорядочить хра­ нение объектов и предоставить клиентам стандартизированные методы доступа к объек­ там. И пользователи, и приложения должны соблюдать соглашение об именовании, ис­ пользуемое каталогом. Чтобы найти сетевой ресурс, вы должны знать его имя или одно из его свойств. Active Directory поддерживает несколько типов имен, поэтому при ра­ боте с Active Directory можно использовать разные форматы имен. К этим именам относятся: • относительные составные имена (relative distinguished names, RDN); • составные имена (distinguished names, DN); и основные имена пользователей (user principal names, UPN); • канонические имена.

Относительные составные имена Относительное составное имя (RDN) объекта уникально идентифицирует объект, но только в его родительском контейнере. Таким образом, оно уникально идентифицирует объект относительно других объектов в том же самом контейнере. Например, здесь: CN=wjglenn,CN=Users,0C=contoso, DC=com

относительным составным именем объекта является CN=wjglenn. RDN родительской организационной единицы (OU) — Users. У большинства объектов RDN — то же, что и атрибут Common Name. Active Directory автоматически создает RDN по информации, указываемой при со­ здании объекта, и не допускает, чтобы в одном и том же родительском контейнере суще­ ствовали два объекта с одинаковыми RDN. В нотации относительных составных имен (и составных имен, о которых рассказы­ вается в следующем разделе) применяются специальные обозначения, называемые тэга­ ми LDAP-атрибутов и идентифицирующие каждую часть имени. Существует три тэга атрибутов, и DC — тэг Domain Component, который идентифицирует часть DNS-имени домена вроде СОМ или ORG. я OU — тэг Organizational Unit, который идентифицирует организационную единицу, являющуюся контейнером. • CN — тэг Common Name, который идентифицирует простое имя, присвоенное объек­ ту Active Directory.

Составные имена У каждого объекта в каталоге имеется составное имя (DN), которое уникально на гло­ бальном уровне и идентифицирует не только сам объект, но и место, занимаемое объек­ том в общей иерархии объектов. DN можно рассматривать как относительное DN объек­ та, объединенное с относительными DN всех родительских контейнеров, образующих путь к объекту. Вот типичный пример составного имени: CN=wjglenn,CN=Users,DC=contoso,DC=com


Планирование структуры Active Directory

Глава 3

Это DN означает, что объект пользователя wjglenn содержится в контейнере Users, в свою очередь содержащемся в домене contoso.com. Если объект wjglenn переместят в другой контейнер, его DN изменится и будет отражать новое местоположение в иерар­ хии. DN гарантированно уникальны в лесу — по аналогии с тем, как полное доменное имя (fully qualified domain name, FQDN) уникально идентифицирует местонахождение объек­ та в иерархии DNS. Существование двух объектов с одинаковыми DN невозможно.

Канонические имена Каноническое имя объекта используется во многом так же, как и составное. Просто у него другой синтаксис. Составному имени, приведенному в предыдущем разделе, соот­ ветствовало бы следующее каноническое имя: contoso.com/Users/wjglenn Как видите, в синтаксисе составных и канонических имен два основных отличия. Первое — каноническое имя формируется от корня к объекту, а второе — в канониче­ ском имени не используются тэги LDAP-атрибутов (например CN и DC).

Основные имена пользователей Основное имя пользователя (UPN), генерируемое для каждого объекта пользователя, имеет вид имя_пользователя@имя_домена. Пользователи могут входить в сеть под свои­ ми основными именами, а администратор при желании может определить для этих имен суффиксы. Основные имена пользователей должны быть уникальными, но Active Direc­ tory не проверяет соблюдение этого требования. Лучше всего принять соглашение об именовании, не допускающее дублирования основных имен пользователей.

Идентификаторы защиты Как вы уже знаете, в Active Directory используется модель репликации с несколькими хозяевами, при которой на каждом контроллере домена хранится своя копия раздела Active Directory; контроллеры домена являются равноправными хозяевами. Можно вне­ сти изменения в объекты, хранящиеся на любом контроллере домена, и эти изменения реплицируются на другие контроллеры. Модель с несколькими хозяевами хорошо подходит для большинства операций, но не для всех. Некоторые операции должны выполняться только одним контроллером в каждом домене или даже в каждом лесу. Чтобы выполнять эти специальные операции, определенные контроллеры доменов назначаются хозяевами операций. Обзор всех ро­ лей хозяев операций можно найти в главе 1. Однако при выработке стратегии именова­ ния представляют интерес две роли хозяев операций: именования доменов (domain naming master) и RID (relative ID master). Два сервера, выполняющих эти роли, должны быть доступны, когда создаются и именуются новые участники системы безопасности (security principals). Хозяин именования доменов. Только один домен в каждом лесу может быть хозяином именования доменов. Он обрабатывает добавление и удаление доменов леса, а также генерирует уникальный идентификатор защиты (security identifier, SID) для каждого домена леса. Это единственный контроллер домена, с которого можно создать или уда­ лить домен, однако вы должны входить в группу Администраторы предприятия (Enter­ prise Admins). По умолчанию хозяином именования доменов становится первый контроллер доме­ на в лесу, и, если это единственный контроллер в домене, он берет на себя все роли


Занятие 2

Выработка стратегия именования

хозяев операций уровней леса и домена. Такие хозяева операций также называются FSMO (flexible single master operations). Хозяин RID. Генерирует последовательности RID для каждого из контроллеров доме­ на. Хозяин схемы и хозяин именования доменов действуют в масштабе леса, а хозяин RID — в масштабе домена: в каждом домене назначается по одному хозяину RID. По­ скольку каждый контроллер домена может создавать объекты Active Directory, хозяин RID выделяет каждому контроллеру домена пул из 500 RID, из которого берутся отно­ сительные идентификаторы при создании объектов. После того как контроллер домена использовал более 400 RID, хозяин RID выделяет ему следующий пакет из 500 RID.

Определение стратегии именования При выработке стратегии именования необходимо учитывать требования к именованию, предъявляемые как Active Directory, так и DNS. Клиенты используют DNS для разреше­ ния IP-адресов серверов, на которых выполняются важные сетевые сервисы Active Directory. Следовательно, Active Directory и DNS неразрывно связаны. Примечание В главе 6 вы найдете массу полезных рекомендаций по выработке страте­ гии управления структурой DNS, поэтому в данной главе мы не будем уделять DNS осо­ бого внимания за исключением случаев, когда она влияет на стратегию именования объектов Active Directory. В DNS имена образуют иерархию и формируются путем «движения» от родитель­ ских доменов к дочерним. Так, у домена contoso.com может быть дочерний домен sales.contoso.com, у того в свою очередь — дочерний домен europe.sales.contoso.com. Имя каждого домена соответствует пути, идентифицирующему домен в иерархии DNS, т. е. пути к корневому домену (корневой домен обозначается точкой). Active Directory следует соглашению об именовании, принятому в DNS. Когда вы создаете первый домен Active Directory, он становится корневым для леса и первого де­ рева доменов в этом лесу. С этого корневого домена начинается пространство имен. Каждый добавляемый домен получает имя от родительского домена и иерархии, в кото­ рую входит родительский домен. Все имена доменов Active Directory идентифицируются по DNS, но можно использо­ вать и NetBIOS-имена (Network Basic Input/Output System) — унаследованную систему именования, которая применялась в старых версиях Windows и по-прежнему поддержи­ вается в Windows Server 2003. В отличие от иерархической структуры DNS-имен в NetBIOS используется плоское пространство имен; каждому сетевому ресурсу (доменам, компьютерам и т. д.) присваивается одно имя, которое можно разрешить в IP-адрес. Когда вы устанавливаете Windows и присваиваете компьютеру имя, последнее является NetBIOS-именем. Windows автоматически генерирует NetBIOS-имена для каждой служ­ бы, выполняемой на компьютере, добавляя к имени компьютера дополнительный сим­ вол. Доменам также присваиваются NetBIOS-имена. Когда основной системой именования для Active Directory стала DNS, NetBIOS-име­ на отошли на второй план. Тем не менее NetBIOS-имена по-прежнему поддерживаются. DNS просто использует имя компьютера как относительное составное имя и добавляет к нему иерархию доменов DNS, чтобы сформировать полное доменное имя.


Планирование структуры Active Directory

Глава 3

Ниже приведен пример NetBIOS- и DNS-имен, присвоенных одному и тому же до­ мену. • NetBIOS-имя SALES. в Полное доменное имя (FQDN) sales.contoso.com. Обычно NetBIOS-имя совпадает с первой частью DNS-имени. Однако длина NetBIOS-имени ограничена 16 символами, причем последний символ зарезервирован — он указывает тип NetBIOS-службы. В соответствии с системой именования DNS каждое имя может быть длиной до 64 символов, следовательно, DNS-имена длиннее 15 симво­ лов нельзя использовать в качестве NetBIOS-имен без усечения. При установке можно настроить каждое имя в соответствии со своими потребностя­ ми. Это означает, что вы можете присвоить одному домену разные NetBIOS- и DNSимена. Но учтите, что такой подход недопустим в хорошем проекте просто потому, что наличие нескольких имен у одного и того же объекта чревато путаницей. Если вы разра­ батываете новую структуру Active Directory, создавайте DNS-имена, удовлетворяющие соглашениям об именовании в NetBIOS (т. е. ограничьте длину DNS-имен 15 символа­ ми). Однако, если вы создаете проект для существующей сети, где применяются DNSимена, не соответствующие соглашениям об именовании в NetBIOS, то можете исполь­ зовать разные имена. Основная проблема с таким подходом в том, что это может сбить с толку менеджеров и пользователей сети. Если вы вынуждены применять разные имена, сделайте хотя бы так, чтобы они были достаточно похожи во избежание путаницы.

Поддержка зарегистрированных DNS-имен Поскольку пространства имен Active Directory и DNS связаны между собой, а вы почти наверняка будете подключать большинство своих сетей к Интернету, необходимо учи­ тывать, как ваша стратегия именования согласуется с пространством имен Интернета и позволит ли она работать с зарегистрированным DNS-именем компании. Вы можете задействовать один из следующих вариантов. • Использовать зарегистрированное DNS-имя компании в качестве имени корневого домена Active Directory. Это наиболее распространенная конфигурация, и Microsoft рекомендует ее в большинстве случаев. Кроме того, этот вариант — самый про­ стой в планировании и реализации. Единственный серьезный недостаток такого подхода — нужно, чтобы ваша система DNS могла использовать записи служб (service records, SRV). Поэтому возможны проблемы, если ваши DNS-серверы работают на платформах, отличных от Windows 2003 Server. Подготовка к экзамену Применение зарегистрированного DNS-имени в качестве имени корневого домена Active Directory — подход, рекомендуемый Microsoft. Поэтому, отве­ чая на экзаменационные вопросы по этой теме, вы сначала должны предположить, что выберете именно этот подход, а затем посмотреть, есть ли требования, из-за которых вам, возможно, придется изменить свое мнение. Обычно такими требованиями являют­ ся требования безопасности, для выполнения которых приходится использовать в каче­ стве имени корневого домена поддомен зарегистрированного DNS-имени. •

Использовать в качестве имени корневого домена Active Directory подддомен заре­ гистрированного DNS-имени. Например, зарегистрированным именем компании может быть fabrikam.com. Тогда в качестве корневого домена леса можно задейство­ вать поддомен вроде internal.fabrikam.com. В этом случае хранить записи ресурсов


Занятие 2

Выработка стратегии именован»

для общедоступных хостов можно в другой DNS-зоне. Этот способ создает допол­ нительный уровень защиты, так как данные Active Directory отделяются от откры­ тых ресурсов. Использовать разные внутреннее и внешнее имена. В действительности этот вариант можно выбрать, только если вы не собираетесь подключать сеть к Интернету и ис­ пользовать зарегистрированное DNS-имя. Учитывая, что зарегистрировать доменное имя достаточно легко, почти всегда лучше применять зарегистрированное имя, даже если вам не нужно размещать никакие общедоступные ресурсы.

Выбор доменных имен В принципе, допускается изменение доменных имен после развертывания, но это может оказаться затруднительным. Лучше с самого начала выбрать правильные имена. Выби­ рая доменные имена, соблюдайте следующие правила. • Используйте только символы, разрешенные стандартами Интернета: a—z, 0—9 и де­ фис (-). Хотя реализация DNS в Windows Server 2003 поддерживает и другие симво­ лы, применение стандартных символов гарантирует возможность взаимодействия с другими реализациями DNS. • Используйте короткие доменные имена, которые легко идентифицировать и кото­ рые соответствуют соглашению об именовании в NetBIOS. и В качестве основы имени корневого домена берите только зарегистрированные до­ менные имена. Даже если вы не используете в качестве имени корня леса заре­ гистрированное DNS-имя, это поможет избежать путаницы. Например, у компании может быть зарегистрирован домен contoso.com. Если вы не используете contoso.com в качестве имени корневого домена вашего леса, все равно формируйте имя, произ­ водное от contoso.com (скажем, sales.contoso.com). • Не используйте дважды одно и то же доменное имя. Иное возможно только в сетях, которые не взаимодействуют между собой (например, вы можете создать домен microsoft.com в частной сети, не подключенной к Интернету), но это плохой подход. Когда-нибудь он обязательно приведет к путанице. • Для большей безопасности создайте отдельные внутреннее и внешнее простран­ ства имен, чтобы предотвратить несанкционированный доступ к закрытым ресур­ сам. И создавайте внутреннее имя на основе внешнего (например contoso.com и local.contoso.com).

Именование участников системы безопасности Объекты участников системы безопасности (security principal objects) — это объекты Active Directory, которым назначены идентификаторы защиты и которые указываются при вхо­ де в сеть и предоставлении доступа к ресурсам домена. Администратор должен давать объектам участников системы безопасности (учетным записям пользователей, компью­ теров и групп) имена, уникальные в рамках домена. Следовательно, вы должны вырабо­ тать стратегию именования, которая позволит это делать. Добавляя в каталог учетную запись нового пользователя, администратор должен за­ дать следующую информацию: • имя, которое пользователь должен указывать при входе в сеть; • имя домена, содержащего учетную запись пользователя; • прочие атрибуты, такие как имя, фамилия, номер телефона и т. д.


Плакирование структуры Actiwe Directory

Глава 3

В идеале следует создать стратегию именования, определяющую единообразный под­ ход к формированию имен. Имена объектов участников системы безопасности могут содержать любые Unicode-символы за исключением некоторых специальных символов LDAP, к которым относятся ведущий и концевой пробелы, а также любые из следующих символов: # , + « \ < >. Помимо этих ограничений, налагаемых на символы, имена участников системы бе­ зопасности должны соответствовать следующим правилам: • имена учетных записей пользователей могут содержать максимум 20 символов; • имена учетных записей компьютеров могут содержать максимум 15 символов; • имена учетных записей групп могут содержать максимум 63 символа. Кроме того, имена участников системы безопасности не могут состоять только из точек, пробелов и знаков @. Любые точки или пробелы в начале имени пользователя отбрасываются. Допускается применение одного и того же имени участника системы безопасности в разных доменах. Так, можно создать пользователя wjglenn в доменах hr.contoso.com и sales.contoso.com. Это не приведет к проблемам, поскольку составное, относительное составное и каноническое имена каждого объекта автоматически генерируются Active Directory и все равно позволяют глобально идентифицировать этот объект.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Перечислите компоненты составных, относительных составных и канонических имен, а также расскажите, как формируются эти имена. 2. Чем отличаются имена доменов в DNS и NetBIOS? 3. Вы решаете, как создать пространство имен для компании, у которой имеется заре­ гистрированное DNS-имя proseware.com. Компания подключена к Интернету и под­ держивает несколько сервисов, доступных через Интернет. Каковы два варианта по­ строения пространства имен с учетом зарегистрированного DNS-имени? 4. Вы планируете сеть, где есть два домена, содержащих учетные записи пользователей. Вы обнаружили, что в каждом домене имеется пользователь Keith Harris. Вы не хоти­ те нарушать установленное вами же соглашение об именовании, в соответствии с которым обоим пользователям нужно присвоить имя участника системы безопасно­ сти kharris. Какие утверждения, перечисленные ниже, являются правильными в дан­ ном случае? a. Это можно сделать без ручного вмешательства. b. Это можно сделать, но придется вручную изменить относительное составное имя объекта пользователя. c. Это можно сделать, но придется вручную изменить составное и каноническое имя объекта пользователя. d. Active Directory не позволит создать в одном лесу два объекта пользователя с оди­ наковыми именами.


Пример ИЗ орактикй

Резюме •

Active Directory поддерживает несколько типов имен: составные (distinguished names), относительные составные (relative distinguished names), канонические имена и имена участников системы безопасности (user principal names). • При реализации схемы именования необходимо планировать две роли хозяина опе­ раций: именования доменов (управляет добавлением и удалением доменов) и RID (выделяет последовательности RID каждому контроллеру домена в своем домене). в Пространство имен DNS имеет иерархическую структуру, а пространство имен Net­ BIOS — плоскую. Для каждого объекта Active Directory создаются имена обоих ти­ пов. NetBIOS-имена (компьютеров и доменов) могут иметь длину до 15 символов, а DNS-имена — до 64. Чтобы соблюсти требования обоих пространств, используйте короткие имена (не более 15 символов). я При управлении зарегистрированными DNS-именами есть три варианта. Первый — использовать в качестве имени корневого домена Active Directory зарегистрирован­ ное DNS-имя компании. Второй — задействовать в качестве корневого домена Active Directory поддомен зарегистрированного DNS-имени. Третий — определить разные внутреннее и внешнее имена, но применять данный вариант не рекомендуется.

Ц Пример из практики Изучите следующий сценарий и ответьте на вопросы.

Сценарий Вам поручили планирование новой структуры Active Directory для компании Fourth Coffee — поставщика кофе для ресторанов юго-востока США. В настоящее время все серверы ее сети работают под управлением Windows NT Server 4.0. На клиентских ком­ пьютерах используются Windows 98 и Windows NT Professional 4.0. Fourth Coffee наняла вас, чтобы привести сетевую инфраструктуру компании в соответствие с требованиями времени. Руководство компании хочет, чтобы все серверы работали под управлением Windows Server 2003 и чтобы вы реализовали Active Directory. Все клиентские компьюте­ ры должны работать под управлением Windows XP Professional. Кроме того, желательно по возможности упростить сетевую инфраструктур}'.

Краткие сведения о компании Компания Fourth Coffee значительно выросла за последние несколько лет и стала одним из ведущих поставщиков высших сортов кофе для крупных сетей ресторанов и гости­ ниц. В прошлом году Fourth Coffee приобрела компанию по выращиванию кофе, распо­ ложенную на Ямайке, и собирается подключить ее сеть к своей.

География Главный офис Fourth Coffee находится в Нашвилле (штат Теннеси). Кроме того, у Fourth Coffee есть филиалы в Хьюстоне (штат Техас) и Роме (штат Джорджия). 5 каждом фили­ н е имеются отделы продаж и маркетинга, в которых работает множество сотрудников, .-:: нет своего ИТ-отдела. Их обслуживает ИТ-отдел, расположенный в глазном офисе в Нашвилле.


Планирование структуры Active Directory

Глава 3

Недавно приобретенный производитель и экспортер кофе — компания Northwind Traders — находится в Кингстоне на Ямайке. Офис на Ямайке обладает полноценной корпоративной инфраструктурой, в частности в нем имеется собственный ИТ-отдел. Хотя местный ИТ-отдел продолжает обслуживать свой офис, управление сетевой инфраструктурой передается ИТ-отделу главного офиса в Нашвилле. У офиса в Кинг­ стоне есть собственное пространство имен, northwindtraders.com, которое нужно со­ хранить в новой корпоративной инфраструктуре.

Сетевая инфраструктура Штаб-квартира в Нашвилле связана с филиалом в Хьюстоне 512-килобитным каналом Frame Relay. Главный офис в Нашвилле соединен с офисом в Роме точно таким же ка­ налом, а с офисом в Кингстоне — коммутируемой линией с соединением по требова­ нию, пропускная способность которой составляет 64 Кбит/с. Во всех офисах клиенты и серверы связаны сетевыми соединениями с пропускной способностью 10/100 Мбит/с. В настоящее время каждый офис использует свой домен Windows NT, имя которого совпадает с названием места, в котором находится офис. Это решение приняли главным образом для того, чтобы управлять трафиком репликации, передаваемым по WAN-кана­ лам между главным офисом и филиалами. Все домены настроены на двусторонние дове­ рительные отношения друг с другом. Вы не обязаны сохранять какие-либо существую­ щие домены.

Планы на будущее Сейчас не планируется расширять штат или приобретать новые компании. Однако ру­ ководство компании хотело бы в конечном итоге прекратить использование названия Northwind Traders и доменного имени northwindtraders.com и выпускать всю продук­ цию под товарным знаком Fourth Coffee. Но на данный момент пространство имен northwindtraders.com следует включить в ваш проект.

ИТ-менеджмент ИТ-отдел в Нашвилле определяет структуру и требования к политике безопасности для сети в целом. Кроме того, он напрямую управляет работой офисов в Хьюстоне и Роме. Местный ИТ-отдел в Кингстоне управляет локальной сетью. Но за работу сети в целом в конечном итоге отвечает ИТ-отдел в Нашвилле.

Вопросы Исходя из данного сценария ответьте на следующие вопросы. 1. Нарисуйте географическую схему структуры компании и выберите модель лесов и доменов, учитывая, что руководство компании хочет по возможности упростить ин­ фраструктуру компании. 2. Перечислите преимущества использования одного домена для офисов в Нашвилле, Роме и Хьюстоне по сравнению с применением нескольких доменов. И какие пре­ имущества вы получили бы, все же создав несколько доменов? 3. Вы решили не использовать один домен для офисов в Нашвилле, Роме и Хьюстоне, а оставить свои домены для каждого офиса. Вы не хотите, чтобы офисы в Роме и Хьюстоне казались подразделениями офиса в Нашвилле, но должны использовать зарегистрированное DNS-имя fourthcoffee.com. Создайте иерархию доменов для этих офисов. Какой домен вы выбрали бы в качестве корневого для леса?


Рекомендаций по подготовке к экзамену 4. Соответствуют ли имена, которые вы выбрали для доменов в структуре Active Direc­ tory, требованиям к DNS-именам? А к NetBIOS-именам? Если они не соответствуют какому-либо требованию, какие проблемы при этом возникнут?

Ц Резюме главы • •

• •

По возможности всегда используйте один домен, поскольку такая структура наибо­ лее проста в планировании, развертывании и сопровождении. Применяйте несколько доменов, когда требуется реализовать разные политики безо­ пасности, обеспечить децентрализованное администрирование, оптимизировать тра­ фик репликации или сохранить существующую структуру доменов. Используйте несколько деревьев доменов, если вам нужно поддерживать несколько пространств имен DNS. Используйте несколько лесов, если требуется поддерживать несколько компаний или обеспечить автономную/изолированную работу какого-либо подразделения компа­ нии. Active Directory поддерживает несколько типов имен: составные (distinguished names), относительные составные (relative distinguished names), канонические имена и имена участников системы безопасности (user principal names). При реализации схемы именования необходимо планировать две роли хозяина опе­ раций: именования доменов (управляет добавлением и удалением доменов) и RID (выделяет последовательности RID каждому контроллеру домена в своем домене). Пространство имен DNS имеет иерархическую структуру, а пространство имен NetBIOS — плоскую. Для каждого объекта Active Directory создаются имена обоих типов. NetBIOS-имена (компьютеров и доменов) могут иметь длину до 15 симво­ лов, а DNS-имена — до 64. Чтобы соблюсти требования обоих пространств, исполь­ зуйте короткие имена (не более 15 символов). При управлении зарегистрированными DNS-именами есть три варианта. Первый — использовать в качестве имени корневого домена Active Directory зарегистрирован­ ное DNS-имя компании. Второй — задействовать в качестве корневого домена Active Directory поддомен зарегистрированного DNS-имени. Третий — определить разные внутреннее и внешнее имена, но применять данный вариант не рекомендуется.

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения • • •

Когда нужно создать дополнительные домены или OU, лучше использовать допол­ нительные OU (если, конечно, можно обойтись без дополнительных доменов). Используйте несколько деревьев доменов, только если необходимо поддерживать более одного пространства имен DNS в лесу. Применение нескольких лесов настоятельно не рекомендуется за исключением осо­ бых случаев. Почти всегда лучше создать несколько деревьев в одном лесу.


Планирование структуры Active Directory •

Глава 3

Использование зарегистрированного DNS-имени в качестве имени корневого доме­ на Active Directory — подход, рекомендуемый Microsoft. Когда вы будете отвечать на экзаменационные вопросы, он скорее всего окажется лучшим выбором, если только требования к проекту не вынудят выбрать другой вариант.

Основные термины NetBIOS — плоское пространство имен, которое было основным механизмом разреше­ ния имен в предыдущих версиях Windows. Поскольку Active Directory основана на DNS, пространство имен NetBIOS отошло на второй план, но по-прежнему поддер­ живается и используется. Автономный/изолированный ~ autonomous/isolated. Автономный домен — это домен, который все равно управляется центральным ИТ-отделом и входит в существую­ щую структуру доменов, но требует определенной степени свободы в изменении структуры и схемы Active Directory. Изолированный домен — то же, что и автоном­ ный, но в нем не используется структура остальной сети, и он недоступен из других доменов. Корневой домен леса ~ forest root domain — первый домен, который вы создаете в лесу Active Directory; служит основой для структуры леса. Любой другой домен, который вы создаете в лесу (даже в других деревьях доменов), наследует свое составное имя и используемое по умолчанию DNS-имя от имени корневого домена леса.

Щ

Вопросы и ответы

Занятие 1. Лабораторная работа 1. Какую модель лесов вы предложили бы? Сколько лесов следует использовать? Почему? Правильный ответ: одно из решений — создать для Northwind Traders два леса. Есть и другие решения. В данном решении используется отдельный лес R&D, поскольку их дан­ ные и службы нуждаются в изоляции. Остальной организации не требуется изоляция служб. Следовательно, остальной организации достаточно одного леса. 2. Нарисуйте схему предлагаемой вами для Northwind Traders структуры доменов. Правильный ответ: одно из возможных решений — применить региональную модель до­ менов и выделенный корневой домен леса. Для леса корпорации Northwind Traders (NWtraders) требуется пять доменов — пустой корневой домен и четыре региональных домена. В лесу R&D достаточно одного домена.

д Лес R&D

Лес NWtraders


Занятие 1. Закрепление материала 1. Вы разрабатываете модель лесов для компании и размышляет:-, сколько доменов ис­ пользовать — один или несколько. По каким причинам может г.стребсьаться несколь­ ких доменов? т, Правильный ответ: несколько доменов может потребс« ».. ч1> г> реализо­ вать разные политики безопасности на уровне доменер i к > (равления паролями или учетными записями); б) обеспечить децрр! i > "-» , растрирова­ ние с более широкими возможностями управления на ме>.тх ч " иэвтгь трафик репликации по WAN-каналам в большей мере, чем э^о г < " ,ла г) разделить пространство имен по территориальному признаку илч >с i ^ i я \ т, сохранить существующую структуру доменов Windows NT 4.0; е) в » ' ^ i" ^ » > <р ^шлющийся хозяином схемы, в домен, отличный от того, где храьятсч i » . „ .-i 2. Зачем может понадобиться выделенный домен для i J ^ -> ч LTBC корне­ вого домена компании? Правильный ответ: чтобы администраторам домена было проще управлять членством в универсальных группах Администраторы предприятия (Enterprise Admins) и Админи­ страторы схемы (Schema Admins), сведения о котором хранятся а корне леса; чтобы усилить изоляцию от изменений в структуре компании; наконец, чтобы корневой домен леса был меньшего размера (поскольку он не содержит другие ресурсы) и его было легче реплицировать на другие серверы предприятия для обеспечения отказоустойчивости. 3. Какова основная причина использования в сети нескольких деревьев доменов? В чем заключаются недостатки такого подхода? Правильный ответ: единственная причина использования в лесу нэскольких деревьев доменов — необходимость поддержки нескольких пространств имен DNS. У такого под­ хода два основных недостатка — требуется поддерживать дополнительные ресурсы DNS и обслуживать больше доменов. 4. По каким причинам может потребоваться реализация нескольким лесов? Правильный ответ: лес представляет крайние границы зоны безопасности. Между леса­ ми невозможно административное управление или пользовательский доступ, если на это нет явного разрешения. Поэтому применение нескольких лесов позволяет поддерживать несколько отдельных компаний, предоставить административную автономию, создать изолированное подразделение.

Занятие 2. Закрепление материала 1. Перечислите компоненты составных, относительных составных и канонических имен, а также расскажите, как формируются эти имена. Правильный ответ: составные имена глобально идентифицируют объект; они включают простые имена объекта, его родительских контейнеров и информглдею о домене. Относи­ тельные составные имена идентифицируют объект в родительском контейнере; они со­ держат только простое имя самого объекта. Канонические имена аналогичны составным (в том смысле, что глобально идентифицируют объект), но имеют другой синтаксис. Все три вида имен автоматически генерируются Active Directory по простым именам объекта и его родительских контейнеров.


Планирование структуры ftctiye Directory

Глава 3

2. Чем отличаются имена доменов в DNS и NetBIOS? Правильный ответ: пространство имен DNS имеет иерархическую структуру, тогда как пространство имен NetBIOS — плоскую. NetBIOS-имена служат для поддержки уна­ следованной системы разрешения имен в Windows. DNS-имена могут быть длиной до 64 символов, а NetBIOS-имена — только до 15. 3. Вы решаете, как создать пространство имен для компании, у которой имеется заре­ гистрированное DNS-имя proseware.com. Компания подключена к Интернету и под­ держивает несколько сервисов, доступных через Интернет. Каковы два варианта по­ строения пространства имен с учетом зарегистрированного DNS-имени? Правильный ответ: первый вариант — использовать зарегистрированное DNS-имя proseware.com в качестве имени корневого домена в структуре Active Directory. Второй вариант — задействовать в качестве корневого домена поддомен proseware.com (напри­ мер sales.proseware.com). 4. Вы планируете сеть, где есть два домена, содержащих учетные записи пользователей. Вы обнаружили, что в каждом домене имеется пользователь Keith Harris. Вы не хоти­ те нарушать установленное вами же соглашение об именовании, в соответствии с которым обоим пользователям нужно присвоить имя участника системы безопасно­ сти kharris. Какие утверждения, перечисленные ниже, являются правильными в дан­ ном случае? a. Это можно сделать без ручного вмешательства. b. Это можно сделать, но придется вручную изменить относительное составное имя объекта пользователя. c. Это можно сделать, но придется вручную изменить составное и каноническое имя объекта пользователя. d. Active Directory не позволит создать в одном лесу два объекта пользователя с оди­ наковыми именами. Правильный ответ: а.

Пример из практики 1. Нарисуйте географическую схему структуры компании и выберите модель лесов и доменов, учитывая, что руководство компании хочет по возможности упростить ин­ фраструктуру компании. Правильный ответ: географическая схема должна отражать штаб-квартира в Нашвилле, два филиала и офис в Кингстоне. Кроме того, вы должны отметить типы соединений, связывающих офисы. Простейшая структура состояла бы из двух деревьев доменов, каж­ дое из которых содержит по одному домену. В первое дерево входил бы единственный домен, fourthcoffee.com, содержащий ресурсы штаб-квартиры в Нашвилле и филиалов в Роме и Хьюстоне. Для управления трафиком репликации между филиалами можно было бы использовать сайты. Для приобретенной компании в Кингстоне нужно создать от­ дельное дерево доменов — в первую очередь потому, что следует сохранить пространство имен northwindtraders. 2. Перечислите преимущества использования одного домена для офисов в Нашвилле, Роме и Хьюстоне по сравнению с применением нескольких доменов. И какие пре­ имущества вы получили бы, все же создав несколько доменов?


Вопросы и ответы

Правильный ответ: один домен проще в создании и управлении; кроме того, в этом слу­ чае администрирование было бы более централизованным. При необходимости можно было бы создать сайты для управления трафиком репликации по WAN-каналам и со­ здать OU, чтобы разделить административные функции. В применении нескольких до­ менов в этом случае были бы следующие преимущества: еще больший контроль над трафиком репликации и возможность реализации разных политик безопасности для каждого домена. 3. Вы решили не использовать один домен для офисов в Нашвилле, Роме и Хьюстоне, а оставить свои домены для каждого офиса. Вы не хотите, чтобы офисы в Роме и Хьюстоне казались подразделениями офиса в Нашвилле, но должны использовать зарегистрированное DNS-имя fourthcoffee.com. Создайте иерархию доменов для этих офисов. Какой домен вы выбрали бы в качестве корневого для леса? Правильный ответ: в данном случае лучше всего присвоить корневому домену леса заре­ гистрированное DNS-имя fourthcoffee.com. Затем для каждого из трех участков создайте свой дочерний домен этого корневого домена (рис. 3-7).

LA fourthcoffee.com

L\ LA LA nashville. fourthcoffee.com

Рис. 3-7.

rome. fourthcoffee.com

houston. fourthcoffee.com

Иерархия доменов fourthcoffee.com

4. Соответствуют ли имена, которые вы выбрали для доменов в структуре Active Directory, требованиям к DNS-именам? А к NetBIOS-именам? Если они не соответ­ ствуют какому-либо требованию, какие проблемы при этом возникнут? Правильный ответ: имя fourthcoffee отвечает соглашениям об именовании в DNS и NetBIOS, где допускаются имена дайной не более 64 и 15 символов соответственно. Имя northwindtraders (длиной 16 символов) не соответствует соглашению об именовании в NetBIOS. Вы можете использовать разные DNS- и NetBIOS-имена, и в данном случае это не приведет к слишком тяжелым последствиям. Обычно самая крупная проблема изза использования разных имен состоит в том, что это может запутать администраторов и пользователей. Однако в данном случае можно в определенной мере снять остроту этой проблемы, просто отбросив последний символ и используя NetBIOS-имя northwindtrader.


ГЛА iOi

Занятие 1. Проектирование структуры OU

101

Занятие 2. Планирование стратегии управления учетными записями

117

Занятие 3, Планирование реализации групповой политики

126

Темы экзамена я

Проектирование инфраструктуры Active Directory, соответствующей бизнес-требова­ ниям и техническим условиям: а создание принципиальной схемы структуры организационных единиц (OU).

и

Проектирование структуры OU: • определение требований групповой политики для структуры OU; • разработка структуры OU, предназначенной для делегирования полномочий.

и

Разработка стратегии управления учетными записями компьютеров и пользователей: а описание требований к политике управления учетными записями; а описание требований к учетным записям пользователей, компьютеров, админи­ страторов и служб.

Разработка стратегии управления группами безопасности: а определение областей действия групп безопасности; а определение требований к управлению доступом к ресурсам; а определение требований к управлению административным доступом; а определение ролей пользователей.

Разработка стратегии аутентификации пользователей и компьютеров: а определение общих требований к аутентификации; а выбор механизмов аутентификации; •'ггг'мизация аутентификации с помощью доверия к сокращениям.


Занятие 1

Проектирование структуры организационных единиц

м Разработка стратегии реализации групповой политики: • проектирование стратегии администрирования GPO; а разработка стратегии развертывания GPO; а создание стратегии настройки среды для пользователя через групповую политику; • создание стратегии настройки среды для компьютера через групповую политику. В этой главе В предыдущей главе вы узнали, как проектировать структуру Active Directory для орга­ низации. Для этого требуется определить, сколько доменов нужно и как организовать эти домены — в одно дерево доменов или в лес. По завершении этого этапа проектиро­ вания наступает время переключить внимание на планирование структуры администра­ тивной защиты каждого домена. По собранной вами информации о компании и ИТперсонале вы должны определить, как лучше всего делегировать административные пол­ номочия в доменах. Первый этап проектирования административной структуры защиты — планирование использования организационных единиц (OU) в каждом домене. Следующий этап про­ ектирования этой структуры — выработка стратегии управления учетными записями пользователей, компьютеров и групп. Затем вы должны разработать эффективную реа­ лизацию групповой политики. Прежде всего Для усвоения материалов этой главы нужно иметь представление об основных концеп­ циях Active Directory —- см. главу 1. Кроме того, следует собрать и проанализировать все­ возможную информацию о существующей в вашей компании инфраструктуре Active Directory — см. главу 2. Хотя перед созданием административной структуры защиты сле­ дует спроектировать структуру Active Directory (см. главу 3), для изучения концеп­ ций, о которых рассказывается здесь, читать главу 3 не обязательно.

Занятие 1. Проектирование структуры 0U Первый этап разработки структуры административной защиты — создание плана ис­ пользования организационных единиц (OU) в каждом домене среды. Для этого опре­ делите, как лучше всего делегировать административное управление ресурсами каж­ дого домена. Кроме того, при проектировании архитектуры учитывайте требования групповой политики. Изучив материал этого занятия, вы сможете: •S рассказать, зачем нужны OU; •S выбрать способы использования OU для делегирования административного управления; S описать влияние наследования при проектировании структуры OU; •/ проектировать архитектуру с учетом требований групповой политики. Продолжительность занятия - около 40 минут.


Проектирование административной структуры защиты

Глава 4

Введение в 0U Как вы уже знаете из главы 1, OU служит контейнером, в который можно поместить ресурсы и учетные записи домена. Затем можно назначить OU административные раз­ решения и позволить содержащимся в нем объектам наследовать эти разрешения. OU могут содержать любые объекты следующих типов: • пользователи; • компьютеры; • группы; • принтеры; • приложения; • политики безопасности; • общие папки; • другие OU. OU — это прежде всего административный инструмент. Они не появляются в струк­ туре именования DNS, применяемой организацией, поэтому конечным пользователям незачем изучать структуру OU. То есть вы проектируете структуру OU главным образом для того, чтобы облегчить жизнь администраторам сети. В частности, OU позволяют упорядочить учетные записи и ресурсы домена, что упрощает управление этими объек­ тами и их поиск. Часто проектировщики создают структуру OU на основе структуры отделов или по территориальному признаку, поскольку такое решение представляется очевидным, но иногда это не является необходимым и даже может привести к отрицательным результа­ там. Не следует создавать структуру OU исключительно ради того, чтобы иметь какуюто структуру, — OU используются в определенных целях. К этим целям относятся: • делегирование административного управления объектами; • ограничение видимости объектов; • управление применением групповой политики. Определяющее влияние на структуру OU должна оказывать первая из этих трех целей — делегирование административного управления. Всегда следует начинать с со­ здания структуры OU, эффективно делегирующей управление, а затем совершенство­ вать эту структуру, создавая OU, управляющие групповой политикой и скрывающие объекты. В последующих разделах эти причины создания OU рассматриваются более подробно. Примечание Хотя создавать отдельные OU по территориальному признаку лишь из-за очевидности такого деления не следует, иногда такое решение приемлемо. Когда сеть охватывает обширную территорию, а ее части соединены более медленными WAN-кана­ лами, можно упростить проектирование структуры сайтов (см. главу 5), создав отдель­ ную OU для каждого участка, а затем создав вложенные OU для делегирования админи­ стративного управления.

Применение 0U для делегирования административного управления У вас может появиться соблазн создать структуру OU по территориальному признаку или организационной схеме, составленной ИТ-отделом. Но на самом деле структура OU,


Занятие 1

Проектирование структуры организационных единиц

основанная на таком делении, не обязательно сделает администрирование объектов Active Directory более удобным, а ведь структуру OU создают, чтобы уменьшить нагруз­ ку на администраторов. Запомните: структура OU нужна не для того, чтобы облегчить жизнь пользователям или просто лучше упорядочить объекты, а для того, чтобы упростить администраторам управление объектами, помещенными в эти OU и чтобы было проще предоставлять соответствующие разрешения этим администраторам. Таким образом, следует создать иерархию OU, решающую задачи администрирования и обеспечения безопасности, сто­ ящие перед предприятием. Стремитесь к максимально возможному упрощению архи­ тектуры и выбирайте имена OU, имеющие смысл для людей, которые будут их исполь­ зовать (т. е. для администраторов). Есть две основные архитектуры OU, применяемые для делегирования администра­ тивных полномочий: на основе объектов и на основе задач. Эти две архитектуры рас­ сматриваются в следующих разделах. Архитектура, основанная на объектах В структуре OU, основанной на объектах (рис. 4-1), делегирование полномочий выпол­ няется в зависимости от типа объектов, которые хранятся в OU. Вы можете выбрать структуру OU, в которой объекты группируются по принадлежности к одному из следу­ ющих типов: • пользователям; • компьютерам; • сайтам; • доменам; А • OU. /

/.

ДОМЕН

(Domain!

Л Встроенный (Builtin) • Компьютеры (Computers)

•, "£->

Контроллеры домена (Domain Controllers) Пользователи (Users)

• <^>

Учетные записи (Accounts) - Ч, ^

Учетные записи пользователей (User Accounts)

"" * V *

Учетные записи администраторов (Admin Accounts)

- **>

Группы (Groups)

Рис. 4-1. Пример структуры OU, основанной на объектах


t£14

Проектирование административной структуры защиты

Глава 4

Чтобы делегировать полномочия по администрированию объектов, входящих в OU, определенному пользователю или группе, придерживайтесь следующей схемы. 1. Поместите пользователя или группу, которой требуются административные права, в группу безопасности (подробнее о группах безопасности см. занятие 2). 2. Поместите в OU набор объектов, которыми нужно управлять. 3. Делегируйте административные задачи для этой OU группе безопасности, в которую вы добавляли пользователя или группу на этапе 1.

Apxiiienypas основанная на задачах В архитектуре, основанной на задачах, делегирование управления осуществляется в за­ висимости от административных задач, которые требуется решать, а не от типа объек­ тов, подлежащих администрированию. К этим задачам относятся: а создание, удаление и изменение учетных записей пользователей; я сброс сроков действия паролей; н определение группо'вой политики; в управление членством в группах и разрешениями.

Планирование структуры 0U Служба каталогов Active Directory позволяет весьма точно управлять делегированием административных полномочий. Например, можно предоставить одной группе полный доступ ко всем объектам OU, второй — права на создание, удаление и изменение объек­ тов OU определенного типа, а третьей — право управлять определенным атрибутом объектов конкретного типа (скажем, возможностью сбрасывать срок действия паролей учетных записей пользователей). Кроме того, можно сделать эти разрешения наследуе­ мыми, чтобы они применялись не только к данному OU, но и ко всем создаваемым OU более низкого уровня. Такое тонкое управление обеспечивает огромную гибкость. Если вы выберете структуру OU на основе объектов, то сможете поместить все объекты некоего типа в один контейнер, а затем назначить довольно сложный набор административных разрешений для этих OU, определяющих, что вправе делать каж­ дый администратор. Далее можно создать OU более низкого уровня, управляющие применением групповой политики или решением какие-либо других задач, причем эти ОU унаследуют ту же структуру разрешений. Пример структуры такого рода при­ веден на рис. 4-2. Правильно разработанная структура OU позволяет администраторам эффективно делегировать полномочия. Следует уделять особое внимание верхнему уровню структу­ ры OU, который всегда должен отражать относительно неизменную часть структуры предприятия, чтобы его не приходилось изменять в случае реорганизации. Так, следую­ щие типы структуры верхнего уровня основаны на постоянных характеристиках пред­ приятия, изменение которых маловероятно. в

Физические участки. В филиалах, физически расположенных в разных местах (осо­ бенно, когда компания действует на обширной территории, например в нескольких странах), часто имеются свои ИТ-отделы, поэтому у филиалов разные требования к администрированию. Создание отдельного OU верхнего уровня для каждого фи­ лиала — один из вариантов архитектуры, основанной на задачах; в зависимости от местонахождения определяются разные административные задачи (рис. 4-3).


Занетие 1

Проектирование структуры организационных единиц

Встроенный (Builtin)

Компьютеры (Computers)

Контроллеры домена (Domain Controllers)

Пользователи (Users) Группа

Доступ

Объекты

Domain Admins

Полный

Все

Учетные записи администраторов (Admin Accounts)

User Admins

Полный

Пользователи

Группы (Groups)

Group Admins

Полный

Группы

Учетные записи (Accounts)

•**>*

Рис. 4-2. •

Учетные записи пользователей (User Accounts) "*~™

СЛОЖНЫЙ набор разрешений для сравнительно простой структуры OU

Типы административных задач. Структура верхнего уровня, основанная на адми­ нистративных задачах, относительно постоянна. Какие бы реорганизации не про­ исходили в компании, основные типы административных задач вряд ли сильно изменятся. Типы объектов. Как и структура, основанная на задачах, структура, в которой OU верхнего уровня соответствуют типам объектов, обеспечивает устойчивость архи­ тектуры к изменениям.

Каждый из приведенных выше вариантов структуры OU верхнего уровня лучше, чем, например, OU, основанные на структуре отделов компании, вероятность измене­ ния которой гораздо выше. При планировании структуры OU верхнего уровня для среды с несколькими доме­ нами, есть смысл подумать о создании структуры верхнего уровня, которая будет одной и той же для каждого домена сети. В этом случае особенно эффективна архитектура, основанная на объектах или на задачах (об этих архитектурах рассказывается далее). Создание структуры OU, одинаковой для различных доменов, позволяет реализовать единый подход к администрированию и поддержке сети. OU нижних уровней (создаваемые в OU верхнего уровня) должны использоваться для более тонкого управления административными полномочиями или в других целях, например для применения групповой политики. Запомните: по умолчанию OU нижних уровней наследуют разрешения от родительских OU. При планировании архитектуры вы должны определить и то, когда наследуются разрешения и когда они не наследуются.


Проектирование административной структуры защить

Глава 4

/ / /

L

\ Домен

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users)

~ ^$>, Даллас • ^f>

Мемфис

* <>,.

Портленд

Рис. 4-3. Структура OU верхнего уровня, в которой административные задачи основаны на физических участках При проектировании OU нижних уровней легко переусердствовать. Помните: ваша основная задача — получить структуру, максимально облегчающую администрирова­ ние учетных записей и ресурсов. Поэтому ваша архитектура должна быть как можно проще. Если вы создадите слишком глубоко вложенную структуру OU, то не только будете иметь дело с более запутанной структурой, но и можете столкнуться со сниже­ нием производительности. Групповая политика может применяться к OU на разных уровнях — на уровне домена, сайта и каждого из родительских OU. Чем больше поли­ тик нужно применить, тем больше время ответа и тем ниже производительность. Подготовка к экзамену И в случае архитектуры, основанной на объектах, и в случае архитектуры, основанной на задачах, следует сначала создать структуру OU, позволя­ ющую делегировать административные полномочия. Закончив начальную стадию про­ ектирования OU, создайте дополнительные структуры OU, управляющие применени­ ем групповой политики к пользователям и компьютерам и ограничивающие видимость объектов.

Применение 0U для ограничения видимости объектов В некоторых организациях определенные объекты должны быть скрыты от определен­ ных администраторов или пользователей. Даже если вы запретите изменение атрибутов объекта, пользователи, имеющие доступ к контейнеру с таким объектом, все равно смо­ гут видеть, существует ли этот объект. Однако вы можете скрыть объекты, поместив их в OU и ограничив круг пользователей, которые имеют разрешение Список содержи­ мого (List Contents) для этой OU. Тогда объекты, помещенные в контейнер, будут неви-


Проектирование структуры организационных еданиц

Занятие 1

-j gy

:нмы пользователям, не имеющим этого разрешения. Пример такой архитектуры при­ веден на рис. 4-4.

Л Домен ; Domain)

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Даллас --i„<> j

Мемфис Портленд Пользователи (Users)

< ^Sjj Скрытые (Hidden) Рис. 4-4. OU позволяют скрывать объекты Хотя необходимость ограничить видимость объектов — менее важная проблема, чем создание качественной административной структуры, может оказаться, что из-за поли­ тических или юридических требований или по соображениям безопасности нужно скры­ вать объекты. Лучший способ это сделать — сначала сосредоточиться на создании каче­ ственной структуры OU, основанной на предоставлении административных полномо­ чий. Поместите объекты в OU, в которых они должны находиться в соответствии с этой структурой. После этого создайте новые OU, которые будут служить для скрытия объек­ тов, входящих в новую структуру.

Применение OU для управления групповой политикой О планировании групповой политики подробнее будет рассказано на занятии 3. Тем не менее, в этом разделе вы познакомитесь с третьей веской причиной использова­ ния OU — управлением групповой политикой. Групповая политика позволяет применять одни и те же параметры конфигурации сразу к нескольким объектам. С ее помощью можно определять параметры пользовате­ лей (например ограничения, налагаемые на пароли) или компьютеров. При использова­ нии групповой политики вы создаете объект групповой политики (Group Policy Object,


108

Проектирование административной структуры защиты

Глава 4

GPO) — объект, содержащий параметры конфигурации, которые вам нужно приме­ нить. Создав GPO, вы связываете его с доменом, сайтом или OU. Если вы применяете GPO на уровне сайта или домена, он влияет на большее коли­ чество объектов, чем на уровне OU. Однако при этом у вас меньше возможностей по управлению каждым объектом индивидуально. Объекты, к которым применяются па­ раметры, заданные в GPO, можно фильтровать, но фильтрация может привести к из­ лишнему усложнению, поэтому ее следует использовать только в определенных случа­ ях, но не в качестве общепринятого подхода. Гораздо лучше с самого начала продумать, как эффективнее применять GPO. Свя­ зывание GPO с OU как раз и дает такую схему применения. Создавая GPO для OU, вы управляете применением групповой политики гораздо эффективнее, поскольку отпа­ дает необходимость в фильтрации параметров групповой политики. Однако необходимо тщательное планирование. Создание GPO для OU означает, что придется управлять большим числом GPO. Возможны конфликты между GPO, посколь­ ку OU бывают вложенными, а групповая политика наследуется от родительских OU; таким образом, к объекту в зависимости от места, которое он занимает в иерархии OU, могут применяться несколько GPO. После того как вы создали структуру OU, управляющую делегированием админи­ стративных полномочий в домене, в этой структуре можно создать дополнительные OU, управляющие применением групповой политики. Например, если верхний уро­ вень вашей структуры OU основан на объектах и вы создали OU, содержащую учетные записи пользователей, можно разделить этот OU на несколько OU более низкого уров­ ня для пользователей, к которым применяются другие параметры групповой политики. Проектируя структуру OU, управляющую применением групповой политики, старай­ тесь соблюдать следующие принципы. • Планируйте структуру OU так, чтобы использовать как можно меньше GPO. Чем больше GPO связано с каким-либо объектом, тем больше времени потребуется пользователям, чтобы войти в сеть. • Создавайте OU верхнего уровня, основанные на объектах или задачах, а затем со­ здавайте OU более низких уровней, управляющие групповой политикой. • Создавайте дополнительные OU, чтобы обойтись без фильтрации для изъятия груп­ пы пользователей из OU, связанной с GPO.

Контейнеры и OU по умолчанию При установке Active Directory создается несколько контейнеров и OU, используемых по умолчанию. • Контейнер Домен (Domain). Корневой контейнер в иерархии Active Directory. Ад­ министративные разрешения, применяемые к этому контейнеру, могут влиять на дочерние контейнеры и объекты всего домена. Не делегируйте полномочия на уп­ равление этим контейнером — им должны управлять администраторы служб. • Контейнер Встроенный (Built-in). Содержит учетные записи администраторов служб, используемые по умолчанию. • Контейнер Пользователи (Users). Применяемое по умолчанию хранилище учетных записей новых пользователей и групп, создаваемых в домене. Также не следует изменять разрешения на доступ к этому контейнеру, действующие по умолчанию. Если требуется делегировать управление определенными пользователями, создайте новые OU и перенесите в них объекты пользователей. Кроме того, с контейнером


Занятие 1

Проектирование структуры организационных единиц

Пользователи (Users) нельзя связать GPO. Чтобы применить групповую политику к пользователям, вы также должны создать OU и перенести в них пользователей. • Контейнер Компьютеры (Computers). Применяемое по умолчанию хранилище но­ вых учетных записей компьютеров, создаваемых в домене. Как и в случае контей­ нера Пользователи (Users), чтобы назначить разрешения или GPO компьютерам, следует создать OU. • OU Контроллеры домена (Domain Controllers). Здесь по умолчанию хранятся учет­ ные записи компьютеров — контроллеров домена. К этому OU по умолчанию при­ меняется ряд политик. Чтобы обеспечить единообразие применения этих политик ко всем контроллерам домена, рекомендуется не переносить объекты-компьютеры, являющиеся контроллерами домена, из этого OU. По умолчанию этим OU управля­ ют администраторы служб. Не делегируйте управление этим OU пользователям, которые не являются администраторами служб. Используемые по умолчанию контейнеры управляются администраторами служб, и рекомендуется оставить управление ими в руках этих администраторов. Если вам нужно делегировать управление объектами, содержащимися в каталоге, создайте новые OU и перенесите объекты в эти OU. Делегируйте управление этими OU соответствующим ад­ министраторам. Это позволит делегировать управление объектами в каталоге, не изме­ няя настройки по умолчанию, задающие, что управление осуществляют администрато­ ры служб.

Планирование наследования Каждый OU по умолчанию наследует разрешения, заданные для родительского OU. А��а­ логично объекты, содержащиеся в OU, наследуют разрешения, заданные для этого OU (и для каждого из его родителей). Наследование — эффективный способ предоставить или делегировать разрешения на доступ к объектам. Преимущество наследования в том, что администратор может управлять разрешениями на доступ ко всем объектам в OU, задавая разрешения для самого OU, а не конфигурируя все дочерние объекты по отдель­ ности. По сути, администратор может задавать разрешения на доступ к самому объекту, к объекту и его потомкам, только к потомкам или только к потомкам определенных ти­ пов (например к компьютерам и пользователям). При создании структуры OU следует в полной мере применять наследование. Логи­ чески упорядочивайте OU так, чтобы получить простую структуру, в которой механизм наследования выполняет за вас большую часть работы. Но бывают ситуации, где наследование препятствует решению нужных задач. Вам может потребоваться, чтобы некоторые разрешения на доступ к объекту переопределяли разрешения, наследуемые объектом от родителей. В таком случае заблокируйте наследо­ вание разрешений, применяемых к родительской OU, чтобы они не распространялись на дочернюю OU.

Стандартные модели структуры 0U Создание структуры OU может оказаться сложной задачей. К счастью, есть несколько стандартных моделей, которые можно взять за основу для своего проекта. Каждая мо­ дель описывает категории OU и отношения, связывающие OU друг с другом. Существует пять базовых моделей структуры OU: • на основе местонахождения; • на основе структуры организации;


11Q

Проектирование административной структуры защиты

Глава 4

на основе функций; смешанная — сначала по местонахождению, а затем по структуре организации; смешанная — сначала по структуре организации, а затем по местонахождению. Примечание Модели OU, описанные в этом разделе, подходят для большинства слу­ чаев и, вероятно, вы столкнетесь с ними на экзамене. Однако вы, конечно, не обяза­ ны использовать при проектировании структуры OU только эти модели. См. Microsoft Windows Server 2003 Deployment Kit, входящий в набор Microsoft Resource Kit (Micro­ soft Press, 2003), и статьи по развертыванию Active Directory no ссылке http://www.micwsoft. com/technet.

Модель на основе местонахождения В модели OU на основе местонахождения (рис. 4-5) административные полномочия рас­ пределены между несколькими филиалами, расположенными в разных местах. Эта мо­ дель полезна, когда у каждого филиала свои требования к администрированию, отлич­ ные от требований других филиалов.

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Даллас Мемфис JS2L KLf

Учетные записи пользователей Учетные записи компьютеров

Рис. 4-5. В модели OU на основе местонахождения административные полномочия поделены по территориальному признаку

Модель на основе местонахождения дает ряд преимуществ, в том числе: OU устойчивы к изменениям. Структура ресурсов или отделов компании может измениться, а географическая структура, как правило, более постоянна;


Занятие 1

Проектирование структуры организационных единиц

-J -J ^

• для центрального ИТ-отдела не составляет труда реализовать общедоменные поли­ тики; • легче определить, где находятся ресурсы; • проще создать новые OU при расширении компании или ее слиянии с другой компа­ нией. Но у этой модели есть и недостатки, в частности: • структура основана на географическом местонахождении, следовательно, предпола­ гается, что в каждом филиале имеются администраторы сетей; • архитектура не соответствует бизнес-структуре или административной структуре. Примечание Назначение объектов групповой политики сайтам (обычно выполняемое по территориальному признаку) обеспечивает во многом такие же преимущества, что и модель OU на основе местонахождения, но лишено ее недостатков. Подробнее о проек­ тировании сайтов — в главе 5.

Модель на основе структуры организации В модели OU на основе структуры организации (рис. 4-6) административные полномо­ чия распределены между отделами или бизнес-подразделениями, в каждом из которых имеется собственный администратор. Эта модель полезна, когда у компании есть четкая структура отделов.

А А

/ / /

\ Домен (Domain;

\ \ Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Отдел исследований и разработок Отдел маркетинга

Отдел продаж Рис. 4-6. В модели OU на основе структуры организации административные полномочия поделены между отделами или бизнес-подразделениями


112

Проектирование административной структуры защиты

Глава 4

Модель на основе структуры организации дает ряд преимуществ, в том числе: обеспечивает определенный уровень автономии для каждого отдела или бизнес-под­ разделения; • поддерживает слияния и расширения; а удобна администраторам, поскольку понятна любому сотруднику компании. Однако у модели на основе структуры организации есть серьезный недостаток. Эта структура уязвима при реорганизациях. Из-за изменений в структуре отделов может потребоваться изменение верхнего уровня структуры OU. •

Модель на основе функций В модели OU на основе функций (рис. 4-7) административный персонал децентрализо­ ван и использует модель управления, основанную на бизнес-функциях, существую­ щих в организации. Это идеальный выбор для малых компаний, в которых ряд бизнесфункций выполняется несколькими отделами одновременно.

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Проектирование __ Снабжение *y>j ^JSILI

Исследования

Транспортировка

Рис. 4-7. В модели OU на основе функций административные полномочия поделены в соответствии с бизнес-функциями Значительное преимущество модели на основе функций — ее относительная устой­ чивость к реорганизациям. Но у этой модели тоже есть существенный изъян. Скорее всего она потребует создать дополнительные уровни OU, чтобы делегировать административное управление пользо­ вателями, компьютерами, принтерами и сетевыми каталогами.


Проектирование структуры организационных единиц

Занятие 1

"ИЗ

Смешанная модель — сначала по местонахождению, затем по структуре организации В этой модели (рис. 4-8) сначала создаются OU верхнего уровня, представляющие гео­ графические участки, на которых находятся филиалы компании, а потом — OU более низкого уровня, представляющие структуру организации.

I . _ ,'- Встроенный (Builtin) 1 .._„_. —LllSL'

Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users)

Go,I Даллас >J

Мемфис Отдел продаж j

Отдел маркетинга

Рис. 4-8. Смешанная модель OU — сначала по местонахождению, затем по структуре организации Эта модель обладает двумя преимуществами: поддерживает дальнейший рост числа подразделений и отделов; позволяет создавать различные зоны безопасности. Но у данной смешанной модели есть и некоторые недостатки: • при реорганизации административного персонала скорее всего придется пересмо­ треть структуру; • необходимо взаимодействие между администраторами, работающими в разных отде­ лах одного филиала.

• •


114

Проектирование административной структуры защиты

Глава 4

Смешанная модель — сначала по структуре организации, затем по местонахождению В этой модели (рис. 4-9) сначала создаются OU верхнего уровня, представляющие орга­ низационную структуру компании, а потом — OU более низкого уровня, представляю­ щие территориальные участки.

/ / Домен .'Domain)

Встроенный (Builtin) Компьютеры (Computers) Контроллеры домена (Domain Controllers) Пользователи (Users) Отдел исследований и разработок Отдел маркетинга Сан-Франциско 5У

Форт-Уорт

Рис. 4-9. Смешанная модель OU — сначала по структуре организации, затем по местонахождению У этой модели одно существенное преимущество: она позволяет обеспечить надеж­ ную защиту на уровне отделов и подразделений и в то же время делегировать админи­ стративные полномочия в зависимости от местонахождения. Но у нее, как и у модели на основе структуры организации, есть недостаток — уязви­ мость к реорганизациям.

Лабораторная работа. Проектирование структуры OU На этой лабораторной работе вы создадите структуру OU для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попы­ тайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.


Занятое 1

Проектирование структуры организационных единиц

115

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих воз­ можности в передаче данных. Сейчас Northwind Traders использует основную модель юменов Microsoft Windows NT 4.0 (master domain model). В последние годы компания значительно расширилась и ожидает дальнейшего существенного роста в следующие три года, в том числе увеличения своей доли рынка, доходов и численности сотрудников. Помимо открытия двух новых офисов, администрация решила реализовать новый про­ ект Windows Server 2003 Active Directory, отвечающий текущим и будущим потребно­ стям компании. В следующей таблице перечислены территории, отделы на каждой территории и ко­ личество пользователей. Территория

Отделы

Число пользователей

Париж

Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

2000

Лос-Анджелес

Продажи Маркетинг Финансы ИТ

1000

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

750

Етазго, Шотландия

Исследования Разработка Долгосрочные проекты ИТ

750

Сидней, Австралия

Консалтинг Производство Продажи Финансы

500

Для совместимости с предыдущей структурой доменов у сотрудников некоторых от­ делов имеются учетные записи в удаленных доменах. В следующей таблице приведена информация о том, в каких доменах содержатся учетные записи таких сотрудников. Пользователи

Учетные записи пользователей в домене

Все сотрудники отделов продаж и маркетинга

NAwest

Все сотрудники производственных отделов

AsiaPacific

Все сотрудники исследовательских отделов и отделов разработки (R&D)

Glasgow

Все сотрудники финансовых отделов

Corp


•j -j g

Проектирование административной струетуры защиты

Глава 4

Компания Northwind Traders уже выбрала структуру лесов и доменов, показанную на следующей схеме. RDNwtraders.local

NWtraders.local

Л Glasgow Asia Pacific

NAeast

Лес R&D

NAwest

Corp

Лес NWTraders

Вопросы к лабораторной работе Исходя из приведенной выше структуры лесов и доменов создайте структуру OU для компании Northwind Traders. Для описания структуры воспользуйтесь следующей таб­ лицей. Домен

Организационные единицы

nwtraders. local Corp.nwtraders.local NAwest.nwtraders.local NAeast.nwtraders.local Glasgow. RDNwtraders .local AsiaPacific. nwtrade rs. local

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. По каким трем причинам следует создавать OU? Какая из этих трех причин влияет на проект OU в целом? 2. Чем отличается структура OU на основе объектов от структуры OU на основе задач? 3. Вы планируете структуру каталога. Одно из требований — возможность делегировать управление пользователями, назначая групповую политику. Что вы должны сделать? 4. Каковы преимущества модели OU на основе местонахождения? В чем ее недостатки?

Резюме •

Создавайте структуру OU, облегчающую делегирование управления администрато­ рам, а также поиск ресурсов и учетных записей. Можно создать административную структуру, основанную на объектах или на задачах. OU создаются для того, чтобы делегировать административное управление, ограни­ чить видимость объектов и управлять применением групповой политики. Сначала


Занятие 2

Планирование стратегии управления учетными записями

сосредоточьте усилия на делегировании административных полномочий, затем до­ бейтесь, чтобы структура соответствовала другим требованиям. • Создавайте OU верхнего уровня так, чтобы они отражали сравнительно неизменную сторону деятельности предприятия, например территориальную структуру, админи­ стративные задачи или объекты, а затем используйте OU более низкого уровня для более тонкого разграничения административных полномочий. • Наследование позволяет передавать разрешения между уровнями структуры. Бло­ кируйте наследование, если вам нужно переопределить разрешения, наследуемые от родителя.

Занятие 2. Планирование стратегии управления учетными записями После проектирования структуры OU следующий шаг в создании административного плана — выработка стратегии управления учетными записями. На этом занятии вы узна­ ете, как планировать учетные записи пользователей, компьютеров и групп. Изучив материал этого занятия, вы сможете:

•S рассказать о типах учетных записей, доступных в Active Directory; •S определить стратегию управления учетными записями пользователей; •/ выработать стратегию реализации групп. Продолжительность занятия - около 25 минут.

Типы учетных записей Учетная запись в Active Directory — это список атрибутов, определяющих участника системы безопасности (security principal), например пользователя или группу пользова­ телей. В Active Directory можно создать пять типов учетных записей, перечисленных ниже. В этой главе в основном рассматриваются учетные записи компьютеров, пользо­ вателей и групп. в Компьютер. Всякий раз, когда в домен добавляется компьютер под управлением Microsoft Windows NT, Windows 2000, Windows XP или Windows Server 2003, для него создается учетная запись компьютера. Учетные записи компьютеров служат для аутен­ тификации компьютеров, которые обращаются к сети и ресурсам домена. • Пользователь. Учетная запись пользователя — это набор атрибутов для пользовате­ ля. Объект-пользователь хранится в Active Directory и позволяет пользователю вхо­ дить в сеть. Пользователь должен указать удостоверения (имя и пароль) только один раз, затем ему предоставляются соответствующие разрешения на доступ к сетевым ресурсам. • Группа. Это набор пользователей, компьютеров или других групп, для которого мож­ но задать разрешения. Задавая разрешения группам и добавляя члены в эти группы, можно сэкономить время, поскольку не приходится назначать разрешения каждому отдельно взятому члену группы.


•j •$ g

Проектирование адаинистративной структуры защиты

Глава 4

InetOrgPerson. Учетная запись InetOrgPerson работает во многом аналогично учет­ ной записи пользователя за исключением того, что учетные записи InetOrgPerson совместимы с другими службами каталогов, основанными на LDAP (Lightweight Directory Access Protocol). Это обеспечивает совместимость между Active Directory и другими системами. • Контакт. Объект, который хранится в Active Directory, но для которого не задаются разрешения. То есть контакт нельзя использовать для входа в сеть или доступа к ре­ сурсам. Часто контакты связывают с пользователями, работающими вне сети, кото­ рым отправляет сообщения почтовая система.

Планирование учетных записей компьютеров Учетные записи компьютеров позволяют применять к компьютерам, входящим в до­ мен, во многом такие же средства защиты, как и для пользователей. Эти учетные запи­ си дают возможность выполнять аутентификацию компьютеров — членов домена про­ зрачным для пользователей образом, добавлять серверы приложений как рядовые сер­ веры (member servers) в доверяемые домены и запрашивать аутентификацию пользова­ телей или служб, которые обращаются к этим серверам ресурсов. Так как разрешается помещать учетные записи компьютеров в OU и назначать им групповую политику, вы можете управлять тем, как выполняется аутентификация и обеспечивается защита компьютеров различных типов. Например, для компьютеров, установленных в общедоступном информационном киоске, действуют другие требова­ ния безопасности, чем для рабочих станций, установленных в управляемой среде с огра­ ниченным доступом. Всякий раз, когда в домен добавляется новый компьютер, создается новая учетная запись компьютера. Таким образом, еще одна составляющая стратегии управления учет­ ными записями — определение пользователей, которые вправе добавлять компьютеры в домен, создавая их учетные записи. Кроме того, необходимо продумать соглашение об именовании компьютеров. Хо­ рошее соглашение должно позволять без труда идентифицировать компьютер по вла­ дельцу, местонахождению, типу или любой комбинации этих данных. Например, имя DAL-SVR1, присвоенное серверу, расположенному в Далласе, идентифицирует место­ нахождение и тип компьютера. Имя BPOTTER1, которое присвоено серверу, принад­ лежащему Барри Поттеру (Barry Potter), идентифицирует основного пользователя это­ го компьютера.

Планирование учетных записей пользователей Учетные записи пользователей позволяют идентифицировать пользователей, входящих в сеть, задавать, к каким ресурсам они вправе обращаться, и указывать всевозможную информацию о пользователях. Администраторы — тоже пользователи, но с более широ­ кими правами доступа к ресурсам, связанным с управлением сетью. Группы служат для того, чтобы формировать наборы пользователей, для которых нужно задать одни и те же требования к безопасности или права доступа. Учетные записи пользователей предоставляют пользователям возможность входить в домен или на локальный компьютер и обращаться к ресурсам. Объекты учетных записей пользователей содержат информацию о пользователях и связывают с ними определенные привилегии или ограничения. Каждый объект Active Directory связан со


Занятие 2

Планирование стратегии управлений учетными записями

списком управления доступом (Access Control List, ACL), который представляет собой список разрешений на доступ к объекту, заданных для пользователей и групп.

Типы учетных записей пользователей В Windows Server 2003 существует два основных типа учетных записей пользователей. • Локальные учетные записи пользователей. Создаются в базе данных защиты локаль­ ного компьютера и управляют доступом к ресурсам этого компьютера. Локальные учетные записи пользователей предназначены для управления доступом к изолиро­ ванным компьютерам или к компьютерам, входящим в рабочую группу. Когда вы только что установили операционную систему на сервер, используются локальные учетные записи, управление которыми осуществляется через консоль Управление компьютером (Computer Management) в узле Локальные пользователи и группы (Local Users and Groups). Если вы сделаете сервер контроллером домена, инструмент Управ­ ление компьютером запретит доступ к этому узлу, и вместо него будет использовать­ ся инструмент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) (учетные записи пользователей на контроллерах домена хранятся в Active Directory). • Доменные учетные записи пользователей. Создаются в Active Directory и дают воз­ можность пользователям входить в домен и обращаться к любым ресурсам сети. Вы можете создать доменную учетную запись пользователя с помощью Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Такие учетные записи пользователей реплицируются на все контроллеры в домене, поэтому после репликации любой контроллер домена сможет аутентифицировать пользователя.

Встроенные учетные записи пользователей Windows автоматически создает несколько учетных записей пользователей, называе­ мых встроенными. И на локальных компьютерах, и в доменах создается две ключевых учетных записи: Администратор (Administrator) и Гость (Guest). Учетная запись Администратор обладает наибольшими возможностями, поскольку она автоматически включается в группу Администраторы (Administrators). Члены этой группы имеют высший уровень прав по управлению компьютером, им предоставляются почти все пользовательские права. Учетная запись Администратор уровня домена дает максимум возможностей по управлению доменом в целом; по умолчанию она включа­ ется в группу Администраторы домена (Domain Admins) [а администратор корневого домена леса, кроме того, входит в группы Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins)]. Учетную запись Администратор нельзя удалить, но ее можно переименовать (и это следует сделать для большей безо­ пасности). Также следует задать для этой учетной записи непустой пароль и не переда­ вать его другим пользователям. Учетная запись Гость (Guest) — еще одна базовая встроенная учетная запись пользо­ вателя. Она предназначена для того, чтобы администратор мог задать единый набор раз­ решений для любых пользователей, которые иногда входят в сеть, но не имеют обычной учетной записи. Учетная запись Гость позволяет это сделать, так как автоматически включается в локальную группу Гости (Guests). В среде, где есть домен, эта учетная запись также включается в группу Гости домена (Domain Guests). По умолчанию учет­ ная запись Гость отключена. И действительно, ее следует использовать только в сетях,


120

Проектирование административной структуры защиты

Глава 4

не требующих особой защиты. Эту учетную запись нельзя удалить, но можно отключить и/или переименовать.

Именование учетных записей пользователей Тщательное планирование схемы именовании учетных записей пользователей позволяет стандартизировать идентификацию пользователей домена. Единое соглашение также облегчает распознавание и запоминание имен пользователей. Есть несколько правил, которые нужно соблюдать при планировании стратегии име­ нования пользователей. • У каждого пользователя должно быть имя для входа (логин), уникальное в домене. Полное имя пользователя также должно быть уникальным в OU, в которой хранится его учетная запись. • Имена пользователей для входа могут содержать более 20 символов, но для совмести­ мости с ОС, предшествовавшими Windows 2000, следует ограничить длину 20 симво­ лами. Имена пользователей для входа нечувствительны к регистру букв. В ОС, пред­ шествовавших Windows 2000, имена пользователей не должны были содержать сле­ дующие символы: " / \ [ ] : ; | = , + * ? < >. • Какое соглашение вы бы ни выбрали, оно должно быть достаточно гибким, чтобы учитывать ситуацию, когда у двух пользователей получаются одинаковые имена для входа. Например, если в вашем соглашении имя для входа формируется по фами­ лии и первой букве имени пользователя и есть два пользователя, у которых в этом случае оказываются одинаковые имена для входа, может потребоваться добавить в имя для входа первую букву отчества или даже вторую букву имени. • Принимайте во внимание совместимость с другими приложениями. В некоторых приложениях вроде систем электронной почты в именах пользователей недопусти­ мы некоторые другие символы или установлены иные ограничения на длину. Существует много разных соглашений, применимых при создании имен, и у каждого администратора или проектировщика сети есть свои предпочтения. Однако хорошее со­ глашение об именовании должно быть таким, чтобы имена для входа легко запомина­ лись и чтобы можно было различать сотрудников с похожими именами.

Планирование политики управления паролями Пароли — один из наиболее важных аспектов сетевой безопасности, поэтому полити­ ку определения паролей пользователей необходимо тщательно продумать. В Windows Server 2003 по умолчанию действуют более строгие ограничения на пароли, чем в предыдущих версиях. Например, в Windows Server 2003 имеется новое средство, про­ веряющее сложность пароля учетной записи Администратор (Administrator). Если па­ роль пустой или недостаточно сложный, Windows предупреждает, что использовать нестойкий пароль опасно. Оставив пароль пустым, вы не сможете обращаться к учет­ ной записи через сеть. Надежная политика управления паролями гарантирует, что пользователи в полной мере соблюдают принципы задания паролей, установленные компанией. При планиро­ вании политики управления паролями следует соблюдать ряд правил. • Задайте значение параметра политики, указывающее, что запоминаются как мини­ мум 24 последних пароля. Благодаря этому пользователи не смогут применять лишь несколько паролей, указывая один из них по истечении срока действия очередного пароля.


Занята© 2

Планирований стратегии управления учетными записями

Требуйте, чтобы пользователи меняли свои пароли через определенные периоды времени. Microsoft рекомендует ограничить срок использования одного пароля 42 днями, и в Windows Server 2003 это ограничение действует по умолчанию. Благодаря этому человек, который узнал пароль, не сможет получить доступ в сеть, после того как срок действия пароля истечет. Администраторы должны менять свои пароли чаще, чем обычные пользователи. • Заданный пароль должен сохраняться определенное число дней, чтобы пользовате­ ли не могли быстро менять пароли до тех пор, пока не подберут пароль, который им по вкусу. Microsoft рекомендует хранить пароль минимум один день. • Пароли должны быть длиной не менее семи символов. Длинные пароли сложнее взломать, чем короткие. • Пароли должны быть сложными. Они должны состоять из строчных и прописных букв, цифр и других символов.

Выработка стратегии аутентификации Важно, чтобы контроллеры домена могли проверять идентификацию пользователя или компьютера, прежде чем предоставить соответствующий доступ к системным и сетевым ресурсам. Эта проверка называется аутентификацией и выполняется всякий раз, когда пользователь входит в сеть. При выработке стратегии аутентификации примите следующие меры. • Создайте политику блокировки учетных записей. Политика блокировки учетных за­ писей отключает учетную запись пользователя, если число неудачных попыток входа достигло определенного значения. Это не позволяет проводить так называемые сло­ варные атаки, при которых программа автоматически проверяет один пароль за дру­ гим. Однако политика блокировки учетных записей должна допускать хотя бы не­ сколько попыток входа, чтобы не блокировать легальных пользователей, у которых возникли проблемы с запоминанием или вводом сложных паролей. Пользователям следует предоставить минимум пять попыток ввода пароля. Кроме того, нужно за­ дать период, в течение которого блокируется учетная запись, и время, по истечении которого после неудачной попытки входа счетчик попыток сбрасывается. • Ограничьте время, в которое разрешен вход, чтобы сотрудники могли использовать компьютеры только в рабочее время. Эту политику следует применять как при инте­ рактивном входе (когда пользователь работает за компьютером), так и при входе че­ рез сеть. Задание времени, когда разрешен вход, особенно полезно, когда компью­ теры доступны большому количеству сотрудников, и при работе в несколько смен. Ограничение времени, в которое разрешен вход, может быть необходимо для полу­ чения некоторых правительственных сертификатов безопасности. • Создайте политику истечения срока действия билетов (tickets). Когда пользователь входит в сеть, клиентскому компьютеру назначается билет, используемый им для аутентификации при доступе к сетевым ресурсам. Срок действия билета должен быть достаточно длительным, чтобы пользователи не испытывали неудобств, но достаточ­ но коротким, чтобы злоумышленники не успели получить доступ к билету и извлечь хранящиеся в нем удостоверения. В параметре GPO домена по умолчанию (Default Domain GPO) задан срок действия билета 10 часов, отлично подходящий для боль­ шинства сетей. Уменьшение срока действия повышает безопасность, но увеличива­ ет сетевой трафик из-за выдачи дополнительных билетов.


122

Проектирование административной отрусгуры защиты

Глава 4

Требуйте, чтобы администраторы входили в свои системы как обычные пользовате­ ли. Администраторы должны входить под учетными записями обычных пользовате­ лей и выполнять административные операции с помощью команды Запуск от имени (Run As). На контроллеры домена или другие серверы администраторы должны вхо­ дить по учетным записям администраторов. Также ограничьте число пользователей, входящих в группу Администраторы (Administrators). Вместо этого делегируйте ад­ министративные полномочия учетным записям администраторов с помощью OU. * Переименуйте и отключите встроенные учетные записи Администратор (Admi­ nistrator) и Гость (Guest). Поскольку это общеизвестные учетные записи, их часто атакуют злоумышленники.

Планирование групп Группы упрощают предоставление разрешений пользователям. Например, назначить разрешения группе и добавить пользователей в эту группу гораздо проще, чем по отдель­ ности назначать разрешения многочисленным пользователям и управлять этими разре­ шениями. Когда пользователи входят в группу, для изменения того или иного разреше­ ния всех этих пользователей достаточно одной операции. Как и в случае учетных записей пользователей, группы бывают локальные и уровня домена. Локальные группы хранятся в базе данных защиты локального компьютера и предназначены для управления доступом к ресурсам этого компьютера. Группы уровня домена хранятся в Active Directory и позволяют помещать в них пользователей и управ­ лять доступом к ресурсам домена и его контроллеров. В этой главе рассматриваются до­ менные группы.

Типы групп При создании группы в Windows Server 2003 необходимо указать ее тип и предполагае­ мую область действия. В Windows два типа групп. • Группы безопасности (security groups). Служат для объединения пользователей до­ мена в одну административную единицу. Группам безопасности можно назначать разрешения; кроме того, их можно использовать как списки распространения элект­ ронной почты. Пользователи, помещаемые в эту группу, наследуют разрешения груп­ пы в течение всего времени, пока они остаются ее членами. Сама Windows исполь­ зует только группы безопасности. • Группы распространения (distribution groups). Используются программным обеспе­ чением, отличным от Windows, в целях, не связанных с защитой. Одно из их основ­ ных применений — использование сервером электронной почты в качестве списков рассылки. Группам распространения нельзя назначать разрешения.

Области действия групп Области действия групп задают, в какой части леса Active Directory доступна данная группа и какие объекты в нее можно поместить. В Windows Server 2003 группы в зави­ симости от области действия делятся на три типа: глобальные, локальные в домене и универсальные. • Глобальные группы объединяют пользователей, которым требуется предоставить оди­ наковые разрешения. Глобальные группы имеют следующие характеристики: а могут содержать учетные записи пользователей и компьютеров только того до­ мена, в котором создана эта группа;


Занятие 2 •

а

Планирование стратегии управления учетными записями

когда функциональный уровень домена установлен как основной режим Windows 2000 или Windows Server 2003 (т. е. домен содержит только серверы Windows 2000 или 2003), глобальные группы могут, кроме того, включать другие глобальные группы локального домена; глобальным группам можно назначать разрешения или добавлять в локальные группы любого домена в данном лесу.

Локальные группы домена существуют на контроллерах домена и используются для управления доступом к ресурсам, содержащимся на контроллерах локального доме­ на (для рядовых серверов и рабочих станций вместо локальных групп домена ис­ пользуются локальные группы на этих компьютерах). Локальные группы домена имеют следующие характеристики: а в любом режиме работы домена локальные группы домена могут включать пользо­ вателей и глобальные группы из любого домена леса; • когда домен работает в основном режиме Windows 2000 или Windows Server 2003, локальные группы домена могут также включать другие локальные группы до­ мена и универсальные группы.

Универсальные группы обычно служат для назначения разрешений на доступ к соот­ ветствующим ресурсам нескольких доменов. Универсальные группы имеют следую­ щие характеристики: а доступны, только когда режимом работы леса является основной режим Windows 2000 или Windows Server 2003; • существуют вне границ доменов и управляются серверами глобального каталога; • служат для назначения разрешений на доступ к соответствующим ресурсам не­ скольких доменов; • могут включать пользователей, глобальные группы и другие универсальные группы любого домена леса; • универсальной группе можно предоставить разрешение на доступ к любому ре­ сурсу любого домена.

В табл. 4-1 перечислено, какие элементы могут содержать группы с разными обла­ стями действия в доменах, работающих в смешанном или основном режиме. Табл. 4-1.

Области действия групп и их функциональность

Область

Элементы, которые группа может содержать, когда домен работает в основном режиме Windows 2000 или Windows Server 2003

Элементы, которые группа может содержать, когда домен работает в режиме более низкого уровня

Глобальная (G)

Учетные записи пользователей и гло­ бальные группы локального домена

Пользователи и компьютеры того же домена

Локальная в домене (DL)

Учетные записи пользователей, универсальные группы и глобальные группы любого домена; локальные группы того же домена

Пользователи и компьютеры любого домена

Универсальная (U) Учетные записи пользователей, универсальные и глобальные группы любого домена

В доменах, работающих на более низких функциональных уровнях, нельзя создавать универсальные группы


124

Проектирование административной структуры защиты

Глава 4

Вложение групп Active Directory позволяет вкладывать группы (т. е. помещать одни группы в другие). Вложение групп — эффективный способ упорядочения пользователей. Например, в че­ тырех филиалах у вас есть администраторы низшего звена (рис. 4-10). Тогда можно со­ здать отдельную группу для каждого филиала (с именем типа Dallas Junior Admins). За­ тем создать общую группу Junior Admins и сделать группы «младших администраторов» каждого филиала членами обшей группы. Такой подход позволяет задать разрешения для одной группы и передать их членам этой группы, в то же время разделив админист­ раторов на группы в соответствии с филиалами. При вложении групп стремитесь к тому, чтобы уровень вложения был минималь­ ным. В сущности, лучше ограничиться одним уровнем вложения. Чем глубже вложе­ ние, тем сложнее поддерживать структуру разрешений.

Рис. 4-10. Пример вложения групп

Именование групп Как и в случае учетных записей пользователей, при именовании групп нужно следовать определенному соглашению. Продуманное соглашение об именовании дает возможность пользователям и администраторам тратить меньше сил на идентификацию и запомина­ ние групп, а также облегчает управление членством в группах. При разработке соглашения об именовании групп учтите, что: • имя каждой группы домена должно быть уникальным в этом домене; • имена групп могут содержать до 64 символов; • некоторые символы нельзя использовать в именах групп в операционных системах, предшествовавших Windows 2000. К недопустимым символам относятся: " / \ [ ] :; ] = , + *?<>; • имена групп нечувствительны к регистру букв, но Windows сохраняет их регистр.

Взаимодействие пользователей и групп Итак, вы ознакомились с доступными типами и областями действия групп и планирова­ нием учетных записей пользователей. Теперь пора посмотреть, какое место занимают пользователи и группы в стратегии управления учетными записями.


Занятие 2

.

Планирование стратегии управления учетными записями

-f 2 5

При использовании групп рекомендуется соблюдать следующие принципы. Избегайте выдачи разрешений учетным записям пользователей. Назначение разре­ шений группам позволяет получить более гибкую и простую в управлении структуру разрешений. Для этого нужно тщательно продумать структуру групп. • Создайте локальные группы домена, представляющие ресурсы контроллера домена, для которых вы хотите задать права доступа и то, как будут использоваться эти ресур­ сы. Назначьте соответствующие разрешения для ресурсов группы. Если ресурсы хра­ нятся на рядовом сервере или рабочей станции домена, используйте локальные груп­ пы вместо локальных групп домена. • Чтобы упорядочить пользователей, создавайте глобальные группы. Например, мож­ но создать группу Executives («высшее руководство»). • Помещайте глобальные группы в локальные группы домена. • Не включайте пользователей в универсальные группы. Помещайте их только в гло­ бальные группы. Это позволит избежать репликации объектов в глобальный каталог. Универсальные группы служат только для хранения глобальных групп с одинаковы­ ми требованиями. Конечно, никто не может заставить вас следовать этим рекомендациям, но на прак­ тике вы сами будете заинтересованы в их соблюдении. Понимание этих принципов про­ веряется на экзамене. Следующая последовательность операций вкратце описывает рекомендуемую стратегию управления группами безопасности. 1. Поместите учетные записи пользователей в глобальные группы. 2. Поместите глобальные группы в универсальные. 3. Поместите универсальные группы в локальные группы домена. 4. Назначьте разрешения локальным группам домена. •

Подготовка к экзамену Принципы использования групп, рекомендуемые Microsoft, мож­ но запомнить с помощью простого сокращения: AGUDLP. Учетные записи (accounts, A) помещают в глобальные группы (global groups, G), глобальные группы — в универсаль­ ные (universal groups, U), а те — в локальные группы домена (domain local groups, DL), которым назначают разрешения (permissions, P). Это сокращение можно запомнить с помощью фразы «All Good Users Do Love Permissions» («все хорошие пользователи обо­ жают разрешения»).

Лабораторная работа. Планирование стратегии управления учетными записями На этой лабораторной работе вы изучите требования, которые необходимо выполнить при планировании стратегии управления учетными записями. Вспомните компанию, в которой вы работаете (или работали раньше) и опишите, каковы в ней требования к стра­ тегии управления учетными записями. Чтобы мыслить в верном направлении, ответьте на следующие вопросы; ответы зависят от вашего опыта. 1. Какие соглашения об именовании применяются в вашей организации? 2. Какие требования к паролям действуют в вашей организации? 3. Какие стратегии управления группами используются в вашей сети?


Проектирование административной структуры защиты

Глава 4

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какие пять типов учетных записей можно создать в Active Directory для Windows Server 2003? 2. Вы создаете политику управления паролями. Какие требования к паролям рекомен­ дуется ввести? 3. По какой стратегии рекомендуется помещать пользователей в группы безопасности?

Резюме • •

н

В Windows Server 2003 в Active Directory существует пять типов учетных записей: пользователь, компьютер, группа, контакт и InetOrgPerson. Учетные записи компьютеров позволяют компьютерам, входящим в домен, прохо­ дить аутентификацию прозрачным для пользователей образом. Следует выработать стратегию именования учетных записей компьютеров и определить, кто имеет пра­ во добавлять учетные записи компьютеров в Active Directory. Учетные записи пользователей идентифицируют пользователей и позволяют выпол­ нять их аутентификацию при доступе к сетевым ресурсам. Стратегия управления учетными записями пользователей должна включать в себя продуманное соглаше­ ние об именовании, политику управления паролями и политику аутентификации. Группы упрощают назначение разрешений, позволяя упорядочить пользователей. Область действия группы задает, в каких частях Active Directory доступна эта груп­ па и какие объекты могут стать ее членами. По области действия группы делятся на глобальные, универсальные и локальные группы домена. Включая пользователей в группы, помните, что учетные записи пользователей по­ мещают в глобальные группы, глобальные группы — в универсальные, а те — в локальные группы домена, которым и назначают разрешения.

Занятие 3. Планирование реализации групповой политики Групповая политика — мощное и эффективное средство, позволяющее задать парамет­ ры сразу для нескольких пользователей и компьютеров. Кроме того, групповая полити­ ка применяется для распространения и обновления ПО в организации. На этом занятии вы ознакомитесь с применением групповой политики в Windows Server 2003 и изучите стратегии создания эффективной структуры групповой политики. Изучив материал этого занятия, вы сможете:

•S описать, как работает групповая политика и дня чего она предназначена; •S рассказать о том, как комбинируются объекты групповой политики (GPO); •S выбрать стратегию реализации групповой политики в организации. Продолжительность занятия — около 40 минут.


Занятие 3

Планирование реализации групповой ПОЛИТИКИ

-{27

Введение в групповую политику Групповая политика — набор параметров конфигурации пользователей и компьютеров, который можно связать с компьютерами, сайтами, доменами и OU в Active Directory. Такой набор параметров групповой политики называется объектом групповой политики (Group Policy Object, GPO). Любой компьютер под управлением Windows 2000, Windows ХР или Windows Server 2003 (независимо от того, входит он в Active Directory или нет) содержит один локаль­ ный GPO, в котором заданы политики, применяемые к этому компьютеру. Если ком­ пьютер входит в Active Directory, к нему можно применить несколько дополнительных GPO, не являющихся локальными. Существует два основных типа параметров групповой политики. •

Конфигурация компьютера (Computer Configuration) используется для задания груп­ повых политик, применяемых к определенным компьютерам независимо от того, кто входит на них.

Конфигурация пользователя (User Configuration) предназначена для задания группо­ вых политик, применяемых к определенным пользователям независимо от того, на какой компьютер они входят. Какие бы параметры вы ни настраивали (компьютера или пользователя), есть три их категории: Параметры программ (Software Settings), Параметры Windows (Windows Settings) и Административные шаблоны (Administrative Templates).

Параметры программ Узел Параметры программ (Software Settings) содержит параметры, которые можно ис­ пользовать для развертывания ПО на клиентских компьютерах, к которым применяется групповая политика. Для этого клиентские компьютеры должны работать под управле­ нием Windows 2000 Professional, Windows 2000 Server, Windows ХР Professional, Windows XP 64-Bit Edition или Windows Server 2003 и быть членами домена. Вы можете задать, для каких пользователей или на какие компьютеры будет установлено ПО, при необходимо­ сти указать обновления и даже удалить ПО. Для поддержки этой функции нужны два взаимодействующих компонента. •

Служба установки Windows (Windows Installer service) — служба, которая разверты­ вает и обновляет ПО в соответствии с инструкциями в установочных пакетах Win­ dows (Windows Installer packages) (см. ниже).

Установочные пакеты Windows (Windows Installer Packages) — исполняемые файлы сценариев со всеми инструкциями, нужными Windows Installer для установки, об­ новления или восстановления ПО. Файлы Windows Installer Package имеют расши­ рение msi. Служба Windows Installer отслеживает состояние устанавливаемого приложения. Эта информация может использоваться для переустановки приложения, восстановления от­ сутствующих или поврежденных файлов и удаления больше не нужного приложения. Существует два способа развертывания ПО с помощью групповой политики: пу­ бликация (publishing) и назначение (assigning). Когда приложение назначается пользова­ телю, создается ярлык, доступный пользователю и показываемый в меню Пуск (Start) или на рабочем столе этого пользователя. Это называется предложением (advertising) приложения пользователю. Когда пользователь щелкает ярлык (или открывает файл, связанный с программой), запускается программа установки. Когда приложение на-


128

Проектирование административной структуры защиты

Глава 4

значается компьютеру, приложение устанавливается при первом запуске компьютера после назначения. Если вы публикуете приложение, оно становится доступным пользователям, кото­ рые могут установить его, когда пожелают. Приложения можно публиковать только для пользователей — сделать это для компьютера нельзя. Приложение становится доступ­ ным в апплете Установка и удаление программ (Add/Remove Programs) панели управле­ ния (Control Panel) и устанавливается по запросу пользователя, если тот откроет файл, связанный с программой.

Параметры Windows Категория Параметры Windows (Windows Settings) предназначена для изменения ряда параметров конфигурации, связанных со средой Windows. • Сценарии (Scripts). При настройке конфигурации компьютера можно задать сце­ нарии, которые выполняются при его включении или выключении. При настройке конфигурации для пользователя можно задать сценарии, выполняемые при входе или выходе пользователя. Сценарии можно писать на любое языке сценариев с поддержкой ActiveX, в том числе на VBScript, JScript, Perl, языке командных фай­ лов MS-DOS и др. • Параметры безопасности (Security Settings). Это параметры безопасности, задава­ емые для компьютеров и пользователей. • Настройка Internet Explorer (Internet Explorer Maintenance). Этот узел доступен толь­ ко для пользователей. Он служит для управления работой Internet Explorer на клиен­ тских компьютерах. • Службы удаленной установки (Remote Installation Services, RIS). RIS позволяет ав­ томатически выполнять удаленную установку операционной системы на новые кли­ ентские компьютеры. Эти параметры тоже доступны только для конфигураций пользователей. Они управляют удаленной установкой операционных систем. и Перенаправление папок (Folder Redirection). И эти параметры доступны только для конфигураций пользователей. Они позволяют переопределить специальные папки Windows [такие как Мои документы (My Documents), Главное меню (Start Menu) и Application Data], изменив их местонахождение по умолчанию на сетевой каталог. Благодаря этому можно централизованно управлять папками пользователей. Административные шаблоны Категория Административные шаблоны (Administrative Templates), доступная для конфи­ гураций компьютеров и пользователей, содержит все параметры групповой политики, хранящиеся в реестре. Параметры этой категории перечислены в табл. 4-2. Табл. 4-2. Параметры категории Административные шаблоны Узел

Конфигурация компьютера

Конфигурация Описание пользователя

Панель управления (Control Panel) Рабочий стол (Desktop)

Неприменимы

X

Опр��деляет средства панели управ­ ления, доступные пользователю

Неприменимы

X

Задает внешний вид рабочего стола пользователя


Занятие 3 Табл. 4-2.

Планирование реализации групповой политики

-|29

(окончание)

Узел

Конфигурация компьютера

Конфигурация пользователя

Описание

Сеть (Network)

X

X

Управляет параметрами для средств Автономные файлы (Offline Files) и Сеть и удаленный доступ к сети (Network and Dial-Up Connections)

Принтеры (Printers)

X

Неприменимы

Задает параметры принтеров

Панель задач и меню «Пуск» (Start Menu and Taskbar)

Неприменимы

X

Задает параметры конфигурации для меню Пуск и панели задач пользователя

Система (System)

X

X

Управляет входом/выходом (для пользователей), запуском/выключе­ нием (для компьютеров) и самими групповыми политиками

Компоненты Windows X (Windows Components)

X

Управляет встроенными компонентами Windows вроде Проводника (Windows Explorer), Internet Explorer и Windows Installer

Разрешение GPO из нескольких источников Поскольку GPO, применяемые к пользователю или компьютеру, могут поступать из не­ скольких источников, нужен способ определения того, как эти GPO сочетаются друг с другом. GPO обрабатываются в следующем порядке. • Локальный GPO — обрабатывается локальный GPO компьютера и применяются все параметры защиты, заданные в этом GPO. • GPO сайта — обрабатываются GPO, связанные с сайтом, к которому относится ком­ пьютер. Параметры, заданные на этом уровне, переопределяют любые параметры, заданные на предыдущем уровне, с которыми они конфликтуют. Если с сайтом связано несколько GPO, администратор сайта может задать, в каком порядке обра­ батываются эти GPO. • GPO домена — обрабатываются GPO, связанные с доменом, к которому относится компьютер, и применяются содержащиеся в них параметры. Параметры, заданные на уровне домена, переопределяют параметры, примененные на локальном уровне или на уровне сайта, с которыми они конфликтуют. Если с доменом связано не­ сколько GPO, администратор, как и в предыдущем случае, может задать порядок их обработки. • GPO OU — обрабатываются GPO, связанные с любыми OU, содержащими пользо­ вателя или компьютер. Параметры, заданные на уровне OU, переопределяют пара­ метры, примененные на локальном уровне или уровне домена/сайта, с которыми они конфликтуют. Один и тот же объект может входить в несколько OU. В этом случае сначала обрабатываются GPO, связанные с OU, находящимся на самом высоком уровне иерархии Active Directory, затем — с OU, находящимся на следу­ ющем уровне и т.д. Если с одной OU связано несколько GPO, администратор, как и в предыдущих случаях, может задать порядок их обработки.


130

Проектированиеадминистративнойструктуры защиты

Глава 4

Подготовка к экзамену Простой способ запомнить порядок, в котором обрабатываются GPO, — усвоить, что сначала обрабатывается локальный GPO, затем — GPO, опреде­ ленные в Active Directory. Обработка GPO из Active Directory начинается с самой дале­ кой от пользователя структуры (сайта), затем идет более близкая к пользователю струк­ тура (домен) и, наконец, самая близкая структура (OU).

Наследование групповой политики По умолчанию дочерние контейнеры наследуют групповую политику от родительских контейнеров. Однако можно переопределить унаследованные параметры, задав для до­ чернего объекта другие значения параметров. Кроме того, в GPO можно задать, что тот или иной параметр активен, неактивен или не определен. Параметры, которые не опре­ делены для родительского контейнера, вообще не наследуются дочерними контейнера­ ми, а параметры, которые активны или неактивны, наследуются. Если GPO определены и для родителя, и для потомка и если заданные в них пара­ метры совместимы, эти параметры комбинируются. Например, если в родительской OU задана определенная длина пароля, а в дочерней OU — некая политика блокировки учетных записей, будут использоваться оба этих параметра. Если параметры несовме­ стимы, то по умолчанию с дочерним контейнером связывается значение параметра, переопределяющее значение параметра, который связан с родительским контейнером. Совет На вкладке Общие (General) окна свойств GPO можно отключить неиспользуе­ мые параметры конфигурации компьютера или пользователя, содержащиеся в GPO. В большинстве политик задействована лишь часть доступных параметров. Если неис­ пользуемые параметры включены, они все равно обрабатываются, что приводит к лиш­ нему расходу системных ресурсов. Отключив неиспользуемые параметры, вы снизите нагрузку на клиентские компьютеры, обрабатывающие политику.

Конечно, описанное выше наследование применяется только по умолчанию. Име­ ется еще два механизма, применяемых при управлении наследованием групповых по­ литик. • Не перекрывать (No Override). Когда вы связываете GPO с контейнером, можно выбрать Не перекрывать, чтобы параметры, заданные в этом GPO, не переопределя­ лись параметрами в GPO, связанных с дочерними контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная вами политика. • Блокировать наследование политики (Block Policy Inheritance). При выборе этого п раметра контейнер не наследует параметры GPO, заданные для родительского кон­ тейнера. Однако, если для родительского контейнера указан параметр Не перекры­ вать, дочерний контейнер не может заблокировать наследование от своего родителя. Эти два механизма — весьма существенные исключения из правил наследования, но к ним следует прибегать только в редких случаях. Гораздо лучше создать продуман­ ный проект групповых политик, используя OU, с которыми групповые политики свя­ зываются при необходимости, а не создавать систему исключений, где так легко запу­ таться.


Занятие 3

Планирование реализации групповой ПОЛИТИКИ

-jg-j

Подготовка к экзамену Отвечая на вопросы по групповой политике, помните о прави~ах наследования. Также помните, как объединяются параметры групповой политики: сначала применяется локальный GPO, затем — GPO домена, сайта и OU. Наконец, не сбудьте, что GPO нельзя напрямую связывать с пользователями, группами или встро­ енными контейнерами. GPO можно связать только с сайтом, доменом или OU. Фильтрация GPO с помощью разрешений Одна из потенциальных проблем использования групповых политик может возникнуть, если вам нужно, например, связать GPO с OU, содержащей 500 пользователей и 20 групп, но вы не хотите, чтобы параметры применялись ко всем этим объектам. Чтобы не применять политику к пользователю или группе, можно изменить на­ стройку разрешений для этих пользователей. Для применения политики необходимы "вз разрешения: Чтение (Read) (вполне логично: если политику нельзя прочитать, ее нельзя и применить) и Применение групповой политики (Apply Group Policy), название поторого говорит само за себя. Чтобы политика не применялась к пользователю или группе, можно изменить разрешения, запретив чтение или применение этой политики.

Планирование структуры GPO При реализации групповой политики сначала создают GPO, затем связывают их с сай­ тами, доменами и OU. Может потребоваться применение некоторых GPO на уровне томенов или сайтов, но в большинстве случаев следует применять GPO на уровне OU. Связывание GPO с доменом GPO, связанный с доменом, применяется ко всем пользователям и компьютерам доме­ на. Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня. Типичное применение GPO уровня домена — реализация корпоративных стан­ дартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же поли­ тика управления паролями и аутентификацией. В этом случае применение GPO уровня томена было бы отличным решением. Связывание GFO с сайтом GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении. Но при опреде­ ленных обстоятельствах связывание GPO с сайтом — приемлемое решение. Если пара­ метры должны быть общими для всех компьютеров, физически находящихся в опреде­ ленном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом. Напри­ мер, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае иде­ ально подходит GPO, связанный с сайтом.


132

Проектирование административной структуры защиты

Глаеа 4

Связывание GPO с 0U В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку по­ зволяют спроектировать структуру, хотя бы отчасти упрощающую применение группо­ вой политики. Кроме того, OU гибче в администрировании. Вы можете без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU. На заметку По умолчанию новые учетные записи пользователей и компьютеров со­ здаются в контейнерах Пользователи (Users) и Компьютеры (Computers) соответственно. Вы не можете связать GPO с одним из этих встроенных контейнеров. Несмотря на то, что встроенные контейнеры наследуют GPO, связанные с доменом, вы можете столк­ нуться с ситуацией, когда учетные записи пользователей и компьютеров требуется хра­ нить в OU, с которыми можно связать GPO. В Windows Server 2003 ес��ь два новых инструмента, позволяющих изменять целевое местонахождение, где по умолчанию сохраняются новые учетные записи пользовате­ лей и компьютеров. Утилита redirusr.exe перенаправляет учетные записи пользователей, а redircomp.exe — учетные записи компьютеров. После выбора OU, в которую пере­ направляются записи, новые учетные записи создаются прямо в новой целевой OU, с которой можно связать соответствующие GPO. Например, можно создать OU с име­ нем New Users, связать с этой OU соответствующий GPO и задать, что новые учетные записи пользователей будут помещаться в OU «New Users». Тогда к любым новым пользо­ вателям сразу же после создания будут применяться параметры, заданные в GPO. В дальнейшем администраторы могут переместить новые учетные записи пользовате­ лей в более подходящее место. Вы найдете эти два инструмента в папке %windir%\system32 любого компьютера, рабо­ тающего под управлением Windows Server 2003. Подробнее об этих средствах — в статье 324949 «Redirecting the Users and Computers Containers in Windows Server 2003 Domains» на сайте Microsoft Knowledge Base по ссылке http:/support.microsoft.com.

Планирование развертывания GPO Важным аспектом планирования групповой политики для компании является создание плана управления групповой политикой после первоначального развертывания. При со­ здании этого плана нужно определить пользователей, управляющих групповой полити­ кой организации. Кроме того, требуется обеспечить, чтобы клиентские компьютеры, работающие в сети, принимали параметры, задаваемые GPO.

Администрирование групповой политики Скорее всего задачи, связанные с созданием и управлением GPO, следует делегировать различным администраторам организации. Вы должны, основываясь на административ­ ной модели вашей организации, определить, какие параметры управления конфигура­ цией лучше задавать на уровне домена, сайта или OU. Также определите, как на каждом из уровней сайта, домена и OU осуществить дальнейшее деление полномочий между администраторами или их группами этого уровня.


Занятие 3

Планирование реализации групповой ПОЛИТИКИ

-jgg

Решая, как делегировать полномочия на уровне сайта, домена или OU, примите во внимание следующие соображения. • Полномочия, делегируемые на уровне домена, влияют на все объекты домена, если задано наследование разрешений всеми дочерними контейнерами. • Полномочия, делегируемые на уровне OU, могут влиять только на эту OU или на OU и ее дочерние OU. • Управление разрешениями будет более простым и эффективным, если назначать полномочия на как можно более высоких уровнях OU. • Полномочия, делегируемые на уровне сайта, вероятно, охватывают несколько до­ менов и могут влиять на объекты в доменах, отличных от того, который содержит GPO. Чтобы управлять GPO, администраторам нужны следующие разрешения: • для редактирования GPO, связанных с сайтами, — разрешения на администрирова­ ние предприятия; • для редактирования GPO, связанных с доменами, — разрешения на администриро­ вание домена; • для редактирования GPO, связанных с OU, — разрешения на администрирова­ ние OU.

Требования к клиентам, поддерживающим групповую политику Для принятия параметров групповой политики клиентские компьютеры должны быть членами Active Directory. Основные операционные системы обладают следующими воз­ можностями по поддержке групповой политики. • Windows 95/98/Ме не поддерживают групповую политику. • Windows NT 4.0 и более ранних версий не поддерживает групповую политику. • Windows 2000 Professional и Server поддерживают многие параметры групповой поли­ тики, доступные в Windows Server 2003, но не все. Неподдерживаемые параметры иг­ норируются. • Windows XP Professional, Windows XP 64-bit Edition и Windows Server 2003 полностью поддерживают групповую политику. Примечание Более подробную информацию о том, как Windows 2000 Professional под­ держивает параметры групповой политики, заданные в Windows Server 2003, — в Micro­ soft Windows Server 2003 Deployment Kit (Microsoft Press, 2003).

Лабораторная работа. Проектирование реализации групповой политики На этой лабораторной работе вы приведете структуру организационных единиц (OU) в соответствие с требованиями к групповой политике компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь отве­ тить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.


134

Проектирование административной структуры защиты

Глава 4

Сценарий Northwind Traders проектирует инфраструктуру Active Directory. Компания уже опреде­ лила структуру OU. Эта структура показана в следующей таблице. Домены

OU

Nwtraders.local

Нет HQ Management Finance IT

Corp.nwtraders.local

NAwest.nwtraders. local

Sales Marketing IT

NAeast. nwtraders. local

Customer Service Customer Support Training Glasgow.RDNwtraders.local Development Sustained Engineering IT

AsiaPacific.nwtraders.local

Research

Consulting Production

В следующей таблице перечислены филиалы, отделы в них и требования групповой политики, специфичные для каждого филиала. Филиал

Отделы

Требования групповой политики

Париж

Основной офис Финансы Продажи Маркетинг Производство Исследования Разработки ИТ

Высшее руководство работает с конфиденциальной информацией, поэтому для портативных компью­ теров всех менеджеров высшего звена требуется задать особые параметры защиты. Однако они не хотят, чтобы эти параметры применялись к их настольным компьютерам. Все серверы финансового отдела должны исполь­ зовать IPSec при любой коммуникационной связи

Лос-Анд­ желес

Продажи Маркетинг Финансы ИТ

На компьютеры всех сотрудников отдела продаж необходимо установить приложение, работающее с данными о клиентах. На всех портативных компьютерах этого филиала необходимо установить экранную заставку с защитой по паролю

Атланта

Обслуживание клиентов Техническая поддержка клиентов Обучение

Все сотрудники отдела поддержки клиентов, работающие в центре обработки телефонных звонков, используют специальные приложения, которые необходимо установить на их компьютеры


Занятие 8

Планирование реализации групповой политики

(окончание) Филиал

Отделы

Требования групповой политики

Глазго, Исследования Шотландия Разработки Долгосрочные проекты ИТ

Ко всем компьютерам, даже к только что добавленным в домен, должна применяться политика IPSec. Для всех компьютеров исследовательского отдела необходимо задать специфичные параметры защиты

Сидней, Австралия

Все компьютеры производственного отдела используются разными сотрудниками, работаю­ щими в несколько смен. У каждого из пользова­ телей, входящих в эти системы, должны быть свои параметры рабочего стола и пользовательского интерфейса

Консалтинг Производство Продажи Финансы

Вопросы Исходя из этого сценария, измените структуру OU так, чтобы она отвечала требовани­ ям к групповой политике компании. Ответьте на следующие вопросы. 1. Какие дополнительные OU нужно создать для поддержки групповой политики? 2. Кто будет управлять групповой политикой в каждом из доменов?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. К каким объектам можно применять параметры групповой политики? Какие типы параметров можно применять при использовании групповой политики? 2. В каком порядке разрешаются GPO из нескольких источников? Что будет, если свя­ зать несколько GPO с одним контейнером Active Directory? 3. Вы планируете GPO, который будет связан с OU, содержащей учетные записи пользо­ вателей и групп. Вы хотите, чтобы параметры, заданные в GPO, применялись ко всем учетным записям, входящим в OU, за исключением учетных записей двух групп. Как это сделать?

Резюме •

Групповая политика позволяет применять параметры сразу ко многим пользовате­ лям и компьютерам. Групповую политику можно использовать, чтобы развертывать и обновлять ПО на клиентских компьютерах, настраивать и применять параметры Windows и распространять параметры, помещаемые в реестр, с помощью Админи­ стративных шаблонов (Administrative Templates). При планировании групповой политики нужно определить, какие настройки требу­ ется выполнить на клиентах и как лучше всего это сделать. Можно связывать GPO с доменами, сайтами и OU. Следует свести к минимуму количество GPO, связан-


138

:

Проектирование административной структуры защиты

Глааа 4

ных с доменами и сайтами. Большинство GPO следует связывать с хорошо проду­ манной структурой OU. При планировании структуры OU в полной мере используйте наследование GPO. Запомните: лучше не планировать слишком глубокую структуру, поскольку каждый GPO, применяемый к клиенту, тратит дополнительные системные ресурсы. Также помните, что можно блокировать наследование GPO, связанных с родителем, или задать параметр Не перекрывать (No Override), запрещающий дочерним объектам блокировать или переопределять GPO, унаследованные от родителя. С помощью фильтрации разрешений можно запретить применение GPO к определенным объектам.

Пример из практики

Вам поручили планирование административной структуры для компании Humongous Insurance, предоставляющей услуги по медицинскому страхованию на территории США. На всех серверах корпоративной сети операционную систему недавно обновили до Windows Server 2003 Enterprise Edition. На клиентских компьютер��х работают операци­ онные системы Windows NT Professional 4.0, Windows 2000 Professional и Windows XP Professional. Компания Humongous Insurance наняла вас для того, чтобы вы спроектиро­ вали структуру OU, учетных записей и групповой политики.

Краткие сведения о компании Humongous Insurance выросла за последние несколько лет и стала одной из ведущих компаний по медицинскому страхованию, обслуживающей многие частные и государ­ ственные организации США.

География Главный офис корпорации Humongous Insurance расположен в Лос-Анджелесе (штат Калифорния). Помимо главного офиса, у Humongous Insurance имеются основные кор­ поративные офисы в Буффало (штат Нью-Йорк) и Далласе (штат Техас). Существуют также сотни филиалов, разбросанных по всем пятидесяти штатам. Во всех трех основ­ ных офисах имеются полностью укомплектованные сотрудниками ИТ-отделы, поддер­ живающие структуру сетей этих офисов. ИТ-отдел в главном офисе корпорации в ЛосАнджелесе выполняет управленческие функции и в конечном счете несет ответствен­ ность за все решения и директивы, связанные с работой сети. Кроме того, ИТ-отдел в Лос-Анджелесе поддерживает сети филиалов.

Сетевая инфраструктура Офисы в Буффало, Далласе и Лос-Анджелесе связаны между собой 1-мегабитными ли­ ниями Frame Relay. Филиалы соединены каналами разных типов и пропускной способ­ ности. Сеть настроена на использование одного домена humongousinsurance.com. Для офи­ сов в Буффало, Далласе и Лос-Анджелесе созданы собственные сайты — так же, как и для каждого из филиалов. Это решение приняли в основном для управления трафиком репликации по WAN-каналам.


Резюме главы

-j^j

ИТ-менеджмент ИТ-отдел в Лос-Анджелесе определяет структуру и политику для сети в целом. Кроме того, он напрямую управляет филиалами. ИТ-отделы в Буффало и Далласе управляют сетями своих офисов. Однако за работу сети в целом отвечает главный ИТ-отдел в ЛосАнджелесе.

Требования ИТ-отдел в Лос-Анджелесе установил ряд стандартов, которым должны следовать все филиалы. Учетные записи компьютеров, являющихся серверами, должны описывать местонахождение компьютера и его функцию. Учетные записи компьютеров, являющих­ ся рабочими станциями, должны описывать пользователя и местонахождение компью­ тера. Применяется строгая политика управления паролями. Пароли необходимо менять раз в месяц, в течение 12 месяцев пароль нельзя использовать повторно. Если удостове­ рения пользователя неправильно вводятся более 5 раз подряд, учетная запись пользова­ теля отключается до тех пор, пока он не свяжется с администратором. Кроме того, ИТ-персонал хотел бы использовать групповую политику, чтобы стан­ дартизировать развертывание ПО, устанавливаемого через сеть на определенные ком­ пьютеры. При этом желательно, чтобы пользователям при установке не приходилось принимать слишком много решений. В идеале хотелось бы, чтобы установка выполня­ лась автоматически без ввода данных пользователем.

Вопросы Исходя из этого сценария, ответьте на следующие вопросы. 1. Обрисуйте структуру OU компании, используя модель на основе местонахождения. Какие преимущества и недостатки у такой модели? 2. Какие параметры политики управления паролями вы задали бы, чтобы выполнить корпоративные требования компании? Какую политику аутентификации вы бы ис­ пользовали? 3. Какую стратегию именования учетных записей компьютеров вы применили бы для серверов сети? А для рабочих станций пользователей? 4. Какой метод развертывания ПО с помощью групповой политики вы выбрали бы в данном случае?

Ц Резюме главы •

Создавайте структуру OU, облегчающую делегирование управления администрато­ рам, а также поиск ресурсов и учетных записей. Можно создать административную структуру, основанную на объектах или на задачах. • OU создаются для того, чтобы делегировать административное управление, ограни­ чить видимость объектов и управлять применением групповой политики. Сначала сосредоточьте усилия на делегировании административных полномочий, затем до­ бейтесь, чтобы структура соответствовала другим требованиям. • Создавайте OU верхнего уровня так, чтобы они отражали сравнительно неизменную сторону деятельности предприятия, например территориальную структуру, админи-


138

• •

Проектирование административной структуры защиты

Гяаеа 4

стративные задачи или объекты, а затем используйте OU более низкого уровня для более тонкого разграничения административных полномочий. Наследование позволяет передавать разрешения между уровнями структуры. Бло­ кируйте наследование, если вам нужно переопределить разрешения, наследуемые от родителя. В Windows Server 2003 в Active Directory существует пять типов учетных записей: пользователь, компьютер, группа, контакт и InetOrgPerson. Учетные записи компьютеров позволяют компьютерам, входящим в домен, прохо­ дить аутентификацию прозрачным для пользователей образом. Следует выработать стратегию именования учетных записей компьютеров и определить, кто имеет право добавлять учетные записи компьютеров в Active Directory. Учетные записи пользователей идентифицируют пользователей и позволяют выпол­ нять их аутентификацию при доступе к сетевым ресурсам. Стратегия управления учет­ ными записями пользователей должна включать в себя продуманное соглашение об именовании, политику управления паролями и политику аутентификации. Группы упрощают назначение разрешений, позволяя упорядочить пользователей. Область действия группы задает, в каких частях Active Directory доступна эта группа и какие объекты могут стать ее членами. По области действия группы делятся на глобальные, универсальные и локальные группы домена. Включая пользователей в группы, помните, что учетные записи пользователей помещают в глобальные группы, глобальные группы — в универсальные, а те — в локальные группы домена, которым и назначают разрешения. Групповая политика позволяет применять параметры сразу ко многим пользовате­ лям и компьютерам. Групповую политику можно использовать, чтобы развертывать и обновлять ПО на клиентских компьютерах, настраивать и применять параметры Windows и распространять параметры, помещаемые в реестр, с помощью Админи­ стративных шаблонов (Administrative Templates). При планировании групповой политики нужно определить, какие настройки тре­ буется выполнить на клиентах и как лучше всего это сделать. Можно связывать GPO с доменами, сайтами и OU. Следует свести к минимуму количество GPO, связанных с доменами и сайтами. Большинство GPO следует связывать с хорошо продуманной структурой OU. При планировании структуры OU в полной мере используйте наследование GPO. Запомните: лучше не планировать слишком глубокую структуру, поскольку каждый GPO, применяемый к клиенту, тратит дополнительные системные ресурсы. Также помните, что можно блокировать наследование GPO, связанных с родителем, или задать параметр Не перекрывать (No Override), запрещающий дочерним объектам бло­ кировать или переопределять GPO, унаследованные от родителя. С помощью филь­ трации разрешений можно запретить применение GPO к определенным объектам.


Рекомендации по подготовке к экзамену

Ц Рекомендации по подготовке к экзамену Прежде чем сдавать экзамен, повторите основные положения и термины, приведенные ниже, чтобы выяснить, какие темы нужно проработать дополнительно.

Основные положения •

Следует начинать с создания структуры OU, эффективно делегирующей админи­ стративное управление. После создания этой структуры можно создать OU более низкого уровня, используемые для управления групповой политикой и скрытия объектов. • Помещая пользователей в группы, руководствуйтесь правилом AGUDLP. Учетные записи (accounts, А) помещаются в глобальные группы (global groups, G), глобаль­ ные группы — в универсальные (universal groups, U), а те — в локальные группы домена (domain local groups, DL), которым назначаются разрешения (permissions, P). • Сначала обрабатывается локальный GPO, затем, начиная с самой далекой от пользо­ вателя структуры, обрабатываются GPO в Active Directory. GPO обрабатываются в следующем порядке: локальный, GPO сайта, GPO домена, GPO OU. • Наконец, запомните, что GPO нельзя напрямую связывать с пользователями, груп­ пами или встроенными контейнерами. GPO можно связать только с сайтом, доме­ ном или OU.

Основные термины Модель OU ~ OU model — существует пять стандартных моделей организационных еди­ ниц (OU): 1) на основе местонахождения, 2) на основе структуры организации, 3) на основе функций, 4) сначала по местонахождению, затем по структуре организации и 5) сначала по структуре организации, затем по местонахождению. Учетная запись - account — в Windows Server 2003 можно создавать учетные записи пяти типов: учетные записи пользователей (позволяющие входить в сеть), учетные записи компьютеров (позволяющие проходить аутентификацию в Active Directory), учетные записи групп (позволяющие упорядочивать пользователей и другие группы, чтобы назначать им разрешения), контакты (описывают пользователей, находящих­ ся за пределами сети) и InetOrgPerson (работают аналогично учетным записям пользователей; совместимы с другими службами каталогов, основанными на LDAP). Групповая политика ~ Group Policy — упрощает развертывание ПО и настройку Windows на клиентских компьютерах. Создайте набор параметров, о��ределяемый объектом групповой политики (GPO), а затем свяжите GPO с доменом, сайтом или OU.


140

Проектирование административной структуры защиты

Щ

Вопросы и ответы

Глаза 4

Занятие 1. Лабораторная работа Исходя из утвержденной структуры лесов и доменов создайте структуру QU для компа­ нии Northwind Traders. Для описания структуры воспользуйтесь следующей таблицей. Домен

Организационные единицы

nwtraders.local

Нет

Corp.nwtraders.local

HQ Management (администрация в штаб-квартире) Finance (отдел финансов) IT (ИТ-отдел)

NAwest.nwtraders.local

Sales (отдел продаж) Marketing (отдел маркетинга) IT (ИТ-отдел)

NAeast.nwtraders.local

Customer Service (отдел обслуживания клиентов) Customer Support (отдел технической поддержки клиентов) Training (отдел обучения)

Glasgow.RDNwtraders.local

Research (отдел исследований) Development (отдел разработок) Sustained Engineering (отдел долгосрочных проектов) IT (ИТ-отдел)

AsiaPacific.nwtraders.local

Consulting (отдел консалтинга) Production (производственный отдел)

Занятие 1. Закрепление материала 1. По каким трем причинам следует создавать OU? Какая из этих трех причин влияет на проект OU в целом? Правильный ответ: OU создаются для делегирования административного управления объектами, для ограничения видимости объектов и для управления применением группо­ вой политики. Определяющее влияние на архитектуру OU оказывает делегирование ад­ министративных полномочий. 2. Чем отличается структура OU на основе объектов от структуры OU на основе задач? Правильный ответ: в структуре OU, основанной на объектах, административные полно­ мочия делегируются в зависимости от типа объектов, которые будут храниться в OU. В структуре OU, основанной на задачах, управление делегируется в зависимости от административных задач, которые требуется выполнять, а не от типа объектов, которые нужно администрировать. 3. Вы планируете структуру каталога. Одно из требований — возможность делегировать управление пользователями, назначая групповую политику. Что вы должны сделать? Правильный ответ: поскольку встроенный контейнер Users не является OU, связать GPO с этим объектом нельзя. Вы должны создать новую OU, поместить в нее пользова­ телей, а затем связать GPO с этой OU.


Вопросы и ответы

4. Каковы преимущества модели OU на основе местонахождения? В чем ее недостат­ ки? Правильный ответ: к преимуществам относятся большая устойчивость к реорганизаци­ ям компании, упрощение реализации общедоменных политик центральным ИТ-отделом, более простой поиск ресурсов, легкость создания новых OU для новых филиалов. К не­ достаткам относятся потенциальная сложность ограничения административных прав, вероятная потребность в наличии собственных администраторов в каждом филиале, воз­ можное отклонение проекта инфраструктуры от бизнес-структуры или административ­ ной структуры.

Занятие 2. Закрепление материала 1. Какие пять типов учетных записей можно создать в Active Directory для Windows Server 2003? Правильный ответ: можно создавать учетные записи компьютера, пользователя, группы, а также контакт и InetOrgPerson. 2. Вы создаете политику управления паролями. Какие требования к паролям рекомен­ дуется ввести? Правильный ответ: следует запоминать минимум 24 последних использовавшихся паро­ ля. Кроме того, требуйте, чтобы пользователи периодически меняли свои пароли. По умолчанию (и согласно рекомендациям Microsoft) это нужно делать каждые 42 дня. Па­ роль пользователя должен сохраняться хотя бы в течение одного дня — это не позволит пользователям быстро менять пароли, чтобы подобрать те пароли, которые им нравятся. Пароли должны быть длиной минимум семь символов и содержать буквы в верхнем и нижнем регистре, цифры и прочие символы. 3. По какой стратегии рекомендуется помещать пользователей в группы безопасности? Правильный ответ: поместите учетные записи пользователей в глобальные группы, гло­ бальные группы — в универсальные, а универсальные — в локальные группы домена. Назначьте разрешения локальным группам домена.

Занятие 3. Лабораторная работа 1. Какие дополнительные OU нужно создать для поддержки групповой политики? Правильные ответы: одним из возможных способов фильтрации объектов, к которым применяется групповая политика, является создание OTJ. Для достижения этой цели мож­ но выбрать и другой подход, например использовать группы безопасности. Создайте в OU «HQ Management» новую OU «Laptops» (портативные компьютеры). Эта OU будет содержать все учетные записи портативных компьютеров, принадлежащих высшему руководству. Создайте в домене NAwest новую OU «LaptopComputers», чтобы упростить применение параметров групповой политики ко всем портативным компьютерам этого филиала. Создайте в OU «Customer Support» новую OTJ «CallCenter» (центр обработки телефон­ ных звонков). Эта OTJ будет содержать все учетные записи компьютеров центра обра­ ботки. С его помощью вы без проблем примените к этим компьютерам специфичные параметры групповой политики. Создайте в домене Glasgow новую OU «ComputerAccounts» (учетные записи компьюте­ ров) и командой redircmp.exe задайте, что все новые учетные записи компьютеров будут создаваться в этой OU.


142

Проектированиеадминистративнойструктуры защиты

Глаза 4

2. Кто будет управлять групповой политикой в каждом из доменов? Правильный ответ: ИТ-отдел в Париже будет определять параметры групповой полити­ ки для филиалов в Атланте, Париже и Сиднее. В остальных филиалах параметрами груп­ повой политики будут управлять местные ИТ-отделы.

Занятие 3. Закрепление материала 1. К каким объектам можно применять параметры групповой политики? Какие типы параметров можно применять при использовании групповой политики? Правильный ответ: параметры групповой политики можно применять к пользователям и компьютерам, входящим в Active Directory. Групповую политику можно использовать для настройки развертывания и обновления ПО, настройки параметров Windows и распро­ странения настроек реестра с помощью Административных шаблонов (Administrative Templates). 2. В каком порядке разрешаются GPO из нескольких источников? Что будет, если свя­ зать несколько GPO с одним контейнером Active Directory? Правильный ответ: в первую очередь всегда разрешаются GPO локального компьютера, затем GPO в Active Directory. Сначала разрешаются GPO, связанные с сайтом, потом — GPO, связанные с доменом, и, наконец, GPO, связанные с OU. Если параметры совме­ стимы, они объединяются. Иначе каждый последующий GPO переопределяет параме­ тры, заданные GPO, который применялся до него. Если для одного контейнера задано несколько GPO, администратор может определить порядок, в котором они будут приме­ няться. 3. Вы планируете GPO, который будет связан с OU, содержащей учетные записи пользо­ вателей и групп. Вы хотите, чтобы параметры, заданные в GPO, применялись ко всем учетным записям, входящим в OU, за исключением учетных записей двух групп. Как это сделать? Правильный ответ: есть два варианта. Можно создать дочернюю OU в существующем OU и переместить в новую OTJ учетные записи этих двух групп. Затем можно переопре­ делить параметры, заданные GPO, или блокировать наследование этого GPO от роди­ тельского контейнера. Другой вариант — оставить эти две группы в той же OU и отфиль­ тровать GPO, удалив разрешение на чтение или применение GPO этими двумя группами.

Пример из практики 1. Обрисуйте структуру OU компании, используя модель на основе местонахождения. Какие преимущества и недостатки у такой модели? Правильный ответ: в модели на основе местонахождения можно было бы создать по од­ ной OU для каждого основного филиала и, возможно, еще одну OU, объединяющую все остальные филиалы. Группирование по филиалам дает несколько преимуществ: устойчи­ вость к реструктуризации компании, возможность централизованной реализации поли­ тик масштаба домена, более простой поиск ресурсов по их местонахождению. К недо­ статкам относится вероятная необходимость в наличии администраторов сети в каждом филиале и тот факт, что ваш проект не будет отражать административную структуру ком­ пании. 2. Какие параметры политики управления паролями вы задали бы, чтобы выполнить корпоративные требования компании? Какую политику аутентификации вы бы ис­ пользовали?


Вопросы и ответы

143

Правильный ответ: чтобы соблюсти требования к паролям, задайте параметры полити­ ки паролей — параметру Максимальный срок действия пароля (Maximum Password Age) присвойте значение 30 дней, а параметр Требовать неповторяемости паролей (Enforce Password History) установите в 12 паролей. Параметры по умолчанию обеспечивают до­ полнительную безопасность — они требуют, чтобы пароль был сложным и использовался минимум один день. Чтобы выполнить требования к аутентификации, можно создать по­ литику блокировки учетных записей, отключающую учетные записи после пяти неудач­ ных попыток ввода паролей. Можно ужесточить требования к аутентификации, задав время, в которое разрешен вход, и создав политику истечения срока действия билета (ticket expiration policy). 3. Какую стратегию именования учетных записей компьютеров вы применили бы для серверов сети? А для рабочих станций пользователей? Правильный ответ: серверы следует идентифицировать по местонахождению и функции. В идеале имя сервера должно указывать, что это сервер. Популярный способ — исполь­ зование в имени сокращения SRV. Местонахождение можно задать первыми ��ремя бук­ вами названия города (еще одно решение — указывать трехбуквенные коды аэропортов). Функции вы можете идентифицировать так, как считаете нужным, но ваша методика должна быть единой для всей сети. Например, имя компьютера SRV-DAL-EXCH означа­ ло бы, что это сервер, который установлен в Далласе и на котором выполняется Exchange Server. 4. Какой метод развертывания ПО с помощью групповой политики вы выбрали бы в данном случае? Правильный ответ: вы должны задать групповую политику, которая назначает приложе­ ния компьютерам. Когда приложение назначается компьютеру, оно устанавливается при первом запуске компьютера после назначения.


ГЛАВА

5

Планирование сайтов

Занятие 1 . Проектирование топологии сайтов

145

Занятие 2. Планирование контроллеров доменов

151

Занятие 3. Планирование стратегии репликации

161

Занятие 4. Разработка стратегии перехода

170

Темы экзамена • Проектирование инфраструктуры Active Directory в соответствии с бизнес-требова­ ниями и техническими условиями: а выработка стратегии репликации Active Directory. • Проектирование топологии сайтов Active Directory: а проектирование сайтов; а определение связей сайтов. • Планирование внедрения Active Directory: а планирование размещения контроллеров домена и серверов глобального ката­ лога; а назначение ролей хозяев операций; а создание контроллеров домена. • Выработка стратегии перехода на Active Directory: а определение вариантов перехода — обновление существующих доменов, изме­ нение структуры доменов или переход на новую среду Active Directory. В этой главе В главах 3 и 4 вы научились проектировать логическую часть инфраструктуры Active Directory. К ней относятся структура лесов и доменов, а также административная струк­ тура организационных единиц (OU), пользователей и групп. Прочитав эту главу, вы узнаете, как определять физическую структуру сети с помощью сайтов. Одна из основ­ ных задач при проектировании любых сетей — управление трафиком между удаленны­ ми филиалами по WAN-каналам, и сайты являются основным средством такого управ­ ления. В этой главе объясняется, как определить расположение сайтов и указать связи между ними. Кроме того, вы научитесь создавать проекты, в которых оптимизирована


Занетие 1

Проектирование ТОПОЛОГИЙ сайтов

внутрисайтовая и межсайтовая репликация. Вы узнаете, как размещать контроллеры доменов и планировать роли, назначаемые серверам. Наконец, вы изучите, как плани­ ровать стратегию перехода с предыдущих версий Windows. Прежде всего

Для усвоения материалов этой главы вы должны быть знакомы с концепциями Active Directory, изложенными в главе 1. Кроме того, вы уже собрали и проанализировали всевозможную информацию о существующей в вашей компании инфраструктуре Active Directory (об этом см. главу 2). Для проектирования топологии сайтов вам потребуются собранные ранее сведения о географической структуре и топологии сети компании.

Занятие 1. Проектирование топологии сайтов Первый этап разработки структуры сайтов — выбор их топологии, т. е. расположения сайтов и связей между ними. На этом занятии сначала рассматривается использование сайтов, затем описываются факторы, которые необходимо учитывать при проектирова­ нии топологии сайтов. Изучив материал этого занятия, вы сможете:

•S рассказать о том, как с помощью сайтов управляют сетевым трафиком, передаваемым по WAN-каналам; S задать границы сайтов на основе физической структуры сети; •S определить, как связаны сайты. Продолжительность занятия - около 20 минут.

Для чего нужны сайты Как вы помните из главы 1, сайт — это группа контроллеров домена, существующих в одной или нескольких IP-подсетях, связанных быстрым и надежным сетевым соеди­ нением. Поскольку сайты основаны на IP-подсетях, они обычно соответствуют тополо­ гии сети, а значит, соответствуют и географической структуре компании (рис. 5-1). Сайты соединяются с другими сайтами WAN-каналами. Сайты Active Directory позволяют отделить логическую организацию структуры ка­ талогов (структуры лесов, доменов и OU) от физической структуры сети. Сайты пред­ ставляют физическую структуру сети на основе Active Directory. Поскольку сайты не зависят от структуры доменов, в один домен может входить несколько сайтов или, наоборот, один сайт может содержать несколько доменов (рис. 5-2). Сайты не входят в пространство имен Active Directory. Пользователь, просматрива­ ющий логическое пространство имен, видит компьютеры и пользователей, сгруппиро­ ванных в домены и OU, но сайты при этом не показываются. Однако имена сайтов используются в записях DNS (Domain Name System), поэтому у сайтов должны быть допустимые DNS-имена. Если вы не конфигурируете в Active Directory собственные сайты, все контролле­ ры доменов автоматически входят в один сайт по умолчанию с именем Default-FirstSite-Name, который создается при создании первого домена. Сайты содержат объекты


146

Планирование сайтов

Глаза 5

Рис. 5-1. Простая топология сайтов на основе географической структуры

По одному сайту для каждого домена

Один сайт, охватывающий два домена

Один домен, содержащий два сайта

Рис. 5-2. Сайты и домены не зависят друг от друга только двух типов: контролеры доменов, входящие в сайт, и связи сайтов (site links), настраиваемые для соединения с другими сайтами. В целом, сайты служат для управления трафиком по WAN-каналам. А конкретнее, сайты используются для управления: • трафиком входа на рабочие станции; • трафиком репликации; • распределенной файловой системой (Distributed File System, DFS); • службой репликации файлов (File Replication Service, FRS).

Управление трафиком входа на рабочие станции Когда пользователь входит в сеть, компьютеры с Microsoft Windows 2000 или Microsoft Windows XP ищут контроллеры домена, принадлежащие тому же сайту, что и рабочая станция. В процессе входа контроллеры домена по IP-адресу клиента определяют, к какому сайту он относится, и возвращают ему информацию о сайте. Кроме того, кон­ троллер домена передает клиенту сведения о ближайшем контроллере домена. Эта ин­ формация кэшируется для дальнейшего использования, чтобы ускорить вход.


Занятие 1

Проектирование топологии сайтов

Использование контроллера домена, принадлежащего тому же сайту, позволяет из­ бежать ненужной передачи трафика аутентификации по WAN-каналам. Если там, где находится клиент, нет контроллера домена, клиент проходит аутентификацию на кон­ троллере домена, принадлежащем сайту, цена соединения с которым минимальна по сравнению с другими сайтами. В DNS создаются записи ресурса службы (SRV) с ин­ формацией о том, какой контроллер домена предпочтительнее при аутентификации компьютеров из каждого сайта.

Управление трафиком репликации В Active Directory применяется модель репликации с несколькими хозяевами (multimaster replication). В этой модели все копии БД Active Directory являются равноправными. Изменения, внесенные в БД Active Directory на любом контроллере домена, автома­ тически реплицируются на остальные контроллеры, входящие в этот домен. Внутри сайта контроллеры домена реплицируют изменения сразу после их внесения. Когда данные, хранящиеся на контроллере домена, изменяются, он уведомляет своих партнеров по репликации (остальные контроллеры в пределах сайта); тогда партнеры запрашивают эти изменения, и репликация выполняется почти сразу же. При реплика­ ции между контроллерами, принадлежащими одному и тому же сайту, данные переда­ ются в несжатом формате. Поскольку предполагается, что у соединения высокая про­ пускная способность, использование несжатого формата гарантирует максимально быстрое выполнение репликации (даже несмотря на генерацию дополнительного сете­ вого трафика). Репликация между сайтами выполняется немного иначе. При репликации между сайтами выделенный в каждом сайте контроллер домена собирает и сохраняет измене­ ния, внесенные в каталог, сжимает эту информацию и передает ее в соответствии с расписанием контроллеру домена, принадлежащему другому сайту. Репликация между сайтами оптимизируется так, чтобы повысить эффективность, а не скорость. На заня­ тии 3 вы подробнее ознакомитесь с тем, как выполняется репликация.

Управление топологией DFS DFS (Distributed File System) — серверный компонент, который поддерживает унифи­ цированную схему именования файлов и папок, хранящихся на различных серверах в сети. DFS позволяет создать логическую иерархию файлов и папок, единую для всей сети, независимо от того, где они находятся на самом деле. Файлы, представленные в DFS, могут храниться в разных местах сети, поэтому есть смысл в том, чтобы Active Directory могла направлять пользователей в ближайшее место, где находятся нужные им данные. В связи с этим DFS использует информацию о сайтах, чтобы направить клиент на сервер, который принадлежит тому же сайту и содержит запрашиваемые данные. Если DFS не удалось найти копию данные в сайте, к которому относится клиент, DFS использует информацию о сайтах, хранящуюся в Active Directory, чтобы определить, какой файловый сервер с общими данными, до­ ступными через DFS, находится ближе всего к клиенту. Примечание Подробнее о применении DFS в Windows Server 2003 — в документе «Simplifying Infrastructure Complexity with Windows Distributed File System» по ссылке http:/www. microsoft.com/windowsserver2003/techinfo/overview/dfs.mspx.


Плакирование сайтов

Глава 5

Управление FRS На каждом контроллере домена имеется встроенный набор папок с именем SYSVOL (сокращение от System Volume). В Active Directory в папках SYSVOL по умолчанию хранятся файлы, которые требуется реплицировать на другие серверы домена. SYSVOL можно использовать для репликации GPO, а также сценариев, выполняемых при за­ пуске, выключении, входе или выходе. FRS (File Replication Service) — это служба Windows Server 2003, которая выполняет репликацию файлов, содержащихся в папках SYSVOL, между контроллерами домена. При управлении репликацией данных, содер­ жащихся в папках SYSVOL, FRS использует структуру сайтов. Примечание Подробнее о службе FRS, входящей в Windows Server 2003, — в статье «Technical Overview of Windows Server 2003 File Services» по ссылке http://www.mkrosoft.com/windowsserver2003/techinfo/overview/file.mspx.

Выбор структуры сайтов Чтобы разработать эффективную топологию сайтов, вы должны прежде всего собрать информацию о физической структуре сети (см. главу 2). В частности, нужна следующая информация: • территориальное местонахождение филиалов компании; • структура и скорость локальной сети (LAN) каждого филиала; • сведения о TCP/IP-подсетях в каждом филиале; • общая и доступная пропускные способности WAN-соединений, связывающих фи­ лиалы друг с другом. Помимо информации о физической структуре сети, необходимы сведения о логи­ ческой архитектуре Active Directory — о плане лесов и доменов, административной иерархии. Следует также получить информацию о структуре DNS для Active Directory. Располагая всей этой информацией, вы сможете определить границы сайтов. Чаще всего сайты соответствуют территориальным подразделениям компании, поскольку в каждом из мест, где есть офисы компании, имеется своя высокоскоростная LAN. Од­ нако это не всегда так. Если все участки сети связаны быстрыми и надежными кана­ лами, можно использовать один сайт для целой сети. Вообще говоря, при создании структуры сайтов следует руководствоваться следую­ щими принципами. • Создавайте сайт для каждой LAN или группы LAN, связанных высокоскоростной сетевой магистралью (опорной сетью). Обычно, но не всегда, эти LAN соответству­ ют территориальным подразделениям компании. Однако учтите, что даже при со­ единении двух удаленных друг от друга офисов высокоскоростным каналом задер­ жка, возникающая при передаче данных между ними, часто является веской при­ чиной для того, чтобы все равно создать отдельный сайт для каждого офиса. • Создавайте сайт для каждого территориального участка, где вы планируете уста­ новить контроллер домена. Подробнее о размещении контроллеров домена — в за­ нятии 2. • Создавайте сайт для каждого участка, где есть сервер, на котором выполняется приложение, работающее с данными о сайтах. Например, если в данном месте име-


Занятие 1

Проектирование ТОПОЛОГИИ сайтов

|4§

ются серверы, на которых хранятся общедоступные ресурсы иерархии DFS, можно создать сайт, чтобы управлять доступом клиентов к этим DFS-ресурсам. Подготовка к экзамену На практике вопрос, какое соединение считать быстрым, тре­ бует обсуждения. Вы увидите, что в документации рекомендуемая скорость соединения знутри сайта может варьироваться от 512 Кбит/с до 3 Мбит/с. Однако при проектирова­ нии сайтов на экзамене быстрым считается соединение со скоростью минимум 10 Мбит/с. Другими словами, границы сайтов обычно соответствуют границам LAN. Если в сети несколько LAN, связанных WAN-каналами, то скорее всего нужно создать по одному сайту для каждой LAN. Иногда нет смысла создавать сайт для территориального участка, даже если этот участок связан с остальной сетью каналом с относительно низкой пропускной способ­ ностью. Это особенно верно в случае небольших офисов, где работает мало пользовате­ лей, нет котроллеров домена и нет серверов, на которых выполняются службы, работа­ ющие с сайтами. В таких случаях часто бывает лучше добавить IP-подсеть этого участ­ ка в другой сайт сети, даже если пропускная способность ограничена. Трафик, генери­ руемый запросами аутентификации от такого небольшого сайта, сравнительно неве­ лик. Создание сайта связано с издержками, в частности с увеличением сетевого трафи­ ка (поскольку контроллеры доменов должны отслеживать информацию о сайтах и об­ ращаться к пользователям) и усложнением управления. Вы должны подумать, переве­ сят ли преимущества, которые обеспечивает сайт в управлении трафиком, издержки создания сайта. При разработке структуры сайтов начинайте с построения простой схемы, пред­ ставляющей все сайты сети (рис. 5-3). Пометьте общую и доступную пропускную спо­ собность соединений между сайтами. Для каждого сайта укажите следующую инфор­ мацию. f

145 X пользо вателей \

256 Кбит/с Доступно 60%

1 I

192.168.1.0 \Нью-Йорк/

\

1,5 Мбит/с Доступно 45%

г 245 ^ Ч у / пользо=а;елей у ^

t

Атла ига

J У

/

Мемфис У

yS у / уг

192.16 8.3.0

7 5 X N / пользователей 1 I 192.168.2.0

256 КбитА Доступно 30%

256 Кбит/с Доступно 40% f 65 >i / пользователей 1

192.168,40 \ V

Лондон

л

Рис. 5-3. Типичная схема сайтов, на которой показана доступная пропускная способность каналов между территориальными участками


150

Планирование сайтсш

Глава 5

Имя сайта. Это имя объекта-сайта, который вы создадите в Active Directory. Если имя сайта отличается от названия территориального участка, отметьте на схеме и название этого участка. Подсети, входящие в сайт. Перечислите диапазон IP-адресов подсети, имя, при­ своенное объекту-подсети в Active Directory, и маску подсети.

Ответственный за топологию сайтов При планировании сайта следует подумать и о том, кто будет управлять структу­ рой сайта после его развертывания. Ответственным за топологию сайтов назна­ чают администратора (или администраторов). Он должен по мере роста и измене­ ния физической сети вносить необходимые изменения в структуру сайтов. От­ ветственный за топологию сайтов выполняет следующие обязанности. • Изменяет топологию сайтов в соответствии с изменениями в физической то­ пологии сети. • Отслеживает сведения о подсетях в сети: IP-адреса, маски подсетей и место­ нахождения подсетей. • Наблюдает за сетевыми соединениями и задает цены связей между сайтами.

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Вы разрабатываете структуру сайтов для компании, у которой имеются филиалы в Атланте, Чикаго и Лос-Анджелесе. Каждый филиал связан с двумя другими линия­ ми с пропускной способностью 512 Кбит/с. Сколько сайтов вы бы создали? 2. Какие задачи управления сетевым трафиком решают с помощью сайтов? 3. По каким критериям следует определять, нужно ли создавать сайт?

Резюме •

Сайты используются для управления сетевым трафиком, генерируемым при входе на рабочие станции, при репликации данных Active Directory, работе DFS (Distributed File System) и FRS (File Replication Service). Чтобы подготовиться к разработке структуры сайтов, нужны сведения о территори­ альной структуре компании, структуре и скорости локальной сети каждого из офи­ сов, TCP/IP-подсетях каждого из офисов и пропускной способности каналов между офисами. Вы должны создать по сайту для каждой LAN (или группы LAN, соединенных вы­ сокоскоростной сетевой магистралью), каждого участка, где есть контроллер доме­ на, и каждого участка, где имеется служба, работающая с сайтами.


Занетие 2

Планирование контроллеров доменов

Занятие 2. Планирование контроллеров доменов После того как вы определили структуру сайтов сети, наступает следующий этап пла­ нирования сайтов — определение количества и размещения контроллеров доменов в этих сайтах. Вы также должны определить, соответствует ли каждый контроллер доме­ на требованиям к оборудованию, чтобы работать под управлением Windows Server 2003 и справляться со своей нагрузкой. На этом занятии рассматривается, как определить, нужны ли контроллеры доменов для данного сайта, следует ли назначать им какиелибо дополнительные роли и какая пропускная способность должна быть у каждого контроллера домена. Изучив материал этого занятия, вы сможете:

•S •S •S •S •S

определить, как разместить контроллеры доменов, входящих в сайты; проектировать размещение контроллеров корневого домена леса; планировать структуру серверов глобального каталога; задавать роли хозяев операций для серверов; определять требования к пропускной способности контроллеров доменов. Продолжительность занятия — около 30 минут.

Планирование размещения контроллеров доменов Контроллеры доменов аутентифицируют пользователей, хранят политики безопасности для домена, содержат и реплицируют на другие контроллеры домена БД Active Directory. Важная часть планирования сайтов — проектирование размещения контроллеров доме­ нов. При этом следует определить: • нужен ли контроллер домена для данного участка; и количество контроллеров доменов, необходимых для сайта; • размещение контроллеров корневого домена леса. Как определить, нужен ли контроллер домена для данного участка

Первый этап планирования контроллеров доменов в сети — определить, где должны находиться контроллеры. Часто администраторы используют слишком мало контролле­ ров домена, предполагая, что чем меньше контроллеров у домена, ��ем проще им управ­ лять. Но бывает, что контроллеров домена, наоборот, слишком много, поскольку адми­ нистраторы полагают, будто в каждом из участков сети должен быть минимум один контроллер домена. Предположения, выдвигаемые в обоих случаях, вполне могут ока­ заться правильными, но это не всегда так. Чтобы определить, нужно ли создать контроллер домена для данного сайта, руко­ водствуйтесь следующими принципами. • Если сайт охватывает много пользователей, помещение контроллера домена в сайт обеспечивает, что при аутентификации пользователей, входящих в сеть, не генери­ руется сетевой трафик, который нужно передавать на удаленный контроллер доме­ на по WAN-каналу.


152

Планирование сайтов

Глаеа 5

Если пользователям нужна возможность входить в домен, даже когда WAN-канал не работает, следует установить контроллер домена в локальном сайте. Если WAN-ка­ нал недоступен и нет локальных контроллеров домена, способных обработать запро­ сы на вход в систему, пользователи регистрируются с кэшированными удостовере­ ниями и не могут обращаться к ресурсам других компьютеров. • Если на серверах сайта выполняются приложения, работающие с сайтами, и нужно обеспечить доступ пользователей домена к этим приложениям, установите в этом сайте контроллер домена. Тогда серверы, на которых выполняются такие приложе­ ния, смогут выполнять аутентификацию пользователей, обращаясь к локальному контроллеру домена, и не будут генерировать трафик аутентификации, передавае­ мый по WAN-каналу. • Если сайт является узловым (hub site), т. е. связывает друг с другом остальные сайты меньшего размера, и если у этих сайтов меньшего размера нет своих контроллеров доменов, имеет смысл поместить контроллер домена в узловой сайт, чтобы умень­ шить время отклика при входе. Как видите, при принятии большинства решений, связанных с добавлением кон­ троллеров в сайты, вам нужно найти баланс между издержками из-за установки допол­ нительных контроллеров доменов и выгодой от того, что трафик аутентификации не передается по WAN-каналам. Когда вы добавляете контроллер домена по любой из вышеперечисленных причин, нужно учитывать следующие моменты. • Контроллерами доменов нужно управлять. Устанавливайте контроллеры только там, где есть администраторы, достаточно квалифицированные для того, чтобы управ­ лять контроллерами домена. Если таких администраторов нет, вы должны обеспе­ чить сотрудникам ИТ-отдела уровень доступа, позволяющий удаленно управлять контроллером домена. • Контроллеры домена должны быть защищены. Устанавливайте контроллеры домена только в тех сайтах, в которых можно гарантировать физическую безопасность кон­ троллера.

Как определить количество необходимых контроллеров доменов Следующий этап — определить, сколько контроллеров доменов требуется на сайте для обслуживания каждого из его доменов. Количество пользователей домена, входящих на сайт, — основной фактор, влияю­ щий на число контроллеров, необходимых данному домену. Чтобы определить, сколько контроллеров требуется каждому из доменов сайта, руководствуйтесь следующими пра­ вилами. • Если данный домен сайта охватывает менее 1000 пользователей, в нем достаточно установить всего один контроллер. • Если данный домен сайта охватывает от 1000 до 10 000 пользователей, в нем требу­ ется установить не менее двух контроллеров. • Для каждых дополнительных 5000 пользователей следует добавлять по одному кон­ троллеру. Например, если на сайт входят 20 000 пользователей домена, в этом доме­ не следует установить четыре контроллера. Кроме того, при определении количества контроллеров домена, необходимых сайту, следует учитывать издержки, которые возникают при репликации между сайтами. Ба­ зовое правило состоит в том, что для каждых 15 соединений репликации, устанавлива-


Занятае 2

Плакирование контроллеров доменов

| gg

емых с сайтом, следует добавлять один контроллер домена, который будет нести эту нагрузку. На заметку Даже если можно выполнить требования сайта, установив лишь один кон­ троллер, в сайт надо поместить минимум два контроллера домена, чтобы обеспечить отказоустойчивость в случае, если один из контроллеров даст сбой. Кроме того, второй контроллер домена обеспечивает балансировку нагрузки, даже если в этом нет техни­ ческой необходимости. Вообще говоря, можно добиться некоторого уровня отказоус­ тойчивости, установив на один контроллер больше, чем определенное вами минималь­ ное количество. Если будет доступен еще один контроллер домена, то в случае сбоя одного из контроллеров остальные не будут перегружены.

Как разместить контроллеры корневого домена леса Первый домен, создаваемый в новом лесу, называется корневым доменом леса и зани­ мает особое место среди доменов леса. Корневой домен леса закладывает основу струк­ туры леса и пространства имен. Кроме того, данные о группах Администраторы пред­ приятия (Enterprise Admins) и Администраторы схемы (Schema Admins) уровня леса так­ же хранятся в корневом домене леса. Доверительные отношения между доменами являются транзитивными, и вся аутен­ тификация между разными доменами леса выполняется или через корневой домен леса (т. е. контроллер корневого домена леса), или через специально сконфигурированное доверие к сокращению (shortcut trusts) между региональными доменами. Если один сайт содержит несколько доменов, но корневой домен леса находится в другом сайте, можно определеить доверие к сокращению или добавить контроллер корневого домена леса в локальный сайт. Это позволит аутентифицировать пользователей между доменами локального сайта, даже если WAN-канал неработоспособен.

Планирование серверов — хозяев операций Существуют задачи, которые в отличие от модели репликации с несколькими хозяева­ ми решаются только определенными контроллерами домена. Эти контроллеры выпол­ няют так называемые роли хозяев операций. Хозяева операций (operations masters) — контроллеры домена, которым назначены определенные роли, связанные с обслужива­ нием домена или леса, и они всегда выполняют функции, специфичные для домена или леса, — никакой другой компьютер не вправе брать на себя эти функции. Такие функции разделены на категории для лучшей управляемости.

Роли хозяев операций уровня леса В Windows Server 2003 две роли хозяев операций уровня леса. • Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, — как, например, в случае установки приложения, кото­ рое должно модифицировать классы или атрибуты схемы, — то делать это следует на хозяине схемы [т. е. должен быть доступен контроллер домена (DC), имеющий роль хозяина схемы] одному из членов группы Администраторы схемы (Schema


154

Планирование сайтов

Глава 5

Admins). Если DC, являющийся хозяином схемы, недоступен, а вы должны внести изменения в схему, можно передать эту роль другому DC. ш Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности до­ менов. Хозяин именования доменов запрашивается при добавлении к лесу новых доменов. Если хозяин именования доменов недоступен, добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому кон­ троллеру. Здесь есть одна тонкость, о которой важно помнить в среде с несколькими доменами: хозяин именования доменов должен быть еще и сервером глобального каталога. Дело вот в чем. Чтобы проверить, является ли уникальным домен, созда­ ваемый в лесу, хозяин именования доменов запрашивает глобальный каталог. Эти две роли автоматически назначаются первому контроллеру домена в лесу. В однодоменной среде (или в лесу с нескольким доменами, в котором все контролле­ ры корневого домена леса хранят глобальный каталог) вы должны оставить обе роли хозяев операций уровня леса первому контроллеру, созданному в корневом домене леса. В лесу с несколькими доменами, в котором глобальный каталог хранится не на всех контроллерах, передайте обе роли хозяев операций уровня леса контроллеру корневого домена леса, не являющемуся сервером глобального каталога.

Роли хозяев операций уровня домена

В Windows Server 2003 три роли хозяев операций уровня домена. • Эмулятор основного контроллера домена [Primary Domain Controller (PDC) Emulator] отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows Server 2003. Одна из основных задач эмулятора PDC — регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит об­ ращение, если аутентификация клиента оказалась неудачной. • Хозяин RID [Relative Identifier (RID) Master] отвечает за выделение диапазонов от­ носительных идентификаторов (RID) всем контроллерам в домене. Идентификатор защиты (security identifier, SID) — уникальный идентификатор каждого объекта в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть общая для всех объектов в домене; для создания уникального SID к этой части добавл��ется уникальный RID. Вместе они уникально идентифицируют объект в домене и ука­ зывают, где он был создан. • Хозяин инфраструктуры (Infrastructure Master) регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается хо­ зяину инфраструктуры, и лишь потом они реплицируются на другие контроллеры домена. Хозяин инфраструктуры обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача хозяина инфраструктуры — пере­ давать информацию об изменениях, внесенных в объекты, в другие домены. Не назначайте роль хозяина инфраструктуры контроллеру домена, содержащему гло­ бальный каталог, если только этот каталог не хранится на всех контроллерах доме­ на. Это объясняется тем, что хозяин инфраструктуры не будет нормально работать, если он содержит ссылки на объекты, не входящие в домен. Если хозяин инфра­ структуры является еще и сервером глобального каталога, то глобальный каталог будет содержать объекты, которые не хранятся на хозяине инфраструктуры, что опять же помешает его работе.


Занятое 2

Планирование контроллеров доменов

15з

Все три роли уровня домена автоматически назначаются первому контроллеру доме­ на, созданному в домене. Следует по возможности всегда назначать три роли уровня ~омена одному серверу, входящему в домен. Поскольку по умолчанию эти роли получа­ ет первый установленный контроллер домена, самое лучшее — все так и оставить. Это весьма упрощает администрирование. Не забывайте: этот сервер либо не должен содер­ жать глобальный каталог, либо, если тот все же хранится на этом сервере, глобальный каталог должен содержаться и на остальных контролерах этого домена. Помните, что всем пользователям домена требуется регулярный доступ к серверу 'или серверам), выполняющему эти роли. Если в домен входит несколько сайтов, поме­ стите хозяев операций в сайт с наибольшим числом пользователей. Если таких сайтов несколько, поместите хозяев операций в тот из них, который доступен всем пользова­ телям.

Планирование серверов глобального каталога Сервер глобального каталога — это контроллер домена, поддерживающий подмноже­ ство атрибутов объектов Active Directory, к которым чаще всего обращаются пользова­ тели или клиентские компьютеры, например регистрационное имя пользователя. Сер­ веры глобального каталога выполняют две важные функции. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса, не обращаясь к конкретным контроллерам доменов, на которых хранятся эти объекты. Active Directory состоит из трех разделов. •

Раздел схемы. Хранит определения всех объектов, которые можно создать в лесу, а также их атрибутов. В лесу существует только один раздел схемы. Его копия репли­ цируется на все контроллеры доменов, входящие в лес. Раздел конфигурации. Определяет структура доменов, сайтов и объектов-серверов Active Directory. В лесу существует только один раздел конфигурации. Его копия реплицируется на все контроллеры доменов, входящие в лес. Раздел домена. Служит для идентификации и определения объектов, специфич­ ных для домена. В каждом домене существует свой раздел домена, копия которого реплицируется на все контроллеры этого домена.

Как и все контроллеры доменов, сервер глобального каталога содержит полные ко­ пии разделов схемы и конфигурации, а также полную копию раздела домена для того домена, в который он входит. В эти копии можно записывать данные. Кроме того, он содержит глобальный каталог, где хранится подмножество информации раздела домена и который реплицируется на другие контроллеры этого домена. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобаль­ ного каталога. Без глобального каталога этот запрос мог бы долго передаваться от одно­ го контроллера домена к другому. Если в вашей сети один домен, необходимости в этой функции глобального каталога нет, так как информация обо всех пользователях и объектах сети находится на любом контроллере домена. Но при наличии нескольких доменов эта функция глобального каталога становится важной. Другая функция глобального каталога, полезная независимо от того, сколько доме­ нов в вашей сети, — участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, указывая имя участника системы безопасности (user prinipal name, UPN) вида user@domain.com, оно сначала сверяется с содержимым гло­ бального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных


•jgg

Планирование сайтов

Глава 5

от того, где хранится нужная пользовательская учетная запись. Кроме того, это позво­ ляет входить в сеть, когда контроллер домена недоступен, например из-за того, что не работает WAN-канал. Примечание В Windows Server 2003 введена новая функция — кэширование информа­ ции о членстве в универсальных группах. Если эта функция активизирована для сайта, контроллеры домена этого сайта кэшируют информацию о членстве пользователей в универсальных группах, когда пользователи входят в сеть. Контроллеры домена также обновляют этот кэш, связываясь через заданные интервалы с серверами глобального каталога. Если кэширование информации о членстве в универсальных группах вклю­ чено, контроллеры доменов могут аутентифицировать пользователей, не обращаясь к глобальному каталогу. Эта функция полезна в случае небольших сайтов, когда добав­ ление сервера глобального каталога привело бы к созданию лишнего трафика репли­ кации. По умолчанию сервером глобального каталога становится первый контроллер доме­ на, установленный в лесу. Однако в отличие от ролей хозяина операций роль сервера глобального каталога может быть назначена нескольким контроллерам. Установка до­ статочного количества серверов глобального каталога на каждом участке обеспечит при­ емлемое время отклика для пользователей, входящих в сеть из удаленных доменов. Подготовка к экзамену В лесу с одним доменом сделайте все контроллеры домена сер­ верами глобального каталога, поскольку для этого не потребуется дополнительного про­ странства и это не приведет к генерации дополнительного трафика репликации. В лесу с несколькими доменами можно создать столько серверов глобального каталога, сколь­ ко нужно, чтобы обеспечить балансировку нагрузки и избыточность. Microsoft реко­ мендует устанавливать минимум один сервер глобального каталога в каждом сайте. Хотя любой контроллер домена можно сделать сервером глобального каталога, будь­ те осторожны, решая, каким серверам назначить те или иные роли. Прежде всего не следует превращать один и тот же контроллер домена в хозяина инфраструктуры и в сервер глобального каталога, если у вас не один контроллер домена. Кроме того, сервер глобального каталога требует большого объема ресурсов от контроллера домена. По этой причине не стоит создавать сервер глобального каталога из контроллера домена, вы­ полняющего другие ресурсоемкие роли. При добавлении серверов глобального каталога в сайты руководствуйтесь следую­ щими правилами. • Если сайт включает более 100 пользователей, поместите в него сервер глобального каталога, чтобы сократить трафик аутентификации, передаваемый по WAN-кана­ лам. В случае небольших сайтов используйте вместо сервера глобального каталога кэширование информации о членстве в универсальных группах. • Если в сайте несколько контроллеров домена, установите несколько серверов гло­ бального каталога. Общее базовое правило — количество серверов глобального ка­ талога должно быть равно половине количества контроллеров домена в сайте. • Помещайте серверы глобального каталога в сайты, в которых установлены прило­ жения, постоянно выполняющие поиск в Active Directory. Возможность обращаться к локальному серверу глобального каталога повысит производительность и сократит трафик по WAN-каналам.


Занятие 2

Планирование контроллеров доменов

-| g j

Планирование пропускной способности контроллеров доменов Под пропускной способностью контроллера домена имеется в виду число пользовате­ лей сайта, которое может поддерживать этот контроллер. Администраторы должны по­ нимать требования, предъявляемые к каждому контроллеру домена, и подбирать аппа­ ратное обеспечение в соответствии с этими требованиями, чтобы в дальнейшем не было трудноразрешимых проблем, связанных с тем, что контроллеры доменов не отвечают на запросы пользователей, поскольку не справляются с нагрузкой. Основной фактор, влияющий на требования к пропускной способности, — количе­ ство пользователей домена, которые должны проходить аутентификацию. После того как вы оценили требования к оборудованию с учетом количества пользователей, следу­ ет уточнить эти требования — принять во внимание дополнительные роли и службы, которые будут работать на этом контроллере домена.

Определение требований к процессорам Количество процессоров, необходимых контроллеру домена, в основном зависит от того, сколько пользователей будут входить в домен. Чтобы по числу пользователей, входящих в домен, определить, какие процессоры использовать, руководствуйтесь следующими правилами. • Если пользователей меньше 500, контроллеру домена под управлением Windows Server 2003 достаточно одного процессора с тактовой частотой 850 МГц или выше. • Если количество пользователей находится в пределах от 500 до 1500, контроллеру домена под управлением Windows Server 2003 требуется два процессора с тактовой частотой 850 МГц или выше. • Если пользователей больше 1500, контроллеру домена под управлением Windows Server 2003 нужно четыре процессора с тактовой частотой 850 МГц или выше. На заметку Хотя для сдачи экзамена вы должны запомнить требования, перечислен­ ные в разделе «Определение требований к процессорам», есть и другие подходы к обес­ печению необходимой процессорной мощности. С ростом числа пользователей кон­ троллерам доменов требуются дополнительные вычислительные ресурсы. Вместо уста­ новки дополнительных процессоров можно увеличивать тактовую частоту процессора. Так, один процессор с тактовой частотой 1,6 ГГц способен заменить два процессора на 850 МГц, а процессор с тактовой частотой 3 ГГц — четыре процессора на 850 МГц. Преимущество многопроцессорных систем — возможность одновременной обработки большего количества запросов, но это преимущество во многих случаях не компенси­ рует издержки от установки нескольких процессоров. Системы с несколькими процес­ сорами, как правило, дороже, чем системы с одним, но более мощным процессором. Кроме того, условия лицензирования ПО зависят от количества процессоров в системе.

Определение требований к дисковому пространству Как и требования к процессорам, требования к дисковому пространству в первую оче­ редь зависят от числа пользователей в домене. Чтобы определить требования к дисково­ му пространству, руководствуйтесь следующими правилами.


Занятие 2

Планирований контроллеров доменов

-j g j

Планирование пропускной способности контроллеров доменов Под пропускной способностью контроллера домена имеется в виду число пользовате­ лей сайта, которое может поддерживать этот контроллер. Администраторы должны по­ нимать требования, предъявляемые к каждому контроллеру домена, и подбирать аппа­ ратное обеспечение в соответствии с этими требованиями, чтобы в дальнейшем не было трудноразрешимых проблем, связанных с тем, что контроллеры доменов не отвечают на опросы пользователей, поскольку не справляются с нагрузкой. Основной фактор, влияющий на требования к пропускной способности, — количе­ ство пользователей домена, которые должны проходить аутентификацию. После того как вы оценили требования к оборудованию с учетом количества пользователей, следу­ ет уточнить эти требования — принять во внимание дополнительные роли и службы, которые будут работать на этом контроллере домена.

Определение требований к процессорам Количество процессоров, необходимых контроллеру домена, в основном зависит от того, сколько пользователей будут входить в домен. Чтобы по числу пользователей, входящих з домен, определить, какие процессоры использовать, руководствуйтесь следующими .травилами. • Если пользователей меньше 500, контроллеру домена под управлением Windows Server 2003 достаточно одного процессора с тактовой частотой 850 МГц или выше. • Если количество пользователей находится в пределах от 500 до 1500, контроллеру домена под управлением Windows Server 2003 требуется два процессора с тактовой частотой 850 МГц или выше. • Если пользователей больше 1500, контроллеру домена под управлением Windows Server 2003 нужно четыре процессора с тактовой частотой 850 МГц или выше. На заметку Хотя для сдачи экзамена вы должны запомнить требования, перечислен­ ные в разделе «Определение требований к процессорам», есть и другие подходы к обес­ печению необходимой процессорной мощности. С ростом числа пользователей кон­ троллерам доменов требуются дополнительные вычислительные ресурсы. Вместо уста­ новки дополнительных процессоров можно увеличивать тактовую частоту процессора. Так, один процессор с тактовой частотой 1,6 ГГц способен заменить два процессора на 350 МГц, а процессор с тактовой частотой 3 ГГц — четыре процессора на 850 МГц. Преимущество многопроцессорных систем — возможность одновременной обработки большего количества запросов, но это преимущество во многих случаях не компенси­ рует издержки от установки нескольких процессоров. Системы с несколькими процес­ сорами, как правило, дороже, чем системы с одним, но более мощным процессором. Кроме того, условия лицензирования ПО зависят от количества процессоров в системе.

Определение требований к дисковому пространству Как и требования к процессорам, требования к дисковому пространству в первую оче­ редь зависят от числа пользователей в домене. Чтобы определить требования к дисково­ му пространству, руководствуйтесь следующими правилами.


158

Планирование сайтаз

Глава 5

На диске, содержащем БД Active Directory (NTDS.dit), для хранения данных о каж­ дой 1000 пользователей необходимо выделить минимум 400 Мб. Сюда входит и про­ странство, занимаемое разделом DNS. • На диске, содержащем файлы журналов транзакций Active Directory, должно быть минимум 500 Мб свободного места. • На диске, содержащем общие папки SYSVOL, должно быть минимум 500 Мб. • На диске, на который устанавливается ОС Windows Server 2003, должно быть при­ мерно 2 Гб свободного дискового пространства. Определив минимальный объем дискового пространства, необходимый контролле­ рам доменов, вы должны выделить дополнительное дисковое пространство на тех кон­ троллерах домена, на которых будет храниться глобальный каталог. Если в лесу только один домен, назначение контроллеру домена роли сервера глобального каталога не при­ ведет к увеличению размера БД. Однако, если в лесу более одного домена, для каждого дополнительного домена размер глобального каталога увеличивается приблизительно на 50% от размера базы данных этого домена.

Определение требований к памяти И вновь основным фактором, влияющим на требования к объему памяти контроллера домена, является количество пользователей. Чтобы определить требования к памяти контроллера домена, руководствуйтесь следующими правилами. • Если пользователей меньше 500, контроллеру домена требуется 512 Мб памяти. • Если количество пользователей находится в пределах от 500 до 1000, контроллеру домена требуется 1 Гб памяти. • Если пользователей больше 1000, контроллеру домена требуется 2 Гб памяти.

Совет Microsoft предлагает утилиту Active Directory Sizer Tool, которая по числу пользо­ вателей, информации о домене и топологии сайтов сети позволяет оценить требования к оборудованию для развертывания Active Directory. Эта утилита доступна по ссылке http://www.microsoft.com/windows2000/downloads/tools/sizer/default.asp. Она разработана д Windows 2000, но остается полезной и при оценке требований к оборудованию компью­ тера под управлением Windows Server 2003.

Лабораторная работа. Планирование контроллеров доменов На этой лабораторной работе вы спроектируете размещение контроллеров доменов и серверов глобального каталога для компании Northwind Traders. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Отве­ ты для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих возможности в передаче данных. Сейчас Northwind Traders использует основную мо­ дель доменов Microsoft Windows NT 4.0 (master domain model). Все домены настроены на двусторонние доверительные отношения между собой. В последние годы компания зна­ чительно расширилась и ожидает дальнейшего существенного роста в следующие три года, в том числе увеличения своей доли рынка, доходов и численности сотрудников.


Занятие 2

Планирование контроллеров доменов

Помимо открытия двух новых офисов, администрация решила реализовать новый про­ ект Windows Server 2003 Active Directory, отвечающий текущим и будущим потребнос­ тям компании. Территориальная структура сети компании Northwind показана ниже. Сотрудники ИТ-отдела, расположенного в главном офисе корпорации в Париже, очень хотели бы оез проблем выполнять поиск информации, которая будет содержаться в БД Active Directory. Это требование объясняется тем, что в текущей модели поиск различных ресурсов и информации об учетных записях занимает много времени. Кроме того, не­ которые сотрудники региональных офисов посещают главный офис в Париже. Им нуж­ но без проблем входить на компьютеры парижского офиса и других офисов, в которых они бывают.

В офисе в Сиднее планируется установить несколько серверных DCOM-приложений (Distributed Component Object Model), работающих с сайтами. Эти приложения потребуют быстрого ответа от серверов.

Вопросы к лабораторной работе Исходя из этого сценария ответьте на следующие вопросы. 1. Сколько контроллеров домена вы установили бы в каждом сайте? Почему? Укажите их количество в следующей таблице. Домен

Число контроллеров домена в каждом сайте Париж

Nwtraders .local AsiaPacific. nwtraders .local NAeast.nwtraders.local NAwest.nwtraders.local Corp.nwtraders.local RDNwtraders.local Glasgow.RDNwtraders.local

Глазго

Сидней

Атланта

Лос-Анджелес


160

Планирование сайтов

Глава 5

2. В каких сайтах вы разместили бы серверы глобального каталога? В каких сайтах вы включили бы кэширование членства в универсальных группах? Заполните следую­ щую таблицу. Сайт

Число серверов глобального каталога для леса Nwtraders.local

Число серверов глобального каталога для леса RDNwtraders.local

Включить кэширование членства в группах для сайта (да/нет)

Париж Глазго Сидней Атланта Лос-Анджелес

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. По каким причинам в сайты помещают контроллеры домена? Какие причины могут быть для того, чтобы не помещать в сайт контроллер домена? 2. Вы определяете, сколько контроллеров доменов нужно установить в сайте. Сайт охватывает 15 000 пользователей. Поддерживается восемь соединений репликации с сайтом. Сколько контроллеров доменов следует установить? 3. Какие рекомендации следует выполнять при установке серверов глобального ката­ лога?

Резюме •

Основная причина помещения контроллеров доменов в сайт — необходимость изба­ виться от передачи WAN-трафика между сайтами. Этот трафик может генериро­ ваться, когда пользователи связываются с контроллерами доменов при аутентифи­ кации, когда приложения, работающие с сайтами, обращаются к контроллерам доменов, чтобы выполнить поиск, а также при репликации. • Если пользователей сайта менее 1000, достаточно одного контроллера домена. Если пользователей от 1000 до 10 000, рекомендуется установить два контроллера домена. Для каждых дополнительных 5000 пользователей сверх 10 000 добавляйте один кон­ тролер домена. Однако даже в сайтах менее чем с 1000 пользователей следует уста­ навливать второй контроллер домена, чтобы обеспечить отказоустойчивость. • По возможности назначайте все роли хозяина операций для леса или домена одному и тому же контроллеру домена. Запомните следующее правило: хозяин инфраструк­ туры не должен хранить глобальный каталог за исключением случая, когда все дру­ гие контроллеры этого домена тоже содержат глобальный каталог. • На серверах глобального каталога хранится подмножество атрибутов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компью­ теры. Они позволяют пользователям входить в сеть и искать объекты Active Director, по всему лесу, не обращаясь к тем контроллерам домена, где хранятся эти объекты.


Занятие 3 •

Планирование стратегам репликации

jg-j

Требования к оборудованию контроллера домена в основном зависят от числа пользо­ вателей, которые должны проходить аутентификацию в домене. Определив требова­ ния в соответствии с этим критерием, примите во внимание, является ли контрол­ лер домена сервером глобального каталога и выполняет ли он другие роли.

Занятие 3. Планирование стратегии репликации Репликация Active Directory — жизненно важная операция, которую необходимо тща­ тельно планировать. Правильно спланированная репликация ускоряет ответ каталога, уменьшает сетевой трафик по WAN-каналам и сокращает административные издерж­ ки. На этом занятии рассказывается, как выполняется репликация и как выработать четкую стратегию репликации. Изучив материал этого занятия, вы сможете: •S объяснить, как выполняется репликация Active Directory внутри сайта и между сайтами; •S рассказать об использовании связей сайтов, мостов связей сайтов и серверов-плацдармов (серверов репликации между сайтами); •S выработать стратегию репликации для компании. Продолжительность занятия — около 25 минут.

Процесс репликации Как вы уже знаете, в Windows Server 2003 используется модель репликации с несколь­ кими хозяевами, при которой на всех контроллерах домена хранятся равноправные копии БД Active Directory. Когда вы создаете, удаляете или переносите объект либо изменяете его атрибуты на любом контроллере домена, эти изменения реплицируются на остальные контроллеры домена.

Внутрисайтовая и межсайтовая репликация Поскольку в Active Directory могут храниться тысячи и даже миллионы объектов, реп­ ликация изменений этих объектов запросто может отобрать значительную часть про­ пускной способности сети и системных ресурсов контроллеров доменов. Внутрисайто­ вая (между контроллерами домена одного сайта) и межсайтовая репликация (между контроллерами домена, относящимися к разным сайтам) выполняется по-разному. При внутрисайтовой репликации трафик репликации передается в несжатом фор­ мате. Это объясняется тем, что контроллеры домена, принадлежащие одному сайту, как предполагается, связаны каналами с высокой пропускной способностью. Помимо того, что данные не сжимаются, используется механизм репликации, основанный на уве­ домлении об изменениях. Значит, если в данные домена вносятся изменения, эти изме- . нения быстро реплицируются на все контроллеры домена. При межсайтовой репликации все данные передаются в сжатом виде. Это отражает тот факт, что трафик, вероятно, передается по более медленным WAN-каналам (в срав-


162

Планирование сайтов

Глава 5

нении с соединениями локальной сети, используемыми при внутрисайтовой реплика­ ции). Однако при этом увеличивается нагрузка на серверы, поскольку, помимо прочих операций по обработке, им приходится упаковывать/распаковывать данные. Кроме того, репликация выполняется по расписанию во время, лучше подходящее данной органи­ зации. Например, вы можете разрешить репликацию только в те часы, когда каналы менее загружены. Конечно, из-за того, что репликация выполняется с задержкой, воз­ никает задержка и в передаче изменений на серверы других сайтов. Примечание Подробнее о том, как работает система уведомлений об изменениях, и об основных механизмах репликации — в руководстве «Directory Services Guide», кото­ рое является частью Microsoft Windows Server 2003 Resource Kit (Microsoft Press, 2003). Дополнительные сайты создаются для управления передачей трафика репликации по медленным WAN-каналам. Например, у вас имеется несколько контроллеров доме­ на в основной LAN и несколько контроллеров домена в LAN филиала. Эти две LAN связаны друг с другом относительно медленным WAN-каналом. Вы хотели бы, чтобы репликация между контроллерами домена каждой локальной сети выполнялась сразу после внесения изменений, а репликация по WAN-каналу — с некоторой задержкой. Чтобы соблюсти это требование, создайте два сайта: один будет охватывать все кон­ троллеры домена основной LAN, а другой — все контроллеры домена удаленной LAN.

Транспорты, используемые при репликации При любом коммуникационном взаимодействии в сети нужен некий транспорт­ ный протокол, по которому передается информация. Это относится и к трафику репликации Active Directory. При репликации данных применяются два транс­ порта: RPC (Remote Procedure Call) и SMTP (Simple Mail Transfer Protocol). Удаленные вызовы процедур выполняются при отправке сообщений репли­ кации внутри сайта и между сайтами. Протокол RPC используется по умолча­ нию при всех операциях репликации Active Directory, поскольку является отра­ слевым стандартом и совместим с большинством типов сетей. SMTP применяется при репликации между сайтами, не связанными посто­ янными соединениями (необходимыми для работы RPC). Одно из ограничений при использовании SMTP — он не позволяет реплицировать информацию раздела домена (domain partition information) на DC, входящие в домен. Поскольку SMTP применяется только при репликации между сайтами, проблем с репликацией информации раздела домена внутри домена не возникает (в этом случае автома­ тически используется RPC). То есть SMTP полезен лишь при репликации схе­ мы и глобального каталога.

Как выполняется репликация Каждый контроллер домена в сайте представляется объектом-сервером. У каждого объекта-сервера есть дочерний объект NTDS Settings, управляющий репликацией дан­ ных контроллера домена внутри сайта, а у каждого объекта NTDS Settings — объектсоединение, в котором хранятся атрибуты соединения и который представляет комму­ никационный канал, применяемый при репликации данных с одного контроллера до-


Занятие 8

Планирование стратегам репликации

мена на другой. Для репликации нужно, чтобы на обеих сторонах было по объектусоединению. Сервис Knowledge Consistency Checker (KCC) автоматически создает набор объек­ тов-соединений для репликации с одного контроллера домена на другой. Однако при необходимости можно создать объекты-соединения вручную. КСС создает различные топологии (т. е. задает местонахождение объектов-соедине­ ний и их конфигурацию) для внутрисайтовой и межсайтовой репликации. Кроме того, КСС изменяет созданные им топологии всякий раз, когда вы добавляете и удаляете контроллеры домена или перемещаете их из одного сайта в другой. Примечание О топологиях, создаваемых сервисом КСС, — в руководстве «Directory Services Guide», входящем в Windows Server 2003 Resource Kit (Microsoft Press, 2003).

Связи сайта Связь сайта (site link) — это объект Active Directory, представляющий физическое со­ единение между двумя или более сайтами. Для репликации данных между сайтами необходимо создать связь между ними. Эта связь состоит из двух компонентов: соб­ ственно физического соединения между сайтами (обычно WAN-канала) и объекта свя­ зи сайта. Последний определяет протокол, использу��мый при передаче трафика репли­ кации (IP или SMTP), и расписание репликации. Вся сайты, входящие в объект связи, должны быть соединены сетью одного типа. Чтобы контроллеры домена, относящиеся к одному сайту, могли реплицировать дан­ ные об изменениях каталога на контроллеры домена, относящиеся к другому сайту, с помощью связей сайтов вы должны вручную связать сайт с другими сайтами. Один и тот же объект связи сайта можно использовать для управления более чем одной парой сайтов. Например, если ваша сеть состоит из четырех сайтов, которые используют один и тот же протокол, соединены WAN-каналами одного типа и пропускной способности и должны выполнять репликацию по одному и тому же расписанию, вы можете создать один объект связи для всех этих сайтов. Кроме того, если два сайта связаны более чем одним WAN-соединением, вам нужно создать лишь одну связь сайта, так как назна­ чить эту связь заданному соединению нельзя. Если используется более сложная сеть, в которой имеются соединения разных ти­ пов и пропускных способностей, потребуется создать отдельные связи сайтов, опреде­ ляющие разные типы соединений. Однако по возможности старайтесь группировать однотипные WAN-каналы, создавая для них одну и ту же связь сайта.

Транзитивность связей сайтов и мосты таких связей По умолчанию связи сайта являются транзитивными (рис. 5-4). То есть, если связаны сайты А и В, В и С, то сайты А и С также связаны транзитивным соединением. Вы можете отключить транзитивность связей сайтов для заданного транспорта, но это не рекомендуется, кроме особых случаев, когда: • нужен полный контроль над репликацией; • требуется исключить определенный путь репликации; • сеть не обеспечивает полной маршрутизации или же брандмауэр не позволяет на­ прямую выполнять репликацию между двумя сайтами.


184

Планирование сайтов

Глава 5

Рис. 5-4. По умолчанию связи сайтов транзитивны Отключение транзитивности связей сайтов для транспорта влияет на все связи, ис­ пользующие этот транспорт, — они станут нетранзитивными. Тогда, чтобы поддержи­ вать транзитивные соединения, вам придется создать мосты связей сайтов. Мосты связей сайтов (site-link bridges) — логические соединения, использующие связи сайтов в качестве транспорта. Когда транзитивность связей включена, между всеми сайтами автоматически создаются логические мосты связей сайтов. А когда тран­ зитивность связей отключена, вы должны создавать такие мосты вручную. На рис. 5-5 показана простая группа из четырех сайтов, соединенных связями по принципу кару­ сели. Если транзитивность связей для этих сайтов отключена, вам придется вручную создать мосты связей сайтов, чтобы сделать возможной репликацию между всеми сай­ тами. В основном такие мосты служат для того, чтобы при отключенной транзитивности связей у каждого сайта был путь репликации к другим сайтам. Рассуждайте следую­ щим образом. Когда транзитивность связей включена, между всеми связями сайтов имеются мосты, поэтому все сайты могут обмениваться данными репликации друг с другом. А когда транзитивность отключена, вы должны самостоятельно создать мосты, поскольку связаны только те сайты, между которыми вручную сконфигурированы свя­ зи. Мосты связей сайтов передают трафик репликации между соответствующими сай­ тами по цепочке из нескольких связей.

I сайт А I V J %. ^S

(

СайтС 1 ^"*—^

f \ \

^Ч Сайт В I §

м00т связи

сайта

связь сайта

\тш,_ ~~~-—J СайтО I

Рис. 5-5. Мосты связей сайтов используются, когда транзитивность связей отключена Подготовка к экзамену По возможности всегда применяйте конфигурацию по умолча­ нию (в которой транзитивность связей сайтов включена). На экзамене вы можете стол­ кнуться с двумя случаями, где требуется отключить связи сайтов и использовать мосты связей: при необходимости полного контроля над путями репликации (из-за ограниче­ ний WAN-каналов или конфигурации брандмауэров) и при отсутствии в сети полной маршрутизации.


Занятие 3

Планирование стратегии репликации

Назначение цен связям сайтов Всем связям сайтов назначается цена, которая определяет, насколько данный путь лучше или хуже других связей. По умолчанию все связи имеют цену 100. Если одну связь сделать дороже другой, то при репликации (и при работе других приложений и служб, например Domain Controller Locator) предпочтение будет отдаваться связи с меньшей ценой. Цены цепочки связей суммируются. Например, рассмотрим схему на рис. 5-6. Если контроллеру домена в сайте А потребуется реплицировать информацию на контроллер домена в сайте D, будет использоваться путь через сайт В, поскольку его суммарная цена (600) меньше, чем суммарная цена другого доступного пути (1000).

Рис. 5-6. Цены цепочки связей суммируются Желательно выработать единую схему назначения цен связям сайтов на основе до­ ступной пропускной способности соединений. В табл. 5-1 показано, какие цены реко­ мендуется назначать в зависимости от доступной пропускной способности. Табл. 5-1. Рекомендуемая шкала зависимости цен связей сайтов от доступной пропускной способности Доступная пропускная способность (Кбит/с)

Цена связи сайта

9,6

1042

19,2

798

38,4

644

56

586

64

567

128

486

256

425

512

378

1024

340

2048

309

4096

283


166

Планирование сайтов

Глава 5

Расписание доступности связей сайтов По умолчанию связи сайтов доступны постоянно, т. е. репликация может выполняться, как только в ней возникнет необходимость. Однако, если вы хотите более тонко управ­ лять репликацией, то можете изменить время доступности связей, например задать расписание, указывающее, что связь доступна только в нерабочее время, чтобы репли­ кация не мешала использованию WAN-каналов в других целях. Но имейте в виду: такая блокировка репликации в определенное время не только отдает приоритет друго­ му WAN-трафику, но и увеличивает задержку при репликации — время, которое требу­ ется, чтобы все контроллеры данного домена пришли в одно и то же состояние. Когда при репликации между двумя сайтами используется несколько связей, реп­ ликация домена не завершится, пока каждая связь в этой цепочке не получит возмож­ ность передать данные репликации. Помимо репликации по расписанию, есть еще один подход — задание интервала репликации. Это значение указывает, насколько часто должна выполняться реплика­ ция с использованием данной связи. По умолчанию интервал репликации равен 180 минутам, т. е. репликация между сайтами происходит примерно раз в три часа (если это позволяет расписание, заданное для связи). Как и создание расписания, определение интервала репликации — своего рода искусство. Задавая более продолжительные ин­ тервалы, вы сокращаете трафик по WAN-каналу, но увеличиваете задержку при реп­ ликации.

Создание связей сайтов При установке Active Directory для протокола IP создается объект связи сайта по умол­ чанию — DEFAULTIPSITELINK. Этот объект сопоставляется с сайтом, используемым по умолчанию. Для протокола SMTP объект связи сайта по умолчанию не создается. При создании дополнительных связей учтите следующее. • Убедитесь, что все сайты соединены друг с другом. • Когда вы добавляете сайт в связь, проверьте, не является ли этот сайт членом другой связи, и, если это нужно, удалите ее. Иначе КСС сгенерирует топологию, в которой данный сайт будет членом двух связей. • Используйте для именования связей сайтов единую схему, позволяющую идентифи­ цировать их предназначение. • Используйте для всех связей сайтов транспортный протокол RPC поверх IP за ис­ ключением случаев, когда ваша сеть не обеспечивает полную маршрутизацию и приходится применять SMTP.

Серверы-плацдармы После создания связей сайтов КСС автоматически назначает один или несколько кон­ троллеров в каждом домене на роль серверов-плацдармов (bridgehead servers), или серве­ ров репликации между сайтами. Данные репликации передаются между этими серве­ рами, а не напрямую между всеми контроллерами домена (рис. 5-7). Запомните, что внутри сайта контроллеры домена (в том числе и серверы репликации между сайтами) выполняют репликацию, как только в ней возникает необходимость. Затем, когда со­ гласно расписанию связи доступны, серверы-плацдармы инициируют репликацию с аналогичными серверами других сайтов через заданный интервал.


Занятие 3

Планирование стратегий репликации

Рис. 5-7. Серверы репликации между сайтами Соединения репликации, создаваемые КСС, случайным образом распределяются между всеми серверами сайта, которые могут быть плацдармами репликации между сайтами, — это делается для распределения нагрузки по поддержке репликации. Обыч­ но КСС распределяет соединения, только когда создаются новые объекты-соединения. Однако в Windows Server 2003 Resource Kit имеется утилита Active Directory Load Balancing (ADLB), которую можно использовать для перераспределения ролей серве­ ров-плацдармов в любое другое время (например, при добавлении новых контроллеров домена).

Лабораторная работа. Создание структуры сайтов и стратегии репликации На этой лабораторной работе вы создадите проект сайтов для компании Northwind Trad­ ers. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы.

Сценарий Компания Northwind Traders производит линейку сетевых устройств, расширяющих возможности в передаче данных. Сейчас Northwind Traders использует основную мо­ дель доменов Microsoft Windows NT 4.0 (master domain model). В последние годы компа­ ния значительно расширилась и ожидает дальнейшего существенного роста в следую­ щие три года, в том числе увеличения своей доли рынка, доходов и численности со­ трудников. Помимо открытия двух новых офисов, администрация решила реализовать новый проект Windows Server 2003 Active Directory, отвечающий текущим и будущим потребностям компании. В следующей таблице перечислены территории, отделы на каждой территории и количество пользователей. Территория Париж

Отделы Администрация в штаб-квартире Финансы Продажи Маркетинг Производство Исследования Разработка ИТ

Число пользователей 2000

(см. след. стр.)


168

Глава 5

Планирование сайтов

(окончание) Территория

Отделы

Число пользователей

Лос-Анджелес

Продажи Маркетинг Финансы ИГ Обслуживание клиентов Техническая поддержка клиентов Обучение Исследования Разработка Долгосрочные проекты ИТ Консалтинг Производство Продажи Финансы

1000

Атланта

Глазго, Шотландия

Сидней, Австралия

750

750

500

Большая часть вычислительных мощностей компании находится в главном офисе в Париже. Корпоративный ИТ-отдел хочет централизовать управление паролями и пара­ метрами защиты. Локальному ИТ-отделу в Лос-Анджелесе нужно сохранить управле­ ние свой инфраструктурой без участия корпоративного ИТ-отдела. Локальный ИТ-от­ дел в Глазго требует эксклюзивного управления своей сетевой средой по соображениям безопасности, так как должен исключить несанкционированный доступ к данным, получаемым в результате научно-исследовательских и опытно-конструкторских работ (research and development, R&D). Ton-менеджеры корпорации разделяют эту озабочен­ ность и хотят добиться максимальной защиты данных R&D. Следующая схема отражает соединения между разными территориальными участ­ ками компании. Кроме того, в Лос-Анджелесе и Атланте имеются VPN-соединения с главным офисом в Париже через Интернет.

(Лос-Анджелес)

f

Атланта ^

4 w

V

" - " " iШирокополосное lk соединение

В следующей таблице дана остальная информация о возможностях соединений в рамках компании Northwind Traders.


Занятие 3

Планирование стратегии репликации

Связь

Тип

Скорость

Доступная пропускная способность

Париж — Интернет

Dual ЕЗ (с избыточностью) Fractional El El Широкополосное соединение Т1

34,368 Мбит/с

10 Мбит/с

768 Кбит/с 2,048 Мбит/с 1,5 Мбит/с

128 Кбит/с 32 Кбит/с 384 Кбит/с

1,544 Мбит/с

56 Кбит/с

Париж — Глазго Париж — Сидней Атланта — Интернет Лос-Анджелес — Интернет

Вопросы к лабораторной работе Исходя из этого сценария, ответьте на следующие вопросы. 1. Нарисуйте схему сайтов для компании Northwind Traders, в том числе все связи сайтов, которые вы создадите. Укажите цену, которую вы назначите каждой такой связи. Кроме того, задайте расписание для тех связей, для которых не годится рас­ писание по умолчанию. 2. Собираетесь ли вы отключить транзитивность связей сайтов? Если да, то будете ли вы создавать какие-либо мосты связей сайтов?

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытайтесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Какие характеристики должны быть у WAN-каналов, чтобы за ними можно было закрепить общую связь сайта? 2. Расскажите, чем отличается внутрисайтовая репликация от межсайтовой. 3. Перечислите причины, по которым может потребоваться отключить транзитивность связей сайтов.

Резюме •

Внутрисайтовая репликация оптимизирована для повышения скорости. Контролле­ ры домена реплицируют изменения сразу после их внесения и передают данные в несжатом формате. Межсайтовая репликация оптимизирована для минимального использования пропускной способности. При этом происходит обмен информацией между серверами-плацдармами (серверами репликации между сайтами), данные сжимаются, и можно задать расписание доступности связей сайтов и интервалы, через которые выполняется репликация. • Сервис Knowledge Consistency Checker (КСС) автоматически создает и изменяет топологию объектов-соединений, необходимых, чтобы контроллеры домена могли обмениваться данными репликации. • Связь сайта — это объект Active Directory, представляющий соединение между дву­ мя или более сайтами. Для репликации между сайтами нужно установить связь между ними. Все сайты, входящие в такую связь, должны быть соединены сетью одного типа. Каждой связи сайта назначается цена, определяющая, какие связи


Плакирование сайтов

Глава 5

лучше выбирать при определении пути репликации. По умолчанию всем связям назначается цена 100. и По умолчанию связи сайтов являются транзитивными. Вы можете отключить тран­ зитивность, но тогда, чтобы выполнять репликацию данных между всеми сайтами домена, потребуется вручную создать мосты связей сайтов.

Занятие 4. Разработка стратегии перехода Если вы проектируете структуру Active Directory для уже работающей сети на основе Microsoft Windows NT 4 или Windows 2000, вам придется подумать над тем, как перейти на Windows Server 2003 и реализовать новую инфраструктуру сети. Если вы следовали рекомендациям из главы 2, то уже хорошо понимаете существующую инфраструктуру сети и располагаете набором схем, описывающих эту инфраструктуру. На этом занятии рассказывается, как перейти от Windows NT 4 и Windows 2000 к Windows Server 2003. Изучив материал этого занятия, вы сможете:

•S рассказать об основных проблемах перехода от доменов Windows NT 4; •/ описать основные проблемы перехода от доменов Windows 2000. Продолжительность занятия — около 10 минут.

Переход от доменов Windows NT 4 Между Windows NT 4 и Windows Server 2003 много отличий. С точки зрения проектиро­ вания доменов, одно из самых больших отличий в том, что в Windows NT 4 не исполь­ зуются сайты. В Windows NT 4 для создания структуры управления репликацией и логической структуры безопасности служат домены. Поэтому создание доменов в сети на основе Windows NT 4 подчиняется другой логике. Часто для управления трафиком репликации создается несколько доменов там, где в случае Windows Server 2003 можно было бы создать один домен и несколько сайтов. Кроме того, в Windows NT 4 домены применяются для реализации административной структуры, тогда как в Windows Server 2003 можно было бы обойтись одним доменом и несколькими организационными еди­ ницами (OU). Учитывая эти различия, переход от структуры доменов Windows NT 4 к структуре доменов Windows Server 2003 можно осуществить двумя способами: изменением струк­ туры доменов или усовершенствованием существующих доменов. Реструктуризация доменов в долгосрочном плане дает больше преимуществ, чем усовершенствование существующих доменов. В большинстве случаев структуру, со­ держащую несколько доменов Windows NT 4, можно преобразовать в структуру, со­ держащую один (или хотя бы меньше, чем раньше) домен Windows Server 2003. Кроме того, сеть с хорошо продуманной структурой сайтов и OU почти всегда работает эф­ фективнее. Однако усовершенствование существующей структуры доменов дает свои преиму­ щества. Этот подход также следует принимать во внимание. В частности, он годится при следующих обстоятельствах. • Существующую структуру доменов несложно перенести в среду Windows Server 2005, • Вы должны спроектировать и развернуть сеть за весьма ограниченное время.


Занятие 4

Разработка стратегий перехода

-jy^

Вы хотите свести к минимуму изменения в текущей административной структуре и управлении передачей информации по сети. • Вам нужно, чтобы переход как можно меньше повлиял на работу пользователей и администраторов.

Переход от доменов Windows 2000 Если вы обновляете структуру доменов Windows 2000, перед вами стоит более простая задача, чем при переходе от Windows NT 4. Большинство функций Active Directory, реализованных в Windows Server 2003, доступно и в Windows 2000, поэтому в распоряже­ нии проектировщика сети уже имеется продуманная архитектура: структура лесов и доменов, административная структура, размещение сайтов и контроллеров домена и топология репликации. Решение, которое позволит свести к минимуму издержки и усилия, затрачиваемые на проектирование, — обновить контроллеры доменов и задействовать существующую структуру доменов. Обновление существующих доменов также позволяет свести к ми­ нимуму неудобства, причиняемые пользователям, и время, когда сеть недоступна. Вы можете обновить с Windows 2000 либо все контроллеры доменов, либо некоторые, но имейте в виду, что кое-какие функции, введенные в Windows Server 2003, будут недо­ ступны, если не все контроллеры в домене или лесу работают под управлением Windows Server 2003. Это функциональный уровень леса или домена. Что такое функциональ­ ные уровни, см. в главе 1. Перед подготовкой леса Windows 2000 к обновлению до Windows Server 2003 или добавлением нового контроллера домена под управлением Windows Server 2003 необхо­ димо запустить программу Adprep.exe (Active Directory Preparation), которая находится в папке \I386 на дистрибутивном компакт-диске Windows Server 2003. Это средство подготавливает леса и домены: добавляет в схему соответствующие изменения, сбрасы­ вает разрешения на доступ к встроенным контейнерам и объектам Active Directory и обновляет административные средства. Примечание В этом разделе дано лишь поверхностное описание методики перехода. Подробнее об обновлении и изменении структуры — в Microsoft Windows Server 2003 Deployment Kit (Microsoft Press, 2003).

Закрепление материала Ответив на вопросы, приведенные ниже, вы сможете лучше усвоить основные темы за­ нятия. Если вы не сумеете ответить на вопрос, повторите материал занятия и попытай­ тесь ответить снова. Ответы для самопроверки — в разделе «Вопросы и ответы» в конце главы. 1. Каковы основные различия Windows NT 4 и Windows Server 2003 с точки зрения проектирования структуры доменов? 2. В каких случаях при переходе с Windows NT 4 на Windows Server 2003 стоит поду­ мать об усовершенствовании существующей структуры доменов, а не о ее измене­ нии? 3. Можно ли обновить с Windows 2000 до Windows Server 2003 лишь некоторые кон­ троллеры доменов? 7 Зак. 312


Планирование сайтов

Глава 5

Резюме •

С точки зрения проектирования, самое главное различие между Windows NT 4 и Windows Server 2003 — введение сайтов, позволяющих отделить физическую струк­ туру сети от логической структуры доменов, и появление организационных единиц, позволяющих делить домены на дополнительные области административного управ­ ления. • При переходе с Windows NT 4 на Windows Server 2003 обновлять существующие домены вместо того, чтобы изменять структуру доменов, рекомендуется в следую­ щих случаях: перенос существующей структуры доменов не составляет труда, нуж­ но свести к минимуму неудобства для пользователей, нужно свести к минимуму изменения в административной структуре и управлении передачей информации, у вас мало времени или денежных средств. • Если вы обновляете операционную систему с Windows 2000 до Windows Server 2003, самая простая и эффективная стратегия перехода — обновить существующие до­ мены.

Ц Пример из практики Рассмотрите следующий пример из практики и ответьте на вопросы.

Сценарий Вы должны составить план новой инфраструктуры для Contoso Ltd., производителя модемов с главным офисом в Далласе, штат Техас. В настоящее время все серверы в сети этой компании работают под управлением Windows NT Server 4.0. На клиентских компьютерах установлены разные системы — Windows 98 и Windows 2000 Professional. Contoso наняла вас для модернизации сетевой инфраструктуры компании. Нужно, что­ бы все серверы работали под управлением Windows Server 2003 и чтобы вы подготовили проект реализации Active Directory. Компания также хочет перевести все клиентские компьютеры на Windows XP Professional.

Краткие сведения о компании За последнее десятилетие Contoso стала одним из основных производителей модемов в стране, продавая их главным образом крупным компаниям и интернет-провайдерам (Internet Service Providers, ISP). Два года назад Contoso приобрела лондонскую фирму Trey Research — производителя модемов, которая ориентирована на аналогичный ры­ нок в Европейских странах.

География В главном офисе в Далласе работает 1900 пользователей и имеется полностью уком­ плектованный сотрудниками ИТ-отдел. Кроме основного участка, Contoso располагает двумя филиалами в США — в Мемфисе (Теннеси) и Сан-Диего (Калифорния). В фи­ лиале в Сан-Диего работает 185 пользователей, и есть собственный ИТ-отдел. В фили-


Пример из практики

173

пе в Мемфисе 35 пользователей, а ИТ-отдела нет. Этот филиал обслуживается ИТ}тделом, расположенным в главном офисе в Далласе. Филиал в Мемфисе расположен в небольшом здании, доступ к рабочим местам не ограничен. Поскольку в этом фили­ але нет своего ИТ-отдела, сотрудники филиала не могут обеспечить сопровождение и физическую безопасность своих серверов. Дочерняя компания (Trey Research) находится в Лондоне. В лондонском офисе ра­ ботает 215 пользователей — он располагает полным штатом сотрудников, в том числе собственным ИТ-персоналом, и самостоятельно управляет своей сетевой инфраструк­ турой. Лондонский офис также поддерживает собственное пространство имен.

Сетевая инфраструктура Главный офис в Далласе соединен с филиалом в Мемфисе и Сан-Диего 512-килобитным каналом, а с офисом в Лондоне — 256-килобитным каналом. В качестве опорной сети (backbone) офисы в Далласе и Лондоне используют 155-мегабитную ATM. Клиен­ ты подключаются к опорной сети через 10/100-мегабитные соединения. В филиалах все клиенты и серверы связаны 10/100-мегабитными соединениями. Сеть офиса в Далласе состоит из четырнадцати подсетей, сеть офиса в Сан-Диего — из трех, а офиса в Мем­ фисе — из одной. В настоящее время на каждом территориальном участке сконфигурирован свой до­ мен, имя которого соответствует названию участка. Уже принято решение о создании домена contoso.com, который будет использоваться офисами в Далласе, Сан-Диего и Мемфисе. Кроме того, для компании в Лондоне будет создан еще один домен — treyresearch.com, содержащийся в отдельном дереве.

Планы на будущее На данный момент у компании нет планов по значительному расширению штатов. Од­ нако не исключено, что компания приобретет небольшую фирму в Монреале, которая владеет новой многообещающей технологией, относящейся к модемам. Если покупка состоится, компания в Монреале сохранит свой ИТ-персонал и собственное простран­ ство имен. Ваши планы должны учитывать этот момент.

ИТ-менеджмент ИТ-персонал в Далласе отвечает за обслуживание офисов в Далласе и Мемфисе. Сети в офисах в Лондоне и Сан-Диего обслуживаются местными штатами ИТ-сотрудников. Однако основной ИТ-отдел в Далласе отвечает в конечном счете за всю сеть.

Вопросы Исходя из этого сценария, ответьте на следующие вопросы. 1. Сколько сайтов вы бы использовали? Нарисуйте схему этих сайтов. 2. Какое минимальное количество контроллеров домена следует использовать в каж­ дом сайте? 3. Сколько связей сайтов нужно создать для этой сети? 4. Где бы вы разместили серверы глобального каталога этой сети?


•|74

Планирование сайтэв

Глава 5

щ] Резюме главы в

в

в

в

в

в

в

в

в

Сайты используются для управления сетевым трафиком, генерируемым при входе на рабочие станции, при репликации данных Active Directory, работе DFS (Distributed File System) и FRS (File Replication Service). Чтобы подготовиться к разработке структуры сайтов, нужны сведения о территори­ альной структуре компании, структуре и скорости локальной сети каждого из офи­ сов, TCP/IP-подсетях каждого из офисов и пропускной способности каналов между офисами. Вы должны создать по сайту для каждой LAN (или группы LAN, соединенных вы­ сокоскоростной сетевой магистралью), каждого участка, где есть контроллер доме­ на, и каждого участка, где имеется служба, работающая с сайтами. Основная причина помещения контроллеров доменов в сайт — необходимость изба­ виться от передачи WAN-трафика между сайтами. Этот трафик может генериро­ ваться, когда пользователи связываются с контроллерами доменов при аутентифи­ кации, когда приложения, работающие с сайтами, обращаются к контроллерам доменов, чтобы выполнить поиск, а также при репликации. Если пользователей сайта менее 1000, достаточно одного контроллера домена. Если пользователей от 1000 до 10 000, рекомендуется установить два контроллера домена. Для каждых дополнительных 5000 пользователей сверх 10 000 добавляйте один кон­ тролер домена. Однако даже в сайтах менее чем с 1000 пользователей следует уста­ навливать второй контроллер домена, чтобы обеспечить отказоустойчивость. По возможности назначайте все роли хозяина операций для леса или домена одному и тому же контроллеру домена. Запомните следующее правило: хозяин инфраструк­ туры не должен хранить глобальный каталог за исключением случая, когда все дру­ гие контроллеры этого домена тоже содержат глобальный каталог. На серверах глобального каталога хранится подмножество атрибутов объектов Active Directory, к которым чаще всего обращаются пользователи или клиентские компью­ теры. Они позволяют пользователям входить в сеть и искать объекты Active Director, по всему лесу, не обращаясь к тем контроллерам домена, где хранятся эти объекты. Требования к оборудованию контроллера домена в основном зависят от числа пользо­ вателей, которые должны проходить аутентификацию в домене. Определив требова­ ния в соответствии с этим критерием, примите во внимание, является ли контрол­ лер домена сервером глобального каталога и выполняет ли он другие роли. Внутрисайтовая репликация оптимизирована для повышения скорости. Контролле­ ры домена реплицируют изменения сразу после их внесения и передают данные s несжатом формате. Межсайтовая репликация оптимизирована для минимального использования пропускной способности. При этом происходит обмен информацией между серверами-плацдармами (серверами репликации между сайтами), данные сжимаются, и можно задать расписание доступности связей сайтов и интервалы через которые выполняется репликация. Сервис Knowledge Consistency Checker (KCC) автоматически создает и изменяет топологию объектов-соединений, необходимых, чтобы контроллеры домена мог~> обмениваться данными репликации. Связь сайта — это объект Active Directory, представляющий соединение между дв;. мя или более сайтами. Для репликации между сайтами нужно установить свя:-; между ними. Все сайты, входящие в такую связь, должны быть соединены сеть:-:


Рекомендаций по подготовке к экзамену

-j j g

одного типа. Каждой связи сайта назначается цена, определяющая, какие связи лучше выб��рать при определении пути репликации. По умолчанию всем связям назначается цена 100. По умолчанию связи сайтов являются транзитивными. Вы можете отключить тран­ зитивность, но тогда, чтобы выполнять репликацию данных между всеми сайтами домена, потребуется вручную создать мосты связей сайтов. С точки зрения проектирования, самое главное различие между Windows NT 4 и Windows Server 2003 — введение сайтов, позволяющих отделить физическую струк­ туру сети от логической структуры доменов, и появление организационных единиц, позволяющих делить домены на дополнительные области административного управ­ ления. При переходе с Windows NT 4 на Windows Server 2003 обновлять существующие домены вместо того, чтобы изменять структуру доменов, рекомендуется в следую­ щих случаях: пе