Интеграция с Windows Server 2003
Краткое описание Active Directory
Полное описание Active Directory выходит за рамки данного курса, однако все же необходимо привести краткий рассказ об этой службе каталогов. Так как Exchange Server 2003 находится в прямой зависимости от операционной системы, необходимо иметь базовые знания о службе каталогов Active Directory в Windows Server 2003.
Структура каталогов в Active Directory
Перед тем как начинать рассказ об Active Directory, следует упомянуть о том, что такое каталог. В качестве аналогии представьте себе стандартную файловую систему. Вероятно, в этой файловой системе присутствует диск C:, и на этом диске есть корневая папка с именем Memos. В папке C:\Memos находятся 12 папок для каждого из 12 месяцев года, в том числе папка с именем July. В папке C:\Memos\July есть папка с именем Departments; полный путь к папке Departments имеет вид C:\Memos\July\Departments. Это иерархия папок в файловой системе.
Каталог являет собой то же самое, что и список папок, за тем исключением, что описанная иерархия состоит не только из папок, но и из объектов. Объект – это сущность, описанная отдельным определенным набором атрибутов. Вместо программы Windows Explorer (Проводник Windows) для поиска в данной иерархии объектов мы будем использовать протокол, предназначенный для поиска по каталогу, называемый Lightweight Directory Access Protocol (LDAP).
С разработкой Active Directory компания Microsoft внесла значительные усовершенствования в концепцию каталогов, одним из которых является динамическая DNS. Слово "Active" в названии Active Directory говорит о гибкости и расширяемости, которыми была обеспечена служба каталогов Microsoft.
Логическая структура Active Directory
Компоненты, формирующие логическую структуру Active Directory, включают в себя домены, организационные единицы, деревья и леса.
Домены
Домен – это основной элемент в Active Directory, который состоит из набора компьютеров, использующих общую базу данных каталогов. Компьютеры, использующие эту общую базу данных каталогов, называются контроллерами доменов. Контроллером домена является сервер Windows Server 2003 с установленной службой каталогов Active Directory. Он может выполнять аутентификацию пользователей в своем собственном домене. Каждый контроллер домена содержит полную копию раздела определения домена, которому он принадлежит, и полную копию конфигурации и раздела определения схемы леса. Исполняемый файл Dcpromo.exe – это утилита, используемая для объявления контроллера домена на сервере Windows Server 2003. Позже в этой лекции будет приведен рассказ об указанных разделах.
Все имена доменов Active Directory определяются именем DNS, а также именем NetBIOS. Ниже приведены примеры обоих типов имен.
Имя домена DNS: sample.microsoft.com Имя NetBIOS: SAMPLE
Как правило, имя NetBIOS совпадает с первой частью имени DNS. Однако имя NetBIOS ограничено по длине 15 символами, в то время как имя DNS имеет длину до 64 символов. В процессе установки оба имени можно настроить на соответствие нуждам пользователя. В первоначальном релизе Windows Server 2003 нельзя осуществлять изменение имен Active Directory.
Домен представляет собой уровень безопасности в Active Directory. Администраторы домена имеют разрешения и права на выполнение функций администрирования в этом домене. Поскольку каждый домен имеет свою собственную защиту, администраторы должны обладать особыми разрешениями для выполнения задач администрирования в других доменах. Члены группы Enterprise Admins обладают правами на администрирование во всех доменах леса. Следовательно, администраторы домена группы Enterprise обладают более высоким уровнем полномочий администрирования.
Домен Active Directory в Windows Server 2003 может находиться либо в смешанном режиме, либо в собственном. По умолчанию домен работает в смешанном режиме. В этом режиме контроллер домена Windows Server 2003 выступает в роли контроллера домена Microsoft Windows NT 4. Домены Active Directory в смешанном режиме имеют те же ограничения в базе данных учетных записей безопасности, что и контроллеры домена Windows NT 4. Например, размер каталога ограничивается 40 000 объектов, и то же самое ограничение имеется в Windows NT 4. Эти ограничения позволяют заархивированным контроллерам доменов Windows NT 4 присутствовать в сети, подключаться и синхронизироваться с контроллерами доменов Windows Server 2003.
PDC Emulator (эмулятор главного контроллера домена) – одна из пяти ролей Flexible Single Master Operation (FSMO), которая делает ОС Windows Server 2003 похожей на PDC в Windows NT 4. Только один контроллер домена в Windows Server 2003 может выступать в роли PDC Emulator. По умолчанию роль PDC Emulator, как и все другие роли FSMO, устанавливается на одном контроллере домена в каждом домене – на первом контроллере каждого домена. (Обсуждение ролей FSMO приводится чуть ниже.) Чтобы запустить Windows Server 2003 в собственном режиме, не обязательно иметь какие-либо причины или желание подключиться к архивному контроллеру домена Windows NT 4. Иными словами, если запустить Windows Server 2003 в собственном режиме, то не будет возможности вновь использовать в сети резервный контроллер домена Windows NT, и ни одно приложение, работающее в сети, не сможет использовать Windows NT при своем функционировании. Переключение в собственный режим производится один раз и является необратимым. Собственный режим позволяет содержать в контроллерах домена Windows Server 2003 миллионы объектов в каждом домене. Кроме этого, собственный режим позволяет осуществлять вложение групп, что является преимуществом при работе с большими группами распространения в Exchange Server 2003.
Сеть Windows Server 2003, работающая в собственном режиме, совместима с отдельными и подчиненными серверами Windows NT 4. Рабочие станции Windows NT 4 должны быть обновлены до Windows Server 2003 Professional, чтобы стать членами Active Directory, либо на них можно установить клиент службы каталогов Directory Service Client. Active Directory в Windows Server 2003 реализована во многоабонентской модели, так как объекты в Active Directory могут изменяться на любом контроллере домена, что обеспечивает акцент на репликации каталогов между контроллерами доменов. Тем не менее, некоторые роли являются либо слишком чувствительными к вопросам безопасности, либо слишком непрактичными для работы во многоабонентской модели из-за потенциальных конфликтов, которые могут возникнуть по причине трафика репликации. Необходимо понимать, что представляет собой каждая роль; если контроллер домена, выполняющий конкретную роль, становится недоступным, функции, которые им выполнялись, будут недоступными в Active Directory. Роли включают в себя: мастер схемы, мастер имен доменов, мастер относительных идентификаторов, эмулятор главного контроллера доменов и мастер инфраструктуры.
Мастер схемы. Схема – это набор классов объектов (например, пользователей и групп) и их атрибутов (таких как полное имя и номер телефона), формирующий Active Directory. Мастер схемы осуществляет контроль над всеми аспектами обновлений и модификаций, вносимых в схему. Чтобы обновлять схему, необходимо иметь доступ к мастеру схемы. В любой момент времени в лесу может содержаться только один мастер схемы.
Мастер имен доменов. Мастер имен доменов осуществляет контроль над добавлением и удалением доменов из леса. Это единственный контроллер домена, с которого можно создать или удалить домен. Лес может содержать только один мастер имен доменов.
Мастер относительных идентификаторов. Мастер относительных идентификаторов (называемых RID от Relative Identifier) формирует в своем домене наборы относительных идентификаторов для каждого контроллера домена. В то время как мастер схемы и мастер имен доменов выполняют функции, воздействующие на весь лес, каждый мастер относительных идентификаторов работает в рамках одного домена. Поскольку каждый контроллер домена может создавать объекты в Active Directory, мастер относительных идентификаторов отводит для каждого контроллера домена набор из 500 относительных идентификаторов, элементы которого используются при создании объектов. Если контроллер домена использует более 400 RID, мастер относительных идентификаторов предоставляет ему еще один пакет из 500 относительных идентификаторов.
Каждый раз при создании нового пользователя, группы или объекта компьютера создаваемый объект наследует идентификатор безопасности (SID) домена. К концу идентификатора SID присоединяется идентификатор RID, в результате чего формируется уникальный идентификатор безопасности SID объекта. Кроме этого, при перемещении объекта из одного контроллера домена в другой его SID изменяется, так как объекту в конечном домене присваивается новый SID (состоящий из SID домена и RID). Разрешая перемещать объекты между доменами только мастеру относительных идентификаторов, Windows Server 2003 обеспечивает уникальность идентификаторов SID среди всех доменов. Объекты содержат историю идентификаторов SID для безопасного доступа к ресурсам.
Эмулятор главного контроллера домена (PDC Emulator). Каждый домен леса должен содержать один контроллер домена, выступающий в роли эмулятора главного контроллера домена. Если Active Directory работает в смешанном режиме с наличием в сети контроллеров доменов Windows NT 4, эмулятор PDC отвечает за синхронизацию изменения паролей и обновлений учетных записей безопасности между серверами Windows NT 4 и Windows Server 2003. Более того, эмулятор PDC выступает в роли главного контроллера домена при работе с более старыми клиентами, такими как Windows 95, Windows 98 и Windows NT 4. Он функционирует как главный браузер домена, отвечает за репликацию служб на резервных контроллерах доменов (BDC) и осуществляет запись каталогов в базу данных безопасности доменов Windows NT 4.
В собственном режиме PDC Emulator принимает срочные обновления в базу данных безопасности Active Directory, такие как смена паролей и изменения в блокировке учетных записей. Эти срочные изменения, вносимые в учетные записи пользователей, подвергаются немедленной репликации на эмулятор главного контроллера домена, независимо от того, в каком месте домена они были внесены. Если на контроллере домена заканчивается неудачей процедура аутентификации, аутентификационные данные сначала передаются на эмулятор главного контроллера домена для аутентификации, и только после этого происходит отклонение запроса на вход в систему.
Мастер инфраструктуры. Мастер инфраструктуры отвечает за отслеживание обращений "группа-пользователь", когда пользователь и группа не являются членами одного и того же домена. Обращение к объекту, находящемуся на удаленном домене, происходит с использованием его идентификаторов GUID и SID. Если объект перемещается из одного домена в другой, ему присваивается новый идентификатор SID, и мастер инфраструктуры осуществляет репликацию этих изменений в другие мастера инфраструктуры в других доменах.