Опубликован: 29.07.2008 | Уровень: специалист | Доступ: платный
Лекция 6:

Стратегия именования объектов

< Лекция 5 || Лекция 6: 12 || Лекция 7 >

Определение стратегии именования

При выработке стратегии именования необходимо учитывать требования к именованию, предъявляемые как Active Directory, так и DNS [ 3 ] :

  • поддерживается иерархия, длина имени до 64 символов;
  • поддерживается подключение к внешним сетям.

Клиенты используют DNS для разрешения IP-адресов серверов, на которых выполняются важные сетевые сервисы Active Directory. Следовательно, Active Directory и DNS неразрывно связаны.

В DNS имена образуют иерархию и формируются путем "движения" от родительских доменов к дочерним доменам. Так, у домена kd.ru может быть дочерний домен sales.kd.ru, у того, в свою очередь, - дочерний домен europe.sales.kd.ru. Имя каждого домена соответствует пути, идентифицирующему домен в иерархии DNS, т. е. пути к корневому домену (корневой домен обозначается точкой).

Когда создается первый домен Active Directory, он становится корневым для леса и первого дерева доменов в этом лесу. С этого корневого домена начинается пространство имен. Каждый добавляемый домен получает имя от родительского домена и иерархии, в которую входит родительский домен.

Все имена доменов Active Directory идентифицируются по DNS, но можно использовать и NetBIOS-имена (Network Basic Input/Output System) - унаследованную систему именования, которая применялась в старых версиях Windows и по-прежнему поддерживается в Windows Server 2003. Windows автоматически генерирует NetBIOS-имена для каждой службы, выполняемой на компьютере, добавляя к имени компьютера дополнительный символ. Доменам также присваиваются NetBIOS-имена, при этом совместимость с NetBIOS-именами - это плоская модель, длина имени не более 16 символов.

Существует возможность назначать разные NetBIOS- и DNS-имена, но такой подход не допустим.

В идеале следует создать стратегию именования, определяющую единообразный подход к формированию имен.

Идентификаторы защиты

Active Directory использует модель репликации с несколькими хозяевами, при которой на каждом контроллере домена хранится своя копия раздела Active Directory; контроллеры домена являются равноправными хозяевами. Можно внести изменения в объекты, хранящиеся на любом контроллере домена, и эти изменения реплицируются на другие контроллеры.

Модель с несколькими хозяевами хорошо подходит для большинства операций, но не для всех. Некоторые операции должны выполняться только одним контроллером в каждом домене или даже в каждом лесу. Чтобы выполнять эти специальные операции, определенные контроллеры доменов назначаются хозяевами операций.

При выработке стратегии именования представляют интерес две роли хозяев операций [ 3 ] :

  • Хозяин именования доменов (domain naming master). Один домен в каждом лесу, обрабатывает добавление и удаление доменов и генерирует уникальный идентификатор защиты (SID);
  • Хозяин RID (relative ID master). Генерирует последовательности для каждого из контроллеров домена. Действует в пределах домена. Генерирует для каждого контроллера домена пул по 500 RID.

Два сервера, выполняющих эти роли, должны быть доступны, когда создаются и именуются новые участники системы безопасности (security principals).

Правила имен участников системы безопасности

Объекты участников системы безопасности - это объекты Active Directory, которым назначены идентификаторы защиты и которые указываются при входе в сеть и предоставлении доступа к ресурсам домена.

Администратор должен давать объектам участников системы безопасности (учетным записям пользователей, компьютеров и групп) имена, уникальные в рамках домена. Следовательно, необходимо выработать стратегию именования, которая позволит это реализовать.

Добавляя в каталог учетную запись нового пользователя, администратор должен задать следующую информацию [ 3 ] :

  • имя, которое пользователь должен указывать при входе в сеть;
  • имя домена, содержащего учетную запись пользователя;
  • прочие атрибуты (имя, фамилия, телефон и т. п.)

К создаваемым именам для участников системы безопасности предъявляются следующие требования [ 3 ] :

  • имена могут содержать любые символы Unicode, за исключением следующих символов: #, +, ", \, <, >;
  • длина имен учетных записей пользователей не должна превышать 20 символов;
  • длина имен учетных записей компьютеров не должна превышать 15 символов;
  • длина имен учетных записей групп не должна превышать 63 символов;
  • имена участников системы безопасности не могут состоять только из точек, пробелов и знаков @;
  • любые точки или пробелы в начале имени пользователя отбрасываются.

Допускается применение одного и того же имени участника системы безопасности в разных доменах. Так, можно создать пользователя wjglenn в доменах hr.kd.ru и sales.kd.ru. Это не приведет к проблемам, поскольку составное, относительное составное и каноническое имена каждого объекта автоматически генерируются Active Directory и все равно позволяют глобально идентифицировать этот объект.

Правила именования доменов

Допускается изменение доменных имен после развертывания, но это может оказаться затруднительным. Лучше с самого начала выбрать правильные доменные имена, при выборе которых рекомендуется соблюдать следующие правила [ 3 ] .

  • Использовать только символы, разрешенные стандартами Интернета: а-z, 0-9 и дефис (-). Хотя реализация DNS в Windows Server 2003 поддерживает и другие символы, применение стандартных символов гарантирует возможность взаимодействия с другими реализациями DNS.
  • Использовать короткие доменные имена, которые легко идентифицировать и которые соответствуют соглашению об именовании в NetBIOS.
  • В качестве основы имени корневого домена применять только зарегистрированные доменные имена. Даже если в качестве имени корня леса не используется зарегистрированное DNS-имя, это поможет избежать путаницы. Например, у компании может быть зарегистрирован домен kd.ru. Если даже имя kd.ru и не задействовано в качестве имени корневого домена леса, то все равно целесообразно формировать имя, производное от kd.ru (скажем, sales.kd.ru).
  • Не использовать дважды одно и то же доменное имя. Иное возможно только в сетях, которые не взаимодействуют между собой (например, можно создать домен microsoft.com в частной сети, не подключенной к Интернету). Но это плохой подход, который когда-нибудь обязательно приведет к путанице.
  • Для большей безопасности создать отдельные внутреннее и внешнее пространства имен, чтобы предотвратить несанкционированный доступ к закрытым ресурсам. При этом рекомендуется создавать внутреннее имя на основе внешнего (например, kd.ru и local.kd.ru).

Краткие итоги

В этой лекции приведено соглашение об именовании в Active Directory, с описанием разных форматов имен:

  • Относительные составные имена.
  • Составные имена.
  • Канонические имена.
  • Основные имена пользователей.

Дан краткий обзор службы доменных имен DNS и указана ее взаимосвязь с Active Directory. Один из самых больших плюсов выполнения DNS в операционной системе Windows Server 2003 заключается в использовании интегрированных зон (integrated zones) Active Directory, которые дают множество преимуществ.

  • Зонная информация больше не хранится в зонных файлах на жестком диске DNS-сервера, она сохраняется в базе данных Active Directory.
  • Процесс зонной передачи заменен репликацией Active Directory.
  • Интегрированные зоны дают возможность конфигурирования DNS-сервера с несколькими хозяевами.
  • Интегрированную зону можно сконфигурировать так, чтобы использовать только безопасные обновления.

При выработке стратегии именования необходимо учитывать требования к именованию, предъявляемые как Active Directory, так и DNS:

  • поддерживается иерархия, длина имени до 64 символов;
  • поддерживается подключение к внешним сетям.

При выработке стратегии именования интерес представляют две роли хозяев операций:

  • Хозяин именования доменов;
  • Хозяин RID.

Два сервера, выполняющих эти роли, должны быть доступны, когда создаются и именуются новые участники системы безопасности (security principals).

Сформулированы правила именования участников системы безопасности и доменов.

< Лекция 5 || Лекция 6: 12 || Лекция 7 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Виктор Мамонов
Виктор Мамонов
http://www.intuit.ru/studies/courses/1068/259/lecture/3546
Araz Heyderov
Araz Heyderov
Россия
iketommoe ike
iketommoe ike
Тайвань (Китай)