Чтение онлайн

□ Топология репликации является гибкой, чтобы поддерживать репликации на медленных соединениях в WAN. Как часто должны реплицироваться данные, конфигурируется администраторами доменов.

□ Активный каталог поддерживает открытые стандарты. LDAP (Lightweight Directory Access Protocol — легковесный протокол доступа к каталогу), является одним из стандартов, который может использоваться для доступа к данным в активном каталоге. LDAP является стандартом Интернета, который может использоваться для доступа ко множеству различных служб каталога. Так как LDAP также является интерфейсом программирования, то определен LDAP API, который можно применять для доступа к активному каталогу с помощью языка C. Предпочтительный интерфейс программирования компании Microsoft для служб каталога — это ADSI (Active Directory Service Interface —

интерфейс служб активного каталога). Его конечно, нельзя назвать открытым стандартом. В противоположность LDAP API с помощью ADSI можно получить доступ ко всем свойствам активного каталога. Другим стандартом, который используется в активном каталоге, является Kerberos. Kerberos используется для аутентификации. Служба Kerberos в Windows 2000 может также применяться для аутентификации клиентов Unix. Это не работает в обратную сторону; серверы Unix Kerberos не могут аутентифицировать клиентов Windows 2000, так как компания Microsoft расширила протокол Kerberos для своего собственного использования.

□ При использовании активного каталога мы имеем детально структурированную систему безопасности. Каждый объект, хранящийся в активном каталоге, имеет связанный список управления доступом, определяющий, кто и какие действия может производить с объектом.

Объекты в каталоге являются строго типизированными. Это означает, что тип объектов точно определен, к объекту нельзя добавить ни одного не специфицированного атрибута. В схеме (Schema) определены типы объектов, а также части объектов (атрибуты). Атрибуты могут быть обязательными или необязательными.

Прежде чем программировать для активного каталога, необходимо познакомиться с некоторыми концепциями. Существует много новых терминов, которые надо знать при разговоре об активном каталоге.

В активном каталоге хранятся объекты. Объект — это что-то конкретное, например пользователь, принтер или общий сетевой ресурс. Объекты имеют обязательные и необязательные атрибуты, которые описывают объект. Примерами атрибутов объекта user (пользователь) являются фамилия, имя, адрес e-mail, телефонный номер и т. д.

На следующем рисунке показаны: контейнерный объект Wrox Press, несколько объектов пользователей, контакт, принтер и объект группы пользователей:

Каждый объект является экземпляром класса в схеме (schema). Схема хранится среди объектов активного каталога. Мы должны различать

и . В определяется тип объекта, а также данные о том, какие обязательные и необязательные атрибуты имеет объект. определяет, на что похож атрибут, и какой допустим для него синтаксис.

Можно пользоваться собственными типами и атрибутами и добавить их к схеме. Помните, что новый тип схемы вам не удастся убрать из активного каталога. Можно пометить его как неактивный, чтобы новые объекты больше нельзя было создавать, но могут существовать объекты этого типа, поэтому невозможно удалить классы или атрибуты, которые определены в схеме. Windows 2000 Administrator не имеет достаточных полномочий для создания новых записей схемы, здесь нужен Windows 2000 Domain Enterprise Administrator.

В активном каталоге хранятся не только объекты, но и определения классов (в схеме) и конфигурация. Конфигурация активного каталога хранит информацию обо всех сайтах, интервалах репликации и т.д., которая задается системным администратором. К конфигурационной информации можно получить доступ, как ко всем другим объектам в активном каталоге.

Домен является границей безопасности сети Windows. В домене активного каталога объекты хранятся в иерархическом порядке. Сам активный каталог состоит из одного или нескольких доменов. Иерархический порядок объектов представлен на рисунке ниже. Контейнерные объекты, такие как

, и , могут хранить другие объекты:

На следующем рисунке мы видим домен, который представлен треугольником. Каждый овал на рисунке представляет объект, линии между объектами показывают отношения предок/потомок.

является предком для и . , , и являются объектами-потомками объекта .NET.

Один домен может иметь несколько серверов, каждый из которых хранит все объекты внутри домена. Не существует мастер-сервера, и все серверы интерпретируются одинаково; мы имеем модель с несколькими мастерами. Объекты реплицируются между серверами внутри домена.

На следующем рисунке домен

представлен треугольником. DC1 и DC2 являются двумя контроллерами домена для этого домена:

Сайт является местоположением в сети, содержащим серверы активного каталога (контроллеры домена). Если имеется несколько местоположений на предприятии, соединенных медленными сетевыми связями, то можно использовать несколько сайтов для одного домена. Для целей резервного копирования или масштабирования каждый сайт имеет один или несколько выполняющихся контроллеров доменов. Репликация между серверами на сайте может происходить с более короткими интервалами в связи с более быстрым сетевым соединением. Репликация между серверами на различных сайтах конфигурируется с большими интервалами времени, в зависимости от скорости сети. Конечно, это может сконфигурировать администратор домена.

На следующем рисунке показан один домен

, который имеет несколько сайтов: Seattle, New York и Chicago. В каждом из этих сайтов выполняются по два контроллера домена.

Несколько доменов могут соединяться доверительными отношениями. Эти домены совместно используют общую схему, общую конфигурацию и глобальный каталог. Общая схема и общая конфигурация означают, что эти данные реплицируются между доменами. Деревья доменов совместно используют одну и ту же схему классов и атрибутов. Сами объекты не реплицируются между доменами.

Домены, соединенные таким образом, называются деревом доменов. Домены в дереве доменов имеют непрерывное иерархическое пространство имен. Это означает, что имя домена-потомка добавляется к имени домена-предка. Между доменами устанавливаются доверительные отношения, использующие протокол Kerberos.

На следующем рисунке показан корневой домен

, который является также доменом-предком доменов-потомков и . Доверительные отношения задаются между доменами предком и потомком так, чтобы учетные записи одного домена можно было аутентифицировать в другом:

Соединение множества деревьев доменов с помощью общей схемы, общая конфигурация и глобальный каталог без непрерывного пространства имен называется лесом. Лес является множеством деревьев доменов. Лес может иметь место, если у компании есть филиал, где должно применяться другое имя домена. Предположим, что домен

должен быть относительно независимым от домена , но должно быть общее управление, а также возможность пользователям из домена иметь доступ к ресурсам из домена и наоборот. С помощью леса можно создать доверительные отношения между множеством деревьев доменов.