Приветствую Вас Гость
Главная | Регистрация | ВходМой сайт
12:53 Шпоры #2 | |
| Служба каталогов работает как главный коммутатор сетевой ОС.Сетевые протоколы. Стек протоколов TCP/IP Протоколы передачи данных — это набор соглашений, который определяет обмен данных между различными программами. Протоколы задают способы передачи сообщений и обработки ошибок в сети, а также позволяют разрабатывать стандарты, не привязанные к конкретной аппаратной платформе. Сетевой протокол — набор правил, позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть устройствами. Cтек протоколов TCP/IP Является наиболее распространенным на сегодняшний день стеком протоколов. Стек протоколов TCP/IP представляет собой набор сетевых протоколов, регламентирующих все стороны процесса взаимодействия сетевых устройств. Требования-характеристики Отказоустойчивость. Сеть, построенная с использованием протокола, должна сохранять свою функциональность, даже если часть сети утратит свою работоспособность. Расширяемость. Протокол должен допускать возможность легкого расширения сети. Добавление к сети новых сегментов не должно приводить к нарушению работы существующих служб. Надежность. Протокол должен включать в себя механизмы, обеспечивающие надежную передачу информации внутри сети, независимо от надежности существующих коммуникаций. Внутренняя простота. Протокол должен иметь простую структуру, чтобы обеспечивать достаточную производительность. IР-адрес Согласно концепции TCP/IP, каждый хост, чтобы работать в сети, должен иметь определенный IP-адрес. IP-адрес представляет собой 32-разрядное двоичное число, которое для удобства запоминания разбито на октеты — восьмибитовые группы. Правила назначения IP-адреса 1.Компьютеру нельзя присвоить первый адрес в данной сети (адрес, заканчивающийся на число 0). Такие адреса зарезервированы для обозначения всей сети. 2. Компьютеру нельзя присвоить последний адрес в данной сети (адрес, заканчивающийся на число 255). Такие адреса служат для широковещательных передач (broadcasting) — обращения ко всем компьютерам в сети. 3. Каждый из октетов — это число в диапазоне от 0 до 255. 4. IP-адрес каждого компьютера должен быть уникален в пределах сети. Если присвоить новому компьютеру уже существующий в сети адрес, то возникнет конфликт адресов. Операционная система сообщит о конфликте, показав окно предупреждения, и оба компьютера не будут допущены к работе в сети до исправления ситуации. Подсеть и Хост В любом IP-адресе можно выделить две составляющие: адрес подсети и адрес хоста в этой подсети. На этапе разработки создатели протокола разделили все IP-адреса на три категории, объединив их в три класса подсетей — А, В и С. Классы А и В Подсети класса А самые дорогие, поэтому они по карману только крупным корпорациям. Все пулы адресов класса А уже распределены. В качестве их держателей выступают такие корпорации, как IBM, Xerox, Apple и Hewlett-Packard. Класс адресов В менее дорогой, однако и он по карману только состоятельным корпорациям, которые готовы выложить значительные суммы за достаточное количество IP-адресов. Одна из самых известных корпораций, являющаяся держателем пула адресов класса В — Microsoft. Деление на подсети Маска подсети — один из ключевых терминов TCP/IP, она представляет собой 32-битовое число, которое используется для выделения из IP-адреса адреса подсети. В связи с этим биты маски подсети, установленные в 1, обозначают разряды которые используются в IP-адресе для определения адреса подсети. Выделение осуществляется методом логического умножения (операции AND) IP-адреса и маски подсети. Внутренние IP-адреса Для локальных сетей, в зависимости от их размера, организацией IANA (Internet Assigned Numbers Authority), отвечающей за присвоение IP-адресов в Интернете, выделены следующие диапазоны адресов: 10.0.0.0 — 10.255.255.255, 172.16.0.0— 172.31.255.255, 192.168.0.0— 192.168.255.255. Обзор основных протоколов стека IP Основная его задача - маршрутизация пакетов данных. Получая пакет от протоколов верхнего уровня OSI-модели, протокол IP принимает решение о доставке этих пакетов. Решение принимается на основе специальных таблиц, называемых таблицами маршрутизации. На основании этой таблицы может быть принято два решения, в зависимости от того, в какой подсети находится компьютер-получатель пакета. ARP На канальном уровне адресация осуществляется на основе так называемых МАС-адресов. МАС-адрес представляет собой уникальный 48-разрядный идентификационный код, присваиваемый каждому сетевому адаптеру. Этот код записывается в специальное ПЗУ на плате сетевого адаптера и тем самым навсегда связывается с этим сетевым адаптером. Необходим механизм, который бы обеспечивал трансляцию IP-адресов в соответствующие МАС-адреса. Протокол разрешения адресов ARP (Address Resolution Protocol) и предоставляет такой механизм. Его основная задача — установка соответствия между IP-адресом и МАС-адресом. ICMP Протокол управляющих сообщений Интернета (Internet Control Message Protocol, ICMP) представляет собой механизм, посредством которого хосты могут обмениваться служебной информацией. Протокол ICMP поддерживает два вида служебных сообщений: сообщения об ошибках и управляющие сообщения. IGMP Процесс передачи группового трафика регламентируется межсетевым протоколом управления группой (Internet Group Management Protocol, IGMP). IPsec Протокол IPsec обеспечивает защиту любых пакетов, передаваемых протоколами верхних уровней. TCP Протокол управления передачей (Transmission Control Protocol, TCP) берет на себя все обязанности по доставке пакетов, получаемых от протоколов верхних уровней, в неизменном состоянии и в соответствующей последовательности. Поэтому в обязанности протокола транспортного уровня входит функция разбиения этих пакетов на более мелкие TCP-пакеты, которые затем передаются протоколу сетевого уровня. UDP В структуре стека протоколов TCP/IP имеется другой протокол, функционирующий на транспортном уровне, который не ориентирован на установку соединения. Речь идет о протоколе пользовательских дейтаграмм (User Datagram Protocol, UDP). Протокол UDP достаточно быстрый протокол, поскольку не включает механизмов, осуществляющих контроль доставки пакетов. Утилиты диагностики TCP/IP ipconfig Предназначена для отображения параметров настройки TCP/IP и управления получением параметров от DHCP-сервера. Без параметров отображается краткая информация обо всех соединениях, сконфигурированных на использование протокола TCP/IP. Отображаются: IP-адрес, маска подсети и основной шлюз. ping Предназначена для отправки эхо-запроса на удаленный хост и получение от него ответа. Выводит информацию по каждому запросу, отправленному на указанный хост. Выводит IP-адрес и имя проверяемого хоста (IP-адрес выводится всегда, имя - только при указании параметра -a). Для каждого отправленного пакета выводится информация о размере, времени отклика и времени жизни. После этого выводится статистика: количество отправленных, полученных и утерянных пакетов, процент потерь, минимальное, максимальное и среднее время отклика. arp Предназначена для просмотра таблицы соответствия IP-адресов MAC-адресам и внесения изменений в эту таблицу. tracert Предназначена для исследования маршрута до удаленного хоста. Отображает информацию обо всех маршрутизаторах, через которые проходят пакеты, направляемые на указанный хост. netstat Позволяет получить статистическую информацию по некоторым из протоколов стека (TCP, UDP, IP и ICMP), а также приводит сведения о текущих сетевых соединениях. nbtstat Утилита используется для получения информации, связанной с вопросом функ¬ционирования NetBIOS поверх TCP/IP. Используя данную утилиту, можно получить информацию как о локальном, так и об удаленном компьютере. Домены Windows. Active Directory Службы каталогов Основная цель объединения компьютеров в вычислительную сеть – обеспечение совместного использования ресурсов. Одна из основных решаемых задач – реализация оптимального метода организации общих ресурсов. В крупной организации речь идет о множестве ресурсов и множестве потребителей данных ресурсов. Для эффективного управления такими списками применяются разные методы. Один из методов – развертывание службы каталогов. Служба каталогов – сетевая служба позволяющая пользователям получить доступ к ресурсу без знания точного месторасположения ресурса. При использовании службы каталогов вся информация об объектах сети объединяется в каталог (directory). Внутри каталога объекты организуются в соответствии с физической или логической структурой сети. Службы каталогов решают следующие задачи: Управление сетевыми ресурсами. Служба каталогов облегчает пользователям поиск необходимых ресурсов, скрывая подробности реализации механизма поиска. Управление пользователями. Каждый пользователь в сети идентифицируется набором реквизитов. Это позволяет осуществлять управление доступом к сетевым ресурсам. Управление приложениями. В крупных вычислительных сетях возникает задача централизованного управления программным обеспечением, включая развертывание новых приложений и обновление существующих. Обеспечение функционирования сети. Использование службы каталогов позволяет решить вопросы выделения IP-адресов, других параметров сети. Сети Microsoft организуются с использованием службы каталогов Active Directory. Определение каталога и службы каталогов Каталог (directory) — это информационный ресурс, используемый для хранения информации о каком-либо объекте. В файловой системе каталоги хранят информацию о файлах. В распределенной вычислительной системе или в компьютерной сети общего пользования (например, Интернет) имеется множество объектов - серверы, базы данных, приложения, принтеры и др. Пользователи хотят иметь доступ к каждому из таких объектов и работать с ними, а администраторы - управлять правилами использования этих объектов. Служба каталогов (directory service) - сетевая служба, которая идентифицирует все ресурсы сети и делает их доступными пользователям. Служба каталогов централизованно хранит всю информацию, требуемую для использования и управления этими объектами, упрощая процесс поиска и управления данными ресурсами. Служба каталогов работает как главный коммутатор сетевой ОС. Она управляет идентификацией и отношениями между распределенными ресурсами и позволяет им работать вместе. Пространство имен X.500 и протокол LDAP Пространство имен (в соответствии со стандартом X.500) представляет собой иерархическую структуру имен, которая идентифицирует уникальный путь к контейнеру службы каталога. Это пространство имен определяется в числовой (точечной) нотации или в строковой. Протокол LDAP Протокол LDAP (облегченный протокол службы каталогов) является протоколом доступа. В данном протоколе для именования объектов используется система характерных имен (Distinguish Name), предоставляющая информацию обо всех узлах дерева каталогов. Представление иерархии имен LDAP имеет вид: LDAP: // cn=Dmitry, cn=Users, ou=faculty, dc=Ustu, dc=ru. При записи характерного имени используются специальные ключевые слова: DC – составная часть доменного имени; OU – организационная единица; CN – общее имя. Имя, идентифицирующее сам объект, согласно терминологии LDAP, выступает в качестве относительного характерного имени. Относительное имя может быть не уникальным в рамках всего дерева, но должно быть уникальным в пределах контейнера. Каноническое имя подобно характерному имени, за исключением того, что опускаются сокращения, обозначающие тип контейнера: Ustu.ru/faculty/Users/Dmi>try Использование имен объектов системы Другой способ именования объектов – использование основных имен субъектов системы безопасности. Основное имя субъекта системы безопасности имеет вид: <имя субъекта>@<суффикс основного имени>. В качестве суффикса основного имени выступает имя домена, которому принадлежит данный субъект. Пример основного имени пользователя: olga@dpt.ustu.ru. Глобальные идентификаторы. Для обеспечения уникальности объектов и облегчения поиска, каждому объекту ставится в соответствие 128-разрядное число – глобальный уникальный идентификатор. Данный идентификатор является обязательным атрибутом любого объекта, который не изменяется ни при каких обстоятельствах. Доменная модель службы каталогов В рамках каталога Active Directory одним из основных понятий является понятие домена – совокупность компьютеров, характеризующихся наличием общей базы учетных записей пользователей и единой политики безопасности. Использование доменов позволяет разделить пространство имен на несколько фрагментов. Каждый объект может принадлежать только одному домену. Цели создания доменов: Разграничение административных полномочий. Создание единой политики безопасности. Разделение доменного контекста имен. Центральным компонентом домена выступают серверы, хранящие фрагменты каталогов. Такие серверы называются контроллерами домена. Иерархия доменов Windows позволяет организовать разные типа иерархии доменов. Отношение между доменами по схеме «родитель-потомок». Имя дочернего домена включает в себя имя родительского домена. Отношения, включающие несколько связанных деревьев – лес доменов (forest). Дерево доменов состоит из нескольких доменов, которые имеют общую логическую структуру и конфигурацию и образуют непрерывное пространство имен. Домены в дереве связаны между собой доверительными отношениями. Active Directory является множеством, которому принадлежат одно или несколько деревьев доменов. Лес - одно или несколько деревьев, которые не образуют непрерывного пространства имен. Все деревья одного леса имеют общие логическую структуру, конфигурацию и глобальный каталог. Все деревья данного леса поддерживают друг с другом транзитивные иерархические доверительные отношения, устанавливаемые на основе протокола Kerberos. В отличие от дерева, лес может не иметь какого-то определенного имени. Лес существует в виде совокупности объектов с перекрестными ссылками и доверительных отношений на основе протокола Kerberos, установленных для входящих в лес деревьев. Доверительные отношения Механизм установленных доверительных отношений позволяет организовать процесс аутентификации объектов и субъектов системы. Выделяют два типа доверительных отношений: Односторонние доверительные отношения, Двусторонние доверительные отношения. Windows Server 2003 поддерживает шесть типов доверительных отношений: Доверие к родительскому и дочернему доменам. Active Directory автоматически выстраивает транзитивные двусторонние доверительные отношения между родительскими и дочерними доменами в дереве доменов. Эти отношения двусторонние. Доверие к корневому домену дерева. Двусторонние транзитивные доверительные отношения автоматически создаются и между корневыми доменами деревьев в одном лесу. Доверие к внешнему домену. Внешнее доверие используется, когда нужно создать доверительные отношения между доменом Windows Server 2003 и доменом Windows NT 4.0. Поскольку ограниченные домены (down-level domains) (домены, не поддерживающие Active Directory) не могут участвовать в двусторонних транзитивных доверительных отношениях, следует использовать внешнее доверие, которое является односторонним. Доверие к сокращению. Доверие к сокращению - это способ создания прямых доверительных отношений между двумя доменами, которые могут быть уже связаны цепочкой транзитивных доверий, но нуждаются в более оперативном реагировании на запросы друг от друга. Доверие к сфере. Доверие к сфере служит для подключения домена Windows Server 2003 к сфере Kerberos, которая не поддерживает Windows и использует протокол защиты Kerberos V5. Доверие к сфере может быть транзитивным или нетранзитивным, одно- или двусторонним. Доверие к лесу. Доверие к лесу упрощает управление несколькими лесами и обеспечивает более эффективное защищенное взаимодействие между ними. Этот тип доверия позволяет обращаться к ресурсам в другом лесу по той же идентификации пользователя (user IDentification, ID), что и в его собственном лесу. Контроллеры домена Отвечают за аутентификацию пользователей и содержат фрагмент каталога. Некоторые операции могут выполняться только одним контроллером. Эти операции называются операции с одним исполнителем (flexible single-master operations – FSMO). Контроллеры доменов могут выполнять специализированные роли: Роли, требующие уникальности в пределах всего леса доменов: Исполнитель роли владельца доменных имен, Исполнитель роли владельца схемы. Роли, требующие уникальности в пределах домена: Исполнитель роли владельца идентификаторов, Исполнитель роли эмулятора основного контроллера домена, Исполнитель роли владельца инфраструктуры каталога. По умолчанию все данные роли возлагаются на первый контроллер домена, установленный в лесе. Процесс принудительной передачи функций специализированной роли другому контроллеру называется захватом роли. Разделы каталога В рамках каталога Active Directory выделяется несколько крупных фрагментов каталога – разделов каталога, представляющих законченные непрерывные поддеревья (контексты имен): Доменный раздел каталога, Раздел схемы каталога, Раздел конфигурации, Разделы приложений, Раздел глобального каталога. Схема каталога Любой объект каталога принадлежит к некоторому классу объектов со своей структурой атрибутов. Определения всех классов объектов и совокупности правил, позволяющих управлять структурой каталога, хранится в специальной иерархической структуре – схеме каталога. Все данные схемы хранятся в виде двух классов объектов: Class Schema – класс, определяющий типы объектов, Attribute Schema – класс, определяющий атрибут объекта. Каждый атрибут определяется в схеме один раз и может использоваться при описании множества классов объектов. Схема каталога хранится в отдельном разделе и допускает возможность расширения. Раздел глобального каталога Глобальный каталог – специализированная база данных, содержащая фрагменты всех доменных контекстов имен. Для исключения чрезмерного разрастания базы данных в нее включены значения только наиболее часто используемых атрибутов. Контроллер домена, выступающий в качестве носителя такой базы данных, называется сервером глобального каталога. Он выполняется следующие функции: Предоставление пользователям возможности поиска объектов в лесу доменов по атрибутам, Разрешение основного имени пользователя, Предоставление информации о членстве пользователя в различных группах с универсальной областью действия. В лесу доменов присутствует по крайней мере один сервер глобального каталога. По умолчанию это первый контроллер созданный в домене. Другие разделы Раздел конфигурации – используется для размещения сведений о структуре системы: список всех доменов и деревьев леса, перечень существующих контроллеров домена и серверов глобального каталога. Доменный раздел – используется для размещения объектов, являющихся непосредственно частью домена. Здесь хранятся объекты, ассоциированные с пользователями, компьютерами, общими ресурсами. Данный раздел передается в рамках домена. Разделы приложений – могут быть созданы для различных сетевых приложений. Разделы могут быть созданы администратором вручную или самими приложениями при помощи интерфейса программирования ADSI (Active Directory Service Interfaces). Создание таких разделов позволяет обращаться к приложениям используя общий подход доменных имен. Организационные единицы В структуре службы каталога можно использовать специальные объекты контейнерного типа, позволяющие группировать объекты. Такими объектами являются организационные единицы, позволяющие объединять объекты в логическую структуру. Используются для упрощения управления входящими в них объектами. Иерархия организационных единиц образуется только в пределах домена. Организационные единицы принадлежащие разным доменам леса не связаны друг с другом. До появления Active Directory домен был наименьшим контейнером, которому могли быть назначены административные разрешения. Физическая структура каталога. Репликация данных. Корпоративная сеть – совокупность подсетей, соединенных между собой линиями связи. Под узлом (site) в сетях Windows понимается совокупность подсетей объединенных высокоскоростными линиями связи. В структуре каталога существует специальный класс объектов, описывающий связи между узлами, - соединение узлов. Каждое соединение как объект каталога имеет следующие атрибуты: Стоимость соединения, Расписание доступности соединения, Интервал репликации, Транспорт репликации. В качестве транспорта используются протоколы RPC и SMTP. Репликация внутри узла При репликации баз данных каталога внутри узла осуществляется автоматически. В процессе репликации используется кольцевая топология (двунаправленное кольцо). В процессе репликации применяется протокол RPC. Используется синхронное взаимодействие – принимающий партнер, отправляя запрос, ожидает ответа от передающего партнера. Репликации между узлами Одной из причин объединения подсетей в узлы – необходимость управления процессом репликации между контроллерами домена на медленных линиях связи. В процессе репликации между узлами передается только информация об изменениях в схеме и данных конфигурации. Для серверов глобального каталога – данные о подмножестве объектов всех доменов, образующих лес. При передаче используются два протоколы: RPC и SMTP – для асинхронного взаимодействия. При репликации между узлами существенную роль играют мостовые серверы. Архитектура Active Directory Многоуровневая архитектура Active Directory Системный агент каталога (Directory System Agent, DSA). Выстраивает иерархию наследственных ("предок-потомок") отношений, хранящихся в каталоге. Предоставляет API-интерфейсы для вызовов доступа к каталогу. Клиенты получают доступ к Active Directory, используя механизмы, поддерживаемые DSA. Уровень БД. Предоставляет уровень абстрагирования между приложениями и БД. Вызовы из приложений никогда не выполняются напрямую к БД, а только через уровень БД. Расширяемое ядро хранения. Напрямую взаимодействует с конкретными записями в хранилище каталога на основе атрибута относительного составного имени объекта. Хранилище данных (файл БД NTDS.dit). Управляется при помощи расширяемого механизма хранения БД, расположенного на контроллере домена. LDAP/ADSI. Клиенты, поддерживающие LDAP, используют его для связи с DSA. Active Directory поддерживает LDAP версии 2. Клиенты Windows с установленными клиентскими компонентами Active Directory для связи с DSA применяют LDAP версии 3. Хотя ADSI является средством абстрагирования API LDAP, Active Directory использует только LDAP. API-интерфейс обмена сообщениями (Messaging API, MAPI). Традиционные клиенты MAPI, например Microsoft Outlook, подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC. Диспетчер учетных записей безопасности (Security Accounts Manager, SAM). Репликация с резервных контроллеров в домене смешанного режима также выполняется через интерфейс SAM. Репликация (REPL). При репликации каталога агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC База данных Active Directory содержит следующие структурные объекты Разделы (сегменты). Разделы Active Directory называются контекстами именования (NC - Naming Contexts) и содержат следующие сегменты: раздел домена каталога, раздел конфигурации каталога, раздел схемы каталога, раздел глобального каталога, разделы приложений каталога. Домены. Домен служит в качестве административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена (оптимально иметь два или более). Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии становится корневым доменом леса, обычно он называется корневым доменом или доменом леса. Деревья доменов. Домены, которые создаются в инфраструктуре Active Directory после создания корневого домена, могут использовать существующее пространство имен Active Directory совместно или иметь отдельное пространство имен. Леса. Лес определяет границу безопасности для предприятия, являясь общим для всех контроллеров домена в лесу. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory. Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования сайтов в Active Directory: они обеспечивают соединение между логическими компонентами Active Directory и физической сетевой инфраструктурой. Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Они служат для создания иерархической структуры в пределах домена и используются, чтобы сделать более эффективным управление единственным доменом (вместо управления несколькими доменами Active Directory). Управление службой Active Directory Для управления службой каталогов Active Directory используются специальные средства администрирования. Утилиты администрирования службы каталогов: Active Directory – пользователи и компьютеры, Active Directory – домены и доверие, Active Directory – сайты и службы. Оснастка «Active Directory — сайты и службы» является консолью управления Microsoft Management Console, которую можно использовать для администрирования репликации данных каталога. Другими средствами управления Active Directory являются программы командной строки. Программа Ntdsutil используется для обслуживания базы данных Active Directory, управления действиями одиночного хозяина операций и удаления метаданных, оставленных контроллерами домена, которые были удалены из сети без выполнения соответствующих операций Эволюция службы каталога Х.500 и Directory Access Protocol (DAP). X.500 - спецификация International Organization for Standardization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов; Lightweight Directory Access Protocol (LDAP). Протокол LDAP был разработан в ответ на критические замечания по спецификации DAP, которая оказалась слишком сложной для применения в большинстве случаев. Спецификация LDAP быстро стала стандартным протоколом каталогов в Интернете; Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500; Эволюция службы каталога от Microsoft Менеджер LAN для операционных систем OS/2 и MS-DOS В1987 году первая служба каталога, разработанная для поддержки вычислительной среды компьютеров Microsoft (операционные системы OS/2 и MS-DOS), основывалась на сетевой операционной системе Microsoft LAN Manager. Служба каталога системы LAN Manager обеспечивала основные функциональные возможности для совместного использования файлов и ресурсов печати, а также для пользовательской защиты. Плохо масштабировалась и не поддерживала доверительные отношения. Windows NT и SAM Сердцем Windows NT NOS (Network Operating System — сетевая операционная система) является база данных SAM (Security Accounts Management - управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT. Windows 2000 и Active Directory SAM не подходила для поддержки сетевых приложений типа Exchange Server, облегченный протокол службы каталогов (LDAP) семейства протоколов TCP/IP, служба Active Directory заменила базу данных SAM в качестве службы каталога, главная выгода Active Directory в масштабируемости, файл базы данных учетных записей может достигать 70 Тб, что является весомым усовершенствованием по сравнению с лимитом SAM в 40 Мб. Число объектов, которые могут быть сохранены в Active Directory, превышает один миллион. Фактически Active Directory была реализована в испытательной среде в модели отдельного домена, содержащей более ста миллионов объектов. В качестве демонстрации масштабируемости корпорация Compaq Computer Corporation, теперь входящая в состав корпорации Hewlett-Packard, успешно объединила в модели отдельного домена сводные каталоги домашних телефонных номеров для всех пятидесяти штатов Соединенных Штатов Америки. Сложные доменные модели, которые преобладали в Windows NT 4, теперь могут быть объединены в меньшее количество доменов с помощью организационных единиц (OU - organizational unit), предназначенных для группировки содержимого ресурсного или регионального домена Windows NT 4 Четыре доменные модели, используемые в Windows NT 4 Чтобы справиться с этой растущей сложностью доменов и доверительных отношений, сетевые администраторы реализовывали одну из четырех доменных моделей: отдельный домен (single domain), домен с одним хозяином (master domain), домен с несколькими хозяевами (multiple master domain, или multimaster) и отношения полного доверия (complete trust) Домены Windows Server 2003 и Active Directory Открытые стандарты службы Active Directory: Чтобы удовлетворить растущие запросы службы каталога в неизменно плюралистической вычислительной среде современного предприятия, Microsoft должен был включить открытые вычислительные стандарты в свои NOS и в свою реализацию службы каталога. Серверное пространство может включать серверы Windows и Novell Netware, выполняющиеся на платформах Intel, UNIX-платформы, выполняющиеся на базе аппаратных средств RISC (компьютеры с сокращенным набором команд) и т.д. Пространство имен Х.500. Облегченный протокол службы каталогов (LDAP). Функции службы каталогов Централизация. Смысл централизации - уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог создает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей, которая нужна, когда возникает необходимость в поиске ресурсов. Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек, - то есть она должна поддерживать какой-либо способ разбиения базы данных каталога на разделы, чтобы не утратить контроль над базой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации. Стандартизация. Служба каталогов должна предоставлять доступ к своей информации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в службе каталогов (и публиковать их в ней), а не поддерживать собственные каталоги. Расширяемость. Служба каталогов должна тем или иным способом позволять администраторам и приложениям расширять в соответствии с потребностями организации набор информации, хранимой в каталоге. Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть прозрачной для пользователей и администраторов. Ресурсы можно находить (и обращаться к ним), не зная, как и где они подключены к сети. Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, выборки и публикации информации о сетевых ресурсах. Зачем мне нужна служба Active Directory? Централизованный каталог, Единая регистрация, Делегированное администрирование, Интерфейс общего управления, Интегрированная безопасность, Масштабируемость (Функциональные уровни, Переименование домена, Разделы приложений каталога) Удаленный доступ Удаленный доступ - технология взаимодействия абонентских систем с локальными сетями через территориальные коммуникационные сети. Удаленный доступ осуществляется посредством сервера удаленного доступа и сетей общего пользования. Различают два типа удаленного доступа: Соединение по коммутируемой линии (dial-up connection). Соединение с виртуальной частной сетью (VPN connection) Концепция удаленного доступа Часто возникает необходимость в предоставлении корпоративных ресурсов пользователям, не имеющим физического подключения к локальной сети. При этом пользователь может находиться в любой произвольной точке планеты. Системы под управлением Windows Server 2003 могут функционировать в любом из двух режимов: Сервер удаленного доступа, Клиент удаленного доступа. Соединение по коммутируемой линии Нуль-модемный кабель. Коммутируемые телефонные сети общего назначения (Public Switched Telephone Network, PSTN). Для подключения к сети клиенты используют обычные телефонные линии. Однако большая часть линий (особенно в России) разрабатывалась без учета возможности передачи цифровой информации. Модем. При взаимодействии через телефонные сети общего назначения модемами должны быть оборудованы как клиенты, так и сервер удаленного доступа. Для достижения максимальной эффективности желательно, чтобы на клиенте и на сервере были установлены модемы одного производителя и одной модели. Модемное подключение клиентов к локальной сети считается одним из наиболее дешевых способов удаленного взаимодействия. Стандарт V.90, предусматривающий передачу данных со скоростью 56 Кбит/с. Цифровые сети с интегрированными службами (Integrated Services Digital Network, ISDN). Технология ISDN была предложена как альтернатива общественным телефонным сетям. Вместо аналогового сигнала, который использовался в общественных телефонных сетях, в ISDN для передачи данных используется цифровой сигнал. Цифровая технология позволяет передавать по одним и тем же линиям данные различных типов (видеоизображение, голосовую информацию, факсимильные сообщения, цифровые данные). Сети с коммутацией пакетов Х.25. Стандарт глобальных сетей был разработан еще в 1974 году международным комитетом по телефонной и телеграфной связи и с тех пор широко используется по всему миру для передачи данных в глобальных сетях. Существующие коммуникации различаются по качеству и надежности, поэтому в структуру протокола встроены механизмы, обеспечивающие контроль ошибок. Х.25 реализует постоянные или коммутируемые виртуальные каналы, подразумевающие надежное обслуживание и сквозное управление потоком. Служба асинхронной цифровой связи (Asymmetric Digital Subscriber Line, ADSL). В последнее время эта технология получила широкое распространение в связи с развитием Интернета. В случае использования этой службы пользователь обладает различной пропускной способностью для исходящего и входящего трафика (например, 64 Кбит/с для исходящего трафика и 1,5 Мбит/с для входящего трафика). Связано это с тем, что пользователь, как правило, получает из Интернета значительно больше данных, чем отправляет. Протоколы удаленного доступа В Windows Server 2003 реализована поддержка двух протоколов удаленного доступа: Serial Line Internet Protocol (SLIP); Point-to-Point Protocol (PPP). Serial Line Internet Protocol Протокол может использоваться исключительно для передачи IP-пакетов, что ограничивает возможность его применения теми клиентами, которые используют стек протоколов TCP/IP. Протокол функционирует исключительно на физическом уровне OSI-модели и не содержит механизмов защиты и контроля ошибок. В режиме сервера удаленного доступа Windows Server 2003 не поддерживает взаимодействие с клиентами по протоколу SLIP. Point-to-Point Protocol Функционирует на физическом и канальном уровнях OSI-модели, содержит встроенные механизмы контроля ошибок и защиты. Может использоваться для передачи пакетов различных стеков протоколов (TCP/IP, AppleTalk). Это достигается за счет инкапсуляции пакетов указанных протоколов в собственные фреймы протокола РРР. Сервер удаленного доступа может осуществлять динамическое выделение клиенту IP-адреса при помощи DHCP-сервера. Процесс установления соединения между клиентом и сервером при помощи протокола РРР протекает в четыре последовательных этапа: 1.Конфигурирование соединения. 2.Аутентификация клиента. 3.Осуществление ответного звонка. 4.Конфигурирование протокола. Аутентификация удаленных пользователей Password Authentication Protocol (PAP). Самый простой протокол аутентификации. Клиент передает серверу пароль открытым текстом. При этом не обеспечивает никакой защиты от стандартных атак (повторное использование перехваченных пакетов, имперсонация удаленного клиента). Данный протокол должен использоваться только в тех случаях, когда клиент не поддерживает никакого другого протокола аутентификации. Challenge Handshake Authentication Protocol (CHAP). Протокол аут | |
|
| |
| Всего комментариев: 0 | |
Категории раздела
Мини-чат
Наш опрос
Статистика
Онлайн всего: 5
Гостей: 5
Пользователей: 0
Поиск
Архив записей
Друзья сайта
| Copyright MyCorp © 2024 |