Лекция 1
Тема: Служба каталогов Active Directory.
Active Directory Windows Server 2008 R2
Предлагаемые Microsoft технологии Active Directory прошли длинный путь с того момента когда впервые появились в версии Windows 2000 Server. Из одного продукта, называвшегося просто Active Directory (AD), в Windows Server 2008 R2 они превратились в пять отдельных технологий. Все они похожи между собой тем, что призваны предоставлять службы каталогов и служить в роли платформы для интеграции будущих технологий Microsoft. В частности, четыре дополнительных роли служб Active Directory, которые предлагаются в Windows Server 2008 R2, называются так: Active Directory Lightweight Directory Services — AD LDS (Службы Active Directory облегченного доступа к каталогам), Active Directory Federation Services — AD FS (Службы федерации Active Directory), Active Directory Certificate Services — AD CS (Службы сертификатов Active Directory) и Active Directory Rights Management Services — AD RMS (Службы управления правами Active Directory).
В настоящей лекции рассматривается традиционная служба Active Directory, которая теперь носит название Active Directory Domain Services — AD DS (Доменные службы Active Directory): что она собой представляет и почему наиболее часто применяется на предприятиях в качестве платформы для каталогов. Вначале кратко описывается история развития служб каталогов. Затем приводятся основные сведения о самой технологии AD DS. Напоследок дается обзор конкретных изменений, которые были внесены в технологии Active Directory в целом, в том числе и всех улучшений, которые появились в AD DS в Windows Server 2008 R2.
Эволюция служб каталогов
Службы каталогов в той или иной форме существовали с самого начала эпохи компьютеров — они предназначались для обычного поиска файлов и для аутентификации в производственных сетевых реализациях. Служба каталогов предоставляет подробную информацию о пользователях и об объектах сети, примерно так же, как телефонная книга позволяет найти номер телефона по известной фамилии. Например, объект пользователя в службе каталогов может содержать номер телефона, адрес электронной почты, название подразделения и еще столько других атрибутов, сколько пожелает системный администратор.
Службы каталогов часто называют "белыми страницами” сети. Они обеспечивают определение и администрирование пользователей и объектов.
Первые электронные каталоги были созданы вскоре после изобретения цифровых компьютеров и применялись для аутентификации пользователей и управления доступом к ресурсам. С расширением сети Интернет и увеличением совместного использования компьютеров в функции каталогов было включено хранение основной контактной информации о пользователях. Примерами ранних каталогов могут служить MVS PROFS (IBM), база регистрационных данных Grapevine и WHOIS.
Вскоре появились специализированные службы каталогов для приложений, предназначенные для специальной адресации, поиска и ведения контактной информации для каждого программного продукта. Доступ к таким каталогам был возможен только с помощью специальных методов, а область их применения была ограниченной. Приложениями, использующими эти типы каталогов, были такие программы, как Novell GroupWise, Lotus Notes и файл /etc/aliases утилиты sendmail в UNIX.
Дальнейшее развитие крупномасштабных служб каталогов для предприятий возглавила компания Novell, выпустив в начале девяностых годов прошлого века службу каталогов Novell (Novell Directory Services — NDS). Она была принята организациями NetWare, а за¬тем расширена за счет включения поддержки смешанных сред NetWare/NT. Громоздкая линейная структура доменов NT и недостаточная синхронизация и взаимодействие этих двух сред заставила многие организации перейти на использование NDS в качестве реализации службы каталогов. Именно эти недостатки NT были основной причиной выпуска службы Microsoft AD DS.
Разработка облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol — LDAP) была вызвана расширением Интернета и необходимостью более тесного взаимодействия и строгой стандартизации. Этот общепринятый метод доступа к информации каталогов и ее модификации, пользующийся всеми возможностями протокола TCP/IP, оказался надежным и функциональным, и для его применения были разработаны новые реализации служб каталогов. Сама служба AD DS разрабатывалась так, чтобы соответствовать стандарту LDAP.
Обзор первоначальных систем управления каталогами Microsoft
В системе Exchange Server 5.5 существовала собственная служба каталогов, которая за¬пускалась в виде части среды обмена электронными сообщениями. На самом деле многие из ключевых компонентов AD DS были позаимствованы именно из этой первоначальной службы каталогов Exchange. Например, в базе данных AD DS используется тот же формат базы данных Jet, что и в Exchange 5.5, да и топология репликации сайтов во многом похожа.
Собственные службы каталогов существовали и в ряде других приложений Microsoft, например, в Internet Information Server (Сервер информации Интернета) и Site Server (Сервер сайтов). Однако каждая из этих служб каталогов никак не соотносилась с другими, к тому же степень интеграции между различными реализациями была не очень высокой.
Описание ключевых функциональных возможностей Active Directory Domain Services
Центральную роль в функциональности AD DS играют пять ключевых компонентов. Требования совместимости новых служб каталогов со стандартами Интернета привели к тому, что в существующие реализации были внесены соответствующие изменения и уделено больше внимания перечисленным ниже областям.
• Совместимость с TCP/IP. В отличие от ряда специализированных протоколов вроде IPX/SPX и NetBEUI, протокол TCP/IP (Transmission Control Protocol/Internet Protocol — протокол управления передачей/протокол Интернета) с самого начала создавался с расчетом на использование на различных платформах. Последующее принятие TCP/IP в качестве стандартного Интернет-протокола для обмена данными сделало его одним из лидеров в мире протоколов и, по сути, превратило в обязательный протокол для операционных систем уровня предприятия. В AD DS и Windows Server 2008 R2 в качестве главного метода для обмена данными используется именно стек протоколов TCP/IP.
• Поддержка протокола LDAP (Lightweight Directory Access Protocol — облегченный протокол доступа к каталогам). Протокол LDAP был разработан в качестве стандартного Интернет-протокола для доступа к каталогам. Он применяется при обновлении и запросах данных, хранящихся в каталогах. В AD DS протокол LDAP поддерживается напрямую.
• Поддержка системы доменных имен. Система доменных имен (Domain Name System — DNS) была создана для удовлетворения потребности в преобразовании упрощенных имен, понятных людям (таких как www. ссо* сот), в IP-адреса, понятные компьютерам (вроде 12.155.166.151). В AD DS она не просто поддерживается, а даже требуется для нормальной работы.
• Поддержка безопасности.
• Поддержка безопасности в соответствии со стандарта¬ми Интернета чрезвычайно важна для бесперебойного функционирования среды, которая, по сути, подключается к миллионам компьютеров по всему миру. Нехватка надежных средств защиты служит своего рода приглашением для хакеров, поэтому в Windows Server 2008 R2 и AD DS возможности для обеспечения безопасности были значительно расширены. Так, в Windows Server 2008 R2 и AD DS была встроена непосредственная поддержка для IPSec, Kerberos, центров сертификации и шифрования с помощью протокола защищенных сокетов (Secure Sockets Layer — SSL).
• Удобное администрирование. Хотя при реализации мощных служб каталогов удобству администрирования и конфигурирования среды часто не уделяется должного внимания, этот аспект очень сильно влияет на общую стоимость эксплуатации сред. В AD DS и Windows Server 2008 R2 было специально все продумано так, чтобы ими было удобно пользоваться, и чтобы на освоение новой среды тратилось как можно меньше усилий. В Windows Server 2008 R2 улучшены возможности для администрирования AD DS за счет добавления компонента Active Directory Administration Center (Центр администрирования Active Directory), компонента Active Directory Web Services (Веб-службы Active Directory) и модуля для администрирования Active Directory из оболочки Windows PowerShell.
Процесс развития AD DS
Впервые появившаяся в Windows 2000 Server как замена для доменов Windows NT 4.0 и (тогда называвшаяся просто AD), технология AD DS позже была значительно улучшена в Windows Server 2003 и Windows Server 2003 R2 Edition. Она очень быстро получила широкое признание в промышленных кругах и зарекомендовала себя в качестве надежной, масштабируемой и высокопроизводительной системы. Появление AD DS позволило избавиться от некоторых ограничений, присущих схемам с доменами NT 4.0, а также обеспечить возможность интеграции будущих продуктов производства Microsoft и других производителей в один общий интерфейс.
Признание компанией Microsoft стандартов Интернета
Разрабатывая Windows Server 2000/2003, а затем и Windows Server 2008 R2, в Microsoft всегда стремились к тому, чтобы все их программные продукты поддерживали стандарты Интернета. Те из стандартов, которые ранее предлагались как дополнительные или вообще не поддерживались, постепенно вплетались в программное обеспечение и становились основными методами для передачи и обработки данных. В результате все приложения и операционные системы превращались в совместимые с TCP/IP, а специализированные протоколы, такие как NetBEUI, удалялись.
С выходом Windows Server 2008 R2 готовность среды Microsoft к взаимодействию с Интернетом достигает новых уровней функциональности, благодаря добавлению следующих улучшений: восстановление удаленных объектов с помощью корзины Active Directory (Active Directory Recycle Bin); присоединение к домену в автономном режиме (Offline Domain Join); применение управляемых учетных записей служб (Managed Service Accounts); настройка множества политик паролей для каждого домена; создание контроллеров домена с доступом только для чтения (Read-Only Domain Controller — RODC); запуск и останов AD на контроллере домена (DC); ведение учета изменений, которые вносятся в объекты AD.