Windows 2003 Active Directory: обзор

Прошедшие времена

Несколько лет назад вы могли подумать, что выбор подходящего серверного программного обеспечения для вашей сети Windows — сложная задача. Microsoft не всегда была самой крутой собакой в фунтах. С одной стороны, платформа Microsoft NT4 обеспечивала хорошую интеграцию и, что более важно, платформу, с которой ИТ-менеджеры сразу же были знакомы. С другой стороны, у Novell был надежный, компактный и проверенный во всем мире продукт Novell Netware (4.1 или 5). Секрет, лежащий в основе мирового господства Novell и блокирующий дверь Microsoft на критически важном международном рынке корпоративных серверов, заключался во включении службы каталогов под названием NDS (Novell Directory Services). Такой каталог позволял создавать масштабируемые и легко управляемые сети и хорошо подходил для глобальных сетей с несколькими офисами, по крайней мере, это была лучшая альтернатива положениям Windows NT4.

Рис. 1: Novell NDS была мировым классом… в то время.

Для тех из вас, кто знаком с идеей каталога в сетевых терминах, вы можете думать о нем как о телефонном справочнике, где каждая запись является сетевым объектом, таким как пользователь, принтер или общий сетевой ресурс, а не частью контакты. Эта информация может быть структурирована в логические контейнеры, называемые организационными единицами (OU), что позволяет создать более управляемую среду при работе с большим количеством пользователей и других объектов. Этот каталог можно дублировать и реплицировать на нескольких серверах, что позволяет обеспечить избыточность и распределенную структуру, встроенную в структуру сети. В этом каталоге, как и в его бумажном названии, можно быстро и легко искать, хотя это можно сделать намного быстрее, чем перелистывать страницы книги. Наличие логической структуры и дизайна позволяет ИТ-отделам применять политики к группам пользователей или компьютеров в зависимости от потребностей бизнеса.

Очевидно, что для того, чтобы Microsoft завоевала глобальное господство в области серверов, им пришлось переработать серверную платформу и сделать ее масштабируемой, надежной и отказоустойчивой с нуля, не изобретая полностью велосипед. Так родилась Active Directory.

Изучение основ

Прежде чем мы начнем, давайте быстро рассмотрим основы Active Directory. Любая установка Active Directory идет рука об руку с правильно настроенным DNS-сервером, работающим в вашей сети. Зависимость от DNS очевидна в Windows 2000, и практически невозможно запустить сеть Windows 2000 без поддержки DNS. Это очень отличается от старых сетей NT, которые могли обойтись без WINS или, скорее всего, использовали бы ее, которая была «альтернативой» Microsoft для DNS, предложенной в то время. Такова зависимость от DNS, что она должна быть первой точкой вызова при поиске неисправностей в работе AD или проблемах с репликацией.

Сама Active Directory состоит из трех «логических» разделов: «Домен», «Конфигурация» и «Схема». В файловой системе они хранятся в NTDS.DIT на любом контроллере домена. Раздел домена хранит информацию, относящуюся к домену, а раздел конфигурации содержит информацию, относящуюся к структуре леса. Наконец, схема содержит информацию об определении объектов в сети. Их можно грубо связать по порядку со следующими инструментами; Пользователи и компьютеры Active Directory, сайты и службы Active Directory и ADSIEdit.

Есть ли в доме политтехнолог?

Вас не ошеломит обилие новых функций Active Directory 2003, самые заметные новые функции можно найти в инструментах управления, которые, как часть Admin Pak, могут быть установлены на компьютере с Windows XP и будет вполне успешно работать с Windows 2000. Одной из наиболее полезных функций новых инструментов AD для обычных ИТ-специалистов является возможность создавать и сохранять запросы в Active Directory Users and Computers. Теперь вы можете создавать запросы для отображения пользователей, компьютеров или любого другого объекта, о котором вы только можете подумать, на основе практически любого атрибута, который вы можете себе представить. Microsoft мудро включила некоторые предопределенные критерии для выполнения наиболее распространенных поисков, в том числе; Отключенные учетные записи, учетные записи, не зарегистрированные в течение xx дней, имя пользователя (которое может обычно начинаться с, заканчиваться или содержать и т. д.), описание и пароли с истекшим сроком действия. Одни только эти запросы должны быть в состоянии помочь большинству ИТ-специалистов, но список объектов и атрибутов бесконечен.

Рис. 2. Запросы позволяют быстро находить общие группы объектов

Более подробно мы рассмотрим запросы в следующей статье. Также произошли значительные изменения в средствах управления групповыми политиками AD Users and Computers. Опять же, эти функции будут подробно рассмотрены в следующих статьях.

Однако под капотом также есть несколько капитальных ремонтов, которым следует уделить должное внимание. Очевидно, что приоритет, с которым вы будете относиться к этим новым функциям, будет напрямую зависеть от типа вашей сети, ее структуры и вашей должности.

АДАМ

Одной из самых интересных особенностей этого выпуска является фактически отдельный выпуск, балансирующий на фалдах Active Directory 2003. Active Directory / Application Mode (или ADAM для его ближайших друзей) — это отдельное приложение, которое должно оказаться благом для разработчиков приложений и ИТ-менеджеров. Поскольку Active Directory — это настраиваемая база данных, которая позволяет выполнять репликацию по различным интернет-ссылкам и соединениям, многие приложения (специализированные и другие) могут использовать ее для хранения данных, относящихся к пакету и его пользователям, а также для авторизации пользователей. Это означает, что программистам таких приложений не нужно изобретать велосипед при создании распределенных хранилищ данных, а циклы разработки могут быть сокращены. Однако это, в свою очередь, приводит к нескольким серьезным проблемам, главным образом к значительному увеличению пропускной способности и большому отставанию. Сетевые соединения между филиалами часто бывают медленными, дополнительные данные, добавляемые такими приложениями, могут легко привести к остановке этих линий. Даже в самых больших офисах с самыми быстрыми линиями управление данными репликации может быть черной магией, и дополнительные данные репликации никогда не потребуются. В дополнение к этой проблеме есть проблема со скоростью репликации. В загруженном офисе с несколькими филиалами (такая сеть, которая вполне может использовать такие специализированные приложения, работающие в распределенных хранилищах данных, таких как AD) репликация всех этих новых данных означает, что ни один из офисов никогда не увидит последняя информация.

Из-за этих проблем большинство разработчиков приложений отказались от использования AD в качестве хранилища данных приложений. Microsoft стремится изменить это, представляя автономную версию Active Directory, предназначенную для хранения данных приложений. ADAM можно загрузить с веб-сайта Microsoft и установить либо на сервер Windows 2003, либо на рабочую станцию Windows XP. После установки он запускается в контексте назначенной учетной записи, и, поскольку он отделен от Active Directory, расписания репликации можно настроить отдельно. Кроме того, несколько экземпляров ADAM могут работать на одном компьютере, что должно позволить разработчикам и другим пользователям тестировать различные настройки схемы гораздо проще, чем раньше.

Рис. 3: Active Directory, работающая под XP, кто бы мог подумать!

Следует сказать, что Microsoft включила в AD2003 новую функцию Application Directory Partition, которая позволяет создать новый четвертый «логический» раздел, называемый «Приложение». Этот новый раздел создан специально для хранения данных ^{сторонних} программ, поддерживающих AD, и означает, что данные для программ, поддерживающих рекламу, могут храниться вне трех основных разделов и могут иметь отдельные расписания репликации. Это, очевидно, имеет несколько преимуществ подхода ADAM, но с ADAM вы можете запускать несколько экземпляров, что невозможно сделать при обычной установке AD.

Улучшения репликации

Одной из областей, о которой люди говорят больше всего, является трафик репликации. Microsoft уже давно известна своими программами-раздутиями, приложениями, которые кажутся излишне большими в файловом отделе, и они усердно работали, пытаясь сократить объем данных, перемещаемых по сетевым ссылкам во имя репликации AD.

Один из наиболее очевидных примеров новых улучшений в методах репликации можно увидеть в форме репликации связанных значений. Некоторым эта новая функция покажется логичной, но она была очень востребована в Active Directory 2000. Репликация связанных значений позволяет реплицировать отдельные значения многозначных атрибутов между серверами, так что, например, при добавлении нового члена в группа безопасности, содержащая 1000 пользователей, реплицируется только один новый пользователь. Ранее все значения в многозначных атрибутах были реплицированы, так что все 1000 участников должны были быть реплицированы, чтобы только один новый пользователь был включен в группу. Даже в моей нынешней небольшой сети с тремя филиалами и 6 серверами это может иметь большое значение. Кстати, Microsoft теперь удалила максимальное ограничение объектов в группе, которое было установлено на 5000. Теперь вы можете иметь бесконечное количество участников в группе.

Учитывая пропускную способность, Microsoft также включила «кэшированные учетные данные». Кэшированные учетные данные позволяют пользователям в удаленных филиалах, в которых работает контроллер домена, входить в систему даже без подключения к серверу глобального каталога. Даже несмотря на то, что современные выделенные линии и каналы wan гораздо надежнее, чем когда-то, и время безотказной работы оценивается в районе 99,99%, они по-прежнему выходят из строя, и если учесть, что множество небольших удаленных офисов подключены через ту или иную форму фиксированных DSL, вы можете понять, почему все, что позволяет пользователям работать, когда линия не работает, было бы большим благом.

Последнее улучшение, которое можно отнести к категории экономии полосы пропускания, — это «Установка реплики с носителя». Я уверен, вы согласитесь, что это броское название! Проще говоря, это позволяет вам установить копию базы данных Active Directory через сетевую копию, компакт-диск или любой другой носитель, а не полагаться на репликацию по сети. Представьте, если хотите, что вы находитесь в удаленном филиале и устанавливаете новый контроллер домена. Соединение с филиалом представляет собой низкоскоростную выделенную линию или, возможно, форму DSL (которая может быть не самой надежной из зверей), и вы знаете, что репликация AD займет некоторое время. Торопясь двигаться дальше, вы достаете копию базы данных AD на компакт-диске или DVD-диске из своего набора трюков и устанавливаете ее за считанные минуты. Казалось бы, мы задыхаемся от новых функций экономии полосы пропускания, что в целом неплохо.

Хотя я надеюсь, что после прочтения этой статьи вы согласитесь со мной в том, что Active Directory 2003 имеет некоторые существенные улучшения по сравнению с предыдущей версией, все еще есть несколько областей, в которые можно было бы внести улучшения в будущем. Active Directory является важной и сложной частью любой сети, и поэтому дополнительные средства для документирования схемы любой установки Active Directory были бы очень полезны. Что еще более важно, необходимы более совершенные инструменты в области мониторинга состояния здоровья. На рынке есть несколько хороших инструментов для мониторинга и оценки вашей установки Active Directory, но они часто обходятся дорого. Пришло время, чтобы такие инструменты, по крайней мере, базовые их версии, были доступны даже при самых минимальных установках.

Если судить по текущей версии, будущее Active Directory многообещающе.

Оливер Маршалл