Главная
страница 1 ... страница 5страница 6страница 7страница 8

Публикация


Публикация – это акт создания объектов в каталоге, либо непосредственно содержащих данные, которые необходимо сделать доступными, либо предоставляющих ссылку на данные, которые необходимо сделать доступными. Например, объекты-пользователи содержат полезную информацию о пользователях, например, их номера телефонов и адреса электронной почты, а объект-том содержит ссылку на общий том файловой системы.

Когда выполняется публикация


Данные следует публиковать в службе каталогов Active Directory, если они полезны или интересны значительному числу пользователей и требуется сделать их широко доступными.

Данные, публикуемые в службе каталогов Active Directory, должны обладать следующими двумя основными свойствами.



  • Эти данные должны быть относительно статичными и меняться достаточно редко. Примером таких относительно статичных данных, подходящих для публикации, являются номера телефонов и адреса электронной почты. Выбранное в настоящий момент пользователем сообщение электронной почты – пример очень часто меняющихся данных.

  • Такие данные должны быть структурированными и допускать представление в виде набора отдельных атрибутов. Рабочий адрес пользователя является примером структурированных данных, подходящих для публикации; аудиоклип с записью голоса пользователя является примером неструктурированных данных, более подходящих для файловой системы.

Данные рабочей среды, используемые приложениями, являются идеальным кандидатом на публикацию в службе каталогов Active Directory. Они включают в себя данные о глобальной конфигурации, которые применимы ко всем экземплярам какого-либо конкретного приложения. Например, реляционная база данных может хранить используемую по умолчанию конфигурацию серверов базы данных как объект службы каталогов Active Directory. Новые установки этой системы могут брать данные об этой используемой по умолчанию конфигурации из указанного объекта, что упрощает процесс установки и повышает единообразие этих установок на предприятии.

Приложения могут также публиковать в каталоге свои точки подключения. Точки подключения служат в качестве места, где осуществляются «встречи» клиента и сервера. Служба каталогов Active Directory определяет архитектуру для управления интегрированной службой с использованием объектов пункт управления службой и обеспечивает стандартные точки подключения для приложений, использующих RPC, Winsock и COM. Приложения, не использующие интерфейсы RPC или Winsock для публикации своих точек подключения, могут явно публиковать в каталоге объекты точек подключения служб.

В каталоге можно публиковать также данные приложений, используя объекты, специфичные для приложений. Специфичные для приложений данные должны удовлетворять изложенным выше критериям. А именно: данные должны представлять интерес для большинства пользователей, быть относительно постоянными и структурированными.

Как выполнять публикацию


Средства публикации зависят от используемого приложения или службы.

  • RPC. Приложения, использующие RPC, пользуются интерфейсами API семейства RpcNs* для публикации в каталоге своих точек подключения и для запроса опубликованных точек подключения других служб.

  • Windows Sockets. Приложения, использующие Windows Sockets, пользуются интерфейсами API семейства регистрации и разрешения, доступные посредством Winsock 2.0, для публикации в каталоге своих точек подключения и для запроса опубликованных точек подключения других служб.

  • DCOM. Службы DCOM публикуют свои точки подключения при помощи хранилища DCOM Class Store, находящегося в службе каталогов Active Directory.

Группы


В системе Windows 2000 введены новые свойства групп.

  • Группы могут рассматриваться как списки рассылки, если установлена последняя основная версия сервера Exchange.

  • Группы могут включать членов, не участвующих в системе безопасности (это важно в тех случаях, когда группа используется и для целей безопасности, и как список рассылки).

  • Использование групп в системе безопасности может быть отключено (это важно в том случае, когда группа используется только как список рассылки).

  • Группы могут быть вложенными.

  • Вводится новый тип группы – универсальная группа.

Универсальная группа – это простейшая форма группы. Универсальная группа может появиться в списках ACL в любой точке леса и может содержать другие универсальные группы, глобальные группы и пользователей из любого сегмента леса. В сетях небольшого масштаба можно использовать только универсальные группы и не использовать глобальные и локальные группы.

Глобальная группа может появиться в списках ACL в любом сегменте леса. Глобальная группа может содержать пользователей и другие глобальные группы из своего домена.

Локальная группа домена может быть использована в списках ACL только в своем собственном домене. Локальная группа домена может содержать пользователей и глобальные группы из любого домена леса, универсальные группы и другие локальные группы домена из своего собственного домена.

Эти три типа групп создают богатую и гибкую среду управления, одновременно снижая связанный с репликацией трафик глобального каталога (GC), вызванный изменениями членства в группах. Универсальная группа включается в GC, но она будет содержать в основном глобальные группы из доменов леса. Если созданы глобальные группы, то членство в универсальной группе будет меняться нечасто. В GC отображаются глобальные группы, но не их члены. Изменение членства в глобальных группах не реплицируется вне тех доменов, где эти группы определены. Локальные группы доменов действуют только в домене, где они определены, и вообще не отображаются в GC.

Миграция



В данном разделе представлен обзор миграции в новую систему с предыдущих версий системы Windows NT. Более подробно миграция рассматривается в нескольких отдельных документах, которые можно найти по адресу http://www.microsoft.com/ntserver.

Поддерживаемые способы обновления


Можно обновить системы Windows NT версий 3.51 и 4.0 непосредственно до Windows 2000. Системы Windows NT версий 3.1 и 3.5 перед обновлением до Windows 2000 должны быть обновлены до системы NT версии 3.51 или 4.0. Установка системы Windows 2000 заново может быть выполнена на любой системе, указанной в списке Windows 2000 Hardware Compatibility List («Список аппаратной совместимости Windows 2000»).

Контроллеры доменов


Контроллеры доменов хранят копию каталога. В системах Windows NT версий 3.51 и 4.0 существуют два вида контроллеров доменов – основные контроллеры доменов (PDC – Primary Domain Controllers) и резервные контроллеры доменов (BDC – Backup Domain Controllers). Основные контроллеры доменов хранят копию, доступную для чтения и записи, а резервные контроллеры доменов хранят копию, доступную только для чтения.

В системе Windows 2000 все контроллеры доменов любого данного домена хранят копию каталога, доступную для записи. Различий между основными и резервными контроллерами нет – все контроллеры доменов являются одинаковыми.

Для миграции домена системы Windows NT версий 3.51 или 4.0 в систему Windows 2000 необходимо сначала обновить основной контроллер домена до системы Windows 2000. При этом пользователи и группы из каталога домена автоматически загружаются в службу каталогов Active Directory. В рамках процесса обновления необходимо указать, что будет представлять собой этот домен:


  • корень нового дерева в новом лесу;

  • корень нового дерева доменов в существующем лесу;

  • дочерний домен существующего дерева доменов.

В этот момент домен представляет собой смешанный домен. Для управления этим доменом можно использовать средства администрирования Windows 2000, а также создать в каталоге иерархическую структуру папок организационных подразделений для делегирования административных полномочий. Резервные контроллеры доменов, серверы-члены домена и клиенты не меняются и не извещаются о том, что с этого момента роль основного контроллера домена играет сервер службы каталогов Active Directory.

Для миграции резервных контроллеров доменов каждый из них следует обновить до системы Windows 2000. В процессе обновления распознается резервный контроллер домена, он автоматически устанавливается как реплика службы каталогов Active Directory и вносится в топологию репликации. Когда на всех контроллерах домена будет установлена система Windows 2000, домен перестанет быть смешанным доменом и с этого момента появится возможность поддержки вложенных групп.


Серверы-члены домена


Для миграции серверов-членов домена их следует обновить до системы Windows 2000. Локальные пользователи и локальные группы хранятся в реестре сервера-члена домена и не переносятся в службу каталогов Active Directory. Обновление сервера-члена домена до Windows 2000 позволяет включить его в систему безопасности Kerberos, добавляет поддержку приложений, работающих со службой каталогов Active Directory, а также добавляет такие средства, как консоль управления MMC, оболочку, поддерживающую службу каталогов Active Directory, и общие диалоговые окна.

Клиенты


Для миграции клиентских рабочих станций, использующих систему Windows NT Workstation, их следует обновить до системы Windows 2000 Professional. Миграция клиентов на базе Windows 95 может быть произведена путем установки сервисного пакета, содержащего дополнительные программные компоненты, необходимые для работы со службой каталогов Active Directory. Обновление клиента дает возможность включить его в систему безопасности Kerberos, добавляет поддержку приложений, работающих со службой каталогов Active Directory, оболочку, поддерживающую службу каталогов Active Directory, и общие диалоговые окна.

Учетные записи пользователей


Когда основной контроллер домена предыдущей версии (3.51 или 4.0) обновляется до Windows 2000, учетные записи пользователей переносятся в Active Directory и помещаются в контейнер с именем Users в корне домена.

Учетные записи компьютеров


Когда основной контроллер домена предыдущей версии (3.51 или 4.0) обновляется до Windows 2000, учетные записи компьютеров переносятся в Active Directory и помещаются в контейнер с именем Computers в корне домена.

Глобальные группы


Когда основной контроллер домена предыдущей версии (3.51 или 4.0) обновляется до Windows 2000, группы переносятся в Active Directory и помещаются в контейнер с именем Users в корне домена. Встроенные группы находятся в специальном контейнере с именем Built-in.

часто задаваемые вопросы


Каким образом рабочая станция обнаруживает свой сайт?
Рабочая станция обнаруживает свой сайт, представляя свою подсеть первому найденному серверу службы каталогов Active Directory. Подсеть она находит, налагая свою маску подсети на свой адрес IP. Маска подсети и адрес IPO могут быть назначены посредством протокола DHCP или настроены статически. Первый сервер, к которому обратилась рабочая станция, использует представленную сеть для нахождения объекта-сайта, определяющего тот сайт, в котором находится данная рабочая станция. Если текущий сервер не находится в этом сайте, он извещает рабочую станцию о том, к какому серверу лучше обратиться.

Каким образом рабочая станция находит сервер каталога?


Рабочая станция находит сервер каталога обращением к DNS. Серверы каталога конкретного домена публикуют в DNS записи ресурса SRV с именами следующего вида

LDAP.TCP.<имя домена>

Таким образом, рабочая станция, подключающаяся к Microsoft.com, запросит DNS о записях SRV для LDAP.TCP.Microsoft.com. Из этого списка будет выбран сервер, и к нему произойдет обращение. Этот сервер с помощью сведений о подсети, представленных рабочей станцией, определит оптимальный сервер, как описано в ответе на предыдущий вопрос.

Как пользователю войти в систему?


Чтобы войти в систему Windows 2000 Professional, пользователь может применять различные имена различного формата. Среди них – форматы имен, поддерживаемые интерфейсом прикладного программирования DsCrackNames системы Win32®, которые используются для разбора имен в этих форматах.

  • Имя домена NETBIOS и имя SAM-Account-Name – это имя для входа в систему в стиле Windows NT 4.0. Имя домена NETBIOS – это имя, которое домен имел до миграции. Имя SAM-Account-Name – это имя учетной записи пользователя до миграции.

  • Основное имя пользователя – это имя в формате <дружественное_имя>@<имя_домена_dns_разделенное_точками>. Если такое имя не уникально, попытка входа приведет к ошибке Unknown User («Неизвестное имя пользователя»).

Что происходит со списками управления доступом к ресурсам домена после проведения миграции?


Переход не затрагивает списки управления доступом непосредственно. Если миграция всех доменов Windows NT 3.51 и Windows NT 4.0 производится на одном и том же месте, то с точки зрения ACL ничего не меняется.

Если же переместить сервер из ресурсного домена в организационное подразделение, расположенное в домене с перенесенными учетными записями, и удалить исходный домен, понадобится редактирование всех списков ACL, содержащих элементы ACE, указывающие на удаленный теперь домен. Но это не связано с переходом на систему Windows 2000: если удалить домен в любой версии Windows NT, идентификаторы безопасности, назначенные этим доменом, становятся недействительными.

Чтобы уменьшить объем работы, связанной с корректировкой ресурсов в списках ACL, следует поступать следующим образом: если есть ресурсный домен в системе Windows NT версий 3.51 или 4.0 и планируется заменить его организационным подразделением, а затем удалить в системе Windows 2000, не следует помещать группы из этого ресурсного домена в списки ACL. Заметьте, что это не относится к локальным группам, определенным на серверах-членах домена – это касается только групп, определенных на контроллерах доменов.

Корпорация Майкрософт собирается в будущем предоставлять в рамках системы Windows 2000 средства, помогающие корректировать списки ACL по отношению к ресурсам.


Что происходит со списками ACL при удалении домена?


При создании группы в домене она получает идентификатор безопасности (SID – Security Identifier), назначенный этим доменом. При помещении этого SID в какой-либо список ACL он дает доступ пользователям, имеющим этот идентификатор SID у себя в маркере. Идентификатор SID заносится в маркере пользователя при входе в домен, который назначил этот SID. Это может происходить незаметно для пользователя при входе в сеть.

При корректировке списка ACL вызывается интерфейс API LookupAccountName с этим идентификатором SID. Если удалить назначивший этот SID домен, в списке групп и пользователей для ACL появятся слова Unknown User («Неизвестный пользователь»). Это происходит в системах Windows NT 3.51 и Windows NT 4.0 при удалении домена или связи доверия.


Что происходит с локальными группами?


Ответ состоит из двух частей.

  • Часть 1. Локальные группы на серверах-членах домена. Локальные группы на сервере-члене домена остаются локальными. Они существуют только в базе SAM сервера-члена домена и не переносятся в службу каталогов Active Directory. Обычное применение локальной группы на сервере-члене домена – хранение глобальных групп из доменов учетных записей. Администратор сервера помещает локальную группу в списки ACL, указывающие на ресурсы сервера, и добавляет глобальную группу к этой локальной группе. В системе Windows 2000 этот принцип не изменяется. Единственная разница состоит в том, что глобальные группы становятся обычными группами и публикуются в службе каталогов Active Directory.

  • Часть 2. Локальные группы на контроллерах PDC и BDC. Резервные контроллеры доменов содержат реплики базы SAM, доступные только для чтения. При создании локальной группы на резервном контроллере операция создания выполняется дистанционно на основном контроллере домена и ее результаты реплицируются обратно на все резервные контроллеры домена. Семантически эти локальные группы идентичны локальным группам на сервере-члене домена, но они существуют на основном контроллере домена и на всех резервных контроллерах домена. При миграции на Windows 2000 процесс обновления создает объект локальной группы домена в службе каталогов Active Directory для каждой из них.

Когда производится поиск глобального каталога?


Поиск глобального каталога инициируется одним из следующих способов.

  • Осуществляется поиск LDAP, производимый в поддереве или на одном уровне, имеющем неопределенный корневой DN (корень пространства имен). В результате создается ссылка на глобальный каталог.

  • При помощи прямой ссылки на порт каталога GC в какой-либо реплике GC (хотя такой подход не характерен для клиентских приложений).

  • При помощи явной ссылки на провайдера каталога GC ADSI (GC://).

Обязательно ли использовать сервер DNS корпорации Майкрософт?


Нет. Использование сервера Microsoft DNS дает значительные преимущества, но работать будет и любой другой RFC-совместимый сервер DNS. Рекомендуется использовать динамическую систему DNS, потому что при использовании любого сервера динамической DNS, серверы службы каталогов Active Directory могут автоматически регистрировать в DNS необходимые записи. Статические серверы DNS тоже работают не хуже, но регистрация в DNS для каждого сервера службы каталогов Active Directory должна при этом выполняться вручную.

Какие преимущества дает использование сервера DNS корпорации Майкрософт?


Сервер DNS, включенный в состав Windows 2000, является RFC-совместимой и BIND-совместимой реализацией динамической системы DNS. Это естественная реализация для Windows 2000, а не способ переноса общедоступной реализации BIND. Сервер Microsoft DNS хранит зоны DNS, с которыми имеет право работать в пределах службы Active Directory. Данные DNS между серверами Microsoft DNS реплицируются с помощью репликаций службы Active Directory, а не передач Zone Transfer. Сервер Microsoft DNS поддерживает стандартную возможность DNS Zone Transfer для взаимодействия с другими серверами DNS.

Что произойдет с сервером DHCP?


Сервер DHCP для Windows 2000 в основном не изменился. Клиент DHCP работает с DNS и использует услуги динамической системы DNS для регистрации адресов, выданных DHCP непосредственно в DNS. Клиент DHCP будет также производить регистрацию на сервере WINS, если сервер DHCP указывает на сервер WINS.

Что произойдет с сервером WINS?


Сервер WINS в системе Windows 2000 не изменился. Клиентам Windows 2000 (и клиенты Windows 95 с установленным обновлением службы Active Directory) больше не нужно использовать пространство имен NETBIOS. Для клиентов предыдущих версий по-прежнему требуется сервер WINS для нахождения серверов (и наоборот – для поиска клиентов предыдущих версий). Когда на предприятии не останется клиентов предыдущих версий, сервер WINS может быть отключен.

Дополнительные сведения



Последние сведения о системе Windows 2000 Server можно найти в Интернете по адресу http://www.microsoft.com/ntserver, а также в форуме Windows NT Server Forum сети Microsoft (GO MSNTS).

1 RFC 2136.

2 Эта схема определяет много полезных свойств; эти два особенно полезны при поиске.

3 Протокол LDAP версии 3 (RFC 2251) на момент составления этого документа (8/12/98) является предлагаемым стандартом.

4 Интерфейс ADSI обеспечивает общий доступ ко многим каталогам, в том числе ко всем каталогам LDAP, Windows NT 4.0, NetWare 3.x и NetWare 4.x.

5 Эти примеры ACE приведены только для иллюстрации – фактический синтаксис записи ACE будет отличаться от приведенного в этом примере.

6 «Высокая пропускная способность» означает в данном контексте скорость передачи данных Ethernet (10 Мбит/c) или выше.

7 Идентификаторы OID используются и во многих других приложениях, но наиболее известны они своим применением в приложениях службы каталогов.

8 Международная организация стандартов (ISO) ведет список организаций-членов на своем веб-узле по адресу http://www.iso.ch

<< предыдущая страница  
Смотрите также:
Служба каталогов Active Directory техническое описание
479.65kb.
8 стр.
Лекция №10. Служба Active Directory Знакомство с Active Directory
329.56kb.
1 стр.
Курс ms-2279 Планирование, внедрение и поддержка инфраструктуры Microsoft Windows Server 2003 Active Directory
32.75kb.
1 стр.
Active Directory ldap-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows nt
79.52kb.
1 стр.
Лекция №11. Основы администрирования Active Directory
261.2kb.
1 стр.
Лабораторная работа Развертывание инфраструктуры Active Directory в Windows Azure
193.93kb.
1 стр.
Техническое задание на построение системы единой службы каталогов
158.17kb.
1 стр.
Конкурс «Модернизация Active Directory для цв протек»
87.04kb.
1 стр.
Учебный центр arbyte · arbyte training Center
45.97kb.
1 стр.
Установка и настройка Windows Server 2003. Служба каталогов Active Directory. Установка и настройка Windows Server 2003
80.27kb.
1 стр.
Техническое задание на создание системы единого каталога на основе Microsoft Active
108.46kb.
1 стр.
Обзор служб федерации Active Directory в Windows Server 2003 R2
303.25kb.
1 стр.