IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

Windows 2000 Server.

Architektura i implementacja.
Czarna ksiga
Autor: Morten Strunge Nielsen
Tumaczenie: Adam Jarczyk
ISBN: 83-7197-500-7
Tytu oryginau: Windows 2000 Server Architecture
and Planning
Format: B5, stron: 830
Kada osoba z praktyczn znajomoci Windows NT bdzie moga zyska na
informacjach zawartych w tej ksice. Lecz prosz nie wprowadzi si w bd.
Ta ksika jest napisana z myl o profesjonalistach z brany komputerowej.
Stratedzy, planici i projektanci technik informatycznych, jak rwnie obecni
administratorzy z praktycznym dowiadczeniem z Windows NT skorzystaj
z tej ksiki najwicej.
Ksika ta moe rwnie pomc przy ubieganiu si o tytu Microsoft Certified Systems
Engineer (MCSE), poniewa obejmuje peny program egzaminw Microsoft Certified
Professional 70-219 Designing a Microsoft Windows 2000 Directory Services
Infrastructure (Projektowanie infrastruktury usug katalogowych Microsoft Windows
2000) oraz 70-222 Upgrading from Microsoft Windows NT 4.0 to Microsoft
Windows 2000 (Modernizacja z Microsoft Windows NT 4.0 do Microsoft
Windows 2000).
Naley jednak podkreli, i gwnym zadaniem tej ksiki jest dostarczenie
Czytelnikowi wiedzy teoretycznej i przykadw potrzebnych, by przej bezpiecznie
planowanie i projektowanie Active Directory. Wobec tego jest cakiem moliwe,
i Czytelnik bdzie w stanie zda dwa wspomniane powyej testy studiujc jedynie
uwanie t ksik. Lecz dla pewnoci mona uzupeni t ksik stosownymi kursami
Exam Cram, poniewa Microsoft zwykle z upywem czasu udoskonala swoje egzaminy
MCP -- za kursy Exam Cram pozwol pozna dokadne curriculum i zmierzy si ze
spor liczb moliwych pyta.

O Autorze ............................................................................................................11
Wstp..................................................................................................................13

Cz I Przegld ................................................................................ 19
Rozdzia 1. Przegld rynku....................................................................................21
Microsoft jest wszdzie........................................................................................................... 22
NT a Windows 9.x .................................................................................................................. 23
Windows 2000 Server dla systemw high-end....................................................................... 26
W poszukiwaniu nowych moliwoci rynkowych ................................................................. 27
Nowa mantra Microsoftu Digital Nervous Systems .......................................................... 29
Wszystko prowadzi do Windows 2000 Server ....................................................................... 31
Rozdzia 2. Windows 2000 w skrcie ....................................................................33
Windows 2000 jest ogromnym nowym produktem................................................................ 33

Cz II Planowanie ........................................................................... 57
Rozdzia 3. Wprowadzenie do usug katalogowych .................................................59
Co skada si na usug katalogow?...................................................................................... 60
Dzisiejsze usugi katalogowe .................................................................................................. 70
Rozdzia 4. Podstawy Active Directory ..................................................................77
Active Directory wchodzi na scen ........................................................................................ 78
Podstawowe definicje usug katalogowych ............................................................................ 79
Domeny logiczny podzia katalogu na partycje................................................................. 83
Jednostki organizacyjne logiczny podzia domen.............................................................. 87
Wykaz globalny kolejna kluczowa funkcja Active Directory ........................................... 87
Kontrolery domen i lokacje fizyczne skadniki katalogu .................................................. 88
Kluczowe funkcje Active Directory ....................................................................................... 90
Jak Active Directory mieci si w architekturze systemu Windows 2000 Server.................. 94
Active Directory podsumowanie ....................................................................................... 97
Rozdzia 5. Kluczowe pojcia Active Directory.......................................................99
Domeny i jednostki organizacyjne.......................................................................................... 99
Drzewa i lasy......................................................................................................................... 101
Jak poczy ze sob te wane skadniki .............................................................................. 103
DNS i LDAP ......................................................................................................................... 107
Wykaz globalny .................................................................................................................... 110
Strona fizyczna Active Directory: lokacje i DC ................................................................... 111

Windows 2000 Server. Architektura i implementacja. Czarna ksiga

Kilka sw o replikacji .......................................................................................................... 115

Typy nazw i konwencje nazewnicze w Active Directory..................................................... 117
Elementy struktury logicznej Active Directory .................................................................... 119
Zabezpieczenia Active Directory.......................................................................................... 121
Podsumowanie ...................................................................................................................... 123
Rozdzia 6. Ustalenie struktury usug katalogowych na potrzeby organizacji .........127
Kilka sw o zespole planujcym wdroenie........................................................................ 127
Okrelenie cech charakterystycznych organizacji ................................................................ 129
Co jest potrzebne i dlaczego ................................................................................................. 147
Idziemy dalej ......................................................................................................................... 148
Rozdzia 7. Ustalenie struktury DNS....................................................................149
Przykad ustawie usugi DNS w Active Directory ............................................................. 150
Od usugi WINS do DDNS ................................................................................................... 151
Wprowadzenie do Systemu Nazw Domen............................................................................ 153
DDNS i inne nowe funkcje DNS-u....................................................................................... 173
Projekt DNS-u w skrcie ...................................................................................................... 186
Zalecane etapy projektowania DNS-u .................................................................................. 205
Do roboty! ............................................................................................................................. 206
Rozdzia 8. Planowanie struktury domeny............................................................209
Im prociej, tym lepiej........................................................................................................... 210
Jak zbudowana jest domena .................................................................................................. 213
Podstawy jednostek organizacyjnych ................................................................................... 215
Podsumowanie pojcia OU ................................................................................................... 216
Jednostki organizacyjne kontra domeny ............................................................................... 220
Projektowanie struktury OU ................................................................................................. 222
Typowe modele OU .............................................................................................................. 223
Planowanie struktury OU...................................................................................................... 229
Kilka rad dotyczcych projektu OU...................................................................................... 234
Przykady projektw OU....................................................................................................... 235
Najwaniejsze wskazwki .................................................................................................... 238
Kilka sw na sam koniec ..................................................................................................... 241
Rozdzia 9. Planowanie zarzdzania uytkownikami i grupami...............................243
Wprowadzenie do zarzdzania kontami uytkownikw....................................................... 244
Konto uytkownika ............................................................................................................... 250
Konto grupy wprowadzenie ............................................................................................. 258
Grupy domylne .................................................................................................................... 266
Strategie grup ........................................................................................................................ 281
Najwaniejsze wskazwki .................................................................................................... 287
Uytkownicy i grupy w skrcie ............................................................................................ 289
Rozdzia 10. Planowanie zasad grup i delegowania administracji..........................291
Delegowanie administracji.................................................................................................... 292
Wprowadzenie do zasad grup ............................................................................................... 294
Szczegy zasad grup ............................................................................................................ 302

Spis treci

O co w tym wszystkim chodzi: planowanie.......................................................................... 309

Obszar zarzdzania................................................................................................................ 311
Optymalizacja wydajnoci .................................................................................................... 321
Optymalizacja zarzdzania.................................................................................................... 322
Najwaniejsze wskazwki .................................................................................................... 323
Zasady grup w skrcie .......................................................................................................... 325
Rozdzia 11. Planowanie drzew domen i lasu .......................................................327
Najlepsze rozwizanie pojedyncza domena..................................................................... 328
Drzewo domen i las wprowadzenie ................................................................................. 329
Krok po kroku ....................................................................................................................... 332
Zabieramy si do projektowania struktury domen................................................................ 335
Ustalenie liczby domen potrzebnych organizacji ................................................................. 337
Definiowanie przestrzeni nazw domen ................................................................................. 341
Przykad projektu domeny .................................................................................................... 346
Najwaniejsze wskazwki .................................................................................................... 348
Ostatnie sowa ....................................................................................................................... 349
Rozdzia 12. Planowanie struktury fizycznej.........................................................351
Kontrolery domen, wykazy globalne i lokacje wprowadzenie........................................ 352
Wicej o replikacji ................................................................................................................ 354
Jak odbywa si replikacja...................................................................................................... 357
DC i GC w szczegach ........................................................................................................ 368
Lokacje szczegy ............................................................................................................ 374
Usuga Czas systemu Windows ............................................................................................ 387
Pozostae topologie replikacji: DFS i FRS ........................................................................... 389
Jak projektowa pod ktem waciwoci fizycznych............................................................ 399
Najwaniejsze wskazwki .................................................................................................... 416
Ostatnie sowa ....................................................................................................................... 418
Rozdzia 13. Ocena rezultatw............................................................................421
Wprowadzenie do usug katalogowych ................................................................................ 421
Wprowadzenie do Active Directory ..................................................................................... 424
Gwne pojcia Active Directory ......................................................................................... 424
Planowanie: przez bdy do sukcesu..................................................................................... 433
Planowanie struktur logicznych Active Directory................................................................ 435
Planowanie fizycznych struktur Active Directory ................................................................ 440
Nie zapominajmy o bezpieczestwie.................................................................................... 443
Na sam koniec ....................................................................................................................... 444

Cz III Zaawansowane zagadnienia projektowe.............................. 447

Rozdzia 14. Zaawansowane zagadnienia zabezpiecze5........................................449
Podstawy infrastruktury zabezpiecze.................................................................................. 450
Podstawowy system uwierzytelniania: Kerberos.................................................................. 455
Alternatywa: PKI i Smart Card ............................................................................................. 462
Bezpieczestwo na poziomie sieci: IPSec ............................................................................... 469
Zabezpieczenia na poziomie dyskowym: EFS...................................................................... 474

Windows 2000 Server. Architektura i implementacja. Czarna ksiga

Implementowanie zabezpiecze ........................................................................................... 477

Naprawd wspaniae rozwizanie z kilkoma niedocigniciami.......................................... 484
Rozdzia 15. Planowanie z my6l o serwerze Exchange ........................................487
Wsppraca z serwerem Exchange........................................................................................ 487
Wprowadzenie do Exchange 2000 Server ............................................................................ 507
Przenosiny do Exchange 2000 Server................................................................................... 511
Najwaniejsze wskazwki .................................................................................................... 516
Exchange to jest to!............................................................................................................... 520
Rozdzia 16. Jak projektowa dla innych aplikacji
korzystajcych z Active Directory .....................................................................521
Czym jest integracja? ............................................................................................................ 521
Stan obecny ........................................................................................................................... 527
Integracja oglnego zastosowania ........................................................................................ 530
To (mam nadziej) dopiero pocztek.................................................................................... 535

Cz IV Testy ................................................................................. 537

Rozdzia 17. Implementacja Active Directory.......................................................539
Instalacja Windows 2000 Server........................................................................................... 539
Jak dotd wszystko idzie dobrze........................................................................................... 577
Rozdzia 18. Zaawansowane zagadnienia implementacji Active Directory .............579
Opcje zaawansowane ............................................................................................................ 579
Tworzenie OU dla zasad i delegowania administracji.......................................................... 581
Tworzenie lokacji i definiowanie waciwoci replikacji..................................................... 589
Zapobieganie katastrofom w systemie Windows 2000 Server ............................................. 600
Korzystanie z wanych waciwoci domen i lasw ............................................................ 607
Gwne narzdzia Active Directory...................................................................................... 612
Mieszanka firmowa ............................................................................................................... 621
Rozdzia 19. Zarzdzanie schematem..................................................................623
Schemat w skrcie................................................................................................................. 623
Najwaniejsze klasy obiektw w Active Directory .............................................................. 625
Kiedy modyfikowa schemat................................................................................................ 633
Modyfikacje schematu .......................................................................................................... 637
Jak wprowadza dane masowe.............................................................................................. 652
Najwaniejsze wskazwki .................................................................................................... 657
Spokojnie z aktualizacjami schematu ................................................................................... 659
Rozdzia 20. Sztuka szacowania rozmiarw Active Directory ................................661
Wntrze Active Directory ..................................................................................................... 662
Szacowanie rozmiarw i optymalizacja bazy danych Active Directory .............................. 668
Obcienie replikacjami Active Directory............................................................................ 675
Jak zrozumie i zoptymalizowa zachowanie sieci .............................................................. 680
Najwaniejsze wskazwki .................................................................................................... 691
Podsumowanie ...................................................................................................................... 695

Spis treci

Cz V Miejsce w istniejcej infrastrukturze.................................... 697

Rozdzia 21. Implementacja NT Server 4 z my6l o Active Directory .....................699
Istotne rady dotyczce projektu rodowiska NT Server 4 .................................................... 700
Nudne szczegy TCP/IP ...................................................................................................... 701
Wybr modelu domeny......................................................................................................... 707
Istotne dowiadczenia dotyczce grup i uytkownikw....................................................... 708
Podejcie od strony serwera Exchange ................................................................................. 710
Najwaniejsze wskazwki .................................................................................................... 712
Ostatnia porada...................................................................................................................... 712
Rozdzia 22. Migracja do Active Directory ...........................................................715
Oglne spojrzenie na modernizacj ...................................................................................... 716
Planowanie wstpne: analiza obecnych struktur NT Server................................................. 717
Wybr sposobu migracji domen NT..................................................................................... 719
Opracowanie planu odzyskiwania ........................................................................................ 727
Kiedy przej w tryb macierzysty ......................................................................................... 730
Podstawy migracji i scalania domen..................................................................................... 731
Zapoznanie z narzdziami..................................................................................................... 735
Migracje metod czystej kartki ............................................................................................. 740
Modernizacje w miejsce........................................................................................................ 742
Najwaniejsze wskazwki .................................................................................................... 752
Wykonanie faktycznej modernizacji..................................................................................... 753
Rozdzia 23. Wspistnienie w 6rodowiskach innych producentw
i migracja z nich...............................................................................................755
Jaka jest strategia integracji Microsoftu................................................................................ 756
Cel nr 1. Udostpnienie pojedynczego podpisu.................................................................... 758
Cel nr 2. cilejsza integracja ............................................................................................... 765
Obecny stan rzeczy ............................................................................................................... 767
Migracja i wspistnienie dzisiaj........................................................................................... 781

Dodatki............................................................................................ 783
Dodatek A Poradnik projektanta implementacji Windows 2000 Server .................785
Dodatek B Przykady projektw Active Directory .................................................803
Skorowidz...............................................................................................................821

Rozdzia 4.

Jak zostao stwierdzone w rozdziale 3., w wikszoci przedsibiorstw informacje o osobach, aplikacjach i zasobach s rozrzucone po caej infrastrukturze sieciowej. Niemal
wszystkie istniejce systemy operacyjne i aplikacje, od poczty elektronicznej do systemw planowania zasobw przedsibiorstwa (ERP Enterprise Resource Planning)
posiadaj wasne skadnice danych inaczej katalogi suce do przechowywania
informacji o uytkownikach i zasobach. I poniewa wikszo firm systematycznie
zwiksza liczb uywanych i obsugiwanych aplikacji i platform, liczba rnych magazynw rwnie ronie.
Ten gwatowny rozwj magazynw zmusza przedsibiorstwa do zarzdzania informacjami w wielu rnych miejscach mimo i zawieraj one informacje podwojone i powizane ze sob. Aby zminimalizowa koszty i zwikszy zdolno reakcji na zmiany,
firmy potrzebuj usugi katalogowej na skal caego przedsibiorstwa, ktra udostpnia
uniwersalne miejsce skadowania danych przedsibiorstwa, dostpu do nich i zarzdzania nimi i nie powica funkcjonalnoci aplikacji i systemw operacyjnych. Active
Directory jest ofert Microsoftu w dziedzinie takich usug katalogowych na skal przedsibiorstwa.
Biecy rozdzia zawiera peny przegld kluczowej terminologii Active Directory i zwizki tej usugi z podstawowymi skadnikami Windows 2000 Server. Poziom rozumienia
Active Directory przez Czytelnika powinien wzrosn szybko dziki definicjom najwaniejszych poj i opisom dziaania. W trakcie lektury nastpnych rozdziaw znajomo Active Directory zostanie przeksztacona w wiedz, ktr Czytelnik bdzie mg
wykorzysta do projektowania i planowania wasnych implementacji Active Directory.
Zrozumienie podstawowych poj i terminologii Active Directory przedstawionych
w tym rozdziale jest niezbdne dla planowania rodowiska Windows 2000 Server i stanowi wymg wstpny dla pomylnego przejcia przez cao ksiki. Prosz jednak nie
poddawa si, jeli zawarty w tym rozdziale intensywny kurs terminologii Active
Directory okae si troch przytaczajcy. Nowe pojcia Active Directory wymagaj
nauki (i odwieenia) mnstwa informacji, niezalenie od poziomu dowiadczenia
z systemem NT 4 lub Windows 2000 Server. Z tego powodu nastpny rozdzia rozbuduje definicje najwaniejszych poj Active Directory.

78

Cz II

Planowanie

Active Directory wchodzi na scen

Dwa najbardziej krytyczne aktywa przedsibiorstw w dzisiejszej ekonomii to ludzie i systemy informacyjne. Niestety, z technicznego punktu widzenia, w typowej sieci opartej
na Windows NT 4 zasoby te nie posiadaj o sobie nawzajem absolutnie adnej wiedzy.
Na przykad, za kadym razem, gdy instalowana jest nowa aplikacja lub zatrudniany
jest nowy pracownik, administratorzy musz zazwyczaj utworzy szereg wpisw do
katalogu, aby skojarzy nowego uytkownika z odpowiednimi zasobami. Proste zdarzenia, jak zatrudnienie nowej osoby, mog przeksztaci si w zadanie wymagajce mnstwa pracy wprowadzenie do systemu poczty elektronicznej, systemw ERP, intranetu, systemw dostpu zdalnego i tak dalej. Podobnie, gdy pracownik opuszcza firm,
jako uytkownik musi zosta natychmiast usunity z tych systemw.
Awansy rwnie mog szybko sta si dla administratorw koszmarem, poniewa nie
mona po prostu przecign uytkownikw z jednej domeny Windows NT do innej.
Zamiast tego administrator musi usun promowan osob z jednej domeny i cakowicie odtworzy w innej (za przenoszenie caych grup pomidzy domenami jest o wiele
trudniejsze).
Dane Forester Research pomagaj poj skal tego zadania: przecitna firma z listy
Fortune 1000 posiada ponad 180 odrbnych katalogw w swojej sieci. Wobec tego
w dzisiejszym, szybko zmieniajcym si wiecie pocze, naby, podziaw i reorganizacji zapewnienie, by pracownicy mieli waciwy dostp do zasobw firmy, moe by
prac w penym wymiarze dla armii pracownikw brany informatycznej. Ponadto
techniczne niedostatki NT 4 powoduj nie tylko koszty i podwojenie nakadu pracy
wpywaj te na elastyczno i bezpieczestwo poufnych informacji przedsibiorstwa.
Zjednoczenie katalogw firmy daje znacznie wicej ni tylko zmniejszenie kopotw
z zarzdzaniem, zwikszenie elastycznoci czy eliminacj licznych naturalnych zagroe
bezpieczestwa. Usuga katalogowa klasy przemysowej moe suy jako centralny magazyn do skadowania informacji, majcych wpyw na kady aspekt wydajnoci i funkcjonalnoci sieci przedsibiorstwa. Ten scentralizowany katalog gra zasadnicz rol w obsudze takich zada, jak tworzenie i narzucanie zasad priorytetw w ruchu sieciowym,
zarzdzanie przepustowoci sieci czy kontrola dostpu do danych przedsibiorstwa.
Usuga katalogowa zasadniczo ma szans sta si sercem przedsibiorstwa. I jak wida
z lektury ostatniego rozdziau, system domen Windows NT nie posiada potrzebnej do
tego funkcjonalnoci. Domeny Windows NT 4 maj liczne i dobrze znane niedostatki:
ograniczone typy obiektw, paskie przestrzenie nazw, bizantyjskie relacje zaufania,
trudne API i tak dalej, i tak dalej.
Na szczcie Microsoft oferuje obecnie Active Directory, by zaradzi sabociom domen NT 4. Usuga katalogowa Active Directory jest zawarta w systemie Windows 2000
Server i stanowi rewolucj w porwnaniu z katalogiem zawartym w Windows NT Server 4. Active Directory posiada wiele zalet znanych z Windows NT Server 4 pojedyncze logowanie w sieci, pojedynczy punkt administracji i replikacji oraz pen integracj z systemem operacyjnym Windows 2000. Jednake Active Directory zawiera
w sobie znacznie wicej, ni NT Server 4:

Rozdzia 4.

Podstawy Active Directory

Usuga Active Directory zostaa zbudowana od podstaw z wykorzystaniem

standardowych technologii internetowych; pooono nacisk na bezpieczestwo,
rozproszenie, partycjonowanie i replikacj.

Active Directory zaprojektowano do efektywnej pracy w instalacjach

dowolnych rozmiarw, od pojedynczego serwera zawierajcego kilkaset
obiektw, do tysicy serwerw i milionw obiektw.

Active Directory zaprojektowano do roli narzdzia konsolidacji, tak by

organizacje mogy izolowa, zarzdza centralnie i przenosi utrzymywane
katalogi oraz zmniejsza ich liczb. Powinno to uczyni z Active Directory
idealne dugofalowe podoe dla wspdzielenia informacji w przedsibiorstwie
i oglnego zarzdzania zasobami sieciowymi, obejmujcego aplikacje, sieciowe
systemy operacyjne i urzdzenia korzystajce z katalogu.

79

Podstawowe definicje
usug katalogowych
Przed zagbieniem si w podstawowe pojcia waciwe dla Active Directory, naley
zrozumie kilka podstawowych definicji, wsplnych dla Active Directory i niemal
wszystkich istniejcych obecnie usug katalogowych. Wiele terminw i poj moe
z pocztku wydawa si bardzo abstrakcyjnych, wic przejcie przez cay ten podrozdzia moe wymaga pewnego wysiku lecz okae si to pniej dobr inwestycj.

Obiekty i atrybuty
Obiekt jest oddzielnym, nazwanym zbiorem atrybutw, ktre reprezentuj co konkretnego, na przykad uytkownika, drukark czy aplikacj. Atrybuty (inaczej waciwoci)
zawieraj dane, ktre opisuj podmiot identyfikowany przez obiekt katalogowy. Do
atrybutw uytkownika mog nalee imi, nazwisko i adres poczty elektronicznej, jak
w przykadzie z rysunku 4.1.
Rysunek 4.1.
Przykadowy
obiekt typu konta
uytkownika
i jego atrybuty

Kontener
Kontener jest obiektem, ktry moe zawiera inne obiekty. Podobnie jak katalog
w systemie plikw jest pojemnikiem na dokumenty, kontener w katalogu jest pojemnikiem na obiekty katalogowe.

80

Cz II

Planowanie

Drzewo
Drzewo w caej niniejszej ksice jest pojciem opisujcym hierarchi obiektw. Drzewo prezentuje sposb poczenia obiektw, przedstawiajc cieki od jednego obiektu
do innego. Wyobraenie sobie katalogu plikw moe wikszoci osb pomc zrozumie pojcie (i podstawowe waciwoci) struktury drzewa.
W drzewie punkty kocowe nosz nazw lici (leaf node). W wiecie usug katalogowych wzy te czsto okrelane s pojciem nocontainer object (dos. obiekt niekontener), poniewa nie mog zawiera innych obiektw. Wzy drzewa (punkty odgazie
drzewa) nosz nazw nonleaf node (wze nie bdcy liciem) lub, po prostu, kontenera. Cige poddrzewo (pokazane na rysunku 4.2 wewntrz linii przerywanej) jest dowoln nieprzerwan ciek w drzewie, obejmujc zawarto wszystkich kontenerw
w obrbie tej cieki.
Rysunek 4.2.
Drzewo, w ktrym
cige poddrzewo
oznaczone jest
lini przerywan

Przestrze nazw
Active Directory jest w istocie, podobnie jak kada inna usuga katalogowa, przestrzeni nazw, ktra jest dowoln definiowaln przestrzeni lub kontekstem, w ktrym okrelona nazwa moe zosta rozwizana. Przykady przestrzeni nazw to:
J

Ksika telefoniczna stanowica przestrze nazw, w ktrej nazwiska abonentw

telefonicznych mog by rozwizywane na numery telefonw.

System plikw Windows 2000 Server tworzcy przestrze nazw, w ktrej

nazwa pliku moe by rozwizana na faktyczny plik.

Active Directory tworzy przestrze nazw, w ktrej nazwa obiektu w katalogu moe by
rozwizana na okrelony obiekt. Przestrze nazw definiuje rwnie zakres replikacji.

Konteksty nazewnicze i partycje

Active Directory skada si z jednego lub wicej kontekstw nazewniczych (inaczej
zwanych partycjami). Kontekst nazewniczy jest cigym poddrzewem katalogu i jednostk replikacji (co znaczy, e kady kontekst nazewniczy jest replikowany oddzielnie
i nie zezwala si na replikacje obejmujce mniej ni peny kontekst nazewniczy).

Rozdzia 4.

Podstawy Active Directory

81

Kady serwer Active Directory zawsze zawiera przynajmniej trzy konteksty nazewnicze
(patrz te rysunek 4.3):
J

Kontekst nazewniczy schematu

Kontekst nazewniczy konfiguracji

Jeden lub wicej kontekstw nazewniczych uytkownika (zwanych rwnie

partycj domeny)

Rysunek 4.3.
Katalog Active
Directory jest
podzielony na trzy
odrbne czci

Kontekst nazewniczy schematu

Oglnie mwic, kontekst nazewniczy schematu definiuje, jakie obiekty mog by tworzone w katalogu i jakie atrybuty mona do tych obiektw przydziela. Mwic dokadniej, partycja schematu zawiera zbir wszystkich klas obiektw i atrybutw, jakie mona skadowa w Active Directory. Schemat Active Directory w szczegach wyglda
nastpujco:
J

Kada klasa skada si z listy atrybutw, jakie dana klasa to znaczy,

egzemplarze tej klasy (obiekty) musi lub moe zawiera. Na przykad,
dla obiektu konta uytkownika warto atrybutu First Name (imi) jest
wymagana, podczas gdy warto atrybutu Address (adres) jest opcjonalna.

Kady atrybut jest definiowany za pomoc skadni, ktra pozwala kontrolowa

typy danych, jakie mog by skadowane w kadym atrybucie i opcjonalnie
zakres dopuszczalnych wartoci.

Schemat jest rozszerzalny, co oznacza, i mona dowolnie dodawa nowe klasy

i atrybuty.

Warto zauway, i kontekst nazewniczy schematu Active Directory jest zaimplementowany w postaci zbioru egzemplarzy klas obiektw, zapisanych w bazie danych katalogu. Wiele konkurencyjnych usug katalogowych posiada schemat zapisany w postaci

82

Cz II

Planowanie

pliku tekstowego, wczytywanego przy uruchomieniu. Przechowywanie schematu w bazie danych ma wiele zalet na przykad, aplikacje mog odczytywa schemat, by
ustali, jakie obiekty i waciwoci s dostpne, za schemat Active Directory moe by
aktualizowany dynamicznie.

Kontekst nazewniczy konfiguracji

Kontekst nazewniczy konfiguracji zawiera wszystkie obowizujce globalnie informacje konfiguracyjne Active Directory. I tak, obiekty o zasigu globalnym powinny by
zawsze publikowane w kontekcie nazewniczym konfiguracji, poniewa partycja ta jest
replikowana do kadego kontrolera domeny (DC Domain Controller) w caym lesie.
Domylnie kontekst nazewniczy konfiguracji zawiera informacje o topologii replikacji,
konfiguracji lokacji, ustawienia sposobu wywietlania rnych obiektw Active Directory w interfejsie uytkownika (opcjonalnie pozwala to nawet ustali, jak przedstawia
obiekty w kilku rnych interfejsach uytkownika) oraz konfiguracj szeregu usug
i wzajemnych odnonikw pomidzy rnymi kontekstami nazewniczymi. Oczekuje
si, i przysze aplikacje i usugi zintegrowane z Active Directory bd skadowa spory
odsetek swoich danych w partycji konfiguracji.

Konteksty nazewnicze uytkownikw

Konteksty nazewnicze uytkownikw (inaczej partycje domen) s poddrzewami, ktre
zawieraj faktyczne obiekty katalogowe (prosz pamita, i zakres moliwych typw
obiektw jest zdefiniowany w kontekcie nazewniczym schematu). Kada domena Active
Directory stanowi pojedynczy kontekst nazewniczy uytkownika. Wobec tego kady las
Active Directory bdzie zawsze zawiera przynajmniej jeden kontekst nazewniczy uytkownika (to znaczy, dla pierwszej domeny zdefiniowanej przy tworzeniu katalogu).

Nazwa
Active Directory opiera si na idei reprezentowania kadego obiektu w katalogu przez
wasn nazw. Nazwy uoone s w sposb hierarchiczny, wic mona tworzy cieki
powizane z oryginaln nazw.
Istniej dwa zasadniczo odmienne sposoby adresowania za pomoc nazw:
J

Nazwa wyrniajca (DN Distinguished Name) kady obiekt w Active

Directory posiada DN, identyfikujc (wyrniajc) domen, ktra zawiera
obiekt, oraz pen ciek przez hierarchi kontenerw, prowadzc do obiektu.
Przykadowa DN, identyfikujca obiekt Viggo Mortensen w domenie
Netlog.com (patrz rysunek 4.4) wyglda tak: /O=Internet/DC=COM/DC=
Netlog/CN=Users/CN=Viggo Mortensen

Wzgldna nazwa wyrniajca (RDN Relative Distinguished Name) cz

DN obiektu, bdca atrybutem samego obiektu. W powyszym przykadzie
RDN obiektu uytkownika Viggo Mortensen brzmi CN=Viggo Mortensen.
RDN obiektu nadrzdnego brzmi CN=Users.

Rozdzia 4.

Podstawy Active Directory

83

Rysunek 4.4.
Graficzne
przedstawienie
nazwy wyrniajcej
(DN). Zrozumienie
DN jest konieczne,
aby ustali wzgldn
nazw wyrniajc

Rozwizywanie nazw
Rozwizywanie nazw jest procesem tumaczenia nazwy na jaki typ informacji o obiekcie lub na informacj reprezentowan przez nazw. Active Directory do rozwizywania
nazw uywa usugi dynamicznego systemu nazw domen Dynamic Domain Name
System (DDNS).

Domeny logiczny podzia katalogu

na partycje
Domena jest podstawow jednostk struktury logicznej Active Directory (podobnie jak
w Windows NT Server 4 i wczeniejszych wersjach). Jednake domena Active Directory znacznie rni si od domeny z Windows NT Server.
W Active Directory domena stanowi logiczne zgrupowanie obiektw, zawiera si w niej
rwnie granica replikacji i zabezpiecze. Gwne moliwoci i zalety domen Active
Directory s nastpujce:
J

Kada domena udostpnia funkcjonalno grupowania obiektw (to znaczy,

pozwala za pomoc kontenerw stworzy hierarchi dla obiektw mieszczcych
si w tej domenie), umoliwiajc odzwierciedlenie organizacji firmy.

Kada domena skaduje jedynie informacje o obiektach mieszczcych si

w niej. Przez podzia (partycjonowanie) informacji katalogowych w ten sposb
mona powikszy Active Directory tak, by pomiecia praktycznie tyle
obiektw, ile kiedykolwiek bdzie potrzebne w dowolnym przedsibiorstwie.

Granica domeny jest te granic zabezpiecze. Zasady i ustawienia

zabezpiecze (jak np. uytkownicy, uprawnienia administracyjne i listy kontroli
dostpu) nie przechodz pomidzy domenami. Administrator domeny ma pene
prawa ustanawiania zasad jedynie w granicach wasnej domeny.

Domena moe rozciga si na wicej ni jedn lokalizacj fizyczn.

Wykorzystanie domen jest w istocie czysto logiczn metod podziau katalogu
domeny nie maj adnego wpywu na aspekt fizyczny instalacji, na przykad
na faktyczne rozmieszczanie serwerw i klientw.

84

Cz II

Planowanie

Active Directory moe posiada jedn lub wicej domen. Domeny s poczone ze sob
w jedno lub wicej drzew, ktre stanowi cz lasu. Inaczej mwic, las skada si
z jednego lub wielu drzew, z ktrych kade skada si z jednej lub wielu domen.
Chocia domeny nadal s podstawowymi elementami konstrukcyjnymi Active
Directory, prosz nie myli domen Active Directory w Windows 2000 Server
z domenami NT Server. Domeny Active Directory s cakowicie rne od domen
uywanych w systemie Windows NT Server.

Drzewa
Drzewo domen (lub po prostu drzewo) skada si z kilku hierarchicznie zorganizowanych domen o wsplnym schemacie i konfiguracji, tworzcych cig przestrze nazw.
Domeny w drzewie poczone s ze sob relacjami zaufania. Inaczej mwic, gdy domeny poczone s ze sob relacjami zaufania i posiadaj wsplny schemat, konfiguracj, wykaz globalny i cig przestrze nazw, wwczas tworz drzewo domen.
Najmniejszym drzewem domen jest pojedyncza domena Windows 2000 Server. Drzewa
mona widzie z dwch perspektyw:
J

przestrzeni nazw drzewa domen,

relacji zaufania pomidzy domenami.

Widok przestrzeni nazw

W widoku przestrzeni nazw wszystkie domeny w pojedynczym drzewie maj wspln,
hierarchiczn struktur nazewnicz. Pierwsza domena drzewa nosi nazw domeny gwnej lub korzenia (root) drzewa. Dodatkowe domeny w tym samym drzewie s domenami potomnymi (child domain). Domeny bezporednio ponad innymi nosz nazw domen
rodzicielskich lub domen nadrzdnych (parent domain). Nazwa domeny potomnej skada si z RDN teje domeny dodanej na pocztku nazwy domeny nadrzdnej. Na przykad, hq.acme.com jest domen potomn domeny nadrzdnej acme.com.
Czsto narysowanie drzewa domen na podstawie jego hierarchicznej przestrzeni nazw
moe pomc dokadnie zrozumie drzewo domen. Na przykad, jak na rysunku 4.5,
moemy wykorzysta szkic, by prosto ustali DN obiektu, podajc w gr przestrzeni
nazw drzewa domen.
Rysunek 4.5.
Spojrzenie na
drzewo domen
jako hierarchiczn
przestrze nazw
zawsze pomaga
w zrozumieniu
okrelonego
modelu domen

Rozdzia 4.

Podstawy Active Directory

85

Widok relacji zaufania

Wszystkie domeny w drzewie s automatycznie czone za pomoc dwukierunkowych,
przechodnich relacji zaufania. Active Directory nawizuje relacje zaufania pomidzy
domenami za pomoc protokou zabezpiecze Kerberos. Relacje zaufania Kerberosa s
dwukierunkowe i przechodnie to znaczy, jeli domena A ufa domenie B, za domena
B ufa domenie C, to rwnie domena A ufa domenie C. Takie waciwoci przechodnich zaufa uywanych w Active Directory wydajnie minimalizuj liczb potrzebnych
relacji zaufania pomidzy domenami w porwnaniu z zaufaniami nieprzechodnimi (ktre byy uywane przez Windows NT Server 4 i wczeniejsze wersje), niemal niezalenie od konkretnego zastosowania.
W Active Directory domena, ktra przycza si do drzewa domen, natychmiast otrzymuje relacj zaufania z kad domen w drzewie bez interwencji administratora
poniewa Active Directory automatycznie tworzy przechodnie zaufanie z domen nadrzdn. Poniewa niezbdne relacje zaufania s ustanawiane w drzewie ju na starcie,
wszystkie obiekty we wszystkich domenach s dostpne dla uytkownikw i komputerw z dowolnej domeny w drzewie. Dziki temu nie trzeba definiowa relacji zaufania,
aby uytkownicy byli w stanie za pomoc pojedynczego logowania uwierzytelni si
i uzyska dostp do caej sieci (oczywicie w zalenoci od przywilejw uytkownika).
Podobnie jak rysunek hierarchicznej przestrzeni nazw pozwoli uchwyci zawioci
drzewa domen, rysunek drzewa domen oparty na poszczeglnych domenach i ich wzajemnych zaufaniach pozwoli zrozumie relacje zaufania domen (patrz rysunek 4.6).
Rysunek 4.6.
Rozrysowanie
drzewa domen na
podstawie relacji
zaufania pomaga
w zrozumieniu
penych implikacji
modelu domeny

Las
Las jest zbiorem jednego lub wielu drzew domen, ktre nie tworz cigej przestrzeni nazw
to znaczy, poszczeglne domeny w lesie nie maj wsplnego korzenia, o ile las nie
skada si z tylko jednego drzewa domen. Na przykad, domeny hq.com i sales.com nie
posiadaj ze sob oczywistych zwizkw. Jest to przykad nazw rozcznych, gdzie dwie
domeny nie mog nalee do tego samego drzewa, lecz musz zosta poczone w las.
czenie drzew w las daje nam elastyczno zarwno cigych, jak i rozcznych konwencji nazewniczych. Moe by to przydatne, na przykad, w przedsibiorstwach posiadajcych niezalene oddziay, z ktrych kady musi zachowa wasne nazwy DNS.

86

Cz II

Planowanie

Zaufania stay si przechodnie

Zaufania potrzebne s rwnie w rodowisku Active Directory, aby pozwoli na bezpieczn czno
pomidzy domenami w drzewie oraz pomidzy drzewami domen w lesie. Jednake relacje zaufania s
obecnie automatycznie definiowane pomidzy domenami skadajcymi si na las, w przeciwiestwie
do zaufa dostpnych w poprzednich wersjach NT Server.
Radz zwrci uwag na powane zmiany, wprowadzone przez przechodni, dwukierunkow natur
zaufa w systemie Windows 2000 Server zanim zrobi to kto z nieuczciwymi zamiarami!

Wszystkie drzewa w lesie musz mie wsplne: schemat, konfiguracj i wykaz globalny, oraz widzie pozostae drzewa lasu przez przechodnie, hierarchiczne relacje zaufania podobnie jak w przypadku drzewa domen. Wobec tego jedyn widoczn rnic pomidzy drzewem i lasem jest fakt, i kade drzewo w lesie posiada wasn
unikatow przestrze nazw, zamiast spjnej przestrzeni nazw (dlatego te las bywa czasem okrelany niespjn lub rozczn przestrzeni nazw).
Las istnieje jako zbir obiektw z wzajemnymi odnonikami i relacjami zaufania pomidzy drzewami i domenami. Drzewa domen w lesie tworz na potrzeby zaufa hierarchi;
nazwa drzewa w korzeniu drzewa zaufa (czyli pierwszego drzewa domen utworzonego
w lesie) uywane jest, gdy odnosimy si do okrelonego lasu (patrz rysunek 4.7).
Rysunek 4.7.
Dwa odrbne
drzewa domen
tworz w poczeniu
las, poniewa nazwy
DNS tych drzew
nie maj czci
wsplnych

Inaczej mwic, aby udostpni zasoby w domenie lub drzewie domen innym uytkownikom sieci, wystarczy doczy domen do istniejcego drzewa lub utworzy nowe drzewo domen jako cz istniejcego wczeniej lasu. Gdy domena docza si do
drzewa, tworzone jest zaufanie pomidzy dodawan domen a domen nadrzdn. Gdy
dwa drzewa zostaj skojarzone w las, tworzona jest relacja zaufania pomidzy domenami gwnymi kadego drzewa. Stosowane relacje zaufania s niewidoczne i nie jest
wymagane dalsze zarzdzanie relacjami zaufania. Poniewa drzewa domen poczone
ze sob w las s czone przechodnimi, dwukierunkowymi relacjami zaufania Kerberosa, uytkownicy maj dostp do zasobw w kadej domenie caego lasu.
Prosz jednak zauway, i gwn przewag drzewa domen (czyli cigej przestrzeni
nazw) nad lasem jest fakt, i wyszukiwanie LDAP z wza gwnego przestrzeni nazw
wydajnie przeszukuje ca hierarchi, podczas gdy w lesie mona przeszukiwa jedynie
wykaz globalny i lokalne drzewo domen. Rnica ta jest podstawowym powodem, dla
ktrego naley zawsze dy do tworzenia drzew domen zamiast lasw. Naley wic

Rozdzia 4.

Podstawy Active Directory

87

widzie las jako sposb na osignicie elastycznoci, niezbdnej dla uytecznoci Active
Directory w prawdziwych zastosowaniach jedynie, gdy nie s dostpne adne rozwizania alternatywne. Mwic bardziej wprost, las naley bra pod uwag tylko wtedy,
gdy nie mona wykona okrelonego zadania za pomoc pojedynczego drzewa domen.

Jednostki organizacyjne
logiczny podzia domen
Jednostki organizacyjne (OU Organizational Unit) s jednym z wielu typw obiektw katalogowych, jakie mona tworzy w domenie. Jednake OU jest chyba najwaniejszym rodzajem obiektu katalogowego w domenie, poniewa pozwala utworzy kolejny poziom podziau logicznej przestrzeni nazw.
OU s obiektami typu kontener, mogcymi suy do organizowania obiektw w domenie w logiczne grupy administracyjne. Te kontenery logiczne mog zawiera wiele interesujcych obiektw, na przykad konta uytkownikw, grupy, komputery, drukarki
a nawet inne OU.
Kombinacja domen i OU udostpnia elastyczny sposb na zorganizowanie katalogu pod
ktem najbardziej wydajnego zarzdzania (to znaczy, moemy wprowadzi do struktury
logicznej dwa poziomy hierarchii). Gdy tworzymy OU w obrbie domen, moemy organizowa struktur logiczn na tylu poziomach, ilu chcemy, nadal zachowujc korzyci wypywajce z tworzenia niewielkiej liczby domen i zarzdzania ni.
Co waniejsze, OU udostpniaj model administracyjny, ktry moe zosta sprowadzony do najmniejszych potrzebnych jednostek. I dziki nowym funkcjom delegowania
w Active Directory uytkownicy i grupy mog wykonywa bardzo szczegowe zadania administracyjne, jak np. zmian hase i obsug specjalnych praw w okrelonych
kontenerach, na podstawie przynalenoci do OU. Na przykad, mona przyzna uytkownikowi prawa administracyjne ograniczone do poddrzewa OU, pojedynczej OU lub
nawet do podzbioru obiektw znajdujcych si w pojedynczej OU.

Wykaz globalny kolejna

kluczowa funkcja Active Directory
Active Directory moe skada si z wielu partycji domen (inaczej kontekstw nazewniczych uytkownika), aby wic mc znale kopi partycji, ktra zawiera okrelony
obiekt, trzeba zna wiksz cz DN tego obiektu (wwczas mona dokona wyszukiwania LDAP, aby pobra obiekt, jeli pena nazwa DN nie jest znana).
Czsto jednak uytkownik lub aplikacja nie zna DN obiektu docelowego lub nawet
partycji, w ktrej ten obiekt si mieci. Tu wchodzi do gry wykaz globalny (GC Global Catalog), poniewa pozwala on uytkownikom i aplikacjom znajdowa obiekty
w Active Directory bez koniecznoci kosztownego (i do powolnego) wyszukiwania

88

Cz II

Planowanie

w caym lesie, nawet jeli uytkownik lub aplikacja zna tylko jeden lub kilka atrybutw
docelowego obiektu. Korzystanie z GC pozwala na szybkie odpytywanie o obiekty w caym lesie.
Wykaz globalny jest dobr alternatyw dla penego przeszukiwania, poniewa po prostu
zawiera podzbir atrybutw wszystkich obiektw, znajdujcych si we wszystkich domenach Active Directory caego lasu.
Zadaniem GC jest udostpnienie usugi i magazynu, ktry:
J

Zawiera kopi kadego obiektu domeny w danym lesie Active Directory.

Zawiera podzbir atrybutw obiektu, zdefiniowany przez Microsoft.

Administratorom wolno dodawa atrybuty przeznaczone do zawarcia w GC,
aby zgodnie z potrzebami organizacji najczciej przeszukiwane waciwoci
zostay udostpnione uytkownikom.

Jest tworzony automatycznie przez system replikacji Active Directory.

Kada fizyczna lokacja powinna typowo zawiera przynajmniej jeden lokalnie dostpny
serwer GC, aby pozwoli na lokalny dostp przy wyszukiwaniu informacji o dowolnym
obiekcie w lesie (unikajc w ten sposb marnowania cennej przepustowoci czy). Wyszukiwanie w wykazie globalnym moe zosta zainicjowane w jeden z poniszych sposobw:
J

Przez przeszukiwanie poddrzewa lub pojedynczego poziomu LDAP, zaczte

od pustej DN (poziomu gwnego przestrzeni nazw).

Przez bezporednie odwoanie do portu GC w kopii GC.

Przez bezporednie odwoanie do dostawcy ADSI GC (GC://).

Kontrolery domen i lokacje

fizyczne skadniki katalogu
Jak dotd, wszystkie omawiane terminy i pojcia byy czysto logiczne to znaczy, nie
zwizane w aden sposb z waciwociami fizycznymi, wobec czego nie bray pod
uwag wanych ogranicze fizycznych.
Usuga Active Directory jest przygotowana do warunkw fizycznych dziki dwm
wanym pojciom:
J

Kontrolery domen (DC Domain Controller)

Lokacje (Sites)

Kontrolery domen
Jak ju wspomniano, struktura domen i struktura fizyczna s pojciami niezalenymi.
Pojedyncza domena moe rozciga si na wiele geograficznych lokacji, za pojedyncza lokacja moe zawiera uytkownikw i komputery nalece do wielu domen.

Rozdzia 4.

Podstawy Active Directory

89

Ponadto Active Directory nie wymaga ju rozrnienia pomidzy podstawowymi kontrolerami domen (PDC Primary Domain Controller) i zapasowymi kontrolerami domeny (BDC Backup Domain Controller). W przeciwiestwie do modelu single-master,
uywanego przez Windows NT 3.51 oraz NT 4, zawierajcego PDC i BDC, wszystkie
DC Active Directory s rwnorzdne, za kady DC zawiera zapisywaln kopi katalogu domeny. Kady DC moe zmodyfikowa swoj kopi katalogu, a zmiany w katalogu
dokonane w jednym DC zostan przesane do pozostaych DC w domenie.
Tak wic wszystkie DC, bdce czonkami okrelonej domeny Active Directory, s
zdolne do bezporedniego przyjmowania zmian i replikacji tych zmian w caej domenie.
W ten sposb Active Directory pozbywa si rwnie irytujcego pojedynczego punktu
awarii, istniejcego w modelu replikacji single-master.
W modelu replikacji single-master wszyscy czonkowie domeny (BDC) pod wzgldem
aktualizacji polegaj na pojedynczym DC (PDC). Gdy wic PDC jest nieczynny, nikt
nie bdzie w stanie wprowadzi zmian w domenie (cznie ze zmianami hase),
ani zaktualizowa w BDC zmian, ktre zostay zaimplementowane od ostatniej tury
replikacji.

Ponadto architektura rwnorzdnych kontrolerw pozwala promowa dowolny serwer

autonomiczny lub czonkowski do roli DC Active Directory i vice versa. Tak wic
kady komputer uywajcy Windows 2000 Server moe potencjalnie sta si DC, dziki czemu przenoszenie DC pomidzy domenami jest operacj bardzo prost.
DC moe albo przyczy si do istniejcej domeny, albo sta si pierwszym DC w nowej domenie. DC, ktry przycza si do istniejcej domeny, nazywany jest replik DC,
poniewa otrzymuje kopi katalogu domeny i uczestniczy w replikacji katalogu. Gdy
DC staje si pierwszym DC w nowej domenie, czynno promocji serwera do roli DC
w rzeczywistoci tworzy domen. Domena nie moe istnie, nie posiadajc przynajmniej jednego DC.

Lokacje
Aby zapewni, by replikacje pomidzy DC w okrelonej domenie pasoway do granic
fizycznych (to znaczy, do przepustowoci czy pomidzy lokalizacjami geograficznymi), Active Directory wprowadza pojcie lokacji.
Lokacja (site) jest z definicji miejscem w sieci, ktre zawiera serwery Active Directory
i skada si z jednej lub wielu dobrze poczonych ze sob podsieci TCP/IP. Lokacja
posiada typowo takie same granice, jak sie lokalna (LAN) lecz niekoniecznie musi
tak by.
Gdy uytkownik loguje si, klient Active Directory usiuje znale niezbdne usugi logowania Active Directory w serwerach, znajdujcych si w tej samej podsieci co uytkownik. atwo to osign, poniewa stacja robocza uytkownika ju wie, w jakiej
podsieci TCP/IP si znajduje, za podsieci przekadaj si bezporednio na lokacje Active Directory. Klient bdzie szuka gdzie indziej tylko wtedy, gdy potrzebne usugi nie
bd dostpne w lokacji.

90

Cz II

Planowanie

Kontrolery domen raz jeszcze

Gdy Windows 2000 Server jest instalowany po raz pierwszy, moe zosta albo serwerem
autonomicznym, albo serwerem czonkowskim:
J Serwer autonomiczny jest komputerem z dziaajcym systemem Windows 2000 Server,

ktry nie naley do domeny Windows 2000 Server. Jeli instalujemy serwer w roli czonka
grupy roboczej, zostaje on serwerem autonomicznym.
J Serwer czonkowski to komputer z dziaajcym systemem Windows 2000 Server, ktry jest

czonkiem domeny, lecz nie jest DC Active Directory. Serwery czonkowskie nie otrzymuj
kopii katalogu. S typowo przeznaczone na usugi aplikacji lub zasobw, jak np. serwer
plikw i drukowania, lub serwer faksu.
Windows 2000 Server uywa Kreatora instalacji usugi Active Directory (dawniej noszcego
nazw Domain Controller Promotion Wizard, DCPROMO) w celu promocji serwera autonomicznego
lub czonkowskiego do roli DC, lub w celu degradacji DC do roli serwera autonomicznego lub
czonkowskiego. Prosz te zauway, i Windows 2000 Server ju nie rozrnia PDC i BDC.
W sieciach Active Directory wszystkie DC s rwnorzdne i zawieraj zapisywaln kopi katalogu.

Analogicznie, zdefiniowanie lokacji pozwala rwnie administratorom szybko i atwo

konfigurowa topologi dostpu i replikacji Active Directory tak, by bray poprawnie
pod uwag fizyczne waciwoci sieci.
Jak stacja robocza wykrywa lokacj? Przedstawiajc swoj podsie (to znaczy,
nakadajc mask podsieci na swj adres IP) pierwszemu serwerowi Active Directory,
z ktrym nawie kontakt. Ten pierwszy serwer wykorzystuje przedstawion podsie,
aby znale> obiekt lokacji (Site Object) dla lokacji, w ktrej mieci si stacja robocza.
Jeli biecy serwer nie znajduje si w tej lokacji, wwczas powiadamia stacj
robocz o serwerze lepiej nadajcym si do wykorzystania.

Kluczowe funkcje Active Directory

Do pozostaych funkcji, niezbdnych do penego zrozumienia funkcjonalnoci Active
Directory, nale: integracja usugi DNS, zabezpieczenia protokou Kerberos, protokoy
poczeniowe pozwalajce na dostp do informacji katalogowych i replikacja. Kada
z tych funkcji jest decydujca dla uruchomienia i eksploatacji Active Directory. To znaczy, nie wszystkie trzeba bra pod uwag podczas faktycznego projektowania struktur
Active Directory, lecz administratorzy systemu Windows 2000 Server musz je waciwie rozumie, aby utrzyma Active Directory na chodzie.

Integracja usugi DNS

Usuga Active Directory jest blisko zintegrowana z systemem nazw domen (DNS
Domain Name System). DNS jest rozproszon przestrzeni nazw, wykorzystywan
w Internecie do rozwizywania nazw komputerw i usug na adresy TCP/IP. Wikszo
firm posiadajcych sieci intranetowe uywa ju DNS w roli swojej usugi rozwizywania nazw i teraz musi rozszerzy to zastosowanie na Active Directory.

Rozdzia 4.

Podstawy Active Directory

91

Nazwy domen Windows 2000 Server s nazwami domen DNS. Na przykad, astonitgroup.com jest poprawn nazw domeny DNS, wic moe by te nazw domeny Windows 2000 Server. Kontroler domeny Active Directory podczas instalacji publikuje
swoj obecno za pomoc dynamicznego DNS-u (DDNS) niedawnego rozszerzenia
standardu DNS, ktre definiuje protok dynamicznego aktualizowania w serwerze DNS
nowych lub zmienionych wartoci. Przed pojawieniem si DDNS-u administratorzy musieli rcznie konfigurowa rekordy skadowane w serwerach DNS.
Serwery Active Directory publikuj swoje adresy w formie, ktra pozwala klientom
znajdowa je nawet wtedy, gdy klient zna jedynie nazw domeny. Serwery Active
Directory s publikowane w DNS-ie za pomoc rekordw zasobw usugi (SRV Service Resource Record). Rekord SRV jest rekordem DNS, ktry suy do odwzorowania
nazwy usugi na adres serwera, ktry t usug oferuje. Nazwa rekordu SRV przyjmuje
posta <usuga>.<protok>.<domena>.
Poniewa DC Active Directory uywaj usugi LDAP (Lightweight Directory Access
Protocol) przez protok TCP/IP, nazwy publikowane w Active Directory maj nastpujc form: _ldap._tcp.<domena>.
Rekordy SRV pozwalaj rwnie administratorowi wskaza priorytet i wag kadego
serwera, co pozwala klientom wybra serwer najlepszy do zaspokojenia ich potrzeb.
Jak stacja robocza znajduje serwer katalogu? Przez odpytywanie DNS. Serwery
katalogu dla okrelonej domeny publikuj w DNS-ie rekordy zasobw SRV w postaci
_ldap._tcp.<domena>. Tak wic stacja robocza logujca si do acme.com bdzie
odpytywa DNS o rekordy SRV dla _ldap._tcp.acme.com. Z listy zostanie nastpnie
wybrany serwer i nawizana z nim czno. Serwer ten wykorzystuje przedstawione
przez stacj robocz informacje o podsieci, aby znale> DC znajdujcy si w tej samej
lokacji, co stacja robocza.

Zabezpieczenia protokou Kerberos

W Active Directory uwierzytelnianie odbywa si z uyciem protokou Kerberos w wersji 5. Protok ten jest w peni zintegrowany z architektur zabezpiecze Windows 2000
Server w celu uwierzytelniania i kontroli dostpu. Podobnie jak w Windows NT,
wstpne logowanie w domenie zapewnia architektura pojedynczego podpisu WinLogon. Jedyn rnic jest wic dokonanie wstpnego uwierzytelnienia za pomoc Kerberosa zamiast protokou NT LAN Manager (NTLM).
Protok Kerberos 5 jest protokoem uwierzytelniania ze wsplnym kluczem tajnym
(shared-secret), w ktrym zarwno uytkownik, jak i usuga uwierzytelniajca znaj
haso uytkownika lub haso zaszyfrowane jednostronnie. Protok Kerberos definiuje
wzajemne oddziaywanie pomidzy klientem i usug uwierzytelniajc, zwan centrum
dystrybucji kluczy (KDC Key Distribution Center). Active Directory implementuje
KDC w kadym DC w roli usugi uwierzytelniajcej. KDC wykorzystuje Active Directory w roli bazy danych kont. Active Directory zezwala tylko na trzy rne typy kont
(zwane inaczej wystawcami zabezpiecze security principal): uytkownicy, grupy
i komputery.

92

Cz II

Planowanie

Dost$p do Active Directory

Dostp do Active Directory odbywa si za pomoc protokow poczeniowych (wire
protocol), ktre definiuj formaty komunikatw i interakcje pomidzy klientem a serwerem. Do obsugiwanych protokow nale:
J

Lightweight Directory Access Protocol (LDAP) podstawowy protok Active

Directory. Obsugiwane s wersje 2. i 3. LDAP.

Messaging API-Remote Procedure Call (MAPI-RPC) Active Directory

obsuguje interfejs zdalnego wywoywania procedur Mail API (MAPI) w celu
zgodnoci wstecz.

Rnorodne API daj programistom dostp do tych protokow. Do obsugiwanych API

nale:
J

Active Directory Services Interface (ADSI) udostpnia prosty, potny,

zorientowany obiektowo i niezaleny od jzyka interfejs Active Directory
opracowany przez Microsoft. Programici mog uywa wielu rnych jzykw
programowania, w tym Java, Visual Basic, C, C++ i innych. ADSI mona
rwnie uywa ze skryptw (w tym VBScript), co bez wtpienia spopularyzuje
ten interfejs wrd administratorw. ADSI zosta opracowany przez Microsoft
z zamiarem oddzielenia licznych szczegw cznoci LDAP.

LDAP C API zdefiniowany w RFC 1823, jest standardowym interfejsem

niskiego poziomu do magazynw LDAP typu Active Directory. Z LDAP C API
mona skorzysta jedynie za pomoc jzykw programowania C i C++.

Messaging API Active Directory obsuguje MAPI dla zgodnoci wstecz.

Nowe aplikacje powinny uywa ADSI lub LDAP C API.

Replikacja
Active Directory wykorzystuje replikacj multi-master (z wieloma serwerami gwnymi), co oznacza, e wszystkie kopie okrelonej partycji (czyli kontrolery domeny) s
zapisywalne dziki czemu mona dokonywa aktualizacji w dowolnej kopii tej partycji. System replikacji Active Directory propaguje zmiany z jednej kopii (repliki) do
wszystkich pozostaych. Replikacja jest automatyczna i niewidoczna dla uytkownikw
i administratorw.
Niektre usugi katalogowe wykorzystuj znaczniki czasowe do wykrywania i propagacji zmian. W tych systemach zegary wszystkich serwerw katalogowych musz by
zawsze zsynchronizowane. Historycznie biorc, synchronizacja czasu w sieci okazaa
si trudnym przedsiwziciem. Nawet przy dobrej synchronizacji czasu w sieci, czas
w ktrym serwerze moe okaza si le ustawiony, co z kolei moe prowadzi do utraconych aktualizacji.
Aby unikn problemw z synchronizacj, system replikacji Active Directory nie polega cakowicie na czasie w celu propagacji aktualizacji. Wykorzystuje zamiast tego
Update Sequence Number (USN) 64-bitowe liczby utrzymywane przez kady serwer
DC Active Directory. Gdy DC zapisuje dowoln waciwo w Active Directory, USN

Rozdzia 4.

Podstawy Active Directory

93

jest zwikszany i skadowany z zapisan waciwoci. Operacja ta wykonywana jest

niepodzielnie co oznacza, e zwikszenie i zapis USN oraz zapis waciwoci s
udane lub nie jako pojedyncza czynno.
Kady DC utrzymuje rwnie tablic USN otrzymanych od partnerw replikacji. W tablicy tej zapisany jest najwyszy USN otrzymany od kadego partnera. Gdy DC zostaje
powiadomiony przez okrelonego partnera, i wymagana jest replikacja, oba DC s
w stanie szybko ustali, ktre zmiany s potrzebne gdy wszystkie USN s wysze od
ostatniej otrzymanej wartoci USN. Jest to bardzo prosta metoda, ktra nie zaley od
dokadnoci znacznikw czasowych.
Poniewa USN skadowane w tablicy s niepodzielnie aktualizowane dla kadej otrzymanej aktualizacji, odzysk po niepowodzeniu (awarii) jest rwnie bardzo prosty. Aby
ponownie uruchomi replikacj, serwer po prostu pyta swoich partnerw o wszystkie
zmiany majce USN wyszy od ostatniego poprawnego zapisu w tablicy. Poniewa tablica jest aktualizowana niepodzielnie w miar stosowania zmian, przerwany cykl replikacji zawsze przywracany jest dokadnie w miejscu przerwania, bez strat lub duplikacji
aktualizacji.
W systemie replikacji multi-master, takim jak Active Directory, t sam waciwo
mona aktualizowa w dwch (i wicej) rnych kopiach. Gdy waciwo ulega zmianie w drugiej (lub trzeciej, czwartej i tak dalej) replice przed pen propagacj zmiany
z pierwszej kopii, zachodzi kolizja replikacji. Kolizje s wykrywane za pomoc Property Version Number (numeru wersji waciwoci). W przeciwiestwie do USN, ktre
maj wartoci okrelone dla serwera, Property Version Number jest okrelony dla waciwoci obiektu Active Directory. Przy pierwszym zapisie waciwoci obiektu Active
Directory numer wersji zostaje zainicjowany.
Zapis rdowy (originating write) zapis waciwoci w systemie inicjujcym zmian
zwiksza numer wersji. Zapisy waciwoci powodowane przez replikacj nie s zapisami rdowymi, wobec czego nie zwikszaj numeru wersji. Na przykad, gdy
uytkownik aktualizuje swoje haso, zachodzi zapis rdowy i numer wersji hasa zostaje zwikszony. Zapisy zmienionego hasa wynikajce z replikacji do innych serwerw nie zwikszaj numeru wersji.
Kolizja zostaje wykryta, gdy poprzez replikacj zostaje odebrana zmiana, w ktrej odebrany numer wersji waciwoci jest rwny zapisanemu lokalnie, za wartoci waciwoci zapisana i odebrana, rni si. W takiej sytuacji system przyjmujcy zmian
stosuje aktualizacj o najpniejszym znaczniku czasowym. Jest to jedyna sytuacja,
w ktrej czas zostaje wykorzystany w replikacji Active Directory.
Jeli odebrany numer wersji jest niszy od zapisanego lokalnie, aktualizacja zostaje
uznana za przestarza i odrzucona. Jeli odebrany numer wersji jest wyszy od zapisanego lokalnie, aktualizacja zostaje przyjta.
System replikacji Active Directory pozwala na ptle w topologii replikacji, co pozwala
administratorowi skonfigurowa topologi replikacji zawierajc wiele cieek pomidzy serwerami, co zwiksza wydajno i dostpno.

94

Cz II

Planowanie

Co bdzie z usug1 WINS?

Funkcjonalno Windows Internet Naming Service (WINS) zostaa niezmieniona w systemie Windows
2000 Server. W istocie, Windows 2000 Server zawiera now i znacznie ulepszon wersj usugi
WINS. Jednake klienty Windows 2000 (oraz klienty Windows 95 i 98 z zainstalowan obsug Active
Directory) nie musz ju korzysta z NetBIOS-u przez TCP/IP do rozwizywania nazw sieciowych
uywaj zamiast tego DDNS-u.
Usuga WINS jest nadal wymagana dla systemw starszych (legacy) do znajdowania serwerw i vice
versa. Gdy wic nie bdzie ju w lesie klientw i serwerw starszego typu, wszystkie serwery WINS
bdzie mona wyczy.

System replikacji Active Directory dokonuje tumienia propagacji, aby zapobiec nieskoczonym propagacjom zmian i wyeliminowa nadmiarowe przesyy zmian do kopii,
ktre zostay ju zaktualizowane. Do tumienia propagacji uywane s wektory aktualne
(up-to-date vectors) listy par serwer-USN, przechowywane w kadym serwerze.
Wektor aktualny w kadym serwerze wskazuje najwyszy USN zapisw rdowych
otrzymanych z serwera w parze serwer-USN. Wektor aktualny dla serwera w okrelonej
lokacji wymienia wszystkie pozostae serwery (w ktrych nastpi zapis rdowy)
w danej lokacji.
Przy rozpoczciu cyklu replikacji, serwer dajcy danych wysya swj wektor aktualny
do serwera wysyajcego. Ten wykorzystuje wektor aktualny do odfiltrowania zmian
wysyanych do serwera dajcego. Gdy najwyszy USN posiadany dla okrelonego
zapisu jest wyszy lub rwny wartoci USN otrzymanego od autora zapisu rdowego
dla danej aktualizacji, serwer wysyajcy nie musi wysya zmiany, poniewa serwer
dajcy ju posiada dane aktualne.

Jak Active Directory

mie#ci si w architekturze
systemu Windows 2000 Server
Centralna architektura systemu operacyjnego Windows 2000 Server jest bardzo podobna do poprzednika, Windows NT Server 4 (patrz rysunek 4.8). Na przykad, Windows
2000 Server jest zbudowany na takiej samej architekturze moduowej, jak Windows NT
Server, co oznacza, i skada si z kilku odrbnych skadnikw, z ktrych kady odpowiada za wasne funkcje.
Ta moduowo jest te powodem, dla ktrego usuga Active Directory nie wymusia
adnych powanych zmian w jdrze systemu operacyjnego. Active Directory jest po
prostu czci skadnika podsystemu zabezpiecze (Security), dziaajcego w trybie
uytkownika. Oznacza to, i Active Directory w peni uczestniczy w infrastrukturze zabezpiecze Windows 2000 Server, poniewa wszystkie obiekty w Active Directory s
chronione listami kontroli dostpu (ACL Access Control List); wszelkie prby dostpu do obiektu lub atrybutu w Active Directory s zatwierdzane przez ACL.

Rozdzia 4.

Podstawy Active Directory

95

Rysunek 4.8.
Architektura systemu
Windows 2000
Server wyglda
bardzo podobnie
jak w przypadku
Windows NT Server
4; mona jednak
znale kilka rnic

Podsystem zabezpiecze skada si z kilku komponentw (peny przegld podsystemu

zabezpiecze zawarty jest w Windows 2000 Resource Kit), z ktrych jednym jest Local
Security Authority (LSASS.EXE). LSASS.EXE jest chronionym podsystemem, obsugujcym bezpieczestwo lokalnego komputera i zapewniajcym, by uytkownicy mieli odpowiednie uprawnienia dostpu do systemu.
Active Directory mieci si w module usugi katalogowej (Directory Service Module)
wewntrz LSASS.EXE, jak wida na rysunku 4.9. Dokadnie mwic, podsystem LSASS.
EXE systemu Windows 2000 Server zawiera skadniki wymienione w tabeli 4.1.
Z tych skadnikw modu usugi katalogowej (Directory Service Module NTDSA.
DLL) jest najwaniejszy dla funkcjonalnoci Active Directory. Directory Service Module skada si z trzech komponentw i kilku agentw interfejsw (patrz rysunek 4.10),
ktre wsppracuj ze sob, wiadczc usugi katalogowe zgodne ze starszymi systemami (jak Windows NT 4) i innymi systemami (obejmujcymi np. klienty Outlooka).
Tabela 4.2 opisuje trzy skadniki Directory Service Module, ktre dziaaj jak warstwy
(z gry na d). Tabela 4.3 wymienia i opisuje cztery agenty interfejsw, ktre maj dostp do Directory Services Module.

96

Cz II

Planowanie

Rysunek 4.9.
Active Directory
mieci si
w skadniku
Lokalny wystawca
zabezpiecze
(Local Security
Authority
LSASS.EXE)
wewntrz
podsystemu
zabezpiecze

Tabela 4.1. Skadniki LSASS.EXE

Skadnik

Opis

Netlogon.DLL

Narzdzie uruchamiane z wiersza polece, utrzymujce bezpieczny kana cznoci

komputera z DC. W systemie Windows 2000 Server Netlogon wykorzystuje DNS
do lokalizacji DC.

MSV1_0.DLL

Protok uwierzytelniania NTLM, uywany przez poprzednie wersje Windows NT.

KERBEROS.DLL

Protok uwierzytelniania Kerberos, domylny protok uwierzytelniania w Active

Directory.

KDCSVC.DLL

Usuga Centrum dystrybucji kluczy (KDC Key Distribution Center) Kerberosa,

odpowiedzialna za wydawanie biletw klientom.

SCHANNEL.DLL

Protok uwierzytelniania SSL, ktry moe by uywany oprcz lub zamiast

Kerberosa.

LSASRV.DLL

Egzekwuje zasady zabezpiecze.

SAMSRV.DLL

Meneder kont zabezpiecze (SAM Security Accounts Manager), ktry

przechowuje lokalne konta zabezpiecze, egzekwuje zasady lokalne i obsuguje
stare API Windows NT.

NTDSA.DLL

Modu usugi katalogowej (Directory Service Module). Modu ten obsuguje

replikacj kontekstu nazewniczego uytkownika i dostp LDAP do katalogu oraz
zarzdza kontekstami nazewniczymi.

SECUR32.DLL

Dostawca multi-uwierzytelniania, ktry czy wszystkie skadniki.

Rozdzia 4.

Podstawy Active Directory

97

Rysunek 4.10.
Modu usug
katalogowych
(NTDSA.DLL)
jest centralnym
skadnikiem
Active Directory

Tabela 4.2. Skadniki Directory Service Module (NTDSA.DLL)

Skadnik

Opis

Directory System Agent

(DSA)

Daje dostp do magazynu, tworzc z paskiej przestrzeni nazw (pliku NTFS,

ktry stanowi baz danych Active Directory) hierarchiczn przestrze nazw
w ksztacie drzewa, co z kolei pozwala innym widzie uytkownikw i zasoby
w bardziej logiczny sposb. DSA posiada rwnie obsug replikacji, egzekwuje
schemat katalogu, aktualizuje reguy i zabezpieczenia oraz zawiera informacje
o zasadach Active Directory, np. o partycjonowaniu i odsyaczach.

Warstwa bazy danych

(DB Database Layer)

Wewntrzna warstwa oddzielajca, ktra daje dostp do magazynu bazy danych

i funkcjonalnoci wyszukiwania. Cay dostp do bazy danych jest trasowany
przez warstw DB.

Extensible Storage
Engine (ESE)

Ulepszona wersja mechanizmu baz danych Jet, uywanego w Microsoft

Exchange Server. ESE skaduje wszystkie obiekty Active Directory. Baza
danych posiada obecnie limit 16 TB co oznacza, i kada domena teoretycznie
moe zawiera przynajmniej dziesi milionw obiektw. Warto rwnie
wspomnie, i ESE rezerwuje pami tylko dla faktycznie uywanej przestrzeni
(na przykad, jeli obiekt moe posiada 50 atrybutw, lecz nowy egzemplarz
obiektu zostanie utworzony z jedynie 4 atrybutami, tylko te faktycznie uyte
atrybuty bd zajmowa miejsce).

Tabela 4.3. Agenty interfejsw z dostpem do Directory Service Module

Skadnik

Opis

LDAP

Suy do komunikacji z klientami LDAP i ADSI

REPL

Zarzdza replikacj wewntrz- i midzylokacyjn, ktra moe uywa rnych

transportw (RPC i SMTP).

MAPI

Pocztowy API sucy do komunikacji z klientami Outlooka.

SAM

Security Account Manager, sucy do cznoci starszego typu z BDC NT 4,

wic stosujcy interfejsy API NET dla NT 4.

Active Directory podsumowanie

Tabela 4.4 wymienia dla wygody Czytelnika najwaniejsze pojcia i funkcje Active
Directory.

98

Cz II

Planowanie

Tabela 4.4. Podstawowe funkcje Active Directory

Funkcja

Opis

Domeny

Podstawowe elementy konstrukcyjne partycjonowania Active Directory.

Partycjonowanie jest wanym pojciem w usugach katalogowych, poniewa
pozwala projektantowi implementowa wiele baz danych zamiast jednego
olbrzymiego magazynu. Poniewa katalog kadej domeny musi zawiera
jedynie informacje o obiektach pooonych w tej domenie, partycjonowanie
pozwala na skalowanie Active Directory do praktycznie dowolnych
rozmiarw.

Drzewo domen

Najwaniejszy sposb na organizacj wielu domen, tworzcy z domen

struktur hierarchiczn.

Las

Sposb na poczenie kilku drzew domen. Las pozwala administratorom

czy dwa drzewa domen nie posiadajce wsplnego korzenia
(np. w przypadku poczenia dwch odrbnych przedsibiorstw o rnych
domenach gwnych DNS).

Jednostka organizacyjna
(OU Organizational
Unit)

Pozwala administratorom dzieli domen bez ponoszenia kosztw

(dodatkowych DC) wymaganych przy tworzeniu nowych domen. OU
przeznaczone s do tworzenia hierarchii modelujcej rzeczywiste waciwoci
danej organizacji (oddziay, zespoy i tak dalej)

Schemat katalogu

Definiuje, jakie obiekty mona tworzy w katalogu i jakie atrybuty mona do

nich przydziela. Schemat katalogu Active Directory jest w peni rozszerzalny,
co pozwala administratorom i aplikacjom dodawa do katalogu nowe typy
obiektw lub atrybutw, obsugujce szczeglne potrzeby uytkownikw sieci
lub uywanych aplikacji.

Wykaz globalny
(Global Catalog)

Usuga, pozwalajca uytkownikom i administratorom bardzo szybko

odpytywa o dowolne obiekty dostpne w lesie Active Directory i znajdowa
je. Wykaz globalny (GC) mona uwaa za mechanizm indeksujcy Active
Directory, ktry pozwala na szybkie i atwe odpytywanie. Naley zauway,
i usuga GC z uwagi na bezpieczestwo zwraca jedynie list zasobw
dozwolonych dla osoby wysyajcej zapytanie.

Replikacja

Usuga Active Directory opiera si na replikacji multi-master, co oznacza,

i zmiany w katalogu mog by zapisywane w dowolnym DC w domenie.
DC replikuje nastpnie zmiany do swoich partnerw replikacji. Replikacja
multi-master zapewnia skalowalno i odporno na bdy niezbdn przy
obsudze tak wanej usugi sieciowej, jak jest Active Directory.

Integracja usugi DNS

Active Directory wykorzystuje DNS w roli swojej usugi nazewniczej

i lokalizacyjnej dla domen. DNS jest najpowszechniej uywan usug
katalogow na wiecie, poniewa stanowi usug lokalizacyjn uywan
w Internecie i wikszoci prywatnych sieci intranetowych. Poniewa Active
Directory uywa DNS-u w roli wasnej usugi lokalizatora, nazwy domen
Windows 2000 Server s rwnie nazwami DNS.