Книга Active directory
.pdfI •| g Установка |
Глава 1 |
а также роль AD RMS для обеспечения внешней защиты интеллектуальной собственности. Роль AD FS описана в главе 17.
В совокупности роли Active Directory реализуют интегрированное решение IDA:
•AD DS и AD LDS — поддерживают основные службы каталогов в доменной
инезависимой реализации;
•AD CS — предоставляет надежные учетные данные в виде ц и ф р о в ы х сертификатов PKI;
•AD RMS — защищает целостность информации в документах;
•AD FS — поддерживает партнерские отношения, избавляя от необходимос -
ти создавать множество отдельных объектов и д е н т и ф и к а ц и и д л я одного прпнципала безопасности в средах федерации.
Помимо идентификации и доступа
Структура Active Directory поддерживает не только и д е н т и ф и к а ц и ю и доступ, но и механизмы поддержки, управления и настройки ресурсов в р а с п р е д е л е н - ных сетевых средах.
Набор правил, называемый схемой, задает классы объектов и а т р и б у т ы , которые могут храниться в каталоге. Например, в каталоге Active D i r e c t o r y можно хранить объекты пользователей, включающие их и м е н а и пароли, поскольку схемой задан класс объектов user, два их атрибута, а т а к ж е связь м е ж д у классом объекта и атрибутами.
Администрирование на основе политики упрощает у п р а в л е н и е д а ж е в самых больших сложнейших сетях, предоставляя единую точку, в к о т о р о й м о ж н о развернуть параметры настройки во множестве систем. Эти п о л и т и к и (груп - повая, политики аудита и гранулированные политики паролей) о п и с а н ы в главах 6-8.
Службы репликации распространяют по сети данные каталогов, в частности само хранилище данных, а также информацию д л я р е а л и з а ц и и п о л и т и к и и конфигурации вместе со сценариями входа. В главах 8, 10 и 11 о п и с а н а репликация Active Directory. Для хранилища данных существует даже о т д е л ь н ы й раздел конфигурации, который содержит информацию о сетевой конфигурации, топологии и службах.
Запрашивать каталог Active Directory и л о к а л и з о в ы в а т ь |
о б |
ъ е к т ы в хра- |
нилище данных можно с помощью нескольких к о м п о н е н т о в |
и |
т е х н о л о г и й . |
Информация обо всех объектах в каталоге содержится в разделе х р а н и л и щ а данных, называемом глобальным каталогом (или частичпъм набором атрибутов), который дает возможность локализовать объекты в каталоге. Д л я ч т е н и я информации из хранилища данных можно применять, например, п р о г р а м м н ы й интерфейс ADSI (Active Directory Services Interface) и протокол LDAP .
Хранилище данных Active Directory можно использовать т а к ж е д л я поддержки приложений и служб, напрямую не связанных с AD DS . Внутри базы
данных в разделах приложений может храниться и н ф о р м а ц и я д л я п о д д е р ж к и приложений, которым необходимы данные репликации, Система ДОМеПНЫХ
Занятие 1 |
Установка доменных служб Active Directory |
") |
9 |
имен DNS (Domain Name System) на сервере Windows Server 2008 может хранить информацию в базе данных, которая называется интегрированной зоной Active Directory. Она поддерживается в AD DS как раздел приложения и реплицируется с помощью служб репликации Active Directory.
Компоненты инфраструктуры Active Directory
В главах 1 - 1 3 этого руководства описаны установка и настройка доменных служб Active Directory (AD DS), а также управление ими. Роль AD DS обеспечивает инфраструктуру IDA и управление корпоративной сетью. Поэтому стоит потратить некоторое время на изучение компонентов инфраструктуры Active Directory.
ПРИМЕЧАНИЕ Дополнительные сведения о структуре Active Directory
Более подробно структура Active Directory описана в справочном руководстве к системе Windows Server 2008 и на сайте TechCenter по адресу http://technet.microsoft. com/en-us/windowsserver/2008/default.aspx.
• |
Хранилище данных Active Directory Как уже говорилось в предыдущем |
|
подразделе, структура AD DS хранит свои объекты идентификации в ка- |
|
талоге (хранилище данных) на контроллерах домена. Каталог состоит из |
|
одного файла Ntds.dit, который по умолчанию находится в папке %System- |
|
Root% \Ntds на контроллере домена. База данных состоит из нескольких |
|
разделов: схемы, конфигурации, глобального каталога и контекста имено- |
|
вания домена, содержащего данные об объектах внутри домена (например, |
|
пользователях, группах и компьютерах). |
• |
Контроллеры домена Так называют серверы, играющие роль AD DS — |
|
в частности, запускающие службу Центр распространения ключей Kerberos |
|
(Kerberos Key Distribution Center, KDC), которая проверяет подлинность, |
|
а также другие службы Active Directory. Роли контроллеров домена опи- |
|
саны в главе 10. |
•Д о м е н Д л я создания домена Active Directory необходим один или несколько контроллеров. Домен представляет собой административную еди- ницу, внутри которой совместно используются определенные возможности
ихарактеристики. Прежде всего, контроллеры домена реплицируют раздел хранилища данных, который помимо всего прочего содержит данные иден- тификации пользователей, групп и компьютеров домена. Поскольку все контроллеры домена поддерживают одно хранилище объектов идентифи- кации, то любой такой контроллер может проверить подлинность всякого объекта идентификации в домене. Кроме того, домен является областью действия административных политик (например, политики сложности паролей и блокировки учетных записей). Такие политики, конфигурируемые в одном домене, влияют на все учетные записи в нем и не оказывают влияния на учетные записи в других доменах. Объекты в базе данных Active Direc- tory можно изменять на любом контроллере домена, и такие изменения реплицируются на все остальные такие контроллеры. Поэтому в сетях, где не поддерживается репликация всех данных среди контроллеров домена.
2 Зак. 3399
•| о |
Установка |
Глава 1 |
может потребоваться более одного домена, чтобы управлять репликацией поднаборов объектов идентификации. Домены описаны в главе 12.
Лес Это набор из одного либо нескольких доменов Active Directory . Первый установленный в лесу домен называется корневым. Л е с содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Это единственный замкнутый экземпляр каталога, то есть данные не реплицируются за его пределы. Поэтому лес задает периметр безопасности. Концепция леса более подробно описана в главе 12.
Дерево Пространство доменных имен DNS в лесу содержит деревья леса. Если домен является дочерним для другого домена, то эти два домена и н - терпретируются как дерево. Например, если лес treyresearch.net с о д е р ж и т два домена treyresearch.net и antarctica.treyresearch.net, то последние образуют непрерывную область именного пространства D N S и п р е д с т а в л я ю т одно дерево. Если же домеиы treyresearch.net и proseware.com не о б р а з у ю т непрерывной области в пространстве имен DNS, то они представляют д в а дерева. Деревья составляются из DNS-имен доменов в лесу.
На рис. 1-2 показан лес Active Directory компании Trey Research, к о т о р ы й поддерживает небольшую полярную станцию в Антарктиде . П о с к о л ь к у связь между Антарктикой и штаб-квартирой дорогостоящая, м е д л е н н а я н ненадежная, то полярная станция сконфигурирована как о т д е л ь н ы й домен. Лесу назначено DNS-имя treyresearch.com. Домен Antarctica с и м е н е м antarctica.treyresearch.net в именном пространстве DNS и н т е р п р е т и р у е т с я в доменном дереве как дочерний домен.
Рис. 1-2. Лес Active Directory с двумя доменами
• Функциональный уровень Возможности домена Active Directory з а в и с я т от его функционального уровня. Этот параметр дает возможность ввести дополнительные компоненты AD DS уровня домена либо леса. Существует три функциональных уровня домена (Windows 2000, Windows 2003 и W i n -
Занятие 1 |
Установка доменных служб Active Directory |
") 1 |
dows 2008), а также два функциональных уровня леса (Microsoft Windows |
||
Server 2003 и |
W i n d o w s Server 2008). При повышении функционального |
|
у р о в н я домена либо леса становятся доступными компоненты, предостав- |
||
л я е м ы е соответствующей версией системы Windows. Например, |
функ- |
|
ц и о н а л ь н о м у |
у р о в н ю системы Windows Server 2008 свойственны |
новые |
атрибуты, указывающие время последнего успешного входа пользователя, компьютер, на который он входил, а также количество неудачных попыток после успешного входа. Следует отметить, что от функционального уровня зависит, какие версии системы Windows разрешены на контроллерах домена . П р и п о в ы ш е н и и функционального уровня до системы Windows Server 2008 на всех контроллерах доменов следует установить именно эту версию. Ф у н к ц и о н а л ь н ы е уровни домена и леса более подробно описаны в главе 12.
• П о д р а з д е л е н и я ( о р г а н и з а ц и о н н ы е единицы) База данных Active Directory я в л я е т с я иерархической. Объекты в хранилище данных можно собирать в контейнеры . О д н и м из типов контейнеров является класс объектов container. О т к р ы в оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers), вы увидите заданные по умолчанию к о н т е й н е р ы , в частности Users, Computers и Builtin. Еще один тип контейнера — подразделение (организационная единица). Оно предоставляет не т о л ь к о к о н т е й н е р д л я объектов, но и область действия управления объектами . П о д р а з д е л е н и е (Organizational Unit, O U ) может хранить так называ- е м ы е объекты групповой политики, которые автоматически применяются к п о л ь з о в а т е л я м и компьютерам в подразделении. В главе 2 более подробно о п и с а н ы подразделения, а в главе 6 — объекты групповой политики.
• С а й т ы П р и проектировании сетевой топологии распределенного предпри- я т и я п р и х о д и т с я рассматривать сайты сети. Однако в Active Directory им п р и д а е т с я весьма специфический смысл благодаря особому классу объек-
тов site. С а й т ( и л и |
узел) Active |
Directory — это объект, |
представляющий |
часть п р е д п р и я т и я |
с хорошей |
сетевой коммуникацией. |
Сайт создает пе- |
р и м е т р р е п л и к а ц и и и использования служб. Контроллеры домена внутри
сайта |
р е п л и ц и р у ю т изменения в течение нескольких секунд. Изменения |
м е ж д у |
с а й т а м и реплицируются иа основе допущения, что подключения |
между сайтами медленные, дорогостоящие либо ненадежные по сравнению с п о д к л ю ч е н и я м и внутри сайта. Кроме того, клиенты предпочитают использовать распределенные службы, предоставляемые серверами в своем или соседнем узле. Например, когда пользователь входит в домен, клиент сис- т е м ы W i n d o w s вначале пытается пройти проверку подлинности с помощью контроллера домена в своем узле. Если же там нет доступного контроллера, к л и е н т пробует сделать это с помощью контроллера домена в другом узле. В главе 11 описаны конфигурация и функциональные возможности сайтов Active Directory.
Все эти к о м п о н е н т ы подробно описаны в руководстве. Если вы еще мало
з н а к о м ы с Active |
Directory, то вам нужно изучить основную терминологию, |
к о м п о н е н т ы п их |
связи. |
Установка |
глава 1 |
Подготовка к созданию нового леса системы Windows Server 2008
Перед установкой роли AD DS на сервере и повышением его ранга до контроллера домена нужно спланировать структуру Active Directory. П р и создании контроллера домена потребуется некоторая информация, в частности такая .
•Имя домена и DNS-имя. Домен должен иметь уникальное D N S - и м я , например contoso.com, а также короткое имя, скажем CONTOSO (так назы-
ваемое имя NetBIOS). Сетевой протокол N e t B I O S и с п о л ь з о в а л с я еще в первых версиях Microsoft Windows NT и все еще применяется некоторыми приложениями.
• Должен ли домен поддерживать |
контроллеры с п р е д ы д у щ и м и |
в е р с и я м и |
Windows? При создании нового |
леса Active Directory н у ж н о |
с к о н ф и г у - |
рировать функциональный уровень. Если в домен будут в к л ю ч е н ы л и ш ь контроллеры системы Windows Server 2008, то можно установить соответствующий функциональный уровень для использования усовершенствован - ных компонентов этой версии Windows.
•Детали реализации DNS для поддержки Active Directory. С т р у к т у р у DNS лучше всего реализовать для доменных зон с помощью с л у ж б ы D N S ( D N S Service) системы Windows, как описано в главе 9, однако сторонняя служба DNS также может поддерживать домен Windows.
•Конфигурация I Р-контроллера домена. Для контроллеров домена требуют - ся статические IP-адреса и маски подсети. Кроме того, в целях р а з р е ш е н и я имен нужно сконфигурировать контроллер домена с использованием адреса DNS-сервера. В случае создания нового леса и запуска на к о н т р о л л е р е домена DNS-службы Windows в качестве DNS-адреса можно указать собственный IP-адрес сервера. После установки DNS - структуры сервер сам может разрешать DNS-имена.
•Пользовательское имя и пароль учетной записи в группе А д м и н и с т р а т о р ы (Administrators) сервера. Для учетной записи нужно назначить непустой пароль.
«Место установки хранилища данных (включая файл Ntds.dit) и системного
тома (SYSVOL). По умолчанию эти хранилища создаются в п е р е м е н н о й %SystemRoot% (например, C:\Windows) соответственно в п а п к а х NTDS и SYSVOL. При создании контроллера домена эти хранилища м о ж н о перенаправить на другие диски.
К СВЕДЕНИЮ развертывание AD DS
Данный список содержит параметры, которые потребуется сконфигурировать при создании контроллера домена. Существует много дополнительных параметров развертывания AD DS на предприятии. Более подробную информацию об этом можно найти в технической библиотеке системы Windows Server 2008 по адресу
Занятие 1 |
Установка доменных служб Active Directory |
") 3 |
Добавление роли AD DS с помощью интерфейса Windows
После сбора упомянутой выше предварительной информации можно приступать к добаплепию роли AD DS. Это можно сделать несколькими способами. На данном занятии мы рассмотрим создание контроллера домена посредством интерфейса Windows, а па следующем — с помощью командной строки.
Всистеме Windows Server 2008 возможна конфигурация на основе ролей
сустановкой только тех служб и компонентов, которые нужны для выполняемых ролей сервера. Управлять сервером на основе ролей можно с помощью новой административной консоли Диспетчер сервера (Server Manager), показанной на рис. 1-3. Диспетчер сервера объединяет информацию, инструменты
иресурсы, необходимые для поддержки ролей сервера.
Рис. 1-3. Диспетчер сервера
Р о л и можно добавлять на сервер с помощью ссылки Добавить роли (Add Roles) на домашней странице диспетчера сервера либо щелкнув правой кнопкой м ы ш и узел Роли (Roles) в дереве консоли и применив команду Добавить роли (Add Roles). Мастер добавления ролей (Add Roles Wizard) предоставит список д о с т у п н ы х д л я установки ролей и выполнит шаги установки тех из иих, которые были выбраны.
ПРИМЕЧАНИЕ
В упражнении 3 в конце этого замятия добавляется роль AD DS с помощью ин терфейса Windows.
Создание контроллера домена
После добавления роли AD DS иа сервере устанавливаются файлы, необходимые д л я ее выполнения, но при этом сервер еще не становится контроллером
I •| g Установка |
Глава 1 |
домена. Затем надо запустить Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard), который можно открыть с помощью команды Dcpromo.exe, чтобы сконфигурировать, инициа - лизировать и запустить Active Directory.
ПРИМЕЧАНИЕ
В упражнении 4 в конце этого занятия выполняется настройка AD DS с помощью мастера установки доменных служб Active Directory.
Контрольный вопрос
•Вы хотите использовать новый сервер Windows Server 2008 в качестве контроллера домена Active Directory. Какую команду следует применить для запуска процесса настройки контроллера домена?
Ответ на контрольный вопрос
• Dcpromo.exe
Практические занятия. Создание леса Windows Server 2008
В предложенных далее упражнениях вы создадите лес AD DS д л я к о м п а н и и Contoso, Ltd. Он будет использоваться во всех остальных у п р а ж н е н и я х этого руководства. Вы начнете с установки системы Windows Server 2008 и в ы п о л - ните послеустановочные задачи, а затем добавите роль AD DS и с п о м о щ ь ю мастера установки доменных служб Active Directory повысите ранг сервера до контроллера домена в лесу contoso.com.
Упражнение 1. Установка системы Windows Server 2008
В этом упражнении вы установите систему Windows Server 2008 на компьютере либо виртуальной машине.
1.Вставьте в DVD-привод установочный диск системы Windows Server 2008. При использовании виртуальной машины ( V M ) можно смонтировать ISO - образ установочного DVD. Справочная информация об этом есть в доку - ментации виртуальной машины.
2.Запустите установку системы. Если жесткий системный диск пустой, то
следует загрузить систему с DVD. Когда же на диске есть д а н н ы е , |
вам |
может быть предложено нажать клавишу для загрузки с DVD . Е с л и |
сис- |
тема не загружается с DVD, то откройте параметры B I O S компьютера и сконфигурируйте порядок загрузки с DVD. Запустится Мастер у с т а н о в к и Windows (Install Windows Wizard), показанный на рис. 1-4.
3.Выберите язык, региональные параметры и раскладку к л а в и а т у р ы д л я системы, после чего щелкните кнопку Далее (Next).
4.Щелкните кнопку Установить (Install Now). Отроется список доступных
для установки выпусков, показанный на рис. 1-5. |
|
' |
Занятие 1 |
Установка доменных служб Active Directory |
") |
5 |
Рис. 1-4. Мастер установки Windows
Рис. 1-5. Страница выбора операционной системы для установки
5. Выберите вариант установки системы Windows Server 2008, пункт Полная установка (Full Installation), и щелкните кнопку Далее (Next).
6. Установите ф л а ж о к Я принимаю условия лицензии (I Accept the License Terms') и щелкни те кнопку Далее (Next).
I •| g |
Установка |
Глава 1 |
7.Щелкните пушсг Полная установка (дополнительные параметры) (Custom (Advanced)).
8. Па странице Выберите раздел для установки Windows (Where Do You W a n t to Install Windows) выберите диск, на который хотите установить систему. Чтобы создать, расширить или форматировать разделы л и б о загрузить настраиваемый драйвер массового храпения для получения доступа к подсистеме диска, щелкните кнопку Загрузка драйвера (Driver Options (Advanced)).
9. Щелкните кнопку Далее (Next). Откроется диалоговое окно Установка Windows (Installing Windows), показанное на рис. 1-6. В нем отображается ход выполнения установки. Инсталляция версии Windows Server 2008, как и Windows Vista, основана на образе, поэтому она выполняется значительно быстрее, чем для предыдущих версий Windows, хотя сама о п е р а ц и о н н а я система занимает больше места, чем более ранние версии. В процессе установки компьютер перезагрузнтся один или несколько раз. После ее завершения будет указано, что перед первым входом в систему надо и з м е н и т ь пароль пользователя.
Рис. 1-6. Окно Установка Windows (Installing Windows)
10. Щелкните ОК.
П. В поля Новый пароль (New Password) и Подтверждение (Confirm Password) введите пароль для учетной записи Администратор (Administrator) и нажмите клавишу Enter. Пароль должен содержать как минимум семь символов, относящихся хотя бы к трем из четырех возможных типам:
• символы в верхнем регистре: A-Z;
• символы в нижнем регистре: a-z;
Занятие 1 |
Установка доменных служб Active Directory ") 17 |
яцифры: 0 - 9 ;
•другие символы, например $, #, @ и !.
ПРИМЕЧАНИЕ |
Не забывайте пароль |
Без него вы не сможете войти на сервер для выполнения других упражнений данного руководства.
12. Щ е л к н и т е О К . Откроется рабочий стол учетной записи Администратор (Administrator) .
Упражнение 2. Выполнение послеустановочных задач настройки
В этом у п р а ж н е н и и вы |
осуществите |
послеустановочную настройку сервера |
и у к а ж е т е и м я , а т а к ж е |
параметры |
T C P / I P , необходимые для выполнения |
у п р а ж н е н и й данного руководства.
1. Д о ж д и т е с ь п о я в л е н и я рабочего стола учетной записи Администратор (Administrator) . Откроется окно Задачи начальной настройки (Initial Configu-
r a t i o n Tasks), |
показанное на рис. 1-7. Этот инструмент предназначен для |
|||
в ы п о л н е н и я |
рекомендуемых послеустановочных задач настройки. |
|||
Й |
Выполните следующие задачи дая начальной настройки данного |
t ' Windows Servers |
||
сервера |
|
'ыярте |
||
I » "Р |
|
щ Ух«з*ме сесвпмй о |
||
|
' |
' Vr.reHOTMThИСППОЙ' поас |
|
|
|
•К>* Нас трои п. сеть |
|
||
|
А ! |
|
|
|
у |
ОК...,;,,,,,. |
|
Обиившям» «.ороц» WruVwi |
|
|
СЛ Гжгю-vih аг)1ом.11ичго<м ОФишмлмя |
|
||
|
|
оСиопяп«»ч и обре imjw опяаь Обил нл* • |
|
|
|
|
|
|
Нестойка сервер! |
|
^ • . Ло&ямгъ роли |
|
||
|
k по*лаыг»'»> >гомм цаи sxc.vee еясгаму |
|
||
Рис. 1-7. |
Задачи начальной настройки |
|
||
2. В окне задач начальной настройки сконфигурируйте следующие параметры:
•Ч а с о в о й пояс (Time Zone): в соответствии с вашей средой;
•И м я компьютера (Computer Name): SERVER01. Не перезагружайте сис-
тему, пока в упражнении не будут даны соответствующие указания.
3. В окне задач начальной настройки щелкните ссылку Настроить сеть (Configure N e t w o r k i n g ) и проверьте соответствие конфигурации IP с вашей средой.