В AD частично реализована модель данных, описываемая стандартом
· Служба DNS
Служба, традиционная в сетях TCP/IP
· Протокол LDAP
Благодаря этому протоколу клиенты могут по имени находить в каталоге AD нужные объекты и получать доступ к их атрибутам.
Все термины и концепции так или иначе касаются этих трех "составных частей" службы каталогов (однако не следует считать, что для работы Active Directory необходимы только эти компоненты!).
Служба каталога является хранилищем информации, которая используется для:
· доступа к информации об объектах (таких как пользователи, компьютеры, домены и т.д.). Объект представляет собой уникальную сущность внутри каталога и обычно обладает многими атрибутами, которые помогают описывать и распознавать его.
· обеспечения служб аутентификации (проверки подлинности) и безопасности.
· Отличительное имя – Distinguished Name (DN)
В каталогах на базе протокола LDAP для идентификации объекта в масштабе всего леса используется механизм отличительных имен.
Ø DC (Domain Component) — указатель на составную часть доменного имени;
Ø OU (Organizational Unit) — указатель на организационное подразделение (ОП);
Ø CN (Common Name) — указатель на общее имя.
В Active Directory учетная запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users, будет иметь следующее отличительное имя:
« DC=ru, DC=company, CN=Users, CN=User»
· Относительное отличительное имя – Relative Distinguished Name (RDN)
Для идентификации объекта относительно контейнера, в котором данный объект хранится, существует относительное отличительное имя.
Учетная запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users будет иметь RDN-имя:
«CN=User»
· Основное имя объекта – User Principal Name (UPN)
Кроме имен DN и RDN, используется основное имя объекта. Оно имеет формат <имя субъекта>@<суффикс домена>: User@company.ru
· Глобально уникальный идентификатор - Globally Unique Identifier (GUID, 128-битное число) – для того, чтобы не терять ссылки на объекты при их перемещении в лес
При планировании AD необходимо учитывать следующие моменты:
· тщательный выбор имен доменов верхнего уровня;
· качество коммуникаций в компании (связь между отдельными подразделениями и филиалами);
· организационная структура компании;
· количество пользователей и компьютеров в момент планирования;
· прогноз темпов роста количества пользователей и компьютеров.
Выбор имен доменов верхнего уровня:
· Один домен, одна зона DNS
Внутренняя сеть компании
Глобальная сеть Интернет
здесь company.ru - единая зона DNS для хранения:
· внутреннего домена AD
· ссылок на внешние ресурсы (веб-сайт, почтовый сервер)
Даже если сеть надежно защищена межсетевым экраном и другими средствами защиты, предоставление потенциальным взломщикам информации о структуре внутренней сети — вещь очень рискованная, поэтому данный способ организации пространства имен AD не рекомендуется (хотя на практике встречается довольно часто).
· Одно имя домена, две различные зоны DNS
1) company.ru - зона DNS для хранения внутреннего домена AD
2) company.ru - зона DNS для хранения ссылок на внешние ресурсы
Внутренняя сеть компании
Глобальная сеть Интернет
Зоны никак между собой не связаны — ни механизмами репликации, ни ручной синхронизацией. Данный вариант несложно реализовать, но для сетевого администратора возникает нагрузка управления двумя разными доменами с одним именем.
· Расщепление пространства имен DNS
R – маршрутизатор, прокси-сервер, МСЭ
corp.company.ru - поддомен на внутреннем DNS-сервере. На базе этого поддомена создается домен AD.
company.ru - корневой домен для хранения:
· ссылок на внешние ресурсы
· ссылка на делегирование управления поддоменом на внутренний DNS-сервер
Пользователям Интернета доступен минимум информации о внутренней сети. Такой вариант организации пространства имен довольно часто используется компаниями.
· Два различных домена DNS для внешних ресурсов и для Active Directory
Внутренняя сеть компании
Глобальная сеть Интернет
comp.ru - зарегистрированное доменное имя для развертывания AD
company.ru - зарегистрированное доменное имя для публикации внешних ресурсов
Самый оптимальный сценарий планирования пространства имен:
· имя внешнего домена никак не связано с именем внутреннего домена, и не возникает никаких проблем с возможностью показа в Интернет внутренней структуры
· регистрация (покупка) внутреннего имени гарантирует отсутствие потенциальных конфликтов, вызванных тем, что какая-то другая компания может зарегистрировать в Интернете имя, совпадающее с внутренним именем вашей компании.
