пятница, 21 ноября 2008 г.

Попытка познания концепции Active Directory

Active Directory - что это вообще такое? Периодически такой вопрос задают инженерам. Или у инженеров возникает такой вопрос. Его полезно задать самому себе, дабы это такая вещь, которую, как ни странно, далеко не все могут внятно объяснить в силу неясного осознания самой концепции.
Ниже приведена моя собственная попытка осознания вышеупомянутой технологии. Ни в коем случае не претендует на абсолютную правильность и праведность, а представляет именно мою проекцию сознания в данном вопросе :) (Подкреплено http://technet.microsoft.com и незабвенным курсом 70-297)
***

Любая организация обладает определенным набором ресурсов – финансовых, технических, сырьевых, человеческих и т.д. Для эффективного и удобного пользования ресурсами необходима их структуризация и наличие полной информации о них, а также средства управления ими.

Служба каталогов – средство представления структуры ресурсов организации в виде иерархического описания сущностей. Сущности (объекты) обладают определенными свойствами и функциями, по которым они группируются в классы. Типы ресурсов, классы и определяемые ими атрибуты, а также их взаимосвязи описываются схемой службы каталогов.

ИТ-инфраструктура предприятия включает в себя такие ресурсы как аппаратные платформы (серверы, рабочие станции…), приложения, человеческие ресурсы (персонал)

ИТ-инфраструктура предприятия нуждается в службе каталогов для обеспечения централизации информации о ресурсах, стандартизации этой информации, управления свойствами ресурсов, правами доступа к ним, поиска по ресурсам. Служба каталогов должна обеспечивать прозрачность физической структуры сети и ресурсов – пользователи и администраторы службы каталогов должны иметь возможность пользоваться и управлять ресурсами, не зная, где они находятся и каким образом подключены к сети. Служба каталогов должна обладать масштабируемостью, а именно – без издержек и дополнительных затрат на администрирование допускать значительный рост сети и ресурсов. Необходима также расширяемость – то есть возможность расширения набора информации, хранимого в каталоге. Кроме того, служба каталогов должна обеспечивать безопасность хранимой информации для защиты от несанкционированного доступа.

Организацией ISO были определены стандарты служб протоколов – DAP и LDAP, последняя получила широкое распространение и стала стандартным протоколом служб каталогов в Интернете. Active Directory – реализация службы каталогов для сети под управлением ОС Windows Server 2000\2003\2008, соответствующая стандартам LDAP.

Active Directory представляет собой централизованную службу каталогов с базой данных сетевых ресурсов. База данных может быть разбита на разделы и распределена по доменам сети для обеспечения оперативного доступа к данным из любой точки сети, сохраняя возможность управлять ей как единой. AD расширяема – набор информации о ресурсах, хранимый в каталоге, можно расширить в соответствии с индивидуальными потребностями. Кроме того, согласно вышеописанным требованиям к службе каталогов, Active Directory обеспечивает прозрачность обращения к ресурсам и их администрирование, так как абстрагирует логику сети и ресурсов от их физической структуры.

Службы Active Directory устанавливаются и работают на серверах под управлением ОС Windows Server 2000\2003\2008 (контроллеры домена). Базовая организационная структура и административная единица Active Directoryдомен, члены которого (серверы и рабочие станции) делят между собой общую базу данных безопасности и пространство имен. Каждый домен может быть разделен на организационные единицы – зоны административного управления внутри домена, позволяющие делегировать административные задачи для этих групп, не предоставляя таких полномочий в рамках всего домена.

Организационная структура уровня выше домена – деревья, в которые организуются несколько доменов. Деревья объединяются в лес, который является крайней границей организационной структуры Active Directory.

четверг, 20 ноября 2008 г.

Осознание принципов репликации Active Directory

Внутрисайтовая репликация выполняется по протоколу удаленного вызова процедур (RPC) поверх IP. Для обеспечения безопасности используется протокол Kerberos V5 (проверка подлинности) и шифрование данных. Проводится репликация следующим образом. На одном контроллере домена внесены изменения. Он сообщает своим соседям о том, что есть изменения. Затем другие контроллеры обращаются к нему с запросами об изменениях и происходит собственно репликация.
Мастер-копия базы данных Active Directory хранится в файле ntds.dit (каталог хранения указывается в реестре в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File), файлы журналов транзакций хранятся в каталоге, указываемом в реестре (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path)
Файлы SYSVOL (SYSVOL – директория; присутствующее на каждом контроллере домена централизованное хранилище объектов групповой политики и сценариев, распространяемых службой FRS на другие контроллеры доменов):
Рабочая папка службы репликации файлов (FRS – службы, использующейся контроллерами доменов для репликации сценариев входа и информации групповых политик), хранится в разделе, указанном в реестре: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
Журналы транзакций базы данных службы FRS хранятся в директории, указанной в HKEY_LOCAL_MACHINE\system\currentcontrolset\services\NtFrs\Parameters\DB Log File Directory
Локальная копия базы данных на контроллере домена разделена на части (как минимум, на три, их хранит на себе каждый контроллер домена), которые называются контекстами именования (NC, Naming Context). Их виды
· NC «Схема»
Хранит информацию о схеме Active Directory. Распространяется в масштабе всего леса.
· NC «Конфигурация»
Также распространяется в масштабе леса, хранит информацию о его топологии, топологии репликации и относящиеся к ней метаданные, данные об уровне домена, «осиротевших» объектах (перемещенных в удаленный контейнер), информация о таких сервисах, как FRS, Exchange, и самой Active Directory.
· NC «Домен»
Содержит наиболее часто используемую информацию – об объектах (пользователи, компьютеры), группах, членстве в группах, распространяется в масштабе домена.
База данных Active Directory состоит из порождающих (внесенных на данный домен-контроллер) и реплицированных записей (полученных с другого ДК в результате репликации)
Типы конфликтов, возникающих при репликации
1. Конфликтующие изменения свойств – когда в приблизительно одно и то же время, к примеру, два администратора на двух разных контроллерах домена производят изменение одного и того же свойства одного и то же объекта. При репликации возникнет конфликт данного свойства.
2. Создание конфликтующих объектов (например, опять-таки создание двумя администраторами на разных контроллерах домена двух одноименных пользователей)
3. Размещение объекта в OU, который одновременно подвергся удалению – к примеру, администратор филиала на своем контроллере домена переносит объект «сервер Exchange» в OU «Почтовые серверы», и примерно в это же время администратор головного офиса производит удаление OU «Почтовые серверы». (этот конфликт наиболее просто разрешается – перемещенный объект в случае удаления целевого контейнера помещается в контейнер LostAndFound)
Существуют способы разрешения всех этих конфликтов. В метаданных у каждого изменения есть атрибут версионности – versionID, который при создании свойства объекта (атрибута) имеет значение единицу и увеличивается на единицу же при каждой операции изменения свойства (атрибута). При репликации превалирующим будет то свойство объекта, у которого versionID имеет наибольшую величину.
Кроме того, есть еще одна составляющая метаданных – временная метка (обозначающая время, в которое было внесено изменение). При совпадении versionID конфликтующих изменений свойства превалирующем станет изменение, временная метка которого указывает на самое позднее время. Если же у изменения совпадает и versionID, и временные метки, тогда решение выносится на основе глобального идентификатора (GUID) контроллера домена. Запись, порожденная тем контроллером, GUID которого по абсолютной величине является наименьшим, перезаписывает при репликации конфликтующую запись собой.
Когда имеет место создание объектов с конфликтующими свойствами (например, одноименных), тогда производится оценка из трех шагов по описанному выше механизму, на ее основе выносится решение, какой объект превалирует. Но другой объект не удаляется – ему присваивается статус конфликтного – путем переименования по шаблону «CNF:<значение GUID контроллера, на котором был создан объект>имя объекта»
Собственно управление репликацией включает в себя следующее:
Настройка межсайтовых связей и присвоение цен этим связям
Служба KCC автоматически выстраивает топологию связей сайтов, создает объекты-соединения на сторонах-партнерах репликации (что, собственно, можно сделать и вручную). Настраивать связи между сайтами можно через оснастку Active Directory Sites and Services путем определения свойств связей (цены связи, т.к. путь репликации выбирается по аналогии выбора пути наименьшей стоимости в графе)
Частота репликации
Пользуясь оснасткой Active Directory Sites And Services посредством изменения свойств объекта связи сайтов можно задать частоту межсайтовой репликации. По умолчанию автоматически задается период репликации в 180 минут, его можно изменять в диапазоне от 15 до 10080 минут
Настройка расписания доступности межсайтовых связей
При помощи вышеупомянутой оснастки можно составлять расписание доступности связей между сайтами. Исключением является репликация по SMTP – она не использует данное расписание.
Настройка межсайтовых мостов связей
Мост – это связь между сайтами, которые связаны между собой цепочкой транзитивных связей через другие сайты. По умолчанию автоматически все сайты имеют между собой транзитивные связи. В случае необходимости игнорирования транзитивности некоторых межсайтовых связей (к примеру, для исключения определенного маршрута репликации) необходимо создавать мосты самостоятельно.
Настройка основных серверов-плацдармов
Напомним, что сервером-плацдармом называется домен-контроллер, выполняющий роль сервера межсайтовой репликации (т.е. партнерами межсайтовой репликации являются сервера-плацдармы сайтов, которые в дальнейшем реплицируют полученные данные каждый внутри своего сайта).
Для установки основного сервера-плацдарма сайта необходимо воспользоваться все той же оснасткой AD Sites & services. В свойствах контроллера домена необходимо выбрать один (или более) межсайтовых транспортов, для которых он и будет являться сервером-плацдармом. При таком способе назначения (вручную) необходимо помнить, что в случае сбоя сервера служба Knowledge Consistency Checker не переназначит ему роль сервера-плацдарма автоматически, что, как следствие, повлечет за собой проблемы с репликацией.