Управление деревом и лесом

Деревья и леса

Вспомним определения, данные ранее. Итак, дерево характеризуется:

- иерархией доменов;

- пространством смежных имен;

- доверительными отношениями Kerberos между доменами;

- использованием общей схемы;

- принадлежностью к общему глобальному каталогу.

Лес характеризуется:

- одним или несколькими наборами деревьев;

- раздельными пространствами имен между этими деревьями;

- доверительными отношениями Kerberos между доменами;

- использованием общей схемы;

- принадлежностью к общему глобальному каталогу.

На рисунке изображен пример леса. DNS-имя корневого домена в левом поддереве — microsoft-com.; LDAP-имя этого домена в Active Directory можно записать как DC=microsoft, DOCOM, o=Internet. Корневое имя домена во втором поддереве — DC=MSN, DC=COM, o=Internet. Хорошо видно, что пространства имен разделены.

Пример леса

Поддомены в каждом из деревьев принадлежат к смежному пространству имен. Например LDAP-имя для российского домена внутри Microsoft могло бы выглядеть как DC=russia,DC=microsoft,DC=COM,o=Internet.

Концепция смежных деревьев в лесу позволяет понять многие механизмы: как осуществляется поиск в лесу или в поддеревьях, почему объекты безопасности остаются действительными в рамках леса и др. Можно формировать виртуальные команды пользователей, находящихся в разных деревьях леса, а также включать в лес любое дерево. Последнее свойство используется, например, при слиянии предприятий или начальном разворачивании сети.

Для обеспечения работы дерева или леса необходимы метаданные. Они хранятся в двух контейнерах (конфигурации и схемы), в каждом из которых своя система имен и топология тиражирования. В конфигурационном контейнере содержится информация, связующая для деревьев в лесу: о доступных контроллерах домена, узлах и вообще всех контроллерах домена. При добавлении в домен нового контроллера конфигурационная информация обновляется и тиражируется.

Возможно, неискушенный читатель, ознакомившись с предыдущим разделом, решит, что автор бредит, настолько рассуждения о деревьяхи лесе на первый взгляд кажутся бессвязными. Могу лишь посоветоватьабстрагироваться от привычного восприятия леса и деревьев как объектов природы и настроиться на то, что это объекты Active Directory.
Как и любыми, объектами службы каталогов необходимо управлять. Представьте себе небольшую фирму, организовавшую деревья и леса

Active Directory в соответствии со своей структурой. Более чем очевидно, что это нельзя сделать раз и навсегда. Предприятие может расти, его структура — перестраиваться, отделы и подразделения — исчезать или создаваться заново. В соответствии с этими изменениями надо будет модифицировать и структуру сети, и такие возможности в Active Directory предусмотрены. К операциям реструктуризации и переименования объектов в каталоге относятся:

- простое добавление доменов;

- простое удаление доменов;

- переименование доменов;

- переразмещение деревьев доменов и лесов;

- слияние деревьев в лес.

Добавление домена — самая простая из перечисленных операций. Домен можно подключить к дереву во время установки контроллера домена. Все что для этого нужно сделать — указать существующий в Active Directory домен в качестве родительского. При этом между доменами будут установлены доверительные отношения Kerberos, что позволит новому домену присоединиться к дереву.

Удаление домена не является удалением в полном смысле этого слова — домен просто исключается из дерева. Проделать эту операцию можно в любое время. Но предварительно следует убедиться, что у исключаемого домена нет дочерних доменов — иначе доверительные отношения дочернего домена окажутся разорванными, и он также будет исключен из дерева.

Любой объект в каталоге Active Directory может иметь несколько имен: общее, относительное и т. п. Единственным всегда неизменным идентификатором объекта является Глобальный уникальный идентификатор GU1D (Globally Unique Identifier). GUID - это многозначное число, создаваемое контроллерами домена. Алгоритм создания идентификатора не допускает дублирования. Именно этот никогда не изменяемый идентификатор может использоваться в Active Directory для того, чтобы свободно переименовывать домены, как и любые объекты4.

GUID также позволяет перемещать домены в дереве или в лесу. Во время частичного тиражирования в глобальный каталог заносится подмножество свойств объекта. В это подмножество входит и GUID. Если объект перемещен, то глобальный каталог может использовать GUID для поиска объекта и его отличительного имени на основе нового относительного ID и LDAP-пути к новому местоположению.

Включение домена в лес не сложнее подключения к дереву доменов и рассматривалось ранее.

Если используется сервер динамического DNS Windows NT 5.0, то при перемещении или переименовании домена средствами администрирования автоматически выполняется коррекция записей в базе DNS. При использовании UNIX DNS-сервера создается файл, в который заносятся и подлежащие удалению, и новые записи. Дополнительно в Windows NT Workstation 5.0 автоматически изменяются настройки TCP/IP, и вносится новое имя домена.

Дата добавления: 2014-01-04; Просмотров: 582; Нарушение авторских прав?; Мы поможем в написании вашей работы!