Active Directory to usługi katalogowe dla Windows Server 2003. Katalog przechowuje informacje o obiektach dostępnych w sieci – czy są to udziały sieciowe, drukarki, komputery, czy tez wyspecjalizowane serwery bazodanowe czy inne oprogramowanie serwerowe.
Active Directory to usługi katalogowe dla Windows Server 2003. Katalog
przechowuje informacje o obiektach dostępnych w sieci – czy są to udziały
sieciowe, drukarki, komputery, czy tez wyspecjalizowane serwery bazodanowe czy
inne oprogramowanie serwerowe. Dzięki Active Directory administrator ma potężne
narzędzie pozwalające na wprowadzenie porządku i określonej, hierarchicznej
struktury w sieci.
Usprawnienia w usługach katalogowych w Windows Server 2003 obejmują chyba
każdy aspekt działania Active Directory. Katalog jest znacznie bardziej
elastyczny w stosunku do tego, co było dostępne w Windows 2000 Server. Jednakże
nie odbiło się to negatywnie na wydajności katalogu. W Windows Server 2003
jeszcze bardziej zwiększono wydajność tego rozwiązania. Dzięki temu np. możliwa
jest konsolidacja serwerów (mówiąc inaczej – na tym samym sprzęcie, usługi
katalogowe Windows Server 2003 są w stanie obsłużyć więcej użytkowników i
przechować znacznie więcej obiektów niż wersja dostępna w Windows 2000). W ten
sposób sumaryczny koszt użycia (TCO) katalogu Windows Server 2003 jest niższy
niż w wersjach poprzednich.
Katalog Active Directory może działać zarówno na 64 jak i 32 bitowej wersji
Windows Server 2003. Obie edycje bez problemu mogą współpracować ze sobą. Można
instalować główny kontroler na serwerze Itanium, a zapasowe serwery (czy też
kontrolery poddrzew) na 32 bitowych serwerach. Także replikacja w takim
scenariuszu wdrożenia nie sprawia żadnych problemów.
Bardziej elastyczny katalog
W Windows Server 2003 można dowolnie zmieniać strukturę katalogu.
Administrator czy projektant katalogu może dodawać atrybuty, tworzyć własne
klasy obiektów itp. Wszystkie te informacje będą powielane zgodnie z
ustawieniami schematu replikacji. Przed kasowaniem elementu schematu,
administrator może oznaczyć go jako „nieaktywny”. Jest to operacja, jaką można
szybko wycofać. W ten sposób można sprawdzić, czy rzeczywiście dany element
schematu jest już niepotrzebny. Dzięki temu można także dowolnie zmieniać nazwy
danego elementu katalogu – zachowując przy tym wszystkie jego wartości. Daje to
dużą elastyczność – na przykład, jeżeli po jakimś czasie programista uzna, że z
pewnych powodów nazwa danej cechy obiektu ma być inna, to administrator może ją
zmienić z poziomu konsoli MMC – ale wartości danego atrybutu będą prawidłowo
zachowane.
Można nawet zmieniać nazwę DNS i/lub NetBIOS dla korzenia lasu. Dzięki temu,
w wypadku gdy zmienia się „główna” nazwa katalogu (na przykład po zmianie nazwy
firmy), nie trzeba jak w Windows 2000 tworzyć nowej domeny i migrować danych. Co
ważniejsze – po zmianie nazwy nie zmienia się ani klucz GUID (Globally Unique
ID) domeny ani klucz bezpieczeństwa – SID (Security ID). Jedyne, co może być
konieczne, to restart wszystkich serwerów obsługujących katalog.
Wszystkie zmiany w strukturze katalogu (zwłaszcza – definicji atrybutów i
klas) są wersjonowane – w ten sposób przy łączeniu domen itp. wiadomo, czy
schematy są zgodne i np. jakich atrybutów brakuje.
Active Directory w Windows 2003 w pełni obsługuje składnik inetOrgPerson –
zgodnie z wymaganiami nakładanymi przez dokument RFC 2798. Dzięki temu można bez
problemu migrować aplikacje bazujące na tym atrybucie do katalogu Windows Server
2003. Atrybut ten może służyć do identyfikacji obiektu (tzw. nazwa CN) – jednak
to zależy od opcji ustawionych w konfiguracji. To administrator decyduje, jaki
zestaw atrybutów jednoznacznie definiuje nazwę obiektu. Wartość inetOrgPerson
może być także zmieniona w razie potrzeby (obsługiwany jest pełny zestaw Unicode).
Możliwość wygodnej pracy z CN (czyli – nazwą obiektu) i niezależnie z
inetOrgPerson (ten atrybut często wykorzystywany jest w katalogach LDAP do
identyfikacji obiektu) jest bardzo przydatna w momencie gdy łączone są 2
katalogi – na przykład po przejęciu firmy. Administrator może np. zmienić
atrybut „nazywający” i migrować obiekty inetOrgPerson z katalogu LDAP do Active
Directory.
Szybsze logowanie
Logowanie do domeny Windows Server 2003 odbywa się znacznie szybciej. W
poprzednich wersjach, konieczne było odwołanie do tzw. globalnego katalogu (GC).
W Windows Server 2003 klient może skorzystać z informacji umieszczonej w pamięci
podręcznej, (która okresowo jest odświeżana). W ten sposób można znacznie
zmniejszyć „poranne obciążenie” wynikające tylko z tego, że użytkownicy po
przyjściu do pracy od razu logują się do sieci. Oczywiście – to administrator
decyduje czy ten mechanizm będzie włączony i jak często cache będzie odświeżane.
Równocześnie Windows Server 2003 zawiera specjalne mechanizmy pozwalające
efektywnie działać Active Directory nawet w sytuacji, gdy biuro ma rozproszoną
strukturę i łącza pomiędzy poszczególnymi elementami jednego drzewa nie są
pewne. W Windows 2000, w takiej sytuacji, w każdym poddrzewie musiała być
zainstalowana kopia globalnego katalogu (GC), by wyeliminować opóźnienia w
logowaniu do sieci. W Windows 2003, konkretna lokalizacja nie musi mieć kopii GC
– wystarczy by był obsługiwany mechanizm cache zawierający informacje o
uniwersalnych grupach w domenie.
Szybsza replika
W Windows Server 2003 można tak skonfigurować replikację, by przesyłane były
tylko zmiany, nawet gdy modyfikowany jest schemat katalogu (atrybuty/klasy) i
gdy zmiany dotyczą struktury przynależności do grup. Innymi słowy – w Windows
Server 2003, nawet gdy zmieniają się atrybuty należące do GC (Global Catalog
Partial Attribute Set), pomiędzy kontrolerami domen przesyłane są tylko zmiany.
W Windows 2000 w takiej sytuacji przesyłana była pełna zawartość katalogu
globalnego. Windows Server 2003 wykorzystuje bardzo szybki i efektywny mechanizm
replikacji – Inter?Site Topology Generator (ISTG).
W przypadku Active Directory często może zachodzić potrzeba odtworzenia stanu
katalogu na innym serwerze. Można oczywiście instalować rolę serwera katalogu i
wybrać opcję by system samodzielnie zsynchronizował się z bazowym serwerem. W
Windows 2003 można także odtworzyć replikę z kopii zapasowej i „wgrać ją” na
docelowy serwer. Dzięki temu synchronizacja nie musi obciążać sieci. Znacznie
przyspiesza to wykonywanie operacji, a także powoduje, że cześć operacji można
wykonać na serwerze, który jeszcze fizycznie nie jest częścią sieci docelowej.
Rozbudowane LDAP
W Windows Server 2003 rozbudowane zostały mechanizmy LDAP. Obsługiwane są na
przykład wirtualne listy elementów. Jeżeli klient chce odczytać duży zestaw
obiektów, to może utworzyć taką listę po stronie serwera, po czym dalej
przeglądać kolejno informacje, ściągając je małymi porcjami. Jest to
rozszerzenie LDAP opracowane przez IETF. LDAP w Windows Server 2003 obsługuje
bezpieczną komunikację przy użyciu TLS (zgodnie z RFC 2830). Można też
wykorzystywać autoryzację typu „diggest”, jak to opisuje RFC 2829.
Można także
dynamicznie tworzyć składniki katalogu zgodnie z najnowszymi standardami
internetowymi – w tym RFC 2589. Każdemu elementowi może być przypisany czas
„życia”, który określa kiedy obiekt zostanie skasowany.
W Windows Server 2003
wprowadzona został mechanizm „szybkiego” odpytywania katalogu Active Directory.
Dzięki temu, że aplikacja może wykorzystywać jedno połączenie do wysyłania
zapytań w imieniu różnych użytkowników, można znacznie zmniejszyć obciążenie
generowane np. przez witrynę WWW, która autoryzując użytkowników odpytuje
katalog Active Directory. Wykorzystując jedno połączenie do Active Directory
witryna jest w stanie obsłużyć wszystkich użytkowników.
Uproszczony model “aplikacyjny” usług katalogowych
W niektórych scenariuszach wdrożeń, instalacja pełnej infrastruktury
katalogowej może być niepotrzebna. Aplikacja wymaga na przykład tylko mechanizmu
do przechowania tymczasowych danych, czy też po prostu takich informacji, które
nie muszą być replikowane w całej strukturze Active Directory.
W Windows Server 2003 dostępny jest specjalny tryb działania usługi
katalogowej tzw. AD/AM. Jest on przeznaczony właśnie jako „lekka” usługa
katalogowa – repozytoriom dla potrzeb aplikacji. Przykładem może być na przykład
portal, gdzie w Active Directory przechowywane są informacje o użytkownikach
portalu, ich prawa dostępu itp. Są to informacje, które nie muszą być
replikowane na inne serwery Active Directory obsługujące intranet w firmie.
Wygodnie jest natomiast, by mogły być zapisane w strukturze katalogu. W takiej
sytuacji warto uruchomić katalog AD/AM.
Ten mechanizm pozwala tworzyć także „partycje” aplikacyjne w ramach katalogu
Active Directory. Nie musi to być oddzielny kontroler domeny – można określić,
że dane poddrzewo jest właśnie „partycją” przeznaczoną na potrzeby określonej
aplikacji.
Łatwiejsze zarządzanie
Konfiguracja Active Directory – czy to dla istniejącej domeny, czy też dla
nowego schematu, może być wykonana przy użyciu kreatora roli – i sprowadza się
do odpowiedzi na kilka pytań. Dalsze operacje mogą być wykonane z poziomu
wygodnych konsoli MMC – gdzie można definiować obiekty, dodawać
grupy/użytkowników itp.
Łatwiejsza jest także migracja pomiędzy domenami NT, 2000 i 2003. Active
Directory Migration Tool (ADMT) obsługuje różne schematy migracji. Równocześnie
administrator może dowolnie rozbudowywać algorytm migracji tworząc własne
skrypty wykorzystujące specjalne obiekty COM wspomagające różne operacje przy
przenoszeniu informacji pomiędzy katalogami. Warto tu wspomnieć, że oprócz
wygodnego GUI, dostępny jest także zestaw narzędzi do uruchamiania z linii
poleceń. W ten sposób administrator otrzymuje bardzo potężne narzędzie, które
może wykorzystać w taki sposób, by maksymalnie uprościć proces migracji.
Konsole MMC służące do zarządzania Active Directory mają kilka nowych,
ciekawych cech. Można wybrać i zaznaczyć kilka obiektów, po czym wykonać na nich
określoną operację. Jeżeli administrator pracuje na pewnym podzbiorze katalogu,
kwerendę, która wybiera dany zestaw obiektów może zapisać jako widok i potem
jednym ruchem myszy przywołać go z powrotem. Większość operacji kopiowania
sprowadza się do czynności „przeciągnij i upuść”.
Mechanizm wyboru elementów może mieć rozszerzoną funkcjonalność poprzez
dodatkowe narzędzia napisane przez niezależnych producentów oprogramowania.
Praktycznie prosty „wybór” elementu może być połączony z przejrzeniem katalogu i
znalezieniem takich klas obiektów, które pasują w danym kontekście. Wszystko to
sprawia, że praca z konsolą MMC jest znacznie prostsza i bardziej intuicyjna niż
w Windows 2000.
Warto także pamiętać, że jak każdy aspekt Windows Server 2003, także i
zarządzanie Active Directory może być wykonywane za pośrednictwem linii poleceń.
Dostępnych jest wiele rozkazów – jak chociażby dsadd, dsget, dsmod, dsquery,
dsmove czy dsrm.
Na przykład, aby usunąć całą zawartość poddrzewa biuro, wraz ze wszystkimi
obiektami, można napisać w linii poleceń:
dsrm -subtree -noprompt -c ou=biuro,dc=test,dc=local
Oprócz tego Active Directory ma bardzo rozbudowany interfejs WMI. Używając
tego mechanizmu można tworzyć, przesuwać czy usuwać obiekty. WMI ma także
mechanizmy do śledzenia działania Active Directory – można napisać skrypt, który
będzie na bieżąco sprawdzał, czy wszystkie elementy Active Directory działają
prawidłowo – w tym np. czy prawidłowo działają relacje zaufania pomiędzy
domenami.
W Active Directory w Windows Server 2003 dostępne są tzw. grupowe polisy (Group
Policy), czyli zestaw zasad i uprawnień obowiązujący użytkowników i komputery
dołączone do danej domeny. Polisy grupowe w odróżnieniu od polis lokalnych mogą
być ustawiane na dowolnym poziomie hierarchii w katalogu. W Windows 2003
wprowadzonych zostało ponad 100 nowych ustawień obejmujących różne aspekty
działania systemu i uprawnień użytkownika (w sumie jest ich ponad 160). Wśród
nowych cech, warto wymienić możliwość ustawiania położenia folderu „Moje
dokumenty” czy – mechanizm pozwalający określić „dozwolony do uruchamiania”
zestaw oprogramowania.
Dzięki temu, że system może symulować „wynikowy” zestaw polis, administrator
może zobaczyć, jakie wyniki przynosi ustawianie określonych parametrów w GPO,
przy rozbudowanych zasadach „dziedziczenia” uprawnień (zgodnie ze strukturą
drzewa).
W Windows Server 2003, polisa grupowa nie jest ograniczona do jednej domeny, czy
lasu. Może być replikowana pomiędzy lasami – zgodnie z relacjami zaufania. Także
ustawienia w GPO mogą „wskazywać” na zewnętrzne domeny – np. centralny punkt
dystrybucji oprogramowania.
Zmiany w DNS
Omawiając Active Directory warto podkreślić kilka istotnych zmian w serwerze
DNS. DNS w Windows 2003 jest zgodny z RFC 2535. Serwer DNS może obsługiwać
warunkowe przekierowywanie zapytań – np. można wydzielić serwery, które
odpowiadają na pytania dotyczące określonych serwerów sieci – i ten podział może
być niezależny od struktury katalogu. Równocześnie Microsoft wprowadził
mechanizmy autoryzacji przy aktualizowaniu rekordów DNS, zgodnie z propozycją w
RFC 2535. Serwer może przechowywać rekordy typu KEY, SIG, oraz NXT zdefiniowane
w standardzie IETF. Może także zwracać ich wartość (w zależności od zapytania
skierowanego do DNS-a). Nie jest jednak w pełni obsługiwana kryptografia. Warto
też pamiętać, że DNS w Windows 2003 obsługuje protokół IPV4 oraz IPV6.
W momencie, gdy następuje łącznie dwu katalogów i pojawia się konflikt w DNS,
Windows Server 2003 od razu pokazuje raport, gdzie dokładnie widać, które
elementy spowodowały konflikt i np. uniemożliwiły połączenie domen.
DNS w Windows Server 2003 może pełnić (tak jak w 2000) rolę samodzielnego
serwera lub może być zintegrowany z Active Directory. Można także tworzyć
serwery główne, zapasowe, a także tzw. serwery typu “stub”. Jest to nowa
możliwość w Windows Server 2003. W takim przypadku serwer DNS jest
„odpowiedzialny” za określoną strefę, ale nie musi przechowywać pełnej kopii
strefy. W razie potrzeby zapytanie zostanie przekierowane do jakiegoś serwera
nadrzędnego lub odpytany zostanie serwer typu „root”.
Podsumowanie
W Windows Server 2003 zostało znacznie uproszczone zarządzanie Active
Directory. Równocześnie sam katalog zyskał wiele nowych możliwości – jak
chociażby możliwość dowolnej zmiany schematów. Równocześnie należy podkreślić,
że katalog działa znacznie szybciej. Wszystko to sprawia, że jest to katalog o
znacznie większych możliwościach niż ten w Windows 2000. A dzięki lepszej
wydajności możliwa jest konsolidacja serwerów – nawet bez wymiany bazy
sprzętowej.
Spis treści
Pobierz dokument w formacie MS Word (703 KB, 26 stron)