1 / 70

Active Directory Domain Controler (AD DC)

Active Directory Domain Controler (AD DC). Grupa robocza (1). Jest logiczną grupą komputerów w sieci współdzielących zasoby takie jak pliki, foldery czy drukarki. Jest określana mianem równoprawnej, gdyż wszystkie komputery współdzielą zasoby na równych prawach.

alicia
Download Presentation

Active Directory Domain Controler (AD DC)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ActiveDirectoryDomainControler (AD DC)

  2. Grupa robocza (1) • Jest logiczną grupą komputerów w sieci współdzielących zasoby takie jak pliki, foldery czy drukarki. • Jest określana mianem równoprawnej, gdyż wszystkie komputery współdzielą zasoby na równych prawach. • Każdy komputer grupy roboczej utrzymuje lokalną bazę danych o zabezpieczeniach: lista kont użytkowników i informacja o zabezpieczeniach lokalnych zasobów.

  3. Grupa robocza (2) • Administracja kontami użytkowników i zabezpieczeniami jest zdecentralizowana – użytkownik musi mieć konto na każdym komputerze do zasobów którego chce mieć dostęp. • Czynności administracyjne mają charakter czysto lokalny – należy je wykonywać na każdym komputerze grupy oddzielnie.

  4. Grupa robocza (3)

  5. Grupa robocza (4) • Nie wymaga komputera z systemem co najmniej 2000 Server dla utrzymywania zcentralizowanej bazy informacji o zabezpieczeniach. • Prosta do zaprojektowania i wdrożenia • Odpowiednia dla niewielkiej ilości komputerów położonych w bliskim sąsiedztwie. • Przeznaczona dla niewielkiej liczby użytkowników nie wymagających centralnej administracji.

  6. Domena Windows (1) • Jest logiczną grupą komputerów w sieci współdzielących centralną, katalogową bazę danych. • Baza składa się z kont użytkowników, informacji o pozostałych zasobach w sieci oraz zabezpieczeniach w domenie. • W Windows 2000/3/8 katalogowa baza danych nazywa się katalogiem i jest częścią usług obsługujących bazę danych ActiveDirectory. • W domenie katalog znajduje się na komputerach skonfigurowanych jako kontrolery domeny.

  7. Domena Windows (2) • Udostępnia scentralizowaną administrację, ponieważ wszystkie informacje przechowywane są lokalnie. • Umożliwia użytkownikom jednokrotne logowanie się w celu uzyskania dostępu do określonych zasobów sieci (zgodnie z uprawnieniami). • Jest skalowalna, co umożliwia tworzenie dużych struktur sieciowych.

  8. Domena Windows (4)

  9. Cechy usługi ActiveDirectory • Organizuje zasoby w domenie w sposób hierarchiczny. • Skalowalność – wynikająca z podziału zasobów sieci na jednostki logiczne. • Wsparcie dla otwartych standardów - scala w sobie koncepcję internetowej przestrzeni nazw z usługami katalogowymi Windows NT. • Wykorzystuje DNS i może wymieniać informację z dowolnymi usługami wykorzystującymi LDAP (LightweightDirectory Access Protocol).

  10. Struktura usługi AD • Usługa rozdziela sieć na strukturę logiczną i fizyczną. • Zasoby zorganizowane są w strukturze logicznej, co pozwala na odnajdywanie zasobów przy użyciu ich nazw, a nie lokalizacji. • Przestrzeń nazw – ograniczony obszar w obrębie którego nazwa reprezentująca obiekt może być odnaleziona i wykorzystana do uzyskania dostępu do obiektu oraz jego atrybutów.

  11. Organizacja logiczna • Przestrzeń nazw ciągła – jeśli nazwa każdego obiektu zawiera sufiks będący nazwą obiektu nadrzędnego oraz istnieje jeden obiekt wyróżniony, którego nazwa jest sufiksem wszystkich pozostałych. Wyróżniony obiekt to korzeń drzewa nazw.

  12. Struktura logiczna (2) • Obiekt – wyróżniony i nazwany zbiór atrybutów reprezentujących np. użytkownika, komputer,... • Zbiór klas – zestaw możliwych rodzajów obiektów występujących w AD. • Schemat – opis wszystkich klas i wszystkich związanych z nimi atrybutów.

  13. Organizacja logiczna (3) • Nazwa – opisuje położenie obiektu w strukturze hierarchicznej (np. ścieżka dostępu do pliku). Jest określana jako DistinguishedName (DN). Podstawowe składnniki: • DC – DomainComponent (Microsoft, com) • CN – CommonName (Users, Jan) • OU – Organisation Unit • O – Organisation (Internet) Internet.com.Microsoft.Users.Jan

  14. Struktura logiczna (4) • Domena – podstawowa jednostka administracji wymagająca istnienia co najmniej jednego kontrolera. • Drzewo domen – wiele domen mających wspólny schemat i konfigurację, tworzących ciągłą przestrzeń nazw. • Domeny połączone są przez przechodnie i zwrotne relacje zaufania weryfikowane przez protokół Kerberos.

  15. Model domeny

  16. Model drzewa domen

  17. Struktura logiczna (5) • Las – zbiór składający się z wielu drzew domen, które nie tworzą ciągłej przestrzeni nazw. • Replika – kopia bazy danych przechowywana przez kontroler domeny. • Partycja – jednostka replikacji bazy danych AD. Podstawowe to: • partycja domeny, • partycja schematu, • partycja konfiguracji.

  18. Przykład lasu domen

  19. Struktura logiczna (6) • Partycja domeny – informacje o obiektach w domenie. Replikowana w całości na każdy kontroler domeny. • Partycja schematu – zawiera definicje schematów (klasy, atrybuty). • Partycja konfiguracji – informacje o wszystkich domenach w lesie, kontrolerach i topologii replikacji.

  20. Względna nazwa wyróżniająca (RDN) • Część pełnej nazwy wyróżniającej wykorzystywana do odnajdowania obiektów przez odpytywanie (nazwa wyróżniająca nie jest dokładnie znana). • Zazwyczaj jest to CN obiektu nadrzędnego. • W domenie jeden obiekt może mieć dwie identyczne nazwy RDN ale nie mogą istnieć dwa obiekty o takiej samej nazwie RDN.

  21. Unikalny identyfikator globalny • Oprócz nazwy obiekt w magazynie AD posiada unikalną tożsamość. • Nazwa może ulegać zmianie, tożsamość zawsze pozostaje niezmieniona. • Tożsamość definiuje Unikalny identyfikator globalny (GUID – Globally Unique Identifier). • GUID – liczba 128 – bitowa przyznana przez agenta systemu katalogowego (DSA) w momencie tworzenia obiektu. • W Windows NT zasoby domeny są związane z identyfikatorem zabezpieczeń (SID). • Identyfikator GUID jest przechowywany w atrybucie o nazwie objectGUID (każdy obiekt).

  22. Nazwa główna użytkownika • User Principal Name (UPN) jest „przyjazną”, krótszą -> łatwiejszą do zapamiętania od DN. • Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych „@” (kowalski@bss.data.com). • UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usunięty bez wpływu na sposób logowania.

  23. Struktura fizyczna (1) • Ściśle związana z DNS. • Nazwy domen to nazwy DNS. • AD wykorzystuje DNS do lokalizacji usług. Siedziba (site) – jedna lub więcej podsieci IP (wysoka jakość połączenia). Siedziba może zawierać kontrolery wielu domen, jak i pojedyncza domena może rozciągać się na wiele siedzib.

  24. Struktura fizyczna (2) • Siedziby służą: • Ograniczeniu ruchu replikacyjnego. • Kierowania klienta do najbliższego mu serwera oferującego żądaną usługę. Siedziby muszą być połączone, aby możliwa była komunikacja (głównie replikacyjna) między kontrolerami domen. • Połączenie – obszar zawierający jedną lub wiele siedzib, w obrębie którego serwery z różnych siedzib mogą łączyć się ze sobą.

  25. Implementacja usługi • Model danych bazuje na modelu X.500. • Schemat jest zaimplementowany jako zbiór wystąpień klas obiektów składowanych w katalogu. • Model zabezpieczeń bazuje na strukturze TrustedComputingBase (TCB) z listami kontroli dostępu. • Model administracyjny umożliwia zarządzanie tylko użytkownikom uprawnionym. Przekazywanie uprawnień odbywa się na zasadzie delegowania. • Directory System Agent (DSA)-proces zarządzający fizycznym składowaniem katalogu. Izoluje klientów od fizycznego formatu składowanych danych.

  26. Dostęp do usługi • Możliwy jedynie przy pomocy protokołów definiujących format wiadomości i interakcji: • LDAP • MAPI-RPC (MessagingApplication Program Interface – RemoteProcedureCall) • X.500 • Dostęp do protokołów poprzez API (interfejsy programowe aplikacji)

  27. Model warstwowy usługi AD

  28. Interfejsy • LDAP – protokół komunikacyjny w sieciach TCP/IP, umożliwia dostęp do usługi AD aplikacjom systemowym jak również tworzenie własnych aplikacji (otwarty standard). • REPL – wykorzystywany przez usługę replikacji po IP lub SMTP (lokacyjna i międzylokacyjna). • SAM – komunikacja międzydomenowa, replikacja w domenach mieszanych (z Windows NT). • MAPI – dziedziczni klienci MAPI jak klient komunikatów i pracy grupowej łączą się z DSA z wykorzystaniem MAPI RPC.

  29. Składniki usługi AD • Directory System Agent (DSA) – tworzy hierarchię składowania danych w katalogu. Dostarcza interfejsów dla interfejsów programowych aplikacji API. • Database Layer – warstwa abstrakcyjna, pośrednia dla odwołań do bazy danych. • Extensible Storage Engine – komunikuje się bezpośrednio z rekordami w magazynie katalogu. • Data store – plik bazy danych (Ntds.dit) zarządzany przez motor bazy danych (program narzędziowy Ntdsutil).

  30. Directory System Agent (DSA) • Proces uruchamiany na każdym kontrolerze domeny dla zarządzania fizycznym składowaniem katalogu. Zapewnia: • Identyfikację obiektu. • Przetwarzanie transakcji. • Wymuszanie uaktualniania schematu. • Wymuszanie kontroli dostępu. • Wspiera replikacje. • Utrzymuje strukturę hierarchiczną bazy danych oraz zapewnia szybki dostęp do jej zawartości (odnośniki).

  31. Motor ESE • Wdraża transakcyjny system bazy danych, korzystający z plików dziennika dla zapewnienia bezpieczeństwa transakcji (Esent.dll, Ntds.ditw folderze %systemroot%\system32). • Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB (~108 rekordów). • Przystosowany do obsługi rzadkich wierszy macierzy. • Zapewnia obsługę schematu dynamicznego (dostosowanie liczby atrybutów do aktualnie definiowanego obiektu). • Umożliwia przechowywanie atrybutów o wielu wartościach.

  32. Baza danych usługi AD • Domyślna lokalizacja: %systemroot%\Ntds.dit . Podczas instalacji możliwa zmiana lokalizacji. • Zalecane umieszczenie bazy danych i plików dziennika na oddzielnych fizycznych dyskach – lepsza wydajność. • W zastosowaniach droższych RAID sprzętowy (RAID-5 lub RAID-10). • Baza danych w pliku Ntds.dit. W trakcie promocji jest kopiowany z katalogu %systemroot%\system32 do wyznaczonego katalogu i z niej startowana jest usługa.

  33. Udostępniony wolumen systemowy • Struktura istniejąca na wszystkich kontrolerach domeny zawierająca skrypty i obiekty zasad dla grup (zbiory ustawień konfiguracyjnych powiązane z poszczególnymi komputerami, lokacjami, domenami dla sterowania zachowaniem pulpitów użytkowników). • Domyślna lokalizacja: %systemroot%\Sysvol. • Udostępniony wolumen systemowy musi znajdować się na partycji lub wolumenie sformatowanym w systemie plików NTFS w wersji 5.0. • Replikacja odbywa się według tego samego harmonogramu co replikacja usługi AD (co 90 +rand(1..30) min).

  34. Instalacja pierwszego kontrolera domeny (1)

  35. Instalacja pierwszego kontrolera domeny (2)

  36. Instalacja pierwszego kontrolera domeny (3)

  37. Instalacja pierwszego kontrolera domeny (4)

  38. Instalacja pierwszego kontrolera domeny (5)

  39. Instalacja pierwszego kontrolera domeny (6)

  40. Instalacja pierwszego kontrolera domeny (7)

  41. Instalacja pierwszego kontrolera domeny (8)

  42. Instalacja pierwszego kontrolera domeny (9)

  43. Instalacja pierwszego kontrolera domeny (10)

  44. Instalacja pierwszego kontrolera domeny (11)

  45. Instalacja pierwszego kontrolera domeny (12)

  46. Instalacja pierwszego kontrolera domeny (13)

  47. Instalacja pierwszego kontrolera domeny (14)

  48. Instalacja pierwszego kontrolera domeny (15)

  49. Instalacja pierwszego kontrolera domeny (16)

  50. Podłączanie klienta do domeny (1) Przeprowadza się od strony klienta

More Related