Служба каталогов

Служба каталогов хранит информацию о сетевых ресурсах организации, предоставляя администраторам и авторизованным пользователям инструменты для удобного и быстрого поиска ресурсов, управления ими и получения доступа к ним. Информация находится в едином распределенном хранилище в виде иерархически организованного каталога.

Сетевые ресурсы представлены в каталоге объектами. Примеры объектов — учетные записи пользователей и компьютеров, группы, подразделения, сайты, зоны и записи DNS.

Классы объектов каталога и их атрибуты описываются в схеме каталога.

Для удобства администрирования объекты каталога объединяются в логические контейнеры:

Для обеспечения безопасного доступа к ресурсам с помощью механизмов аутентификации и авторизации между доменами и лесами доменов устанавливаются доверительные отношения.

Управление доменом осуществляется одним или несколькими контроллерами домена. Каждый контроллер домена хранит копию каталога того домена, в котором он находится.

Изменения, вносимые в каталог на одном контроллере домена, реплицируются на другие контроллеры в рамках домена, дерева домена и леса. Состав реплицируемых изменений зависит от раздела каталога, к которому они относятся, и от роли контроллера домена.

Каталог состоит из следующих разделов (контекстов именования):

Для обеспечения эффективной маршрутизации трафика при обработке запросов аутентификации и репликации с учетом особенностей физической топологии сети контроллеры домена и компьютеры в рамках службы каталогов объединяются в сайты.

Сайт объединяет в себе ресурсы службы каталогов, располагающиеся в одной или нескольких подсетях. Подсеть — это сегмент сети TCP/IP с закрепленным диапазонов IP-адресов, который используется для группировки компьютеров по признаку их физической близости друг к другу.

Для обеспечения безопасности служба каталогов предоставляет инструменты для аутентификации при входе в сеть и авторизации при получении доступа к ресурсам.

Благодаря возможности реализации сценариев единого входа (Single Sign-On, SSO) служба каталогов позволяет администраторам управлять объектами каталога и ресурсами организации, а авторизованным пользователям — получать доступ к ресурсам в рамках всей сети без повторной аутентификации (ввода пароля).

Каждый объект в службе каталогов является экземпляром класса, для которого задается определение в единой схеме. Класс объединяет в себе объекты с общими свойствами (например, пользователи, принтеры, приложения). Определение каждого класса содержит список атрибутов, которые могут использоваться для описания экземпляров данного класса. Атрибуты класса делятся на обязательные и дополнительные. Поскольку каталог имеет иерархическую структуру, определение каждого класса также содержит список классов, описывающих объекты, которые являются родительскими по отношению к объектам данного класса.

Схема содержит определение для каждого атрибута, состоящее из уникальных идентификаторов атрибута, синтаксиса для его описания (типы данных для значений атрибута), допустимых диапазонов изменения значений атрибута, признака возможности задания только одного значения или нескольких значений для атрибута, а также правил поиска и индексирования атрибута. Для каждого атрибута в схеме существует строго одно определение, на которое ссылаются определения классов объектов.

Вносимые в схему изменения носят глобальный характер. Схема является единой для всего леса. С помощью механизмов репликации обеспечивается наличие копии схемы на каждом контроллере домена в лесу. Любое расширение схемы распространяется на весь лес.

Вносимые в схему дополнения являются необратимыми. Добавленный в схему новый класс или атрибут не может быть из нее удален. Существующий атрибут или класс может быть переведен в неактивное состояние, но удалить его невозможно.

Перевод класса или атрибута в неактивное состояние не влияет на существующие экземпляры данного класса или атрибута, но при этом делает невозможным создание новых экземпляров. Атрибут не может быть переведен в неактивное состояние, если он используется хотя бы в одном активном классе.

Глобальный каталог позволяет пользователям и приложениям находить объекты в службе каталогов по одному или нескольким атрибутам.

Он содержит частичную копию всех разделов каталога, включая раздел схемы и раздел конфигурации. Таким образом, глобальный каталог располагает копией каждого объекта каталога, но с ограниченным набором атрибутом. В этот набор включаются атрибуты, которые чаще всего используются при поиске и необходимы для точного определения текущего расположения полной копии объекта. Благодаря этому пользователи могут быстро находить необходимые объекты, не зная, в каком именно домене они находятся.

Глобальный каталог формируется автоматически системой репликации. Он реплицируется на контроллеры домена с ролью сервера глобального каталога.

Поиск объектов является ключевой функцией службы каталогов. Он позволяет находить объекты в каталоге по заданному набору критериев и получать информацию об определенных свойствах найденных объектов.

В общем случае процесс поиска состоит из следующих этапов:

Все поисковые запросы выполняются в одном из следующих контейнеров (контекстов именования):

Для сужения диапазона поиска доступны следующие опции:

Служба каталогов предоставляет следующие возможности для поиска:

Доверительное отношение — логическая связь между двумя доменами, в рамках которой пользователи и другие объекты в одном домене могут получать доступ к ресурсам в другом домене.

Сторонами доверительного отношения являются:

Направление доверительного отношения определяет направление потока аутентификации между двумя доменами:

Транзитивность доверительного отношения определяет, распространяется ли доверие между двумя доменами на другие домены, связанные с ними.

Служба каталогов поддерживает построение односторонних и двухсторонних доверительных отношений с другими доменами и лесами под управлением Samba и Microsoft AD DS.

В рамках создания доверительных отношений с Microsoft AD DS поддерживаются:

Для реализации сложной структуры доменов поддерживаются транзитивные доверительные отношения при использовании аутентификации и авторизации на базе Kerberos и NTLMSSP.

В рамках доверительных отношений поддерживаются:

Для поддержания данных в актуальном и непротиворечивом состоянии на всех контроллерах домена служба каталогов использует механизм репликации: когда какой-либо объект создается, изменяется или удаляется в службе каталогов, данные о нем реплицируются с одних контроллеров домена на другие таким образом, чтобы на всех контроллерах они были одинаковыми.

Примерами реплицируемых данных могут служить изменения в данных пользователей, групп, групповых политик, схемы каталога, записей DNS, а также информация о добавлении и удалении контроллеров домена, компьютеров и устройств в домене, перемещении объектов по иерархии каталогов, изменении паролей и т. д.

Передача данных между участвующими в репликации контроллерами домена выполняется в соответствии со следующими базовыми принципами:

Репликация между контроллерами домена внутри сайта и между сайтами происходит как с использованием механизма нотификации об изменениях, так и по расписанию.

Поддерживаются механизмы разрешения следующих типов конфликтов в процессе репликации:

Обеспечивается репликация базы данных каталога и SYSVOL в смешанной среде (Samba и Microsoft AD DS).

Технология Distributed File System Namespaces (DFSN) обеспечивает создание виртуальных пространств имен для доступа к общим папкам в рамках сетевой инфраструктуры организации. Она позволяет объединить ресурсы, расположенные на разных файловых серверах, в единую логическую иерархию таким образом, чтобы пользовали и приложения могли получать к ним доступ по стандартным UNC-путям. При этом физическое расположение файлов скрывается, а структура доступа к ним задается администраторами с использованием инструментов управления.

Пространства имен могут быть двух типов:

Внутри пространства имен создаются папки, каждая из которых ссылается на одну или несколько целевых папок. Эти папки представляют собой обычные общие ресурсы на файловых серверах. Когда пользователь переходит по ссылке на клиенте, обслуживающий пространство сервер формирует список возможных целевых папок, из которых выбирается наиболее подходящая с учетом доступности, принадлежности к сайту в структуре службы каталогов и приоритета (если выполнены соответствующие настройки).

Данный механизм перенаправления обеспечивает прозрачность доступа и отказоустойчивость: если один из серверов становится недоступным, клиент может использовать другую целевую папку, не меняя путь к ресурсу.

Для оптимизации работы клиент кэширует полученные перенаправления на ограниченное время, после чего выполняет новый запрос.

Сервер может вводиться в домен в качестве контроллера домена в одном из двух режимов:

Контроллеру домена может быть выдана роль сервера глобального каталога. В этом случае он также хранит частичную доступную для чтения копию всех объектов в многодоменном лесу. Наличие серверов глобального каталога сокращает время поиска объектов, обслуживаемых контроллерами в других доменах леса.

Для исключения возможности возникновения конфликтов для некоторых групп объектов каталога операции по изменению данных сначала выполняются на одном специально выделенном для этого контроллере домена, а затем реплицируются на все остальные контроллеры в пределах домена или леса.

Для управления такими операциями используется механизм ролей FSMO (Flexible Single Master Operation), обеспечивающих уникальность исполнителя.

Роль FSMO — набор объектов, которые в каждый конкретный момент времени могут изменяться только в рамках одной копии раздела каталога. Контроллер домена, на котором находится такая копия, является владельцем данной роли FSMO.

В службе каталогов используются следующие роли FSMO:

Дополнительно создается роль владельца инфраструктуры для каждого раздела приложений, а также следующие роли для работы с зонами DNS: