Дополнительные сетевые службы Основные концепции Active Directory

  • Дополнительные сетевые службы
  • Службы терминалов (Terminal Services) представляют собой совокупность сетевых служб, обеспечивающих удаленный доступ к рабочему столу на сервере при помощи программного обеспечения "тонкого" клиента, выступающего в качестве эмулятора терминала.
  • Управление качеством обслуживания (QoS) В Windows Server 2003 реализованы элементы технологии Управление качеством обслуживания (Quality of Service, QoS), которая поддерживается и в других версиях Windows.
    • Состав Windows QoS Операционная система Windows Server 2003 обеспечивает полную и надежную реализацию технологии QoS. Она позволяет сетевым администраторам использовать преимущества мощности приложений, применяющих QoS, сохраняя возможность управления шириной полосы пропускания сети.
  • Службы ATM Понятие Asynchronous Transfer Mode (ATM, асинхронный режим передачи) описывает ряд связанных и стандартизованных технологий. ATM отличается от других существующих технологий ЛВС и ГВС по многим параметрам. Технология ATM была специально разработана для поддержки быстродействующих коммуникаций.
    • Достоинства ATM ATM обеспечивает управление качеством обслуживания в тех сетях, где должны присутствовать несколько типов информации (например, данные, голос, а также видео и звук в реальном времени). ATM позволяет передавать поток каждого из этих типов информации через одно сетевое соединение.
    • Состав служб ATM в Windows Server 2003  диспетчер вызова UNI ATM (UNI ATM Call Manager), соответствующий спецификациям ATM Forum для передачи сигналов ATM и поддерживающий создание коммутируемых виртуальных каналов (Switched Virtual Circuits, SVC) и постоянных виртуальных каналов (Permanent Virtual Circuits, PVC);

    Основные концепции Active Directory

  • Понятие службы каталога и Active Directory Объединение компьютеров в единую информационную сеть позволяет пользователям совместно использовать общие ресурсы. Современные операционные системы, ориентированные на корпоративный рынок, используют для организации ресурсов специальную сетевую службу, дающую пользователям возможность получения доступа к ресурсам сети без необходимости точного знания местоположения этих ресурсов.
  • Протокол LDAP Для лучшего понимания роли протокола LDAP рассмотрим основные идеи спецификации Х.500. Данная спецификация была разработана Международным консультационным комитетом по телефонии и телеграфии (Consultative Committee for International Telephone and Telegraph, CCITT) совместно с Международной организацией по стандартизации (International Standardization Organization, ISO).
    • Информационная модель Active Directory
      • Объекты и дерево каталога Основным структурным компонентом каталога является элемент (entry), который в терминологии Active Directory называется объектом (object). Объекты являются фундаментальными единицами, которыми манипулирует служба каталога. При этом каждый объект характеризует некоторую отдельную сущность (например, принтер, компьютер, совместно используемую папку или пользователя).
      • Атрибуты Каждый объект каталога состоит из набора атрибутов (attributes), каждый из которых содержит частичку информации, характеризующей объект.
      • Схема каталога Определения всех классов объектов, а также совокупность правил, позволяющих управлять структурой каталога и его содержимым, хранятся в специальной иерархической структуре, которая называется схемой каталога (schema). Чтобы создать в каталоге объект нового типа, необходимо, прежде всего, добавить в схему определение нового класса объектов.
    • Модель именования LDAP Одним из условий успешного манипулирования объектами каталога является однозначная идентификация каждого объекта. Для именования и идентификации объектов в каталоге протокол LDAP использует механизм отличительных имен (Distinguished Name, DN).
  • Схемы именования объектов в Active Directory
    • Основные имена субъектов безопасности Механизм основных имен (Security principal name, SPN) реализует способ именования объектов каталога, рассматриваемых подсистемой безопасности Windows Server 2003 в качестве своих субъектов.
    • Полные доменные имена (Fully Qualified Domain Name, FQDN) используется для однозначной идентификации объектов в пространстве доменных имен.
    • Глобально уникальные идентификаторы Отличительное имя однозначно определяет объект в каталоге. Однако перемещение объекта или его переименование (равно как и переименование любого из контейнеров, внутри которых данный объект содержится) приводит к изменению его отличительного имени.
    • Имена NetBIOS До появления службы каталога Active Directory в качестве основного способа именования объектов в операционных системах Windows применялись имена NetBIOS. В частности этот способ именования используется в операционных системах Windows 95/98/NT.
    • Унифицированный указатель ресурсов LDAP Протокол LDAP является одним из стандартных методов доступа к каталогу Active Directory. Любое LDAP-совместимое приложение может обратиться к объектам каталога посредством запроса, записанного в формате унифицированного указателя ресурсов LDAP (LDAP Uniform Resource Locator, LDAP URL).
    • Канонические имена Вместо отличительного имени для определения положения объекта в дереве каталога можно использовать так называемое каноническое имя (canonical name).
  • Служба DNS Протокол LDAP представляет собой механизм доступа пользователей к каталогу. Однако для того, чтобы клиент смог подключиться к серверу LDAP и отправить свой запрос, он должен точно знать его расположение в сети. До сих пор мы не касались вопроса о том, как именно клиент узнает о расположении сервера LDAP.
    • SRV-записи Служба доменных имен использует SRV-записи для определения местонахождения серверов, предоставляющих услуги определенных служб. Каждая SRV-запись, используемая для работы с Active Directory, представляет собой DNS-псевдоним службы, записанный в формате
  • Протокол аутентификации Kerberos является основным механизмом аутентификации, используемым в среде доменов Active Directory на базе Windows 2000 Server и Windows Server 2003. Этот протокол был разработан в Массачу-сетском технологическом институте (Massachusetts Institute of Technology, MIT) в начале 1980-х.
  • Компоненты службы Active Directory Перейдем от терминологии к рассмотрению механизмов и подсистем, составляющих архитектуру Active Directory. Для начала рассмотрим структуру службы каталога.
  • Доменная структура Active Directory
  • Физическая структура каталога
  • Механизмы репликации каталога
    • Разделы каталога
    • Топология репликации
    • Служба репликации файлов Каталог рассматривается как централизованное место хранения информации о сетевых ресурсах. Однако в силу определенных причин некоторая часть информации не может быть размещена в каталоге. Например, старые версии операционных систем (Windows 9x/NT) используют специальный сетевой ресурс NETLOGON для размещения информации, необходимой для регистрации в сети
      • Создание системного тома SYSVOL Том SYSVOL создается непосредственно в ходе повышения сервера до контроллера домена. Когда вы устанавливаете первый контроллер домена в сети, в этой папке на базе имеющихся шаблонов создаются объекты политик по умолчанию.
      • Служба каталога и служба FRS Для своей работы служба FRS запрашивает информацию о физической структуре службы каталога, серверах каталога и соединениях между ними. Другими словами, служба репликации файлов не создает своей инфраструктуры, а использует топологию репликации каталога для собственных целей.
  • Групповые политики В настоящее время практически любой производитель системного программного обеспечения встает перед проблемой снижения общей стоимости владения системой (total cost ownership). Эта проблема заключается в том, что развитие и связанное с этим усложнение технологий приводит к увеличению затрат на администрирование.
    • Объекты групповой политики
      Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Для именования объекта групповой политики используется глобальный уникальный идентификатор (GUID).
[an error occurred while processing this directive]