www.SAMURAJ-cz.com 

15.12.2017 Radana a Radan Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Active Directory komponenty - domain, tree, forest, site

Pátek, 08.02.2008 19:01 | Samuraj - Petr Bouška |
Mým původním plánem bylo napsat článek, který by byl určen začátečníkům v oblasti správy Microsoftího firemního prostředí a jednoduchou formou popsal základní struktury Active Directory (les, strom, doména a site), jejich vzájemné vztahy a použití. Ale když jsem článek psal, tak jsem doplňoval více a více informací, takže ač myslím, že je stále vhodný pro začátečníky, tak i zkušenější admin může nalézt vhodné informace. Stále je však velké množství podrobností, kterým se v článku nevěnuji, jako replikace či vztahy důvěry. Doplnil jsem ale popis globálního katalogu, operations masters rolí a něco o nasazení.

Část věcí, které řeší tento článek, jsem popsal nově v Kerberos část 1 - Active Directory komponenty a Kerberos část 2 - AD uživatelské účty a Service Principal Name.

Active Directory

Úplně na začátku se pokusím o stručný (a neúplný) popis Active Directory. Termín Active Directory (dále pouze AD) je velice rozsáhlý a ukrývá se pod ním celé řešení správy počítačové sítě (počítače s OS Microsoft Windows) ve firemním prostředí podle Microsoftu. Active Directory, ve své podstatě, je distribuovaná adresářová služba od MS a je součástí Windows Server 2000/2003.

Pozn.: Více o adresářových službách jsem psal v článku Adresářové služby a LDAP.

Adresář obsahuje uložené soubory informací o objektech a jejich vzájemných vztazích. V počítačové síti se zde nachází velká řada objektů, jako servery, stanice, aplikace, databáze, uživatelé. Uživatelé musí být schopni nalézt a použít tyto informace. Správci musí mít možnost řídit, jak jsou tyto objekty používány. Je třeba, aby adresář byl centralizovaný (centralized), ale také dostatečně výkonný/škálovatelný (scalability).

AD v sobě zahrnuje řadu služeb. Jeho primární role je poskytování centrálních služeb pro autentizaci a autorizaci, tedy správa uživatelů (přesněji správa účtů, protože to může být i třeba počítač). Ale různé části poskytují mnoho dalších funkcí, například Group Policy umožňuje spravovat politiky jednotlivých počítačů (co je na nich povoleno) a instalovat hromadně (a vzdáleně) aplikace.

AD je silně provázáno s DNS, snad mohu říci, že některé části jsou na DNS založeny (rozhodně bez něj nefungují). AD používá stejnou hierarchickou strukturu jako DNS.

Pozn.: O DNS i ve vztahu k AD jsem psal v článku DNS (Domain Name System) zaměřeno na Microsoft.

Pozn.: Pro správu AD slouží balík nástrojů, který můžete nainstalovat z instalačního CD Windows Server pomocí souboru adminpack.msi. Pokud chcete rozšířit informace o uživatelích, které poskytuje nástroj Active Directory Users and Computers (ADUC), nainstalujte Windows 2003 Server Resource Kit a pak spusťte regsvr32 acctinfo.dll.

AD objekty a schéma

Data uložená v AD (informace o uživatelích, skupinách, apod.) jsou organizovány jako objekty. Objekt je pojmenovaná skupina atributů, které reprezentují síťový prostředek (resource). Některé objekty mohou obsahovat jiné objekty, to jsou kontejnery (container).

Active Directory schéma definuje objekty, které mohou být uloženy v AD. Schéma je seznam definicí, které určují druhy objektů a typy informací, které mohou uchovávat. Ve schématu jsou dva typy objektů, schema classes (určuje možné objekty, je souhrnem atributů) a schema attributes (jednotlivé atributy pro objekt). Dohromady se tyto objekty nazývají metadata.

Pozn.: Pro správu schématu slouží nástroj Active Directory Schema. Ten se standardně nenachází mezi Administrative Tools, ale je třeba zaregistrovat knihovnu regsvr32 schmmgmt.dll a pak přidat pomocí mmc konzole tento Snap-in (nejlépe následně uložit).

AD Schema

AD komponenty

Komponenty slouží k vytvoření struktury adresáře tak, aby odpovídala struktuře organizace a splňovala její potřeby. Některé komponenty reprezentují logickou a jiné fyzickou strukturu. Tyto komponenty také pomáhají splnit požadavky uvedené výše (jako škálovatelnost).

Logická struktura Active Directory (organizace zdrojů) je tvořena pomocí lesa, stromů, domén a OU. Na vrcholu struktury je les - Forest. Ten může obsahovat jeden nebo více stromů - Trees. Strom je tvořen jednou či více doménami - domains. Uvnitř domén již máme jednotlivé organizační jednotky - OU (Organizational Unit). Uvnitř OU se nachází jednotlivé objekty (počítače, uživatelé, tiskárny, apod.).

Pozn: Logické seskupování zdrojů slouží k tomu, abychom tyto objekty mohli nalézt podle názvu, místo znalosti jejich fyzického umístění.

Forest, Tree, Domain

Fyzická struktura Active Directory se vytváří pomocí doménových řadičů a site. Nevím jaké správné české slovo použít pro anglické site, ale jedná se v podstatě o sítě/podsítě. Site je dána určitým rozsahem adres a většinou se site rovná LAN. Druhou fyzickou komponentou je doménový řadič - Domain Controller - DC, tedy přímo určitý server, na kterém se nachází část (nebo celá) AD.

Doména - Domain

Doména (domain) je základním prvkem logické struktury AD. V doméně jsou přímo uloženy objekty (může se jednat o milióny), které do dané domény patří. AD je tvořena jednou nebo více doménami. Doména není omezena na fyzickou lokaci a může se rozprostírat přes všechny pobočky. Doména je bezpečnostní hranicí, přístup k doménovým objektům je řízen pomocí ACL, které má nastaveno oprávnění (permissions). Bezpečnostní nastavení a oprávnění nemohou přecházet mezi doménami.

Domain, DC, Site

Organizační jednotka OU

OU (Organizational Unit) je kontejner, který se uvnitř domény používá k seskupování/organizování objektů do logických administračních skupin. OU je nejmenší jednotka, na kterou můžeme delegovat administrační oprávnění. OU můžeme zanořovat do sebe a vytvářet libovolnou hierarchickou strukturu. Hierarchie OU je lokální uvnitř domény a neovlivňuje jiné domény. OU se většinou vytváří tak, že odráží strukturu organizace (tedy třeba podle divizí a oddělení). Podle potřeby můžeme uživatelské a počítačové účty umísťovat do stejných OU či vytvářet oddělenou strukturu.

Domain, OU

Pozn.: Pro správu OU slouží nástroj Active Directory Users and Computers.

Strom - Tree

Strom je seskupení nebo hierarchická organizace jedné nebo více domén. Vytvoří se tak, že k rodičovské doméně (parent domain), která se nazývá kořenová doména (Root Domain), přidáme podřízenou doménu(child domain). Domény ve stromě sdílí souvislý jmenný prostor (namespace), schéma a hierarchické spojení doménových jmen. Používá se DNS standard, takže doménové jméno potomka (child domain) vznikne použitím jeho relativního jména doplněné za tečkou jménem jeho rodičovské domény.

Les - poddomény

Les - Forest

Les je seskupení jednoho nebo více oddělených nezávislých stromů. Všechny domény v lese sdílí stejné schéma, globální katalog a jsou propojeny implicitním dvoucestným vztahem důvěry (trust). Stromy v lese mají vlastní pojmenování - DNS jméno (oddělený jmenný prostor podle domén). Domény v lese pracují nezávisle, ale díky lesu je umožněna vzájemná komunikace přes celou organizaci (autorizace). Root domain je důležitá pro les, protože je standardně držitelem dvou speciálních rolí.

Site

Site je kombinace jednoho nebo více IP subnetů, které jsou spojeny spolehlivými a rychlými linkami. Site obsahuje doménové řadiče. Pokud máme více lokálních sítí (lokalit, poboček) spojených pomocí WAN sítě, tak se většinou vytváří site pro každou LAN. Když se podíváme na logickou strukturu AD, tak se zde site nikde nezobrazují. V určení site figurují pouze DC (servery) a spoje a používají se k replikaci mezi nimi. Site mají význam hlavně pro replikace.

Pozn.: Pro správu site slouží nástroj Active Directory Sites and Services.

Doménový řadič DC

Doménový řadič (Domain Controller, často se používá zkratka DC) je počítač (server), na kterém běží operační systém Windows Server 2003 (nebo 2000) a obsahuje repliku doménového adresáře (lokální doménovou databázi). V doméně může být více doménových řadičů a každý obsahuje úplnou repliku adresáře pro danou doménu. Na jednom řadiči může být pouze jedna doména. Doménový řadič také slouží k autentizaci uživatelů.

Pokud máme více DC a provedeme nějakou změnu v AD, tak ji provedeme na jednom z DC. Následně se provádí automatická replikace (periodicky plánovaná nebo v případě důležitých údajů okamžitá), aby ostatní DC měli stejný stav. Běžné replikace jsou typu multimaster, všechny DC jsou si rovny a mají zapisovatelnou kopii adresáře. Přesto některé hodnoty nemohou být řešeny tímto způsobem a používá se model singlemaster, kdy je jeden DC hlavní a na něm se provádí změny. Tyto role se označují jako Operations masters roles. Při změnách stejné hodnoty na více místech se provádí detekce kolize pomocí vlastnosti atributu číslo verze.

Dvě role jsou unikátní pro celý les a označují se tedy jako Forest-wide roles. Jedná se o Schema Master, udržuje a spravuje celé schéma AD. A Domain Naming Master, řídí přidávání a odebírání domén do lesa.

Další tři role jsou unikátní pro doménu, tedy Domain-wide roles. Relative Identifier (RID) Master přiděluje řadičům bloky čísel RID, která se použijí pro vytvoření SID (security identifier - unikátní identifikátor každého objektu v AD). Primary Domain Controller (PDC) Emulator slouží k emulaci Windows NT 4.0 PDC pro staré klienty. Infrastructure Master udržuje vazby mezi objekty z různých domén, využívá globální katalog.

Převod role Domain Naming Master se provádí pomocí Active Directory Domains and Trusts. Převod role Schema Master se provádí pomocí Active Directory Schema. Přes pravé tlačítko se připojíme k požadovanému DC a zvolíme položku Operations Master. Role RID Master, PDC Emulator a Infrastructure Master se převádí pomocí Active Directory Users and Computers. Připojíme se k požadované doméně a pravým tlačítkem na ní zvolíme Operations Master.

Pro zjištění, který DC je držitelem které role, můžeme použít předchozí grafické nástroje nebo řádkový příkaz dsquery server -hasfsmo {schema | name | infr | pdc | rid}.

Operations Master Roles

Globální katalog GC

Globální katalog (Global Catalog - GC) již neurčuje ani logickou ani fyzickou strukturu AD, ale má velmi důležitou roli, takže je zde také popsaný.

Pokud hledáme nějaký objekt v AD a tento objekt se nachází ve stejné doméně, tak se ptáme některého DC. Pokud však hledáme objekt z jiné domény (ale uvnitř stejného adresáře - stejné AD), tak potřebujeme nějakou službu, která nám pomůže. V AD je touto službou Globální katalog. To je centrální repository, které obsahuje vybrané informace o objektech z celého stromu či lesa.

DC, který obsahuje kopii globálního katalogu, se nazývá Global Catalog Server (jinak řečeno GC může být provozován pouze na DC). Globálních katalogů můžeme mít více a mezi nimi se provádí multimaster replikace. GC se často umisťují do různých site, pak ale musíme pamatovat na provoz způsobený replikací (který může být značný).

GC tedy umožňuje nalézt informace z adresáře bez ohledu na to, v které doméně v lese se nachází. Jeho druhou funkcí je, že poskytuje informace o členství v univerzálních skupinách (universal group membership), které jsou potřeba při přihlašovacím procesu.

Pozn.: Pro nastavení globálního katalogu se používá nástroj Active Directory Sites and Services, kde se proklikáme přes odpovídající site na hledaný DC a pod ním klikneme pravým tlačítkem na NTDS Settings a zvolíme Properties.

Nastavení GC

Pokud není k dispozici globální katalog při přihlašování, tak se uživatel může přihlásit pouze lokálně na počítač. Možností, jak tento problém obejít bez provozování GC, je zapnutí funkce universal group membership caching (UGMC) na danou site. V tomto případě si DC ukládá informace lokálně. Při prvním přihlášení uživatele se dotáže globálního katalogu a uloží vrácené hodnoty do keše, kde je uchovává a obnovuje. Při dalším přihlášení se použijí informace z této keše.

Pozn.: Zapnutí funkce UGMC se provádí pomocí Active Directory Sites and Services, kde klikneme na požadovanou site a pod ním klikneme pravým tlačítkem na NTDS Site Settings a zvolíme Properties.

Nasazení v praxi

V této části se pokusím sepsat pár rad a doporučení o praktickém nasazování AD.

Dělení domén, stromů a lesů

V našich podmínkách často stačí jedna doména. Při instalaci prvního DC se vytvoří i strom a les. Více domén můžeme potřebovat, například když chceme rozdílnou politiku na hesla (protože se aplikuje na celou doménu).

Častější důvod na dělení struktury může být kvůli rozdělení administračních oprávnění. Správu uživatelů a počítačů můžeme řešit na úrovni OU, ale pro řadu vyšších úkolů využijeme třeba domény.

Pozn.: Instalace DC se provádí jednoduše pomocí průvodce, který se vyvolá zadáním příkazu dcpromo. Jakýkoliv Windows 2003 Server můžeme povýšit na doménový řadič. V průvodci určíme, zda se jedná o novou doménu nebo přidáváme DC do existující. Stejně tak určíme les.

Pozn.: Pokud instalujeme první DC, tak ten se automaticky stává Root Domain a získá všech pět rolí.

Více stromů (tree) využijeme, pokud potřebujeme provozovat různé (oddělené) jmenné prostory (namespace). To může nastat například při akvizici nějaké jiné firmy, kdy potřebujeme sdílet oprávnění, ale chceme zachovat vlastní názvy.

Více lesů (forest) potřebujeme pouze ve speciálních případech. Je to tehdy, kdy potřebujeme absolutní oddělení z pohledu oprávnění a autonomie (izolace). Například máme provozní prostředí a testovací, které spolu nesmí mít žádný vztah. Protože Enterprise admin má přístup všude v rámci lesa, tak z důvodu úplného oddělení oprávnění musíme vytvořit více lesů. Jinak řečeno, více lesů použijeme, pokud potřebujeme dosáhnout izolace či autonomnosti jednotky uvnitř společnosti nebo pokud spojujeme vzdálené společnosti. Pokud potřebujeme oddělené schéma a globální katalog či ručně řídit vztahy důvěry (trust).

Dělení site

Dělení na sity je naprosto běžné a používané. Pokud máme více než jednu lokalitu/pobočku, tak je většinou výhodné, provozovat je jako samostatné site.

Umístění globálního katalogu

V umístění globálního katalogu jsou dvě zásadní otázky. První se týká umísťování do poboček. Obecně je dobré mít v každé pobočce GC, protože to urychluje přihlašování a nepřenáší se data pokaždé po WAN. Také v případě výpadku WAN linky zajistí GC, aby se uživatelé mohli přihlásit. Na druhou stranu se při replikaci přenáší větší objem dat a řada jich je (pro pobočku) zbytečná. Proto pro malé pobočky s pomalým připojením je vhodnější použít universal group membership caching.

Pokud máme les pouze s jednou doménou, tak se doporučuje mít všechny DC zároveň jako GC, protože GC obsahuje stejná data jako DC. Další doporučení je, pokud nemáme na všech DC globální katalog, tak by měli být Operations masters roles umístěny na server bez GC.

Na závěr pouze jeden odkaz na materiály Microsoftu Domains and Forests Technical Reference. Toto téma je samozřejmě pospáno na mnoha místech, ale dobrý článek není jednoduché nalézt.

zobrazeno: 79633krát | Komentáře [8]

Autor:

Související články:

Active Directory a protokol LDAP

Správa počítačové sítě ala Microsoft, to je Active Directory. Jedná se o velice rozsáhlou skupinu technologií a služeb. Základem jsou adresářové služby, adresáře a komunikační protokol LDAP.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Samuraj

    K tomuto tématu se může hodit zajímavý program od Microsoftu Microsoft Active Directory Topology Diagrammer (www.microsoft.com/downloads/details.aspx?FamilyID=CB42FC06-50C7-47ED-A65C-862661742764). Ten slouží ke generování Visio schémat AD (domény, site, OU, trust) a Exchange topologie.

    Pondělí, 11.02.2008 09:38 | odpovědět
  2. [2] Ondra

    Ahoj, mohl bych pozadat o radu?

    Muj problem je ze AD se stara o DNS a tyto zaznamy bych potreboval menit z Linuxu. Na linuxe mam postaveny dva servry, jeden ostry jeden zalozni. V DNS mám zaznam ktery ukazuje vzdy na jeden stroj. a toto bych potreboval menit primo z Linuxu.

    Diky a přeji krasný den.

    Čtvrtek, 04.12.2008 10:50 | odpovědět
  3. [3] Samuraj

    odpověď na [2]Ondra: Nevím, zda tomu úplně rozumím, ale pokud mám na DNS nastaveno Dynamic updates na Nonsecure and secure, tak si Linux může vytvořit (změnit) svůj záznam klasicky protokolem DNS.

    Pak se může použít nějaké vzdálené volání fce dnscmd. A možná by mohlo fungovat i SNMP (nevím).

    Pátek, 05.12.2008 12:48 | odpovědět
  4. [4] Jozef

    Zdravim, nejak som sa v tom vsetkom trochu stratil, aky je teda rozdiel medzi domain a tree, maju nejake funkcie? dik

    Úterý, 25.01.2011 22:04 | odpovědět
  5. [5] pítr

    domain - jedna doména, v ní kupa userů,počítačů a dalších objektů, tree - víc domén ve vztahu (třeba podřízenosti, jako vrchol stromečku a pod ním větvičky) a v nich kupa počítačů a mají funkce že v nich jsou ty objekty (GPO, správa userů a stanic, remote instalace atd.) :-) ale to všechno je v tom článku dobře popsané

    Úterý, 10.01.2012 17:36 | odpovědět
  6. [6] Honza

    Díky za kvalitní článek. Dobře a celkem pochopitelně vysvětleno. Díky:-)

    Pátek, 25.05.2012 12:18 | odpovědět
  7. [7] Jura

    Hezky a detailne popsane.diky za clanek.:-)

    Úterý, 24.05.2016 15:49 | odpovědět
  8. [8] Karel

    Dobrý den, mam dotaz.

    Když v AD potřebuji přejmenovat globální skupinu, která je už naplněná členy.Co se stane těm členům co mají přiřazenou skupinu.(Zdali oni nepřijdou.)

    Děkuji

    Čtvrtek, 28.07.2016 14:41 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách