[ Pobierz całość w formacie PDF ]
.Każda klasa ma stowarzyszony z nią zestaw ściśle zdefiniowanych możliwych atrybutów wraz z ich typami danych, dopuszczalnymi wartościami oraz informacją, czy atrybut jest wymagany, czy też nie[10].Domena jest w Active Directory podstawową jednostką administracji i wymaga istnienia przynajmniej jednego jej kontrolera - komputera przechowującego bazę danych AD.Kontrolery domeny są równoprawne - każdy ma zapisywalną replikę tej samej bazy danych.Wyjątkiem są specjalne role Operation Masters, które omówimy później.Bardzo ważne jest to, że kontroler domeny to po prostu pewna funkcja, którą można nałożyć na Windows 2000 Server, Advanced Server lub Datacenter Server.Można ją z serwera także usunąć.Drzewem domen nazywamy związek wielu domen mających wspólny schemat i konfigurację, tworzących ciągłą przestrzeń nazw.Domeny są połączone przez relacje zaufania.Przyłączenie domeny do drzewa jest określone w momencie instalacji jej pierwszego kontrolera, relacje zaufania między domenami w drzewie są tworzone automatycznie i nie podlegają modyfikacjom.Relacje te są zwrotne i przechodnie (implicit trusts).Można oczywiście tworzyć relacje zaufania między domenami należącymi do różnych struktur - nie mają wtedy wymienionych wyżej własności (tzw.explicit trusts).Relacje zaufania są w sieci Windows 2000 weryfikowane przez protokół Kerberos.Las to zbiór składający się z wielu drzew (co najmniej jednego), które nie tworzą ciągłej przestrzeni nazw.Przynależność do lasu jest określana w momencie instalacji pierwszego kontrolera domeny - przed określeniem przynależności do drzewa.Wszystkie domeny w lesie mają wspólny schemat i konfigurację, wierzchołki drzew są połączone przez relacje tree root, z logicznego punktu widzenia spełniające te same warunki, co relacje łączące domeny w drzewie[10].Struktura fizycznaActive Directory jest ściśle zintegrowane z DNS.Nazwy domen AD to nazwy DNS.Przestrzeń nazw dla lasu to przestrzeń drzewa nazw DNS.Dodatkowo AD wykorzystuje DNS dla lokalizacji usług.Kontrolery domen, serwer Global Catalog, siedziby - wszystkie te informacje są rejestrowane w dynamicznym DNS i wykorzystywane do skierowania klienta do najbliższego dla niego serwera oferującego żądaną usługę.Rejestracja usług jest możliwa dzięki rekordom SRA.Siedziba (site) jest zdefiniowana w AD jako jedna lub więcej podsieć IP.Dodatkowy warunek mówi, że podsieci wchodzące w skład site powinny być "dobrze połączone" (well-connected).W praktyce oznacza to, że komunikacja między komputerami powinna być szybka i niezawodna (bez przerw).Siedziba może zawierać kontrolery z wielu domen, pojedyncza domena może rozciągać się na wiele siedzib - schemat logiczny sieci może więc zostać "nałożony" na dowolną strukturę fizyczną.Siedziby służą do izolacji ruchu replikacyjnego oraz do skierowania klientów poszukujących poszczególnych usług do najbliższego dla nich (w sensie architektury sieci) serwera oferującego daną usługę, przy czym zawsze preferowany jest serwer znajdujący się w tej samej siedzibie, co klient.Za odpowiednią rejestrację usług odpowiada tu "poddomena" _sites w dynamicznym DNS.Siedziby muszą być połączone, aby możliwa była komunikacja - głównie replikacja danych między kontrolerami domen.Site link (połączenie) oznacza jednak coś innego niż intuicyjnie mogłoby się wydawać.Spodziewamy się, że połączenie "spina" dwie siedziby.Tymczasem w terminologii AD, link to obszar, zawierający jedną lub więcej siedzib, w obrębie którego serwery z różnych siedzib mogą łączyć się ze sobą przy takich samych warunkach technicznych (reprezentowanych przez tzw.koszt) i zgodnie z identycznym harmonogramem[10].Global Catalog Server to kontroler domeny AD przechowujący abstrakt informacji na temat wszystkich obiektów w całym lesie.W praktyce replika bazy na GC zawiera część atrybutów wszystkich obiektów w lesie; w schemacie jest zdefiniowane, które artykuły wchodzą w skład GC
[ Pobierz całość w formacie PDF ]