2014-02-24
544
Определение стратегии именования
При выработке стратегии именования необходимо учитывать требования к именованию, предъявляемые как Active Directory, так и DNS [3]:
- поддерживается иерархия, длина имени до 64 символов;
- поддерживается подключение к внешним сетям.
Клиенты используют DNS для разрешения IP-адресов серверов, на которых выполняются важные сетевые сервисы Active Directory. Следовательно, Active Directory и DNS неразрывно связаны.
В DNS имена образуют иерархию и формируются путем «движения» от родительских доменов к дочерним доменам. Так, у домена kd.ru может быть дочерний домен sales.kd.ru, у того, в свою очередь, — дочерний домен europe.sales.kd.ru. Имя каждого домена соответствует пути, идентифицирующему домен в иерархии DNS, т. е. пути к корневому домену (корневой домен обозначается точкой).
Когда создается первый домен Active Directory, он становится корневым для леса и первого дерева доменов в этом лесу. С этого корневого домена начинается пространство имен. Каждый добавляемый домен получает имя от родительского домена и иерархии, в которую входит родительский домен.
|
|
|
Все имена доменов Active Directory идентифицируются по DNS, но можно использовать и NetBIOS-имена (Network Basic Input/Output System) — унаследованную систему именования, которая применялась в старых версиях Windows и по-прежнему поддерживается в Windows Server 2003. Windows автоматически генерирует NetBIOS-имена для каждой службы, выполняемой на компьютере, добавляя к имени компьютера дополнительный символ. Доменам также присваиваются NetBIOS-имена, при этом совместимость с NetBIOS-именами — это плоская модель, длина имени не более 16 символов.
Существует возможность назначать разные NetBIOS- и DNS-имена, но такой подход не допустим.
В идеале следует создать стратегию именования, определяющую единообразный подход к формированию имен.
Active Directory использует модель репликации с несколькими хозяевами, при которой на каждом контроллере домена хранится своя копия раздела Active Directory; контроллеры домена являются равноправными хозяевами. Можно внести изменения в объекты, хранящиеся на любом контроллере домена, и эти изменения реплицируются на другие контроллеры.
Модель с несколькими хозяевами хорошо подходит для большинства операций, но не для всех. Некоторые операции должны выполняться только одним контроллером в каждом домене или даже в каждом лесу. Чтобы выполнять эти специальные операции, определенные контроллеры доменов назначаются хозяевами операций.
При выработке стратегии именования представляют интерес две роли хозяев операций [3]:
- Хозяин именования доменов (domain naming master). Один домен в каждом лесу, обрабатывает добавление и удаление доменов и генерирует уникальный идентификатор защиты (SID);
- Хозяин RID (relative ID master). Генерирует последовательности для каждого из контроллеров домена. Действует в пределах домена. Генерирует для каждого контроллера домена пул по 500 RID.
Два сервера, выполняющих эти роли, должны быть доступны, когда создаются и именуются новые участники системы безопасности (security principals).
