2014-02-04
1088
Сравнение домена и одноранговой сети
Схема взаимодействия всех типов систем NT 2000 в домене
В этом примере в домене есть:
- 2 сервера, на которых расположена одинаковая база данных сетевых ресурсов (активный каталог)
- 4 рабочие станции, две из которых регистрируются на сервере1., а остальные 2 на сервере2
При этом т.к. есть компьютеры с установленной системой WinNT4, то режим домена – смешанный.
централизованное администрирование в домене
| ДОМЕН | ОДНОРАНГОВАЯ сеть |
| есть один первичный сервер и несколько резервных, которые управляют доступом к ресурсам всех компьютеров в домене. Их называют контроллерами домена. | каждый компьютер сам определяет доступ к его ресурсам по сети т.е. каждая машина является и сервером и рабочей станцией. |
| централизованное администрирование учетных записей | учет пользователей на каждом компьютере отдельно |
Самостоятельная работа на закрепление:
1. Какие есть 2 способа установки драйверов, чем они отличаются. Где устанавливаются драйверы.
|
|
|
2. Различия сети на основе домена и одноранговой сети. Может ли быть несколько серверов в одном домене, а несколько доменов на одном сервере?
Активные каталоги содержат сведения о ресурсах сети и обеспечивают к ним доступ пользователей. Понятие каталога в этом случае не соответствует привычному понятию каталога как папки на диске. Активный каталог – это база данных о всех ресурсах сети и пользователях с одновременным указанием разрешения доступа пользователей к каждому ресурсу. Сетевые ресурсы – это сетевые папки на компьютерах в сети, сетевые принтеры, факсы, программы и.т.д (т.е. все объекты, к которым можно получить доступ через сеть).
Активные каталоги устанавливаются на компьютерах – контроллерах доменов для централизованного управления ресурсами домена. Фактически установка активного каталога означает установку домена. При этом создается база учетных записей пользователей домена и база сетевых ресурсов, к которым эти пользователи получают доступ.
Структура активного каталога:
Активный каталог - это может быть не одна база данных, а несколько, распределенных на нескольких доменах. Основой активного каталога является домен со своей одной базой учетных записей пользователей и ресурсов. Однако, для больших предприятий одного домена может быть недостаточно и тогда создается несколько доменов, которые объединяются в деревья, а те в свою очередь в лес. При этом, самой крупной структурой в активном каталоге является лес. Домен в свою очередь может делиться на организационные единицы. Такое деление нужно, если есть необходимость разделить управление доменом между разными подразделениями в одном предприятии.
|
|
|
· Домен это основная единица активного каталога. Домен содержит базу учетных записей пользователей домена и список сетевых ресурсов, к которым эти пользователи имеют доступ в сети.
· 
Дерево это набор связанных доменов с единой базой учетных записей (созданной объединением баз каждого домена) – глобальным каталогом.
Каждый домен рассматривается как подраздел дерева. Между доменами устанавливаются двухсторонние доверительные отношения (Kerberos), которые позволяют пользователям одного домена пользоваться сетевыми ресурсами другого домена.
Именование доменов: по правилу DNS – с основным и дочерними: dom1 (основной), domA1.dom1 и domA2.dom1 (два дочерних), domB1.domA1.dom1 (дочерний второго уровня) …
· Лес Если пространство имен доменов, которые мы хотим присоединить для совместного доступа, совсем другое (напр dom2, domX.dom2, domY.dom2 …), то создается новое дерево, а все деревья объединяются в лес.
каталоги всех деревьев объединяются в один глобальный каталог всего леса, который является глобальным каталогом для всех доменов всех деревьев.
· Сайт это разбивка сети одного домена на физические сегменты сети т.е. участки локальных сетей. Обычно локальная сеть находится в одной IP-сети, поэтому сайт - это набор компьютеров в одной IP-сети. Сайты помогают отыскать (сравнив IP-адрес клиента и текущей сети) контроллер домена клиента, даже если он регистрируется из другого (удаленного) сегмента сети.
· Организационная единица Если управление одной частью компьютеров и ресурсов домена нужно передать одной группе пользователей, а для других ресурсов – другой группе, то домен можно разделить на 2 группы ресурсов и передать управление каждой из них разным группам пользователей. Каждая такая группа ресурсов называется организационной единицей, а передача управления организационной единицей группе пользователей называется делегированием управления.
Выделенный сервер – это компьютер с установленной на нем системой сервера Win 2000, но без установки активного каталога.
Контроллер домена – это компьютер с установленной системой сервера, на котором еще и установлен активный каталог.
Глобальный каталог: содержит выборочные данные из каталогов доменов (т.е., например, не все данные о пользователе, а только его регистрационное и полное имя). Он находится на первом контроллере первого домена первого дерева леса. Используется он в тех случаях, когда:
- создается новый пользователь и нужно проверить что во всем лесу доменов нет аналогичного пользователя
- если пользователь одного домена пытается войти с компьютера другого домена леса – в этом случае его имя, пароль и принадлежность к домену проверяются в глобальном каталоге, затем находится домен, которому он принадлежит, выполняется обращение к контроллеру этого домена и уже на нем проверяются все права доступа этого пользователя.
Пространство имен пользователей: имена пользователей в доменах Win 2000представляют из себя имена, которые используются в глобальной сети Интернет. Это связано с тем, что при разработке системы Win 2000была поставлена задача включить домены Win 2000 в структуру доменов сети Интернет. До системы Win 2000 все системы Windows использовали имена NetBios (это простые имена, состоящие из набора не более 15 букв и цифр) В системе Win 2000 сохранилась возможность именовать по старому (NetBios) и по новому (как в Интернет). Имена в Интернете пользователей пишутся по правилам имен в электронной почте, например vika@server.odessa.ua. Именно так и принято именовать пользователей в Win 2000. При этом, это имя состоит как бы из 3 частей:
vika – это имя пользователя
server.odessa.ua это доменное имя компьютера, которое состоит из 2 частей:
server – это имя компьютера (оно соответствует старому имени NetBios, хотя можно имя NetBios сделать отличным от имени в системе Интернет)
odessa.ua - это имя домена Интернета или внутреннее имя домена Win 2000.
|
|
|
Имена доменов Win 2000 могут совпадать с внешними именами Интернета или отличаться (но все равно быть зарегистрированными в Интернете во избежания дублирования с другим доменом Интернет т.к. при дублировании попасть из внутренней сети на внешний такой же домен будет невозможно.). Если сеть только внутренняя без выхода в Интернет, то можно создать любое свое пространство имен без связи с сетью Интернет.
База данных Активного каталога: все данные активного каталога и его журналы хранятся в каталоге \winnt\ntds. на контроллере домена Win 2000 (данные базы, глобальный каталог и полная схема каталога расположены в файле \winnt\ntds\ntds.dit)..
Их месторасположение (путь к каталогу) можно изменить с целью безопасности.
