Чрезвычайно активная директория
АрхивСолидный опыт мирового использования Windows NT в качестве серверной платформы заставил разработчиков из Редмонда внести фундаментальные изменения в линейку Windows 2000 Server.
Солидный опыт мирового использования Windows NT в качестве серверной платформы заставил разработчиков из Редмонда внести фундаментальные изменения в линейку Windows 2000 Server. Новый виток развития продуктов Microsoft можно охарактеризовать следующими словами: повальная унификация, интеграция и более высокий уровень абстракции. Сюда же можно добавить и «XMLизацию».
Начиная обзор семейства «Серверов 2000» от Microsoft, рассмотрим подробнее одно из важнейших нововведений в эту линейку - Active Directory, или Службу каталога. По собственному мнению Microsoft, понимание механизма Active Directory - первый шаг к пониманию того, как вообще работают системы на базе Windows 2000 и в чем их преимущества. И с этим нельзя не согласиться: благодаря этому новшеству управлять сетями Windows 2000 стало удобнее, вдобавок интеграция доменов Windows 2000 в Интернет теперь полностью прозрачна. Новая структура каталога, в отличие от старой службы каталога (NTDS), готова к работе с большими организациями, поддерживая более 40 тыс. учетных записей в домене. Однако новый уровень абстракции ломает устоявшиеся взгляды на администрирование, поскольку старая доменная структура имеет мало общего со структурой Active Directory. Попробуем развеять ореол таинственности вокруг этого важнейшего компонента Windows 2000.
Что это такое
Active Directory - иерархическая база данных, позволяющая серверу хранить информацию о различных сетевых объектах. В качестве объектов могут выступать учетные записи пользователей, сетевые принтеры, сетевые сервисы, а также любые другие данные, имеющие сетевое значение и параметры. Объекты могут иметь различные атрибуты (поля). Например, для объекта user (трепещите, пользователи! для Active Directory вы лишь объекты) атрибутами могут являться адрес электронной почты, телефон, адрес офиса и т. д. Для определения имен внутри сети Active Directory используется DNS, что позволяет легко переносить данные об именах ресурсов вашей организации в Интернет, сокращая и автоматизируя работу администратора.
Структура Active Directory легко расширяется: в базе службы каталога можно хранить не только дополнительные атрибуты каких-либо объектов (например, тех же пользователей), но и целые классы объектов. Для этого введено понятие схемы как описания всех существующих объектов и структур их взаиморасположения и взаимосвязи. Так, Microsoft Exchange Server 2000 активно использует Active Directory, добавляя туда информацию о почтовых ящиках, поддерживаемых протоколах и существенно расширяя схему Active Directory. А Commerce Server, например, может использовать Active Directory для хранения альтернативных пользовательских профилей, доступных только через Web. Для каждого объекта и даже его атрибута в хранилище Active Directory можно задать свои права доступа. Кроме того, Active Directory позволяет использовать гибкие наборы правил (policy) для конфигурирования и эксплуатации сетевых ресурсов различными группами пользователей.
Старое и новое
В Windows NT было два типа управляющих серверов - PDC (Primary Domain Controller) и BDC (Backup Domain Controller), причем данные о сетевых объектах могли редактироваться только на PDC. Теперь любой сервер в сети Microsoft с установленным Active Directory становится контроллером домена, причем таких серверов может быть несколько. Старые станции на базе Windows NT/9x могут обращаться к Active Directory через Primary Domain Controller Emulator, «изображающий» из себя PDC. Данные об объектах, в отличие от NT Server, могут редактироваться на любом из серверов. После редактирования объекты реплицируются на другие серверы и обновляются в глобальном каталоге, после чего могут быть доступны из любого домена дерева, для которого установлены доверительные отношения. Под «доверительными отношениями» в данном случае подразумевается связь, при которой доверяющий домен может использовать аутентификацию доверяемого домена. Так, если домен petersburg.astrosoft.ru доверяет домену novgorod.astrosoft.ru, то пользователь может войти в сеть petersburg, используя учетную запись домена novgorod.
В целом можно сказать, что по сравнению с системой NTDS служба Active Directory более надежна и масштабируема как для средних, так и для больших организаций.
Открытые стандарты доступа и API
Данные в Active Directory могут быть доступны по протоколам HTTP или LDAP (Lightweight Directory Access Protocol). Каждый объект в Active Directory может быть отображен на HTML-странице, таким образом пользователи могут использовать все преимущества Web-интерфейсов при работе с каталогом. С помощью протокола LDAP можно обмениваться информацией с другими службами каталога, например NDS (Novell Directory Services), причем LDAP может адресоваться при помощи URL вида
LDAP://astrosoft-development.com/c=ru/o=astrosoft/ou=devdeparment/ cn=NickolayK
Как и в любой более или менее «свежей» БД от Microsoft, данные из службы Active Directory могут быть доступны по технологии ADO. Правда, следует заметить, что Active Directory является не самым удачным выбором, если нужно хранить множество часто модифицируемых записей или объектов - для таких целей лучше использовать Web Storage System. Скажем, Exchange Server 2000 хранит всю свою конфигурацию в Active Directory, а базы данных с сообщениями и документами - именно в Web Storage System.
И наконец, Microsoft не могла не представить отдельный COM API, заточенный специально под работу с LDAP-сервисами: ADSI (Active Directory Service Interfaces). Таким образом, поле для работы над расширениям уже вспахано и готово «к посевной». Очевидно, что в ближайшее время, когда организации и предприятия начнут переходить на платформу 2000, возрастет спрос на ПО для расширения существующих схем Active Directory. Кстати, это намек российским разработчикам софта: похоже, открывается новая ниша…
Оно вам надо?
Конечно, по большому счету Active Directory не является технологическим прорывом на рынке подобных решений, хотя для Microsoft это большой шаг вперед. Скорее можно считать его грамотным и умелым использованием хорошего опыта, предоставленного основным конкурентом MS - Novell - с ее Directory Services. Microsoft упорно завоевывает нишу сетевых технологий для больших организаций, где прежде господствовали производители Unix и NetWare. Однако даже среди тех фирм, которые уже используют Windows 2000 Server, далеко не все спешат перейти на Active Directory - в первую очередь из-за того, что для этого требуется тщательное планирование, а иногда и реструктуризации сети. Хотя книг и руководств по Active Directory предостаточно, для развертыванию систем на базе Windows 2000 и Active Directory требуются опытные специалисты (кстати, вот и еще одна пустующая рыночная ниша).
Конечно, если организация активно использует электронный документооборот в e-бизнесе, то подобный переход в большинстве случаев оправдан, учитывая масштабируемость и универсальность Active Directory плюс интеграцию со множеством серверных продуктов от той же Microsoft. Для организаций, живущих «по старинке», очевидно, и Windows 2000 не понадобится, что же касается стартап-проектов, то выбор здесь очевиден: сети на базе Windows 2000 и Active Directory наиболее перспективны.
[i39224]
Домен - это один или несколько компьютеров, придерживающихся общей политики безопасности. То есть домен может содержать некоторое количество учетных записей пользователей и правила работы в группе, которые действуют в рамках данного домена.
Внутри домена могут быть определены Organizational Units - объединения объектов, построенные по одному административному принципу. В роли Units могут выступать разные отделы внутри одной организации.
Несколько доменов объединяются в дерево доменов, между которыми могут быть установлены отношения с точки зрения пространства имен или политики доверительных отношений. Так, например, petersburg.astrosoft.ru и novgorod.astrosoft.ru - два домена в одном дереве, между которыми можно определить доверительные отношения (скажем, пользователи из novgorod могут работать в petersburg). Дерево может использовать общий глобальный каталог - индексатор всех объектов в дереве, позволяющий производить поиск и выборку, основываясь на неполных данных об атрибутах объектов. Скажем, из глобального каталога можно осуществить выборку пользователя из всего множества доменов дерева, зная лишь фамилию. Точно так же глобальный каталог может использоваться для определения универсальных групп прав пользователей, действующих на всем дереве. «Лес» - набор несмежных «деревьев», которые могут устанавливать доверительные отношения, а также разделять общую конфигурацию. Глобальный каталог можно настроить на функционирование в «лесу».