Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 41 (всего у книги 91 страниц)
приоритета в диапазоне 1 0 – 5 0 . Вы хотите н а з н а ч и т ь н а и в ы с ш и й приоритет
для объекта P S O , созданного д л я а д м и н и с т р а т о р о в домена, ч т о б ы он всегда
применялся к этим п о л ь з о в а т е л я м . К а к о й п р и о р и т е т с л е д у е т назначить
этому объекту P S O ?
4. Как отконфигурировать д о м е н д л я о т с л е ж и в а н и я п о п ы т о к несанкциони-
рованного доступа к сети с и с п о л ь з о в а н и е м а д м и н и с т р а т и в н о й учетной
записи? Какой объект G P O необходимо м о д и ф и ц и р о в а т ь ? К а к и е параметры
требуется определить?
Сценарий 2. Повышение уровня безопасности и стабильности
проверки подлинности в филиале
Как администратор к о м п а н и и Contoso, L t d вы п о д д е р ж и в а е т е с л у ж б у катало-
гов домена на четырех контроллерах в ц е н т р е д а н н ы х , р а з м е щ е н н о м в главном
узле. Эти контроллеры домена работают в р е ж и м е W i n d o w s Server 2003. Руко-
водство компании Contoso п р и н я л о р е ш е н и е о т к р ы т ь за о к е а н о м н о в ы й офис.
Изначально в этом офисе будут работать д е с я т ь м е н е д ж е р о в по продажам. Вы
занимаетесь вопросами с к о р о с т и , с т о и м о с т и и с т а б и л ь н о с т и подключения
филиала с центром данных и п р и н и м а е т е р е ш е н и е р а з м е с т и т ь в ф и л и а л е кон-
троллер домена только д л я чтения.
1. Какие и з м е н е н и я н у ж н о в н е с т и в с у щ е с т в у ю щ и е к о н т р о л л е р ы домена
и функциональные уровни перед у с т а н о в к о й R O D C ?
2. Вы принимаете решение в о з л о ж и т ь на одного из с о т р у д н и к о в в филиале
обязанность локально у п р а в л я т ь сервером. М о ж н о ли разрешить сотруд-
нику создать контроллер R O D C , не п р е д о с т а в л я я ему п р и в и л е г и и адми-
нистратора домена?
Практические задания 4 0 3
3. Вы хотите дать т о м у же пользователю право локального входа на конт-
роллер R O D C для р е ш е н и я повседневных задач технической поддержки.
Какую команду использовать для настройки разделения административных
р о л е й ?
Практические задания
Чтобы подготовиться к сертификационному экзамену, выполните предлагаемые
далее у п р а ж н е н и я .
Настройка множества объектов параметров паролей
В упражнениях по данной теме вы поэкспериментируете с приоритетами объек-
тов P S O , создав несколько объектов PSO, применив их к пользователю и оце-
нив р е з у л ь т и р у ю щ и й P S O для этого пользователя.
Д л я в ы п о л н е н и я у п р а ж н е н и й в домене contoso.com необходимо создать
г л о б а л ь н у ю г р у п п у безопасности Кадры, глобальную группу безопасности
З а щ и щ е н н ы е пользователи и учетную запись пользователя Джеймса Файна,
члена обеих групп – Кадры и З а щ и щ е н н ы е пользователи.
• У п р а ж н е н и е i С о з д а й т е объект P S O с именем PS01 и свяжите его с
группой К а д р ы . З а д а й т е д л я P S 0 1 приоритет 10. Для других атрибутов
P S O можете использовать любые параметры. Создайте второй объект PSO
с именем PS02 и задайте для него приоритет 5. Д л я этого объекта PSO
вы можете использовать любые действительные параметры. При создании
P S O следуйте и н с т р у к ц и я м из упражнения 2 занятия 1.
• Упражнение 2 Идентифицируйте объект PSO, влияющий на пользователя
Д ж е й м с а Ф а й н а . Д л я оценки результирующего P S O следуйте инструкции
из упражнения 3 занятия 1. Какой объект PSO применяется к пользователю
Д ж е й м с у Ф а й н у ?
• У п р а ж н е н и е 3 Создайте объект P S O с именем PS03 и свяжите его с учет-
ной записью пользователя Джеймса Файна. Задайте для P S 0 3 приоритет
20. Д л я остальных атрибутов P S 0 3 можете задавать любые действительные
параметры. Д л я создания P S O воспользуйтесь инструкциями из упражне-
ния 2 занятия 1, а для определения результирующего PSO – из упражнения
3 з а н я т и я 1. И д е н т и ф и ц и р у й т е объект PSO, влияющий на пользователя
Джеймса Ф а й н а .
Восстановление данных похищенного контроллера RODC
В этих упражнениях вы изучите принципы восстановления контроллера RODC
после х и щ е н и я или взлома, эмулируя потерю сервера BRANCHSERVER. Пе-
ред тем как приступить к ним, нужно выполнить практические упражнения
занятия 3.
При хищении или взломе R O D C все учетные данные пользователей, кото-
рые кэшировались на контроллере R O D C , становятся ненадежными и долж-
ны быть изменены. Поэтому вам следует идентифицировать учетные данные,
кэшированные на контроллере R O D C , и изменить пароль каждой учетной
записи.
' 4 0 4 Проверка подлинности
Глава 8
м Упражнение 1 Определите учетные з а п и с и п о л ь з о в а т е л е й и компьютеров,
которые кэшированы на B R A N C H S E R V E R , п р о а н а л и з и р о в а в д а н н ы е на
вкладке Использование п о л и т и к и (Policy U s a g e ) д и а л о г о в о г о окна Расши-
ренная политика р е п л и к а ц и и п а р о л е й д л я B R A N C H S E R V E R ( B R A N C H -
SERVER Advanced Password Replication Policy). Д л я и д е н т и ф и к а ц и и учет-
ных записей, пароли которых х р а н я т с я на к о н т р о л л е р е R O D C , следуйте
инструкциям из упражнения 3 з а н я т и я 3. Э к с п о р т и р у й т е этот список в файл
на рабочем столе. j
• У п р а ж н е н и е 2 О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y – п о л ь з о в а т е л и
и компьютеры (Active D i r e c t o r y Users A n d C o m p u t e r s ) и в подразделении
Domain Controllers выберите объект к о м п ь ю т е р а B R A N C H S E R V E R . На-
жмите клавишу Delete и щ е л к н и т е к н о п к у Да (Yes). П р о с м о т р и т е опции
автоматического и з м е н е н и я п а р о л е й п о л ь з о в а т е л е й и к о м п ь ю т е р о в .
Пробный экзамен
На прилагаемом к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. Проверка знаний в ы п о л н я е т с я и л и т о л ь к о по одной теме
сертификационного экзамена 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м темам.
Тестирование можно организовать т а к и м о б р а з о м , ч т о б ы оно п р о в о д и л о с ь как
экзамен, либо настроить на р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е вы сможете
после каждого своего ответа на в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е ответы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 9
Интеграция DNS с AD DS
Занятие 1. Установка DNS 416
Занятие 2. Настройка и использование DNS 441
Без DNS ( D o m a i n Name System – система доменных имен) работать в Интер-
нете довольно с л о ж н о . Интернет, конечно, можно использовать, поскольку
в его основу п о л о ж е н а технология T C P / I P , однако для подключения к узлу
http://207.46.198.248 в браузер нельзя будет ввести именной адрес http://Technet.
microsoft.com. В ы п о л н я я в Windows Live Search поиск такой новой технологии,
как Windows Server 2008, в результатах запроса получают коллекцию 1Р-ад-
ресов, по к оторым расположена соответствующая информация. Однако сами
по себе адреса, в о т л и ч и е от доменных имен, не предоставляют пользователю
никаких сведений.
По этой причине пользователи полагаются на систему доменных имен DNS,
преобразующую IP-адреса в доменные имена, которые легче идентифициро-
вать. Система D N S я в л я е т с я основой протокола T C P / I P . Она включает в себя
традиционную схему 32-битовых адресов IPv4 и новую 128-битовую схему
адресации I P v 6 , в с т р о е н н у ю в W i n d o w s Server 2008. Каждая новая система
в сети и д е н т и ф и ц и р у е т с я с п о м о щ ь ю своего IP-адреса или адресов. В сети
Windows Server 2008 с доменными службами Active Directory (AD DS) каждое
связанное с каталогом устройство также будет связано с системой разрешения
имен DNS, на которую оно будет полагаться при идентификации всех служб
во время взаимодействия.
Например, при загрузке компьютера, присоединенного к домену, выпол-
няется стандартный процесс, который начинается с идентификации записей
ресурсов SRV (Service Location Record) на DNS-сервере для определения бли-
жайшего контроллера домена. Затем, после выполнения системой DNS своей
части работы, начинается процесс проверки подлинности между компьютером
и контроллером домена. Однако без разрешения системой DNS имен записей
ресурсов SRV службам AD DS будет довольно сложно выполнить проверку
подлинности рядового компьютера.
406
Интеграция DNS с AD DS
Глава 9
Поскольку система D N S о б е с п е ч и в а е т п р е о б р а з о в а н и е I P – а д р е с о в в имена,
д л я общих имен в п р и л о ж е н и я х м о ж н о и с п о л ь з о в а т ь п р о г р а м м н ы е стандарты.
Зная, что нужен процесс, п о д д е р ж и в а ю щ и й о б н а р у ж е н и е к о н к р е т н о й с л у ж б ы ,
программисты используют д л я нее о б щ е е и м я . З а т е м , к о г д а п о т р е б и т е л ь реали-
зует вместе с н о в ы м п р и л о ж е н и е м с л у ж б у D N S , п о с л е д н я я п р е о б р а з у е т общее
и м я в р е а л ь н ы й IP-адрес, н а з н а ч е н н ы й к о м п ь ю т е р у с у с т а н о в л е н н о й с л у ж б о й .
Кроме того, поскольку т е х н о л о г и я D N S п р е д н а з н а ч е н а д л я у п р а в л е н и я име-
нованием в Интернете, она в к л ю ч е н а в W i n d o w s S e r v e r 2 0 0 8 и п о з в о л я е т в ы й т и
з а пределы своей сети. А н а л о г и ч н о с л у ж б а м с е р т и ф и к а ц и и A c t i v e D i r e c t o r y
(Active Directory C e r t i f i c a t e Services, A D C S ) с л у ж б а м у п р а в л е н и я п р а в а м и
Active D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s M a n a g e m e n t S e r v i c e s , A D R M S ) ,
службам облегченного д о с т у п а к к а т а л о г а м A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y
Lightweight Directory Services, A D L D S ) и с л у ж б а м ф е д е р а ц и и Active D i r e c t o r y
(Active D i r e c t o r y F e d e r a t i o n S e r v i c e s , A D F S ) , с и с т е м а D N S и н т е г р и р о в а н а
вместе с AD DS, о д н а к о ее т а к ж е м о ж н о з а п у с к а т ь н е з а в и с и м о в п е р и м е т р е
сети и за ее п р е д е л а м и (рис. 9 – 1 ) . П р и э т о м с и с т е м а D N S п о з в о л я е т д р у г и м ор-
ганизациям и о т д е л ь н ы м л и ц а м л о к а л и з о в а т ь в а с в л ю б о й т о ч к е з е м н о г о шара,
в результате чего о н и с м о г у т в з а и м о д е й с т в о в а т ь с в а м и и л и п р и л о ж е н и я м и ,
совместно и с п о л ь з у е м ы м и в м е с т е с п о т р е б и т е л я м и , п а р т н е р а м и , м о б и л ь н ы м и
пользователями и в с е м и л и ц а м и , п р и м е н я ю щ и м и э л е к т р о н н ы е к о м м у н и к а ц и и .
Легенда
Интеграция технологий Active Directory
Потенциальные связи
Рис. 9-1. Система DNS расширяет сферу деятельности организации за границы внутренней сети
Глава 9
Интеграция DNS с AD DS
407
В И н т е р н е т е и в н у т р е н н е й сети система DNS всегда использует T C P / I P -
порт 53. Д л я л о к а л и з а ц и и и и д е н т и ф и к а ц и и д а н н ы х об именах компьютеров
для в з а и м о д е й с т в и я все к л и е н т ы и серверы конфигурируются с использова-
нием этого порта.
С и с т е м а D N S п о д д е р ж и в а е т и е р а р х и ч е с к у ю структуру именования. Име-
на н а ч и н а ю т с я с к о р н я и р а с ш и р я ю т с я п р и добавлении уровней в иерархию.
Р е а л ь н ы м к о р н е м и е р а р х и и D N S я в л я е т с я сама точка (.). Однако эта точка не
и с п о л ь з у е т с я в и м е н о в а н и и И н т е р н е т а . О б ы ч н о в Интернете регистрируются
с т а н д а р т н ы е к о р н е в ы е имена, т а к и е как .com, .biz, .net, .info, .name, .ms, .edu,
.gov, .org и т. д. О р г а н и з а ц и и могут с в я з ы в а т ь с я с Интернетом, присоединяя к
к о р н е в о м у и м е н и о б щ е е и м я . Н а п р и м е р , иерархия Microsoft.com содержит два
у р о в н я н и ж е к о р н е в о г о и м е н и и т р и – н и ж е реального корня DNS (рис. 9-2);
и м я Technet.microsoft.com с о д е р ж и т т р и у р о в н я ниже имени и четыре – ниже
к о р н я D N S и т. д. В AD DS д а н н а я и е р а р х и я используется для создания струк-
т у р ы д о м е н а в лесу.
[Корневой уровень]
biz .info
|Второи уровень]
Microsoft
)
|Третииуровень|
TechNet
Рис. 9-2. Иерархия DNS в Интернете
DNS и IPv6
В W i n d o w s Server 2008 система D N S модернизирована для интеграции с IPv6.
В отличие от I P v 4 , где 3 2 – б и т о в ы й адрес составляется из четырех октетов дво-
ичных значений, в I P v 6 используются 16-битовые элементы для формирования
128-битового IP-адреса, к о т о р ы й о б ы ч н о отображается в шестнадцатеричном
формате. Н а п р и м е р , FE80:: означает автоматически сгенерированный локаль-
ный IPvG-адрес к а н а л а W i n d o w s Vista и л и Windows Server 2008, назначенный
компьютеру в случае и с п о л ь з о в а н и я протокола динамической конфигурации
узла D H C P ( D y n a m i c H o s t Configuration Protocol) и недоступности DHCP-cep-
вера, который мог бы указать р е а л ь н ы й адрес. Адрес FE80:: является аналогией
автоматически назначаемого частного IP-адреса APIPA (Automatic Private IP
Addressing), который генерируется д л я системы, если та же ситуация возникает
с выделением 1Ру4-адреса.
В IPvG-адресе к а ж д ы й раз генерируется 16-битовый фрагмент, содержа-
щ и й одни нули. Вы можете объединить этот фрагмент и указать адрес с двумя
двоеточиями (::). Эти два двоеточия будут представлять все 16-битовые секции,
408 Интеграция DNS с AD DS
Глава 9
состоящие из одних нулей, независимо от их д л и н ы . Б л а г о д а р я э т о м у упроща-
ется запись 1Ру6-адресов, поскольку в п р о т и в н о м с л у ч а е н о т а ц и я I P v 6 стала
бы очень сложной.
Аналогично IPv4 в пространстве I P v 6 и с п о л ь з у е т с я н е с к о л ь к о типов ад-
ресов.
• Локальный а д р е с к а н а л а ( L i n k – L o c a l ) Э т и а д р е с а п о з в о л я ю т соседним
компьютерам связываться д р у г с другом. С п о м о щ ь ю т а к о г о т и п а адреса
любой компьютер в этом сетевом сегменте м о ж е т с в я з а т ь с я с д р у г и м ком-
пьютером. Этот тип адреса назначается по у м о л ч а н и ю п р и в к л ю ч е н и и IPv6
без использования статического адреса и н е в о з м о ж н о с т и с в я з а т ь с я с таким
провайдером д и н а м и ч е с к и х адресов, к а к D H C P v 6 – c e p B e p . Т а к и е адреса
аналогичны адресам 169.254.0.0/16, и с п о л ь з у е м ы м п р о ц е с с о м APIPA.
• Л о к а л ь н ы й а д р е с с а й т а ( S i t e – L o c a l ) Э т и а д р е с а п о д д е р ж и в а ю т про-
странства частных адресов и и с п о л ь з у ю т с я в н у т р е н н е без необходимости
в собственном в ы д е л е н и и 1 Р у 6 – а д р е с о в . Л о к а л ь н ы е а д р е с а у з л а м о ж н о
маршрутизировать, однако к И н т е р н е т у у с т а н о в и т ь м а р ш р у т и з и р у е м о е под-
ключение нельзя. Эти адреса а н а л о г и ч н ы а д р е с а м 10.0.0.0/8, 172.16.0.0/12
и 192.168.0.0/16, которые и с п о л ь з у ю т с я в н у т р и о р г а н и з а ц и й с пространс-
твом IPv4.
• Г л о б а л ь н ы й о д н о н а п р а в л е н н ы й а д р е с ( G l o b a l U n i c a s t ) А б с о л ю т н о
уникальные адреса, которые м о ж н о и с п о л ь з о в а т ь в И н т е р н е т е д л я иден-
тификации и н т е р ф е й с о в . Э т и а д р е с а м а р ш р у т и з и р у ю т с я в И н т е р н е т е и
обеспечивают п р я м у ю с в я з ь с л ю б ы м у с т р о й с т в о м . О н и а н а л о г и ч н ы об-
щедоступным 1Ру4-адресам, и с п о л ь з у е м ы м о р г а н и з а ц и я м и в И н т е р н е т е
на текущий день.
Ценность пространства I P V 6 с о с т о и т в т о м , что оно о б е с п е ч и в а е т очень
большое количество адресов. П о с к о л ь к у п о п у л я ц и я п о л ь з о в а т е л е й Интернета
растет, увеличивается количество служб и устройств, д л я к о т о р ы х необходимы
IP-адреса, а доступных 1Ру4-адресов с т а н о в и т с я м е н ь ш е . П о э т о м у настало
время ввести новую и н ф р а с т р у к т у р у IP. О б е с п е ч и в а я 2 1 2 8 (340 м и л л и а р д о в
миллиардов миллиардов м и л л и а р д о в ) адресов, с т р у к т у р а I P v 6 д о л ж н а долгое
время поддерживать с л е д у ю щ у ю с т а д и ю р а з в и т и я И н т е р н е т а . С р а в н и т е это
число с 4 млрд 1Ру4-адресов, и вы у в и д и т е разницу.
В табл. 9-1 описаны р а с п р о с т р а н е н н ы е т и п ы 1Ру6-адресов.
Табл. 9-1. Распространенные типы 1Ру6-адресов
Тип адреса Формат Описание
Не назначен :: Указывает на отсутствие адреса. Аналогичен адресу
(Unspecified) 0.0.0.0 в IPv4
Замыкание ::1 Определяет интерфейс замыкания и позволяет узлу
(Loopback) посылать пакеты самому себе. Аналогичен адресу
127.0.0.1 в IPv4
Локальный адрес FE80:: Адресация только в локальной сети. Аналогичен адресу
канала (Link-Local) APIPA и IPv4-адресам в диапазоне 169.254.0.0/16.
Не маршрутизируется 1Ру6-маршрутизаторами
Г л а в а 9 Интеграция DNS с AD DS 4 0 9
Табл. 9-1 ( окончание)
Тип адреса Формат Описание
Локальный адрес FEC0:: Внутреннее пространство адресов на уровне сайта,
узла (Site-Local) Маршрутизируется, однако не используется в Интер-
нете. Аналогичен 1Ру4-адресам в диапазонах 10.0.0.0/8,
172.16.0.0/12 и 192.168.0.0/16
Глобальный однона– Осталь– Уникальные адреса, назначаемые конкретным интер-
правленный адрес ные фейсам
Д л я с о б л ю д е н и я с т а н д а р т о в И н т е р н е т а и п о д д е р ж к и перехода к исполь-
з о в а н и ю I P v 6 в W i n d o w s S e r v e r 2 0 0 8 с и с т е м а D N S модернизирована с целыо
п о д д е р ж к и б о л е е д л и н н о г о ф о р м а т а а д р е с о в с п е ц и ф и к а ц и и IPv6. Протокол
I P v 6 по у м о л ч а н и ю у с т а н а в л и в а е т с я и в к л ю ч а е т с я в W i n d o w s Vista и Windows
Server 2008. Э т о о з н а ч а е т , ч т о вы м о ж е т е и с п о л ь з о в а т ь эту технологию с не-
б о л ь ш и м р и с к о м х о т я б ы в н у т р и о р г а н и з а ц и и . Д л я о б н о в л е н и я всех элемен-
тов, к о т о р ы м н е о б х о д и м о п о д к л ю ч е н и е к И н т е р н е т у (системы обнаружения
в т о р ж е н и й , б р а н д м а у э р ы , ф и л ь т р ы п р о т и в с п а м а и т. д.) с целью поддержки
б е з о п а с н о г о о б м е н а д а н н ы м и I P v 6 , п о т р е б у е т с я некоторое время.
К СВЕДЕНИЮ Спецификация IPv6
Более подробную и н ф о р м а ц и ю о формате IPv6 можно найти по адресу http://www.
micrqsoft.com/tecknet/network/ipv6/ipv6rfc.mspx.
Протокол разрешения одноранговых имен
Б л а г о д а р я п о л н о й п о д д е р ж к е I P v 6 в W i n d o w s Server 2008 и Windows Vista
т а к ж е в к л ю ч е н а д о п о л н и т е л ь н а я с и с т е м а р а з р е ш е н и я и м е н P N R P (Peer Name
R e s o l u t i o n P r o t o c o l ) . В о т л и ч и е от с и с т е м ы D N S , к о т о р а я использует иерархи-
ческую с т р у к т у р у и м е н о в а н и я , п р о т о к о л р а з р е ш е н и я одноранговых имен P N R P
д л я р а з р е ш е н и я и м е н с и с т е м ы з а д е й с т в у е т о д н о р а н г о в ы х участников сети. П о
сути, P N R P я в л я е т с я с с ы л о ч н о й с и с т е м о й , к о т о р а я в ы п о л н я е т замыкания н а
о с н о в е и з в е с т н ы х д а н н ы х . Н а п р и м е р , к о г д а в ы пытаетесь найти компьютер
А, р а с п о л а г а я с ь по с о с е д с т в у с к о м п ь ю т е р а м и Б и В, в а ш а система запросит у
к о м п ь ю т е р а Б м е с т о п о л о ж е н и е к о м п ь ю т е р а А. Е с л и компьютер Б указывает
м е с т о п о л о ж е н и е , вы п о л у ч а е т е с с ы л к у на к о м п ь ю т е р А. В противном случае
ваша с и с т е м а з а п р о с и т у к о м п ь ю т е р а В м е с т о п о л о ж е н и е компьютера А, а затем
и с п о л ь з у е т т о ч н о й т а к о й же п р о ц е с с , к а к и в случае с компьютером Б. Если
к о м п ь ю т е р а м Б и В не и з в е с т н о м е с т о п о л о ж е н и е компьютера А, ваша систе-
ма б у д е т п о с ы л а т ь з а п р о с д р у г и м к о м п ь ю т е р а м по соседству, пока не найдет
систему, к о т о р о й и з в е с т н о м е с т о п о л о ж е н и е к о м п ь ю т е р а А.
В P N R P в к л ю ч е н о н е с к о л ь к о в о з м о ж н о с т е й , к о т о р ы е отличаются от служ-
бы D N S .
• Д л я л о к а л и з а ц и и о б ъ е к т о в э т а р а с п р е д е л е н н а я с и с т е м а и м е н о в а н и я н е
и с п о л ь з у е т ц е н т р а л ь н ы й с е р в е р . О н а п р а к т и ч е с к и не зависит от сервера,
о д н а к о в н е к о т о р ы х с и т у а ц и я х с е р в е р ы н е о б х о д и м ы д л я разработки про-
цесса р а з р е ш е н и я и м е н . В W i n d o w s Server 2008 компоненты PNRP-сервера
в к л ю ч е н ы в к а ч е с т в е н а д с т р о й к и .
410
Интеграция DNS с AD DS
Глава 9
• Систему P N R P можно р а с ш и р и т ь до м и л л и а р д о в и м е н – в о т л и ч и е от
системы DNS, которая управляет л и ш ь н е б о л ь ш и м ч и с л о м имен, а затем
полагается н а еще о д и н D N S – с е р в е р д л я л о к а л и з а ц и и и м е н , р а з р е ш а т ь
которые не имеет полномочий.
• Поскольку система P N R P я в л я е т с я р а с п р е д е л е н н о й и п о л а г а е т с я на та-
ких клиентов, как серверы, о н а о т к а з о у с т о й ч и в а . О д н и м и м е н е м могут
управлять несколько компьютеров, о б е с п е ч и в а я м н о ж е с т в о п у т е й к этому
. имени.
• Публикация имен в ы п о л н я е т с я м г н о в е н н о , б е с п л а т н о и не требует адми-
нистративного вмешательства, к а к в с л у ч а е с D N S .
м Имена обновляются в реальном времени – в о т л и ч и е от D N S , где д л я повы-
шения производительности интенсивно и с п о л ь з у е т с я к э ш и р о в а н и е . По этой
причине P N R P не возвращает с т а р ы е адреса, к а к в с л у ч а е с DNS-сервером,
в частности старым н е д и н а м и ч е с к и м D N S – с е р в е р о м .
• Система P N R P т а к ж е п о д д е р ж и в а е т и м е н о в а н и е с л у ж б и к о м п ь ю т е р о в ,
поскольку P N R P – и м я с о д е р ж и т адрес, п о р т и п о т е н ц и а л ь н у ю п о л е з н у ю
нагрузку, такую, например, как ф у н к ц и я с л у ж б ы .
• Имена P N R P можно з а щ и щ а т ь с п о м о щ ь ю ц и ф р о в ы х п о д п и с е й . З а щ и т а
имен таким способом гарантирует, что их н е л ь з я п о д д е л а т ь и л и заменить
фальшивыми именами.
Для разрешения имен P N R P и с п о л ь з у е т к о н ц е п ц и ю облака. Существуют
два отдельных облака. П е р в ы м я в л я е т с я г л о б а л ь н о е о б л а к о , с о д е р ж а щ е е всю
глобальную область адресов IPv6, к о т о р а я п о л н о с т ь ю о х в а т ы в а е т Интернет.
Второе – локальное облако канала, к о т о р о е о с н о в а н о на о б л а с т и локальных
1Ру6-адресов последнего. Л о к а л ь н ы е к а н а л ы о б ы ч н о п р е д с т а в л я ю т отдельные
подсети. Допускается существование н е с к о л ь к и х л о к а л ь н ы х о б л а к о в каналов
и только одного глобального облака.
Поскольку мировое сообщество еще не п е р е ш л о к I P v 6 , переход к P N R P
также пока не осуществлен и д л я р а з р е ш е н и я и м е н и с п о л ь з у ю т с я системы DNS.
К СВЕДЕНИЮ Протокол PNRP
Более подробную информацию о разрешении имен PNRP можно найти по адресу
http://technet.microsoft.com/en-us/library/bb726971.aspx.
Структуры DNS
Система доменных имен D N S п о я в и л а с ь в п е р в ы х р а з р а б о т к а х Интернета
и активно используется по сей день. По э т о й п р и ч и н е D N S – с л у ж б а в Windows
Server 2008 может обеспечить много ролей. Д о с т у п н ы т р и т и п а DNS-серверов.
• Динамические D N S – с е р в е р ы П р е д н а з н а ч е н ы д л я регистрации имен мно-
жества различных устройств с п о м о щ ь ю д и н а м и ч е с к и х обновлений, кото-
рые выполняются динамическими D N S – с е р в е р а м и ( D D N S ) . Серверы DDNS
позволяют устройствам ( к л и е н т а м и с е р в е р а м ) самостоятельно регистри-
роваться на DNS-сервере, чтобы другие у с т р о й с т в а могли локализовать их.
Когда DNS-'служба запускается на к о н т р о л л е р е домена и интегрируется со
Глава 9
Интеграция DNS с AD DS
411
с л у ж б о й каталогов, она п е р е к л ю ч а е т с я в р е ж и м D D N S , позволяя компью-
терам, и с п о л ь з у ю щ и м D H C P , автоматически регистрировать свои имена.
Т а к и м о б р а з о м с л у ж б ы AD DS могут локализовать клиента для пересылки
д а н н ы х у п р а в л е н и я , н а п р и м е р объектов групповой политики G P O (Group
Policy O b j e c t ) . С е р в е р ы D D N S обеспечивают запись и чтение, однако при-
н и м а ю т р е г и с т р а ц и ю т о л ь к о о т и з в е с т н ы х сущностей.
СОВЕТ К ЭКЗАМЕНУ
Отметим, что динамический DNS не включен в темы сертификационного экзамена
70-640. Однако динамические обновления также используются зонами DNS, ин-
тегрированными в Active Directory. Когда сервер DNS автоматически обновляется
через авторизованных клиентов, он называется DDNS-сервером. Помните об этом
при подготовке к экзамену.
м D N S – с е р в е р ы с п р а в о м ч т е н и я и з а п и с и Предыдущие версии DNS-серве-
ров, к о т о р ы е не работают в динамическом режиме, однако принимают запи-
си от и з в е с т н ы х источников, н а п р и м е р авторизованных операторов. Самым
р а с п р о с т р а н е н н ы м т и п о м D N S – с е р в е р о в с правом чтения и записи являет-
ся о с н о в н о й ( и л и п р е д п о ч и т а е м ы й ) DNS-сервер. Основные DNS-серверы
о б ы ч н о р а з в е р т ы в а ю т с я в п е р и м е т р е сети и не интегрируются с AD DS.
• D N S – с е р в е р ы т о л ь к о д л я ч т е н и я Содержат копию данных DNS только
д л я ч т е н и я . В W i n d o w s S e r v e r 2 0 0 8 существует два типа DNS-серверов
т о л ь к о д л я ч т е н и я . П е р в ы м я в л я е т с я дополнительный (или альтернатив-
н ы й ) D N S – с е р в е р . Д о п о л н и т е л ь н ы е D N S – с е р в е р ы связаны с основными
D N S – с е р в е р а м и . О н и п р и н и м а ю т и хранят данные DNS, поддерживаемые
о с н о в н ы м р о д и т е л ь с к и м сервером. Д о п о л н и т е л ь н ы е DNS-серверы обеспе-
ч и в а ю т л о к а л ь н ы й д о с т у п к д а н н ы м , которые не могут модифицироваться,
п о с к о л ь к у эти с е р в е р ы п о д д е р ж и в а ю т л и ш ь одностороннюю репликацию
от р о д и т е л ь с к о г о сервера.. В т о р ы м т и п о м я в л я е т с я DNS-сервер только
д л я ч т е н и я на к о н т р о л л е р а х домена т о л ь к о д л я чтения R O D C в Windows
S e r v e r 2008. Э т и с е р в е р ы , и н т е г р и р о в а н н ы е вместе с R O D C , запускают
о с н о в н ы е з о н ы л и ш ь с п р а в о м чтения.
С помощью этих трех типов DNS-серверов можно сконструировать стратегию
р а з р е ш е н и я имен, с о о т в е т с т в у ю щ у ю всем требованиям именования (рис. 9-3).
Например, вы можете установить в сети пару DDNS-серверов вместе с каждым
к о н т р о л л е р о м домена, так как д а н н ы е D N S обычно интегрируются с храни-
л и щ е м каталогов. П о с к о л ь к у эти данные помещаются в хранилище каталогов,
данные D N S р е п л и ц и р у ю т с я па к а ж д ы й контроллер домена, а иногда и в лесу
с помощью того же механизма, к о т о р ы й реплицирует трафик каталогов. Это
означает, что к а ж д ы й к о н т р о л л е р домена содержит локальную копию данных
DNS. Установленная D N S – с л у ж б а на контроллере домена автоматически по-
лучает доступ к его д а н н ы м и может обеспечить локальные, а не удаленные
службы р а з р е ш е н и я имен без нагрузки т р а ф и к а глобальной сети WAN (Wide
Area N e t w o r k ) . Кроме того, D N S – с л у ж б у контроллера R O D C в режиме только
для чтения м о ж н о использовать в незащищенных местах сети, где необходимы
локальные с л у ж б ы и нет административного персонала. Независимую основ-
ную службу D N S также можно использовать в периметре сети. Эти серверы
4 1 2 Интеграция DNS с AD DS Глава 9
содержат несколько записей, однако поддерживают доступ к любому прило-
жению или службе в периметре сети. И наконец, д о п о л н и т е л ь н ы е DNS-серве-
ры лишь с правом чтения можно использовать в небезопасных размещениях
с подключением к Интернету.
f Внутренняя сеть |
|: Периметр сети | [^ВНутренн'яя^сехь;)
( ® У – ^ r v ^ / К5а У
N / С а й т А / / " – х / – х
Филиал / М If yf
–
0
1
^ ^ / С а й т Г /
V С а й т Б /
Легенда
О DDNS-сервер
О Основной сервер с правом чтения-записи
0 Вторичный сервер лишь с правом чтения или контроллер RODC
Рис. 9-3. Размещение DNS-серверов в сети Windows Server 2008: серверы DDNS установлены
вместе с контроллерами домена, основные серверы защищены; контроллеры RODC являются
внутренними, а вторичные серверы – внешними
К СВЕДЕНИЮ Система доменных имен
Более подробную информацию о DNS можно найти по адресу kttp://technet2.microsoft.
com/windowsserver2008/en/seivermanager/dnsserver.mspx.
Синдром раздвоения личности
Одной из основных доктрин к о м м у н и к а ц и й И н т е р н е т а я в л я е т с я сегрегация
(отделение) внутренней сети от Интернета. К а к н е б о л ь ш и е , так и крупные
организации с одинаковым усердием стараются з а щ и т и т ь свои внутренние
сети с помощью множества различных систем и технологий. Наиболее распро-
страненным механизмом защиты является брандмауэр, который защищает сеть
путем блокирования нежелательного трафика иа T C P / I P – п о р т а х . Разрешенные
порты открыты, а неразрешенные закрыты.
Аналогичным образом в Windows Server 2008, в доменных службах Active
Directory (AD DS), нужно работать с двумя пространствами имен. Поскольку
каталоги AD DS основаны на системе иерархии имен DNS, для именования
Глава 9
Интеграция DNS с AD DS 4 1 3
лесов каталогов и содержащихся в них доменов нужно использовать правильно
сформированное DNS-имя, которое часто называют полным доменным именем
F Q D N ( F u l l y Qualified D o m a i n Name). В Интернете организации довольно
часто используют одно имя.
Например, в качестве потенциальных имен внутренних сетей в этой книге
используются такие имена, как contoso.com и woodgrovebank.com. Это не озна-
чает, что нужно использовать именно их. Данные имена применяются в книге
