355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 41)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 41 (всего у книги 91 страниц)

приоритета в диапазоне 1 0 – 5 0 . Вы хотите н а з н а ч и т ь н а и в ы с ш и й приоритет

для объекта P S O , созданного д л я а д м и н и с т р а т о р о в домена, ч т о б ы он всегда

применялся к этим п о л ь з о в а т е л я м . К а к о й п р и о р и т е т с л е д у е т назначить

этому объекту P S O ?

4. Как отконфигурировать д о м е н д л я о т с л е ж и в а н и я п о п ы т о к несанкциони-

рованного доступа к сети с и с п о л ь з о в а н и е м а д м и н и с т р а т и в н о й учетной

записи? Какой объект G P O необходимо м о д и ф и ц и р о в а т ь ? К а к и е параметры

требуется определить?

Сценарий 2. Повышение уровня безопасности и стабильности

проверки подлинности в филиале

Как администратор к о м п а н и и Contoso, L t d вы п о д д е р ж и в а е т е с л у ж б у катало-

гов домена на четырех контроллерах в ц е н т р е д а н н ы х , р а з м е щ е н н о м в главном

узле. Эти контроллеры домена работают в р е ж и м е W i n d o w s Server 2003. Руко-

водство компании Contoso п р и н я л о р е ш е н и е о т к р ы т ь за о к е а н о м н о в ы й офис.

Изначально в этом офисе будут работать д е с я т ь м е н е д ж е р о в по продажам. Вы

занимаетесь вопросами с к о р о с т и , с т о и м о с т и и с т а б и л ь н о с т и подключения

филиала с центром данных и п р и н и м а е т е р е ш е н и е р а з м е с т и т ь в ф и л и а л е кон-

троллер домена только д л я чтения.

1. Какие и з м е н е н и я н у ж н о в н е с т и в с у щ е с т в у ю щ и е к о н т р о л л е р ы домена

и функциональные уровни перед у с т а н о в к о й R O D C ?

2. Вы принимаете решение в о з л о ж и т ь на одного из с о т р у д н и к о в в филиале

обязанность локально у п р а в л я т ь сервером. М о ж н о ли разрешить сотруд-

нику создать контроллер R O D C , не п р е д о с т а в л я я ему п р и в и л е г и и адми-

нистратора домена?

Практические задания 4 0 3

3. Вы хотите дать т о м у же пользователю право локального входа на конт-

роллер R O D C для р е ш е н и я повседневных задач технической поддержки.

Какую команду использовать для настройки разделения административных

р о л е й ?

Практические задания

Чтобы подготовиться к сертификационному экзамену, выполните предлагаемые

далее у п р а ж н е н и я .

Настройка множества объектов параметров паролей

В упражнениях по данной теме вы поэкспериментируете с приоритетами объек-

тов P S O , создав несколько объектов PSO, применив их к пользователю и оце-

нив р е з у л ь т и р у ю щ и й P S O для этого пользователя.

Д л я в ы п о л н е н и я у п р а ж н е н и й в домене contoso.com необходимо создать

г л о б а л ь н у ю г р у п п у безопасности Кадры, глобальную группу безопасности

З а щ и щ е н н ы е пользователи и учетную запись пользователя Джеймса Файна,

члена обеих групп – Кадры и З а щ и щ е н н ы е пользователи.

• У п р а ж н е н и е i С о з д а й т е объект P S O с именем PS01 и свяжите его с

группой К а д р ы . З а д а й т е д л я P S 0 1 приоритет 10. Для других атрибутов

P S O можете использовать любые параметры. Создайте второй объект PSO

с именем PS02 и задайте для него приоритет 5. Д л я этого объекта PSO

вы можете использовать любые действительные параметры. При создании

P S O следуйте и н с т р у к ц и я м из упражнения 2 занятия 1.

• Упражнение 2 Идентифицируйте объект PSO, влияющий на пользователя

Д ж е й м с а Ф а й н а . Д л я оценки результирующего P S O следуйте инструкции

из упражнения 3 занятия 1. Какой объект PSO применяется к пользователю

Д ж е й м с у Ф а й н у ?

• У п р а ж н е н и е 3 Создайте объект P S O с именем PS03 и свяжите его с учет-

ной записью пользователя Джеймса Файна. Задайте для P S 0 3 приоритет

20. Д л я остальных атрибутов P S 0 3 можете задавать любые действительные

параметры. Д л я создания P S O воспользуйтесь инструкциями из упражне-

ния 2 занятия 1, а для определения результирующего PSO – из упражнения

3 з а н я т и я 1. И д е н т и ф и ц и р у й т е объект PSO, влияющий на пользователя

Джеймса Ф а й н а .

Восстановление данных похищенного контроллера RODC

В этих упражнениях вы изучите принципы восстановления контроллера RODC

после х и щ е н и я или взлома, эмулируя потерю сервера BRANCHSERVER. Пе-

ред тем как приступить к ним, нужно выполнить практические упражнения

занятия 3.

При хищении или взломе R O D C все учетные данные пользователей, кото-

рые кэшировались на контроллере R O D C , становятся ненадежными и долж-

ны быть изменены. Поэтому вам следует идентифицировать учетные данные,

кэшированные на контроллере R O D C , и изменить пароль каждой учетной

записи.

' 4 0 4 Проверка подлинности

Глава 8

м Упражнение 1 Определите учетные з а п и с и п о л ь з о в а т е л е й и компьютеров,

которые кэшированы на B R A N C H S E R V E R , п р о а н а л и з и р о в а в д а н н ы е на

вкладке Использование п о л и т и к и (Policy U s a g e ) д и а л о г о в о г о окна Расши-

ренная политика р е п л и к а ц и и п а р о л е й д л я B R A N C H S E R V E R ( B R A N C H -

SERVER Advanced Password Replication Policy). Д л я и д е н т и ф и к а ц и и учет-

ных записей, пароли которых х р а н я т с я на к о н т р о л л е р е R O D C , следуйте

инструкциям из упражнения 3 з а н я т и я 3. Э к с п о р т и р у й т е этот список в файл

на рабочем столе. j

• У п р а ж н е н и е 2 О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y – п о л ь з о в а т е л и

и компьютеры (Active D i r e c t o r y Users A n d C o m p u t e r s ) и в подразделении

Domain Controllers выберите объект к о м п ь ю т е р а B R A N C H S E R V E R . На-

жмите клавишу Delete и щ е л к н и т е к н о п к у Да (Yes). П р о с м о т р и т е опции

автоматического и з м е н е н и я п а р о л е й п о л ь з о в а т е л е й и к о м п ь ю т е р о в .

Пробный экзамен

На прилагаемом к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

тренировочных тестов. Проверка знаний в ы п о л н я е т с я и л и т о л ь к о по одной теме

сертификационного экзамена 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м темам.

Тестирование можно организовать т а к и м о б р а з о м , ч т о б ы оно п р о в о д и л о с ь как

экзамен, либо настроить на р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е вы сможете

после каждого своего ответа на в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е ответы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А 9

Интеграция DNS с AD DS

Занятие 1. Установка DNS 416

Занятие 2. Настройка и использование DNS 441

Без DNS ( D o m a i n Name System – система доменных имен) работать в Интер-

нете довольно с л о ж н о . Интернет, конечно, можно использовать, поскольку

в его основу п о л о ж е н а технология T C P / I P , однако для подключения к узлу

http://207.46.198.248 в браузер нельзя будет ввести именной адрес http://Technet.

microsoft.com. В ы п о л н я я в Windows Live Search поиск такой новой технологии,

как Windows Server 2008, в результатах запроса получают коллекцию 1Р-ад-

ресов, по к оторым расположена соответствующая информация. Однако сами

по себе адреса, в о т л и ч и е от доменных имен, не предоставляют пользователю

никаких сведений.

По этой причине пользователи полагаются на систему доменных имен DNS,

преобразующую IP-адреса в доменные имена, которые легче идентифициро-

вать. Система D N S я в л я е т с я основой протокола T C P / I P . Она включает в себя

традиционную схему 32-битовых адресов IPv4 и новую 128-битовую схему

адресации I P v 6 , в с т р о е н н у ю в W i n d o w s Server 2008. Каждая новая система

в сети и д е н т и ф и ц и р у е т с я с п о м о щ ь ю своего IP-адреса или адресов. В сети

Windows Server 2008 с доменными службами Active Directory (AD DS) каждое

связанное с каталогом устройство также будет связано с системой разрешения

имен DNS, на которую оно будет полагаться при идентификации всех служб

во время взаимодействия.

Например, при загрузке компьютера, присоединенного к домену, выпол-

няется стандартный процесс, который начинается с идентификации записей

ресурсов SRV (Service Location Record) на DNS-сервере для определения бли-

жайшего контроллера домена. Затем, после выполнения системой DNS своей

части работы, начинается процесс проверки подлинности между компьютером

и контроллером домена. Однако без разрешения системой DNS имен записей

ресурсов SRV службам AD DS будет довольно сложно выполнить проверку

подлинности рядового компьютера.

406

Интеграция DNS с AD DS

Глава 9

Поскольку система D N S о б е с п е ч и в а е т п р е о б р а з о в а н и е I P – а д р е с о в в имена,

д л я общих имен в п р и л о ж е н и я х м о ж н о и с п о л ь з о в а т ь п р о г р а м м н ы е стандарты.

Зная, что нужен процесс, п о д д е р ж и в а ю щ и й о б н а р у ж е н и е к о н к р е т н о й с л у ж б ы ,

программисты используют д л я нее о б щ е е и м я . З а т е м , к о г д а п о т р е б и т е л ь реали-

зует вместе с н о в ы м п р и л о ж е н и е м с л у ж б у D N S , п о с л е д н я я п р е о б р а з у е т общее

и м я в р е а л ь н ы й IP-адрес, н а з н а ч е н н ы й к о м п ь ю т е р у с у с т а н о в л е н н о й с л у ж б о й .

Кроме того, поскольку т е х н о л о г и я D N S п р е д н а з н а ч е н а д л я у п р а в л е н и я име-

нованием в Интернете, она в к л ю ч е н а в W i n d o w s S e r v e r 2 0 0 8 и п о з в о л я е т в ы й т и

з а пределы своей сети. А н а л о г и ч н о с л у ж б а м с е р т и ф и к а ц и и A c t i v e D i r e c t o r y

(Active Directory C e r t i f i c a t e Services, A D C S ) с л у ж б а м у п р а в л е н и я п р а в а м и

Active D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s M a n a g e m e n t S e r v i c e s , A D R M S ) ,

службам облегченного д о с т у п а к к а т а л о г а м A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y

Lightweight Directory Services, A D L D S ) и с л у ж б а м ф е д е р а ц и и Active D i r e c t o r y

(Active D i r e c t o r y F e d e r a t i o n S e r v i c e s , A D F S ) , с и с т е м а D N S и н т е г р и р о в а н а

вместе с AD DS, о д н а к о ее т а к ж е м о ж н о з а п у с к а т ь н е з а в и с и м о в п е р и м е т р е

сети и за ее п р е д е л а м и (рис. 9 – 1 ) . П р и э т о м с и с т е м а D N S п о з в о л я е т д р у г и м ор-

ганизациям и о т д е л ь н ы м л и ц а м л о к а л и з о в а т ь в а с в л ю б о й т о ч к е з е м н о г о шара,

в результате чего о н и с м о г у т в з а и м о д е й с т в о в а т ь с в а м и и л и п р и л о ж е н и я м и ,

совместно и с п о л ь з у е м ы м и в м е с т е с п о т р е б и т е л я м и , п а р т н е р а м и , м о б и л ь н ы м и

пользователями и в с е м и л и ц а м и , п р и м е н я ю щ и м и э л е к т р о н н ы е к о м м у н и к а ц и и .

Легенда

Интеграция технологий Active Directory

Потенциальные связи

Рис. 9-1. Система DNS расширяет сферу деятельности организации за границы внутренней сети

Глава 9

Интеграция DNS с AD DS

407

В И н т е р н е т е и в н у т р е н н е й сети система DNS всегда использует T C P / I P -

порт 53. Д л я л о к а л и з а ц и и и и д е н т и ф и к а ц и и д а н н ы х об именах компьютеров

для в з а и м о д е й с т в и я все к л и е н т ы и серверы конфигурируются с использова-

нием этого порта.

С и с т е м а D N S п о д д е р ж и в а е т и е р а р х и ч е с к у ю структуру именования. Име-

на н а ч и н а ю т с я с к о р н я и р а с ш и р я ю т с я п р и добавлении уровней в иерархию.

Р е а л ь н ы м к о р н е м и е р а р х и и D N S я в л я е т с я сама точка (.). Однако эта точка не

и с п о л ь з у е т с я в и м е н о в а н и и И н т е р н е т а . О б ы ч н о в Интернете регистрируются

с т а н д а р т н ы е к о р н е в ы е имена, т а к и е как .com, .biz, .net, .info, .name, .ms, .edu,

.gov, .org и т. д. О р г а н и з а ц и и могут с в я з ы в а т ь с я с Интернетом, присоединяя к

к о р н е в о м у и м е н и о б щ е е и м я . Н а п р и м е р , иерархия Microsoft.com содержит два

у р о в н я н и ж е к о р н е в о г о и м е н и и т р и – н и ж е реального корня DNS (рис. 9-2);

и м я Technet.microsoft.com с о д е р ж и т т р и у р о в н я ниже имени и четыре – ниже

к о р н я D N S и т. д. В AD DS д а н н а я и е р а р х и я используется для создания струк-

т у р ы д о м е н а в лесу.

[Корневой уровень]

biz .info

|Второи уровень]

Microsoft

)

|Третииуровень|

TechNet

Рис. 9-2. Иерархия DNS в Интернете

DNS и IPv6

В W i n d o w s Server 2008 система D N S модернизирована для интеграции с IPv6.

В отличие от I P v 4 , где 3 2 – б и т о в ы й адрес составляется из четырех октетов дво-

ичных значений, в I P v 6 используются 16-битовые элементы для формирования

128-битового IP-адреса, к о т о р ы й о б ы ч н о отображается в шестнадцатеричном

формате. Н а п р и м е р , FE80:: означает автоматически сгенерированный локаль-

ный IPvG-адрес к а н а л а W i n d o w s Vista и л и Windows Server 2008, назначенный

компьютеру в случае и с п о л ь з о в а н и я протокола динамической конфигурации

узла D H C P ( D y n a m i c H o s t Configuration Protocol) и недоступности DHCP-cep-

вера, который мог бы указать р е а л ь н ы й адрес. Адрес FE80:: является аналогией

автоматически назначаемого частного IP-адреса APIPA (Automatic Private IP

Addressing), который генерируется д л я системы, если та же ситуация возникает

с выделением 1Ру4-адреса.

В IPvG-адресе к а ж д ы й раз генерируется 16-битовый фрагмент, содержа-

щ и й одни нули. Вы можете объединить этот фрагмент и указать адрес с двумя

двоеточиями (::). Эти два двоеточия будут представлять все 16-битовые секции,

408 Интеграция DNS с AD DS

Глава 9

состоящие из одних нулей, независимо от их д л и н ы . Б л а г о д а р я э т о м у упроща-

ется запись 1Ру6-адресов, поскольку в п р о т и в н о м с л у ч а е н о т а ц и я I P v 6 стала

бы очень сложной.

Аналогично IPv4 в пространстве I P v 6 и с п о л ь з у е т с я н е с к о л ь к о типов ад-

ресов.

• Локальный а д р е с к а н а л а ( L i n k – L o c a l ) Э т и а д р е с а п о з в о л я ю т соседним

компьютерам связываться д р у г с другом. С п о м о щ ь ю т а к о г о т и п а адреса

любой компьютер в этом сетевом сегменте м о ж е т с в я з а т ь с я с д р у г и м ком-

пьютером. Этот тип адреса назначается по у м о л ч а н и ю п р и в к л ю ч е н и и IPv6

без использования статического адреса и н е в о з м о ж н о с т и с в я з а т ь с я с таким

провайдером д и н а м и ч е с к и х адресов, к а к D H C P v 6 – c e p B e p . Т а к и е адреса

аналогичны адресам 169.254.0.0/16, и с п о л ь з у е м ы м п р о ц е с с о м APIPA.

• Л о к а л ь н ы й а д р е с с а й т а ( S i t e – L o c a l ) Э т и а д р е с а п о д д е р ж и в а ю т про-

странства частных адресов и и с п о л ь з у ю т с я в н у т р е н н е без необходимости

в собственном в ы д е л е н и и 1 Р у 6 – а д р е с о в . Л о к а л ь н ы е а д р е с а у з л а м о ж н о

маршрутизировать, однако к И н т е р н е т у у с т а н о в и т ь м а р ш р у т и з и р у е м о е под-

ключение нельзя. Эти адреса а н а л о г и ч н ы а д р е с а м 10.0.0.0/8, 172.16.0.0/12

и 192.168.0.0/16, которые и с п о л ь з у ю т с я в н у т р и о р г а н и з а ц и й с пространс-

твом IPv4.

• Г л о б а л ь н ы й о д н о н а п р а в л е н н ы й а д р е с ( G l o b a l U n i c a s t ) А б с о л ю т н о

уникальные адреса, которые м о ж н о и с п о л ь з о в а т ь в И н т е р н е т е д л я иден-

тификации и н т е р ф е й с о в . Э т и а д р е с а м а р ш р у т и з и р у ю т с я в И н т е р н е т е и

обеспечивают п р я м у ю с в я з ь с л ю б ы м у с т р о й с т в о м . О н и а н а л о г и ч н ы об-

щедоступным 1Ру4-адресам, и с п о л ь з у е м ы м о р г а н и з а ц и я м и в И н т е р н е т е

на текущий день.

Ценность пространства I P V 6 с о с т о и т в т о м , что оно о б е с п е ч и в а е т очень

большое количество адресов. П о с к о л ь к у п о п у л я ц и я п о л ь з о в а т е л е й Интернета

растет, увеличивается количество служб и устройств, д л я к о т о р ы х необходимы

IP-адреса, а доступных 1Ру4-адресов с т а н о в и т с я м е н ь ш е . П о э т о м у настало

время ввести новую и н ф р а с т р у к т у р у IP. О б е с п е ч и в а я 2 1 2 8 (340 м и л л и а р д о в

миллиардов миллиардов м и л л и а р д о в ) адресов, с т р у к т у р а I P v 6 д о л ж н а долгое

время поддерживать с л е д у ю щ у ю с т а д и ю р а з в и т и я И н т е р н е т а . С р а в н и т е это

число с 4 млрд 1Ру4-адресов, и вы у в и д и т е разницу.

В табл. 9-1 описаны р а с п р о с т р а н е н н ы е т и п ы 1Ру6-адресов.

Табл. 9-1. Распространенные типы 1Ру6-адресов

Тип адреса Формат Описание

Не назначен :: Указывает на отсутствие адреса. Аналогичен адресу

(Unspecified) 0.0.0.0 в IPv4

Замыкание ::1 Определяет интерфейс замыкания и позволяет узлу

(Loopback) посылать пакеты самому себе. Аналогичен адресу

127.0.0.1 в IPv4

Локальный адрес FE80:: Адресация только в локальной сети. Аналогичен адресу

канала (Link-Local) APIPA и IPv4-адресам в диапазоне 169.254.0.0/16.

Не маршрутизируется 1Ру6-маршрутизаторами

Г л а в а 9 Интеграция DNS с AD DS 4 0 9

Табл. 9-1 ( окончание)

Тип адреса Формат Описание

Локальный адрес FEC0:: Внутреннее пространство адресов на уровне сайта,

узла (Site-Local) Маршрутизируется, однако не используется в Интер-

нете. Аналогичен 1Ру4-адресам в диапазонах 10.0.0.0/8,

172.16.0.0/12 и 192.168.0.0/16

Глобальный однона– Осталь– Уникальные адреса, назначаемые конкретным интер-

правленный адрес ные фейсам

Д л я с о б л ю д е н и я с т а н д а р т о в И н т е р н е т а и п о д д е р ж к и перехода к исполь-

з о в а н и ю I P v 6 в W i n d o w s S e r v e r 2 0 0 8 с и с т е м а D N S модернизирована с целыо

п о д д е р ж к и б о л е е д л и н н о г о ф о р м а т а а д р е с о в с п е ц и ф и к а ц и и IPv6. Протокол

I P v 6 по у м о л ч а н и ю у с т а н а в л и в а е т с я и в к л ю ч а е т с я в W i n d o w s Vista и Windows

Server 2008. Э т о о з н а ч а е т , ч т о вы м о ж е т е и с п о л ь з о в а т ь эту технологию с не-

б о л ь ш и м р и с к о м х о т я б ы в н у т р и о р г а н и з а ц и и . Д л я о б н о в л е н и я всех элемен-

тов, к о т о р ы м н е о б х о д и м о п о д к л ю ч е н и е к И н т е р н е т у (системы обнаружения

в т о р ж е н и й , б р а н д м а у э р ы , ф и л ь т р ы п р о т и в с п а м а и т. д.) с целью поддержки

б е з о п а с н о г о о б м е н а д а н н ы м и I P v 6 , п о т р е б у е т с я некоторое время.

К СВЕДЕНИЮ Спецификация IPv6

Более подробную и н ф о р м а ц и ю о формате IPv6 можно найти по адресу http://www.

micrqsoft.com/tecknet/network/ipv6/ipv6rfc.mspx.

Протокол разрешения одноранговых имен

Б л а г о д а р я п о л н о й п о д д е р ж к е I P v 6 в W i n d o w s Server 2008 и Windows Vista

т а к ж е в к л ю ч е н а д о п о л н и т е л ь н а я с и с т е м а р а з р е ш е н и я и м е н P N R P (Peer Name

R e s o l u t i o n P r o t o c o l ) . В о т л и ч и е от с и с т е м ы D N S , к о т о р а я использует иерархи-

ческую с т р у к т у р у и м е н о в а н и я , п р о т о к о л р а з р е ш е н и я одноранговых имен P N R P

д л я р а з р е ш е н и я и м е н с и с т е м ы з а д е й с т в у е т о д н о р а н г о в ы х участников сети. П о

сути, P N R P я в л я е т с я с с ы л о ч н о й с и с т е м о й , к о т о р а я в ы п о л н я е т замыкания н а

о с н о в е и з в е с т н ы х д а н н ы х . Н а п р и м е р , к о г д а в ы пытаетесь найти компьютер

А, р а с п о л а г а я с ь по с о с е д с т в у с к о м п ь ю т е р а м и Б и В, в а ш а система запросит у

к о м п ь ю т е р а Б м е с т о п о л о ж е н и е к о м п ь ю т е р а А. Е с л и компьютер Б указывает

м е с т о п о л о ж е н и е , вы п о л у ч а е т е с с ы л к у на к о м п ь ю т е р А. В противном случае

ваша с и с т е м а з а п р о с и т у к о м п ь ю т е р а В м е с т о п о л о ж е н и е компьютера А, а затем

и с п о л ь з у е т т о ч н о й т а к о й же п р о ц е с с , к а к и в случае с компьютером Б. Если

к о м п ь ю т е р а м Б и В не и з в е с т н о м е с т о п о л о ж е н и е компьютера А, ваша систе-

ма б у д е т п о с ы л а т ь з а п р о с д р у г и м к о м п ь ю т е р а м по соседству, пока не найдет

систему, к о т о р о й и з в е с т н о м е с т о п о л о ж е н и е к о м п ь ю т е р а А.

В P N R P в к л ю ч е н о н е с к о л ь к о в о з м о ж н о с т е й , к о т о р ы е отличаются от служ-

бы D N S .

• Д л я л о к а л и з а ц и и о б ъ е к т о в э т а р а с п р е д е л е н н а я с и с т е м а и м е н о в а н и я н е

и с п о л ь з у е т ц е н т р а л ь н ы й с е р в е р . О н а п р а к т и ч е с к и не зависит от сервера,

о д н а к о в н е к о т о р ы х с и т у а ц и я х с е р в е р ы н е о б х о д и м ы д л я разработки про-

цесса р а з р е ш е н и я и м е н . В W i n d o w s Server 2008 компоненты PNRP-сервера

в к л ю ч е н ы в к а ч е с т в е н а д с т р о й к и .

410

Интеграция DNS с AD DS

Глава 9

• Систему P N R P можно р а с ш и р и т ь до м и л л и а р д о в и м е н – в о т л и ч и е от

системы DNS, которая управляет л и ш ь н е б о л ь ш и м ч и с л о м имен, а затем

полагается н а еще о д и н D N S – с е р в е р д л я л о к а л и з а ц и и и м е н , р а з р е ш а т ь

которые не имеет полномочий.

• Поскольку система P N R P я в л я е т с я р а с п р е д е л е н н о й и п о л а г а е т с я на та-

ких клиентов, как серверы, о н а о т к а з о у с т о й ч и в а . О д н и м и м е н е м могут

управлять несколько компьютеров, о б е с п е ч и в а я м н о ж е с т в о п у т е й к этому

. имени.

• Публикация имен в ы п о л н я е т с я м г н о в е н н о , б е с п л а т н о и не требует адми-

нистративного вмешательства, к а к в с л у ч а е с D N S .

м Имена обновляются в реальном времени – в о т л и ч и е от D N S , где д л я повы-

шения производительности интенсивно и с п о л ь з у е т с я к э ш и р о в а н и е . По этой

причине P N R P не возвращает с т а р ы е адреса, к а к в с л у ч а е с DNS-сервером,

в частности старым н е д и н а м и ч е с к и м D N S – с е р в е р о м .

• Система P N R P т а к ж е п о д д е р ж и в а е т и м е н о в а н и е с л у ж б и к о м п ь ю т е р о в ,

поскольку P N R P – и м я с о д е р ж и т адрес, п о р т и п о т е н ц и а л ь н у ю п о л е з н у ю

нагрузку, такую, например, как ф у н к ц и я с л у ж б ы .

• Имена P N R P можно з а щ и щ а т ь с п о м о щ ь ю ц и ф р о в ы х п о д п и с е й . З а щ и т а

имен таким способом гарантирует, что их н е л ь з я п о д д е л а т ь и л и заменить

фальшивыми именами.

Для разрешения имен P N R P и с п о л ь з у е т к о н ц е п ц и ю облака. Существуют

два отдельных облака. П е р в ы м я в л я е т с я г л о б а л ь н о е о б л а к о , с о д е р ж а щ е е всю

глобальную область адресов IPv6, к о т о р а я п о л н о с т ь ю о х в а т ы в а е т Интернет.

Второе – локальное облако канала, к о т о р о е о с н о в а н о на о б л а с т и локальных

1Ру6-адресов последнего. Л о к а л ь н ы е к а н а л ы о б ы ч н о п р е д с т а в л я ю т отдельные

подсети. Допускается существование н е с к о л ь к и х л о к а л ь н ы х о б л а к о в каналов

и только одного глобального облака.

Поскольку мировое сообщество еще не п е р е ш л о к I P v 6 , переход к P N R P

также пока не осуществлен и д л я р а з р е ш е н и я и м е н и с п о л ь з у ю т с я системы DNS.

К СВЕДЕНИЮ Протокол PNRP

Более подробную информацию о разрешении имен PNRP можно найти по адресу

http://technet.microsoft.com/en-us/library/bb726971.aspx.

Структуры DNS

Система доменных имен D N S п о я в и л а с ь в п е р в ы х р а з р а б о т к а х Интернета

и активно используется по сей день. По э т о й п р и ч и н е D N S – с л у ж б а в Windows

Server 2008 может обеспечить много ролей. Д о с т у п н ы т р и т и п а DNS-серверов.

• Динамические D N S – с е р в е р ы П р е д н а з н а ч е н ы д л я регистрации имен мно-

жества различных устройств с п о м о щ ь ю д и н а м и ч е с к и х обновлений, кото-

рые выполняются динамическими D N S – с е р в е р а м и ( D D N S ) . Серверы DDNS

позволяют устройствам ( к л и е н т а м и с е р в е р а м ) самостоятельно регистри-

роваться на DNS-сервере, чтобы другие у с т р о й с т в а могли локализовать их.

Когда DNS-'служба запускается на к о н т р о л л е р е домена и интегрируется со

Глава 9

Интеграция DNS с AD DS

411

с л у ж б о й каталогов, она п е р е к л ю ч а е т с я в р е ж и м D D N S , позволяя компью-

терам, и с п о л ь з у ю щ и м D H C P , автоматически регистрировать свои имена.

Т а к и м о б р а з о м с л у ж б ы AD DS могут локализовать клиента для пересылки

д а н н ы х у п р а в л е н и я , н а п р и м е р объектов групповой политики G P O (Group

Policy O b j e c t ) . С е р в е р ы D D N S обеспечивают запись и чтение, однако при-

н и м а ю т р е г и с т р а ц и ю т о л ь к о о т и з в е с т н ы х сущностей.

СОВЕТ К ЭКЗАМЕНУ

Отметим, что динамический DNS не включен в темы сертификационного экзамена

70-640. Однако динамические обновления также используются зонами DNS, ин-

тегрированными в Active Directory. Когда сервер DNS автоматически обновляется

через авторизованных клиентов, он называется DDNS-сервером. Помните об этом

при подготовке к экзамену.

м D N S – с е р в е р ы с п р а в о м ч т е н и я и з а п и с и Предыдущие версии DNS-серве-

ров, к о т о р ы е не работают в динамическом режиме, однако принимают запи-

си от и з в е с т н ы х источников, н а п р и м е р авторизованных операторов. Самым

р а с п р о с т р а н е н н ы м т и п о м D N S – с е р в е р о в с правом чтения и записи являет-

ся о с н о в н о й ( и л и п р е д п о ч и т а е м ы й ) DNS-сервер. Основные DNS-серверы

о б ы ч н о р а з в е р т ы в а ю т с я в п е р и м е т р е сети и не интегрируются с AD DS.

• D N S – с е р в е р ы т о л ь к о д л я ч т е н и я Содержат копию данных DNS только

д л я ч т е н и я . В W i n d o w s S e r v e r 2 0 0 8 существует два типа DNS-серверов

т о л ь к о д л я ч т е н и я . П е р в ы м я в л я е т с я дополнительный (или альтернатив-

н ы й ) D N S – с е р в е р . Д о п о л н и т е л ь н ы е D N S – с е р в е р ы связаны с основными

D N S – с е р в е р а м и . О н и п р и н и м а ю т и хранят данные DNS, поддерживаемые

о с н о в н ы м р о д и т е л ь с к и м сервером. Д о п о л н и т е л ь н ы е DNS-серверы обеспе-

ч и в а ю т л о к а л ь н ы й д о с т у п к д а н н ы м , которые не могут модифицироваться,

п о с к о л ь к у эти с е р в е р ы п о д д е р ж и в а ю т л и ш ь одностороннюю репликацию

от р о д и т е л ь с к о г о сервера.. В т о р ы м т и п о м я в л я е т с я DNS-сервер только

д л я ч т е н и я на к о н т р о л л е р а х домена т о л ь к о д л я чтения R O D C в Windows

S e r v e r 2008. Э т и с е р в е р ы , и н т е г р и р о в а н н ы е вместе с R O D C , запускают

о с н о в н ы е з о н ы л и ш ь с п р а в о м чтения.

С помощью этих трех типов DNS-серверов можно сконструировать стратегию

р а з р е ш е н и я имен, с о о т в е т с т в у ю щ у ю всем требованиям именования (рис. 9-3).

Например, вы можете установить в сети пару DDNS-серверов вместе с каждым

к о н т р о л л е р о м домена, так как д а н н ы е D N S обычно интегрируются с храни-

л и щ е м каталогов. П о с к о л ь к у эти данные помещаются в хранилище каталогов,

данные D N S р е п л и ц и р у ю т с я па к а ж д ы й контроллер домена, а иногда и в лесу

с помощью того же механизма, к о т о р ы й реплицирует трафик каталогов. Это

означает, что к а ж д ы й к о н т р о л л е р домена содержит локальную копию данных

DNS. Установленная D N S – с л у ж б а на контроллере домена автоматически по-

лучает доступ к его д а н н ы м и может обеспечить локальные, а не удаленные

службы р а з р е ш е н и я имен без нагрузки т р а ф и к а глобальной сети WAN (Wide

Area N e t w o r k ) . Кроме того, D N S – с л у ж б у контроллера R O D C в режиме только

для чтения м о ж н о использовать в незащищенных местах сети, где необходимы

локальные с л у ж б ы и нет административного персонала. Независимую основ-

ную службу D N S также можно использовать в периметре сети. Эти серверы

4 1 2 Интеграция DNS с AD DS Глава 9

содержат несколько записей, однако поддерживают доступ к любому прило-

жению или службе в периметре сети. И наконец, д о п о л н и т е л ь н ы е DNS-серве-

ры лишь с правом чтения можно использовать в небезопасных размещениях

с подключением к Интернету.

f Внутренняя сеть |

|: Периметр сети | [^ВНутренн'яя^сехь;)

( ® У – ^ r v ^ / К5а У

N / С а й т А / / " – х / – х

Филиал / М If yf

0

1

^ ^ / С а й т Г /

V С а й т Б /

Легенда

О DDNS-сервер

О Основной сервер с правом чтения-записи

0 Вторичный сервер лишь с правом чтения или контроллер RODC

Рис. 9-3. Размещение DNS-серверов в сети Windows Server 2008: серверы DDNS установлены

вместе с контроллерами домена, основные серверы защищены; контроллеры RODC являются

внутренними, а вторичные серверы – внешними

К СВЕДЕНИЮ Система доменных имен

Более подробную информацию о DNS можно найти по адресу kttp://technet2.microsoft.

com/windowsserver2008/en/seivermanager/dnsserver.mspx.

Синдром раздвоения личности

Одной из основных доктрин к о м м у н и к а ц и й И н т е р н е т а я в л я е т с я сегрегация

(отделение) внутренней сети от Интернета. К а к н е б о л ь ш и е , так и крупные

организации с одинаковым усердием стараются з а щ и т и т ь свои внутренние

сети с помощью множества различных систем и технологий. Наиболее распро-

страненным механизмом защиты является брандмауэр, который защищает сеть

путем блокирования нежелательного трафика иа T C P / I P – п о р т а х . Разрешенные

порты открыты, а неразрешенные закрыты.

Аналогичным образом в Windows Server 2008, в доменных службах Active

Directory (AD DS), нужно работать с двумя пространствами имен. Поскольку

каталоги AD DS основаны на системе иерархии имен DNS, для именования

Глава 9

Интеграция DNS с AD DS 4 1 3

лесов каталогов и содержащихся в них доменов нужно использовать правильно

сформированное DNS-имя, которое часто называют полным доменным именем

F Q D N ( F u l l y Qualified D o m a i n Name). В Интернете организации довольно

часто используют одно имя.

Например, в качестве потенциальных имен внутренних сетей в этой книге

используются такие имена, как contoso.com и woodgrovebank.com. Это не озна-

чает, что нужно использовать именно их. Данные имена применяются в книге


    Ваша оценка произведения:

Популярные книги за неделю