Эволюция службы каталога от Microsoft

Active Directory является последней версией службы каталога для операционной системы Microsoft Windows. Служба Active Directory впервые появилась в Windows Server 2000, и она является компонентом Windows Server 2003. Потребность в службе каталога в вычислительной среде компьютеров Microsoft выросла в результате быстрого распространения персональных компьютеров на рабочих местах. По мере увеличения количества компьютеров, входящих в рабочую среду корпораций, растет потребность в том, чтобы связать их для совместного использования ресурсов и дать возможность пользователям взаимодействовать в почти реальном времени. Но когда компания совместно использует ре-
сурсы, доступные в сети, требуется также каталог (или справочник) пользователей и системы, предназначенный для назначения ресурсам пользовательских разрешений.


Менеджер LAN для операционных систем OS/2 и MS-DOS

В1987 году первая служба каталога, разработанная для поддержки вычислительной среды компьютеров Microsoft (операционные системы OS/2 и MS-DOS), основывалась на сетевой операционной системе Microsoft LAN Manager. Служба каталога системы LAN Manager обеспечивала основные функциональные возможности для совместного использования файлов и ресурсов печати, а также для пользовательской защиты, но она не годилась для сред большого предприятия. Эта служба плохо масштабировалась и не поддерживала доверительные отношения. Чтобы обратиться к общедоступным ресурсам, сетевые пользователи должны были входить на каждый домен отдельно.


Windows NT и SAM

Войдите в Microsoft Windows NT 3.1 Advanced Server. Платформа Windows NT Server предлагает устойчивую 32-битную вычислительную среду с привычным внешним видом и «ощущением» популярной операционной системы Microsoft Windows for Workgroups, предназначенной для настольных компьютеров. Сердцем Windows NT NOS (Network Operating System — сетевая операционная система) является база данных SAM (Security Accounts Management - управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT.

База данных SAM оставалась главной службой каталога для нескольких вариантов систем Microsoft Windows NT NOS, включая систему Windows NT 3.5 и систему Windows NT Server 4. База данных SAM масштабировалась намного лучше, чем предыдущая архитектура службы каталога из-за введения междоменных доверительных отношений. Доверительные отношения в Windows NT были важны для преодоления других ограничений службы каталога Windows NT.

Однако база данных SAM имела несколько ограничений, включающих недостаток объема и плохие возможности доступа. База данных SAM имела практическое ограничение размера в 40 Мб. В терминах пользователя, группы и компьютерных объектов это ограничение проявлялось в том, что количество объектов учетных записей не могло превышать 40000. Чтобы масштабировать вычислительную среду за пределы этого ограничения, сетевые администраторы должны были добавить больше доменов к своим средам. Организации также разбивались на несколько доменов, чтобы достигнуть административной автономии, чтобы каждый администратор мог иметь полный контроль над своим собственным доменом. Поскольку все администраторы домена Windows NT 4 имеют, по существу, неограниченные административные привилегии, создание отдельных доменов было единственным методом установления границ администрирования. Однако в пределах домена все администраторы имели полный контроль над серверами и службами, которые на них выполнялись. Создание дополнительных доменов не было привлекательным методом, поскольку каждый новый домен требовал дополнительных серверных аппаратных средств, что приводило к увеличению административных накладных расходов. По мере роста количества доменов в организации обеспечение уверенности относительно доверительных отношений, которые делали возможным пользовательскую идентификацию для доступа к ресурсам внешних доменов, также приводило к росту накладных расходов. Чтобы справиться с этой растущей сложностью доменов и доверительных отношений, сетевые администраторы реализовывали одну из четырех доменных моделей: отдельный домен (single domain), домен с одним хозяином (master domain), домен с несколькими хозяевами (multiple master domain, или multimaster) и отношения полного доверия (complete trust).

При поддержке этих доменных моделей самые большие административные хлопоты состояли в необходимости создания и сопровождения большого количества доверительных отношений. Это было не просто, потому что все доверительные отношения между доменами Windows NT 4 должны были создаваться с двух сторон, т.е. в обоих доменах на концах доверительных отношений. В сценариях, предполагающих нескольких администраторов домена, это требовало координации и взаимодействия, что не является характерной чертой работы сетевых администраторов. Кроме того, доверительные отношения в домене Windows NT были не особенно устойчивы. Из-за применения метода однозначно определяемой аутентификации между парой компьютеров, который использовался для поддержания доверительных отношений в Windows NT, эти доверительные отношения часто были недоступны.
Второе ограничение на базу данных SAM состояло в возможностях доступа. Единственным методом доступа, применявшимся при взаимодействии с базой данных SAM, была сама NOS. Этот метод ограничивал программируемый доступ и не обеспечивал конечным пользователям легкого доступа для поиска объектов. Все запросы на чтение, создание или изменение объектов SAM должны были инициироваться с использованием одного из нескольких инструментальных средств, включенных в интерфейс пользователя (UI - User Interface) Windows NT 4, таких как User Manager For Domains (Администрирование доменов) или Server Manager (Администрирование серверов). Это ограничило полезность базы данных SAM в качестве службы каталога и внесло вклад в потребность найти замену службе каталога Windows NT в будущих версиях систем Windows-NOS. Такая служба каталога начала обретать форму на рабочих столах команды разработчиков Microsoft Exchange Server.


Windows 2000 и Active Directory

Так как база данных SAM не была легко доступной с внешней стороны самой NOS, она не подходила для поддержки сетевых приложений типа Exchange Server. Когда была выпущена четвертая версия Exchange Server, она имела свою собственную службу каталога - Exchange Directory. Служба Exchange Directory была предназначена для поддержки вычислительной среды больших предприятий, в более поздних версиях она основывалась на открытых стандартах интернета. Поддержка открытых стандартов подразумевала, что Exchange Directory удовлетворяла спецификации облегченного протокола службы каталогов (LDAP) семейства протоколов TCP/IP (Протокол для взаимодействия сетей в интернете) и была легко доступна программно.
Разрабатывая следующую версию NOS-систем Windows, компания Microsoft рассматривала службу каталога Exchange Server в качестве модели для будущей реализации службы каталога. Дополнительная выгода от развития сетевой службы каталога на базе существующей служ бы каталога Exchange Server состояла в том, что в будущих выпусках Exchange Server могла бы быть общая платформа службы каталога, которая обслуживала бы и сетевую среду, и среду Exchange Server. Эта цель была достигнута с выпуском Windows 2000.

Устойчивая служба каталога Active Directory, которая скромно начиналась как служба каталога Exchange Server версии 4, была в итоге выпущена с Windows 2000. Служба Active Directory заменила базу данных SAM в качестве службы каталога для сетевых сред от Microsoft. Эта новая реализация службы каталога была направлена на преодоление ограничений службы Windows NT 4 SAM и обеспечивала дополнительные выгоды сетевым администраторам. Главная выгода Active Directory в реализации Windows 2000 состоит в том, что она масштабируема. Новый файл базы данных учетных записей может достигать 70 Тб, что является весомым усовершенствованием по сравнению с лимитом SAM в 40 Мб. Число объектов, которые могут быть сохранены в Active Directory, превышает один миллион.

Фактически Active Directory была реализована в испытательной среде в модели отдельного домена, содержащей более ста миллионов объектов. В качестве демонстрации масштабируемости корпорация Compaq Computer Corporation, теперь входящая в состав корпорации Hewlett-Packard, успешно объединила в модели отдельного домена сводные каталоги домашних телефонных номеров для всех пятидесяти штатов Соединенных Штатов Америки. Списки, представляющие два самых больших штата, были загружены дважды, чтобы увеличить объем до размера, превышающего сто миллионов объектов. Если Active Directory может хранить, управлять и быстро отвечать на запросы для каждого домашнего номера телефона в Соединенных Штатах, то она может также масштабироваться до размеров организаций больших предприятий.

Такой огромный прогресс в допустимом объеме означает, что сетевые администраторы больше не должны делить свои среды на несколько доменов, чтобы обойти ограничения размеров службы каталога. Результат состоит в уменьшении количества доменов, серверных аппаратных средств и уменьшении объема сетевого администрирования, то есть появляются три неотразимых причины для реализации службы Active Directory. Сложные доменные модели, которые преобладали в Windows NT 4, теперь могут быть объединены в меньшее количество доменов с помощью организационных единиц (OU - organizational unit), предназначенных для группировки содержимого ресурсного или регионального домена Windows NT 4. На рисунке 1-2 показана типичная модель отдельного домена системы Windows 2000.


Другое важное преимущество службы Active Directory состоит в ее доступности.

Архитектура Active Directory разработана на открытых стандартах интернета, таких как LDAP и пространство имен Х.500. Active Directory
также доступна этим открытым стандартам программно. Администраторы могут управлять своими реализациями службы Active Directory, используя LDAP-совместимые инструментальные средства, такие как Active Directory Service Interface (ADSI) Edit и Ldp.exe (LDAP-совмес-тимый инструмент администрирования службы Active Directory). Так как служба Active Directory открыта для LDAP, она может управляться программно. В результате сетевые администраторы могут писать сценарии задач управления типа пакетного импорта пользовательских объектов, которые требуют много времени, если выполняются через графический интерфейс пользователя (GUI).

Домены Windows Server 2003 и Active Directory

Самая последняя, улучшенная и усовершенствованная, версия Active Directory, представленной в Windows 2000, является компонентом всех членов семейства Windows Server 2003 за исключением Web Edition, которая не нуждается в компоненте Active Directory и не реализует его. Служба Active Directory семейства Windows Server 2003 предлагает сетевым администраторам масштабируемость, возможности доступа и функциональность, необходимые для управления инфраструктурой службы каталога вычислительной среды современных предприятий. Наши представления о том, что должна выполнять служба каталога, значительно расширились со времени компьютеров с MS-DOS, связанных сетью под управлением LAN Manager, и Active Directory является идеальным инструментом, удовлетворяющим этим представлениям. Далее в этой главе объясняется, каким образом Active Directory выполняет свою роль в центре среды Windows Server 2003, и какие новые функции появились в этом выпуске.