Нововведения в службе Active Directory Windows Server 2003
В дополнение к ключевым функциям Active Directory, упомянутым выше, имеются несколько новых функций, которые добавлены к службе Active Directory в Windows Server 2003. В следующем разделе дается краткий обзор нововведений операционной системы Windows Server 2003. Более полно они рассматриваются в следующих главах.
Усовершенствования в оснастке Active Directory Users And Computers
Имеется два приятных изменения в оснастке Active Directory Users And Computers (Active Directory: пользователи и компьютеры). В Windows Server 2003 эта оснастка позволяет администратору сохранять запросы. Администраторы могут делать поиск в каталоге по определенному атрибуту, сохранять запрос, а затем выполнять его снова в будущем для анализа или поиска неисправностей. Например, администратор может сохранять результаты поиска любого пользовательского объекта, который имеет пароль с неограниченным временем действия (Account Options: Password Never Expires - опции учетной записи: пароль с неограниченным временем действия), а затем периодически пользоваться этим поиском, чтобы следить за наличием такого пароля, представляющего потенциальный риск для безопасности.
Оснастка Active Directory Users And Computers позволяет администратору редактировать несколько пользовательских объектов одновременно. В примере, упомянутом выше, после того, как администратор сделал поиск учетных записей пользователей, имеющих пароли с неограниченным временем действия, все эти учетные записи можно открыть и изменить этот атрибут для всех учетных записей одновременно.
Функциональные уровни
Active Directory Windows Server 2003 вводит функциональные уровни домена и леса, которые обеспечивают обратную совместимость для доменов, содержащих низкоуровневые контроллеры домена. Имейте в
виду, что вы должны будете поднять функциональный уровень домена или леса, чтобы реализовать многие другие изменения в Active Directory для Windows Server 2003. Многие из новых функций требуют сетевой среды, в которой все контроллеры домена имеют операционную систему Windows Server 2003.
Примечание. Низкоуровневым контроллером домена является любой контроллер домена в домене Windows Server 2003, который имеет любую более раннюю версию NOS, например, Windows NT 4 или Windows 2000.
Функциональный уровень домена и леса, заданный по умолчанию, — «Windows 2000» (для домена — «Windows 2000 mixed»). Это означает, что при установке Active Directory конфигурируется так, чтобы использовались только те новые функции, которые могут поддерживаться комбинацией контроллеров домена с Windows Server 2003 и Windows Server 2000. Чтобы воспользоваться преимуществами новых функций службы Active Directory, уровень функциональных возможностей должен быть поднят к уровню контроллеров домена Windows Server 2003 как можно скорее, т.е. в домене не должно остаться ни одного контроллера домена, на котором выполняются системы Windows 2000 или Windows NT 4.
Примечание. Функциональные уровни Active Directory в Windows Server 2003 тесно связаны с настройками mixed-mode (смешанный режим) и native-mode (основной режим) домена в Windows 2000. С выпуском операционной системы Windows Server 2003 появилась возможность иметь на предприятии другую платформу службы каталога Microsoft Active Directory, поэтому настройки домена вобрали в себя новые дополнительные свойства Active Directory. Концепции функциональных возможностей домена и режима домена по существу одинаковы. Для получения дополнительной информации об уровнях функциональных возможностей см. табл. 2-1 и 2-2.
Переименование домена
Active Directory теперь поддерживает переименование существующих доменов в пределах леса при сохранении глобально уникального идентификатора (GUID — Globally Unique Identifier) и идентификатора защиты (SID - Security Identifier) домена. Есть несколько сценариев, в которых это свойство полезно, включая слияние двух организаций, имеющих отдельные инфраструктуры Active Directory, которые хотят объединиться под одним именем домена, отражающим их внешнее зарегистрированное пространство имен. Переименование доменов не является тривиальной IT-процедурой. Это действие разрушительно с точки
зрения доступа к сети, для завершения операции каждый контроллер домена и каждый сервер домена должны быть перезагружены.
Разделы приложений каталога
В дополнение к разделам домена и конфигурации каталога (включая раздел схемы каталога) Active Directory теперь поддерживает раздел приложений каталога. Раздел приложений каталога может использоваться для хранения специфической для приложения информации в отдельном разделе, который реплицируется только на те контроллеры домена, которым требуется обновление этих данных. Это уменьшает полный трафик репликации Active Directory. Заданная по умолчанию реализация раздела приложений каталога представляет собой Active Directory, объединенную с зонами DNS. Раздел приложений каталога теперь является заданным по умолчанию хранилищем для Active Directory, объединенной с зонами DNS. Эта конфигурация приводит к тому, что данные зон DNS реплицируются только в набор контроллеров домена, которые также являются DNS-серверами, включая DNS-серве-ры других доменов в лесу. Разработчики приложений могут писать распределенные приложения, используя эту возможность так, чтобы их приложения хранили свои данные в разделе приложений каталога.
Дополнительный контроллер домена, инсталлированный с резервных средств хранения информации
Эта новая функция является усовершенствованием к процессу инсталляции Active Directory. В системе Windows 2000 при установке дополнительного контроллера домена могло потребоваться очень много времени (от нескольких часов до нескольких дней) на завершение начальной репликации разделов каталога, особенно для больших разделов каталога или для контроллеров домена, соединенных медленными линиями связи. Процесс инсталляции Active Directory для Windows Server 2003 теперь поддерживает создание разделов каталога из недавней резервной копии данных System State (Состояние системы) с другого контроллера домена Windows Server 2003. Так как к данным каталога обращаются с местного диска, а не через репликацию по сети, этот процесс сильно ускоряется.
Дезактивация объектов схемы
В Windows Server 2003 сетевые администраторы имеют возможность «дезактивировать», или выключить, классы, схемы и атрибуты. В результате вы можете переопределять атрибуты и классы вместо необходимости создавать новый атрибут или класс в случае ошибки в определении какого-либо постоянного свойства. Предположим, что администратор решает расширить схему, чтобы включить в нее атрибут «Размер обуви» объекта класса «Пользователь», и неосторожно устанавливает определение атрибута на integer (целое число). Получив отказ, администратор решает, что это должно быть строковое (string) значение, чтобы включать и размер, и ширину. Путем дезактивации атрибутов схемы первоначальный атрибут можно выключить и создать новый атрибут с тем же именем «Размер обуви» и с соответствующим определением. Без этой возможности администратор должен был бы создать новый атрибут с уникальным названием и целиком отказаться от атрибута «Размер обуви». В качестве подстраховки, чтобы предотвратить случайную дезактивацию, изменения, произведенные дезактивацией объектов схемы, являются обратимыми.
Отключение сжатия трафика репликации между различными сайтами
В Active Directory Windows Server 2003 так же, как в Windows 2000, трафик межсайтовой репликации по умолчанию сжат. Наряду с тем, что это сжатие оптимизирует пропускную способность сети между сайтами, оно накладывает дополнительную нагрузку на процессоры контроллера домена, которые обрабатывают сжатие и распаковку. Поскольку теперь сжатие трафика репликации можно выключать (только между различными сайтами), администраторы могут уменьшать нагрузку на процессор. Это происходит за счет увеличения нагрузки на пропускную способность сети, но в средах с высокой сетевой пропускной способностью эта альтернатива может заслуживать внимания.
Для входа в систему не нужен доступ к глобальному каталогу
При входе в домен, находящийся в основном режиме Windows 2000 (native-mode), необходимо вступить в контакт с сервером глобального каталога (GC - Global Catalog) для обработки универсального группового членства пользователя. Эта групповая информация требуется для того, чтобы создать лексему доступа пользователя. Для избежания ситуаций, в которых пользовательские входы в систему отклоняются из-за выключенной связи с GC, обычная практика при проектировании Active Directory состоит в размещении глобальных каталогов в тех местах, которые соединены с основной сетью менее надежными сетевыми связями. Теперь контроллеры домена Windows Server 2003 можно сконфигурировать так, чтобы информация универсального группового членства кэшировалась, и пользовательские входы в систему могли быть обработаны без контакта с GC. В результате не требуется, чтобы каждое удаленное место расположения компании имело GC-каталог. Кроме того, при отсутствии GC-каталога на каждом удаленном сайте трафик репликации по сетевым соединениям, связывающим эти сайты, уменьшается.
Усовершенствование репликации группового членства
В системе Windows 2000 единственное изменение, сделанное в одном члене группы, вызывало необходимость репликации всех членов группы, чтобы синхронизировать изменения с другими контроллерами домена. Для очень больших групп при этом использовалась значительная часть пропускной способности сети и имелась потенциальная возможность потери данных члена группы, если случалось так, что членство в группе изменялось на нескольких контроллерах домена. На функциональном уровне леса Windows Server 2003 репликация изменений группового членства касается теперь только измененного члена.
Усовершенствование UI-селектора объектов Селектор объектов (object picker) представляет собой функцию интерфейса пользователя (UI), которая используется для выбора объектов учетных записей при администрировании Active Directory. Например, при добавлении учетных записей пользователя к глобальной группе используется UI-селектор объектов для того, чтобы выбрать учетную запись пользователя, которую вы хотите включить в группу. В прошлых выпусках этот интерфейс обеспечивал простое представление каталога, которое невозможно было прокручивать для просмотра. Текущая версия этого интерфейса включает расширенные функции запросов, которые позволяют делать поиск в каталоге на уровне атрибута и которые могут перенести сферу действия на определенное организационное подразделение. Результаты этого усовершенствования состоят в улучшении поиска, а также в уменьшении сетевого трафика, связанного со службой каталога. Более того, UI-селектор объектов доступен любой новой оснастке ММС, в которой требуется выбирать объекты из Active Directory.
Механизм удаления неактивных объектов
Удаление неактивных объектов представляет собой процесс, в результате которого объекты-памятники (tombstone) удаляются из тех контроллеров домена, которые были недоступны для репликации после процесса сборки мусора. Объект-памятник представляет собой маркер, который указывает на то, что объект был удален. «Сборка мусора» — это процесс, с помощью которого объекты, отмеченные как объекты-памятники, удаляются изо всех реплик базы данных Active Directory по всему домену. Процесс удаления этих неактивных объектов используется в таких ситуациях, в которых удаление маркеров-памятников в разделе каталога домена выполняется после того, как контроллер домена находился в автономном режиме или был недоступен по другим причинам. Прежде не существовало никакого процесса, предназначенного для очищения системы от таких «потерянных» маркеров-памятников, в резуль тате чего база данных каталога могла вырастать до таких размеров, что это влияло на производительность процесса репликации. Это также означало, что на разных контроллерах домена существовали несогласованные копии разделов каталога.
Поддержка класса inetOrgPerson
Active Directory Windows Server 2003 теперь поддерживает класс inetOrgPerson в том виде, в каком он определен в документе RFC 2798, который доступен на сайте http://www.faqs.org/rfcs/rfc2798.html. Это дополнение к основной схеме дает возможность администратору Active Directory перемешать объекты inetOrgPerson из других LDAP-катало-гов, а также создавать объекты inetOrgPerson в среде Active Directory Windows Server 2003.