Una breve discusión sobre la aplicación del directorio activo WIN
En los artículos anteriores hablamos de los principios básicos y la configuración de instalación de Active Directory, centrándonos en algunas de las ventajas de Active Directory. Sin embargo, no es un servicio independiente. Los protocolos y servicios anteriores solo se pueden realizar con éxito después de eso, como la combinación perfecta de DNS, protocolo LDAP y Active Directory, la aplicación de conceptos de sitio, etc., son pruebas muy destacadas. A continuación presentaremos estas tecnologías de aplicación respectivamente.
1. Aplicación de DNS en Active Directory
Como sistema operativo completamente nuevo, la característica más importante de WIN2K es la introducción de Active Directory, y una de las características más importantes de Active El directorio es DNS y Active Directory están estrechamente integrados. Active Directory utiliza el DNS del servicio de nombres de dominio como servicio de ubicación y también amplía el DNS estándar. Dado que DNS es el servicio de localización más utilizado, DNS también se utiliza como servicio de localización no sólo en Internet, sino también en muchas redes internas corporativas. En un sistema de red creado con WINNT4.0, la única información de identificación para cada host es su nombre NetBIOS. El sistema utiliza varios modos, como el servicio WINS, el método de transmisión de información y el archivo Lmhost para resolver el nombre NetBIOS en la dirección IP correspondiente. realizando así la comunicación de información. En un sistema de red interno (que normalmente es lo que llamamos red de área local), es muy conveniente y rápido utilizar nombres NetBIOS para lograr la comunicación de información. Sin embargo, la única información de identificación de un host en Internet es su nombre de dominio en formato FQDN. En Internet, el estándar DNS se utiliza para resolver el nombre de dominio en la dirección IP correspondiente. Si el sistema de red creado por WINNT4.0 está conectado a Internet, cada host en la red NT también tendrá un nombre de dominio correspondiente y la resolución de su nombre de dominio se logra a través del servicio DNS compatible con WINNT4.0. La configuración e implementación de DNS en WINNT4.0 se planifica, diseña e implementa completamente de forma manual. De lo anterior, se puede ver que en el sistema de red WINNT4.0, cada host tiene un nombre NetBIOS y un nombre de dominio, y sus significados reales. son básicamente iguales, lo que aumenta en cierta medida la carga de gestión de los administradores de red y hace que toda la gestión de la red sea más confusa.
En Active Directory de WIN2K, la unidad más básica es el dominio. Los dominios se organizan en un árbol a través de los modelos de dominio principal y dominio secundario. Existe una relación de confianza bidireccional completa entre el dominio principal y. el dominio secundario. y la relación de confianza se transfiere, y su estructura organizativa es similar al sistema DNS. La estrategia de nombres en Active Directory se implementa básicamente de acuerdo con los estándares de Internet, siguiendo los estándares DNS y LDAP3.0. Los dominios en Active Directory y los dominios en el sistema DNS utilizan exactamente el mismo método de nombres, es decir, el nombre de dominio en Active Directory. es el nombre de dominio DNS. Luego, confíe en DNS como servicio de ubicación en Active Directory para resolver nombres en direcciones IP. Por lo tanto, cuando usamos WIN2K para construir un directorio activo, también debemos instalar y configurar el DNS correspondiente. Independientemente de si el usuario implementa la resolución de dirección IP o la verificación de inicio de sesión, DNS se usa para ubicar el servidor en el directorio activo. Esta estrecha integración de los sistemas Active Directory y DNS significa que Active Directory es muy adecuado tanto para entornos de Internet como de Intranet. Esto también es una manifestación de la idea de Microsoft de crear un sistema operativo de red adecuado para Internet. Las empresas pueden conectar Active Directory directamente a Internet para simplificar la comunicación de información con clientes y socios. Además, el servicio DNS en WIN2K permite a los clientes utilizar el protocolo de actualización dinámica de DNS (RFC 2136) para actualizar dinámicamente registros de recursos, lo que mejora el rendimiento de la gestión de DNS al acortar el tiempo de gestión manual de esos mismos registros. Las computadoras que ejecutan WIN2K pueden registrar dinámicamente sus nombres DNS y direcciones IP.
Desde que se integraron Active Directory y DNS, el nombre NetBIOS ha ido perdiendo gradualmente su significado en WIN2K, y el servicio WINS correspondiente también está en proceso de ser eliminado lentamente. Para utilizar eficazmente las características dinámicas de WINS en WINNT, generalmente integramos DNS con WINS para obtener resultados de análisis más precisos. Sin embargo, WINS no es un protocolo estándar de Internet y la solución de DNS para mantener dinámicamente una tabla de nombres de máquinas y direcciones IP es el DNS dinámico. El DNS dinámico no requiere el uso de WINS porque permite a los clientes con direcciones IP asignadas dinámicamente registrarse directamente con el servidor DNS y actualizar la tabla de búsqueda de DNS al instante.
WIN2K admite DNS dinámico y la máquina que ejecuta el servicio Active Directory puede actualizar dinámicamente la tabla DNS. El servicio WINS ya no es necesario en la red WIN2K, pero WIN2K aún admite WINS por razones de compatibilidad con versiones anteriores. Entonces, si el sistema de red ya no usa WINS, ¿cómo encuentra el cliente el controlador de dominio cuando un usuario inicia sesión en la red? Esto se debe a que cuando WIN2K implementó DNS, extendió el DNS estándar y agregó un nuevo tipo de registro SRV a la tabla DNS, que apunta al controlador de dominio de Active Directory. Por lo tanto, si el sistema de red se ha actualizado completamente a WIN2K, ya no se podrá utilizar el servicio WINS. En WIN2K, debido a la compatibilidad con el protocolo de actualización dinámica (RFC 2136), esta integración se vuelve innecesaria. DNS, un protocolo abierto que se usa ampliamente en Internet y que consta de una serie de estándares de Solicitud de Interpretación (RFC), se ha convertido en una especificación unificada y estandarizada en la tecnología de redes. WIN2K pretende ser ampliamente utilizado en entornos de Internet e Intranet, por lo que su modo de resolución de nombres debe cumplir plenamente con un único estándar DNS.
Lo anterior habla principalmente sobre la aplicación de DNS en Active Directory, pero algunas personas pueden preguntar que en WINNT4.0, Active Directory no se usa y solo se usa DNS para resolver nombres de dominio. entre Active Directory y DNS? ¿Cuál es la diferencia entre ellos y cómo se combinan? Hablemos de ello en detalle a continuación.
1. La diferencia entre Active Directory y DNS
(1) Diferentes objetos almacenados
La combinación de DNS y Active Directory es la característica principal de Windows 2000. El servidor, los dominios DNS y los dominios de Active Directory utilizan el mismo nombre de dominio para diferentes espacios de nombres. Pero cada uno de ellos almacena datos diferentes y, por lo tanto, gestiona objetos diferentes. DNS almacena sus registros de zonas y recursos, Active Directory almacena dominios y los objetos dentro del dominio. Para DNS, el nombre de dominio se basa en la estructura de nombres de capas de DNS, que es una estructura de árbol invertida: un dominio raíz y los siguientes dominios son dominios principales y dominios secundarios. Las computadoras en cada dominio DNS se pueden identificar mediante un nombre de dominio completo (FQDN). Cada dominio WIN2K conectado a Internet tiene un nombre DNS y cada computadora en el dominio WIN2K también tiene un nombre DNS. Por lo tanto, los dominios y las computadoras representan tanto objetos de Active Directory como nodos de dominio.
(2) Las bases de datos utilizadas para la resolución son diferentes
DNS es un servicio de resolución de nombres DNS acepta solicitudes y consulta la base de datos DNS a través del servidor DNS para resolver dominios o computadoras en IP. direcciones de. Los clientes DNS envían consultas de nombres DNS a sus servidores DNS configurados. Después de aceptar la solicitud, el servidor DNS resuelve el nombre a través de la base de datos DNS local o consulta la base de datos DNS en Internet. DNS no requiere Active Directory para funcionar.
Active Directory es un servicio de directorio que acepta solicitudes de controladores de dominio y consulta la base de datos de Active Directory para resolver nombres de objetos de dominio en registros de objetos.
Los usuarios de Active Directory envían solicitudes al servidor de Active Directory a través del protocolo LDAP (un protocolo para ingresar a los servicios de directorio). Para ubicar la base de datos de Active Directory, necesitan usar DNS. En otras palabras, Active Directory usa DNS como servicio de ubicación. y el servidor Active Directory. Para resolver en una dirección IP, Active Directory no se puede resolver sin la ayuda de DNS. DNS puede ser independiente de Active Directory, pero Active Directory debe tener la ayuda de DNS para funcionar. Para que Active Directory funcione correctamente, el servidor DNS debe admitir registros de recursos de ubicación de servicio (SRV), que asignan nombres de servicios a los nombres de los servidores que brindan servicios. Los clientes y controladores de dominio de Active Directory utilizan registros de recursos SRV para determinar la dirección IP del controlador de dominio.
Además de requerir que el servidor DNS de la red WIN2K admita registros de recursos SRV, Microsoft también recomienda que el servidor DNS proporcione actualizaciones dinámicas a DNS. La actualización dinámica de DNS define un protocolo que actualiza automáticamente un servidor DNS dentro de un valor determinado. Sin este protocolo, los administradores tienen que configurar manualmente los nuevos registros generados por los controladores de dominio. El nuevo servicio DNS de WIN2K admite registros de recursos SRV y actualizaciones dinámicas. Si elige otro servidor DNS que no esté basado en WIN2K, debe verificar que admita registros de recursos SRV. Para un servidor DNS legal que admite registros de recursos SRV pero no admite actualizaciones dinámicas, cuando actualiza el servidor WIN2K a un controlador de dominio, sus registros de recursos deben actualizarse manualmente. Esto se puede hacer con el archivo Netlogon.dns, que crea el Asistente de instalación inteligente de Active Directory y está presente en la carpeta %systemrootSystem32config.
2. Cómo combinar los dos
Dado que DNS y Active Directory son tan diferentes, ¿cómo se combinan? Existen principalmente las siguientes formas:
(1) Los dominios de Active Directory y los dominios DNS utilizan la misma estructura jerárquica
Aunque las funciones y propósitos son diferentes, el espacio de nombres DNS de un. organización Tiene la misma estructura que el espacio de Active Directory.
(2). La zona DNS se puede almacenar en Active Directory
Si utiliza el servicio DNS de WIN2K, entonces el dominio principal se puede almacenar en Active Directory para proporcionar otros controladores de dominio de Active Directory. Servicios de replicación y proporcionar medidas de seguridad mejoradas para los servicios DNS.
(3) Los clientes de Active Directory utilizan DNS para localizar controladores de dominio.
Para un dominio específico, para localizar el controlador de dominio, los clientes de Active Directory solicitan el servidor DNS que configuran. archivos. Cuando una empresa utiliza WIN2K Server Edition como sistema operativo de red, Active Directory se considera uno o más dominios WIN2K jerárquicos debajo del dominio raíz de los nombres DNS legales registrados.
De acuerdo con las reglas de nomenclatura de DNS, cada parte del nombre DNS separada por un punto (.) representa un nodo en la jerarquía del árbol DNS y representa un dominio potencial de Active Directory en la jerarquía del árbol de dominios WIN2K. . El nodo raíz del DNS está representado por un espacio en blanco (""). El nodo raíz del espacio de nombres de Active Directory no tiene un dominio principal y proporciona el punto de entrada LDAP para Active Directory.
2. Aplicación del sitio en Active Directory
Cuando utilizamos WINNT4.0 para planificar y diseñar nuestro sistema de red empresarial, debemos diseñarlo de acuerdo con las circunstancias específicas de la construcción de la empresa. Modelos de dominio correspondientes, como dominio único, dominio multimaestro o modelo de dominio único maestro, etc. Podemos utilizar este tipo de modelos de dominio para planificar el entorno de red de la empresa y realizar la organización, gestión y control de la red empresarial. Cuando implementamos este tipo de planificación de red, a menudo necesitamos realizar una planificación y un diseño que satisfaga las necesidades reales en función de la estructura organizativa interna de la empresa. Si se trata de una gran empresa con carácter de grupo, muchas veces necesitamos diseñar en un dominio un determinado departamento o algunos departamentos con mayor correlación laboral para facilitar la organización y gestión.
Esto plantea un problema muy difícil para nuestros diseñadores. Si dicho dominio está compuesto por computadoras distribuidas geográficamente en diferentes ubicaciones a través de conexiones lentas, entonces la sincronización de información del PDC y BDC a través de las conexiones lentas se verá afectada por la conexión lenta. Una gran cantidad de tráfico de red y afecta el rendimiento general de la red. Ante tal problema, no podemos hacer nada y no tenemos ningún método de control.
Cuando entré en contacto con WIN2K, las potentes funciones y las ideas de diseño humanizado de Active Directory hicieron que la planificación y el diseño de nuestra red futura fueran más convenientes y flexibles. La propuesta e implementación del concepto de Sitio en WIN2K Active Directory proporciona una poderosa herramienta para administrar y controlar la sincronización de la información entre los DC, resolviendo así de manera efectiva el problema que planteamos anteriormente y que alguna vez nos dejó perdidos.
El llamado Sitio se refiere a un conjunto de computadoras que están físicamente conectadas por buenas líneas y pueden alcanzar velocidades de comunicación más rápidas. Generalmente, se refiere a una LAN. La comunicación de información entre sitios generalmente se logra mediante conexiones lentas. Se puede ver que el Sitio es un reflejo objetivo de la distribución física real de las computadoras en la red. Con el concepto de Sitio, podemos dividir las computadoras de un dominio en varios Sitios según la distribución geográfica. En un sitio, Active Directory utiliza componentes de replicación y KCC para formar un anillo bidireccional para la sincronización de replicación entre DC. Cada DC tiene dos socios de replicación, formando una sincronización completa de la información entre ellos. Cuando la base de datos del directorio en un DC cambia, esperará un período de tiempo y luego enviará una notificación de cambio a su socio de replicación. Después de recibir la notificación de cambio, el socio de replicación copiará la información de cambio de los datos del directorio del DC modificado. . De manera similar, el socio de replicación también enviará la información de cambio a su socio de replicación para lograr la sincronización de los DC en todo el sitio. Dado que el sitio utiliza una conexión de red rápida y confiable, los datos replicados entre los DC en el sitio no se comprimen. Aunque esto aumenta el ancho de banda requerido para replicar la información, también reduce la carga del procesamiento de datos en el DC. En circunstancias normales, la sincronización de información de los DC en el sitio utiliza el protocolo RPC, lo que hace que la replicación de datos sea rápida y unificada, y mantiene un alto nivel de coherencia de datos entre los DC.
Generalmente se utilizan conexiones lentas entre sitios, con ancho de banda disponible limitado y transmisión de datos poco confiable. Para no afectar otras comunicaciones de datos en líneas de conexión lentas y garantizar la confiabilidad de la replicación de directorios entre DC, la replicación de DC entre sitios no utiliza el método de notificación de cambios de replicación entre DC dentro del sitio, sino que adopta el método de programación de replicación. . Se puede establecer un cronograma y un intervalo de tiempo entre sitios. El cronograma determina cuándo se permite que se realice la replicación y el intervalo de tiempo especifica con qué frecuencia el DC verifica los cambios en los datos dentro del tiempo permitido para la replicación. De esta manera, podemos configurar el cronograma de sincronización de replicación de DC entre sitios en un momento en que el tráfico de la red es bajo (como la medianoche). En este momento, la red no está congestionada y es relativamente confiable. Además, la replicación de directorios de DC entre sitios utiliza un método de compresión y la información de replicación se puede comprimir entre un 10 y un 15 %, lo que puede optimizar eficazmente el ancho de banda de la red.
Se puede ver que al planificar racionalmente el sitio en Active Directory, podemos controlar eficazmente la sincronización de los DC en Active Directory, optimizar el ancho de banda de la red y mejorar el rendimiento de la red. En Active Directory de WIN2K, la sincronización entre DC no solo implica la sincronización de una gran cantidad de datos entre DC en un dominio, sino que también requiere la sincronización de una pequeña cantidad de información entre DC en diferentes dominios. Cuando usamos el Sitio para implementar el diseño de replicación entre DC en Active Directory, podemos usar las dos configuraciones de Enlace del sitio y Puente de enlace del sitio para ayudarnos a lograrlo, formando así un diseño de DC más razonable, más efectivo y más confiable en Active. Directorio. Copie el diseño para maximizar la optimización de nuestro sistema de red.
3. Aplicación de LDAP en Active Directory
El nombre completo en inglés de LDAP es Lightweight Directory Access Protocol, o LDAP para abreviar.
Es un protocolo de servicio de directorio basado en el estándar X.500, pero mucho más simple que éste y puede personalizarse según sea necesario. A diferencia de X.500, LDAP admite TCP/IP, que es necesario para acceder a Internet. Las especificaciones principales de LDAP se definen en RFC y todas las RFC relacionadas con LDAP se pueden encontrar en la página web LDAPman RFC.
El modelo de trabajo de los servicios de directorio es el modelo cliente/servidor. En 1988, la organización CCITT creó por primera vez el estándar X.500 para describir de manera integral este modelo, incluida la estructura del directorio, el método de denominación, el mecanismo de búsqueda del servidor de directorio y el protocolo DAP (Protocolo de acceso a directorios) para la comunicación cliente-servidor. Esta norma fue rápidamente citada por la organización ISO y recibió el número ISO 9594. Sin embargo, en el proceso de aplicación práctica, X.500 enfrenta muchos obstáculos. Dado que el protocolo de capa de aplicación de DAP está estrictamente formulado de acuerdo con el complejo modelo de protocolo ISO de siete capas, tiene demasiados requisitos para el entorno de protocolo de capa relevante y no se puede utilizar en muchos sistemas pequeños. La popularidad del protocolo TCP/IP. El sistema ha hecho que este protocolo sea aún más difícil de utilizar. En este caso surgió LDAP, una versión simplificada de DAP. El servidor LDAP diseñado inicialmente no era un servidor de directorio independiente. Desempeñaba principalmente el papel de puerta de enlace entre el cliente LDAP y el servidor X.500. Era a la vez un servidor LDAP y un cliente X.500. Los servidores LDAP actuales pueden reemplazar a los servidores X.500 y proporcionar servicios de forma independiente.
La organización del directorio del servidor LDAP toma la "entrada" como unidad básica y la estructura es similar a un árbol. Cada entrada es un nodo de rama u hoja del árbol. Una entrada consta de varios "atributos" y cada atributo consta de un "tipo" y uno o más "valores". El protocolo LDAP se implementa directamente sobre la base del protocolo TCP orientado a conexión y define el proceso de comunicación y el formato de información entre el cliente LDAP y el servidor LDAP. El servidor LDAP escucha en el puerto de servicio (el número de puerto predeterminado es 389). Después de recibir la solicitud del cliente, establece una conexión e inicia la sesión. La importancia de la combinación de Active Directory y el protocolo DNS es mantener coherente el método de denominación de la red interna y la red externa, lo que facilita la gestión de toda la red. El protocolo LDAP es un protocolo de acceso a directorios que se utiliza para consultar y recuperar información de Active Directory. Debido a que se basa en el protocolo de servicios de directorio estándar de la industria, se pueden desarrollar programas que utilicen LDAP para compartir información de Active Directory con otros servicios de directorio que también admitan LDAP. Información de Active Directory Active Directory utiliza el protocolo de acceso a directorios LDAP como medio por el cual intercambia información con otras aplicaciones o servicios de directorio. LDAP se ha convertido en el estándar para los servicios de directorio y es más simple y práctico que el protocolo X.500 DAP. Microsoft ha brindado soporte para LDAP v2 y LDAP v3 en el sistema Exchange Server y brindará soporte más completo en el servicio WIN2K Active Directory.
Vale la pena mencionar el formato de nombre utilizado en el protocolo LDAP. Debido a que necesitamos acceder a los objetos del directorio a través de la información del nombre, el formato del nombre es muy importante para los usuarios o aplicaciones. Active Directory admite la mayoría de los tipos de formatos de nombres. Hay dos formatos comúnmente utilizados:
(1) Nomenclatura RFC822
El formato es muy similar a una dirección de correo electrónico. Active Directory proporciona este formato para todos los usuarios. utilice este nombre descriptivo directamente como dirección de correo electrónico o como nombre de cuenta al iniciar sesión en el sistema.
(2) URL de LDAP y nombre X.500
Cualquier cliente que admita LDAP puede usar el nombre de LDAP para acceder a Active Directory a través del protocolo LDAP. El nombre de LDAP no es como un. URL ordinaria de Internet El nombre es muy intuitivo, pero el nombre LDAP a menudo está oculto dentro del sistema de la aplicación y los usuarios finales rara vez usan el nombre LDAP directamente. El nombre LDAP utiliza la convención de nomenclatura X.500, también conocida como denominación de atributos, e incluye el servidor donde se encuentra el servicio Active Directory y la información de atributos del objeto.