CATEGORII DOCUMENTE |
Serviciul de catalog Acive Directory
DNS
Serviciile de catalog Active Directory se utilizeaza pentru a furniza un punct unic de administrare a resurselor retelei. Un serviciu de catalog este un serviciu a retelei care identifica in mod unic toate resursele si le face accesibile pentru utilizatori, pe baza anumitor reguli. Catalogul utilizat de aceste servicii va stoca toate resursele retelei, cum ar fi: utilizatorii retelei, calculatoare, directoare si fisiere existente in retea, imprimante, politici de securitate, etc. Toate aceste elemente stocate intr-un catalog poarta numele de obiecte
Caracteristic pentru Windows 2000 Server este faptul ca serviciile de catalog Active Directory sunt organizate in structuri ierarhice, numite domenii. Un domeniu este o grupare logica de servere si alte tipuri de resurse de retea, accesibile sub un singur nume si care sunt gestionate de o maniera unitara. Orice domeniu va contine cel putin un controler de domeniu. Acesta este un calculator care are instalat sistemul de operare Windows 2000 Server si care contine un catalog de domeniu complet (o baza de date administrativa care contine toate informatiile necesare functionarii si gestionarii corecte a retelei).
Intr-o retea Windows 2000 care contine mai multe controllere de domeniu, acestea sunt echivalente. Orice modificare facuta pe oricare din controllere va fi replicata similar pe toate celelalte. Cum Active Directory ofera un punct unic de administrare pentru retea, administratorul va putea gestiona in mod identic functionarea retelei, indiferent de calculatorul pe care va lucra.
Structura de catalog Active Directory va grupa resursele dupa criterii logice, ceea ce are ca efect posibilitatea localizarii lor dupa nume si dupa pozitia lor fizica. Astfel, structura fizica a retelei devine transparenta pentru utilizatorul obisnuit, acesta nefiind obligat sa cunoasca ceva despre aceasta pentru localizarea unei resurse.
De jos in sus, structura ierarhica a Active Directory contine obiecte unitati de organizare domenii arbori si paduri
Orice resursa a retelei va fi reprezentata la nivel logic de un set distinct si denumit de atribute. Acest set de atribute este identificat ca fiind un obiect object). Astfel, atributele pot fi interpretate ca fiind caracteristicile obiectelor de catalog. De exemplu, atributele obiectelor Calculatoare pot fi Nume calculator si Descriere, iar atributele obiectelor Utilizatori pot fi Nume de logon Nume Prenume. Obiectele, la randul lor, pot fi organizate in clase. O clasa va cuprinde un grup de obiecte logice de acelasi tip. De exemplu, putem avea clase de conturi utilizator, de calculatoare, de domenii, etc.
O unitate de organizare organizational unit) poate fi vazuta ca un container utilizat pentru organizarea obiectelor din cadrul unui domeniu in grupuri administrative logice. O unitate de organizare poate contine obiecte, precum conturi utilizator, grupuri, calculatoare, imprimante, partitii, directoare partajate, etc. Ierarahia implementata pentru unitatile de organizare in cadrul unui domeniu este caracteristica acestuia, fiind complet independenta de ierarhiile implementate in alte domenii. Asupra numarului de nivele intr-o astrfel de ierarhie nu exista nici o restrictie, dar este indicat sa nu fie implementat un numar mare de niveluri. In figura este prezentata structura unei unitati de organizare in care mai multe obiecte sunt grupate in unitati de organizare apartinand la diferite facultati.
Un arbore tree) este o grupare ierarhica formata din una sau mai multe domenii Windows 2000. O padure forest) este o grupare ierarhica ce contine unul sau mai multi arbori. Arborii si padurile reprezinta spatii de nume. Intr-un arbore, intotdeauna numele unui obiect copil va trebui sa contina numele obiectului parinte. Intr-o padure in schimb, numele unui obiect copil si al obiectului parinte nu sunt legate in mod direct.
Un sit
este o grupare de una sau mai multe retele IP conectate
prin intermediul unei legaturi de mare viteza. In mare, un sit este
foarte asemanator cu o retea LAN. Motivele
pentru care au fost create siturile sunt 2:
sa permita o replicare optima intre controlere;
sa permita utilizatorilor sa se conecteze la un controler de domeniu prin intermediul unei conexiuni fiabile de mare viteza.
Prin replicare intre controlere, una sau mai multe modificari facute asupra unui controler de domeniu vor fi reflectate pe toate controlerele aflate in interiorul aceluiasi domeniu. Spre deosebire de batranul Windows NT Server, intr-un domeniu Windows 2000 toate controlerele sunt echivalente. Astfel, intr-un domeniu Windows 2000:
fiecare controler de domeniu mentine o copie completa a catalogului Active Directory si executa replicari ale acestuia cu toate celelalte controlere din domeniu. Replicarea se executa automat, nu la o comanda a administratorului, cum se intampla intr-un domeniu Windows NT
controlerele de domeniu pot contine pentru perioade scurte de timp informatii diferite, pana cand prin replicare acestea sunt sincronizate;
prin echivalenta controlerelor si mecanismul de replicare, este asigurata fiabilitatea si toleranta la erori a sistemului;
Pentru a intelege modul de functionare al catalogului Active Directory, este necesar sa se introduca o serie de concepte noi.
O schema Active Directory contine definitia tuturor atributelor, claselor si a proprietatilor acestora, bazat pe princpiile POO. Pentru fiecare clasa, in schema sunt definite atributele pe care trebuie sa le aiba un obiect definit ca o instanta a clasei respective si care este superclasa clasei curente.
La instalarea serviciilor de catalog Active Directory pe primul controler din domeniu, este automat creata si instalata o schema prestabilita. Aceasta schema contine definitii ale obiectelor si proprietatilor folosite in mod intern de serviciile de catalog. Ulterior, aceasta schema poate fi extinsa prin definirea de atribute de noi obiecte, precum si prin adaugarea de noi atribute obiectelor existente deja. Pentru aceasta, se utilizeaza aplicatiile Active Directory Schema Manager sau Active Directory Service Interfaces
Catalogul global global catalog) reprezinta nucleul de stocare a informatiilor despre obiectele dintr-un arbore sau dintr-o padure. Acest catalog este automat generat de serviciile de catalog Active Directory in timpul procesului de replicare, pe baza domeniilor care alcatuiesc catalogul.
Uzual, catalogul global contine atributele cel mai frecvent utilizate in procesul de cautare a obiectelor (cum ar fi numele si prenumele userului, contul utilizator, etc), precum si atributele necesare localizarii unei replici complete a unui obiect. Astfel, orice obiect din padure poate fi localizat, fara a fi necesara replicarea lui pe fiecare din controlerele de domeniu.
La instalarea serviciilor Active Directory pe primul controler de domeniu, acesta devine automat server de catalog global. Server de catalog global poate fi un controler de domeniu care contine o copie a acestuia si care proceseaza si serveste interogarile adresate catalogului global. Daca nu ar exista acest catalog global, pentru cautarea unui obiect intr-o padure, ar trebui interogate toate controlerele de domeniu din toate domeniile ce formeaza padurea. Prin existenta catalogului global, cautarea este mult simplificata.
Deoarece informatiile continute intr-un catalog global sunt masive, trebuie ca capacitatea de stocare a serverului de catalog global sa fie foarte mare. Este recomandabil ca cel putin la nivelul unui sit sa fie definit un server de catalog global.
O relatie de incredere trust relationship) este o relatie intre doua domenii, in asa fel incat domeniul care acorda increderea trusting domain) sa accepte autentificari la conectare ale utilizatorilor din domeniul credibil trusted domain
Relatiile de incredere pot fi:
netranzitive (intr-un singur sens). Intr-o astfel de relatie, de exemplu daca Domeniul A acorda incredere Domeniului B si Domeniul B acorda incredere Domeniului C, asta nu inseamna ca Domeniul A acorda incredere Domeniului C, sau ca Domeniul B acorda incredre Domeniului A, respectiv ca Domeniul C acorda incredre Domeniului B. Acest tip de incredere este caracteristic domeniilor Windows NT
tranzitive (in ambele sensuri). In acest caz relatia de incredre intre domenii este reciproca. Este caracteristica relatiilor dintre domeniile parinte si copil dintr-un arbore, precum si relatiilor dintre domeniile de nivel maxim dintr-o padure. Poate deci apare doar in cazul domeniilor Windows 2000
In cadrul serviciilor de catalog Active Directory se folosesc mai multe conventii de nume:
nume distinct DN distinguished name) - este un nume care identifica in mod unic fiecare obiect din catalog. Contine numele domeniului din care face parte obiectul si calea completa pana la obiect. De exemplu:
DC=ro/DC=utcluj/OU=aut/CN=Utilizatori/CN=Dan Popescu
In exemplul de mai sus este identificat utilizatorul Dan Popescu din unitatea de organizare aut a domeniului utcluj.ro. S-au folosit conventiile:
DC - nume componenta domeniu (domain component name);
OU- nume unitate de organizare (organizational unit name);
CN - nume comun (common name);
nume relativ distinct RDN relative distinguished name) - este o componenta a numelui care reprezinta un atribut al obiectului. De exemplu, Dan Popescu este atributul Nume si el reprezinta un RDN pentru obiect. In aceeasi unitate de organizare nu va mai putea exista un obiect cu acelasi RDN. In unitati diferite insa, aceasta restrictie nu mai exista.
identificator unic global GUID globally unique identifier) - este un numar pe 128 de biti care este unic pentri fiecare obiect. GUID-ul este caracteristic obiectului si nu se modifica chiar daca obiectul este mutat sau redenumit. Este o cale alternativa fata de DN pentru regasirea unui obiect.
nume principal de utilizator UPN user principal name) - este compus din numele contului utilizator si numele DNS al arborelui unde se gaseste contul.
Pentru ca in timpul instalarii Active Directory se instaleaza si serviciul DNS, vom spune cateva cuvinte si despre acesta. DNS reprezinta o baza de date distribuita, utilizata in cadrul TCP/IP pentru a realiza o corespondenta directa intre numele calculatoarelor si adresele lor de IP. Fiind "nascut" in cadrul sistemelor Unix, nu vom intra in amanunte asupra a ceea ce inseamna serviciul DNS, aceasta problema fiind rezolvata pe larg in capitolele dedicate Linux. Trebuie insa sa stiti ca, spre deosebire de mai batranul Windows NT Server Windows 2000 Server va fi mai util daca va avea instalat acest serviciu. Instalarea se poate face in orice moment de dupa instalarea initiala a sistemului de operare, sau chiar in timpul acesteia. Odata instalat, serviciul DNS este pornit automat, fara a fi necesara restartarea calculatorului. In plus, in procesul de instalare se executa un set de operatii, cum ar fi:
creaza o intrare pentru serviciul DNS in Administrative Tools
adauga in registrul Windows cheia
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNS
creeaza directorul WinntSystem32Dns care contine fisierele cu baza de date DNS
Protocolul TCP/IP pentru Windows 2000 Server este configurat implicit pentru a primi dinamic adresa IP de la un server DHCP. Pentru a putea instala serviciul DNS este necesar sa setam adresa IP la o adresa statica. Apoi, va trebui sa adaugam adresa IP pentru serviciul DNS
in Control Panel, la tab-ul Network Connections, apasati dublu click pe butonul Local Area Connection, selectati Internet Protocol (TCP/IP) si apasati pe Properties
setati adresa IP la o valoare statica si introduceti adresa pentru masca de subretea;
bifati butonul radio Use the Following DNS server addresses:, iar in caseta Preferred DNS server: introduceti aceeasi adresa IP cu cea a calculatorului;
apasati repetat OK pentru a inchide toate casetele de dialog si acceptati restartarea calculatorului;
Figura 8 Modificarea proprietatilor TCP/IP
Figura 9 Adaugarea adresei IP pt. DNS
in acest moment, numele de domeniu pentru conexiunea TCP/IP si pentru calculatorul dumneavoastra coincid. Cu alte cuvinte, vom putea configura calculatorul ca fiind server DNS pentru acest nume de domeniu.
puteti verfica faptul ca setarile pe care
le-ati facut sunt valide astfel: la prompter DOS,
tastati ipconfig. Setarile protocolului TCP IP vor fi
afisate intr-o fereastra DOS
Cu aceasta, serviciul DNS este instalat, avand preluate configurarile facute aterior pentru protocolul TCP/IP si pentru calculatorul dumneavoastra. Veti putea acum sa configurati serviciul DNS, precizand un server de nume radacina, o zona de cautare directa si o zona de cautare inversa.
Serverul de nume radacina va memora locatia serverelor de nume cu autoritate pentru toate domeniile de cel mai inalt nivel din spatiul de nume de domenii (in ordine descrescatoare: .gov .com .edu .org .ro, etc). Apoi, aceste servere de nume pot furniza apoi liste de nume pentru domenii de nivel secundar.
O zona de cautare directa va permite interogari de cautare directa. In acest caz, un client va transmite o interogare unui server local, care va trata interogarea, sau va interoga un alt server in vederea rezolvarii problemei rezolutiei de adresa (vezi protocolul ARP). Pe un server de nume trebuie sa existe configurata cel putin o zona de cautare directa.
O zona de cautare inversa permite interogari de cautare inversa. O interogare de cautare inversa asociaza un nume unei adrese IP (vezi protocolul RARP). Zonele de cautare inversa nu sunt necesare, doar pentru probleme de depanare, sau in anumite situatii cand sunt folosite de IIS. Pentru cautarea inversa, se creaza un domeniu special, de nivel secundar, numit in-addr.arpa
O data cu logarea ca administrator, programul Wizard va lansa faza de finalizare a instalarii, faza in care se pot configura mai multe componente ale sistemului de operare. Va fi afisat un panou in care putem alege ce dorim sa configuram.
Figura 12 Alegerea tipului de controler
Pentru inceput programul Wizard ne va cere sa precizam ce tip de server configuram. Daca finalizam instalarea primului server din domeniu, va trebui sa bifam optiunea This is the only server in my network (cazul pe care il veti intalni si la lucrarile de laborator). Daca insa domeniul mai contine deja alte servere, va trebui sa bifati optiunea One or more servers are already running in my network. Apoi veti alege optiune Active Directory pentru a instala serviciile de catalog. Va trebui sa parcurgeti urmatorii pasi:
veti porni instalarea si dupa afisarea panoului de intampinare, veti apasa butonul Next
in panoul DomainController Type, daca serverul dumneavoastra este primul server din domeniu, veti alege optiunea Domain Controller for a new domain. In acest caz, Wizard va lansa operatiunea de creare a domeniului, a arborelui si a padurii din care face parte acest domeniu (vom trata in continuare doar aceasta situatie). Daca exista insa deja cel putin un controler de domeniu, veti alege optiunea Additional domain controller for an existing domain; Apasati apoi Next
in panoul Create Tree or Child Domain bifati optiunea Create a new domain tree, apasati Next, iar in panoul Create or Join Forest bifati optiunea Create a new forest of domain trees. Apasati din nou Next
va trebui acum sa precizam numele noului domeniu. Acesta va fi precizat in panoul New Domain Name, in caseta de editare Full DNS name for new domain. In exemplul nostru, numele domeniului este exemplu.edu. Apasati din nou Next
Figura 13 Crearea unui nou arbore
Figura 14 Crearea unei noi paduri
programul Wizard va da implicit un nume utilizat de componenta BIOS de retea pentru noul domeniu, in panoul NetBIOS Domanin Name. Acceptati denumirea implicita si apasati din nou Next
Figura 15 Numele domeniului
Figura 16 Numele BIOS
in urmatoarele 2 panouri (Database an Log Locations si Shared System Volume) programul Wizard propune directoarele in care sa fie stocate fisierele necesare pentru implementarea serviciului de catalog. Acceptati directoarele propuse si apasati Next
acum programul Wizard va incerca sa contacteze serverul DNS pentru domeniul creat. Cum nu-l gaseste, va afisa un mesaj de atentionare, dupa care va incepe instalarea acestuia; Apasati OK si instalarea serviciului DNS va incepe;
Figura 17 Serverul DNS nu poate fi contactat
Figura 18 Pornim instalarea DNS
Figura 19 Tipul permisiunilor
daca doriti configurarea serviciului DNS, in panoul Configure DNS alegeti optiunea Yes, install and configure DNS on this computer (recommended) si apasati Next; In panoul Permissions veti preciza cum va functiona domeniul dvs: Permissions compatible with pre-Windows 2000 servers, daca serverul dvs. va fi conectat intr-un domeniu NT (in acest caz, va exista un unic controler primar de domeniu si pot exista mai multe controlere de backup si servere), sau Permissions compatible only with Windows 2000 servers, caz in care toate controlerele sunt echivalente si se replica automat intre ele. Veti alege aceasta din urma optiune si veti apasa Next
Figura 20 Introducerea parolei
vi se va cere parola contului Administrator, care are drept de restaurare a serviciilor Active Directory. Veti tasta si confirma aceasta parola si veti apasa Next; Va va fi afisat un sumar al operatiunilor facute si dupa apasarea butonului Next programul Wizard va incepe instalarea si configurarea componentelor selectate. In final, va fi afisat un panou de final, din care iesiti apasand butonul Finish. Cu aceasta, instalarea serviciilor de catalog Active Directory si a serviciului DNS este finalizata.
Figura 21 Programul DNS
Din pacate, nu a fost instalata nici o zona de cautare inversa. Pentru a o instala, lansati programul DNS din Programs Administrative Tools si selectati folderul Reverse Lookup Zone. Apoi:
apasati butonul Action si alegeti New zone; Va fi afisat panoul Zone Type
in acest panou alegeti optiunea Standard Primary si apasati Next
Figura 22 Crearea unei zone primare
Figura 23 Crearea domeniului in-addr.arpa
in panoul Reverse Lookup Zone, bifati optiunea Network ID (bifata implicit) si tastati primii trei octeti ai adresei de IP al calculatorului dvs. ( in cazul nostru). Verificati ca in caseta Reverse lookup zone name programul Wizard a completat 170.27.172.in-addr.arpa. Apasati Next;
Figura 24 Numele fisierului de zona
in panoul Zone File, selectati optiunea (implicit) Create a new file with this file name si verificati ca numele fisierului este 170.27.172.in-addr.arpa.dns. Apasati Next
in panoul Completing the New Zone Wizard apasati Finish. Cu aceasta, zona de cautare inversa a fost creata;
tot ce mai avem de facut este sa pornim serverul DNS. Pentru aceasta, vom selecta radacina (SERVER_TEST in cazul nostru), vom apasa butonul Action, iar in meniu la intrarea All tasks vom alege optiunea Start
Mai avem totusi un mic amanunt de rezolvat. Va trebui sa intrati din nou in Control Panel, la tab-ul Network Connections, sa apasati dublu click pe butonul Local Area Connection si sa selectati Internet Protocol (TCP/IP) si apoi pe Properties. Apoi apasati butonul Advanced si alegeti tabul DNS. In caseta de editare DNS suffix for this connection: tastati numele domeniului nou creat: exemplu.edu. Apoi apasati OK pana la inchiderea tuturor ferestrelor. Cu aceasta setarile sunt incheiate.
Sistemele de operae client Windows Windows 9x Windows Millenium Windows NT Workstation Windows 2000 Professional si respectiv Windows XP Professional) sunt construite implict ca si clienti pentru workgrupuri. Pentru a transforma un calculator in client de domeniu, va trebui sa efectuam urmatoarele:
Windows XP sau Windows 2000 Professional
Ar fi bine pentru inceput sa configurati sistemul de operare ca si client pentru serverul DNS instalat. Pentru aceasta va trebui sa instalati protocolul TCP/IP (in principiu, el se instaleaza implicit la instalarea sistemului de operare). Apoi va trebui sa configurati. Pentru aceasta:
in Control Panel selectati Network Connections Windows XP) sau Network and Dial-up Connections Windows 2000) si alegeti Local Area Connection si apasati Properties (acelasi efect il obtineti si apasand click dreapta pe My Network Places
selectati protocolul TCP IP si apasati din nou Properties
Figura 26 Configurarea TCP/IP pentru clientul DNS
Figura 27 Finalizarea configurarii
in caseta Preferred DNS server: introduceti adresa IP a serverului: (e bine ca adresa IP a clientului sa fie in aceeasi subretea cu a serverului Windows 2000, pentru a avea vizibilitate directa);
apasati butonul Advanced si verificati adresa introdusa in caseta DNS Server addresses in order of use:. Daca aveti mai multe servere DNS, veti putea alege ordinea in care clientul dvs. trimite cererile de interogare folosind sagetile;
in caseta DNS suffix for this connection: tastati numele domeniului DNS exemplu.edu
Figura 28 Conectarea la domeniu in XP
Figura 29 Conectarea la domeniu in 2000
apasati repetat OK pentru a valida modificarile facute.
Acum vom putea configura sistemul de operare ca si client de domeniu. Pentru aceasta:
apasati click dreapta pe MyComputer si in meniul contextual alegeti Properties
pentru WindowsXP alegeti tab-ul Computer Name, iar pentru Windows 2000 Professional tab-ul Network Identification
pentru Windows XP apasati butonul Change, iar pentru Windows 2000 Professional apasati butonul Properties
Figura 29 Conectarea la domeniu
Figura 30 Cont autorizat
selectati butonul radio Domain, iar in caseta de editare tastati numele domeniului la care doriti sa va conectati (exemplu.edu); Apasati OK
vi se va cere un cont utilizator care are dreptul de a asocia calculatorul la domeniu. Tastati contul utilizator Administrator si parola asociata si apasati OK
daca asocierea la domeniu s-a facut corect, vi se va afisa un mesaj de intampinare si apoi vi se va cere sa restartati calculatorul.
La logare veti constata ca in panoul de logare a aparut o noua caseta combinata: Log on to: in care puteti selecta fie numele calculatorului local, fie numele BIOS al domeniului (in cazul nostru EXEMPLU). Daca veti selecta aceasta din urma optiune, va trebui sa introduceti parola de administrator al controlerului de domeniu pentru a intra in sistem. In acest moment sunteti un client al domeniului.
Pentru a verifica faptul ca sunteti cu adevarat conectati la domeniu, tastati click dreapta pe MyComputer, in meniul contextual alegeti Map network drive, iar in caseta Folder: tastati SERVER-TESTC$ (aceasta problema va fi lamurita in capitolele urmatoare). Retineti unitatea logica afisata in caseta Drive: si lansati Explorer. Veti constata ca unitatii logice respective ii este asociat discul C al controlerului de domeniu.
Windows 9x
Si de aceasta data veti configura mai intai protocolul TCP/IP
in Control Panel alegeti TCP/IP -> Network adapter si apasati butonul Properties
la tab-ul IP Address introduceti adresa IP si masca de subretea in casetele corespunzatoare;
la tab-ul Gateway introduceti in caseta New gateway: adresa IP pentru gateway si apasati butonul Add
Figura 32 Adresa IP
Figura 33 Adresa IP gateway
la tab-ul DNS completati numele domeniului in caseta de editare Domain:. Introduceti adresa IP a serverului DNS in caseta DNS Sever Search Order si apasati Add, apoi introduceti numele DNS in caseta Domain Suffix Search Order si apasati Add. Apasati OK pentru a reveni in panoul Network
acum puteti seta calculatorul dvs. ca si client al domeniului. Pentru aceasta selectati Client for Microsoft Networks si apasati butonul Properties
validati caseta de optiune Log on to Windows NT domain si in caseta de editare Windows NT domain introduceti numele domeniului al carui client doriti sa deveniti. Apasati OK pana cand programul de setare va va cere sa fiti de acord cu restartarea calculatorului. Acceptatti restartarea si logati-va ca administrator al domeniului. Va puteti conecta acum, de exemplu, la discul C al controlerului de domeniu, similar cazurilor precedente.
Figura 34 Setarea DNS
Figura 35 Setarea clientului de domeniu
Urmarind cele prezentate anterior, vi se propune urmatoarea aplicatie practica:
instalati pe serverul dvs. serviciile de catalog Active Directory si serviciul DNS
creati un client pentru domeniul dvs. si setati-l ca si client DNS
logati-va ca si client de domeniu si verificati ca aveti acces la resurse cu parola de administrator a domeniului. Conectati-va la discul C al serverului;
logati-va ca si administrator al statiei locale. Verificati ca veti avea acces cu parola de administrator a statiei locale. Observati ca pentru a va conecta la discul C al serverului vi se va cere contul administrator si parola asociata pe server.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 3650
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved