Какую роль выполняет домен в компьютерной сети

Организация сетевого администрирования (лекции часть 2) / Лекция 3 Домены, иерархия доменов

Операционные системы Windows традиционно использовали понятие «домена» для логического объединения компьютеров, совместно использующих единую политику безопасности. Домен традиционно выступает в качестве основного способа создания областей административной ответственности. Как правило, каждым доменом управляет отдельная группа администраторов. В Active Directory понятие домена было расширено. Перечислим задачи, которые могут быть решены путем формирования доменной структуры.

• Создание областей административной ответственности. Используя доменную структуру, администратор может поделить корпоративную сеть на области (домены), управляемые отдельно друг от друга. Каждый домен управляется своей группой администраторов (администраторы домена). Однако хотелось бы еще раз отметить, что существуют и другие способы формирования административной иерархии (организация подразделений), речь о которых пойдет дальше. С другой стороны, построение доменной иерархии является отличным способом реализации децентрализованной модели управления сетью, когда каждый домен управляется независимо от других. Для этого каждую административную единицу необходимо выделить в отдельный домен.

• Создание областей действия политики учетных записей. Политика учетных записей определяет правила применения пользователями учетных записей и сопоставленных им паролей. В частности задается длина пароля, количество неудачных попыток ввода пароля до блокировки учетной записи, а также продолжительность подобной блокировки. Поскольку эти вопросы решаются организационно на уровне всего домена, данный комплекс мер принято называть политикой учетных записей. (Эти политики нельзя определять на уровне подразделений!)

• Разграничение доступа к объектам. Каждый домен реализует собственные настройки безопасности (включая идентификаторы безопасности и списки контроля доступа). Разнесение пользователей в различные домены позволяет эффективно управлять доступом к важным ресурсам. С другой стороны, применение доверительных отношений (trust relationships) позволяет обеспечить пользователям одного домена доступ к ресурсам других доменов.

• Создание отдельного контекста имен для национальных филиалов. В случае, если компания имеет филиалы, расположенные в других странах, может потребоваться создать отдельный контекст имен для каждого такого филиала. Можно отразить в имени домена географическое либо национальное местоположение филиала.

• Изоляция трафика репликации. Для размещения информации об объектах корпоративной сети используются доменные разделы каталога. Каждому домену соответствует свой раздел каталога, называемый доменным. Все объекты, относящиеся к некоторому домену, помещаются в соответствующий раздел каталога. Изменения, произведенные в доменном разделе, реплицируются исключительно в пределах домена. Соответственно, выделение удаленных филиалов в отдельные домены может позволить существенно сократить трафик, вызванный репликацией изменений содержимого каталога. Необходимо отметить, однако, что домены являются не единственным (и даже не основным) способом формирования физической структуры каталога. Того же самого результата администратор может добиться за счет использования механизма сайтов.

Читайте также:  Что такое всемирная компьютерная сеть интернета

• Ограничение размера копии кaталога. Каждый домен Active Directory может содержать до миллиона различных объектов. Тем не менее, реально использовать домены такого размера непрактично. Следствием большого размера домена является большой размер копии каталога. Соответственно, огромной оказывается нагрузка на серверы, являющиеся носителями подобной копии. Администратор может использовать домены как средство регулирования размера копии каталога.

Для именования доменов используется соглашение о доменных именах. Имя домена записывается в форме полного доменного имени (Fully Qualified Domain Name, FQDN), которое определяет положение домена относительно корня пространства имен. Полное доменное имя образуется из имени домена, к которому добавляется имя родительского домена. Так, например, для домена kit, являющегося дочерним по отношению к домену khsu.ru, полное доменное имя будет записано в форме kit. khsu.ru.

Выбор подобной схемы именования позволил формировать доменное пространство имен, аналогичное пространству имен службы DNS. Отображение доменов Active Directory на домены DNS позволило упростить процессы поиска серверов служб и разрешения имен, осуществляемые серверами DNS в ответ на запросы клиентов службы каталога.

Следует заметить, что каждому домену Active Directory помимо DNS имени сопоставлено уникальное NetBIOS-имя. Это имя используется для идентификации домена клиентами Windows 9x/NT.

Совокупность доменов, использующих единую схему каталога, называется лесом доменов (forest). Строго говоря, входящие в лес домены могут не образовывать «непрерывного» пространства смежных имен. Тем не менее, так же как и в случае пространства имен DNS, домены Active Directory могут образовывать непрерывное пространство имен. В этом случае они связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена. Совокупность доменов, образующих непрерывное пространство смежных имен, называют деревом доменов (domain tree) (рис. 1). Лес может состоять из произвольного количества деревьев домена.

Рис. 1. Дерево и лес доменов

Первое созданное в лесу доменов дерево является корневым деревом.

Корневое дерево используется для ссылки на лес доменов. Первый созданный в дереве домен называется корневым доменом дерева (tree root domain), который используется для ссылки на данное дерево. Совершенно очевидно, что корневой домен является определяющим для всего дерева.

Соответственно, первый домен, созданный в лесу доменов, называется корневым доменом леса (forest root domain). Корневой домен леса играет очень важную роль, связывая деревья, образующие лес доменов, воедино и поэтому не может быть удален. В частности, он хранит информацию о конфигурации леса и деревьях доменов, его образующих.

Особое внимание необходимо уделить вопросу именования доменов и, в частности, корневого домена. Для корневого домена лучше всего использовать доменное имя второго уровня.

Читайте также:  Компьютерные системы и сети код специальности

Серверы Windows Server, на которых функционирует экземпляр службы каталога Active Directory, называются контроллерами домена (domain controller, DC). Контроллеры домена являются носителями полнофункциональных копий каталога. Применительно к Windows Server контроллеры домена выполняют задачи, перечисленные ниже.

• Организация доступа к информации, содержащейся в каталоге, включая управление этой информацией и ее модификацию. Контроллер домена может рассматриваться как LDAP-сервер, осуществляющий доступ пользователя к LDAP-каталогу.

• Синхронизация копий каталога. Каждый контроллер домена является субъектом подсистемы репликации каталога. Любые изменения, осуществляемые в некоторой копии каталога, будут синхронизированы с другими копиями.

• Централизованное тиражирование файлов. Служба репликации файлов, функционирующая на каждом контроллере домена, позволяет организовать в корпоративной сети централизованное тиражирование необходимых системных и пользовательских файлов (включая шаблоны групповой политики).

• Аутентификация пользователей. Контроллер домена осуществляет проверку полномочий пользователей, регистрирующихся на клиентских системах. Каждый контроллер домена Windows Server может рассматриваться как Центр распределения ключей (KDC) Kerberos.

Особенно следует отметить тот факт, что все контроллеры домена обладают возможностью внесения изменений в собственную копию каталога. Это позволяет рассматривать любой контроллер домена как точку административного воздействия на корпоративную сеть. Практически все административные утилиты работают в контексте какого-либо контроллера домена. Это означает, что администратор может осуществлять конфигурирование службы каталога и сети, подключившись к любому контроллеру домена Active Directory.

Источник

Доменная сеть — возможности и реализация

Доменная сеть - принципиальная схема

Руководители компаний, являясь прогрессивной аудиторией, активно интересуются актуальными технологиями и стараются, по мере необходимости, внедрять их в свои компании. Технологии снимают нагрузку с людей, освобождая время сотрудников для более важных для бизнеса задач. Однако вместе с сетями и технологиями приходят не самые однозначные вопросы, которыми задаются не все руководители в силу тех или иных причин. Например, какой тип логической вычислительной сети предпочесть для своего офиса, стоит ли использовать одноранговую сеть или озадачить технический отдел построением доменной сети, а также, какое выбрать оборудование и программное обеспечение для своей компании.

Начнем с простейшей реализации локальной одноранговой сети. Несколько компьютеров объединяются кабелем или беспроводным способом между собой, каждый компьютер в отдельности друг от друга является независимым и хранит данные о доступе ко всем остальным компьютерам в сети. Такая сеть насколько проста, настолько и небезопасна, так все компьютеры в этой сети выполняют функцию каталога с данными, к которым есть доступ у каждого пользователя с каждой машины.

Параллельно с одноранговыми сетями, активно внедряются и успешно доказывают свою состоятельность, особенно в бизнес среде, доменные сети. Доменная сеть — это тип компьютерной сети, в которой существует как минимум один главный компьютер, называемый контроллером домена и к нему, – через локальное или удаленное соединение, – подключаются для работы все остальные компьютеры в сети. Примечательно то, что подчиненный компьютер использует собственные вычислительные мощности при удаленной работе, вместо ресурсов сервера, в сравнении с одноранговой сетью, где основная нагрузка ложится на оборудование сервера. Так, контроллер домена несет в себе ряд существенных отличий, от других компьютеров в доменной сети. Основной функцией контроллера домена является глобальный каталог, в котором хранятся все данные о пользователях, компьютерах и устройствах, имеющих доступ к этой сети. Контроллер домена работает как агрегатор всех компьютерных и сетевых настроек устройств, подключенных к сети. Разумеется, это не все функции, которые может предоставить доменная сеть, далее в тексте мы опишем его основные возможности и преимущества перед одноранговой сетью, а также вы определитесь необходима ли вам доменная реализация сети или вашей организации будет достаточно одноранговой локальной сети.

Читайте также:  Отметьте средства с помощью которых могут передаваться данные в компьютерной сети радиоволны

Основные преимущества доменной сети:

  • Повышенный уровень безопасности хранения и использования данных;
  • Управление печатью на принтерах всеми пользователями в сети, с возможностью контроля объема печати для каждого участника сети;
  • Возможность использования закрытого корпоративного чата, а также создания собственного почтового сервера с ящиками вида: название_подразделения@ваша_компания.ваш_домен;
  • Организация общего файлового пространства (система DFS) с гибкими настройками доступа;
  • Возможность быстрой замены рабочего компьютера, вышедшего из строя, любым другим (простейшие действия по вводу компьютера в домен и вход под индивидуальным пользователем);
  • Широчайшие возможности пакетной работы с аккаунтами пользователей, настройками и приложениями;
  • Высокая отказоустойчивость сети.

Подводя итоги, стоит сказать, что подобный функционал актуален лишь тогда, когда имеется минимум 3-5 компьютеров, и предъявляются требования к безопасности данных, находящихся в рабочей сети.

Специалисты Firewall-Service компетентны в вопросах организации сетей, способны спроектировать, проконсультировать (приобретение недостающего сетевого оборудования, системных блоков и расходных материалов) и полностью организовать доменную сеть в вашей компании (установка, настройка и подготовка сервера и компьютеров для работы в сети.) В настоящий момент, при организации домена, компании предпочитают закрытые решения от корпорации Microsoft. Однако, существуют и альтернативные способы организации домена, например, в Linux-системах широко распространена сетевая файловая система Samba, аналогичная по функционалу, реализованному в Windows 2000, способная выступать в качестве контроллера домена и сервиса Active Directory. Реализация доменной сети с использованием сетевой файловой системы Samba является перспективным направлением, которое будет развиваться силами наших специалистов и в будущем внедряться в существующую структуру компьютерных сетей организаций.

Источник

Оцените статью
Adblock
detector