Служба каталога NDS
Впервые служба каталога NDS была включена в состав ОС NetWare 4.0, выпущенной в 1993 г. В то время это сокращение означало NetWare Directory Services; сейчас оно расшифровывается как Novell Directory Services. NDS была первой коммерчески успешной иерархической службой каталога. За годы, прошедшие с ее создания, она выросла во вполне конкурентоспособный сетевой продукт.
Иерархическая служба каталога состоит из объектов (objects), образующих древовидную структуру, которая напоминает дерево каталогов (рис. 4.7). Существует два основных типа объектов — контейнеры и листья. Контейнеры (containers) эквивалентны каталогам (папкам) файловой системы: они служат вместилищем для других объектов. Листья (leaves) представляют сетевые ресурсы — пользователей, группы, компьютеры и приложения. Все объекты состоят из атрибутов, которые в NDS называются свойствами (properties). Природа свойств зависит от типа объекта. Например, свойства пользователя могут включать его имя, пароль, номер телефона, адрес электронной почты и другую подобную информацию.
Примечание Основные элементы иерархических служб каталога в NetWare и Windows 2000 (например, применение объектов и свойств, контейнеры и листья, древовидная структура) определены стандартом служб каталога Х.500, который разработан Международным телекоммуникационным союзом (International Telecommunications Union, ITU) и Международной организацией по стандартам (International Organization for Standardization, ISO). X.500 не является коммерческим продуктом. Это скорее модель глобального каталога, который за счет стандартизации имен и иерархической древовидной структуры позволял бы пользователям искать людей и объекты.
Типы объектов, которые можно создавать в дереве NDS, и их свойства задаются схемой каталога (directory schema). Сетевым приложениям разрешается изменять схему, создавая новые типы объектов или добавляя новые свойства к существующим типам. Это делает службу каталога гибким инструментом для разработчиков приложений. Например, сетевая программа резервного копирования может создать новый тип объектов для представления очереди заданий, которая содержит задания на резервное копирование, ожидающие выполнения.
Развертывание службы каталога заключается в проектировании и создании дерева NDS, т. е. в создании иерархии контейнеров для размещения объектов-листьев. Структура дерева может, например, повторять «географию» сети. В таком дереве контейнеры будут представлять здания, этажи и комнаты. В дереве, основанном на административной структуре организации, контейнеры соответствуют подразделениям, отделам и рабочим группам. Вы можете комбинировать «географический» и «административный» принципы построения дерева, а также использовать любой другой принцип. Важная часть проектарования дерева состоит в составлении групп пользователей со сходными требованиями к сети. Это существенно упрощает процесс администрирования. Как и в файловой системе, разрешения «спускаются» вниз по дереву NDS и наследуются объектами на нижних уровнях. Если Вы разрешили контейнеру доступ к конкретному ресурсу, это разрешение действительно для всех объектов в данном контейнере.
В отличие от регистрационной базы данных NetWare, привязанной к конкретному серверу, одна база данных NDS обычно обслуживает всю сеть. Входя в систему, пользователь регистрируется не на сервере, а в NDS. Однократная регистрация обеспечивает пользователю доступ ко всем ресурсам сети. Это означает, что для каждого пользователя администратору достаточно создать и поддерживать всего одну учетную запись, а не по одной на каждом сервере, к которому пользователю нужен доступ, как это происходит в регистрационной базе данных NetWare.
Поскольку на NDS опирается вся сеть NetWare целиком, в состав этой службы включены элементы, обеспечивающие ее постоянную доступность. Базу данных NDS можно разделить на разделы (partitions), хранимые на разных серверах, чтобы облегчить пользователю вход в сеть с ближайшего сервера. Кроме того, для каждого раздела можно создать реплики (replicas) и также хранить их на разных серверах. Даже если сервер, полностью или частично содержащий дерево NDS, выйдет из строя, пользователи смогут воспользоваться каталогом, хранящимся на другом сервере.
Домены Windows NT
Служба каталога Windows NT сложнее регистрационной базы данных NetWare и располагает большими возможностями, но для крупных сетей все-таки не годится. Сеть Windows NT разделяется на домены (domains), которые содержат учетные записи, представляющие пользователей, группы и компьютеры сети. Домен, как и регистрационная база данных, является простым двухмерным списком, но он не привязан к конкретному серверу. Каталог домена хранится на серверах, которым при установке ОС отведена роль контроллеров домена.
Внимание! Не путайте домены Windows NT с доменами Интернета, используемыми в DNS. Имена доменов Windows NT состоят из одного слова, тогда как имена доменов DNS состоят, по крайней мере, из двух слов, разделенных точкой (например, microsoft.com).
Сервер может быть главным контроллером домена (Primary Domain Controller, PDC) или резервным контроллером домена (Backup Domain Controller, BDC). В большинстве доменов для вящей надежности содержится не менее двух контроллеров: один главный, на котором хранится каталог домена, и один или несколько резервных, на каждом из которых хранится реплика каталога домена. Когда администратор сети редактирует каталог, добавляя, удаляя или изменяя учетные записи, изменения вносятся в файлы на главном контроллере, а он периодически реплицирует базу данных каталога на резервные контроллеры домена (рис. 4.8), чтобы они также располагали самой свежей информацией о сети. Этот процесс называется репликацией в модели с одним главным контроллером (single master replication).
Примечание Назначить сервер Windows NT контроллером домена можно только во время установки ОС. После этого можно сделать резервный контроллер главным или наоборот, но нельзя сделать обычный сервер контроллером домена или понизить статус контроллера домена до обычного сервера.
Обычно в больших сетях Windows NT создается несколько доменов, которые могут связываться друг с другом. Чтобы обеспечить связь, администраторы создают между доменами доверительные отношения (trust relationships). Доверительные отношения работают только в одном направлении. Если домен А доверяет домену В, пользователи домена В могут пользоваться ресурсами домена А (при условии, что им это разрешено). Чтобы пользователи домена А получили доступ к ресурсам домена В, администратор должен создать доверительное отношение, действующее в этом направлении.
Поскольку создавать доверительные отношения приходится вручную, управление крупной сетью Windows NT с многочисленными доменами превращается в неблагодарную работу. Если пользователю необходим доступ к ресурсам в нескольких доменах, в каждом из этих доменов он должен иметь отдельную учетную запись, так же как пользователи регистрационной базы данных NetWare должны иметь отдельные учетные записи на каждом сервере.