Administriranje mreža strukturu same organizacije. Logi čko grupisanje resursa omogu ćava pronalaženje resursa na osnovu njegovog imena, a ne na osnovu njegove fizi čke lokacije. Pošto se resursi grupišu logi čki, fizička struktura mreže korisniku može da bude nebitna. Logi čka struktura Aktivnih direktorijuma je fleksibilna i daje nam mogućnost projektovanja hijerarhije, unutar Aktivnih direktorijuma, koja je razumljiva i korisnicima i administratorima. Logi čko grupisanje objekata omogu ćava nam da grupišemo objekte na osnovu njihove logi čke pripadnosti a ne na osnovu fizi čke lokacije. Ovakvo grupisanje omogu čava nam potpunu transparentnost fizičke strukture mreže, jer se resursi ne nalaze po njihovoj lokacije ve ć na osnovu njihovih imena. Slede će komponente pripadaju logi čkoj strukturi Aktivnih direktorijum: 1. Domen ( Domain) - Jedan od najvažnijih kocepata u teoriji i praksi Microsoftovih mreža jeste pojam domena (domain). Na najjednostavniji na čin rečeno, domen predstavlja grupu servera i radnih stanica, koje su se složile oko centralizovanog čuvanja naziva i lozinki za korisni čke i računarske naloge, u jednoj deljenoj ( shared ) bazi podataka. To je veoma važno – ustvari, to je od zaista suštinskog zna čaja za računarske mreže svih dimenzija – jer se time korisnicima pruža mogu ćnost da, uz pomo ć jednog naloga i lozinke, pristupe desetinama, stotinama pa čak i hiljadama drugih ra čunara unutar domena konkretne organizacije. Ali, centralizovano čuvanje korisni čkih i računarskih naloga i lozinki je samo po četak. Kako se NT tokom godina razvijao, NT domeni su postali skladišta za čuvanje i nekih drugih objekata. Najpre su se, u NT 3.51, pojavili korisni čki profili, alat koji omogu ćava da izgled svog desktopa i ostala sistemska podešavanja ponesemo sa sobom, gde god da se ulogujemo. Zatim su, pod operativnim sistemom NT4, domeni postali mesto za centralizovano čuvanje tzv. „sistemskih polisa“ (system policies), odnosno, čitavog jednog seta instrukcija, koj ra čunari koriste za izgradnju i kontrolu korisni čkih okruženja.. Sa pojavom Windowsa 2000, u domenima su se ve ć mogle centralizovati DNS informacije, a predstavljen je i usavršeni naslednik sistemskih polisa, pod nazivom „grupne polise“ (group policies). Domen u stvari predstavlja srž logi čke strukture Aktivnih direktorijuma u okviru koga možemo smestiti milione različitih objekata. Ve ć smo napomenuli da objekti smešteni u jednom domenu, predstavljaju resurse koji se smatraju neophodnim za pravilno i bezbedno funkcionisanje mreže. To su stavke koje su članovima mreže potrebne da bi obavljali svoje poslove: štampa či, dokumenta, e-mail adrese, baze podataka, korisnici, distribuirane komponente i drugi resursi. Aktivni direktorijum može imati jedan ili više domena. Jedan domen može sadržati više fizi čkih lokacija. Grupisanje objekata u jedan ili više domena omogu ćava da mreža odslikava realnu strukturu organizacije. Domen je i skup sigurnosnih principa kao što su korisnički i računarski nalozi ali i drugih, poput dozvola za deljive štampa če ili dozvola za pristup deljenim folderima. Objekti na domenu su definisani od strane administratora i koriste zajedničku bazu podataka i jedinstveno ime. Svaki domen treba da izvrši slede će zadatke: Svi objekti mreže postoje unutar domena Oni pružaju mogu ćnost upotrebe grupe serverskih ra čunara, koji igraju ulogu „servera za proveru autentičnosti“ ili „prijavnih servera“, poznatijih pod nazivom kontroleri domena . Na domenima se čuva čuva i neprekidno ažurira indeks svih objekata na domenu, sa mogu ćnošću efikasnog pretraživanja, čime je korisnicima znatno olakšano pretraživanje željenih resursa na mreži. Domen skladišti informacije samo o objektima koji se u njemu nalaze. Direktorijum domena može da sadrži do deset miliona objekata teoretski, ali u praksi mnogo je realniji broj od jednog miliona objekata. Oni omogućavaju kreiranje korisni čkih naloga sa razli čitim nivoima snage, od skoro potpuno obespravljenih „gostuju ćih“ naloga, preko obi čnih korisničkih naloga, do svemo ćnih administratora domena. Pored toga, na domenima se mogu kreirati i tzv. nalozi pod-administratora, korisni čkih naloga, koji se, prema nivou dozvoljenih prava, nalaze negde izme đu administratora domena i obi čnih korisnika. Domeni se dalje mogu deliti na subdomene, koji se još nazivaju organizacionim jedinicama (organization units – OUs). Nakon toga, razli čitim pojedincima mogu se dodeliti razli čiti stepeni kontrole i mo ći nad ovim organizaacionim jedinicama. Na ovaj na čin može se kreirati nešto što bi se moglo nazvati „adminstratorima odeljenja“ – odnosno, korisnike sa velikim stepenom mo ći, ali samo nad jednom manjom grupom ra čunara i korisnika. Domen predstavlja granicu bezbednosti jer se na njemu čuva jedna centralna lista korisnika i pripadajućih lozinki.Liste za kontrolu pristupa ( Acces Control List , ACL) kontrolišu pristup objektima domena. ACL sadrži dozvole koje su povezane sa objektima i kontrolišu koji korisnici mogu
Administriranje mreža dobiti pristup objektu i odre đuju samu vrstu pristupa. U Windowsu 2003 termin objekat obuhvata: datoteke, deljenja, štampa če i ostale objekte u Aktivnom direktorijumu. Sve bezbednosne politike i parametri, na primer administrativna prava, bezbednosne politike i liste za kontrolu pristupa, ne mogu da prelaze iz jednog domena u drugi. Administrator domena ima apsolutna prava da formira politiku samo u okviru tog domena. 2. Organizaciona jedinica (Organizational unit ) je jedna vrsta skladišta – kontejner, koju koristimo da bi smo organizovali objekte u okviru domena. Organizaciona jedinica može sadržati objekte kao što su korisnički nalozi, grupe, ra čunari, aplikacije, deljene datoteke, aplikacije i druge organizacione jedinice iz istog domena. U jednom domenu hijerahija organizacionih jedinica je potpuno nezavisna tj. ne zavisi od hijerahije u drugom domenu, ve ć svaki domen uspostavlja svoju sopstvenu hijerarhiju. . Organizaciona jedinica omogu čava administratoru mreže da se prema ve ćem skupu objekata odnosi kao prema jednom. U aktivnom direktorijumu podrazumeva je opcija da svi podre đeni objekti nasle đuju dozvole od svojih nadre đenih objekata. Na taj na čin, administrator samo jednom dodelom dozvola na višem nivou, rešava dodelu istih dozvola svim podre đenim objektima. 3. Stablo (Tree) predstavlja na čin za grupisanje jednog ili više domena. Grupisanje se vrši tako što jedan ili više domena dodajemo na postoje ći nadređeni domen. Svi domeni koji pripadaju stablu dele jedinstven prostor imena kao i hijerahijsku strukturu imena. Hijerahija domena u stablu omogućava nam da povećamo bezbednost domena kao i da kompletno administriranje svedemo na jednu organizacionu jedinicu ili na jedan domen u stablu. Sa druge strane ovakva organizacija omogu ćava nam fleksibilnost u organizaciji mrežne strukture jer se lako prilago đava svim promenama. Generalno gledano sva stabla imaju neke zajedni čke osobine i to: Imena podređenih domena u stablu sadrže imena nadre đenih domena. To se uklapa sa standardom koji je definisao DNS. Svim domenima unutar jednog stabla pripada zajedni čka šema koja predstavlja formalnu definiciju svih tipova objekata koje se smeštaju u servis Aktivnog direktorijuma. U okviru stabla postoji zajedni čki globalni katalog koji predstavlja centralno skladište svih objekata koji pripadaju tom stablu. Svi domeni unutar tog stabla mogu da nesmetano pristupe tom skaldištu. 4. Šuma ( Forest ) predstavlja grupu ili hijerahijsko ure đenje jednog ili više potpuno nezavisnih stabala. Sve šume imaju slede će zajedničke karakteristike: Sva stabla u šumi imaju zajedni čku šemu. Stabla u šumi imaju razli čite strukture imena koje su u skladu sa njihovim domenima. Svi domeni u šumi imaju zajedni čki globalni katalog. Domeni u šumi dejstvuju nezavisno, ali postojanje šume omogu ćava komunikaciju kroz celu organizaciju. Između domena i stabala domena postoji implicitni dvosmerni odnos poverenja. Na primer: Iako stabla vtsnis.edu.yu i vets.edu.yu formiraju jednu šumu, prostor imena je jedinstven samo u okviru svakog stabla u šumi.
4.3.2 Fizička struktura Komponente koje se koriste da bi se uspostavila struktura direktorijuma koja će u potpunosti održavati fizičku strukturu jedne organizacije nazivaju se fizi čkim komponentama. U fizi čke komponente Aktivnog direktorijuma spadaju lokacije i kontroleri domena. 1. Lokacija ( site) predstavlja kombinaciju jedne ili više podmreža, na bazi IP komunikacije, a koje su povezane visoko pouzdanom i brzom vezom u cilju lokalizovanja što je mogu će više mrežnog saobra ćaja. Granice lokacije obi čno se poklapaju sa granicama LAN -a. Kada grupišemo podmreže u lokaciju, potrebno je voditi ra čuna da to budu samo one mreže koje imaju brze, jeftine i pouzdane me đusobne veze. Windows 2003 koristi ove podatke da bi pronašao sve mogu će WAN veze, da odredi koje su od tih veza sporije i koja je cena prenosa podataka na tim vezama. On onda radi dve veoma korisne stvari: prvo, on kompresuje saobra ćaj za replikaciju i drugo, on koristi informacije o cenama puta, koje nam omogu ćavaju da pronađemo koja je najbolja ruta za replikacioni saobra ćaj, uz najmanju cenu. U Aktivnom direktorijumu lokacije nisu deo prostora imena. Kada se pretražuje logi čki prostor imena, vide se ra čunari i korisnici koji su grupisani u domene i organizacione jedinice, ali ne i lokacije. Lokacije sadrže samo
Administriranje mreža objekte računare i objekte veze koji se koriste da bi se konfigurisala replikacija izme đu lokacija. Jedna lokacija može da obuhvati korisni čke naloge i ra čunare koji su iz razli čitih domena. 2. Kontroler Domena (domain controller ) je računar čiji je operativni sistem Windows 2000, 2003 Server i na kome je smeštena replika direktorijuma domena (baza podataka lokalnog domena). Kako jedan domen može da ima jedan ili više kontrolera domena, svi kontroleri domena unutar domena imaju kompletnu repliku dela direktorijuma koji pripada tom domenu. Kontroler domena može da održava samo jedan domen i zadužen je za njegovu bezbedonosnu politiku. Kontroler domena ima slede će funkcije: Svaki kontroler domena sadrži potpunu kopiju svih podataka Aktivnog direktorijuma za taj domen, upravlja izmenama tih podataka i replicira ih na druge kontrolere domena koji su u istom domenu. Kontroleri domena unutar jednog domena automatski jedan drugom repliciraju sve promene koje mogu da se dogode nad objektima koje oni kontrolišu. Kada se izvrši neka operacija koja uzrokuje ažuriranje Aktivnog direktorijuma, u stvari se vrši izmena na jednom od kontrolera domena. Taj kontroler domena zatim replicira izmenu na sve druge kontrolere domena unutar domena. Replikacioni saobra ćaj između kontrolera domena može da se kontroliše tako što će se odrediti koliko često će se replikacija obavljati i koliko će podataka Windows 2003 replicirati u jednom postupku. Kontroleri domena vrše trenutnu replikaciju kada su u pitanju ažuriranja nekih važnih podataka, na primer onemogu ćavanje korisni čkog naloga. Aktivni direktorijum primenjuje repliciranje sa više glavnih primeraka, pri čemu nijedan kontroler domena nije glavni. Svi kontroleri domena u domenu su ravnopravni i svaki kontroler domena sadrži kopiju baze podataka direktorijuma u koju se može vršiti upis. Kontroleri domena me Đusobno mogu imati različite podatke samo jedan kratak vremenski period, dok se svi kontroleri domena ne sinhronizuju sa Aktivnim direktorijumom. Postojanje više kontrolera domena u domenu daje otpornost na greške. Ukoliko je jedan kontroler domena u oflajn stanju, drugi kontroler domena izvršava sve potrebne funkcije. Kontroleri domena upravljaju svim aspektima interakcije korisnika u domenu, na primer pokušaj prijave korisnika na sistem. Kontroleri domena zaduženi su da detektuju i kolizije u radu kontrolera domena. One mogu da nastanu kada neki od kontrolera domena izmeni atribute nekog objekta pre nego što se izmena tih atributa u potpunosti ne prenese na drugi kontroler domena.
4.3.3 Globalni katalog Globalni katalog predstavlja centralno skladište informacija o objektima koji se nalaze u stablu ili šumi. On se automatski kreira na inicijalnom kontroleru domena u prvom domenu u šumi. Kontroler domena koji čuva kopiju globalnog kataloga naziva se server globalnog kataloga. Na njemu je smeštena potpuna replika svih atributa objekata u direktorijumu mnjegovog mati čnog domena i delimi čna replika svih atributa objekata sadržanih u direktorijumu svakog domena u šumi. Delimi čna replika podrazumeva one atribute koji se naj češće koriste u postupcima pretraživanja. Atributi objekata koji su replicirani u glavnom katalogu nasle đuju dozvole kao u izvornom domenu, osiguravaju ći na taj način bazbednost podataka u globalnom katalogu. Dve su osnovne funkcije koje treba da izvrši globalni katalog i to: da omogući korisniku da može da se prijavi na mrežu tako što će mu dati informaciju o članstvu u unuverzalnim grupama. da omogući pronalaženje informacija direktorijuma nezavisno od toga koji domen u šumi sadrži tražene podatke. Globalni katalog treba da odgovara na upite korisnika ili programa o objektima koji su bilo gde na stablu ili šumi i to maksimalnom brzinom i uz najmanji mogu ći mrežni saobraćaj. Svaki kontroler domena opciono može da se konfiguriše kao server globalnog kataloga i preporuka je da svaka lokacija u mreži obavezno ima barem jedan server globalnog kataloga.
4.3.4 Repliciranje Sve informacije koje se nalaze u okviru Aktivnog direktorijuma moraju svakog trenutka da budu dostupne svim korisnicima i servisima na tom domenu, stablu domena ili šumi domena. Kako u okviru ovih konfiguracija možemo imati više kontrolera domena, gde svaki kontroler nadgleda svoj deo oblasti, potrebno je obezbediti da se sve informacije budu dostupne svim korisnicima bez obzira na koji kontroler
Administriranje mreža domena su povezani. Repliciranje upravo obezbe đuje da se sve izmene u okviru jednog kontrolera domena reflektuju na sve ostale kontrolere doemna u okviru tog domena. Informacije direktorijuma se repliciraju na kontrolerima doemna kako unutar, tako i izme đu lokacija. Sve informacije koje se čuvaju u Aktivnom Direktorijumu (fajl ntds.dit ) mogu se podeliti u četiri osnovne kategorije. Svaka od tih kategorija informacija ima naziv particija direktorijuma ili kontekst imenovanja. Repliciranje se upravo vrši na osnovu ovih particija jer one predstavljaju osnovne jedinice na osnovu kojih se radi repliciranje. Četiri osnovne particije informacija u Aktivnom direktorijumu su: Particija šeme – sadrži informacije o objektima koji se mogu napraviti u direktorijumu kao i njihove atribute i oni su zajedni čki za sve domene u šumi. Ova particija se replicira na svim kontrolerima domena u šumi. Particija konfiguracije – podaci o logi čkoj strukturi postavljanja, uklju čujući i podatke kao što su struktura domena ili topologija repliciranja nalaze se u ovoj particiji. Kao i kod prethodne particije i ovi podaci su zajedni čki za sve domene u šumi i repliciraju se na svi kontrolerima domena. Particije domena – ova particija sadrži podatke o svim objektima u jednom domenu i ti podaci pripadaju samo jednom doemnu pa se ne repliciraju na druge domene. Me đutim, replikacija važi za sve kontrolere domena u okviru tog domena. Particija direktorijuma za aplikacije – podaci koji se nalaze u ovoj particiji odnose se na dinami čke podatke pojedinačnih aplikacija u Aktivnom Direktorijumu. Na osnovu ovih podataka omogu ćeno nam je da kontrolišemo podru č je smeštanja kopija i proces repliciranja. U ovu particiju smeštaju se podaci za bilo koji tip objekta osim za one objekate koji se odnose na principe bezbednosti (korisnici, grupe i računari). Da bi se izbegao nepotreban saobra ćaj usled repliciranja omogu ćeno je da se ovi podaci eksplicitno preusmere na kontrolere domena koje administrator odredi u okviru šume domena. Kontroler domena uskladištava i replicira slede će podatke: particije šeme za šumu, particije konfiguracije za sve domene u šumi i particije domena za svoj domen. Globalni katalog skladišti i replicira slede će podatke: particije šeme za šumu, particije konfiguracije za sve domene u šumi, delimi čnu repliku koja sadrži često korišćene atribute za sve objekte direktorijuma u šumi i potpunu repliku koja sadrži sve atribute svih objekata direktorijuma u domenu gde se nalazi globalni katalog.
4.3.5 Odnosi poverenja Odnos poverenja predstavlja vezu dva ili više domena koji veruju jedan drugom. To zna či da ako je postavljena veza poverenja izme đu domena, provera autenti čnosti prijavljivanja korisnika se vrši samo na jednom doemnu. Svi ostali domeni koji imaju poverenje priznaju tu proveru i korisnik može nesmetano bez ponovne provere autenti čnosti da radi sa resursima na tim domenima. U familiji Windows Servera 2003 provera autenti čnosti korisnika i aplikacija vrši se putem jednog ili dva protokola poverenja: Kerberus verzija 5 ili NT LAN Manager (NTLM). Odnos poverenja čine dva domena: domen koji ima poverenje i domen u koga se ima poverenje. Možemo da definišemo neke opšte karakteristike poverenja i to: Metod pravljenja – postoje dva na čina pravljenja poverenja i to implicitno(automatsko) i eksplicitno(ručno). Nije moguće da se prave sva poverenja na oba na čina. Tranzitivnost – poverenja mogu biti vezana za domene koji su u odnosu (netranzitivna) i nevezana (tranzitivna). To zna či da ako domen A ima poverenje u domen B, a domen B ima poverenje u domen C, kažemo da imamo tranzitivno poverenje ako domen A ima poverene u domen C. Ukoliko domen A nema poverenje u domen C, tada se radi o netranzitivnom poverenju. Smer – postoje jednosmerna i dvosmerna poverenja. Jednosmerno poverenje zna či da domen A ima poverenje u domen B ali obrnuto ne važi. Jednosmerni odnos može biti tranzitivan ili netranzitivan, što zavisi od tipa poverenja koje se pravi. U dvosmernom poverenju domen A ima poverenje u doemn B i obrnuto. To zna či da zahtevi za proveru autenti čnosti mogu da se prenose izme đu dva domena u oba smera. Možemo da razlikujemo slede će oblike poverenja koja se pojavljuju u Windows Server 2003 familiji: Poverenje na nivou korena stabla – ovo poverenje pravi se implicitno kada se šumi doda osnovni domen novog stabla. Ovaj tip poverenja može se uspostaviti samo izme đu korena dva stabla u istoj šumi i predstavlja tranzitivno i dvosmerno poverenje. Poverenje roditelj/dete – takoše se implicitno postavlja kada pravimo novi podre đeni domen u stablu. Ovo
Administriranje mreža poverenje stavlja sve objekte u domenima na raspolaganju svim drugim domenima iz istog stabla i ono je tranzitivno i dvosmerno. Prečica poverenja – pravi se eksplicitno od strane administratora sistema izme đu dva domena u šumi. Korisno je kada treba skratiti vreme prijavljivanja korisnika ako oni pripadaju razli čitim domenima koji su logički udaljeni u hejerahiji čume ili stabla.Poverenje je tranzitivno i može biti jednosmerno ili dvosmerno. Spoljni odnos poverenja – administrator sistema eksplicitno pravi ovo poverenje izme đu dva domena koji pripadaju različitim šumama ili dva domena pod razli čitim operativnim sistemima. Poverenje je netranzitivno a može biti jednosmerno ili dvosmerno Odnos poverenje šume –tako đe ga pravi administrator izme đu dva osnovna domena šuma, i omogu čava nam da svi domeni u jednoj šumi imaju tranzitivno poverenje u sve domene druge šume. Ovo poverenje nije tranzitivno na tri i više šuma, ve ć samo na dve šume i može biti jednosmerno ili dvosmerno. Poverenje u podru č ju – pravi ga eksplicitno administrator sistema između područ ja van Windows Kerberus-a i domena Windows Server 2003. Ovo nam omogu čava da uspostavimo oblik poverenja i sa nekim drugim operativnim sistemima koji koriste sistem bezbednosti Kerberus. Poverenje može biti tranzitivno ili netranzitivni i jednosmerno ili dvosmerno.
4.3.6 Upravljanje izmenama i konfiguracijama Upravljanje izmenama i konfiguracijama predstavlja skup funkcija preko kojih je mogu će upravljati korisničkim i računarskim podacima i parametrima kao i instalirati i održavati softver na njima.Skup funkcija preko kojih je mogu će pojednostavniti sve te zadatke treba da obuhvate slede će zadatke: upravljanje konfiguracijom radne površine svakog korisnika upravljanje na činom primene i instaliranja softvera instaliranje inicijalnog klijentskog operativnog sistema zamena računara
4.3.7 Grupne politike Grupne politike predstavljaju zbirke korisni čkih i računarskih parametara konfiguracije koji se mogu povezati sa ra čunarima, lokacijama, domenima i organizacionim jedinicama da bi odredili ponašanje radne površine korisnika. Ova opcija omogu ćava nam, da se na više ra čunara koji pripadaju jednoj grupi, odredi kako će izgledati radna površina, koji će programi biti na raspolaganju korisnicima kao i definisanje razli čitih opcija u meniju Start.Da bi to ostvarili potrebno je da se naprave objekti grupne politike( Group Policy Object – GPO) koji će definisati radnu površinu svake grupe. Postoje dve vrste GPO lokalni i nelokalni. Loakalni GPO imaju svi ra čunari koji rade pod Windows Server-om 2003 dok su nelokalni GPO povezani sa objektima servisa Aktivnog Direktorijuma: lokacijama, domenima ili organizacionim jedinicama. Nelokalni GPO mogu biti primenjeni ili na korisnike(nezavisno na kom računaru oni rade) ili na ra čunare. U skladu sa svojstvima nasle đivanja u servisu Aktivnog Direktorijuma, nelokalni GPO se primenjuju hijerahijski od najmanje restriktivne grupe (lokacije) do najrestrijktivnije grupe (organizacione jedinice). Kod njih važi princip kumulativnosti. Kako se nelokalni GPO-i primenjuju hijerahijski, korisnićka ili računarska konfiguracija predstavlja rezultat GPO-a povezanih sa njihovom lokacijom, domenom ili organizacionom jedinicom. 4.3.8 Prostor imena (DNS i imenovanje objekata) Aktivni Direktorijum koristi DNS kao servis za imenovanje i lociranje domena. On nam donosi sledeće prednosti: DNS imena su lako čitljiva, pa se lakše pamte od broj čanih IP adresa, DNS imena su stalnija od IP adresa. Imena servera se retko menjaju za razliku od IP adresa koje su promenljive veli čine. To naro čito važi za mreže gde je aktivirano dinami čko dodeljivanje adresa (DHCP). DNS ima ista pravila kod dodeljivanja adresa kao i Internet servis pa nam je princip povezivanja sa lokalnim resursima potpuno isti kao i sa Internet resursima. Svaki objekat u Aktivnom Direktorijumu identifikuje se po imenu, po principima koje odrežuje LDAP
Administriranje mreža protokol. Pri tome Aktivni Direktorijum se koristi nizom konvencija za imenovanje objekata: Karakteristična imena – svaki objekat u Aktivnom Direktorijumu ima svoj karakteristi čno ime (distinguished name -DN) koje na jedinstven na čin identifikuju objekat. U okviru ovog imena nalazi se ime domena koji sadrži taj objekat kao i kompletnu putanju kroz hijerahiju skladišta do objekta. Uobičajeno je da se koriste tri vrsta skra ćenica kod DN imena: CN-ime objekta, OU-organizaciona jedinica i DC-ime komponete domena. Relativno karakteristi čno ime – RDN( Relative distinguished name) predstavlja deo imena objekta koje je atribut samog objekta. Kako Aktivni Direktorijum podržava upite po atributima objekata, tako nam je omogu ćeno da prona đemo neki objekat i ako neznamo DN ime. Globalno jedinstveni identifikator – svi objekti u Aktivnom Direktorijumu imaju svoj jedinstveni GUID ( globally unique identifier ) identifikator. On se uvek formira pri pravljenju objekta i predstavlja 128 bitni heksdecimalni broj koji je garantovano jedinstven. GUID broj se nikada ne menja, čak i kada objekat promeni svoju lokaciju, pre đe iz jednog domena u drugi domen, ili se preimenuje. Sve aplikacije obra ćaju se objektima preko tog GUID identifikatora a ne aktuelnofg DN imena. Glavno korisni čko ime – UPN ( user principal name ) se sastoji od imena korisni čkog naloga i imena domena koje identifikuje domen u kome se korisni čki nalog nalazi. Svaki otvoreni korisni čki nalog ima jedno takvo ime poznato kao glavno korisni čko ime (
[email protected])..
V čas Implementiranje servisa Aktivnog Direktorijuma
5.1 Planiranje Aktivnog Direktorijuma Od suštinskog zna čaja za funkcionisanje mrežnog operativnog sistema u jednoj organizaciji je da se dobro isplanira aktivni direktorijum shodno zahtevima te organizacije. Kako on sadrži sve glavne komponente koje su potrebne za nesmetano i pouzdano funkcionisanje mreže, svaki i mali propust u njegovoj postavci može u mnogome da smanji funkcionalnost naše mreže. Pre nego što po čnemo da uvodimo servis Aktivnog Direktorijuma moramo prou čiti poslovnu i organizacionu strukturu organizacije gde se on uvodi. Kako usluge Aktivnog Direktorijuma nisu ništa drugo nego uredno razvrstavanje svih mrežnih resursa, kao i upravljanje istim, potrebno je da ta čno znamo broj servera, ra čunara, korisnika, štampača, lokacija gde su resursi, bezbedonosnu politiku i td. Koriste ći fleksibilnost servisa Aktivnog Direktorijuma, kao i podataka koje smo sakupili, možemo da kreiramo strukturu mreže koja će uspešno odgovoriti na zahteve organizacije u kojoj se ona instalira. Strukturu Aktivnog Direktorijuma čine četri osnovne komponente, na koje moramo da obratimo pažnju kod njegovog implementiranja, a to su: plan domena, plan prostora imena domena, plan strukture organizacionih jedinica i plan strukture sajta.
5.1.1 Plan domena Kada planiramo strukturu domena potrebno je da po čnemo od fizičkog okruženja mreže, da odredimo osnovni domen u mreži, odredimo broj domena kao i njihovo hijerahijsko organizovanje. Fizičko okruženje uklju čuje lokacije objekata u mreži, broj korisnika na svakoj lokaciji, broj potrebnih servera kao i servisa na tim serverima, vrstu mreže, brzinu veze, broj i kvalitet WAN konekcija, lokacije mrežnih barijera i td. Osim sagledavanja fizi čkog okruženja, potrebno je da se razmotre i druge infrastrukture koje organizacija ve ć koristi. Na primer, ako postoji ve ć DNS struktura, verovatno će biti dobro da se ona i zadrži. Sli čno ovome, ako se koristi Microsoft Exchange, potrebno je da strukturu domena zasnivamo na njemu. Kada počnemo da instaliramo Aktivni Direktorijum moramo da izaberemo kakav kontroler domena želimo da instaliramo: da li je to prvi kontroler domena za novi domen ili samo želimo da dodamo nov kontroler domena u postoje ći domen. Ako izaberemo da to bude prvi kontroler domena za novi domen, istovremeno ćemo formirati i kontroler domena i novi domen. Nakon toga treba odrediti da li taj novi domen pripada novoj šumi, da li je on podre đen domen u postoje ćem stablu domena ili predstavlja jedno novo stablo domena u postoje ćoj šumi. Dodavanje novog kontrolera u ve ć postojeći domen pravimo ravnopravni kontroler domena. Ravnopravni kontroleri domena obezbe đuju redudantnost i smanjuju optere ćenje postoje čih kontrolera domena. Ovaj izbor se naj češće koristi kada
Administriranje mreža imamo neki domen koji se nalazi na više razli čitih geografskih lokacija. Tada se formira kontroler domena na svakoj lokaciji, kako bi se smanjio saobra ćaj pristupanja servisu Aktivnog Direktorijuma. Kad određujemo osnovni domen moramo da vodimo ra čuna da je on prvi domen koji pravimo u Aktivnom Direktorijumu, pa samim tim predstavlja i najvažniji domen koji kreiramo. Njegova osnovna uloga je da definiše infrastrukturu cele mreže i da upravlja istom. Dobro bi bilo da taj osnovni domen šume bude namenski i da bude postavljen isklju čivo za administriranje infrastrukture celokupne šume. To se preporu čuje iz slede ćih razloga: mogućnost kontrolisanja broja administratora koji mogu da prave izmene u šumi domena, osnovni domen je jako mali pa je jednostavno izvršiti njegovo repliciranje, osnovni domen retko može da zastari jer je njegova uloga samo da služi kao osnova, vlasništvo nad osnovnim domenom se lako može preneti bez premeštanja resursa. Nakon što smo odredili namenski osnovni domen šume, planiranje strukture domena treba da započnemo od jednog podre đenog domena ispod osnovnog. Preporu čuje se da se doda samo taj jedan domen a da druge domene dodamo samo u slu čaju kada taj prvi podre đeni model domena više ne može da ispuni naše zahteve. Za pravljenje više domena mora postojati nekoliko opravdanih razloga kao što su očuvanje postoje će strukture, administrativna i fizi čka podeljenost, potreba da se zadovolje posebni parametri bezbedonosne politike, potreba da se optimizuje replikacijski promet kao i potreba da se postavi zaseban prostor imena. Treba imati u vidu da ve ći broj domena pove ćava troškove održavanja mreže, najčešće zbog dodatnog upravljanja. U ve ćini slučajeva jedan domen može da zadovolji naše potrebe jer on može da se prostire preko više lokacija i da sadrži milione objekata. Ne treba praviti posebne domene koji bi održavali sektore i odelenja u okviru jedne organizacije, jer se te strukture često menjaju. Mnogo je bolje da se to reši putem organzacionih jedinica jer su one jednostavnije za delegiranje i administriranje. Pored toga svakoj organizacionoj jedinici možemo dodeliti neku grupnu politiku a onda na osnovu toga smeštati korisnike, ra čunare ili grupe u nju. Ako ipak do đemo do zaklju čka da nam treba organizacija sa više domena onda njih moramo organizovati u vidu jedne hijerahijske strukture, stabla domena ili šume domena, u zavisnosti šta najbolje odgovara potrebama naše mrežne strukture. Osnovna razlika izme đu ove dve strukture odnosi se na strukturu DNS imena. Svi domeni u stablu domena imaju susedne DNS prostore imena, dok kod šume domena svako stablo domena ima svoj sopstveni jedinstveni prostor imena. Ono što je zajedni čko za obe strukture je dele istu konfiguraciju, šemu i globalni katalog.
5.1.2 Plan prostora imena domena U servisu Aktivnog Direktorijuma domeni imaju imena koja podležu DNS pravilima. Me đutim, pre nego što počnemo da koristimo DNS u našoj mreži potrebno je da isplaniramo DNS prostor imena. Razlikujemo dva prostora imena i to unutrašnji (interni naš prostor imena) i spoljašnji (eksterni prostor imena). Na raspolaganju imamo dva izbora: 1. da je unutrašnji prostor imena isti kao i spoljašnji: dobra strana je da su imena domena potpuno ista i na internoj privatnoj mreži kao i na spoljašnjem javnom Internetu. Loša strana je da zahteva mnogo složeniju strukturu konfigurisanja mreže sa dodatnim zaštitnim serverima ( firewall i proxy serveri), klijenti se moraju konfigurisati da razlikuju interne od eksternih resursa, problem da se interni resursi ne objave na eksternom javnom Internetu i duplirano održavanje podataka o internim i eksternim resursima na mreži. Iako je prostor imena isti, korisnici imaju razli čit pogled na interne i eksterne resurse. 2. da su unutrašnji i spoljašnji prostor imena razdvojeni: pvde postoji jasna razlika izme đu internih i eksternih resursa, upravljanje je olakšano jer nema poklapanja ili dupliranja održavanja a i konfigurisanje klijenata je jednostavnije jer su eksterni resursi jednozna čno određeni. Ali, i ovakva realizacija ima svoje mane koje se ogledaju u dvostrukim imenima za prijavljivanje: jedno za interni a drugo za ekstreni prostor imena koje je potrebno registrovati u oba domena. Kod dodeljivanja imena novokreiranim domenima važe neka pravila koje treba poštovati: Dato ime treba da je jednostavno i da asocira na namenu domena. Jednostavna i precizna imena korisnici lakše pamte i omogu ćavaju korisnicima da potrebne resurse pronalaze intuitivno. Kod davanja imena osnovnom domenu treba voditi ra čuna da se ono ne će menjati, jer svaka izmena tog imena može kasnije biti nemogu ća ili će tražiti dodatni mukotrpni rad a samim tim i pove ćane
Administriranje mreža
troškove. Treba koristiti standardne ASCII karaktere koji podležu DNS pravilima (RFC 1035), a izbegavati neke specijalne karaktere koji nisu standardni. Broj nivoa domena treba ograni čiti. Preporučuje se da dubina domena bude tri do četri od vrha DNS hijerahije, a maksimalno pet. Što je ve ći broj nivoa to je i obiv administriranja komplikovaniji. Da bi se postiglo da ime domena bude jedinstveno u celom DNS okruženju potrebno je da svaki domen ima jedinstveno ime unutar sebi nadre đenog domena. Potrebno je da dužina imena domena bude što manja, ne duža od 255 znaka.
5.1.3 Plan strukture organizacionih jedinica Organizacija jedinica predstavlja skladište koje definiše strukturu unutar nekog domena. One se mogu hijerahijski organizovati u vidu ugnježdavanja. To zna či da unutar domena možemo napraviti hijerahijsku strukturu stabla, gde u okviru jedne organizacine jedince možemo da imamo druge organizacine jedinice, a u okviru njih druge i td. Organizacione jedinice predstavljaju najmanje jedinice na kojima se može dodeliti grupna strategija ili delegirati administriranje. Zato nam ona služi za upravljanje resursima na osnovu modela organizacije, tako da administratori mogu da delegiraju administrativne zadatke svim ili samo jednoj organizacionoj jedinici. Zato, planiranje organizacionih jedinica podrazumeva da smo se dobro upoznali sa funkcionalnom organizacijom i strukturom preduzeća, kao i njihovim administrativnim potrebama. Postoji više razloga zašto se prave organizacione jedinice i to su: Lakše održavanje resursa – organizacione jedinice predstavljaju neku vrstu skladišta u kojima smo smestili različite mrežne resurse: korisnike, ra čunare, štampa če, deljene datoteke, grupe i ostale organizacine jedinice. Jednostavnim odeljivanjem odre đenih prava samo toj oraganizacionoj jedinici mi smo dodeli ta ista prava i svim resursima koji su smešteni u tu organizacinu jedinicu. Lakše delegiranje administrativnih zadataka - grupsanjem više ra čunarskih resursa u jedan jedini resurs dobijamo samo jednu administartivnu oblast za delegiranje. Lakše deljenje korisnika prema grupnim strategijama – zahvaljujući organizacionim jedinicama lakše se drže na okupu svi resursi sa identi čnim bezbedonosnim potrebama. Broj organizacionih jedinica u domenu nije ograni čen i isključivo zavisi od potreba organizacije preduzeća. Ono što je neophodno, to je da organizacione jedinice prvog nivoa budu jedinstvene u domenu. Preporu ćuje se da hijerahijska organizacija bude što pli ća kaoko bi bila lakše shvatljivija. Postoji nekoliko uobi čajenih modela koji nam pomažu da odredimo hijerahiju koja nam najviše odgovara i to: Geografski model – resursi se ovde organizuju prema mestu gde se oni nalaze. Upotrebom mesta kao faktora koji odre đuje organizacionu jedinicu, mi postavljamo čvrste temelje za dalju nadgradnju ka stablu domena. Kako su geografske granice stabilne, prednost ovog modela je da administratorima znatno olakšava pronalaženje resursa na mreži. Ovaj model ne mora potpuno da odražava na čin poslovanja organizacije za koju se organizaciona jednica pravi, ali se uz manje modifikacije može uspešno primeniti. Organizacioni model – ovde se organizacione jedinice prave upravo prema strukturi jedne organizacije, prema odelenjima i sektorima. Administratori često upotrebljavaju ovaj model organizovanja jer je lako prihvatljiv i shvatljiv. On olakšava jednostavno delegiranje zadataka, dodelu prava i zabrana, jer su resurs upravo tako i razdeljeni po organizacionim jedinicama sa istim interesima. Problem menjanja organizacije odelenja u preduze ću ne predstavlja neki problem jer se organizacione jedinice lako reorganizuju. Objektni model – podela resursa po organizacionim jedinicama ovde je definisano na osnovu klasa tih resursa. Klase predstavljaju skup resursa sa istim osobinama kao: korisnici, ra čunari, grupe, štampa či i td. Prednos ovog modela je da olakšava administriranje resursa, jer svaka organizacina jedinica ima jednoobrazne objekte, ali se zato može dobiti veliki broj organizacionih jedinica.
5.1.4 Plan strukture lokacije (sajta) Kao što smo ve ć rekli, lokacija (sajt) predstavlja deo fizi čke strukture servisa Aktivnog Direktorijuma i predstavlja kombinaciju jedne ili više podmreža na bazi IP protokola koje su povezane vrlo brzim i pouzdanim vezama. Struktura lokacije se ovde održava potpuno odvojeno od logi čkog
Administriranje mreža okruženja, strukture domena. Jedan domen može da obuhvati više lokacija kao što i jedna lokacija može da obuhvati više domena ili njegovih delova. Glavna uloga lokacije je da obezbedi dobru povezanost na mreži. Način njegove realizacije najviše uti če na proces prijavljivanja korisnika i provere njihove autentičnosti, kao i na replikaciju direktorijuma. Projektovanje lokacije za mrežu koja se sastoji od jedne lokalne računarske mreže(LAN) je veoma jednostavno. Kako su mrežne veze u jednoj LAN mreži po pravilu jako brze, cela ta mreža može da bude jedan lokacija. Tek ako primetimo da kontroler domena ne odgovara dovoljno brzo na zahteve korisnika treba formirati posebnu lokaciju. Najve ću pažnju treba posvetiti kod projektovanja strukture lokacije/sajta za neku mrežu koja se prostire na nekoliko razli čitih fizičkih lokacija. Ovde treba obratiti pažnju na fizi čke karakteristike tih lokacija, ta čno definisati fizičke lokacije koje ćine domene, odrediti oblasti mreže koje bi mogle da se povežu u sajtove, identifikujete fizičke veze koje poveziju te sajtove, obezbedite otpornost na greške konfigurisanjem mosta za povezivanje sajtova i odrediti na čin, vreme i cenu replikacije.
5.2 Administrativne alatke Aktivnog Direktorijuma Windows Server 2003 poseduje mo ćne i fleksibilne alatke koje nam olakšavaju administriranje jedne složene i velike baze podataka kao što je to baza kod Aktivnog Direktorijuma. Sve te alatke možemo podeliti na dve velike grupe i to: 1) Alatke za Aktivni Direktorijum iz paketa Windows Support Tools – ove alatke većinom služe za konfigurisanje, upravljanje i uklanjanje grešaka u servisu Aktivnog Direktorijuma.. 2) Administrativne konzole za Aktivni Direktorijum – ove alatke se instaliraju automatski na ra čunarima koji su konfigurisani kao kontroleri domena kada se instalira Aktivni Direktorijum. Administrativne konzole mogu biti instalirane i na drugim serverima, ali za to nam je potreban opcioni paket . Na taj na čin omogućeno nam je da vršimo administriranje Aktivnog Administrative Tools Direktorijuma i sa ra čunara koji nisu kontroleri domena. Na raspolaganju su nam slede će administrativne konzole: Active Directory Domains And Trusts – ova konzola obezbe đuje interfejs za upravljanje domenima i odnosima poverenja izme đu šuma i domena. To zna či da uz pomo ć ove konzole možemo da obezbedimo interoperatibilnost sa drugim domenima, promenimo funkcionalni nivo domena (režimi domena), promenimo funkcionalni nivo šume, da dodamo ili uklonimo alternativne sufikse glavnog korisni čkog imena (UPN) koje se koriste za pravljenje korisni čkih imena i da prenesemo glavnu ulogu za operaciju imenovanja domena sa jednog kontrolera domena na drugi. Active Directory Sites And Services – pomoću ove konzole Aktivnom Direktorijumu se daju informacije o fizičkoj konfiguraciji naše mreže. Te informacije Aktivni Direktorijum koristi da bi mogao da odredi kao da vrši repliciranje direktorijuma izme đu kontrolera domena. Active Directory Users And Computers – kao što samo ime ove konzole kaže ona nam omogu ćava da dodamo, izmenimo, obrišemo i organizujemo korisni čke naloge, ra čunarske naloge, bezbedonosne i distributivne grupe i prijavljene resurse u okviru našeg domena.Tako đe vam omogu ćava da upravljamo i kontrolerima domena kao i organizacionim jedinicama. Active Directory Schema – Ova konzola je tako đe na raspolaganju ra čunaru konfigurisanom kao kontroler domena, ali je potrebno da se naknadno instalira iz komandne linije. Ovaj postupak je zamišljen tako, da bi se izbeglo slu čajno menjanje šeme. Prema tome osnovni zadatak ove konzole je da pregledamo i menjamo šemu Aktivnog Direktorijuma.
5.3 Upravljanje Aktivnim Direktorijumom Da bi Aktivni Direktorijum radio pouzdano i efikasno, potrebno je povremeno proveravati integritet podataka u njegovoj bazi. To, pre svega podrazumeva neke radnje koje treba primeniti na toj bazi podataka kao što su poravka, premeštanje, oporavak i defragmentacija iste.
5.3.1 Obezbeđivanje integriteta baze podataka Aktivni Direktorijum predstavlja jednu vrstu transakcione baze podataka. Transakciona baza podataka predstavlja bazu podataka kod koje se ažuriranje podataka vrši iz nekoliko koraka. Jedna transakcija sastoji se iz nekoliko radnji koje je potrebno uraditi u bazi podataka i ona zaokružuje kompletno izvršenje te radnje. Ako se desi da nije mogu će izvršiti sve predvi đene radnje za tu transakciju
Administriranje mreža potrebno je poništiti sve one radnje koje su se izvršile i vratiti se na stanje pre po četka izvršenja te transakcije. Da bi to bilo izvodljivo potrebno je voditi dnevnik transakcija koji nam omogu ćava poništavanje operacija po segmentima i sigurno završavanje transakcija u bazi. Za kontrolu semanti čkog integriteta baze podataka Aktivnog Direktorijuma postoji posebna alatka tj. program ntdutil.exe koji nam omogučava da proverimo broj aktivnih referenci i veza, broj obrisanih objekata, ispravnost DNS strukture imena, bezbedonosnih deskriptora i proverava replikaciju podataka.
5.3.2 Pravljenje rezervnih kopija servisa Aktivnog Direktorijuma Podaci koji se čuvaju u Aktivnom Direktorijumu predstavljaju jako bitne podatke za efikasno funkcionisanje jedne mrežne strukture. Zato je neophodno da se bezbednost tih podataka digne na najve ći mogući nivo kako se ne bi dogodilo da se oni izgube, a samim tim i naruši normalan mrežni rad. Jedan od načina da se bezbednost tih podataka digne na ve ći nivo je pravljenje rezervne kopije tih podataka. Međutim, pre nego što pristupimo pravljenju rezervne kopije potrebno je da uradimo neke preliminarne zadatke. Pre svega, moramo da pripremimo datoteke koje želimo da kopiramo kao i medijum na koji kopiramo te podatke. Ako se radi o izmenljivom medijumu potrebno je da obezbedimo slede će: uređaj u kome se nalazi izmenljivi medijum mora da bude priklju čen na mrežu i uklju čen, prazan medijum treba da bude u ure đaju i uređaj mora da zadovoljava HCL( Hardwre Compatibilitz List ) listu za Windows Server 2003. Kada smo sve ove zadatke uradili možemo pristupiti pravljenju rezervne kopije putem posebnog čarobnjaka Backup Or Restore. On automatski kopira sve sistemske komponente i sve distribuirane servise koji su potrebni servisu Aktivni Direktorijum. Ove komponente i servisi poznati su pod jedinstvenim imenom podaci o stanju sistema. Kod Windows Serever 2003 ovi podaci uklju čuju bazu Registry, bazu podataka COM+ Class Registration , datoteke za podizanje sistema, datoteke pod zaštitom Windows File Protection i bazu podataka Certificate Services . Ako je server i kontroler domena onda ovi podaci uklju čuju i Aktivni Direktorijum i direktorijum Sysvol . Svi ovi podaci su nedeljivi kada se rade rezervne kopije. To zna či da nije izvodljivo da biramo pojedina čne komponente podataka stanja sistema jer su svi oni me đusobno povezani i zavisni jedni od drugih. Rezervne kopije možemo praviti samo za stanje sistema lokalnog ra čunara, a ne i za udaljene ra čunare. Samo članovi grupa Administrators i Backup Operators mogu da prave rezervne kopije. 5.3.3 Premeštanje Aktivnog Direktorijuma Ovu aktivnost vršimo u slu čaju da se fizi čki disk, na kome se nalazi baza podataka, ošteti ili on jednostavno otkaže. Da bi smo to uradili na raspolaganju nam se nalazi alatka pod nazivom ntdsutil.exe koja radi u režimu Directory Service Restore. 5.3.4 Defragmentacija baze podataka Postoje dva na čina defragmentacije baze podataka i to automatska (na vezi) i ru čna (van veze). Automatsko defragmentisanje svoje baze podataka, Aktivni Direktorijum obavlja svakih 12 sati potpuno samostalno i to radi u sklopu svog procesa uklanjanja sme ća ( Garbage Collection ). Ova defragmentacija je veoma delotvorna jer optimizuje skladištenje podataka u bazi podataka. Na ovaj na čin se ne vrši fizi ćka promena veličine baze podataka, tj. ona se ne smanjuje, ve ć se samo osloba đa prostor u kome je mogu će upamtiti nove podatke za resurse mreže. Ovaj postupak defragmetiranja otklanja probleme sa skladištenjem, ali ako baza podataka previše naraste moramo da primenimo drugi na čin a to je defragmentiranje van veze. Taj na čin nam daje potpuno novu, kompaktnu verziju datoteke, ali zato traje dosta duže od prvog na čina. Zato se on primenjuje samo u velikim mrežama koje su podložne čestim i velikim promenama.Baza podataka (fajl Ntds.dit ) je kod takvih mreža dosta veliki i ima dosta ’’praznina’’ ako se primenjuje samo prvi na čin defragmentacije a to može dosta da uspori rad našeg Aktivnog Direktorijuma. 5.3.5 Integrisanje Aktivnog Direktorijuma sa drugim uslugama Postoji više Microsoftovih proizvoda koji su direktno spregnuti sa Aktivnim Direktorijumom. Instaliranje i podešavanje tih proizvoda predstavlja posebnu temu kojoj se mi ne ćemo baviti ovde. Napomenućemo samo nekoliko osnovnih proizvoda i objasniti šta nam oni donose. Aktivni Direktorijum i SQL Server – Mehanizam baze podataka Aktivnog Direktorijuma zove se Jet ,
Administriranje mreža koju koristi i Microsoftov Access. Me đutim, Aktivni Direktorijum može sasvim lepo da koristi i SQL Server kao svoj mehanizam baze podataka. Tako da ako nam trebaju i kontrola pristupa i dobre performanse, koje samo SQL Server može da nam pruži, preporu čuje se da zajedno koriste i Aktivni Direktorijum i SQL Server. Aktivni Direktorijum i Microsoft Exchange – Program Microsoft Exchange omogu ćuje nam da u okviru mreže pouzdano razmenjujemo gotovo sve podatke. Posebna pogodnost je ta da se on može vrlo lako integrisati sa Aktivnim Direktorijumom. Na taj na čin on u njemu podrazumevano skladišti sve podatke o korisnicima i njihovim nalozima. Time smo obezbedili da se podaci ne dupliraju i da su uvek sinhronizovani. Aktivni Direktorijum i DNS – DNS je osnovni na čin pronalaženja usluga i servera Aktivnog Direktorijuma u domenu. Klijenti i razli čiti servisi koriste DNS za pronalaženje osnovnog domena radi prijavljivanja i administriranja mreže. Generalno je pravilo da barem jedan DNS mora biti instaliran u šumi domena da bi Aktivni Direktorijum ispravno radio. U jednostavnim kofiguracijama instaliranje DNS servera predstavlja trivijalan zadatak. Uz Windows Server 2003 dolazi i Microsoftov DNS server ali se može instalirati i bilo koji drugi DNS server (na primer BIND server na UNIX-u). Jedini preduslov koji treba da ispuni taj novi DNS server, je da podržava protokol za dinami čko ažuriranje. Nadgledanje povereničkih odnosa i replikovanje – Active Directory Replication Monitor ( Replmon.exe ) predstavlja grafički alat za nadgledanje operacija niskog nivoa i performansi replikovanja osnovnog domena – upravlja ča u kompletnom domenu.
5.4 Instalacija Aktivnog Direktorijuma
Na početku instalacije treba imati u vidu da je za instalaciju Aktivnog direktorijuma potrebna NTFS particija. Kako bi se konvertovao Windows 2003 Server u kontroler domena, bira se opcija Start Run i unosi se DCPROMO. Time se pokre će čarobnjak za instalaciju Active Directory Installation Wizard (slika 4.6). Ovaj program ne samo da konvertuje server u kontroler domena, ve ć i obratno, vra ća kontroler domena u server. Instalacija Aktivnog direktorijuma je veoma jednostavna. Čarobnjak postavlja niz pitanja i na osnovu odgovora, podešava nova stabla, šumu ili domen, kreira kopiju kontrolera domena u nekom postoje ćem domenu. Na čin na koji se kreira domen je jednostavan. Posle ekrana dobrodošlice pojavi će se okvir kao na slici 4.7. Čarobnjak nudi opcije da li se želi kreirati novi domen ili da se napravi kontroler u postoje ćem domenu. U ovom slu čaju biramo da želimo da kreiramo novi kontroler domena. Windows 2003 Server omogu ćava da se domeni postavljaju u stabla, a stabla u šume, tako da je logi čno da Wizard treba da zna gde da stavi novo stablo, u potpuno novu šumu, u neku postoje ću ili da to bude neki poddomen. Slede ći okvir (slika 4.8) nudi upravo ove opcije: da li se želi kreirati domen u novoj šumi, ili kreirati dete domen u ve ć postojećoj šumi i da li se želi kreirati domen u postoje ćoj šumi. Mi biramo prvu opciju tj. novi domen u novoj šumi. Klikne se na dugme Next . Sada je potrebno uneti ime domena koji se želi kreirati (slika 4.9). U našem slu čaju to je vtsnis.edu.yu. Ovde se dakle unosi ime koje će se registrovati kao zvanično ime. Klikne se na Next . Sledeći okvir nam daje mogu ćnost upisa NetBIOS imena domena (slika 4.10). Ukoliko ste sigurni da mreža na kojoj se instalira kontroler domena radi 100% pod Windows-om 2000, 2003 (uklju čujući i servere i radne stanice) ime ne treba unositi. Mreža će verovatno sadržati neke ra čunare koji rade pod mrežnim softverom koji je pisan u danima Windows 95, kada imena domena nisu mogla da imaju više od 15 karaktera i kada se nije moglo osloniti na bilo kakvu hijerarhiju. Ovi stari sistemi ne mogu da prepoznaju domen pod imenom vtsnis.edu.yu, tako da je njima potrebno ime koje mogu da prepoznaju. Iz tog razloga domen u Windows-u 2003 ima dva imena, svoje DNS ime (tj. vtsnis.edu.yu ) i ime prema starom stilu ozna čavanja domena ( VTS ). Kako su ova stara imena bila izabrana, da bi se prilagodila jednom starom mrežnom programskom interfejsu pod imenom NetBIOS , to je i stil označavanja imena domena nazvan NetBIOS . Nakon ovoga se klikne na Next i pojavljuje se ekran sa slike 4.11. Windows 2003 čuva bazu podataka Aktivnog direktorijuma u dva dela, kao što je slu čaj sa bazama podataka, samom bazom i dnevnikom transakcija. Dve stvari koje treba imati na umu su, da baza podataka Aktivnog direktorijuma treba da bude na NTFS delu, radi postizanja boljih performansi i da je
Administriranje mreža dobra ideja da se dnevnik transakcija čuva na drugom fizi čkom disku. Stavljanje dnevnika transakcija i AD baze podataka na razli čite diskove dovodi do toga da sistem može da ih istovremeno ažurira što opet dovodi do zna čajnog poboljšanja performansi. Da bi se to prilagodilo, klikne se na Next i pojavljuje se okvir sa slike 4.12. Ranije je navedeno da na serveru Aktivnog direktorijuma treba imati najmanje jedan NTFS disk. Ovo je trenutak kada se to koristi. Ranije verzije servera su sve informacije o konfiguraciji korisnika, kao i kontrolere domena čuvale na direktorijumu pod imenom NETLOGON , koji se nalazio na primarnom kontroleru domena. To su bile na primer datoteke sistemskih polisa, podrazumevani profili i skriptovi za prijavljivanje. NETLOGON informacije su bile potrebne i backup kontrolerima domena, pa su administratori mreže morali da nekako osiguraju da sve datoteke NETLOGON -a budu kopirane. Kod Windows-a 2003 nema ovakvih problema. Svi ovi podaci idu na direktorijum pod imenom Sysvol, koji se automatski kopira do drugih kontrolera domena. Ovim se smanjuje posao čuvanja. Opet se klikne na Next i dolazi se do okvira sa slike 4.13 gde se treba pobrinuti o DNS -u. Ovde je DCPROMO pokušao da prona Đe i kontaktira DNS server za vtsnis.edu.yu. Pojavile su se neke teškoće koje su dovele do ove nevolje. Ovaj ekran može da zna či jednu od dve stvari: DCPROMO ne može da dobije odgovor od DNS servera za vtsnis.edu.yu. U konkretnom slu čaju za vtsnis.edu.yu, treba registrovati domen kod neke od organizacija koje se bave time (Web hosting kompanije). Da bi se registrovao domen mora se re ći toj organizaciji IP adresa za dva računara koji će služiti kao DNS serveri domena. Primarni DNS će se nalaziti na ovom ra čunaru, koji još uvek nije podešen, tako da nema DNS servera koji radi. U slu čaju da je DNS server konfigurisan pre pokretanja programa DCPROMO, sprečio bi se prikaz ovog ekrana. Ovaj ekran će izaći i ukoliko ra čunar nije povezan sa internetom. DCPROMO je dobio odgovor od DNS servera za vtsnis.edu.yu , ali je pronašao da oni nisu prihvatili dinamičko ažuriranje. Pretpostavlja se sada da je ra čunar konfigurisan kao DNS server, ali je računar bio NT 4 server ili neki server koji ne podržava RFC 2136 [7] (dokument u kojem je opisan DNS ), jer je NT 4 izašao pre RFC 2136 dokumenta. RFC 2136 podržava ideju dinami čkog ažuriranja, koja je bitna za na čin na koji Windows 2000, 2003 upravlja informacijama o domenima i drugim Windows Serverima. Dinamičko ažuriranje je veoma bitno. DNS je samo baza podataka sa informacijama o adresama. Velika većina zapisa u svetu DNS baza podataka su jednostavni zapisi, stavke koje povezuju ra čunare sa IP adresama. Kada ljudi dodaju novi ra čunar na internet, zapisi tog ra čunara moraju nekako biti uba čeni u neki DNS server. Ranije je neko morao da sedne za ra čunar i da unosi IP brojeve. Aktivni direktorijum želi da može da doda nove podatke u DNS bazu bez restartovanja DNS -a. Ovo je trenutak kada dinami čko ažuriranje ulazi u igru. RFC 2136 definiše protokol za dodavanje, modifikaciju i brisanje DNS zapisa u letu. Aktivni direktorijum se zasniva na ovome tako da on mora imati RFC 2136 kompatibilan server za svoje domene. Rezultat je da kad DCPROMO pronaĐe DNS server domena, prva stvar koju ga pita je „da li podržavaš dinami čko ažuriranje?“. Ako to ne u čini, DCPROMO izbacuje grešku. Uglavnom Aktivni direktorijum neće raditi bez konfigurisanog DNS -a, ipak biramo opciju da želimo da ga kasnije konfigurišemo i kliknemo na Next . Sledeći okvir sa slike 4.14 omogu ćava serverima, koji su generacijski izašli pre Windows-a 2000, proveru autenti čnosti korisnika, gde je Windows 2000 morao malo da izgubi od svoje sigurnosti. Ovo nije prijatno jer donosi mnoštvo sigurnosnih problema koji su postojali kod NT-a 4. Stoga, ukoliko ste sigurni da nema servera sa ranijim verzijama druga opcija je bolja. Kliknemo na Next i pojavljuje se ekran sa slike 4.15 Jedna od opcija Windows-a 2003 je da prepravi ošte ćene baze Aktivnog direktorijuma. Nije poželjno da to može svako da uradi, jer ako se kaže Windows-u 2003 da ponovo napravi svoju bazu podataka, to je u osnovi isto kao da mu se kaže da je uništi. Zbog ovoga Windows 2003 traži lozinku koju će koristiti da prihvati onog ko želi da ponovo napravi bazu AD-a. Popuni se i klikne se na Next , nakon čega će se pojaviti ekran kao na slici 4.16. Ovaj poslednji ekran, treba pažljivo pro čitati i ako nešto nije kako smo želeli, postoji još uvek mogu ćnost da se vratimo i ispravimo ono što ne valja, pre nego što kliknemo na Finish. Potom se pojavljuje okvir kao na slici 4.17.
Administriranje mreža Taj okvir će potrajati na ekranu. Po nekim iskustvima najmanje 10 do 30 minuta. Ovaj proces može da se ubrza sa dva SCSI (Small Computer System Interface)[8] diska. Razlog zašto se mora biti u potpunosti siguran, pre nego što se klikne na Finish je što ukoliko se želi da se nešto promeni, najpre mora da se proĐe kroz ceo proces kreiranja Aktivnog direktorijuma, zatim da se restartuje server, nakon čega treba da se pokrene čarobnjak Active Directory Installation Wizard , da se uništi domen, a nakon toga treba da se ponovo restartuje ra čunar i na kraju ponovo pokrene čarobnjak Active Directory Installation Wizard , po treći put. Ovog puta treba zadati ta čne vrednosti i naravno kada se sve to odradi, potrebno je opet 1030 minuta čekanja i još jedno restartovanje. U svakom slu čaju, kada je direktorijum jednom spreman, čarobnjak završava sa ekranom koji je prikazan na slici 4.18 čime je završena instalacija Aktivnog direktorijuma.
5.4.1 Pružanje „servisa za proveru autentičnosti“: kontroleri domena Kada pokušamo da pristupimo nekom deljenom direktorijumu ili deljenom štampa ču, aktivni direktorijum će izvršiti proveru naše validnosti. Preciznije govore ći, ako sedimo za ra čunarom A i pokušavamo da pristupimo odre đenom fajlu sa deljenog direktorijuma na članskom serveru B, onda će B zatražiti od A odgovor na pitanje ko smo mi uopšte, kako bi B mogao da odlu či da li da nam dozvoli pristup željenom fajlu ili ne. A i B će na kraju zajedno oti ći do kontrolera domena, kako bi proverili našu validnost. Prema tome, AD obezbe đuje jednu centralnu bazu podataka o korisni čkim nalozima, na koju se svi Microsoftovi fajl serveri oslanjaju po pitanju provere autenti čnosti. Pretpostavimo da imamo 10.000 korisnika, 10.000 radnih stanica (me đu kojima je i naš ra čunar A) i 500 servera (me đu kojima je i naš server B). Svaki od ovih 10.000 korisnika trebalo bi da ima mogućnost da do đe do bilo kog od ovih servera i potencijalno fajlovima ili štampa čima na tom serveru, osim ukoliko smo mu eksplicitno zabranili pristup odre đenim resursima. Pored toga, svaki od ovih 10.000 korisnika trebalo bi da može da sedne za bilo koju od 10.000 radnih stanica, da se na njoj prijavi za rad (loguje) i da obavi neki posao. Kako bi to postigli bez upotrebe domena? Morali bi da odgovaraju će zapise, za svih 10.000 korisnika, ru čno da unosimo u SAM fajlove na svakoj radnoj stanici posebno i u SAM fajlove na serverima. Lepota upotrebe domena sastoji se u tome što jednom malom broju servera možemo dati blagoslov za čuvanje podataka o korisnicima i njihovim lozinkama – NTDS:DIT fajl – pa zatim, ostatku mreže omogućiti upotrebu odgovarju ćih servisa, tako da bilo koji ra čunar može reći, na primer, slede će: „Hej, ja sam server B, a jedan momak koji sedi za radnom stanicom A tvrdi da je Mark, da li je on zaista Mark?“ Radi se , dakle, o jednom centralnom servisu, koji je veoma sli čan f ajl servisu, ili servisu za štampanje, ili servisu baze podataka, ili web servisu. Grupa servera, koji pružaju ove usluge, naziva se kontrolerima domena (domain controllers), što se obi čno skraćuje u DC’s. Prema tome, kontroleri domena su ra čunari: Na kojima je instalirana neka verzija NT Servera – da bi se iskoristile najnovije karakteristike aktivnog direktorijuma, kontroleri domena moraju se instalirati na Windows server 2003 računarima. Na kojima se čuva baza podataka o domenskim informacijama. Koji obezbeđuju da njihove kopije domenskih informacija budu veoma kozistente: ako na svojoj mreži imamo pet DC-a , onda će jedan od zadatka koji ovi DC-i obavljaju odnositi na proces pod nazivom replikacija (replication), u kome DC-i jedan drugog me đusobno ažuriraju po pitanju izmena u njihovim bazama podataka, koje nastaju kada kreiraamo neki novi korisni čki nalog, kreiramo novu lozinku i sl. Koji pružaju servis za proveru autenti čnosti, no koji se ostali ra čunari oslanjaju prilikom prijavljivanja korisnika.
5.1.1 Definisanje domena „poverenje“ Sada, dakle, imamo server koji može vršiti proveru autenti čnosti korisnika, to jest, imamo DC. Ali,čiju će proveru autenti čnosti on vršiti? Svakako, on to ne će vršiti za bilo koji ra čunar. Neki PC (bilo da je u pitanju server ili radna stanica) može upotrebit DC na nekom domenu radi prover autenti čnoti, jedino ukolikko se taj PC „pridruži“ (join) domenu i postane „ član domena“ (domani member). Ra čunari koji nisu članovi njednog domena, proveru autenti čnosti mog vršiti upotrebm korisni čkih naloga iz svog
Administriranje mreža lokalnog SAM fajla; nasuprot tome, ra čunar koji su punopravni članovi nekog domena, proveru autentičnosti nekog korisnika mogu vršiti bilo upotrebom ovih lokalnih SAM naloga, ili tako što će od kontrolera tog domena zatražiti proveru autenti čnosti tog korisnika. U svetu Microsoftovih mreža, kažemo da ra čunari koji nisu članovi nijednog domena, veruju (trust) samo svom lokalnom SAM-u, dok računari koji su članovi nekog domena veruju svom SAM fajlu, kao i DC-ima na svom domenu. Prilikom pridruživanja domenu, uspostavlja se „odnos poverenja“ (trust relationship) izme đu PC-ja i DC-a. Pre nego što radna stanica poveruje kontroleru domena koji će joj obezbediti koriš ćenje prijavnih servisa, i pre nego što domen kontroler bude dovoljno verovao radnoj stanici da bi joj pružio ove prijavne servise, MIcrosoftov softver zahteva postojanje dogovora izme đu administratora na nivou domena i administratora na nivou radne stanice. Kada neku mašinu prijavljujete domenu, obi čno smo na nju prijavljeni preko jednog naloga, koji radna stanica prepoznaje kao nalog lokalnog administratora, ali kad zaista uspostavimo zahtev za nje prijem u članstvo domen, domen će nam odgovoriti: „Sada želim da mi pokažete nalog administratora koji može biti prepoznat na domenu“. Ali, odnosi poverenja mogu i ći dalje od toga, mogu će je kreirati odnose poverenja ne samo između mašina i domena, ve ć i između domena i nekog drugog domena. Dakle, Domen predstavlja grupu ra čunara koji veruju DC-ima datog domena, i Različiti domeni mogu biti konfigurisani tako da veruju jedan drugom. Tako dolazimo do još jedne prednosti aktivnog direktorijuma: automatski odnosi poverenja. Aktivni direktorijum omogu ćava izgradnju ve ćih mreža, tako što kreiranje i održavanje multi domenskih mreža čini znatno jednostavnijim. Dok je, nekada, adminidtrator neke multidomenske mreže morao da izgradi i stalno održava kompleksan sistem me đusobnih odnosa poverenja, aktivni direktorijum nam sada daje mogućnost da kreiramo sistem domena pod nazivom šuma (forest). Osnovna prednost šuma se sastoji u tome što će, kad neka grupa domena bude jednom ugra đena u šumu, kreiranje i održavanje njihovih odnosa biti potpuno automatizovano. Pored toga, postoje i manje multi-domenske strukture, pod nazivom stabla (trees), kod kojih se tako đe koristi karakteristika auatomatskog uspostavljanja poverenja.
5.1.2 Izgradnja multi-domenskih struktura Stabla Praktično iskustvo u upotrebi NT-a , pokazalo je da su ljudi prilikom izgaradnje multidomenskih mreža, obično kreirali hjerarhije domena, koje ra čunarski stručnjaci nazivaju strukturom stabla, uprkos činjenici da se kod ovih ra čunarskih stabala korenje nalazi na vrhu, a „liš će“ na dnu. Prvi domen koji kreiramo naziva se korenom (root) stabla. Pretpostavimo da naziv roota galsi bigfirm.biz. domeni ispod njega nazivaju se deca-domeni (child domains). Prilikom podele organizacije, to možemo učiniti, na primer, po geografskom principu – istocni.bigfirm.biz i zapadni.bigfirm.biz. Prema tome, pravilo za davanje naziva deci-domenima glasi: dete-domen mora imati naziv u obliku naziv.nazivroditeljskogdirektorijuma.
Osnovna prednost upotrebe stabala odnosi se, pre svega, na automatsko uspostavljanje odnosa poverenja, što je zaista sjajna osobina. Šume Pretpostavimo, sada, da je naša kompanija Root(.) podeljena na domene bigfirm.biz i apex.com. Na dalje,ome pretpostavimo da smo odlu čili da zadržimo multi-domensku strukturu, pri čemu želimo da jedan njen deo zadrži naziv bigfirm.biz, a da drugi nastavi da egzistira pod nazivom bigfirm.biz apex.com. Nalazimo se, dakle, u slede ćoj situaciji: prvo, imamo dav domena, i drugo, ova dva domena se ne mogu uklopiti u jedno stablo. Od ova dva domena možemo, doduše, kreirati jednu jedinstvenu strukturu, ali ona ne može imati istocni.bigfirm.biz zapadni.bigfirm.biz oblik stabla, zbog njihovih razli čitih naziva. Umesto toga, trebalo bi da kreiramo takozvanu
apex.com
Administriranje mreža šumu. Kao što se vidi sa slike, šuma ne predstavlja ništa drugo do grupu stabala. Slika 3.3 Šematski prikaz šume Na slici je prikazana šuma koja je izgra đena od bigfirm.biz i apex.com stabala. Izuzev različitih nazivnih hijerarhija, sva stabla u šumi se,sa aspekta me đusobnih odnosa poverenja, mogu posmatrati kao jedno stablo – aktivni direktorijum će automatski kreirati tranzitivne odnose poverenja. Tako, na primer, pošto istocni.bigfirm.biz veruje domenu bigfirm.biz, a bigfirm.biz veruje domenu apex.com, to će i istocni.bigfirm.biz – potpuno automatski – verovati domenu apex.com.
5.1.3 Provera auentičnosti za veliki broj različitih proizvođača Microsoft je odlučio da svoj aktivni direktorijum opremi standardnim interfejsom, pod nazivom Lightweight Directory Acces Protocol (LDAP). Postavljanjem LDAP interfejsa na svoj aktivni direktorijum, Microsoft je širom otvorio vrata za programere svih ostalih proizvo đača. Postojanje LDAPa znači da je (bar teoretski) mogu će izgraditi alate pomo ću kojih se može kreirati struktura aktivnog direktorijuma – domeni, stabla, šume, organizacione jedinice, korisni čki nalozi i sve ostale komponente. Drugim rečima, to znači da, ako nam se dopada AD, ali strašno mrzimo Microsoftove alate za administraciju, onda neka inteligentna nezavisna firma može jednostavno uleteti sa ponudom svojih alata, koji će biti izraženi na temelju LDAP interfejsa. 5.1.4 Problemi vezani za konektivnost i replikaciju Sve veći broj kompanija jednostavno ne živi više samo u jednom gradu. Kupili su, recimo, neku drugu firmu sa drugog kraja zemlje, tako da ono što je neka predstavljalo dve odvojene mreže lokalnog područ ja, sada prestavlja jednu organizaciju sa potrebom za kreiranje WAN mreže. Ukoliko je ovaj WAN link dovoljno brz, nijedan mrežni dizajn ne će izazivati nikakvu glavobolju: kada povežemo dve izdvojene kancelarije uz pomo ć T1 linka, od tog trenutka ih možemo, u suštini, tretirati kao jednu kancelariju. Od toga možemo imati velike koristi, jer će svaki sajt (lokacija) obi čno sadržati svoj kontroler domena. Ali, ovi kontrolerori domena moraju komunicirati me đusobno, kad god do đe do nekih izmena u bazi, kao na primer, kada korisnik promeni svoju lozinku ili kada administrator kreira novi korisni čki nalog. Ovaj proces se naziva replikacijom aktivnog direktorijuma. Pretpostavimo, međutim, da smo, pod operativnim sistemom NT4, imali dve izdvojene kancelarije, međusobno konektovane sporim WAN linkom. Nadalje, pretpostavimo da je u svakoj od ovih kancelarija postojao po jedan kontroler domena. Između ovih kontrolera domena morala je da se redovno obavlja replikacija njihovih SAM baza podataka. Ažuriranje NT4 kontrolera domena obavljalo se svakih pet minuta. To zanči da će svaki kontroler domena uporno pokušavati da sve svoje izmene replikuje na kontroler domena, bez obzira što su oni povezani samo jednim veoma sporim WAN linkom. Sve to njihovo ćaskanje moglo bi u velikoj meri zagušititi WAN link i spre čititi prolazak nekog drugog, mnogo važnijeg saobra ćaja. AD i ovde donosi veoma zna čajno poboljšanje, tko što nam omogu čava da našim WIndows 2000 i Server 2003 kontrolerima domena saop čtimo koliko su oni me đusobno dobro konektovani. Ideja se saatoji u tome da svoje preduze će opisujemo uz pomo ć termina sajtovi (sites), koji u osnovi ne predstavljauju ništa drugo do grupu servera sa brzom me đusobnom konekcijom – odnosno, grupu servera koji egzistiraju na istoj LAN mreži. Nakon toga, možemo definisati koliko su brze (ili, verovatnije, spore) konekcij između ovih sajtova, kako bi AD mogao pametnija da koristi ove konekcije. Konkretno, serveri aktivnog direktorijuma Windowsa 2000 će obaviti kompresiju podataka pre nego što ih pošalje preko sporih WAN linkova. Doduše, ova kompresija će oduzeti malo procesorske snage ali će se višestruko isplatiti, jer AD može posti ći stepen kompresije od čak 10:1. Ali, neki ljudi ne bi voleli da AD ne troši uludo snagu svog procesora na kompresiju i dekompresiju podataka, jer poseduju dovoljno veliki propusni opseg WAN linka. I za ovakve korisnike, AD servera 2003 nudi adekvaatno poboljšanje: sada imamona raspolaganju opciju za isklju čenje kompresije. Ne samo što se često suočavamo sa sporim linkovima, ve ć često moramo da se pomirimo sa neminovnošću upotrebe nepouzdanih linkova, onih koji čas rade čas ne rade, odnosno onih koji svakog dana rade samo tokom kratkog vremenskog perioda. Aktivni direktorijum omogu ćava da definišemo ne samo brzinu WAN linka, ve ć i vreme kada je on obi čno dostupan.