Az AD címtárszolgáltatás - Az Active Directory (AD)

4.3 Az Active Directory (AD)

4.3.1 Az AD címtárszolgáltatás

Az AD címtára, több rendszerhez hasonlóan szintén az X.500 szabványon és az LDAP protokollon alapul, amely lehetővé teszi, hogy a címtár jól skálázha-tó és rugalmas legyen, és le tudjon kezelni egy pár gépes irodai hálózatot, de akár több tízezer számítógépből álló, kontinensek fölött elhelyezkedő multina-cionális vállalati hálózatot.

Az AD felépítése

Az Active Directory felépítése – más címtárakhoz hasonlóan – szintén a már korábban említett fastruktúrát követi, sőt több fa struktúrát is össze tud fogni. A legmagasabb szintű tárolónak erdő (Forest) a neve, az erdőt pedig fák (Tree) alkotják. Ez utóbbi tároló (konténer) objektumtípus a hierarchikus felépí-tésben a következő. Nem úgy, mint a természetben, itt létezik egy fából álló erdő is. Talán ez a leggyakoribb, főleg kisebb hálózatok esetében lehet találkoz-ni vele. Több fából álló erdővel inkább olyan esetben fordulhat elő, amikor a különböző vállalatok, vállalat részek egyesülésénél az eltérő vállalati hálózato-kat kell összekapcsolni. Az itt felmerülő problémák megoldására nagyon hasz-nos, hogy különböző fák egy erdőbe integrálhatóak.

A fa tartományokból (Domain) áll, amely az Active Directory alapvető szer-vezeti és biztonsági egysége. Az erdő (és így a fa) első tartománya a gyökértar-tomány. Egy tartomány ugyanis olyan hálózati erőforrások gyűjteménye, ame-lyek egy címtáradatbázisban találhatóak meg. Ez a közös címtáradatbázis lesz a címtárreplikáció alapegysége is.²¹

Az Active Directory tartományt egy DNS-beli tartománynév azonosítja. Egy ilyen tartományban legalább egy ún. tartományvezérlő (Domain Controller – DC) kiszolgálónak kell lennie. Ajánlott azonban kettő vagy több tartományvezér-lő kiszolgálót üzemeltetni a redundancia biztosítása végett, hiszen az azonosí-tást és hozzáférés-vezérlést végző tartományvezérlő meghibásodása esetén a hálózati szolgáltatások nem állhatnak meg. Ilyen esetben a többi tartományve-zérlő átveszi a kiesett tartományvetartományve-zérlő szerepét. A tartományok egy tarto-mányfában foghatók össze, ha neveik összefüggő DNS-beli nevekkel, azaz egy-más szülő és gyerek tartományaiként vannak megadva. Az erdőben a különböző fák így különböző DNS névtereket alkotnak.

21 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008

Egy tartományon belül tovább osztható a fa struktúra a DNS-től függetle-nül. Ennek lényege az adott szervezet (vállalat, intézmény) címtárban való rep-rezentálása, illetve a különböző erőforrások szétválasztva történő tárolása, amely áttekinthetőbb, könnyebben konfigurálható rendszert eredményez. A szervezeti egység (Organizational Unit – OU) objektum konténer ennek az osz-tásnak az alapvető egysége, mivel a különböző csoportházirendek és jogok de-legálása ezeken az egységeken keresztül történik.

Magyarországon ritkán lehet találkozni több tartományból álló hálózattal.

Hazánkban inkább az egy tartományos hálózatok a jellemzőek, a tartományon belül pedig a szervezeti egységek tárolókkal fedik le a szervezet felépítését.

A címtárpéldányok szinkronizációja

Az ilyenképpen felépülő AD adatbázisa több, egymással automatikusan szinkronizáló tartományvezérlő kiszolgálón tárolódik, ezt a szinkronizációt hív-ják replikációnak. Az adatbázis elosztott, de minden adatbázispéldány (címtár-példány – replika) egyenértékű, a címtár módosításai bármelyik tartományve-zérlőn elvégezhetők, köszönhetően a több főkiszolgálós (multimaster) replikációnak. Ilyen típusú replikáció esetén minden tartományvezérlő fogad módosításokat, melyek automatikusan átterjednek a tartomány többi tarto-mányvezérlőjére úgy, hogy egy több ponton történő módosítás esetén is kon-zisztens marad az adatbázis. Ha ilyen módosítás esetén két különböző objektum kerül módosításra, az nem okozhat nagyobb problémát a különböző replikák

„összefésülésénél”. Azonban ugyanazon objektum, pl. egy felhasználói fiók (akár ugyanazon) tulajdonságainak egyszerre több tartományvezérlőn történő módosítása már egy kicsit nehezebb eset. Az AD multimaster replikációja sze-rencsére az ilyen eseteket is kiválóan kezeli, ugyanis a replikáció nem az objek-tumok szintjén, hanem az objekobjek-tumok tulajdonságainak (attribútumainak) szintjén történik. Abban az esetben pedig, amikor több helyen történik egy azon objektum egy azon tulajdonságának módosítása, akkor mindig a későbbi módosítást tekinti a rendszer érvényesnek.

Ez a replikációs modell ún. laza konzisztenciát tart fenn a címtáron belül. Ez azt jelenti, hogy a címtárpéldányok ideiglenesen tartalmazhatnak a teljes kon-zisztens állapotnak nem megfelelő adatokat, de ezek a teljes replikáció során feloldásra kerülnek.²²

22 Gál Tamás – Szabó Levente – Szerényi László: Rendszerfelügyelet rendszergazdáknak, Bicske, Szak Kiadó, 2007

A címtárpartíciók

A tartományvezérlőkön található címtárpéldányok mindegyike legalább három, de általában négy vagy több különálló részből, az ún. címtárpartícióból áll. Ezek a partíciók az AD-ben külön részfaként jelennek meg és egységként replikálódnak az erdő olyan tartományvezérlőire, amelyek tartalmaznak pél-dányt az adott részfából. A három címtárpartíció a következő:

 Séma partíció (Schema Partition): A címtárban tárolt objektumok és tu-lajdonságaik meghatározását az ún. osztály és attribútum definíciókat tartalmazza. Az AD erdő szintjén minden tartományvezérlőn (és globális katalóguson is) ugyanaz.

 Konfigurációs partíció (Configuration Partition): Az AD topológiájára, a tartományokra, a fákra és az egész erdőre vonatkozó adatok tárhelye.

Itt tárolódnak továbbá a replikációval kapcsolatos adatok és meta ada-tok. Az egész címtár erdőre nézve azonos és az erdő összes tartomány-vezérlőjén megtalálható.

 Tartomány partíció (Domain Partition): A hálózati erőforrások (felhasz-nálók, csoportok, számítógépek, egyéb erőforrás objektumok stb.) táro-lásának helye. Tartomány szinten minden tartományvezérlőn azonos.

 Alkalmazás partíció (Application Partition): Windows Server 2003-től a Windows Serverek legalább egy ilyen partíciót tartalmazhatnak.²³ Egyedi főkiszolgáló műveletek (Flexible Single Master Operations – FSMO) A Windows Server 2003 óta a tartományvezérlői szerepkörök nagyrészt el-osztottan működnek, és az összes tartományvezérlőn elérhetők, használhatók.

Ez alól kivételt képez öt funkció, melyek elosztott megvalósítása nem lehetsé-ges. Ezek a funkciók csak a tartomány, illetve a teljes erdő egyetlen tartomány-vezérlőjén helyezkedhetnek el, de nem feltétlenül ugyanazon az egy tarto-mányvezérlőn kell mind azt öt főkiszolgáló műveletnek működnie.

Alapértelmezésben a tartományi szintű szerepkörök a tartomány, míg az erdő szintű szerepkörök az erdő legelső tartományvezérlőjére lesznek feltelepítve.

Utólag ez természetesen megváltoztatható, a szerepkörök más kiszolgálókra átvihetők. Itt kell megjegyezni, hogy ha egy adott szerepkört megvalósító tar-tományvezérlőt valamiért el kell távolítani a tartományból, akkor az adott sze-repkör áthelyezéséről mindenképpen gondoskodni kell. A szesze-repkörök a követ-kezők:

23 Gál Tamás – Szabó Levente – Szerényi László: Rendszerfelügyelet rendszergazdáknak, Bicske, Szak Kiadó, 2007

 RID főkiszolgáló (Relative Identifier Master – RID Master): A tarto-mányban egy létrehozandó új objektum esetén a funkcióval felvértezett tartományvezérlő más tartományvezérlők, vagy saját maga kérésre kiad egy relatív azonosítót (Relative Identifier – RID). A tartományban min-den objektumot egy biztonsági azonosító (Security Identifier – SID) azonosít, amelynek része a RID. Ahhoz, hogy az objektumok létrehozása zökkenőmentes legyen a RID főkiszolgáló a tartomány minden tarto-mányvezérlőjének 200db-os RID csomagokat oszt ki. Így a tartományve-zérlők pl. hálózati leállás esetén is tudnak új objektumokat is létrehozni, persze csak míg ki nem fogynak a RID-ekből. Mivel minden RID-nek csak a tartományon belül kell egyedinek lennie, ezért ez csak tartomány szintű szerepkört kíván, azaz minden tartományban legfeljebb egy lehet belőle.

 PDC emulátor (PDC Emulator): A Windows 2000 előtti kliensek úgy il-leszthetők be a modernebb tartományi környezetbe, hogy a szerepkör-rel bíró tartományvezérlő feléjük a Windows NT-ben használt elsődle-ges tartományvezérlőnek (Primary Domain Controller, PDC) mutatja magát. Ez azt jelenti, hogy többek között kezeli a felhasználók bejelent-kezéseit, jelszóváltoztatásait és a változásokat a többi tartományvezérlő felé replikálja. További feladata a többi tartományvezérlő az idő auto-matikus szinkronizálása a Windows Time szolgáltatás segítségével. Tu-lajdonságaiból adódik, hogy szintén tartomány szintű szerepkörről van szó.

 Infrastruktúra főkiszolgáló (Infrastructure Master): Erre a szerepkörre igazán csak akkor van szükség, ha a hálózat több tartományból áll. Eb-ben az esetEb-ben ugyanis minden tartományban lehetnek olyan objek-tum-hivatkozások, amelyek más tartományok objektumaira mutatnak.

A szerepkörrel bíró tartományvezérlők kezelik és frissítik ezeket a kap-csolatokat és a rájuk vonatkozó kéréseket. Mivel ilyen főkiszolgáló tar-tományonként csak egy lehet, kiesése esetén a más tartományokhoz tartozó objektumok nem lesznek elérhetőek.

 Tartománynév-nyilvántartási főkiszolgáló (Domain Naming Master):

Ugyan az erdőben a tartományok és fák közötti kapcsolatok adatai minden tartományvezérlőn megtalálhatók, csak a szerepkörrel bíró tományvezérlőn módosíthatóak. Feladata továbbá az erdőben az új tar-tományok hozzáadásának illetve régiek törlésének szabályozása. Erdő-szintű szerepkör, az erdőben kizárólag egy ilyen lehet. Ha a szerepkörrel bíró tartományvezérlő elérhetetlen, akkor a tartományfákkal kapcsola-tos változások lépnek érvényre.

 Séma főkiszolgáló (Schema Master): Mivel a séma az egész erdő szint-jén írja le a címtáradatbázis szerkezetét, azaz az objektum-osztályokat és a hozzájuk tartozó attribútumokat, ezért nyilván ennek a szerepkör-nek is erdő szintűszerepkör-nek kell lennie. A séma ugyan az egész erdő tarto-mányvezérlőit tekintve mindenhol azonos, a módosítással járó ütközé-sek elkerülése végett azonban célszerű, ha van egy séma főkiszolgáló, amelyen a kérdéses módosításokat el lehet végezni. A változások pedig replikáció útján jutnak el a főkiszolgálótól a többi tartományvezérlőre.²⁴ A sémáról

A séma, tulajdonképpen az Active Directory adatbázis szerkezetét írja le oly módon, hogy definiálja az adatbázis által tárolt objektum-osztályokat, illetve azok tulajdonságait, az attribútumokat. Ezzel olyan dolgokat is meghatároz egy objektum-osztály esetén, minthogy mely attribútumok használata kötelező, és melyeké opcionális, vagy mely objektum osztályok szerepelhetnek szülő objek-tumként.

Az alapértelmezett séma általában teljesen megfelel a hálózat üzemelteté-séhez, és nincs szükség módosításra, hiszen rengeteg objektum-osztályt és számtalan attribútumot tartalmaz. Például egy felhasználó objektumnak renge-teg a működéshez szükséges tulajdonságán kívül (felhasználó név, jelszó, cso-porttagság, logon szkript) számos olyan egyéb adatokat is eltárolhatunk, mint a telefonszám, vagy a cím stb.

Ritkán előfordulhat, hogy mégsem elég az alapséma nyújtotta objektum-tár, akár azért mert olyan alkalmazásokat kell fejleszteni vagy használni, ame-lyek más típusú objektumokat használnak, vagy egyszerűen csak azért, mert olyan adatokat is el kell tárolni a címtárban, amelyekhez saját objektum-osztályt kell definiálni. Persze lehet módosítani is egy létező objektumtípust, de ez nagy körültekintést igényel, és nem is mindig célszerű. A megváltozott séma ugyanis gyorsan replikálódik az erdő összes tartományvezérlőjére, és ezzel az egész hálózatra hatással van, a módosítás visszavonására pedig nincs lehetőség (esetleg mentésből történő visszaállítással). Vannak olyan alkalmazások, melyek

„intenzív” AD használatuk miatt komolyabb sémabővítést is elvégeznek. Ilyen pl. az Exchange Server teleptője, de pl. amikor Windows Server 2003-ról kell migrálni Windows Server 2008 R2-re, akkor is történik sémabővítés.

24 Gál Tamás – Szabó Levente – Szerényi László: Rendszerfelügyelet rendszergazdáknak, Bicske, Szak Kiadó, 2007

64. ábra: Objektumosztályok és tulajdonságaik

A címtárban található objektumok (címtárobjektumok) tehát a címtárban tárolt objektum-osztály példányok, az attribútumok pedig ezeknek a címtárob-jektumoknak a tulajdonságait tárolják. Az attribútumok egyébként nem feltét-lenül csak egy objektum-osztályhoz köthetők. Előfordulhat, hogy több objek-tum-osztály definíció is ugyanazt az attribútumot tartalmazza.

Globális katalógus (Global Catalog – GC)

Fentebb már említésre került a globális katalógus fogalma, amely tulajdon-képpen egy tartományvezérlői szerepkör. Ha egy tartományvezérlő globális katalógus is egyben, akkor a saját tartományi objektumain kívül, erdő szinten a címtár összes objektumának alapadatait, elérhetőségeinek információit tárolja.

A globális katalógus ez által egy olyan kereshető adatbázist tart fent az erdő objektumairól, amelyben az objektumoknak azon tulajdonságai kerülnek be, amelyek alapján a leggyakrabban keresik őket. Ezt a saját tartományából teljes, más tartományokból részleges objektummásolatok tárolásával teszi lehetővé.

Alapértelmezésben az erdő első tartományvezérlője bírja ezt a szerepkört, de több tartományvezérlő esetén más kiszolgálókra is áthelyezhető, sőt érdemes több ilyen tartományvezérlőt is üzemeltetni az erdőben.²⁵

In document Korszerű információtechnológiai szakok magyaror- szági adaptációja (Pldal 110-115)