Функциональная структура. Функциональную структуру Active Directory можно представить в виде многоуровневой архитектуры, в которой уровни являются процессами

Функциональную структуру Active Directory можно представить в виде многоуровневой архитектуры, в которой уровни являются процессами, предоставляющими клиентским приложениям доступ к службе каталога.

Active Directory состоит из трех уровней служб и нескольких интерфейсов и протоколов, совместно работающих для предоставления доступа к службе каталога. Три уровня служб охватывают различные типы информации, необходимой для поиска записей в базе данных (БД) каталога. Выше уровней служб в этой архитектуре находятся протоколы и API-интерфейсы, осуществляющие связь между клиентами и службой каталога.

На рис. 3.2 изображены уровни службы Active Directory и соответствующие им интерфейсы и протоколы. Здесь показано, как различные клиенты получают при помощи интерфейсов доступ к Active Directory.

Рис. 3.2. Многоуровневая архитектура Active Directory

Основные компоненты служб [4]:

• Системный агент каталога (Directory System Agent, DSA). Выстраивает иерархию наследственных («предок-потомок») отношений, хранящихся в каталоге. Предоставляет API-интерфейсы для вызовов доступа к каталогу. Клиенты получают доступ к Active Directory, используя механизмы, поддерживаемые DSA.
• Уровень БД. Предоставляет уровень абстрагирования между приложениями и БД. Вызовы из приложений никогда не выполняются напрямую к БД, а только через уровень БД.
• Расширяемое ядро хранения. Напрямую взаимодействует с конкретными записями в хранилище каталога на основе атрибута относительного составного имени объекта.
• Хранилище данных (файл БД NTDS.dit). Управляется при помощи расширяемого механизма хранения БД, расположенного на контроллере домена.
• LDAP/ADSI. Клиенты, поддерживающие LDAP, используют его для связи с DSA. Active Directory поддерживает LDAP версии 2. Клиенты Windows с установленными клиентскими компонентами Active Directory для связи с DSA применяют LDAP версии 3. Хотя ADSI является средством абстрагирования API LDAP, Active Directory использует только LDAP.
• API-интерфейс обмена сообщениями (Messaging API, MAPI). Традиционные клиенты MAPI, например Microsoft Outlook, подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC.
• Диспетчер учетных записей безопасности (Security Accounts Manager, SAM). Репликация с резервных контроллеров в домене смешанного режима также выполняется через интерфейс SAM.
• Репликация (REPL). При репликации каталога агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC.

База данных Active Directory содержит следующие структурные объекты [13]:

• Разделы (сегменты). Разделы Active Directory называются контекстами именования (NC — Naming Contexts) и содержат следующие сегменты: раздел домена каталога, раздел конфигурации каталога, раздел схемы каталога, раздел глобального каталога, разделы приложений каталога.
• Домены. Домен служит в качестве административной границы, он определяет и границу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена (оптимально иметь два или более). Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии становится корневым доменом леса, обычно он называется корневым доменом или доменом леса.
• Деревья доменов. Домены, которые создаются в инфраструктуре Active Directory после создания корневого домена, могут использовать существующее пространство имен Active Directory совместно или иметь отдельное пространство имен. Чтобы выделить отдельное пространство имен для нового домена, нужно создать новое дерево домена.
• Леса. Лес определяет границу безопасности для предприятия, являясь общим для всех контроллеров домена в лесу. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active Directory.
• Сайты. Сайт представляет область сети, где все контроллеры домена связаны быстрым, недорогим и надежным сетевым подключением. Независимость логических компонентов от сетевой инфраструктуры возникает вследствие использования сайтов в Active Directory: они обеспечивают соединение между логическими компонентами Active Directory и физической сетевой инфраструктурой.
• Организационные единицы. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Они служат для создания иерархической структуры в пределах домена и используются, чтобы сделать более эффективным управление единственным доменом (вместо управления несколькими доменами Active Directory).

Компонентами логической структуры Active Directory являются домены, тогда как компонентами физической структуры являются сайты.

• Домен — объединение серверов и других сетевых ресурсов, собранных под одним именем.
• Сайт — комбинация одной или более IP-подсетей, которые должны быть соединены высокоскоростным каналом связи.