Чтобы ответить на все важные вопросы о Windows 2000, требуется время и тестирование, но уже сейчас мы можем взглянуть на то, с чем придется столкнуться администраторам сетей.
В последние годы Microsoft и Windows NT были объектами жесточайшей критики и многочисленных обвинений. Значительная часть отраслевой прессы и комментаторов перешла от рефлексивного поклонения перед Microsoft к рефлексивному же ее неприятию. В этой написанной до появления окончательного кандидата на роль Windows 2000 статье мы просто попытаемся обсудить возникающие в связи с выходом этого без сомнения важного продукта проблемы.
Для системных и сетевых администраторов ключевыми вопросами являются последствия появления Active Directory, новой службы каталогов в Windows 2000. Microsoft собирается представить целый ряд технологий и инструментов на базе каталога для сокращения общей стоимости владения серверами и связанными с ними клиентами.
Администраторы защиты будут иметь возможность реализовать аутентификацию на базе Kerberos, хранить и управлять цифровыми сертификатами с помощью Active Directory и назначать более детализированные права администрирования благодаря новой службе каталога. Разработчики получат в свое распоряжение уйму новых сервисов, в том числе COM+, а также новые версии Microsoft Transaction Services и Microsoft Message Queuing, не говоря уже о возможности расширения и доступа новых приложений к Active Directory и использования ими новых функций защиты.
) Что собой представляет Active Directory и чем она отличается от Windows NT 4 Directory Services?Active Directory — иерархически структурированный каталог, где используется пространство имен, близко напоминающее пространство имен DNS. Координаты провайдера услуг каталога хранятся на сервере DNS, чтобы клиенты и другие сервисы могли определить его местонахождение с помощью запросов LDAP. Координаты провайдера услуг Windows 2000 могут быть изменены автоматически с помощью Dynamic DNS на любом сервере DNS, если он поддерживает RFC 2052, как и сервер DNS компании Microsoft. Dynamic DNS вовсе не обязательно должна поддерживаться во всей сети. Администраторы могут вручную вносить не зависящие от Active Directory изменения, если это необходимо.
Рисунок 1. Если домены Active Directory имеют общую схему, тиражируемую конфигурацию и связное пространство имен (как в части А), то они образуют «дерево доменов». Если домены с общей схемой и тиражируемой конфигурацией не имеют общего пространства имен (как в части Б), то структура называется «лес». |
Внутри доменной иерархии назначаемые группам и лицам права администрирования и защиты могут быть четко детализированы. (Microsoft называет этот процесс «делегирование».) Далее, права являются наследуемыми: по умолчанию, если пользователь имеет право задавать новые пароли для marketing.companyx.com, то он наследует право задавать новые пароли для pr.marketing.companyx.com при условии, что Active Directory имеет ту же структуру, что и на Рисунке 2.
Рисунок 2. Windows 2000 поддерживает делегирование внутри домена. Поэтому администратор с правами на организационную единицу marketing.company.com унаследует те же самые права на pr.marketing.company.com. |
Одна из главных особенностей деревьев доменов и леса доменов состоит в наличии глобального каталога (Global Catalog, GC) для отслеживания всех объектов во множестве доменов без хранения каждого атрибута. GC индексирует ограниченное число атрибутов, которое он содержит, так что поиск нужной информации оказывается намного быстрее, чем если бы он проводился по всем доменам, объект за объектом.
Другой чертой Active Directory является автоматическое установление двунаправленных доверительных отношений между доменами и поддержка транзитивных доверительных отношений. Например, если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А будет доверять домену В. В более ранних версиях NT управление доверительными отношениями осуществлялось вручную и представляло собой один из наиболее болезненных вопросов для администраторов компаний с многочисленными доменами.
Более того, в Windows NT 4.0 и более ранних версиях домены представляли собой плоское пространство имен. При отсутствии внутридоменной иерархии администратор получал все права или не имел никаких. Крупные домены администрировать было непрактично, даже если они не создавали узких мест в области производительности. Единственная альтернатива крупным доменам — разбиение их на несколько меньших доменов — была тоже малопрактичной из-за необходимости управления доверительными отношениями между доменами.
В случае Active Directory Microsoft поощряет пользователей создавать крупные домены, потенциально содержащие миллионы пользователей и компьютеров. Для сравнения, рекомендуемый верхний предел для домена Windows NT составляет 40 000 пользователей и компьютеров. Одно из преимуществ, которое, как Microsoft надеется, пользователи получат в результате развертывания Active Directory, — это упрощение администрирования вследствие уменьшения числа доменов.
Домен остается самой малой единицей тиражирования для Windows NT. В отличие от NDS компании Novell, Microsoft поощряет пользователей охватывать доменом несколько сайтов. (Сайт состоит из одной или более подсетей с быстрыми соединениями между ними, такими, как Ethernet.) По убеждению Microsoft, сжатие и другие специальные методы позволяют реализовать тиражирование даже крупных разделов доменов по каналам глобальной сети. Здесь мы сталкиваемся с потенциальным противоречием. Если пользователей поощряют создавать как можно более крупные домены, то тиражирование их как целого должно в конце концов стать контрпродуктивным, в особенности когда домен охватывает каналы глобальной сети.
) Как Active Directory интегрируется с Internet?Прежде всего, пространство имен Active Directory практически идентично пространству имен Internet — та же привычная структура x.y.z.com. Единственное исключение — запрет на дублирование имен внутри домена. Пространство имен Internet позволяет одновременно существовать и saddam.leader.trouble.com, и saddam.tyrant.trouble.com, но в Windows 2000 повторное использование имени saddam внутри домена не разрешается, потому что бюджет saddam/trouble.com может быть предоставлен только одному из этих имен. Это ограничение можно в общем случае обойти, но оно ставит под некоторое сомнение полноту совместимости Windows 2000 с Internet.
Благодаря Internet-подобному пространству имен Windows 2000 может использовать DNS в качестве локатора сервисов. DNS представляет собой глобальную систему и доступна всякому, у кого есть выход в Internet. За время своего существования она доказала способность масштабироваться до любых мыслимых пределов. Последние RFC 2052-совместимые реализации серверов DNS поддерживают записи для таких ресурсов, как сервисы (Service Resource Record, SVR RR). Если корпоративный сервер DNS не поддерживает SVR RR, то вам потребуется его переустановить. (Windows 2000 будет поставляться со своим собственным сервером DNS, но он, в общем-то, не нужен, если имеющийся сервер DNS поддерживает SVR RR и Dynamic DNS (DDNS).)
Microsoft требует, чтобы отвечающий на запросы о сервисах Windows 2000 сервер DNS был совместим с RFC2136, где определен стандарт на DDNS. Однако DDNS нет необходимости устанавливать во всей сети, как и DHCP автоматически обновлять DNS.
Если уж DNS отводится критическая роль локатора сервисов, то следующим логическим шагом является использование LDAP в качестве стандартного протокола доступа к каталогу. Таким образом, взаимодействие с внешними LDAP-совместимыми каталогами оказывается полностью прозрачным. В отношении этих технологий Internet Windows 2000 реализована точно так же, как Netscape Directory Server.
) За счет чего Active Directory позволяет сократить административные расходы и снизить общую стоимость владения сетью Windows 2000?Создание наследуемых иерархий внутри доменов позволит сетевым администраторам делегировать определенные задачи конкретным группам или лицам без предоставления им прав, которые им не нужны. В Windows NT предоставление административных привилегий в соответствии с задачей было во многих случаях невозможно без программных продуктов независимых разработчиков.
Кроме того, Active Directory поддерживает принципиально новые инструменты для управления настольными клиентами. С помощью Group Policy сетевые администраторы могут определять роли пользователей в зависимости от домена, OU или узла с указанием конкретных приложений и конфигураций, так что добавление, например, нового пользователя к группе приведет к автоматической инсталляции программного обеспечения и его соответствующей конфигурации.
Group Policy имеет ряд преимуществ над NT System Policy Editor: правила System Policy Editor распространяются на весь домен, тогда как Group Policy может быть применена к узлам или организационным единицам внутри домена; System Policy не является защищенной, а Group Policy является; в отличие от Group Policy, System Policy остается в реестрах клиентов Windows и должна быть удалена вручную, когда, например, пользователь переходит на другую работу.
Если клиенты Windows 2000 Server выполняются на Windows 2000 Professional (наследник NT Workstation), то они могут воспользоваться технологией IntelliMirror, привлекающей Active Directory, Group Policy и другие средства для тиражирования и синхронизации данных, установки и исправления программного обеспечения (включая ОС) и для введения конкретных параметров пользователей и управления ими. Благодаря IntelliMirror пользователи могут, например, зарегистрироваться на компьютере в другом офисе и получить ту же самую настольную конфигурацию и программное обеспечение, которые они имеют на своем собственном рабочем столе; работать в автономном режиме прозрачным образом, так как данные будут автоматически синхронизированы при их подключении к сети; восстановить прежнюю конфигурацию на новом компьютере для замены неисправного путем его подключения к сети с последующей регистрацией под своим именем. Решение каждой из этих трудоемких задач позволит сэкономить время администраторов и сократить общую стоимость владения.
) Каковы важнейшие средства защиты Windows 2000?Windows 2000 поддерживает несколько технологий аутентификации для различных целей. Основным методом идентификации в Windows 2000 является Kerberos 5 — эта стандартизованная система с симметричными ключами позволяет эффективно распространять ключи защищенным образом через специальный центр распространения ключей (Key Distribution Center). Преимущество Kerberos состоит в том, что пользователи могут подключаться без обращения к контроллеру домена, таким образом, нагрузка на этот сервер уменьшается; кроме того, Kerberos позволяет идентифицировать обоих участников транзакции (как сервер, так и клиента). По сути, транзитивные двусторонние доверительные отношения между доменами в дереве или лесе возможны по умолчанию именно благодаря взаимной идентификации Kerberos.
К сожалению, единственными клиентами, могущими использовать Kerberos, являются Windows 2000 Professional и Windows 2000 Server; NT и более старые клиенты будут по-прежнему опираться на протоколы защиты Windows NT/LAN Manager (NTLM), в то время как клиенты Windows 95 и 98 потребуется модернизировать для поддержки аутентификации Kerberos. По сути, если системам Windows 2000 потребуется связаться с сервером NT 4.0, то им придется использовать NTLM вместо Kerberos. Кроме того, NTLM является принятым по умолчанию протоколом защиты для удаленного доступа в сеть. Таким образом, во многих сетях защита NTLM будет применяться еще многие годы.
Microsoft встроила в систему Kerberos расширения PKI для поддержки смарт-карт. Кроме того, для работы в Internet Windows 2000 поддерживает Secure Sockets Layer 3 (SSL 3) и Transport Layer Security (TLS) (как предполагается, последний со временем поглотит первый).
Поддержка PKI реализована в Windows 2000 с помощью Microsoft Certificate Server. Этот сервер сертификаторов способен создавать цифровые сертификаты и управлять ими, а также взаимодействовать с другими сертификационными центрами. Windows 2000 имеет встроенную поддержку IPSec, а посредством задания соответствующих правил она может быть введена принудительным образом как на локальных, так и на удаленных соединениях.
) Какие новые файловые сервисы появились в Windows 2000?В принципе, вы можете инсталлировать FAT, FAT32 или NT File System (NTFS), но большинство продвинутых функций Windows 2000, включая Active Directory, защиту на базе доменов и шифрование файлов, поддерживаются только в NTFS. Практически единственным оправданием для создания разделов FAT32 или FAT является реализация сценариев двойной загрузки при наличии на компьютере двух систем, например NT 4/Windows 2000, в целях поддержки унаследованных приложений.
Windows 2000 поддерживает квоты на дисковое пространство и задание правил для контроля за его использованием. С помощью Distributed Link Tracking приложения могут отслеживать местонахождение таких ресурсов, как базы данных, даже в случае их перемещения. Content Indexing позволяет составлять и вести каталог содержимого локальных и удаленных дисков, благодаря чему становится возможным быстрый поиск по содержимому. Remote Storage Services реализуют иерархическое управление хранением, т. е. перевод наименее используемых данных из локальной системы в менее доступные (и менее дорогие) удаленные хранилища. С помощью Dynamic Volume Management пользователи могут создавать, расширять или дублировать тома, а также добавлять диски без перезагрузки. Encrypting File System позволяет создавать шифруемые файлы или папки и предоставляет утилиты для управления и восстановления их в случае необходимости.
) Какие новые существенные особенности имеет Windows 2000 с точки зрения поддержки оборудования?Windows 2000 Server поддерживает симметричную многопроцессорную обработку (Symmetric Multiprocessing, SMP) на базе двух процессоров, Windows 2000 Enterprise Server — четырех, а Windows 2000 Datacenter Server, который, как ожидается, появится через несколько месяцев после выхода остальных продуктов, — шестнадцати.
Операции ввода/вывода обычно порождают большое количество процессорных прерываний, это может непропорционально ограничить производительность ЦПУ. Windows 2000 Server предусматривает программную поддержку архитектуры I2O для перевода ряда операций ввода/вывода на вспомогательный процессор в целях повышения их производительности на таких приложениях, как сетевое видео и ПО для коллективной работы.
) Какие средства Windows 2000 будут наиболее интересны для разработчиков?Компонентные сервисы COM+ представляют собой следующий этап развития Microsoft-ориентированного связующего программного обеспечения на базе объектов. COM+ ведет свою «родословную» от компонентной объектной модели (Component Object Model, COM) — архитектуры брокера объектов Microsoft для автономного компьютера. Она включает Distributed COM — расширение COM, содержащее объекты, связываемые по сети; OLE DB — объектную технологию для операций с базами данных; Microsoft Transaction Services (MTS) — для обеспечения целостности данных при многоэтапных операциях; сервисы Microsoft Message Queuing (MSMQ) — для эффективного взаимодействия приложений на свободно связанных компьютерах. COM+ предоставляет высокоуровневый доступ к сервисам, предлагаемым Windows 2000. Кроме того, доступ к сервисам можно получить с помощью низкоуровневых API, многочисленных языков программирования и сценариев.
Windows 2000 поддерживает создание Job Objects — именованных, защищенных, разделяемых объектов для управляющих процессов. Эти конструкции позволяют реализовывать такие приложения, как учет использования ЦПУ, заказное распределение нагрузки и ограничение ресурсов ЦПУ для конкретных процессов.
Несмотря на эти значительные структурные усовершенствования, наиболее важными чертами Windows NT, с точки зрения разработчиков, является возможность использовать Active Directory, идентификацию Kerberos, элементы PKI и усовершенствования в управлении настольными системами, в частности Group Policy. Главным оправданием введения единого корпоративного каталога всегда была потенциальная возможность для приложений, где требуются данные о таких объектах, как сотрудники, компьютеры и почтовые бюджеты, найти всю информацию в одном заслуживающем доверие хранилище. Глобальный каталог позволяет реализовать однократную регистрацию для пользователей.
) Повысится ли доступность систем в сетях на базе Windows 2000?Это зависит от многих факторов.
Без сомнения, Microsoft затратила значительные усилия на улучшение тех аспектов доступности систем, на которые она в состоянии повлиять. В результате перечень требующих перезагрузки сервера событий существенно сократился. Microsoft заявляет, что с поддержкой Plug-and-Play «плановые системные перезагрузки сократились более чем на 90%». Ни конфигурация сетевых протоколов, ни изменение параметров PCI, ни расширение томов больше не ведут к необходимости перезагрузки Windows 2000.
Windows 2000 Advanced Server поддерживает Microsoft Cluster Service (MSCS) для двух серверов. Этот сервис позволяет создавать отказоустойчивые конфигурации с подменой одного сервера другим, причем оба сервера могут быть активны и эффективно разделять между собой нагрузку. Advanced Server также поддерживает распределение нагрузки в сети в зависимости от TCP/IP-трафика и распределение нагрузки COM+ посредством размещения объектов на менее занятом узле кластера.
Другая новая для Windows 2000 функция — это загрузка в защищенном режиме (Safe Mode Boot). Она упрощает диагностирование и поиск неисправностей, когда что-то идет не так. Новое средство Automated System Recovery использует Wizard в целях создания резервной копии системных файлов для быстрого восстановления после поломки жесткого диска или других катастрофических сбоев.
) Насколько болезненным будет процесс перехода?Прежде всего мы рассмотрим ситуацию, когда у вас уже имеются домены NT 4.0 или NT 3.51. Первый шаг состоит в модернизации главного контроллера домена (Primary Domain Controller, PDC) до Windows 2000. (Он больше не будет PDC — Windows 2000 имеет только контроллеры доменов, различие между главными и резервными контроллерами доменов ликвидируется.) Объекты типа «пользователь» и «группа» будут автоматически перенесены в Active Directory. Вам надо будет определить иерархическую принадлежность нового домена — корень нового дерева в новом лесу, корень нового дерева в существующем лесу или дочерний домен в существующем дереве. На этом этапе вы имеете «смешанный домен» в терминологии Microsoft. Для имеющихся клиентов и серверов NT все выглядит точно так же, как прежде, но вы можете создавать OU внутри Active Directory, пополнить их и начать использовать новую иерархию для делегирования административных обязанностей.
Следующий шаг состоит в модернизации резервных контроллеров доменов до контроллеров доменов. Как и модифицированные PDC, каждый из этих серверов будет иметь полную копию Active Directory и будет способен производить помимо чтения и запись в нее. (Резервные контроллеры в NT имеют копии каталога только для чтения.)
Наконец, и остальные серверы могут быть модифицированы до Windows 2000. После завершения обновления серверов вы можете перейти от смешанного к «родному режиму». После перехода на этот режим, где допустимы только серверы Windows 2000, вы уже не можете вернуться назад к смешанному режиму.
Клиенты Windows NT Workstation должны быть модернизированы до Windows 2000 Professional для того, чтобы они могли использовать некоторые из новых функций Active Directory и инфраструктуры защиты. Microsoft собирается выпустить сервисный пакет для модернизации клиентов Windows 95/98, чтобы они могли взаимодействовать с Active Directory и Kerberos. После того как все серверы и клиенты будут модифицированы, потребность в Windows Internet Name Service (WINS) окончательно отпадет (это последний остающийся элемент инфраструктуры NT, единственная задача которого состоит в преобразовании имен NetBIOS в IP-адреса).
Microsoft лицензировала технологию под названием Domain Migrator у Mission Critical Software (http://www.missioncritical.com) для упрощения и оптимизации перехода к Windows 2000 и Active Directory. Domain Migrator способен консолидировать домены и модифицировать серверы за один этап. Он поддерживает также операции добавления и усечения ветвей в иерархии Active Directory. Кроме того, после выхода Windows 2000 Domain Migrator будет предлагать такие функции, как моделирование структуры каталога, подготовка отчетов о влиянии инфраструктуры каталога и возврат обратно к исходным доменам NT 4.0, если что-нибудь пойдет не так.
Сети Windows NT с версиями, предшествующими 3.51, необходимо будет модифицировать до NT 3.51 или 4.0, прежде чем их можно будет перевести на Windows 2000. Microsoft и Mission Critical Software предлагают инструментарий для перехода от сетей Novell (как на базе Bindery, так и NDS) к Windows 2000 и Active Directory.
Варианты перехода к Windows 2000 весьма разнообразны. Поэтапная миграция дает поэтапные преимущества и позволяет в то же время без проблем поддерживать более ранние версии серверов и клиентов. Создать такую инфраструктуру каталога, чтобы она обеспечивала оптимальную производительность, правильный баланс между тиражированием и сетевым трафиком и реализацию всех возможностей Group Policy и IntelliMirror, будет непросто, особенно в крупных, распределенных предприятиях. Однако администраторы этих сред давно привыкли к решению сложных задач, к тому же задачи планирования и проектирования не будут простыми и в случае развертывания любой другой службы каталогов или операционной системы.
В некоторых отношениях обратная совместимость и последовательная модернизация семейства Windows 2000 Server исключают момент чрезвычайности из процесса миграции. Занятые решением проблемы Y2K компании могут отложить модернизацию своих сетей NT или приступить к постепенной миграции без риска, что сеть окажется в уязвимом состоянии, когда специалистам придется срочно ликвидировать последствия проблемы Y2K. Учитывая число и размах новых возможностей Windows 2000, Microsoft проделала заслуживающую уважения работу для минимизации трудностей перехода.
Стив Штайнке — главный редактор Network Magazine. С ним можно связаться по адресу: ssteinke@mfi.com.Ресурсы Internet
Архитектурное решение Microsoft Active Directory имеет ряд спорных технических моментов. Novell, чья NDS является наиболее широко распространенной и зрелой службой каталогов, придерживается по этому поводу весьма скептического мнения. С ним можно ознакомиться на http://www.novell.com/advantage/nds/nds-active.html.
Спокойный взвешенный ответ Microsoft на критику Novell под заглавием «Взгляд Microsoft на заявления Novell по поводу Active Directory» можно найти на http://www.microsoft.com/windows/ server/News/bulletins/novell.asp/.