[ Pobierz całość w formacie PDF ]
.Zwracane jest odwołanie do prawidłowej domeny kontekstu nazw.lW tym miejscu możemy zakończyć rozważania dotyczące składników LDAP i Active Directory.Najwyższy czas na zebranie wszystkich poznanych wiadomości i skoncentrowanie się na strukturze Active Directory.Zapoznajmy się najpierw z kilkoma narzędziami pozwalającymi na przedstawienie wewnętrznej struktury Active Directory.Narzędzia przeglądania Active DirectoryWindows 2000 udostępnia trzy wtyczki (przystawki) MMC pozwalające na przeglądanie i zarządzanie obiektami Active Directory:lAD Users and Computers (Użytkownicy i komputery aktywnego katalogu).Konsola jest używana do zarządzania indywidualnymi pryncypiami zabezpieczeń (użytkownicy, grupy i komputery) oraz zarządzania strukturą tych obiektów w jednostce organizacyjnej za pomocą zasad grup.Plikiem konsoli jest dsa.msc.llAD Sites and Services (Lokacje i usługi AD).Wtyczka ta jest używana do zarządzania lokalizacjami (lokacjami) obiektów replikacji Active Directory, jak również do zarządzania usługami DNS, DHCP i Certification Authority (Świadectwa certyfikacji).Plikiem wtyczki jest dssite.msc.llAD Domains and Trusts (Domeny i relacje zaufania usługi Active Directory).Wtyczka ta jest czymś więcej niż tylko narzędziem nawigacyjnym i jest szczególnie przydatna dla większych organizacji.Konsola przedstawia listę wszystkich domen w lesie katalogów, wyświetlając je w porządku hierarchicznym, jak również pozwala na uruchamianie konsoli AD Users and Computers (Użytkownicy i komputery aktywnego katalogu), umożliwiając w ten sposób zarządzanie zdalną domeną.Plikiem konsoli jest domain.msc.lWszystkie konsole można uruchomić za pomocą menu Start|Programs (Programy)­|Administrative Tools (Narzędzia administracyjne)|<nazwa wtyczki>.Sposób wykorzystania wszystkich wtyczek został przedstawiony w tym rozdziale, jak również w innych omawiających usługę Active Directory.Niestety, wtyczki te nie udostępniają większości najciekawszych opcji Active Directory.Wykonywanie niektórych operacji wymaga korzystania ze specjalnych narzędzi dostępnych w pakiecie Resource Kit.Są to ADSI Editor (adsiedit.msc) oraz LDAP Browser (ldp.exe).Możesz również pobrać pakiet Platform SDK z witryny MSDN (Microsoft Developer's Network) — msdn.micro­soft.com.SDK zawiera biblioteki ADSI, które można używać do pisania własnych aplikacji pozwalających na przeglądanie i modyfikację obiektów w katalogu.Przed przyjrzeniem się działaniu tych narzędzi, warto dowiedzieć się w jaki sposób klienci komunikują się z Active Directory.Gdy klient potrzebuje informacji z katalogu, wysyła do kontrolera domeny żądanie wyszukiwania LDAP.Żądanie przybiera postać datagramu TCP.Na rysunku 7.14 przedstawiona została przechwycona ramka żądania wyszukiwania LDAP.Żądanie dotyczy obiektów Group Policy Link i Group Policy Option w kontenerze cn=System, dc=Com­pany, dc=com.Żądanie zostało wysłane do portu 389 TCP.Port ten jest dobrze znanym portem LDAP.Rysunek 7.14.Przechwycona ramka żądania LDAP wysłana do portu 389 TCPŻądanie to zostało skierowane do standardowego portu LDAP.Zastanówmy się jednak, co się stanie, gdy aplikacja musi szybko sprawdzić elementy, które nie znajdują się w tym samym kontekście nazw, co domena użytkownika.Otóż możliwe jest wyszukanie obiektów za pomocą globalnego katalogu.Na rysunku 7.15 widoczne jest bardziej ogólne żądanie, które zostało wysłane do portu 3268 TCP na kontrolerze domeny.Jest to port globalnego katalogu.Rysunek 7.15.Przechwycona ramka datagramu TCP wysłana do portu 3268 — portu globalnego kataloguŻądania wyszukiwania wysłane do serwera globalnego katalogu przez port 3268 TCP są obsługiwane poprzez częściowe przeszukiwanie replik kontekstów nazw domeny przez globalny katalog.Zgodnie z platformą SDK zaleca się używanie katalogu globalnego do wyszukiwania LDAP zawsze, gdy jest to tylko możliwe.Zamiast kierowania żądania wyszukiwania do konkretnego portu TCP, aplikacje mogą używać ogólnych nagłówków zapytań ADSI.Nagłówki te przybierają postać adresu URL: LDAP://<nazwa_serwera>:<port#>/<DN obiektu>.DN jest skrótem ang.terminu Distinguished Name, oznaczającego nazwę wyróżnioną.LDAP musi być napisany dużymi literami.Część <nazwa_serwera>:<port#> jest opcjonalna.Gdy nie jest dołączona do nagłówka, klient Active Directory wysyła żądanie do kontrolera domeny wybranego przez DNS.Przykładem nagłówka ADSI otwierającego kontener Configuration w domenie Company.com jest LDAP://cn=Configura­tion, dc=Company, dc=com.Pierwszą częścią adresu URL jest identyfikator protokołu, który jest konwertowany do numeru poru.Dlatego też zamiast adresowania URL do portu LDAP, można zaadresować żądanie do portu globalnego katalogu: GC://cn=Configuration, dc=Company, dc=com.Wiersz LDAP mówi klientowi Active Directory, aby znalazł komputer w DNS, który posiada rekord typu SRV (Service Record).Rekord wskazuje, czy dany kontroler domeny jest zdolny do odpowiadania na żądania LDAP wysyłane do portu 389 TCP.Wiersz GC mówi klientowi Active Directory, aby również znalazł komputer w DNS, który posiada rekord typu SRV (Service Record), który wskaże, czy serwer katalogu globalnego jest zdolny do odpowiadania na żądania LDAP wysyłane do portu 3268 TCP.Oba narzędzia ADSI dostępne w pakiecie Resource Kit wykonują kawał dobrej roboty ukrywając złożoność adresowania LDAP.Jeżeli będziesz chciał kiedyś tworzyć nietypowe zapytania, warto zapamiętać, że port 389 jest portem standardowych żądań LDAP, a port 3268 żądań globalnego katalogu.ADSI EditorZ dwóch narzędzi LDAP zdecydowanie wygodniejszym jest ADSI Editor.Jest to przeglądarka Active Directory, która może być używana do wyświetlania aktualnego formatu katalogu, a nie wcześniej przygotowanego widoku w konsoli zarządzania Active Directory.Poniżej przedstawiony został sposób ładowania i używania narzędzia.Procedura 7.1.Ładowanie narzędzia ADSI EditorlOtwórz pakiet Reource Kit za pomocą menu Start|Programs (Programy)|Resource Kit|Tools Management Console.llRozwiń drzewo Microsoft resource Kits|Windows 2000 Resource Kit|Tool Categories|Tools A to Z (rysunek 7.16).lRysunek 7.16.Konsola Resource Kit Tools ManagementlZ listy wyświetlonej w prawym panelu uruchom narzędzie ADSI Editor.Spowoduje to otwarcie konsoli ADSI Editor przedstawiającej trzy standardowe konteksty nazw — Domain NC, Configuration i Schema (rysunek 7.17).lRysunek 7.17 [ Pobierz całość w formacie PDF ]