К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 173
Текст из файла (страница 173)
й~й~са устанаиления заши4роааннога канала связи„называемого запгищегягьзи канааам ~гззсиге сллллегг', между двумя:доменами. Образованный защищенный,канал аутентигрипируется основным'контроллером даверяемага домена, и с мого момента доверительные Ътнешения считаются установленными, Как только основные контраллйры обоих доменов завершат репликйггикг всггк указанных элементов нк разбрвпые контроллеры ломенов, любой из контроллеров доверяющего домена получит зазмсюкность устаишвШ~ать ззшищенный канал связи с любым контроллером доверяемого домена. При каялом стдрте контргшлера домена ан праюдит попытку абиа1зужвния контроллеров всех. ега даверяемых доменов а целию павторнопз установления защищеиньщ:квюлов.
Контроллер предпринимает по три попытки дхя каждого даверяемага домена с пятисекугпгными интервалами, прежде чем дрихадит к выводу, что обнаружение прошла неуспешно. После первой неудачи попытки обнаружения повторяются через каждые 15 минът или если клиент пожелает получить доступ к ресурсу даверяемого домена. Организация доверительных отношений Существует огромное количество оргзнижишоннъгх принципов, которые можно применйтг при создании множества домская в сети и установления доверительных отношений между ними.
В относителйю небольшой сети организация доверительных отношений может быть направлена по чисто практи гескому пути: если пользанателлм одного домена необходим доступ к ресурсам другого домена, последний конфигурируется таким образом, чтобы доверять домену, которому принадлежат зти пользователи. Однако, в сетях большого размера требуется более организованная методология, которая по-. зволит использовать домены для увеличения эффективности управления сетью. Некоторые из основных типов моделей доменов и доверительных отношений между доменами в корпоративных сетях рассматриваются в следующих разделах. Модель О одним доменом Модель с одним доменом не требует установления каких бы то ни было доверительных атношленя, что вытекает из наличия всего одного домена, Это мажет быть вполне жизнеспособной альтернативой даже для дсстатоуна болыпай сети, управляемой единой группой администраторов Мнапге сепг начинаются как одиночный дамен, а затем развиваются в одну из моделей, рассматриваемых в следующих разделах, Наиболее важное преимушество этой модели заключаепж в том, что процесс администрирования предельно прост.
Нет никаких доверительных отношений, которые требовалось бы устанавливать яли подаержмипь, намного проще образовывать группы и все учетные записи папыователей находятся в одном (и единственном) домене. Недостатки же ствноыпся все более заметными по мере того, как сеть постепенна увеличивается в размерах. Просматривание дерева дамена становится медленнее при размномгении количества компькперов и пользователей, а недостаток группирования рееуреов, обуслодпенный изоляцией доменов, в соответствии с их организационнымн или географическими границами, превращается в более серьезную проблему. Модель домена О полными ДОВЩЗИТЕЛЬНЬ$МИ ОТНОШЕНИЯМИ Модель домена с полными доверительньгии отношениями (еотр)еге тпвг ггошат палю)) включает множество доменов, каждый н» которых вступил в доверительные отношения со всеми астюгьными доменами, причем эти отношения двухсторонние (рис, 22.5).
В отзгнчие от моделей с оснавньпа доменом н множеством главных доменов, каждый домен при реализапин данной модели считается равным всем остальным доменам, н любой из них имеет свои собственные учетные записи пользователей. Во многих случаях зта модель возникает как следствие применения огиюаиного выше практического подхода к установлению доверительных отношений, во»зеленного в "энную" степень. С точки зрения доступа пользователей зта структура ничем не будет отличаться от одиночного дамена больших размеров, так как каждый пользователь может получить доступ к ресурсам сразу всей сети. Часть И.
Ветелмеслумбы каталогов Риа. 22.6. Модель дамене а асиными доверительными отношениями Когда сеть вырастает из одного дамена во мнежествр даменов, на первых порах подобная модель может считаться удовлепюритспьной, сднако, если рост сети продгягжаегся, то ~~е~ь ~к~р~ она стано~итси трудно контролируемой. Очевидно, что данная модель требует минимального:объема планирования, и предназначена лля использования там, где географнческве, стратегические, политические илй нные факторы требуют присутствия. множества доменов, но пользователям все равно необходим достуй и рес)1реам всей сати.
Основные недостатки модели домена с полными доверительными'отношениями сводятся к огромному количеству доверительных отношенийя которые требуется установить, а,также:тому фак~у, что учетные записи пслыовагелей н групп рассеяны по доменам всей сети. Посксиъку 'необходимо смданне довернтельиых отновгений между каждой парой доменов'сети в обоих направлениях, 'формула для расчета обп~го количества требуемых доверительных отношений будет:вьгпгядеть как (л-1)-л„ где л препсгзвлжт:собой число даменов данной-сети. Такии образом, сеть, состоящая из 16 доменов, потребует установлешпгбе отдельных доверительных отношений между доменами 1(10-1)Ф=9б1 лля формирования модели домена с полными доверительными отношениями, а в результате всех этих усилий будет получено практически не намного больше, чем то, чего можно было бы достичь, имея просто один большой-дгяяен.
Управление разрешениями в данной модели уаийкйено,"так как нет готового способа проверить, какие пользователи яадякпси членами какогс-либо домена. Если, ядминистражр должен предоставить определенному пользователю права ллд двступа к конкретному ресурсу соамрстнопз использования в домене, за которагй,он несет ответственность, то ему.достаточно знать, в каком домене раяиплагаегся регистрационная запись данного пользователя, либо поискать эту запись в каждом нз доменов сети.
Модель с одним главным доменом Модель с одним главным доменом (ипй(е шаиег йнпа(п пккИ) задействует станлартные ддмашя.ЪЧпботтз 1'1Т в двух различнивролях, в ниле; так называеьгых гааваях даяелаа гльи~ег аалялл) и ресурсных даменов (гиялася Йепаи). Данная модель предполагает определенную иерархяюз в рамках которой существует олин главный ломен, содержащий учетные записи пользователей и гругш для всей сети (он также называется сЪнкном )ккюзпплмх лещам, есокиег ккэле(п), а также несколько ресурсных доменов, обьемлюших рабочие станции сети, файловые серверы, принтеры и лругие сетевые ресурсы. Этот принцип помогает разбить сеть на более простые в управлении единицы (рис. 22.6). Рнс. 22.5.
Модель с одним глззнмм доменом В рассматриваемой модели все ресурсные домены имешт односторонние доверительные отношения, в которых они доверяют жйвному домену. Таким образом, каждый п~льзов~~ель, подключившийся к главному домену, и~же получать доступ .к ресурсам в любом ~сете сети (при наличии соответствующих разрешений). Это позволяет устранить необходимость в установлении доверительных отношений между ресурсными доменами, и все учетные записи пользователей и групп хранятся в главном домене, что значительно упрошает процесс централизованного администрирования.
Поскольку доверительные отношения распрострзнякпсл только в одном на; правлении, от ресурсных доменов к главному домену, любой пользователь, подключившийся к какому-либо ресурсному домену, не сможет обратиться к ресурсам за пределами этого домена. Окцует обратить внимание, что, несмотря на тот Факт, что все учетные записи пользователей и групп дислоцированы в главном домене, учетные,записи компькперов должны находиться в отдельных ресурсных доменах, Устанавливая новую рабочую станцию, необходимо задать ХИВА-имя компьютера и включить его в ресурсный домен, но никак не в птааный деьюн. Это позволяет системам ресурсных доменов исцользовать контроллеры.
собственных ломенов для осушествления сквозной аугентификации в процессе подключения к сети, а также устраняет потребность в дополнительных резервных контроллерах главного домена. Иначе говоря, рабочие станции, расположенные не в олпом-сегменте с главным доменом, могут подключаться к сети, привлекая для этого локальные контроллеры доменов. Дпп получения белее подробной информации с сквозной идентификации н процессе подкпючаннн к доиещ см..раздел "Побклкнение к сегпез далев в этой же главе. В'модели с одним главным доменом именно главнмй домен несет отвезствеиность за аутентификацию всех пользователей прн их входе в есть Однако, как тольяо ПРоиесс подключения к сети' булрт завершен, большинство действий пользователя будет ограничено тем или йг1ь1м ресурсным доменом.
Исходя из этого„можно аффективно распределизь нагрузку по обработке информации между главным доменом и ресурсными доменами. Кроме того, только главный дамен несет полную ответственность за безопасность сети, так как все прочие домены доверяют ему. Позтому полномочия по администрированию отдельных ресурсных доменов вполне можно возложить на сотрулнико» полразделений, гле эти ресурсные ломены находятся, без всякого риска подрыва системы безопасности сети в целом. С другой стороны, вюхно принимать во внимание тот. факт, что вся сеть опирается на главный домен для обеспечения услуг по аутентификации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
