Using Samba [Chapter 1] 1.4 Реалізація Microsoft
- 1.4.1 Домени Windows
- Малюнок 1.11: Простий домен Windows
- 1.4.1.1 Контролери Домену
- Малюнок 1.12: Використання контролера домену для аутеніфікаціі
- 1.4.2 Перегляд
- 1.4.2.1 Рівні перегляду
- Малюнок 1.13: Домен Windows з головним і вторинним браузером
- 1.4.2.2 Вибори браузерів
- 1.4.3 Чи може робоча група Windows розділена на декілька підмереж?
- Малюнок 1.14: Робоча група, яка знаходиться в більш ніж однієї підмережі
- 1.4.4 Служба імен Інтернет Windows (WINS)
- 1.4.5 Що може робити Samba?
Нарешті, ми можемо говорити про версії Microsoft щодо мережевого протоколу CIFS / SMB. І, як ви напевно вже уявляєте, є кілька моментів, які необхідно обговорити.
1.4.1 Домени Windows
Нагадаємо, що робоча група - це набір комп'ютерів в мережі SMB, які знаходяться в одній підмережі і представлені однією робочою групою SMB. Домен Windows йде далі цього. Це робоча група комп'ютерів SMB з одним доповненням: сервером, виступаючому в ролі контролера домену. Для того, щоб мати домен Windows, вам необхідно мати також контролер домену []. Інакше, це буде всього лише робоча група. Погляньте на малюнок 1.11 .
Малюнок 1.11: Простий домен Windows
Всього існує два різних протоколу, які використовує контролер домену (сервер входу): один для з'єднання з комп'ютерами під управлінням Windows 95/98 і один для з'єднання з комп'ютерами під управлінням Windows NT. У той час, як Samba на поточний момент підтримує протокол контролера домену для Windows 95/98 (який дозволяє їй виступати у вигляді контролера домену для комп'ютерів Windows 9 x), в той же час він повністю не підтримує протокол для комп'ютерів з Windows NT. Проте, команда розробників Samba обіцяє підтримку протоколу контролера домену для Windows NT в Samba 2.1.
У чому вся складність? Протокол, який використовує контролер домену Windows для з'єднання зі своїми клієнтами та іншими контролерами домену, закритий Microsoft. Це призвело команду розробників Samba до використання так званої "зворотної розробки" протоколу контролера домену, для того, щоб дізнатися, який код яку виконує завдання.
1.4.1.1 Контролери Домену
Контролер домену - це нервовий центр домена Windows, точно також, як і сервер NIS - це нервовий центр мережевої інформаційної служби Unix. Контролер домену виконує кілька обов'язків. Одна з обов'язків пов'язана з аутеніфікаціей. Аутеніфікація - це процес визначити, чи потрібно доступу користувача до ресурсу на іншому мережевому комп'ютері, зазвичай здійснюється за допомогою пароля.
Кожен контролер домену використовує менеджер безпеки (SAM) для роботи з комбінаціями ім'я користувача-пароль. Потім контролер домену формує центральний репозитарій паролів, які прив'язані до імен користувачів (один пароль на користувача), що більш ефективно, ніж використання кожного комп'ютера клієнта для утримання сотні паролів на кожен доступний мережевий ресурс.
В домені Windows, коли ВОНО НЕ БУДЕ клієнт запитує доступ до ресурсів сервера, сервер подумає і запитає контролер домену, авторизований користувач. Якщо це так, то сервер встановить сесійне з'єднання з правами доступу, які він має для даної служби і користувача. Якщо немає, то в з'єднанні буде відмовлено. Після того, як користувач одного разу пройшов аутеніфікацію в контролері домену, клієнту буде повернутий спеціальний ідентифікатор, після чого користувачеві не доведеться знову проходити авторизацію в домені для доступу до ресурсів. З цього моменту, користувач вважається "увійшов" в домен. Подивіться на малюнок 1.12 .
Малюнок 1.12: Використання контролера домену для аутеніфікаціі
1.4.1.2 Первинний і вторинний контролери домену
Контролер домену, який активний на поточний момент в домені називається головним контролером домену (PDC). Проте в домені може бути один або більше вторинних контролерів домену (BDCs), який увійде в силу, якщо головний контролер домену впаде або стане недоступний. BDCs часто синхронізують свої бази SAM з головним контролером домену, тому при необхідності будь-який з них може виконувати служби DC без занепокоєння клієнтів. Відзначимо, що BDCs, проте, мають лише доступні для читання копії бази SAM; вони можуть оновлювати свої бази даних тільки шляхом синхронізації з PDC. Сервер в домені Windows може використовувати базу SAM будь-якого первинного або вторинного контролера для аутеніфікаціі користувача, який намагається отримати доступ до ресурсів і увійти в домен.
Відзначимо, що за багатьма аспектами, поняття робочої групи Windows і домена Windows перетинаються. Це не було актуально до появи концепції домену Windows в Windows NT 3.5, після чого домени Windows були розроблені з зворотною сумісністю з робочими групами, що існують в Windows for Workgroups 3.1. Нам слід запам'ятати, що домен Windows- це просто робоча група Windows з додаванням однієї або більше контролерів домену.
Samba може виконувати роль головного контролера домену для комп'ютерів під управлінням Windows 95/98 без будь-яких проблем. Проте, Samba 2.0 може виступати в якості головного контролера домену тільки в цілях аутеніфікаціі; на поточний момент він не може виконувати інші ролі головного контролера домену. (В той час, як ви читаєте це, Samba 2.1 можливо вже доступна, тому ви можете використовувати Samba як PDC для клієнтів NT.) До того ж, Microsoft використовує закритий протокол для синхронізації даних SAM, Samba на поточний момент не може служити, як вторинний контролер домену.
1.4.2 Перегляд
Перегляд - це відповідь на питання користувача: "Які комп'ютери знаходяться в мережі Windows?" Відзначимо, що тут відсутній зв'язок з браузером з World Wide Web.
Перед переглядом, користувачі повинні знати ім'я комп'ютера, до якого вони хочуть отримати доступ, а потім вручну ввести UNC, як показано далі, в певному додатку або файловому менеджері для отримання доступу до ресурсу:
\\ HYDRA \ network \
З переглядом, проте, ви можете вивчити зміст комп'ютера, використовуючи стандартний графічний інтерфейс вкажи-і-натисни - тобто вікно Мережеве оточення на стороні клієнта Windows.
1.4.2.1 Рівні перегляду
Як ми відзначили на початку розділу, всього існує два типи перегляду в мережі SMB / CIFS:
Давайте поглянемо на перший тип. У кожній робочій групі Windows (або домені) в одній підмережі, кожен комп'ютер має можливість роботи зі списком комп'ютерів, які доступні на поточний момент в мережі. Цей комп'ютер називається головним локальним браузером, а список, яким він керує називається списком перегляду. Комп'ютери в мережі використовують список перегляду для зменшення мережевого трафіку, який створюється під час перегляду. Замість того, щоб кожен комп'ютер проводив динамічний опитування доступних на поточний момент комп'ютерів, комп'ютер може просто відправити запит головному локальному браузеру для оновлення списку.
Для перегляду актуальних ресурсів на комп'ютері користувач повинен встановити з'єднання з певним комп'ютером, але ця інформація не може бути отримана через список перегляду. Перегляд списку ресурсів на комп'ютері може бути виконаний після натискання на іконці комп'ютера, коли він присутній в мережевому оточенні в Windows 95/98 або NT. Як ви бачили на початку цього розділу, комп'ютер відповість списком доступних ресурсів, які можуть бути доступні після успішної аутеніфікаціі користувача.
Кожен з серверів в робочій групі Windows потребує анонсі своєї присутності у головного локального браузера після того, як він зареєстрував ім'я NetBIOS, а потім (теоретично) анонсувати свій відхід з робочої групи після виключення. Саме головний локальний браузер несе відповідальність за запис серверів. Відзначимо, що головний локальний браузер не обов'язково той же самий комп'ютер, що і сервер імен NetBIOS (NBNS), який ми обговоримо пізніше.
ПОПЕРЕДЖЕННЯ: Мережеве оточення Windows може поводитися дивно: до тих пір, поки ви не виберіть певний комп'ютер для перегляду, вікно Мережевого оточення може містити дані, які застаріли. Це означає, що вікно Мережевого оточення може відображати комп'ютери, які вже не в мережі, або навпаки, не показувати комп'ютери, які щойно увійшли в мережу. Коротше кажучи, після того, як ви вибрали сервер і з'єдналися з ним ви можете бути впевнені, що ресурси і принтери присутні в мережі.
На відміну від тих ролей, які ви бачили раніше, майже кожен комп'ютер Windows (NT Server, NT Workstation, 98, 95, або Windows 3.1 для Workgroups) може виступати в ролі головного локального браузера. Як і контролер домена, головний локальний браузер може мати один або більше вторинних браузерів в локальній мережі на випадок, якщо головний локальний браузер не буде працювати або стане недоступний. Для попередження цього, локальний вторинний браузер регулярно синхронізує список перегляду з головним локальним браузером. Давайте додамо в нашу діаграму домену Windows головний локальний і головний вторинний браузери. Результати показані на малюнку 1.13 .
Малюнок 1.13: Домен Windows з головним і вторинним браузером
Далі показано як порахувати мінімальну кількість вторинних браузерів, які можуть перебувати в робочій групі:
Якщо присутній від 1 до 32 робочих станцій під управлінням Windows NT в мережі або від 1 до 16 комп'ютерів з Windows 95/98 в мережі, головний локальний браузер створить один вторинний браузер на додаток до головного локальному браузеру.
Якщо кількість робочих станцій Windows NT від 33 до 64 або кількість Windows 95/98 від 17 до 32, головний локальний браузер створить два вторинних браузера.
Для кожної групи з 32 робочих станцій NT або 16 комп'ютерів з Windows 95/98, головний локальний браузер створить один вторинний браузер.
Взагалі не існує будь-якого краю вторинних браузерів, які можуть бути створені головними локальними браузерами.
1.4.2.2 Вибори браузерів
Перегляд - це критичний аспект будь-якої робочої групи Windows. Тим не менш, не все працює ідеально в мережі. На приклад, давайте уявимо, що Windows NT Server на робочому столі CEO маленької компанії є головним локальним браузером - до тих пір, поки його не вимкнуть. З цього моменту Windows NT Workstation погоджується прийняти на себе його роботу. Проте, цей комп'ютер зараз працює над великою, погано написаною програмою, яка сильно завантажила його процесор. Мораль: перегляд вельми відчутний до серверів, які входять і виходять з мережі. Оскільки практично кожен комп'ютер Windows може служити браузером, повинен існувати спосіб того, хто візьме на себе цю роботу. Цей процес прийняття рішення називається виборами.
Алгоритм виборів вбудований практично в усі версії ОС Windows, тому кожна з них може погодитися хто стане головним локальним браузером, а хто вторинним. Вибори можуть бути проведені в будь-який час. На приклад, давайте уявимо, що CEO закінчив роботу з повідомленням та перезавантажує сервер. Як тільки сервер з'являється в мережі, він анонсує свою присутність і виробляються вибори для того, щоб побачити чи може комп'ютер в іншому відділі виконувати роль головного браузера.
Під час проведення виборів, кожен комп'ютер широкомовно розсилає датаграми про себе. У них міститься наступна інформація:
Ці значення описують яка ОС має пріоритет і буде виконувати роль головного локального браузера. ( Розділ 6, Користувачі, Безпека і Домени , Описує процес виборів більш детально.) Розроблена архітектура архівування цих даних виконана досить погано і має вбудовані проблеми з безпекою. У той час, як домен перегляду може бути поєднаний з доменом безпеки, алгоритм виборів не входить у взаємодію з комп'ютерами, які стають браузерами. Тому можливо, що якщо будь-який комп'ютер з працюючою службою браузера для власної реєстрації проходить процедуру виборів і (після перемоги) може виконувати зміни в списку перегляду. Проте, перегляд - це ключова особливість мережі Windows, мережа і зворотна сумісність реалізовані і використовуються вже кілька років.
1.4.3 Чи може робоча група Windows розділена на декілька підмереж?
Так, але більшість людей, які працюють з цим мають головний біль. Розбиття на декілька підмереж з самого початку не було задумано при розробці Windows NT 3.5 або Windows for Workgroups. В результаті, домен Windows який працює в одній або більше підмереж, насправді "склеює" разом дві або більше робочих груп, які мають однакову назву. Гарна новина полягає в тому, що ви все ще можете використовувати головний контролер домену для стеження за аутеніфікаціей в кожній підмережі. Погані новини полягають в тому, що не все так просто з переглядом.
Як було зазначено раніше, кожна підмережа повинна мати свій власний головний локальний браузер. Коли домен Windows працює в декількох подсетях, системний адміністратор повинен вибрати один з комп'ютерів в якості головного браузера домену. Головний браузер домену збереже список перегляду для домену Windows. Цей список перегляду створюється шляхом періодичної синхронізації списку для кожного головного локального браузера зі списком перегляду головного браузера домену. Після синхронізації, головний локальний браузер і головний браузер домену будуть містити однакові записи. Погляньте на малюнок 1.14 в якості ілюстрації.
Малюнок 1.14: Робоча група, яка знаходиться в більш ніж однієї підмережі
Звучить добре? Тим не менш, це не зовсім нірвана з кількох причин:
Якщо існує головний контролер домену, то він завжди грає роль головного браузера домену. За задумом Microsoft, два типу ресурсу NetBIOS <1B> не можуть (на жаль) бути розділені.
Комп'ютери з Windows 95/98 не можуть ставати або навіть взаємодіяти з головним браузером домену. Група розробників Samba вважає, що це маркетингове рішення Microsoft, яке змушує клієнтів мати в кожній підмережі робочої групи хоча б одну робочу станцію Windows NT (або сервер Samba).
Кожен головний локальний браузер в підмережі продовжує працювати зі списком перегляду своєї підмережі, для якої він стає авторизованим. Тому, якщо комп'ютер хоче побачити список серверів всередині своєї підмережі, до головного локальному браузеру буде посланий відповідний запит. Якщо комп'ютер бажає побачити список серверів поза своєю підмережі, він все одно заходить так далеко, наскільки дозволяє головний локальний браузер. Це так тому, що, в певні інтервали, авторизований список перегляду головного локального браузера в підмережі синхронізується з головним браузером домену, який синхронізується з головним локальним браузером інший підмережі домену. Це називається передачею списку перегляду.
Samba при необхідності може виступати як головний браузер домену в домені Windows. На додаток, він також може виступати як головний локальний браузер для мережі Windows, синхронізуючи свій список перегляду з головним браузером домену.
1.4.4 Служба імен Інтернет Windows (WINS)
Служба імен Інтернет Windows (WINS) - це реалізація сервера імен NetBIOS (NBNS) від Microsoft. Тому WINS володіє багатьма характеристиками NetBIOS. По-перше, WINS проста; ви можете мати тільки один комп'ютер з ім'ям fred або робочу групу на кшталт CANADA або USA. На додаток, WINS динамічний: коли клієнт вперше входить в мережу, йому необхідно повідомити своє ім'я, адресу та робочу групу локального сервера WINS. Цей сервер WINS буде зберігати цю інформацію так довго, поки клієнт буде періодично оновлювати реєстрацію WINS, яка вказує, що він ще в мережі. Відзначимо, що сервера WINS не специфічні до домену або робочої групи; вони можуть з'явитися де завгодно і служити кому завгодно.
Кілька серверів WINS можуть бути встановлені для синхронізації один з одним після певного часу. Це дозволяє комп'ютерам, які входять і виходять з мережі передавати інформацію від одного сервера WINS до іншого. Поки в теорії це здається ефективним, все може працювати досить погано, якщо в мережі знаходиться кілька серверів WINS. Оскільки сервера WINS можуть працювати в декількох подсетях (ви або встановлюєте адресу сервера WINS для кожного з ваших клієнтів, або дізнаєтеся про нього через DHCP), то вигідніше мати кожного клієнта Windows, не залежно від того, скільки присутній доменів Windows, прив'язаних до одного сервера WINS. Тому, тут може бути тільки один авторизований сервер WINS з коректною інформацією, замість декількох серверів WINS, регулярно синхронізують один з одним з приводу частих змін.
Активний на поточний момент сервер WINS називається головним сервером WINS. Ви також можете встановити вторинний сервер WINS, який вступить в силу якщо головний сервер WINS впаде або стане недоступний. Відзначимо, що тут не відбувається виборів для того, щоб визначити який комп'ютер стане головним або вторинним сервером WINS - вибір сервера WINS постійний і повинен бути перевизначений системним адміністратором. Обидва сервера, як головний, так і вторинний сервера WINS будуть періодично синхронізувати свої бази даних адрес.
У сімействі ОС Windows тільки NT Workstation або NT server можуть виступати в ролі сервера WINS. Samba може також функціонувати як головний сервер WINS, але не як вторинний сервер WINS.
1.4.5 Що може робити Samba?
Вау! Ви напевно не думали, що мережа Microsoft може бути на стільки складною, чи не так? Тепер давайте покажемо, де Samba може нам допомогти. Таблиця 1.6 підсумовує ті ролі, які може і не може виконувати Samba в домені Windows NT або робочій групі Windows. Як ви бачите, багато з протоколів домену NT є закритими і не задокументовані Microsoft, Samba не може правильно синхронізувати свої дані з сервером Microsoft і не може виступати в більшості випадків як вторинний сервер. Проте з версією 2.0. x, Samba має обмежену підтримку протоколу аутеніфікаціі в головному контролері домену і кожен день стає все більш і більш функціональніша.
Таблиця 1.6: Ролі Samba (як 2.0.4b)
роль
Чи може виконувати?
File Server
так
Printer Server
так
Primary Domain Controller
Так (рекомендується Samba 2.1 або вище)
Backup Domain Controller
немає
Windows 95/98 Authentication
так
Local Master Browser
так
Local Backup Browser
немає
Domain Master Browser
так
Primary WINS Server
так
Secondary WINS Server
немає
Чи може робоча група Windows розділена на декілька підмереж?Що може робити Samba?
Чи може робоча група Windows розділена на декілька підмереж?
Що може робити Samba?
Ви напевно не думали, що мережа Microsoft може бути на стільки складною, чи не так?