Monday, December 11th, 2017

Window Server 2003 R2, что нового для Active Directory?

Published on Февраль 18, 2009 by   ·   Комментариев нет

В этой статье мы рассмотрим несколько новых вещей, которые появились в Active Directory вместе с Windows Server 2003 R2. Одна из новых, появившихся возможностей — Active Directory Federation Services (ADFS), которая позволяет вам безопасно расширить Active Directory до использования в интернет, при работе с другими бизнесменами, партнерами, клиентами и покупателями. Эта статья расскажет о некоторых новых возможностях, которые стали доступны с новым дополнением.

Active Directory Federation Services (ADFS – объединенные службы AD)

Active Directory Federation Services, или кратко ADFS – это новая технология Microsoft, использующая Web-сервисы, которые позволяют компаниям безопасно совершать транзакции с бизнес-партнерами (Business to Business or B2B), основываясь на Web. При работе с другими компаниями, вам иногда необходимо разрешить клиентам доступ к ресурсам в вашем домене, и наоборот. Из-за самой природы интернет, совместное использование ресурсов всегда было нервотрепкой, необходима большая безопасность, и эта технология называется WS-Federation. Большую часть времени, совершение Web может быть небезопасным, поэтому, если вам необходимо идентифицировать информацию для внешних бизнес партнеров и покупателей, то ADFS для вас. Будучи тесно связанной с Active Directory, ADFS помогает сохранить безопасность Web транзакций. Пример соединения B2B можно увидеть на следующем рисунке.

Adfs драйвер

Как вы можете увидеть на рисунке, Компании A и Компании B необходим совместный доступ к ресурсу … Intranet сервер компании A. Пользователь компьютера компании B хочет использовать этот ресурс, и при обычных обстоятельствах, если он входит в домен компании domain, то может быть использовано доверительное отношение. Также, не забывайте о самом важном вопросе – как вы обеспечите безопасность в Internet? Active Directory Federation Services (ADFS) предоставляет безопасную инфраструктуру для построения объединенного целостного решения для управления, которое расширит возможности вашей организации по идентификации управления до возможности использования интернет.

ADFS требования и преимущества

ADFS требует Active Directory, или что более важно, чтобы учетные записи пользователей хранились в Active Directory. Объединенные службы используют эти учетные записи для аутентификации B2B. Как вы можете видеть, ADFS тесно интегрирован с Active Directory. ADFS производит аутентификацию пользователей с помощью Active Directory, и использует безопасность, которую создает Active Directory. ADFS также использует аутентификацию Windows. Что для вас делает ADFS? Установкой ADFS, вы можете безопасно расширить Directory для использования в интернет. Сделав это, вы сможете поддерживать безопасную инфраструктуру служб директорий без использования других поставщиков для проверки пароля (SSO provider). Вы также сможете разрешить вашим клиентам и покупателям использовать SSO, а также предоставить прямой доступ одной организации к ресурсам другой организации на основе доверия. Что дальше? Построение объединенного доверия …

Объединенное доверие

Также как и любые доверительные отношения в Windows, в случае правильной настройки, вы сможете предоставить ваши службы для других партнеров, разрешив прямое использование ресурсов без аутентификации. Когда вы устанавливаете ADFS, вам необходимо установить объединенный сервер, который будет контролировать доступ к вашей системе, основываясь на идентификации, аутентификации и авторизации с помощью объединенного доверия (federation trust) – помните, что вы имеете дело с интернет, и поэтому важно гарантировать безопасность и контроль передач с его помощью. Вы не можете отключить ваш брандмауэр, но вы можете настроить его так, чтобы он обеспечивал безопасность передач через него, и если бы эти передачи были бы безопасными, и разрешали упрощенный доступ к безопасным ресурсам через интернет … ADFS был построен для этого. С помощью federation trust, вы можете расширить Active Directory для разрешения безопасного совместного доступа к ресурсам в среде B2B. Следующая картинка показывает, как бы это выглядело, если бы вы спланировали и установили federation trust от компании A к компании B. Ресурсы находятся в компании A, а в компании B есть клиенты, которым необходим доступ к этому ресурсу.

Проверка active directory 2003 r2

Теперь, когда запланировано доверительное отношение между доменом с ресурсами и доменом, на котором хранятся учетные записи пользователей, вы можете совершать безопасные интернет транзакции между компанией A и компанией B, соединенных с помощью отношения federation trust. Federation trust между двумя объединенными серверами показывает направление, в котором доверие наиболее важно. На этой картинке, домен с ресурсами доверяет домену, на котором расположены учетные записи … домену пользователя. Стрелка указывает от домена с учетными записями на домен с ресурсами.

После того, как установлен federation trust, запросы на аутентификацию, которые поступают от Intranet сервера в домене с ресурсами, могут без проблем проходить по federation trust от пользователей, которые находятся в домене, где располагаются учетные записи. Ошибки в конфигурации и установке доверительного отношения в неправильном направлении приведут к неудачному созданию доверительного отношения.

Примечание:
Вы можете использовать встроенные Active Directory Federation Services для настройки federation trust; об этом будет рассказано в следующих статьях.

Давайте используем эту последнюю картинку, чтобы подвести итоги того, что нам необходимо запланировать:

  • Если у вас B2B, то вам необходимо создать безопасный способ  для обеспечения совместного доступа к ресурсам
  • При установке объединенных серверов, которые обеспечивают доверительные отношение через брандмауэр и интернет, вы можете создавать доверительные отношения, предоставлять совместный доступ к ресурсам, благодаря Active DirectoryADFS.

    Active directory Windows server 2003

Примечание:
Убедитесь, что подготовились к federation trust. Вам необходимо подготовить вашу сеть для того, чтобы для использовать federated trust, и чтобы правильно установить ADFS. Если одна из сторон federation trust (или партнер, предоставляющий ресурс, или партнер, предоставляющий учетные записи) не настроена или настроена неправильно администратором одной из организаций, то невозможно будет создать federation trust.

Federation Servers (Объединенные сервера)

Как вы видели на последних двух рисунках, при установке ADFS, вам необходимо установить новые объединенные сервера на каждой из сторон, между которыми вы хотите установить доверительные отношения. Объединенные сервера играют очень важную роль … они маршрутизируют все запросы на аутентификацию, посланные пользователями из партнерской организации (B2B) через интернет, даже если клиенты находятся в интернет. Объединенные сервера имеют различные роли, в зависимости от того, где они располагаются … к примеру, если вы думаете о компании A и компании B, ресурсы были в компании A, поэтому сервер будет иметь другую роль, просто потому, что он располагается в домене с ресурсами. Объединенный сервер в домене с учетными записями, также будет иметь другую серверную роль. Роли легко запомнить: если вы имеете объединенный сервер в домене без ресурсов, то он используется для ввода учетных записей локальных пользователей в Active Directory. Объединенные сервера в домене с ресурсами проверяют безопасность, основываясь на данных объединенных серверов в домене с учетными записями.

Помните, что ADFS новая технология, появившаяся с R2, поэтому, если вы хотите установить ее, вы должны убедится, что R2 правильно установлен на вашей системе Windows Server 2003. Для построения объединенного сервера, этот сервер должен быть правильно настроен. Используйте ссылки, к этой статье, чтобы больше узнать о R2, и об особых требованиях к ней. Т.к. ADFS может работать только на серверах с R2, убедитесь сперва, что это основное требование выполняется. Также, существуют особые требования при проектировании объединенных серверов, предъявляемые к каждой стороне, поэтому уделите пристальное внимание проектированию, если вы решили развернуть ADFS.

Резюме

Технология ADFS помогает администраторам при работе с объединенным целостным управлением, и делает возможным для организаций безопасный совместный доступ к пользовательской информации с помощью federation trust. ADFS поддерживает сценарии, которые используются в спецификациях Web Services Security (WS-Security) и главном компоненте federation trust – WS-Federation. В этой статье мы рассказали об основах Active Directory Federation Services (ADFS), которые появились с выходом Windows Server 2003 R2. Пожалуйста, воспользуйтесь ссылками для получения более подробной информации, а также загрузите и протестируйте R2 и federation trust для себя, чтобы увидеть мощь, которую они предоставляют для вашей организации и для ваших клиентов. Ждите новостей о R2 в следующих статьях.

www.windowsnetworking.com




Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]