ES2562448T3 - Descubrimiento y visualización de controladores de dominio de directorio activo en mapas topológicos de redes - Google Patents

Descubrimiento y visualización de controladores de dominio de directorio activo en mapas topológicos de redes Download PDF

Info

Publication number
ES2562448T3
ES2562448T3 ES09746900.1T ES09746900T ES2562448T3 ES 2562448 T3 ES2562448 T3 ES 2562448T3 ES 09746900 T ES09746900 T ES 09746900T ES 2562448 T3 ES2562448 T3 ES 2562448T3
Authority
ES
Spain
Prior art keywords
ldap
network
discovered
endpoint
mapping
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES09746900.1T
Other languages
English (en)
Inventor
Michael Jon Swan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SolarWinds Worldwide LLC
Original Assignee
SolarWinds Worldwide LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SolarWinds Worldwide LLC filed Critical SolarWinds Worldwide LLC
Application granted granted Critical
Publication of ES2562448T3 publication Critical patent/ES2562448T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • H04L41/0826Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for reduction of network costs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Método para descubrir un controlador de dominio, DC, de directorio activo, AD, que comprende: mapear una topología de una red; crear una conexión de protocolo ligero de acceso a directorios, LDAP, por enlace a un punto extremo de LDAP; usar órdenes de LDAP para llevar a cabo una búsqueda de LDAP del DC de AD utilizando la conexión de LDAP creada, y devolver por lo menos un nombre de dominio totalmente cualificado, FQDN, de un DC de AD descubierto; y desenlazarse del punto extremo de LDAP, en el que el mapeo de la topología de la red comprende buscar nodos en un número predefinido de direcciones del protocolo de internet, ip, y repetir la búsqueda para un número predefinido de saltos.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Descubrimiento y visualizacion de controladores de dominio de directorio activo en mapas topologicos de redes. Campo de la invencion
La presente invencion se refiere al uso de tecnicas de mapeo de topologfas de red para descubrimiento e integracion dentro de mapas topologicos de redes con el fin de descubrir Controladores de Dominio (DC) de Directorio Activo (AD).
Antecedentes de la invencion
Los documentos XP2556498, US2006/056306A1 y XP15053254 constituyen tecnica anterior conocida referente a la invencion.
El DC de AD, o nodos de red funcionalmente similares, lleva a cabo funciones administrativas importantes en la red. Por ejemplo, los DC de AD gestionan tfpicamente el registro y el acceso de usuarios y dispositivos.
Con el tiempo, a medida que una red crece, se amplfa, y evoluciona, las posiciones de los DC de AC pueden llegar a perderse. Las herramientas conocidas de mapeo de DC de AD comienzan con un conjunto de nodos conocidos y recurren a caracterfsticas de los nodos para identificar los DC de AD. No obstante, si los nodos dejan de ser conocidos, estos nodos no se pueden sondear para determinar si son DC de AD. Por otra parte, cada seccion de la red necesita tener tfpicamente un DC de AD local, y la aplicacion conocida puede no identificar correctamente ningun DC de AD para cada agrupamiento localizado de nodos. Asf, las herramientas convencionales de mapeo de AD visualizan la infraestructura de AD sin ningun sentido de integracion en la infraestructura de red de la topologfa de esta ultima.
La topologfa de redes es el estudio de la disposicion o mapeo de los elementos (vfnculos, nodos, etcetera) de una red, especialmente las interconexiones ffsicas (reales) y logicas (virtuales) entre nodos. Una red de area local (LAN) es un ejemplo de red que presenta tanto una topologfa ffsica como una topologfa logica. Cualquier nodo dado en la LAN tendra uno o mas vfnculos con otro u otros nodos de la red y el mapeo de estos vfnculos y nodos sobre un grafo da como resultado una forma geometrica que determina la topologfa ffsica de la red. De manera similar, el mapeo del flujo de datos entre los nodos de la red determina la topologfa logica de la misma.
Asf, la topologfa de redes describe la disposicion ffsica o logica especffica de los elementos de una red. Los elementos pueden ser ffsicos o logicos de tal manera que los elementos ffsicos son reales, y los elementos logicos pueden ser, por ejemplo, elementos virtuales o una disposicion de los elementos de una red. Dos redes pueden compartir una topologfa similar si la configuracion de las conexiones es igual, aunque las redes pueden diferir en otros aspectos tales como interconexiones ffsicas, dominios, distancias entre nodos, velocidades de transmision y/o tipos de las senales. Una red puede incorporar multiples redes mas pequenas. A tftulo de ejemplo, una central telefonica privada es una red y dicha red forma parte de una central telefonica local. La central local forma parte de una red mayor de telefonos que permiten llamadas internacionales, y esta conectada en red con redes de telefonfa celular.
Cualquier topologfa de red particular se determina unicamente por el mapeo grafico de la configuracion de conexiones ffsicas y/o logicas entre nodos. Por lo tanto, la Topologfa de Red LAN es tecnicamente una parte de la teorfa de grafos. Las distancias entre nodos, interconexiones ffsicas, velocidades de transmision y/o tipos de senal pueden diferir en dos redes y sin embargo sus topologfas pueden ser identicas. La disposicion o mapeo de los elementos de una red da origen a ciertas topologfas basicas las cuales a continuacion se pueden combinar para formar topologfas mas complejas (topologfas hfbridas). Los mas comunes de estos tipos basicos de topologfas incluyen el bus (tal como Bus Lineal, Distribuido), la estrella, el anillo, la malla (que incluye una malla parcial o totalmente conectada), el arbol, hfbrido que esta compuesto por una o mas topologfas de red, y de punto-a-punto.
La topologfa logica se corresponde con un mapeo de las conexiones aparentes entre los nodos de una red, segun evidencia el trayecto que parecen tomar los datos cuando se desplazan entre los nodos. La clasificacion logica de las topologfas de red sigue en general las mismas clasificaciones que las correspondientes de las clasificaciones ffsicas de topologfas de red, utilizandose para determinar la topologfa el trayecto que toman los datos entre nodos por oposicion al uso de las conexiones ffsicas reales para determinar la misma. Normalmente las topologfas logicas estan fntimamente asociadas a metodos y protocolos de control de acceso a los medios (MAC). En general, las topologfas de red vienen determinadas por protocolos de red en contraposicion a su determinacion por la distribucion ffsica de cables, y los conductores, y dispositivos de red o por el flujo de las senales electricas, aunque, en muchos casos, los trayectos que toman las senales electricas entre nodos pueden coincidir considerablemente con el flujo logico de datos, y de ahf la convencion de usar de manera intercambiable las expresiones “topologfa logica” y “topologfa de senales”. Tfpicamente, las topologfas logicas se pueden reconfigurar de manera dinamica mediante tipos especiales de equipos, tales como encaminadores y conmutadores.
5
10
15
20
25
30
35
40
45
50
55
60
65
Sumario de la invencion
La invencion queda definida por el objeto de las reivindicaciones independientes.
Formas de realizacion de la presente solicitud se refieren al descubrimiento de Controladores de Dominio (DC) de directorio activo (AD) a traves de una aplicacion y un metodo de mapeo topografico que forman un mapa topologico de red, utilizan consultas de Protocolo Ligero de Acceso a Directorios (LDAP) y analisis de datos devueltos para identificar los DC de AD, y a continuacion integran los dispositivos que ejecutan el LDAP en el mapa topologico.
Ciertas formas de realizacion de la presente solicitud se refieren a un descubrimiento de DC de AD que incluye la determinacion de la topologfa de la red, tal como los nodos y las conexiones de la red. Despues de determinar la topologfa de la red, se determinan los modos y las conexiones de la misma. A continuacion, se crean (enlazan) conexiones de LDAP con o bien (a) el punto extremo (“servidor”) de LDAP de usuarios actuales o bien (b), si el usuario ha especificado una o mas credenciales de dominio, el punto extremo de LDAP asociado a dichas credenciales. Las conexiones de LDAP se pueden crear utilizando tecnicas y ordenes convencionales. Seguidamente, se realiza una busqueda de datos de LDAP utilizando las conexiones creadas para devolver cualesquiera Nombres de Dominio Totalmente Cualificados (FQDN) conocidos de Controladores de Dominio. A continuacion se lleva a cabo una busqueda de Servidor de Nombres de Dominio (DNS) inverso para cada Controlador de Dominio (DC) descubierto, con el fin de establecer una direccion IP para el DC. Cualquier DC del cual se encuentre que tiene una direccion IP dentro de los intervalos de direcciones de red descubiertos en la topologfa de red se puede insertar en la lista existente de nodos descubiertos, identificado cada uno de ellos como el DC. Finalmente, las conexiones de LDAP se cierran o se desenlazan.
Breve descripcion de los dibujos
Para entender correctamente la invencion, debe hacerse referencia a los dibujos adjuntos, en los que:
la figura 1 es un diagrama esquematico de alto nivel de un sistema de mapeo de DC de AD de acuerdo con formas de realizacion de la presente solicitud;
la figura 2 es un diagrama de flujo de un metodo de mapeo de red de acuerdo con formas de realizacion de la presente solicitud; y
la figura 3 es un diagrama de flujo de un metodo de mapeo de DC de AD de acuerdo con formas de realizacion de la presente solicitud.
Descripcion detallada de las formas de realizacion preferidas
Haciendo referencia a la figura 1, formas de realizacion de la presente solicitud se refieren a una unidad de mapeo de DC de AD 100 configurada para conectarse a una red 10 que incluye multiples nodos 1a, 1b. En particular, la red 10 incluye el DC de AD 1a y otros nodos 1b, segun se describe de forma mas detallada posteriormente.
En ciertas redes, los DC de AD 1a son servidores que responden a solicitudes de autenticacion de seguridad (inicio de sesion, permisos de comprobacion, etcetera) dentro del dominio del servidor. Tfpicamente, uno de los DC por cada dominio se configuraba como Controlador de Dominio Principal (PDC); la totalidad del resto de DC era Controladores de Dominio de Reserva (BDC). Un BDC podia autenticar los usuarios en un dominio, pero todas las actualizaciones para el dominio (usuarios nuevos, contrasenas cambiadas, membresfa de grupo, etcetera) unicamente se podfan realizar por medio del PDC, el cual a continuacion propagarfa estos cambios a todos los BDC del dominio. Si el PDC no estaba disponible (o no puede comunicarse con el usuario que solicitaba el cambio), la actualizacion fallarfa. Si el PDC estaba permanentemente indisponible (por ejemplo, si la maquina fallaba), un BDC existente podrfa promoverse para ser PDC. Debido a la naturaleza crftica del PDC, las practicas mas adecuadas dictaminaban que el PDC deberfa dedicarse meramente a servicios de dominio, y no deberfa usarse para servicios de archivos/impresion/aplicacion que podrfan ralentizar o colgar el sistema.
En las redes mas nuevas, el AD elimino en gran medida el concepto de PDC y BDC en favor de la tecnologfa de replicacion multi-maestro. No obstante, siguen habiendo varias funciones que solamente puede llevar a cabo un Controlador de Dominio, denominadas funciones de Operacion de Maestro Unico Flexible. Algunas de estas funciones deben ser cubiertas por un DC por cada dominio, mientras que otras unicamente requieren un DC por cada bosque de AD. Si el servidor que lleva a cabo una de estas funciones se pierde, el dominio puede seguir funcionando, y si el servidor no estuviera disponible nuevamente un administrador puede designar un DC alternativo que adopte la funcion, en un proceso conocido como toma (seizing) de la funcion.
Tfpicamente, el AD se gestiona usando una Consola de Gestion Grafica. El AD es una implementacion de servicios de directorio del Protocolo Ligero de Acceso a Directorios (LDAP), lo cual se escribira posteriormente. Una finalidad principal del AD es proporcionar servicios centralizados de autenticacion y autorizacion. El AD permite tambien que los administradores asignen polfticas, implanten software, y apliquen actualizaciones crfticas para una organizacion.
5
10
15
20
25
30
35
40
45
50
55
60
65
El AD almacena informacion y configuraciones en una base de datos central. Las redes de AD pueden variar desde una pequena instalacion con unos pocos cientos de objetos, hasta una gran instalacion con millones de objetos.
El AD es un servicio de directorios utilizado para almacenar informacion sobre los recursos de red en un dominio. Una estructura de AD es un marco jerarquico de objetos. Los objetos se situan en tres categorfas amplias: recursos (por ejemplo, impresoras), servicios (por ejemplo, correo electronico), y usuarios (cuentas y grupos de usuarios). El Ad proporciona informacion sobre los objetos, organiza los objetos, controla el acceso y establece la seguridad.
Cada objeto representa una entidad unica ya sea un usuario, un ordenador, una impresora, o un grupo y sus atributos. Ciertos objetos tambien pueden ser contenedores de otros objetos. Un objeto queda identificado de manera exclusiva por su nombre y tiene un conjunto de atributos, las caracterfsticas e informacion que puede contener el objeto, definidas por un esquema, que determina tambien el tipo de objetos que se pueden almacenar en el AD.
Cada objeto de atributo se puede usar en varios objetos de clase de esquema diferentes. Estos objetos de esquema existen para permitir que el esquema se amplfe o modifique cuando sea necesario. No obstante, debido a que cada objeto de esquema es esencial para la definicion de objetos de AD, la desactivacion o cambio de estos objetos puede tener serias consecuencias ya que cambiara fundamentalmente la estructura del propio AD. Un objeto de esquema, cuando se modifique, se propagara automaticamente a traves del AD, y una vez que se haya creado el objeto, tfpicamente dicho objeto unicamente se puede desactivar aunque no eliminar. De manera similar, el cambio del esquema requiere habitualmente una cantidad importante de planificacion.
La estructura que contiene los objetos se interpreta en varios niveles. En la parte superior de la estructura se encuentra el Bosque - la coleccion de cada objeto, sus atributos, y reglas (sintaxis de atributos) en el AD. El bosque contiene uno o mas Arboles con vfnculos de confianza, transitivos. Un arbol contiene uno o mas Dominios y arboles de dominio, nuevamente vinculados en una jerarqufa de confianza transitiva. Los dominios se identifican por su estructura de nombres de DNS, el espacio de nombres.
Los objetos contenidos dentro de un dominio se pueden agrupar en contenedores denominados Unidades Organizacionales (OU). Las OU proporcionan una jerarqufa a un dominio, facilitan su administracion, y pueden proporcionar un aspecto de la estructura de una organizacion en terminos organizacionales o geograficos. Una OU puede contener OU mas pequenas y puede contener multiples OU anidadas. Tfpicamente, se recomienda tener el menor numero posible de dominios en el AD y basarse en las OU para producir una estructura y mejorar la implementacion de polfticas y la administracion. La OU es el nivel comun en el cual se aplican polfticas de grupo, que son objetos de AD, denominados Objetos de Directiva de Grupo (GPOs), aunque tambien pueden aplicarse polfticas en dominio o sitios. La OU es el nivel en el cual comunmente se delegan poderes administrativos, aunque tambien se puede llevar a cabo una delegacion granular sobre objetos o atributos individuales.
El AD tambien soporta la creacion de sitios, los cuales son agrupamientos ffsicos, en lugar de logicos, definidos por una o mas subredes de IP. Los sitios diferencias entre ubicaciones conectadas por conexiones de baja velocidad (por ejemplo, redes de area extensa (WAN), redes privadas virtuales (VPN)) y de alta velocidad (por ejemplo, redes de area local (LAN)). Los sitios son independientes del dominio y de la estructura de OU y son comunes en el bosque completo. Los sitios se usan para controlar trafico de red generado por replicacion y tambien para remitir clientes a los Controladores de Dominio mas Proximos. El Exchange 2007 tambien utiliza la topologfa de sitios para el encaminamiento de correo. En el dominio de los sitios tambien se pueden aplicar polfticas.
La division real de la infraestructura de informacion de la empresa en una jerarqufa de uno o mas dominios y OU de nivel superior es normalmente una decision clave. Los modelos comunes son por unidad de negocio, por ubicacion geografica, por tipo de servicio, o por tipo de objeto. Normalmente, estos modelos tambien se utilizan combinados. Las OU se deberfan estructurar principalmente para facilitar la delegacion administrativa, y en segundo lugar, para facilitar la aplicacion de polfticas de grupo. Aunque las OU pueden formar un lfmite administrativo, el unico lfmite de seguridad verdadero es el propio bosque y debe confiarse en un administrador de cualquier dominio del bosque en todos los dominios del mismo.
Ffsicamente, la informacion de AD esta contenida en uno o mas DC pares iguales. Tfpicamente, cada uno de los DC tiene una copia del AD, y los cambios en un ordenador estan sincronizados, o convergen, entre la totalidad de los ordenadores de DC por la replicacion multi-maestro. Los servidores que se integran, que no son DC, se denominan Servidores Miembros.
La base de datos de AD se divide tfpicamente en almacenes o particiones diferentes. La particion de “Esquema” contiene la definicion de clases y atributos de objetos dentro del Bosque. La particion de “Configuracion” contiene informacion sobre la estructura ffsica y la configuracion del bosque (tal como la topologfa de sitios). La particion “Dominio” contiene todos los objetos creados en ese dominio. Las dos primeras particiones se replican para todos los DC del Bosque. La particion de Dominio se replica unicamente para el DC dentro de su dominio. Los subconjuntos de objetos en la particion de dominio se replican tambien para los DC que estan configurados como catalogos globales.
5
10
15
20
25
30
35
40
45
50
55
60
65
En general el AD esta totalmente integrado con el DNS y el TCP/IP. La replicacion del AD es una tecnologfa pull mas que push, en la cual se distribuyen datos por solicitud. El Comprobador de Coherencia de la Informacion (KCC) crea una topologfa de replicacion de vfnculos a sitios utilizando los sitios definidos para gestionar trafico. La replicacion intra-sitio es frecuente y automatica como consecuencia de la notificacion de cambios, lo cual desencadena que las entidades pares den inicio a un ciclo de replicacion pull. Los intervalos de replicacion entre sitios son menos frecuentes y no utilizan notificacion de cambios por defecto, aunque esto es configurable y se puede hacer que sea identico a la replicacion intra-sitio. Se puede asignar un coste computacional diferente a cada vinculo y la topologfa de vfnculos a sitios sera modificada en consecuencia por el KCC. La replicacion entre DC se puede producir de manera transitiva a traves de varios vfnculos a sitios en puentes de vfnculos a sitios del mismo protocolo, si el “coste” es bajo, aunque el KCC valora automaticamente un vinculo directo de sitio-a-sitio menos que las conexiones transitivas. La replicacion de sitio-a-sitio se puede configurar para que se produzca entre un servidor de cabeza de puente en cada sitio, el cual a continuacion replica los cambios para otro DC dentro del sitio.
En un bosque de multiples dominios, llegan a crearse particiones en la base de datos de AD. Es decir, cada dominio mantiene una lista de solamente aquellos objetos que pertenecen a ese dominio. Por ejemplo, un usuario creado en el Dominio A se enumerarfa unicamente en el DC del Dominio A. Los servidores de catalogos globales (GC) se usan para proporcionar un listado global de todos los objetos del Bosque. El Catalogo Global se mantiene en DC configurados como servidores de catalogos globales. Los servidores de Catalogos Globales replican en ellos mismos todos los objetos de todos los dominios y por tanto proporcionan un listado global de objetos en el bosque. No obstante, para reducir al mfnimo el trafico de replicacion y para mantener la base de datos del GC a un tamano pequeno, se replican unicamente atributos seleccionados de cada objeto. A esto se le denomina conjunto de atributos parcial (PAS). El PAS se puede modificar modificando el esquema y marcando atributos para su replicacion en el GC.
La replicacion del Directorio Activo utiliza llamadas a procedimientos remotos. Por ejemplo, entre sitios, un usuario puede escoger utilizar el SMTP para la replicacion, aunque unicamente para cambios en el Esquema o el Configuracion. El SMTP no se puede usar para replicar la particion de Dominio. En otras palabras, si existe un dominio en los dos lados de una conexion wAn, para la replicacion se usan RPC.
El Directorio Activo es un componente necesario para muchos servicios en una organizacion tal como un intercambio de correos electronicos. Las funciones de Operaciones de Maestro Unico Flexible (FSMO) son tambien conocidas como funciones de maestro de operaciones. Aunque los DC de AD funcionan en un modelo multimaestro, es decir, pueden producirse actualizaciones en multiples lugares a la vez, existen varias funciones que son necesariamente de instancia unica:
Tfpicamente, el AD soporta nombres UNC (\), URL (/), LDAP URL para el acceso a objetos. El AD usa internamente la version LDAP de la estructura de nombres X.500. Cada objeto tiene un nombre comun (CN) y un Nombre distintivo (DN). El DC es la clase de objeto de dominio y puede tener muchas mas que cuatro partes. El objeto tambien puede tener un Nombre canonico, esencialmente el DN a la inversa, sin identificadores, y utilizando barras. Para identificar el objeto dentro de su contenedor, se utiliza el Nombre Distintivo Relativo (RDN): cada objeto tiene tambien un Identificador Unico Global (GUID), una cadena exclusiva e invariable de 128 bits que es usada por el AD para la busqueda y la replicacion. Ciertos objetos tambien tienen un Nombre Principal de Usuario (UPN), un formato de nombre nombreobjeto@dominio.
Para permitir que los usuarios de un dominio accedan a recursos de otro, el AD utiliza confianzas. Las confianzas dentro de un bosque se crean automaticamente cuando se crean dominios. El bosque fija los lfmites de confianza por defecto, no el dominio, y la confianza transitiva, implfcita, es automatica para todos los dominios dentro de un bosque. Ademas de la confianza transitiva bidireccional, las confianzas de AD pueden ser directas (unen dos dominios en arboles diferentes, transitivas, unidireccionales o bidireccionales), de bosque (transitivas, unidireccionales o bidireccionales), de dominio kerveros (transitivas o no transitivas, unidireccionales o bidireccionales), o externas (no transitivas, unidireccionales o bidireccionales) para conectarse a otros bosques o dominios que no sean de AD. Con la confianza unidireccional, un dominio permite el acceso a usuarios en otro dominio, pero el otro dominio no permite el acceso a usuarios en el primer dominio. Con la confianza bidireccional, dos dominios permiten el acceso a usuarios en el otro dominio. En este contexto, un dominio que conffa es el dominio que permite acceso a usuarios de un dominio en el que se conffa, un dominio en el que se conffa es el dominio en el que se ha puesto confianza, cuyos usuarios tienen acceso al dominio que conffa.
La distribucion de software es ejecutada por un servicio aparte que utiliza atributos de esquemas privativos adicionales que funcionan en combinacion con el protocolo LDAP. El Directorio Activo no automatiza la distribucion de software, sino que proporciona un mecanismo en el cual otros servicios pueden aportar distribucion de software.
La unidad de mapeo de DC de AD 100 incluye un modulo de mapeo 110. En particular, el modulo de mapeo 110 esta configurado para mapear los nodos 1a, 1b en la red 10 y opcionalmente tambien para mapear las conexiones 2 que conectan los nodos 1a, 1b. Se conocen varias tecnicas de mapeo de topograffas de red y las mismas se pueden integrar en las formas de realizacion de la presente solicitud, segun se describe de forma mas detallada
5
10
15
20
25
30
35
40
45
50
55
60
65
posteriormente.
El modulo de mapeo 110 descubre automaticamente todo lo que se encuentre en la red, incluyendo ordenadores de sobremesa, servidores, impresoras, concentradores, conmutadores y encaminadores con el uso de metodos de identificacion y descubrimiento (ping/ICMP, SNMP, VoIP basado en SIP, NetBIOS y mas) para explorar intervalos de direcciones IP y encontrar nodos, segun se describe posteriormente en la figura 2.
Haciendo referencia a continuacion a la figura 2, se proporciona un metodo de mapeo 200 de acuerdo con formas de realizacion de la presente solicitud. En particular, el metodo de mapeo 200 incluye la etapa de definir criterios de datos de mapeo en la etapa 210. Por ejemplo, un usuario puede definir un intervalo de direcciones IP, el numero de saltos (o dispositivos conectados desde cada dispositivo descubierto), y tipos de dispositivos (por ejemplo, dispositivos SNMP o clientes respondedores) a descubrir durante la busqueda.
Continuando con la figura 2, en la etapa 220, se lleva a cabo una busqueda de nodos. Por ejemplo, los tipos de metodos de descubrimiento tales como el Ping ICMP, NetBIOS, clientes SIP, etcetera, conllevan la transmision de pequenos paquetes de UDP o ICMP a cada direccion IP del intervalo definido, asf como el descubrimiento de dispositivos que se encuentran dentro del numero de saltos desde los dispositivos descubiertos. Asf, se envfan y se realiza un seguimiento de datos para cada direccion IP definida con el fin de determinar el dispositivo asociado a una direccion IP y los trayectos ffsicos y virtuales utilizados para alcanzar la direccion IP respectiva. Opcionalmente, los intervalos grandes de direcciones IP se subdividen en bloques de 10 direcciones, buscandose respuestas de entre esas 10 direcciones. Buscando en la red de esta manera, se minimizan efectos notorios en el ancho de banda de la red o los dispositivos.
Continuando con la figura 2, se describe mas detalladamente el descubrimiento de nodos en la etapa 220. Se buscan nodos en bloques de un numero pre-seleccionado N de direcciones IP utilizando metodos de descubrimiento configurados por el usuario, etapa 221. A continuacion, se puede determinar la conectividad de la capa 3 a partir de nodos descubiertos en la etapa 222. Si se definio un recuento de saltos > 0, se repite la etapa 221 con intervalos de red recien descubiertos hasta que se alcance el recuento de saltos, etapa 223. A continuacion, se determina la conectividad de la capa 2 a partir de cualesquiera nodos descubiertos que se han identificado como conmutador o concentrador gestionado en la etapa 224. Seguidamente se correlacionan los datos de direcciones de la capa 2 y la capa 3 de las etapas 221 a 224, por ejemplo, mediante el uso de tablas de traduccion de direcciones (ARP) y tablas de arboles de expansion recopiladas a partir de nodos descubiertos con capacidad SNMP en la etapa 225. A continuacion, en la etapa 226 se determina la conectividad de la red examinando cada direccion(es) IP de nodos descubiertos. Se usa la conectividad de la capa 2 cuando la misma este disponible; en caso contrario se usa la conectividad de la capa 3.
Los resultados de la busqueda de topologfa de red se almacenan en la etapa 230. Por ejemplo, el modulo de mapeo 110 puede recopilar y almacenar toda la informacion de topologfa en una base de datos 140, proporcionando una fuente de informacion de topologfa y activos para estrategias de bases de datos de gestion de configuracion (CMDB) empresariales. El modulo de mapeo 110 tambien mantiene automaticamente estos datos para actualizar los nodos de red, proporcionando asf a los ingenieros de la red una representacion constantemente precisa de la red en relacion con los requisitos de visibilidad y cumplimiento.
Opcionalmente, en la etapa 230 se almacenan los resultados de busqueda de topologfa de la red. Por ejemplo, una vez que se han descubierto nodos de la red, el modulo de mapeo 110 puede compilar la informacion en un mapa de topologfa de red cohesionado, sencillo de ver, por ejemplo con iconos de nodos y lfneas coloreadas que representan la velocidad de conectividad de la red en una interfaz de usuario 130. De esta manera, el modulo de mapeo 110 permite que los ingenieros de la red vean exactamente como estan conectados los dispositivos en la misma. El modulo de mapeo 110 puede acceder a conmutadores y concentradores gestionados, con el fin de realizar diagramas precisos de la conectividad de los puertos para todos los dispositivos de la red, dando como resultado un mapa completo que ilustra todos los nodos conectados directamente a un conmutador o concentrador gestionado, con la informacion de los puertos visualizada de manera adyacente al nodo.
Haciendo referencia de nuevo a la figura 1, en una implementacion de la presente solicitud, el modulo de mapeo 110 lleva a cabo un mapeo de la capa 2. La capa 2, o capa de enlace de datos, proporciona los medios funcionales y procedimentales para transferir datos entre entidades de red y para detectar y posiblemente corregir errores que se pueden producir en la capa ffsica. Originalmente, esta capa estaba destinada a medios de punto-a-punto y punto-a- multipunto, caracterfsticos de medios de area extensa en el sistema telefonico. La arquitectura de las redes de area local (LAN), que inclufan medios multi-acceso con capacidad de difusion general, se desarrollo con independencia del trabajo ISO, en el Proyecto 802 del IEEE. Los servicios LAN disponen tfpicamente bits, de la capa ffsica, en secuencias logicas que se denominan tramas. Subcapa de Control de Enlace Logico
La subcapa situada mas arriba es el Control de Enlace Logico (LLC). Esta subcapa multiplexa protocolos que se ejecutan encima de la capa de enlace de datos, y proporciona opcionalmente control de flujos, acuse de recibo, y recuperacion de errores. El LLC proporciona direccionamiento y control del enlace de datos. Especifica que mecanismos se van a usar para direccionar estaciones sobre el medio de transmision y para controlar los datos
5
10
15
20
25
30
35
40
45
50
55
60
65
intercambiados entre el originador y maquinas destinatarias.
La subcapa por debajo del LLC es el Control de Acceso a Medios (MAC). En ocasiones, esta se refiere a la subcapa que determina a quien se le permite acceder a los medios en un momento cualquiera (habitualmente CSMA/CD), y en otras ocasiones esta expresion se refiere a una estructura de tramas con direcciones MAC en su interior. En general existen dos formas de control de acceso a los medios: distribuida y centralizada. La subcapa de Control de Acceso a los Medios determina tambien donde finaliza una trama de datos y comienza la siguiente.
Continuando con la figura 1, en una implementacion de la presente solicitud, el modulo de mapeo 110 lleva a cabo el mapeo de la capa 3. La capa 3, o capa de red, es la tercera capa de entre siete en el modelo OSI y la tercera capa de entre cinco en el modelo TCP/IP. Esencialmente, la capa de red es responsable de la entrega de paquetes de extremo a extremo (de origen a destino), mientras que la capa de enlace de datos es responsable de la entrega de tramas de nodo a nodo (de salto a salto). La capa de red proporciona los medios funcionales y procedimentales de transferencia de secuencias de datos de longitud variable desde un origen a un destino por medio de una o mas redes, al mismo tiempo que manteniendo la calidad de servicio, y funciones de control de errores. La capa de red trata la transmision de informacion en todo su trayecto desde el origen al destino.
Llevando a cabo el descubrimiento multi-nivel, el modulo de mapeo 110 se aprovecha de multiples metodos de descubrimiento para proporcionar un mapa de topologfa integrada de capa 3 y capa 2 OSI que incluye
• Direccion IP
• Direccion MAC
• Ultimo usuario que ha iniciado sesion (requiere los Clientes Respondedores opcionales)
• Nombre de DNS
• Nombre de nodo (determinado por el SNMP u otro protocolo de cliente)
• Conexion de puertos de conmutacion
Este descubrimiento multi-nivel de datos de infraestructura de la red proporciona a los ingenieros de la misma un acceso sencillo a caracterfsticas significativas con ahorro de tiempo, incluyendo una representacion automatizada de topologfa en niveles, para mostrar encaminadores y subredes, conmutadores y concentradores gestionados adicionalmente, o de manera adicional nodos extremos que se pueden filtrar por tipo o grupo para mejorar aun mas la precision de las distribuciones.
Continuando con la figura 1, la unidad de mapeo de DC de AD 100 incluye ademas una unidad de descubrimiento de DC de AD 120. En particular, una vez que el modulo de mapeo 110 ha formado el mapa de topologfa, la unidad de descubrimiento de DC de AD 120 puede usar estos datos de mapeo para determinar las ubicaciones del DC de AC 1a dentro de la red 10 del modulo.
La unidad de descubrimiento de DC de AD 120 usa ordenes 121 del Protocolo Ligero de Acceso a Directorios (LDAP) para formar consultas y analisis de datos devueltos con el fin de identificar el DC de AD, y a continuacion integra los dispositivos que ejecutan el LDAP en el mapa topologico.
El LDAP es un protocolo de aplicacion para consultar y modificar servicios de directorio que se ejecuta sobre TCP/IP. Un directorio es un conjunto de objetos con atributos similares organizados de una manera logica y jerarquica. El ejemplo mas comun es el directorio telefonico, el cual esta compuesto por una serie de nombres (ya sea de personas o bien de organizaciones) organizados alfabeticamente, presentando cada nombre una direccion y un numero de telefono adjuntos. Debido a este diseno basico (entre otros factores), el LDAP es usado normalmente por otros servicios para la autenticacion, a pesar de los problemas de seguridad que provoca esto.
Un arbol de directorio de LDAP refleja normalmente diversos lfmites politicos, geograficos y/o organizacionales, en funcion del modelo seleccionado. En la actualidad, las implantaciones del LDAP tienden a usar nombres del Sistema de Nombres de Dominio (DNS) para estructurar los niveles de la jerarqufa situados mas arriba. Mas en el interior del directorio podrfan aparecer entradas que representan personas, unidades organizacionales, impresoras, documentos, grupos de personas o cualquier otra cosa que represente una entrada de arbol dada (o multiples entradas).
En una serie de Solicitudes de Comentarios (RFCs) de la Via Convencional (Standard Track) del Grupo de Trabajo de Ingenierfa de Internet (IETF), segun se detalla en la RFC 4510, se especifica una version actual del LDAPv3.
Un cliente inicia una sesion de LDAP conectandose a un servidor de LDAP, por defecto en el puerto TCP 389. A continuacion, el cliente envfa solicitudes de operacion al servidor, y el servidor a su vez envfa respuestas. Con
5
10
15
20
25
30
35
40
45
50
55
60
65
algunas excepciones, no es necesario que el cliente espere por una respuesta antes de enviar la siguiente solicitud, y el servidor puede enviar las respuestas en cualquier orden. El cliente puede solicitar varias operaciones diversas.
El LDAP se define en terminos de ASN.1, y los mensajes de protocolo se codifican en el formato binario BER, y usa representaciones textuales para una serie de campos/tipos de ASN.1.
• El protocolo accede a directorios de LDAP:
• Un directorio es un arbol de entradas de directorio.
• Una entrada esta compuesta por un conjunto de atributos.
• Un atributo tiene un nombre (un tipo de atributo o descripcion de atributo) y uno o mas valores. Los atributos se definen en un esquema (vease mas adelante).
• Cada entrada tiene un identificador exclusivo: su Nombre Distintivo (DN). Este esta compuesto por su Nombre Distintivo Relativo (RDN) construido a partir de cierto(s) atributo(s) de la entrada, seguido por el DN de la entrada padre, siendo el DN un nombre de archivo completo y el RDN es un nombre de archivo relativo en una carpeta.
Un DN puede cambiar durante el tiempo de vida de la entrada, por ejemplo, cuando se mueven entradas dentro de un arbol. Para identificar de manera fiable e inequfvoca entradas, se podrfa proporcionar un UUID en el conjunto de los atributos operacionales de la entrada.
Un servidor contiene un subarbol que comienza a partir de una entrada especffica, por ejemplo, “dc=example,dc=com” y sus hijos. Los servidores tambien pueden contener referencias a otros servidores, con lo que un intento de acceso “ou=department,dc=example,dc=com” podrfa devolver una referencia o continuacion de referencia a un servidor que contiene esa parte del arbol de directorio. A continuacion, el cliente puede contactar con el otro servidor. Algunos servidores soportan tambien el encadenamiento, lo cual significa que el servidor contacta con el otro servidor y devuelve los resultados al cliente.
El LDAP rara vez define alguna ordenacion: el servidor puede devolver los valores en un atributo, los atributos en una entrada, y las entradas encontradas por una operacion de busqueda en cualquier orden. Esta caracterfstica se deduce de las definiciones formales, y una entrada se define como un conjunto de atributos, y un atributo es un conjunto de valores, y no es necesario que los conjuntos esten ordenados.
En una operacion de LDAP, el cliente asigna a cada solicitud un ID de Mensaje positivo, y la respuesta del servidor tiene el mismo ID de Mensaje. La respuesta incluye un codigo de resultado numerico que indica exito, alguna condicion de error o algunos otros casos especiales. Antes de la respuesta, el servidor puede enviar otros mensajes con otros datos de resultado. Por ejemplo, cada entrada encontrada por la operacion de Busqueda se devuelve en un mensaje del tipo mencionado.
La operacion de Busqueda de LDAP se puede usar tanto para buscar como para leer entradas. El servidor devuelve las entradas coincidentes y tal vez continuaciones de referencia (en cualquier orden), seguidas por el resultado final con el codigo de resultado. La operacion de Comparacion toma un DN, un nombre de atributo y un valor de atributo, y comprueba si la entrada nombrada contiene ese atributo con ese valor.
El contenido de las entradas en un subarbol esta gobernado por un esquema. El esquema define los tipos de atributo que las entradas de directorio pueden contener. Una definicion de atributo incluye una sintaxis, y la mayorfa de valores no binarios en el LDAPv3 usan una sintaxis de cadenas UTF-8. El esquema define clases de objeto. Cada entrada debe tener un atributo objectClass (clase de objeto), que contiene clases nombradas definidas en el esquema. La definicion del esquema de las clases de una entrada define que tipo de objeto puede representar la entrada - por ejemplo, una persona, organizacion o dominio. Las definiciones de clases de objeto enumeran tambien que atributos son obligatorios y cuales son opcionales. Por ejemplo, una entrada que representa una persona podrfa pertenecer a las clases “top” y “person”. La membresfa en la clase “person” requerirfa que la entrada contuviese los atributos “sn” y “cn”, y permitirfa que la entrada tambien contuviera “userPassword”, “telephoneNumber”, y otros atributos. Puesto que las entradas pueden pertenecer a multiples clases, cada entrada tiene un complejo de conjuntos de atributos opcionales y obligatorios formados a partir de la union de las clases de objeto que representa. Las ObjectClasses se pueden heredar, y una unica entrada puede tener multiples objectClasses para definir los atributos disponibles y requeridos de la propia entrada. Un aspecto paralelo al esquema de una objectClass es una definicion de clase y una instancia en la programacion orientada a objetos, que representan respectivamente una objectClass de LDAP y una entrada de LDAP.
El esquema incluye tambien otra diversa informacion que controla entradas de directorio. La mayorfa de elementos del esquema tiene un nombre y un Identificador de Objeto (OID) unico global. Los servidores de directorios pueden publicar el esquema de directorio que controla una entrada en un DN de base dado por el atributo operacional de
5
10
15
20
25
30
35
40
45
50
55
subesquema/subentrada de la entrada (un atributo operacional describe la operacion del directorio mas que la informacion de usuario y se devuelve unicamente a partir de una busqueda cuando la misma se solicita explfcitamente). Los administradores de servidores pueden definir sus propios esquemas ademas de los convencionales. A un esquema para representar personas individuales dentro de organizaciones se le denomina esquema de paginas blancas.
Haciendo referencia nuevamente a la figura 1, en una de las configuraciones, un usuario inicia sesion en la unidad de descubrimiento de DC de AD con acceso del administrador, y a continuacion el modulo de descubrimiento de DC de AD 120 accede a la base de datos de nodos 130 y dirige las funciones de LDAP sinteticas a los nodos identificados 1a, 1b en la red 10 para determinar el DC de Ad 1a en la red.
Una vez que esta informacion de la ubicacion del DC de AD 1a es localizada por el modulo de descubrimiento de DC de AD 120, la base de datos de nodos 130 se puede actualizar para reflejar esta informacion sobre las ubicaciones del DC de AD 1a, y la pantalla 140 puede visualizar especialmente el DC de AD 1a, por ejemplo designando el DC de AD 1a con un sfmbolo, color o grafico especial.
Haciendo referencia a continuacion a la figura 3, formas de realizacion de la presente solicitud se refieren a un metodo y descubrimiento de DC de AD 300, que incluye las etapas de determinar la topologfa de la red en la etapa 310, tal como los nodos y conexiones de la red. Por ejemplo, segun se ha descrito anteriormente, en la etapa 310, se pueden transferir datos sinteticos dentro de la red y se pueden rastrear los mismos para determinar la presencia y las relaciones de los diversos componentes de la red. Alternativamente, otras tecnicas de mapeo se basan en el mapeo de un conjunto conocido de nodos para determinar la relacion de los nodos.
A continuacion, se crean (enlazan) conexiones de LDAP en la etapa 320 para (a) el punto extremo (o un “servidor”) de LDAP del usuario actual. Alternativamente, si el usuario ha especificado una o mas credenciales de dominio, se crea un enlace con el punto extremo de LDAP asociado a esas credenciales. Se pueden crear conexiones de LDAP utilizando tecnicas y ordenes convencionales.
A continuacion, se usan ordenes de LPAD para localizar el DC de AD en la etapa 330. Por ejemplo, se puede llevar a cabo una busqueda de datos de LDAP utilizando las conexiones creadas para devolver cualquier Nombre de Dominio Totalmente Cualificado (FQDN) conocido de DC en las etapas 331 y 332. En particular, en la etapa 331, se lleva a cabo una busqueda del FQDN de DC en la unidad de organizacion. De manera similar, en la etapa 332, se lleva a cabo una busqueda del FQDN de DC en la configuracion especffica citada. De esta manera, se puede materializar un DC de AD localizado fuera del punto extremo de LDAP identificado en la etapa 320 utilizando los datos de mapeo de la etapa 310. En la busqueda del FQDN en las etapas 331 y 332, se puede usar la orden Idapsearch API (ldap_search_s()), y a continuacion se pueden efectuar iteraciones de cualquier (cualesquiera) respuesta(s) para su re-evaluacion. Esta(s) respuesta(s) contienen el FQDN de uno o mas DC.
A continuacion, en la etapa 333, se lleva a cabo una busqueda de Servidor de Nombres de Dominio (DNS) inverso para cada Controlador de Dominio (DC) descubierto en las etapas 331 y 332 con el fin de establecer una direccion IP para el DC. En la etapa 334, cualquier DC del cual se encuentra que tiene una direccion IP dentro de los intervalos de direcciones de red descubiertos en la etapa 310 se inserta en la lista existente de nodos descubiertos, identificado cada uno de ellos como DC. En la etapa 340, cada conexion de LDAP creada en la etapa 320 se cierra o desenlaza para devolver el nodo al estado original.
Tal como se ha descrito anteriormente, varias formas de realizacion de la invencion se pueden configurar en numerosos elementos ffsicos, o se pueden configurar en un unico elemento de red o pueden configurarse en una serie de elementos que tengan varias funciones de las dadas a conocer, distribuidas en todos ellos. El control del IP SLA u otras configuraciones de monitorizacion y otras funciones se puede llevar a cabo en diversos componentes de red, tales como en el equipo de usuario, en el servidor de VOIP, en una pasarela de acceso o en otro componente de red asociado a la red VOIP y pueden acceder a la red.
Un experto ordinario en la materia entendera que las formas de realizacion de la invencion antes descritas tienen se proporcionan a tftulo ilustrativo, y que la invencion se puede materializar en numerosas configuraciones segun se ha descrito anteriormente. De manera adicional, la invencion se puede implementar en forma de un programa de ordenador en un soporte legible por ordenador, controlando el programa de ordenador un ordenador o un procesador para llevar a cabo las diversas funciones que se describen como etapas de metodo y tambien descritas como elementos de hardware o hardware/software.

Claims (24)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Metodo para descubrir un controlador de dominio, DC, de directorio activo, AD, que comprende: mapear una topologfa de una red;
    crear una conexion de protocolo ligero de acceso a directorios, LDAP, por enlace a un punto extremo de LDAP;
    usar ordenes de LDAP para llevar a cabo una busqueda de LDAP del DC de AD utilizando la conexion de LDAP creada, y devolver por lo menos un nombre de dominio totalmente cualificado, FQDN, de un DC de AD descubierto; y
    desenlazarse del punto extremo de LDAP,
    en el que el mapeo de la topologfa de la red comprende buscar nodos en un numero predefinido de direcciones del protocolo de internet, ip, y repetir la busqueda para un numero predefinido de saltos.
  2. 2. Metodo segun la reivindicacion 1, en el que el mapeo de una topologfa de una red comprende: transferir datos sinteticos dentro de la red; y
    rastrear los datos sinteticos.
  3. 3. Metodo segun la reivindicacion 1, en el que el mapeo de la topologfa de la red ademas comprende: determinar la conectividad de la capa 2 y de la capa 3 a partir de cualesquiera nodos descubiertos; correlacionar los datos de direccion de la capa 2 y de la capa 3; y
    determinar la conectividad de red de direcciones ip descubiertas.
  4. 4. Metodo segun la reivindicacion 1, en el que el mapeo de la topologfa de la red comprende recibir y almacenar preferencias de usuario que comprenden el tamano del bloque de direcciones ip y el numero de saltos.
  5. 5. Metodo segun la reivindicacion 1, en el que el enlace del punto extremo de LDAP comprende crear una conexion de LDAP con un punto extremo de LDAP actual.
  6. 6. Metodo segun la reivindicacion 1, en el que el enlace del punto extremo de LDAP comprende crear un enlace de LDAP con un nodo asociado a credenciales de dominio especificadas por el usuario.
  7. 7. Metodo segun la reivindicacion 1, en el que el uso de las ordenes de LDAP para llevar a cabo una busqueda del DC de AD comprende:
    llevar a cabo una busqueda del servidor de nombres de dominio, DNS, inverso para cada DC de AD descubierto con el fin de establecer una direccion ip para el DC de AD;
    insertar, en una lista, un DC de AD descubierto que tiene una direccion ip dentro de unos intervalos de direcciones de red descubiertos en el mapeo.
  8. 8. Metodo segun la reivindicacion 1, en el que la devolucion de por lo menos un FQDN comprende: buscar el FQDN de controladores de dominio en una unidad de organizacion; y
    buscar el FQDN de controladores de dominio en una configuracion especffica citada.
  9. 9. Aparato para descubrir un controlador de dominio, DC, de directorio activo, AD, comprendiendo el aparato: un servidor configurado para
    mapear una topologfa de una red;
    crear un protocolo ligero de acceso a directorios, LDAP, por enlace a un punto extremo de LDAP;
    usar ordenes de LDAP para llevar a cabo una busqueda de LDAP del DC de AD utilizando la conexion de LDAP creada, y devolver por lo menos un nombre de dominio totalmente cualificado, FQDN, de un DC de AD descubierto; y
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    desenlazarse del punto extremo de LDAP,
    en el que, cuando se mapea la topologfa de la red, el servidor esta configurado ademas para buscar nodos en un numero predefinido de direcciones ip y repetir la busqueda para un numero predefinido de saltos.
  10. 10. Aparato segun la reivindicacion 9, en el que, cuando se mapea la topologfa de la red, el servidor esta configurado para
    transferir datos sinteticos dentro de la red, y rastrear los datos sinteticos.
  11. 11. Aparato segun la reivindicacion 9, en el que, cuando se mapea la topologfa de la red, el servidor esta configurado ademas para:
    determinar la conectividad de la capa 2 y de la capa 3 a partir de cualesquiera nodos descubiertos; correlacionar los datos de direccion de la capa 2 y de la capa 3; y determinar la conectividad de red de direcciones IP descubiertas.
  12. 12. Aparato segun la reivindicacion 9, en el que, cuando se mapea la topologfa de la red, el servidor esta ademas configurado para:
    recibir y almacenar preferencias de usuario que comprenden el tamano del bloque de direcciones ip y el numero de saltos.
  13. 13. Aparato segun la reivindicacion 9, en el que, cuando se enlaza el punto extremo de LDAP, el servidor esta configurado ademas
    para crear una conexion de LDAP con un punto extremo de LDAP actual.
  14. 14. Aparato segun la reivindicacion 9, en el que, cuando se enlaza el punto extremo de LDAP, el servidor esta configurado ademas para crear un enlace de LDAP con un nodo asociado a credenciales de dominio especificadas por el usuario.
  15. 15. Aparato segun la reivindicacion 9, en el que, cuando se usan las ordenes de LDAP para llevar a cabo una busqueda del DC de AD, el servidor esta configurado ademas para:
    llevar a cabo una busqueda del servidor de nombres de dominio, DNS, inverso para cada DC de AD descubierto, con el fin de establecer una direccion ip para el DC de AD;
    insertar, en una lista, un DC de AD descubierto que tiene una direccion ip dentro de unos intervalos de direcciones de red descubiertos en el mapeo.
  16. 16. Aparato segun la reivindicacion 15, en el que, cuando se devuelve por lo menos un FQDN, el servidor esta configurado ademas para:
    buscar el FQDN de controladores de dominio en una unidad de organizacion; y buscar el FQDN de controladores de dominio en una configuracion espedfica citada.
  17. 17. Programa de ordenador para descubrir un controlador de dominio, DC, de directorio activo, AD, materializado en un soporte legible por ordenador, no transitorio, estando el programa de ordenador configurado para controlar un procesador, con el fin de llevar a cabo operaciones, que comprenden:
    mapear una topologfa de una red;
    crear una conexion de protocolo ligero de acceso a directorios, LDAP, por enlace a un punto extremo de LDAP;
    usar ordenes de LDAP para llevar a cabo una busqueda de datos de LDAP del DC de AD utilizando la conexion de LDAP creada, y devolver por lo menos un nombre de dominio totalmente cualificado, FQDN, de un DC de AD descubierto; y
    desenlazarse del punto extremo de LDAP,
    5
    10
    15
    20
    25
    30
    35
    40
    en el que el mapeo de la topologfa de la red comprende buscar nodos en un numero predefinido de direcciones ip y repetir la busqueda para un numero predefinido de saltos.
  18. 18. Programa de ordenador segun la reivindicacion 17, en el que el mapeo de una topologfa de una red comprende: transferir datos sinteticos dentro de la red; y rastrear los datos sinteticos.
  19. 19. Programa de ordenador segun la reivindicacion 17, en el que el mapeo de la topologfa de la red ademas comprende:
    determinar la conectividad de la capa 2 y de la capa 3 a partir de cualesquiera nodos descubiertos; correlacionar los datos de direccion de la capa 2 y de la capa 3; y determinar la conectividad de la red de direcciones ip descubiertas.
  20. 20. Programa de ordenador segun la reivindicacion 17, en el que el mapeo de la topologfa de la red comprende recibir y almacenar preferencias de usuario que comprenden el tamano del bloque de direcciones ip y el numero de saltos.
  21. 21. Programa de ordenador segun la reivindicacion 17, en el que el enlace del punto extremo de LDAP comprende crear una conexion de LDAP con un punto extremo de LDAP actual.
  22. 22. Programa de ordenador segun la reivindicacion 17, en el que el enlace del punto extremo de LDAP comprende crear un enlace de LDAP con un nodo asociado a credenciales de dominio especificadas por el usuario.
  23. 23. Programa de ordenador segun la reivindicacion 17, en el que el uso de las ordenes de LDAP para buscar el DC de AD comprende:
    llevar a cabo una busqueda del servidor de nombres de dominio, DNS, inverso para cada DC de AD descubierto, con el fin de establecer una direccion ip para el DC de AD;
    insertar, en una lista, un DC de AD descubierto que tiene una direccion ip dentro de unos intervalos de direcciones de una red descubiertos en el mapeo.
  24. 24. Programa de ordenador segun la reivindicacion 23, en el que la devolucion de por lo menos un FQDN comprende:
    buscar el FQDN de controladores de dominio en una unidad de organizacion; y buscar el FQDN de controladores de dominio en una configuracion especffica citada.
ES09746900.1T 2008-05-15 2009-04-03 Descubrimiento y visualización de controladores de dominio de directorio activo en mapas topológicos de redes Active ES2562448T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/153,273 US8045486B2 (en) 2008-05-15 2008-05-15 Discovery and visualization of active directory domain controllers in topological network maps
US153273 2008-05-15
PCT/US2009/002119 WO2009139810A2 (en) 2008-05-15 2009-04-03 Discovery and visualization of active directory domain controllers in topological network maps

Publications (1)

Publication Number Publication Date
ES2562448T3 true ES2562448T3 (es) 2016-03-04

Family

ID=41279523

Family Applications (1)

Application Number Title Priority Date Filing Date
ES09746900.1T Active ES2562448T3 (es) 2008-05-15 2009-04-03 Descubrimiento y visualización de controladores de dominio de directorio activo en mapas topológicos de redes

Country Status (7)

Country Link
US (1) US8045486B2 (es)
EP (1) EP2294792B1 (es)
DK (1) DK2294792T3 (es)
ES (1) ES2562448T3 (es)
PL (1) PL2294792T3 (es)
PT (1) PT2294792E (es)
WO (1) WO2009139810A2 (es)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100146132A1 (en) * 2008-12-04 2010-06-10 Morris Robert P Methods, Systems, And Computer Program Products For Accessing A Resource Having A Network Address Associated With A Location On A Map
US20100145963A1 (en) * 2008-12-04 2010-06-10 Morris Robert P Methods, Systems, And Computer Program Products For Resolving A Network Identifier Based On A Geospatial Domain Space Harmonized With A Non-Geospatial Domain Space
US7933272B2 (en) * 2009-03-11 2011-04-26 Deep River Systems, Llc Methods and systems for resolving a first node identifier in a first identifier domain space to a second node identifier in a second identifier domain space
US20100250777A1 (en) * 2009-03-30 2010-09-30 Morris Robert P Methods, Systems, And Computer Program Products For Resolving A First Source Node Identifier To A Second Source Node Identifier
US9442810B2 (en) * 2009-07-31 2016-09-13 Paypal, Inc. Cloud computing: unified management console for services and resources in a data center
US20110302265A1 (en) * 2010-06-03 2011-12-08 Microsoft Corporation Leader arbitration for provisioning services
US8763158B2 (en) * 2010-12-06 2014-06-24 Microsoft Corporation Directory service distributed product activation
US8621057B2 (en) * 2011-03-07 2013-12-31 International Business Machines Corporation Establishing relationships among elements in a computing system
EP2807574A4 (en) 2012-01-24 2015-11-18 L 3 Comm Corp METHODS AND APPARATUS FOR MANAGING NETWORK TRAFFIC
US20130311386A1 (en) 2012-05-18 2013-11-21 Mehdi Tehranchi System and method for creating and managing encapsulated workflow packages
CN103678351A (zh) * 2012-09-11 2014-03-26 华为技术有限公司 通讯录获取的方法、装置和服务器
US9081840B2 (en) 2012-09-21 2015-07-14 Citigroup Technology, Inc. Methods and systems for modeling a replication topology
US9787546B2 (en) 2013-08-07 2017-10-10 Harris Corporation Network management system generating virtual network map and related methods
US20150067144A1 (en) * 2013-09-03 2015-03-05 Stephen Kent Scovill Method and System for Detecting Network Printers without Prior Knowledge of Network Topology
US10511566B2 (en) 2013-11-11 2019-12-17 Amazon Technologies, Inc. Managed directory service with extension
US10908937B2 (en) 2013-11-11 2021-02-02 Amazon Technologies, Inc. Automatic directory join for virtual machine instances
TW201521405A (zh) 2013-11-29 2015-06-01 萬國商業機器公司 查找網路纜線連接器之方法、資訊設備及程式產品
US10708137B2 (en) 2014-08-07 2020-07-07 Ent. Services Development Corporation Lp Active directory topology creation
US10628186B2 (en) 2014-09-08 2020-04-21 Wirepath Home Systems, Llc Method for electronic device virtualization and management
US9871691B2 (en) 2014-09-16 2018-01-16 CloudGenix, Inc. Methods and systems for hub high availability and network load and scaling
US10509663B1 (en) * 2015-02-04 2019-12-17 Amazon Technologies, Inc. Automatic domain join for virtual machine instances
US9992082B2 (en) * 2015-12-04 2018-06-05 CENX, Inc. Classifier based graph rendering for visualization of a telecommunications network topology
US10462020B2 (en) * 2017-02-16 2019-10-29 Cisco Technology, Inc. Network device user interface
US10887192B2 (en) * 2018-08-03 2021-01-05 Red Hat, Inc. Targeted network discovery and visualizations
US20220200973A1 (en) * 2019-04-15 2022-06-23 Bear System, LLC Blockchain schema for secure data transmission
US11483143B2 (en) * 2019-04-15 2022-10-25 Smart Security Systems, Llc Enhanced monitoring and protection of enterprise data
US11397805B2 (en) * 2019-05-09 2022-07-26 Microsoft Technology Licensing, Llc Lateral movement path detector
US11509717B2 (en) * 2019-11-13 2022-11-22 Microsoft Technology Licensing, Llc Cross datacenter read-write consistency in a distributed cloud computing platform
US20220038502A1 (en) * 2020-07-30 2022-02-03 9287-2621 Québec inc. Method and system for processing authentication requests
CN114553707B (zh) * 2020-11-26 2023-09-15 腾讯科技(深圳)有限公司 网络的拓扑信息的生成和网络故障的定界方法、装置
CN114697227A (zh) * 2020-12-31 2022-07-01 中兴通讯股份有限公司 一种网络连接性还原的方法、系统及还原数据显示方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5968121A (en) * 1997-08-13 1999-10-19 Microsoft Corporation Method and apparatus for representing and applying network topological data
US6622170B1 (en) * 1999-09-10 2003-09-16 International Business Machines Corporation System and method for DEN/LDAP client database access with a backoff capability
US7320026B2 (en) * 2002-06-27 2008-01-15 At&T Bls Intellectual Property, Inc. Intersystem messaging using ENUM standard
US7533012B2 (en) * 2002-12-13 2009-05-12 Sun Microsystems, Inc. Multi-user web simulator
US20050086306A1 (en) * 2003-03-14 2005-04-21 Lemke Ralph E. Providing background delivery of messages over a network
US7263173B2 (en) * 2003-06-30 2007-08-28 Bellsouth Intellectual Property Corporation Evaluating performance of a voice mail system in an inter-messaging network
EP1782246B1 (en) * 2004-07-07 2020-02-12 Sciencelogic, LLC Self configuring network management system
JP4001138B2 (ja) * 2004-09-10 2007-10-31 コニカミノルタビジネステクノロジーズ株式会社 通信装置、ネットワークパラメータ設定方法およびネットワークパラメータ設定プログラム
US20060092948A1 (en) * 2004-10-28 2006-05-04 Microsoft Corporation Securing lightweight directory access protocol traffic
US7814322B2 (en) * 2005-05-03 2010-10-12 Sri International Discovery and authentication scheme for wireless mesh networks
JP4875958B2 (ja) * 2005-10-28 2012-02-15 株式会社リコー 文書管理システム
WO2008060320A2 (en) * 2006-03-30 2008-05-22 Major Gadget Software, Inc. Method and system for enterprise network access control and management for government and corporate entities
US7562075B2 (en) * 2006-12-07 2009-07-14 International Business Machines Corporation Change approvals for computing systems
US7917609B2 (en) * 2007-08-24 2011-03-29 International Business Machines Corporation Method and apparatus for managing lightweight directory access protocol information
US8732692B2 (en) * 2007-11-07 2014-05-20 Bayerische Motoren Werke Aktiengesellschaft Deployment and management framework
ES2908740T3 (es) * 2008-01-23 2022-05-03 Ericsson Telefon Ab L M Selección de un nodo de borde en una red de comunicaciones de acceso fijo

Also Published As

Publication number Publication date
WO2009139810A2 (en) 2009-11-19
WO2009139810A3 (en) 2010-01-21
PT2294792E (pt) 2016-03-08
PL2294792T3 (pl) 2016-06-30
DK2294792T3 (en) 2016-04-11
US20090285120A1 (en) 2009-11-19
US8045486B2 (en) 2011-10-25
EP2294792B1 (en) 2016-01-06
EP2294792A2 (en) 2011-03-16

Similar Documents

Publication Publication Date Title
ES2562448T3 (es) Descubrimiento y visualización de controladores de dominio de directorio activo en mapas topológicos de redes
CN113169891B (zh) 通过软件定义的操作管理及维护来识别和解决结构网络中的算法问题
Lowekamp et al. Topology discovery for large ethernet networks
US9608883B2 (en) Network classification
ES2551727T3 (es) Uso de un protocolo de árbol de expansión (STP) para mejorar mapas de topología de red de la capa 2
KR101201072B1 (ko) 자원 요청을 대응하는 자원과 랑데뷰시키는 방법 및 시스템
CN113452561B (zh) 一种拓扑生成方法、装置、设备及可读存储介质
CN112956158B (zh) 结构数据平面监视
CN113746760B (zh) 通信方法、网络控制器和计算机可读存储介质
ES2398956T3 (es) Método y aparato para tomar prestados parámetros para la configuración de un traductor de direcciones de red
US11038889B2 (en) System and method for migrating existing access control list policies to intent based policies and vice versa
US11716250B2 (en) Network scale emulator
US20210075767A1 (en) Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall
KR20130101618A (ko) 네트워크 가상화에 기반한 네트워크 운용 시스템 및 방법
Gedeon et al. Sunstone: Navigating the way through the fog
KR20160092382A (ko) 계층화된 도메인 기반의 네트워크 구조에서 라우터의 도메인 라우팅 테이블 관리 방법
Spring Efficient discovery of network topology and routing policy in the Internet
Strowes Compact routing for the future internet
Yang et al. Towards flexible management in enterprise network: an enhanced routing protocol
Jerez et al. The internet transient network architecture: A comparative description
Castro et al. Zero servers with zero broadcasts
Louati et al. A Dynamic VPN management architecture for Personal Networks
Windmill A Hierarchical Geographically Based Routing Model For Improved Localised Routing
MacLarty et al. Towards a platform for wide-area overlay network deployment and management
CN115174078A (zh) 量子密钥协商方法、装置、计算机设备及可读介质