Разное

Домен active directory: ОС АЛЬТ — Как ввести компьютер в домен Active Directory

13.12.2004

Содержание

FreeNAS 11.3 & Active Directory Domain

Пытаюсь вывести FreeNAS 11.3 в домен Active Directory на базе WinServ2012R2. Пока безуспешно. Подскажите куда копать?
Руководствовался этим мануалом: https://www.ixsystems.com/documentation/freenas/11.3-RELEASE/directoryservices.html

Параметры моей сети: Адрес FreeNAS 172.16.5.25, контроллер домена pdc.skynet.lz, адрес DNS 172.16.5.3, Адрес шлюза 172.16.5.1, адрес NTP сервера 172.16.5.10 маска в сегменте сети /27.

Время на FreeNAS и AD контроллере одинаковое. Контроллер домена резолвится:

[email protected][~]# nslookup pdc
Server: 172.16.5.3
Address: 172.16.5.3#53

Name: pdc.skynet.lz
Address: 172.16.5.3

Во вложениях скриншоты настроек. При сохранении ошибок не наблюдаю, при этом на DNS сервере запись не создается. Если пытаюсь ввести через консоль получаю следущее:

[email protected][~]# net ads join -S pdc -U rufus
Enter rufus’s password:
ads_print_error: AD LDAP ERROR: 19 (Constraint violation): 000021C7: AtrErr: DSID-03200BE2, #1:

0: 000021C7: DSID-03200BE2, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90303 (servicePrincipalName)

Failed to join domain: Failed to set machine spn: Constraint violation
Do you have sufficient permissions to create machine accounts?
[email protected][~]#

Вот еще:

[email protected][~]# wbinfo -u
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
Error looking up domain users

[email protected][~]# wbinfo -t
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
checking the trust secret for domain (null) via RPC calls failed

failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret

При этом:

[email protected][~]# kinit
[email protected]’s Password:
Проходит без ошибок.

Отмечу что при этом пользователь с правами администратора домена, вывод в домен машин windows и linux проблем не вызывал.

Проблема с сертификатами? Куда копать подскажите?

Также днем наблюдал такую ошибку:

WARNING
Attempt to connect to netlogon share failed with error: [EFAULT] could not obtain winbind interface details: Winbind daemon is not available. could not obtain winbind domain name! failed to call wbcPingDc: Winbind daemon is not available..

Я не силен в BSD и это мое первое знакомство.

Создание и управление сайтами Active Directory

В этой статье мы рассмотрим два важных элемента инфраструктуры Active Directory – сайты и подсети. Сайты в ADDS используются для объединения контроллеров домена и клиентов в контейнеры, которые отображают физическую топология вашей корпоративной сети. С помощью сайтов можно оптимизировать WAN трафик между подразделениями компании в разных городах/странах. Вы можете привязать к каждому сайту несколько TCP/IP подсетей, благодаря чему клиенты могут легко найти ближайший к ним контроллер домена Active Directory.

Сайт AD это набор подсетей, соединенных быстрым каналом обмена данных и используются траффиком репликации Active Directory. Таким образом один сайт может включать в себя несколько областей IP адресов. Имена подсетей указываются в формате сеть/битовая маска, например, 192.168.19.0/24.

При создании первого контроллера домена Active Directory, создается сайт с именем Default-First-Site-Name. Новый DC и все последышей по-умолчанию размещаются в этом сайте.

Допустим, в вашей организации имеется головной офис и два филиала в разных городах. Ваша задача – создать правильную архитектуру сайтов и подсетей AD.

Для управления сайтами и подсетями AD используется mmc оснастка Active Directory Sites and Services (dssite.msc). По-умолчанию в консоли есть только один сайт Default-First-Site-Name. Переименуем его в HQ.

Совет. Вы можете переименовать сайт с помощью PowerShell:

Get-ADReplicationSite Default-First-Site-Name | Rename-ADObject -NewName MKSCenter

Теперь создадим 2 новый сайта:

Щелкните правой кнопкой по Sites -> New Site.

Укажите имя сайта, выберите имя связи (по умолчанию это DEFAULTSITELINK с транспортом IP) и нажмите OK. Создайте еще один сайт.

Теперь нужно создать IP подсети и добавить их в соответствующий сайт. Список IP подсетей находится в разделе Subnets и по умолчанию пуст.

Создайте новую подсеть Subnets

-> New Subnet.

Укажите IPv4 подсеть и ее маску в формате 192.168.1.0/24 и привяжите ее к нужному сайту.

Аналогичным образом создайте все остальные IP подсети вашей организации и привяжите их к сайтам Active Directory.

Можно создать подсеть и добавить ее в сайт AD с помощью PowerShell:

New-ADReplicationSubnet -Name “192.168.100.0/24” -Site "HQ"

Чтобы вывести все IP подсети, выполните команду:

Get-ADReplicationSubnet -Filter *

После создания сайтов и подсетей вы можете устанавливать дополнительные контроллеры домена в новых сайтах. При установке нового DC он будет автоматически помещен в сайт, к которому привязана IP подсеть контроллера домена. Если для подсети контроллера домена не назначено сайта, то он будет помещен в сайт, который санкционировал повышение сервера до контроллера домена.

Для связи между сайтами используются Site links. Site link связывает 2 или более сайтов AD и соответствуют физической схеме подключения между сайтами. Например, если все три ваших сайта могут напрямую подключаться друг к другу, достаточно создать единственный site link, который включает 3 сайта.

Управлять сайт линками можно в той же консоли в разделе Inter-Site Transports -> IP. По умолчанию у нас имеется только один линк с именем DEFAULTSITELINK с тремя сайтами и расписанием репликации каждые 3 часа.

Синхронизация с Active Directory | Справка по комплексу СТАХАНОВЕЦ

Синхронизация предназначена для автоматического поддержания всех данных сотрудников и компании, сохраняемых в настройках комплекса, в актуальном состоянии. Все сделано таким образом, чтобы администраторы не выполняли двойную работу при изменении данных в Active Directory — не будет необходимости изменять эти данные в настройках комплекса. Примеры: уволился или добавился сотрудник, изменилась структура компании, добавились подчиненные у начальников и т.д.
Настроив автоматическую синхронизацию один раз, администратору не нужно будет посещать вкладки настроек «Пользователи базы», «Структура компании», «Досье сотрудников» — синхронизатор все будет выполнять сам автоматически (получая данные из Active Directory и записывая их в базу настроек комплекса).

Важно:
— Синхронизация возможна только при использовании Microsoft SQL Server (все возможности) или PostgreSQL (все кроме синхронизации прав).
— Настройки синхронизации, также как и саму синхронизацию, администратор может проводить со своей машины, которая входит или не входит в один из доменов компании.
— Если в компании несколько администраторов, то каждый может работать со своей машины.
— Вход в программу глобальных настроек может быть выполнен под администратором БД или же специально созданным пользователем через меню «Утилиты».
— Необходима учетная запись в домене, которая имеет права на чтение из Active Directory.
— Если в ходе синхронизации необходимо синхронизировать установки клиентских машин, то машина, с которой выполняется синхронизация, должна быть в домене, а также учетная запись в домене должна дополнительно иметь права на копирование файлов, запись в реестр и запуск служб на удаленных машинах домена.
— При удаленном доступе к контроллеру домена необходимо открыть на нем порт LDAP (обычно TCP 636 для защищенного LDAPS, или 389 для незащищенного соединения).

Вкладка «Вход»

Если пользователь Windows, под которым осуществлен запуск программы глобальных настроек, не имеет в домене нужных прав для осуществления синхронизации, то можно указать параметры входа в домен на этой вкладке.

Вкладка «Домены»

Здесь указывается список доменов компании, с которыми необходимо производить синхронизацию.
Между доменами должно быть установлено доверие (Trust).
Контроллер домена не является обязательным для указания (обязателен только при удаленном доступе).
Сервер комплекса может быть один для всех доменов или разный (в случае использования нескольких серверов).

Вкладка «Объекты»

Здесь указываются группы, OU или одиночные компьютеры/пользователи для трех типов синхронизации:

1) Синхронизация клиентских установок — указываются группы/машины, на которые должен быть установлен клиент комплекса. Таким образом, в ходе синхронизации происходит установка клиентов на те машины, где клиент еще не установлен. Автоматическое удаление клиентов также возможно, однако управляется настройкой на вкладке настроек

«Общие настройки» для компьютера. Там же находится и опция автоматического обновления клиентов.

2) Синхронизация выборочного наблюдения — указываются группы/пользователи, для которых будет выполняться выборочное наблюдение. Таким образом, вручную список пользователей на этой странице настроек заполнять будет не нужно. В ходе синхронизации список будет обновляться автоматически!

3) Синхронизация прав начальников

— указываются группы/пользователи в одной из ролей (см. ниже).
Роли начальников:
«Супервизор» — данному начальнику доступны отчеты по всем сотрудникам компании (все домены).
«Суперпользователь» — доступны отчеты только по сотрудникам своего домена.
«Пользователь» — настраиваемые вручную права. После синхронизации на вкладке настроек «Пользователи базы» необходимо самостоятельно выбрать отделы или сотрудников, за которыми будет наблюдать данный начальник.
«Начальник» — доступны отчеты по себе самому и своим подчиненным. Что это означает? Если для каких-то сотрудников в AD установлен «Manager» (начальник), то у этого начальника появится поле directReports, которое и будет использоваться для создания прав доступа. Т.е. данный начальник сможет наблюдать только за самим собой, своими подчиненными и подчиненными своих подчиненных (и т.д. рекурсивно по иерархии подчинения вниз).
Иногда бывает удобно проводить синхронизацию роли «Начальник» с обратной логикой поиска, т.е. не указывать конкретных начальников, а искать их проходом среди всех пользователей домена анализируя определенный атрибут AD (обычно manager) каждого сотрудника (т.е. от сотрудника к его начальнику). В таком случае нужно выбрать тип «Атрибут AD для роли «Начальник»» и указать нужный атрибут AD (обычно manager). Если в структуре AD может быть несколько начальников для сотрудника, то необходимо добавить каждый атрибут как отдельный объект.
Приоритеты ролей: если один начальник входит сразу в несколько ролей, то для решения данного конфликта приоритеты расставлены в вышеописанном порядке.
В ходе синхронизации происходит заполнение данных на вкладке «Пользователи базы».

Внимание! Стандартные группы «Компьютеры домена» и «Пользователи домена» использовать нельзя! Вместо этого нужно указывать сам домен в таком же формате (DC=…,DC=…).

Вкладка «Профили»

Аналогично предыдущей вкладке «Объекты», но только указываются группы, OU или одиночные компьютеры/пользователи для сопоставления их с профилями клиентских настроек. См. раздел «Группы» в настройках комплекса.
Данная вкладка служит для того, чтобы не заполнять вручную раздел «Группы» в настройках комплекса, а синхронизировать с Active Directory.
Важно! Если пользователь входит в две и более групп, которые выбраны здесь и для которых установлены разные профили настроек, то конечная выборка профиля настроек для этого пользователя будет непредсказуемой!
См. также опцию удаления перед синхронизацией на вкладке «Настройки»!

Вкладка «Отделы»

В больших компаниях может быть необходимо выполнять синхронизацию только лишь с выбранными отделами/подразделениями в AD, а не со всей иерархией. В таком случае необходимо выбрать нужные контейнеры AD на этой вкладке (выбранный отдел автоматически включит все отделы нижнего уровня!). Если же данный список пуст, то синхронизация будет производиться полностью по всей иерархии домена(ов).

Вкладка «Клиентские машины»

Здесь можно посмотреть список машин, на которые уже установлен клиент и тех машин, на которые должен быть установлен клиент, но еще не установлен.
Существует возможность вручную выбрать и установить клиентов на машины.
Удаленная установка осуществляется этим способом.

Вкладка «Настройки»

Здесь настраиваются параметры синхронизации:
«Игнорировать отключенные учетные записи» — если учетная запись компьютера или пользователя AD отключена, то обрабатываться синхронизатором не будет.
«Пинговать машины перед установкой клиента» — рекомендуется для ускорения процесса установки (для выключенных машин).
«Таймаут пинга» — время в мсек ожидания ответа от клиентской машины. Если в логах частые ошибки 11010 при включенных машинах, то имеет смысл увеличить данное значение.
«Название компании» — используется при синхронизации иерархии как верхний ее уровень.
«Строить иерархию на базе групп» — игнорировать реальное расположение компьютеров/пользователей в иерархии Active Directory и вместо этого строить иерархию используя группы, в которых находятся компьютеры/пользователи.
«Опции синхронизации досье» — указывайте названия атрибутов AD для синхронизации досье.
«Базовые права по умолчанию для ролей при синхронизации прав» — опционально можно установить базовые права по умолчанию при синхронизации прав для той или иной роли. Для этого создайте пользователя базы с SQL-логином (не Windows-логином!) на вкладке «Пользователи базы» и установите нужные вам его базовые права, далее выберите или впишите его логин в соотв. поле для нужной роли на этой странице. Важно заметить, что данные права будут присвоены пользователю БД при первом его создании в ходе синхронизации, но не последующих его обновлениях (если он уже был создан) в следующих циклах синхронизации!
«Удалять перед синхронизацией» (для профилей клиентских настроек) — по умолчанию перед синхронизацией профилей клиентских настроек все уже установленные в базе сопоставления пользователь-профиль и компьютер-профиль удаляются и далее проводится синхронизация с добавлением. При таком сценарии установленные вручную сопоставления для машин и пользователей, не входящих в домен (как пример) будут удаляться всякий раз после синхронизации с доменом. Для решения проблемы укажите через запятую маски для пользователей/компьютеров, которые должны быть удалены перед синхронизацией. Например, вы желаете обновлять при синхронизации только сопоставления для пользователей/компьютеров домена COMPANY, а все остальные собираетесь настраивать вручную, в таком случае в строке нужно указать: *.COMPANY,COMPANY\* (для компьютера используется формат ИМЯ.ДОМЕН, а для пользователя ДОМЕН\ИМЯ).
«Настройки очистки лога» — очистка лога также происходит в ходе синхронизации.

Вкладка «Синхронизация»

Можно выполнить синхронизацию вручную (будет создан новый консольный процесс) или же добавить задание в планировщик заданий Windows для автоматической синхронизации по расписанию.
Важно: задание в планировщике должно выполняться от имени текущего пользователя Windows!

Вкладка «Лог»

Здесь можно смотреть результаты работы как ручной, так и автоматической синхронизации, а также отслеживать изменения настроек.

Какие параметры не синхронизируются и меняются вручную

После успешной синхронизации можно менять вручную следующие параметры, которые не подлежат синхронизации:
— На вкладке «Пользователи базы» все пользователи с логинами SQL (не логины Windows).
— На вкладке «Пользователи базы» для пользователей с логинами Windows «Базовые права».
— На вкладке «Пользователи базы» для пользователей с логинами Windows «Доп. запреты» для роли «Пользователь».
— На вкладке «Досье сотрудников» все досье пользователей, не входящих в состав домена(ов).
— На вкладке «Досье сотрудников» параметр «Профиль».

Как настроить автоматическую отправку отчетов начальникам/сотрудникам

После успешной синхронизации можно вручную настроить права начальникам на отправку отчетов (вкладка «Пользователи базы») если в этом есть необходимость.
Далее эти начальники хотя бы один раз должны зайти в свой «Личный кабинет» (через веб-интерфейс БОСС) и включить там авто-генерацию отчетов.
Чтобы сотрудники могли получать отчеты на свои e-mail о своих же действиях необходимо указание их e-mail в карточке AD, а также включение соотв. разрешения в правах их начальника (лучше это разрешение включить у начальника верхнего уровня иерархии подчинения, а не у множества нижестоящих начальников).
Опции генерации отчетов должны быть настроены в серверных настройках (разделы «Генератор отчетов»).

Установка контроллера домена Active Directory в Windows Server 2008 R2

В данном руководстве подробно описан и продемонстрирован процесс установки роли Active Directory Domain Services (контроллер домена) на Windows Server 2008 R2.

Для установки роли Active Directory Domain Services на Windows Server 2008 R2 потребуется компьютер, под управлением Windows Server 2008 R2 (О том как установить Windows Server 2008 R2 можно прочитать в данной статье: «Установка и активация Windows Server 2008 R2 с USB флешки» ).

.

I. Настройка имени сервера и статического IP-адреса

1. Откройте окно диспетчера сервера и выберите Изменить свойства системы (Рис.1).

Рис.1

.

2. В Свойствах системы выберите вкладку Имя компьютера и нажмите Изменить… . В появившемся окне укажите новое имя сервера в поле Имя компьютера, затем нажмите ОК (Рис.2).

Рис.2

.

3. Система предупредит о том, что для применения новых настроек необходимо перезагрузить сервер. Нажмите кнопку ОК (Рис.3).

Рис.3

.

4. После перезагрузки сервера откройте окно диспетчера сервера и выберите Отобразить сетевые подключения (Рис.4).

Рис.4

.

5. В открывшемся окне Сетевые подключения нажмите правой кнопкой мыши на сетевом подключении и выберите пункт Свойства. В появившемся окне выделите Протокол Интернета версии 4 (TCP/IPv4) и нажмите Свойства (Рис.5).

Рис.5

.

6. В свойствах, на вкладке Общие выберите пункт Использовать следующий IP-адрес. В соответствующие поля введите свободный IP-адрес, маску подсети и основной шлюз. Затем выберите пункт Использовать следующие адреса DNS-серверов. В поле предпочитаемый DNS-сервер введите IP-адрес сервера, после чего нажмите ОК (Рис.6).

Примечание! В данном руководстве, в качестве примера, был выбран свободный IP-адрес 192.168.0.104, маска подсети установлена по умолчанию 255.255.255.0, а в качестве основного шлюза выступает Wi-Fi роутер с адресом 192.168.0.1. Помните, что предпочитаемый DNS-сервер должен совпадать с введённым выше IP-адресом сервера.

Рис.6

.

II. Установка роли Active Directory Domain Services

1. Откройте окно диспетчера сервера, выберите пункт Роли, затем Добавить роли (Рис.7).

Рис.7

.

8. В появившемся окне нажмите Далее (Рис.8).

Рис.8

.

9. Выберите роль Доменные службы Active Directory, в появившемся окне нажмите Добавить необходимые компоненты (Рис.9).

Рис.9

.

10. Убедитесь, что после установки необходимых компонентов напротив Доменные службы Active Directory стоит галочка, затем нажмите Далее (Рис.10).

Рис.10

.

11. Ознакомьтесь с дополнительной информацией касательно роли Active Directory Domain Services, затем нажмите Далее (Рис.11).

Рис.11

.

12. Для начала установки роли нажмите Установить (Рис.12).

Рис.12

.

13. После окончания установки нажмите Закрыть (Рис.13).

Рис.13

.

14. Откройте Пуск и введите в поле поиска dcpromo, затем запустите файл dcpromo (Рис.14).

Рис.14

.

15. В открывшемся окне Мастера установки доменных служб Active Directory нажмите Далее (Рис.15).

Рис.15

.

16. Ознакомьтесь с дополнительной информацией касательно функционала Windows Server 2008 R2, затем нажмите Далее (Рис.16).

Рис.16

.

17. В данном руководстве рассматривается добавление нового леса, поэтому выберите пункт Создать новый домен в новом лесу, затем выберите Далее (Рис.17).

Рис.17

.

18. В поле Полное доменное имя корневого домена леса введите имя домена (прим. в данном руководстве это example.local, Вы можете выбрать любое другое), затем нажмите Далее (Рис.18).

ВАЖНО! Домен вида .local или аналогичный можно использовать в качестве тестового, однако, он имеет ряд недостатков, а именно: 1) Вы никак не сможете подтвердить владение им для получения публичного SSL-сертификата; 2) Такое имя невозможно использовать из внешней сети; 3) Данный способ именования вступает в противоречие с глобальным DNS, так как не гарантирует его уникальность что приводит к потенциальным коллизиям.
Рекомендуется создавать согласованное пространство имен. Например имея домен lyapidov.ru (который использует сайт), домен Active Directory делать суб-доменом, например: server.lyapidov.ru. Либо использовать разные домены например lyapidov.ru — для сайта, а lyapidov.net — для Active Directory.

Рис.18

.

19. Если вы добавляете новый лес и планируете в дальнейшем использовать серверы на базе операционной системы Windows Server 2008 R2, выберите в выпадающем списке Windows Server 2008 R2, затем нажмите Далее (Рис.19).

Рис.19

.

20. Установите галочку напротив DNS-сервер, затем нажмите Далее (Рис.20).

Рис.20

.

21. На данном этапе Мастер установки доменных служб Active Directory предупредит, что делегирование для этого DNS-сервера не может быть создано. Нажмите Далее (Рис.21).

Рис.21

.

22. Оставьте настройки по умолчанию и нажмите Далее (Рис.22).

Рис.22

.

23. Придумайте и введите пароль для режима восстановления служб каталогов в соответствующие поля, затем нажмите Далее (Рис.23).

Рис.23

.

24. В окне со сводной информацией по настройке сервера нажмите Далее (Рис.24).

Рис.24

.

25. Начнётся процесс настройки доменных служб Active Directory. Установите галочку напротив Перезагрузка по завершении, для того чтобы новые настройки вступили в силу (Рис.25).

Рис.25

.

26. После перезагрузки сервера войдите в систему.

.

Установка контроллера домена Active Directory в Windows Server 2008 R2 завершена!
.

Поделиться ссылкой:

Похожее

ITband.ru » Как не нужно называть домены Active Directory

Выбор имени домена задача несложная, но как показывает жизнь достаточно часто после запуска dcpromo имя домена генерируется случайным образом. Вроде и ничего страшного, домен работает, принтеры печатают, 1С открывается. Но увы есть ряд ситуаций, когда генерация случайным образом имени, если не выйдет вам боком, то хлопот однозначно добавит. В этой небольшой заметке я попытаюсь рассказать о том, как не стоит именовать ваши домены и почему. Информация хоть и известная, но реальная жизнь показывает, что ошибки в именовании просто повальные.  А поскольку процедура переименования домена это ит-шное садо-мазо, лучше все делать изначально правильно.

1. Ситуация первая. Имя домена – domainname.local

Наверно самый распространенный вариант это использование окончания .local или любого другого домена первого уровня, не используемого IANA. (а-ля .msk или .test или .loc и.т.д) Откуда это пошло сейчас трудно сказать, есть несколько вариантов. Один говорит о том, что в 2000-м когда AD появилась на конференции в демонстрации докладчик сделал такой домен.
Ну и народ воспринял это как призыв к действию. Вторая гипотеза, впрочем не исключающая первую склоняется к тому, что скорее всего  MSFT сама написала явно рекомендацию в литературе, после чего .local и ушел в народ. Чем же плох такой вариант?

Сценариев несколько, но я расскажу и наболевшем. Допустим вы устанавливаете внутри организации Exchange Server, которому необходим сертификат для шифрования клиентских подключений. Сертификат хочется от коммерческого центра, все как у людей. Естественно в сертификате должны быть указаны все имена сервера по которым сервер будет доступен. И если внешний домен принадлежит нам и легко пройдет валидацию, то внутренний домен а-ля super-firma.moscow не существует и при попытке объяснить центрам сертификации, что вам в SAN нужно запихнуть FQDN  – exchange.super-firma.moscow  получите ответ:

It’s not possible, we issue only certificates for real domain names.

На текущий момент запихивать в SAN  сертификата всякие неприличные слова разрешает Comodo  Certificate Authority, что значительно сужает выбор поставщика сертификатов, да и гарантии, что они будут разрешать это и дальше нет.

 

2. Ситуация вторая. Имя домена AD  совпадает с внешним интернет именем домена.

Тоже нередкий вариант, но при нем проблемы с сертификатами не будет. Зато возникают проблемы с разрешением имен. Получается ситуация, когда внешние и внутренние DNS сервера не связаны между собой, но при этом обслуживают несвязанные зоны с одинаковыми именами. В такой ситуации каждый внутренний сервер логично считает себя авторитативным для зоны и при незнании о каком либо хосте авторитетно заявляет – НЕТ! Поскольку вы имеете какие то внешние ресурсы, самое банальное веб-сайты, естественно записи типа А добавляются в зону на внешнем DNS сервере. Теперь когда внутренний клиент попытается разрешить имя внешнего ресурса, его запрос попадет на внутренний DNS сервер, (естественно, это же доменный клиент) а тот в ответ “не знаю, нет такого и можешь не искать”, т.к видит, что он авторитативный для этой зоны сервер.

Для решения этой проблемы вам придется прописывать внешние записи в двух зонах, а это неизбежно приведен к путанице и дополнительной рутине. Если вас это не пугает, то попробуйте при таком сценарии разрешить внутренним пользователям открывать корпоративный сайт без префикса www. В общем  плохой вариант и не надо его использовать.

Особый привет тем администраторам, которые назвали свои внутренние домены именами чужих знаменитых публичных доменов. Думаю какой геморрой в таком случае вам обеспечен объяснять не нужно.

 

3. Ситуация третья. Плоское имя домена состоящее из одного слова.

Если первые два варианта еще можно пережить, то за плоские имена доменов пора ввести административное наказание. Single-label domain (одноуровневый домен, SLD) – это домен, содержащий только одну именную составляющую. Откуда пошла мания их использовать, я не знаю, но уже давно официально признано, что SLD домены  не должны использоваться при построении ИТ-инфраструктур.

При этом данная информация такой канадский баян, что остается только удивляться откуда SLD домены берутся. http://support.microsoft.com/kb/300684 .

Чем грозит? Отсутствием поддержки со стороны продуктов Microsoft такой конфигурации. Из свежего. Попытайтесь установить Exchange 2010 SP1 в домене с плоским именем, получите сообщение о том, что такая конфигурация больше не поддерживается.

Как же правильно именовать домен?

Ответ прост. Делать согласованное пространство имен. Т.е имея домен itband.ru в реальном мире, домен Active Directory делать суб-доменом типа corp.itband.ru. При таком раскладе все проблемы отпадают. И совсем не обязательно делать делегирование DNS суб-домена на внешнем DNS сервере. Хотя если вы это сделаете, можно добиться разрешения имен в обе стороны. (из внутренней сети внешних имен, из Internet внутренних имен)

Для тех, кто не подумал изначально есть “хорошая” ссылка: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Приятных Вам вечером за чтением данного произведения.

 

MCP/MCT Илья Рудь

Часть 1. Бэкап контроллера домена

Все публикации серии:

 

Microsoft Active Directory является стандартом в корпоративной инфраструктуре, где требуется аутентификация пользователей и централизованное управление. Почти невозможно представить себе, как системные администраторы справлялись бы со своей работой без этой технологии. Однако использование Active Directory не только приносит большую пользу, но и налагает большую ответственность, требуя значительного времени и понимания процессов ее работы.

Эта серия cтатей расскажет, как успешно выполнять бэкап и восстановление Active Directory с помощью решений Veeam, которые предлагают все возможности для простой и удобной защиты AD. Возможно, вам будет интересно ознакомиться с недавней серией материалов «Рекомендации по администрированию AD», прежде чем приступить к чтению этой статьи.

В новой серии статей я объясняю, как Veeam может защитить данные Active Directory: сделать копии контроллеров домена (DC) или отдельных объектов AD и при необходимости восстановить их.

Сегодня я расскажу о возможностях бэкапа как физических, так и виртуальных контроллеров домена, которые предоставляет Veeam, и о том, что необходимо помнить во время бэкапа.

Рекомендации по бэкапу контроллеров домена

Сервисы Active Directory разработаны с учетом избыточности, поэтому привычные правила и тактики бэкапа необходимо адаптировать соответствующим образом. В данном случае будет неправильно использовать ту же политику бэкапа, что уже работает для серверов SQL или Exchange. Ниже я приведу ряд рекомендаций, которые могут помочь при разработке вашей собственной политики для Active Directory:

  • Выясните, какие контроллеры домена в вашей среде выполняют роли FSMO (Flexible Single Master Operations). Совет: простая команда для проверки через командную строку: >netdom query fsmo

Выполняя полное восстановление домена, лучше начать с контроллера домена с наибольшим числом ролей FSMO, — обычно это сервер с ролью эмулятора основного контроллера домена (PDC). В противном случае после восстановления вам придется передавать соответствующие роли вручную при помощи команды ntdsutil seize. Помните об этом при планировании бэкапа и приоритизации контроллеров домена. Подробнее о ролях FSMO можно прочитать в экспертной статье по основам работы с Active Directory.

  • Если на площадке несколько контроллеров домена, а вы хотите защитить отдельные объекты, то у вас нет необходимости в бэкапе всех контроллеров. Для восстановления отдельных объектов будет достаточно одной копии базы данных Active Directory (ntds.dit)
  • Всегда есть возможность снизить риск случайного или намеренного удаления или изменения объектов AD. Можно порекомендовать делегирование административных полномочий, настройку ограничений доступа с повышенными правами и резервную площадку c задержкой репликации.
  • Обычно рекомендуется выполнять бэкап контроллеров доменов поочередно и так, чтобы оно не пересекалось с репликацией DFS. Хотя современные решения (например, Veeam Backup & Replication v7 с пакетом обновления 3 и выше) знают, как решать эту проблему.
  • Если вы используете виртуальную среду VMware, контроллер домена может быть недоступен по сети (например, он находится в зоне DMZ). В этой ситуации Veeam переключится на соединение через VMware VIX и сможет обработать этот контроллер.

Бэкап виртуального контроллера домена

Сервисы Microsoft Active Directory организуют и хранят информацию об отдельных документах леса доменов в реляционной базе (ntds.dit), которая находится на контроллере домена. Раньше бэкап контроллера домена было очень утомительным процессом, поскольку включало бэкап состояния системы (system state) сервера. Хорошо известно, что сервисы Active Directory потребляют малую часть ресурсов системы, поэтому контроллеры домена обычно становятся первыми кандидатами для виртуализации. Если вы по-прежнему придерживаетесь той точки зрения, что они должны быть только физическими, прочитайте эту статью.

Будучи виртуализованными, они легко управляются администратором домена или системным администратором и защищены бэкапом Veeam Backup & Replication. Перед тем, как я перейду к деталям, вам нужно установить и настроить Veeam Backup & Replication.

Системные требования (для версии 9.0):

Виртуальная платформа: Гипервизоры VMware vSphere 4.1 и выше; Microsoft Hyper-V 2008 R2 SP1 и выше

Сервер Veeam: Windows Server 2008 SP2 и выше; Windows 7 SP1 и выше, 64-разрядная ОС

Виртуальная машина (ВМ) контроллера домена: Windows Server 2003 SP1 и выше, минимальный поддерживаемый функциональный уровень леса — Windows 2003

Права доступа: Права администратора Active Directory. Учетная запись администратора предприятия или домена.

В этой статье я не буду касаться процесса установки и настройки Veeam Backup & Replication, поскольку эта тема уже неоднократно освещалась. Если вам нужна помощь в этом вопросе, посмотрите видео, подготовленное системным инженером Veeam.

Предположим, что все настроено и готово к работе. Теперь нужно создать задание бэкапа контроллера домена. Процесс настройки довольно прост (рис. 1):

  1. Запустите мастер создания задания бэкапа
  2. Выберите нужный контроллер домена
  3. Определите политику хранения для цепочки резервных копий
  4. Не забудьте включить функцию обработки данных с учетом состояния приложений (AAIP) для обеспечения согласованности на уровне транзакций для ОС и приложений, работающих на ВМ, в том числе базы данных Active Directory и каталога SYSVOL

Примечание: AAIP — технология Veeam, которая обеспечивает бэкапа ВМ с учетом состояния приложений. Она выполняет поиск приложений гостевой ОС, сбор их метаданных, «заморозку» с помощью соответствующих механизмов (Microsoft VSS Writers), подготовку процедуры восстановления с использованием VSS для приложений, которая будет выполнена при первом запуске восстановленной ВМ, и усечение журналов транзакций приложений в случае успешного завершения бэкапа. Подробную информацию можно найти в документации AAIP.

Если функция AAIP не будет включена, гостевая ОС контроллера домена не поймет, что был выполнен ее бэкап и обеспечена защита. Поэтому через некоторое время вы можете обнаружить внутреннее предупреждение в журналах сервера: событие 2089 — «бэкап не выполнялся в течение интервала задержки архивации» (“backup latency interval”).

Рис. 1. Редактирование задания бэкапа: обработка файлов гостевых ОС 

  1. Запланируйте время выполнения задания или запустите его вручную
  2. Убедитесь, что задание успешно выполнено без ошибок и предупреждений

Рис. 2. Инкрементный бэкап

  1. Найдите вновь созданный файл резервной копии в репозитории — готово!

Резервную копию можно дополнительно сохранить в облако с помощью поставщика услуг Veeam Cloud Connect (VCC). Также ее можно перенести в другой репозиторий резервных копий, используя задания архивирования резервных копий или функционал архивирования на магнитную ленту. Самое главное, что теперь резервная копия хранится в надежном месте, и из нее в любой момент можно восстановить нужные данные.

Бэкап физического контроллера домена

Честно говоря, я надеюсь, что вы идете в ногу со временем, и в вашей компании контроллеры домена давно виртуализованы. Если это не так, то надеюсь, что вы их регулярно обновляете и они работают на относительно современных версиях ОС Windows Server —Windows Server 2008 (R2) и выше. (Если у вас в распоряжении более старые системы, переходите сразу к третьей статье в этой серии)

Итак, у вас есть один или несколько физических контроллеров домена, работающих под Windows Server 2008 R2 и выше, и вы хотите их защитить? В этом случае вам потребуется Veeam Endpoint Backup — решение, предназначенное специально для защиты данных физических компьютеров и серверов. Veeam Endpoint Backup копирует нужные данные с физической машины и сохраняет их в файл резервной копии. Тогда в случае аварии вы сможете восстановить данные «на голое железо» или выполнить восстановление на уровне логического диска. При этом у вас будет полный контроль процесса восстановления. Кроме того, вы сможете восстанавливать отдельные объекты с помощью Veeam Explorer для Microsoft Active Directory.

Чтобы выполнить бэкап физического контроллера домена с помощью этого инструмента, необходимо сделать следующее:

  • Загрузите Veeam Endpoint Backup FREE и скопируйте установщик на нужный сервер
  • Запустите мастер установки, примите лицензионное соглашение и установите программу

Примечание: чтобы выполнить установку в автоматическом режиме, используйте эту инструкцию.

  • Создайте задание бэкапа, выбрав нужный режим. Самый простой и рекомендуемый способ — резервное копирование всего компьютера целиком. Используя режим бэкапа на уровне файлов (file-level mode), выберите в качестве объекта копирования операционную систему (Operating system) (см. рис. 3). В этом случае программа скопирует все файлы, необходимые для восстановления «на голое железо». База данных Active Directory и каталог SYSVOL также будут сохранены. Подробная информация — в руководстве пользователя

Рис. 3. Выбор объектов копирования в Veeam Endpoint Backup

Примечание: Если в вашей среде уже установлен Veeam Backup & Replication, и вы хотите использовать существующий репозиторий Veeam для хранения резервных копий физических машин, вы можете перенастроить его прямо из Veeam Backup & Replication (удерживая Ctrl, щелкните правой кнопкой прямо на нужном репозитории, разрешите доступ к репозиторию и, при необходимости, включите шифрование, см. рис. 4).

Рис. 4. Настройка разрешений доступа к репозиторию резервных копий для Endpoint Backup

  • Запустите бэкап и убедитесь, что оно прошло без ошибок

Рис. 5. Veeam Endpoint Backup FREE: статистика заданий бэкапа

  • Вот и все! Бэкап выполнен, контроллер домена под защитой. Перейдите в репозиторий и найдите нужную резервную копию или цепочки резервных копий

Рис. 6. Цепочка инкрементных резервных копий

Примечание. Если вы настроили репозиторий Veeam Backup & Replication в качестве целевого хранилища для резервных копий, то вновь созданные резервные копии будут находиться в панели инфраструктуры Backups > Disk (резервные копии > диск), пункт Endpoint Backups.

Рис. 7. Veeam Backup & Replication: Backups-disk

Заключение

Неужели бэкап контроллера домена — это так просто? Да и нет. Успешный бэкап — это хорошее начало, но далеко не все. В Veeam говорят: «Резервная копия ничего не стоит, если из нее нельзя восстановить данные».

Следующие статьи в этой серии будут посвящены различным сценариям восстановления Active Directory, включая восстановление контроллера домена, а также восстановление отдельных удаленных и измененных объектов с помощью собственных инструментов Microsoft и Veeam Explorer для Active Directory.

Также вас может заинтересовать:

Техническое руководство по внедрению безопасности домена Active Directory

V-243466 Высокий Членство в группе администраторов предприятия должно быть ограничено учетными записями, используемыми только для управления лесом Active Directory. Группа администраторов предприятия — это группа с высокими привилегиями. Персонал, являющийся системным администратором, должен входить в системы Active Directory только с использованием учетных записей с уровнем полномочий…
V-243467 Высокий Членство в группе администраторов домена должно быть ограничено учетными записями, используемыми только для управления домен Active Directory и контроллеры домена. Группа администраторов домена — это группа с высокими привилегиями. Персонал, являющийся системным администратором, должен входить в системы Active Directory только с использованием учетных записей с необходимым уровнем полномочий….
V-243470 Высокий Делегирование привилегированных учетных записей должно быть запрещено. Привилегированные учетные записи, например принадлежащие любой из групп администраторов, не должны быть доверенными для делегирования. Разрешение доверять привилегированным учетным записям для делегирования предоставляет средства для…
V-243482 Высокий Взаимосвязи между службами каталогов Министерства обороны США разных уровней классификации должны использовать междоменное решение, одобренное для использования с межклассификационными трастами. Если надежное междоменное решение не используется, оно может разрешить несанкционированный доступ к секретным данным. Для поддержки безопасного доступа между ресурсами разных уровней классификации,…
V-243483 Высокий Контролируемый интерфейс должен иметь взаимосвязи между информационными системами Министерства обороны, работающими между системами или сетями Министерства обороны США и другими системами или сетями. Настройка отношения доверия AD — это один из шагов, который позволяет пользователям одного домена получать доступ к ресурсам другого домена, леса или области Kerberos. Когда доверие определено…
V-243468 Средний Администраторы должны иметь отдельные учетные записи специально для управления рядовыми серверами домена. Персонал, являющийся системным администратором, должен входить в доменные системы только с использованием учетных записей с минимальным необходимым уровнем полномочий.Только учетные записи системного администратора используются исключительно для…
V-243469 Средний Администраторы должны иметь отдельные учетные записи специально для управления рабочими станциями домена. Персонал, являющийся системным администратором, должен входить в доменные системы только с использованием учетных записей с минимальным необходимым уровнем полномочий. Только учетные записи системного администратора используются исключительно для…
V-243498 Средний Если в реализации AD используется VPN, трафик должен проверяться сетевой системой обнаружения вторжений (IDS). Для обеспечения конфиденциальности данных VPN настроен на шифрование передаваемых данных. Хотя это защищает данные, некоторые реализации не позволяют обрабатывать эти данные с помощью…
V-243497 Средний Репликация между сайтами должна быть включена и настроена для выполнения по крайней мере ежедневно. Своевременная репликация обеспечивает согласованность данных службы каталогов на всех серверах, которые поддерживают один и тот же объем данных для своих клиентов.При реализации AD с использованием сайтов AD домен…
V-243496 Средний Учетные записи из внешних каталогов, которые не являются частью той же организации или не подпадают под действие одних и тех же политик безопасности, должны быть удалены из всех привилегированные группы. Членство в определенных группах каталогов по умолчанию назначает высокий уровень привилегий для доступа к каталогу. В AD членство в следующих группах обеспечивает высокие привилегии относительно AD и…
V-243495 Средний Для защиты сетевого трафика каталогов для реализации службы каталогов, охватывающей границы анклава, необходимо использовать VPN. Для нормальной работы AD требуется использование сетевых портов и протоколов IP для поддержки запросов, репликации, аутентификации пользователей и служб авторизации ресурсов. Как минимум, LDAP или LDAPS…
V-243493 Средний Данные Active Directory должны создаваться ежедневно для систем с классификацией Risk Management Framework для доступности средней или высокой степени.Резервное копирование систем с низкой категорией необходимо выполнять еженедельно. Неспособность поддерживать текущую резервную копию данных каталога может затруднить или сделать невозможным восстановление после инцидентов, включая сбой оборудования или злонамеренное повреждение. Не удалось восстановить…
V-243492 Средний Системы должны контролироваться на предмет входа в удаленный рабочий стол. Активность удаленного рабочего стола для администрирования должна быть ограничена определенными администраторами и с ограниченных рабочих станций управления.Мониторинг любых входов в удаленный рабочий стол за пределами ожидаемого…
V-243491 Средний Системы должны отслеживаться на предмет попыток использования локальных учетных записей для удаленного входа из других систем. Мониторинг использования локальных учетных записей для удаленного входа из других систем может указывать на попытку бокового перемещения при атаке Pass-the-Hash.
V-243490 Средний Необходимо отслеживать использование административных учетных записей на предмет подозрительной и аномальной активности. Мониторинг использования учетных записей администраторов может предупредить о подозрительном поведении и аномальном использовании учетных записей, которые могут свидетельствовать о потенциальном повторном использовании учетных данных злоумышленниками.
V-243471 Средний Учетные записи локальных администраторов в доменных системах не должны иметь одинаковый пароль. Учетные записи локальных администраторов в доменных системах должны использовать уникальные пароли. В случае компрометации системы домена использование одного и того же пароля для учетных записей локальных администраторов в системах домена…
V-243473 Средний Для управления общедоступными серверами необходимо использовать отдельные учетные записи домена, отличные от учетных записей домена, используемых для управления внутренними серверами. Общедоступные серверы должны находиться в демилитаризованных зонах с отдельными лесами Active Directory. Если из-за эксплуатационной необходимости это невозможно, необходимо уменьшить боковое перемещение с этих серверов…
V-243472 Medium Для администратора предприятия (EA) и администратора домена необходимо использовать отдельные смарт-карты. (DA) учетных записей со смарт-карт, используемых для других учетных записей. Отдельная смарт-карта для учетных записей администратора предприятия и администратора домена устраняет автоматическое раскрытие закрытых ключей учетных записей EA/DA для менее защищенных пользовательских платформ, когда другие… Контроллеры домена должны быть заблокированы от доступа в Интернет. Контроллеры домена обеспечивают доступ к высоко привилегированным областям домена. Такие системы с выходом в Интернет могут подвергаться многочисленным атакам и компрометировать домен.Ограничение доступа в Интернет…
V-243474 Средний Учетные записи служб \ приложений Windows с правами администратора и паролями, управляемыми вручную, пароли должны меняться не реже одного раза в 60 дней. Хэши NT паролей для учетных записей, которые не меняются регулярно, могут быть повторно использованы злоумышленниками, использующими Pass-the-Hash. Пароли учетной записи службы \ приложения Windows обычно не…
V-243477 Средний Учетные записи пользователей с правами администратора на уровне домена должны быть членами группы «Защищенные пользователи» в доменах с функциональным уровнем домена Windows 2012 R2 или выше. Учетные записи пользователей с административными привилегиями на уровне домена высоко ценятся в атаках Pass-the-Hash/кражи учетных данных. Группа «Защищенные пользователи» обеспечивает дополнительную защиту таких учетных записей, как…
V-243476 Medium Все учетные записи, привилегированные и непривилегированные, для которых требуются смарт-карты, должны иметь базовый хэш NT, сменяющийся как минимум каждые 60 дней. Когда для учетной записи домена требуется смарт-карта, создается длинный пароль, неизвестный пользователю.Этот пароль и связанный с ним хэш NT не изменяются, как и учетные записи с паролями…
V-243479 Средний Пароль режима восстановления службы каталогов (DSRM) необходимо менять не реже одного раза в год. Пароль режима восстановления службы каталогов (DSRM), используемый для входа в контроллер домена (DC) при перезагрузке в режиме восстановления сервера, является очень надежным. Со слабым или известным паролем…
V-243478 Средний Системы, присоединенные к домену (за исключением контроллеров домена), не должны быть настроены для неограниченного делегирования. Неограниченное делегирование, включенное на компьютере, может разрешить олицетворение учетной записи компьютера без ограничений. Если требуется делегирование, оно должно быть ограничено определенным…
V-243489 Средний Архитектура и конфигурация контроллера домена только для чтения (RODC) должны соответствовать требованиям служб каталогов. Роль RODC обеспечивает метод однонаправленной репликации выбранной информации из вашей внутренней сети в демилитаризованную зону.При неправильной настройке, чтобы свести к минимуму след риска,…
V-243484 Средний Идентификаторы безопасности (SID) должны быть настроены для использования только данных проверки подлинности внешнего доверия или доверия леса, которому доверяют напрямую. При некоторых обстоятельствах злоумышленники или администраторы-мошенники, взломавшие контроллер домена в доверенном домене, могут использовать атрибут истории SID (sIDHistory) для… должен быть включен для исходящих доверительных отношений леса. Включение выборочной проверки подлинности для исходящих доверительных отношений леса Active Directory (AD) значительно усиливает контроль доступа, требуя явной авторизации (через Разрешено для проверки подлинности…
V-243486 Средний Группы Анонимный вход и Все должны не быть членами группы доступа, совместимой с версиями до Windows 2000. Группа доступа, совместимой с версиями до Windows 2000, была создана для того, чтобы домены Windows NT могли взаимодействовать с доменами AD, разрешая неавторизованный доступ к определенным данным AD.Разрешения по умолчанию…
V-243487 Средний Членство в группах владельцев-создателей групповой политики и создателей доверия входящего леса должно быть ограничено. Членство в группах «Владельцы-создатели групповой политики» и «Построители доверия входящего леса» назначает высокий уровень привилегий для функций AD. Ненужное членство увеличивает риск компрометации…
V-243480 Средний Рабочий уровень домена должен соответствовать версии Windows Server, поддерживаемой Microsoft. Домены, работающие на функциональных уровнях ниже версий Windows Server, которые больше не поддерживаются Microsoft, снижают уровень безопасности в домене и лесу, поскольку расширенные функции каталога… доступ к информации должен быть ограничен авторизованным сообществом по интересам. Поскольку доверительные отношения эффективно устраняют уровень проверки подлинности в доверительном домене или лесу, они представляют собой менее строгий контроль доступа на уровне домена или леса, в котором…
V-243500 Средний Active Directory должен поддерживаться несколькими контроллерами домена, где классификация Risk Management Framework для доступности является средней или высокой. В архитектуре Active Directory (AD) несколько контроллеров домена обеспечивают доступность за счет избыточности. Если домен AD или серверы в нем имеют среднюю или…
V-243499 низкую информацию о реализации Active Directory, необходимо добавить в план действий в непредвиденных обстоятельствах организации, где классификация Risk Management Framework для доступности является умеренным или высоким. При возникновении инцидента, требующего перестроения нескольких контроллеров домена Active Directory (AD), очень важно понимать иерархию AD и поток репликации, чтобы правильно… Каждая конфигурация проверки подлинности между каталогами должна быть задокументирована. Конфигурации внешнего доверия Active Directory (AD), леса и области предназначены для расширения доступа к ресурсам для более широкого круга пользователей (находящихся в других каталогах).Если конкретный базовый уровень…
V-243488 Низкий Учетные записи пользователей с делегированными полномочиями должны быть удалены из встроенных административных групп Windows или удалены делегированные полномочия из учетных записей. В AD можно делегировать учетную запись и другие задачи владения и администрирования объектов AD. (Обычно это делается для службы поддержки или другого персонала поддержки пользователей.) Это делается, чтобы избежать необходимости…
V-243501 Низкий Влияние изменений INFOCON на конфигурацию межкаталоговой аутентификации должно должны быть рассмотрены, а процедуры задокументированы. При возникновении инцидентов, требующих изменения статуса INFOCON, может потребоваться принятие мер по ограничению или отключению определенных типов доступа, основанных на каталоге за пределами…

Что такое Active Directory (AD )?

Active Directory (AD) — это служба каталогов и управления идентификацией Microsoft для доменных сетей Windows. Он был представлен в Windows 2000, входит в состав большинства операционных систем MS Windows Server и используется различными решениями Microsoft, такими как Exchange Server и SharePoint Server, а также сторонними приложениями и службами.

  • Доменные службы Active Directory (AD DS) — основная служба Active Directory, используемая для управления пользователями и ресурсами.
  • Службы Active Directory облегченного доступа к каталогам (AD LDS) — версия AD DS с низкими издержками для приложений с поддержкой каталогов.
  • Active Directory Certificate Se rvices ( AD CS ) — для выдачи и управления цифровыми сертификатами безопасности.
  • Службы федерации Active Directory ( AD FS ) — для обмена информацией об идентификации и управлении доступом между организациями и предприятиями.
  • Службы управления правами Active Directory ( AD RMS ) – для управления правами на информацию (управление правами доступа к документам, книгам, презентациям и т. д.)
Основные функции и возможности AD включают:
  • Схема , определяющая классы объектов и атрибутов, содержащихся в каталоге.
  • Глобальный каталог , содержащий подробную информацию о каждом объекте в каталоге.
  • Механизм запросов и индексов , который позволяет пользователям, администраторам и приложениям эффективно находить информацию о каталогах.
  • Служба репликации , распространяющая данные каталога по сети.

Схема Active Directory поддерживает различные типы объектов, такие как «Пользователь», «Группа», «Контакт», «Компьютер», «Общая папка», «Принтер» и «Подразделение», а также набор описательных атрибутов для каждого объекта.Например, атрибуты пользовательского объекта включают такую ​​информацию, как имя пользователя, адрес и номер телефона.

Active Directory использует другие протоколы безопасности и сети, включая LDAP (облегченный протокол доступа к каталогам), DNS (система доменных имен) и версию протокола проверки подлинности Kerberos от Microsoft.

Обзор доменных служб AD

Доменные службы Active Directory являются основной службой Active Directory. Он используется для аутентификации пользователей и управления доступом к сетевым ресурсам.Сервер, на котором запущены AD DS, называется контроллером домена. Большинство доменных сетей Windows имеют два или более контроллеров домена; основной контроллер домена и один или несколько резервных контроллеров домена для обеспечения отказоустойчивости. Во время входа пользователи аутентифицируются на контроллере домена и получают доступ к определенным ресурсам на основе политик, определенных администратором.

Структуры данных AD

Active Directory хранит информацию о пользователях сети (имена, номера телефонов, пароли и т.) и ресурсы (серверы, тома хранения, принтеры и т. д.) в иерархической структуре, состоящей из доменов, деревьев и лесов.

  • Домен — это набор объектов (например, пользователей, устройств), которые совместно используют одну и ту же базу данных Active Directory. Домен идентифицируется DNS-именем, например company.com.
  • Дерево — это набор из одного или нескольких доменов с непрерывным пространством имен (они имеют общее корневое имя DNS, например marketing.company.com, engineering.company.com и sales.company.com).
  • Лес — это набор из одного или нескольких деревьев, которые имеют общую схему, глобальный каталог и конфигурацию каталогов, но не являются частью непрерывного пространства имен. Лес обычно служит границей безопасности корпоративной сети.

Объекты внутри домена могут быть сгруппированы в организационные единицы (OU) для упрощения администрирования и управления политиками. Администраторы могут создавать произвольные организационные подразделения для отражения функциональных, географических или бизнес-структур, а затем применять групповые политики к подразделениям для упрощения администрирования.Подразделения также упрощают делегирование контроля над ресурсами различным администраторам.

Преимущества AD

Active Directory обеспечивает множество функциональных и бизнес-преимуществ, в том числе:

  • Безопасность — Active Directory помогает предприятиям повысить безопасность, контролируя доступ к сетевым ресурсам.
  • Расширяемость — компании могут легко организовать данные Active Directory в соответствии со своей организационной структурой и потребностями бизнеса.
  • Простота — администраторы могут централизованно управлять идентификацией пользователей и правами доступа на предприятии, помогая предприятиям упростить управление и сократить операционные расходы.
  • Отказоустойчивость — Active Directory поддерживает избыточные компоненты и репликацию данных для обеспечения высокой доступности и непрерывности бизнеса.

Связь с Azure Active Directory

Azure Active Directory — это облачное решение Microsoft для управления идентификацией нового поколения, используемое для управления доступом к решениям SaaS, таким как Microsoft 365 (Office 365), облачным приложениям внутренней разработки, работающим в Azure, а также к традиционным корпоративным приложениям и другим локальным приложениям. Ресурсы.Он добавляет поддержку своевременного контроля доступа, многофакторной аутентификации и беспарольных технологий, собственного управления мобильными устройствами и стандартов объединения удостоверений, таких как SAML и Oauth3, среди других возможностей.

CyberArk Identity интегрируется как с Active Directory, так и с Azure AD и позволяет предоставлять возможности единого входа, многофакторной аутентификации и управления жизненным циклом для пользователей, хранящихся в этих каталогах.

Типы контроллеров домена [Active Directory]

1) Домен, 2) Сервер глобального каталога, 3) Мастер операций

Роли контроллера домена

Применяется к: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 с пакетом обновления 1 (SP1), Windows Server 2003 с пакетом обновления 2 (SP2), Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
Контроллер домена — это сервер, на котором работает версия операционной системы Windows Server и на которой установлены доменные службы Active Directory .


Серверы глобального каталога

Каждый контроллер домена хранит объекты для домена, в котором он установлен. Однако контроллер домена, назначенный сервером глобального каталога, хранит объекты из всех доменов леса. Для каждого объекта, который не находится в домене, для которого сервер глобального каталога является уполномоченным в качестве контроллера домена, ограниченный набор атрибутов хранится в частичной реплике домена. Таким образом, сервер глобального каталога хранит собственную полную реплику домена с возможностью записи (все объекты и все атрибуты), а также частичную реплику каждого другого домена в лесу, доступную только для чтения.Глобальный каталог создается и обновляется автоматически системой репликации AD DS. Атрибуты объекта, которые реплицируются на серверы глобального каталога, — это атрибуты, которые, скорее всего, будут использоваться для поиска объекта в доменных службах Active Directory. Атрибуты, которые реплицируются в глобальный каталог, идентифицируются в схеме как частичный набор атрибутов (PAS) и по умолчанию определяются корпорацией Майкрософт. Однако для оптимизации поиска можно изменить схему, добавив или удалив атрибуты, хранящиеся в глобальном каталоге.
Глобальный каталог позволяет клиентам выполнять поиск AD DS без необходимости перехода от сервера к серверу до тех пор, пока не будет найден контроллер домена, в котором есть раздел каталога домена, в котором хранится запрошенный объект. По умолчанию поиск AD DS направляется на серверы глобального каталога.
Первый контроллер домена в лесу автоматически создается как сервер глобального каталога. После этого вы можете назначить другие контроллеры домена в качестве серверов глобального каталога, если они необходимы.


Подготовка леса для доменных служб Active Directory Windows Server 2008

Сам лес должен быть подготовлен для доменных служб Windows Server 2008 Active Directory. После этого каждый домен, который будет содержать контроллеры домена под управлением Windows Server 2008, также необходимо подготовить. Наконец, если вы планируете развернуть контроллеры домена только для чтения (RODC) в лесу, потребуется дополнительная подготовка.
Проблема: Если ваша среда состоит из существующего леса доменных служб Active Directory Windows 2000 Server или Windows Server 2003, вы должны подготовить существующий лес для Windows Server 2008, прежде чем сможете добавить контроллер домена, на котором установлена ​​Windows Server 2008.Подготовка существующего леса заключается в обновлении схемы AD DS.
Решение: Обновление схемы заключается в расширении существующей схемы AD DS за счет добавления новых атрибутов и классов в Windows Server 2008. Установочный носитель Windows Server 2008 включает средство командной строки ADPrep, которое используется для подготовки существующего леса для AD DS Windows Server 2008. Обновление схемы должно быть выполнено на контроллере домена, который выполняет роль хозяина операций хозяина схемы.Чтобы найти контроллер домена с ролью хозяина операций хозяина схемы, введите следующую команду в окно командной строки:


Контроллеры домена могут выполнять три роли: 1) Контроллер домена, 2) Сервер глобального каталога и 3) Хозяин операций. Конкретный контроллер домена может выполнять одну или несколько ролей одновременно.
Контроллер домена можно описать как сервер на базе ОС Windows, содержащий копию раздела Active Directory для домена.
Сервер глобального каталога: это контроллер домена Windows, на котором хранится копия глобального каталога леса. Обычно первый контроллер домена также является сервером глобального каталога. Может быть несколько серверов глобального каталога.
Мастер операций: это контроллер домена Windows, который в настоящее время владеет одной или несколькими из пяти основных ролей для данной операции. Мы обсудим эти роли на следующих уроках.

Выделение точек планирования для службы AD

Самая важная задача, на которой вам нужно сосредоточиться перед любой другой задачей, — это сетевая топология ваших сервисов.Чтобы наши службы Active Directory обеспечивали отказоустойчивую службу, нам необходимо эффективно создавать простую и масштабируемую архитектуру, которая будет соответствовать потребностям и требованиям нашей среды.
Контроллер домена Active Directory может предоставить вам точку централизованного управления нашими сетевыми устройствами и, таким образом, дает нам полный контроль над большим количеством объектов (1) пользователей и 2) машин). Это ключ к снижению затрат на административные задачи, контроль ресурсов и управление безопасностью (аутентификация и авторизация) в конкретной сети.Ключевым моментом является организация пользователей и ресурсов простым в управлении и масштабируемым способом (например, облегчающим делегирование). Кроме того, нет смысла иметь контроллер домена в нашей сети, если приложения не могут интегрироваться с ним. Таким образом, мы не можем использовать все функции и средства, которые может предоставить AD/DC. Проектирование Правильная архитектура для конкретного сайта — сложная и обширная задача, которая выходит за рамки этой книги. Тем не менее, мы обсудим некоторые общие моменты и покажем вам пример конфигурации и топологии, чтобы вы могли использовать его в качестве основы для будущего. установки.Как и при любой установке, администратор должен думать о пользователях, машинах, организационных единицах, доменах, лесах и службах.
Мы представим пользователю простую, но эффективную архитектуру для нашего домена со структурой, которая поможет вам понять важные концепции и послужит отправной точкой для читателей, чтобы они могли работать и переходить к более сложным средам. Общий совет состоит в том, чтобы сосредоточиться на вашей конкретной топологии и требованиях, выделить основные концепции и использовать аналогичные структуры в своем проекте, которые подходят для среды вашей организации.Не копируйте существующий дизайн из Интернета, думая, что он будет соответствовать вашей сети только потому, что он обрабатывает все отделы или определения, возможные в программном обеспечении. Если вам не нужен такой уровень сложности, не используйте его. Я мог видеть много сайтов, которые были разработаны на основе общих правил, которые не предназначались для использования в данном конкретном случае, а вместо этого предоставляли простую и масштабируемую среду. Кроме того, они создают слишком сложную и неэффективную сетевую среду с точки зрения администрирования.Это полная противоположность тому, каким должен быть хорошо спланированный контроллер домена Active Directory.
Одной из аналогий такой неэффективной архитектуры может быть, например, структура каталогов файловой системы. Иногда нам приходится создавать действительно сложную иерархию каталогов с множеством подкаталогов и вложенным и глубоким деревом, которое, в конце концов, просто удерживает нас от нужного файла вместо того, чтобы помочь нам получить к нему быстрый и простой доступ.


Объявление Групповая политика Windows

Контроллер домена: как установить и настроить доменные службы Active Directory на Windows Server 2022

В этой статье я проведу вас через пошаговое руководство по установке и настройке доменных служб Active Directory в Windows Server 2022.Прежде чем мы углубимся в практическую часть этой статьи, давайте взглянем на некоторые удивительные новые функции, которые предлагает Windows Server 2022. Краткий обзор того, когда была выпущена Windows Server 2022, поскольку программа предварительного просмотра началась в марте 2021 года. Об общедоступности Windows Server 2022 было объявлено 1 сентября 2021 года, а запуск состоялся в рамках саммита Windows Server 16 сентября. Пожалуйста, обратитесь к некоторым из этих связанных руководств: Как удалять и восстанавливать объекты с помощью Центра администрирования Active Directory, Порты Active Directory: требования к служебным и сетевым портам для Windows, Как найти отключенные учетные записи пользователей Active Directory, Что такое леса Active Directory, деревья, домен и сайты, а также как настроить контроллер домена.

Windows Server 2022 построена на прочном фундаменте Windows Server 2019 и предлагает новые возможности безопасности в сочетании с другими возможностями безопасности Windows Server в нескольких областях для обеспечения всесторонней защиты от современных угроз. Расширенная многоуровневая система безопасности в Windows Server 2022 обеспечивает всестороннюю защиту, в которой сегодня нуждаются серверы.

Кроме того, он содержит множество инноваций по трем ключевым темам: безопасность, гибридная интеграция и управление Azure, а также платформа приложений.Кроме того, Windows Server 2022 Datacenter: Azure Edition помогает вам использовать преимущества облака, чтобы поддерживать виртуальные машины в актуальном состоянии и минимизировать время простоя. Вы можете получить ознакомительную копию, которая действительна в течение 180 дней Windows Server 2022, здесь.

Что такое доменные службы Active Directory?

Доменные службы Active Directory — это технология, которая позволяет нам создавать и централизованно управлять масштабируемой сетью Microsoft Enterprise. Глядя на обзор лабораторной сессии, которую мы собираемся провести в этом посте, мы собираемся сделать следующее:

  1. Установка нового экземпляра Active Directory
  2. Добавление и настройка нового леса, который является общим контейнером для доменных служб Active Directory и всех его субъектов
  3. Мы создадим первый домен в лесу, который известен как лес Корневой домен .Мы дадим полное доменное имя (FQDN). Здесь я собираюсь использовать blog.techdirectarchive.com в качестве домена.
  4. Мы установим DNS, потому что у нас должна быть интеграция Microsoft Active Directory с DNS-сервером.

После того, как мы успешно установили и настроили службы доменных имен Active Directory, сервер станет контроллером домена, который обычно называется DC.😀

Итак, приступим.

Все, что вам нужно, чтобы начать работу со мной в демонстрационном сеансе, — это копия Windows Server 2022, установленная на вашем ПК. Чтобы загрузить файл ISO в ознакомительной копии, нажмите здесь . Не забывайте, что вы также можете попробовать скопировать его прямо в Azure (см. снимок экрана ниже). Чтобы начать работу с Azure, оформите бесплатную 30-дневную подписку здесь.

Оценочная копия Windows Server 2022

Вы также можете установить копию Windows Server 2022 через Oracle VirtualBox или VMWare.Чтобы узнать, как это сделать, пожалуйста, обратитесь к этим связанным сообщениям, как установить Windows 11 в Oracle VirtualBox без поддержки TPM. Если вы столкнулись с ошибкой открытия сеанса при попытке запустить образ виртуальной машины в VirtualBox, пожалуйста, обратитесь к этому сообщению, чтобы узнать, как исправить «Не удалось открыть сеанс в VirtualBox для установки образа Windows 11»​. Вы можете прочитать о других моих предыдущих темах, представляющих интерес, например, как заблокировать обновление до Windows 11 с помощью локальной групповой политики или редактора реестра из Windows 10, как сделать резервную копию виртуальной машины Azure из настроек виртуальной машины, виртуальные сети Azure: как подготовить Azure и локальные виртуальные сети с использованием команд Azure CLI и сетевой файловой системы: как установить NFS Server на Windows Server.

Установка служб доменных имен Active Directory на Windows Server 2022.

Как видно из приведенного ниже снимка экрана, у нас полностью настроена Windows Server 2022 на нашем ПК.

Windows Server 2022

Теперь давайте выполним следующие шаги, чтобы установить доменные службы Active Directory (ADDS).

Шаг 1. Открыть диспетчер серверов. Чтобы открыть диспетчер серверов, нажмите клавишу Windows на клавиатуре и введите « Server Manager » для поиска приложения.Как только он откроется, как показано на рисунке ниже, мы перейдем к следующему шагу установки доменных служб Active Directory.

Менеджер сервера

Шаг 2. Добавьте роли и функции

Щелкните правой кнопкой мыши « Управление » в окне « Server Manager » и выберите « Добавить роли и функции ». Это откроет «Мастер добавления ролей и компонентов », который приведет нас к той части, где мы устанавливаем доменные службы Active Directory. Нажмите , затем .

Добавить роли и компонентыНажмите «Далее», чтобы добавить роли и компоненты

Шаг 3. Тип установки

В разделе «Тип установки» оставьте выбранным переключатель « Установка на основе ролей или функций » и нажмите , затем (см. снимок экрана ниже).

Выберите тип установки на основе ролей

Шаг 4: Выбор сервера

В этом интерфейсе под названием « Выберите целевой сервер » выберите сервер, на котором вы хотите установить AD DS, и нажмите «Далее».Я собираюсь выбрать свой локальный сервер.

Выбор сервера

Шаг 5: роли сервера

Предыдущий шаг приведет вас к следующей странице, как показано ниже. Здесь вы увидите множество опций с квадратным контрольным списком рядом с ними. Как видите, мы выбираем « доменных служб Active Directory ».

Роли сервера

Шаг 6. Добавление компонентов

Сразу после выбора этой опции появляется новая деталь. На странице просто щелкните вкладку « Добавить функции » и нажмите « Далее ».

Добавление компонентов AD DS

Шаг 7. Выбор компонентов

На следующей странице после шага 6 под названием « Выберите компоненты » просто нажмите « Далее », чтобы перейти к установке AD DS.

Выберите компоненты

Шаг 8: AD DS

Как показано ниже, вам будет представлена ​​следующая страница под названием « Доменные службы Active Directory ». Здесь нажмите « Далее »

Окно установки AD DS

Шаг 9. Подтвердите выбор

Следующая страница посвящена подтверждению того, что вы хотите установить AD DS, перед его фактической установкой.Здесь, если вы уверены в установке, нажмите «Установить». При желании вы можете выбрать вариант, который перезапускает сервер всякий раз, когда это необходимо, что мы не выбираем в нашем собственном случае. Нажмите «Закрыть», как только это будет сделано.

Подтвердите установку AD DS

Закройте мастер экрана установки или перейдите к следующей настройке повышения роли сервера до контроллера домена, что будет нашим следующим шагом, как показано на снимке экрана ниже

Настройка AD DS

Теперь, когда установка успешно завершена.Мы собираемся настроить AD DS, выполнив следующие шаги:

Шаг 1. Повышение роли до контроллера домена и добавление леса

После завершения установки доменных служб Active Directory следующим шагом будет повышение их роли до контроллера домена (DC). В том же окне «Завершение установки», как показано на снимке экрана выше, нажмите " Повысить уровень этого сервера до контроллера домена " . Поскольку это совершенно новая служба доменных имен Active Directory, мы выберем «Добавить новый лес» (см. скриншот ниже).

Повышение уровня сервера до DC

Поскольку лес является общим контейнером для AD DS и его служб, мы создадим первый домен в лесу, известный как «Корневой домен леса» , и укажем имя, которое должно быть полным доменным именем (FQDN) blog.techdirectarchive.com . Вы можете указать свое полное доменное имя в зависимости от потребностей вашей организации. Не забудьте также указать пароль режима восстановления доменных служб Active Direct.

  Примечание. Одним из предлагаемых способов является использование поддомена общедоступного зарегистрированного домена. В моем случае  techdirectarchive.com  — это мое общедоступное зарегистрированное доменное имя, а  blog.techdirectarchive.com  — поддомен. В некоторых ситуациях вы можете увидеть что-то вроде  techdirectarchive.local.  Здесь следует отметить одну вещь: .local — это неофициальное доменное имя верхнего уровня, которое не поддерживается интернет-стандартом, а неофициальное доменное имя действительно следует использовать только в тестовой лабораторной среде.Избегайте его использования в производственной среде, так как это вызывает проблемы с сертификатами. Но для целей демонстрационного сеанса в этом посте, если у вас нет общедоступного зарегистрированного доменного имени, вы можете продолжить и использовать .local.  
Добавление контроллера домена

На этом этапе необходимо указать функциональные уровни леса и домена. Это определяет возможности AD DS и леса, а также определяет, какая операционная система может работать на контроллере.

  Обратите внимание, что, как показано на снимке экрана выше, текущий функциональный уровень — Windows Server 2016.Это означает, что все контроллеры домена в лесу должны иметь Windows Server 2016 и выше, потому что Windows Server 2016 — это последняя версия, которую мы можем выбрать, поскольку с версии Windows Server 2016 не было никаких существенных изменений.  

Шаг 2: параметры DNS

На следующей странице (Параметры DNS) вы, вероятно, увидите ошибку сверху со словами « Невозможно создать делегацию для этого DNS-сервера, поскольку не удается найти полномочный сервер имен родительской зоны » (см. скриншот ниже).Проигнорируйте его и нажмите « Далее »

Параметры DNS

Шаг 3: доменное имя NetBIOS

На следующей странице оставьте имя домена NetBIOS по умолчанию или вы можете изменить его, если оно не длиннее 15 символов. После этого нажмите « Next ».

Доменное имя NetBIOS

Шаг 4: Пути

Оставьте пути по умолчанию и нажмите «Далее», как показано ниже.

Пути к базе данных

Шаг 5. Просмотрите выбор

На этом шаге сервер позволяет вам просмотреть, что вы уже сделали.Если вы хорошо сделали выбор, нажмите « Next », чтобы перейти к следующему этапу.

Окно просмотра

Шаг 6. Проверка предварительных условий

На этапе предварительных требований система будет проверена перед установкой доменных служб Active Directory. Если у вас есть какие-либо ошибки здесь, пожалуйста, посмотрите и исправьте что-нибудь в предыдущих шагах. Если все в порядке, нажмите « Установить ». В нашем собственном случае, как показано на снимке экрана ниже, все предварительные проверки были пройдены.

Предварительное условие Проверьте окно установки WindowDC

После этого сервер перезагрузится, и вы сможете войти в домен с учетными данными, которые вы установили на шаге 1, как показано ниже:

Экран входа в систему контроллера домена

Наконец, если мы проверим через Диспетчер серверов и нажмем «Инструменты», затем выберем «Пользователи и компьютеры Active Directory», вы увидите, что наше доменное имя есть. В нашем случае мы создали организационную единицу (OU), которая служит отделом, и создали учетную запись для себя как пользователя (см. скриншот ниже).

Найдите Active Direct Users and ComputersOU и User

В заключение отметим, что Active Directory — одна из лучших функций, благодаря которым Windows Server широко используется в корпоративных средах. Эта функция единого входа в систему, которая плавно и легко интегрируется с большинством продуктов Microsoft, делает управление пользователями среди других задач довольно простым и увлекательным. Поздравляем, в этой статье вы узнали, как настроить его от начала до конца на Windows Server 2022.

Спасибо, что прочитали этот пост.Пожалуйста, поделитесь им с другими.

Родственные

Обзор доменных служб Active Directory

Active Directory (AD) — это разработанная корпорацией Майкрософт технология, состоящая из набора процессов для централизованного управления доменами, управления правами доступа к сетевым ресурсам и управления другими службами идентификации, связанными с каталогами.

Хотя AD состоит из нескольких служб каталогов, основная деятельность выполняется доменными службами Active Directory (обычно сокращенно AD DS).По сути, AD DS хранит информацию о ресурсах в домене, аутентифицирует их разрешения и определяет их права доступа.

В этой статье мы дадим обзор доменных служб AD.

Преимущества AD DS

Доменные службы Active Directory предлагают широкий спектр преимуществ для управления вычислительными ресурсами.

Вот некоторые из них:

  • Каталог часто реализуется путем создания структур, которые хранят данные на основе логической и иерархической организации информации.Данные, хранящиеся в каталоге, обычно содержат всю информацию о различных объектах Active Directory, таких как сетевые принтеры, серверы, общие тома и учетные записи отдельных компьютеров. Следовательно, это позволяет организовать данные в соответствии с потребностями и предпочтениями пользователей.
  • AD DS обеспечивает репликацию с несколькими мастерами и возможности проверки подлинности с несколькими мастерами. Это позволяет администратору управлять всем каталогом из любого места в сети.
  • AD DS поставляется со встроенными возможностями резервирования.Таким образом, если производительность одного контроллера домена (DC) снижается, другой контроллер домена берет на себя нагрузку.
  • AD DS использует администрирование на основе политик, чтобы упростить работу системных администраторов, особенно в сложной сетевой инфраструктуре. Каждый доступ к сетевым ресурсам осуществляется через AD DS, что обеспечивает централизованное управление правами доступа.

Общие термины и понятия AD DS

Давайте определим некоторые термины и понятия, которые обычно используются в доменных службах Active Directory.

  • Схема : это набор правил, используемых для определения объектов и атрибутов в каталоге. Схемы также определяют ограничения на экземпляры и то, как они представлены в каталоге. Схема предпочтительно хранится в отдельном разделе внутри каталога и реплицируется среди всех существующих доменов в лесу.
  • Глобальный каталог : Он содержит всю информацию о каждом объекте, определенном в каталоге, что позволяет как пользователям, так и администраторам легко находить информацию каталога, даже если данные находятся в другом домене.
  • Механизм запросов и индексов : Индексирование запросов позволяет пользователям и приложениям находить объекты и их свойства в каталоге. Эта функция удобна при поиске конкретной информации в структуре каталогов.
  • Служба репликации: Эта выделенная служба распространяет данные по всей сети; это то, что гарантирует, что каждый контроллер домена содержит одну и ту же схему и глобальный каталог. Все изменения, внесенные в доменные службы Active Directory, обычно реплицируются на каждый контроллер домена в домене.Контроллеры домена обычно отслеживают любые сделанные изменения и реализуют только те обновления, которые произошли с момента последней репликации. Средство отслеживания обновлений выполняет две роли: во-первых, оно изменяет то, что не было получено или что необходимо реплицировать в месте назначения; во-вторых, он разрешает конфликты, возникающие из-за одновременных изменений объекта.
  • Упрощенный протокол доступа к каталогам (LDAP): Это протокол, отвечающий за предоставление общего языка для взаимодействия между клиентами и серверами на разных платформах.

Роль контроллеров домена с AD DS

Серверы, на которых запущены доменные службы Active Directory, называются контроллерами домена (DC). Каждый контроллер домена отвечает на запросы аутентификации и хранит данные доменных служб AD.

Кроме того, на контроллерах домена размещены другие важные службы, дополняющие функции доменных служб AD.

Вот некоторые из них:

  • NetLogon : служба, которая постоянно работает в фоновом режиме для проверки подлинности пользователей и других служб, доступных в домене.
  • Центр распространения ключей Kerberos (KDC) : служба, которая проверяет билеты Kerberos, которые доменные службы Active Directory используют для проверки подлинности.
  • Межсайтовый обмен сообщениями (IsmServ) : Служба, позволяющая контроллерам домена взаимодействовать друг с другом в целях репликации и маршрутизации сайтов.

В каждой Active Directory должен быть хотя бы один контроллер домена. Контроллеры домена служат контейнерами для доменов. Кроме того, каждый домен является компонентом леса Active Directory, состоящего как минимум из одного домена, разбитого на категории по организационным единицам.

Это доменные службы Active Directory, которые управляют доверием между различными доменами, позволяя пользователям предоставлять права доступа и привилегии связи. Таким образом, в то время как AD DS является основой для управления доменом, DC — это компьютер, который используется для доступа к Active Directory.

Заключение

Сетевая инфраструктура Active Directory обеспечивает централизованное хранение объектов и управление ими. Это позволяет системному администратору с помощью групповых политик безопасно управлять доступом и доступностью общих сетевых ресурсов.

Доменная служба Active Directory выступает в качестве основы для идентификации пользователей, а также обеспечивает центральную основу для проверки подлинности и авторизации всех ролей сервера в типичной операционной системе Windows Server.

Некоторые из отличительных особенностей последних конфигураций Active Directory включают аудит системы, политики блокировки паролей и учетных записей, контроллеры домена только для чтения, возможность перезапуска доменных служб и средство подключения базы данных Active Directory.

Установка доменных служб Active Directory в Windows Server 2019

Введение

Одной из лучших функций, которые делают сервер Windows сияющим в корпоративной сфере, является Active Directory. Этот продукт с единой регистрацией, который легко и просто интегрируется с большинством продуктов Microsoft, делает управление пользователями среди других задач довольно простым и увлекательным. В этом руководстве рассказывается, как установить доменные службы Active Directory на только что установленном сервере Windows 2019.

Шаг 1. Откройте диспетчер серверов

Нажмите клавишу « Windows » на клавиатуре и введите « Диспетчер серверов » для поиска приложение.Как только он откроется, как показано на рисунке ниже, давайте перейдем к следующему шагу установки доменных служб Active Directory.

Шаг 2: Добавление ролей и функций

Щелкните правой кнопкой мыши « Управление » в окне « Диспетчер сервера » и выберите « Добавить роли и функции ». Это откроет «Мастер добавления ролей и компонентов », который приведет нас к той части, где мы устанавливаем доменные службы Active Directory. Щелкните , затем .

Шаг 3: Тип установки

В разделе «Тип установки» оставьте выбранным переключатель « Установка на основе ролей или функций » и нажмите , затем .

Шаг 4: Выбор сервера

На этом этапе под названием « Выберите целевой сервер » выберите сервер, на который вы хотите установить AD DS, и нажмите «Далее». Я собираюсь выбрать свой локальный сервер.

Шаг 5: роли сервера

Предыдущий шаг приведет вас к следующей странице, как показано ниже. Здесь вы увидите множество опций с квадратным контрольным списком напротив них. Как вы можете догадаться, мы собираемся выбрать « доменных служб Active Directory ».

Шаг 6: Добавление компонентов

Сразу после выбора этой опции появляется новая деталь.На странице просто щелкните вкладку « Добавить функции » и нажмите « Далее ».

Шаг 7. Выберите компоненты

На следующей странице после шага 6 под названием « Выберите компоненты » просто нажмите « Далее », чтобы перейти к установке AD DS.

Шаг 8: AD DS

Как показано ниже, вы увидите следующую страницу под названием « Доменные службы Active Directory ». Здесь нажмите « Далее »

Шаг 9: Подтвердите свой выбор

Следующая страница посвящена подтверждению того, что вам нужно установить, перед фактической установкой.Если вы уверены в том, что выбрали, нажмите «Установить». При желании вы можете выбрать вариант, который перезапускает сервер всякий раз, когда это необходимо. Нажмите «Закрыть», как только это будет сделано.

Шаг 10. Повышение роли до контроллера домена

После завершения установки доменных служб Active Directory последним шагом является повышение роли до контроллера домена. Перейдите в Диспетчер серверов, где вы увидите желтый восклицательный знак рядом с вкладкой « Управление », как показано ниже. Нажмите на него и выберите « Повысить уровень этого сервера до контроллера домена »

Шаг 11: Добавьте новый лес

Появится новое окно под названием « Мастер настройки доменных служб Active Directory », как показано ниже.Мы собираемся добавить новый лес , но если вы хотите сделать что-то другое на этом шаге, вы можете выбрать другие варианты. Добавьте корневое доменное имя вашей организации. Нажмите « Next » после того, как сделаете свой выбор.

Шаг 12: Параметры контроллера домена

В параметрах контроллера домена оставьте отмеченными значения по умолчанию и введите свой пароль. После этого нажмите « Далее ».

Шаг 13: Параметры DNS

На следующей странице ( Параметры DNS ) вы, вероятно, увидите сообщение об ошибке сверху со словами «Невозможно создать делегацию для этого DNS-сервера, поскольку не удается найти авторитетный сервер имен родительской зоны».Игнорируйте его и нажмите « Next »

Шаг 14: доменное имя NetBIOS

На следующей странице оставьте доменное имя NetBIOS по умолчанию или вы можете изменить его, если оно не длиннее 15 символов. После этого нажмите « Next ».

Шаг 15: Пути

Оставьте пути по умолчанию и нажмите «Далее», как показано ниже.

Шаг 16: Просмотрите выбор

На этом шаге сервер позволяет вам просмотреть, что вы уже сделали. Если вы хорошо с выбором вы сделали.Нажмите « Далее ».

Шаг 17. Проверка предварительных требований

На этом шаге будут проверены предварительные условия перед установкой доменных служб Active Directory. Если у вас есть какие-либо ошибки здесь, пожалуйста, посмотрите и исправьте что-нибудь в предыдущих шагах. Если все в порядке, нажмите « Установить ».

После этого сервер перезагрузится, и вы сможете войти в домен с учетными данными, указанными на шаге 12, как показано ниже:

Заключение

У вас установлены доменные службы Active Directory, и вы можете управлять ими с помощью Центра администрирования Active Directory. .Мы надеемся, что это было информативно, и вам понравилось. Спасибо, что прочитали. Ниже перечислены другие интересные руководства:

Страница не найдена

Моя библиотека

раз
    • Моя библиотека
    «» Настройки файлов cookie .

Добавить комментарий

Ваш адрес email не будет опубликован.