Домен ad: Обзор доменных служб Active Directory

Active Directory может выполняться на контроллерах домена с помощью собственных инструментов, таких как:

Эти инструменты также могут быть установлены на рабочих станциях как часть инструментов удаленного администрирования сервера (RSAT), чтобы позволить администраторам удаленно управлять AD.

Структура нашей эры

Теперь, когда мы рассмотрели основные концепции AD, давайте рассмотрим структуру Active Directory.Active Directory содержит несколько логических единиц, организованных иерархически. От наименьшего к наибольшему их количество:

• Объектов
• Организационные единицы (OU)
• Домены
• Деревья
• Леса

Объектов

Объект Active Directory — это наименьшая логическая единица. Примеры включают:

• Учетная запись пользователя
• Учетная запись компьютера
• Группа
• Принтер
• Поделиться

Объекты имеют один или несколько атрибутов, определяющих их свойства, пределы и формат.Значения атрибутов могут быть многозначными, строковыми, целыми, логическими (истина или ложь) или другими типами. Атрибуты каждого объекта указаны в схеме.

Организационные единицы (OU)

объектов AD в домене можно сгруппировать в логические контейнеры, называемые организационными единицами (OU). Подразделения также являются объектами, что позволяет администраторам создавать вложенные подразделения. Все объекты в любом заданном OU должны иметь уникальные имена, и каждый объект может находиться только в одном OU в любой момент времени.

Active Directory управляются инструментом, называемым контроллером домена. Контроллер домена действует как орган власти домена, то есть он отвечает за все разрешения объектов Active Directory, аутентификацию, модификации и изменения в домене.Домены AD обычно идентифицируются через систему доменных имен (DNS). Обычно DNS совпадает с именем общедоступного домена компании, хотя иногда существуют альтернативные имена поддоменов.

Одно из первых соображений при настройке AD будет заключаться в том, следует ли использовать структуру Active Directory с одним доменом или с несколькими доменами. Всегда рекомендуется использовать только минимальное количество доменов, необходимое для нужд вашей организации. Самый простой вариант — ограничить структуру одним доменом, но обычно это невозможно на уровне предприятия.

В больших сетях могут быть десятки или даже сотни доменов Active Directory. Чтобы упорядочить их, домены объединены в группы, называемые деревьями доменов Active Directory.

К началу

Лес AD и домен

Корпоративные сети с сотнями пользователей и тысячами сетевых объектов могут иметь десятки и десятки деревьев Active Directory. В таких случаях ИТ-группы организуют деревья AD в группы, называемые лесами.Леса Active Directory — это наивысший уровень безопасности для сетевых объектов в дереве Active Directory и структуре леса.

В этой иерархии Active Directory лес AD считается наиболее важным логическим контейнером в конфигурации Active Directory. Это потому, что он содержит всех других пользователей, домены, компьютеры, групповые политики и любые другие важные сетевые объекты.

Один или несколько лесов Active Directory

Хотя Active Directory может содержать несколько доменов и деревьев, в большинстве конфигураций Active Directory размещается только один лес домена.Однако в определенных ситуациях может быть выгодно создать несколько лесов Active Directory из-за требований автономности или изоляции данной сети.

В нескольких лесных экосистемах обмен информацией и данными может происходить только в пределах одного леса Active Directory. Это может быть проблемой для управления, поэтому ИТ-администраторы должны знать, что создание нескольких лесов может значительно усложнить методы мониторинга Active Directory .

Вообще говоря, считается лучшей практикой запускать только один лес Active Directory , но если вам нужен дополнительный уровень безопасности между доменами Active Directory, целесообразно использовать экосистему с несколькими лесами. Однако это не автоматическое исправление безопасности — ИТ-специалистам по-прежнему необходимо управлять разрешениями и обеспечивать их соблюдение для каждого созданного леса Active Directory.

Кроме того, ИТ-специалистам может оказаться полезным использование нескольких лесов, если они установят , программное обеспечение для управления Active Directory . С дополнительным лесом ИТ-группы могут использовать изолированную копию своей системы AD для тестирования и настройки конфигурации своего нового программного обеспечения перед его развертыванием в действующей сети, сводя к минимуму риск влияния программного обеспечения на повседневные операции.

Более того, нескольких лесов может быть полезным в случае слияний и поглощений крупных компаний , особенно когда компания покупает другой бизнес, уже использующий Active Directory в своей сети. В зависимости от характера транзакции иногда может быть проще создать совершенно новый лес для недавно купленного бизнеса, чем переносить каждого пользователя и ресурс в существующие домены и деревья.

Если приобретенная организация планирует работать под своим текущим именем даже после приобретения, скорее всего, она также не захочет менять свое доменное имя.Это означает, что его нельзя интегрировать в существующие домены и деревья вашей компании из-за сложностей с DNS. В таких обстоятельствах ИТ-группа может попытаться перенести деревья нового подразделения в существующий лес, но это может быстро стать сложным.

Вместо этого оставьте полученную сеть в покое, и свяжет два леса Active Directory вместе, установив транзитивный центр доверия . Хотя это решение необходимо выполнять вручную, оно может быть эффективным.Транзитивный доверенный орган расширяет доступность ресурсов, поэтому два леса могут эффективно объединяться на логическом уровне. Это экономит время и ИТ-ресурсы, которые, вероятно, уже будут истощены во время слияния. ИТ-группы по-прежнему могут управлять двумя лесами Active Directory по отдельности и позволить доверительной ссылке обрабатывать любую взаимную доступность.

К началу

Общие сведения о репликации Active Directory

Чтобы понять репликацию Active Directory, сначала важно взглянуть на , как среды Windows NT работали до AD .Среды Windows NT были построены как единые главные сети, то есть они использовали один основной контроллер домена. Этот контроллер домена был единственным органом, ответственным за управление базой данных домена.

При такой настройке основной контроллер домена отвечал за репликацию всех изменений, внесенных в резервные контроллеры домена. Если основной контроллер домена был недоступен или по какой-то причине перерыв в работе, в базу данных домена не было внесено никаких изменений, что означало, что данные могут быть потеряны или не учтены. Это сделало среды Windows значительно менее надежными, поскольку ИТ-специалистам приходилось выполнять множество действий вручную, чтобы постоянно обеспечивать возможность внесения изменений в базу данных домена, иначе возникнет риск потери ценной информации.

Чтобы снизить эти риски, ИТ-специалистам требовалось программное обеспечение для развертывания более одного контроллера домена . Если бы вы развернули несколько контроллеров домена в одной сетевой среде, производительность улучшилась бы, поскольку вычислительная нагрузка сети распределялась бы на все контроллеры домена, а не на один основной контроллер домена.

Решение появилось с появлением Active Directory, которая, в отличие от сред Windows NT, была разработана как масштабируемая распределенная база данных с репликацией . Это означает, что AD работает с несколькими контроллерами домена. Поскольку каждый контроллер домена в экосистеме Active Directory автоматически создает реплику информации, которую он хранит в своем собственном домене, вся система AD более надежна, чем предыдущие системы.

Соответственно, репликация Active Directory лучше всего понимать как гарантию того, что любая информация или данные, обрабатываемые любым из контроллеров домена, согласованы, обновляются и синхронизируются.Любые изменения, внесенные в реплику на одном контроллере домена, будут автоматически перенесены в реплики на других контроллерах домена организации. Этот процесс репликации позволяет ИТ-администраторам изменять любую базу данных Active Directory с любого контроллера домена и автоматически реплицировать эти изменения на все другие контроллеры домена в том же домене или дереве.

Тогда возникает вопрос, какая информация реплицируется в Active Directory? Некоторые действия в AD являются триггерами репликации, то есть, когда они происходят, репликация происходит автоматически.Например, когда объект создается, удаляется, перемещается или изменяется, он будет реплицирован.

К началу

Преимущества репликации Active Directory

Контроллеры домена с репликацией имеют множество преимуществ в плане безопасности. Важно отметить, что , если один контроллер домена выходит из строя или выходит из строя, ИТ-отдел может более легко заменить все исходные записи, которые он хранит, скопировав свою базу данных на другой сайт .

Более того, если злоумышленник взломает ценные учетные данные пользователей в сети вашей организации, он может попытаться изменить разрешения на локальном контроллере домена, чтобы получить более высокие привилегии. Если скомпрометированы учетные данные с более высокими привилегиями, конфиденциальные данные вашей сети будут значительно больше подвержены риску, поскольку эти пользователи, как правило, имеют доступ к наиболее конфиденциальным данным. Благодаря репликации, эти изменения могут быть более легко устранены или устранены, как только они будут обнаружены.

Кроме того, доступ к текущему сравнению баз данных контроллеров домена организации предлагает ИТ-командам ценные возможности мониторинга безопасности. Репликация Active Directory также может помочь вашей ИТ-команде полностью удалить скомпрометированную учетную запись из вашей сети.

С другой стороны, если вы хотите восстановить исходную базу данных и развернуть обновленные записи, важно проводить регулярные плановые проверки системы и проверки целостности.

Чтобы получить максимальную отдачу от репликации, вам необходимо реализовать хорошие политики управления для сетевых менеджеров, которым поручено работать с Active Directory. Увеличение количества локальных контроллеров домена открывает дверь для угроз безопасности, создавая больше возможностей для злоумышленников украсть или изменить данные до того, как они будут обнаружены и заблокированы; всегда следует соблюдать протоколы безопасности, чтобы избежать этих рисков.

Координация копий между контроллерами домена может быстро стать сложной и трудоемкой, что затрудняет выполнение мониторинга Active Directory вручную. Важно вкладывать средства в автоматизированные инструменты, чтобы обеспечить мониторинг всех контроллеров домена и их реплик.

К началу

Топологии репликации Active Directory

Трафик репликации передается между контроллерами домена по маршруту, известному как топология репликации.Существует четыре основных топологии репликации. При принятии решения о том, что реализовать, вы должны учитывать физическое подключение вашей сети.

1. Кольцевая топология: В кольцевых топологиях каждый контроллер домена имеет двух исходящих и двух входящих партнеров по репликации. В этой конфигурации между контроллерами домена на одном сайте никогда не может быть более трех переходов.
2. Топология концентратора и луча: Топология концентратора и луча определяется существованием одного или нескольких узловых сайтов, использующих медленные соединения беспроводной сети (WAN) для подключения к лучевым сайтам, в то время как сайты концентраторов подключаются друг к другу с помощью быстрой глобальной сети соединения.Эта топология чаще всего реализуется в корпоративных средах, где масштабируемость имеет первостепенное значение, а избыточность не так высоко ценится.
3. Топология Full Mesh: Топология Full Mesh обычно используется в небольших организациях, где избыточность имеет первостепенное значение, а доступность сайта ограничена. Однако эта топология дорогостоящая и ее нелегко масштабировать.
4. Гибридная топология: Гибридная топология может представлять собой комбинацию любой из топологий, описанных выше.

Управление системой аутентификации Active Directory может быть невероятно сложным процессом, особенно когда вы имеете дело с большим количеством доменов, деревьев и лесов. Если вы попытаетесь сделать это вручную, без помощи специальных автоматизированных инструментов, вас легко переутомить.

На рынке так много инструментов Active Directory, что бывает сложно выбрать лучший для ваших нужд. Я протестировал многие из самых популярных решений и оценил их сильные и слабые стороны, чтобы сузить круг вопросов.Ниже приведены мои лучшие решения для управления Active Directory.

1. Менеджер прав доступа SolarWinds (ARM)

Лучшим инструментом Active Directory на рынке, без сомнения, является SolarWinds Access Rights Manager. ИТ-группы могут установить ARM на любую версию Windows Server и сразу же начать управлять правами доступа в ИТ-инфраструктуре.

ARM имеет несколько автоматизированных инструментов, упрощающих управление правами доступа.Во-первых, он включает в себя настраиваемую отчетность Active Directory, позволяющую ИТ-администраторам создавать специальные отчеты, чтобы видеть, какие пользователи имеют доступ к чему в их сетях. Отчеты могут быть подробными, чтобы показать, когда пользователь получил доступ к файлу или папке в сети.

Помимо помощи ИТ-командам в анализе и мониторинге доступа пользователей, инструмент отчетности ARM Active Directory можно использовать для создания предварительно настроенных материалов соответствия для множества отраслевых форматов, включая GDPR, PCI и HIPAA .Эти отчеты могут быть автоматизированы и запланированы заранее.

Кроме того, ИТ-команды могут использовать ARM для защиты своих организаций от потери данных и потенциальных нарушений безопасности с помощью автоматического мониторинга . Когда ARM установлен в вашей инфраструктуре, он получит право идентифицировать учетные записи пользователей с небезопасными конфигурациями, которые могут сигнализировать о краже учетных данных или неправильном использовании авторизации. А благодаря способности ARM предоставить ИТ-администраторам полный контрольный журнал всех разрешений и изменений уровня доступа, расследования кибербезопасности можно завершить за считанные минуты.

Наконец, ARM позволяет ИТ-отделам автоматизировать весь процесс подготовки пользователей Active Directory с помощью шаблонов для конкретных ролей. Эти шаблоны обеспечивают соответствие пользователей политикам безопасности, предоставляя привилегии доступа по принципу наименьших привилегий.

К началу

2. Монитор серверов и приложений SolarWinds (SAM)

Server & Application Monitor — еще один отличный инструмент от команды SolarWinds. SAM является не только программным обеспечением для мониторинга серверов, но и инструментом для управления Active Directory. Пользователи могут легко отслеживать и устранять любые проблемы с производительностью Active Directory с помощью множества автоматических функций.

С помощью SAM пользователи могут использовать представление «Сводка репликации», чтобы убедиться, что все репликации между контроллерами домена выполнены успешно. Это позволяет ИТ-специалистам быстро определять состояние репликации и углубляться в процесс репликации контроллера домена.Имея полную корзину показателей, ИТ-команды могут собирать информацию о ходе и успехе различных конфигураций, схем AD и многого другого.

Кроме того, SAM включает виджет «Подробная информация о контроллере домена», поэтому ИТ-специалисты могут просматривать роли контроллера домена и вносить необходимые изменения. Этот инструмент обеспечивает целостное представление о состоянии и роли каждого контроллера домена в вашей сети. ИТ-администраторы могут даже просматривать, искать и сортировать все семь ролей Flexible Single Master Operations — от имени домена и хозяина схемы до эмулятора контроллера домена и диспетчера инфраструктуры.

Помимо этих функций, SAM предлагает ИТ-отделам ресурс для просмотра всех деталей сайта Active Directory в режиме реального времени. . Инструмент Site Details позволяет пользователям углубляться в каждый сайт, а это означает, что ИТ-администраторы могут получать и использовать полезную информацию — от имени ссылки сайта до подсетей и диапазонов IP-адресов — для быстрого выявления и решения любых проблем с Active Directory в удаленном расположении.

3. Монитор сети Paessler PRTG

PRTG Network Monitor от Paessler работает как набор инструментов, которые он называет датчиками.Некоторые из них являются датчиками Active Directory, которые можно использовать для мониторинга ваших систем AD. Если вы активируете только 100 датчиков, вы можете использовать PRTG бесплатно. Если вы превысите 100 датчиков, оплата будет зависеть от размера вашей сети и количества датчиков, которые вы выберете для активации.

Датчики PRTG Active Directory могут использоваться ИТ-специалистами для мониторинга своей системы репликации AD. При правильном использовании они обеспечивают копирование базы данных на все контроллеры домена в сети. Кроме того, датчик ошибок репликации Active Directory инструмента предназначен для отслеживания различных параметров в течение периода репликации каталога, чтобы гарантировать синхронизацию контроллеров домена и соответствие друг другу.В случае аномалии или ошибки ИТ-администратору будет отправлено предупреждение.

Более того, это решение может регистрировать сетевую активность сотрудников, что может предлагать сетевым администраторам информацию о подозрительном поведении или внутренних угрозах и помогает в решении проблем, связанных с вышедшими из системы или деактивированными пользователями.

К началу

4. ManageEngine AD Manager Plus

ManageEngine предлагает широкий спектр решений для мониторинга сети, одним из лучших из которых является полнофункциональный инструмент управления Active Directory.ИТ-группы могут использовать AD Manager Plus для расширения Active Directory в G Suite, Office 365, Microsoft Exchange, Skype и использовать собственные права доступа к внутренней сети.

Инструмент аккуратно организован: он работает с единой информационной панели, на которой ИТ-администраторы могут легко просматривать и контролировать все объекты и группы Active Directory, а также подготавливать пользователей. Кроме того, мне нравится AD Manager Plus за его надежную систему отчетности. Вы можете легко создавать отчеты Active Directory по расписанию или по отдельности, а инструмент поставляется с более чем 150 предварительно настроенными шаблонами отчетов, что имеет большое значение, если вы работаете над соблюдением требований отраслевых регуляторов .ManageEngine также может создавать специальные отчеты для пользователей Active Directory, учетных записей, компьютеров, паролей и других объектов.

AD Manager Plus требует большего обучения, чем другие инструменты. Его пользовательский интерфейс не самый интуитивно понятный, особенно при работе на мобильных устройствах, а отсутствие документации затрудняет устранение мелких ошибок здесь и там. Пользователям также может быть сложно выследить члена группы поддержки, чтобы помочь с более сложными запросами.

Доменные службы Active Directory (AD DS): обзор и функции

Доменные службы Active Directory (AD DS) — это основные функции Active Directory, которые управляют пользователями и компьютерами и позволяют системным администраторам организовывать данные в логические иерархии.

AD DS обеспечивает сертификаты безопасности, систему единого входа (SSO), LDAP и управление правами.

Получите бесплатное тестирование на проникновение в средах Active Directory EBook

«Это действительно открыло мне глаза на безопасность AD, чего никогда не делала защита».

Понимание AD DS является главным приоритетом для специалистов по реагированию на инциденты (IR) и кибербезопасности, потому что все кибератаки будут влиять на AD, и вам нужно знать, что искать и как реагировать на атаки, когда они происходят.

Преимущества доменных служб Active Directory

Использование AD DS для базового управления пользователями сети и компьютером дает несколько преимуществ.

• Вы можете настроить организацию данных в соответствии с потребностями вашей компании.
• При необходимости вы можете управлять AD DS с любого компьютера в сети.
• AD DS обеспечивает встроенную репликацию и избыточность: если один контроллер домена выходит из строя, другой контроллер домена берет на себя нагрузку.
• Весь доступ к сетевым ресурсам осуществляется через AD DS, что обеспечивает централизованное управление правами доступа к сети.

Чтобы понять AD DS, необходимо определить несколько ключевых терминов.

• Схема : набор настроенных пользователем правил, управляющих объектами и атрибутами в AD DS.
• Глобальный каталог : контейнер всех объектов в AD DS. Если вам нужно найти имя пользователя, это имя сохраняется в глобальном каталоге.
• Механизм запросов и индексации : Эта система позволяет пользователям находить друг друга в AD. Хороший пример — когда вы начинаете вводить имя в почтовом клиенте, и почтовый клиент показывает вам возможные совпадения.
• Служба репликации : Служба репликации гарантирует, что каждый контроллер домена в сети имеет один и тот же глобальный каталог и схему
• Сайты : Сайты представляют топологию сети, поэтому AD DS знает, какие объекты объединяются для оптимизации репликации и индексации.
• Облегченный протокол доступа к каталогам : LDAP — это протокол, который позволяет AD взаимодействовать с другими службами каталогов с поддержкой LDAP на разных платформах.

Вот службы, которые AD DS предоставляет в качестве основных функций, необходимых для централизованной системы управления пользователями.

• Доменные службы : Хранит данные и управляет обменом данными между пользователями и контроллером домена. Это основная функция AD DS.
• Certificate Services : Позволяет вашему DC обслуживать цифровые сертификаты, подписи и шифрование с открытым ключом.
• Облегченные службы каталогов : поддерживает LDAP для межплатформенных доменных служб, как и любые компьютеры Linux в вашей сети.
• Службы федерации каталогов : Обеспечивает аутентификацию SSO для нескольких приложений в одном сеансе, поэтому пользователям не нужно постоянно предоставлять одни и те же учетные данные.
• Управление правами : Управляет информационными правами и политиками доступа к данным. Например, Управление правами определяет, можете ли вы получить доступ к папке или отправить электронное письмо.

(DC) — это серверы в вашей сети, на которых размещаются AD DS. Контроллеры домена отвечают на запросы проверки подлинности и хранят данные AD DS. На контроллерах домена размещаются и другие службы, которые также дополняют AD DS.Это:

• Центр распространения ключей Kerberos (KDC): kdc проверяет и шифрует билеты Kerberos, которые AD DS использует для проверки подлинности.
• NetLogon: Netlogon — это служба аутентификации и связи.
• Windows Time (W32time): Kerberos требует, чтобы все время компьютера было синхронизировано.
• Межсайтовый обмен сообщениями (IsmServ): Межсайтовый обмен сообщениями позволяет контроллерам домена связываться друг с другом для репликации и маршрутизации сайтов.

AD должен иметь хотя бы один контроллер домена.Контроллеры домена — это контейнеры для доменов. Каждый домен является частью леса AD, который может включать в себя один или несколько доменов, организованных в организационные единицы. AD DS управляет доверительными отношениями между несколькими доменами, поэтому вы можете предоставлять права доступа пользователям в одном домене другим пользователям в вашем лесу.

Наиболее важная концепция, которую необходимо понять, заключается в том, что AD DS — это структура для управления доменом, а компьютер, который пользователи используют для доступа к AD, — это DC

Современная кибербезопасность зависит от глубокого понимания Active Directory.Active Directory играет ключевую роль в возможностях злоумышленников по проникновению, боковому перемещению и кражи данных. Независимо от того, насколько они скрытны или умны, злоумышленники оставляют хлебные крошки в журналах AD при перемещении по вашей сети.

Varonis отслеживает AD на предмет этих хлебных крошек, а также активности файлов, вызовов DNS, активности VPN и т. Д. Varonis сопоставляет эти данные в полную картину для каждого пользователя и компьютера в AD, сравнивает текущую активность с нормализованными базовыми показателями и каталогом моделей угроз безопасности данных и заранее определяет потенциальные угрозы для ваших данных.

Хотите узнать больше о безопасности AD? Ознакомьтесь с нашим веб-семинаром по запросу «4 совета по защите Active Directory».

Добавить домен в Active Directory — LazyAdmin

Добавление домена в Active Directory — это то, что вы делаете нечасто. Но в гибридной среде с Office 365 вы, возможно, заметили, что вам также потребуется добавить новый домен в локальную Active Directory. Теперь добавить новый домен не составляет особого труда, нужно только знать где.

В этой короткой статье я покажу вам, как добавить новый домен в активный каталог, выполнив несколько простых шагов.

Как добавить домен в Active Directory

1. Войдите в свой контроллер домена
2. Откройте «Active Directory Domains and Trusts»
3. Откройте свойства Active Directory Domains and Trusts

   Щелкните правой кнопкой мыши верхний элемент в левом древовидном представлении и выберите properties

4. Добавьте новое доменное имя

   В диалоговом окне UPN Suffixes введите новое доменное имя в поле « Alternative UPN Suffixes » и нажмите Add

5. Примените настройки

   Нажмите «Применить» и закройте окна.Теперь домен добавлен к контроллеру домена.

6. (необязательно) для репликации на другие контроллеры домена

   Если у вас несколько контроллеров домена, вы можете принудительно выполнить репликацию с помощью следующей команды в PowerShell / CMD: repadmin / syncall / AdeP

Теперь у вас должна быть возможность использовать новое доменное имя в Active Directory или в Центре администрирования Exchange.

Заключение

Как видите, добавить новое доменное имя довольно просто.Добавление нового доменного имени не повлияет на текущих пользователей, поэтому вы можете безопасно добавить его, а затем внести соответствующие изменения в пользователей.

Если у вас есть Office 365 и вы используете AD Sync, вам также необходимо добавить домен в Office 365. Вам не нужно ничего менять для AD Sync самостоятельно.

Если у вас есть вопросы, оставьте комментарий ниже.

Как настроить контроллер домена

Как настроить контроллер домена?

Поскольку контроллер домена жизненно важен для функционирования Active Directory, настройку следует выполнять осторожно, чтобы избежать ошибок.Выполните следующие действия, чтобы убедиться, что ваш контроллер домена настроен правильно.

Прежде чем начать, убедитесь, что вы назначили статический IP-адрес своему контроллеру домена, чтобы помочь объектам Active Directory легко найти контроллер домена.

Шаг 1. Установка доменных служб Active Directory (ADDS)

1. Войдите на сервер Active Directory с учетными данными администратора.
2. Open Server Manager → Сводка ролей → Добавить роли и функции

3. Экран «Перед тем, как начать», который появляется следующим, предназначен исключительно для информационных целей.Вы можете прочитать его и нажать «Далее».
4. Выберите тип установки. Если вы собираетесь развернуть свой DC на виртуальной машине, выберите установку служб удаленных рабочих столов. В противном случае выберите установку на основе ролей или функций.

5. Теперь выберите целевой сервер, на котором будет установлена ​​роль. Убедитесь, что IP-адрес указывает на выбранный сервер. В противном случае закройте диспетчер серверов и повторите попытку.

6. Выберите роли, которые вы хотите установить на этом сервере.Основные требования для превращения этого сервера в контроллер домена — это доменные службы Active Directory.

7. По умолчанию выбраны основные функции, необходимые для правильного функционирования этой роли. Нажмите «Далее», чтобы установить их.

8. Подтвердите выбор установки. Рекомендуется выбрать кнопку «При необходимости автоматически перезапустить целевой сервер». Выберите «Установить» и по завершении установки закройте окно.

Шаг 2. Превратите сервер в контроллер домена

1. После установки роли ADDS на этом сервере вы увидите флажок уведомления рядом с меню «Управление». Выберите «Сделать этот сервер контроллером домена».
2. Выберите «Добавить новый лес» и введите имя корневого домена. Это доменное имя также будет именем леса.

3. Выберите функциональный уровень леса и функциональный уровень домена по вашему выбору.Убедитесь, что функциональный уровень домена равен или выше функционального отпуска леса.
   Поскольку это первый контроллер домена, он автоматически становится DNS-сервером, а также глобальным каталогом (GC).
   Введите уникальный пароль режима восстановления Active Directory, используемый для получения данных Active Directory.
4. Поскольку DNS-сервер настраивается в рамках наших усилий, вы будете предупреждены, что делегирование для этого DNS-сервера не может быть создано. На это можно спокойно не обращать внимания.

5. Введите имя NetBIOS для своего домена. Желательно, чтобы имя NetBIOS совпадало с именем корневого домена. Дополнительные сведения об ограничениях имен NetBIOS см. На странице
   https://support.microsoft.com/en-us/kb/909264.

6. Выберите папку, в которой будут храниться ваша база данных, файлы журналов и SYSVOL. Рекомендуется придерживаться настроек по умолчанию.

7. Просмотрите доступные варианты и нажмите Далее.Проверка предварительных требований будет выполнена Active Directory. По завершении нажмите «Установить».

8. Ваша система будет автоматически перезагружена, чтобы изменения вступили в силу. Проверьте работоспособность контроллера домена, выполнив команду dcdiag / v из командной строки.

Изучите возможности аудита и отчетности Active Directory с помощью ADAudit Plus.

Аудит управления счетами

Аудит Active Directory

Аудит Windows Server

Разница между доменами DNS и AD

По какой-то причине в нашей отрасли часто используется один и тот же термин для обозначения совершенно разных вещей.В главе 7 мы обсудили домены DNS (система доменных имен). DNS-сервер используется для преобразования имен хостов TCP / IP в IP-адреса. Домен DNS представляет собой часть общего пространства имен DNS. DNS — это служба, используемая для поиска ресурсов: процесс отправляет имя хоста, а DNS пытается найти соответствующую запись. Если совпадение найдено, DNS возвращает запрашивающей стороне соответствующий IP-адрес. Таким образом, мы могли бы определить домен DNS как ограниченную часть пространства имен DNS, используемую для поиска информации об IP-узле.

В этой главе мы обсудим домены NT, сконцентрировавшись на том, как они связаны с Active Directory. Для наших целей мы можем определить домен NT как ограниченную область пространства имен AD, используемую для организации сетевых ресурсов.

Сравнивая два определения, мы можем сделать два обобщения:

♦ Домены DNS предназначены для поиска ресурсов.

♦ Домены AD предназначены для организации ресурсов.

Я знаю, что мы сказали, что база данных Active Directory используется для «поиска» ресурсов, поэтому позвольте мне уточнить.Хотя AD хранит информацию о ресурсах в сети, он (или клиент, в зависимости от вовлеченного процесса) использует DNS для поиска и преобразования отличительных имен в IP-адреса. Другими словами, AD и DNS работают вместе, чтобы возвращать информацию о соединении пользователям или другим процессам, которые запрашивают такую ​​информацию, как вы можете видеть на рисунке 8.3.

Рисунок 8.3

AD и DNS работают вместе, чтобы предоставлять услуги.

Рисунок 8.3

AD и DNS работают вместе, чтобы предоставить

данных.Tampa.KingTech.com на сервере

FSI.Tampa.KingTech.com

Сьюзан

Сьюзан

AD возвращает IP-адрес

3 AD находит запись и вызывает DNS.

База данных AD

Data.Tampa.KingTech.com на сервере

FSI.Tampa.KingTech.com

4 DNS возвращает IP-адрес

DNS-сервер для Tampa.Kingtech.com

ФГУ 131.007.2.200

На рис. 8.3 Сьюзен использует базу данных AD для поиска точки общего доступа. Вот что происходит:

1.Сьюзан просматривает каталог и щелкает ресурс \ Data.

2. Клиентское программное обеспечение отправляет запрос серверу AD.

3. Сервер AD выполняет поиск записи ресурса в базе данных каталога. В записи он находит DNS-имя сервера, на котором расположена точка общего доступа. AD запрашивает у DNS IP-адрес соответствующего сервера.

4. DNS ищет в своей базе данных запись о сервере FS1.Tampa.KingTech.com. Найдя эту запись, DNS возвращает IP-адрес в AD.

5. AD возвращает клиенту IP-адрес сервера FS1.Tampa.KingTech.com.

На этом этапе клиентское программное обеспечение может установить соединение с сервером, используя соответствующие технологии TCP / IP.

note DNS — важная часть головоломки AD. Без DNS AD не может преобразовывать запросы пользователей в IP-адреса ресурсов. Чтобы представить это в перспективе, AD не позволит установить себя без DNS: либо путем доступа к существующему DNS-серверу, либо путем установки DNS на первом сервере AD.По этой причине перед установкой и настройкой Active Directory вы должны хорошо разбираться в DNS.

Читать здесь: Использование DNS для поиска контроллера домена

Была ли эта статья полезной?

О проверке домена в Business Manager

Компании могут претендовать на владение своими доменами в Business Manager, не редактируя теги разметки OpenGraph на своих веб-сайтах.

Подтверждение домена также позволяет вам управлять разрешениями на редактирование ваших ссылок и содержимого, чтобы помочь предотвратить неправомерное использование вашего домена.Это включает как органический, так и платный контент. Управление разрешениями на редактирование рекламных ссылок также помогает гарантировать, что только доверенные сотрудники и партнеры будут представлять ваш бренд.

После того, как вы подтвердили свой домен, вы можете назначить определенные разрешения на редактирование страниц для своих объявлений. Страницы, связанные с вашим бизнес-менеджером и не имеющие разрешений на редактирование, не смогут вносить изменения в ваши объявления.

Подтверждение ваших доменов бесплатно. Существует два метода проверки домена:

• Загрузка файла HTML

• Запись DNS TXT

Оба метода предлагают упрощенный способ проверки вашего домена без необходимости редактировать метаданные HTML на вашем веб-сайте.Посетите сайт разработчиков Facebook, чтобы узнать, как подтвердить свои домены.

Примечание: Вы не можете редактировать обычные или неопубликованные ссылки публикаций на Странице, если вы не подтвердите свои домены в Business Manager.

Проверка домена помогает нам гарантировать, что только законные стороны могут редактировать предварительные просмотры ссылок, которые ведут на ваш контент. Подробнее о подтверждении домена … Если у вас возникли сложности, научитесь отлаживать.

Apple объявила об изменениях в iOS 14, которые влияют на то, как мы получаем и обрабатываем события конверсии от бизнес-инструментов, таких как пиксель Facebook.Чтобы учесть эти изменения, мы запросим разрешение через структуру Apple AppTrackingTransparency для измерения событий конверсии, происходящих на устройствах iOS 14. По мере того, как все больше людей отказываются от отслеживания на устройствах iOS 14, персонализация рекламы и отчеты об эффективности будут ограничены как для приложений, так и для событий веб-конверсии.