Šta je kontroler domena. Planiranje instaliranja Active Directory-a na različitim podmrežama

Šta je kontroler domena

Kontroler domena obezbeđuje centralizovano upravljanje mrežnih uređaja, odnosno domene. Kontroler pohranjuje sve informacije s računa i postavki korisnika mreže. Ovo su sigurnosne postavke lokalna politika i mnogi drugi. Ovo je vrsta servera koji u potpunosti kontroliše određene mreže ili mrežnu grupu. Kontroler domena je neka vrsta skupa specijalnih softvera, koji se pokreće razne usluge Aktivni direktorij. Kontroleri pokreću određene operativne sisteme, kao što je Windows server 2003. Active Drive Setup Wizard vam omogućava da kreirate kontrolere domena.

Na operativnom sistemu Windows NT, glavni server, koristi se primarni kontroler domene. Ostali serveri u upotrebi se koriste kao rezervni kontroleri. Glavni PDC kontroleri mogu obavljati različite zadatke vezane za članstvo u korisničkim grupama, kreiranje i promjenu lozinki, dodavanje korisnika i mnoge druge. Nakon toga, podaci se prenose na dodatne BDC kontrolere.

Samba 4 softver se može koristiti kao kontroler domene ako je instaliran operativni sistem. Unix sistem. Ovaj softver takođe podržava druge operativne sisteme kao što su Windows 2003, 2008, 2003 R2 i 2008 R2. Svaki od operativnih sistema, ako je potrebno, može se proširiti ovisno o specifičnim zahtjevima i parametrima.

Primjena kontrolera domena

Kontrolere domena koriste mnoge organizacije koje hostuju računare povezane jedni na druge i na mrežu. Kontrolori pohranjuju podatke direktorija i kontroliraju kako se korisnici prijavljuju, odjavljuju i međusobno komuniciraju.

Organizacije koje koriste kontroler domene moraju odlučiti koliko će se kontrolera domena koristiti, planiraju arhiviranje podataka, fizičku sigurnost, nadogradnju servera i druge neophodne zadatke.

Ako je kompanija ili organizacija mala i koristi samo jednu domensku mrežu, onda je dovoljno koristiti dva kontrolera koji mogu pružiti visoku stabilnost, toleranciju grešaka i visok nivo dostupnosti mreže. U mrežama koje su podijeljene na određeni broj lokacija, po jedan kontroler je instaliran na svakoj od njih, što vam omogućava da postignete potrebne performanse i pouzdanost. Korištenjem kontrolera na svakoj stranici, prijava korisnika može biti mnogo lakša i brža.

Mrežni promet se može optimizirati, da biste to učinili, potrebno je postaviti vrijeme za ažuriranje replikacije kada je opterećenje mreže minimalno. Postavljanje replikacije će uvelike pojednostaviti vaš rad i učiniti ga produktivnijim.

Maksimalne performanse u radu kontrolera možete postići ako je domen globalni katalog, koji će vam omogućiti da postavljate upite za bilo koje objekte po određenoj težini. Međutim, važno je zapamtiti da omogućavanje globalnog kataloga rezultira značajnim povećanjem prometa replikacije.

Kontroler domene domaćina je najbolje ostaviti neomogućen ako se koristi više od jednog kontrolera domene. Prilikom korištenja domenskog kontrolera vrlo je važno voditi računa o sigurnosti, jer on postaje prilično dostupan napadačima koji žele preuzeti podatke potrebne za prevaru.

Razmatranja za instaliranje dodatnih kontrolera domena

Kako bi se postigla veća pouzdanost u radu potrebnih mrežnih servisa, potrebno je instalirati dodatne kontrolere domena. Kao rezultat, može se postići znatno veća stabilnost, pouzdanost i sigurnost u radu. Mrežne performanse u ovom slučaju će postati mnogo veće, što je vrlo važan parametar za organizacije koje koriste kontroler domene.

Da bi kontroler domene radio ispravno, potrebno je obaviti neke pripremne radove. Prvo što treba učiniti je provjeriti TCP/IP postavke, one moraju biti ispravno postavljene za server. Najvažnije je provjeriti DNS imena za mapiranja.

Da bi kontroler domena radio bezbedan, potrebno je koristiti NTFS sistem datoteka, koji pruža veću sigurnost od sistema datoteka. FAT sistemi 32. Da biste instalirali na server, potrebno je da kreirate jednu particiju sistem podataka NTFS gdje će se nalaziti sistemski volumen. Takođe zahteva pristup DNS server sa servera. DNS usluga instaliran na ovom ili dodatnom serveru koji mora podržavati zapise resursa.

Da biste pravilno konfigurirali kontroler domene, možete koristiti čarobnjaka za konfiguraciju koji vam omogućava da dodate izvršavanje određenih uloga. Da biste to učinili, morat ćete otići u odjeljak administracije putem kontrolne ploče. Morate navesti kontroler domene kao ulogu servera.

Kontroler domena danas je nezaobilazan za mreže i sajtove koje koriste razne organizacije, institucije i kompanije u svim oblastima ljudske delatnosti. Zahvaljujući njemu, obezbeđene su visoke performanse u radu i bezbednost, što je od posebnog značaja u računarskim mrežama. Uloga kontrolora domena je veoma važna, jer vam omogućava da upravljate domenskim oblastima izgrađenim na računarskim mrežama. Svaki operativni sistem ima određene nijanse vezane za rad domenskih kontrolera, ali princip i njegova namjena su svuda isti, tako da baratanje postavkama nije tako teško kao što se čini na samom početku. Međutim, veoma je važno da kontrolere domena konfigurišu stručnjaci kako bi u konačnici dobili Visoke performanse i sigurnost na radu.

Šuma u AD DS-u je najviše vrhunski nivo hijerarhije logičke strukture. Forest Active Direktorij predstavlja jedan direktorij. Šuma je sigurnosna granica. To znači da administratori šume imaju potpunu kontrolu nad pristupom informacijama pohranjenim u šumi i pristupom kontrolerima domena koji se koriste za implementaciju šume.

Organizacije obično implementiraju jednu šumu, osim ako ne postoji posebna potreba za više šuma. Na primjer, ako za različitim dijelovima Budući da organizacija treba da stvori odvojena administrativna područja, mora se stvoriti više šuma koje predstavljaju ove oblasti.

Kada se implementira više šuma u organizaciji, svaka šuma, po defaultu, radi odvojeno od drugih šuma, kao da je jedina šuma u organizaciji.

Bilješka. Da biste integrirali više šuma, možete stvoriti sigurnosne odnose između njih, koji se nazivaju strani ili šumski trustovi.

Operacije na nivou šuma

Domain Aktivne usluge Imenik je usluga višeglavnog imenika. To znači da se većina promjena direktorija može izvršiti na bilo kojoj instanci direktorija na koju se može pisati, odnosno na bilo kojem kontroleru domene za pisanje. Međutim, neke promjene su isključive. To znači da se mogu napraviti samo na jednom specifičnom kontroleru domene u šumi ili domeni, ovisno o specifičnoj promjeni. Rečeno je da kontroleri domene na kojima se mogu izvršiti ove ekskluzivne promjene sadrže uloge glavnog operatera. Postoji pet glavnih uloga operacija, od kojih su dvije uloge na razini šume, a ostale tri uloge na razini domene.

Dvije glavne uloge u operacijama širom šume:

• Master imenovanja domena. Zadatak mastera imenovanja domena je osigurati da postoje jedinstvena imena u cijeloj šumi. To garantuje da postoji samo jedno kompletno stablo u cijeloj šumi. Ime domena svaki kompjuter.
• Vlasnik sheme. Master sheme prati shemu šume i održava promjene osnovna struktura drva.

Budući da su ove uloge ključne kritične uloge na razini šume, u svakoj šumi treba postojati samo jedan master sheme i master imenovanja domene.

Dodatni materijali:

Šema je komponenta AD DS-a koja definira sve objekte i atribute koje AD DS koristi za pohranjivanje podataka.

AD DS pohranjuje i preuzima informacije iz mnogih aplikacija i usluga. Stoga, da bi mogao pohraniti i replicirati podatke iz ovih različitih izvora, AD DS definira standard za pohranjivanje podataka u direktorij. Posjedovanje standarda za zadržavanje podataka omogućava AD DS-u da preuzme, ažurira i replicira podatke uz održavanje njihovog integriteta.

Objekti se koriste kao jedinice skladištenja u AD DS-u. Svi objekti su definirani u šemi. Svaki put kada direktorij obrađuje podatke, direktorij postavlja upit shemi za odgovarajuću definiciju objekta. Na osnovu definicije objekta u šemi, direktorij kreira objekt i pohranjuje podatke.

Definicije objekata određuju tipove podataka koje objekti mogu pohraniti, kao i sintaksu podataka. Na osnovu ovih informacija, shema osigurava da svi objekti odgovaraju svojim standardne definicije. Kao rezultat toga, usluge domene Active Directory mogu pohraniti, dohvatiti i potvrditi podatke kojima upravljaju, bez obzira na aplikaciju koja je izvorni izvor podataka. Direktorij može pohraniti samo podatke koji imaju postojeća definicija objekat u šemi. Ako želite pohraniti podatke novog tipa, prvo morate kreirati novu definiciju objekta u šemi za te podatke.

Šema u AD DS-u definira:

• objekti koji se koriste za pohranjivanje podataka u direktorij;
• pravila koja definiraju koji se tipovi objekata mogu kreirati, koji atributi moraju biti definirani prilikom kreiranja objekta i koji su atributi opcioni;
• strukturu i sadržaj samog imenika.

Shema je Active Directory Domain Services element sa jednim glavnim elementom. To znači da se promjene sheme moraju izvršiti na kontroleru domene koji drži glavnu ulogu sheme operacija.

Shema se replicira među svim kontrolerima domena u šumi. Svaka promjena napravljena na shemi se replicira na sve kontrolere domene u šumi od nositelja uloge glavnog majstora operacija sheme, koji je obično prvi kontroler domene u šumi.

Budući da shema određuje kako se informacije pohranjuju, a sve promjene u šemi utječu na sve kontrolere domene, promjene sheme bi trebale biti napravljene samo kada je to potrebno (kroz strogo kontrolirani proces) nakon što je izvršeno testiranje kako bi se osiguralo da nema štetnog utjecaja na ostatak šume.

Iako ne možete direktno napraviti nikakve promjene u shemi, neke aplikacije mijenjaju shemu kako bi podržale dodatne funkcije. Na primjer, prilikom instalacije Microsoft Exchange Server 2010 u AD DS šumi, Setup proširuje šemu kako bi podržao nove tipove objekata i atribute.

Dodatni materijal:

1.3 Šta je domen.

Domena je administrativna granica. Sve domene imaju administratorski nalog koji ima sve administrativna ovlaštenja za sve objekte u domeni. Iako administrator može delegirati administraciju objekata u domeni, administratorski nalog zadržava punu administrativnu kontrolu nad svim objektima u domeni.

IN rane verzije Windows Server smatralo se da su domeni dizajnirani da obezbede potpuno administrativno razdvajanje; zaista, jedan od glavnih razloga za odabir topologije sa više domena bio je da se obezbijedi takvo razdvajanje. Međutim, u AD DS-u, administratorski nalog u korijenskom domenu šume ima potpunu administrativnu kontrolu nad svim objektima u šumi, što ovo administrativno odvajanje na nivou domene čini nevažećim.

Domena je granica replikacije. Usluge domene Active Directory se sastoje od tri elementa, ili sekcije, - sheme, konfiguracijski odjeljak I particija domena. Obično se često mijenja samo particija domene.

Odjeljak domene sadrži objekte koje bi vjerovatno trebalo često ažurirati; takvi objekti su korisnici, računari, grupe i organizacione jedinice. Stoga se AD DS replikacija prvenstveno sastoji od ažuriranja objekata definiranih u particiji domene. Samo kontrolori domena u određenoj domeni primaju ažuriranja particije domene od drugih kontrolera domene. Particioniranje podataka omogućava organizacijama da repliciraju podatke samo tamo gdje je to potrebno. Kao rezultat toga, katalog se može globalno skalirati preko mreže s ograničenom propusnošću.

Domena je granica provjere autentičnosti. Kontrolori te domene mogu potvrditi autentičnost svakog korisničkog naloga u domeni. Šumske domene vjeruju jedna drugoj tako da korisnik s jedne domene može pristupiti resursima koji se nalaze u drugoj domeni.

Operacije na nivou domene

U svakoj domeni postoje tri uloge mastera operacija. Ove uloge, koje su prvobitno dodijeljene prvom kontroleru domene u svakoj domeni, navedene su u nastavku.

• Vlasnik relativnog identifikatora (RID). Kad god se objekt kreira u AD DS-u, kontroler domene u kojem je objekt kreiran dodjeljuje mu jedinstvenost identifikacioni broj, koji se naziva sigurnosni identifikator (SID). Kako bi spriječio da dva kontrolera domene dodijele isti SID dvama različitim objektima, RID master dodjeljuje SID blokove svakom kontroleru domene u domeni.
• PDC emulator. Ova uloga je najvažnija, jer njen privremeni gubitak postaje primjetan mnogo brže od gubitka bilo koje druge uloge gospodara operacija. Odgovoran je za brojne funkcije na nivou domene, uključujući:
• ažurirati status zaključavanja računa;
• kreiranje i replikacija objekata grupna politika jedini vlasnik;
• vremenska sinhronizacija za domen.
• Vlasnik infrastrukture. Ova uloga je odgovorna za održavanje referenci objekata između domena. Na primjer, kada grupa u jednoj domeni uključuje člana iz druge domene, master infrastrukture je odgovoran za održavanje integriteta te veze.

Ove tri uloge moraju biti jedinstvene u svakoj domeni, tako da može postojati samo jedan RID master, jedan emulator primarnog kontrolera domene (PDC) i jedan infrastrukturni master u svakoj domeni.

Dodatni materijali:

Ako AD DS sadrži više od jedne domene, morate definirati odnose između domena. Ako domene dijele zajednički korijen i neprekidni imenski prostor, logički su dio istog stabla Active Directory. Stablo ne služi administrativnoj svrsi. Drugim riječima, ne postoji administrator stabla jer postoji administrator šume ili domene. Stablo pruža logičko hijerarhijsko grupisanje domena koje imaju odnose roditelj-dijete definirane njihovim imenima. Stablo Active Directory mapira se u imenski prostor usluge imena domena (DNS).

Stabla Active Directory se kreiraju na osnovu odnosa između šumskih domena. Ne postoji ozbiljnih razloga, što može ili ne mora zahtijevati stvaranje više stabala u šumi. Međutim, imajte na umu da je jedno stablo sa svojim neprekidnim imenskim prostorom lakše upravljati i korisnicima ga je lakše vizualizirati.

Ako postoji više podržanih imenskih prostora, razmislite o korištenju više stabala u istoj šumi. Na primjer, ako vaša organizacija ima nekoliko različitih proizvodnih odjela s različitim javnim identifikatorima, možete kreirati različito stablo za svaki proizvodni odjel. Imajte na umu da u ovom scenariju nema razdvajanja administracije jer administrator korijena šume i dalje ima potpunu kontrolu nad svim objektima u šumi, bez obzira na kojem stablu se nalaze.

1.5 Divizije

Subdivision je kontejnerski objekat u domeni koji se može koristiti za grupisanje korisnika, grupa, računara i drugih objekata. Dva su razloga za stvaranje podjela.

• Postavite objekte sadržane u OU. Možete dodijeliti GPO-ove organizacijskoj jedinici i primijeniti postavke na sve objekte u toj organizacijskoj jedinici.
• Delegacija administracija objekata u odeljenju. Možete dodijeliti prava upravljanja OU, delegirajući na taj način upravljanje OU korisniku ili grupi koji nije administrator u domenskim uslugama Active Directory.

Bilješka. Organizaciona jedinica je najmanji opseg ili jedinica kojoj možete dodeliti postavke smernica grupe ili delegirati administrativna prava.

Organizacione jedinice se mogu koristiti za predstavljanje hijerarhijskih logičkih struktura unutar organizacije. Na primjer, možete kreirati odjele koji predstavljaju odjele u organizaciji, geografske regije unutar organizacije i odjele koji su kombinacija odjela i geografskih područja. Zatim možete upravljati konfiguracijom i koristiti korisničke, grupne i račune računala na osnovu organizacijskog modela koji ste kreirali.

Svaka domena domenskih usluga Active Directory ima standardni set kontejnere i OU koji se kreiraju kada instalirate Active Directory domenske usluge. Ovi kontejneri i odjeli su navedeni u nastavku.

• Kontejner domene koji služi kao korijenski kontejner hijerarhije.
• Ugrađeni kontejner koji sadrži zadane naloge administratora usluge.
• Korisnički kontejner koji je zadana lokacija za nove korisničke račune i grupe kreirane u domeni.
• Kontejner računara koji je podrazumevana lokacija za nove račune računara koji se kreiraju u domeni.
• OU kontrolera domena, koji je zadana lokacija za račune računala kontrolora domena.

1.6 Odnosi povjerenja

Odnos povjerenja omogućava jednom sigurnosnom entitetu da vjeruje drugom sigurnosnom entitetu u svrhu provjere autentičnosti. U operativnom sistemu Windows Server 2008 R2, sigurnosni objekat je Windows domen.

Primarna svrha povjerenja je da olakša korisniku u jednoj domeni da dobije pristup resursu u drugoj domeni bez potrebe da održava korisnički račun u obje domene.

U svakom odnosu povjerenja, dvije su strane uključene - entitet od povjerenja i entitet od povjerenja. Entitet od poverenja je entitet koji poseduje resurs, a poverljivi entitet je entitet sa nalogom. Na primjer, ako nekome pozajmite laptop, vjerujete toj osobi. Vi ste objekat koji posjeduje resurs. Resurs je vaš laptop; osoba kojoj je laptop pozajmljen je pouzdani objekat sa nalogom.

Vrste odnosa poverenja

Odnosi povjerenja mogu biti jednosmjerni ili dvosmjerni.

Jednosmjerno povjerenje znači da iako jedan entitet vjeruje drugom, obrnuto nije tačno. Na primjer, ako pozajmite Steveu svoj laptop, to ne znači da će vam Steve nužno posuditi svoj automobil.

U dvosmjernom povjerenju, oba entiteta vjeruju jedan drugome.

Odnosi povjerenja mogu biti tranzitivni ili netranzitivni. Ako objekt A vjeruje objektu B u tranzitivnom povjerenju, a objekt B vjeruje objektu C, onda objekt A također implicitno vjeruje objektu C. Na primjer, ako pozajmite Steveu svoj laptop, a Steve posudi svoj automobil Mary, možete posuditi Mary svoj mobilni telefon.

Windows Server 2008 R2 podržava različite trustove dizajnirane da se koriste u različitim situacijama.

U istoj šumi, svi domeni vjeruju jedni drugima koristeći internu dvosmjernu tranzitivnost odnos poverenja. U suštini, to znači da svi domeni vjeruju svim drugim domenima. Ovi odnosi povjerenja šire se kroz drveće šume. Pored ovih automatski kreiranih odnosa povjerenja, možete konfigurirati dodatne odnose povjerenja između domena šume, između ove šume i drugih šuma, te između ove šume i drugih sigurnosnih entiteta kao što su Kerberos područja ili domene operativnog sistema. Microsoft sistemi Windows NT® 4.0. Sljedeća tabela pruža dodatne informacije.

2. Implementacija Active Directory domenskih usluga

Da biste implementirali Active Directory domenske usluge, morate implementirati kontrolere domena. Da biste optimizirali AD DS, važno je razumjeti gdje i kako kreirati kontrolere domena kako biste optimizirali svoju mrežnu infrastrukturu.

2.1 Šta je kontroler domene?

Domena se kreira prilikom promocije računara windows server Server 2008 R2 na kontroler domene. Kontroleri domena hostuju Active Directory domenske usluge.

Kontrolori domena obezbjeđuju izvršenje sljedeće funkcije online.

• Pruža autentifikaciju. Kontrolori domena održavaju bazu podataka o nalozima domena i pružaju usluge provjere autentičnosti.
• Sadrži uloge mastera operacija kao dodatna prilika. Ove uloge su ranije bile poznate kao FSMO (Flexible Single Master Operations) uloge. Postoji pet glavnih uloga operacija - dvije uloge na razini šume i tri uloge na razini domene. Ove uloge se mogu migrirati po potrebi.
• Sadrži globalni katalog kao opcionu funkciju. Bilo koji kontroler domene može biti označen kao server globalnog kataloga.

Bilješka. Globalni katalog je distribuirana baza podataka koja sadrži pretražujuću reprezentaciju svakog objekta iz svih domena u šumi sa više domena. Međutim, globalni katalog ne sadrži sve atribute za svaki objekt. Umjesto toga, održava podskup atributa koji će najvjerovatnije biti korisni u pretraživanju domena.

2.2 Šta je RODC?

Kontroler domena samo za čitanje je novi tip kontrolera domena u Windows Serveru 2008 R2. Korištenjem RODC-a, organizacije mogu lako postaviti kontroler domene na lokacijama gdje se fizička sigurnost ne može garantirati. RODC hostira repliku baze podataka samo za čitanje u AD DS-u za tu domenu. RODC također može funkcionirati kao poslužitelj globalnog kataloga.

Počevši od Windows Servera 2008, organizacija može primijeniti RODC u ograničenim slučajevima propusni opseg kanala globalna mreža ili nedovoljna fizička sigurnost računara. Kao rezultat toga, korisnici u ovoj situaciji mogu imati koristi od:

• povećana sigurnost;
• brža prijava;
• efikasniji pristup mrežnim resursima.

Uloga RODC-a je sažeta u nastavku.

• Kontroler domene koji djeluje kao glavni PDC emulator operacija za domenu mora pokretati operativni sistem. Windows sistemi Server 2008. Ovo je potrebno za kreiranje novog naloga krbtgt za kontroler domene samo za čitanje, kao i za trenutne operacije tog kontrolera domene.
• RODC zahtijeva da zahtjevi za provjeru autentičnosti budu preusmjereni na server globalnog kataloga (koji pokreće Windows Server 2008) koji se nalazi na lokaciji koja je najbliža lokaciji sa ovim kontrolerom domene. Politika replikacije lozinke je postavljena na ovom kontroleru domene kako bi se utvrdilo da li se vjerodajnice repliciraju na lokaciju grane za proslijeđeni zahtjev od RODC-a.
• Da bi Kerberos ograničeno delegiranje bilo dostupno, funkcionalni nivo domena mora biti postavljen na Windows Server 2003. Ograničeno delegiranje se koristi za sigurnosne pozive koji se moraju imitirati u kontekstu pozivaoca.
• Da bi se pridružena vrijednost mogla replicirati, funkcionalni nivo šume mora biti postavljen na Windows Server 2003. Ovo obezbjeđuje viši nivo kompatibilnosti replikacije.
• Morate jednom pokrenuti adprep /rodcprep u šumi. Ovo će ažurirati dozvole na svim particijama direktorija DNS aplikacija u šumi kako bi se olakšala replikacija između RODC-ova koji su također DNS serveri.
• RODC ne može držati uloge glavnog operatera i djelovati kao replikacijski mostobran server.
• Kontroler domene samo za čitanje se može implementirati Serverski sistem Jezgro za dodatnu sigurnost.

Sajt je logičan pogled geografsko područje na mreži. Stranica predstavlja rub mreže velike brzine za računare Active Directory Domain Services, odnosno računare koji mogu komunicirati sa velika brzina i niske latencije, mogu se kombinovati u web lokaciju; Kontrolori domena unutar lokacije repliciraju AD DS podatke na način koji je optimiziran za to okruženje. ova konfiguracija replikacije je uglavnom automatska.

Bilješka. Web lokacije koriste klijentski računari za lociranje usluga kao što su kontroleri domena i serveri globalnog kataloga. Važno je da svaka stranica koju kreirate sadrži najmanje jedan kontroler domene i server globalnog kataloga.

2.4 AD DS replikacija

1. AD DS replikacija je prijenos promjena napravljenih u podacima direktorija između kontrolera domena u AD DS šumi. AD DS model replikacije definira mehanizme koji omogućavaju automatski prijenos ažuriranja direktorija između kontrolera domena kako bi se osiguralo besprijekorno rješenje za replikaciju za AD DS distribuiranu uslugu direktorija.
2. Postoje tri sekcije u domenskim uslugama Active Directory. Particija domene sadrži podatke koje se najčešće mijenjaju i stoga generiše veliki tok AD DS podataka replikacije.

Linkovi na Active Directory web stranice

1. Veza na web lokaciju se koristi za rukovanje replikacijom između grupa lokacija. Možete koristiti zadanu vezu do web lokacije koja se nalazi u AD DS-u ili po potrebi kreirati dodatne veze do web lokacije. Možete konfigurirati postavke za veze do web mjesta da odredite raspored i dostupnost putanje replikacije radi lakšeg upravljanja replikacijom.
2. Kada su dvije lokacije povezane putem veze na lokaciju, sistem replikacije automatski stvara veze između specifičnih kontrolora domena na svakoj lokaciji, koji se nazivaju serveri mosta.

2.5 Konfiguriranje DNS-a za Active Directory domenske usluge

Podešavanje DNS-a

AD DS zahtijeva DNS. Uloga DNS servera nije instalirana u Windows Server 2008 R2 po defaultu. Kao i drugi funkcionalnost, ova funkcija se dodaje na osnovu uloge kada je server konfiguriran da obavlja određenu ulogu.

Uloga DNS servera može se instalirati pomoću veze "Dodaj ulogu" u Server Manageru. Uloga DNS servera se takođe može automatski dodati pomoću čarobnjaka za instalaciju domenskih usluga Active Directory (dcpromo.exe). Stranica Opcije kontrolera domena u čarobnjaku vam omogućava da dodate ulogu DNS servera.

Konfigurisanje DNS zona

Nakon instaliranja DNS servera, možete početi sa dodavanjem zona na server. Ako je DNS server kontroler domene, možete konfigurirati AD DS za pohranjivanje podataka o zonama. Tada će se kreirati integrisana zona Active Directory. Ako ova opcija nije odabrana, podaci o zoni će biti pohranjeni u datoteci umjesto u AD DS.

Dinamička ažuriranja

Kada kreirate zonu, od vas će se također tražiti da navedete da li treba podržavati dinamičko ažuriranje. Dinamičko ažuriranje smanjuje napor upravljanja zonom jer klijenti mogu dodavati, uklanjati i ažurirati sopstvene evidencije resurse.

Dinamičko ažuriranje omogućava mogućnost krivotvorenja zapisa resursa. Na primjer, računar može registrirati unos pod nazivom "www" i preusmjeriti promet sa vaše web stranice na pogrešnu adresu.

Da bi se isključila mogućnost krivotvorenja, usluga Windows DNS serveri Server 2008 R2 podržava bezbedna dinamička ažuriranja. Klijent mora biti autentifikovan pre ažuriranja zapisa resursa, tako da DNS server zna da li je klijent računar kome je dozvoljeno da promeni zapis resursa.

Transferi DNS zona

Preduzeće treba da nastoji da osigura da zona može biti nametnuta od strane najmanje dva DNS servera.

Ako je zona integrirana s AD DS-om, onda dodajte ulogu DNS servera drugom kontroleru domene u istoj domeni gdje se nalazi prvi DNS server. Active Directory integrirane zone i replikacija DNS zone korištenje AD DS-a opisano je u sljedećoj lekciji.

Ako zona nije AD DS federalna, morate dodati još jedan DNS server i konfigurirati ga da ugosti dodatnu zonu. Imajte na umu da je sekundarna zona kopija primarne zone samo za čitanje.

SRV evidencije

Zapis resursa lokatora usluge (SRV) rješava zahtjev za mrežni servis, omogućavajući klijentu da pronađe host koji pruža određenu uslugu.

• Kada kontrolor domene mora replicirati promjene od partnera.
• Kada klijent računar zahtijeva da se autentifikujete pomoću AD DS-a.
• Kada korisnik promijeni lozinku.
• Kada Microsoft server Exchange pretražuje direktorij.
• Kada administrator otvori dodatak Active Directory Korisnici i računari.

SRV zapisi koriste sljedeću sintaksu.

protocol.service.name lifetime_class tip prioritet težine ciljni_host port

Primjer SRV zapisa je prikazan ispod.

ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Zapisnik se sastoji od sljedećih komponenti:

• Naziv usluge protokola, kao što je LDAP usluga koju nudi kontrolor domene.
• Životni vijek u sekundama.
• Klasa (svi Windows DNS unosi će biti "IN" ili "Internet").
• Tip: SRV;
• Vrijednosti prioriteta i težine koje pomažu klijentima da odrede koji čvor preferiraju.
• Port na kojem server nudi uslugu. Na Windows kontroleru domene za LDAP, standardni port je 389.
• Ciljni objekat, ili host servisa, to ovaj slučaj je kontroler domene pod nazivom hqdc01.contoso.com.

Kada klijentski proces traži kontroler domene, može zatražiti LDAP uslugu od DNS-a. Upit vraća i SRV zapis i A zapis za jedan ili više servera koji pružaju traženu uslugu.

UPD: Napravio sam video kanal na youtube-u na kojem postepeno objavljujem treninge iz svih oblasti IT-a u koje sam dobro upućen, pretplatite se: http://www.youtube.com/user/itsemaev

UPD2: Microsoft tradicionalno mijenja uobičajenu sintaksu u komandna linija, tako da uloge u svakoj verziji Windows Servera mogu zvučati drugačije. Oni se više uopće ne zovu fsmo, već majstori operacija. Dakle, za ispravne komande u konzoli nakon fsmo održavanja, jednostavno napišite? i pokazaće vam dostupne komande.

Imam časopis za april" Administrator sistema" je objavio članak na temu "Bezbolna zamjena zastarjelog ili pokvarenog kontrolera domene baziranog na Windows Serveru"

I čak su platili sto dolara i dali mi paket sa mozgom)) Sad sam Onotole.

Bezbolna zamjena za zastarjeli ili neispravni kontroler domene baziran na Windows Serveru.(kome iznenada zatreba-salji slike)

Ako je vaš kontroler domene pokvaren ili potpuno zastario i treba ga zamijeniti - nemojte žuriti s planiranjem da sljedeći vikend provedete kreirajući novu domenu na novom serveru i mukotrpno prebacujući korisničke mašine na njega. Pravilno upravljanje rezervnim kontrolerom domene pomoći će vam da brzo i bezbolno zamijenite prethodni server.

Gotovo svaki administrator koji radi sa Windows baziranim serverima, prije ili kasnije, suoči se s potrebom da potpuno zastarjeli primarni kontroler domene, čija daljnja nadogradnja više nema smisla, zamijeni novim i modernijim. Ima i gorih situacija - kontroler domene jednostavno postaje neupotrebljiv zbog kvarova na uključenim fizički nivo, a sigurnosne kopije i slike su zastarjele ili izgubljene
U principu, opis postupka zamjene jednog kontrolera domene drugim može se naći na raznim forumima, ali informacije su date u fragmentima i, u pravilu, primjenjive su samo na određenu situaciju, ali ne daju stvarno rješenje . Osim toga, čak i nakon čitanja mnoštva foruma, baza znanja i drugih resursa na engleski jezik- Tek od trećeg ili četvrtog puta sam uspeo da kompetentno sprovedem proceduru zamene kontrolora domena bez grešaka.
Tako da želim da donesem upute korak po korak zamjena kontrolera domene, bez obzira da li je u funkciji ili ne. Jedina razlika je u tome što će kod “palog” kontrolera ovaj članak pomoći samo ako ste se unaprijed pobrinuli i postavili rezervni kontroler domene.

Priprema servera za unapređenje/degradaciju

Sama procedura za kreiranje rezervnog kontrolera domene je elementarna - jednostavno pokrećemo dcpromo čarobnjaka na bilo kom mrežnom serveru. Koristeći dcpromo čarobnjak, kreiramo kontroler domene u postojećoj domeni. Kao rezultat izvršenih manipulacija, dobijamo raspoređenu AD direktorijsku uslugu na našem dodatnom serveru (nazvat ću ga pserver, a glavni kontroler će biti dcserver).
Nadalje, ako ga dcpromo nije sam ponudio, pokrećemo DNS podešavanje server. Ne morate mijenjati nikakva podešavanja, također ne morate kreirati zonu - ona je pohranjena u AD, a svi zapisi se automatski repliciraju u backup kontroler. Pažnja - glavna zona u DNS-u će se pojaviti tek nakon replikacije, kako bi se ubrzalo pokretanje servera. U TCP/IP postavkama mrežne kartice rezervnog kontrolera domena, adresa primarnog DNS servera mora biti postavljena na IP adresu primarnog kontrolera domena.
Sada možete lako provjeriti ispravnost servera kontrolera domene u stanju pripravnosti. Možemo kreirati korisnika domene i na primarnom i na rezervnom kontroleru domene. Odmah nakon kreiranja pojavljuje se na dupliciranom serveru, ali se otprilike minut (dok se odvija replikacija) prikazuje kao onemogućen, nakon čega počinje da se pojavljuje isto na oba kontrolera.
Na prvi pogled, svi koraci za kreiranje radne šeme za interakciju nekoliko domenskih kontrolera su završeni, a sada će, u slučaju kvara "primarnog" kontrolera domene, "rezervni" kontroleri automatski obavljati svoje funkcije. . Međutim, dok je razlika između "primarnog" i "rezervnog" domenskog kontrolera čisto nominalna, "primarni" kontroler domene ima brojne karakteristike (FSMO uloge) koje treba imati na umu. Dakle, gore navedene operacije za normalno funkcionisanje servisa imenika u slučaju kvara "primarnog" kontrolora domene nisu dovoljne, a radnje koje se moraju poduzeti da bi se pravilno prenijela/zauzela uloga primarnog kontrolera domene će biti opisan u nastavku.

Malo teorije

Treba znati koji kontroleri Aktivna domena Direktorij obavlja nekoliko vrsta uloga. Ove uloge se nazivaju FSMO (Fleksibilne jednoglave operacije):
- Master sheme (Schema Master) - uloga je odgovorna za mogućnost promjene sheme - na primjer, postavljanje Exchange server ili ISA server. Ako je vlasnik uloge nedostupan, nećete moći promijeniti šemu postojeće domene;
- Master imenovanja domena - Ova uloga je potrebna ako vaša šuma domena ima više domena ili poddomena. Bez toga, neće biti moguće kreirati i brisati domene u jednoj šumi domena;
- Relativni ID Master (Master relativnih identifikatora) - odgovoran je za kreiranje jedinstvenog ID-a za svaki AD objekat;
- Primary Domain Controller Emulator (Primary Domain Controller Emulator) - on je taj koji je odgovoran za rad sa korisničkim nalozima i sigurnosnom politikom. Nedostatak komunikacije s njim omogućava ulazak na radne stanice sa starom lozinkom, koja se ne može promijeniti ako je kontroler domene "pao";
- Infrastructure Master (Infrastructure Master) - uloga je odgovorna za prijenos informacija o AD objektima na druge kontrolere domene unutar cijele šume.
O ovim ulogama se dosta detaljno piše u mnogim bazama znanja, ali se glavna uloga gotovo uvijek zaboravlja – to je uloga Globalnog kataloga (Global Catalog). Zapravo, ovaj direktorij jednostavno pokreće LDAP uslugu na portu 3268, ali njegova nepristupačnost će spriječiti korisnike domena da se prijave. Zanimljivo je da svi kontroleri domena mogu imati ulogu globalnog kataloga u isto vrijeme.

Zapravo, možemo zaključiti – ako imate primitivni domen za 30-50 mašina, bez proširene infrastrukture, koja ne uključuje poddomene – onda možda nećete primijetiti nedostatak pristupa vlasniku/vlasnicima prve dvije uloge. Osim toga, nekoliko puta sam naišao na organizacije koje rade više od godinu dana bez kontrolera domena, već u domenskoj infrastrukturi. Odnosno, sva prava su distribuirana davno, sa funkcionalnim kontrolerom domene, i nije ih trebalo mijenjati, korisnici nisu mijenjali svoje lozinke i radili su tiho.

Odredite trenutne vlasnike fsmo uloga.

Pojašnjavam - mi kompetentno želimo zamijeniti kontroler domene bez gubitka njegovih mogućnosti. U slučaju da postoje dva ili više kontrolera u domeni, moramo saznati ko posjeduje svaku od fsmo uloga. Ovo je dovoljno lako uraditi pomoću sljedećih naredbi:

dsquery server -hasfsmo shema
dsquery server - hasfsmo ime
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infr
dsquery server -šuma -isgc

Svaka od naredbi prikazuje informacije o tome ko je vlasnik tražene uloge (slika 1). U našem slučaju, vlasnik svih uloga je primarni kontroler domene dcserver.

Dobrovoljni prijenos fsmo uloga korištenjem Active Directory konzola.

Imamo sve potrebne informacije za prijenos uloge primarnog kontrolora domene. Počnimo: prvo moramo biti sigurni da je naš nalog član grupa "Domain Admins", "Schema Admins" i "Enterprise Admins", a zatim nastaviti s tradicionalnom metodom prijenosa fsmo uloga - upravljanje domenom putem Active Directory konzole.

Da biste prenijeli ulogu "majstora naziva domene", izvršite sljedeće korake:
- otvorite "Active Directory Domains and Trust" na kontroloru domene sa kojeg želimo da prenesemo ulogu. Ako radimo sa AD na kontroleru domena na koji želimo da prenesemo ulogu, onda preskačemo sledeću stavku;
- klik desni klik Kliknite na ikonu Active Directory - Domains and Trusts i odaberite Connect to a domain controller. Odabiremo kontroler domene na koji želimo prenijeti ulogu;
- kliknite desnim tasterom miša na komponentu Active Directory - domeni i trustovi i izaberite komandu Operations Masters;
- u dijalogu Change Operations Master kliknite na dugme Change (Slika 2).
- nakon potvrdnog odgovora na pop-up zahtjev dobijamo uspješno prenesenu ulogu.

Slično, koristeći Active Directory Users and Computers konzolu, možete prenijeti uloge RID Master, PDC i Infrastructure Master.

Da biste prenijeli ulogu "majstora sheme", prvo morate registrirati biblioteku upravljanja shemama Active Directory u sistemu:

Nakon što su sve uloge prenesene, ostaje da se pozabavimo preostalom opcijom - čuvarom globalnog kataloga. Ulazimo u Active Directory: “Sites and Services”, zadana lokacija, serveri, pronalazimo kontroler domene koji je postao glavni i u svojstvima njegovih NTDS postavki označimo kućicu pored globalnog kataloga. (sl. 3)

Zaključak - promijenili smo vlasnike uloga za našu domenu. Ko treba konačno da se riješi starog domenskog kontrolera - spuštamo ga na server člana. Međutim, jednostavnost poduzetih radnji kompenzira se činjenicom da je njihova provedba u nizu situacija nemoguća, ili se završava greškom. U tim slučajevima će nam pomoći ntdsutil.exe.

Dobrovoljni prijenos fsmo uloga pomoću konzola ntdsutil.exe.

U slučaju da prijenos fsmo uloga pomoću AD konzola ne uspije, Microsoft je kreirao vrlo zgodan uslužni program- ntdsutil.exe - program održavanja Aktivni direktorij Imenik. Ovaj alat vam omogućava da izvršite izuzetno korisne radnje - sve do vraćanja cijele AD baze podataka iz sigurnosne kopije koju je ovaj uslužni program sam napravio tokom zadnja promjena u AD. Sve njegove karakteristike mogu se pronaći u bazi podataka Microsoft Knowledge(ID članka: 255504). U ovom slučaju govorimo o činjenici da uslužni program ntdsutil.exe omogućava i prijenos uloga i njihovo "odabir".
Ako želimo da prenesemo ulogu sa postojećeg “primarnog” domenskog kontrolera na “rezervni” kontroler, u sistem se prijavljujemo na “primarnom” kontroleru i počinjemo sa prenosom uloga (transfer komanda).
Ako iz nekog razloga nemamo primarni kontroler domene, ili se ne možemo prijaviti pod administrativnim računom, prijavljujemo se na rezervni kontroler domene i počinjemo „odabrati“ uloge (komanda seize).

Dakle, prvi slučaj - glavni kontroler domene postoji i funkcioniše normalno. Zatim idemo na primarni kontroler domene i upisujemo sljedeće naredbe:

ntdsutil.exe
uloge
veze
povežite se na server server_name (onaj kojem želimo dati ulogu)
q

Ako se pojave greške, potrebno je provjeriti vezu s kontrolerom domene na koji se pokušavamo povezati. Ako nema grešaka, onda smo se uspješno povezali na navedeni kontroler domene sa pravima korisnika u čije ime unosimo komande.
Potpuna lista komandi je dostupna nakon upita za fsmo održavanje sa standardnim znakom? . Vrijeme je za predaju uloga. Odmah sam, bez oklijevanja, odlučio da prenesem uloge onim redom kojim su navedene u uputama za ntdsutil i došao do zaključka da ne mogu prenijeti ulogu mastera infrastrukture. Meni je kao odgovor na zahtjev za prijenos uloge vraćena greška: "nemoguće je kontaktirati trenutnog vlasnika fsmo uloge." Dugo sam tražio informacije na netu i otkrio da se većina ljudi koji dođu u fazu prijenosa uloga susreću s ovom greškom. Neki od njih pokušavaju da preuzmu ovu ulogu nasilno (ne izlaze), neki ostave sve kako jeste - i žive srećno bez ove uloge.
Probama i greškama sam to saznao prilikom prenošenja uloga na dato naređenje tačan završetak svih koraka je zagarantovan:
- vlasnik identifikatora;
- vlasnik šeme;
- vlasnik naziva;
- vlasnik infrastrukture;
- kontroler domena;

Nakon uspješnog povezivanja sa serverom, dobijamo pozivnicu za upravljanje ulogama (fsmo održavanje) i možemo započeti prijenos uloga:
- prijenos master imenovanja domena
- master prenosne infrastrukture
- transfer rid master
- master sheme prijenosa
- prijenos pdc mastera

Nakon izvršavanja svake naredbe, trebao bi se pojaviti zahtjev koji pita da li zaista želimo prenijeti navedenu ulogu specificirani server. Rezultat uspješnog izvršenja naredbe prikazan je na slici 4.

Uloga čuvara globalnog kataloga prenosi se na način opisan u prethodnom odjeljku.

Prisilna dodjela fsmo uloga korištenjem ntdsutil.exe.

Drugi slučaj - želimo da dodijelimo ulogu primarnog našem backup kontroleru domene. U ovom slučaju se ništa ne mijenja - jedina razlika je što sve operacije izvodimo pomoću naredbe seize, ali već na serveru na koji želimo prenijeti uloge za dodjelu uloge.

zauzeti master imenovanja domena
zaplijeniti gospodara infrastrukture
zgrabi se oslobodi majstora
seize schema master
seize pdc

Imajte na umu da ako ste oduzeli ulogu kontroloru domene koji nije u ovog trenutka, onda kada se pojavi na mreži, kontroleri će početi da se sukobljavaju i ne možete izbjeći probleme u funkcioniranju domene.

Radite na greškama.

Najvažnija stvar koju ne treba zaboraviti je da novi primarni kontroler domene neće popraviti TCP/IP postavke za sebe: sada je poželjno da navede 127.0.
Međutim, ako imate mrežu DHCP server, onda ga morate prisiliti da izda adresu primarnog DNS servera sa ip-om vašeg novog servera, ako nema DHCP, prođite kroz sve mašine i ručno im dodijelite ovaj primarni DNS. Alternativno, novom kontroleru domene možete dodijeliti isti IP koji je imao stari.

Sada morate provjeriti kako sve funkcionira i riješiti se glavnih grešaka. Da biste to učinili, predlažem da izbrišete sve događaje na oba kontrolera, spremajući zapise u mapu s drugima rezervne kopije i ponovo pokrenite sve servere.
Nakon što ih omogućimo, pažljivo analiziramo sve dnevnike događaja na činjenice upozorenja i grešaka.

Najčešće upozorenje nakon prijenosa uloga na fsmo je poruka da "msdtc ne može ispravno obraditi promociju/spuštanje kontrolera domene do koje je došlo."
Popravka je jednostavna: u meniju "Administracija" nalazimo "Usluge
komponente". Tamo proširimo "Usluge komponenti", "Računari", otvorimo svojstva odjeljka "Moj računar", tamo potražimo "MS DTC" i kliknemo "Sigurnosne postavke". Tamo dozvoljavamo "Pristup DTC mreži" i pritisnemo OK. Usluga će se ponovo pokrenuti i upozorenje će nestati.

Primjer greške je poruka u kojoj se navodi da se glavna DNS zona ne može učitati ili da DNS server ne vidi kontroler domene.
Možete razumjeti probleme funkcionisanja domene pomoću uslužnog programa (slika 5):

Možete instalirati ovaj uslužni program iz originala Windows disk 2003 iz foldera /support/tools. Uslužni program vam omogućava da provjerite ispravnost svih usluga kontrolera domene, svaka njegova faza mora se završiti riječima uspješno prošao. Ako ne uspete (najčešće su to testovi veze ili sistemskog dnevnika), onda možete pokušati da ispravite grešku automatski:

dcdiag /v /fix

Kao opšte pravilo, sve greške u vezi sa DNS-om treba da nestanu. Ako ne, koristimo uslužni program za provjeru statusa svih mrežnih usluga:

I njegov korisni alat za otklanjanje grešaka:

netdiag /v /fix

Ako i nakon toga ostanu greške vezane za DNS, najlakši način je ukloniti sve zone iz njega i kreirati ih ručno. Prilično je jednostavno - glavna stvar je kreirati primarnu zonu po imenu domene, pohranjenu u Active Directory i repliciranu na sve kontrolere domena na mreži.
Više detaljne informacije o DNS greške daje drugu komandu:

dcdiag /test:dns

Na kraju obavljenog posla trebalo mi je još 30-ak minuta da saznam razlog pojavljivanja niza upozorenja - shvatio sam vremensku sinhronizaciju, arhiviranje globalnog kataloga i druge stvari koje nisam dobio u rukama na ranije. Sada sve radi kao sat - što je najvažnije, ne zaboravite da imate standby kontroler domene ako želite da uklonite stari kontroler domene sa mreže.

Kontroler domene je serverski računar koji upravlja domenom i pohranjuje repliku direktorija domene (lokalna baza podataka domene). Budući da u domeni može postojati više kontrolera domena, svi oni pohranjuju puna kopija dio direktorija koji pripada njihovom .

Sljedeće su karakteristike kontrolera domena.

• Svaki kontroler domene održava potpunu kopiju svih Active Directory informacija koje se odnose na njegovu domenu i upravlja i replicira promjene tih informacija na druge kontrolere domena u istoj domeni.
• Svi kontroleri u domeni automatski repliciraju sve objekte u domeni među sobom. Sve promjene koje se izvrše u Active Directory zapravo su napravljene na jednom od kontrolera domena. Ovaj kontroler domene zatim replicira promjene na ostale kontrolere domene unutar svoje domene. Postavljanjem učestalosti replikacije i količine podataka koje će Windows prenijeti sa svakom replikacijom, možete kontrolirati mrežni promet između kontrolera domena.
• Važna ažuriranja, kao što je onemogućavanje korisničkog naloga, kontroleri domena se odmah repliciraju.
• Active Directory koristi multimaster replikaciju, u kojoj nijedan od kontrolera domene nije glavni. Svi kontroleri su jednaki i svaki sadrži kopiju kataloške baze podataka kojoj je dozvoljeno mijenjati. U kratkim vremenskim periodima, informacije u ovim kopijama mogu se razlikovati dok se svi kontroleri međusobno ne sinkroniziraju.
• Imati više kontrolera u domeni pruža toleranciju na greške. Ako je jedan od kontrolera domena nedostupan, drugi će izvršiti sve potrebne operacije, kao što je pisanje promjena u Active Directory.
• Kontroleri domene upravljaju interakcijama između korisnika i domene, kao što je lociranje objekata Active Directory i prepoznavanje pokušaja mrežnog prijavljivanja.

Postoje dvije glavne uloge operacija koje se mogu dodijeliti jednom kontroleru domene u šumi (uloge u cijeloj šumi):

• Schema Master. Prvi kontroler domene u šumi preuzima glavnu ulogu sheme i odgovoran je za održavanje i propagiranje sheme na ostatak šume. Održava listu svih mogućih klasa objekata i atributa koji definiraju objekte koji se nalaze u Active Directoryju. Ako shemu treba ažurirati ili modificirati, Schema Master je neophodan.
• Domain Naming Master. Zapisuje dodavanje i uklanjanje domena u šumi i od vitalnog je značaja za održavanje integriteta domena. Master imenovanja domena se traži kada se novi domeni dodaju u šumu. Ako Domain Naming Master nije dostupan, tada dodavanje novih domena nije moguće; međutim, ako je potrebno, ova uloga se može prenijeti na drugog kontrolora.

Postoje tri glavne uloge operacija koje se mogu dodijeliti jednom od kontrolora u svakoj domeni (uloge za cijelu domenu).

• RID Master (Master relativnog identifikatora (RID)). Odgovoran za dodjelu raspona relativnog identifikatora (RID) svim kontrolerima u domeni. SID u Windows Serveru 2003 ima dva dijela. Prvi dio je zajednički za sve objekte u domeni; za kreiranje jedinstvenog SID-a, jedinstveni RID se dodaje ovom dijelu. Zajedno oni jedinstveno identificiraju objekt i ukazuju na to gdje je stvoren.
• Emulator primarnog kontrolera domene (PDC). Odgovoran za Windows emulacija NT 4.0 PDC za klijentske mašine koje još nisu migrirane na Windows 2000, Windows Server 2003 ili Windows XP i nemaju instaliran klijent usluga direktorija. Jedan od glavnih zadataka PDC emulatora je registracija naslijeđenih klijenata. Osim toga, PDC emulator se poziva ako provjera autentičnosti klijenta ne uspije. Ovo omogućava PDC emulatoru da potvrdi nedavno promijenjene lozinke za naslijeđene klijente u domeni prije nego što odbije zahtjev za prijavu.
• Infrastruktura Master. Zapisuje promjene napravljene na kontroliranim objektima u domeni. Sve promjene se prvo prijavljuju Masteru infrastrukture prije nego što se repliciraju na druge kontrolere domene. Infrastrukturni Master upravlja informacijama o grupama i članstvu za sve objekte u domeni. Drugi zadatak Infrastrukturnog Mastera je da prenese informacije o promjenama napravljenim na objektima drugim domenima.

Rice. 3.4. Zadana dodjela glavnih uloga šumskih operacija

Ulogu "Global Catalog Server" (GC - Global Catalog) može obavljati bilo koji pojedinačni kontroler domene u domeni - jedna od funkcija servera koja se može dodijeliti kontroloru domene. Serveri globalnog kataloga obavljaju dva važna zadatka. Omogućavaju korisnicima da se prijave na mrežu i pronađu objekte bilo gdje u šumi. Globalni katalog sadrži podskup informacija sa svake particije domene i replicira se između servera globalnog kataloga u domeni. Kada se korisnik pokuša prijaviti na mrežu ili pristupiti mrežnom resursu s bilo kojeg mjesta u šumi, odgovarajući zahtjev se rješava korištenjem globalnog kataloga. Još jedna svrha globalnog kataloga, korisna bez obzira na to koliko domena imate na mreži, jeste da učestvuje u procesu autentifikacije kada se korisnik prijavi na mrežu. Kada se korisnik prijavi na mrežu, njegovo ime se prvo provjerava u odnosu na sadržaj globalnog kataloga. Ovo vam omogućava da se prijavite na mrežu sa računara u domenima koji nisu tamo gde je pohranjen željeni korisnički nalog.

Instalacija kontrolera domene je važan dio za računarsku mrežu, zapravo, kontroliše svoj rad. Njegov glavni zadatak je pokretanje važne usluge Active Directory. Radi sa ključnim distributivnim centrom - Kerberos.

Takođe omogućava rad na Unix-kompatibilnim sistemima. U njima softverski paket Samba djeluje kao kontroler.

Kontroler domene služi za kreiranje lokalne mreže u koju bi se korisnici mogli prijaviti pod svojim imenom i vlastitim vjerodajnicama. To bi trebalo da rade na svim računarima. Takođe, instalacija domenskog kontrolera obezbeđuje definisanje prava pristupa mreži i upravljanje njenom bezbednošću. Pomoću njega možete centralno upravljati cijelom mrežom, što je vrlo važno.

Kontroleri domena također mogu pokrenuti Windows Server 2003. Na ovaj način obezbjeđuju skladištenje svih podataka direktorija, upravljaju radom korisnika i domena, kontroliraju prijavu korisnika, provjeravaju autentičnost direktorija, itd. Svi oni se mogu kreirati pomoću instalatera Active Directory. Može raditi i na Windows NT-u. Ovdje se kreira, kako bi pouzdanije radio dodatni kontroler. Bit će povezan s glavnim kontrolerom.

IN Windows mreže NT postojao je jedan server. Može se koristiti za upravljanje glavnim kontrolerom domene ili PDC-om. Svi ostali serveri su radili kao pomoćni. Na primjer, mogli bi provjeriti sve korisnike, pohraniti i provjeriti lozinke i drugo važne operacije. Ali istovremeno nisu mogli da dodaju nove korisnike na server, nisu mogli ni da menjaju lozinke i slično, odnosno da je podešavanje kontrolera domena bilo manje raznoliko. Ove operacije se mogu obaviti samo pomoću PDC-a. Promjene napravljene na njima bi se tada mogle prenijeti na sve rezervne domene. Ako primarni server nije bio dostupan, onda rezervna domena nije mogla biti unapređena na primarni nivo.

Međutim, možete postaviti kontroler domene, mrežu i podići nivo domene na bilo kojem računaru i kod kuće. Ovu mudrost je lako naučiti sami. Svi potrebni alati za ovo nalaze se u Control Panel - Add or Remove Programs - Install System Components. Istina, morat ćete raditi s njima tako što ćete prvo instalirati OS disk u svoj računar. Možete povećati ulogu računara koristeći komandnu liniju unošenjem naredbe dcpromo u nju.

Osim toga, provjera kontrolera domene može se obaviti pomoću specijalizovana komunalna preduzeća, koji zapravo rade u automatizovanom režimu, odnosno omogućavaju vam da dobijete potrebne informacije nakon pokretanja programa i podesiti rad kontrolera nakon obavljanja dijagnostike. Na primjer, možete koristiti uslužni program Ntdsutil.exe, koji pruža mogućnost povezivanja s novoinstaliranim kontrolerom domene kako biste testirali mogućnost odgovora na upit iz LDAP-a. Jednako tako, uz pomoć ovog softvera moguće je utvrditi da li kontroler ima informaciju o lokaciji FSMO uloga u svom domenu.

Ima ih još jednostavne načine, što će vam omogućiti da dijagnosticirate odgovarajući rad kontrolera. Konkretno, možete otići na HKEY _LOCAL _MACHINE \SYSTEM \ CurrentControlSet \Services (ključ registratora) i tamo potražiti NTDS potključ, čije prisustvo ukazuje na normalne performanse funkcija kontrolera domene. Postoji način uvođenja net naloga u komandnu liniju i tamo, ako je računar kontroler domena, videćete u redu Računar vrijednost uloge BACKUP ili PRIMARY, druge vrijednosti su dostupne na jednostavnim računarima.