Funkcije kontrolera domene. Instaliranje uloge Active Directory Domain Services

Direktorij se sastoji od zasebnog fajla podataka koji se nalazi na svakom kontroler domena. Fizička implementacija Active Directoryja opisana je po lokaciji kontroleri domena, na kojoj se nalazi servis. Kada implementirate Active Directory, možete dodati još toliko kontroleri domena, koliko je potrebno za održavanje usluga imenika u datoj organizaciji. Postoji pet specifičnih uloga koje svaka od njih može igrati. kontroleri domena. Oni su poznati kao uloge gospodara operacija. Još jedna uloga koju svaki pojedinačni kontroler domene u domenu može obavljati je uloga globalnog kataloga (GC - Global Catalog). U ovom dijelu ćemo pogledati skladište podataka Usluge Active Directory i kontroleri domena, na kojoj se nalazi.

Kontrolori domena i njihove uloge

Kontroler domena je serverski računar koji upravlja domenom i pohranjuje repliku direktorija domene (lokalna baza podataka domena). Pošto domena može imati više kontroleri domena, svi oni pohranjuju potpunu kopiju dijela direktorija koji pripada njihovoj domeni [6].

Karakteristike su navedene u nastavku kontroleri domena [ 4 ] .

• Svaki kontroler domena trgovine puna kopija sve informacije Aktivni direktorij koji se odnosi na njegovu domenu, a također upravlja promjenama ovih informacija i replicira ih na druge kontrolere u istoj domeni.
• Svi kontroleri u domeni automatski repliciraju sve objekte u domeni među sobom. Sve promjene napravljene u Active Directory zapravo su napravljene na jednom od kontroleri domena. Onda ovaj kontroler domena replicira promjene na druge kontrolere unutar svog domena. Postavljanjem učestalosti replikacije i količine podataka koje će Windows prenijeti sa svakom replikacijom, možete kontrolirati mrežni promet između kontroleri domena.
• Važna ažuriranja, kao što je onemogućavanje korisničkog računa, kontroleri domena odmah replicirati.
• Active Directory koristi multimaster replikaciju, u kojoj ništa od kontroleri domena nije glavna stvar. Svi kontroleri su jednaki, a svaki kontroler sadrži kopiju baze podataka direktorija koja se može mijenjati. Za kraće vremenske periode, informacije u ovim kopijama mogu se razlikovati sve dok svi kontroleri ne budu međusobno sinhronizovani.
• Imati više kontrolera u domeni osigurava toleranciju grešaka. Ako jedan od kontroleri domena nije dostupan, drugi će učiniti sve neophodne operacije, na primjer, snimanje promjena u Active Directory.
• Kontrolori domena upravljati interakcijama između korisnika i domene, kao što je pronalaženje Aktivni objekti Direktorij i prepoznavanje pokušaja mrežne prijave.

Postoje dvije glavne uloge operacija koje se mogu dodijeliti jednoj kontroler domena u šumi (uloge koje djeluju unutar granica šume) [3]:

• Schema Master. Prvo kontroler domena u šumi, preuzima ulogu gospodara sheme i odgovoran je za održavanje i propagiranje sheme u ostatak šume. Održava listu svih mogućih klasa objekata i atributa koji definiraju objekte koji se nalaze u Active Directoryju. Ako shemu treba ažurirati ili promijeniti, potreban je Master sheme.
• Master imenovanja domena(Master imenovanja domena). Zapisuje dodavanje i uklanjanje domena u šumi i od vitalnog je značaja za održavanje integriteta domena. Master imenovanja domena se traži kada se novi domeni dodaju u šumu. Ako Master imena domena nije dostupan, dodavanje novih domena nije moguće; međutim, ova uloga se može prenijeti na drugog kontrolora ako je potrebno.

Postoje tri glavne uloge operacija koje se mogu dodijeliti jednom od kontrolera u svakoj domeni (uloge na cijeloj domeni) [3].

• Relativni identifikator (RID) Master. Odgovoran za dodjelu raspona relativnog identifikatora (RID) svim kontrolerima u domeni. SID in Windows Server 2003 se sastoji iz dva dijela. Prvi dio je zajednički za sve objekte u domeni; za kreiranje jedinstvenog SID-a, jedinstveni RID se dodaje ovom dijelu. Zajedno oni jedinstveno identifikuju objekt i ukazuju na to gdje je stvoren.
• Emulator primarnog kontrolera domene(Emulator primarnog kontrolera domene (PDC)). Odgovoran za Windows emulacija NT 4.0 PDC za klijentske mašine koje još nisu nadograđene na Windows 2000, Windows Server 2003 ili Windows XP i koje nemaju instaliran klijent usluga direktorija. Jedan od glavnih zadataka PDC emulatora je registracija naslijeđenih klijenata. Osim toga, kontaktira se PDC emulator ako provjera autentičnosti klijenta ne uspije. Ovo omogućava PDC emulatoru da provjeri nedavno promijenjene lozinke za naslijeđene klijente u domeni prije nego što odbije zahtjev za prijavu.
• Infrastruktura Master(Master infrastrukture). Registrira promjene napravljene na kontroliranim objektima u domeni. Sve promjene se prvo prijavljuju Masteru infrastrukture, a tek onda se repliciraju na druge kontrolere domene. Infrastrukturni Master obrađuje informacije o grupi i članstvu za sve objekte u domeni. Drugi zadatak Infrastrukturnog Mastera je da prenese informacije o promjenama napravljenim na objektima drugim domenima.

Rice. 3.4.

uloga" Globalni kataloški server“ (GC – Globalni katalog) može izvesti svaki pojedinac kontroler domena u domeni - jedna od funkcija servera koja se može dodijeliti kontroler domena[ 13 ] . Serveri globalnog kataloga obavljaju dva važna zadatka. Omogućavaju korisnicima da se prijave na mrežu i pronađu objekte u bilo kojem dijelu šume. Globalni katalog sadrži podskup informacija iz svake domenske particije i replicira se među serverima globalnog kataloga u domeni. Kada se korisnik pokuša prijaviti na mrežu ili pristupiti mrežnom resursu s bilo kojeg mjesta u šumi, zahtjev se rješava kroz globalni katalog. Još jedan zadatak globalnog direktorija koji je koristan bez obzira na to koliko domena imate na vašoj mreži je sudjelovanje u procesu provjere autentičnosti kada se korisnik prijavi na mrežu. Kada se korisnik prijavi na mrežu, njegovo ime se prvo provjerava u odnosu na sadržaj globalnog direktorija. Ovo vam omogućava da se prijavite na mrežu sa računara u domenima koji se razlikuju od one na kojoj je pohranjeno željeno korisničko ime. Račun.

Koncept web stranica

Koncept web lokacija koriste proizvodi iz porodice Microsoft BackOffice za minimiziranje prometa globalna mreža a zasniva se na činjenici da je njegova osnova IP mreža, za koju je potrebno osigurati najbolje uslove povezivanja, bez obzira na aplikacije koje se koriste.

Windows Server 2003 lokacija je grupa kontroleri domena, koji se nalaze u jednoj ili više IP podmreža i povezani su velikom brzinom i pouzdano mrežne veze. Web lokacije se prvenstveno koriste za upravljanje prometom replikacije. Kontrolori domena unutar stranice može slobodno replicirati promjene u bazi podataka Active Directory kad god se takve promjene dogode. kako god kontroleri domena Različite stranice komprimiraju promet replikacije i prenose ga prema određenom rasporedu kako bi se smanjio mrežni promet.

Web lokacije nisu dio imenskog prostora Active Directory. Kada korisnik pretražuje logički prostor imena, računari i korisnici se grupišu u domene i OU-ove bez veza na sajt.

• Kontrolori domena unutar granica lokacije.
• Veze na web-mjesto konfigurirane da povezuju datu stranicu s drugima. Komunikacija se sastoji iz dva dela: fizička veza između lokacija (obično WAN veza) i objekta veze na web lokaciju. Ovaj objekt je kreiran u Active Directory i definira prometni protokol replikacije (IP ili SMTP). Komunikacijski objekt lokacije također pokreće planiranu replikaciju.

Planiranje lokacija i njihovo postavljanje zavisi od fizičke topologije mreže, te je potrebno voditi računa o potrebi za komunikacionim linijama za implementaciju inter-site replikacije prema kreiranom rasporedu.

Active Directory lokacija se sastoji od jedne ili više IP podmreža, koje administrator može definirati i modificirati tako da uključuje nove podmreže.

Podela na sajtove ne zavisi od domenske (logičke) strukture, odnosno:

• stranica može imati jednu domenu (ili samo njen dio) ili više domena;
• Domena (ili čak organizaciona jedinica) može imati više lokacija.

Kreiranje sajtova čija struktura odražava fizičku lokaciju

Šuma u domenskim uslugama Active Directory je najviše vrhunski nivo hijerarhija logičke strukture. Šuma Active Directory predstavlja jedan direktorij. Šuma je sigurnosna granica. To znači da administratori šume imaju potpunu kontrolu nad pristupom informacijama pohranjenim unutar šume i pristupom kontrolerima domena koji se koriste za implementaciju šume.

Organizacije obično implementiraju jednu šumu, osim ako postoji posebna potreba za više šuma. Na primjer, ako želite kreirati odvojena administrativna područja za različite dijelove vaše organizacije, trebate kreirati više šuma koje će predstavljati ta područja.

Kada implementirate više šuma u organizaciji, svaka šuma po defaultu radi odvojeno od ostalih šuma, kao da je jedina šuma u organizaciji.

Bilješka. Da biste integrirali više šuma, možete stvoriti sigurnosne odnose između njih, nazvane vanjski ili šumski odnosi povjerenja.

Operacije na nivou šume

Active Directory Domain Services je više-master usluga direktorija. To znači da se većina promjena u direktorij može napraviti na bilo kojoj instanci direktorija na koju se može pisati, odnosno na bilo kojem kontroleru domene za pisanje. Međutim, neke promjene su isključive. To znači da se mogu napraviti samo na jednom specifičnom kontroleru domene u šumi ili domeni, ovisno o specifičnoj promjeni. Rečeno je da kontroleri domene na kojima se mogu izvršiti ove ekskluzivne promjene sadrže uloge glavnog operatera. Postoji pet glavnih uloga operacija, od kojih su dvije uloge na razini šume, a ostale tri uloge na razini domene.

Dvije glavne uloge u operacijama širom šume:

• Master imenovanja domena. Posao gospodara imenovanja domena je osigurati da postoje jedinstvena imena u cijeloj šumi. Osigurava da postoji samo jedan FQDN za svaki računar u cijeloj šumi.
• Vlasnik šeme. Master sheme prati šumsku shemu i održava promjene osnovna strukturašume.

Budući da su ove uloge kritične kritične uloge na razini šume, svaka šuma mora imati samo jednog mastera sheme i gospodara imenovanja domene.

Dodatni materijali:

Šema je komponenta Active Directory domenskih usluga koja definira sve objekte i atribute koje usluge domene Active Directory koriste za pohranjivanje podataka.

Usluge domena Active Directory pohranjuju i preuzimaju informacije iz mnogih aplikacija i usluga. Stoga, da bi se omogućilo skladištenje i replikacija podataka iz ovih različitih izvora, Active Directory Domain Services definiše standard za skladištenje podataka u direktorijumu. Posjedovanje standarda za skladištenje podataka omogućava domenskim uslugama Active Directory da dohvate, ažuriraju i repliciraju podatke uz održavanje njihovog integriteta.

Active Directory Domain Services koristi objekte kao skladišne ​​jedinice. Svi objekti su definirani u šemi. Svaki put kada direktorij obrađuje podatke, direktorij postavlja upit shemi za odgovarajuću definiciju objekta. Na osnovu definicije objekta u šemi, direktorij kreira objekt i pohranjuje podatke.

Definicije objekata određuju tipove podataka koje objekti mogu pohraniti, kao i sintaksu podataka. Na osnovu ovih informacija, shema osigurava da svi objekti odgovaraju svojim standardne definicije. Kao rezultat toga, usluge domene Active Directory mogu pohraniti, dohvatiti i potvrditi podatke kojima upravljaju, bez obzira na aplikaciju koja je izvorni izvor podataka. Direktorij može pohraniti samo podatke koji imaju postojeća definicija objekta na dijagramu. Ako želite pohraniti novi tip podataka, prvo morate kreirati novu definiciju objekta u šemi za te podatke.

Šema u domenskim uslugama Active Directory definira:

• objekti koji se koriste za pohranjivanje podataka u direktorij;
• pravila koja određuju koji se tipovi objekata mogu kreirati, koji atributi moraju biti specificirani prilikom kreiranja objekta i koji su atributi opcioni;
• strukturu i sadržaj samog imenika.

Šema je jedan glavni član Active Directory Domain Services. To znači da se promjene u shemi moraju izvršiti na kontroleru domene koji drži glavnu ulogu operacija sheme.

Shema se replicira među svim kontrolerima domena u šumi. Svaka promjena napravljena na shemi replicira se na sve kontrolere domene u šumi od vlasnika uloge glavnog majstora operacija sheme, koja je tipično prvi kontroler domene u šumi.

Budući da shema određuje kako se informacije pohranjuju, a sve promjene u šemi utječu na sve kontrolere domene, promjene u shemi bi trebale biti napravljene samo prema potrebi (kroz strogo kontrolirani proces) nakon što je testiranje obavljeno tako da nema štetnog utjecaja na ostatku šume.

Iako ne možete direktno napraviti nikakve promjene u shemi, neke aplikacije mijenjaju shemu kako bi podržale dodatne funkcije. Na primjer, prilikom instalacije Microsoft Exchange Server 2010 u programu za postavu šume domenskih usluga Active Directory proširuje šemu kako bi podržao nove tipove objekata i atribute.

Dodatni materijal:

1.3 Šta je domen.

Domena je administrativna granica. Sve domene imaju administratorski nalog koji ima sve administrativna ovlaštenja za sve objekte u domeni. Iako administrator može delegirati administraciju objekata u domeni, administratorski nalog zadržava punu administrativnu kontrolu nad svim objektima u domeni.

U ranim Windows verzije Server je vjerovao da su domeni namijenjeni za potpuno administrativno razdvajanje; zaista, jedan od glavnih razloga za odabir topologije sa više domena bio je da se obezbijedi takvo razdvajanje. Međutim, u domenskim uslugama Active Directory, administratorski nalog u korijenskom domenu šume ima potpunu administrativnu kontrolu nad svim objektima u šumi, što ovo administrativno razdvajanje na nivou domene čini nevažećim.

Domena je granica replikacije. Usluge domene Active Directory se sastoje od tri elementa, ili sekcije, - shema, konfiguracijski odjeljak I odjeljak domena. Obično se često mijenja samo odjeljak domene.

Odjeljak domene sadrži objekte koje je vjerovatno potrebno često ažurirati; Ovi objekti su korisnici, računari, grupe i odjeli. Stoga se replikacija domenskih usluga Active Directory sastoji prvenstveno od ažuriranja objekata definiranih u particiji domene. Samo kontrolori domena u određenoj domeni primaju ažuriranja particije domene od drugih kontrolera domene. Particioniranje podataka omogućava organizacijama da repliciraju podatke samo tamo gdje je to potrebno. Kao rezultat toga, direktorij se može globalno skalirati preko mreže koja ima ograničenu propusnost.

Domena je granica provjere autentičnosti. Kontrolori te domene mogu verificirati svaki korisnički račun u domeni. Domene u šumi vjeruju jedna drugoj tako da korisnik u jednoj domeni može pristupiti resursima koji se nalaze u drugoj domeni.

Operacije na nivou domene

U svakoj domeni postoje tri uloge mastera operacija. Ove uloge, koje su prvobitno dodijeljene prvom kontroleru domene u svakoj domeni, navedene su u nastavku.

• Vlasnik relativnog identifikatora (RID). Svaki put kada se kreira objekt u Active Domain Services Kontroler imenika domena na kojoj je ovaj objekt kreiran dodjeljuje mu jedinstvenu identifikacioni broj, koji se naziva sigurnosni identifikator (SID). Kako bi spriječio da dva kontrolera domene dodijele isti SID dvama različitim objektima, RID master dodjeljuje SID blokove svakom kontroleru domene u domeni.
• Emulator primarnog domenskog kontrolera. Ova uloga je najvažnija jer njen privremeni gubitak postaje primjetan mnogo brže od gubitka bilo koje druge uloge gospodara operacija. Odgovoran je za brojne funkcije na nivou domene, uključujući:
• ažurirati status zaključavanja računa;
• kreiranje i replikacija GPO-a od strane jednog mastera;
• vremenska sinhronizacija za domen.
• Vlasnik infrastrukture. Ova uloga je odgovorna za održavanje referenci objekata između različitih domena. Na primjer, kada grupa u jednoj domeni uključuje člana iz druge domene, master infrastrukture je odgovoran za održavanje integriteta te veze.

Ove tri uloge moraju biti jedinstvene u svakoj domeni, tako da svaka domena može imati samo jednog RID mastera, jedan emulator primarnog kontrolera domene (PDC) i jednog infrastrukturnog mastera.

Dodatni materijali:

Ako domenske usluge Active Directory sadrže više od jedne domene, morate definirati odnose između domena. Ako domene dijele zajednički korijen i neprekidni imenski prostor, logički su dio istog stabla Active Directory. Stablo ne služi administrativnoj svrsi. Drugim riječima, ne postoji administrator stabla, baš kao što postoji administrator šume ili domene. Stablo pruža logičko hijerarhijsko grupisanje domena koje imaju odnose roditelj-dijete definirane njihovim imenima. Stablo Active Directory mapira se u imenski prostor sistema imena domena (DNS).

Stabla Active Directory se kreiraju na osnovu odnosa između šumskih domena. Ne postoji ozbiljnih razloga, za koje je potrebno ili nije potrebno stvoriti nekoliko stabala u šumi. Međutim, imajte na umu da je jedno stablo sa svojim neprekidnim imenskim prostorom lakše upravljati i korisnicima ga je lakše vizualizirati.

Ako postoji više podržanih imenskih prostora, razmislite o korištenju više stabala u istoj šumi. Na primjer, ako vaša organizacija ima nekoliko različitih proizvodnih odjela s različitim javnim identifikatorima, možete kreirati različito stablo za svako odjeljenje proizvodnje. Imajte na umu da u ovom scenariju nema razdvajanja administracije jer administrator korijena šume i dalje ima punu kontrolu nad svim objektima u šumi, bez obzira na kojem stablu se nalaze.

1.5 Divizije

Subdivision je objekt kontejner u domeni koji se može koristiti za grupisanje korisnika, grupa, računala i drugih objekata. Dva su razloga za stvaranje podjela.

• Konfigurirajte objekte sadržane u organizacijskoj jedinici. Možete dodijeliti GPO-ove OU-u i primijeniti postavke na sve objekte u tom OU-u.
• Delegiranje administrativnog upravljanja objektima u odjeljenju. Možete dodijeliti upravljačka prava OU, delegirajući na taj način kontrolu nad OU neadministrativnom korisniku ili grupi u domenskim uslugama Active Directory.

Bilješka. Organizaciona jedinica je najmanja oblast ili jedinica kojoj možete dodeliti postavke smernica grupe ili delegirati administrativna prava.

Odjeljenja se mogu koristiti za predstavljanje hijerarhijskih logičkih struktura u organizaciji. Na primjer, možete kreirati poslovne jedinice koje predstavljaju odjele u organizaciji, geografske regije u organizaciji i poslovne jedinice koje su kombinacija odjela i geografskih regija. Zatim možete upravljati konfiguracijom i koristiti korisničke, grupne i računalne račune na osnovu organizacijskog modela koji ste kreirali.

Svaka domena domenskih usluga Active Directory ima standardni set kontejnere i organizacione jedinice koje se kreiraju kada instalirate Active Directory Domain Services. Ovi kontejneri i jedinice su navedeni u nastavku.

• Kontejner domene koji služi kao osnovni kontejner hijerarhije.
• Ugrađeni kontejner koji sadrži zadane naloge administratora usluge.
• Korisnički kontejner koji je zadana lokacija za nove korisničke račune i grupe kreirane u domeni.
• Kontejner računara koji je podrazumevana lokacija za nove račune računara kreirane u domeni.
• OU kontrolera domena, koji je zadana lokacija za račune računala kontrolora domena.

1.6 Odnosi povjerenja

Odnos povjerenja omogućava jednom sigurnosnom objektu da vjeruje drugom sigurnosnom objektu u svrhu provjere autentičnosti. U operativnom sistemu Windows Server 2008 R2, sigurnosni objekat je Windows domen.

Glavna svrha odnosa povjerenja je da olakša korisniku u jednoj domeni da dobije pristup resursu u drugoj domeni bez potrebe da održava korisnički račun u obje domene.

Svaki odnos povjerenja uključuje dvije strane – entitet od povjerenja i entitet od povjerenja. Objekt od povjerenja je objekt koji posjeduje resurs, a pouzdani objekt je objekt s računom. Na primjer, ako nekome pozajmite laptop, vjerujete toj osobi. Vi ste objekt koji posjeduje resurs. Resurs je vaš laptop; osoba kojoj je laptop pozajmljen je pouzdani objekat sa nalogom.

Vrste odnosa povjerenja

Odnosi povjerenja mogu biti jednostrani ili dvostrani.

Jednosmjerno povjerenje znači da iako jedan entitet vjeruje drugom, obrnuto nije istina. Na primjer, ako pozajmite Steveu svoj laptop, to ne znači da će vam Steve nužno posuditi svoj automobil.

U dvosmjernom povjerenju, oba entiteta vjeruju jedni drugima.

Odnosi povjerenja mogu biti tranzitivni ili intranzitivni. Ako u tranzitivnom povjerenju, objekt A vjeruje objektu B, a objekt B vjeruje objektu C, onda objekt A također implicitno vjeruje objektu B. Na primjer, ako pozajmite Steveu svoj laptop, a Steve pozajmi svoj automobil Mary, možete dati Mary Vaš mobilni telefon na privremeno korištenje.

Windows Server 2008 R2 podržava različite odnose povjerenja dizajnirane za korištenje u različitim situacijama.

U jednoj šumi, svi domeni vjeruju jedni drugima koristeći internu dvosmjernu tranzitivnost odnos poverenja. To u suštini znači da svi domeni vjeruju svim drugim domenima. Ovi odnosi povjerenja protežu se kroz drveće šume. Pored ovih automatski kreiranih povjerenja, možete konfigurirati dodatna povjerenja između šumskih domena, između ove šume i drugih šuma, te između ove šume i drugih sigurnosnih entiteta, kao što su Kerberos područja ili domene. operativni sistem Microsoft Windows NT® 4.0. Sljedeća tabela pruža dodatne informacije.

Vrsta povjerenja	Tranzitivnost	Smjer	Opis
Eksterni	Intransitive		Eksterna povjerenja se koriste za pružanje pristupa resursima koji se nalaze u domeni Windows NT Server 4.0 ili domeni koja se nalazi u zasebnoj šumi kojoj nije pridruženo povjerenje šume.
Poverenje regiona	Tranzitivan ili intranzitivan.	Jednostrano ili dvostrano.	Povjerenja područja se koriste za stvaranje odnosa povjerenja između Kerberos područja kojim upravlja operativni sistem koji nije Windows i Windows Server 2008 operativni sistem ili Windows Server 2008 R2 domen.
Forest trust	Tranzitivna	Jednostrano ili dvostrano.	Koristite šumske trustove za dijeljenje resursa između šuma. Ako su povjerenja šuma dvosmjerna, zahtjevi za provjeru autentičnosti napravljeni u bilo kojoj šumi mogu doći do druge šume.
Direktno uspostavljeno povjerenje	Tranzitivna	Jednostrano ili dvostrano.	Direktno uspostavljena povjerenja se koriste za smanjenje vremena prijavljivanja korisnika između dvije domene u šumi Windows Server 2008 ili Windows Server 2008 R2. Ovo se primjenjuje kada su dvije domene odvojene sa dva stabla domena.

2. Implementacija Active Directory domenskih usluga

Da biste implementirali Active Directory domenske usluge, morate implementirati kontrolere domena. Da biste optimizirali Active Directory domenske usluge, važno je razumjeti gdje i kako kreirati kontrolere domena za optimizaciju mrežne infrastrukture.

2.1 Šta je kontroler domena?

Domena se kreira kada promovišete računar Windows server Server 2008 R2 na kontroler domene. Kontroleri domena sadrže Active Directory domenske usluge.

Kontrolori domena obezbjeđuju izvršenje sljedeće funkcije online.

• Pruža autentifikaciju. Kontroleri domena sadrže bazu podataka domenskih naloga i pružaju usluge autentifikacije.
• Sadrži uloge mastera operacija kao dodatna prilika. Ove uloge su se ranije zvale FSMO (Fleksibilne pojedinačne glavne operacije) uloge. Postoji pet glavnih uloga operacija – dvije uloge na razini šume i tri uloge na razini domene. Ove uloge se mogu migrirati prema zahtjevima.
• Sadrži globalni katalog kao opcionu funkciju. Bilo koji kontroler domene može biti označen kao server globalnog kataloga.

Bilješka. Globalni katalog je distribuirana baza podataka koja sadrži pretražujuću reprezentaciju svakog objekta iz svih domena u šumi sa više domena. Međutim, globalni katalog ne sadrži sve atribute za svaki objekt. Umjesto toga, podržava podskup atributa koji će najvjerovatnije biti korisni u pretraživanju domena.

2.2 Šta je kontroler domene samo za čitanje?

Kontroler domene samo za čitanje je novi tip kontroler domena u Windows Server 2008 R2. Koristeći kontroler domene samo za čitanje, organizacije mogu lako primijeniti kontroler domene na lokacijama gdje se fizička sigurnost ne može garantirati. RODC hostira repliku baze podataka domenskih usluga Active Directory samo za čitanje za dati domen. Kontroler domene samo za čitanje može također funkcionirati kao poslužitelj globalnog kataloga.

Počevši od Windows Server 2008, organizacija može implementirati kontroler domene samo za čitanje kada je WAN propusni opseg ograničen ili nedovoljan fizičko obezbeđenje kompjuteri. Kao rezultat toga, korisnici u ovoj situaciji mogu imati koristi od:

• povećana sigurnost;
• više brza prijava u sistem;
• efikasniji pristup mrežnim resursima.

Funkcija kontrolera domene samo za čitanje	Objašnjenje
Baza podataka Active Directory samo za čitanje	Sa izuzetkom lozinki naloga, kontroler domene samo za čitanje sadrži sve Active Directory objekte i atribute koji su prisutni u kontroleru domene za pisanje. Međutim, ne možete napraviti promjene u replici pohranjenoj na kontroleru domene samo za čitanje. Promjene se moraju izvršiti na kontroleru domene za pisanje i replicirati na kontroler domene samo za čitanje.
Jednosmjerna replikacija	Budući da se promjene ne upisuju direktno u RODC, nema promjena u RODC-u. Prema tome, kontroleri domene za pisanje koji su partneri za replikaciju ne bi trebali primati promjene od kontrolera samo za čitanje. Ovo smanjuje radno opterećenje servera mostobrana u čvorištu i zahtijeva manje napora za praćenje replikacije.
Keširanje vjerodajnica	Keširanje akreditiva je skladištenje korisničkih ili kompjuterskih akreditiva. Akreditivi se sastoje od malog skupa lozinki (oko deset) povezanih sa sigurnosnim principalima. Prema zadanim postavkama, kontroler domene samo za čitanje ne pohranjuje korisničke ili računalne vjerodajnice. Izuzetak su račun RODC računala i poseban krbtgt (Kerberos Key Distribution Service Center račun) račun koji se nalazi na svakom RODC-u. Keširanje svih drugih vjerodajnica mora biti eksplicitno omogućeno na kontroleru domene samo za čitanje.
Razdvajanje uloga administratora	Uloga lokalni administrator Kontroler domene samo za čitanje može se delegirati bilo kojem korisniku domene bez davanja bilo kakvih prava na domenu ili druge kontrolere domene. U ovom slučaju lokalni korisnik Poslovnica će se moći prijaviti na RODC i obavljati operacije održavanja na njemu, kao što je ažuriranje upravljačkog programa. Međutim, korisnik filijale neće imati pravo da se prijavi na bilo koji drugi kontroler domene ili da obavlja bilo koje druge administrativne zadatke na domeni.
Usluga imena domena samo za čitanje	Usluga DNS servera može se instalirati na kontroler domene samo za čitanje. RODC može replicirati sve particije direktorija aplikacije koje koristi DNS server, uključujući particije ForestDNSZones i DomainDNSZones. Ako je DNS server instaliran na kontroleru domene samo za čitanje, klijenti mu mogu slati zahtjeve za razlučivanje imena kao i svakom drugom DNS serveru.

Uloga kontrolera domene samo za čitanje je sažeta u nastavku.

• Kontroler domene koji se ponaša kao master operacija PDC emulatora za domenu mora pokretati operativni sistem. Windows sistemi Server 2008. Ovo je potrebno za kreiranje novog naloga krbtgt za kontroler domene samo za čitanje, kao i za tekuće operacije tog kontrolera.
• RODC zahtijeva da se zahtjevi za provjeru autentičnosti proslijede na poslužitelj globalnog kataloga (pod Windows kontrola Server 2008), koji se nalazi na lokaciji najbližoj lokaciji sa ovim kontrolerom. Politika replikacije lozinke je postavljena na ovom kontroleru domene kako bi se utvrdilo da li se vjerodajnice repliciraju na lokaciju grane za preusmjereni zahtjev od RODC-a.
• Da biste omogućili Kerberos ograničeno delegiranje, morate postaviti funkcionalni nivo domene Windows Server 2003. Ograničeno delegiranje se koristi za sigurnosne pozive koji se moraju imitirati u kontekstu pozivaoca.
• Da biste osigurali da je replikacija pridružene vrijednosti dostupna, morate postaviti funkcionalni nivo šume Windows Server 2003. Ovo pruža više visoki nivo kompatibilnost replikacije.
• Morate pokrenuti adprep /rodcprep jednom u šumi. Ovo će ažurirati dozvole na svim particijama direktorija DNS aplikacija u šumi kako bi se olakšala replikacija između RODC-ova koji su također DNS serveri.
• RODC ne može sadržavati glavne uloge operacija i ne može djelovati kao replikacijski mostobran poslužitelj.
• Kontroler domene koji je samo za čitanje može biti raspoređen Serverski sistem Jezgro za dodatnu sigurnost.

Sajt je logičko predstavljanje geografsko područje na mreži. Stranica predstavlja granicu mreže velike brzine za računare Active Directory Domain Services, odnosno računare koji mogu komunicirati sa velika brzina i niske latencije, mogu se kombinovati u web lokaciju; Kontrolori domena unutar lokacije repliciraju podatke domenskih usluga Active Directory na način optimiziran za to okruženje; Ova konfiguracija replikacije je uglavnom automatska.

Bilješka. Web lokacije koriste klijentski računari za pronalaženje usluga kao što su kontroleri domena i serveri globalnog kataloga. Važno je da svaka stranica koju kreirate sadrži barem jedan kontroler domene i server globalnog kataloga.

2.4 Replikacija domenskih usluga Active Directory

1. Replikacija Active Directory domenskih usluga je prijenos promjena napravljenih u podacima direktorija između kontrolera domena u šumi Active Directory domenskih usluga. Model replikacije domenskih usluga Active Directory definira mehanizme koji omogućavaju automatsko prosljeđivanje ažuriranja direktorija između kontrolora domena kako bi se osiguralo besprijekorno rješenje za replikaciju za uslugu distribuiranog direktorija Active Directory Domain Services.
2. Postoje tri particije u domenskim uslugama Active Directory. Particija domene sadrži podatke koje se najčešće mijenjaju i stoga generiše veliki tok replikacijskih podataka Active Directory domenskih usluga.

Linkovi na Active Directory web stranice

1. Veza web-mjesta se koristi za rukovanje replikacijom između grupa web-mjesta. Možete koristiti zadanu vezu do web-mjesta koja se nalazi u AD DS-u ili kreirati dodatne veze do web-mjesta po potrebi. Možete konfigurirati postavke za veze do web-mjesta da odredite raspored i dostupnost putanje replikacije kako biste lakše upravljali replikacijom.
2. Kada su dvije lokacije povezane putem veze na lokaciju, sistem replikacije automatski stvara veze između određenih kontrolora domena na svakoj lokaciji, koji se nazivaju serveri mosta.

2.5 Konfiguriranje DNS-a za Active Directory domenske usluge

DNS instalacija

AD DS zahtijeva DNS. Uloga DNS servera nije podrazumevano instalirana u Windows Server 2008 R2. Kao i druge funkcionalnosti, ova funkcija se dodaje na osnovu uloge kada je server konfigurisan da obavlja određenu ulogu.

Ulogu DNS servera možete instalirati koristeći vezu Dodaj ulogu u upravitelju servera. Uloga DNS servera se takođe može automatski dodati pomoću čarobnjaka za instalaciju domenskih usluga Active Directory (dcpromo.exe). Stranica Postavke kontrolera domena u čarobnjaku vam omogućava da dodate ulogu DNS servera.

Postavljanje DNS zona

Kada je DNS server instaliran, možete početi sa dodavanjem zona na server. Ako je DNS server kontroler domene, možete konfigurirati AD DS da pohranjuje informacije o zoni. Tada će se kreirati integrisana zona Active Directory. Ako ova opcija nije odabrana, podaci o zoni će biti pohranjeni u datoteci, a ne u AD DS-u.

Dinamička ažuriranja

Kada kreirate zonu, takođe ćete biti upitani da li da podržite dinamičko ažuriranje. Dinamičko ažuriranje smanjuje napore upravljanja zonom jer klijenti mogu dodavati, brisati i ažurirati sopstvene snimke resurse.

Dinamičko ažuriranje omogućava mogućnost neovlaštenog mijenjanja zapisa resursa. Na primjer, neki računar može registrirati unos pod nazivom "www" i preusmjeriti promet sa vaše web stranice na pogrešnu adresu.

Kako bi se otklonila mogućnost krivotvorenja, usluga Windows DNS serveri Server 2008 R2 podržava bezbedna dinamička ažuriranja. Klijent mora biti autentifikovan pre ažuriranja zapisa resursa, tako da DNS server zna da li je klijent računar kome je dozvoljeno da ažurira zapis resursa.

Transfer DNS zona

Preduzeće treba da nastoji da osigura da zona može biti nametnuta od strane najmanje dva DNS servera.

Ako je zona integrisana u Active Directory Domain Services, dovoljno je dodajte ulogu DNS servera drugom kontroleru domene u istoj domeni, gdje se nalazi prvi DNS server. Integrirane Active Directory zone i replikacija DNS zone korištenje AD DS-a opisano je u sljedećoj lekciji.

Ako zona nije integrisana sa AD DS-om, morate dodati još jedan DNS server i konfigurisati ga da ugosti dodatnu zonu. Imajte na umu da je sekundarna zona kopija glavne zone samo za čitanje.

Objave SRV

Zapis resursa lokatora usluge (SRV) rješava zahtjev za mrežni servis, omogućavajući klijentu da pronađe čvor koji pruža određenu uslugu.

• Kada kontrolor domene treba da replicira promjene od partnera.
• Kada klijent računar zahtijeva autentifikaciju sa AD DS-om.
• Kada korisnik promijeni lozinku.
• Kada Microsoft server Exchange vrši pretragu imenika.
• Kada administrator otvori Active Directory Users and Computers.

SRV zapisi koriste sljedeću sintaksu.

protocol.service.name životni vijek klasa tip prioritet težina port ciljni_čvor

Primjer SRV zapisa je prikazan ispod.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Zapis se sastoji od sljedećih komponenti:

• Naziv usluge protokola, kao što je LDAP usluga, koju nudi kontrolor domene.
• Životni vijek u sekundama.
• Klasa (svi unosi Windows DNS servera će biti "IN" ili "Internet").
• Tip: SRV;
• Vrijednosti prioriteta i težine koje pomažu klijentima da odrede željeni čvor.
• Port na kojem server nudi uslugu. Na Windows kontroleru domene za LDAP standardni port - 389.
• Ciljni objekat, odnosno servisni čvor, tj u ovom slučaju je kontroler domene pod nazivom hqdc01.contoso.com.

Kada klijentski proces traži kontroler domene, može zatražiti LDAP uslugu od DNS-a. Zahtjev vraća i SRV zapis i A zapis za jedan ili više servera koji pružaju traženu uslugu.

U ovoj napomeni ćemo detaljno razmotriti proces implementacije prvog kontrolera domena u preduzeću. A biće ih ukupno tri:

1) Primarni kontroler domena, OS - Windows Server 2012 R2 sa GUI, naziv mreže: dc1.

Odaberite zadanu opciju i kliknite na Next. Zatim izaberite podrazumevani protokol IPv4 i ponovo kliknite na Next.

Na sljedećem ekranu ćemo postaviti ID mreže. U našem slučaju, 192.168.0. U polju Reverse Lookup Zone Name vidjet ćemo kako se automatski unosi adresa zone za obrnuto traženje. Kliknite na Next.

Na ekranu Dynamic Update izaberite jedno od tri moguće opcije dinamičko ažuriranje.

Dozvoli samo sigurna dinamička ažuriranja. Ova opcija je dostupna samo ako je zona integrisana u Active Directory.

Dozvolite i nesigurna i sigurna dinamička ažuriranja. Ovaj prekidač omogućava svakom klijentu da ažurira svoje zapise DNS resursa kada dođe do promjena.

Nemojte dozvoliti dinamička ažuriranja. Ova opcija onemogućuje dinamiku DNS ažuriranja. Trebalo bi da se koristi samo ako zona nije integrisana u Active Directory.

Odaberite prvu opciju, kliknite Sljedeće i dovršite postavljanje klikom na Završi.

Drugi korisna opcija, koji se obično konfiguriše u DNS-u, su serveri za prosleđivanje ili prosleđivači, čija je glavna svrha keširanje i preusmeravanje DNS upita sa lokalnog DNS servera na eksterni DNS server na Internetu, na primer, onaj koji se nalazi kod ISP-a. Na primjer, želimo lokalni računari u našoj domenskoj mreži, u mrežne postavke koji imaju registrovani DNS server (192.168.0.3) mogli su pristupiti Internetu, potrebno je da naš lokalni dns server je konfiguriran za rješavanje DNS zahtjeva sa upstream servera. Da konfigurišete servere za prosleđivanje (Forwarders), idite na konzolu DNS menadžera. Zatim u svojstvima servera idite na karticu Forwarders i kliknite Uredi tamo.

Navodimo barem jednu IP adresu. Po mogućnosti nekoliko. Kliknite OK.

Sada da konfigurišemo DHCP uslugu. Pokrenimo opremu.

Prvo, postavimo puni radni opseg adresa sa kojih će adrese biti preuzete za izdavanje klijentima. Odaberite Akcija\Novi opseg. Pokrenut će se čarobnjak za dodavanje područja. Postavimo naziv oblasti.

Zatim označavamo početnu i završnu adresu mrežnog raspona.

Zatim ćemo dodati adrese koje želimo isključiti iz izdavanja klijentima. Kliknite na Next.

Na ekranu Trajanje zakupa naznačit ćemo vrijeme zakupa drugačije od zadanog, ako je potrebno. Kliknite na Next.

Zatim se slažemo da sada želimo da konfigurišemo ove opcije: Da, sada želim da konfigurišem ove opcije.

Slijedom ćemo naznačiti gateway, naziv domene, DNS adrese, preskočimo WINS i na kraju pristajemo da aktiviramo opseg klikom na: Da, želim da aktiviram ovaj opseg sada. Završi.

Za bezbedan rad DHCP usluga, zahtijeva postavljanje posebnog naloga za dinamičko ažuriranje DNS zapisi. To se, s jedne strane, mora učiniti kako bi se spriječila dinamička registracija klijenata u DNS-u korištenjem administrativnog računa domene i eventualna zloupotreba istog, s druge strane, u slučaju rezervacije DHCP usluge i kvara glavnog servera, biće moguće prenijeti rezervnu kopiju zone na drugi server, a za to će biti potreban nalog prvog servera. Da biste ispunili ove uslove, u dodatku Active Directory Korisnici i računari, kreirajte nalog pod nazivom dhcp i dodelite trajnu lozinku tako što ćete izabrati opciju: Password Never Expires.

Dodijeli korisniku jaka lozinka i dodajte DnsUpdateProxy u grupu. Zatim ćemo ukloniti korisnika iz grupe Korisnici domene, nakon što smo primarnom korisniku prvo dodijelili grupu “DnsUpdateProxy”. Ovaj nalog će biti isključivo odgovoran za dinamičko ažuriranje zapisa i neće imati pristup drugim resursima gde su osnovna prava domena dovoljna.

Kliknite na Primijeni, a zatim na OK. Ponovo otvorite DHCP konzolu. Idite na svojstva IPv4 protokola na kartici Napredno.

Kliknite na Credentials i tamo navedite našeg DHCP korisnika.

Kliknite OK i ponovo pokrenite uslugu.

Na konfiguraciju DHCP-a vratit ćemo se kasnije kada konfiguriramo rezervacije DHCP usluga, ali za to moramo barem instalirati kontrolere domena.

Glavni element efektivnosti korporativna mreža je Active Directory domenski kontroler koji upravlja mnogim uslugama i pruža mnoge prednosti.

Postoje dva načina da se izgradi IT infrastruktura – standardni i nasumični, kada se ulažu minimalno dovoljni napori za rješavanje nastalih problema, bez izgradnje jasne i pouzdane infrastrukture. Na primjer, izgradnja peer-to-peer mreže u cijeloj organizaciji i otvaranje javni pristup za sve potrebne datoteke i foldere, bez mogućnosti kontrole radnji korisnika.

Očigledno, ovaj put je nepoželjan, jer ćete na kraju morati rastaviti i pravilno organizirati haotičnu zbrku sistema, inače neće moći funkcionirati - a uz to i vaš posao. Stoga, što prije prihvatite jedino ispravno rješenje izgradnja korporativne mreže sa kontrolerom domena je dugoročno bolja za vaše poslovanje. I zato.

„Domen je osnovna jedinica IT infrastrukture zasnovane na OS-u Windows porodica, logičko i fizičko ujedinjenje servera, računara, opreme i korisničkih naloga.”

Kontroler domena (DC) je zaseban server koji radi pod operativnim sistemom Windows Server koji pokreće Active Directory usluge koje čine mogući posao velika količina Softver koji zahtijeva CD za administraciju. Primjeri takvog softvera su e-pošta Exchange server, Office 365 cloud paket i drugi softverska okruženja korporativnom nivou od Microsofta.

Pored obezbeđivanja ispravan rad od ovih platformi, CD daje preduzećima i organizacijama sljedeće prednosti:

• Postavljanje terminalskog servera. omogućava značajno uštedu resursa i truda zamjenom stalno ažuriranje kancelarijski računari sa jednokratnim ulaganjem u plasman “ tanki klijenti” za povezivanje sa moćnim serverom u oblaku.
• Povećana sigurnost. CD vam omogućava da postavite pravila kreiranja lozinki i prisilite korisnike da koriste složenije lozinke od datuma njihovog rođenja, qwerty ili 12345.
• Centralizovana kontrola prava pristupa. Umjesto ručno ažuriranje lozinke na svakom računaru posebno, CD administrator može centralno promijeniti sve lozinke u jednoj operaciji sa jednog računara.
• Centralizirano upravljanje grupnim politikama. Aktivni alati Direktorij vam omogućava kreiranje grupnih politika i postavljanje prava pristupa datotekama, folderima i ostalom mrežni resursi za određene grupe korisnika. Ovo uvelike pojednostavljuje postavljanje novih korisničkih naloga ili promjenu postavki postojećih profila.
• Prolazni ulaz. Active Directory podržava prolaznu prijavu, kada se prilikom unosa korisničkog imena i lozinke za domen, korisnik automatski povezuje na sve druge usluge kao što su mail i Office 365.
• Kreiranje šablona za podešavanje računara. Postavljanje svakog odvojeni računar kada se doda u korporativnu mrežu, može se automatizirati pomoću šablona. Na primjer, korištenjem posebnih pravila, CD uređaji ili USB portovi mogu biti centralno onemogućeni, sigurno mrežni portovi i tako dalje. Dakle, umjesto ručna podešavanja novo radna stanica, administrator ga jednostavno uključuje u određenu grupu i sva pravila za tu grupu će se automatski primijeniti.

Kao što vidite, postavljanje kontrolera domene Active Directory donosi brojne pogodnosti i prednosti preduzećima i organizacijama svih veličina.

Kada implementirati Active Directory domenski kontroler u korporativnu mrežu?

Preporučujemo da razmislite o postavljanju kontrolera domena za svoju kompaniju kada imate više od 10 računara povezanih na mrežu, jer je mnogo lakše postaviti potrebne politike za 10 mašina nego za 50. Osim toga, pošto ovaj server ne obavljaju zadatke koji zahtijevaju velike resurse. Moćan desktop računar bi mogao biti prikladan za ovu ulogu.

Međutim, važno je zapamtiti da će ovaj server pohraniti lozinke za pristup mrežnim resursima i bazi podataka korisnika domene, šemu prava i grupne politike korisnika. Potrebno je postaviti backup server sa stalnim kopiranjem podataka kako bi se osigurao kontinuitet rada kontrolera domene, a to se može učiniti mnogo brže, lakše i pouzdanije korištenjem virtuelizacija servera pruža se prilikom hostovanja korporativne mreže u oblaku. Time se izbjegavaju sljedeći problemi:

• Netačne postavke DNS servera, što dovodi do grešaka u lokaciji resursa na korporativnoj mreži i na Internetu
• Neispravno konfigurirane sigurnosne grupešto dovodi do grešaka u pravima korisnika pristupa mrežnim resursima
• Netačne verzije OS-a. Svaki Aktivna verzija Imenik podržava određene verzije desktop Windows OS za tanke klijente
• Odsutnost ili neispravno podešavanje automatsko kopiranje podaci na rezervni kontroler domene.

Kako kažu, "iznenada se pojavio niotkuda .... ....", ništa nije nagovještavalo probleme, ali tada je glavni kontroler domene počeo da otkazuje, i dok je još disao, odlučio je delegirati prava glavnog domena na drugu.

Da biste prenijeli ulogu "majstora naziva domene", izvršite sljedeće korake:

Nakon što su sve uloge prenesene, ostaje da se pozabavimo preostalom opcijom - čuvarom globalnog kataloga. Idemo u Direktorij: “Sites and Services”, default site, serveri, pronalazimo kontroler domene koji je postao glavni i u njegovim svojstvima NTDS postavki označimo kućicu pored globalnog kataloga. (sl. 3)

Rezultat je da smo promijenili vlasnike uloga za našu domenu. Za one koji se konačno moraju riješiti starog kontrolera domene, vraćamo ga na server člana. Međutim, jednostavnost poduzetih radnji se isplati u činjenici da je njihova provedba u nizu situacija nemoguća, ili se završava greškom. U ovim slučajevima će nam pomoći ntdsutil.exe.

Dobrovoljni transfer fsmo roles na konzolama ntdsutil.exe.

U slučaju da prijenos fsmo uloga sa AD konzolama nije uspio, napravio sam vrlo zgodan uslužni program– ntdsutil.exe – održavanje Imenik. Ovaj alat vam omogućava da izvodite ekstremne radnje - sve do cijele AD baze podataka iz sigurnosne kopije koju je sama kreirala tokom poslednja promena u AD. Sa svim njegovim mogućnostima možete se upoznati u znanju (šifra artikla: 255504). U ovom slučaju govorimo o tome da ntdsutil.exe omogućava i prijenos uloga i njihovo „odabranje“.

Ako želimo prenijeti ulogu sa postojećeg “primarnog” domenskog kontrolera na “rezervni” kontroler, idemo na “primarni” kontroler i počinjemo s prijenosom uloga (naredba transfer).

Ako iz nekog razloga nemamo primarni kontroler domene, ili ne možemo da se prijavimo sa administrativnim nalogom, prijavljujemo se na rezervni kontroler domene i počinjemo da „odabiramo“ uloge (naredba uhvatiti).

Dakle, slučaj je da primarni kontroler domene postoji i radi normalno. Zatim idemo na primarni kontroler domene i upisujemo sljedeće naredbe:

ntdsutil.exe

povežite se sa server_name (onim kome želimo dati ulogu)

Ako se pojave greške, moramo komunicirati s kontrolorom domene na koji se pokušavamo povezati. Ako nema grešaka, onda smo se uspješno povezali na navedeni kontroler domene sa pravima korisnika u čije ime unosimo komande.

Potpuna lista je dostupna ako zatražite održavanje fsmo pomoću standardnog znaka? . Došlo je vrijeme za prijenos uloga. Odmah sam, bez razmišljanja, odlučio da prenesem uloge redoslijedom kojim su naznačene u uputama za ntdsutil i došao do zaključka da ne mogu prenijeti ulogu vlasnika infrastrukture. Kao odgovor na zahtjev za prijenos uloge, vraćena mi je greška: "trenutni vlasnik fsmo uloge nije moguće kontaktirati." Dugo sam tražio informacije i otkrio da većina ljudi koji su došli do faze prijenosa uloga nailaze na ovu grešku. Neki od njih pokušavaju na silu da oduzmu ovu ulogu (ne ide), neki ostave sve kako jeste - i žive srećno bez ove uloge.

Putem pokušaja i grešaka saznao sam da je prilikom prijenosa uloga ovim redoslijedom zagarantovan ispravan završetak svih koraka:

Vlasnik identifikatora;

Vlasnik šeme;

Majstor imenovanja;

Vlasnik infrastrukture;

Kontroler domene;

Nakon uspješnog pristupa serveru, dobijamo pozivnicu za upravljanje ulogama (održavanje fsmo), te možemo početi s prijenosom uloga:

- prijenos master imenovanja domena

Master prijenos infrastrukture

Transfer rid master

Prijenos master sheme

Prijenos pdc mastera

Nakon svakog izvršenja, trebao bi se pojaviti zahtjev koji pita da li zaista želimo prenijeti navedenu ulogu. na navedeni server. Rezultat uspješnog izvršenja prikazan je na (sl. 4).

Uloga čuvara globalnog kataloga je delegirana na način opisan u prethodnom odjeljku.

Prisilna dodjela fsmo uloga sa ntdsutil.exe.

Drugi slučaj je da želimo da dodijelimo ulogu primarnog našem rezervnom kontroleru domene. U ovom slučaju se ništa ne mijenja - jedina razlika je u tome što sve operacije izvodimo koristeći seize, ali na serveru na koji želimo prenijeti uloge za dodjelu uloga.

zgrabi majstora imenovanja

oduzeti gospodara infrastrukture

zgrabi se oslobodi majstora

seize schema master

Imajte na umu da ako ste oduzeli ulogu kontroloru domene koji trenutno nema, onda kada se pojavi, kontrolori će početi da se sukobljavaju i ne možete izbjeći probleme u funkcionisanju domene.

Radite na greškama.

Najvažnija stvar koju ne treba zaboraviti je da novi primarni kontroler domene neće popraviti TCP/IP za sebe: sada je preporučljivo da navede 127.0.0.1 kao primarnu DNS adresu (i ako stari kontroler domene + DNS nedostaju, onda je obavezno) vi ste unutra DHCP server, onda ga morate prisiliti da izda primarnu DNS ip adresu vašeg novog servera; ako nema DHCP, prođite kroz sve mašine i dodijelite im ovo primarni DNS ručno. Kao opciju, novom kontroleru domene dodelite isti IP kao i starom.Sada treba da vidite kako sve funkcioniše i da se rešite glavnih grešaka. Da biste to učinili, predlažem da izbrišete sve događaje na oba kontrolera i sačuvate dnevnike u folderu s drugim rezervne kopije i ponovo pokrenite sve servere. Nakon što ih uključite, pažljivo provjerite sve dnevnike događaja da li postoje upozorenja i greške. Najčešće upozorenje u vezi prijenosa fsmo uloga je poruka da "msdtc ne može ispravno obraditi promociju/degradaciju kontrolera domene koja se dogodila." Lako je popraviti: od originala

Ako i dalje postoje greške vezane za DNS, samo uklonite sve zone iz njega i kreirajte ih ručno. Ovo je prilično jednostavno - glavna stvar je stvoriti master zonu po imenu domene, pohranjenu i repliciranu na sve kontrolere domena na mreži.

Više informacija o DNS greške daje drugu komandu:

dcdiag /test:dns

Na kraju obavljenog posla trebalo mi je još 30-ak minuta da saznam razlog pojavljivanja niza upozorenja - shvatio sam vremensku sinhronizaciju, arhiviranje globalnog kataloga i druge stvari do kojih nikada nisam došao. prije. Sada sve radi kao šarm - najvažnije je da zapamtite da napravite rezervni kontroler domene ako želite da uklonite stari kontroler domene sa mreže.