Srce efikasne korporativne mreže je Active Directory domenski kontroler koji upravlja mnogim uslugama i pruža mnoge prednosti.
Postoje dva načina da se izgradi IT infrastruktura – standardni i povremeni, kada se ulaže minimalan dovoljan napor za rješavanje nastalih problema, bez izgradnje jasne i pouzdane infrastrukture. Na primjer, izgradnja peer-to-peer mreže u cijeloj organizaciji i dijeljenje svih potrebnih datoteka i mapa, bez mogućnosti kontrole radnji korisnika.
Očigledno, ovaj put je nepoželjan, jer ćete na kraju morati rastaviti i pravilno organizirati haotičnu zbrku sistema, inače neće moći funkcionirati - a uz to i vaš posao. Stoga, što prije donesete jedinu ispravnu odluku da izgradite korporativnu mrežu s kontrolerom domene, to je dugoročno bolje za vaše poslovanje. I zato.
"Domen je osnovna jedinica IT infrastrukture zasnovana na Windows operativnom sistemu, logička i fizička povezanost servera, računara, opreme i korisničkih naloga."
Kontroler domena (DC) je poseban server koji radi pod operativnim sistemom Windows Server i sa servisima Active Directory, što omogućava pokretanje velikog broja softvera koji zahteva DC za administraciju. Primeri takvog softvera uključuju Exchange server pošte, Office 365 cloud paket i druga Microsoftova softverska okruženja poslovnog nivoa.
Osim što osigurava ispravan rad ovih platformi, CA pruža preduzećima i organizacijama sljedeće pogodnosti:
- Postavljanje terminalskog servera... štedi značajne resurse i trud zamjenom stalnih nadogradnji kancelarijskih računara jednokratnim ulaganjem u hostovanje „tankih klijenata“ za povezivanje sa moćnim serverom u oblaku.
- Poboljšana sigurnost... CA vam omogućava da postavite pravila kreiranja lozinki i prisilite korisnike da koriste složenije lozinke od datuma njihovog rođenja, qwerty ili 12345.
- Centralizovana kontrola pristupa... Umjesto ručnog ažuriranja lozinki na svakom računaru posebno, administrator CD-a može centralno promijeniti sve lozinke u jednoj operaciji s jednog računara.
- Centralizirano upravljanje grupnim politikama... Alati Active Directory vam omogućavaju da kreirate grupne politike i postavite prava pristupa datotekama, fasciklama i drugim mrežnim resursima za određene grupe korisnika. Ovo uvelike pojednostavljuje postavljanje novih korisničkih naloga ili promjenu postavki za postojeće profile.
- Prolazni ulaz... Active Directory podržava prolaz, kada se prilikom unošenja korisničkog imena i lozinke za domen, korisnik automatski povezuje na sve druge usluge kao što su mail i Office 365.
- Kreirajte predloške konfiguracije računara... Konfiguracija svakog pojedinačnog računara kada se doda u korporativnu mrežu može se automatizovati pomoću šablona. Na primjer, posebna pravila se mogu koristiti za centralno onemogućavanje CD drajvova ili USB portova, zatvaranje određenih mrežnih portova i tako dalje. Stoga, umjesto ručnog konfigurisanja nove radne stanice, administrator je jednostavno dodaje u određenu grupu, a sva pravila za ovu grupu će se automatski primijeniti.
Kao što možete vidjeti, konfiguriranje Active Directory domenskog kontrolera donosi brojne prednosti i prednosti preduzećima i organizacijama svih veličina.
Kada implementirati Active Directory Domain Controller u korporativnu mrežu?
Preporučujemo da razmislite o konfigurisanju kontrolera domena za svoju kompaniju kada je više od 10 računara povezano na mrežu, jer je mnogo lakše postaviti potrebne politike za 10 računara nego za 50. Osim toga, pošto ovaj server ne radi posebno resursno intenzivni zadaci, moćan desktop računar bi mogao biti prikladan za ovu ulogu.
Međutim, važno je zapamtiti da će ovaj server pohraniti lozinke za pristup mrežnim resursima i bazi podataka korisnika domene, šemu korisničkih prava i grupne politike. Neophodno je implementirati backup server sa kontinuiranim kopiranjem podataka kako bi se osigurao kontinuitet kontrolera domene, a to se može učiniti mnogo brže, lakše i pouzdanije korištenjem virtuelizacije servera predviđene prilikom hostovanja korporativne mreže u oblaku. Time se izbjegavaju sljedeći problemi:
- Pogrešne postavke DNS servera, što dovodi do grešaka u lociranju resursa u korporativnoj mreži i na Internetu
- Neispravno konfigurirane sigurnosne grupešto dovodi do grešaka u pravima korisnika pristupa mrežnim resursima
- Netačne verzije OS-a... Svaka verzija Active Directory-a podržava specifične verzije tankog klijenta Windows operativnih sistema za desktop računare
- Odsutnost ili pogrešno podešavanje automatsko kopiranje podataka na rezervni kontroler domene.
Kontroler domene je serverski računar koji upravlja domenom i pohranjuje repliku direktorija domene (lokalna baza podataka domena). Budući da u domeni može postojati više kontrolera domena, svi oni održavaju potpunu kopiju dijela direktorija koji pripada njihovoj domeni.
Sljedeće su funkcije kontrolera domena.
- Svaki kontroler domene održava potpunu kopiju svih Active Directory informacija koje se odnose na njegovu domenu, te upravlja i replicira promjene ovih informacija na druge kontrolere u istoj domeni.
- Svi kontroleri u domeni automatski repliciraju sve objekte u domeni među sobom. Sve promjene napravljene u Active Directory zapravo se vrše na jednom od kontrolera domena. Ovaj kontroler domene zatim replicira promjene na druge kontrolere unutar svoje domene. Postavljanjem frekvencije replikacije i količine podataka koje će Windows prenijeti sa svakom replikacijom, možete kontrolirati mrežni promet između kontrolera domena.
- Važna ažuriranja, kao što je onemogućavanje korisničkog naloga, odmah repliciraju kontrolori domena.
- Active Directory koristi multimaster replikaciju u kojoj nijedan kontroler domene nije glavni. Svi kontroleri su ravnopravni i svaki sadrži kopiju kataloške baze podataka koja se može mijenjati. U kratkim vremenskim periodima, informacije u ovim kopijama mogu se razlikovati sve dok svi kontroleri ne budu međusobno sinhronizirani.
- Imati više kontrolera u domeni pruža toleranciju na greške. Ako je jedan od kontrolera domena nedostupan, drugi će izvršiti sve potrebne operacije, kao što je pisanje promjena u Active Directory.
- Kontrolori domene upravljaju interakcijama između korisnika i domene, kao što je pronalaženje Active Directory objekata i prepoznavanje pokušaja mrežnog prijavljivanja.
Postoje dvije glavne uloge operacija koje se mogu dodijeliti jednom kontroleru domene u šumi (uloge vezane za šumu):
- Schema Master. Prvi kontroler domene u šumi preuzima glavnu ulogu šeme i odgovoran je za održavanje i distribuciju sheme ostatku šume. Održava listu svih mogućih klasa objekata i atributa koji definiraju objekte koji se nalaze u Active Directoryju. Ako shemu treba ažurirati ili promijeniti, potreban je Master sheme.
- Domain Naming Master. Zapisuje dodavanje i uklanjanje domena u šumi i od vitalnog je značaja za održavanje integriteta domena. Domain Naming Master se traži kada se novi domeni dodaju u šumu. Ako Master imenovanja domena nije dostupan, tada dodavanje novih domena nije moguće; međutim, ako je potrebno, ova uloga se može prenijeti na drugog kontrolora.
Postoje tri glavne uloge operacija koje se mogu dodijeliti jednom od kontrolora u svakoj domeni (uloge za cijelu domenu).
- RID (Master relativnog identifikatora (RID)). Odgovoran za dodjelu raspona relativnih identifikatora (RID) svim kontrolerima u domeni. SID u Windows Serveru 2003 ima dva dijela. Prvi dio je zajednički za sve objekte u domeni; za kreiranje jedinstvenog SID-a, jedinstveni RID se dodaje ovom dijelu. Zajedno, oni jedinstveno identificiraju objekt i ukazuju na to gdje je stvoren.
- Emulator primarnog kontrolera domene (PDC). Odgovoran za emulaciju Windows NT 4.0 PDC za klijentske mašine koje još nisu migrirali na Windows 2000, Windows Server 2003 ili Windows XP i nemaju instaliran klijent usluge direktorija. Jedan od glavnih zadataka PDC emulatora je registracija naslijeđenih klijenata. Osim toga, kontaktira se PDC emulator ako provjera autentičnosti klijenta ne uspije. Ovo omogućava PDC emulatoru da provjeri nedavno promijenjene lozinke za naslijeđene klijente u domeni prije nego što odbije zahtjev za prijavu.
- Infrastruktura Master. Registrira promjene napravljene na kontroliranim objektima u domeni. Sve promjene se prvo prijavljuju Masteru infrastrukture, a zatim se repliciraju na druge kontrolere domene. Infrastructure Master obrađuje informacije o grupi i članstvu za sve objekte u domeni. Drugi zadatak Infrastrukturnog Mastera je da prenese informacije o promjenama na objektima na druge domene.
Rice. 3.4. Zadana distribucija glavnih uloga šumskih operacija
Ulogu Global Catalog Server (GC) može igrati bilo koji pojedinačni kontroler domene u domeni — jedna od funkcija servera koja se može dodijeliti kontroleru domene. Serveri globalnog kataloga služe dvije važne svrhe. Omogućavaju korisnicima da se prijave na mrežu i pronađu objekte u bilo kojem dijelu šume. Globalni katalog sadrži podskup informacija iz svake domenske particije i replicira se između servera globalnog kataloga u domeni. Kada se korisnik pokuša prijaviti na mrežu ili pristupiti mrežnom resursu s bilo kojeg mjesta u šumi, odgovarajući zahtjev se rješava uz učešće globalnog kataloga. Još jedan zadatak globalnog kataloga, koji je koristan bez obzira na to koliko domena imate na mreži, jeste da učestvuje u procesu autentifikacije kada se korisnik prijavi na mrežu. Kada korisnik ide na internet, njegovo ime se prvo provjerava u odnosu na sadržaj globalnog kataloga. Ovo vam omogućava da se prijavite na mrežu sa računara u domenima koji nisu tamo gde je pohranjen željeni korisnički nalog.
U ovom postu ćemo detaljnije pogledati proces implementacije prvog kontrolera domena u preduzeću. A biće ih ukupno tri:
1) Primarni kontroler domena, OS - Windows Server 2012 R2 sa GUI, naziv mreže: dc1.
Odaberite zadanu opciju, kliknite na Next. Zatim izaberite podrazumevani IPv4 protokol i ponovo kliknite na Next.
Na sljedećem ekranu ćemo postaviti ID mreže. U našem slučaju 192.168.0. U polju Reverse Lookup Zone Name, vidjet ćemo kako će adresa zone za obrnuto traženje biti automatski zamijenjena. Kliknite na Next.
Na ekranu za dinamičko ažuriranje izaberite jednu od tri opcije dinamičkog ažuriranja.
Dozvoli samo sigurna dinamička ažuriranja. Ova opcija je dostupna samo ako je zona integrirana u Active Directory.
Dozvolite i nesigurna i sigurna dinamička ažuriranja. Ovaj prekidač omogućava svakom klijentu da ažurira svoje zapise DNS resursa kada dođe do promjena.
Nemojte dozvoliti dinamička ažuriranja. Ova opcija onemogućava dinamička ažuriranja DNS-a. Trebalo bi da se koristi samo ako zona nije integrisana u Active Directory.
Odaberemo prvu opciju, kliknemo Next i završimo podešavanje klikom na Finish.
Još jedna korisna opcija koja se obično konfiguriše u DNS-u su prosljeđivači ili prosljeđivači, čija je glavna svrha keširanje i preusmjeravanje DNS zahtjeva sa lokalnog DNS servera na eksterni DNS server na Internetu, na primjer, onaj koji se nalazi kod ISP-a. Na primjer, želimo da lokalni računari u našoj domenskoj mreži sa DNS serverom (192.168.0.3) registrovanim u mrežnim postavkama mogu pristupiti Internetu, potrebno je da naš lokalni dns server bude konfiguriran da rješava dns zahtjeve od uzvodnog server ... Da biste konfigurirali prosljeđivače, idite na konzolu DNS menadžera. Zatim u svojstvima servera idite na karticu Prosljeđivači i tamo kliknite Uredi.
Naznačit ćemo barem jednu IP adresu. Nekoliko ih je poželjno. Kliknite OK.
Sada da konfigurišemo DHCP uslugu. Pokrećemo snap-in.
Prvo, postavimo puni radni opseg adresa sa kojih će se adrese preuzimati za izdavanje klijentima. Odaberite Akcija \ Novi opseg. Pokreće se čarobnjak za dodavanje regiona. Postavimo naziv oblasti.
Zatim ćemo naznačiti početnu i završnu adresu raspona mreže.
Zatim dodajmo adrese koje želimo isključiti iz izdavanja klijenata. Kliknite na Next.
Na ekranu Trajanje zakupa navedite drugačije vrijeme zakupa od zadanog, ako je potrebno. Kliknite na Next.
Zatim se slažemo da želimo da konfigurišemo ove DHCP opcije: Da, sada želim da konfigurišem ove opcije.
Uzastopno ćemo naznačiti gateway, naziv domene, DNS adrese, WINS i preskočiti i na kraju se složiti sa aktivacijom opsega klikom na: Da, želim sada da aktiviram ovaj opseg. Završi.
Za bezbedan rad DHCP usluge, potrebno je da konfigurišete poseban nalog za dinamičko ažuriranje DNS zapisa. To se mora učiniti, s jedne strane, kako bi se spriječila dinamička registracija klijenata u DNS-u korištenjem administrativnog računa domene i eventualna zloupotreba istog, s druge strane, u slučaju rezervacije DHCP usluge i kvara glavnog servera, biće moguće prenijeti rezervnu kopiju zone na drugi server, a za to će biti potreban nalog prvog servera. Da biste ispunili ove uslove, u dodatku Active Directory Korisnici i računari, kreirajte nalog pod nazivom dhcp i dodelite neograničenu lozinku tako što ćete izabrati opciju: Password Never Expires.
Dodijelite jaku lozinku korisniku i dodajte je u DnsUpdateProxy grupu. Zatim ćemo ukloniti korisnika iz grupe Korisnici domene, nakon što smo primarnom korisniku prethodno dodijelili grupu “DnsUpdateProxy”. Ovaj nalog će biti odgovoran isključivo za dinamičko ažuriranje zapisa i neće imati pristup drugim resursima gde su osnovna prava domena dovoljna.
Kliknite na Primijeni, a zatim na OK. Ponovo otvorite DHCP konzolu. Idite na svojstva IPv4 protokola na kartici Napredno.
Kliknite na Credentials i tamo navedite našeg DHCP korisnika.
Kliknite OK, ponovo pokrenite uslugu.
Kasnije ćemo se vratiti na DHCP konfiguraciju kada konfigurišemo rezervaciju DHCP usluge, ali za to moramo podići barem kontrolere domena.
Kontrolori domena su serveri koji podržavaju Active Directory. Svaki kontroler domene ima svoju kopiju baze podataka Active Directory, u koju se može pisati. Kontrolori domena djeluju kao centralna sigurnosna komponenta u domeni.
Sve sigurnosne operacije i provjere računa se izvode na kontroloru domene. Svaka domena mora imati najmanje jedan kontroler domene. Za robusnost, preporučuje se da instalirate najmanje dva kontrolera domene za svaku domenu.
Na Windows NT-u, samo je jedan kontroler domene podržavao pisanje u bazu podataka, što je značilo da je potrebna veza sa kontrolerom domene za kreiranje i modifikovanje postavki korisničkog naloga.
Takav kontrolor se zvao Primarni kontroler domene (PDC)... Počevši od operativnog sistema Windows 2000, arhitektura kontrolera domena je redizajnirana kako bi pružila mogućnost ažuriranja baze podataka Active Directory na bilo kojem kontroleru domena. Nakon ažuriranja baze podataka na jednom kontroleru domene, promjene su replicirane na sve ostale kontrolere domene.
Iako svi kontroleri domena podržavaju pisanje u bazu podataka, oni nisu identični. Domeni i šume Active Directory imaju zadatke koje izvode određeni kontrolori domena. Kontrolori domena sa dodatnim odgovornostima poznati su kao majstori operacija... Neki Microsoft materijali se odnose na takve sisteme Fleksibilne operacije jednog glavnog majstora (FSMO)... Mnogi ljudi vjeruju da se izraz FSMO koristi tako dugo samo zato što skraćenica koju kaže zvuči vrlo smiješno.
Postoji pet uloga gospodara operacija. Po defaultu, svih pet uloga je dodijeljeno prvom kontroleru domene u šumi Active Directory. Tri glavne uloge operacija koriste se na razini domene i dodjeljuju se prvom kontroleru domene u domeni koja je kreirana. Uslužni programi Active Directory, o kojima će biti riječi kasnije, omogućavaju vam da prenesete glavne uloge operacija s jednog kontrolera domene na drugi kontroler domene. Dodatno, možete natjerati kontroler domene da preuzme određenu ulogu kao master operacije.
Postoje dvije uloge gospodara operacija koje djeluju na nivou šume.
- Master imenovanja domena- Ovi gospodari operacija moraju se konsultovati svaki put kada se naprave promjene imena unutar hijerarhije domena šume. Zadatak mastera imenovanja domena je osigurati da imena domena budu jedinstvena unutar šume. Ova glavna uloga operacija mora biti dostupna prilikom kreiranja novih domena, brisanja domena ili preimenovanja domena
- Šema master- Uloga mastera sheme pripada jedinom kontroleru domene unutar šume na kojoj se mogu izvršiti promjene sheme. Jednom kada su promjene napravljene, one se repliciraju na sve ostale kontrolere domena u šumi. Kao primjer potrebe za promjenama šeme, razmislite o instaliranju softverskog proizvoda Microsoft Exchange Server. Istovremeno, u šemi se vrše promjene koje omogućavaju administratoru da istovremeno upravlja korisničkim nalozima i poštanskim sandučićima.
Svaka uloga na razini šume može pripadati samo jednom kontroloru domene unutar šume. To jest, možete koristiti jedan kontroler kao master za imenovanje domene, a drugi kontroler kao master sheme. Osim toga, obje uloge se mogu dodijeliti jednom kontroleru domene. Ova distribucija uloga se koristi po defaultu.
Svaka domena unutar šume ima kontroler domene koji obavlja svaku od uloga na nivou domene.
- RID master- master relativnih identifikatora je odgovoran za dodjelu relativnih identifikatora. Relativni identifikatori su jedinstveni dio sigurnosnog ID-a (SID) koji se koristi za identifikaciju sigurnosnog objekta (korisnika, računara, grupe, itd.) unutar domene. Jedan od glavnih zadataka relativnog ID mastera je uklanjanje objekta iz jedne domene i dodavanje objekta drugoj domeni prilikom premeštanja objekata između domena.
- Infrastrukturni majstor- Odgovornost vlasnika infrastrukture je da sinhronizuje članstva u grupama. Kada se naprave promjene u sastavu grupa, master infrastrukture prenosi promjene svim ostalim kontrolerima domene.
- Emulator primarnog domenskog kontrolera (PDC emulator)- Ova uloga se koristi za emulaciju Windows NT 4 primarnog kontrolera domene za podršku Windows NT 4 rezervnih kontrolera domena. Drugi zadatak emulatora primarnog kontrolera domene je da obezbijedi centralnu tačku administracije za promjene korisničkih lozinki i politika zaključavanja korisnika.
Riječ "politike" se često koristi u cijelom ovom odeljku za označavanje objekata grupne politike (GPO). GPO su jedna od glavnih korisnih karakteristika Active Directory-a i o njima se govori u povezanom članku na linku ispod.
