Zašto je organizaciji potreban Active Directory? Kontrolor domena: šta je to i čemu služi? Konfigurisanje kontrolera.

Kontroler domena je server koji radi pod operativnim sistemom Windows Server sa instaliranom uslugom domene Active Directory. Ovaj članak daje brz pogled na svrhu kontrolera domene, njegovu funkcionalnost i važnost pravilne konfiguracije.

Imenovanje

Da ne bi ulazili u previše tehničkih termina, kontroleri domena su serveri koji podržavaju Active Directory. Oni pohranjuju informacije o korisničkim i računalnim nalozima koji su članovi domene, šeme i vlastitu kopiju baze podataka Active Directory koja se može pisati. Osim toga, kontroleri domena djeluju kao centralna sigurnosna komponenta u domeni. Takva organizacija vam omogućava da fleksibilno konfigurišete bezbednosne politike unutar korporativne mreže, kao i da dozvolite, ili obrnuto, zabranite određenim grupama korisnika pristup određenim resursima.

Glavne funkcije kontrolera domene:

• Čuvanje kompletne kopije informacija Active Directory vezanih za određeni domen, upravljanje i repliciranje ovih informacija na druge kontrolere u ovoj domeni;
• Replikacija informacija direktorija koje se odnose na sve objekte u domeni Active Directory;
• Rješavanje sukoba replikacije kada je isti atribut promijenjen na različitim kontrolerima prije nego što je replikacija inicijalizirana.

Poslovne pogodnosti

Prednosti centraliziranog sistema zasnovanog na kontrolerima domena:

1. Jedinstvena baza podataka za autentifikaciju. Kontrolor domena pohranjuje sve naloge u jednu bazu podataka, a svaki korisnik koji je član domene računara kontaktira kontrolora domena kako bi se prijavio na sistem. Podjela korisnika u odgovarajuće grupe olakšava organiziranje distribuiranog pristupa dokumentima i aplikacijama. Dakle, kada se pojavi novi zaposlenik, dovoljno je za njega kreirati nalog u odgovarajućoj grupi i zaposlenik će automatski imati pristup svim potrebnim mrežnim resursima i uređajima. Kada zaposlenik ode, dovoljno je blokirati njegov račun kako bi se ukinuo sav pristup.
2. Jedinstvena kontrolna tačka za politike. Kontroler domene vam omogućava da distribuirate račune i korisničke naloge po organizacionim jedinicama i na njih primjenjujete različite grupne politike, definirajući postavke i sigurnosne postavke za grupu računara i korisnika (na primjer, pristup mrežnim štampačima, skup potrebnih aplikacija, pretraživač podešavanja itd.). Dakle, kada se novi računar ili korisnik doda na domenu, on će automatski dobiti sva podešavanja i pristup definisan za ovaj ili onaj odjel.
3. Sigurnost. Fleksibilna konfiguracija procedura autentifikacije i autorizacije, u sprezi sa centralizovanim upravljanjem, može značajno povećati sigurnost IT infrastrukture unutar organizacije. Osim toga, kontroler domene je fizički instaliran na posebnoj lokaciji zaštićenoj od vanjskog pristupa.
4. Pojednostavljena integracija sa drugim servisima. Korištenje kontrolera domena kao jedinstvene točke za autentifikaciju omogućava korisnicima da koriste isti nalog kada rade sa dodatnim alatima i uslugama (npr. mail servisi, uredski programi, proxy serveri, instant messengeri, itd.).

Prilagodba

Kontroler domena zasnovan na AD DS-u je ključni element IT infrastrukture koji obezbeđuje kontrolu pristupa kao i zaštitu podataka u celoj organizaciji. Funkcioniranje ne samo samog kontrolera domene, već i Active Directory-a u cjelini (na primjer, distribucija sigurnosnih politika i pravila pristupa) ovisi o ispravnoj konfiguraciji kontrolera domene, što zauzvrat utječe na rad svih povezanih usluga i usluge, a takođe određuje nivo sigurnosti.

Zato, ako vaša kompanija planira optimizirati procedure za pristup korporativnim resursima, poboljšati sigurnost i pojednostaviti rutinske administrativne zadatke prelaskom na centralizirano upravljanje, IT Svit stručnjaci pomoći će u rješavanju pitanja pravilnog planiranja strukture skalabilne korporativne mreže i njegove komponente, kao i konfiguraciju i daljnju implementaciju kontrolera domena na ovoj mreži.

Kontroleri domena koji koriste Windows Server 2003 pohranjuju informacije o direktoriju i upravljaju interakcijama između korisnika i domene, uključujući prijavu korisnika, autentifikaciju i traženje direktorija. Kontroleri domena se kreiraju pomoću čarobnjaka za instalaciju Active Directory.

U Windows NT Serveru, kontroler domene radi pouzdanosti kreiran je zajedno sa primarnim kontrolerom domena, rezervnim kontrolerom domena. U Windows 2000 i Windows Server 2003 svi su jednaki.

Windows NT

Na Windows NT mrežama, jedan server je korišćen kao primarni kontroler domene (PDC), a svi ostali serveri su služili kao rezervni kontroleri domena (BDC).

BDC je mogao provjeravati autentičnost korisnika na domeni, ali sva ažuriranja domene (dodavanje novih korisnika, promjena lozinki, članstvo u grupama, itd.) mogu se obaviti samo preko PDC-a, koji se zatim prenosi na sve rezervne kontrolere domene. Pošto nije dostupan PDC, ažuriranja nisu uspjela. Ako bi PDC bio trajno nedostupan, postojeći BDC bi mogao biti unapređen u ulogu PDC-a.

Windows 2000

Windows 2000 i kasnije uveli su Active Directory (AD), koji je efektivno negirao koncept primarnih i rezervnih kontrolera domena u korist višestrukih mastera replikacije (peer-to-peer replikacijski model (engleski)).

Međutim, postoji nekoliko uloga koje su standardno instalirane na prvom DC-u na mreži. One se zovu Fleksibilne operacije jednog mastera (FSMO). Neke od ovih uloga su odgovorne za domen, druge za šumu domena. Ako server u jednoj od ovih uloga nije dostupan, domena nastavlja s radom. Ako je server stalno nedostupan, drugi DC može preuzeti ulogu kontrolora (proces poznat kao "preuzimanje" uloge).

Windows Server 2008 i noviji mogu se koristiti kao kontroler domene samo za čitanje (RODC). Ažuriranje informacija o njima moguće je putem replikacije sa drugih DC-ova.

Samba 4.0 / 4.1

U sistemima sličnim Unixu, Samba 4.x može djelovati kao kontroler domene, podržava Windows 2003, 2003 R2, 2008, 2008 R2 šeme šuma domena, koje se zauzvrat mogu proširiti, mogu se koristiti kao RODC.

Instalacija kontrolera domena je važan dio računalne mreže, zapravo, kontrolira njen rad. Njegov glavni zadatak je pokretanje važne usluge Active Directory. Radi sa centrom za distribuciju ključeva - Kerberos.

Također pruža rad na Unix-kompatibilnim sistemima. U njima softverski paket Samba djeluje kao kontroler.

Kontroler domene se koristi za kreiranje lokalne mreže u koju se korisnici mogu prijaviti pod svojim imenom i sa svojim vjerodajnicama. To moraju učiniti na svim računarima. Takođe, instalacija kontrolera domena daje definiciju prava pristupa mreži i upravljanje njenom sigurnošću. Uz njegovu pomoć možete centralno upravljati cijelom mrežom, što je vrlo važno.

Kontroleri domena takođe mogu pokrenuti Windows Server 2003. Tako da obezbeđuju skladištenje svih podataka direktorijuma, upravljaju operacijama korisnika i domena, kontrolišu prijavu korisnika, autentifikuju direktorijum i još mnogo toga. Svi oni se mogu kreirati pomoću instalatera Active Directory. Može raditi i na Windows NT-u. Ovdje se, kako bi pouzdanije radio, kreiran dodatni kontroler. Bit će povezan s glavnim kontrolerom.

Postojao je jedan server na Windows NT mreži. Može se koristiti za upravljanje glavnim kontrolerom domene ili PDC-om. Svi ostali serveri su radili kao pomoćni serveri. Oni, na primjer, mogu provjeriti sve korisnike, pohraniti i provjeriti lozinke i druge važne operacije. Ali u isto vrijeme nisu mogli dodati nove korisnike na server, nisu mogli ni mijenjati lozinke i slično, odnosno konfiguracija kontrolera domena je bila manje raznolika. Ove operacije se mogu obaviti samo pomoću PDC-a. Promjene napravljene na njima bi se tada mogle primijeniti na sve rezervne domene. Ako primarni server nije bio dostupan, onda rezervna domena nije mogla biti unapređena na primarni nivo.

Međutim, možete konfigurirati kontroler domene, mrežu i podići nivo domene na bilo kojem računalu i kod kuće. Ovu mudrost je lako naučiti sami. Svi potrebni alati za ovo nalaze se u Control Panel - Add or Remove Programs - Install System Components. Istina, morat ćete raditi s njima, nakon što ste prethodno instalirali disk sa operativnim sistemom na vašem računaru. Možete povećati ulogu računara koristeći komandnu liniju unosom naredbe dcpromo.

Osim toga, provjera kontrolera domene može se izvesti pomoću specijaliziranih uslužnih programa koji zapravo rade u automatiziranom načinu rada, odnosno omogućuju vam da dobijete potrebne informacije nakon pokretanja programa i prilagodite rad kontrolera nakon obavljanja dijagnostike. Na primjer, možete koristiti uslužni program Ntdsutil.exe, koji pruža mogućnost povezivanja na novoinstalirani kontroler domene kako biste testirali mogućnost odgovora na LDAP zahtjev. Jednako tako, uz pomoć ovog softvera moguće je utvrditi da li kontroler ima informaciju o lokaciji FSMO uloga u svom domenu.

Postoje još neke jednostavne metode koje će vam omogućiti da dijagnosticirate odgovarajući rad kontrolera. Konkretno, možete otići na HKEY _LOCAL _MACHINE \ SYSTEM \ CurrentControlSet \ Services (ključ registratora) i tamo potražiti NTDS potključ, čije prisustvo ukazuje na normalno funkcioniranje kontrolera domene. Postoji način unosa net naloga na komandnoj liniji i tamo, ako je računar kontroler domene, videćete BACKUP ili PRIMARY vrijednost u liniji uloga Računalo, druge vrijednosti su dostupne na jednostavnim računarima.

Windows porodice

Prilikom organizovanja mreža u operativnom sistemu Windows porodice, koncept kontrolera domena je tzv. server, odnosno glavni ili centralni računar u mreži, sa kojeg se kontroliše rad različitih servisa direktorijuma, a takođe i nalazi se baza podataka istih direktorija. Između ostalog, server (kontrolor domena) pohranjuje postavke vezane za sve korisničke naloge, kao i sigurnosne postavke. U potonjem slučaju govorimo isključivo o. Naravno, host računar pohranjuje potrebne informacije o politikama, grupnim i lokalnim.

Ako organizacija instalira prvi server u nizu, tada se, naravno, odmah kreiraju stranica i prva šuma, a Active Directory se instalira bez greške. Kontroler domene koji je konfigurisan da radi na operativnom sistemu pohranjuje podatke i reguliše interakciju između domena i korisnika. U ovom slučaju, konfiguracija domene u lokalnoj mreži vrši se direktno koristeći Active Directory kao čarobnjak za instalaciju.

Kontroler domene za Unix OS

U ovom slučaju, organizacija servera za Linux/Unix OS je u potpunosti kompatibilna sa navedenim standardima.Svu potrebnu i prateću funkcionalnost obezbjeđuje softverski paket Samba (možete ga pronaći i na web stranici www.samba.org kao OpenLDAP (odnosno www.openldap.org Kao što je svima poznato, fundamentalna prednost čuvenog Windows-a je u tome što se distribuira besplatno, te, shodno tome, organizacija ne mora da troši dovoljno velika sredstva za instaliranje domena kontroler, na primjer, pod Windows Server 2003. Licenca za to Po zakonu se mora kupiti softverski proizvod, dok postavljanje domena u lokalnoj mreži ne predstavlja posebne probleme.

Promijenite domenu za web lokaciju organizacije

Pored činjenice da je u ogromnoj većini organizacija organizovana lokalna mreža, još jedan značajan aspekt rješenja je mogućnost pristupa internetu sa bilo kojeg računara, uključujući i posjetu web stranici kompanije, koja je na neki način lice organizacije. Ali ponekad može postojati potreba za obavljanjem takvog zadatka kao što je prenošenje web lokacije na drugu domenu. Kao što praksa pokazuje, dva glavna razloga mogu doprinijeti donošenju takve odluke: prvi - sticanje atraktivnijeg imena domene za kupce i posjetitelje; drugi je stavljanje starog na crne liste raznih pretraživača.

Za rješavanje problema uz minimalne gubitke, posebno kod posjetitelja, preporučuje se korištenje takve operacije kao što je lijepljenje domena. Vrijedi napomenuti da se lijepljenje isplati koristiti samo u izuzetnim slučajevima, jer je ova operacija prilično dugotrajna i, što je najvažnije, prilično je nervozna, iako je vrijedno napomenuti i nije teška s tehničke strane.

Prema mišljenju velike većine stručnjaka, najefikasniji način za obavljanje takve operacije kao što je prijenos stranice na drugu domenu je takozvano parkiranje domena u obliku ogledala. Glavni pozitivan aspekt u ovoj situaciji je to što korisnici gotovo ne primjećuju lijepljenje. Jedina stvar koja može biti potrebna da ostave vijesti o promjeni adrese redovnim kupcima, kako bi mogli mijenjati oznake svojih pretraživača. Jedina stvar koju treba imati na umu u ovoj situaciji je potreba da se koriste relativne veze kako ne bi prelazili s domene na domen.

Da ne bi ulazili u previše tehničkih termina, kontroleri domena su serveri koji podržavaju Active Directory. Oni pohranjuju informacije o korisničkim i računalnim nalozima koji su članovi domene, šeme i vlastitu kopiju baze podataka Active Directory koja se može pisati. Osim toga, kontroleri domena djeluju kao centralna sigurnosna komponenta u domeni. Takva organizacija vam omogućava da fleksibilno konfigurišete bezbednosne politike unutar korporativne mreže, kao i da dozvolite, ili obrnuto, zabranite određenim grupama korisnika pristup određenim resursima.

Glavne funkcije kontrolera domene:

• Čuvanje kompletne kopije informacija Active Directory vezanih za određeni domen, upravljanje i repliciranje ovih informacija na druge kontrolere u ovoj domeni;
• Replikacija informacija direktorija koje se odnose na sve objekte u domeni Active Directory;
• Rješavanje sukoba replikacije kada je isti atribut promijenjen na različitim kontrolerima prije nego što je replikacija inicijalizirana.

Poslovne pogodnosti

Prednosti centraliziranog sistema zasnovanog na kontrolerima domena:

1. Jedinstvena baza podataka za autentifikaciju. Kontrolor domena pohranjuje sve naloge u jednu bazu podataka, a svaki korisnik koji je član domene računara kontaktira kontrolora domena kako bi se prijavio na sistem. Podjela korisnika u odgovarajuće grupe olakšava organiziranje distribuiranog pristupa dokumentima i aplikacijama. Dakle, kada se pojavi novi zaposlenik, dovoljno je za njega kreirati nalog u odgovarajućoj grupi i zaposlenik će automatski imati pristup svim potrebnim mrežnim resursima i uređajima. Kada zaposlenik ode, dovoljno je blokirati njegov račun kako bi se ukinuo sav pristup.
2. Jedinstvena kontrolna tačka za politike. Kontroler domene vam omogućava da distribuirate račune i korisničke naloge po organizacionim jedinicama i na njih primjenjujete različite grupne politike, definirajući postavke i sigurnosne postavke za grupu računara i korisnika (na primjer, pristup mrežnim štampačima, skup potrebnih aplikacija, pretraživač podešavanja itd.). Dakle, kada se novi računar ili korisnik doda na domenu, on će automatski dobiti sva podešavanja i pristup definisan za ovaj ili onaj odjel.
3. Sigurnost. Fleksibilna konfiguracija procedura autentifikacije i autorizacije, u sprezi sa centralizovanim upravljanjem, može značajno povećati sigurnost IT infrastrukture unutar organizacije. Osim toga, kontroler domene je fizički instaliran na posebnoj lokaciji zaštićenoj od vanjskog pristupa.
4. Pojednostavljena integracija sa drugim servisima. Korištenje kontrolera domena kao jedinstvene točke za autentifikaciju omogućava korisnicima da koriste isti nalog kada rade sa dodatnim alatima i uslugama (npr. mail servisi, uredski programi, proxy serveri, instant messengeri, itd.).

Prilagodba

Kontroler domena zasnovan na AD DS-u je ključni element IT infrastrukture koji obezbeđuje kontrolu pristupa kao i zaštitu podataka u celoj organizaciji. Funkcionisanje ne samo samog kontrolera domene, već i Active Directory-a u cjelini (na primjer, distribucija sigurnosnih politika i pravila pristupa) ovisi o ispravnoj konfiguraciji kontrolera domene, što zauzvrat utječe na rad svih povezanih usluga i usluge, a takođe određuje nivo sigurnosti. Odaberite najbolje programere u odjeljku.