دامین کنترلر چیست؟ برنامه ریزی نصب اکتیو دایرکتوری در زیر شبکه های مختلف

دامین کنترلر چیست؟

دامین کنترلر فراهم می کند مدیریت متمرکز دستگاه های شبکه، یعنی دامنه ها. کنترلر تمام اطلاعات حساب ها و پارامترهای کاربران شبکه را ذخیره می کند. اینها پارامترهای امنیتی هستند، سیاست محلیو خیلی های دیگر. این یک نوع سرور است که به طور کامل کنترل می کند یک شبکه خاصیا یک گروه شبکه یک Domain Controller به نوعی مجموعه ای خاص است نرم افزارکه راه اندازی می شود خدمات مختلف اکتیو دایرکتوری... کنترلرها سیستم عامل های خاصی را اجرا می کنند، مانند ویندوز سرور 2003. جادوگر نصب Active Drive به شما امکان می دهد کنترل کننده های دامنه ایجاد کنید.

در سیستم عامل ویندوز NT مانند سرور اصلی، کنترل کننده دامنه اصلی در حال استفاده است. سایر سرورهای مورد استفاده به عنوان کنترلرهای پشتیبان استفاده می شوند. کنترلرهای پایه PDC می توانند وظایف مختلف مربوط به عضویت در گروه کاربر، ایجاد و تغییر رمز عبور، افزودن کاربران و بسیاری موارد دیگر را حل کنند. سپس داده ها به کنترل کننده های BDC اضافی منتقل می شوند.

نرم افزار Samba 4 می تواند به عنوان یک کنترل کننده دامنه در صورت کارکرد استفاده شود سیستم یونیکس... این نرم افزار از سیستم عامل های دیگری مانند ویندوز 2003، 2008، 2003 R2 و 2008 R2 نیز پشتیبانی می کند. هر یک از سیستم عامل ها را می توان در صورت لزوم، بسته به نیازها و پارامترهای خاص، گسترش داد.

استفاده از کنترل کننده های دامنه

کنترل‌کننده‌های دامنه توسط بسیاری از سازمان‌ها استفاده می‌شوند که در آن رایانه‌هایی قرار دارند که به یکدیگر و به شبکه متصل هستند. کنترلرها داده های دایرکتوری را ذخیره می کنند و ورود و خروج کاربران را به سیستم کنترل می کنند و همچنین تعامل بین آنها را مدیریت می کنند.

سازمان‌هایی که از کنترل‌کننده دامنه استفاده می‌کنند باید تصمیم بگیرند که چه تعداد استفاده کنند، برای بایگانی داده‌ها، امنیت فیزیکی، ارتقای سرور و سایر کارهای ضروری برنامه‌ریزی کنند.

اگر شرکت یا سازمان کوچک است و تنها از یک شبکه دامنه در آن استفاده می شود، کافی است از دو کنترلر استفاده کنید که قادر به تضمین پایداری بالا، تحمل خطا و سطح بالای در دسترس بودن شبکه هستند. در شبکه هایی که به تعداد مشخصی سایت تقسیم می شوند، روی هر کدام یک کنترلر نصب می شود که امکان دستیابی به عملکرد و قابلیت اطمینان لازم را فراهم می کند. با استفاده از کنترلرها در هر سایت، می توان به طور قابل توجهی ورود کاربر را ساده و سریعتر کرد.

ترافیک شبکه را می توان بهینه کرد، برای انجام این کار، باید زمان به روز رسانی تکرار را تنظیم کنید که بار روی شبکه حداقل باشد. راه اندازی Replication کار شما را بسیار ساده کرده و کارآمدتر می کند.

اگر دامنه یک کاتالوگ جهانی باشد، می‌توانید به حداکثر عملکرد در عملکرد کنترل‌کننده دست پیدا کنید که به شما امکان می‌دهد هر شی را با یک وزن خاص جستجو کنید. با این حال، مهم است که به یاد داشته باشید که فعال کردن کاتالوگ جهانی مستلزم افزایش قابل توجهی در ترافیک تکرار است.

اگر از بیش از یک دامنه کنترلر استفاده می کنید، بهتر است کنترل کننده دامنه میزبان را روشن نکنید. هنگام استفاده از کنترل‌کننده دامنه، مراقبت از امنیت بسیار مهم است، زیرا برای مهاجمانی که می‌خواهند داده‌های مورد نیاز خود را برای فریب دادن به دست بگیرند، به اندازه کافی در دسترس است.

ملاحظاتی برای نصب کنترلرهای دامنه اضافی

برای دستیابی به قابلیت اطمینان بالاتر در بهره برداری از خدمات شبکه لازم، نصب کنترل کننده های دامنه اضافی ضروری است. در نتیجه، پایداری، قابلیت اطمینان و ایمنی عملیاتی به طور قابل توجهی قابل دستیابی است. در این صورت عملکرد شبکه بسیار بالاتر خواهد رفت که برای سازمان هایی که از کنترل کننده دامنه استفاده می کنند پارامتر بسیار مهمی است.

برای اینکه کنترل کننده دامنه به درستی کار کند، به کارهای مقدماتی نیاز است. اولین کاری که باید انجام دهید این است که پارامترهای TCP / IP را بررسی کنید، آنها باید به درستی برای سرور تنظیم شوند. مهمترین چیز این است که نام های DNS را برای نقشه برداری بررسی کنید.

برای عملکرد امن دامین کنترلر باید از فایل سیستم NTFS استفاده کرد که امنیت بالاتری نسبت به فایل دارد. سیستم های چربی 32. برای نصب روی سرور، باید یک پارتیشن در آن ایجاد کنید سیستم فایل NTFS که حجم سیستم روی آن قرار می گیرد. شما همچنین نیاز به دسترسی دارید سرور DNSاز سرور سرویس DNSنصب شده روی این یا یک سرور اضافی که باید از سوابق منابع پشتیبانی کند.

به منظور پیکربندی صحیح کنترل کننده دامنه، می توانید از Configuration Wizard استفاده کنید که با آن می توانید اجرای نقش های خاص را اضافه کنید. برای این کار باید از طریق کنترل پنل به قسمت مدیریت بروید. شما باید یک Domain Controller را به عنوان نقش سرور مشخص کنید.

کنترل کننده دامنه امروزه برای شبکه ها و سایت هایی که توسط سازمان ها، موسسات و شرکت های مختلف در تمام حوزه های فعالیت انسانی مورد استفاده قرار می گیرند، ضروری است. به لطف او بهره وری و امنیت بالا تضمین می شود که در شبکه های کامپیوتری از اهمیت ویژه ای برخوردار است. نقش کنترل کننده دامنه بسیار مهم است زیرا به شما امکان می دهد دامنه های دامنه ساخته شده بر روی شبکه های کامپیوتری را مدیریت کنید. هر سیستم عامل دارای تفاوت های ظریف خاصی با عملکرد کنترل کننده های دامنه است، اما اصل و هدف آن در همه جا یکسان است، بنابراین تعیین تنظیمات آنقدرها که ممکن است در ابتدا به نظر می رسد دشوار نیست. با این حال، بسیار مهم است که کنترل کننده های دامنه توسط متخصصان پیکربندی شوند تا در نهایت بهره وری بالاو ایمنی در حین کار

جنگل موجود در Active Directory Domain Services بیشترین میزان را دارد مرحله بالاترسلسله مراتب ساختار منطقی جنگل فعالدایرکتوری نشان دهنده یک دایرکتوری جداگانه است. جنگل مرز امنیت است. این بدان معناست که مدیران جنگل کنترل کاملی بر دسترسی به اطلاعات ذخیره شده در جنگل و دسترسی به کنترل کننده های دامنه مورد استفاده برای پیاده سازی جنگل دارند.

سازمان ها معمولاً یک جنگل واحد دارند، مگر اینکه نیاز خاصی به جنگل های متعدد وجود داشته باشد. به عنوان مثال، اگر برای بخش های مختلفیک سازمان نیاز به ایجاد مناطق اداری جداگانه دارد و جنگل های متعددی باید ایجاد شود تا این مناطق را نشان دهند.

هنگامی که چندین جنگل را در یک سازمان پیاده سازی می کنید، هر جنگل به طور پیش فرض جدا از جنگل های دیگر عمل می کند، گویی تنها جنگل در سازمان است.

توجه داشته باشید.برای ادغام چندین جنگل، می توانید روابط امنیتی بین آنها ایجاد کنید که به آنها تراست خارجی یا جنگلی می گویند.

عملیات در سطح جنگل

دامنه خدمات فعالدایرکتوری یک سرویس دایرکتوری چند اصلی است. این بدان معنی است که بیشتر تغییرات دایرکتوری را می توان در هر نمونه قابل نوشتن دایرکتوری، یعنی روی هر کنترل کننده دامنه قابل نوشتن، انجام داد. با این حال، برخی از تغییرات منحصر به فرد هستند. این بدان معناست که بسته به تغییر خاص، فقط می‌توانند روی یک کنترلر دامنه خاص در جنگل یا دامنه ساخته شوند. گفته می شود که کنترل کننده های دامنه ای که این تغییرات انحصاری را می توان روی آنها اعمال کرد، حاوی نقش های اصلی عملیات هستند. پنج نقش اصلی عملیات وجود دارد که دو تای آنها نقش‌های سطح جنگل و سه نقش دیگر در سطح دامنه هستند.

دو نقش اصلی عملیات اختصاص داده شده به کل جنگل:

• استاد نامگذاری دامنه.کار استاد نام‌گذاری دامنه اطمینان از وجود نام‌های منحصربه‌فرد در سراسر جنگل است. این تضمین می کند که تنها یک جنگل کامل در کل جنگل وجود دارد. نام دامنههر کامپیوتر
• استاد طرحواره.استاد طرحواره طرحواره جنگل را پیگیری می کند و تغییرات را حفظ می کند ساختار اساسیجنگل ها

از آنجایی که این نقش‌ها نقش‌های حیاتی در سطح جنگل هستند، تنها باید یک طرحواره اصلی و استاد نام‌گذاری دامنه در هر جنگل وجود داشته باشد.

مواد اضافی:

طرحواره بخشی از خدمات دامنه اکتیو دایرکتوری است که تمام اشیاء و ویژگی هایی را که سرویس های دامنه اکتیو دایرکتوری برای ذخیره داده ها استفاده می کنند، تعریف می کند.

Active Directory Domain Services اطلاعات را از انواع برنامه ها و خدمات ذخیره و دریافت می کند. بنابراین، Active Directory Domain Services برای ارائه قابلیت ذخیره و تکثیر داده ها از این منابع مختلف، استانداردی را برای ذخیره داده ها در دایرکتوری تعریف می کند. داشتن یک استاندارد ذخیره سازی، Active Directory Domain Services را قادر می سازد تا با حفظ یکپارچگی داده ها، داده ها را بازیابی، به روز رسانی و تکثیر کند.

Active Directory Domain Services از اشیاء به عنوان واحدهای ذخیره سازی استفاده می کند. تمام اشیاء در طرحواره تعریف شده اند. هر بار که کاتالوگ داده ها را پردازش می کند، کاتالوگ طرح را برای تعریف شی مناسب جستجو می کند. بر اساس تعریف یک شی در طرحواره، کاتالوگ شی را ایجاد می کند و داده ها را ذخیره می کند.

تعاریف شیء انواع داده هایی را که اشیا می توانند ذخیره کنند و همچنین نحو داده ها را تعیین می کند. بر اساس این اطلاعات، طرح واره تضمین می کند که همه اشیا با آنها مطابقت دارند تعاریف استاندارد... در نتیجه، Active Directory Domain Services می‌تواند داده‌هایی را که مدیریت می‌کند، مستقل از برنامه‌ای که منبع اصلی داده‌ها است، ذخیره، بازیابی و تأیید کند. دایرکتوری فقط می تواند داده هایی را ذخیره کند که دارد تعریف موجودشی در طرحواره اگر می خواهید نوع جدیدی از داده را ذخیره کنید، ابتدا باید یک تعریف شی جدید برای آن داده در طرحواره ایجاد کنید.

طرحواره در AD DS تعریف می کند:

• اشیاء مورد استفاده برای ذخیره داده ها در یک فهرست؛
• قوانینی که بر انواع اشیاء می توانند ایجاد شوند، چه ویژگی هایی باید هنگام ایجاد یک شی تعریف شوند، و چه ویژگی هایی اختیاری هستند، تعیین می کنند.
• ساختار و محتوای خود دایرکتوری

این طرح یک عضو اصلی واحد خدمات دامنه اکتیو دایرکتوری است. این بدان معنی است که شما باید تغییراتی را در طرحواره روی کنترل کننده دامنه که شامل نقش اصلی عملیات طرحواره است، ایجاد کنید.

این طرح در تمام کنترل کننده های دامنه در جنگل تکرار می شود. هر تغییری که در طرحواره ایجاد شود، از طرف مالک نقش اصلی عملیات طرحواره، که معمولاً اولین کنترل کننده دامنه در جنگل است، به همه کنترل کننده های دامنه در جنگل تکرار می شود.

از آنجایی که طرحواره ذخیره اطلاعات را تعیین می‌کند و هر تغییری که در طرحواره ایجاد می‌شود روی همه کنترل‌کننده‌های دامنه تأثیر می‌گذارد، تغییرات طرحواره فقط باید در صورت لزوم (از طریق یک فرآیند کاملاً کنترل‌شده) پس از آزمایش انجام شود تا از تأثیر نامطلوب بر بقیه جنگل جلوگیری شود.

اگرچه نمی‌توانید مستقیماً هیچ تغییری در طرح ایجاد کنید، برخی از برنامه‌ها برای پشتیبانی از عملکردهای اضافی، تغییراتی در طرح ایجاد می‌کنند. مثلا هنگام نصب Microsoft Exchangeسرور 2010 به راه اندازی جنگل خدمات دامنه اکتیو دایرکتوری، طرحواره را برای پشتیبانی از انواع شی و ویژگی های جدید گسترش می دهد.

مواد اضافی:

1.3 دامنه چیست.

دامنه یک مرز اداری است. همه دامنه ها دارای یک حساب مدیر هستند که همه چیز را دارد اختیارات اداریبرای تمام اشیاء در دامنه اگرچه مدیر می‌تواند مدیریت اشیاء در دامنه را به او واگذار کند، حساب او کنترل کامل مدیریتی همه اشیاء در دامنه را حفظ می‌کند.

V نسخه های اولیه ویندوز سرورتصور می شد که دامنه ها برای ایجاد جداسازی کامل اداری طراحی شده اند. در واقع، یکی از دلایل اصلی برای انتخاب توپولوژی چند دامنه، اطمینان از این جداسازی بود. با این حال، در Active Directory Domain Services، حساب Administrator در دامنه ریشه جنگل، کنترل مدیریتی کاملی بر تمام اشیاء موجود در جنگل دارد، در نتیجه این جداسازی اداری در سطح دامنه باطل می شود.

دامنه مرز تکرار است. Active Directory Domain Services از سه عنصر یا بخش تشکیل شده است. طرح, بخش پیکربندیو پارتیشن دامنه... به طور معمول، فقط پارتیشن دامنه اغلب تغییر می کند.

بخش دامنه شامل اشیایی است که احتمالاً باید مرتباً به روز شوند; این اشیاء کاربران، رایانه ها، گروه ها و واحدهای سازمانی هستند. بنابراین، تکرار AD DS در درجه اول شامل به روز رسانی به اشیاء تعریف شده در پارتیشن دامنه است. فقط کنترل کننده های دامنه در یک دامنه خاص به روز رسانی پارتیشن دامنه را از سایر کنترل کننده های دامنه دریافت می کنند. پارتیشن بندی داده ها، سازمان ها را قادر می سازد تا داده ها را تنها در جایی که نیاز دارند، تکثیر کنند. در نتیجه، دایرکتوری می تواند در سطح جهانی بر روی شبکه ای که پهنای باند محدودی دارد، مقیاس شود.

دامنه یک مرز احراز هویت است. هر حساب کاربری در یک دامنه می تواند توسط کنترل کننده های آن دامنه احراز هویت شود. دامنه‌های موجود در جنگل به یکدیگر اعتماد دارند، به طوری که کاربر از یک دامنه می‌تواند به منابع واقع در دامنه متفاوت دسترسی داشته باشد.

عملیات در سطح دامنه

سه نقش اصلی عملیات در هر دامنه وجود دارد. این نقش ها که در ابتدا به اولین کنترل کننده دامنه در هر دامنه اختصاص داده شده است، در زیر فهرست شده اند.

• شناسه نسبی (RID) Master. هر بار که یک شی در Active Directory Domain Services ایجاد می شود، کنترل کننده دامنه که در آن شی ایجاد می شود، یک شی منحصر به فرد به آن اختصاص می دهد. یک شماره شناسایییک شناسه امنیتی (SID) نامیده می شود. برای جلوگیری از تخصیص SID یکسان به دو شیء مختلف توسط دو کنترلر دامنه، RID مستر بلوک های SID را به هر کنترل کننده دامنه در دامنه اختصاص می دهد.
• شبیه ساز کنترل کننده دامنه اولیه این نقش مهم ترین است، زیرا از دست دادن موقت آن بسیار سریعتر از از دست دادن هر نقش اصلی عملیات دیگر قابل توجه است. او مسئول تعدادی از توابع در سطح دامنه است، از جمله:
• به روز رسانی وضعیت قفل حساب؛
• ایجاد و تکثیر شی خط مشی گروهتنها مالک؛
• همگام سازی زمان برای دامنه
• استاد زیرساخت. این نقش مسئول حفظ ارجاعات شیء متقابل دامنه است. به عنوان مثال، وقتی عضوی از دامنه دیگر به گروهی در یک دامنه تعلق دارد، زیرساخت اصلی مسئول حفظ یکپارچگی آن پیوند است.

این سه نقش باید در هر دامنه منحصربه‌فرد باشند، بنابراین هر دامنه می‌تواند تنها یک RID Master، یک شبیه‌ساز کنترل‌کننده دامنه اصلی (PDC) و یک Master زیرساخت داشته باشد.

مواد اضافی:

اگر AD DS حاوی بیش از یک دامنه باشد، باید روابط بین دامنه ها را تعریف کنید. زمانی که دامنه ها یک ریشه مشترک و فضای نام پیوسته به اشتراک می گذارند، منطقاً بخشی از درخت اکتیو دایرکتوری یکسان هستند. درخت هیچ هدف اداری ندارد. به عبارت دیگر، هیچ مدیر درختی وجود ندارد زیرا یک مدیر جنگل یا دامنه وجود دارد. درخت یک گروه بندی سلسله مراتبی منطقی از دامنه هایی را ارائه می دهد که دارای روابط والد-فرزند هستند که با نام آنها تعریف شده است. درخت Active Directory به فضای نام Domain Name System (DNS) نگاشت می شود.

درختان Active Directory بر اساس روابط بین دامنه ها در جنگل ایجاد می شوند. وجود ندارد دلایل جدی، که بر اساس آن نیاز یا عدم نیاز به ایجاد چندین درخت در جنگل است. با این حال، به خاطر داشته باشید که مدیریت یک درخت، با فضای نام پیوسته آن، آسان‌تر و تجسم برای کاربران آسان‌تر است.

اگر چندین فضای نام پشتیبانی شده دارید، از چندین درخت در یک جنگل استفاده کنید. به عنوان مثال، اگر سازمان شما دارای چندین بخش تولید مختلف با شناسه های عمومی متفاوت است، می توانید یک درخت متفاوت برای هر بخش تولید ایجاد کنید. توجه داشته باشید که در چنین سناریویی هیچ گونه جداسازی مدیریت وجود ندارد زیرا مدیر جنگل ریشه هنوز هم کنترل کاملی بر تمام اشیاء در جنگل دارد، صرف نظر از اینکه آنها در کدام درخت هستند.

1.5 بخش

زير مجموعهیک شی ظرف در یک دامنه است که می تواند برای گروه بندی کاربران، گروه ها، رایانه ها و سایر اشیاء استفاده شود. دو دلیل برای ایجاد تفرقه وجود دارد.

• تنظیم اشیاء موجود در بخش. شما می توانید GPO ها را به یک OU اختصاص دهید و تنظیمات را برای همه اشیاء در آن OU اعمال کنید.
• هیئت نمایندگی مدیریتاشیاء موجود در واحد می‌توانید با واگذاری کنترل OU به یک کاربر یا گروه غیر سرپرست در Active Directory Domain Services، حقوق کنترل را به یک OU اختصاص دهید.

توجه داشته باشید. OU کوچکترین ناحیه یا واحدی است که می توان تنظیمات Group Policy یا حقوق مدیر را به آن واگذار کرد.

واحدهای سازمانی می توانند برای نمایش ساختارهای منطقی سلسله مراتبی در یک سازمان استفاده شوند. به عنوان مثال، می توانید OU ها را برای نشان دادن بخش ها در یک سازمان، مناطق جغرافیایی در یک سازمان و OU هایی که ترکیبی از بخش ها و مناطق جغرافیایی هستند ایجاد کنید. سپس می‌توانید پیکربندی را مدیریت کنید و از حساب‌های کاربر، گروه و رایانه بر اساس مدل سازمانی ایجاد شده استفاده کنید.

هر دامنه AD DS دارای مجموعه استانداردکانتینرها و واحدهای سازمانی که هنگام نصب AD DS ایجاد می شوند. این ظروف و واحدها در زیر لیست شده اند.

• ظرف دامنه به عنوان محفظه ریشه سلسله مراتب عمل می کند.
• یک کانتینر داخلی حاوی حساب‌های سرپرست سرویس پیش‌فرض.
• محفظه کاربر، که محل پیش‌فرض حساب‌های کاربری و گروه‌های جدید ایجاد شده در دامنه است.
• محفظه رایانه، که محل پیش‌فرض حساب‌های رایانه جدیدی است که در دامنه ایجاد می‌شوند.
• Domain Controllers OU که محل پیش‌فرض حساب‌های رایانه کنترل‌کننده دامنه است.

1.6 روابط اعتماد

یک رابطه اعتماد به یک شی امنیتی اجازه می دهد تا برای اهداف احراز هویت به یک شی امنیتی دیگر اعتماد کند. در ویندوز سرور 2008 R2، شیء امنیتی دامنه ویندوز است.

هدف اصلی رابطه اعتماد این است که کاربر در یک دامنه دسترسی به منبعی در دامنه دیگر را بدون نیاز به حفظ حساب کاربری در هر دو دامنه آسان‌تر کند.

در هر رابطه اعتمادی، دو طرف درگیر هستند - نهاد قابل اعتماد و نهاد مورد اعتماد. یک شیء قابل اعتماد، یک شی است که دارای یک منبع است، و یک شیء قابل اعتماد، یک شی با یک حساب است. به عنوان مثال، اگر لپ تاپ را به شخصی قرض دهید، به آن شخص اعتماد دارید. شما نهادی هستید که مالک این منبع است. منبع لپ تاپ شما است. شخصی که لپ تاپ برای استفاده موقت به او داده می شود یک شیء قابل اعتماد با حساب کاربری است.

انواع روابط اعتماد

روابط اعتماد می تواند یک طرفه و دو طرفه باشد.

اعتماد یک طرفه به این معنی است که اگرچه یک موجودیت به دیگری اعتماد دارد، اما برعکس آن صادق نیست. به عنوان مثال، اگر لپ تاپ خود را به استیو قرض دهید، به این معنی نیست که استیو ماشین خود را به شما قرض می دهد.

در یک اعتماد دو طرفه، هر دو نهاد به یکدیگر اعتماد دارند.

روابط اعتماد می تواند گذرا و غیر گذرا باشد. اگر در یک تراست گذرا، شی A به شی B و شی B به شی C اعتماد می کند، شی A نیز به طور ضمنی به شی C اعتماد می کند. برای مثال، اگر لپ تاپ خود را به استیو قرض دهید و استیو ماشین خود را به مری قرض دهد، می توانید به مری تلفن همراه.

Windows Server 2008 R2 از انواع Trust ها پشتیبانی می کند که می توانند در موقعیت های مختلف مورد استفاده قرار گیرند.

در یک جنگل، همه دامنه ها با استفاده از گذرای دو طرفه داخلی به یکدیگر اعتماد دارند رابطه اعتماد... این اساساً به این معنی است که همه دامنه ها به همه دامنه های دیگر اعتماد دارند. این رابطه اعتماد از طریق درختان جنگل گسترش می یابد. علاوه بر این تراست‌هایی که به طور خودکار تولید می‌شوند، می‌توانید اعتمادهای اضافی را بین دامنه‌های جنگل، بین این جنگل و جنگل‌های دیگر، و بین این جنگل و سایر اشیاء امنیتی مانند قلمرو Kerberos یا دامنه‌های اتاق عمل پیکربندی کنید. سیستم های مایکروسافت Windows NT® 4.0. برای اطلاعات بیشتر به جدول زیر مراجعه کنید.

2. پیاده سازی خدمات دامنه اکتیو دایرکتوری

برای پیاده سازی Active Directory Domain Services، باید دامین کنترلرها را مستقر کنید. برای بهینه سازی خدمات دامنه اکتیو دایرکتوری، مهم است که بدانید کجا و چگونه باید کنترل کننده های دامنه ایجاد کنید تا زیرساخت شبکه خود را بهینه کنید.

2.1 کنترل کننده دامنه چیست؟

دامنه زمانی ایجاد می شود که رایانه ارتقا یابد ویندوز سرورسرور 2008 R2 به یک کنترل کننده دامنه. کنترل کننده های دامنه شامل خدمات دامنه اکتیو دایرکتوری هستند.

کنترل کننده های دامنه اجرا را تضمین می کنند توابع زیربرخط.

• احراز هویت را فراهم می کند. کنترل کننده های دامنه یک پایگاه داده از حساب های دامنه نگهداری می کنند و خدمات احراز هویت را ارائه می دهند.
• شامل نقش های اصلی عملیات به عنوان فرصت اضافی... این نقش ها قبلاً نقش های Flexible Single Master Operations (FSMO) نامیده می شدند. پنج نقش اصلی عملیات وجود دارد - دو نقش در سطح جنگل و سه نقش در سطح دامنه. این نقش ها را می توان در صورت لزوم منتقل کرد.
• شامل کاتالوگ جهانی به عنوان یک ویژگی اختیاری است. هر کنترل کننده دامنه را می توان به عنوان یک سرور کاتالوگ جهانی تعیین کرد.

توجه داشته باشید.کاتالوگ جهانی یک پایگاه داده توزیع شده است که شامل یک نمای قابل جستجو از هر شی از همه دامنه ها در یک جنگل چند دامنه است. با این حال، کاتالوگ جهانی شامل تمام ویژگی‌های هر شی نیست. در عوض، زیرمجموعه‌ای از ویژگی‌هایی را پشتیبانی می‌کند که احتمالاً هنگام انجام جستجوی دامنه مفید هستند.

2.2 کنترل کننده دامنه فقط خواندنی چیست؟

یک کنترل کننده دامنه فقط خواندنی نوع جدیدی از کنترل کننده دامنه در ویندوز سرور 2008 R2 است. با استفاده از یک کنترل کننده دامنه فقط خواندنی، سازمان ها می توانند به راحتی یک کنترل کننده دامنه را در مکان هایی که امنیت فیزیکی آن تضمین نمی شود، مستقر کنند. یک کنترل کننده دامنه فقط خواندنی یک نسخه فقط خواندنی از پایگاه داده AD DS را برای آن دامنه میزبانی می کند. یک کنترل کننده دامنه فقط خواندنی همچنین می تواند به عنوان یک سرور کاتالوگ جهانی عمل کند.

با شروع در Windows Server 2008، یک سازمان می تواند یک کنترل کننده دامنه فقط خواندنی را در موارد محدود مستقر کند. پهنای باندکانال ها شبکه جهانییا امنیت فیزیکی ناکافی کامپیوترها. در نتیجه، کاربران در چنین شرایطی می توانند از مزایای زیر بهره مند شوند:

• افزایش امنیت؛
• ورود سریعتر؛
• دسترسی کارآمدتر به منابع شبکه

در زیر خلاصه ای از نقش یک کنترل کننده دامنه فقط خواندنی آمده است.

• کنترل‌کننده دامنه که میزبان عملیات شبیه‌ساز PDC برای دامنه است، باید یک اتاق عمل را اجرا کند سیستم های ویندوزسرور 2008. این مورد برای ایجاد یک حساب کاربری جدید لازم است krbtgtبرای یک کنترل کننده دامنه فقط خواندنی، و برای عملیات جاری آن کنترل کننده.
• RODC مستلزم آن است که درخواست‌های احراز هویت به یک سرور کاتالوگ جهانی (دارای ویندوز سرور 2008) که در نزدیک‌ترین سایت به سایت با آن کنترل‌کننده قرار دارد، هدایت شوند. یک خط‌مشی تکرار رمز عبور روی این کنترل‌کننده دامنه تنظیم شده است تا تعیین کند که آیا اعتبارنامه‌ها برای درخواست هدایت‌شده از یک RODC به محل شعبه کپی می‌شوند یا خیر.
• برای در دسترس قرار دادن نمایندگی محدود Kerberos، سطح عملکرد دامنه باید روی Windows Server 2003 تنظیم شود. تفویض اختیار برای تماس های امنیتی استفاده می شود که باید در زمینه تماس گیرنده جعل هویت شوند.
• مقدار مربوطه باید روی یک سطح عملکرد جنگل ویندوز سرور 2003 تنظیم شود تا از در دسترس بودن تکرار اطمینان حاصل شود.
• شما باید adprep / rodcprep را یک بار در جنگل اجرا کنید. این مجوزها را برای همه پارتیشن‌های دایرکتوری برنامه‌های DNS در جنگل به‌روزرسانی می‌کند تا تکثیر بین RODCها، که سرورهای DNS نیز هستند، تسهیل شود.
• یک کنترل کننده دامنه فقط خواندنی نمی تواند نقش اصلی عملیات را میزبانی کند و به عنوان یک سرور سر پل تکراری عمل کند.
• کنترل کننده دامنه فقط خواندنی را می توان در آن مستقر کرد سیستم سرورهسته برای امنیت بیشتر

سایت است بازنمایی منطقیمنطقه جغرافیایی در شبکه این سایت نشان دهنده مرز شبکه پرسرعت برای رایانه های Active Directory Domain Services است، یعنی رایانه هایی که می توانند با آنها ارتباط برقرار کنند. سرعت بالاو تاخیر کم، می تواند در یک سایت ترکیب شود. کنترل‌کننده‌های دامنه در یک سایت، داده‌های AD DS را به روشی بهینه‌سازی شده برای آن محیط تکرار می‌کنند. این پیکربندی تکرار تا حد زیادی خودکار است.

توجه داشته باشید.سایت ها توسط رایانه های مشتری برای یافتن خدماتی مانند کنترل کننده های دامنه و سرورهای کاتالوگ جهانی استفاده می شوند. مهم است که هر وب سایتی که ایجاد می کنید حاوی باشد حداقلیک کنترل کننده دامنه و یک سرور کاتالوگ جهانی.

2.4 AD DS Replication

1. تکرار AD DS انتقال تغییرات ایجاد شده در اطلاعات دایرکتوری بین کنترل کننده های دامنه در یک جنگل AD DS است. مدل تکرار AD DS مکانیسم‌هایی را تعریف می‌کند تا به‌روزرسانی‌های دایرکتوری را به‌طور خودکار بین کنترل‌کننده‌های دامنه برای ارائه راه‌حل تکرار یکپارچه برای AD DS انجام دهد.
2. Active Directory Domain Services دارای سه بخش است. پارتیشن دامنه حاوی داده هایی است که اغلب تغییر می کنند و بنابراین جریان بزرگی از داده های تکراری AD DS تولید می کند.

لینک های سایت اکتیو دایرکتوری

1. لینک سایت برای کنترل تکرار بین گروه های سایت استفاده می شود. می توانید از لینک سایت پیش فرض ارائه شده در AD DS استفاده کنید یا در صورت نیاز پیوندهای سایت اضافی ایجاد کنید. می‌توانید تنظیمات پیوندهای سایت را برای تعیین زمان‌بندی و در دسترس بودن مسیر تکرار پیکربندی کنید تا به شما در مدیریت تکرار کمک کند.
2. هنگامی که دو سایت از طریق یک پیوند سایت به هم مرتبط می شوند، سیستم تکرار به طور خودکار بین کنترل کننده های دامنه خاص در هر سایت، به نام سرورهای پل، ارتباط ایجاد می کند.

2.5 پیکربندی DNS برای خدمات دامنه Active Directory

راه اندازی DNS

AD DS به DNS نیاز دارد. نقش DNS Server به طور پیش فرض در Windows Server 2008 R2 نصب نشده است. مثل دیگران عملکرد، زمانی که سرور برای یک نقش خاص پیکربندی شده است، این قابلیت بر اساس نقش اضافه می شود.

نقش سرور DNS را می توان با استفاده از پیوند افزودن نقش در مدیر سرور نصب کرد. نقش سرور DNS همچنین می‌تواند به‌طور خودکار با استفاده از Active Directory Domain Services Installation Wizard (dcpromo.exe) اضافه شود. صفحه تنظیمات کنترل کننده دامنه در ویزارد به شما امکان می دهد نقش سرور DNS را اضافه کنید.

پیکربندی مناطق DNS

پس از نصب سرور DNS، می توانید شروع به اضافه کردن مناطق به سرور کنید. اگر سرور DNS یک کنترل کننده دامنه است، می توانید AD DS را برای ذخیره داده های ناحیه پیکربندی کنید. سپس یک Active Directory Integrated Zone ایجاد خواهد شد. اگر این گزینه انتخاب نشود، داده های ناحیه در یک فایل به جای AD DS ذخیره می شود.

به روز رسانی های پویا

هنگامی که یک منطقه ایجاد می کنید، همچنین از شما خواسته می شود که مشخص کنید آیا به روز رسانی پویا باید پشتیبانی شود یا خیر. به روز رسانی پویا تلاش برای مدیریت منطقه را کاهش می دهد زیرا مشتریان می توانند اضافه کنند، حذف کنند و به روز کنند سوابق خودمنابع

به روز رسانی پویا امکان جعل سوابق منابع را فراهم می کند. به عنوان مثال، یک کامپیوتر ممکن است ورودی به نام "www" را ثبت کند و ترافیک وب سایت شما را به آدرس اشتباه هدایت کند.

برای حذف امکان جعل، سرویس سرورهای DNS ویندوزسرور 2008 R2 از به روز رسانی های پویا ایمن پشتیبانی می کند. کلاینت باید قبل از به‌روزرسانی سوابق منبع احراز هویت کند، بنابراین سرور DNS بداند آیا کلاینت رایانه‌ای است که اجازه دارد رکورد منبع را تغییر دهد یا خیر.

انتقال منطقه DNS

یک شرکت باید تلاش کند تا یک منطقه را مجبور کند که حداقل توسط دو سرور DNS حل شود.

اگر منطقه به خدمات دامنه اکتیو دایرکتوری ادغام شده باشد، کافی است نقش سرور DNS را به کنترل کننده دامنه دیگری در همان دامنه اضافه کنیدجایی که اولین سرور DNS در آن قرار دارد. Zones و Replication یکپارچه Active Directory مناطق DNSاستفاده از AD DS در درس بعدی توضیح داده شده است.

اگر منطقه با AD DS یکپارچه نیست، باید سرور DNS دیگری اضافه کنید و آن را برای میزبانی منطقه اضافی پیکربندی کنید. به یاد داشته باشید که ناحیه ثانویه یک کپی فقط خواندنی از ناحیه اولیه است.

رکوردهای SRV

رکورد منبع یاب سرویس (SRV) درخواست را حل می کند خدمات شبکهبا اجازه دادن به مشتری برای یافتن میزبانی که سرویس خاصی را ارائه می دهد.

• زمانی که کنترل کننده دامنه نیاز به تکرار تغییرات از شرکا دارد.
• چه زمانی کامپیوتر مشترینیاز به احراز هویت برای AD DS دارد.
• زمانی که کاربر رمز عبور خود را تغییر می دهد.
• چه زمانی سرور مایکروسافت Exchange دایرکتوری را جستجو می کند.
• هنگامی که سرپرست، snap-in Active Directory Users and Computers را باز می کند.

رکوردهای SRV از نحو زیر استفاده می کنند.

name.service.protocol طول عمر کلاس نوع اولویت وزن پورت target_node

یک نمونه رکورد SRV در زیر نشان داده شده است.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

یک رکورد از اجزای زیر تشکیل شده است:

• نام سرویس پروتکل، مانند سرویس LDAP ارائه شده توسط کنترل کننده دامنه.
• طول عمر در چند ثانیه
• کلاس (همه رکوردهای سرور DNS ویندوز IN یا اینترنت خواهند بود).
• نوع: SRV;
• مقادیر اولویت و وزن که به مشتریان در تعیین گره ترجیحی کمک می کند.
• پورتی که سرویس بر روی آن توسط سرور ارائه می شود. در یک کنترل کننده دامنه ویندوز برای LDAP، پورت پیش فرض 389 است.
• میزبان هدف یا سرویس که در این موردیک دامین کنترلر به نام hqdc01.contoso.com است.

هنگامی که فرآیند کلاینت به دنبال کنترل کننده دامنه می گردد، می تواند DNS را برای سرویس LDAP جستجو کند. این درخواست هم یک رکورد SRV و هم یک رکورد A را برای یک یا چند سرور ارائه دهنده سرویس درخواستی برمی گرداند.

UPD:من یک کانال ویدیویی در یوتیوب ایجاد کردم که در آن به تدریج فیلم های آموزشی در تمام زمینه های IT ارسال می کنم که به خوبی به آن مسلط هستم، مشترک شوید: http://www.youtube.com/user/itsemaev

UPD2:مایکروسافت به طور سنتی synaxis معمول را در تغییر می دهد خط فرمانبنابراین نقش ها در هر نسخه از سرور ویندوز ممکن است متفاوت به نظر برسد. آنها در حال حاضر به طور کلی fsmo نامیده نمی شوند، بلکه masters عملیات هستند. پس برای دستورات صحیح در کنسول بعد از نگهداری fsmo ساده بنویسید؟ و دستورات موجود را به شما نشان می دهد.

در مجله آوریل من " مدیر سیستم"مقاله "تعویض بدون دردسر کنترل کننده دامنه ویندوز سرور قدیمی یا ناموفق" را گرفت.

و حتی صد دلار پرداخت شد و یک بسته با مغز داده شد)) من الان اونوتول هستم.

جایگزینی بدون دردسر یک دامین کنترلر قدیمی یا ناموفق مبتنی بر ویندوز سرور.(هر کس نیاز داشته باشد - عکس می فرستم)

اگر کنترل کننده دامنه شما از کار افتاده یا کاملاً قدیمی است و نیاز به جایگزینی دارد - عجله نکنید تا آخر هفته آینده را صرف ایجاد یک دامنه جدید در سرور جدید و انتقال پر زحمت ماشین های کاربر به آن کنید. مدیریت هوشمند کنترل کننده دامنه پشتیبان شما می تواند به شما کمک کند سریع و بدون دردسر سرور قبلی خود را جایگزین کنید.

تقریباً هر مدیری که با سرورهای مبتنی بر ویندوز کار می‌کند دیر یا زود با نیاز به جایگزینی یک کنترل‌کننده دامنه اولیه کاملاً قدیمی که ارتقای بیشتر آن دیگر منطقی نیست، با یک کنترلر جدید و مدرن‌تر مواجه می‌شود. شرایط بدتری هم وجود دارد - کنترل کننده دامنه به دلیل خرابی روشن غیرقابل استفاده می شود سطح فیزیکیو نسخه های پشتیبان و تصاویر قدیمی یا گم شده اند
در اصل، شرح روش جایگزینی یک کنترل کننده دامنه با دیگری را می توان در انجمن های مختلف یافت، اما اطلاعات در گزیده ای آورده شده است و، به عنوان یک قاعده، فقط برای یک موقعیت خاص قابل اجرا است، اما راه حل واقعی ارائه نمی دهد. . علاوه بر این، حتی پس از خواندن بسیاری از انجمن ها، پایگاه های دانش و منابع دیگر در زبان انگلیسی- من فقط از بار سوم یا چهارم توانستم روش جایگزینی کنترل کننده دامنه را بدون خطا انجام دهم.
بنابراین من می خواهم رهبری کنم دستورالعمل های گام به گامجایگزینی کنترلر دامنه، صرف نظر از اینکه آیا کارکرده است یا خیر. تنها تفاوت این است که برای یک دامین کنترلر از کار افتاده، این مقاله تنها در صورتی به شما کمک می کند که از قبل از کنترل کننده دامنه پشتیبان مراقبت کرده باشید و آن را مستقر کرده باشید.

آماده سازی سرورها برای ارتقا / تنزل رتبه

روش ایجاد یک کنترل کننده دامنه پشتیبان ابتدایی است - ما فقط جادوگر dcpromo را روی هر سروری در شبکه اجرا می کنیم. با استفاده از جادوگر dcpromo، یک کنترل کننده دامنه در یک دامنه موجود ایجاد می کنیم. در نتیجه دستکاری های انجام شده، ما یک سرویس دایرکتوری AD مستقر در سرور ثانویه خود دریافت می کنیم (من آن را pserver و کنترل کننده اصلی - dcserver می نامم).
علاوه بر این، اگر خود dcpromo ارائه نکرد - اجرا کنید راه اندازی DNSسرور شما نیازی به تغییر تنظیمات ندارید، همچنین نیازی به ایجاد یک منطقه ندارید - در AD ذخیره می شود و تمام رکوردها به طور خودکار در کنترلر پشتیبان تکرار می شوند. توجه - منطقه اصلی در DNS فقط پس از تکرار ظاهر می شود، تا سرعت آن سرور را راه اندازی مجدد کند. در تنظیمات TCP / IP NIC کنترل کننده دامنه پشتیبان، آدرس سرور DNS اولیه باید آدرس IP کنترل کننده دامنه اصلی باشد.
اکنون می توانید به راحتی سلامت سرور کنترل کننده دامنه پشتیبان را آزمایش کنید. ما می‌توانیم یک کاربر دامنه هم روی کنترل‌کننده دامنه اصلی و هم روی کنترل‌کننده دامنه پشتیبان ایجاد کنیم. بلافاصله پس از ایجاد، در سرور تکراری ظاهر می شود، اما برای حدود یک دقیقه (در حالی که تکرار در حال انجام است) - به عنوان غیرفعال نشان داده می شود، پس از آن شروع به یکسان شدن در هر دو کنترلر می کند.
در نگاه اول، تمام مراحل ایجاد یک طرح کاری برای تعامل چندین کنترل کننده دامنه به پایان رسیده است و اکنون در صورت خرابی کنترل کننده دامنه "اولیه"، کنترل کننده های "پشتیبان" به طور خودکار وظایف آن را انجام می دهند. با این حال، در حالی که تفاوت بین کنترل‌کننده‌های دامنه «اصلی» و «استاندبای» کاملاً اسمی است، کنترل‌کننده دامنه «اولیه» دارای تعدادی ویژگی (نقش‌های FSMO) است که نباید فراموش شوند. بنابراین، عملیات فوق برای عملکرد عادی سرویس دایرکتوری در صورت خرابی کنترل‌کننده دامنه «اولیه» کافی نیست و مراحلی که باید انجام شود تا نقش کنترل‌کننده دامنه اصلی را به درستی انتقال / بر عهده بگیرد. در زیر شرح داده خواهد شد.

کمی تئوری

شما باید آن کنترلرها را بشناسید دامنه فعالدایرکتوری انواع مختلفی از نقش ها را بازی می کند. این نقش ها FSMO (عملیات تک استاد انعطاف پذیر) نامیده می شوند:
- Schema Master - نقش مسئول توانایی تغییر طرح است - به عنوان مثال، استقرار سرور تبادلیا سرور ISA اگر مالک نقش در دسترس نباشد، نمی توانید طرح دامنه موجود را تغییر دهید.
- Domain Naming Master - اگر جنگل دامنه شما دارای چندین دامنه یا زیر دامنه باشد، این نقش ضروری است. بدون آن، ایجاد و حذف دامنه در یک جنگل دامنه امکان پذیر نخواهد بود.
- Relative ID Master - مسئول ایجاد یک ID منحصر به فرد برای هر شی AD است.
- شبیه ساز کنترل کننده دامنه اولیه - این کسی است که مسئولیت کار با حساب های کاربری و خط مشی امنیتی را بر عهده دارد. عدم اتصال به آن به شما امکان می دهد با رمز عبور قدیمی وارد ایستگاه های کاری شوید که در صورت خراب شدن کنترلر دامنه قابل تغییر نیست.
- Infrastructure Master - نقش مسئول انتقال اطلاعات در مورد اشیاء AD به سایر کنترل کننده های دامنه در سراسر جنگل است.
این نقش ها در بسیاری از پایگاه های دانش با جزئیات کافی نوشته شده اند، اما نقش اصلی تقریباً همیشه فراموش می شود - این نقش کاتالوگ جهانی (کاتالوگ جهانی) است. در واقع، این دایرکتوری به سادگی سرویس LDAP را در پورت 3268 راه اندازی می کند، اما غیرقابل دسترس بودن آن مانع از ورود کاربران دامنه به سیستم می شود. جالب اینجاست که همه کنترل کننده های دامنه می توانند نقش کاتالوگ جهانی را همزمان داشته باشند.

در واقع، می توانیم نتیجه بگیریم که اگر یک دامنه اولیه برای 30-50 ماشین، بدون زیرساخت توسعه یافته، که شامل زیر دامنه ها نمی شود، دارید، ممکن است متوجه عدم دسترسی به مالک / صاحبان دو نقش اول نشوید. علاوه بر این، چندین بار با سازمان هایی برخورد کردم که بیش از یک سال است که اصلاً بدون کنترلر دامنه، اما در زیرساخت دامنه کار می کنند. یعنی تمام حقوق خیلی وقت پیش توزیع شده بود که کنترل کننده دامنه در حال اجرا بود و نیازی به تغییر نبود، کاربران رمز عبور خود را تغییر ندادند و بی سر و صدا کار کردند.

تعیین صاحبان نقش فعلی fsmo.

برای روشن شدن موضوع، می‌خواهیم کنترل‌کننده دامنه را بدون از دست دادن هیچ‌کدام از قابلیت‌های آن، جایگزین کنیم. در صورتی که دو یا چند کنترلر در دامنه وجود داشته باشد، باید بدانیم که مالک هر یک از نقش های fsmo کیست. انجام این کار با استفاده از دستورات زیر به اندازه کافی آسان است:

dsquery server -hasfsmo schema
سرور dsquery - نام hasfsmo
سرور dsquery - hasfsmo rid
سرور dsquery - hasfsmo pdc
سرور dsquery - hasfsmo infr
سرور dsquery -forest -isgc

هر یک از دستورات اطلاعاتی در مورد اینکه چه کسی صاحب نقش درخواستی است را به ما نشان می دهد (شکل 1). در مورد ما، مالک همه نقش‌ها، dcserver کنترل‌کننده دامنه اصلی است.

انتقال داوطلبانه نقش های fsmo با استفاده از کنسول های Active Directory.

ما تمام اطلاعات لازم برای انتقال نقش کنترل کننده دامنه اصلی را داریم. بیایید شروع کنیم: ابتدا باید مطمئن شوید که حساب ما عضوی از گروه های Domain Admins، Schema Admins و Enterprise Admins است و سپس به روش سنتی انتقال نقش fsmo - مدیریت دامنه از طریق کنسول های Active Directory بروید.

برای انتقال نقش "مستر نام دامنه" مراحل زیر را انجام می دهیم:
- "Active Directory Domains and Trust" را روی دامنه کنترلر که می خواهیم نقش را از آن منتقل کنیم، باز کنید. اگر با AD روی دامنه کنترل‌کننده‌ای که می‌خواهیم نقش را به آن انتقال دهیم کار کنیم، از آیتم بعدی صرف نظر می‌کنیم.
- کلیک کلیک راستماوس را روی نماد Active Directory - domains and trusts قرار دهید و دستور Connect to a domain controller را انتخاب کنید. ما کنترل کننده دامنه ای را که می خواهیم نقش را به آن منتقل کنیم انتخاب می کنیم.
- روی مؤلفه Active Directory Domains and Trusts کلیک راست کرده و دستور Operations Masters را انتخاب کنید.
- در کادر محاوره ای Change master of operations، روی دکمه Change کلیک کنید (شکل 2).
- پس از پاسخ مثبت به درخواست پاپ آپ، نقش با موفقیت منتقل شده را دریافت می کنیم.

به همین ترتیب، می‌توانید نقش‌های RID Master، Primary Domain Controller و Infrastructure Master را با استفاده از کنسول Active Directory Users and Computers انتقال دهید.

برای انتقال نقش "Schema Master"، ابتدا باید کتابخانه مدیریت طرحواره Active Directory را در سیستم ثبت کنید:

پس از انتقال همه نقش ها، باید با گزینه باقی مانده - نگهبان کاتالوگ جهانی مقابله کنیم. به Active Directory می رویم: "Sites and Services"، سایت، سرور پیش فرض، کنترل کننده دامنه را پیدا می کنیم که اصلی شده است و در ویژگی های تنظیمات NTDS آن یک تیک جلوی کاتالوگ جهانی می گذاریم. (شکل 3)

در نتیجه، صاحبان نقش‌ها را برای دامنه خود تغییر دادیم. چه کسی باید در نهایت از شر کنترل کننده دامنه قدیمی خلاص شود - ما آن را به یک سرور عضو تنزل می دهیم. با این حال، سادگی اقدامات انجام شده به این دلیل است که اجرای آنها در تعدادی از موقعیت ها غیرممکن است، یا به یک خطا ختم می شود. در این موارد، ntdsutil.exe به ما کمک خواهد کرد.

انتقال داوطلبانه نقش‌های fsmo با استفاده از کنسول‌های ntdsutil.exe.

در صورتی که انتقال نقش های fsmo با استفاده از کنسول های AD با شکست مواجه شود، مایکروسافت بسیار ایجاد کرده است ابزار مناسب- ntdsutil.exe - برنامه تعمیر و نگهداری دایرکتوری فعالفهرست راهنما. این ابزار به شما اجازه می دهد تا اقدامات بسیار مفیدی را انجام دهید، از جمله بازیابی کل پایگاه داده AD از یک نسخه پشتیبان که خود این ابزار در طی آن ایجاد کرده است. آخرین تغییردر آگهی. تمام قابلیت های آن را می توان در پایگاه داده یافت دانش مایکروسافت(شناسه مقاله: 255504). در این مورد، ما در مورد این واقعیت صحبت می کنیم که ابزار ntdsutil.exe به شما امکان می دهد هم نقش ها را انتقال دهید و هم آنها را "انتخاب کنید".
اگر بخواهیم نقشی را از کنترل‌کننده دامنه «اولیه» موجود به کنترل‌کننده «پشتیبان» منتقل کنیم، به کنترل‌کننده دامنه «اولیه» وارد شده و شروع به انتقال نقش‌ها (فرمان انتقال) می‌کنیم.
اگر به دلایلی، کنترل‌کننده دامنه اصلی نداریم، یا نمی‌توانیم تحت یک حساب مدیریتی وارد شویم، به کنترل‌کننده دامنه پشتیبان وارد می‌شویم و شروع به «انتخاب» نقش‌ها (دستور گرفتن) می‌کنیم.

بنابراین مورد اول - کنترل کننده دامنه اولیه وجود دارد و به طور عادی کار می کند. سپس به دامین کنترلر اصلی می رویم و دستورات زیر را تایپ می کنیم:

ntdsutil.exe
نقش ها
اتصالات
به سرور server_name متصل شوید (کسی که می خواهیم نقش را به او بدهیم)
q

اگر خطا ظاهر شد، باید اتصال را با کنترل کننده دامنه ای که می خواهیم به آن متصل شویم بررسی کنیم. اگر خطایی وجود نداشته باشد، ما با حقوق کاربری که از طرف او دستورات را وارد می کنیم، با موفقیت به کنترل کننده دامنه مشخص شده متصل شده ایم.
لیست کاملی از دستورات پس از پرس و جو نگهداری fsmo با علامت استاندارد موجود است؟ ... زمان انتقال نقش ها فرا رسیده است. من بلافاصله، بدون تردید، تصمیم گرفتم نقش ها را به ترتیبی که در دستورالعمل های ntdsutil نشان داده شده است، منتقل کنم و به این نتیجه رسیدم که نمی توانم نقش استاد زیرساخت را منتقل کنم. در پاسخ به درخواست انتقال نقش، خطای «نتوانم با مالک فعلی نقش fsmo تماس بگیرم» دریافت کردم. من مدت زیادی در نت جستجو کردم و متوجه شدم اکثر افرادی که به مرحله انتقال نقش ها راه یافته اند با این خطا مواجه هستند. برخی از آنها سعی می کنند این نقش را به زور بگیرند (بیرون نمی آید)، برخی همه چیز را همانطور که هست رها می کنند - و بدون این نقش به خوشی زندگی می کنند.
من از طریق آزمون و خطا متوجه شدم که هنگام انتقال نقش به این سفارشتکمیل صحیح تمام مراحل تضمین شده است:
- صاحب شناسه ها؛
- صاحب طرح؛
- نامگذاری مالک؛
- صاحب زیرساخت؛
- کنترل کننده دامنه؛

پس از اتصال موفقیت آمیز به سرور، ما دعوت نامه ای برای مدیریت نقش ها دریافت می کنیم (fsmo maintenance) و می توانیم انتقال نقش ها را شروع کنیم:
- انتقال نام دامنه استاد
- استاد زیرساخت انتقال
- انتقال خلاص استاد
- استاد طرحواره انتقال
- انتقال pdf master

پس از اجرای هر دستور باید درخواستی مبنی بر اینکه آیا واقعاً می خواهیم نقش مشخص شده را منتقل کنیم، وجود داشته باشد سرور مشخص شده... نتیجه اجرای موفقیت آمیز دستور در شکل 4 نشان داده شده است.

نقش نگهدار کاتالوگ جهانی به روشی که در بخش قبل توضیح داده شد منتقل می شود.

تخصیص اجباری نقش های fsmo با استفاده از ntdsutil.exe.

در مورد دوم، ما می خواهیم به کنترل کننده دامنه آماده به کار خود نقش اصلی را اختصاص دهیم. در این مورد، هیچ چیز تغییر نمی کند - تنها تفاوت این است که ما همه عملیات را با استفاده از دستور seize انجام می دهیم، اما در حال حاضر در سروری که می خواهیم نقش ها را برای اختصاص نقش به آن منتقل کنیم.

مستر نامگذاری دامنه را تصرف کنید
استاد زیرساخت را تصرف کنید
استاد خلاص شوید
استاد طرحواره را به دست بگیرید
توقیف پی دی سی

لطفاً توجه داشته باشید - اگر نقشی را از یک کنترل کننده دامنه که در آن نیست لغو کرده اید این لحظه، هنگامی که در شبکه ظاهر می شود، کنترل کننده ها شروع به درگیری می کنند و نمی توانید از مشکلات در عملکرد دامنه جلوگیری کنید.

روی اشکالات کار کنید

مهمترین چیزی که باید به خاطر بسپارید این است که کنترل کننده دامنه اولیه جدید تنظیمات TCP / IP را برای خود تصحیح نمی کند: اکنون مطلوب است که از آدرس سرور DNS اصلی استفاده کند (و اگر کنترل کننده دامنه قدیمی + سرور DNS این کار را انجام دهد. غایب باشید، پس حتما) 127.0.0.1 را مشخص کنید.
علاوه بر این، اگر یک شبکه دارید سرور DHCP، سپس باید آن را مجبور کنید تا آدرس ip سرور DNS اصلی سرور جدید شما را صادر کند، اگر DHCP وجود ندارد، همه ماشین ها را مرور کنید و این DNS اولیه را به صورت دستی برای آنها ثبت کنید. همچنین، می‌توانید همان ip را به دامین کنترلر جدید نسبت دهید.

اکنون باید بررسی کنید که همه چیز چگونه کار می کند و از شر خطاهای اساسی خلاص شوید. برای انجام این کار، من پیشنهاد می کنم همه رویدادهای هر دو کنترلر را پاک کنید و گزارش ها را در پوشه با سایر کنترلرها ذخیره کنید. پشتیبان گیریو تمامی سرورها را مجددا راه اندازی کنید.
پس از روشن کردن آنها، ما به دقت تمام گزارش های رویداد را برای واقعیت هشدارها و خطاها تجزیه و تحلیل می کنیم.

متداول‌ترین پیام هشدار پس از انتقال نقش‌های fsmo این است که "msdtc نمی‌تواند به درستی با ارتقاء یا تنزل کنترل‌کننده دامنه که رخ داده است کنترل کند."
رفع آن آسان است: در منوی "Administration" "خدمات" را پیدا می کنیم
اجزاء ". در آنجا "خدمات مؤلفه"، "رایانه ها" را باز می کنیم، ویژگی های بخش "رایانه من" را باز می کنیم، "MS DTC" را در آنجا جستجو می کنیم و روی "تنظیمات امنیتی" در آنجا کلیک می کنیم. در آنجا "Access to the DTC network" را فعال کرده و OK را فشار می دهیم. سرویس دوباره راه اندازی می شود و هشدار ناپدید می شود.

یک مثال از خطا پیامی است مبنی بر اینکه منطقه DNS اولیه بارگیری نمی شود یا سرور DNS کنترل کننده دامنه را نمی بیند.
با استفاده از ابزار می توانید مشکلات عملکرد دامنه را درک کنید (شکل 5):

می توانید این ابزار را از نسخه اصلی نصب کنید دیسک ویندوز 2003 از پوشه / support / tools. این ابزار به شما امکان می دهد سلامت تمام خدمات کنترل کننده دامنه را بررسی کنید، هر مرحله باید با کلماتی که با موفقیت گذرانده شده است به پایان برسد. اگر شکست خوردید (اغلب اینها آزمایشات اتصال یا سیستم لاگ هستند)، می توانید سعی کنید به طور خودکار خطا را برطرف کنید:

dcdiag / v / fix

به عنوان یک قاعده، تمام خطاهای مربوط به DNS باید از بین برود. اگر نه، ما از ابزار برای بررسی وضعیت همه خدمات شبکه استفاده می کنیم:

و یک ابزار عیب یابی مفید است:

netdiag / v / fix

اگر پس از آن همچنان خطاهای مربوط به DNS وجود دارد، ساده ترین راه این است که همه مناطق را از آن حذف کنید و به صورت دستی ایجاد کنید. این کاملاً ساده است - نکته اصلی ایجاد یک منطقه اولیه با نام دامنه است که در Active Directory ذخیره می شود و به همه کنترل کننده های دامنه در شبکه تکرار می شود.
بیشتر اطلاعات دقیقدر باره خطاهای DNSیک دستور دیگر می دهد:

dcdiag / test: dns

در پایان کار انجام شده، حدود 30 دقیقه بیشتر طول کشید تا دلیل ظاهر شدن تعدادی هشدار را پیدا کنم - من همگام سازی زمان، بایگانی کاتالوگ جهانی و موارد دیگری را که هرگز نتوانسته بودم به دست بیاورم کشف کردم. دست من قبلا اکنون همه چیز مانند یک ساعت کار می کند - مهمتر از همه، فراموش نکنید که اگر می خواهید کنترل کننده دامنه قدیمی را از شبکه حذف کنید، یک کنترلر دامنه پشتیبان راه اندازی کنید.

Domain Controller یک کامپیوتر سرور است که یک دامنه را مدیریت می کند و یک نسخه از دایرکتوری دامنه (پایگاه داده دامنه محلی) را ذخیره می کند. از آنجایی که می تواند چندین کنترلر دامنه در یک دامنه وجود داشته باشد، همه آنها ذخیره می شوند کپی کاملبخشی از دایرکتوری که به دامنه آنها تعلق دارد.

در زیر وظایف کنترلرهای دامنه آورده شده است.

• هر Domain Controller یک کپی کامل از تمام اطلاعات Active Directory مربوط به دامنه خود را نگهداری می کند و تغییرات این اطلاعات را برای کنترلرهای دیگر در همان دامنه مدیریت و تکرار می کند.
• همه کنترلرهای موجود در دامنه به طور خودکار تمام اشیاء موجود در دامنه را بین خود تکرار می کنند. هر تغییری که در اکتیو دایرکتوری ایجاد شود در واقع روی یکی از کنترلرهای دامنه ایجاد می شود. سپس این کنترل کننده دامنه تغییرات را به سایر کنترلرهای داخل دامنه خود تکرار می کند. با تنظیم فرکانس تکرار و میزان داده ای که ویندوز با هر تکرار منتقل می کند، می توانید تنظیم کنید ترافیک شبکهبین کنترل کننده های دامنه
• به روز رسانی های مهممانند غیرفعال کردن حساب کاربری، کنترل‌کننده‌های دامنه بلافاصله تکرار می‌شوند.
• اکتیو دایرکتوری از تکثیر مولتی مستر استفاده می کند که در آن هیچ کنترل کننده دامنه اصلی نیست. همه کنترلرها همتا هستند و هر کدام شامل یک کپی از پایگاه داده کاتالوگ است که می توان آن را تغییر داد. در دوره‌های زمانی کوتاه، اطلاعات موجود در این نسخه‌ها ممکن است متفاوت باشد تا زمانی که همه کنترل‌کننده‌ها با یکدیگر همگام شوند.
• وجود چندین کنترلر در یک دامنه، تحمل خطا را فراهم می کند. اگر یکی از کنترلرهای دامنه در دسترس نباشد، دیگری هر گونه عملیات لازم را انجام می دهد، مانند نوشتن تغییرات در Active Directory.
• کنترل‌کننده‌های دامنه، تعاملات دامنه کاربر، مانند یافتن اشیاء Active Directory و شناسایی تلاش‌های ورود به شبکه را مدیریت می‌کنند.

دو نقش اصلی عملیات وجود دارد که می‌توان به یک کنترل‌کننده دامنه در یک جنگل (نقش‌های محدود به جنگل) اختصاص داد:

• استاد طرحواره. اولین کنترل کننده دامنه در جنگل، نقش اصلی طرحواره را بر عهده می گیرد و مسئول نگهداری و توزیع طرحواره به بقیه جنگل است. فهرستی از تمام کلاس‌ها و ویژگی‌های شی ممکن که اشیایی را که در Active Directory قرار دارند را تعریف می‌کند، نگهداری می‌کند. اگر طرحواره نیاز به به روز رسانی یا تغییر داشته باشد، Schema Master مورد نیاز است.
• استاد نامگذاری دامنه. اضافه کردن و حذف دامنه ها را در جنگل ثبت می کند و برای حفظ یکپارچگی دامنه ها حیاتی است. Domain Naming Master زمانی درخواست می شود که دامنه های جدیدی به جنگل اضافه شود. اگر Domain Naming Master در دسترس نباشد، اضافه کردن دامنه های جدید امکان پذیر نیست. با این حال، در صورت لزوم، این نقش می تواند به کنترل کننده دیگری منتقل شود.

سه نقش اصلی عملیات وجود دارد که می‌توان به یکی از کنترل‌کننده‌های هر دامنه (نقش‌های دامنه) اختصاص داد.

• RID (Relative Identifier (RID) Master). مسئول تخصیص محدوده شناسه های نسبی (RID) به همه کنترل کننده ها در دامنه. SID در ویندوز سرور 2003 دارای دو بخش است. بخش اول برای همه اشیاء در دامنه مشترک است. برای ایجاد یک SID منحصر به فرد، یک RID منحصر به فرد به این قسمت اضافه می شود. آنها با هم، یک شی را منحصر به فرد شناسایی می کنند و محل ایجاد آن را نشان می دهند.
• شبیه ساز کنترل کننده دامنه اولیه (PDC). مسئول شبیه سازی ویندوز NT 4.0 PDC برای ماشین های سرویس گیرنده ای که هنوز به Windows 2000، Windows Server 2003 یا Windows XP منتقل نشده اند و سرویس گیرنده دایرکتوری را نصب نکرده اند. یکی از وظایف اصلی شبیه ساز PDC ثبت مشتریان قدیمی است. علاوه بر این، در صورت عدم موفقیت در تأیید اعتبار مشتری، با شبیه ساز PDC تماس گرفته می شود. این امر شبیه ساز PDC را قادر می سازد تا گذرواژه های اخیراً تغییر یافته را برای مشتریان قدیمی در دامنه، قبل از رد درخواست ورود بررسی کند.
• استاد زیرساخت. تغییرات ایجاد شده در اشیاء کنترل شده در دامنه را ثبت می کند. همه تغییرات ابتدا به Infrastructure Master گزارش می شود و سپس به سایر کنترلرهای دامنه تکرار می شود. Infrastructure Master اطلاعات گروه و عضویت را برای همه اشیاء در دامنه پردازش می کند. یکی دیگر از وظایف Infrastructure Master این است که اطلاعات مربوط به تغییرات ایجاد شده در اشیاء را به دامنه های دیگر منتقل کند.

برنج. 3.4. توزیع پیش‌فرض نقش‌های اصلی عملیات جنگل

نقش سرور کاتالوگ جهانی (GC) را می توان توسط هر کنترل کننده دامنه فردی در یک دامنه ایفا کرد - یکی از عملکردهای سرور که می تواند به یک کنترل کننده دامنه اختصاص داده شود. سرورهای کاتالوگ جهانی دو هدف مهم را انجام می دهند. آنها کاربران را قادر می سازند تا به شبکه وارد شوند و اشیاء را در هر قسمت از جنگل پیدا کنند. کاتالوگ جهانی شامل زیرمجموعه ای از اطلاعات از هر پارتیشن دامنه است و بین سرورهای کاتالوگ جهانی در دامنه تکرار می شود. هنگامی که کاربر سعی می کند از هر نقطه ای در جنگل وارد شبکه شود یا به منبع شبکه دسترسی پیدا کند، درخواست مربوطه با مشارکت کاتالوگ جهانی حل می شود. یکی دیگر از وظایف کاتالوگ جهانی، که مهم نیست چند دامنه در شبکه خود دارید، مفید است، شرکت در فرآیند احراز هویت زمانی که کاربر به شبکه وارد می شود. هنگامی که کاربر آنلاین می شود، ابتدا نام او با محتوای کاتالوگ جهانی بررسی می شود. این به شما امکان می‌دهد از رایانه‌هایی در دامنه‌هایی غیر از جایی که حساب کاربری مورد نظر ذخیره شده است، وارد شبکه شوید.

نصب یک دامین کنترلر بخش مهمی است شبکه ی کامپیوتریدر واقع کار خود را کنترل می کند. وظیفه اصلی آن راه اندازی سرویس مهم Active Directory است. با مرکز توزیع کلید - Kerberos کار می کند.

همچنین کار بر روی سیستم های سازگار با یونیکس را ارائه می دهد. در آنها، مجموعه نرم افزاری سامبا به عنوان یک کنترل کننده عمل می کند.

کنترل کننده دامنه برای ایجاد یک شبکه محلی استفاده می شود که در آن کاربران می توانند با نام خود و با اعتبار خود وارد شوند. آنها باید این کار را روی همه رایانه ها انجام دهند. همچنین نصب یک دامین کنترلر تعریفی از حقوق دسترسی به شبکه و مدیریت امنیت آن ارائه می کند. با کمک آن می توانید کل شبکه را به صورت متمرکز مدیریت کنید که بسیار مهم است.

کنترل‌کننده‌های دامنه همچنین می‌توانند Windows Server 2003 را اجرا کنند. بنابراین آنها ذخیره‌سازی همه داده‌های دایرکتوری، مدیریت عملیات کاربر و دامنه، کنترل ورود کاربر، تأیید اعتبار دایرکتوری و موارد دیگر را فراهم می‌کنند. همه آنها را می توان با استفاده از نصب کننده Active Directory ایجاد کرد. همچنین می تواند روی ویندوز NT کار کند. در اینجا، برای اینکه با اطمینان بیشتری کار کند، ایجاد می شود کنترل کننده اضافی... به کنترل کننده اصلی متصل خواهد شد.

V شبکه ویندوز NT یک سرور داشت. می توان از آن برای کار با کنترل کننده دامنه اصلی یا PDC استفاده کرد. همه سرورهای دیگر به عنوان سرورهای کمکی کار می کردند. آنها، برای مثال، می توانند همه کاربران را بررسی کنند، رمزهای عبور ذخیره و بررسی کنند و موارد دیگر عملیات مهم... اما در عین حال نمی‌توانستند کاربران جدیدی به سرور اضافه کنند، پسوردها و موارد مشابه را نیز نمی‌توانستند تغییر دهند، یعنی پیکربندی کنترل‌کننده دامنه کمتر بود. این عملیات فقط با استفاده از PDC قابل انجام است. سپس تغییرات ایجاد شده در آنها می تواند در تمام دامنه های پشتیبان اعمال شود. اگر سرور اصلی در دسترس نبود، دامنه پشتیبان نمی تواند به سطح اولیه ارتقا یابد.

با این حال، می‌توانید یک کنترل‌کننده دامنه را پیکربندی کنید، شبکه‌سازی کنید و سطح دامنه را در هر رایانه و در خانه بالا ببرید. یادگیری این حکمت به تنهایی آسان است. تمام ابزارهای لازم برای این کار در Control Panel - Add or Remove Programs - Install System Components قرار دارد. درست است، شما باید با آنها کار کنید، زیرا قبلاً دیسکی با سیستم عامل در رایانه خود نصب کرده اید. با وارد کردن دستور dcpromo می توانید نقش رایانه را با استفاده از خط فرمان افزایش دهید.

علاوه بر این، اعتبار کنترل کننده دامنه ممکن است با استفاده از آن انجام شود تاسیسات تخصصی، که در واقع در حالت خودکار کار می کنند، یعنی به شما اجازه می دهند که دریافت کنید اطلاعات لازمپس از شروع برنامه و تنظیم عملکرد کنترلرها پس از انجام عیب یابی. برای مثال، می‌توانید از ابزار Ntdsutil.exe استفاده کنید، که امکان اتصال به یک کنترل‌کننده دامین تازه نصب‌شده را برای آزمایش توانایی پاسخ به درخواست LDAP فراهم می‌کند. به همین ترتیب، با کمک این نرم افزار، می توان تعیین کرد که آیا کنترلر اطلاعاتی در مورد مکان نقش های FSMO در دامنه خود دارد یا خیر.

هنوز تعدادی هستند راه های سادهکه به شما امکان می دهد عملکرد صحیح کنترلرها را تشخیص دهید. به طور خاص، می توانید به HKEY _LOCAL _MACHINE \ SYSTEM \ CurrentControlSet \ Services (کلید رجیستری) بروید و زیر کلید NTDS را در آنجا جستجو کنید که وجود آن نشان دهنده عملکرد عادی کنترل کننده دامنه است. روشی برای معرفی نت حساب ها در خط فرمان وجود دارد و در آنجا اگر کامپیوتر دامین کنترلر باشد در خط کامپیوتر می بینید ارزش نقش BACKUP یا PRIMARY، مقادیر دیگر در رایانه های ساده موجود هستند.