Функции контроллера домена. Установка роли доменных служб Active Directory

Directory состоит в наличии отдельного файла данных, расположенного на каждом контроллере домена . Физическая реализация службы Active Directory описывается местоположением контроллеров домена , на которых расположена служба. При реализации службы Active Directory можно добавлять столько контроллеров доменов , сколько необходимо для поддержания служб каталога в данной организации. Имеется пять определенных ролей, которые может играть каждый из контроллеров домена . Они известны как роли хозяина операций (operations master roles) . Еще одна роль, которую может выполнять любой отдельный контроллер домена в домене, связана с глобальным каталогом (GC - Global Catalog ). В этом разделе мы рассмотрим хранилище данных службы Active Directory и контроллеры домена , на которых оно расположено.

Контроллеры доменов и их роли

Контроллер домена - это компьютер-сервер, управляющий доменом и хранящий реплику каталога домена ( локальную БД домена). Поскольку в домене может быть несколько контроллеров домена , все они хранят полную копию той части каталога, которая относится к их домену [ 6 ] .

Ниже перечислены функции контроллеров доменов [ 4 ] .

• Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена.
• Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. Какие-либо изменения, вносимые в Active Directory, на самом деле производятся на одном из контроллеров домена . Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликации и количество данных, которое Windows будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена .
• Важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно.
• Active Directory использует репликацию с несколькими хозяевами (multimaster replication ), в котором ни один из контроллеров домена не является главным. Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом.
• Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например записывать изменения в Active Directory.
• Контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.

Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу (роли, действующие в границах леса) [ 3 ] :

• Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно.
• Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, то добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.

Существует три роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене (общедоменные роли) [ 3 ] .

• Хозяин RID (Relative Identifier (RID) Master). Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть - общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан.
• Эмулятор основного контроллера домена (Primary Domain Controller ( PDC ) Emulator ). Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC - регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обращение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход.
• Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры домена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master - передавать информацию об изменениях, внесенных в объекты, в другие домены.

Рис. 3.4.

Роль " Сервер глобального каталога " (GC - Global Catalog) может выполнять любой отдельный контроллер домена в домене - одна из функций сервера, которую можно назначить контроллеру домена [ 13 ] . Серверы глобального каталога выполняют две важные задачи. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса. Глобальный каталог содержит подмножество информации из каждого доменного раздела и реплицируется между серверами глобального каталога в домене. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Другая задача глобального каталога, полезная независимо от того, сколько доменов в вашей сети, - участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись.

Концепция сайтов

Концепция сайтов используется продуктами семейства Microsoft BackOffice для минимизации трафика в глобальной сети и основывается на том, что ее основу составляет IP-сеть, для которой надо обеспечить наилучшие условия подключений вне зависимости от используемых приложений.

Сайт Windows Server 2003 - это группа контроллеров доменов , которые находятся в единой или нескольких IP-подсетях и связаны скоростными и надежными сетевыми соединениями. Сайты в основном используются для управления трафиком репликации. Контроллеры доменов внутри сайта могут свободно реплицировать изменения в базу данных Active Directory всякий раз, когда происходят такие изменения. Однако контроллеры доменов в разных сайтах сжимают трафик репликации и передают его по определенному расписанию, чтобы уменьшить сетевой трафик.

Сайты не являются частью пространства имен Active Directory. Когда пользователь просматривает логическое пространство имен, компьютеры и пользователи группируются в домены и OU без ссылок на сайты.

• Контроллеры доменов в границах сайта.
• Связи сайта (site links), сконфигурированные для соединения данного сайта с остальными. Связь состоит из двух частей: физического соединения между сайтами (обычно WAN-канала) и объекта связи сайта (site link object ). Этот объект создается в Active Directory и определяет протокол передачи трафика репликации (IP или SMTP). Объект связи сайта также инициирует выполнение запланированной репликации.

Планирование сайтов и их размещение зависит от физической топологии сети, при этом необходимо учитывать потребность в линиях связи для осуществления межсайтовой репликации по создаваемому расписанию.

Сайт с Active Directory состоит из одной или нескольких подсетей IP, которые могут быть определены администратором и изменены им путем включения новых подсетей.

Деление на сайты не зависит от доменной (логической) структуры, то есть:

• в сайте может быть один домен (либо только его часть) или несколько доменов;
• в домене (или даже в организационном подразделении) может быть несколько сайтов.

Создание сайтов, структура которых отражает физическое расположение

Лес в доменных службах Active Directory - самый верхний уровень иерархии логической структуры. Лес Active Directory представляет один отдельный каталог. Лес является границей безопасности. Это означает, что администраторы леса полностью управляют доступом к информации, хранящейся в пределах леса, и доступом к контроллерам домена, используемым для реализации леса.

В организациях, как правило, реализуется один лес, за исключением случаев, когда имеется конкретная потребность в нескольких лесах. Например, если для разных частей организации требуется создать отдельные административные области, для представления этих областей необходимо создать несколько лесов.

При реализации нескольких лесов в организации каждый лес по умолчанию работает отдельно от других лесов, как если бы он был единственным лесом в организации.

Примечание. Для интеграции нескольких лесов можно создать между ними отношения безопасности, которые называются внешними или доверительными отношениями лесов.

Операции на уровне леса

Доменные службы Active Directory - это служба каталогов с несколькими хозяевами. Это означает, что большинство изменений в каталог можно вносить на любом доступном для записи экземпляре каталога, т. е. на любом доступном для записи контроллере домена. Однако некоторые изменения являются монопольными. Это означает, что их можно вносить только на одном определенном контроллере домена в лесу или домене в зависимости от конкретного изменения. Говорят, что контроллеры домена, на которых можно вносить эти монопольные изменения, содержат роли хозяина операций. Существует пять ролей хозяина операций, две из которых являются ролями уровня леса, а остальные три - ролями уровня домена.

Две роли хозяина операций, назначаемые для всего леса:

• Хозяин именования доменов. Задача хозяина именования доменов - обеспечить наличие уникальных имен во всем лесу. Он гарантирует, что во всем лесу имеется только одно полное доменное имя каждого компьютера.
• Хозяин схемы. Хозяин схемы отслеживает схему леса и поддерживает изменения базовой структуры леса.

Поскольку эти роли являются ключевыми критическими ролями уровня леса, в каждом лесу должен быть только один хозяин схемы и хозяин именования доменов.

Дополнительные материалы:

Схема - это компонент доменных служб Active Directory, который определяет все объекты и атрибуты, используемые доменными службами Active Directory для хранения данных.

Доменные службы Active Directory хранят и получают сведения от множества приложений и служб. Поэтому для обеспечения возможности хранения и репликации данных от этих разных источников, доменные службы Active Directory определяют стандарт хранения данных в каталоге. Наличие стандарта хранения данных позволяет доменным службам Active Directory получать, обновлять и реплицировать данные с сохранением их целостности.

В качестве единиц хранения в доменных службах Active Directory используются объекты. Все объекты определяются в схеме. При каждой обработке данных каталогом каталог запрашивает схему в отношении соответствующего определения объекта. На основе определения объекта в схеме каталог создает объект и сохраняет данные.

От определений объектов зависят типы данных, которые объекты могут хранить, а также синтаксис данных. На основе этой информации схема обеспечивает соответствие всех объектов их стандартным определениям. В результате доменные службы Active Directory могут хранить, получать и проверять данные, которыми они управляют, независимо от приложения, являющегося исходным источником данных. В каталоге могут храниться только данные, имеющие существующее определение объекта в схеме. Если требуется сохранить данные нового типа, сначала необходимо создать в схеме новое определение объекта для этих данных.

Схема в доменных службах Active Directory определяет:

• объекты, используемые для хранения данных в каталоге;
• правила, определяющие, какие типы объектов можно создавать, какие атрибуты необходимо определить при создании объекта, и какие атрибуты являются необязательными;
• структуру и содержимое самого каталога.

Схема является элементом доменных служб Active Directory с единственным хозяином. Это означает, что вносить изменения в схему необходимо на контроллере домена, который содержит роль хозяина операций схемы.

Схема реплицируется среди всех контроллеров домена в лесу. Любое изменение, внесенное в схему, реплицируется на все контроллеры домена в лесу от владельца роли хозяина операций схемы, которым обычно является первый контроллер домена в лесу.

Поскольку схема определяет хранение информации и любые изменения, внесенные в схему, влияют на все контроллеры домена, изменения в схему следует вносить только при необходимости (посредством жестко контролируемого процесса) после выполнения тестирования, чтобы не было неблагоприятного воздействия на остальную часть леса.

Хотя в схему нельзя вносить никаких изменений непосредственно, некоторые приложения вносят изменения в схему для поддержки дополнительных возможностей. Например, при установке Microsoft Exchange Server 2010 в лес доменных служб Active Directory программа установки расширяет схему для поддержки новых типов объектов и атрибутов.

Дополнительные материал:

1.3 Что такое домен.

Домен - это административная граница. Во всех доменах есть учетная запись администратора, которая имеет все административные полномочия для всех объектов в домене. Хотя администратор может делегировать администрирование объектов в домене, его учетная запись сохраняет полное административное управление всеми объектами в домене.

В ранних версиях Windows Server считалось, что домены предназначены для обеспечения полного административного разделения; действительно, одной из основных причин выбора топологии с несколькими доменами было обеспечение такого разделения. Однако в доменных службах Active Directory учетная запись администратора в корневом домене леса имеет полное административное управление всеми объектами леса, в результате чего такое административное разделение на уровне доменов становится недействительным.

Домен - это граница репликации. Доменные службы Active Directory состоят из трех элементов, или разделов, - схемы , раздела конфигурации и раздела домена . Как правило, часто изменяется только раздел домена.

Раздел домена содержит объекты, которые, вероятно, должны часто обновляться ; такими объектами являются пользователи, компьютеры, группы и подразделения. Поэтому репликация доменных служб Active Directory состоит в основном из обновлений объектов, определенных в разделе домена. Только контроллеры домена в конкретном домене получают обновления раздела домена от других контроллеров домена. Разделение данных позволяет организациям реплицировать данные только туда, где они требуются. В результате каталог может глобально масштабироваться по сети, имеющей ограниченную пропускную способность.

Домен - это граница проверки подлинности. Подлинность каждой учетной записи пользователя в домене может проверяться контроллерами этого домена. Домены леса доверяют друг другу, благодаря чему пользователь из одного домена может получать доступ к ресурсам, расположенным в другом домене.

Операции на уровне домена

В каждом домене существует три роли хозяина операций. Эти роли, первоначально назначаемые первому контроллеру домена в каждом домене, перечислены ниже.

• Хозяин относительного идентификатора (RID). При каждом создании объекта в доменных службах Active Directory контроллер домена, где создается этот объект, назначает ему уникальный идентификационный номер, называемый идентификатором безопасности (SID). Чтобы два контроллера домена не могли назначить один и тот же SID двум разным объектам, хозяин RID выделяет блоки идентификаторов безопасности каждому контроллеру домена в домене.
• Эмулятор основного контроллера домена. Эта роль является самой важной, так как ее временная потеря становится заметной намного быстрее, чем потеря любой другой роли хозяина операций. Она отвечает за ряд функций уровня домена, включая:
• обновление состояния блокировки учетной записи;
• создание и репликацию объекта групповой политики единственным хозяином;
• синхронизацию времени для домена.
• Хозяин инфраструктуры. Эта роль отвечает за поддержание междоменных ссылок на объекты. Например, когда в группу одного домена входит член из другого домена, хозяин инфраструктуры отвечает за поддержание целостности этой ссылки.

Эти три роли должны быть уникальными в каждом домене, поэтому в каждом домене может быть только один хозяин RID, один эмулятор основного контроллера домена (PDC) и один хозяин инфраструктуры.

Дополнительные материалы:

Если доменные службы Active Directory содержат более одного домена, необходимо определить отношения между доменами. Если домены совместно используют общий корень и непрерывное пространство имен, они логически являются частью одного дерева Active Directory. Дерево не служит никакой административной цели. Другими словами, не существует администратора дерева, так как существует администратор леса или домена. Дерево обеспечивает логическое иерархическое группирование доменов, которые имеют родительско-дочерние отношения, определенные с помощью их имен. Дерево Active Directory сопоставляется с пространством имен службы доменных имен (DNS).

Деревья Active Directory создаются на основе отношений между доменами леса. Не существует серьезных причин, по которым требуется или не требуется создавать несколько деревьев в лесу. Однако следует иметь в виду, что одним деревом с его непрерывным пространством имен легче управлять и пользователям легче его визуализировать.

Если имеется несколько поддерживаемых пространств имен, рассмотрите вопрос использования нескольких деревьев в одном лесу. Например, если в организации существует несколько разных производственных отделов с разными публичными идентификаторами, можно создать свое дерево для каждого производственного отдела. Следует иметь в виду, что в таком сценарии нет разделения администрирования, поскольку корневой администратор леса по-прежнему полностью управляет всеми объектами леса независимо от того, в каком дереве они находятся.

1.5 Подразделения

Подразделение - это объект-контейнер в домене, который можно использовать для объединения пользователей, групп, компьютеров и других объектов. Есть две причины для создания подразделений.

• Настройка объектов, содержащихся в подразделении. Можно назначить объекты групповой политики подразделению и применить параметры ко всем объектам в этом подразделении.
• Делегирование административного управления объектами в подразделении. Можно назначить права управления подразделением, делегировав таким образом управление подразделением не являющемуся администратором пользователю или группе в доменных службах Active Directory.

Примечание. Подразделение - самая маленькая область или единица, которой можно назначить параметры групповой политики или делегировать права администратора.

Подразделения можно использовать для представления иерархических логических структур в организации. Например, можно создать подразделения, представляющие отделы в организации, географические регионы в организации, а также подразделения, являющиеся сочетанием отделов и географических регионов. После этого можно управлять конфигурацией и использовать учетные записи пользователей, групп и компьютеров на основе созданной модели организации.

В каждом домене доменных служб Active Directory имеется стандартный набор контейнеров и подразделений, которые создаются при установке доменных служб Active Directory. Эти контейнеры и подразделения перечислены ниже.

• Контейнер домена, служащий в качестве корневого контейнера иерархии.
• Встроенный контейнер, содержащий учетные записи администратора служб по умолчанию.
• Контейнер пользователей, являющийся расположением по умолчанию для новых учетных записей пользователей и групп, создаваемых в домене.
• Контейнер компьютеров, являющийся расположением по умолчанию для новых учетных записей компьютеров, создаваемых в домене.
• Подразделение контроллеров домена, являющееся расположением по умолчанию для учетных записей компьютеров контроллеров домена.

1.6 Отношения доверия

Отношение доверия позволяет одному объекту безопасности доверять другому объекту безопасности в целях проверки подлинности. В операционной системе Windows Server 2008 R2 объектом безопасности является домен Windows.

Основная цель отношения доверия - облегчить для пользователя в одном домене получение доступа к ресурсу в другом домене без необходимости поддержания учетной записи пользователя в обоих доменах.

В любом отношении доверия участвуют две стороны - доверяющий объект и доверенный объект. Доверяющий объект - это объект, владеющий ресурсом, а доверенный объект - это объект с учетной записью. Например, если вы отдаете кому-то во временное пользование ноутбук, вы доверяете этому человеку. Вы являетесь объектом, владеющим ресурсом. Ресурс - ваш ноутбук; тот, кому ноутбук отдается во временное пользование, является доверенным объектом с учетной записью.

Типы доверительных отношений

Доверительные отношения могут быть односторонними и двусторонними.

Одностороннее доверие означает, что, хотя один объект доверяет другому, обратное утверждение не соответствует истине. Например, если вы даете во временное пользование Steve свой ноутбук, это не значит, что Steve обязательно даст вам во временное пользование свой автомобиль.

При двустороннем доверии оба объекта доверяют друг другу.

Доверительные отношения могут быть транзитивными и нетранзитивными. Если при транзитивном доверии объект А доверяет объекту Б, а объект Б - объекту В, то объект А также неявно доверяет объекту В. Например, если вы даете во временное пользование Steve свой ноутбук, а Steve дает во временное пользование свой автомобиль Mary, вы можете дать во временное пользование Mary свой мобильной телефон.

Windows Server 2008 R2 поддерживает целый ряд доверительных отношений, предназначенных для использования в различных ситуациях.

В одном лесу все домены доверяют друг другу, используя внутренние двусторонние транзитивные доверительные отношения. По существу это означает, что все домены доверяют всем другим доменам. Эти доверительные отношения расширяются через деревья леса. Помимо таких автоматически создаваемых доверительных отношений, можно настраивать дополнительные доверительные отношения между доменами леса, между данным лесом и другими лесами и между данным лесом и другими объектами безопасности, например областями Kerberos или доменами операционной системы Microsoft Windows NT® 4.0. В следующей таблице приведены дополнительные сведения.

Тип доверия	Транзитивность	Направление	Описание
Внешнее	Нетранзитивное		Внешние отношения доверия используются для предоставления доступа к ресурсам, расположенным в домене Windows NT Server 4.0 или домене, который находится в отдельном лесу, не присоединенном доверительным отношением леса.
Доверие области	Транзитивное или нетранзитивное.	Одностороннее или двустороннее.	Доверительные отношения области используются для создания отношения доверия между областью Kerberos, управляемой операционной системой, отличной от Windows, и операционной системой Windows Server 2008 или доменом Windows Server 2008 R2.
Доверие леса	Транзитивное	Одностороннее или двустороннее.	Для разделения ресурсов между лесами используйте доверительные отношения лесов. Если доверительные отношения лесов являются двусторонними, запросы проверки подлинности, выполняемые в любом лесу, могут достигать другого леса.
Установленное напрямую доверие	Транзитивное	Одностороннее или двустороннее.	Установленные напрямую доверия используются для сокращения времени входа пользователей между двумя доменами в лесу Windows Server 2008 или Windows Server 2008 R2. Это применимо, когда два домена разделены двумя доменными деревьями.

2. Реализация доменных служб Active Directory

Для реализации доменных служб Active Directory необходимо развернуть контроллеры домена. Для оптимизации доменных служб Active Directory важно понимать, где и как следует создать контроллеры домена, чтобы оптимизировать сетевую инфраструктуру.

2.1 Что такое контроллер домена?

Домен создается при повышении уровня компьютера сервера Windows Server 2008 R2 до контроллера домена. Контроллеры домена содержат доменные службы Active Directory.

Контроллеры домена обеспечивают выполнение следующих функций в сети.

• Обеспечивает проверку подлинности. Контроллеры домена содержат базу данных учетных записей домена и обеспечивают работу служб проверки подлинности.
• Содержит роли хозяина операций в качестве дополнительной возможности. Эти роли ранее назывались ролями FSMO (Flexible Single Master Operations). Существует пять ролей хозяина операций - две роли уровня леса и три роли уровня домена. Эти роли можно переносить в соответствии с требованиями.
• Содержит глобальный каталог в качестве дополнительной возможности. В качестве сервера глобального каталога можно назначить любой контроллер домена.

Примечание. Глобальный каталог - это распределенная база данных, которая содержит доступное для поиска представление каждого объекта из всех доменов в лесу с несколькими доменами. Однако глобальный каталог не содержит всех атрибутов для каждого объекта. Вместо этого он поддерживает подмножество атрибутов, которые скорее всего пригодятся при поисках в домене.

2.2 Что такое контроллер домена только для чтения?

Контроллер домена только для чтения - это новый тип контроллера домена в Windows Server 2008 R2. Используя контроллер домена только для чтения, организации могут легко развертывать контроллер домена в местах, где невозможно гарантировать физическую безопасность. В контроллере домена только для чтения размещается реплика базы данных только для чтения в доменных службах Active Directory для данного домена. Контроллер домена только для чтения может также функционировать в качестве сервера глобального каталога.

Начиная с Windows Server 2008, организация может развертывать контроллер домена только для чтения в случаях ограниченной пропускной способности каналов глобальной сети или недостаточной физической безопасности компьютеров. В результате пользователи в такой ситуации могут получить преимущества благодаря:

• повышенная безопасность;
• более быстрому входу в систему;
• более эффективному доступу к ресурсам сети.

Функция контроллера домена только для чтения	Объяснение
База данных Active Directory только для чтения	За исключением паролей учетных записей, контроллер домена только для чтения содержит все объекты и атрибуты Active Directory, имеющиеся в контроллере домена, доступном для записи. Однако внесение изменений в реплику, хранящуюся в контроллере домена только для чтения, невозможно. Изменения необходимо вносить на контроллере домена, доступном для записи, и реплицировать в контроллер домена только для чтения.
Однонаправленная репликация	Поскольку изменения не записываются непосредственно в контроллер домена только для чтения, никакие изменения на таком контроллере не делаются. Поэтому контроллеры домена, доступные для записи, которые являются партнерами репликации, не должны получать изменения от контроллера только для чтения. В результате снижается рабочая нагрузка серверов-плацдармов в концентраторе и для отслеживания репликации требуется меньше усилий.
Кэширование учетных данных	Кэширование учетных данных - это сохранение учетных данных пользователей или компьютеров. Учетные данные состоят из небольшого набора паролей (около десяти), связанных с участниками безопасности. По умолчанию в контроллере домена только для чтения учетные данные пользователей и компьютеров не хранятся. Исключения составляют учетная запись компьютера контроллера домена только для чтения и особая учетная запись krbtgt (учетная запись центра службы распространения ключей Kerberos), имеющаяся в каждом контроллере домена только для чтения. Кэширование любых других учетных данных необходимо явно разрешить в контроллере домена только для чтения.
Разделение ролей администратора	Роль локального администратора контроллера домена только для чтения можно делегировать любому пользователю домена, не предоставляя ему никаких прав для домена или других контроллеров домена. В этом случае локальный пользователь филиала сможет входить в систему контроллера домена только для чтения и выполнять на нем операции обслуживания, например обновление драйвера. Однако пользователь филиала не будет иметь права входить в систему любого другого контроллера домена или выполнять любые другие задачи администрирования в домене.
Служба доменных имен только для чтения	Службу DNS-сервера можно установить на контроллере домена только для чтения. Контроллер домена только для чтения может реплицировать все разделы каталога приложений, которые используются DNS-сервером, включая разделы ForestDNSZones и DomainDNSZones. Если DNS-сервер установлен на контроллере домена только для чтения, клиенты могут направлять ему запросы на разрешение имен, как любому другому DNS-серверу.

Ниже резюмирована роль контроллера домена только для чтения.

• Контроллер домена, выполняющий роль хозяина операций эмулятора PDC для домена, должен работать под управлением операционной системы Windows Server 2008. Это необходимо для создания новой учетной записи krbtgt для контроллера домена, доступного только для чтения, а также для текущих операций этого контроллера.
• Контроллер домена только для чтения требует перенаправления запросов проверки подлинности на сервер глобального каталога (под управлением Windows Server 2008), расположенный на сайте, ближайшем к сайту с данным контроллером. На этом контроллере домена устанавливается политика репликации паролей, чтобы определить, реплицируются ли учетные данные в расположение филиала для перенаправляемого запроса от контроллера домена только для чтения.
• Для обеспечения доступности ограниченного делегирования Kerberos необходимо установить режим работы домена Windows Server 2003. Ограниченное делегирование используется для вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
• Для обеспечения доступности репликации связанного значения необходимо установить режим работы леса Windows Server 2003. Это обеспечивает более высокий уровень совместимости репликации.
• Необходимо запустить adprep /rodcprep один раз в лесу. При этом обновятся разрешения для всех разделов каталога приложений DNS в лесу, чтобы облегчить репликацию между контроллерами домена только для чтения, которые являются также DNS-серверами.
• Контроллер домена только для чтения не может содержать роли хозяина операций и работать в качестве сервера-плацдарма репликации.
• Контроллер домена только для чтения можно развернуть в системе Server Core для дополнительной безопасности.

Сайт - это логическое представление географической области в сети. Сайт представляет границу высокоскоростной сети для компьютеров доменных служб Active Directory, т. е. компьютеры, которые могут взаимодействовать с высокой скоростью и низкой задержкой, можно объединить в сайт; контроллеры домена в пределах сайта реплицируют данные доменных служб Active Directory оптимизированным для этой среды способом; такая конфигурация репликации является в значительной степени автоматической.

Примечание. Сайты используются клиентскими компьютерами для поиска таких служб, как контроллеры домена и серверы глобального каталога. Важно, чтобы каждый создаваемый сайт содержал по крайней мере один контроллер домена и сервер глобального каталога.

2.4 Репликация доменных служб Active Directory

1. Репликация доменных служб Active Directory - это передача изменений, внесенных в данные каталога, между контроллерами домена в лесу доменных служб Active Directory. Модель репликации доменных служб Active Directory определяет механизмы, позволяющие автоматически передавать обновления каталога между контроллерами домена, чтобы обеспечить решение по беспрепятственной репликации для службы распределенного каталога доменных служб Active Directory.
2. В доменных службах Active Directory есть три раздела. Раздел домена содержит наиболее часто изменяемые данные и поэтому создает большой поток данных репликации доменных служб Active Directory.

Связи сайтов Active Directory

1. Ссылка на сайт используется для обработки репликации между группами сайтов. Вы можете использовать предоставленную в AD DS ссылку на сайт по умолчанию или, при необходимости, создать дополнительные ссылки на сайт. Вы можете настроить параметры для ссылок на сайт, чтобы определить расписание и доступность пути репликации для упрощения управления репликацией.
2. Если два сайта связаны посредством ссылки на сайт, система репликации автоматически создает подключения между конкретными контроллерами доменов на каждом сайте, которые называются серверами-плацдармами.

2.5 Настройка DNS для доменных служб Active Directory

Установка DNS

AD DS требует DNS. Роль DNS-сервера не устанавливается в Windows Server 2008 R2 по умолчанию. Как и другие функциональные возможности, эта функция добавляется на основе роли, когда сервер настраивается для выполнения определенной роли.

Роль DNS-сервера можно установить, воспользовавшись ссылкой "Добавить роль" в диспетчере сервера. Роль DNS-сервера также может быть добавлена автоматически с помощью мастера установки доменных служб Active Directory (dcpromo.exe). Страница параметров контроллера домена в мастере позволяет добавить роль DNS-сервера.

Настройка зон DNS

После установки DNS-сервера можно начать добавлять зоны на сервер. Если DNS-сервер является контроллером домена, можно настроить хранение данных о зонах в AD DS. Тогда будет создана интегрированная зона Active Directory. Если этот параметр не выбран, данные о зонах будут храниться в файле, а не в AD DS.

Динамические обновления

При создании зоны вам также будет предложено указать, должно ли поддерживаться динамическое обновление. Динамическое обновление позволяет сократить усилия по управлению зоной, так как клиенты могут добавлять, удалять и обновлять собственные записи ресурсов.

Динамическое обновление допускает возможность подделки записи ресурса. Например, какой-нибудь компьютер может зарегистрировать запись с именем "www" и перенаправлять трафик с вашего веб-сайта на неправильный адрес.

Чтобы исключить возможность подделки, служба DNS-сервера Windows Server 2008 R2 поддерживает безопасное динамическое обновление. Клиент должен пройти проверку подлинности, прежде чем обновлять записи ресурсов, поэтому DNS-серверу известно, является ли клиент тем компьютером, которому разрешено изменять запись ресурса.

Передачи зон DNS

Предприятие должно стремиться к тому, чтобы зона могла быть разрешена принудительно по крайней мере двумя DNS-серверами.

Если зона интегрирована в доменные службы Active Directory, достаточно добавить роль DNS-сервера в другой контроллер домена в том же домене , где находится первый DNS-сервер. Интегрированные зоны Active Directory и репликация зоны DNS с помощью AD DS описаны в следующем уроке.

Если зона не является интегрированной в AD DS, необходимо добавить другой DNS-сервер и настроить его для размещения дополнительной зоны. Не следует забывать, что дополнительная зона является доступной только для чтения копией основной зоны.

Записи SRV

Запись ресурса локатора служб (SRV) разрешает запрос для сетевой службы, позволяя клиенту находить узел, предоставляющий определенную службу.

• Когда контроллер домена должен выполнить репликацию изменений с партнеров.
• Когда клиентскому компьютеру требуется пройти проверку подлинности в AD DS.
• Когда пользователь изменяет свой пароль.
• Когда сервер Microsoft Exchange выполняет поиск в каталоге.
• Когда администратор открывает оснастку "Active Directory - пользователи и компьютеры".

В SRV-записях используется следующий синтаксис.

имя.службы.протокола срок_жизни класс тип приоритет вес порт целевой_узел

Пример SRV-записи приведен ниже.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Запись состоит из следующих компонентов:

• Имя службы протокола, например служба LDAP, предлагаемая контроллером домена.
• Срок жизни в секундах.
• Класс (все записи DNS-сервера Windows будут иметь значение "IN" или "INternet").
• Тип: SRV;
• Значения приоритета и веса, которые помогают клиентам определить предпочтительный узел.
• Порт, в котором служба предлагается сервером. На контроллере домена Windows для LDAP стандартный порт - 389.
• Целевой объект, или узел службы, которым в данном случае является контроллер домена с именем hqdc01.contoso.com.

Когда клиентский процесс ищет контроллер домена, он может запросить службу LDAP у DNS. Запрос возвращает как SRV-запись, так и A-запись для одного или нескольких серверов, предоставляющих запрошенную службу.

В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:

1) Основной контроллер домена, ОС — Windows Server 2012 R2 with GUI, сетевое имя: dc1.

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS — это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

Теперь настроим службу DHCP. Запускаем оснастку.

Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

Далее укажем начальный и конечный адрес диапазона сети.

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.

Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу «DnsUpdateProxy». Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

Нажимаем Credentials и указываем там нашего пользователя DHCP.

Нажимаем ОК, перезапускаем службу.

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум и контроллеры домена.

Основным элементом эффективной корпоративной сети является контроллер домена Active Directory, управляющий многими службами и дающий многие преимущества.

Есть два пути построения ИТ-инфраструктуры - стандартный и случайный, когда прикладываются минимально достаточные усилия для решения возникающих задач, без построения четкой и надежной инфраструктуры. Например, построение одноранговой сети во всей организации и открытие общего доступа ко всем нужным файлам и папкам, без возможности контроля действий пользователей.

Очевидно, этот путь нежелателен, так как в конце концов придется разбирать и правильно организовывать хаотическое нагромождение систем, иначе оно не сможет функционировать - и ваш бизнес вместе с ним. Поэтому, чем раньше вы примете единственно правильное решение строить корпоративную сеть с контроллером домена - тем лучше для вашего бизнеса в долговременной перспективе. И вот почему.

“Домен — базовая единица ИТ-инфраструктуры на базе ОС семейства Windows, логическое и физическое объединение серверов, компьютеров, оборудования и учетных записей пользователей.”

Контроллер домена (КД) - отдельный сервер с ОС Windows Server, на котором запущены службы Active Directory, делающие возможной работу большого количества ПО, требующего КД для администрирования. Примерами такого ПО является почтовый сервер Exchange, облачный пакет Office 365 и другие программные среды корпоративного уровня от компании Microsoft.

Помимо обеспечения корректной работы этих платформ, КД дает бизнесу и организациям следующие преимущества:

• Развертывание терминального сервера . позволяет значительно сэкономить ресурсы и усилия, заменяя постоянное обновление офисных ПК единоразовой инвестицией в размещение “тонких клиентов” для подключения к мощному облачному серверу.
• Повышенная безопасность . КД позволяет задавать политики создания паролей и заставлять пользователей применять более сложные пароли чем дата своего рождения, qwerty или 12345.
• Централизованный контроль прав доступа . Вместо ручного обновления паролей на каждом компьютере отдельно, администратор КД может централизованно сменить все пароли за одну операцию с одного компьютера.
• Централизованное управление групповыми политиками . Средства Active Directory позволяют создать групповые политики и задать права доступа к файлам, папкам и другим сетевым ресурсам для определенных групп пользователей. Это в разы упрощает настройку учетных записей новых пользователей или изменение параметров существующих профилей.
• Сквозной вход . Active Directory поддерживает сквозной вход, когда при вводе своего логина и пароля для домена, пользователь автоматически подключается ко всем остальным службам типа почты и Office 365.
• Создание шаблонов настройки компьютеров . Настройка каждого отдельного компьютера при добавлении его в корпоративную сеть может быть автоматизирована с помощью шаблонов. Например, с помощью специальных правил могут быть централизованно отключены CD-приводы или USB-порты, закрыты определенные сетевые порты и так далее. Таким образом, вместо ручной настройки новой рабочей станции, администратор просто включает ее в определенную группу, и все правила для этой группы применятся автоматически.

Как видите, настройка контроллера домена Active Directory несет многочисленные удобства и преимущества для бизнеса и организаций любого размера.

Когда внедрять контроллер домена Active Directory в корпоративную сеть?

Мы рекомендуем задуматься о том, чтобы настроить контроллер домена для вашей компании уже при подключении в сеть более 10 компьютеров, так как гораздо легче задать необходимые политики для 10 машин, чем для 50. Кроме того, так как этот сервер не выполняет особо ресурсоемких задач, на эту роль вполне может подойти мощный настольный компьютер.

Однако важно помнить, что на этом сервере будут храниться пароли доступа к сетевым ресурсам и база данных пользователей домена, схема прав и групповых политик пользователей. Необходимо развернуть резервный сервер с постоянным копированием данных для обеспечения непрерывности работы контроллера домена, а это сделать гораздо быстрее, проще и надежнее используя серверную виртуализацию, предоставляемую при размещении корпоративной сети в облаке. Это позволяет избежать следующих проблем:

• Ошибочные настройки DNS-сервера , что приводит к ошибкам локации ресурсов в корпоративной сети и в сети Интернет
• Некорректно настроенные группы безопасности , приводящие к ошибкам прав доступа пользователей к сетевым ресурсам
• Некорректные версии ОС . Каждая версия Active Directory поддерживает определенные версии десктопных ОС Windows для тонких клиентов
• Отсутствие или неправильная настройка автоматического копирования данных на резервный контроллер домена.

Как говориться "вдруг откуда ни возьмись появился.... ....", ни чего ни предвещало беды, но тут начал глючить основной контроллер домена, и пока он еще дышал решил делегировать права основного домена на другой.

Для передачи роли “хозяина именования домена” выполняем следующие шаги:

После того как все роли переданы остаётся разобраться с оставшейся опцией – хранителем глобального каталога. Заходим в Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)

итог – мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена – понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.

Добровольная передача ролей fsmo при консолей ntdsutil.exe.

На случай, если передача ролей fsmo при консолей AD не удалась, создал очень удобную утилиту – ntdsutil.exe – обслуживания каталога Directory. Этот инструмент позволяет выполнять чрезвычайно действия – вплоть до всей базы данных AD из резервной копии, которую эта сама создала во время последнего изменения в AD. Со всеми её возможностями ознакомиться в знаний (Код статьи: 255504). В данном случае мы говорим о том, что ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.

Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» – мы заходим в на «основной» контроллер и начинаем передавать роли (команда transfer ).

Если у нас по каким-то причинам отсутствует основной контролер домена, или мы не можем войти под административной учетной – мы входим в на резервный контроллер домена и начинаем «отбирать» роли (команда seize ).

Итак случай – основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:

ntdsutil.exe

connect to имя_сервера (того кому хотим отдать роль)

Если выскакивают ошибки – нужно связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет – значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.

Полный список доступен запроса fsmo maintenance стандартным знаком? . Пришла пора передавать роли. Я сходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне, в ответ на запрос о передаче роли, возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в и обнаружил, что большинство людей дошедших до этапа передачи ролей сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть – и благополучно живёт без этой роли.

Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:

Хозяин идентификаторов;

Хозяин схемы;

Хозяин именования;

Хозяин инфраструктуры;

Контроллер домена;

После успешного к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли:

- transfer domain naming master

Transfer infrastructure master

Transfer rid master

Transfer schema master

Transfer pdc master

После выполнения каждой должен выходить запрос о том – действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения показан на (рис.4).

Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.

Принудительное присваивание ролей fsmo при ntdsutil.exe.

Второй случай – мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется – единственная разница в том, что мы проводим все операции, с использованием seize, но уже на том сервере, которому хотим передать роли для присвоения роли.

seize naming master

seize infrastructure master

seize rid master

seize schema master

Обратите внимание – если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.

Работа над ошибками.

Самое главное, о чём не следует забывать – новый основной контроллер домена сам себе TCP/IP не исправит: ему адресом первичного DNS теперь желательно (а если старый контроллер домена + DNS будут отсутствовать, то обязательно) указать 127.0.0.1 .При этом если у вас в есть DHCP сервер, то нужно заставить его выдавать адресом первичного DNS ip вашего нового сервера, если DHCP нет – пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, назначить новому контроллеру домена тот же ip что был у старого.Теперь необходимо как всё работает и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все сервера.После их включения внимательно все журналы событий на факт появления предупреждений и ошибок.Самым распространённым предупреждением, передачи ролей fsmo, является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».Исправляется просто: в с оригинального

Если и этого остаются ошибки связанные с DNS – всего удалить из него все зоны и создать вручную. Это довольно просто – главное создать основную зону по имени домена, хранящуюся в и реплицируемую на все контроллеры домена в сети.

Более подробную информацию об ошибках DNS даст ещё одна команда:

dcdiag /test:dns

По окончанию проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений – я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы – самое главное не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.