Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Windows Phone
  • Što je kontroler domene. Active Directory: Kontroleri domene

Što je kontroler domene. Active Directory: Kontroleri domene

12.06.2019 Windows Phone

Kontroleri domene su poslužitelji koji podržavaju Active Directory. Svaki kontroler domene ima svoju kopiju baze podataka Active Directory koja se može pisati. Kontrolori domene djeluju kao središnja sigurnosna komponenta u domeni.

Sve operacije sigurnosti i provjere računa izvode se na kontroloru domene. Svaka domena mora imati barem jedan kontroler domene. Radi tolerancije grešaka, preporučujemo da instalirate najmanje dva kontrolera domene po domeni.

U operacijskom sustavu Windows NT samo je jedan kontroler domene podržavao pisanje u bazu podataka, odnosno za stvaranje i promjenu postavki korisničkog računa bila je potrebna veza s kontrolerom domene.

Ovaj kontroler se zove primarni kontroler domene (Primary Domain Controller - PDC). Počevši od operacijskog sustava Windows 2000, arhitektura kontrolera domene promijenjena je kako bi se omogućilo ažuriranje baze podataka Active Directory na bilo kojem kontroleru domene. Nakon ažuriranja baze podataka na jednom kontroleru domene, promjene su replicirane na sve ostale kontrolere domene.

Iako svi kontroleri domene podržavaju pisanje u bazu podataka, oni nisu identični. U domenama i šumama Active Directory postoje zadaci koje izvode određeni kontrolori domene. Kontrolori domene s dodatnim odgovornostima poznati su kao majstori operacija. Neki Microsoftovi materijali nazivaju te sustave kao Fleksibilne operacije s jednim glavnim (FSMO). Mnogi ljudi vjeruju da se izraz FSMO koristi toliko dugo samo zato što kratica zvuči vrlo smiješno.

Postoji pet uloga gospodara operacija. Prema zadanim postavkama, svih pet uloga dodijeljeno je prvom kontroleru domene u šumi Active Directory. Tri glavne uloge operacija koriste se na razini domene i dodjeljuju se prvom kontroleru domene u kreiranoj domeni. Uslužni programi Active Directory o kojima ćemo dalje raspravljati omogućuju vam prijenos glavnih uloga operacija s jednog kontrolera domene na drugi kontroler domene. Osim toga, možete prisiliti kontrolor domene da preuzme određenu ulogu kao master operacije.

Postoje dvije uloge gospodara operacija koje djeluju na razini šume.

  • Master imenovanja domene- Ovi gospodari operacija moraju se kontaktirati svaki put kada se naprave promjene naziva unutar hijerarhije domene šume. Zadatak gospodara imenovanja domene je osigurati da nazivi domena budu jedinstveni unutar šume. Ova glavna uloga operacija mora biti dostupna prilikom stvaranja novih domena, brisanja domena ili preimenovanja domena
  • Master sheme- Uloga mastera sheme pripada jedinom kontroloru domene unutar šume gdje se mogu izvršiti promjene sheme. Nakon što su promjene napravljene, one se repliciraju na sve ostale kontrolere domene unutar šume. Kao primjer potrebe za izmjenama sheme, razmislite o instalaciji softverskog proizvoda Microsoft Exchange Server. Time se mijenja shema kako bi se administratoru omogućilo da istovremeno upravlja i korisničkim računima i poštanskim sandučićima.

Svaka uloga na razini šume može pripadati samo jednom kontroloru domene unutar šume. Odnosno, možete koristiti jedan kontroler kao master imenovanja domene, a drugi kontroler kao master sheme. Osim toga, obje se uloge mogu dodijeliti istom kontroleru domene. Ova se distribucija uloga koristi prema zadanim postavkama.

Svaka domena unutar šume ima kontroler domene koji obavlja svaku od uloga na razini domene.

  • Relativni ID glavni (RID master)- Master relativnih identifikatora odgovoran je za dodjelu relativnih identifikatora. Relativni identifikatori jedinstveni su dio sigurnosnog identifikatora (Sigurnosni ID - SID) koji se koristi za identifikaciju sigurnosnog objekta (korisnika, računala, grupe, itd.) unutar domene. Jedan od glavnih zadataka gospodara relativnog identifikatora je uklanjanje objekta iz jedne domene i dodavanje objekta drugoj domeni prilikom premještanja objekata između domena.
  • Majstor infrastrukture- Zadatak gospodara infrastrukture je sinkronizacija članstva u grupama. Kada se izvrše promjene u članstvu u grupi, gospodar infrastrukture priopćava promjene svim ostalim kontrolerima domene.
  • Emulator primarnog kontrolera domene (PDC emulator)- Ova uloga se koristi za emulaciju Windows NT 4 primarnog kontrolera domene za podršku Windows NT 4 sigurnosnih kontrolera domene. Drugi zadatak emulatora primarnog kontrolera domene je osigurati središnju točku administracije za promjene korisničke lozinke i pravila zaključavanja korisnika.

Riječ "politike" se u ovom odjeljku često koristi za označavanje objekata grupne politike (GPO). Objekti grupne politike jedna su od glavnih korisnih značajki Active Directoryja i o njima se govori u odgovarajućem članku, veza na koji je navedena u nastavku.

U srednjim i velikim tvrtkama uobičajena je praksa upravljanje korporativnom mrežnom infrastrukturom korištenjem usluga domene s jednim ili više kontrolera domene Active Directory koji tvore mjesta i šume. Usluge domene o kojima se govori u ovom članku omogućuju vam provjeru autentičnosti korisnika i klijentskih računala, centralno upravljanje infrastrukturnim jedinicama poduzeća pomoću grupnih politika, pružanje pristupa dijeljenim resursima i još mnogo toga. Struktura identifikacije i pristupa korporativnim mrežama Active Directory uključuje pet tehnologija:

  • Usluge domene Active Directory (AD DS);
  • Usluge certifikata Active Directory (AD CS);
  • Usluge upravljanja pravima Active Directory (AD RDS);
  • Active Directory Federation Services (AD FS);
  • Lagane usluge imenika (AD LDS).

Usluge domene (AD DS) smatraju se osnovnom tehnologijom Active Directoryja. Uz pomoć ove usluge možete implementirati kontroler domene, bez kojeg jednostavno nema potrebe za osnovnim uslugama. Uloga poslužitelja Active Directory Domain Services može se instalirati i pomoću grafičkog sučelja i alata za naredbeni redak u punom izdanju Windows Servera 2008/2008 R2, kao i u izdanjima jezgre poslužitelja Windows Server 2008/2008 R2 pomoću alata naredbenog retka . Ovaj će se članak posebno fokusirati na instalaciju AD DS uloge pomoću naredbenog retka (i u punoj verziji i u načinu kernela, Active Directory Domain Services instaliraju se pomoću alata naredbenog retka na isti način). No prije instaliranja ove uloge, preporučujem da se upoznate s nekim od pojmova koji se koriste u ovoj tehnologiji:

Kontroler domene. Kontroler domene je poslužitelj koji obavlja ulogu domenskih usluga ili usluga imenika, kako su ga prije nazivali, također ugošćuje pohranu podataka imenika i protokol Kerberos Key Distribution Center (KDC). Ovaj protokol omogućuje provjeru autentičnosti objekata identiteta u domeni Active Directory.

Domena. Domena je administrativna jedinica unutar koje se računala, sigurnosne grupe i korisnici nalaze na istoj mreži, kojom upravlja kontroler domene, koristeći iste specifične mogućnosti. Kontroler domene replicira particiju pohrane podataka koja sadrži identitete korisnika, grupa i računala u domeni. Štoviše, korisnički i računalni računi se ne nalaze lokalno na klijentskim računalima, već na kontroleru domene, odnosno mrežna prijava se koristi na svim radnim stanicama. Osim toga, domena je opseg različitih administrativnih politika.

Šuma. Zbirka domena koja koristi jednu shemu direktorija naziva se šuma domene. U suštini, šuma je najudaljenija granica usluge imenika, gdje se prva uspostavljena domena naziva korijenska domena. Unutar svake šume koristi se zajednička struktura imenika i konfiguracija usluge imenika. Šuma sadrži jedan opis mrežne konfiguracije i jednu instancu kataloga sheme. Šuma se može sastojati od jedne ili više domena. Unutar šume, domene su povezane odnosom roditelj-dijete. U ovom slučaju, naziv podređene domene nužno uključuje naziv nadređene domene.

Drvo. Unutar šume domene, prostor imena domene sadrži stabla šume. Domene se tumače kao stabla ako je jedna domena dijete druge. To znači da naziv korijenske domene stabla i svih njegovih podređenih domena ne mora sadržavati potpuno kvalificirano ime roditeljske domene. Šuma može sadržavati jedno ili više stabala domene.

Web stranica. Stranica je objekt Active Directory kao što je kontejner koji dijelu poduzeća pruža dobru mrežnu komunikaciju. Stranice obično koriste tvrtke koje imaju podružnice razasute po cijeloj zemlji ili po zemljama, pa čak i kontinentima. Stranica stvara perimetar replikacije i koristi usluge Active Directory. Glavni zadaci stranica su upravljanje prometom replikacije i lokalizacijom usluga. Replikacija se odnosi na premještanje promjena s jednog kontrolera domene na drugi, a lokalizacija usluge korisnicima omogućuje provjeru autentičnosti za bilo koji kontroler domene na cijelom web mjestu.

Instaliranje uloge domenskih usluga Active Directory

Za GUI instalaciju i alate naredbenog retka za stvaranje kontrolera domene, prvo morate instalirati ulogu domenskih usluga Active Directory, a zatim pokrenuti Čarobnjak za instalaciju usluga domene koji se otvara naredbom Dcpromo.exe. Primjer u ovom članku će instalirati kontroler domene pod Windows Server 2008 R2 u načinu pune instalacije, iako se sam proces ne razlikuje od instalacije u načinu kernela.

Da biste instalirali ulogu domenskih usluga Active Directory pomoću naredbenog retka, koristite alat za upravljanje konfiguracijom poslužitelja ServerManagerCmd. Prije instaliranja uloge Active Directory Domain Services, provjerite je li vaš poslužitelj preimenovan i jeste li konfigurirali IPv4 adresu uređaja. Učinite sljedeće:

Riža. 3. Instaliranje uloge Domain Services pomoću PowerShell-a

Podignite kontrolor domene usluga domene

Da biste automatski instalirali kontroler domene pomoću naredbenog retka, upotrijebite naredbu Dcporomo s određenim opcijama automatske instalacije. Za automatsku instalaciju dostupno je četrdesetak parametara. U našem slučaju nećemo koristiti parametre. Stoga, ako želite znati sve opcije, pokrenite naredbu Dcpromo /?:Promocija. Razmotrite parametre koji će nam biti korisni prilikom instaliranja kontrolera domene:

/NovaDomena– ovaj parametar definira tip kreirane domene. Dostupne opcije: Šuma– korijenska domena nove šume, stablo– korijenska domena novog stabla u postojećoj šumi, Dijete– podređena domena u postojećoj šumi;

/NovaDomenaDNSNime– pomoću ovog parametra navodi se puni naziv nove domene (FQDN);

/DomainNetBiosName– pomoću ovog parametra možete dodijeliti NetBIOS naziv za novu domenu;

/Razina šume- Koristeći ovaj parametar, možete odrediti funkcionalni način šume kada kreirate novu domenu u novoj šumi. Dostupne opcije: 0 – Izvorni način rada za Windows 2000 Server, 2 - Izvorni način Windows Server 2003, 3 - Izvorni način Windows Server 2008, 4 – Izvorni način rada za Windows Server 2008 R2;

/replika ili nova domena- Određuje hoće li se instalirati dodatni kontroler domene ili prvi kontroler u domeni. Dostupne opcije: Replika- dodatni kontroler domene u postojećoj domeni, Samo za čitanje Replika- kontroler domene samo za čitanje u postojećoj domeni, Domena- prvi kontroler domene u domeni;

/Razina domene- Određuje funkcionalnu razinu domene prilikom kreiranja nove domene u postojećoj šumi, a funkcionalna razina domene ne može biti niža od funkcionalne razine šume. Zadana vrijednost je postavljena na istu vrijednost kao /ForestLevel;

/InstalirajDNS– pomoću ovog parametra možete odrediti hoće li se sustav naziva domene instalirati za ovu domenu;

/dnsOnNetwork– Ovaj parametar određuje je li DNS usluga dostupna na mreži. Ova se postavka koristi samo ako mrežni adapter ovog računala nije konfiguriran s imenom DNS poslužitelja za razlučivanje imena. Značenje Ne znači da će na ovom računalu biti instaliran DNS poslužitelj radi razlučivanja imena. Inače, prvo morate konfigurirati naziv DNS poslužitelja za mrežni adapter.

/Puta baze podataka– pomoću ovog parametra možete odrediti puni put (ne u UNC formatu) do direktorija na fiksnom disku lokalnog računala gdje je pohranjena baza podataka domene. Na primjer, C:WindowsNTDS;

/LogPath- ovom opcijom možete odrediti puni put (ne u UNC formatu) do direktorija na fiksnom disku lokalnog računala koji sadrži datoteke dnevnika domene. Na primjer, C:WindowsNTDS;

/SysVolPath- pomoću ovog parametra možete odrediti puni put (ne u UNC formatu) do direktorija na fiksnom disku lokalnog računala, na primjer, C: WindowsSYSVOL;

/safeModeAdminPassword- Pomoću ovog parametra određuje se lozinka koja odgovara imenu administratora, koja se koristi za promicanje uloge kontrolora domene;

/RebootOnCompletion- Ovaj parametar određuje treba li ponovno pokrenuti računalo bez obzira na to je li operacija bila uspješna ili ne. Dostupne opcije: Da I Ne.

Kao rezultat toga, za instaliranje kontrolera domene koristit ćemo sljedeću naredbu:

Dcpromo /unattend /InstallDNS:Yes /dnsOnNetwork:Yes /ReplicaOrNewDomain:Domain /NewDomain:Forest /NewDomainDNSName:testdomain.com /DomainNetBiosName:testdomain /DatabasePath:"C:basePath:"C:BasePath:"C:Windows:"C:Windows:" /C:WinDS" :WindowsSYSVOL” /safeModeAdminPassword: [e-mail zaštićen]/Razina šume:4 /Razina domene:4 /RebootOnCompletion:Ne

Riža. 4. Instaliranje kontrolera domene

Zaključak

U ovom članku naučili ste o tehnologiji domenskih usluga Active Directory, naučili o značenju pojmova kao što su kontroler domene, domena, šuma, stablo i stranica. Ovaj članak opisuje postupak instaliranja uloge Domain Services i kontrolera domene pomoću uslužnih programa naredbenog retka ServerManagerCmd i Dcpromo.exe. Dostupne su upute korak po korak za instalaciju uloge domenskih usluga Active Directory pomoću alata za upravljanje konfiguracijom poslužitelja ServerManagerCmd i cmdleta PowerShell.

U ovoj ćemo bilješci detaljno razmotriti proces uvođenja prvog kontrolera domene u poduzeće. A bit će ih tri:

1) Primarni kontroler domene, OS - Windows Server 2012 R2 s GUI, naziv mreže: dc1.

Odaberite zadanu opciju, kliknite Dalje. Zatim odaberite zadani protokol IPv4 i ponovno kliknite Sljedeće.

Na sljedećem zaslonu postavite ID mreže (Network ID). U našem slučaju, 192.168.0. U polju Reverse Lookup Zone Name vidjet ćemo kako se adresa zone obrnutog pretraživanja automatski zamjenjuje. Kliknite Dalje.

Na zaslonu za dinamičko ažuriranje odabrat ćemo jednu od tri moguće opcije dinamičkog ažuriranja.

Dopusti samo sigurna dinamička ažuriranja. Ova je opcija dostupna samo ako je zona integrirana Active Directory.

Dopustite nesigurna i sigurna dinamička ažuriranja. Ovaj prekidač omogućuje svakom klijentu da ažurira svoje zapise DNS resursa kada dođe do promjena.

Zabrani dinamička ažuriranja (Ne dopuštaj dinamička ažuriranja). Ova opcija onemogućuje dinamička ažuriranja DNS-a. Treba ga koristiti samo ako zona nije integrirana s Active Directoryjem.

Odaberite prvu opciju, kliknite Dalje i dovršite konfiguraciju klikom na Završi.

Druga korisna opcija koja se obično konfigurira u DNS-u su prosljeđivači ili prosljeđivači, čija je glavna svrha keširanje i preusmjeravanje DNS zahtjeva s lokalnog DNS poslužitelja na vanjski DNS poslužitelj na Internetu, na primjer, onaj koji se nalazi kod ISP-a. Na primjer, želimo lokalna računala u našoj domenskoj mreži koja imaju DNS poslužitelj (192.168. . Za konfiguriranje prosljeđivača (Forwarders), idite na konzolu DNS upravitelja. Zatim u svojstvima poslužitelja idite na karticu Prosljeđivači i tamo kliknite Uredi.

Navedite barem jednu IP adresu. Nekoliko ih je poželjno. Pritisnemo OK.

Sada konfigurirajmo DHCP uslugu. Pokrenimo alat.

Prvo, postavimo cijeli radni raspon adresa s kojih će adrese biti preuzete za izdavanje klijentima. Odaberite Akcija\Novi opseg. Pokreće se čarobnjak za dodavanje područja. Postavite naziv područja.

Zatim navedite početnu i završnu adresu raspona mreže.

Zatim dodajte adrese koje želimo isključiti iz izdavanja kupaca. Kliknite Dalje.

Na zaslonu Trajanje najma, ako je potrebno, navedite vrijeme najma koje nije zadano. Kliknite Dalje.

Zatim se slažemo da želimo konfigurirati DHCP opcije: Da, sada želim konfigurirati ove opcije.

Slijedom ćemo naznačiti gateway, naziv domene, DNS adrese, WINS, a na kraju se slažemo s aktivacijom opsega klikom na: Da, želim sada aktivirati ovaj opseg. Završi.


Da bi DHCP usluga radila sigurno, poseban račun mora biti konfiguriran za dinamičko ažuriranje DNS zapisa. To se mora učiniti, s jedne strane, kako bi se spriječila dinamička registracija klijenata u DNS-u korištenjem administrativnog računa domene i njegova moguća zlouporaba, s druge strane, u slučaju rezervacije DHCP usluge i kvara glavnog poslužitelja. , bit će moguće prenijeti sigurnosnu kopiju zone na drugi poslužitelj, što će zahtijevati račun prvog poslužitelja. Kako bismo ispunili ove uvjete, u dodatku Active Directory Korisnici i računala stvorit ćemo račun pod nazivom dhcp i dodijeliti neograničenu lozinku odabirom opcije: Password Never Expires.

Dodijelite jaku lozinku korisniku i dodajte je u grupu DnsUpdateProxy. Zatim uklanjamo korisnika iz grupe Korisnici domene, nakon što primarnom korisniku dodijelimo DnsUpdateProxy grupu. Ovaj će račun biti isključivo odgovoran za dinamičko ažuriranje zapisa i neće imati pristup drugim resursima gdje su osnovna prava domene dovoljna.

Kliknite Primijeni, a zatim U redu. Ponovno otvorite DHCP konzolu. Idite na svojstva IPv4 protokola na kartici Napredno.

Kliknite Credentials i tamo navedite našeg DHCP korisnika.

Kliknite OK i ponovno pokrenite uslugu.

Na konfiguraciju DHCP-a vratit ćemo se kasnije kada budemo konfigurirali rezervacije DHCP usluga, ali da bismo to učinili, moramo također podići barem kontrolere domene.

UPD: Napravio sam video kanal na youtube-u na kojem postupno objavljujem trening videa iz svih područja IT-a u koja sam dobro upućen, pretplatite se: http://www.youtube.com/user/itsemaev

UPD2: Microsoft tradicionalno mijenja poznatu sintaksu u naredbenom retku, tako da uloge u svakoj verziji Windows Servera mogu zvučati drugačije. Više se uopće ne zovu fsmo, već majstori operacija. Dakle, za ispravne naredbe u konzoli nakon fsmo održavanja, jednostavno napišite? i prikazat će vam dostupne naredbe.

Uzeli su od mene članak u travanjskom časopisu "System Administrator" na temu "Bezbolna zamjena zastarjelog ili neispravnog kontrolera domene na bazi Windows Servera"

I čak su platili sto dolara i dali mi paket s mozgom)) Sad sam Onotole.


Bezbolna zamjena za zastarjeli ili neispravan kontroler domene baziran na sustavu Windows Server.(kome iznenada treba - šaljite slike)

Ako je vaš kontroler domene u kvaru ili potpuno zastario i treba ga zamijeniti - nemojte žuriti s planiranjem sljedećeg vikenda kreirati novu domenu na novom poslužitelju i mukotrpno prenositi korisničke strojeve na nju. Ispravno upravljanje rezervnim kontrolerom domene pomoći će vam da brzo i bezbolno zamijenite prethodni poslužitelj.

Gotovo svaki administrator koji radi s poslužiteljima baziranim na Windowsima, prije ili kasnije, suoči se s potrebom da potpuno zastarjeli primarni kontroler domene, čija daljnja nadogradnja više nema smisla, zamijeni novim i modernijim. Ima i gorih situacija - kontroler domene jednostavno postaje neupotrebljiv zbog kvarova na fizičkoj razini, a sigurnosne kopije i slike su zastarjele ili izgubljene
U principu, opis postupka zamjene jednog kontrolera domene drugim može se pronaći na raznim forumima, ali informacije su dane u fragmentima i, u pravilu, primjenjive samo na određenu situaciju, ali ne daju stvarno rješenje . Osim toga, čak i nakon što sam pročitao mnoštvo foruma, baza znanja i drugih resursa na engleskom, uspio sam kompetentno provesti postupak zamjene kontrolera domene bez grešaka tek od trećeg ili četvrtog puta.
Stoga želim dati korak-po-korak instrukciju za zamjenu kontrolera domene, bez obzira je li u funkciji ili ne. Jedina razlika je u tome što će kod “palog” kontrolera ovaj članak pomoći samo ako ste se unaprijed pobrinuli i postavili rezervni kontroler domene.

Priprema poslužitelja za promociju/degradaciju

Sama procedura izrade sigurnosnog kontrolera domene je elementarna - jednostavno pokrećemo dcpromo čarobnjaka na bilo kojem mrežnom poslužitelju. Pomoću dcpromo čarobnjaka stvaramo kontroler domene u postojećoj domeni. Kao rezultat izvršenih manipulacija, na našem dodatnom poslužitelju (nazvat ću ga pserver, a glavni kontroler će biti dcserver) dobivamo raspoređenu AD direktorijsku uslugu.
Nadalje, ako ga dcpromo nije sam ponudio, započinjemo instalaciju DNS poslužitelja. Ne trebate mijenjati nikakve postavke, također ne trebate kreirati zonu - ona je pohranjena u AD, a svi zapisi se automatski repliciraju u backup kontroler. Pažnja - glavna zona u DNS-u pojavit će se tek nakon replikacije, kako bi se ubrzalo što se poslužitelj može ponovno pokrenuti. U postavkama TCP/IP mrežne kartice rezervnog kontrolera domene, adresa primarnog DNS poslužitelja mora biti postavljena na IP adresu primarnog kontrolera domene.
Sada možete jednostavno provjeriti ispravnost poslužitelja kontrolera domene u stanju pripravnosti. Možemo stvoriti korisnika domene i na primarnom i na rezervnom kontroleru domene. Odmah nakon kreiranja pojavljuje se na dupliciranom poslužitelju, ali se otprilike minutu (dok se odvija replikacija) prikazuje kao onemogućen, nakon čega se počinje pojavljivati ​​isto na oba kontrolera.
Na prvi pogled, svi koraci za izradu radne sheme za interakciju nekoliko kontrolera domene su završeni, a sada će, u slučaju kvara "primarnog" kontrolera domene, "rezervni" kontroleri automatski obavljati svoje funkcije . Međutim, dok je razlika između "primarnog" i "rezervnog" kontrolera domene čisto nominalna, "primarni" kontroler domene ima niz značajki (FSMO uloge) koje treba imati na umu. Dakle, gore navedene operacije za normalno funkcioniranje usluge imenika u slučaju kvara "primarnog" kontrolora domene nisu dovoljne, a radnje koje se moraju poduzeti za ispravan prijenos / preuzimanje uloge primarnog kontrolera domene će biti opisan u nastavku.

Malo teorije

Morate biti svjesni da kontroleri domene Active Directory obavljaju nekoliko vrsta uloga. Te se uloge nazivaju FSMO (Fleksibilne operacije jednog glavnog gospodara):
- Master sheme (Scheme Master) - uloga je odgovorna za mogućnost promjene sheme - na primjer, postavljanje Exchange poslužitelja ili ISA poslužitelja. Ako je vlasnik uloge nedostupan, nećete moći promijeniti shemu postojeće domene;
- Master imenovanja domene - Ova uloga je potrebna ako vaša šuma domene ima više domena ili poddomena. Bez toga, neće biti moguće kreirati i brisati domene u jednoj šumi domene;
- Relative ID Master (Master relativnih identifikatora) - odgovoran je za stvaranje jedinstvenog ID-a za svaki AD objekt;
- Emulator primarnog kontrolera domene (Primary Domain Controller Emulator) - on je taj koji je odgovoran za rad s korisničkim računima i sigurnosnom politikom. Nedostatak komunikacije s njim omogućuje ulazak na radne stanice sa starom lozinkom, koja se ne može promijeniti ako je kontroler domene "pao";
- Infrastructure Master (Infrastructure Master) - uloga je odgovorna za prijenos informacija o AD objektima na druge kontrolere domene unutar cijele šume.
O tim se ulogama pobliže piše u mnogim bazama znanja, ali se glavna uloga gotovo uvijek zaboravlja – to je uloga Globalnog kataloga (Global Catalog). Zapravo, ovaj direktorij jednostavno pokreće LDAP uslugu na portu 3268, ali njegova nedostupnost spriječit će korisnike domene da se prijave. Zanimljivo je da svi kontroleri domene mogu imati ulogu globalnog kataloga u isto vrijeme.

Zapravo, možemo zaključiti – ako imate primitivnu domenu za 30-50 strojeva, bez proširene infrastrukture, koja ne uključuje poddomene – onda možda nećete primijetiti nedostatak pristupa vlasniku/vlasnicima prve dvije uloge. Osim toga, nekoliko puta sam naišao na organizacije koje rade više od godinu dana uopće bez kontrolera domene, ali u domenskoj infrastrukturi. Odnosno, sva su prava davno podijeljena, s funkcionalnim kontrolerom domene, i nije ih trebalo mijenjati, korisnici nisu mijenjali svoje lozinke i radili su tiho.

Odredite trenutne vlasnike fsmo uloga.

Pojašnjavam - kompetentno želimo zamijeniti kontroler domene bez gubitka njegovih sposobnosti. U slučaju da postoje dva ili više kontrolera u domeni, moramo saznati tko je vlasnik svake od fsmo uloga. To je dovoljno jednostavno učiniti pomoću sljedećih naredbi:

dsquery poslužitelj -hasfsmo shema
dsquery poslužitelj - hasfsmo ime
dsquery poslužitelj - hasfsmo rid
dsquery poslužitelj - hasfsmo pdc
dsquery poslužitelj - hasfsmo infr
dsquery poslužitelj -šuma -isgc

Svaka od naredbi prikazuje informacije o tome tko je vlasnik tražene uloge (slika 1). U našem slučaju, vlasnik svih uloga je primarni kontroler domene dcserver.

Dobrovoljni prijenos fsmo uloga pomoću Active Directory konzola.

Imamo sve potrebne informacije za prijenos uloge primarnog kontrolora domene. Počnimo: prvo moramo biti sigurni da je naš račun član grupa "Administratori domene", "Administratori sheme" i "Administratori poduzeća", a zatim nastaviti s tradicionalnom metodom prijenosa fsmo uloga - upravljanje domenom putem Active Directory konzole.

Za prijenos uloge "majstora naziva domene" izvršite sljedeće korake:
- otvorite "Active Directory Domains and Trust" na kontroloru domene s kojeg želimo prenijeti ulogu. Ako radimo s AD-om na kontroleru domene na koji želimo prenijeti ulogu, tada preskačemo sljedeću stavku;
- desnom tipkom miša kliknite ikonu Active Directory - Domains and Trusts i odaberite Poveži se s kontrolerom domene. Odabiremo kontroler domene na koji želimo prenijeti ulogu;
- desnom tipkom miša kliknite komponentu Active Directory - domene i povjerenja i odaberite naredbu Operations Masters;
- u dijaloškom okviru Change Operations Master kliknite gumb Promjena (slika 2).
- nakon potvrdnog odgovora na pop-up zahtjev, dobivamo uspješno prenesenu ulogu.

Slično, koristeći Active Directory Users and Computers konzolu, možete prenijeti uloge RID Master, PDC i Infrastructure Master.

Da biste prenijeli ulogu "majstora sheme", prvo morate registrirati biblioteku upravljanja shemama Active Directory u sustavu:

Nakon što su sve uloge prenesene, ostaje se pozabaviti preostalom opcijom - čuvarom globalnog kataloga. Ulazimo u Active Directory: “Sites and Services”, zadana stranica, poslužitelji, pronalazimo kontroler domene koji je postao glavni i u svojstvima njegovih NTDS postavki označite okvir pored globalnog kataloga. (slika 3)

Zaključak - promijenili smo vlasnike uloga za našu domenu. Tko se konačno treba riješiti starog kontrolera domene - spuštamo ga na članski poslužitelj. Međutim, jednostavnost poduzetih radnji kompenzira se činjenicom da je njihova provedba u nizu situacija nemoguća ili završava pogreškom. U tim slučajevima pomoći će nam ntdsutil.exe.

Dobrovoljni prijenos fsmo uloga pomoću konzola ntdsutil.exe.

U slučaju da prijenos fsmo uloga pomoću AD konzola ne uspije, Microsoft je stvorio vrlo zgodan uslužni program - ntdsutil.exe - program za održavanje direktorija Active Directory. Ovaj alat vam omogućuje izvođenje iznimno korisnih radnji - do vraćanja cijele AD baze podataka iz sigurnosne kopije koju je ovaj uslužni program sam stvorio tijekom posljednje promjene u AD-u. Sve njegove značajke mogu se pronaći u Microsoftovoj bazi znanja (ID članka: 255504). U ovom slučaju govorimo o činjenici da uslužni program ntdsutil.exe omogućuje i prijenos uloga i njihovo "odabir".
Ako želimo prenijeti ulogu s postojećeg “primarnog” kontrolera domene na “rezervni” kontroler, na “primarnom” kontroleru se prijavljujemo u sustav i počinjemo s prijenosom uloga (transfer naredba).
Ako iz nekog razloga nemamo primarni kontroler domene ili se ne možemo prijaviti pod administrativnim računom, prijavljujemo se na rezervni kontroler domene i počinjemo "odabrati" uloge (naredba seize).

Dakle, prvi slučaj - glavni kontroler domene postoji i funkcionira normalno. Zatim idemo na primarni kontroler domene i upisujemo sljedeće naredbe:

ntdsutil.exe
uloge
veze
spojite se na poslužitelj server_name (onaj kojem želimo dodijeliti ulogu)
q

Ako se pojave pogreške, trebate provjeriti vezu s kontrolerom domene na koji se pokušavamo povezati. Ako nema grešaka, onda smo se uspješno spojili na navedeni kontroler domene s pravima korisnika u čije ime unosimo naredbe.
Potpuni popis naredbi dostupan je nakon upita za održavanje fsmo sa standardnim znakom? . Vrijeme je za predaju uloga. Odmah sam, bez oklijevanja, odlučio prenijeti uloge redoslijedom kojim su navedene u uputama za ntdsutil i došao do zaključka da ne mogu prenijeti ulogu mastera infrastrukture. Meni je kao odgovor na zahtjev za prijenos uloge vraćena greška: "nemoguće je kontaktirati trenutnog vlasnika fsmo uloge." Dugo sam tražio informacije na netu i otkrio da se većina ljudi koji dođu u fazu prijenosa uloga susreće s ovom greškom. Neki od njih pokušavaju preuzeti tu ulogu na silu (ne izlaze), neki ostave sve kako jest - i žive sretno bez te uloge.
Putem pokušaja i pogrešaka saznao sam da je pri prijenosu uloga ovim redoslijedom zajamčen ispravan završetak svih koraka:
- vlasnik identifikatora;
- vlasnik sheme;
- vlasnik naziva;
- vlasnik infrastrukture;
- kontroler domene;

Nakon uspješnog povezivanja s poslužiteljem, dobivamo pozivnicu za upravljanje ulogama (fsmo održavanje) i možemo započeti prijenos uloga:
- prijenos master imenovanja domene
- majstor prijenosne infrastrukture
- prijenos osloboditi majstor
- master sheme prijenosa
- prijenos pdc master

Nakon izvršenja svake naredbe, trebao bi se pojaviti zahtjev s pitanjem želimo li stvarno prenijeti navedenu ulogu na navedeni poslužitelj. Rezultat uspješnog izvršenja naredbe prikazan je na slici 4.

Uloga čuvara globalnog kataloga prenosi se na način opisan u prethodnom odjeljku.

Prisilna dodjela fsmo uloga pomoću ntdsutil.exe.

Drugi slučaj - želimo dodijeliti ulogu primarnog našem backup kontroleru domene. U ovom slučaju se ništa ne mijenja - jedina razlika je što sve operacije izvodimo pomoću naredbe seize, ali već na poslužitelju na koji želimo prenijeti uloge za dodjelu uloge.

zauzeti gospodara imenovanja domene
zaplijeniti infrastrukturu gospodar
zgrabiti osloboditi gospodara
seize schema master
zaplijeniti pdc

Imajte na umu da ako ste oduzeli ulogu kontroleru domene koji trenutno nema, onda kada se pojavi na mreži, kontroleri će se početi sukobljavati i ne možete izbjeći probleme u funkcioniranju domene.

Radite na greškama.

Najvažnija stvar koju ne treba zaboraviti je da novi primarni kontroler domene neće popraviti TCP/IP postavke za sebe: sada je poželjno da navede 127.0.
U isto vrijeme, ako imate DHCP poslužitelj na vašoj mreži, onda ga morate prisiliti da izda ip adresu vašeg novog poslužitelja s adresom primarnog DNS poslužitelja, ako nema DHCP, prođite kroz sve strojeve i ručno im dodijelite ovaj primarni DNS. Alternativno, novom kontroleru domene možete dodijeliti isti IP koji je imao stari.

Sada morate provjeriti kako sve radi i riješiti se glavnih pogrešaka. Da biste to učinili, predlažem brisanje svih događaja na oba kontrolera, spremanje zapisnika u mapu s drugim sigurnosnim kopijama i ponovno pokretanje svih poslužitelja.
Nakon što ih omogućimo, pažljivo analiziramo sve zapise događaja na činjenice upozorenja i pogrešaka.

Najčešće upozorenje nakon prijenosa uloga na fsmo je poruka da "msdtc ne može ispravno obraditi promociju/spuštanje kontrolera domene do koje je došlo."
Popravak je jednostavan: u izborniku "Administracija" nalazimo "Usluge
komponente". Tamo proširujemo "Usluge komponenti", "Računala", otvaramo svojstva odjeljka "Moje računalo", tražimo "MS DTC" i tamo kliknemo "Sigurnosne postavke". Tu dopuštamo "Pristup DTC mreži" i pritisnemo OK. Usluga će se ponovno pokrenuti i upozorenje će nestati.

Primjer pogreške je poruka u kojoj se navodi da se glavna DNS zona ne može učitati ili da DNS poslužitelj ne vidi kontroler domene.
Probleme funkcioniranja domene možete razumjeti pomoću uslužnog programa (slika 5):

Ovaj uslužni program možete instalirati s originalnog Windows 2003 diska iz mape /support/tools. Uslužni program vam omogućuje da provjerite ispravnost svih usluga kontrolera domene, svaka od njegovih faza mora završiti riječima koje je uspješno prošlo. Ako ne uspijete (najčešće su to testovi veze ili sistemskog dnevnika), tada možete pokušati automatski popraviti pogrešku:

dcdiag /v /popravi

Kao opće pravilo, sve greške povezane s DNS-om trebale bi nestati. Ako ne, koristimo uslužni program za provjeru statusa svih mrežnih usluga:

I njegov korisni alat za otklanjanje pogrešaka:

netdiag /v /fix

Ako i nakon toga ostanu greške vezane uz DNS, najlakši način je ukloniti sve zone iz njega i kreirati ih ručno. Vrlo je jednostavno - glavna stvar je stvoriti primarnu zonu prema nazivu domene, pohranjenu u Active Directory i repliciranu na sve kontrolere domene na mreži.
Druga naredba će dati detaljnije informacije o DNS greškama:

dcdiag /test:dns

Na kraju obavljenog posla trebalo mi je još 30-ak minuta da saznam razlog pojavljivanja niza upozorenja - shvatio sam vremensku sinkronizaciju, arhiviranje globalnog kataloga i druge stvari koje nisam dobio u rukama na prije. Sada sve radi kao sat - što je najvažnije, ne zaboravite imati kontroler domene u stanju pripravnosti ako želite ukloniti stari kontroler domene s mreže.

Kako se kaže "iznenada se pojavio niotkuda .... ....", ništa nije nagovještavalo probleme, ali tada je glavni kontroler domene počeo otkazivati, i dok je još disao odlučio je delegirati prava glavne domene drugome.

Za prijenos uloge "majstora naziva domene" izvršite sljedeće korake:

Nakon što su sve uloge prenesene, ostaje se pozabaviti preostalom opcijom - čuvarom globalnog kataloga. Ulazimo u Direktorij: “Sites and Services”, zadana stranica, poslužitelji, pronalazimo kontroler domene koji je postao glavni i u svojstvima njegovih NTDS postavki označimo okvir pored globalnog kataloga. (slika 3)

rezultat - promijenili smo vlasnike uloga za našu domenu. Tko se konačno treba riješiti starog kontrolera domene - spuštamo ga na članski poslužitelj. Međutim, jednostavnost poduzetih radnji kompenzira se činjenicom da je njihova provedba u nizu situacija nemoguća ili završava pogreškom. U tim slučajevima pomoći će nam ntdsutil.exe.

Dobrovoljni prijenos fsmo uloga na konzolama ntdsutil.exe.

U slučaju da prijenos fsmo uloga s AD konzolama nije uspio, napravio sam vrlo zgodan uslužni program - ntdsutil.exe - za servisiranje direktorija imenika. Ovaj alat vam omogućuje izvođenje ekstremnih radnji - do cijele AD baze podataka iz sigurnosne kopije koju je sama stvorila tijekom zadnje promjene u AD-u. Da se upozna sa svim njegovim mogućnostima u znanju (šifra artikla: 255504). U ovom slučaju govorimo o činjenici da ntdsutil.exe omogućuje i prijenos uloga i njihovo "odabranje".

Ako želimo prenijeti ulogu s postojećeg “primarnog” kontrolera domene na “rezervni” kontroler, idemo na “primarni” kontroler i počinjemo prenositi uloge (naredba prijenos).

Ako iz nekog razloga nemamo primarni kontroler domene ili se ne možemo prijaviti pod administrativnim računom, prijavljujemo se na rezervni kontroler domene i počinjemo "odabrati" uloge (naredba uhvatiti).

Dakle, slučaj - primarni kontroler domene postoji i radi normalno. Zatim idemo na primarni kontroler domene i upisujemo sljedeće naredbe:

ntdsutil.exe

povežite se s server_name (onim kojem želimo dodijeliti ulogu)

Ako se pojave pogreške, moramo komunicirati s kontrolorom domene s kojim se pokušavamo povezati. Ako nema grešaka, onda smo se uspješno spojili na navedeni kontroler domene s pravima korisnika u čije ime unosimo naredbe.

Potpuni popis dostupan je u upitu za održavanje fsmo sa standardnim znakom? . Vrijeme je za predaju uloga. Odmah sam, bez oklijevanja, odlučio prenijeti uloge redoslijedom kojim su navedene u uputama za ntdsutil i došao do zaključka da ne mogu prenijeti ulogu mastera infrastrukture. Meni je kao odgovor na zahtjev za prijenos uloge vraćena greška: "nemoguće je kontaktirati trenutnog vlasnika fsmo uloge." Dugo sam tražio informacije i otkrio da većina ljudi koji dođu u fazu prijenosa uloga susreću se s ovom pogreškom. Neki od njih pokušavaju preuzeti tu ulogu na silu (ne izlaze), neki ostave sve kako jest - i žive sretno bez te uloge.

Putem pokušaja i pogrešaka saznao sam da je pri prijenosu uloga ovim redoslijedom zajamčen ispravan završetak svih koraka:

Vlasnik identifikatora;

Vlasnik sheme;

majstor imenovanja;

Vlasnik infrastrukture;

kontroler domene;

Nakon uspješnog povezivanja s poslužiteljem, dobivamo pozivnicu za upravljanje ulogama (održavanje fsmo-a) i možemo započeti prijenos uloga:

- prijenos master imenovanja domene

Master prijenos infrastrukture

Prijenos osloboditi majstora

Prijenos master sheme

Prijenos pdc mastera

Nakon izvršenja svakog od njih, trebao bi se pojaviti zahtjev s pitanjem želimo li stvarno prenijeti navedenu ulogu na navedeni poslužitelj. Rezultat uspješnog izvršenja prikazan je na (slika 4).

Uloga čuvara globalnog kataloga prenosi se na način opisan u prethodnom odjeljku.

Forsiranje fsmo uloga na ntdsutil.exe.

Drugi slučaj je da želimo dodijeliti ulogu primarnog našem backup kontroleru domene. U ovom slučaju se ništa ne mijenja - jedina razlika je što sve operacije izvodimo koristeći seize, ali već na poslužitelju na koji želimo prenijeti uloge za dodjelu uloge.

zgrabi majstora imenovanja

zaplijeniti infrastrukturu gospodar

zgrabiti osloboditi gospodara

seize schema master

Imajte na umu da ako ste oduzeli ulogu od kontrolera domene koji trenutno nema, onda kada se pojavi u kontrolerima, oni će se početi sukobljavati i ne možete izbjeći probleme u funkcioniranju domene.

Radite na greškama.

Najvažnija stvar koju ne treba zaboraviti je da novi primarni kontroler domene neće sam popraviti TCP/IP: sada je poželjno da navede 127.0. Ako imate DHCP poslužitelj, morate ga prisiliti da izda adresu primarnog DNS ip-a vašeg novog poslužitelja, ako nema DHCP-a, prođite kroz sve strojeve i ručno im dodijelite ovaj primarni DNS. Kao opciju, novom kontroleru domene dodijelite isti ip koji je imao stari.Sada trebate vidjeti kako sve funkcionira i riješiti se glavnih grešaka. Da biste to učinili, predlažem brisanje svih događaja na oba kontrolera, spremanje zapisnika u mapu s drugim sigurnosnim kopijama i ponovno pokretanje svih poslužitelja. Nakon što ih omogućite, pažljivo sve zapisnike događaja za upozorenja i pogreške. da "msdtc ne može ispravno obraditi promociju/degradaciju kontrolera domene koji se dogodio." Popravak je jednostavan: iz originala

Ako greške povezane s DNS-om ostanu, samo izbrišite sve zone iz njega i kreirajte ih ručno. Vrlo je jednostavno - glavna stvar je stvoriti primarnu zonu po imenu domene, pohranjenu i repliciranu na sve kontrolere domene na mreži.

Druga naredba će dati detaljnije informacije o DNS greškama:

dcdiag /test:dns

Na kraju obavljenog posla trebalo mi je još 30-ak minuta da saznam razlog pojavljivanja niza upozorenja - shvatio sam vremensku sinkronizaciju, arhiviranje globalnog kataloga i druge stvari koje nisam dobio u rukama na prije. Sada sve radi kao sat - što je najvažnije, ne zaboravite imati rezervni kontroler domene ako želite ukloniti stari kontroler domene s mreže.

Vrhunski povezani članci

O nagradi mus-tv Glasovanje za kandidate za mus tv
O nagradi mus-tv Glasovanje za kandidate za mus tv
Nagrada
Nagrada "Za doprinos razvoju glazbene industrije"
Kako djeluje virus gripe: zašto se razbolimo?
Kako djeluje virus gripe: zašto se razbolimo?
Kategorije:
© 2022 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.