Glavni element djelotvornog korporativna mreža je kontrolor domena aktivna Imenik, koji upravlja mnogim uslugama i pruža brojne pogodnosti.
Postoje dva načina za izgradnju IT infrastrukture – standardni i slučajni, kada se ulažu minimalno dovoljni napori za rješavanje novonastalih problema, bez izgradnje jasne i pouzdane infrastrukture. Na primjer, izgradnja peer-to-peer mreže kroz organizaciju i otvaranje javni pristup svima potrebne datoteke i mape, bez mogućnosti kontrole radnji korisnika.
Očito, ovaj put nije poželjan, jer ćete na kraju morati rastaviti i pravilno organizirati kaotičnu zbrku sustava, inače neće moći funkcionirati - a s njim ni vaš posao. Stoga, što prije prihvatite jedini ispravno rješenje izgradnja korporativne mreže s kontrolerom domene dugoročno je bolja za vaše poslovanje. I zato.
“Domena je osnovna jedinica IT infrastrukture temeljena na OS-u Windows obitelj, logička i fizička unija poslužitelja, računala, opreme i korisničkih računa.”
Kontroler domene (DC) je zasebni poslužitelj koji pokreće Windows Server OS na kojem Aktivne usluge Imenik radi moguć posao velika količina Softver koji zahtijeva CD za administraciju. Primjeri takvog softvera su poslužitelj pošte Razmjena, oblak Uredski paket 365 i drugi softverska okruženja korporativnoj razini iz Microsoft.
Osim pružanja ispravan rad od ovih platformi, CD daje tvrtkama i organizacijama sljedeće prednosti:
- Raspoređivanje terminalski poslužitelj . omogućuje vam da značajno uštedite resurse i trud zamjenom stalno ažuriranje uredska računala uz jednokratnu investiciju u plasman “ tanki klijenti” za povezivanje s moćnim poslužiteljem u oblaku.
- Povećana sigurnost. CD vam omogućuje da postavite politiku stvaranja lozinki i prisilite korisnike da koriste više složene lozinke od vašeg datuma rođenja, qwerty ili 12345.
- Centralizirana kontrola prava pristupa. Umjesto ručno ažuriranje lozinke na svakom računalu zasebno, administrator CD-a može centralno promijeniti sve lozinke u jednoj operaciji s jednog računala.
- Centralizirano upravljanje grupnim pravilima. Objekti Aktivni direktorij omogućuju vam stvaranje grupnih pravila i postavljanje prava pristupa datotekama, mapama i drugim mrežnim resursima za određene grupe korisnika. Ovo uvelike pojednostavljuje postavljanje novih korisničkih računa ili promjenu postavki postojećih profila.
- Prolazni ulaz. Active Directory podržava prolaznu prijavu, kada se prilikom unosa korisničkog imena i lozinke za domenu korisnik automatski spaja na sve ostale servise poput pošte i Office 365.
- Izrada predložaka za postavljanje računala. Postavljanje svake zasebno računalo kada se doda u korporativnu mrežu, može se automatizirati pomoću predložaka. Na primjer, korištenjem posebnih pravila, CD pogoni ili USB priključci mogu se centralno onemogućiti mrežni priključci i tako dalje. Dakle umjesto ručne postavke novi radna stanica, administrator ga jednostavno uključi u određenu grupu, a sva pravila za tu grupu će se automatski primijeniti.
Kao što vidite, postavljanje kontrolera domene Active Directory donosi brojne pogodnosti i prednosti tvrtkama i organizacijama svih veličina.
Kada implementirati Active Directory kontroler domene u korporativnu mrežu?
Preporučujemo da razmislite o postavljanju kontrolera domene za svoju tvrtku kada imate više od 10 računala povezanih na mrežu, budući da je puno lakše postaviti potrebna pravila za 10 strojeva nego za 50. Osim toga, budući da ovaj poslužitelj ne obavljanje zadataka koji zahtijevaju posebno resurse. Moćno stolno računalo moglo bi biti prikladno za ovu ulogu.
Međutim, važno je zapamtiti da će ovaj poslužitelj pohraniti lozinke za pristup mrežnim resursima i bazi podataka korisnika domene, shemu prava i grupne politike korisnika. Treba proširiti rezervni poslužitelj uz stalno kopiranje podataka kako bi se osigurao kontinuitet rada kontrolera domene, a to se može učiniti puno brže, lakše i pouzdanije korištenjem virtualizacija poslužitelja pruža se prilikom smještaja korporativne mreže u oblaku. Time se izbjegavaju sljedeći problemi:
- Netočne postavke DNS poslužitelja, što dovodi do pogrešaka u lokaciji resursa na korporativnoj mreži i na Internetu
- Neispravno konfigurirane sigurnosne grupešto dovodi do pogrešaka u korisničkim pravima pristupa mrežnim resursima
- Neispravne verzije OS-a. Svaki Aktivna verzija Imenik podržava određene verzije desktop Windows OS za tanke klijente
- Odsutnost ili neispravna postavka automatsko kopiranje podaci na rezervni kontroler domene.
Kontroler domene je poslužiteljsko računalo koje upravlja domenom i pohranjuje repliku direktorija domene (lokalna baza podataka domene). Budući da domena može imati više kontrolera domene, svi oni pohranjuju puna kopija onaj dio imenika koji pripada njihovom .
Slijede funkcije kontrolera domene.
- Svaki kontroler domene održava potpunu kopiju svih informacija Active Directoryja koje se odnose na njegovu domenu, a također upravlja i replicira promjene tih informacija na druge kontrolere u istoj domeni.
- Svi kontroleri u domeni automatski međusobno repliciraju sve objekte u domeni. Sve promjene u Active Directoryju zapravo se rade na jednom od kontrolera domene. Ovaj kontroler domene zatim replicira promjene na preostale kontrolere unutar svoje domene. Postavljanjem učestalosti replikacije i količine podataka koje će Windows prenijeti sa svakom replikacijom možete kontrolirati mrežni promet između kontrolera domene.
- Važna ažuriranja, kao što je onemogućavanje korisničkog računa, kontroleri domene odmah repliciraju.
- Active Directory koristi multimaster replikaciju, u kojoj nijedan kontroler domene nije glavni. Svi kontroleri su jednaki, a svaki kontroler sadrži kopiju baze podataka imenika koja se može mijenjati. U kratkim vremenskim razdobljima informacije u tim kopijama mogu se razlikovati dok se svi kontroleri međusobno ne sinkroniziraju.
- Posjedovanje više kontrolera u domeni osigurava toleranciju na pogreške. Ako je jedan od kontrolera domene nedostupan, drugi će to preuzeti potrebne operacije, na primjer, bilježenje promjena u Active Directory.
- Kontrolori domene upravljaju interakcijama između korisnika i domene, kao što je pronalaženje Aktivni objekti Imenik i prepoznavanje pokušaja prijave na mrežu.
Postoje dvije glavne uloge operacija koje se mogu dodijeliti jednom kontroleru domene u šumi (uloge koje djeluju izvan granica šume):
- Master sheme. Prvi kontroler domene u šumi preuzima ulogu gospodara sheme i odgovoran je za održavanje i širenje sheme ostatku šume. Održava popis svih mogućih klasa objekata i atributa koji definiraju objekte koji se nalaze u aktivnom imeniku. Ako shemu treba ažurirati ili promijeniti, potreban je glavni shema.
- Majstor imenovanja domena. Bilježi dodavanje i uklanjanje domena u šumi i ključno je za održavanje integriteta domene. Domain Naming Master se zahtijeva kada se nove domene dodaju u šumu. Ako Domain Naming Master nije dostupan, tada dodavanje novih domena nije moguće; međutim, ova se uloga može prenijeti na drugog kontrolora ako je potrebno.
Postoje tri glavne uloge operacija koje se mogu dodijeliti jednom od kontrolera u svakoj domeni (uloge na razini domene).
- Glavni relativni identifikator (RID). Odgovoran za dodjelu raspona relativnog identifikatora (RID) svim kontrolerima u domeni. SID u sustavu Windows Server 2003 ima dva dijela. Prvi dio je zajednički svim objektima u domeni; za stvaranje jedinstvenog SID-a, jedinstveni RID se dodaje ovom dijelu. Zajedno oni jedinstveno identificiraju objekt i pokazuju gdje je stvoren.
- Emulator primarnog kontrolera domene (PDC). Odgovoran za Windows emulacija NT 4.0 PDC za klijentska računala koja još nisu nadograđena na Windows 2000, Windows Server 2003 ili Windows XP i koja nemaju instaliran Directory Services Client. Jedan od glavnih zadataka PDC emulatora je registracija naslijeđenih klijenata. Osim toga, PDC emulator se kontaktira ako provjera autentičnosti klijenta ne uspije. Ovo omogućuje PDC emulatoru da provjeri nedavno promijenjene lozinke za stare klijente u domeni prije nego što odbije zahtjev za prijavu.
- Majstor za infrastrukturu. Registrira promjene napravljene na kontroliranim objektima u domeni. Sve promjene se prvo prijavljuju Infrastructure Masteru, a tek onda se repliciraju na druge kontrolere domene. Infrastrukturni master obrađuje podatke o grupi i članstvu za sve objekte u domeni. Drugi zadatak Infrastructure Mastera je komuniciranje informacija o promjenama na objektima drugim domenama.
Riža. 3.4. Zadana raspodjela uloga voditelja šumskih operacija
Ulogu poslužitelja globalnog kataloga (GC) može obavljati bilo koji pojedinačni kontroler domene u domeni - jedna od funkcija poslužitelja koja se može dodijeliti kontroleru domene. Poslužitelji globalnog kataloga obavljaju dvije važne zadaće. Korisnicima omogućuju prijavu na mrežu i pronalaženje objekata u bilo kojem dijelu šume. Globalni katalog sadrži podskup informacija sa svake particije domene i replicira se među poslužiteljima globalnog kataloga u domeni. Kada se korisnik pokuša prijaviti na mrežu ili pristupiti nekoj mrežni resurs s bilo kojeg mjesta u šumi, odgovarajući zahtjev se rješava pomoću globalnog kataloga. Još jedan zadatak globalnog imenika koji je koristan bez obzira na to koliko domena imate na mreži jest sudjelovanje u procesu provjere autentičnosti kada se korisnik prijavi na mrežu. Kada se korisnik prijavi na mrežu, njegovo se ime najprije provjerava prema sadržaju globalnog imenika. To vam omogućuje prijavu na mrežu s računala u domenama različitim od onih na kojima je pohranjeno željeno korisničko ime. Račun.
U ovoj bilješci detaljno ćemo razmotriti proces implementacije prvog kontrolera domene u poduzeću. A bit će ih ukupno tri:
1) Primarni kontroler domene, OS - Windows Server 2012 R2 s GUI-jem, ime mreže: dc1.
Odaberite zadanu opciju i kliknite Dalje. Zatim odaberite zadani protokol IPv4 i ponovno kliknite Dalje.
Na sljedećem ekranu postavit ćemo ID mreže. U našem slučaju, 192.168.0. U polju Naziv zone obrnutog pretraživanja vidjet ćemo kako se automatski upisuje adresa zone obrnutog pretraživanja. Pritisnite Dalje.
Na zaslonu dinamičkog ažuriranja odaberite jedno od tri moguće opcije dinamičko ažuriranje.
Dopusti samo sigurna dinamička ažuriranja. Ova je opcija dostupna samo ako je zona integrirana u Active Directory.
Dopusti i nesigurna i sigurna dinamička ažuriranja. Ovaj prekidač omogućuje bilo kojem klijentu da ažurira svoje zapise DNS resursa kada dođe do promjena.
Ne dopuštaj dinamička ažuriranja. Ova opcija onemogućuje dinamiku DNS ažuriranja. Treba se koristiti samo ako zona nije integrirana s Active Directoryjem.
Odaberite prvu opciju, kliknite Dalje i dovršite postavljanje klikom na Završi.
Još jedan korisna opcija, koji se obično konfigurira u DNS-u, su poslužitelji za prosljeđivanje ili prosljeđivači, čija je glavna svrha predmemorirati i preusmjeravati DNS upite s lokalnog DNS poslužitelja na vanjski DNS poslužitelj na Internetu, na primjer, onaj koji se nalazi kod ISP-a. Na primjer, želimo lokalna računala u našoj domenskoj mreži, u mrežne postavke koji imaju registrirani DNS poslužitelj (192.168.0.3) mogli pristupiti internetu, potrebno je da naš lokalni dns poslužitelj je konfiguriran za rješavanje DNS zahtjeva s uzvodnog poslužitelja. Da biste konfigurirali poslužitelje za prosljeđivanje (Prosljeđivači), idite na konzolu upravitelja DNS-a. Zatim u svojstvima poslužitelja idite na karticu Prosljeđivači i tamo kliknite Uredi.
Navodimo barem jednu IP adresu. Po mogućnosti nekoliko. Pritisnite OK.
Sada konfigurirajmo DHCP uslugu. Pustimo opremu.
Prvo, postavimo puni radni raspon adresa s kojih će se adrese preuzimati za izdavanje klijentima. Odaberite Radnja\Novi opseg. Pokrenut će se čarobnjak za dodavanje područja. Postavimo naziv područja.
Zatim označavamo početnu i završnu adresu mrežnog raspona.
Zatim ćemo dodati adrese koje želimo isključiti iz izdavanja klijentima. Pritisnite Dalje.
Na zaslonu Trajanje najma naznačit ćemo vrijeme najma koje nije zadano, ako je potrebno. Pritisnite Dalje.
Zatim se slažemo da želimo sada konfigurirati ove opcije: Da, želim sada konfigurirati ove opcije.
Redom ćemo naznačiti pristupnik, Naziv domene, DNS adrese, preskočimo WINS i na kraju se dogovorimo da aktiviramo opseg klikom na: Da, želim sada aktivirati ovaj opseg. Završi.
Za siguran rad DHCP usluga, zahtijeva postavljanje posebnog računa za dinamičko ažuriranje DNS zapisi. To je potrebno učiniti, s jedne strane, kako bi se spriječila dinamička registracija klijenata u DNS-u korištenjem administrativnog računa domene i moguća zlouporaba iste, s druge strane, u slučaju rezervacije DHCP usluge i kvara glavnog poslužitelja, bit će moguće prenijeti sigurnosna kopija zone na drugi poslužitelj, a to će zahtijevati račun prvog poslužitelja. Kako biste ispunili ove uvjete, u dodatku Active Directory Users and Computers kreirajte račun pod nazivom dhcp i dodijelite trajnu lozinku odabirom opcije: Password Never Expires.
Dodijelite korisniku jaka lozinka i dodajte DnsUpdateProxy u grupu. Zatim ćemo ukloniti korisnika iz grupe Domain Users, nakon što smo prvo dodijelili grupu “DnsUpdateProxy” primarnom korisniku. Ovaj će račun biti isključivo odgovoran za dinamičko ažuriranje zapisa i nemate pristup bilo kojim drugim resursima gdje su dovoljna osnovna prava domene.
Pritisnite Primijeni, a zatim U redu. Ponovno otvorite DHCP konzolu. Idite na svojstva IPv4 protokola na kartici Napredno.
Pritisnite Vjerodajnice i tamo navedite našeg DHCP korisnika.
Pritisnite OK i ponovno pokrenite uslugu.
Kasnije ćemo se vratiti na DHCP konfiguracija, kada konfiguriramo rezervaciju DHCP usluge, ali za to moramo podići barem kontrolere domene.
Kontrolori domene su poslužitelji koji podržavaju Active Directory. Svaki kontroler domene ima svoju kopiju baze podataka Podaci aktivni Imenik koji podržava pisanje. Kontrolori domene djeluju kao središnja sigurnosna komponenta u domeni.
Sve sigurnosne operacije i operacije provjere računa izvode se na kontroleru domene. Svaka domena mora imati barem jedan kontroler domene. Kako biste osigurali toleranciju na pogreške, preporučuje se da instalirate najmanje dva kontrolera domene za svaku domenu.
U operacijskom sustavu Windows NT samo je jedan kontroler domene podržavao pisanje baze podataka, što znači da je bila potrebna veza s kontrolerom domene za stvaranje i promjenu postavki korisničkog računa.
Ovaj kontroler je pozvan primarni kontroler domene (PDC). Počevši od operacijski sustav Windows 2000 redizajnirao je arhitekturu kontrolera domene kako bi omogućio ažuriranje baze podataka Active Directory na bilo kojem kontroleru domene. Nakon ažuriranja baze podataka na jednom kontroleru domene, promjene su replicirane na sve ostale kontrolere.
Iako svi kontroleri domene podržavaju pisanje baze podataka, oni nisu identični. Domene i šume Active Directory imaju zadatke koje obavljaju određeni kontroleri domene. Kontrolori domene s dodatnim odgovornostima poznati su kao majstori operacije. U nekim Microsoftovim materijalima takvi se sustavi nazivaju Fleksibilne operacije s jednim glavnim (FSMO). Mnogi vjeruju da se izraz FSMO tako dugo koristi samo zato što skraćenica zvuči tako smiješno kada se izgovori.
Postoji pet uloga voditelja operacija. Prema zadanim postavkama, svih pet uloga dodjeljuje se prvom kontroleru domene u šuma Aktivan Imenik. Tri glavne uloge operacija koriste se na razini domene i dodjeljuju se prvom kontroleru domene u stvorenoj domeni. Uslužni programi Active Directory o kojima ćemo raspravljati omogućuju vam prijenos uloga glavnog upravitelja operacija s jednog kontrolera domene na drugi kontroler domene. Osim toga, možete prisiliti kontroler domene da preuzme određenu ulogu kao gospodar operacije.
Postoje dvije glavne uloge operacija koje djeluju na razini šume.
- Majstor za imenovanje domena- Ove nadređene operacije potrebno je kontaktirati kad god se u hijerarhiji šumske domene vrše promjene naziva. Posao voditelja imenovanja domena je osigurati da su imena domena jedinstvena unutar šume. Ova glavna uloga operacija mora biti dostupna prilikom stvaranja novih domena, brisanja domena ili preimenovanja domena
- Vlasnik sheme ( Master sheme) - uloga mastera sheme pripada jedinom kontroleru domene unutar šume gdje se mogu izvršiti promjene u shemi. Nakon što se naprave promjene, one se repliciraju na sve druge kontrolere domene unutar šume. Kao primjer potrebe za promjenama u krugu, razmotrite instaliranje softvera Microsoft proizvod Exchange poslužitelj. Time se mijenja shema kako bi se administratoru omogućilo istovremeno upravljanje korisničkim računima i poštanskim sandučićima
Svaku ulogu na razini šume može posjedovati samo jedan kontroler domene unutar šume. To jest, možete koristiti jedan kontroler kao glavni za imenovanje domene, a drugi kontroler kao glavni za shemu. Osim toga, obje se uloge mogu dodijeliti istom kontroleru domene. Ovo je zadana raspodjela uloga.
Svaka domena unutar šume ima kontroler domene koji obavlja svaku od uloga na razini domene.
- Glavni relativni identifikator (RID glavni)- Voditelj relativnih identifikatora odgovoran je za dodjelu relativnih identifikatora. Relativni identifikatori su jedinstveni dio sigurnosnog ID-a (SID) koji se koristi za identifikaciju sigurnosnog objekta (korisnika, računala, grupe itd.) unutar domene. Jedan od glavnih zadataka mastera relativnog identifikatora je uklanjanje objekta iz jedne domene i dodavanje objekta u drugu domenu prilikom premještanja objekata između domena.
- Majstor infrastrukture- zadatak vlasnika infrastrukture je sinkronizacija članstva u grupi. Kada dođe do promjena u sastavu grupa, vlasnik infrastrukture obavještava sve ostale kontrolere domene o promjenama.
- Emulator primarnog kontrolera domene (PDC emulator)- Ova se uloga koristi za emulaciju primarnog kontrolera domene Windows NT 4 za podršku rezervnih kontrolera domene Windows NT 4. Druga svrha emulatora primarnog kontrolera domene je osigurati središnju točku administracije za promjene korisničkih lozinki, kao i zaključavanje korisnika politike.
Riječ "pravila" često se koristi u ovom odjeljku za označavanje objekata grupnih pravila (GPO). Objekti pravila grupe jedna su od glavnih korisnih značajki Active Directoryja i o njima se govori u odgovarajućem članku, s donjom vezom.
