Che cos'è un controller di dominio?
Il controller di dominio fornisce gestione centralizzata dispositivi di rete, cioè domini. Il controller memorizza tutte le informazioni dagli account e dai parametri degli utenti della rete. Questi sono parametri di sicurezza, politica locale e molti altri. Questo è un tipo di server che controlla completamente una rete specifica o un gruppo di rete. Un controller di dominio è, in un certo senso, un insieme di speciali Software che lancia vari servizi Directory attiva... I controller eseguono sistemi operativi specifici, come Windows Server 2003. L'installazione guidata di Active Drive consente di creare controller di dominio.
Nel sistema operativo Windows NT, come server principale, viene utilizzato il controller di dominio primario. Gli altri server utilizzati vengono utilizzati come controller di backup. I controller PDC di base possono risolvere varie attività relative all'appartenenza a gruppi di utenti, creazione e modifica di password, aggiunta di utenti e molti altri. I dati vengono quindi trasferiti a controller BDC aggiuntivi.
Il software Samba 4 può essere utilizzato come controller di dominio se un operativo Sistema Unix... Questo software supporta anche altri sistemi operativi come Windows 2003, 2008, 2003 R2 e 2008 R2. Ciascuno dei sistemi operativi può essere ampliato, se necessario, in base a requisiti e parametri specifici.
Utilizzo dei controller di dominio
I controller di dominio vengono utilizzati da molte organizzazioni in cui si trovano computer connessi tra loro e alla rete. I controller memorizzano i dati della directory e controllano l'ingresso e l'uscita degli utenti nel sistema, nonché gestiscono l'interazione tra di loro.
Le organizzazioni che utilizzano un controller di dominio devono decidere quanti utilizzarne, pianificare l'archiviazione dei dati, la sicurezza fisica, gli aggiornamenti del server e altre attività necessarie.
Se l'azienda o l'organizzazione è piccola e al suo interno viene utilizzata una sola rete di dominio, è sufficiente utilizzare due controller, in grado di garantire un'elevata stabilità, tolleranza ai guasti e un alto livello di disponibilità della rete. Nelle reti suddivise in un certo numero di siti, su ciascuno di essi è installato un controller, che consente di ottenere le prestazioni e l'affidabilità necessarie. Utilizzando i controller in ogni sito, è possibile semplificare notevolmente l'accesso degli utenti e renderlo più veloce.
Il traffico di rete può essere ottimizzato, per fare ciò è necessario impostare il tempo di aggiornamento della replica quando il carico sulla rete sarà minimo. L'impostazione della replica semplificherà notevolmente il tuo lavoro e lo renderà più produttivo.
È possibile ottenere le massime prestazioni nel funzionamento del controller se il dominio è un catalogo globale, che consentirà di interrogare qualsiasi oggetto in base a un peso specifico. Tuttavia, è importante ricordare che l'abilitazione del catalogo globale comporta un aumento significativo del traffico di replica.
È consigliabile non attivare il controller di dominio host se si utilizzano più controller di dominio. Quando si utilizza un controller di dominio, è molto importante prendersi cura della sicurezza, perché diventa sufficientemente accessibile per gli aggressori che vogliono impossessarsi dei dati di cui hanno bisogno per ingannare.
Considerazioni sull'installazione di controller di dominio aggiuntivi
Per ottenere una maggiore affidabilità nel funzionamento dei servizi di rete necessari, è necessario installare controller di dominio aggiuntivi. Di conseguenza, è possibile ottenere stabilità, affidabilità e sicurezza operativa significativamente più elevate. In questo caso, le prestazioni di rete diventeranno molto più elevate, parametro molto importante per le organizzazioni che utilizzano un controller di dominio.
Affinché il controller di dominio funzioni correttamente, è necessario un lavoro preparatorio. La prima cosa da fare è controllare i parametri TCP/IP, dovrebbero essere impostati correttamente per il server. La cosa più importante è controllare i nomi DNS per i mapping.
Per il funzionamento sicuro del controller di dominio, è necessario utilizzare il file system NTFS, che fornisce una maggiore sicurezza rispetto al file Sistemi FAT 32. Per l'installazione sul server, è necessario creare una partizione in file system NTFS su cui risiederà il volume di sistema. Devi anche accedere a Server DNS dal server. Servizio DNS installato su questo o su un server aggiuntivo che deve supportare i record di risorse.
Per configurare correttamente il controller di dominio è possibile utilizzare la Configurazione guidata, con la quale è possibile aggiungere l'esecuzione di ruoli specifici. Per fare ciò, dovrai accedere alla sezione di amministrazione tramite il pannello di controllo. È necessario specificare un controller di dominio come ruolo del server.
Il controller di dominio oggi è indispensabile per reti e siti utilizzati da varie organizzazioni, istituzioni e aziende in tutte le sfere dell'attività umana. Grazie a lui, sono garantite un'elevata produttività e sicurezza, che è di particolare importanza nelle reti di computer. Il ruolo di un controller di dominio è molto importante perché consente di gestire ambiti di dominio costruiti su reti di computer. Ogni sistema operativo ha alcune sfumature associate al funzionamento dei controller di dominio, ma il principio e il suo scopo sono gli stessi ovunque, quindi capire le impostazioni non è così difficile come potrebbe sembrare all'inizio. Tuttavia, è molto importante che i controller di dominio siano configurati da esperti per ottenere in definitiva alta produttività e sicurezza durante il lavoro.
La foresta in Servizi di dominio Active Directory è la più livello superiore la gerarchia della struttura logica. foresta attiva La directory rappresenta una directory separata. La foresta è il confine della sicurezza. Ciò significa che gli amministratori della foresta hanno il controllo completo sull'accesso alle informazioni archiviate nella foresta e l'accesso ai controller di dominio utilizzati per implementare la foresta.
Le organizzazioni in genere dispongono di un'unica foresta, a meno che non vi sia un'esigenza specifica di più foreste. Ad esempio, se per parti differenti un'organizzazione deve creare aree amministrative separate e più foreste devono essere create per rappresentare queste aree.
Quando si implementano più foreste in un'organizzazione, ogni foresta opera separatamente dalle altre foreste per impostazione predefinita, come se fosse l'unica foresta nell'organizzazione.
Nota. Per integrare più foreste, è possibile creare relazioni di sicurezza tra di esse, denominate trust esterni o trust tra foreste.
Operazioni a livello forestale
Dominio Servizi attivi Directory è un servizio di directory multi-master. Ciò significa che la maggior parte delle modifiche alla directory può essere apportata su qualsiasi istanza scrivibile della directory, ovvero su qualsiasi controller di dominio scrivibile. Tuttavia, alcune modifiche sono esclusive. Ciò significa che possono essere effettuati solo su un controller di dominio specifico nella foresta o nel dominio, a seconda della modifica specifica. Si dice che i controller di dominio su cui è possibile apportare queste modifiche esclusive contengano ruoli di master operazioni. Esistono cinque ruoli di master operazioni, due dei quali a livello di foresta e gli altri tre a livello di dominio.
Due ruoli di master operazioni assegnati all'intera foresta:
- Maestro dei nomi di dominio. Il compito del master dei nomi di dominio consiste nell'assicurare che siano presenti nomi univoci in tutta la foresta. Assicura che ci sia solo una foresta completa nell'intera foresta. Nome del dominio ogni computer.
- Maestro dello schema. Il master dello schema tiene traccia dello schema della foresta e mantiene le modifiche Struttura basilare foreste.
Poiché questi ruoli sono ruoli critici chiave a livello di foresta, dovrebbe essere presente un solo master schema e un master dei nomi di dominio per foresta.
Materiali aggiuntivi:
Uno schema è un componente di Servizi di dominio Active Directory che definisce tutti gli oggetti e gli attributi utilizzati da Servizi di dominio Active Directory per archiviare i dati.
I servizi di dominio Active Directory archiviano e ricevono informazioni da una varietà di applicazioni e servizi. Pertanto, per fornire la possibilità di archiviare e replicare i dati da queste diverse origini, Active Directory Domain Services definisce uno standard per l'archiviazione dei dati nella directory. Avere uno standard di archiviazione consente a Servizi di dominio Active Directory di recuperare, aggiornare e replicare i dati mantenendo l'integrità dei dati.
Active Directory Domain Services utilizza gli oggetti come unità di archiviazione. Tutti gli oggetti sono definiti nello schema. Ogni volta che il catalogo elabora i dati, il catalogo interroga lo schema per la definizione dell'oggetto appropriato. In base alla definizione di un oggetto nello schema, il catalogo crea l'oggetto e memorizza i dati.
Le definizioni degli oggetti determinano i tipi di dati che gli oggetti possono memorizzare, nonché la sintassi dei dati. Sulla base di queste informazioni, lo schema garantisce che tutti gli oggetti corrispondano ai propri definizioni standard... Di conseguenza, Active Directory Domain Services può archiviare, recuperare e convalidare i dati che gestisce, indipendentemente dall'applicazione che è la fonte originale dei dati. La directory può memorizzare solo i dati che hanno definizione esistente oggetto nello schema. Se desideri archiviare un nuovo tipo di dati, devi prima creare una nuova definizione di oggetto per quei dati nello schema.
Lo schema in Servizi di dominio Active Directory definisce:
- oggetti utilizzati per memorizzare dati in una directory;
- regole che regolano quali tipi di oggetti possono essere creati, quali attributi devono essere definiti durante la creazione di un oggetto e quali attributi sono facoltativi;
- la struttura e il contenuto della directory stessa.
Lo schema è un singolo membro master di Active Directory Domain Services. Ciò significa che è necessario apportare modifiche allo schema nel controller di dominio che contiene il ruolo di master operazioni schema.
Lo schema viene replicato in tutti i controller di dominio della foresta. Qualsiasi modifica apportata allo schema viene replicata in tutti i controller di dominio nella foresta dal proprietario del ruolo di master operazioni schema, che in genere è il primo controller di dominio nella foresta.
Poiché lo schema determina l'archiviazione delle informazioni e tutte le modifiche apportate allo schema influiscono su tutti i controller di dominio, le modifiche allo schema devono essere apportate solo quando necessario (attraverso un processo strettamente controllato) dopo il test per evitare di influire negativamente sul resto della foresta.
Sebbene non sia possibile apportare modifiche direttamente allo schema, alcune applicazioni apportano modifiche allo schema per supportare funzionalità aggiuntive. Ad esempio, durante l'installazione Microsoft Exchange Server 2010 alla foresta di Servizi di dominio Active Directory L'installazione estende lo schema per supportare nuovi tipi di oggetti e attributi.
Materiale aggiuntivo:
1.3 Che cos'è un dominio.
Il dominio è un confine amministrativo. Tutti i domini hanno un account amministratore che ha tutto poteri amministrativi per tutti gli oggetti nel dominio. Sebbene l'amministratore possa delegare l'amministrazione degli oggetti nel dominio, il suo account mantiene il controllo amministrativo completo di tutti gli oggetti nel dominio.
V prime versioni Windows Server si pensava che i domini fossero progettati per fornire una completa separazione amministrativa; infatti, uno dei motivi principali per la scelta di una topologia multidominio era garantire questa separazione. Tuttavia, in Servizi di dominio Active Directory, l'account Administrator nel dominio radice della foresta ha il controllo amministrativo completo di tutti gli oggetti nella foresta, invalidando così questa separazione amministrativa a livello di dominio.
Il dominio è il limite di replica. Servizi di dominio Active Directory è costituito da tre elementi, o sezioni, - schema, sezione di configurazione e partizione di dominio... In genere, solo la partizione del dominio viene modificata di frequente.
La sezione del dominio contiene oggetti che probabilmente dovrebbero essere aggiornati frequentemente; tali oggetti sono utenti, computer, gruppi e unità organizzative. Pertanto, la replica di Servizi di dominio Active Directory consiste principalmente di aggiornamenti agli oggetti definiti nella partizione di dominio. Solo i controller di dominio in un determinato dominio ricevono gli aggiornamenti delle partizioni di dominio da altri controller di dominio. Il partizionamento dei dati consente alle organizzazioni di replicare i dati solo dove è necessario. Di conseguenza, la directory può scalare a livello globale su una rete con larghezza di banda limitata.
Il dominio è un limite di autenticazione. Ogni account utente in un dominio può essere autenticato dai controller di quel dominio. I domini nella foresta si fidano l'uno dell'altro, in modo che un utente di un dominio possa accedere alle risorse che si trovano in un dominio diverso.
Operazioni a livello di dominio
Esistono tre ruoli di master operazioni in ogni dominio. Questi ruoli, inizialmente assegnati al primo controller di dominio in ogni dominio, sono elencati di seguito.
- Identificatore relativo (RID) master. Ogni volta che viene creato un oggetto in Servizi di dominio Active Directory, il controller di dominio in cui viene creato l'oggetto gli assegna un univoco un numero di identificazione chiamato identificatore di sicurezza (SID). Per impedire a due controller di dominio di assegnare lo stesso SID a due oggetti diversi, il master RID alloca i blocchi SID a ciascun controller di dominio nel dominio.
- Emulatore di controller di dominio primario. Questo ruolo è il più importante, poiché la sua perdita temporanea diventa evidente molto più velocemente della perdita di qualsiasi altro ruolo di master operazioni. È responsabile di una serie di funzioni a livello di dominio, tra cui:
- aggiornamento dello stato di blocco dell'account;
- creazione e replica di oggetti politica di gruppo l'unico proprietario;
- sincronizzazione dell'ora per il dominio.
- Maestro delle infrastrutture. Questo ruolo è responsabile della gestione dei riferimenti agli oggetti tra domini. Ad esempio, quando un membro di un altro dominio appartiene a un gruppo in un dominio, il master dell'infrastruttura è responsabile del mantenimento dell'integrità di quel collegamento.
Questi tre ruoli devono essere univoci in ogni dominio, quindi ogni dominio può avere un solo master RID, un emulatore di controller di dominio primario (PDC) e un master dell'infrastruttura.
Materiali aggiuntivi:
Se Servizi di dominio Active Directory contiene più di un dominio, è necessario definire le relazioni tra i domini. Quando i domini condividono una radice comune e uno spazio dei nomi contiguo, fanno parte logicamente dello stesso albero di Active Directory. L'albero non ha alcuno scopo amministrativo. In altre parole, non esiste un amministratore della struttura perché è presente un amministratore della foresta o del dominio. L'albero fornisce un raggruppamento gerarchico logico di domini che hanno relazioni padre-figlio definite dai loro nomi. L'albero di Active Directory è mappato allo spazio dei nomi DNS (Domain Name System).
Gli alberi di Active Directory vengono creati in base alle relazioni tra i domini nella foresta. Non esiste motivi seri, secondo il quale è richiesta o meno la creazione di più alberi nella foresta. Tieni presente, tuttavia, che un singolo albero, con il suo spazio dei nomi contiguo, è più facile da gestire e da visualizzare per gli utenti.
Se disponi di più spazi dei nomi supportati, considera l'utilizzo di più alberi nella stessa foresta. Ad esempio, se l'organizzazione ha diversi reparti di produzione diversi con ID pubblici diversi, è possibile creare un albero diverso per ogni reparto di produzione. Si noti che in tale scenario, non vi è alcuna separazione dell'amministrazione perché l'amministratore della foresta radice ha ancora il controllo completo su tutti gli oggetti nella foresta, indipendentemente dall'albero in cui si trovano.
1.5 Divisioni
suddivisioneè un oggetto contenitore in un dominio che può essere utilizzato per raggruppare utenti, gruppi, computer e altri oggetti. Ci sono due ragioni per creare divisioni.
- Allestimento degli oggetti contenuti nel reparto. È possibile assegnare oggetti Criteri di gruppo a un'unità organizzativa e applicare le impostazioni a tutti gli oggetti in tale unità organizzativa.
- Delegazione amministrazione oggetti nell'unità. È possibile assegnare diritti di controllo a un'unità organizzativa delegando il controllo dell'unità organizzativa a un utente o gruppo non amministratore in Servizi di dominio Active Directory.
Nota. Un'unità organizzativa è l'area o l'unità più piccola a cui è possibile assegnare impostazioni di Criteri di gruppo o diritti di amministratore delegato.
Le unità organizzative possono essere utilizzate per rappresentare strutture logiche gerarchiche in un'organizzazione. Ad esempio, è possibile creare unità organizzative per rappresentare i reparti di un'organizzazione, le aree geografiche di un'organizzazione e le unità organizzative che sono una combinazione di reparti e aree geografiche. È quindi possibile gestire la configurazione e utilizzare gli account utente, gruppo e computer in base al modello di organizzazione creato.
Ogni dominio di Servizi di dominio Active Directory ha set standard contenitori e unità organizzative creati durante l'installazione di Servizi di dominio Active Directory. Questi contenitori e unità sono elencati di seguito.
- Contenitore di dominio che funge da contenitore radice della gerarchia.
- Un contenitore integrato contenente gli account di amministratore del servizio predefiniti.
- Contenitore utente, che è il percorso predefinito per i nuovi account utente e di gruppo creati nel dominio.
- Il contenitore del computer, che è il percorso predefinito per i nuovi account computer creati nel dominio.
- Controller di dominio OU, che è il percorso predefinito per gli account computer del controller di dominio.
1.6 Relazioni di fiducia
Una relazione di fiducia consente a un oggetto di sicurezza di fidarsi di un altro oggetto di sicurezza per scopi di autenticazione. In Windows Server 2008 R2, l'oggetto di sicurezza è il dominio di Windows.
Lo scopo principale di una relazione di trust è rendere più semplice per un utente in un dominio ottenere l'accesso a una risorsa in un altro dominio senza dover mantenere un account utente in entrambi i domini.
In qualsiasi relazione di fiducia, sono coinvolte due parti: l'entità fiduciaria e l'entità fidata. Un oggetto attendibile è un oggetto che possiede una risorsa e un oggetto attendibile è un oggetto con un account. Ad esempio, se presti un laptop a qualcuno, ti fidi di quella persona. Tu sei l'entità che possiede la risorsa. La risorsa è il tuo laptop; la persona a cui viene dato il laptop per uso temporaneo è un oggetto attendibile con un account.
Tipi di rapporti di fiducia
Le relazioni di fiducia possono essere unidirezionali e bidirezionali.
Fiducia unidirezionale significa che, sebbene un'entità si fidi di un'altra, non è vero il contrario. Ad esempio, se presti a Steve il tuo laptop, ciò non significa che Steve ti presterà la sua auto.
In un trust bidirezionale, entrambe le entità si fidano l'una dell'altra.
Le relazioni di fiducia possono essere transitive e non transitive. Se, in un trust transitivo, l'oggetto A si fida dell'oggetto B e l'oggetto B si fida dell'oggetto C, allora anche l'oggetto A si fida implicitamente dell'oggetto C. Ad esempio, se presti a Steve il tuo laptop e Steve presta la sua auto a Mary, puoi prestare a Mary il tuo cellulare.
Windows Server 2008 R2 supporta un'ampia gamma di trust che possono essere utilizzati in diverse situazioni.
Nella stessa foresta, tutti i domini si fidano l'uno dell'altro utilizzando il transitivo bidirezionale interno relazione di fiducia... Ciò significa essenzialmente che tutti i domini considerano attendibili tutti gli altri domini. Questa relazione di fiducia si espande attraverso gli alberi della foresta. Oltre a questi trust generati automaticamente, è possibile configurare trust aggiuntivi tra i domini della foresta, tra questa foresta e altre foreste e tra questa foresta e altri oggetti di sicurezza come i realm Kerberos oi domini della sala operatoria. Sistemi Microsoft Windows NT® 4.0. Vedere la tabella seguente per ulteriori informazioni.
| Tipo di fiducia | Transitività | Direzione | Descrizione |
|---|---|---|---|
| Esterno | non transitivo | I trust esterni vengono utilizzati per concedere l'accesso alle risorse che si trovano in un dominio di Windows NT Server 4.0 o in un dominio che si trova in una foresta separata che non è unita da un trust tra foreste. | |
| Area fiduciaria | Transitivo o non transitivo. | Unilaterale o bilaterale. | I trust realm vengono usati per creare un trust tra un realm Kerberos gestito da un sistema operativo non Windows e un sistema operativo Windows Server 2008 o un dominio Windows Server 2008 R2. |
| Fiducia della foresta | Transitivo | Unilaterale o bilaterale. | Utilizzare i trust tra foreste per condividere risorse tra foreste. Se i trust tra foreste sono bidirezionali, le richieste di autenticazione effettuate in una foresta possono raggiungere l'altra foresta. |
| Fiducia fondata direttamente | Transitivo | Unilaterale o bilaterale. | I trust stabiliti direttamente vengono utilizzati per ridurre il tempo di accesso dell'utente tra due domini in una foresta di Windows Server 2008 o Windows Server 2008 R2. Ciò è applicabile quando due domini sono separati da due alberi di dominio. |
2. Implementazione dei servizi di dominio Active Directory
Per implementare Servizi di dominio Active Directory, è necessario distribuire i controller di dominio. Per ottimizzare i servizi di dominio Active Directory, è importante capire dove e come creare i controller di dominio per ottimizzare l'infrastruttura di rete.
2.1 Che cos'è un controller di dominio?
Il dominio viene creato quando il computer viene promosso Windows Server Server 2008 R2 a un controller di dominio. I controller di dominio contengono Servizi di dominio Active Directory.
I controller di dominio garantiscono l'esecuzione seguenti funzioni in linea.
- Fornisce l'autenticazione. I controller di dominio mantengono un database di account di dominio e forniscono servizi di autenticazione.
- Contiene ruoli di master operazioni come ulteriore opportunità... Questi ruoli erano precedentemente chiamati ruoli FSMO (Flexible Single Master Operations). Esistono cinque ruoli di master operazioni: due ruoli a livello di foresta e tre ruoli a livello di dominio. Questi ruoli possono essere migrati secondo necessità.
- Contiene il catalogo globale come funzionalità facoltativa. Qualsiasi controller di dominio può essere designato come server di catalogo globale.
Nota. Il catalogo globale è un database distribuito che contiene una visualizzazione ricercabile di ogni oggetto da tutti i domini in una foresta multidominio. Tuttavia, il catalogo globale non contiene tutti gli attributi per ogni oggetto. Invece, supporta un sottoinsieme degli attributi che potrebbero tornare utili quando si eseguono ricerche di dominio.
2.2 Che cos'è un controller di dominio di sola lettura?
Un controller di dominio di sola lettura è un nuovo tipo di controller di dominio in Windows Server 2008 R2. Utilizzando un controller di dominio di sola lettura, le organizzazioni possono distribuire facilmente un controller di dominio in posizioni in cui non è possibile garantire la sicurezza fisica. Un controller di dominio di sola lettura ospita una replica di sola lettura del database di Servizi di dominio Active Directory per quel dominio. Un controller di dominio di sola lettura può fungere anche da server di catalogo globale.
A partire da Windows Server 2008, un'organizzazione può distribuire un controller di dominio di sola lettura in caso di limitazioni larghezza di banda canali rete globale o insufficiente sicurezza fisica dei computer. Di conseguenza, gli utenti in una situazione del genere possono beneficiare di:
- maggiore sicurezza;
- accesso più veloce;
- accesso più efficiente alle risorse di rete.
| Funzione controller di dominio di sola lettura | Spiegazione |
| Database di sola lettura di Active Directory | Ad eccezione delle password degli account, un controller di dominio di sola lettura contiene tutti gli oggetti e gli attributi di Active Directory presenti in un controller di dominio scrivibile. Tuttavia, non è possibile apportare modifiche a una replica archiviata in un controller di dominio di sola lettura. Le modifiche devono essere apportate su un controller di dominio scrivibile e replicate su un controller di dominio di sola lettura. |
| Replica unidirezionale | Poiché le modifiche non vengono scritte direttamente in un RODC, non vengono apportate modifiche a tale RODC. Pertanto, i controller di dominio scrivibili che sono partner di replica non dovrebbero ricevere modifiche da un controller di sola lettura. Di conseguenza, il carico di lavoro dei server testa di ponte nell'hub è ridotto e il monitoraggio della replica richiede meno sforzi. |
| Cache delle credenziali | La memorizzazione nella cache delle credenziali è l'archiviazione delle credenziali dell'utente o del computer. Le credenziali sono costituite da un piccolo insieme di password (una decina) associate alle entità di sicurezza. Per impostazione predefinita, il RODC non memorizza le credenziali dell'utente e del computer. Le eccezioni sono l'account computer RODC e l'account speciale krbtgt (l'account Kerberos Key Distribution Service Center) che esiste su ogni RODC. La memorizzazione nella cache di qualsiasi altra credenziale deve essere abilitata in modo esplicito nel RODC. |
| Separazione dei ruoli di amministratore | Ruolo amministratore locale Un controller di dominio di sola lettura può essere delegato a qualsiasi utente di dominio senza concedergli alcun diritto per il dominio o altri controller di dominio. In questo caso utente locale La filiale sarà in grado di accedere al RODC ed eseguire operazioni di manutenzione su di esso, come l'aggiornamento di un driver. Tuttavia, l'utente della filiale non avrà il diritto di accedere a nessun altro controller di dominio o eseguire altre attività amministrative nel dominio. |
| Servizio nomi di dominio in sola lettura | Il servizio Server DNS può essere installato su un controller di dominio di sola lettura. Un controller di dominio di sola lettura può replicare tutte le partizioni di directory applicative utilizzate da un server DNS, incluse le partizioni ForestDNSZones e DomainDNSZones. Se un server DNS è installato su un controller di dominio di sola lettura, i client possono inviare richieste di risoluzione dei nomi ad esso proprio come qualsiasi altro server DNS. |
Di seguito è riportato un riepilogo del ruolo di un controller di dominio di sola lettura.
- Il controller di dominio che ospita le operazioni dell'emulatore PDC per il dominio deve eseguire una sala operatoria Sistemi Windows Server 2008. Questo è necessario per creare un nuovo account krbtgt per un controller di dominio di sola lettura e per le operazioni correnti di quel controller.
- Il RODC richiede che le richieste di autenticazione vengano reindirizzate a un server di catalogo globale (che esegue Windows Server 2008) situato nel sito più vicino al sito con quel controller. Un criterio di replica della password è impostato su questo controller di dominio per determinare se le credenziali vengono replicate nella posizione della filiale per una richiesta reindirizzata da un RODC.
- Per rendere disponibile la delega vincolata Kerberos, il livello di funzionalità del dominio deve essere impostato su Windows Server 2003. La delega vincolata viene utilizzata per le chiamate di sicurezza che devono essere rappresentate nel contesto del chiamante.
- Il valore associato deve essere impostato su un livello di funzionalità della foresta di Windows Server 2003 per garantire la disponibilità della replica, che fornisce un livello più elevato di compatibilità della replica.
- Devi eseguire adprep / rodcprep una volta nella foresta. Ciò aggiornerà le autorizzazioni per tutte le partizioni della directory dell'applicazione DNS nella foresta per facilitare la replica tra i RODC, che sono anche server DNS.
- Un controller di dominio di sola lettura non può ospitare il ruolo di master operazioni e fungere da server testa di ponte di replica.
- Il controller di dominio di sola lettura può essere distribuito in Sistema server Core per una maggiore sicurezza.
Il sito è rappresentazione logica area geografica della rete. Il sito rappresenta il confine della rete ad alta velocità per i computer di Servizi di dominio Active Directory, ovvero i computer con cui è possibile comunicare ad alta velocità e bassa latenza, possono essere combinati in un sito; I controller di dominio all'interno di un sito replicano i dati di Servizi di dominio Active Directory in modo ottimizzato per quell'ambiente. questa configurazione di replica è in gran parte automatica.
Nota. I siti vengono utilizzati dai computer client per trovare servizi quali controller di dominio e server di catalogo globale. È importante che ogni sito web che crei contenga almeno un controller di dominio e un server di catalogo globale.
2.4 Replica di Servizi di dominio Active Directory
- La replica di Servizi di dominio Active Directory è il trasferimento delle modifiche apportate alle informazioni sulla directory tra controller di dominio in una foresta di Servizi di dominio Active Directory. Il modello di replica di Servizi di dominio Active Directory definisce i meccanismi per inviare automaticamente gli aggiornamenti della directory tra i controller di dominio per fornire una soluzione di replica continua per Servizi di dominio Active Directory.
- Servizi di dominio Active Directory ha tre sezioni. La partizione di dominio contiene i dati modificati più di frequente e pertanto genera un flusso elevato di dati di replica di Servizi di dominio Active Directory.
Collegamenti al sito di Active Directory
- Il collegamento al sito viene utilizzato per gestire la replica tra gruppi di siti. È possibile utilizzare il collegamento al sito predefinito fornito in Servizi di dominio Active Directory oppure creare collegamenti al sito aggiuntivi in base alle esigenze. È possibile configurare le impostazioni per i collegamenti al sito per determinare la pianificazione e la disponibilità del percorso di replica per aiutarti a gestire la replica.
- Quando due siti sono collegati tramite un collegamento di sito, il sistema di replica crea automaticamente connessioni tra controller di dominio specifici in ogni sito, denominati server testa di ponte.
2.5 Configurazione del DNS per i servizi di dominio Active Directory
Configurazione DNS
Servizi di dominio Active Directory richiede DNS. Il ruolo Server DNS non è installato per impostazione predefinita in Windows Server 2008 R2. come gli altri funzionalità, questa funzionalità viene aggiunta in base al ruolo quando il server è configurato per un ruolo specifico.
Il ruolo del server DNS può essere installato utilizzando il collegamento Aggiungi ruolo in Server Manager. Il ruolo del server DNS può anche essere aggiunto automaticamente utilizzando l'Installazione guidata di Servizi di dominio Active Directory (dcpromo.exe). La pagina Impostazioni controller di dominio nella procedura guidata consente di aggiungere il ruolo Server DNS.
Configurazione delle zone DNS
Dopo aver installato il server DNS, puoi iniziare ad aggiungere zone al server. Se il server DNS è un controller di dominio, è possibile configurare Servizi di dominio Active Directory per archiviare i dati della zona. Verrà quindi creata una zona integrata di Active Directory. Se questa opzione non è selezionata, i dati della zona verranno archiviati in un file anziché in Servizi di dominio Active Directory.
Aggiornamenti dinamici
Quando crei una zona, ti verrà anche chiesto di specificare se l'aggiornamento dinamico deve essere supportato. L'aggiornamento dinamico riduce lo sforzo per gestire la zona poiché i client possono aggiungere, rimuovere e aggiornare propri record risorse.
L'aggiornamento dinamico consente la possibilità di spoofing dei record di risorse. Ad esempio, un computer potrebbe registrare una voce denominata "www" e reindirizzare il traffico dal tuo sito Web all'indirizzo sbagliato.
Per escludere la possibilità di contraffazione, il servizio Server DNS di Windows Server 2008 R2 supporta aggiornamenti dinamici protetti. Il client deve autenticarsi prima di aggiornare i record di risorse, in modo che il server DNS sappia se il client è il computer autorizzato a modificare il record di risorse.
Trasferimenti di zona DNS
Un'azienda dovrebbe sforzarsi di forzare la risoluzione di una zona da parte di almeno due server DNS.
Se la zona è integrata in Servizi di dominio Active Directory, è sufficiente aggiungere il ruolo del server DNS a un altro controller di dominio nello stesso dominio dove si trova il primo server DNS. Zone e replica di Active Directory integrate zone DNS l'uso di Servizi di dominio Active Directory è descritto nella lezione successiva.
Se la zona non è integrata in Servizi di dominio Active Directory, è necessario aggiungere un altro server DNS e configurarlo per ospitare la zona aggiuntiva. Ricorda che la zona secondaria è una copia di sola lettura della zona primaria.
record SRV
Il record di risorse del localizzatore di servizi (SRV) risolve la richiesta di servizio di rete consentendo a un client di individuare un host che fornisce un servizio specifico.
- Quando il controller di dominio deve replicare le modifiche dai partner.
- quando computer cliente richiede l'autenticazione in Servizi di dominio Active Directory.
- Quando un utente cambia la sua password.
- quando server Microsoft Exchange cerca nella directory.
- Quando l'amministratore apre lo snap-in Utenti e computer di Active Directory.
I record SRV utilizzano la seguente sintassi.
nome.servizio.protocollo durata classe tipo priorità peso porta target_node
Di seguito è mostrato un esempio di record SRV.
Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
Un record è costituito dai seguenti componenti:
- Il nome del servizio di protocollo, ad esempio il servizio LDAP offerto dal controller di dominio.
- Durata in secondi.
- Classe (tutti i record del server DNS di Windows saranno IN o Internet).
- Tipo: SRV;
- Valori di priorità e peso che aiutano i clienti a determinare il nodo preferito.
- La porta su cui il servizio è offerto dal server. Su un controller di dominio Windows per LDAP, la porta predefinita è 389.
- L'host di destinazione o servizio che in questo casoè un controller di dominio denominato hqdc01.contoso.com.
Quando il processo client cerca un controller di dominio, può interrogare DNS per il servizio LDAP. La richiesta restituisce sia un record SRV che un record A per uno o più server che forniscono il servizio richiesto.
AGGIORNAMENTO: Ho creato un canale video su youtube, dove pubblico gradualmente video di formazione in tutte le aree dell'IT, di cui sono molto esperto, iscriviti: http://www.youtube.com/user/itsemaev
UPD2: Microsoft tradizionalmente cambia la consueta sinassi in riga di comando quindi i ruoli in ogni versione di Windows Server potrebbero sembrare diversi. Ora non sono generalmente chiamati fsmo ma maestri delle operazioni. Quindi, per i comandi corretti nella console, dopo la manutenzione di fsmo, scrivi semplicemente? e ti mostrerà i comandi disponibili.
Nella mia rivista di aprile" Amministratore di sistema"ho preso l'articolo su" Sostituzione indolore di un controller di dominio Windows Server obsoleto o guasto "
E anche cento dollari sono stati pagati e hanno ricevuto un pacchetto con il cervello)) Ora sono Onotole.
Sostituzione indolore di un controller di dominio basato su Windows Server obsoleto o guasto.(chi ne ha bisogno - mando foto)
Se il tuo controller di dominio è fuori servizio o completamente obsoleto e richiede la sostituzione, non affrettarti a pianificare di trascorrere il prossimo fine settimana creando un nuovo dominio su un nuovo server e trasferendo faticosamente le macchine degli utenti su di esso. La gestione intelligente del controller di dominio di backup può aiutarti a sostituire rapidamente e senza problemi il tuo server precedente.
Quasi tutti gli amministratori che lavorano con server basati su Windows prima o poi dovranno affrontare la necessità di sostituire un controller di dominio primario completamente obsoleto, il cui ulteriore aggiornamento non ha più senso, con uno nuovo e più moderno. Ci sono situazioni anche peggiori: il controller di dominio diventa semplicemente inutilizzabile a causa di guasti su livello fisico e i backup e le immagini sono scaduti o persi
In linea di principio, una descrizione della procedura per sostituire un controller di dominio con un altro può essere trovata in diversi forum, ma le informazioni sono fornite per estratti e, di norma, sono applicabili solo a una situazione specifica, ma non forniscono una soluzione effettiva . Inoltre, anche dopo aver letto molti forum, basi di conoscenza e altre risorse su lingua inglese- Sono stato in grado di eseguire con competenza la procedura per la sostituzione di un controller di dominio senza errori solo dalla terza o quarta volta.
Quindi voglio guidare istruzioni passo passo sostituendo un controller di dominio, indipendentemente dal fatto che sia funzionante o meno. L'unica differenza è che per un controller di dominio in crash, questo articolo sarà utile solo se ti sei occupato e distribuito in anticipo di un controller di dominio di backup.
Preparazione dei server per la promozione/retrocessione
La procedura stessa per creare un controller di dominio di backup è elementare: eseguiamo semplicemente la procedura guidata dcpromo su qualsiasi server della rete. Utilizzando la procedura guidata dcpromo, creiamo un controller di dominio in un dominio esistente. Come risultato delle manipolazioni eseguite, otteniamo un servizio di directory AD distribuito sul nostro server secondario (lo chiamerò pserver e il controller principale - dcserver).
Inoltre, se dcpromo stesso non ha offerto - run Configurazione DNS server. Non è necessario modificare alcuna impostazione, non è nemmeno necessario creare una zona: è archiviata in AD e tutti i record vengono replicati automaticamente sul controller di backup. Attenzione: la zona principale in DNS apparirà solo dopo la replica, per velocizzare il riavvio del server. Nelle impostazioni TCP/IP della NIC del controller di dominio di backup, l'indirizzo del server DNS primario deve essere l'indirizzo IP del controller di dominio primario.
Ora puoi facilmente testare l'integrità del controller di dominio di backup pserver. Possiamo creare un utente di dominio sia sul controller di dominio primario che su quello di backup. Immediatamente dopo la creazione, appare sul server duplicato, ma per circa un minuto (mentre è in corso la replica) - viene mostrato come disabilitato, dopodiché inizia a comparire lo stesso su entrambi i controller.
A prima vista, tutti i passaggi per creare uno schema funzionante per l'interazione di più controller di dominio sono stati completati e ora, in caso di guasto del controller di dominio "primario", i controller "di backup" eseguiranno automaticamente le sue funzioni. Tuttavia, mentre la differenza tra controller di dominio "primario" e "in standby" è puramente nominale, il controller di dominio "primario" ha una serie di funzionalità (ruoli FSMO) che non devono essere dimenticate. Pertanto, le operazioni di cui sopra non sono sufficienti per il normale funzionamento del servizio directory in caso di guasto del controller di dominio "primario", e i passaggi che devono essere eseguiti per trasferire / assumere correttamente il ruolo di controller di dominio primario sarà descritto di seguito.
Un po' di teoria
Devi sapere che i controller Dominio attivo Le directory svolgono diversi tipi di ruoli. Questi ruoli sono chiamati FSMO (operazioni flessibili a master singolo):
- Schema Master: il ruolo è responsabile della possibilità di modificare lo schema, ad esempio distribuzione Server di scambio o server ISA. Se il proprietario del ruolo non è disponibile, non è possibile modificare lo schema del dominio esistente;
- Domain Naming Master: questo ruolo è obbligatorio se la foresta di domini dispone di più domini o sottodomini. Senza di esso, non sarà possibile creare ed eliminare domini in un'unica foresta di domini;
- Relative ID Master - è responsabile della creazione di un ID univoco per ogni oggetto AD;
- Primary Domain Controller Emulator: è lui che è responsabile di lavorare con gli account utente e la politica di sicurezza. La mancanza di connessione con esso permette di accedere alle postazioni con la vecchia password, che non può essere modificata in caso di "crash" del controller di dominio;
- Infrastructure Master: il ruolo è responsabile della comunicazione delle informazioni sugli oggetti AD ad altri controller di dominio nella foresta.
Questi ruoli sono stati scritti in modo sufficientemente dettagliato in molte basi di conoscenza, ma il ruolo principale è quasi sempre dimenticato: questo è il ruolo del Catalogo globale (Catalogo globale). In effetti, questa directory avvia semplicemente il servizio LDAP sulla porta 3268, ma la sua inaccessibilità impedirà agli utenti del dominio di accedere al sistema. È interessante notare che tutti i controller di dominio possono avere contemporaneamente il ruolo di catalogo globale.
Infatti, possiamo concludere che se hai un dominio primitivo per 30-50 macchine, senza infrastruttura estesa, che non include sottodomini, allora potresti non notare la mancanza di accesso al proprietario/proprietari dei primi due ruoli. Inoltre, diverse volte mi sono imbattuto in organizzazioni che lavorano da più di un anno senza alcun controller di dominio, ma in un'infrastruttura di dominio. Cioè, tutti i diritti sono stati distribuiti molto tempo fa, con il controller di dominio in esecuzione e non è stato necessario modificarli, gli utenti non hanno modificato le password e hanno lavorato in silenzio.
Determinazione degli attuali proprietari dei ruoli fsmo.
Per chiarire, vogliamo sostituire con competenza il controller di dominio senza perdere nessuna delle sue capacità. Nel caso in cui ci siano due o più controller nel dominio, dobbiamo scoprire chi è il proprietario di ciascuno dei ruoli fsmo. È abbastanza facile farlo usando i seguenti comandi:
dsquery server -hasfsmo schema
dsquery server - nome hasfsmo
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infra
dsquery server -forest -isgc
Ciascuno dei comandi ci mostra informazioni su chi è il proprietario del ruolo richiesto (Fig. 1). Nel nostro caso, il proprietario di tutti i ruoli è il controller di dominio primario dcserver.
Trasferimento volontario di ruoli fsmo utilizzando le console di Active Directory.
Disponiamo di tutte le informazioni necessarie per trasferire il ruolo di controller di dominio primario. Cominciamo: in primo luogo, è necessario assicurarsi che il nostro account sia membro dei gruppi Domain Admins, Schema Admins e Enterprise Admins, quindi procedere al metodo tradizionale di trasferimento dei ruoli fsmo: gestione del dominio tramite le console di Active Directory.
Per trasferire il ruolo di “domain naming master”, eseguiamo i seguenti passaggi:
- aprire "Active Directory Domains and Trust" sul controller di dominio da cui vogliamo trasferire il ruolo. Se lavoriamo con AD sul controller di dominio a cui vogliamo trasferire il ruolo, saltiamo l'elemento successivo;
- clicca clic destro mouse sull'icona Active Directory - domini e trust e selezionare il comando Connetti a un controller di dominio. Selezioniamo il controller di dominio a cui vogliamo trasferire il ruolo;
- Fare clic con il pulsante destro del mouse sul componente Domini e trust di Active Directory e selezionare il comando Operations Masters;
- nella finestra di dialogo Cambia master of operations, cliccare sul pulsante Change (Fig. 2).
- dopo una risposta affermativa alla richiesta pop-up, riceviamo il ruolo trasferito con successo.
Allo stesso modo, è possibile trasferire i ruoli di master RID, controller di dominio primario e master infrastruttura utilizzando la console Utenti e computer di Active Directory.
Per trasferire il ruolo "schema master", è necessario prima registrare la libreria di gestione dello schema di Active Directory nel sistema:
Dopo che tutti i ruoli sono stati trasferiti, resta da occuparsi dell'opzione rimanente: il custode del catalogo globale. Andiamo su Active Directory: "Siti e servizi", il sito predefinito, server, troviamo il controller di dominio, che è diventato il principale, e nelle proprietà delle sue impostazioni NTDS mettiamo un segno di spunta davanti al catalogo globale. (fig. 3)
Di conseguenza, abbiamo cambiato i proprietari dei ruoli per il nostro dominio. Chi ha bisogno di sbarazzarsi finalmente del vecchio controller di dominio - lo declassiamo a un server membro. Tuttavia, la semplicità delle azioni eseguite ripaga in quanto la loro implementazione in una serie di situazioni è impossibile o termina con un errore. In questi casi, ntdsutil.exe ci aiuterà.
Trasferimento volontario di ruoli fsmo utilizzando le console ntdsutil.exe.
Nel caso in cui il trasferimento dei ruoli di fsmo tramite le console AD non vada a buon fine, Microsoft ha creato un'applicazione molto utilità conveniente- ntdsutil.exe - programma di manutenzione Directory attiva Elenco. Questo strumento consente di eseguire azioni estremamente utili, incluso il ripristino dell'intero database AD da un backup che questa stessa utility ha creato durante ultima modifica in d.C. Tutte le sue capacità possono essere trovate nel database Conoscenza Microsoft(ID articolo: 255504). In questo caso, stiamo parlando del fatto che l'utilità ntdsutil.exe consente sia di trasferire i ruoli che di "selezionarli".
Se vogliamo trasferire un ruolo dal controller di dominio “primario” esistente a quello di “backup”, accediamo al controller di dominio “primario” e avviamo il trasferimento dei ruoli (comando di trasferimento).
Se, per qualche motivo, non disponiamo di un controller di dominio primario o non possiamo accedere con un account amministrativo, accediamo al controller di dominio di backup e iniziamo a "selezionare" i ruoli (seize command).
Quindi il primo caso: il controller di dominio primario esiste e funziona normalmente. Quindi andiamo al controller di dominio principale e digitiamo i seguenti comandi:
ntdsutil.exe
ruoli
connessioni
connettersi al server server_name (quello a cui vogliamo dare il ruolo)
Q
Se compaiono errori, dobbiamo controllare la connessione con il controller di dominio a cui stiamo tentando di connetterci. Se non ci sono errori, ci siamo collegati correttamente al controller di dominio specificato con i diritti dell'utente per conto del quale stiamo inserendo i comandi.
Un elenco completo dei comandi è disponibile dopo la query di manutenzione di fsmo con il segno standard? ... È ora di trasferire i ruoli. Ho subito, senza esitazione, deciso di trasferire i ruoli nell'ordine in cui sono indicati nelle istruzioni per ntdsutil e sono giunto alla conclusione che non potevo trasferire il ruolo di master dell'infrastruttura. In risposta a una richiesta di trasferimento di un ruolo, ho ricevuto un errore: "impossibile contattare l'attuale proprietario del ruolo fsmo". Ho cercato a lungo in rete e ho scoperto che la maggior parte delle persone che sono arrivate alla fase di trasferimento dei ruoli si trovano di fronte a questo errore. Alcuni di loro cercano di assumere questo ruolo con la forza (non esce), alcuni lasciano tutto così com'è - e vivono felici senza questo ruolo.
Io, attraverso tentativi ed errori, ho scoperto che durante il trasferimento dei ruoli a quest'ordineè garantito il corretto completamento di tutti i passaggi:
- il titolare degli identificativi;
- il titolare del regime;
- nomina del proprietario;
- il proprietario dell'infrastruttura;
- controller di dominio;
Dopo aver effettuato correttamente la connessione al server, riceviamo un invito a gestire i ruoli (manutenzione fsmo) e possiamo iniziare a trasferire i ruoli:
- trasferire il dominio dei nomi di dominio
- maestro dell'infrastruttura di trasferimento
- trasferisci il maestro di rid
- schema di trasferimento master
- trasferire master pdc
Dopo l'esecuzione di ogni comando, dovrebbe esserci una richiesta se vogliamo davvero trasferire il ruolo specificato il server specificato... Il risultato di una corretta esecuzione del comando è mostrato in Fig. 4.
Il ruolo del custode del catalogo globale viene trasferito nel modo descritto nella sezione precedente.
Assegnazione forzata di ruoli fsmo tramite ntdsutil.exe.
Nel secondo caso, vogliamo assegnare al nostro controller di dominio standby il ruolo di primario. In questo caso, non cambia nulla: l'unica differenza è che eseguiamo tutte le operazioni utilizzando il comando seize, ma già sul server a cui vogliamo trasferire i ruoli per assegnare un ruolo.
impadronirsi del maestro dei nomi di dominio
impadronirsi del padrone dell'infrastruttura
impadronisciti del padrone
impadronisciti dello schema master
sequestrare pdc
Nota: se hai revocato un ruolo da un controller di dominio che non è in questo momento, quindi quando appare sulla rete, i controller inizieranno a entrare in conflitto e non potrai evitare problemi nel funzionamento del dominio.
Lavora sui bug.
La cosa più importante da ricordare è che il nuovo controller di dominio primario non correggerà da solo le impostazioni TCP/IP: ora è auspicabile che utilizzi l'indirizzo del server DNS primario (e se il vecchio controller di dominio + server DNS lo essere assente, quindi assicurarsi di) specificare 127.0.0.1.
Inoltre, se hai una rete Server DHCP, quindi devi forzarlo a emettere l'indirizzo dell'ip del server DNS primario del tuo nuovo server, se non c'è DHCP, passa attraverso tutte le macchine e registra manualmente questo DNS primario per loro. In alternativa, puoi assegnare lo stesso IP al nuovo controller di dominio di quello vecchio.
Ora devi controllare come funziona tutto e sbarazzarti degli errori di base. Per fare ciò, propongo di cancellare tutti gli eventi su entrambi i controller, salvando i log nella cartella con altri backup e riavviare tutti i server.
Dopo averli attivati, analizziamo attentamente tutti i registri degli eventi per il fatto di avvisi ed errori.
Il messaggio di avviso più comune dopo il trasferimento dei ruoli fsmo è che "msdtc non è in grado di gestire correttamente una promozione/declassamento del controller di dominio che si è verificata".
È facile da risolvere: nel menu "Amministrazione" troviamo "Servizi
componenti”. Lì apriamo "Servizi componenti", "Computer", apriamo le proprietà della sezione "Risorse del computer", cerchiamo "MS DTC" e facciamo clic su "Impostazioni di sicurezza" lì. Lì abilitiamo "Accesso alla rete DTC" e premiamo OK. Il servizio verrà riavviato e l'avviso scomparirà.
Un esempio di errore è un messaggio che indica che non è possibile caricare la zona DNS primaria o che il server DNS non vede il controller di dominio.
È possibile comprendere i problemi di funzionamento del dominio utilizzando l'utilità (Fig. 5):
Puoi installare questa utility dall'originale disco di Windows 2003 dalla cartella /support/tools. L'utilità consente di verificare lo stato di tutti i servizi del controller di dominio, ogni fase deve terminare con le parole passate correttamente. Se fallisci (il più delle volte si tratta di test di connessione o di log di sistema), puoi provare a correggere l'errore automaticamente:
dcdiag / v / fix
Di norma, tutti gli errori relativi al DNS dovrebbero essere spariti. In caso contrario, utilizziamo l'utilità per verificare lo stato di tutti i servizi di rete:
Ed è un utile strumento di risoluzione dei problemi:
netdiag / v / fix
Se dopo ci sono ancora errori relativi al DNS, il modo più semplice è eliminare tutte le zone da esso e crearle manualmente. È abbastanza semplice: la cosa principale è creare una zona primaria per nome di dominio, archiviata in Active Directory e replicata su tutti i controller di dominio sulla rete.
Di più informazioni dettagliate di Errori DNS darà un altro comando:
dcdiag / test: dns
Alla fine del lavoro svolto, ho impiegato circa 30 minuti in più per scoprire il motivo della comparsa di una serie di avvisi: ho capito la sincronizzazione dell'ora, l'archiviazione del catalogo globale e altre cose che non ero mai riuscito a ottenere le mie mani prima. Ora tutto funziona come un orologio - cosa più importante, non dimenticare di avviare un controller di dominio di backup se vuoi rimuovere il vecchio controller di dominio dalla rete.
Un controller di dominio è un computer server che gestisce un dominio e archivia una replica della directory del dominio (database del dominio locale). Poiché possono esserci più controller di dominio in un dominio, tutti memorizzano copia completa quella parte della directory che appartiene al loro dominio.
Di seguito sono riportate le funzioni dei controller di dominio.
- Ciascun controller di dominio mantiene una copia completa di tutte le informazioni di Active Directory relative al proprio dominio e gestisce e replica le modifiche a queste informazioni su altri controller nello stesso dominio.
- Tutti i controller nel dominio replicano automaticamente tutti gli oggetti nel dominio tra di loro. Tutte le modifiche apportate ad Active Directory vengono effettivamente apportate su uno dei controller di dominio. Questo controller di dominio replica quindi le modifiche ad altri controller all'interno del proprio dominio. Impostando la frequenza di replica e la quantità di dati che Windows trasferirà con ogni replica, puoi regolare traffico di rete tra i controller di dominio.
- Aggiornamenti importanti come disabilitare un account utente, i controller di dominio si replicano immediatamente.
- Active Directory utilizza la replica multimaster in cui nessun controller di dominio è il master. Tutti i controller sono peer e ciascuno contiene una copia del database del catalogo che può essere modificata. In brevi periodi di tempo, le informazioni in queste copie possono differire fino a quando tutti i controller non sono sincronizzati tra loro.
- La presenza di più controller in un dominio fornisce la tolleranza agli errori. Se uno dei controller di dominio non è disponibile, l'altro eseguirà le operazioni necessarie, ad esempio la scrittura delle modifiche in Active Directory.
- I controller di dominio gestiscono le interazioni utente-dominio, come la ricerca di oggetti di Active Directory e il riconoscimento dei tentativi di accesso alla rete.
Esistono due ruoli di master operazioni che possono essere assegnati a un singolo controller di dominio in una foresta (ruoli associati alla foresta):
- Maestro dello schema. Il primo controller di dominio nella foresta assume il ruolo di master schema ed è responsabile della gestione e della distribuzione dello schema al resto della foresta. Mantiene un elenco di tutte le possibili classi di oggetti e attributi che definiscono gli oggetti che risiedono in Active Directory. Se lo schema deve essere aggiornato o modificato, è necessario lo Schema Master.
- Maestro dei nomi di dominio. Registra l'aggiunta e la rimozione di domini nella foresta ed è fondamentale per mantenere l'integrità dei domini. Domain Naming Master viene richiesto quando vengono aggiunti nuovi domini alla foresta. Se il Domain Naming Master non è disponibile, non è possibile aggiungere nuovi domini; tuttavia, se necessario, questo ruolo può essere trasferito a un altro controller.
Esistono tre ruoli di master operazioni che possono essere assegnati a uno dei controller in ogni dominio (ruoli a livello di dominio).
- RID (Relative Identifier (RID) Master). Responsabile dell'allocazione di intervalli di identificatori relativi (RID) a tutti i controller nel dominio. Il SID in Windows Server 2003 ha due parti. La prima parte è comune a tutti gli oggetti del dominio; per creare un SID univoco, a questa parte viene aggiunto un RID univoco. Insieme, identificano in modo univoco un oggetto e indicano dove è stato creato.
- Emulatore di controller di dominio primario (PDC). Responsabile di Emulazione di Windows NT 4.0 PDC per computer client che non sono ancora migrati a Windows 2000, Windows Server 2003 o Windows XP e non hanno installato il client del servizio directory. Uno dei compiti principali dell'emulatore PDC è registrare i client legacy. Inoltre, l'emulatore PDC viene contattato se l'autenticazione del client non riesce. Ciò consente all'emulatore PDC di controllare le password modificate di recente per i client legacy nel dominio prima di rifiutare la richiesta di accesso.
- Maestro delle infrastrutture. Registra le modifiche apportate agli oggetti controllati nel dominio. Tutte le modifiche vengono prima segnalate al master dell'infrastruttura e quindi replicate su altri controller di dominio. Il master infrastruttura elabora le informazioni sui gruppi e sull'appartenenza per tutti gli oggetti nel dominio. Un altro compito dell'Infrastructure Master è trasferire le informazioni sulle modifiche apportate agli oggetti ad altri domini.
Riso. 3.4. Distribuzione predefinita dei ruoli principali delle operazioni forestali
Il ruolo di Global Catalog Server (GC) può essere svolto da qualsiasi singolo controller di dominio in un dominio, una delle funzioni server che possono essere assegnate a un controller di dominio. I server di catalogo globale hanno due scopi importanti. Consentono agli utenti di accedere alla rete e trovare oggetti in qualsiasi parte della foresta. Il catalogo globale contiene un sottoinsieme di informazioni da ciascuna partizione di dominio e viene replicato tra i server di catalogo globale nel dominio. Quando un utente tenta di accedere alla rete o di accedere a una risorsa di rete da qualsiasi punto della foresta, la richiesta corrispondente viene risolta con la partecipazione del catalogo globale. Un'altra attività del catalogo globale, utile indipendentemente dal numero di domini presenti sulla rete, consiste nel partecipare al processo di autenticazione quando un utente accede alla rete. Quando un utente va online, il suo nome viene prima confrontato con il contenuto del catalogo globale. Ciò consente di accedere alla rete da computer in domini diversi da quelli in cui è archiviato l'account utente desiderato.
L'installazione di un controller di dominio è una parte importante per rete di computer, infatti, controllandone il lavoro. Il suo compito principale è avviare l'importante servizio Active Directory. Funziona con il Centro distribuzione chiavi - Kerberos.
Fornisce anche lavoro su sistemi compatibili con Unix. In essi, la suite di software Samba funge da controller.
Il controller di dominio viene utilizzato per creare una rete locale in cui gli utenti possono accedere con il proprio nome e con le proprie credenziali. Devono farlo su tutti i computer. Inoltre, l'installazione di un controller di dominio fornisce una definizione dei diritti di accesso alla rete e la gestione della relativa sicurezza. Con il suo aiuto, puoi gestire centralmente l'intera rete, il che è molto importante.
I controller di dominio possono anche eseguire Windows Server 2003. In questo modo forniscono l'archiviazione di tutti i dati della directory, gestiscono le operazioni di utenti e domini, controllano l'accesso degli utenti, autenticano la directory e altro ancora. Tutti possono essere creati utilizzando il programma di installazione di Active Directory. Può funzionare anche su Windows NT. Qui, per funzionare in modo più affidabile, viene creato controller aggiuntivo... Sarà collegato al controller principale.
V Rete Windows NT aveva un server. Potrebbe essere utilizzato per far funzionare il controller di dominio principale o PDC. Tutti gli altri server hanno funzionato come server ausiliari. Ad esempio, potrebbero controllare tutti gli utenti, archiviare e controllare password e altro operazioni importanti... Ma allo stesso tempo, non potevano aggiungere nuovi utenti al server, non potevano anche cambiare password e simili, cioè la configurazione del controller di dominio era meno varia. Queste operazioni possono essere eseguite solo utilizzando il PDC. Le modifiche apportate potrebbero quindi essere applicate a tutti i domini di backup. Se il server primario non era disponibile, il dominio di backup non poteva essere promosso al livello primario.
Tuttavia, puoi configurare un controller di dominio, una rete e aumentare il livello del dominio su qualsiasi computer ea casa. Questa saggezza è facile da imparare da soli. Tutti gli strumenti necessari per questo si trovano nel Pannello di controllo - Aggiungi o rimuovi programmi - Installa componenti di sistema. È vero, dovrai lavorare con loro, avendo precedentemente installato un disco con un sistema operativo nel tuo computer. È possibile aumentare il ruolo di un computer utilizzando la riga di comando immettendo il comando dcpromo.
Inoltre, la convalida del controller di dominio può essere eseguita utilizzando servizi di pubblica utilità specialized, che funzionano infatti in modalità automatizzata, cioè ti permettono di ottenere informazione necessaria dopo aver avviato il programma e regolare il funzionamento dei controller dopo aver eseguito la diagnostica. Ad esempio, è possibile utilizzare l'utilità Ntdsutil.exe, che fornisce la possibilità di connettersi a un controller di dominio appena installato per verificare la capacità di rispondere a una richiesta LDAP. Allo stesso modo, con l'aiuto di questo software, è possibile determinare se il controller dispone di informazioni sulla posizione dei ruoli FSMO nel proprio dominio.
Ce ne sono ancora alcuni modi semplici che ti permetteranno di diagnosticare il corretto funzionamento dei controllori. In particolare, puoi andare su HKEY _LOCAL _MACHINE \ SYSTEM \ CurrentControlSet \ Services (chiave di registro) e cercare lì la sottochiave NTDS, la cui presenza indica il normale funzionamento del controller di dominio. C'è un metodo per introdurre account di rete sulla riga di comando e lì, se il computer è un controller di dominio, vedrai nella riga Computer valore del ruolo BACKUP o PRIMARY, altri valori sono disponibili su computer semplici.
