Ce este un controler de domeniu. Planifică să instalezi Active Directory pe diferite subrețele

Ce este un controler de domeniu

Controlerul de domeniu oferă management centralizat dispozitive de rețea, adică domenii. Controlerul stochează toate informațiile din conturile și setările utilizatorilor rețelei. Acestea sunt setările de securitate politica localași multe altele. Acesta este un fel de server care controlează complet anumită rețea sau grup de rețea. Un controler de domeniu este un fel de set special software, care se lansează diverse servicii Director activ. Controlerele rulează anumite sisteme de operare, cum ar fi Windows Server 2003. Active Drive Setup Wizard vă permite să creați controlere de domeniu.

Pe sistemul de operare Windows NT, serverul principal, este utilizat controlerul de domeniu principal. Alte servere în uz sunt folosite ca controlere de rezervă. Principalele controlere PDC pot efectua diverse sarcini legate de apartenența la grupul de utilizatori, crearea și schimbarea parolelor, adăugarea de utilizatori și multe altele. După aceea, datele sunt transmise controlorilor BDC suplimentari.

Software-ul Samba 4 poate fi folosit ca controler de domeniu dacă este instalat un sistem de operare. sistem Unix. Acest software acceptă și alte sisteme de operare, cum ar fi Windows 2003, 2008, 2003 R2 și 2008 R2. Fiecare dintre sistemele de operare, dacă este necesar, poate fi extins în funcție de cerințele și parametrii specifici.

Aplicarea controlerelor de domeniu

Controlerele de domeniu sunt folosite de multe organizații care găzduiesc computere conectate între ele și la rețea. Controlerele stochează datele din director și controlează modul în care utilizatorii se conectează, se deconectează și interacționează între ei.

Organizațiile care utilizează un controler de domeniu trebuie să decidă câte controlere de domeniu vor fi utilizate, să planifice arhivarea datelor, securitatea fizică, upgrade-urile de server și alte sarcini necesare.

Dacă o companie sau organizație este mică și folosește o singură rețea de domeniu, atunci este suficient să folosești două controlere care pot oferi stabilitate ridicată, toleranță la erori și un nivel ridicat de disponibilitate a rețelei. În rețelele care sunt împărțite într-un anumit număr de site-uri, pe fiecare dintre ele este instalat un controler, ceea ce vă permite să obțineți performanța și fiabilitatea necesare. Prin utilizarea controlerelor în fiecare site, autentificarea utilizatorului poate fi făcută mult mai ușor și mai rapid.

Traficul în rețea poate fi optimizat, pentru a face acest lucru, trebuie să setați timpul pentru actualizările de replicare când încărcarea în rețea este minimă. Configurarea replicării vă va simplifica foarte mult munca și o va face mai productivă.

Puteți obține performanțe maxime în activitatea controlerului dacă domeniul este un catalog global, care vă va permite să interogați orice obiecte după o anumită greutate. Cu toate acestea, este important să rețineți că activarea unui catalog global are ca rezultat o creștere semnificativă a traficului de replicare.

Controlerul de domeniu gazdă este cel mai bine lăsat neactivat dacă este utilizat mai mult de un controler de domeniu. Când folosiți un controler de domeniu, este foarte important să aveți grijă de securitate, deoarece aceasta devine destul de accesibilă pentru atacatorii care doresc să intre în posesia datelor necesare înșelăciunii.

Considerații pentru instalarea controlerelor de domeniu suplimentare

Pentru a obține o fiabilitate mai mare în funcționarea serviciilor de rețea necesare, este necesar să instalați controlere de domeniu suplimentare. Ca rezultat, se poate obține o stabilitate, fiabilitate și siguranță operațională semnificativ mai mare. Performanța rețelei în acest caz va deveni mult mai mare, ceea ce este un parametru foarte important pentru organizațiile care folosesc un controler de domeniu.

Pentru ca controlerul de domeniu să funcționeze corect, trebuie făcute unele lucrări pregătitoare. Primul lucru de făcut este să verificați setările TCP/IP, acestea trebuie să fie setate corect pentru server. Cel mai important lucru este să verificați numele DNS pentru mapări.

Pentru ca un controler de domeniu să funcționeze în siguranță, este necesar să utilizați sistemul de fișiere NTFS, care oferă o securitate mai mare decât sistemele de fișiere. sisteme FAT 32. Pentru a instala pe server, trebuie să creați o partiție în Sistemul de fișiere NTFS unde va fi localizat volumul sistemului. De asemenea, necesită acces la server DNS de pe server. serviciu DNS instalat pe acest server sau pe un server suplimentar care trebuie să accepte înregistrările de resurse.

Pentru a configura corect un controler de domeniu, puteți utiliza Expertul de configurare, care vă permite să adăugați execuția unor roluri specifice. Pentru a face acest lucru, va trebui să accesați secțiunea de administrare prin panoul de control. Trebuie să specificați un controler de domeniu ca rol de server.

Controlerul de domeniu este astăzi indispensabil pentru rețelele și site-urile utilizate de diverse organizații, instituții și companii din toate domeniile activității umane. Datorită lui, se asigură performanța ridicată în muncă și securitate, care are o importanță deosebită în rețelele de calculatoare. Rolul unui controler de domeniu este foarte important, deoarece vă permite să gestionați zonele de domeniu construite pe rețele de calculatoare. Fiecare sistem de operare are anumite nuanțe asociate cu funcționarea controlerelor de domeniu, dar principiul și scopul său sunt aceleași peste tot, așa că gestionarea setărilor nu este atât de dificilă pe cât ar părea la început. Cu toate acestea, este foarte important ca controlerele de domeniu să fie configurate de experți pentru a obține în cele din urmă performanta ridicata si siguranta la locul de munca.

O pădure în AD DS este cea mai mare nivelul superior ierarhii ale structurii logice. Forest Active Directorul reprezintă un singur director. Pădurea este o limită de securitate. Aceasta înseamnă că administratorii de pădure au control complet asupra accesului la informațiile stocate în pădure și accesul la controlerele de domeniu utilizate pentru implementarea pădurii.

Organizațiile implementează de obicei o singură pădure, cu excepția cazului în care există o nevoie specifică de mai multe păduri. De exemplu, dacă pentru părți diferite Deoarece o organizație trebuie să creeze zone administrative separate, trebuie create mai multe păduri pentru a reprezenta aceste zone.

La implementarea mai multor păduri într-o organizație, fiecare pădure, implicit, funcționează separat de alte păduri, ca și cum ar fi singura pădure din organizație.

Notă. Pentru a integra mai multe păduri, puteți crea relații de securitate între ele, care se numesc trusturi străine sau forestiere.

Operațiuni la nivel de pădure

Domeniu Servicii active Directory este un serviciu de director multi-master. Aceasta înseamnă că majoritatea modificărilor de director pot fi făcute pe orice instanță de director care poate fi scrisă, adică pe orice controler de domeniu care poate fi scris. Cu toate acestea, unele modificări sunt exclusive. Aceasta înseamnă că pot fi realizate doar pe un controler de domeniu specific din pădure sau domeniu, în funcție de modificarea specifică. Se spune că controlerele de domeniu pe care pot fi făcute aceste modificări exclusive conțin roluri de maestru de operațiuni. Există cinci roluri de master operațiuni, dintre care două sunt roluri la nivel de pădure și celelalte trei sunt roluri la nivel de domeniu.

Două roluri de maestru de operațiuni la nivel de pădure:

• Maestru de nume de domeniu. Sarcina maestrului de numire a domeniului este să se asigure că există nume unice în toată pădurea. Garantează că există un singur copac complet în întreaga pădure. Numele domeniului fiecare calculator.
• Proprietarul schemei. Schema master monitorizează schema pădurii și menține modificările structură de bază paduri.

Deoarece aceste roluri sunt roluri esențiale la nivel de pădure, ar trebui să existe un singur master de schemă și un maestru de denumire a domeniului în fiecare pădure.

Materiale suplimentare:

O schemă este o componentă a AD DS care definește toate obiectele și atributele pe care AD DS le utilizează pentru a stoca date.

AD DS stochează și preia informații din multe aplicații și servicii. Prin urmare, pentru a putea stoca și replica datele din aceste surse diferite, AD DS definește un standard pentru stocarea datelor într-un director. Având un standard de păstrare a datelor, AD DS poate prelua, actualiza și replica datele, menținând în același timp integritatea acestora.

Obiectele sunt folosite ca unități de stocare în AD DS. Toate obiectele sunt definite în schemă. De fiecare dată când directorul procesează date, directorul interogează schema pentru definiția obiectului corespunzătoare. Pe baza definiției obiectului din schemă, directorul creează obiectul și stochează datele.

Definițiile obiectelor determină tipurile de date pe care obiectele le pot stoca, precum și sintaxa datelor. Pe baza acestor informații, schema asigură că toate obiectele se potrivesc cu acestea definiții standard. Drept urmare, Active Directory Domain Services poate stoca, prelua și valida datele pe care le gestionează, indiferent de aplicația care este sursa inițială a datelor. Directorul poate stoca doar date care au definiția existentă obiect din schemă. Dacă doriți să stocați date de un tip nou, trebuie mai întâi să creați o nouă definiție de obiect în schema pentru acele date.

Schema din AD DS definește:

• obiecte utilizate pentru stocarea datelor în director;
• reguli care definesc ce tipuri de obiecte pot fi create, ce atribute trebuie definite la crearea unui obiect și care atribute sunt opționale;
• structura și conținutul directorului în sine.

Schema este un element de master unic Active Directory Domain Services. Aceasta înseamnă că modificările schemei trebuie făcute pe controlerul de domeniu care deține rolul de maestru al operațiunilor cu schema.

Schema este replicată printre toate controlerele de domeniu din pădure. Orice modificare adusă schemei este replicată tuturor controlerelor de domeniu din pădure de la deținătorul rolului de maestru al operațiunilor de schemă, care este de obicei primul controler de domeniu din pădure.

Deoarece schema determină modul în care sunt stocate informațiile și orice modificări aduse schemei afectează toți controlerele de domeniu, modificările schemei ar trebui făcute numai atunci când este necesar (printr-un proces strict controlat) după ce testarea a fost efectuată pentru a se asigura că nu există un impact negativ asupra restul pădurii.

Deși nu puteți face modificări în schemă în mod direct, unele aplicații fac modificări schemei pentru a accepta funcții suplimentare. De exemplu, la instalare Microsoft Exchange Server 2010 într-o pădure AD DS, Setup extinde schema pentru a accepta noi tipuri de obiecte și atribute.

Material suplimentar:

1.3 Ce este un domeniu.

Un domeniu este o graniță administrativă. Toate domeniile au un cont de administrator care are totul puteri administrative pentru toate obiectele din domeniu. Deși un administrator poate delega administrarea obiectelor dintr-un domeniu, contul de administrator păstrează controlul administrativ deplin asupra tuturor obiectelor din domeniu.

V versiuni timpurii Windows Server domeniile s-au gândit a fi concepute pentru a asigura separarea administrativă completă; într-adevăr, unul dintre motivele principale pentru alegerea unei topologii cu mai multe domenii a fost asigurarea unei astfel de separari. Cu toate acestea, în AD DS, un cont de administrator din domeniul rădăcină a pădurii are control administrativ deplin asupra tuturor obiectelor din pădure, ceea ce face ca această separare administrativă la nivel de domeniu să fie invalidă.

Domeniul este granița de replicare. Serviciile de domeniu Active Directory sunt formate din trei elemente sau secțiuni, - sistem, secțiunea de configurareși partiție de domeniu. De obicei, doar partiția de domeniu se schimbă frecvent.

Secțiunea de domeniu conține obiecte care probabil ar trebui actualizate frecvent; astfel de obiecte sunt utilizatori, computere, grupuri și unități organizaționale. Prin urmare, replicarea AD DS constă în principal din actualizări ale obiectelor definite în partiția de domeniu. Numai controlorii de domeniu dintr-un anumit domeniu primesc actualizări ale partițiilor de domeniu de la alți controlori de domeniu. Partiționarea datelor permite organizațiilor să reproducă datele numai acolo unde este nevoie. Ca rezultat, catalogul se poate scala la nivel global printr-o rețea cu lățime de bandă limitată.

Domeniul este granița de autentificare. Fiecare cont de utilizator dintr-un domeniu poate fi autentificat de controlorii acelui domeniu. Domeniile forestiere au încredere unul în celălalt, astfel încât un utilizator dintr-un domeniu să poată accesa resursele aflate în alt domeniu.

Operațiuni la nivel de domeniu

Există trei roluri de master operațiuni în fiecare domeniu. Aceste roluri, atribuite inițial primului controler de domeniu din fiecare domeniu, sunt enumerate mai jos.

• Proprietarul identificatorului relativ (RID). Ori de câte ori un obiect este creat în AD DS, controlerul de domeniu în care este creat obiectul îi atribuie un unic un număr de identificare, numit un identificator de securitate (SID). Pentru a împiedica doi controlori de domeniu să aloce același SID la două obiecte diferite, masterul RID alocă blocuri SID fiecărui controler de domeniu din domeniu.
• Emulator PDC. Acest rol este cel mai important, deoarece pierderea lui temporară devine vizibilă mult mai repede decât pierderea oricărui alt rol de maestru de operațiuni. Este responsabil pentru o serie de funcții la nivel de domeniu, inclusiv:
• actualizați starea de blocare a contului;
• crearea și replicarea obiectelor Politica de grup unic proprietar;
• sincronizare de timp pentru domeniu.
• Proprietarul infrastructurii. Acest rol este responsabil pentru menținerea referințelor la obiecte pe mai multe domenii. De exemplu, atunci când un grup dintr-un domeniu include un membru dintr-un alt domeniu, comandantul infrastructurii este responsabil pentru menținerea integrității acelei legături.

Aceste trei roluri trebuie să fie unice în fiecare domeniu, astfel încât poate exista un singur master RID, un emulator primar de controler de domeniu (PDC) și un master de infrastructură în fiecare domeniu.

Materiale suplimentare:

Dacă AD DS conține mai multe domenii, trebuie să definiți relațiile dintre domenii. Dacă domeniile au o rădăcină comună și un spațiu de nume contiguu, ele fac parte din același arbore Active Directory. Arborele nu servește niciun scop administrativ. Cu alte cuvinte, nu există administrator de arbore pentru că există un administrator de pădure sau de domeniu. Arborele oferă o grupare ierarhică logică de domenii care au relații părinte-copil definite de numele lor. Arborele Active Directory se mapează la un spațiu de nume Domain Name Service (DNS).

Arborele Active Directory sunt creați pe baza relațiilor dintre domeniile pădurii. Nu exista motive serioase, care poate sau nu necesita crearea mai multor copaci în pădure. Cu toate acestea, rețineți că un singur arbore cu spațiul său de nume contiguu este mai ușor de gestionat și mai ușor de vizualizat de către utilizatori.

Dacă există mai multe spații de nume acceptate, luați în considerare utilizarea mai multor copaci în aceeași pădure. De exemplu, dacă organizația dvs. are mai multe departamente de producție diferite cu identificatori publici diferiți, puteți crea un arbore diferit pentru fiecare departament de producție. Rețineți că nu există o separare a administrației în acest scenariu, deoarece administratorul rădăcinii pădurii are în continuare control deplin asupra tuturor obiectelor din pădure, indiferent de arborele în care se află.

1.5 Diviziuni

Subdiviziune este un obiect container dintr-un domeniu care poate fi utilizat pentru a grupa utilizatori, grupuri, computere și alte obiecte. Există două motive pentru a crea diviziuni.

• Configurați obiectele conținute în OU. Puteți atribui GPO unei unități organizaționale și puteți aplica setările tuturor obiectelor din acea unitate organizațională.
• Delegație administrare obiecte din departament. Puteți atribui drepturi de gestionare a OU, delegând astfel gestionarea OU unui utilizator sau unui grup care nu este administrator în Active Directory Domain Services.

Notă. O unitate organizațională este cel mai mic domeniu sau unitate căreia îi puteți aloca setări de politică de grup sau îi puteți delega drepturi administrative.

Unitățile organizaționale pot fi utilizate pentru a reprezenta structuri logice ierarhice din cadrul unei organizații. De exemplu, puteți crea divizii care reprezintă departamente dintr-o organizație, regiuni geografice din cadrul unei organizații și divizii care sunt o combinație de departamente și zone geografice. Apoi puteți gestiona configurația și utiliza conturile de utilizator, grup și computer pe baza modelului de organizare creat de dvs.

Fiecare domeniu Active Directory Domain Services are set standard containere și OU care sunt create atunci când instalați Active Directory Domain Services. Aceste containere și divizii sunt enumerate mai jos.

• Containerul de domeniu care servește ca container rădăcină al ierarhiei.
• Container încorporat care conține conturi implicite de administrator de servicii.
• Containerul de utilizatori care este locația implicită pentru noile conturi de utilizator și grupuri create în domeniu.
• Containerul computerului care este locația implicită pentru noile conturi de computer care sunt create în domeniu.
• Unitatea organizatorică a controlerelor de domeniu, care este locația implicită pentru conturile de computer ale controlerului de domeniu.

1.6 Relații de încredere

O relație de încredere permite unei entități de securitate să aibă încredere în altă entitate de securitate în scopuri de autentificare. În sistemul de operare Windows Server 2008 R2, obiectul de securitate este domeniul Windows.

Scopul principal al unui trust este de a facilita accesul unui utilizator dintr-un domeniu la o resursă dintr-un alt domeniu, fără a fi necesar să mențină un cont de utilizator în ambele domenii.

În orice relație de încredere, există două părți implicate - entitatea de încredere și entitatea de încredere. O entitate de încredere este o entitate care deține o resursă, iar o entitate de încredere este o entitate cu un cont. De exemplu, dacă împrumuți cuiva un laptop, ai încredere în acea persoană. Sunteți obiectul care deține resursa. Resursa este laptopul dvs.; persoana căreia i se împrumută laptopul este un obiect de încredere cu cont.

Tipuri de relații de încredere

Relațiile de încredere pot fi unidirecționale sau bidirecționale.

Încrederea unidirecțională înseamnă că, deși o entitate are încredere în alta, inversul nu este adevărat. De exemplu, dacă îi împrumuți lui Steve laptopul tău, nu înseamnă că Steve îți va împrumuta neapărat mașina lui.

Într-o încredere bidirecțională, ambele entități au încredere una în alta.

Relațiile de încredere pot fi fie tranzitive, fie netranzitive. Dacă obiectul A are încredere în obiectul B în încredere tranzitivă și obiectul B are încredere în obiectul C, atunci obiectul A are încredere și în obiectul C. De exemplu, dacă îi împrumuți lui Steve laptopul și Steve îi împrumută mașina lui Mary, îi poți împrumuta lui Mary telefonul tău mobil.

Windows Server 2008 R2 acceptă o varietate de trusturi concepute pentru a fi utilizate într-o varietate de situații.

În aceeași pădure, toate domeniile au încredere unul în celălalt folosind tranzitivul intern în două sensuri relație de încredere. În esență, aceasta înseamnă că toate domeniile au încredere în toate celelalte domenii. Aceste relații de încredere se extind prin copacii pădurii. Pe lângă aceste relații de încredere create automat, puteți configura relații de încredere suplimentare între domeniile pădurii, între această pădure și alte păduri și între această pădure și alte entități de securitate, cum ar fi tărâmurile Kerberos sau domeniile sistemului de operare. sisteme Microsoft Windows NT® 4.0. Următorul tabel oferă informații suplimentare.

2. Implementarea Serviciilor de Domeniu Active Directory

Pentru a implementa Active Directory Domain Services, trebuie să implementați controlere de domeniu. Pentru a optimiza AD DS, este important să înțelegeți unde și cum să creați controlere de domeniu pentru a vă optimiza infrastructura de rețea.

2.1 Ce este un controler de domeniu?

Domeniul este creat atunci când computerul este promovat Windows server Server 2008 R2 către controlerul de domeniu. Controlerele de domeniu găzduiesc Servicii de domeniu Active Directory.

Controlerele de domeniu asigură execuția următoarele funcții pe net.

• Oferă autentificare. Controlorii de domeniu mențin o bază de date de conturi de domeniu și oferă servicii de autentificare.
• Conține roluri de master operațiuni ca oportunitate suplimentară. Aceste roluri erau cunoscute anterior ca roluri FSMO (Flexible Single Master Operations). Există cinci roluri de master operațiuni - două roluri la nivel de pădure și trei roluri la nivel de domeniu. Aceste roluri pot fi migrate după cum este necesar.
• Conține catalogul global ca o caracteristică opțională. Orice controler de domeniu poate fi desemnat ca server de catalog global.

Notă. Catalogul global este o bază de date distribuită care conține o reprezentare care poate fi căutată a fiecărui obiect din toate domeniile dintr-o pădure cu mai multe domenii. Totuși, catalogul global nu conține toate atributele pentru fiecare obiect. În schimb, menține un subset de atribute care sunt cel mai probabil să fie utile în căutările de domenii.

2.2 Ce este un RODC?

Controlerul de domeniu numai pentru citire este un nou tip de controler de domeniu în Windows Server 2008 R2. Prin utilizarea unui RODC, organizațiile pot implementa cu ușurință un controler de domeniu în locații în care securitatea fizică nu poate fi garantată. Un RODC găzduiește o replică a bazei de date numai în citire în AD DS pentru acel domeniu. Un RODC poate funcționa și ca server de catalog global.

Începând cu Windows Server 2008, o organizație poate implementa un RODC în cazurile limitate lățimea de bandă canale retea globala sau securitate fizică insuficientă a computerelor. Drept urmare, utilizatorii în această situație pot beneficia de:

• securitate sporită;
• autentificare mai rapidă;
• acces mai eficient la resursele rețelei.

Rolul unui RODC este rezumat mai jos.

• Controlerul de domeniu care acționează ca master al operațiunilor emulatorului PDC pentru domeniu trebuie să ruleze un sistem de operare. sisteme Windows Server 2008. Acest lucru este necesar pentru a crea un cont nou krbtgt pentru un controler de domeniu numai pentru citire, precum și pentru operațiunile curente ale controlerului de domeniu respectiv.
• Un RODC necesită ca cererile de autentificare să fie redirecționate către un server de catalog global (care rulează Windows Server 2008) situat în site-ul cel mai apropiat de site-ul cu acest controler de domeniu. O politică de replicare a parolei este setată pe acest controler de domeniu pentru a determina dacă acreditările sunt replicate la locația sucursalei pentru o solicitare redirecționată de la RODC.
• Pentru ca delegarea constrânsă Kerberos să fie disponibilă, nivelul funcțional al domeniului trebuie setat la Windows Server 2003. Delegarea constrânsă este utilizată pentru apelurile de securitate care trebuie uzurpate în contextul apelantului.
• Pentru a face disponibilă replicarea valorii asociate, nivelul funcțional al pădurii trebuie setat la Windows Server 2003. Acest lucru oferă un nivel mai ridicat de compatibilitate cu replicarea.
• Trebuie să rulați adprep /rodcprep o dată în pădure. Acest lucru va actualiza permisiunile pentru toate partițiile directorului de aplicații DNS din pădure pentru a facilita replicarea între RODC-uri care sunt și servere DNS.
• Un RODC nu poate deține roluri de master operațiuni și nu poate acționa ca un server cap de pod de replicare.
• Controlerul de domeniu numai pentru citire poate fi implementat în Sistem server Core pentru securitate sporită.

Site-ul este vedere logica zona geografica din retea. Site-ul reprezintă marginea unei rețele de mare viteză pentru computerele Active Directory Domain Services, adică computere care pot comunica cu viteza mareși latență scăzută, pot fi combinate într-un site; Controloarele de domeniu dintr-un site reproduc datele AD DS într-o manieră optimizată pentru acel mediu. această configurație de replicare este în mare parte automată.

Notă. Site-urile sunt folosite de computerele client pentru a localiza servicii precum controlere de domeniu și servere de catalog global. Este important ca fiecare site pe care îl creezi să conțină macar un controler de domeniu și un server de catalog global.

2.4 Replicarea AD DS

1. Replicarea AD DS este transferul modificărilor aduse datelor de director între controlerele de domeniu dintr-o pădure AD DS. Modelul de replicare AD DS definește mecanisme care permit transmiterea automată a actualizărilor de directoare între controlerele de domeniu pentru a oferi o soluție de replicare fără probleme pentru serviciul de directoare distribuit AD DS.
2. Există trei secțiuni în Active Directory Domain Services. Partiția de domeniu conține datele modificate cel mai frecvent și, prin urmare, generează un flux mare de date de replicare AD DS.

Link-uri de site-uri Active Directory

1. Link-ul site-ului este folosit pentru a gestiona replicarea între grupuri de site-uri. Puteți utiliza link-ul implicit de site furnizat în AD DS sau puteți crea link-uri suplimentare de site după cum este necesar. Puteți configura setări pentru legăturile de site pentru a determina programarea și disponibilitatea căii de replicare pentru o gestionare mai ușoară a replicării.
2. Când două site-uri sunt legate printr-un link de site, sistemul de replicare creează automat conexiuni între controlori de domeniu specifici din fiecare site, numite servere cap de pod.

2.5 Configurarea DNS pentru serviciile de domeniu Active Directory

Setarea DNS

AD DS necesită DNS. Rolul Server DNS nu este instalat în Windows Server 2008 R2 în mod implicit. Ca și alții funcţionalitate, această caracteristică este adăugată în funcție de rol atunci când serverul este configurat pentru a îndeplini un anumit rol.

Rolul de server DNS poate fi instalat folosind linkul „Adăugați rol” din Server Manager. Rolul Server DNS poate fi adăugat automat, de asemenea, utilizând Expertul de instalare a serviciilor de domeniu Active Directory (dcpromo.exe). Pagina Opțiuni pentru controlerul de domeniu din expert vă permite să adăugați rolul Server DNS.

Configurarea zonelor DNS

După instalarea serverului DNS, puteți începe să adăugați zone la server. Dacă serverul DNS este un controler de domeniu, puteți configura AD DS pentru a stoca date de zonă. Apoi va fi creată o zonă Active Directory integrată. Dacă această opțiune nu este selectată, datele de zonă vor fi stocate în fișier, nu în AD DS.

Actualizări dinamice

Când creați zona, vi se va solicita și să specificați dacă actualizarea dinamică ar trebui să fie acceptată. Actualizarea dinamică reduce efortul de gestionare a zonei, deoarece clienții pot adăuga, elimina și actualiza propriile înregistrări resurse.

Actualizarea dinamică permite posibilitatea de a falsifica o înregistrare a resurselor. De exemplu, un computer ar putea să înregistreze o intrare numită „www” și să redirecționeze traficul de pe site-ul dvs. la adresa greșită.

Pentru a exclude posibilitatea de fals, serviciul Servere DNS Windows Server 2008 R2 acceptă actualizări dinamice securizate. Clientul trebuie să fie autentificat înainte de a actualiza înregistrările de resurse, astfel încât serverul DNS să știe dacă clientul este un computer căruia îi este permis să schimbe înregistrările de resurse.

Transferuri de zonă DNS

O întreprindere ar trebui să se străduiască să se asigure că o zonă poate fi impusă de cel puțin două servere DNS.

Dacă zona este integrată în AD DS, atunci adăugați rolul de server DNS la alt controler de domeniu din același domeniu unde se află primul server DNS. Active Directory zone integrate și replicare zone DNS utilizarea AD DS sunt descrise în lecția următoare.

Dacă zona nu este federată AD DS, trebuie să adăugați un alt server DNS și să îl configurați pentru a găzdui zona suplimentară. Rețineți că zona secundară este o copie numai în citire a zonei primare.

înregistrări SRV

O înregistrare a resursei Service Locator (SRV) rezolvă o solicitare pentru serviciu de rețea, permițând clientului să găsească o gazdă care oferă un anumit serviciu.

• Când un controler de domeniu trebuie să reproducă modificările de la parteneri.
• Când computer client vă solicită să vă autentificați cu AD DS.
• Când un utilizator își schimbă parola.
• Când server Microsoft Exchange caută în director.
• Când un administrator deschide snap-in-ul Utilizatori și computere Active Directory.

Înregistrările SRV utilizează următoarea sintaxă.

protocol.service.name lifetime_class tip prioritate greutate target_host port

Un exemplu de înregistrare SRV este prezentat mai jos.

ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Înregistrarea constă din următoarele componente:

• Numele serviciului de protocol, cum ar fi serviciul LDAP oferit de controlerul de domeniu.
• Durata de viață în secunde.
• Clasă (toate intrările DNS Windows vor fi „IN” sau „INternet”).
• Tip: SRV;
• Valori de prioritate și greutate care îi ajută pe clienți să determine ce nod preferă.
• Portul pe care este oferit serviciul de către server. Pe un controler de domeniu Windows pentru LDAP, portul implicit este 389.
• Obiectul țintă sau gazda serviciului, care acest caz este un controler de domeniu numit hqdc01.contoso.com.

Când un proces client caută un controler de domeniu, poate interoga serviciul LDAP de la DNS. Interogarea returnează atât o înregistrare SRV, cât și o înregistrare A pentru unul sau mai multe servere care furnizează serviciul solicitat.

UPD: Am creat un canal video pe youtube unde postez treptat videoclipuri de antrenament în toate domeniile IT pe care le cunosc bine, abonați-vă: http://www.youtube.com/user/itsemaev

UPD2: Microsoft schimbă în mod tradițional sintaxa obișnuită în Linie de comanda, astfel încât rolurile din fiecare versiune de Windows Server pot suna diferit. Nu se mai numesc deloc fsmo, ci maeștri de operațiuni. Deci, pentru comenzile corecte din consolă după întreținerea fsmo, scrieți pur și simplu? și vă va afișa comenzile disponibile.

Am o revistă din aprilie" Administrator de sistem" a scris un articol pe tema "Înlocuirea fără durere a unui controler de domeniu învechit sau eșuat bazat pe Windows Server"

Și chiar au plătit o sută de dolari și mi-au dat un pachet cu creier)) Acum sunt Onotole.

Înlocuire fără probleme pentru un controler de domeniu Windows Server învechit sau eșuat.(cine are nevoie brusc - trimite poze)

Dacă controlerul dvs. de domeniu nu este în funcțiune sau este complet depășit și trebuie înlocuit - nu vă grăbiți să vă petreceți weekendul următor creând un nou domeniu pe un nou server și transferând cu minuțiozitate mașinile utilizatorului pe acesta. Gestionarea corectă a unui controler de domeniu de rezervă vă va ajuta să înlocuiți rapid și fără durere serverul anterior.

Aproape fiecare administrator care lucrează cu servere bazate pe Windows, mai devreme sau mai târziu, se confruntă cu nevoia de a înlocui un controler de domeniu principal complet învechit, a cărui actualizare ulterioară nu mai are sens, cu unul nou și mai modern. Există situații și mai grave - controlerul de domeniu devine pur și simplu inutilizabil din cauza defecțiunilor pornite nivel fizic, iar copiile de rezervă și imaginile sunt învechite sau pierdute
În principiu, o descriere a procedurii de înlocuire a unui controler de domeniu cu altul poate fi găsită pe diverse forumuri, dar informațiile sunt date fragmentare și, de regulă, sunt aplicabile doar unei situații specifice, dar nu oferă o soluție reală. . În plus, chiar și după ce a citit o mulțime de forumuri, baze de cunoștințe și alte resurse pe limba engleză- Am putut efectua cu competență procedura de înlocuire a unui controler de domeniu fără erori doar din a treia sau a patra oară.
Așa că vreau să aduc instrucțiuni pas cu pasînlocuirea unui controler de domeniu, indiferent dacă acesta este operațional sau nu. Singura diferență este că, cu un controler „căzut”, acest articol vă va ajuta doar dacă ați avut grijă în avans și ați implementat un controler de domeniu de rezervă.

Pregătirea serverelor pentru promovare/retrogradare

Însăși procedura de creare a unui controler de domeniu de rezervă este elementară - pur și simplu rulăm vrăjitorul dcpromo pe orice server de rețea. Folosind expertul dcpromo, creăm un controler de domeniu într-un domeniu existent. Ca urmare a manipulărilor efectuate, obținem un serviciu de director AD implementat pe serverul nostru suplimentar (îl voi numi pserver, iar controlerul principal va fi dcserver).
Mai departe, dacă dcpromo nu și-a oferit-o el însuși, lansăm Configurare DNS Server. Nu trebuie să modificați nicio setare, nici nu trebuie să creați o zonă - este stocată în AD și toate înregistrările sunt replicate automat pe controlerul de rezervă. Atenție - zona principală din DNS va apărea numai după replicare, pentru a accelera, serverul poate fi repornit. În setările TCP / IP ale plăcii de rețea a controlerului de domeniu de rezervă, adresa serverului DNS primar trebuie setată la adresa IP a controlerului de domeniu principal.
Acum puteți verifica cu ușurință starea pserver-ului controlerului de domeniu standby. Putem crea un utilizator de domeniu atât pe controlerul de domeniu principal, cât și pe cel de rezervă. Imediat după creare, apare pe serverul duplicat, dar timp de aproximativ un minut (în timp ce are loc replicarea) este afișat ca dezactivat, după care începe să apară la fel pe ambele controlere.
La prima vedere, toți pașii pentru a crea o schemă de lucru pentru interacțiunea mai multor controlere de domeniu au fost finalizați, iar acum, în cazul unei defecțiuni a controlerului de domeniu „primar”, controlerele „de rezervă” își vor îndeplini automat funcțiile. . Cu toate acestea, în timp ce diferența dintre controlerele de domeniu „primare” și „de rezervă” este pur nominală, controlerul de domeniu „primar” are o serie de caracteristici (roluri FSMO) care ar trebui să fie reținute. Astfel, operațiunile de mai sus pentru funcționarea normală a serviciului de directoare în cazul unei defecțiuni a controlerului de domeniu „primar” nu sunt suficiente, iar acțiunile care trebuie întreprinse pentru a transfera/capipa corect rolul controlerului de domeniu primar vor fi descris mai jos.

Un pic de teorie

Trebuie să știi ce controlere Domeniu activ Directorul îndeplinește mai multe tipuri de roluri. Aceste roluri se numesc FSMO (Flexible single-master operations):
- Schema Master (Scheme Master) - rolul este responsabil pentru capacitatea de a schimba schema - de exemplu, implementarea Server de schimb sau server ISA. Dacă proprietarul rolului nu este disponibil, nu veți putea modifica schema unui domeniu existent;
- Domain Naming Master - Acest rol este necesar dacă domeniul dumneavoastră are mai multe domenii sau subdomenii. Fără acesta, nu va fi posibilă crearea și ștergerea de domenii într-o singură pădure de domeniu;
- Relative ID Master (Master al identificatorilor relativi) - este responsabil de crearea unui ID unic pentru fiecare obiect AD;
- Primary Domain Controller Emulator (Primary Domain Controller Emulator) - el este responsabil de lucrul cu conturile de utilizator și cu politica de securitate. Lipsa comunicării cu acesta vă permite să intrați în stațiile de lucru cu vechea parolă, care nu poate fi schimbată dacă controlerul de domeniu a „căzut”;
- Infrastructure Master (Infrastructure Master) - rolul este responsabil pentru transferul de informații despre obiectele AD către alți controlori de domeniu din întreaga pădure.
Despre aceste roluri au fost scrise în detaliu în multe baze de cunoștințe, dar rolul principal este aproape întotdeauna uitat - acesta este rolul Catalogului global (Catalog global). De fapt, acest director pur și simplu pornește serviciul LDAP pe portul 3268, dar inaccesibilitatea lui va împiedica utilizatorii de domeniu să se conecteze. În mod remarcabil, toți controlorii de domeniu pot avea rolul de catalog global în același timp.

De fapt, putem concluziona – dacă aveți un domeniu primitiv pentru 30-50 de mașini, fără o infrastructură extinsă, care să nu includă subdomenii – atunci este posibil să nu observați lipsa de acces la proprietarul/proprietarii primelor două roluri. În plus, de mai multe ori am dat peste organizații care funcționează de mai bine de un an fără controler de domeniu, dar într-o infrastructură de domeniu. Adică, toate drepturile au fost distribuite cu mult timp în urmă, cu un controler de domeniu funcțional și nu trebuiau schimbate, utilizatorii nu și-au schimbat parolele și au lucrat în liniște.

Determinați proprietarii actuali ai rolului fsmo.

Precizez - dorim în mod competent să înlocuim controlerul de domeniu fără a-i pierde niciuna dintre capabilitățile. În cazul în care există doi sau mai mulți controlori în domeniu, trebuie să aflăm cine deține fiecare dintre rolurile fsmo. Acest lucru este destul de ușor de făcut folosind următoarele comenzi:

dsquery server -hasfsmo schema
server dsquery - nume hasfsmo
server dsquery - hasfsmo rid
server dsquery - hasfsmo pdc
server dsquery - hasfsmo infr
server dsquery -forest -isgc

Fiecare dintre comenzi afișează informații despre cine deține rolul solicitat (Fig. 1). În cazul nostru, proprietarul tuturor rolurilor este controlerul de domeniu principal dcserver.

Transfer voluntar al rolurilor fsmo folosind consolele Active Directory.

Avem toate informațiile necesare pentru a transfera rolul de controler de domeniu primar. Să începem: mai întâi trebuie să ne asigurăm că contul nostru este membru al grupurilor „Administratori de domeniu”, „Administratori de schemă” și „Administratori de întreprindere”, apoi continuăm cu metoda tradițională de transfer a rolurilor fsmo - managementul domeniului prin intermediul Console Active Directory.

Pentru a transfera rolul „master de nume de domeniu”, parcurgeți următorii pași:
- deschideți „Active Directory Domains and Trust” pe controlerul de domeniu de la care dorim să transferăm rolul. Dacă lucrăm cu AD pe controlerul de domeniu către care dorim să transferăm rolul, atunci sărim peste următorul articol;
- click Click dreapta Faceți clic pe pictograma Active Directory - Domains and Trusts și selectați Conectare la un controler de domeniu. Selectăm controlerul de domeniu căruia dorim să transferăm rolul;
- faceți clic dreapta pe componenta Active Directory - domenii și trusturi și selectați comanda Operations Masters;
- în caseta de dialog Change Operations Master, faceți clic pe butonul Change (Fig. 2).
- după un răspuns afirmativ la cererea pop-up, obținem un rol transferat cu succes.

În mod similar, utilizând consola Active Directory Users and Computers, puteți transfera rolurile RID Master, PDC și Infrastructure Master.

Pentru a transfera rolul „master schema”, trebuie mai întâi să înregistrați biblioteca de gestionare a schemelor Active Directory în sistem:

După ce toate rolurile au fost transferate, rămâne să ne ocupăm de opțiunea rămasă - custodele catalogului global. Intrăm în Active Directory: „Site și servicii”, site-ul implicit, servere, găsim controlerul de domeniu care a devenit principalul, iar în proprietățile setărilor sale NTDS, bifați caseta de lângă catalogul global. (Fig. 3)

Concluzie - am schimbat proprietarii rolurilor pentru domeniul nostru. Cine trebuie să scape în sfârșit de vechiul controler de domeniu - îl coborâm la un server membru. Cu toate acestea, simplitatea acțiunilor întreprinse este compensată de faptul că implementarea lor într-o serie de situații este imposibilă, sau se încheie într-o eroare. În aceste cazuri, ntdsutil.exe ne va ajuta.

Transfer voluntar al rolurilor fsmo folosind consolele ntdsutil.exe.

În cazul în care transferul rolurilor fsmo folosind consolele AD eșuează, Microsoft a creat un foarte utilitate la îndemână- ntdsutil.exe - program de întreținere Director activ Director. Acest instrument vă permite să efectuați acțiuni extrem de utile - până la restaurarea întregii baze de date AD dintr-o copie de rezervă pe care acest utilitar a creat-o în timpul ultima schimbareîn AD. Toate caracteristicile sale pot fi găsite în baza de date Microsoft Knowledge(ID articol: 255504). În acest caz, vorbim despre faptul că utilitarul ntdsutil.exe permite atât transferul de roluri, cât și „selectarea” acestora.
Dacă dorim să transferăm un rol de la un controler de domeniu „primar” existent la unul „de rezervă”, ne conectăm în sistem pe controlerul „primar” și începem să transferăm roluri (comandă de transfer).
Dacă dintr-un motiv oarecare nu avem un controler de domeniu principal sau nu ne putem conecta cu un cont administrativ, ne conectăm la controlerul de domeniu de rezervă și începem să „selectăm” roluri (comanda seize).

Deci primul caz - controlerul de domeniu principal există și funcționează normal. Apoi mergem la controlerul de domeniu principal și introducem următoarele comenzi:

ntdsutil.exe
roluri
conexiuni
conectați-vă la server server_name (cel căruia vrem să-i acordăm rolul)
q

Dacă apar erori, trebuie să verificați conexiunea cu controlerul de domeniu la care încercăm să ne conectăm. Dacă nu există erori, atunci ne-am conectat cu succes la controlerul de domeniu specificat cu drepturile utilizatorului în numele căruia introducem comenzi.
O listă completă de comenzi este disponibilă după ce ați interogat întreținerea fsmo cu semnul standard? . Este timpul să predăm rolurile. Imediat, fără ezitare, am decis să transfer rolurile în ordinea în care sunt specificate în instrucțiunile pentru ntdsutil și am ajuns la concluzia că nu pot transfera rolul de maestru al infrastructurii. Mie, ca răspuns la o solicitare de transfer al unui rol, mi-a fost returnată o eroare: „este imposibil să contactez proprietarul actual al rolului fsmo”. Am căutat mult timp informații pe net și am constatat că majoritatea oamenilor care ajung la etapa de transfer de roluri se confruntă cu această eroare. Unii dintre ei încearcă să preia acest rol cu ​​forța (nu iese), unii lasă totul așa cum este - și trăiesc fericiți fără acest rol.
Am aflat prin încercări și erori că atunci când transferam rolurile către ordine dată parcurgerea corectă a tuturor pașilor este garantată:
- proprietar de identificatori;
- proprietarul schemei;
- proprietarul denumirii;
- proprietarul infrastructurii;
- controlor de domeniu;

După conectarea cu succes la server, primim o invitație la managementul rolurilor (fsmo maintenance) și putem începe să transferăm roluri:
- transfer de nume de domeniu master
- master infrastructura de transfer
- transfer rid master
- master schema de transfer
- transfer pdc master

După executarea fiecărei comenzi, ar trebui să apară o solicitare care ne întreabă dacă vrem cu adevărat să transferăm rolul specificat serverul specificat. Rezultatul executării cu succes a comenzii este prezentat în Figura 4.

Rolul deținătorului global de catalog este transferat în modul descris în secțiunea anterioară.

Atribuirea forțată a rolurilor fsmo folosind ntdsutil.exe.

Al doilea caz - vrem să atribuim rolul de principal controlerului nostru de domeniu de rezervă. În acest caz, nimic nu se schimbă - singura diferență este că efectuăm toate operațiunile folosind comanda seize, dar deja pe serverul căruia dorim să transferăm roluri pentru atribuirea unui rol.

seize master de nume de domeniu
pune mâna pe comandantul infrastructurii
apuca scapa maestru
seize schema master
apuca pdc

Vă rugăm să rețineți că, dacă ați luat un rol de la un controler de domeniu care nu este în acest moment, atunci când apare în rețea, controlerele vor începe să intre în conflict și nu puteți evita problemele în funcționarea domeniului.

Lucrați la bug-uri.

Cel mai important lucru care nu trebuie uitat este că noul controler de domeniu primar nu va repara singur setările TCP / IP: acum este de dorit ca acesta să specifice 127.0.
Cu toate acestea, dacă aveți o rețea Server DHCP, atunci trebuie să-l forțați să emită adresa serverului DNS primar cu ip-ul noului dvs. server, dacă nu există DHCP, parcurgeți toate mașinile și atribuiți-le manual acest DNS primar. Alternativ, puteți atribui același ip noului controler de domeniu ca și cel vechi.

Acum trebuie să verificați cum funcționează totul și să scăpați de principalele erori. Pentru a face acest lucru, propun să ștergeți toate evenimentele de pe ambele controlere, salvând jurnalele într-un folder cu alții copii de rezervăși reporniți toate serverele.
După ce le-am activat, analizăm cu atenție toate jurnalele de evenimente pentru apariția avertismentelor și erorilor.

Cel mai frecvent avertisment după transferul rolurilor către fsmo este mesajul că „msdtc nu poate procesa corect o promovare/retrogradare a unui controler de domeniu care a avut loc”.
Remedierea este simplă: în meniul „Administrare” găsim „Servicii
componente". Acolo extindem „Servicii componente”, „Computer”, deschidem proprietățile secțiunii „Computerul meu”, căutăm acolo „MS DTC” și facem clic acolo „Setări de securitate”. Acolo permitem „Accesul la rețeaua DTC” și apăsăm OK. Serviciul va fi repornit și avertismentul va dispărea.

Un exemplu de eroare este un mesaj care afirmă că zona DNS principală nu poate fi încărcată sau serverul DNS nu vede controlerul de domeniu.
Puteți înțelege problemele de funcționare a domeniului folosind utilitarul (Fig. 5):

Puteți instala acest utilitar din original disc Windows 2003 din folderul /support/tools. Utilitarul vă permite să verificați starea de sănătate a tuturor serviciilor controlerului de domeniu, fiecare dintre etapele sale trebuie să se încheie cu cuvintele trecute cu succes. Dacă ați eșuat (cel mai adesea acestea sunt teste de conexiune sau de jurnal de sistem), atunci puteți încerca să remediați automat eroarea:

dcdiag /v /fix

Ca regulă generală, toate erorile legate de DNS ar trebui să dispară. Dacă nu, folosim utilitarul pentru a verifica starea tuturor serviciilor de rețea:

Și instrumentul său util de depanare:

netdiag /v /fix

Dacă după aceea rămân erori legate de DNS, cel mai simplu mod este să eliminați toate zonele din acesta și să le creați manual. Este destul de simplu - principalul lucru este să creați o zonă primară după numele de domeniu, stocată în Active Directory și replicată tuturor controlerelor de domeniu din rețea.
Mai mult informatii detaliate despre Erori DNS dă o altă comandă:

dcdiag /test:dns

La sfârșitul lucrărilor efectuate, mi-a luat încă aproximativ 30 de minute să aflu motivul apariției unui număr de avertismente - mi-am dat seama de sincronizarea timpului, de arhivarea catalogului global și de alte lucruri pe care nu le-am pus mâna. pe înainte. Acum totul funcționează ca un ceas - cel mai important, nu uitați să aveți un controler de domeniu de așteptare dacă doriți să eliminați vechiul controler de domeniu din rețea.

Un controler de domeniu este un computer server care gestionează un domeniu și stochează o replică a directorului de domeniu (o bază de date de domeniu locală). Întrucât pot exista mai multe controlere de domeniu într-un domeniu, toate stochează copie integrală partea din director care aparține .

Următoarele sunt caracteristicile controlerelor de domeniu.

• Fiecare controler de domeniu păstrează o copie completă a tuturor informațiilor Active Directory legate de domeniul său și gestionează și reproduce modificările aduse acestor informații altor controlere de domeniu din același domeniu.
• Toți controlorii dintr-un domeniu reproduc automat toate obiectele din domeniu între ele. Orice modificări care sunt făcute în Active Directory sunt de fapt făcute pe unul dintre controlerele de domeniu. Acest controler de domeniu replic apoi modificările la restul controlerelor de domeniu din domeniul său. Setând frecvența de replicare și cantitatea de date pe care Windows o va transfera cu fiecare replicare, puteți controla trafic de rețeaîntre controlorii de domeniu.
• Actualizări importante, cum ar fi dezactivarea unui cont de utilizator, controlorii de domeniu se reproduc imediat.
• Active Directory folosește replicarea multimaster, în care niciun controler de domeniu nu este master. Toți controlorii sunt egali și fiecare conține o copie a bazei de date de catalog care poate fi modificată. În perioade scurte de timp, informațiile din aceste copii pot diferi până când toate controlerele sunt sincronizate între ele.
• Având mai multe controlere într-un domeniu oferă toleranță la erori. Dacă unul dintre controlorii de domeniu nu este disponibil, celălalt va efectua toate operațiunile necesare, cum ar fi scrierea modificărilor în Active Directory.
• Controlerele de domeniu gestionează interacțiunile dintre utilizatori și domeniu, cum ar fi localizarea obiectelor Active Directory și recunoașterea încercărilor de conectare la rețea.

Există două roluri de master operațiuni care pot fi atribuite unui singur controler de domeniu într-o pădure (roluri la nivelul întregii păduri):

• Schema Master. Primul controler de domeniu din pădure își asumă rolul de maestru al schemei și este responsabil pentru menținerea și propagarea schemei în restul pădurii. Menține o listă a tuturor claselor de obiecte și atributelor posibile care definesc obiectele care se află în Active Directory. Dacă schema trebuie actualizată sau modificată, Schema Master este o necesitate.
• Maestru de nume de domeniu. Înregistrează adăugarea și eliminarea domeniilor din pădure și este vital pentru menținerea integrității domeniilor. Domain Naming Master este solicitat atunci când noi domenii sunt adăugate în pădure. Dacă Domain Naming Master nu este disponibil, atunci adăugarea de noi domenii nu este posibilă; cu toate acestea, dacă este necesar, acest rol poate fi transferat unui alt controlor.

Există trei roluri de master operațiuni care pot fi atribuite unuia dintre controlorii din fiecare domeniu (roluri la nivelul întregului domeniu).

• RID Master (Relative Identifier (RID) Master). Responsabil pentru alocarea intervalelor de identificare relativă (RID) tuturor controlorilor din domeniu. SID-ul în Windows Server 2003 are două părți. Prima parte este comună tuturor obiectelor din domeniu; pentru a crea un SID unic, un RID unic este adăugat la această parte. Împreună identifică în mod unic un obiect și indică locul în care a fost creat.
• Emulator de controler de domeniu primar (PDC). Responsabil pentru Emulare Windows NT 4.0 PDC pentru mașinile client care nu au fost încă migrate la Windows 2000, Windows Server 2003 sau Windows XP și nu au instalat clientul de servicii de director. Una dintre sarcinile principale ale emulatorului PDC este înregistrarea clienților moșteniți. În plus, emulatorul PDC este apelat dacă autentificarea clientului eșuează. Acest lucru permite emulatorului PDC să valideze parolele modificate recent pentru clienții moșteniți din domeniu înainte de a refuza o solicitare de conectare.
• Maestru de infrastructură. Înregistrează modificările aduse obiectelor controlate din domeniu. Toate modificările sunt mai întâi raportate către Infrastructure Master înainte de a fi replicate altor controlere de domeniu. Infrastructure Master gestionează informațiile de grup și de membru pentru toate obiectele din domeniu. O altă sarcină a Infrastructure Master este să comunice informații despre modificările aduse obiectelor către alte domenii.

Orez. 3.4. Atribuirea implicită a rolurilor de maestru al operațiunilor forestiere

Rolul „Server de catalog global” (GC - Catalog global) poate fi îndeplinit de orice controler de domeniu individual dintr-un domeniu - una dintre funcțiile serverului care poate fi atribuită unui controler de domeniu. Serverele de catalog globale îndeplinesc două sarcini importante. Acestea permit utilizatorilor să se conecteze la rețea și să găsească obiecte oriunde în pădure. Catalogul global conține un subset de informații din fiecare partiție de domeniu și este replicat între serverele de catalog global din domeniu. Când un utilizator încearcă să se conecteze la o rețea sau să acceseze o resursă de rețea de oriunde în pădure, cererea corespunzătoare este rezolvată folosind catalogul global. Un alt scop al catalogului global, util indiferent de câte domenii aveți în rețea, este acela de a participa la procesul de autentificare atunci când un utilizator se conectează la rețea. Când un utilizator se conectează la rețea, numele său este mai întâi verificat cu conținutul catalogului global. Acest lucru vă permite să vă conectați la rețea de pe computere din alte domenii decât cele în care este stocat contul de utilizator dorit.

Instalarea unui controler de domeniu este o parte importantă pentru rețea de calculatoare, de fapt, își controlează activitatea. Sarcina sa principală este să pornească importantul serviciu Active Directory. Funcționează cu un centru de distribuție cheie - Kerberos.

De asemenea, oferă lucrări pe sisteme compatibile cu Unix. În ele, suita de software Samba acționează ca un controler.

Controlerul de domeniu servește la crearea unei rețele locale în care utilizatorii se pot conecta sub propriul nume și cu propriile acreditări. Ar trebui să facă asta pe toate computerele. De asemenea, instalarea unui controler de domeniu asigură definirea drepturilor de acces în rețea și gestionarea securității acesteia. Cu acesta, puteți gestiona centralizat întreaga rețea, ceea ce este foarte important.

Controlerele de domeniu pot rula și Windows Server 2003. În acest fel, stochează toate datele directorului, gestionează operațiunile utilizatorului și domeniului, controlează conectarea utilizatorului, autentifică directorul și așa mai departe. Toate pot fi create folosind programul de instalare Active Directory. Poate funcționa și pe Windows NT. Aici, pentru ca acesta să funcționeze mai fiabil, este creat controler suplimentar. Va fi conectat la controlerul principal.

V Rețele Windows NT a existat un singur server. Ar putea fi folosit pentru a opera controlerul de domeniu principal sau PDC. Toate celelalte servere au funcționat ca auxiliare. De exemplu, ar putea verifica toți utilizatorii, ar putea stoca și verifica parolele și altele operațiuni importante. Dar, în același timp, nu puteau adăuga noi utilizatori pe server, nu puteau schimba și parolele și altele asemenea, adică configurarea controlerului de domeniu era mai puțin diversă. Aceste operațiuni au putut fi efectuate numai folosind PDC. Modificările aduse acestora ar putea fi apoi propagate la toate domeniile de așteptare. Dacă serverul principal nu era disponibil, atunci domeniul de rezervă nu a putut fi promovat la nivelul primar.

Cu toate acestea, puteți configura un controler de domeniu, o rețea și puteți crește nivelul de domeniu pe orice computer și acasă. Această înțelepciune este ușor de învățat pe cont propriu. Toate instrumentele necesare pentru aceasta se află în Panoul de control - Adăugați sau eliminați programe - Instalați componentele sistemului. Adevărat, va trebui să lucrați cu ei instalând mai întâi un disc OS în computer. Puteți crește rolul unui computer folosind linia de comandă introducând comanda dcpromo în acesta.

În plus, verificarea unui controler de domeniu poate fi făcută folosind utilitati specializate, care de fapt funcționează într-un mod automatizat, adică vă permit să obțineți informatie necesara după pornirea programului și reglați funcționarea controlerelor după efectuarea diagnosticelor. De exemplu, puteți utiliza utilitarul Ntdsutil.exe, care oferă posibilitatea de a vă conecta la un controler de domeniu nou instalat pentru a testa capacitatea de a răspunde la o interogare de la LDAP. De asemenea, cu ajutorul acestui software, este posibil să se determine dacă controlorul are informații despre locația rolurilor FSMO în propriul domeniu.

Mai sunt câteva moduri simple, care vă va permite să diagnosticați funcționarea corespunzătoare a controlerelor. În special, puteți merge la HKEY _LOCAL _MACHINE \SYSTEM \ CurrentControlSet \Services (cheie de registry) și căutați acolo subcheia NTDS, a cărei prezență indică performanța normală a funcțiilor controlerului de domeniu. Există o metodă de introducere a conturilor net pe linia de comandă și acolo, dacă computerul este controler de domeniu, vei vedea în linia Computer valoarea rolului BACKUP sau PRIMARY, alte valori sunt disponibile pe computere simple.