Controlere de domeniu și rolurile acestora
Controlor de domeniu este un computer server care gestionează un domeniu și stochează o replică a directorului de domeniu (baza de date locală a domeniului). Pentru că un domeniu poate avea mai multe controlere de domeniu, toți păstrează o copie completă a părții din director care aparține domeniului lor [ 6 ] .
Următoarele sunt caracteristicile controlere de domeniu [ 4 ] .
- Fiecare controlor de domeniu magazine copie integrală toate informatiile Director activ, care are legătură cu domeniul său și gestionează modificările aduse acestor informații și le reproduce altor controlori din același domeniu.
- Toți controlorii dintr-un domeniu reproduc automat toate obiectele din domeniu între ele. Orice modificări aduse Active Directory sunt de fapt făcute într-unul dintre controlere de domeniu. Apoi asta controlor de domeniu replică modificările altor controlere din domeniul său. Setând frecvența de replicare și cantitatea de date pe care Windows o va transfera cu fiecare replicare, puteți controla trafic de rețeaîntre controlere de domeniu.
- Actualizări importante, cum ar fi dezactivarea unui cont de utilizator, controlere de domeniu replica imediat.
- Active Directory folosește replicarea multimaster, în care niciunul dintre controlere de domeniu nu este cea principală. Toți controlorii sunt egali și fiecare conține o copie a bazei de date de catalog care poate fi modificată. În perioade scurte de timp, informațiile din aceste copii pot diferi până când toate controlerele sunt sincronizate între ele.
- Având mai multe controlere într-un domeniu oferă toleranță la erori. Dacă unul dintre controlere de domeniu indisponibil, celălalt va face totul operațiunile necesare, cum ar fi scrierea modificărilor în Active Directory.
- Controlere de domeniu gestionați interacțiunile utilizator-domeniu, cum ar fi găsirea Obiecte active Directorați și recunoașteți încercările de conectare la rețea.
Există două roluri de master operațiuni care pot fi atribuite unui singur controlor de domeniuîn pădure (roluri care operează în limitele pădurii) [ 3 ] :
- Schema Master. Primul controlor de domeniuîși asumă rolul de maestru al schemei în pădure și este responsabil pentru menținerea și propagarea schemei în restul pădurii. Menține o listă a tuturor claselor de obiecte și atributelor posibile care definesc obiectele care se află în Active Directory. Dacă schema trebuie actualizată sau modificată, Schema Master este o necesitate.
- Maestru de nume de domeniu(Domain Numing Master). Înregistrează adăugarea și eliminarea domeniilor din pădure și este vital pentru menținerea integrității domeniilor. Domain Naming Master este solicitat atunci când noi domenii sunt adăugate în pădure. Dacă Domain Naming Master nu este disponibil, atunci adăugarea de noi domenii nu este posibilă; cu toate acestea, dacă este necesar, acest rol poate fi transferat unui alt controlor.
Există trei roluri de master operațiuni care pot fi atribuite unuia dintre controlorii din fiecare domeniu (roluri la nivelul întregului domeniu) [3] .
- RID Master (Relative Identifier (RID) Master). Responsabil pentru alocarea intervalelor de identificare relativă (RID) tuturor controlorilor din domeniu. SID-uri Windows Server 2003 este format din două părți. Prima parte este comună tuturor obiectelor din domeniu; pentru a crea un SID unic, un RID unic este adăugat la această parte. Împreună identifică în mod unic un obiect și indică locul în care a fost creat.
- Emulator de controler de domeniu primar(Emulator de controler de domeniu primar (PDC)). Răspunzător de Emulare Windows NT 4.0 PDC pentru mașinile client care nu au fost încă migrate la Windows 2000, Windows Server 2003 sau Windows XP și nu au instalat clientul de servicii de director. Una dintre sarcinile principale ale emulatorului PDC este înregistrarea clienților moșteniți. În plus, emulatorul PDC este apelat dacă autentificarea clientului eșuează. Acest lucru permite emulatorului PDC să valideze parolele modificate recent pentru clienții moșteniți din domeniu înainte de a refuza o solicitare de conectare.
- Gazdă de infrastructură(Maestru de infrastructură). Înregistrează modificările aduse obiectelor controlate din domeniu. Toate modificările sunt mai întâi raportate către Infrastructure Master înainte de a fi replicate altor controlere de domeniu. Infrastructure Master gestionează informațiile de grup și de membru pentru toate obiectele din domeniu. O altă sarcină a Infrastructure Master este să comunice informații despre modificările aduse obiectelor către alte domenii.
Orez. 3.4.
Rol" Server de catalog global" (GC - Global Catalog) poate executa orice individ controlor de domeniuîntr-un domeniu - una dintre funcțiile serverului care pot fi atribuite controlor de domeniu[ 13 ] . Serverele de catalog globale îndeplinesc două sarcini importante. Acestea permit utilizatorilor să se conecteze la rețea și să găsească obiecte oriunde în pădure. Catalogul global conține un subset de informații din fiecare partiție de domeniu și este replicat între serverele de catalog global din domeniu. Când un utilizator încearcă să se conecteze la o rețea sau să acceseze o resursă de rețea de oriunde în pădure, cererea corespunzătoare este rezolvată folosind catalogul global. Un alt scop al catalogului global, util indiferent de câte domenii aveți în rețea, este de a participa la procesul de autentificare atunci când un utilizator se conectează la rețea. Când un utilizator se conectează la rețea, numele său este mai întâi verificat cu conținutul catalogului global. Acest lucru vă permite să vă conectați la rețea de pe computere din alte domenii decât cele în care este stocat numele de utilizator dorit. Cont.
Conceptul site-ului web
Conceptul de site-uri este folosit de produsele din familia Microsoft BackOffice pentru a minimiza traficul retea globala si se bazeaza pe faptul ca se bazeaza pe o retea IP, pentru care este necesar sa se asigure cele mai bune conditii de conectare, indiferent de aplicatiile folosite.
Site-ul Windows Server 2003 este un grup controlere de domeniu, care sunt situate într-o singură sau mai multe subrețele IP și sunt conectate de mare viteză și fiabile conexiuni de retea. Site-urile sunt utilizate în principal pentru a gestiona traficul de replicare. Controlere de domeniuîntr-un site sunt libere să reproducă modificările în baza de date Active Directory ori de câte ori apar astfel de modificări. dar controlere de domeniu diferite site-uri comprimă traficul de replicare și îl transmit conform unui program specific pentru a reduce traficul în rețea.
Site-urile nu fac parte din spațiul de nume Active Directory. Când un utilizator răsfoiește un spațiu de nume logic, computerele și utilizatorii sunt grupați în domenii și OU-uri fără referințe la site.
- Controlere de domeniuîn limitele sitului.
- Link-uri de site configurate pentru a conecta acest site la alții. Comunicarea are două părți: conexiune fizicăîntre site-uri (de obicei o legătură WAN) și un obiect link site. Acest obiect este creat în Active Directory și definește protocolul de transfer pentru traficul de replicare (IP sau SMTP). Obiectul link site inițiază, de asemenea, replicarea programată.
Programarea și plasarea site-ului depind de topologia fizică a rețelei și trebuie să luați în considerare nevoia de linii de comunicație pentru replicarea intersite în conformitate cu programul pe care îl creați.
Un site Active Directory este format din una sau mai multe subrețele IP, care pot fi definite de administrator și modificate de administrator pentru a include subrețele noi.
Împărțirea în site-uri nu depinde de structura (logică) a domeniului, adică:
- site-ul poate avea un domeniu (sau doar o parte din acesta) sau mai multe domenii;
- Un domeniu (sau chiar o unitate organizatorică) poate avea mai multe site-uri.
Creați site-uri a căror structură reflectă locația fizică
O pădure în AD DS este cea mai mare nivel superior ierarhii ale structurii logice. O pădure Active Directory reprezintă un singur director. Pădurea este o limită de securitate. Aceasta înseamnă că administratorii de pădure au control complet asupra accesului la informațiile stocate în pădure și accesul la controlerele de domeniu utilizate pentru implementarea pădurii.
Organizațiile implementează de obicei o singură pădure, cu excepția cazului în care există o nevoie specifică de mai multe păduri. De exemplu, dacă doriți să creați zone administrative separate pentru diferite părți ale organizației dvs., trebuie să creați mai multe păduri pentru a reprezenta acele zone.
La implementarea mai multor păduri într-o organizație, fiecare pădure, implicit, funcționează separat de alte păduri, ca și cum ar fi singura pădure din organizație.
Notă. Pentru a integra mai multe păduri, puteți crea relații de securitate între ele, care se numesc trusturi străine sau forestiere.
Operațiuni la nivel de pădure
Active Directory Domain Services este un serviciu de director multi-master. Aceasta înseamnă că majoritatea modificărilor de director pot fi făcute pe orice instanță de director care poate fi scrisă, adică pe orice controler de domeniu care poate fi scris. Cu toate acestea, unele modificări sunt exclusive. Aceasta înseamnă că acestea pot fi realizate doar pe un controler de domeniu specific din pădure sau domeniu, în funcție de modificarea specifică. Se spune că controlerele de domeniu pe care pot fi făcute aceste modificări exclusive conțin roluri de maestru de operațiuni. Există cinci roluri de master operațiuni, dintre care două sunt roluri la nivel de pădure și celelalte trei sunt roluri la nivel de domeniu.
Două roluri de maestru de operațiuni la nivel de pădure:
- Maestru de nume de domeniu. Sarcina maestrului de numire a domeniului este să se asigure că există nume unice în toată pădurea. Acesta asigură că există un singur nume de domeniu complet calificat pentru fiecare computer din întreaga pădure.
- Proprietarul schemei. Schema master monitorizează schema pădurii și menține modificările structură de bază pădure.
Deoarece aceste roluri sunt roluri esențiale la nivel de pădure, ar trebui să existe un singur master de schemă și un maestru de denumire a domeniului în fiecare pădure.
Materiale suplimentare:
O schemă este o componentă a AD DS care definește toate obiectele și atributele pe care AD DS le utilizează pentru a stoca date.
AD DS stochează și preia informații din multe aplicații și servicii. Prin urmare, pentru a putea stoca și replica datele din aceste surse diferite, AD DS definește un standard pentru stocarea datelor într-un director. Având un standard de păstrare a datelor, AD DS poate prelua, actualiza și replica datele, menținând în același timp integritatea acestora.
Obiectele sunt folosite ca unități de stocare în AD DS. Toate obiectele sunt definite în schemă. De fiecare dată când directorul procesează date, directorul interogează schema pentru definiția obiectului corespunzătoare. Pe baza definiției obiectului din schemă, directorul creează obiectul și stochează datele.
Definițiile obiectelor determină tipurile de date pe care obiectele le pot stoca, precum și sintaxa datelor. Pe baza acestor informații, schema asigură că toate obiectele se potrivesc cu acestea definiții standard. Drept urmare, Active Directory Domain Services poate stoca, prelua și valida datele pe care le gestionează, indiferent de aplicația care este sursa inițială a datelor. Directorul poate stoca doar date care au definiția existentă obiect din schemă. Dacă doriți să stocați date de un tip nou, trebuie mai întâi să creați o nouă definiție de obiect în schema pentru acele date.
Schema din AD DS definește:
- obiecte utilizate pentru stocarea datelor în director;
- reguli care definesc ce tipuri de obiecte pot fi create, ce atribute trebuie definite la crearea unui obiect și care atribute sunt opționale;
- structura și conținutul directorului în sine.
Schema este un element de master unic Active Directory Domain Services. Aceasta înseamnă că modificările schemei trebuie făcute pe controlerul de domeniu care deține rolul de maestru al operațiunilor cu schema.
Schema este replicată printre toate controlerele de domeniu din pădure. Orice modificare adusă schemei este replicată tuturor controlerelor de domeniu din pădure de la deținătorul rolului de master al operațiunilor de schemă, care este de obicei primul controler de domeniu din pădure.
Deoarece schema determină modul în care sunt stocate informațiile și orice modificări aduse schemei afectează toți controlerele de domeniu, modificările schemei ar trebui făcute numai atunci când este necesar (printr-un proces strict controlat) după ce testarea a fost efectuată pentru a se asigura că nu există un impact negativ asupra restul pădurii.
Deși nu puteți face modificări în schemă în mod direct, unele aplicații fac modificări schemei pentru a accepta funcții suplimentare. De exemplu, la instalare Microsoft Exchange Server 2010 într-o pădure AD DS, Setup extinde schema pentru a accepta noi tipuri de obiecte și atribute.
Material suplimentar:
1.3 Ce este un domeniu.
Un domeniu este o graniță administrativă. Toate domeniile au un cont de administrator care are totul puteri administrative pentru toate obiectele din domeniu. Deși un administrator poate delega administrarea obiectelor dintr-un domeniu, contul de administrator păstrează controlul administrativ deplin asupra tuturor obiectelor din domeniu.
Devreme versiuni Windows Domeniile de server au fost gândite a fi proiectate pentru a oferi separare administrativă completă; într-adevăr, unul dintre motivele principale pentru alegerea unei topologii cu mai multe domenii a fost asigurarea unei astfel de separari. Cu toate acestea, în AD DS, un cont de administrator din domeniul rădăcină a pădurii are control administrativ deplin asupra tuturor obiectelor din pădure, ceea ce face ca această separare administrativă la nivel de domeniu să fie invalidă.
Domeniul este granița de replicare. Serviciile de domeniu Active Directory sunt formate din trei elemente sau secțiuni, - scheme, secțiunea de configurareȘi partiție de domeniu. De obicei, doar partiția de domeniu se schimbă frecvent.
Secțiunea de domeniu conține obiecte care probabil ar trebui actualizate frecvent; astfel de obiecte sunt utilizatori, computere, grupuri și unități organizaționale. Prin urmare, replicarea AD DS constă în principal din actualizări ale obiectelor definite în partiția de domeniu. Numai controlorii de domeniu dintr-un anumit domeniu primesc actualizări ale partițiilor de domeniu de la alți controlori de domeniu. Partiționarea datelor permite organizațiilor să reproducă datele numai acolo unde este nevoie. Ca rezultat, catalogul se poate scala la nivel global printr-o rețea cu lățime de bandă limitată.
Domeniul este granița de autentificare. Fiecare cont de utilizator dintr-un domeniu poate fi autentificat de controlorii acelui domeniu. Domeniile forestiere au încredere unul în celălalt, astfel încât un utilizator dintr-un domeniu să poată accesa resursele aflate în alt domeniu.
Operațiuni la nivel de domeniu
Există trei roluri de master operațiuni în fiecare domeniu. Aceste roluri, atribuite inițial primului controler de domeniu din fiecare domeniu, sunt enumerate mai jos.
- Proprietarul identificatorului relativ (RID). Ori de câte ori un obiect este creat în Active Domain Services controler de director domeniul în care este creat acest obiect îi atribuie un unic un număr de identificare, numit un identificator de securitate (SID). Pentru a împiedica doi controlori de domeniu să aloce același SID la două obiecte diferite, masterul RID alocă blocuri SID fiecărui controler de domeniu din domeniu.
- Emulator PDC. Acest rol este cel mai important, deoarece pierderea lui temporară devine vizibilă mult mai repede decât pierderea oricărui alt rol de maestru de operațiuni. Este responsabil pentru o serie de funcții la nivel de domeniu, inclusiv:
- actualizați starea de blocare a contului;
- crearea și replicarea unui singur master a unui GPO;
- sincronizare de timp pentru domeniu.
- Proprietarul infrastructurii. Acest rol este responsabil pentru menținerea referințelor la obiecte pe mai multe domenii. De exemplu, atunci când un grup dintr-un domeniu include un membru dintr-un alt domeniu, comandantul infrastructurii este responsabil pentru menținerea integrității acelei legături.
Aceste trei roluri trebuie să fie unice în fiecare domeniu, astfel încât poate exista un singur master RID, un emulator primar de controler de domeniu (PDC) și un master de infrastructură în fiecare domeniu.
Materiale suplimentare:
Dacă AD DS conține mai multe domenii, trebuie să definiți relațiile dintre domenii. Dacă domeniile au o rădăcină comună și un spațiu de nume contiguu, ele fac parte din același arbore Active Directory. Arborele nu servește niciun scop administrativ. Cu alte cuvinte, nu există administrator de arbore pentru că există un administrator de pădure sau de domeniu. Arborele oferă o grupare ierarhică logică de domenii care au relații părinte-copil definite de numele lor. Arborele Active Directory se mapează la un spațiu de nume Domain Name Service (DNS).
Arborele Active Directory sunt creați pe baza relațiilor dintre domeniile pădurii. Nu exista motive serioase, care poate sau nu necesita crearea mai multor copaci în pădure. Cu toate acestea, rețineți că un singur arbore cu spațiul său de nume contiguu este mai ușor de gestionat și mai ușor de vizualizat de către utilizatori.
Dacă există mai multe spații de nume acceptate, luați în considerare utilizarea mai multor copaci în aceeași pădure. De exemplu, dacă organizația dvs. are mai multe departamente de producție diferite cu identificatori publici diferiți, puteți crea un arbore diferit pentru fiecare departament de producție. Rețineți că nu există o separare a administrației în acest scenariu, deoarece administratorul rădăcinii pădurii are în continuare control deplin asupra tuturor obiectelor din pădure, indiferent de arborele în care se află.
1.5 Diviziuni
Subdiviziune este un obiect container dintr-un domeniu care poate fi utilizat pentru a grupa utilizatori, grupuri, computere și alte obiecte. Există două motive pentru a crea diviziuni.
- Configurați obiectele conținute în OU. Puteți atribui GPO unei unități organizaționale și puteți aplica setările tuturor obiectelor din acea unitate organizațională.
- Delegarea controlului administrativ al obiectelor dintr-o unitate organizatorică. Puteți atribui drepturi de gestionare a OU, delegând astfel gestionarea OU unui utilizator sau unui grup care nu este administrator în Active Directory Domain Services.
Notă. O unitate organizațională este cel mai mic domeniu sau unitate căreia îi puteți aloca setări de politică de grup sau îi puteți delega drepturi administrative.
Unitățile organizaționale pot fi utilizate pentru a reprezenta structuri logice ierarhice din cadrul unei organizații. De exemplu, puteți crea divizii care reprezintă departamente dintr-o organizație, regiuni geografice din cadrul unei organizații și divizii care sunt o combinație de departamente și zone geografice. Apoi puteți gestiona configurația și utiliza conturile de utilizator, grup și computer pe baza modelului de organizare creat de dvs.
Fiecare domeniu Active Directory Domain Services are set standard containere și OU care sunt create atunci când instalați Active Directory Domain Services. Aceste containere și divizii sunt enumerate mai jos.
- Containerul de domeniu care servește ca container rădăcină al ierarhiei.
- Container încorporat care conține conturi implicite de administrator de servicii.
- Containerul de utilizatori care este locația implicită pentru noile conturi de utilizator și grupuri create în domeniu.
- Containerul computerului care este locația implicită pentru noile conturi de computer care sunt create în domeniu.
- Unitatea organizatorică a controlerelor de domeniu, care este locația implicită pentru conturile de computer ale controlerului de domeniu.
1.6 Relații de încredere
O relație de încredere permite unei entități de securitate să aibă încredere în altă entitate de securitate în scopuri de autentificare. În sistemul de operare Windows Server 2008 R2, obiectul de securitate este domeniul Windows.
Scopul principal al unui trust este de a facilita accesul unui utilizator dintr-un domeniu la o resursă dintr-un alt domeniu, fără a fi necesar să mențină un cont de utilizator în ambele domenii.
În orice relație de încredere, există două părți implicate - entitatea de încredere și entitatea de încredere. O entitate de încredere este o entitate care deține o resursă, iar o entitate de încredere este o entitate cu un cont. De exemplu, dacă împrumuți cuiva un laptop, ai încredere în acea persoană. Sunteți obiectul care deține resursa. Resursa este laptopul dvs.; persoana căreia i se împrumută laptopul este un obiect de încredere cu cont.
Tipuri de relații de încredere
Relațiile de încredere pot fi unidirecționale sau bidirecționale.
Încrederea unidirecțională înseamnă că, deși o entitate are încredere în alta, inversul nu este adevărat. De exemplu, dacă îi împrumuți lui Steve laptopul tău, nu înseamnă că Steve îți va împrumuta neapărat mașina lui.
Într-o încredere bidirecțională, ambele entități au încredere una în alta.
Relațiile de încredere pot fi fie tranzitive, fie netranzitive. Dacă obiectul A are încredere în obiectul B în încredere tranzitivă și obiectul B are încredere în obiectul C, atunci obiectul A are încredere și în obiectul C. De exemplu, dacă îi împrumuți lui Steve laptopul și Steve îi împrumută mașina lui Mary, îi poți împrumuta lui Mary telefonul tău mobil.
Windows Server 2008 R2 acceptă o varietate de trusturi concepute pentru a fi utilizate într-o varietate de situații.
În aceeași pădure, toate domeniile au încredere unul în celălalt folosind tranzitivul intern în două sensuri relație de încredere. În esență, aceasta înseamnă că toate domeniile au încredere în toate celelalte domenii. Aceste relații de încredere se extind prin copacii pădurii. Pe lângă aceste încrederi generate automat, puteți configura încrederi suplimentare între domeniile pădurii, între această pădure și alte păduri și între această pădure și alte entități de securitate, cum ar fi tărâmurile sau domeniile Kerberos. sistem de operare Microsoft Windows NT® 4.0. Următorul tabel oferă informații suplimentare.
| tip de încredere | Tranzitivitatea | Direcţie | Descriere |
|---|---|---|---|
| Extern | netranzitiv | Încrederile externe sunt utilizate pentru a acorda acces la resursele situate într-un domeniu Windows NT Server 4.0 sau într-un domeniu care se află într-o pădure separată care nu este alăturată de o încredere de pădure. | |
| Zona de încredere | tranzitiv sau netranzitiv. | Unilateral sau bilateral. | Încrederile de tărâm sunt utilizate pentru a crea o relație de încredere între un tărâm Kerberos gestionat de un sistem de operare non-Windows și un sistem de operare Windows Server 2008 sau un domeniu Windows Server 2008 R2. |
| trust forestier | tranzitiv | Unilateral sau bilateral. | Utilizați trusturile forestiere pentru a împărți resursele între păduri. Dacă trusturile forestiere sunt bidirecționale, cererile de autentificare făcute în orice pădure pot ajunge în altă pădure. |
| Încredere direct stabilită | tranzitiv | Unilateral sau bilateral. | Încrederile direct stabilite sunt utilizate pentru a reduce timpii de conectare a utilizatorilor între două domenii într-o pădure Windows Server 2008 sau Windows Server 2008 R2. Acest lucru se aplică atunci când două domenii sunt separate de doi arbori de domenii. |
2. Implementarea Serviciilor de Domeniu Active Directory
Pentru a implementa Active Directory Domain Services, trebuie să implementați controlere de domeniu. Pentru a optimiza AD DS, este important să înțelegeți unde și cum să creați controlere de domeniu pentru a vă optimiza infrastructura de rețea.
2.1 Ce este un controler de domeniu?
Domeniul este creat atunci când computerul este promovat Windows server Server 2008 R2 către controlerul de domeniu. Controlerele de domeniu găzduiesc Servicii de domeniu Active Directory.
Controlerele de domeniu asigură execuția următoarele funcții pe net.
- Oferă autentificare. Controlorii de domeniu mențin o bază de date de conturi de domeniu și oferă servicii de autentificare.
- Conține roluri de master operațiuni ca oportunitate suplimentară. Aceste roluri erau cunoscute anterior ca roluri FSMO (Flexible Single Master Operations). Există cinci roluri de master operațiuni - două roluri la nivel de pădure și trei roluri la nivel de domeniu. Aceste roluri pot fi migrate după cum este necesar.
- Conține catalogul global ca o caracteristică opțională. Orice controler de domeniu poate fi desemnat ca server de catalog global.
Notă. Catalogul global este o bază de date distribuită care conține o reprezentare care poate fi căutată a fiecărui obiect din toate domeniile dintr-o pădure cu mai multe domenii. Totuși, catalogul global nu conține toate atributele pentru fiecare obiect. În schimb, menține un subset de atribute care sunt cel mai probabil să fie utile în căutările de domenii.
2.2 Ce este un RODC?
Controlerul de domeniu numai pentru citire este tip nou controler de domeniu în Windows Server 2008 R2. Prin utilizarea unui RODC, organizațiile pot implementa cu ușurință un controler de domeniu în locații în care securitatea fizică nu poate fi garantată. Un RODC găzduiește o replică a bazei de date numai în citire în AD DS pentru acel domeniu. Un RODC poate funcționa și ca server de catalog global.
Începând cu Windows Server 2008, o organizație poate implementa un RODC atunci când lățimea de bandă WAN este limitată sau insuficientă siguranță fizică calculatoare. Drept urmare, utilizatorii în această situație pot beneficia de:
- securitate sporită;
- Mai mult intrare rapidăîn sistem;
- acces mai eficient la resursele rețelei.
| Funcția controler de domeniu numai pentru citire | Explicaţie |
| Baza de date Active Directory numai pentru citire | Cu excepția parolelor de cont, un RODC conține toate obiectele și atributele Active Directory care sunt prezente într-un controler de domeniu care poate fi scris. Cu toate acestea, nu se pot face modificări la o replică care este stocată într-un RODC. Modificările trebuie făcute pe un controler de domeniu care poate fi scris și replicate pe un controler de domeniu numai pentru citire. |
| Replicare unidirecțională | Deoarece modificările nu sunt scrise direct în RODC, nu se fac modificări în RODC. Prin urmare, controlerele de domeniu care pot fi scrise care sunt parteneri de replicare nu ar trebui să primească modificări de la controlerul numai pentru citire. Ca rezultat, volumul de lucru al serverelor cap de pod din hub este redus și este necesar mai puțin efort pentru a monitoriza replicarea. |
| Memorarea în cache a acreditărilor | Memorarea în cache a acreditărilor este stocarea acreditărilor utilizatorului sau computerului. Acreditările constau dintr-un set mic de parole (aproximativ zece) asociate cu principiile de securitate. În mod implicit, un RODC nu stochează acreditările de utilizator și computer. Excepțiile sunt contul de computer RODC și contul special krbtgt (contul Kerberos Key Distribution Service Center) care există pe fiecare RODC. Orice altă memorie cache a acreditărilor trebuie să fie activată în mod explicit pe RODC. |
| Separarea rolurilor de administrator | Rol administrator local Un RODC poate fi delegat oricărui utilizator de domeniu fără a-i acorda niciun drept asupra domeniului sau altor controlori de domeniu. În acest caz utilizator local Sucursala se va putea conecta la RODC și va efectua operațiuni de întreținere pe acesta, cum ar fi actualizarea unui driver. Cu toate acestea, utilizatorul sucursalei nu va avea dreptul de a se conecta la niciun alt controler de domeniu sau de a efectua alte sarcini administrative din domeniu. |
| Serviciu de nume de domeniu numai pentru citire | Serviciul DNS Server poate fi instalat pe un RODC. Un RODC poate replica toate partițiile de director de aplicații care sunt utilizate de serverul DNS, inclusiv partițiile ForestDNSZones și DomainDNSZones. Dacă serverul DNS este instalat pe un RODC, clienții îl pot interoga pentru rezoluția numelui la fel ca orice alt server DNS. |
Rolul unui RODC este rezumat mai jos.
- Controlerul de domeniu care acționează ca master al operațiunilor emulatorului PDC pentru domeniu trebuie să ruleze un sistem de operare. sisteme Windows Server 2008. Acest lucru este necesar pentru a crea un cont nou krbtgt pentru un controler de domeniu numai pentru citire, precum și pentru operațiunile curente ale controlerului de domeniu respectiv.
- RODC necesită ca cererile de autentificare să fie redirecționate către serverul de catalog global (sub Control Windows Server 2008) situat pe site-ul cel mai apropiat de site-ul cu acest controler. O politică de replicare a parolei este setată pe acest controler de domeniu pentru a determina dacă acreditările sunt replicate la locația sucursalei pentru o solicitare redirecționată de la RODC.
- Pentru ca delegarea constrânsă Kerberos să fie disponibilă, nivelul funcțional al domeniului trebuie setat la Windows Server 2003. Delegarea constrânsă este utilizată pentru apelurile de securitate care trebuie uzurpate în contextul apelantului.
- Pentru ca valoarea asociată să fie replicată, nivelul funcțional al pădurii trebuie setat la Windows Server 2003. Acest lucru oferă mai multe nivel inalt compatibilitate de replicare.
- Trebuie să rulați adprep /rodcprep o dată în pădure. Acest lucru va actualiza permisiunile pentru toate partițiile directorului de aplicații DNS din pădure pentru a facilita replicarea între RODC-uri care sunt și servere DNS.
- Un RODC nu poate deține roluri de master operațiuni și nu poate acționa ca un server cap de pod de replicare.
- Controlerul de domeniu numai pentru citire poate fi implementat în Sistem server Core pentru securitate sporită.
Site-ul este vedere logica zona geografica din retea. Site-ul reprezintă marginea unei rețele de mare viteză pentru computerele Active Directory Domain Services, adică computere care pot comunica cu de mare vitezăși latență scăzută, pot fi combinate într-un site; Controloarele de domeniu dintr-un site reproduc datele AD DS într-o manieră optimizată pentru acel mediu. această configurație de replicare este în mare parte automată.
Notă. Site-urile sunt folosite de computerele client pentru a localiza servicii precum controlere de domeniu și servere de catalog global. Este important ca fiecare site pe care îl creați să conțină cel puțin un controler de domeniu și un server de catalog global.
2.4 Replicarea AD DS
- Replicarea AD DS este transferul modificărilor aduse datelor de director între controlerele de domeniu dintr-o pădure AD DS. Modelul de replicare AD DS definește mecanisme care permit transmiterea automată a actualizărilor de directoare între controlerele de domeniu pentru a oferi o soluție de replicare fără probleme pentru serviciul de directoare distribuit AD DS.
- Există trei secțiuni în Active Directory Domain Services. Partiția de domeniu conține datele modificate cel mai frecvent și, prin urmare, generează un flux mare de date de replicare AD DS.
Link-uri de site-uri Active Directory
- Link-ul site-ului este folosit pentru a gestiona replicarea între grupuri de site-uri. Puteți utiliza link-ul implicit de site furnizat în AD DS sau puteți crea link-uri suplimentare de site după cum este necesar. Puteți configura setări pentru legăturile de site pentru a determina programarea și disponibilitatea căii de replicare pentru o gestionare mai ușoară a replicării.
- Când două site-uri sunt legate printr-un link de site, sistemul de replicare creează automat conexiuni între controlori de domeniu specifici din fiecare site, numite servere cap de pod.
2.5 Configurarea DNS pentru serviciile de domeniu Active Directory
Setarea DNS
AD DS necesită DNS. Rolul Server DNS nu este instalat în Windows Server 2008 R2 în mod implicit. Ca și alte funcționalități, această caracteristică este adăugată în funcție de rol, unde serverul este configurat pentru a îndeplini un anumit rol.
Rolul de server DNS poate fi instalat folosind linkul „Adăugați rol” din Server Manager. Rolul de server DNS poate fi adăugat automat, de asemenea, utilizând Expertul de instalare a serviciilor de domeniu Active Directory (dcpromo.exe). Pagina Opțiuni pentru controlerul de domeniu din expert vă permite să adăugați rolul Server DNS.
Configurarea zonelor DNS
După instalarea serverului DNS, puteți începe să adăugați zone la server. Dacă serverul DNS este un controler de domeniu, puteți configura AD DS pentru a stoca date de zonă. Apoi va fi creată o zonă Active Directory integrată. Dacă această opțiune nu este selectată, datele de zonă vor fi stocate în fișier, nu în AD DS.
Actualizări dinamice
Când creați o zonă, vi se va solicita și să specificați dacă zona ar trebui să fie acceptată. actualizare dinamică. Actualizarea dinamică reduce efortul de gestionare a zonei, deoarece clienții pot adăuga, elimina și actualiza propriile înregistrări resurse.
Actualizarea dinamică permite posibilitatea de a falsifica o înregistrare a resurselor. De exemplu, un computer ar putea să înregistreze o intrare numită „www” și să redirecționeze traficul de pe site-ul dvs. la adresa greșită.
Pentru a exclude posibilitatea de fals, serviciul Servere DNS Windows Server 2008 R2 acceptă actualizări dinamice securizate. Clientul trebuie să fie autentificat înainte de a actualiza înregistrările resurselor, astfel încât serverul DNS să știe dacă clientul este un computer căruia îi este permis să schimbe înregistrarea resurselor.
Transferuri de zonă DNS
O întreprindere ar trebui să se străduiască să se asigure că o zonă poate fi impusă de cel puțin două servere DNS.
Dacă zona este integrată în AD DS, atunci adăugați rolul de server DNS la alt controler de domeniu din același domeniu unde se află primul server DNS. Active Directory zone integrate și replicare zone DNS utilizarea AD DS sunt descrise în lecția următoare.
Dacă zona nu este federată AD DS, trebuie să adăugați un alt server DNS și să îl configurați pentru a găzdui zona suplimentară. Rețineți că zona secundară este o copie numai în citire a zonei primare.
înregistrări SRV
O înregistrare a resursei Service Locator (SRV) rezolvă o solicitare pentru serviciu de rețea, permițând clientului să găsească o gazdă care oferă un anumit serviciu.
- Când un controler de domeniu trebuie să reproducă modificările de la parteneri.
- Când computer client vă solicită să vă autentificați cu AD DS.
- Când un utilizator își schimbă parola.
- Când server Microsoft Exchange caută în director.
- Când un administrator deschide snap-in-ul Utilizatori și computere Active Directory.
Înregistrările SRV folosesc următoarea sintaxă.
protocol.service.name lifetime_class tip prioritate greutate target_host port
Un exemplu de înregistrare SRV este prezentat mai jos.
ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
Înregistrarea constă din următoarele componente:
- Numele serviciului de protocol, cum ar fi serviciul LDAP oferit de controlerul de domeniu.
- Durata de viață în secunde.
- Clasă (toate intrările DNS Windows vor fi „IN” sau „INternet”).
- Tip: SRV;
- Valori de prioritate și greutate care îi ajută pe clienți să determine ce nod preferă.
- Portul pe care este oferit serviciul de către server. Pe un controler de domeniu Windows pentru LDAP port standard - 389.
- Obiectul țintă sau gazda serviciului, care acest caz este un controler de domeniu numit hqdc01.contoso.com.
Când un proces client caută un controler de domeniu, poate interoga serviciul LDAP de la DNS. Interogarea returnează atât o înregistrare SRV, cât și o înregistrare A pentru unul sau mai multe servere care furnizează serviciul solicitat.
În această notă, vom analiza în detaliu procesul de introducere a primului controler de domeniu în întreprindere. Și vor fi trei dintre ele:
1) Controler de domeniu primar, OS - Windows Server 2012 R2 cu GUI, numele rețelei: dc1.
Selectați opțiunea implicită, faceți clic pe Următorul. Apoi selectați protocolul implicit IPv4 și faceți clic din nou pe Următorul.
Pe ecranul următor, setați ID-ul rețelei (ID-ul rețelei). În cazul nostru, 192.168.0. În câmpul Nume zonă de căutare inversă, vom vedea cum este înlocuită automat adresa zonei de căutare inversă. Faceți clic pe Următorul.
Pe ecranul Actualizare dinamică, selectați unul dintre cele trei Opțiuni actualizare dinamică.
Permiteți numai actualizări dinamice securizate. Această opțiune este disponibilă numai dacă zona este integrată în Active Directory.
Permite actualizări dinamice atât nesecurizate, cât și securizate. Acest comutator permite oricărui client să-și actualizeze înregistrările de resurse DNS atunci când apar modificări.
Respinge actualizările dinamice (Nu permite actualizări dinamice). Această opțiune dezactivează dinamica Actualizări DNS. Ar trebui utilizat numai dacă zona nu este integrată cu Active Directory.
Selectați prima opțiune, faceți clic pe Următorul și finalizați configurarea făcând clic pe Terminare.
Încă una opțiune utilă, care este de obicei configurat în DNS, sunt redirecționare sau redirecționare, al căror scop principal este de a stoca și redirecționa cererile DNS de la un server DNS local către un server DNS extern de pe Internet, cum ar fi cel situat la ISP. De exemplu, vrem calculatoare localeîn rețeaua noastră de domenii, în setari de retea care au un server DNS înregistrat (192.168.0.3) au putut accesa Internetul, este necesar ca server dns local a fost configurat pentru a permite solicitări dns de la serverul din amonte. Pentru a configura redirecționare (Redirecționare), accesați consola managerului DNS. Apoi, în proprietățile serverului, accesați fila Forwarders și faceți clic pe Editare acolo.
Specificați cel puțin o adresă IP. Mai multe sunt de dorit. Apăsăm OK.
Acum să configuram serviciul DHCP. Să începem instrumentul.
Mai întâi, să setăm întreaga gamă de adrese de lucru de la care adresele vor fi preluate pentru a le emite clienților. Selectați Acțiune\New Scope. Pornește Expertul Adăugare zonă. Setați numele zonei.
Apoi, specificați adresa de început și de sfârșit a intervalului de rețea.
În continuare, adăugați adresele pe care dorim să le excludem din emiterea clienților. Faceți clic pe Următorul.
Pe ecranul Durată de închiriere, specificați un timp de închiriere care nu este implicit, dacă este necesar. Faceți clic pe Următorul.
Apoi suntem de acord că vrem să configuram opțiunile DHCP: Da, vreau să configurez aceste opțiuni acum.
Specificați secvențial gateway-ul, numele domeniului, adrese DNS, sărim peste WINS și la final suntem de acord cu activarea domeniului făcând clic pe: Da, vreau să activez acest domeniu acum. Finalizarea.
Pentru munca sigura Servicii DHCP, trebuie să configurați un cont special pentru actualizări dinamice înregistrări DNS. Acest lucru trebuie făcut, pe de o parte, pentru a preveni înregistrarea dinamică a clienților în DNS folosind contul administrativ al domeniului și posibilul abuz al acestuia, pe de altă parte, în cazul unei rezervări a serviciului DHCP și a unei defecțiuni a serverului principal. , va fi posibil să transferați backupul zonei pe al doilea server, care va necesita contul primului server. Pentru a îndeplini aceste condiții, în snap-in-ul Active Directory Users and Computers, vom crea un cont denumit dhcp și vom atribui o parolă nedefinită selectând opțiunea: Password Never Expires.
Atribuiți utilizatorului parola puternicași adăugați-l la grupul DnsUpdateProxy. Apoi scoatem utilizatorul din grupul Utilizatori de domeniu, dupa ce ii atribuim utilizatorului principal grupul DnsUpdateProxy. Acest cont va fi singurul responsabil pentru actualizarea dinamică a înregistrărilor și nu va avea acces la alte resurse în care drepturile de bază ale domeniului sunt suficiente.
Faceți clic pe Aplicare și apoi pe OK. Deschideți din nou consola DHCP. Accesați proprietățile protocolului IPv4 din fila Avansat.
Faceți clic pe Acreditări și specificați acolo utilizatorul nostru DHCP.
Faceți clic pe OK și reporniți serviciul.
Vom reveni la configurarea DHCP mai târziu, când vom configura rezervările de servicii DHCP, dar pentru a face asta, trebuie să creștem cel puțin și controlerele de domeniu.
Elementul principal de eficacitate rețeaua corporativă este un controler de domeniu Active Directory care gestionează multe servicii și oferă multe beneficii.
Există două moduri de a construi o infrastructură IT - standard și casual, atunci când se depun eforturi minime suficiente pentru a rezolva problemele emergente, fără a construi o infrastructură clară și fiabilă. De exemplu, construirea unei rețele peer-to-peer în întreaga organizație și deschidere acces public pentru toti fisierele necesareși foldere, fără posibilitatea de a controla acțiunile utilizatorului.
Evident, această cale nu este de dorit, deoarece în cele din urmă va trebui să dezasamblați și să organizați corespunzător un amestec haotic de sisteme, altfel nu va putea funcționa - și afacerea dvs. împreună cu ea. Deci, cu cât accepți mai repede singurul solutie corecta construirea unei rețele corporative cu un controler de domeniu - cu atât mai bine pentru afacerea dvs. pe termen lung. Si de aceea.
„Domeniul este unitatea de bază a infrastructurii IT bazată pe sistemul de operare Familiile de ferestre, asocierea logică și fizică a serverelor, computerelor, hardware-ului și conturilor de utilizator.”
Controler de domeniu (DC) - un server separat care rulează sistemul de operare Windows Server care rulează servicii Active Directory care fac posibilă slujbă un numar mare Software care necesită un CD pentru administrare. Exemple de astfel de software sunt e-mailul Server de schimb, suita cloud Office 365 și altele medii software nivel corporativ de la Microsoft.
Pe lângă faptul că oferă funcționare corectă dintre aceste platforme, CD-ul oferă întreprinderilor și organizațiilor următoarele beneficii:
- Implementarea serverului terminal. vă permite să economisiți semnificativ resurse și efort prin înlocuire actualizare constantă PC-uri de birou ca investiție unică în găzduire „ clienti slabi” pentru a vă conecta la un server cloud puternic.
- Securitate sporită. CD-ul vă permite să setați politici de parole și să forțați utilizatorii să folosească parole mai complexe decât data nașterii, qwerty sau 12345.
- Controlul centralizat al drepturilor de acces. În loc de actualizare manuală parolele pe fiecare computer separat, administratorul CD-ului poate schimba central toate parolele într-o singură operațiune de pe un computer.
- Management centralizat al politicii de grup. Instrumente active Directory vă permite să creați politici de grup și să setați drepturi de acces la fișiere, foldere și altele resursele rețelei pentru anumite grupuri de utilizatori. Acest lucru face mult mai ușor să configurați noi conturi de utilizator sau să schimbați setările pentru profilurile existente.
- prin intrare. Active Directory acceptă conectarea prin trecere, în cazul în care atunci când introduce numele de utilizator și parola pentru domeniu, utilizatorul este conectat automat la toate celelalte servicii, cum ar fi e-mail și Office 365.
- Creați șabloane de configurare a computerului. Configurarea fiecăruia calculator separat atunci când este adăugat la o rețea corporativă, poate fi automatizat folosind șabloane. De exemplu, cu ajutorul unor reguli speciale, unitățile CD sau porturile USB pot fi dezactivate central, sigur porturi de rețea etc. Astfel, în loc de setare manuală nou stație de lucru, administratorul îl include pur și simplu într-un anumit grup, iar toate regulile pentru acest grup vor fi aplicate automat.
După cum puteți vedea, configurarea unui controler de domeniu Active Directory aduce numeroase avantaje și avantaje întreprinderilor și organizațiilor de toate dimensiunile.
Când să implementați un controler de domeniu Active Directory într-o rețea corporativă?
Vă recomandăm să luați în considerare configurarea unui controler de domeniu pentru compania dvs. deja atunci când aveți mai mult de 10 computere conectate la rețea, deoarece este mult mai ușor să setați politicile necesare pentru 10 mașini decât pentru 50. În plus, deoarece acest server nu nu efectuează sarcini deosebit de intensive în resurse, un computer desktop puternic poate fi potrivit pentru acest rol.
Cu toate acestea, este important să rețineți că acest server va stoca parole pentru accesarea resurselor de rețea și o bază de date a utilizatorilor de domeniu, o schemă de drepturi și politici de grup utilizatorii. Este necesară implementarea unui server de rezervă cu copiere constantă a datelor pentru a asigura continuitatea controlerului de domeniu, iar acest lucru se poate face mult mai rapid, mai ușor și mai fiabil folosind virtualizarea serverului furnizate atunci când găzduiți o rețea corporativă în cloud. Acest lucru evită următoarele probleme:
- Setări greșite ale serverului DNS, ceea ce duce la erori de localizare a resurselor în rețeaua corporativă și pe Internet
- Grupuri de securitate configurate greșit, ceea ce duce la erori în drepturile de acces ale utilizatorilor la resursele de rețea
- Versiuni incorecte ale sistemului de operare. Fiecare versiunea activă Directory suportă anumite versiuni Sistem de operare Windows desktop pentru clienți subțiri
- Absența sau setare greșită copie automată date la controlerul de domeniu de rezervă.
După cum se spune „a apărut dintr-o dată de nicăieri.... ...”, nimic nu prefigura probleme, dar apoi controlerul de domeniu principal a început să eșueze și, în timp ce încă respira, a decis să delege drepturile domeniului principal. altcuiva.
Pentru a transfera rolul „master de nume de domeniu”, parcurgeți următorii pași:
După ce toate rolurile au fost transferate, rămâne să ne ocupăm de opțiunea rămasă - custodele catalogului global. Intrăm în Director: „Site și servicii”, site-ul implicit, servere, găsim controlerul de domeniu care a devenit principalul, iar în proprietățile setărilor sale NTDS, bifați caseta de lângă catalogul global. (Fig. 3)
rezultatul - am schimbat proprietarii rolurilor pentru domeniul nostru. Cine trebuie să scape în sfârșit de vechiul controler de domeniu - îl coborâm la un server membru. Cu toate acestea, simplitatea acțiunilor întreprinse este compensată de faptul că implementarea lor într-o serie de situații este imposibilă, sau se încheie într-o eroare. În aceste cazuri, ntdsutil.exe ne va ajuta.
Transfer voluntar rolurile fsmo la consolele ntdsutil.exe.
În cazul în care transferul rolurilor fsmo la consolele AD eșuează, am creat un foarte utilitate la îndemână- ntdsutil.exe - întreținere Director. Acest instrument vă permite să efectuați acțiuni extrem de - până la întreaga bază de date AD dintr-o copie de rezervă pe care aceasta a creat-o ultima schimbareîn AD. Să se familiarizeze cu toate posibilitățile sale în cunoaștere (Cod articol: 255504). În acest caz, vorbim despre faptul că ntdsutil.exe vă permite atât să transferați roluri, cât și să le „selectați”.
Dacă dorim să transferăm un rol de la un controler de domeniu „primar” existent la unul „de rezervă”, mergem la controlerul „primar” și începem să transferăm roluri (comandă transfer).
Dacă dintr-un motiv oarecare nu avem un controler de domeniu principal sau nu ne putem conecta cu un cont administrativ, ne conectăm la un controler de domeniu de rezervă și începem să „selectăm” roluri (comandă apuca).
Deci, cazul - controlerul de domeniu principal există și funcționează normal. Apoi mergem la controlerul de domeniu principal și introducem următoarele comenzi:
ntdsutil.exe
conectați-vă la server_name (cel căruia vrem să-i acordăm rolul)
Dacă apar erori, trebuie să comunicăm cu controlerul de domeniu la care încercăm să ne conectăm. Dacă nu există erori, atunci ne-am conectat cu succes la controlerul de domeniu specificat cu drepturile utilizatorului în numele căruia introducem comenzi.
O listă completă este disponibilă din interogarea de întreținere fsmo cu semnul standard? . Este timpul să predăm rolurile. Imediat, fără ezitare, am decis să transfer rolurile în ordinea în care sunt specificate în instrucțiunile pentru ntdsutil și am ajuns la concluzia că nu pot transfera rolul de maestru al infrastructurii. Mie, ca răspuns la o solicitare de transfer al unui rol, mi-a fost returnată o eroare: „este imposibil să contactez proprietarul actual al rolului fsmo”. Am căutat mult timp informații și am constatat că majoritatea oamenilor care ajung la etapa de transfer de rol se confruntă cu această eroare. Unii dintre ei încearcă să preia acest rol cu forța (nu iese), unii lasă totul așa cum este - și trăiesc fericiți fără acest rol.
Am aflat prin încercare și eroare că, la transferul rolurilor în această ordine, este garantată parcurgerea corectă a tuturor pașilor:
Proprietar de identificatori;
Proprietarul schemei;
denumire maestru;
Proprietarul infrastructurii;
controlor de domeniu;
După o conexiune cu succes la server, primim o invitație la managementul rolurilor (fsmo maintenance) și putem începe să transferăm roluri:
- transfer de nume de domeniu master
Master infrastructura de transfer
Transfer rid master
Transfer schema master
Transfer pdc master
După executarea fiecăruia, ar trebui să fie emisă o solicitare prin care se întreabă dacă vrem cu adevărat să transferăm rolul specificat serverul specificat. Rezultatul executării cu succes este prezentat în (Fig. 4).
Rolul deținătorului global de catalog este transferat în modul descris în secțiunea anterioară.
Forțarea rolurilor fsmo pe ntdsutil.exe.
Al doilea caz este că dorim să atribuim rolul de principal controlerului nostru de domeniu de rezervă. În acest caz, nimic nu se schimbă - singura diferență este că efectuăm toate operațiunile folosind seize, dar deja pe serverul căruia dorim să transferăm roluri pentru atribuirea unui rol.
apuca numirea maestru
pune mâna pe comandantul infrastructurii
apuca scapa maestru
seize schema master
Vă rugăm să rețineți că, dacă ați luat un rol unui controler de domeniu care este absent în prezent, atunci când acesta apare în controlere, acestea vor începe să intre în conflict și nu puteți evita problemele de funcționare a domeniului.
Lucrați la bug-uri.
Cel mai important lucru care nu trebuie uitat este că noul controler de domeniu primar nu va repara TCP/IP în sine: acum este de dorit ca acesta să specifice 127.0. Server DHCP, atunci trebuie să-l forțați să emită adresa IP-ului DNS primar al noului dvs. server, dacă nu există DHCP, parcurgeți toate mașinile și prescrie-le pe acesta. DNS primar manual. Opțional, atribuiți același ip noului controler de domeniu ca și cel vechi. Acum trebuie să vedeți cum funcționează totul și să scăpați de erorile principale. Pentru a face acest lucru, propun să ștergeți toate evenimentele de pe ambele controlere, salvând jurnalele într-un folder cu alții copii de rezervăși reporniți toate serverele. După ce le-ați activat, aveți grijă toate jurnalele de evenimente pentru apariția avertismentelor și erorilor. Cel mai frecvent avertisment, fsmo role transfer, este mesajul că „msdtc nu poate procesa corect promovarea / retrogradarea controlerului de domeniu.” : in din original
Dacă rămân erori legate de DNS, ștergeți toate zonele din acesta și creați-le manual. Este destul de simplu - principalul lucru este să creați o zonă primară după numele domeniului, stocată și replicată tuturor controlerelor de domeniu din rețea.
Mai multe informații despre Erori DNS dă o altă comandă:
dcdiag /test:dns
La sfârșitul lucrărilor efectuate, mi-a luat încă aproximativ 30 de minute să aflu motivul apariției unui număr de avertismente - mi-am dat seama de sincronizarea timpului, de arhivarea catalogului global și de alte lucruri pe care nu le-am pus mâna. pe înainte. Acum totul funcționează ca un ceas - cel mai important, nu uitați să aveți un controler de domeniu de rezervă dacă doriți să eliminați vechiul controler de domeniu din rețea.
