Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • In contact cu
  • Controler de domeniu în rețeaua locală. Punct unic de management al politicii

Controler de domeniu în rețeaua locală. Punct unic de management al politicii

17.04.2019 In contact cu

Elementul principal de eficacitate rețeaua corporativă este controlorul Domeniu activ Director care gestionează multe servicii și oferă multe beneficii.

Există două moduri de a construi o infrastructură IT - standard și casual, atunci când se depun eforturi minime suficiente pentru a rezolva problemele emergente, fără a construi o infrastructură clară și fiabilă. De exemplu, construirea unei rețele peer-to-peer în întreaga organizație și deschidere acces public pentru toti fisierele necesareși foldere, fără posibilitatea de a controla acțiunile utilizatorului.

Evident, această cale nu este de dorit, deoarece în cele din urmă va trebui să dezasamblați și să organizați corespunzător un amestec haotic de sisteme, altfel nu va putea funcționa - și afacerea dvs. împreună cu ea. Deci, cu cât accepți mai repede singurul solutie corecta construirea unei rețele corporative cu un controler de domeniu - cu atât mai bine pentru afacerea dvs. pe termen lung. Si de aceea.

„Domeniul este unitatea de bază a infrastructurii IT bazată pe sistemul de operare Familiile de ferestre, asocierea logică și fizică a serverelor, computerelor, hardware-ului și conturilor de utilizator.”

Controler de domeniu (DC) - un server separat cu sistem de operare Windows Server, care rulează Servicii active Realizarea directorului posibilă slujbă un numar mare Software care necesită un CD pentru administrare. Exemple de astfel de software sunt server de mail Schimb, nor Pachet Office 365 și altele medii software nivel corporativ din Microsoft.

Pe lângă faptul că oferă funcţionare corectă dintre aceste platforme, CD-ul oferă întreprinderilor și organizațiilor următoarele beneficii:

  • Implementare server terminal . vă permite să economisiți semnificativ resurse și efort prin înlocuire actualizare constantă PC-uri de birou ca investiție unică în găzduire „ clienti slabi” pentru a vă conecta la un server cloud puternic.
  • Securitate sporită. CD-ul vă permite să setați politici de parole și să forțați utilizatorii să folosească mai multe parole complexe decât data nașterii, qwerty sau 12345.
  • Controlul centralizat al drepturilor de acces. În loc de actualizare manuală parolele pe fiecare computer separat, administratorul CD-ului poate schimba central toate parolele într-o singură operațiune de pe un computer.
  • Management centralizat al politicii de grup. Facilităţi Director activ vă permit să creați politici de grup și să setați drepturi de acces la fișiere, foldere și alte resurse de rețea pentru anumite grupuri de utilizatori. Acest lucru face mult mai ușor să configurați noi conturi de utilizator sau să schimbați setările pentru profilurile existente.
  • prin intrare. Active Directory acceptă conectarea prin trecere, în cazul în care atunci când introduce numele de utilizator și parola pentru domeniu, utilizatorul este conectat automat la toate celelalte servicii, cum ar fi e-mail și Office 365.
  • Creați șabloane de configurare a computerului. Configurarea fiecăruia calculator separat atunci când este adăugat la o rețea corporativă, poate fi automatizat folosind șabloane. De exemplu, cu ajutorul unor reguli speciale, unitățile CD sau porturile USB pot fi dezactivate central, sigur porturi de rețea etc. Astfel, în loc de setare manuală nou stație de lucru, administratorul îl include pur și simplu într-un anumit grup, iar toate regulile pentru acest grup vor fi aplicate automat.

După cum puteți vedea, configurarea unui controler de domeniu Active Directory aduce numeroase facilități și beneficii întreprinderilor și organizațiilor de toate dimensiunile.

Când să implementați un controler de domeniu Active Directory într-o rețea corporativă?

Vă recomandăm să luați în considerare configurarea unui controler de domeniu pentru compania dvs. deja atunci când aveți mai mult de 10 computere conectate la rețea, deoarece este mult mai ușor să setați politicile necesare pentru 10 mașini decât pentru 50. În plus, deoarece acest server nu nu efectuează sarcini deosebit de intensive în resurse, un computer desktop puternic poate fi potrivit pentru acest rol.

Cu toate acestea, este important să rețineți că acest server va stoca parole pentru accesarea resurselor de rețea și o bază de date cu utilizatori de domeniu, schema de drepturi și politici de grup utilizatorii. Trebuie implementat server de rezervă cu copierea constantă a datelor pentru a asigura continuitatea controlerului de domeniu, iar acest lucru este mult mai rapid, mai ușor și mai fiabil folosind virtualizarea serverului furnizate atunci când găzduiți o rețea corporativă în cloud. Acest lucru evită următoarele probleme:

  • Setări greșite ale serverului DNS, ceea ce duce la erori de localizare a resurselor în rețeaua corporativă și pe Internet
  • Grupuri de securitate configurate greșit, ceea ce duce la erori în drepturile de acces ale utilizatorilor la resursele de rețea
  • Versiuni incorecte ale sistemului de operare. Fiecare versiunea activă Directory suportă anumite versiuni Sistem de operare Windows desktop pentru clienți subțiri
  • Absența sau setare greșită copie automată date la controlerul de domeniu de rezervă.

Un controler de domeniu este un computer server care gestionează un domeniu și stochează o replică a directorului de domeniu (o bază de date de domeniu locală). Întrucât pot exista mai multe controlere de domeniu într-un domeniu, toate stochează copie integrală partea din director care aparține .

Următoarele sunt caracteristicile controlerelor de domeniu.

  • Fiecare controler de domeniu păstrează o copie completă a tuturor informațiilor Active Directory legate de domeniul său și gestionează și reproduce modificările aduse acestor informații altor controlere de domeniu din același domeniu.
  • Toți controlorii dintr-un domeniu reproduc automat toate obiectele din domeniu între ele. Orice modificări care sunt făcute în Active Directory sunt de fapt făcute pe unul dintre controlerele de domeniu. Acest controler de domeniu replic apoi modificările la restul controlerelor de domeniu din domeniul său. Setând frecvența de replicare și cantitatea de date pe care Windows o va transfera cu fiecare replicare, puteți controla trafic de rețeaîntre controlorii de domeniu.
  • Actualizări importante, cum ar fi dezactivarea unui cont de utilizator, controlorii de domeniu se reproduc imediat.
  • Active Directory folosește replicarea multimaster, în care niciun controler de domeniu nu este master. Toți controlorii sunt egali și fiecare conține o copie a bazei de date de catalog care poate fi modificată. În perioade scurte de timp, informațiile din aceste copii pot diferi până când toate controlerele sunt sincronizate între ele.
  • Având mai multe controlere într-un domeniu oferă toleranță la erori. Dacă unul dintre controlorii de domeniu nu este disponibil, celălalt va face totul operațiunile necesare, cum ar fi scrierea modificărilor în Active Directory.
  • Controloarele de domeniu gestionează interacțiunile dintre utilizatori și domeniu, cum ar fi găsirea Obiecte active Directorați și recunoașteți încercările de conectare la rețea.

Există două roluri de master operațiuni care pot fi atribuite unui singur controler de domeniu într-o pădure (roluri la nivelul întregii păduri):

  • Schema Master. Primul controler de domeniu din pădure își asumă rolul de maestru al schemei și este responsabil pentru menținerea și propagarea schemei în restul pădurii. Menține o listă a tuturor claselor de obiecte și atributelor posibile care definesc obiectele care se află în Active Directory. Dacă schema trebuie actualizată sau modificată, Schema Master este o necesitate.
  • Maestru de nume de domeniu. Înregistrează adăugarea și eliminarea domeniilor din pădure și este vital pentru menținerea integrității domeniilor. Domain Naming Master este solicitat atunci când noi domenii sunt adăugate în pădure. Dacă Domain Naming Master nu este disponibil, atunci adăugarea de noi domenii nu este posibilă; cu toate acestea, dacă este necesar, acest rol poate fi transferat unui alt controlor.

Există trei roluri de master operațiuni care pot fi atribuite unuia dintre controlorii din fiecare domeniu (roluri la nivelul întregului domeniu).


  • RID Master (Relative Identifier (RID) Master). Responsabil pentru alocarea intervalelor de identificare relativă (RID) tuturor controlorilor din domeniu. SID-ul în Windows Server 2003 are două părți. Prima parte este comună tuturor obiectelor din domeniu; pentru a crea un SID unic, un RID unic este adăugat la această parte. Împreună identifică în mod unic un obiect și indică locul în care a fost creat.
  • Emulator de controler de domeniu primar (PDC). Răspunzător de Emulare Windows NT 4.0 PDC pentru mașinile client care nu au fost încă migrate la Windows 2000, Windows Server 2003 sau Windows XP și nu au instalat clientul de servicii de director. Una dintre sarcinile principale ale emulatorului PDC este înregistrarea clienților moșteniți. În plus, emulatorul PDC este apelat dacă autentificarea clientului eșuează. Acest lucru permite emulatorului PDC să valideze parolele modificate recent pentru clienții moșteniți din domeniu înainte de a refuza o solicitare de conectare.
  • Maestru de infrastructură. Înregistrează modificările aduse obiectelor controlate din domeniu. Toate modificările sunt mai întâi raportate către Infrastructure Master înainte de a fi replicate altor controlere de domeniu. Infrastructure Master gestionează informațiile de grup și de membru pentru toate obiectele din domeniu. O altă sarcină a Infrastructure Master este să comunice informații despre modificările aduse obiectelor către alte domenii.

Orez. 3.4. Atribuirea implicită a rolurilor de maestru al operațiunilor forestiere

Rolul „Server de catalog global” (GC - Catalog global) poate fi îndeplinit de orice controler de domeniu individual dintr-un domeniu - una dintre funcțiile serverului care poate fi atribuită unui controler de domeniu. Serverele de catalog globale îndeplinesc două sarcini importante. Acestea permit utilizatorilor să se conecteze la rețea și să găsească obiecte oriunde în pădure. Catalogul global conține un subset de informații din fiecare partiție de domeniu și este replicat între serverele de catalog global din domeniu. Când un utilizator încearcă să se conecteze la rețea sau să acceseze unele resursă de rețea de oriunde în pădure, cererea corespunzătoare se rezolvă prin catalogul global. Un alt scop al catalogului global, util indiferent de câte domenii aveți în rețea, este de a participa la procesul de autentificare atunci când un utilizator se conectează la rețea. Când un utilizator se conectează la rețea, numele său este mai întâi verificat cu conținutul catalogului global. Acest lucru vă permite să vă conectați la rețea de pe computere din alte domenii decât cele în care este stocat numele de utilizator dorit. Cont.

În această notă, vom analiza în detaliu procesul de introducere a primului controler de domeniu în întreprindere. Și vor fi trei dintre ele:

1) Controler de domeniu principal, OS - Windows Server 2012 R2 cu GUI, numele retelei: dc1.

Selectați opțiunea implicită, faceți clic pe Următorul. Apoi selectați protocolul implicit IPv4 și faceți clic din nou pe Următorul.

Pe ecranul următor, setați ID-ul rețelei (ID-ul rețelei). În cazul nostru, 192.168.0. În câmpul Nume zonă de căutare inversă, vom vedea cum este înlocuită automat adresa zonei de căutare inversă. Faceți clic pe Următorul.

Pe ecranul Actualizare dinamică, selectați unul dintre cele trei Opțiuni actualizare dinamică.

Permiteți numai actualizări dinamice securizate. Această opțiune este disponibilă numai dacă zona este integrată în Active Directory.

Permite actualizări dinamice atât nesecurizate, cât și securizate. Acest comutator permite oricărui client să-și actualizeze înregistrările de resurse DNS atunci când apar modificări.

Respinge actualizările dinamice (Nu permite actualizări dinamice). Această opțiune dezactivează dinamica Actualizări DNS. Ar trebui utilizat numai dacă zona nu este integrată cu Active Directory.

Selectați prima opțiune, faceți clic pe Următorul și finalizați configurarea făcând clic pe Terminare.

Încă una opțiune utilă, care este de obicei configurat în DNS, sunt forwarderi sau Forwarderi, al căror scop principal este de a stoca și redirecționa cererile DNS de la un server DNS local către un server DNS extern de pe Internet, de exemplu, cel situat la ISP. De exemplu, vrem calculatoare localeîn rețeaua noastră de domenii, în setari de retea care au un server DNS înregistrat (192.168.0.3) au putut accesa Internetul, este necesar ca server dns local a fost configurat pentru a permite solicitări dns de la serverul din amonte. Pentru a configura redirecționare (Redirecționare), accesați consola managerului DNS. Apoi, în proprietățile serverului, accesați fila Forwarders și faceți clic pe Editare acolo.

Specificați cel puțin o adresă IP. Mai multe sunt de dorit. Apăsăm OK.

Acum să configuram serviciul DHCP. Să începem instrumentul.

Mai întâi, să setăm întreaga gamă de adrese de lucru de la care adresele vor fi preluate pentru a le emite clienților. Selectați Acțiune\New Scope. Pornește Expertul Adăugare zonă. Setați numele zonei.

Apoi, specificați adresa de început și de sfârșit a intervalului de rețea.

În continuare, adăugați adresele pe care dorim să le excludem din emiterea clienților. Faceți clic pe Următorul.

Pe ecranul Durată de închiriere, specificați un timp de închiriere care nu este implicit, dacă este necesar. Faceți clic pe Următorul.

Apoi suntem de acord că vrem să configuram opțiunile DHCP: Da, vreau să configurez aceste opțiuni acum.

Specificați secvențial gateway-ul, Numele domeniului, adrese DNS, sărim peste WINS și la final suntem de acord cu activarea domeniului făcând clic pe: Da, vreau să activez acest domeniu acum. Finalizarea.


Pentru munca sigura Servicii DHCP, trebuie să configurați un cont special pentru actualizări dinamice înregistrări DNS. Acest lucru trebuie făcut, pe de o parte, pentru a preveni înregistrarea dinamică a clienților în DNS folosind contul administrativ al domeniului și posibilul abuz al acestuia, pe de altă parte, în cazul rezervării serviciului DHCP și a eșecului serverului principal, va fi posibilă transferul backup zone către cel de-al doilea server, iar acest lucru necesită contul primului server. Pentru a îndeplini aceste condiții, în snap-in-ul Active Directory Users and Computers, vom crea un cont denumit dhcp și vom atribui o parolă nedefinită selectând opțiunea: Password Never Expires.

Atribuiți utilizatorului parola puternicași adăugați-l la grupul DnsUpdateProxy. Apoi scoatem utilizatorul din grupul Utilizatori de domeniu, dupa ce ii atribuim utilizatorului principal grupul DnsUpdateProxy. Acest cont va fi singurul responsabil pentru actualizare dinamicăînregistrări și să nu aibă acces la alte resurse în care drepturile de bază ale domeniului sunt suficiente.

Faceți clic pe Aplicare și apoi pe OK. Deschideți din nou consola DHCP. Accesați proprietățile protocolului IPv4 din fila Avansat.

Faceți clic pe Acreditări și specificați acolo utilizatorul nostru DHCP.

Faceți clic pe OK și reporniți serviciul.

Mai târziu vom reveni la configurarea DHCP, când configuram rezervarea serviciului DHCP, dar pentru asta trebuie să ridicăm măcar controlerele de domeniu.

Controlerele de domeniu sunt servere care acceptă Active Directory. Fiecare controler de domeniu are propria copie a bazei de date Date active Director care poate fi scris. Controlerele de domeniu acționează ca componentă centrală de securitate într-un domeniu.

Toate operațiunile de securitate și de verificare a contului sunt efectuate pe controlerul de domeniu. Fiecare domeniu trebuie să aibă cel puțin un controler de domeniu. Pentru toleranța la erori, vă recomandăm să instalați cel puțin două controlere de domeniu pe domeniu.

În sistemul de operare Windows NT, un singur controler de domeniu accepta scrierea în baza de date, adică era necesară o conexiune la un controler de domeniu pentru a crea și modifica setările contului de utilizator.

Acest controler este numit controler de domeniu primar (controller de domeniu primar - PDC). Incepand cu sistem de operareÎn Windows 2000, arhitectura controlerelor de domeniu a fost schimbată pentru a permite actualizarea bazei de date Active Directory pe orice controler de domeniu. După actualizarea bazei de date pe un controler de domeniu, modificările au fost replicate tuturor celorlalte controlere de domeniu.

Deși toate controlerele de domeniu acceptă scrierea în baza de date, acestea nu sunt identice. În domeniile și pădurile Active Directory, există sarcini care sunt efectuate de controlori de domeniu specifici. Controlerele de domeniu cu responsabilități suplimentare sunt cunoscute ca maeștri de operațiuni. Unele materiale Microsoft se referă la aceste sisteme ca Operațiuni flexibile cu un singur master (FSMO). Mulți oameni cred că termenul FSMO a fost folosit atât de mult timp doar pentru că abrevierea sună foarte amuzant.

Există cinci roluri de maestru de operațiuni. În mod implicit, toate cele cinci roluri sunt atribuite primului controler de domeniu din Forest Active Director. Cele trei roluri de master operațiuni sunt utilizate la nivel de domeniu și sunt atribuite primului controler de domeniu din domeniul creat. Utilitarele Active Directory discutate în continuare vă permit să transferați roluri de master operațiuni de la un controler de domeniu la un alt controler de domeniu. În plus, puteți forța controlerul de domeniu să asume un anumit rol de maestru al operațiunii.

Există două roluri de maestru de operațiuni care operează la nivel de pădure.

  • Maestru de nume de domeniu- Acești maeștri de operațiuni trebuie contactați de fiecare dată când se fac modificări de denumire în ierarhia domeniului pădurii. Sarcina maestrului de numire a domeniilor este să se asigure că numele de domenii sunt unice în pădure. Acest rol de master operațiuni trebuie să fie disponibil la crearea de noi domenii, la ștergerea de domenii sau la redenumirea domeniilor
  • schema master ( master schema) - Rolul de master schema aparține singurului controler de domeniu din pădure în care se pot face modificări ale schemei. Odată ce modificările sunt făcute, acestea sunt replicate tuturor celorlalte controlere de domeniu din pădure. Ca exemplu al necesității de a face modificări la circuit, luați în considerare instalarea unui software produs Microsoft Exchange Server. Aceasta modifică schema pentru a permite unui administrator să gestioneze atât conturile de utilizator, cât și cutiile poștale în același timp.

Fiecare dintre rolurile la nivel de pădure poate aparține unui singur controler de domeniu din pădure. Adică, puteți utiliza un controler ca master de denumire a domeniului și un al doilea controler ca master schema. În plus, ambele roluri pot fi atribuite aceluiași controler de domeniu. Această distribuție a rolurilor este utilizată implicit.

Fiecare domeniu din pădure are un controler de domeniu care îndeplinește fiecare dintre rolurile la nivel de domeniu.

  • Master ID relativ (master RID)- Maestrul identificatorilor relativi este responsabil pentru atribuirea identificatorilor relativi. Identificatorii relativi sunt partea unică a unui identificator de securitate (ID de securitate - SID) care este utilizat pentru a identifica un obiect de securitate (utilizator, computer, grup etc.) în cadrul unui domeniu. Una dintre sarcinile principale ale unui master de identificare relativă este de a elimina un obiect dintr-un domeniu și de a adăuga un obiect la alt domeniu atunci când mută obiecte între domenii.
  • Maestru de infrastructură- Sarcina maestrului infrastructurii este de a sincroniza apartenența la grup. Când se fac modificări la apartenența la grup, maestrul infrastructurii comunică modificările tuturor celorlalți controlori de domeniu.
  • Emulator de controler de domeniu primar (Emulator PDC)- Acest rol este folosit pentru a emula un controler de domeniu primar Windows NT 4 pentru a suporta controlere de domeniu de rezervă Windows NT 4. O altă sarcină a emulatorului de control de domeniu primar este de a oferi un punct central de administrare pentru modificările parolei utilizatorului, precum și politicile de blocare a utilizatorilor.

Cuvântul „politici” este folosit destul de des în această secțiune pentru a se referi la obiectele de politică de grup (GPO). Obiectele de politică de grup sunt una dintre principalele caracteristici utile ale Active Directory și sunt discutate în articolul corespunzător, linkul către care este furnizat mai jos.

Top articole similare

Despre premiul mus-tv Votarea pentru nominalizații mus-tv
Despre premiul mus-tv Votarea pentru nominalizații mus-tv
Premiu
Premiul „Pentru contribuția la dezvoltarea industriei muzicale”
Cum funcționează virusul gripal: de ce ne îmbolnăvim?
Cum funcționează virusul gripal: de ce ne îmbolnăvim?
Categorii:
© 2022 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.