Kontrolluesit e domenit dhe rolet e tyre
Kontrolluesi i domenitështë një kompjuter server që menaxhon një domen dhe ruan një kopje të drejtorisë së domenit (baza e të dhënave lokale të domenit). Meqenëse një domen mund të ketë shumëfish kontrolluesit e domenit, të gjithë ruajnë një kopje të plotë të pjesës së drejtorisë që i përket domenit të tyre [6].
Karakteristikat janë renditur më poshtë kontrolluesit e domenit [ 4 ] .
- Çdo kontrolluesi i domenit dyqane kopje e plotë të gjitha informacionet Active Directory lidhur me domenin e tij, dhe gjithashtu menaxhon ndryshimet në këtë informacion dhe i përsërit ato te kontrollorët e tjerë në të njëjtin domen.
- Të gjithë kontrollorët në një domen replikojnë automatikisht të gjitha objektet në domen ndërmjet tyre. Çdo ndryshim i bërë në Active Directory bëhet në të vërtetë në njërën prej tyre kontrolluesit e domenit. Pastaj ky kontrolluesi i domenit përsërit ndryshimet tek kontrollorët e tjerë brenda domenit të tij. Duke vendosur frekuencën e përsëritjes dhe sasinë e të dhënave që Windows do të transferojë me çdo përsëritje, ju mund të kontrolloni trafiku i rrjetit ndërmjet kontrolluesit e domenit.
- Përditësime të rëndësishme, të tilla si çaktivizimi i një llogarie përdoruesi, kontrolluesit e domenit përsëriteni menjëherë.
- Active Directory përdor replikimin multimaster, në të cilin asnjë nga kontrolluesit e domenit nuk është gjëja kryesore. Të gjithë kontrollorët janë të barabartë dhe çdo kontrollues përmban një kopje të bazës së të dhënave të direktoriumit që mund të modifikohet. Për periudha të shkurtra kohore, informacioni në këto kopje mund të ndryshojë derisa të gjithë kontrollorët të jenë në sinkron me njëri-tjetrin.
- Pasja e shumë kontrollorëve në një domen siguron tolerancë ndaj gabimeve. Nëse një nga kontrolluesit e domenit nuk është në dispozicion, një tjetër do të bëjë gjithçka operacionet e nevojshme, për shembull, regjistrimi i ndryshimeve në Active Directory.
- Kontrolluesit e domenit menaxhoni ndërveprimet midis përdoruesve dhe domenit, siç është gjetja Objekte aktive Drejtori dhe njohi përpjekjet për hyrje në rrjet.
Ekzistojnë dy role kryesore të operacioneve që mund t'i caktohen një të vetme kontrolluesi i domenit në pyll (rolet që veprojnë brenda kufijve të pyllit) [3]:
- Skema Master. Së pari kontrolluesi i domenit në pyll, merr rolin e mjeshtrit të skemës dhe është përgjegjës për mirëmbajtjen dhe përhapjen e skemës në pjesën tjetër të pyllit. Ai mban një listë të të gjitha klasave dhe atributeve të mundshme të objekteve që përcaktojnë objektet që qëndrojnë në Active Directory. Nëse skema duhet të përditësohet ose ndryshohet, kërkohet një Master i skemës.
- Master i emërtimit të domenit(Domain Naming Master). Regjistron shtimin dhe heqjen e domeneve në pyll dhe është jetik për ruajtjen e integritetit të domenit. Masteri i emërtimit të domenit kërkohet kur domenet e reja shtohen në pyll. Nëse Domain Naming Master nuk është i disponueshëm, atëherë shtimi i domeneve të reja nuk është i mundur; megjithatë, ky rol mund t'i transferohet një kontrolluesi tjetër nëse është e nevojshme.
Ekzistojnë tre role kryesore të operacioneve që mund t'i caktohen njërit prej kontrolluesve në çdo domen (rolet në të gjithë domenin) [3].
- Master i identifikuesit relativ (RID). Përgjegjës për alokimin e gamës së identifikuesit relativ (RID) për të gjithë kontrollorët në domen. SID në Windows Server 2003 përbëhet nga dy pjesë. Pjesa e parë është e përbashkët për të gjitha objektet në domen; për të krijuar një SID unik, kësaj pjese i shtohet një RID unik. Së bashku ata identifikojnë në mënyrë unike një objekt dhe tregojnë se ku është krijuar.
- Emulatori kryesor i kontrolluesit të domenit(Emulatori Primar Domain Controller (PDC)). Përgjegjës për Emulimi i Windows NT 4.0 PDC për makineritë e klientëve që nuk janë përmirësuar ende në Windows 2000, Windows Server 2003 ose Windows XP dhe që nuk kanë të instaluar Klientin e Shërbimeve të Direktorisë. Një nga detyrat kryesore të emulatorit PDC është regjistrimi i klientëve të trashëguar. Përveç kësaj, emulatori PDC kontaktohet nëse vërtetimi i klientit dështon. Kjo lejon emulatorin PDC të kontrollojë fjalëkalimet e ndryshuara së fundmi për klientët e vjetër në domen përpara se të refuzojë kërkesën për hyrje.
- Master i Infrastrukturës(Mjeshtër i Infrastrukturës). Regjistron ndryshimet e bëra në objektet e kontrolluara në domen. Të gjitha ndryshimet raportohen fillimisht te Masteri i Infrastrukturës dhe vetëm atëherë ato përsëriten te kontrollorët e tjerë të domenit. Masteri i Infrastrukturës përpunon informacionin e grupit dhe anëtarësimit për të gjitha objektet në domen. Një detyrë tjetër e Masterit të Infrastrukturës është të komunikojë informacione rreth ndryshimeve të bëra në objekte në domene të tjera.
Oriz. 3.4.
Roli" Serveri i Katalogut Global" (GC - Global Catalog) mund të kryejë çdo individ kontrolluesi i domenit në një domen - një nga funksionet e serverit që mund të caktohet kontrolluesi i domenit[13]. Serverët e katalogut global kryejnë dy detyra të rëndësishme. Ato u mundësojnë përdoruesve të kyçen në rrjet dhe të gjejnë objekte në çdo pjesë të pyllit. Katalogu global përmban një nëngrup informacioni nga secila ndarje e domenit dhe kopjohet midis serverëve të katalogut global në domen. Kur një përdorues përpiqet të kyçet në një rrjet ose të hyjë në një burim rrjeti nga kudo në pyll, kërkesa zgjidhet përmes katalogut global. Një detyrë tjetër e drejtorisë globale që është e dobishme pavarësisht se sa domene keni në rrjetin tuaj është të marrësh pjesë në procesin e vërtetimit kur një përdorues hyn në rrjet. Kur një përdorues hyn në rrjet, emri i tij së pari kontrollohet kundrejt përmbajtjes së drejtorisë globale. Kjo ju lejon të identifikoheni në rrjet nga kompjuterë në domene të ndryshme nga ai ku ruhet emri i dëshiruar i përdoruesit. Llogaria.
Koncepti i faqeve të internetit
Koncepti i sajteve përdoret nga produktet e familjes Microsoft BackOffice për të minimizuar trafikun brenda rrjeti global dhe bazohet në faktin se baza e tij është një rrjet IP, për të cilin është e nevojshme të sigurohen kushtet më të mira të lidhjes, pavarësisht nga aplikacionet e përdorura.
Faqja e Windows Server 2003 është një grup kontrolluesit e domenit, të cilat janë të vendosura në një ose disa nënrrjeta IP dhe janë të lidhura me shpejtësi të lartë dhe të besueshme lidhjet e rrjetit. Faqet përdoren kryesisht për të menaxhuar trafikun e riprodhimit. Kontrolluesit e domenit brenda sajtit mund të përsërisë lirisht ndryshimet në bazën e të dhënave Active Directory sa herë që ndodhin ndryshime të tilla. Megjithatë kontrolluesit e domenit Faqe të ndryshme kompresojnë trafikun e riprodhimit dhe e transmetojnë atë në një orar specifik për të reduktuar trafikun e rrjetit.
Sajtet nuk janë pjesë e hapësirës së emrave të Active Directory. Kur një përdorues shfleton një hapësirë logjike të emrave, kompjuterët dhe përdoruesit grupohen në domene dhe OU pa lidhje faqesh.
- Kontrolluesit e domenit brenda kufijve të sitit.
- Lidhjet e sajtit të konfiguruara për të lidhur një sajt të caktuar me të tjerët. Komunikimi përbëhet nga dy pjesë: lidhje fizike ndërmjet sajteve (zakonisht një lidhje WAN) dhe një objekti të lidhjes së sajtit. Ky objekt krijohet në Active Directory dhe përcakton protokollin e trafikut të riprodhimit (IP ose SMTP). Objekti i komunikimit të faqes gjithashtu fillon përsëritjen e planifikuar.
Planifikimi i vendeve dhe vendosja e tyre varet nga topologjia fizike e rrjetit dhe është e nevojshme të merret parasysh nevoja e linjave të komunikimit për të zbatuar replikimin ndër-lokal sipas orarit të krijuar.
Një sajt Active Directory përbëhet nga një ose më shumë nënrrjeta IP, të cilat mund të përcaktohen dhe modifikohen nga administratori për të përfshirë nënrrjeta të reja.
Ndarja në sajte nuk varet nga struktura e domenit (logjike), domethënë:
- një sajt mund të ketë një domen (ose vetëm një pjesë të tij) ose disa domene;
- Një domen (ose edhe një njësi organizative) mund të ketë shumë site.
Krijimi i vendeve, struktura e të cilave pasqyron vendndodhjen fizike
Pylli në Shërbimet e Domainit të Active Directory është më i madhi niveli më i lartë hierarkia e strukturës logjike. Një pyll Active Directory përfaqëson një direktori të vetme. Pylli është një kufi sigurie. Kjo do të thotë që administratorët e pyllit kanë kontroll të plotë mbi aksesin në informacionin e ruajtur brenda pyllit dhe aksesin në kontrolluesit e domenit të përdorur për zbatimin e pyllit.
Organizatat zakonisht zbatojnë një pyll të vetëm, përveç nëse ka një nevojë specifike për pyje të shumtë. Për shembull, nëse doni të krijoni zona të veçanta administrative për pjesë të ndryshme të organizatës suaj, ju duhet të krijoni pyje të shumta për të përfaqësuar ato zona.
Kur zbatoni shumë pyje në një organizatë, çdo pyll si parazgjedhje funksionon veçmas nga pyjet e tjera, sikur të ishte i vetmi pyll në organizatë.
Shënim. Për të integruar shumë pyje, mund të krijoni marrëdhënie sigurie midis tyre, të quajtura marrëdhënie besimi të jashtme ose pyjore.
Operacionet në nivel pyjor
Active Directory Domain Services është një shërbim direktoriumi me shumë master. Kjo do të thotë që shumica e ndryshimeve në direktorium mund të bëhen në çdo shembull të shkruajtshëm të drejtorisë, domethënë në çdo kontrollues domeni të shkruajtshëm. Megjithatë, disa ndryshime janë ekskluzive. Kjo do të thotë se ato mund të bëhen vetëm në një kontrollues specifik domeni në pyll ose domen, në varësi të ndryshimit specifik. Kontrolluesit e domenit në të cilët mund të bëhen këto ndryshime ekskluzive thuhet se përmbajnë role kryesore të operacioneve. Ekzistojnë pesë role kryesore të operacioneve, dy prej të cilave janë role të nivelit të pyllit dhe tre të tjerat janë role të nivelit të domenit.
Dy role kryesore të operacioneve në të gjithë pyllin:
- Master i emërtimit të domenit. Detyra e masterit të emërtimit të domenit është të sigurojë që të ketë emra unikë në të gjithë pyllin. Siguron që të ketë vetëm një FQDN për çdo kompjuter në të gjithë pyllin.
- Pronari i skemës. Masteri i skemës monitoron skemën pyjore dhe ruan ndryshimet struktura bazë pyjet.
Për shkak se këto role janë role kritike të nivelit të pyllit, çdo pyll duhet të ketë vetëm një master skeme dhe master emërtimi të domenit.
Materiale shtesë:
Një skemë është një komponent i Shërbimeve të Domenit të Drejtorisë Active që përcakton të gjitha objektet dhe atributet që Shërbimet e Domainit të Drejtorisë Active përdor për të ruajtur të dhënat.
Active Directory Domain Services ruan dhe merr informacion nga shumë aplikacione dhe shërbime. Prandaj, për të mundësuar ruajtjen dhe riprodhimin e të dhënave nga këto burime të ndryshme, Active Directory Domain Services përcakton një standard për ruajtjen e të dhënave në drejtori. Pasja e një standardi të ruajtjes së të dhënave lejon Shërbimet e Domainit të Active Directory të marrin, përditësojnë dhe përsërisin të dhënat duke ruajtur integritetin e tyre.
Shërbimet e Domainit të Drejtorisë Active përdor objekte si njësi ruajtëse. Të gjitha objektet përcaktohen në një skemë. Sa herë që një drejtori përpunon të dhëna, direktoria kërkon skemën për përcaktimin e objektit përkatës. Bazuar në përkufizimin e një objekti në skemë, drejtoria krijon objektin dhe ruan të dhënat.
Përkufizimet e objekteve përcaktojnë llojet e të dhënave që objektet mund të ruajnë, si dhe sintaksën e të dhënave. Bazuar në këtë informacion, skema siguron që të gjitha objektet të përputhen me to përkufizimet standarde. Si rezultat, Active Directory Domain Services mund të ruajë, të marrë dhe të vërtetojë të dhënat që menaxhon, pavarësisht nga aplikacioni që është burimi origjinal i të dhënave. Drejtoria mund të ruajë vetëm të dhënat që ka përkufizimi ekzistues objekt në diagram. Nëse dëshironi të ruani një lloj të ri të dhënash, fillimisht duhet të krijoni një përkufizim të ri të objektit në skemë për ato të dhëna.
Një skemë në Shërbimet e Domainit Active Directory përcakton:
- objektet e përdorura për të ruajtur të dhënat në drejtori;
- rregullat që përcaktojnë se çfarë lloje objektesh mund të krijohen, cilat atribute duhet të specifikohen gjatë krijimit të një objekti dhe cilat atribute janë opsionale;
- strukturën dhe përmbajtjen e vetë drejtorisë.
Skema është një anëtar i vetëm master i Shërbimeve të Domainit të Active Directory. Kjo do të thotë që ndryshimet në skemë duhet të bëhen në kontrolluesin e domenit që mban rolin kryesor të operacioneve të skemës.
Skema përsëritet midis të gjithë kontrolluesve të domenit në pyll. Çdo ndryshim i bërë në skemë kopjohet në të gjithë kontrolluesit e domenit në pyll nga zotëruesi i rolit kryesor të operacioneve të skemës, i cili zakonisht është kontrolluesi i parë i domenit në pyll.
Për shkak se skema përcakton se si ruhet informacioni dhe çdo ndryshim i bërë në skemë prek të gjithë kontrolluesit e domenit, ndryshimet në skemë duhet të bëhen vetëm sipas nevojës (përmes një procesi të kontrolluar fort) pasi të jetë kryer testimi, në mënyrë që të mos ketë ndikim negativ. në pjesën tjetër të pyllit.
Megjithëse nuk mund të bëni asnjë ndryshim në skemë drejtpërdrejt, disa aplikacione bëjnë ndryshime në skemë për të mbështetur veçori shtesë. Për shembull, kur instaloni Microsoft Exchange Serveri 2010 në një program të konfigurimit të pyllit të Shërbimeve të Domainit Active Directory zgjeron skemën për të mbështetur lloje dhe atribute të reja objektesh.
Material shtesë:
1.3 Çfarë është një domen.
Një domen është një kufi administrativ. Të gjitha domenet kanë një llogari administratori që ka gjithçka kompetencat administrative për të gjitha objektet në domen. Megjithëse një administrator mund të delegojë administrimin e objekteve në një domen, llogaria e administratorit ruan kontrollin e plotë administrativ të të gjitha objekteve në domen.
Në fillim versionet e Windows Serveri besonte se domenet kishin për qëllim të siguronin ndarje të plotë administrative; në të vërtetë, një nga arsyet kryesore për zgjedhjen e një topologjie me shumë domene ishte sigurimi i një ndarjeje të tillë. Megjithatë, në Shërbimet e Domainit Active Directory, llogaria e administratorit në domenin rrënjë të pyllit ka kontroll të plotë administrativ të të gjitha objekteve në pyll, duke e bërë këtë ndarje administrative në nivel domeni të pavlefshme.
Një domen është një kufi replikues. Shërbimet e Domainit të Drejtorisë Active përbëhen nga tre elementë, ose seksione, - skema, seksioni i konfigurimit Dhe seksioni i domenit. Në mënyrë tipike, vetëm seksioni i domenit ndryshohet shpesh.
Seksioni i domenit përmban objekte që ka të ngjarë të duhet të përditësohen shpesh; Këto objekte janë përdoruesit, kompjuterët, grupet dhe departamentet. Prandaj, riprodhimi i shërbimeve të domenit të Active Directory përbëhet kryesisht nga përditësime të objekteve të përcaktuara në ndarjen e domenit. Vetëm kontrollorët e domenit në një domen të caktuar marrin përditësime të ndarjeve të domenit nga kontrollorët e tjerë të domenit. Ndarja e të dhënave i lejon organizatat të përsërisin të dhënat vetëm aty ku janë të nevojshme. Si rezultat, drejtoria mund të shkallëzohet globalisht mbi një rrjet që ka gjerësi bande të kufizuar.
Një domen është një kufi vërtetimi. Çdo llogari përdoruesi në një domen mund të verifikohet nga kontrollorët e atij domeni. Domenet në një pyll i besojnë njëri-tjetrit në mënyrë që një përdorues në një domen të mund të aksesojë burimet e vendosura në një domen tjetër.
Operacionet në nivel domeni
Ekzistojnë tre role kryesore të operacioneve në çdo fushë. Këto role, fillimisht të caktuara për kontrolluesin e parë të domenit në çdo domen, janë renditur më poshtë.
- Pronari i identifikuesit relativ (RID). Sa herë që krijohet një objekt në Shërbimet e Domainit aktiv Kontrolluesi i drejtorisë domeni ku krijohet ky objekt i cakton atij një unik një numër identifikimi, i quajtur një identifikues sigurie (SID). Për të parandaluar që dy kontrollues domeni të caktojnë të njëjtin SID në dy objekte të ndryshme, masteri RID shpërndan blloqe SID për çdo kontrollues domeni në domen.
- Emulatori kryesor i kontrolluesit të domenit. Ky rol është më i rëndësishmi, sepse humbja e përkohshme e tij bëhet e dukshme shumë më shpejt se humbja e çdo roli kryesor të operacioneve. Ai është përgjegjës për një numër funksionesh të nivelit të domenit, duke përfshirë:
- përditësoni statusin e bllokimit të llogarisë;
- krijimi dhe përsëritja e një GPO nga një master i vetëm;
- sinkronizimi i kohës për domenin.
- Pronari i infrastrukturës. Ky rol është përgjegjës për mbajtjen e referencave të objekteve ndërdomenale. Për shembull, kur një grup në një domen përfshin një anëtar nga një domen tjetër, masteri i infrastrukturës është përgjegjës për ruajtjen e integritetit të asaj lidhjeje.
Këto tre role duhet të jenë unike në çdo domen, kështu që çdo domen mund të ketë vetëm një master RID, një emulator të kontrolluesit primar të domenit (PDC) dhe një master të infrastrukturës.
Materiale shtesë:
Nëse Shërbimet e Domainit të Active Directory përmbajnë më shumë se një domen, duhet të përcaktoni marrëdhëniet midis domeneve. Nëse domenet ndajnë një rrënjë të përbashkët dhe një hapësirë emri të afërt, ato janë logjikisht pjesë e së njëjtës pemë të Drejtorisë aktive. Pema nuk shërben për asnjë qëllim administrativ. Me fjalë të tjera, nuk ka administrator pemësh, ashtu siç ka një administrator pylli ose domain. Një pemë ofron një grupim logjik hierarkik të domeneve që kanë marrëdhënie prind-fëmijë të përcaktuara nga emrat e tyre. Pema e Active Directory hartohet në hapësirën e emrave të Sistemit të Emrave të Domainit (DNS).
Pemët e Active Directory krijohen bazuar në marrëdhëniet midis domeneve pyjore. Nuk ekziston arsye serioze, për të cilat kërkohet ose nuk kërkohet krijimi i disa pemëve në pyll. Sidoqoftë, mbani në mend se një pemë e vetme me hapësirën e emrit të saj të afërt është më e lehtë për t'u menaxhuar dhe më e lehtë për përdoruesit për t'u vizualizuar.
Nëse ka shumë hapësira emrash të mbështetur, merrni parasysh përdorimin e shumë pemëve në të njëjtin pyll. Për shembull, nëse organizata juaj ka disa departamente të ndryshme prodhimi me identifikues të ndryshëm publik, ju mund të krijoni një pemë të ndryshme për çdo departament prodhimi. Mbani në mend se në këtë skenar nuk ka ndarje të administrimit sepse administratori i rrënjës së pyllit ka ende kontroll të plotë mbi të gjitha objektet në pyll, pavarësisht se në cilën pemë ndodhen.
1.5 Divizionet
Nënndarjaështë një objekt kontejner në një domen që mund të përdoret për të grupuar së bashku përdoruesit, grupet, kompjuterët dhe objektet e tjera. Ka dy arsye për krijimin e ndarjeve.
- Konfiguro objektet që përmbahen në njësinë organizative. Ju mund të caktoni GPO në një OU dhe të aplikoni cilësimet për të gjitha objektet në atë OU.
- Delegimi i menaxhimit administrativ të objekteve në departament. Ju mund t'i caktoni të drejtat e menaxhimit një OU, duke deleguar kështu kontrollin e OU një përdoruesi ose grupi jo-administrativ në Shërbimet e Domenit të Drejtorisë Active.
Shënim. Një njësi organizative është zona ose njësia më e vogël në të cilën mund të caktoni cilësimet e Politikës së Grupit ose të delegoni të drejta administrative.
Departamentet mund të përdoren për të përfaqësuar strukturat logjike hierarkike në një organizatë. Për shembull, mund të krijoni njësi biznesi që përfaqësojnë departamente në një organizatë, rajone gjeografike në një organizatë dhe njësi biznesi që janë një kombinim i departamenteve dhe rajoneve gjeografike. Më pas mund të menaxhoni konfigurimin dhe të përdorni llogaritë e përdoruesve, grupeve dhe kompjuterit bazuar në modelin e organizatës që keni krijuar.
Çdo domen i Shërbimeve të Domainit të Drejtorisë Aktive ka set standard kontejnerët dhe njësitë organizative që krijohen kur instaloni Shërbimet e Domainit të Active Directory. Këto kontejnerë dhe njësi janë renditur më poshtë.
- Një kontejner domeni që shërben si kontejneri rrënjë i një hierarkie.
- Kontejner i integruar që përmban llogaritë e paracaktuara të administratorit të shërbimit.
- Një kontejner përdoruesi që është vendndodhja e paracaktuar për llogaritë dhe grupet e reja të përdoruesve të krijuar në domen.
- Një kontejner kompjuteri që është vendndodhja e paracaktuar për llogaritë e reja kompjuterike të krijuara në domen.
- Kontrolluesit e domenit OU, i cili është vendndodhja e paracaktuar për llogaritë kompjuterike të kontrolluesve të domenit.
1.6 Marrëdhëniet e besimit
Një marrëdhënie besimi lejon që një objekt sigurie t'i besojë një objekti tjetër sigurie për qëllime vërtetimi. Në sistemin operativ Windows Server 2008 R2, objekti i sigurisë është domeni Windows.
Qëllimi kryesor i një marrëdhënie besimi është që të lehtësojë një përdorues në një domen që të ketë akses në një burim në një domen tjetër pa pasur nevojë të mbajë një llogari përdoruesi në të dy domenet.
Çdo marrëdhënie besimi përfshin dy palë - entitetin besues dhe entitetin e besuar. Një objekt i besuar është një objekt që zotëron një burim, dhe një objekt i besuar është një objekt me një llogari. Për shembull, nëse i huazoni një laptop dikujt, ju i besoni atij personi. Ju jeni objekti që zotëron burimin. Burimi është laptopi juaj; personi të cilit i është dhënë laptopi është një objekt i besuar me një llogari.
Llojet e marrëdhënieve të besimit
Marrëdhëniet e besimit mund të jenë të njëanshme ose të dyanshme.
Besimi i njëanshëm do të thotë që megjithëse një entitet i beson një tjetri, e kundërta nuk është e vërtetë. Për shembull, nëse i jepni hua Steve laptopin tuaj, kjo nuk do të thotë që Steve do t'ju huazojë domosdoshmërisht makinën e tij.
Në besimin e dyanshëm, të dy entitetet i besojnë njëri-tjetrit.
Marrëdhëniet e besimit mund të jenë kalimtare ose jokalimtare. Nëse në një besim kalimtar, objekti A i beson objektit B dhe objekti B i beson objektit C, atëherë objekti A gjithashtu i beson objektit B. Për shembull, nëse i jepni hua Steve laptopin tuaj dhe Steve i jep makinën e tij Marisë, ju mund t'i jepni Marisë celularin tuaj për përdorim të përkohshëm.
Windows Server 2008 R2 mbështet një sërë marrëdhëniesh besimi të dizajnuara për përdorim në situata të ndryshme.
Në një pyll, të gjitha domenet i besojnë njëri-tjetrit duke përdorur transitiv të brendshëm të dyanshëm marrëdhënie besimi. Kjo në thelb do të thotë që të gjitha domenet u besojnë të gjitha domeneve të tjera. Këto marrëdhënie besimi shtrihen nëpër pemët e pyllit. Përveç këtyre besimeve të krijuara automatikisht, ju mund të konfiguroni besime shtesë midis domeneve pyjore, midis këtij pylli dhe pyjeve të tjerë, dhe midis këtij pylli dhe entiteteve të tjera të sigurisë, si p.sh. sferat ose domenet e Kerberos. sistemi operativ Microsoft Windows NT® 4.0. Tabela e mëposhtme jep informacion shtesë.
| Lloji i besimit | Transitiviteti | Drejtimi | Përshkrim |
|---|---|---|---|
| E jashtme | Jokalimtare | Trustet e jashtme përdoren për të siguruar akses në burimet e vendosura në një domen të Windows NT Server 4.0 ose një domen që është në një pyll të veçantë që nuk është i bashkuar me një besim pylli. | |
| Besimi i rajonit | Kalimtare ose jokalimtare. | Njëanshëm ose i dyanshëm. | Trustet e fushës përdoren për të krijuar një marrëdhënie besimi midis një sfere Kerberos të menaxhuar nga një sistem operativ jo-Windows dhe një sistemi operativ Windows Server 2008 ose një domeni Windows Server 2008 R2. |
| Besimi në pyll | Kalimtare | Njëanshëm ose i dyanshëm. | Përdorni trustet pyjore për të ndarë burimet midis pyjeve. Nëse fondet e pyjeve janë të dyanshme, kërkesat për vërtetim të bëra në secilin pyll mund të arrijnë në pyllin tjetër. |
| Besimi i krijuar drejtpërdrejt | Kalimtare | Njëanshëm ose i dyanshëm. | Trustet e krijuara drejtpërdrejt përdoren për të reduktuar kohën e hyrjes së përdoruesit midis dy domeneve në një pyll Windows Server 2008 ose Windows Server 2008 R2. Kjo vlen kur dy domene ndahen nga dy pemë domenesh. |
2. Zbatimi i shërbimeve të domenit të Active Directory
Për të zbatuar shërbimet e domenit të Active Directory, duhet të vendosni kontrollues domenesh. Për të optimizuar shërbimet e domenit të Active Directory, është e rëndësishme të kuptoni se ku dhe si të krijoni kontrollues domeni për të optimizuar infrastrukturën e rrjetit tuaj.
2.1 Çfarë është një kontrollues domeni?
Një domen krijohet kur promovoni një kompjuter Serveri Windows Serveri 2008 R2 në kontrolluesin e domenit. Kontrolluesit e domenit përmbajnë shërbime të domenit të drejtorisë aktive.
Kontrolluesit e domenit ofrojnë ekzekutim funksionet e mëposhtme online.
- Ofron vërtetim. Kontrollorët e domenit përmbajnë një bazë të dhënash të llogarive të domenit dhe ofrojnë shërbime vërtetimi.
- Përmban rolet kryesore të operacioneve si mundësi shtesë. Këto role më parë quheshin role FSMO (Flexible Single Master Operations). Ekzistojnë pesë role kryesore të operacioneve - dy role në nivel pylli dhe tre role në nivel domeni. Këto role mund të migrohen sipas kërkesave.
- Përmban një katalog global si një veçori opsionale. Çdo kontrollues domeni mund të caktohet si server i katalogut global.
Shënim. Një katalog global është një bazë të dhënash e shpërndarë që përmban një paraqitje të kërkueshme të çdo objekti nga të gjitha domenet në një pyll me shumë domene. Megjithatë, katalogu global nuk përmban të gjitha atributet për çdo objekt. Në vend të kësaj, ai mbështet një nëngrup atributesh që ka më shumë gjasa të jenë të dobishme në kërkimet e domenit.
2.2 Çfarë është një kontrollues domeni vetëm për lexim?
Një kontrollues domeni vetëm për lexim është lloj i ri kontrolluesi i domenit në Windows Server 2008 R2. Duke përdorur një kontrollues domeni vetëm për lexim, organizatat mund të vendosin lehtësisht një kontrollues domeni në vende ku siguria fizike nuk mund të garantohet. Një RODC pret një kopje vetëm për lexim të bazës së të dhënave Active Directory Domain Services për një domen të caktuar. Një kontrollues domeni vetëm për lexim mund të funksionojë gjithashtu si një server i katalogut global.
Duke filluar me Windows Server 2008, një organizatë mund të vendosë një kontrollues domeni vetëm për lexim kur gjerësia e brezit WAN është e kufizuar ose e pamjaftueshme siguria fizike kompjuterët. Si rezultat, përdoruesit në këtë situatë mund të përfitojnë nga:
- siguria e rritur;
- më shumë hyrje të shpejtë në sistem;
- akses më efikas në burimet e rrjetit.
| Veçori e kontrolluesit të domenit vetëm për lexim | Shpjegim |
| Baza e të dhënave Active Directory vetëm për lexim | Me përjashtim të fjalëkalimeve të llogarisë, një kontrollues domeni vetëm për lexim përmban të gjitha objektet dhe atributet e Active Directory që janë të pranishme në një kontrollues domeni të shkruajtshëm. Sidoqoftë, nuk mund të bëni ndryshime në një kopje të ruajtur në një kontrollues domeni vetëm për lexim. Ndryshimet duhet të bëhen në një kontrollues domeni të shkrueshëm dhe të kopjohen në një kontrollues domeni vetëm për lexim. |
| Replikimi i njëdrejtuar | Për shkak se ndryshimet nuk shkruhen drejtpërdrejt në RODC, nuk bëhen ndryshime në RODC. Prandaj, kontrolluesit e domenit të shkruajtshëm që janë partnerë replikues nuk duhet të marrin ndryshime nga kontrolluesi vetëm për lexim. Kjo zvogëlon ngarkesën e punës së serverëve të urës në qendër dhe kërkon më pak përpjekje për të monitoruar përsëritjen. |
| Ruajtja e kredencialeve në memorie | Memoria e kredencialeve është ruajtja e kredencialeve të përdoruesit ose kompjuterit. Kredencialet përbëhen nga një grup i vogël fjalëkalimesh (rreth dhjetë) të lidhur me parimet e sigurisë. Si parazgjedhje, një kontrollues i domenit vetëm për lexim nuk ruan kredencialet e përdoruesit ose të kompjuterit. Përjashtimet janë llogaria e kompjuterit RODC dhe llogaria speciale e krbtgt (llogaria e qendrës së shërbimit të shpërndarjes së çelësit të Kerberos) që gjenden në çdo RODC. Memoria e fshehtë e çdo kredenciali tjetër duhet të aktivizohet në mënyrë eksplicite në kontrolluesin e domenit vetëm për lexim. |
| Ndarja e roleve të administratorit | Roli administratori lokal Një kontrollues domeni vetëm për lexim mund t'i delegohet çdo përdoruesi të domenit pa i dhënë atij përdoruesi ndonjë të drejtë për domenin ose kontrolluesit e tjerë të domenit. Në këtë rast përdorues lokal Zyra e degës do të jetë në gjendje të kyçet në RODC dhe të kryejë operacione mirëmbajtjeje në të, si p.sh. përditësimi i një drejtuesi. Megjithatë, përdoruesi i zyrës së degës nuk do të ketë të drejtë të kyçet në ndonjë kontrollues tjetër domeni ose të kryejë ndonjë detyrë tjetër administrative në domen. |
| Shërbimi i emrit të domenit vetëm për lexim | Shërbimi i serverit DNS mund të instalohet në një kontrollues domeni vetëm për lexim. RODC mund të kopjojë të gjitha ndarjet e direktorive të aplikacioneve që përdoren nga serveri DNS, duke përfshirë ndarjet ForestDNSZones dhe DomainDNSZones. Nëse serveri DNS është i instaluar në një kontrollues domeni vetëm për lexim, klientët mund t'i dërgojnë atij kërkesa për zgjidhjen e emrit ashtu si çdo server tjetër DNS. |
Roli i një kontrolluesi të domenit vetëm për lexim është përmbledhur më poshtë.
- Kontrolluesi i domenit që vepron si master i operacioneve të emulatorit PDC për domenin duhet të jetë duke ekzekutuar sistemin operativ. Sistemet Windows Server 2008. Kjo kërkohet për të krijuar një llogari të re krbtgt për një kontrollues domeni vetëm për lexim, si dhe për operacionet e vazhdueshme të atij kontrolluesi.
- RODC kërkon që kërkesat e vërtetimit të përcillen te serveri i katalogut global (nën Kontrolli i Windows Serveri 2008), i vendosur në sitin më të afërt me sitin me këtë kontrollues. Një politikë e riprodhimit të fjalëkalimit është vendosur në këtë kontrollues domeni për të përcaktuar nëse kredencialet replikohen në vendndodhjen e degës për një kërkesë të ridrejtuar nga RODC.
- Për të bërë të disponueshëm delegimin e kufizuar të Kerberos, duhet të caktoni nivelin funksional të domenit të Windows Server 2003. Delegimi i kufizuar përdoret për thirrjet e sigurisë që duhet të imitohen në kontekstin e telefonuesit.
- Për të siguruar që përsëritja e vlerës së lidhur është e disponueshme, duhet të vendosni nivelin funksional të pyllit të Windows Server 2003. Kjo ofron më shumë nivel të lartë përputhshmëria e replikimit.
- Ju duhet të ekzekutoni adprep /rodcprep një herë në pyll. Kjo do të përditësojë lejet në të gjitha ndarjet e direktorive të aplikacioneve DNS në pyll për të lehtësuar riprodhimin midis RODC-ve që janë gjithashtu serverë DNS.
- Një RODC nuk mund të përmbajë role kryesore të operacioneve dhe nuk mund të veprojë si një server urë riprodhues.
- Një kontrollues domeni vetëm për lexim mund të vendoset në Sistemi i serverit Bërthama për siguri të shtuar.
Faqja është paraqitje logjike zona gjeografike në rrjet. Sajti përfaqëson kufirin e rrjetit me shpejtësi të lartë për kompjuterët Active Directory Domain Services, domethënë kompjuterët që mund të komunikojnë me shpejtësi e lartë dhe vonesë e ulët, mund të kombinohen në një vend; Kontrollorët e domenit brenda një sajti përsërisin të dhënat e Shërbimeve të Domainit të Active Directory në një mënyrë të optimizuar për atë mjedis; Ky konfigurim i përsëritjes është kryesisht automatik.
Shënim. Faqet përdoren nga kompjuterët e klientëve për të gjetur shërbime të tilla si kontrollorët e domenit dhe serverët e katalogut global. Është e rëndësishme që çdo sajt që krijoni të përmbajë të paktën një kontrollues domeni dhe një server të katalogut global.
2.4 Replikimi i Shërbimeve të Domenit të Active Directory
- Replikimi i Shërbimeve të Domainit të Active Directory është transferimi i ndryshimeve të bëra në të dhënat e drejtorisë ndërmjet kontrolluesve të domenit në një pyll të Shërbimeve të Domainit të Active Directory. Modeli i riprodhimit të Shërbimeve të Domainit të Active Directory përcakton mekanizmat që lejojnë që përditësimet e direktoriumit të kalohen automatikisht midis kontrolluesve të domenit për të ofruar një zgjidhje të pandërprerë të riprodhimit për shërbimin e drejtorisë së shpërndarë të Shërbimeve të Domainit Active Directory.
- Ekzistojnë tre ndarje në Shërbimet e Domainit të Active Directory. Ndarja e domenit përmban të dhënat e ndryshuara më shpesh dhe për këtë arsye gjeneron një fluks të madh të të dhënave të riprodhimit të Shërbimeve të Domainit Active Directory.
Lidhjet e faqes së Active Directory
- Një lidhje faqesh përdoret për të trajtuar përsëritjen midis grupeve të sajteve. Mund të përdorni lidhjen e paracaktuar të sitit të ofruar në AD DS ose të krijoni lidhje shtesë të sajtit sipas nevojës. Mund të konfiguroni cilësimet për lidhjet e sajtit për të përcaktuar orarin dhe disponueshmërinë e shtegut të riprodhimit për ta bërë më të lehtë menaxhimin e replikimit.
- Kur dy sajte janë të lidhura nëpërmjet një lidhjeje siti, sistemi i riprodhimit krijon automatikisht lidhje ndërmjet kontrolluesve të domenit specifik në secilin sajt, të quajtur serverë urë.
2.5 Konfigurimi i DNS për Shërbimet e Domenit të Drejtorisë Active
Instalimi i DNS
AD DS kërkon DNS. Roli i serverit DNS nuk është i instaluar si parazgjedhje në Windows Server 2008 R2. Ashtu si funksionalitetet e tjera, kjo veçori shtohet në bazë të një roli kur serveri është konfiguruar për të kryer një rol specifik.
Ju mund të instaloni rolin e serverit DNS duke përdorur lidhjen Shto Rolin në Menaxherin e Serverit. Roli i serverit DNS mund të shtohet gjithashtu automatikisht duke përdorur magjistarin e instalimit të shërbimeve të domenit të Active Directory (dcpromo.exe). Faqja e cilësimeve të kontrolluesit të domenit në magjistar ju lejon të shtoni rolin e Serverit DNS.
Vendosja e zonave DNS
Pasi të instalohet serveri DNS, mund të filloni të shtoni zona në server. Nëse serveri DNS është një kontrollues domeni, mund të konfiguroni AD DS për të ruajtur informacionin e zonës. Pastaj do të krijohet një zonë e integruar Active Directory. Nëse ky opsion nuk zgjidhet, të dhënat e zonës do të ruhen në një skedar dhe jo në AD DS.
Përditësimet dinamike
Kur krijoni një zonë, do t'ju kërkohet gjithashtu nëse duhet të mbështesni përditësim dinamik. Përditësimi dinamik zvogëlon përpjekjet e menaxhimit të zonës sepse klientët mund të shtojnë, fshijnë dhe përditësojnë regjistrimet e veta burimet.
Përditësimi dinamik lejon mundësinë e ngatërrimit të një rekord burimi. Për shembull, disa kompjuterë mund të regjistrojnë një hyrje të quajtur "www" dhe të ridrejtojnë trafikun nga faqja juaj e internetit në adresën e gabuar.
Për të eliminuar mundësinë e falsifikimit, shërbimi Serverët DNS të Windows Serveri 2008 R2 mbështet përditësime të sigurta dinamike. Klienti duhet të vërtetohet përpara se të përditësojë të dhënat e burimeve, kështu që serveri DNS e di nëse klienti është një kompjuter që lejohet të përditësojë rekordin e burimit.
Transferimet e zonës DNS
Një ndërmarrje duhet të përpiqet të sigurojë që një zonë të mund të zbatohet nga të paktën dy serverë DNS.
Nëse zona është e integruar në Shërbimet e Domainit të Active Directory, është e mjaftueshme shtoni rolin e serverit DNS në një kontrollues tjetër domeni në të njëjtin domen, ku ndodhet serveri i parë DNS. Zonat e integruara të Active Directory dhe përsëritja Zonat DNS duke përdorur AD DS janë përshkruar në mësimin vijues.
Nëse zona nuk është e integruar AD DS, duhet të shtoni një server tjetër DNS dhe ta konfiguroni atë për të pritur zonën shtesë. Mbani në mend se zona dytësore është një kopje vetëm për lexim e zonës kryesore.
Postime nga SRV
Regjistrimi i burimeve të gjetësit të shërbimit (SRV) zgjidh kërkesën për shërbimi i rrjetit, duke i lejuar një klienti të gjejë një nyje që ofron një shërbim specifik.
- Kur një kontrollues domeni duhet të përsërisë ndryshimet nga partnerët.
- Kur kompjuter klient kërkon vërtetim me AD DS.
- Kur një përdorues ndryshon fjalëkalimin e tij.
- Kur Serveri i Microsoft Exchange kryen një kërkim direktorie.
- Kur një administrator hap Active Directory Users and Computers.
Regjistrimet SRV përdorin sintaksën e mëposhtme.
protocol.service.name lloji i klasës së jetës me peshë prioritare target_node
Një shembull i një regjistrimi SRV është paraqitur më poshtë.
Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
Një rekord përbëhet nga komponentët e mëposhtëm:
- Emri i shërbimit të protokollit, siç është shërbimi LDAP, i ofruar nga kontrolluesi i domenit.
- Jetëgjatësia në sekonda.
- Klasa (të gjitha hyrjet e serverit Windows DNS do të jenë "IN" ose "INternet").
- Lloji: SRV;
- Vlerat e përparësisë dhe peshës që ndihmojnë klientët të përcaktojnë nyjen e preferuar.
- Porta në të cilën ofrohet shërbimi nga serveri. Në një kontrollues të domenit të Windows për LDAP port standard - 389.
- Objekti i synuar, ose nyja e shërbimit, domethënë në këtë rastështë një kontrollues domeni i quajtur hqdc01.contoso.com.
Kur një proces klienti kërkon një kontrollues domeni, ai mund të kërkojë shërbimin LDAP nga DNS. Kërkesa kthen një rekord SRV dhe një rekord A për një ose më shumë serverë që ofrojnë shërbimin e kërkuar.
Në këtë shënim, ne do të shqyrtojmë në detaje procesin e zbatimit të kontrolluesit të parë të domenit në një ndërmarrje. Dhe gjithsej do të jenë tre prej tyre:
1) Kontrolluesi primar i domenit, OS - Windows Server 2012 R2 me GUI, emri i rrjetit: dc1.
Zgjidhni opsionin e paracaktuar dhe klikoni Next. Pastaj zgjidhni protokollin e paracaktuar IPv4 dhe klikoni përsëri Next.
Në ekranin tjetër do të vendosim ID-në e Rrjetit. Në rastin tonë, 192.168.0. Në fushën Reverse Lookup Zone Name do të shohim se si futet automatikisht adresa e zonës së kërkimit të kundërt. Kliko Next.
Në ekranin e Përditësimit Dinamik, zgjidhni një nga tre opsionet e mundshme përditësim dinamik.
Lejo vetëm përditësime të sigurta dinamike. Ky opsion është i disponueshëm vetëm nëse zona është e integruar në Active Directory.
Lejo përditësime dinamike të pasigurta dhe të sigurta. Ky ndërprerës lejon çdo klient të përditësojë të dhënat e tij të burimeve DNS kur ndodhin ndryshime.
Mos lejoni përditësimet dinamike. Ky opsion çaktivizon dinamikën Përditësimet e DNS. Duhet të përdoret vetëm nëse zona nuk është e integruar me Active Directory.
Zgjidhni opsionin e parë, klikoni Next dhe përfundoni konfigurimin duke klikuar Finish.
Nje tjeter opsion i dobishëm, i cili zakonisht konfigurohet në DNS, janë serverë përcjellës ose Përcjellës, qëllimi kryesor i të cilave është të ruajnë memorien dhe të ridrejtojnë pyetjet DNS nga një server lokal DNS në një server të jashtëm DNS në internet, për shembull, ai që ndodhet në ISP. Për shembull, ne duam kompjuterët lokalë në rrjetin tonë të domenit, në cilësimet e rrjetit të cilët kanë një server të regjistruar DNS (192.168.0.3) ishin në gjendje të hynin në internet, është e nevojshme që server lokal dns ishte konfiguruar për të zgjidhur kërkesat DNS nga serveri në rrjedhën e sipërme. Për të konfiguruar serverët e përcjelljes (Forwarders), shkoni te tastiera e menaxherit DNS. Më pas, në pronat e serverit, shkoni te skeda Forwarders dhe klikoni Edit atje.
Ne tregojmë të paktën një adresë IP. Mundësisht disa. Klikoni OK.
Tani le të konfigurojmë shërbimin DHCP. Le të hedhim në treg pajisjet.
Së pari, le të vendosim gamën e plotë të funksionimit të adresave nga të cilat adresat do të merren për t'u lëshuar klientëve. Zgjidhni Veprim\Qëllimi i ri. Magjistari i Shto Zonës do të hapet. Le të vendosim emrin e zonës.
Tjetra, ne tregojmë adresat fillestare dhe mbaruese të gamës së rrjetit.
Më pas, ne do të shtojmë adresat që duam të përjashtojmë nga lëshimi për klientët. Kliko Next.
Në ekranin Kohëzgjatja e Qirasë, ne do të tregojmë një kohë qiraje të ndryshme nga ajo e paracaktuar, nëse kërkohet. Kliko Next.
Pastaj ne biem dakord që duam t'i konfigurojmë këto opsione tani: Po, unë dua t'i konfiguroj këto opsione tani.
Ne do të tregojmë në mënyrë sekuenciale portën, emrin e domenit, Adresat DNS, ne kapërcejmë WINS dhe në fund pranojmë të aktivizojmë shtrirjen duke klikuar: Po, dua ta aktivizoj këtë fushë tani. Përfundo.
Për punë e sigurt Shërbimi DHCP, kërkon konfigurimin e një llogarie të veçantë për përditësimet dinamike Regjistrimet DNS. Kjo duhet të bëhet, nga njëra anë, për të parandaluar regjistrimin dinamik të klientëve në DNS duke përdorur një llogari administrative të domenit dhe abuzimin e mundshëm të tij, nga ana tjetër, në rast të një rezervimi të shërbimit DHCP dhe një dështimi të sistemit kryesor. serveri, do të jetë e mundur të transferoni kopjen rezervë të zonës në serverin e dytë, dhe kjo do të kërkojë llogarinë e serverit të parë. Për të përmbushur këto kushte, në skedarin "Përdoruesit dhe kompjuterët e Active Directory", krijoni një llogari të quajtur dhcp dhe caktoni një fjalëkalim të përhershëm duke zgjedhur opsionin: Fjalëkalimi nuk skadon kurrë.
Cakto tek përdoruesi fjalëkalim i fortë dhe shtoni DnsUpdateProxy në grup. Më pas do ta heqim përdoruesin nga grupi i Përdoruesve të Domainit, duke i caktuar fillimisht grupin “DnsUpdateProxy” te përdoruesi kryesor. Kjo llogari do të jetë e vetmja përgjegjëse për përditësimin dinamik të të dhënave dhe nuk do të ketë akses në asnjë burim tjetër ku të drejtat bazë të domenit janë të mjaftueshme.
Klikoni Apliko dhe më pas OK. Hapni përsëri konsolën DHCP. Shkoni te vetitë e protokollit IPv4 në skedën Advanced.
Klikoni Kredencialet dhe specifikoni përdoruesin tonë DHCP atje.
Klikoni OK dhe rinisni shërbimin.
Ne do t'i kthehemi konfigurimit të DHCP më vonë kur të konfigurojmë rezervimet e shërbimit DHCP, por për këtë duhet të paktën të instalojmë kontrolluesit e domenit.
Elementi kryesor i efektivit rrjeti i korporatësështë një kontrollues domeni Active Directory që menaxhon shumë shërbime dhe ofron shumë përfitime.
Ka dy mënyra për të ndërtuar një infrastrukturë IT - standarde dhe të rastësishme, kur bëhen përpjekje minimale të mjaftueshme për të zgjidhur problemet e shfaqura, pa ndërtuar një infrastrukturë të qartë dhe të besueshme. Për shembull, ndërtimi i një rrjeti peer-to-peer në të gjithë organizatën dhe hapja akses publik të gjithëve dosjet e nevojshme dhe dosjet, pa aftësinë për të kontrolluar veprimet e përdoruesit.
Natyrisht, kjo rrugë është e padëshirueshme, pasi në fund do t'ju duhet të çmontoni dhe organizoni siç duhet një grumbull sistemesh kaotike, përndryshe nuk do të jetë në gjendje të funksionojë - dhe biznesi juaj së bashku me të. Prandaj, sa më shpejt të pranoni të vetmen zgjidhje e saktë ndërtimi i një rrjeti korporativ me një kontrollues domeni është më i mirë për biznesin tuaj në planin afatgjatë. Dhe kjo është arsyeja pse.
“Një domen është njësia bazë e infrastrukturës së TI-së e bazuar në OS Familja e Windows, bashkimi logjik dhe fizik i serverëve, kompjuterëve, pajisjeve dhe llogarive të përdoruesve.”
Një kontrollues domeni (DC) është një server i veçantë që drejton Windows Server OS që ekzekuton shërbime Active Directory që prodhojnë punë e mundshme sasi e madhe Softuer që kërkon një CD për administrim. Shembuj të softuerëve të tillë janë emaili Serveri i shkëmbimit, paketa cloud Office 365 dhe të tjera mjedise softuerike niveli i korporatës nga Microsoft.
Përveç ofrimit funksionimin e duhur nga këto platforma, CD u jep bizneseve dhe organizatave avantazhet e mëposhtme:
- Vendosja e një serveri terminal. ju lejon të kurseni ndjeshëm burimet dhe përpjekjet duke zëvendësuar përditësim i vazhdueshëm PC zyre me një investim një herë në vendosje " klientët e hollë” për t'u lidhur me një server të fuqishëm cloud.
- Rritja e sigurisë. CD ju lejon të vendosni politikat e krijimit të fjalëkalimeve dhe t'i detyroni përdoruesit të përdorin fjalëkalime më komplekse se data e lindjes, qwerty ose 12345.
- Kontroll i centralizuar i të drejtave të aksesit. Në vend të përditësim manual fjalëkalimet në secilin kompjuter veç e veç, administratori i CD-së mund të ndryshojë në mënyrë qendrore të gjitha fjalëkalimet në një veprim nga një kompjuter.
- Menaxhimi i politikave të grupit të centralizuar. Veglat aktive Drejtori ju lejon të krijoni politika grupi dhe të vendosni të drejta aksesi në skedarë, dosje dhe të tjera burimet e rrjetit për grupe të caktuara përdoruesish. Kjo thjeshton shumë konfigurimin e llogarive të reja të përdoruesve ose ndryshimin e cilësimeve të profileve ekzistuese.
- Hyrja kalimtare. Active Directory mbështet hyrjen përmes kalimit, kur kur futni emrin e përdoruesit dhe fjalëkalimin për një domen, përdoruesi lidhet automatikisht me të gjitha shërbimet e tjera si posta dhe Office 365.
- Krijimi i shablloneve të konfigurimit të kompjuterit. Vendosja e secilit kompjuter të veçantë kur shtohet në rrjetin e korporatës, ai mund të automatizohet duke përdorur shabllone. Për shembull, duke përdorur rregulla të veçanta, disqet CD ose portat USB mund të çaktivizohen nga qendra, me siguri portet e rrjetit e kështu me radhë. Pra, në vend të cilësimet manuale i ri stacioni i punës, administratori thjesht e përfshin atë në një grup specifik dhe të gjitha rregullat për atë grup do të zbatohen automatikisht.
Siç mund ta shihni, vendosja e një kontrolluesi të domenit Active Directory sjell lehtësi dhe përfitime të shumta për bizneset dhe organizatat e të gjitha madhësive.
Kur të implementoni një kontrollues domeni Active Directory në një rrjet të korporatës?
Ne ju rekomandojmë që të konsideroni të vendosni një kontrollues domeni për kompaninë tuaj kur keni më shumë se 10 kompjuterë të lidhur në rrjet, pasi është shumë më e lehtë të vendosni politikat e nevojshme për 10 makina sesa për 50. Përveç kësaj, meqenëse ky server nuk kryejnë detyra veçanërisht me burime intensive, një kompjuter i fuqishëm desktop mund të jetë i përshtatshëm për këtë rol.
Megjithatë, është e rëndësishme të mbani mend se ky server do të ruajë fjalëkalimet për të hyrë në burimet e rrjetit dhe një bazë të dhënash të përdoruesve të domenit, një skemë të drejtash dhe politikat e grupit përdoruesit. Është e nevojshme të vendoset një server rezervë me kopjim të vazhdueshëm të të dhënave për të siguruar vazhdimësinë e funksionimit të kontrolluesit të domenit, dhe kjo mund të bëhet shumë më shpejt, më lehtë dhe më besueshmëri duke përdorur virtualizimi i serverit ofrohet kur pret një rrjet korporativ në re. Kjo shmang problemet e mëposhtme:
- Cilësimet e pasakta të serverit DNS, e cila çon në gabime në vendndodhjen e burimeve në rrjetin e korporatës dhe në internet
- Grupet e sigurisë të konfiguruara gabimisht duke çuar në gabime në të drejtat e aksesit të përdoruesit në burimet e rrjetit
- Versione të pasakta të OS. Secili Versioni aktiv Direktoria mbështet versione të caktuara desktop Windows OS për klientët e hollë
- Mungesa ose vendosje e gabuar kopjimi automatik të dhëna te kontrolluesi i domenit rezervë.
Siç thonë ata, "papritmas u shfaq nga askund... ....", asgjë nuk parashikoi telashe, por më pas kontrolluesi kryesor i domenit filloi të dështonte, dhe ndërsa po merrte ende frymë, vendosi të delegojë të drejtat e kryesore domain në një tjetër.
Për të transferuar rolin "mjeshtër i emërtimit të domenit", kryeni hapat e mëposhtëm:
Pasi të jenë transferuar të gjitha rolet, mbetet të merremi me opsionin e mbetur - kujdestarin e katalogut global. Shkojmë te Drejtoria: "Sajtet dhe Shërbimet", faqja e paracaktuar, serverët, gjejmë kontrolluesin e domenit që është bërë kryesori dhe në vetitë e tij të cilësimeve NTDS, kontrolloni kutinë pranë katalogut global. (Fig. 3)
Rezultati është se ne ndryshuam pronarët e roleve për domenin tonë. Për ata që duhet të heqin qafe më në fund kontrolluesin e vjetër të domenit, ne e reduktojmë atë në një server anëtar. Sidoqoftë, thjeshtësia e veprimeve të ndërmarra shpërblehet në faktin se zbatimi i tyre në një sërë situatash është i pamundur, ose përfundon në një gabim. Në këto raste, ntdsutil.exe do të na ndihmojë.
Transferimi vullnetar rolet e fsmo në konzolat ntdsutil.exe.
Në rast se transferimi i roleve të fsmo me konsolat AD dështoi, unë krijova një shumë mjet i përshtatshëm– ntdsutil.exe – mirëmbajtje Drejtoria. Ky mjet ju lejon të kryeni veprime ekstreme - deri në të gjithë bazën e të dhënave AD nga rezervimi që ai vetë krijoi gjatë ndryshimi i fundit në pas Krishtit. Ju mund të njiheni me të gjitha mundësitë e tij në njohuri (kodi i artikullit: 255504). Në këtë rast, ne po flasim për faktin se ntdsutil.exe ju lejon të transferoni role dhe t'i "zgjedhni" ato.
Nëse duam të transferojmë një rol nga një kontrollues ekzistues i domenit "primar" në një "backup", shkojmë te kontrolluesi "primar" dhe fillojmë transferimin e roleve (komandë transferimi).
Nëse për ndonjë arsye nuk kemi një kontrollues primar të domenit, ose nuk mund të identifikohemi me një llogari administrative, ne hyjmë në kontrolluesin e domenit rezervë dhe fillojmë të "zgjedhim" rolet (komandë kap).
Pra, rasti është që kontrolluesi primar i domenit ekziston dhe funksionon normalisht. Pastaj shkojmë te kontrolluesi kryesor i domenit dhe shtypim komandat e mëposhtme:
ntdsutil.exe
lidhuni me emrin e serverit (ai të cilit duam t'i japim rolin)
Nëse shfaqen gabime, duhet të komunikojmë me kontrolluesin e domenit me të cilin po përpiqemi të lidhemi. Nëse nuk ka gabime, atëherë ne jemi lidhur me sukses me kontrolluesin e specifikuar të domenit me të drejtat e përdoruesit në emër të të cilit po futim komandat.
Ekziston një listë e plotë duke kërkuar mirëmbajtjen e fsmo duke përdorur një shenjë standarde? . Ka ardhur koha për të transferuar role. Unë menjëherë, pa menduar, vendosa të transferoja rolet në rendin në të cilin ato tregohen në udhëzimet për ntdsutil dhe arrita në përfundimin se nuk mund ta transferoja rolin e pronarit të infrastrukturës. Në përgjigje të një kërkese për të transferuar një rol, më është kthyer një gabim: "pronari aktual i rolit fsmo nuk mund të kontaktohet". Kërkova informacion për një kohë të gjatë dhe zbulova se shumica e njerëzve që kanë arritur në fazën e transferimit të roleve ndeshen me këtë gabim. Disa prej tyre përpiqen ta heqin me forcë këtë rol (nuk funksionon), disa lënë gjithçka ashtu siç është - dhe jetojnë të lumtur pa këtë rol.
Nëpërmjet provës dhe gabimit, zbulova se kur transferoni rolet në këtë renditje, garantohet përfundimi i saktë i të gjitha hapave:
Pronari i identifikuesve;
Pronari i skemës;
Mjeshtër i emërtimit;
Pronari i infrastrukturës;
kontrolluesi i domenit;
Pas hyrjes së suksesshme në server, marrim një ftesë për të menaxhuar rolet (mirëmbajtjen e fsmo) dhe mund të fillojmë transferimin e roleve:
- transferoni masterin e emërtimit të domenit
Master i infrastrukturës së transferimit
Transferimi i mjeshtrit
Master i skemës së transferimit
Transferoni masterin pdc
Pas çdo ekzekutimi, duhet të shfaqet një kërkesë që pyet nëse vërtet duam të transferojmë rolin e specifikuar. në serverin e specifikuar. Rezultati i ekzekutimit të suksesshëm është paraqitur në (Fig. 4).
Roli i kujdestarit të katalogut global delegohet në mënyrën e përshkruar në seksionin e mëparshëm.
Caktimi i detyruar i roleve të fsmo me ntdsutil.exe.
Rasti i dytë është që ne duam t'i caktojmë rolin primar kontrolluesit tonë të domenit rezervë. Në këtë rast, asgjë nuk ndryshon - ndryshimi i vetëm është se ne i kryejmë të gjitha operacionet duke përdorur seize, por në serverin në të cilin duam të transferojmë role për caktimin e roleve.
kap emërtimin mjeshtër
kap mjeshtri i infrastrukturës
kap mjeshtër
kap mjeshtrin e skemës
Ju lutemi vini re se nëse i keni hequr një rol një kontrolluesi domeni që aktualisht mungon, atëherë kur të shfaqet, kontrollorët do të fillojnë të konfliktohen dhe nuk mund të shmangni problemet në funksionimin e domenit.
Punoni me gabimet.
Gjëja më e rëndësishme që nuk duhet harruar është se kontrolluesi i ri primar i domenit nuk do të rregullojë TCP/IP për vete: tani është e këshillueshme që ai të specifikojë 127.0.0.1 si adresën kryesore DNS (dhe nëse kontrolluesi i vjetër i domenit + DNS mungojnë, atëherë është e detyrueshme) ju atje Server DHCP, atëherë duhet ta detyroni atë të japë adresën primare ip DNS të serverit tuaj të ri; nëse nuk ka DHCP, kaloni nëpër të gjitha makinat dhe caktojeni këtë atyre DNS parësore me dorë. Si opsion, cakto të njëjtën ip në kontrolluesin e ri të domenit si ai i vjetër.Tani duhet të shohësh se si funksionon gjithçka dhe të heqësh qafe gabimet kryesore. Për ta bërë këtë, unë sugjeroj fshirjen e të gjitha ngjarjeve në të dy kontrollorët dhe ruajtjen e regjistrave në dosje me të tjerët kopje rezervë dhe rindizni të gjithë serverët. Pasi t'i aktivizoni, kontrolloni me kujdes të gjitha regjistrat e ngjarjeve për paralajmërime dhe gabime. Paralajmërimi më i zakonshëm në lidhje me transferimet e roleve të fsmo është mesazhi se "msdtc nuk mund të përpunojë saktë promovimin/uljen e një kontrolluesi domeni që ka ndodhur." Është e lehtë për tu rregulluar: nga origjinali
Nëse ka ende gabime në lidhje me DNS, thjesht hiqni të gjitha zonat prej tij dhe krijoni ato manualisht. Kjo është mjaft e thjeshtë - gjëja kryesore është të krijoni një zonë master sipas emrit të domenit, të ruajtur dhe të kopjuar në të gjithë kontrolluesit e domenit në rrjet.
Më shumë informacion rreth Gabime DNS jep një komandë tjetër:
dcdiag /test:dns
Në fund të punës së bërë, m'u deshën rreth 30 minuta të tjera për të zbuluar arsyen e shfaqjes së një numri paralajmërimesh - kuptova sinkronizimin e kohës, arkivimin e katalogut global dhe gjëra të tjera që nuk i kisha arritur kurrë. përpara. Tani gjithçka funksionon si një sharm - gjëja më e rëndësishme është të mbani mend të krijoni një kontrollues domeni rezervë nëse dëshironi të hiqni kontrolluesin e vjetër të domenit nga rrjeti.
