Установка контроллера домена – это важная часть для компьютерной сети, по сути, контролирующая ее работу. Его основная задача – запуск важной службы Active Directory. Он работает с центром распространения ключей – Kerberos.
Также предусматривает работу на Unix-совместимых системах. В них в качестве контроллера выступает комплект программного обеспечения Samba.
Контроллер домена служит для создания локальной сети, в которой могли бы авторизоваться пользователи под своим именем и со своими учетными данными. Они должны это делать на всех компьютерах. Также установка контроллера домена обеспечивает определение права доступа в сети и управления ее безопасностью. С его помощью можно централизованно управлять всей сетью, что очень важно.
Контроллеры домена также могут работать под Windows Server 2003. Так они обеспечивают хранение всех данных каталога, управлять работой пользователя и домена, контролировать вход пользователя в систему, проверять подлинность каталога и проч. Все их можно создать, используя установщик Active Directory. Также он может работать и в Windows NT. Здесь для того, чтобы он работал надежнее, создается дополнительный контроллер. Он будет связан с основным контроллером.
В сети Windows NT существовал один сервер. Он мог использоваться для работы основного доменного контроллера, или же PDC. Все остальные сервера работали как вспомогательные. Они, например, могли выполнять проверку всех пользователей, хранить и проверять пароли и другие важные операции. Но при этом они не могли добавлять новых пользователей на сервер, не могли также изменять пароли и подобное, то есть настройка контроллера домена являлась менее разнообразной. Эти операции могли быть сделаны только при помощи PDC. Произведенные на них изменения могли бы потом распространяться на все резервные домены. Если же основной сервер не был доступен, то резервный домен не мог быть повышен до уровня основного.
Впрочем, настроить контроллер домена, сеть и поднять уровень домена можно на любом компьютере и в домашних условиях. Этой премудрости легко обучиться самому. Все необходимые для этого инструменты находятся в Панели управления – Установка и удаление программ – Установка компонентов системы. Правда, работать с ними придется, установив предварительно в компьютер диск с ОС. Повысить же роль компьютера можно с помощью командной строки, введя в нее команду dcpromo.
Помимо этого, проверка контроллера домена вполне может выполняться при помощи специализированных утилит, которые работают фактически в автоматизированном режиме, то есть позволяют получить нужную информацию после запуска программы и наладить работу контроллеров после выполнения диагностики. К примеру, вы можете использовать утилиту Ntdsutil.exe, которая предоставляет возможность подключения к новоустановленному контроллеру домена для проверки возможности откликаться на запрос от LDAP. Равно при помощи данного программного обеспечения имеется возможность определить имеется ли в контроллере информация про расположение ролей FSMO в собственном домене.
Существуют еще некоторые простые способы, которые позволят вам диагностировать соответствующую работу контроллеров. В частности вы можете зайти в HKEY _LOCAL _MACHINE \SYSTEM \ CurrentControlSet \Services (раздел реестра) и там поискать подраздел NTDS , наличие которого свидетельствует о нормальном выполнении функций контроллера домена. Есть метод введения net accounts в командной строке и там, если компьютер является контроллером домена, вы увидите в строчке Computer role значение BACKUP или PRIMARY, другие значения имеются на простых компьютерах.
Будучи хорошо знакомым с малым бизнесом изнутри, меня всегда интересовали следующие вопросы. Объясните, почему сотрудник должен пользоваться на рабочем компьютере тем браузером, который нравится сисадмину? Или взять любое другое программное обеспечение, например, тот же архиватор, почтовый клиент, клиент мгновенных сообщений… Это я плавно намекаю на стандартизацию, причем не по признакам личной симпатии сисадмина, а по признакам достаточности функционала, стоимости обслуживания и поддержки этих программных продуктов. Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. Опять-таки, с этим в малом бизнесе тоже очень много проблем. Представьте, что компания в нелегкое кризисное время меняет нескольких таких администраторов, что в такой ситуации делать бедным пользователям? Постоянно переучиваться?
Давайте посмотрим с другой стороны. Любой руководитель должен понимать, что у него сейчас происходит в компании (в том числе и в ИТ). Это необходимо для отслеживания текущей ситуации, для оперативного реагирования на возникновение разного рода проблем. Но это понимание является более важным для стратегического планирования. Ведь, имея крепкий и надежный фундамент, мы можем строить дом на 3 этажа или на 5, делать крышу разной формы, делать балконы или зимний сад. Точно также и в ИТ, имеем надежную основу – можем в дальнейшем использовать более сложные продукты и технологии для решения бизнес-задач.
В первой статье и пойдет речь о таком фундаменте – службах Active Directory . Именно они призваны стать крепким фундаментом ИТ-инфраструктуры компании любого размера и любого направления деятельности. Что это такое? Вот давайте об этом и поговорим…
А разговор начнем с простых понятий – домена и служб Active Directory.
Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и многое другое. Совокупность таких доменов называется лесом.
Службы Active Directory (службы активного каталога ) представляют собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания служб Active Directory начинается построение ИТ-инфраструктуры предприятия.
База данных Active Directory хранится на выделенных серверах – контроллерах домена. Службы Active Directory являются ролью серверных операционных систем Microsoft Windows Server. Службы Active Directory имеют широкие возможности масштабирования. В лесу Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.
Кроме того, службы Active Directory позволяют настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам другой компании – работа с общими документами и приложениями в рамках совместного проекта. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам одной организации авторизоваться в домене другой.
Для обеспечения отказоустойчивости служб Active Directory необходимо развернуть два или более контроллера домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена работоспособность сети не нарушается, ведь оставшиеся продолжают работать. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать остальные. О роли и значимости DNS серверов в ИТ-инфраструктуре мы еще поговорим в одной из статей цикла.
Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.
1. Единая точка аутентификации
В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).
2. Единая точка управления политиками
В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
3. Повышенный уровень информационной безопасности
Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
4. Интеграция с корпоративными приложениями и оборудованием
Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
5. Единое хранилище конфигурации приложений
Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).
UPD: Создал видеоканал на youtube куда постепенно выкладываю обучающие видео по всем областям ИТ, в которых хорошо разбираюсь, подписывайтесь: http://www.youtube.com/user/itsemaev
UPD2: Микрософт традиционно меняет привычный синаксис в командной строке, поэтому роли в кажлый версии Windows Server могут звучать по-разному. Они вообще теперь не fsmo называются а operation masters. Так вот, для корректных команд в консоли после fsmo maintenance напишите просто? и он вам покажет доступные команды.
У меня в апрельский журнал "Системный администратор" взяли статью на тему "Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server"
И даже сто долларов заплатили и дали пакет с мозгами)) Я теперь Онотоле.
Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server.
(кому вдруг надо - картинки пришлю)
Если ваш контроллер домена вышел из строя или полностью устарел и требует замены - не спешите планировать провести ближайшие выходные за созданием нового домена на новом сервере и кропотливым переносом в него пользовательских машин. Грамотное управление резервным контроллером домена поможет быстро и безболезненно заменить предыдущий сервер.
Практически каждый администратор, работающий с серверами на базе Windows, рано или поздно сталкивается с необходимостью замены полностью устаревшего основного контроллера домена, дальнейший апгрейд которого больше не имеет смысла, на новый и более соответствующий современным требованиям. Бывают ситуации и хуже - контроллер домена просто-напросто приходит в негодность из-за поломок на физическом уровне, а резервные копии и образы устарели, или потерялись
В принципе, описание процедуры замены одного контроллера домена на другой можно найти на разных форумах, но информация даётся отрывками и, как правило, применима только к конкретной ситуации, однако фактического решения не даёт. Кроме того, даже вдоволь начитавшись форумов , баз знаний и прочих ресурсов на английском языке - я смог грамотно провести процедуру замены контроллера домена без ошибок только с третьего или четвёртого раза.
Таким образом, я хочу привести поэтапную инструкцию замены контроллера домена вне зависимости от того работоспособен он или нет. Единственная разница заключается в том, что при «упавшем» контроллере эта статья поможет только если вы заранее позаботились и развернули резервный контроллер домена.
Подготовка серверов к повышению/понижению роли
Сама процедура создания резервного контроллера домена элементарна - мы просто запускаем на любом сервере сети мастер dcpromo. При помощи мастера dcpromo создаём контроллер домена в существующем домене. В результате проделанных манипуляций мы получаем развернутую службу каталогов AD на нашем дополнительном сервере (я буду называть его pserver, а основной контроллер - dcserver).
Дальше, если dcpromo сам не предложил - запускаем установку DNS сервера. Никаких настроек изменять не надо, зону создавать также не надо - она хранится в AD, и все записи автоматически реплицируются на резервный контроллер. Внимание - основная зона в DNS появится только после репликации, для ускорения которой сервер можно перезагрузить. В настройках TCP/IP сетевой карты резервного контроллера домена адресом первичного DNS сервера должен быть указан ip-адрес основного контроллер домена.
Теперь можно легко проверить работоспособность резервного контроллера домена pserver. Мы можем создать пользователя домена как на основном так и на резервном контроллере домена. Сразу после создания он появляется на дублирующем сервере, но где-то в течении минуты (пока происходит репликация) - он показан как отключенный, после чего начинает отображаться одинаково на обоих контроллерах.
На первый взгляд все действия по созданию исправной схемы взаимодействия нескольких контроллеров домена выполнены, и теперь, в случае выхода из строя «основного» контроллера домена, «резервные» контроллеры будут автоматически выполнять его функции. Однако, хотя разница между «основным» и «резервным» контроллерами домена чисто номинальная, «основной» контроллер домена имеет ряд особенностей (роли FSMO), о которых не стоит забывать. Таким образом, вышеприведенных операций для нормального функционирования службы каталогов при отказе «основного» контроллера домена не достаточно, и действия, которые надо произвести для грамотной передачи/захвата роли основного контроллера домена будут описаны ниже.
Немного теории
Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):
- Schema Master (Хозяин схемы) - роль отвечает за возможность изменения схемы - например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен - схему существующего домена вы изменить не сможете;
- Domain Naming Master (Хозяин операции именования доменов) - роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
- Relative ID Master (Хозяин относительных идентификаторов) - отвечает за создание уникального ID для каждого объекта AD;
- Primary Domain Controller Emulator (Эмулятор основного контроллера домена) - именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
- Infrastructure Master (Хозяин Инфраструктуры) - роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.
Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают - это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно - роль глобального каталога могут иметь все контроллеры домена одновременно.
Фактически можно сделать вывод - если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены - то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.
Определение текущих владельцев ролей fsmo.
Уточняю - мы грамотно хотим заменить контроллер домена, не потеряв никаких его возможностей. В том случае, если в домене два или более контроллеров, нам необходимо выяснить кто является обладателем каждой из ролей fsmo. Это достаточно просто сделать, использовав следующие команды:
dsquery server -hasfsmo schema
dsquery server - hasfsmo name
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infr
dsquery server -forest -isgc
Каждая из команд выводит нам информацию о том, кто является владельцем запрашиваемой роли (рис.1). В нашем случае владелец всех ролей - основной контроллер домена dcserver.
Добровольная передача ролей fsmo при помощи консолей Active Directory.
Вся информация, необходимая для передачи роли основного контроллера домена у нас есть. Приступаем: для начала нужно убедиться в том, что наша учётная запись входит в группы «Администраторы домена», «Администраторы схемы» и «Администраторы предприятия», а затем приступить к традиционному методу передачи ролей fsmo - управлением доменом через консоли Active Directory.
Для передачи роли “хозяина именования домена” выполняем следующие шаги:
- открываем «Active Directory Домены и Доверие» на том контроллере домена, с которого мы хотим передать роль. Если мы работаем с AD на том контроллере домена, которому мы хотим передать роль, то следующий пункт пропускаем;
- щёлкаем правой кнопкой мыши на значке Active Directory — домены и доверие и выбираем команду Подключение к контроллеру домена. Выбираем тот контроллер домена, которому хотим передать роль;
- щелкаем правой кнопкой мыши компонент Active Directory — домены и доверие и выбираем команду Хозяева операций;
- в диалоговом окне Изменение хозяина операций нажимаем кнопку Изменить (рис. 2).
- после утвердительного ответа на всплывающий запрос получаем успешно переданную роль.
Аналогичным образом, при помощи консоли «Active Directory — пользователи и компьютеры» можно передать роли «хозяин RID», «основной контроллер домена» и «хозяин инфраструктуры».
Для передачи роли «хозяина схемы» необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory:
После того как все роли переданы остаётся разобраться с оставшейся опцией - хранителем глобального каталога. Заходим в Active Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)
Итог - мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена - понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.
Добровольная передача ролей fsmo при помощи консолей ntdsutil.exe.
На случай, если передача ролей fsmo при помощи консолей AD не удалась, Microsoft создал очень удобную утилиту - ntdsutil.exe - программа обслуживания каталога Active Directory. Этот инструмент позволяет выполнять чрезвычайно полезные действия - вплоть до восстановления всей базы данных AD из резервной копии, которую эта утилита сама создала во время последнего изменения в AD. Со всеми её возможностями можно ознакомиться в базе знаний Microsoft (Код статьи: 255504). В данном случае мы говорим о том, что утилита ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.
Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» - мы заходим в систему на «основной» контроллер и начинаем передавать роли (команда transfer).
Если у нас по каким-то причинам отсутствует основной контролер домена, или мы не можем войти под административной учетной записью - мы входим в систему на резервный контроллер домена и начинаем «отбирать» роли (команда seize).
Итак первый случай - основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:
ntdsutil.exe
roles
connections
connect to server имя_сервера (того кому хотим отдать роль)
q
Если выскакивают ошибки - нужно проверить связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет - значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.
Полный список команд доступен после запроса fsmo maintenance стандартным знаком? . Пришла пора передавать роли. Я сходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне, в ответ на запрос о передаче роли, возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в сети и обнаружил, что большинство людей дошедших до этапа передачи ролей сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть - и благополучно живёт без этой роли.
Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:
- хозяин идентификаторов;
- хозяин схемы;
- хозяин именования;
- хозяин инфраструктуры;
- контроллер домена;
После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли:
- transfer domain naming master
- transfer infrastructure master
- transfer rid master
- transfer schema master
- transfer pdc master
После выполнения каждой команды должен выходить запрос о том - действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения команды показан на рис.4.
Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.
Принудительное присваивание ролей fsmo при помощи ntdsutil.exe.
Второй случай - мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется - единственная разница в том, что мы проводим все операции, с использованием команды seize, но уже на том сервере, которому хотим передать роли для присвоения роли.
seize domain naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc
Обратите внимание - если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в сети контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.
Работа над ошибками.
Самое главное, о чём не следует забывать - новый основной контроллер домена сам себе настройки TCP/IP не исправит: ему адресом первичного DNS сервера теперь желательно (а если старый контроллер домена + DNS сервер будут отсутствовать, то обязательно) указать 127.0.0.1 .
При этом если у вас в сети есть DHCP сервер, то нужно заставить его выдавать адресом первичного DNS сервера ip вашего нового сервера, если DHCP нет - пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, можно назначить новому контроллеру домена тот же ip что был у старого.
Теперь необходимо проверить как всё работает и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все сервера.
После их включения внимательно анализируем все журналы событий на факт появления предупреждений и ошибок.
Самым распространённым предупреждением, после передачи ролей fsmo, является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».
Исправляется просто: в меню «Администрирование» находим «Службы
компонентов». Там раскрываем «Службы компонентов», «Компьютеры», открываем свойства раздела "Мой компьютер", ищем там "MS DTC" и жмем там "Настройки безопасности". Там разрешаем "Доступ к сети DTC" и давим ОК. Служба будет перезапущена и предупреждение исчезнет.
Примером ошибки может служить сообщение о том, что основная DNS зона не может быть загружена, либо DNS сервер не видит контроллер домена.
Разобраться в проблемах функционирования домена можно при помощи утилиты (рис. 5):
Установить эту утилиту можно с оригинального диска Windows 2003 из папки /support/tools. Утилита позволяет проверить работоспособность всех служб контроллера домена, каждый её этап должен оканчиваться словами successfully passed. Если у вас выходит failed (чаще всего это тесты connection или systemlog) то ошибку можно попробовать вылечить в автоматическом режиме:
dcdiag /v /fix
Как правило, все ошибки, связанные с DNS должны пропасть. Если нет - пользуемся утилитой проверки состояния всех сетевых служб:
И её полезным инструментом устранения ошибок:
netdiag /v /fix
Если и после этого остаются ошибки связанные с DNS - проще всего удалить из него все зоны и создать вручную. Это довольно просто - главное создать основную зону по имени домена, хранящуюся в Active Directory и реплицируемую на все контроллеры домена в сети.
Более подробную информацию об ошибках DNS даст ещё одна команда:
dcdiag /test:dns
По окончанию проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений - я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы - самое главное не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.
Лес в доменных службах Active Directory - самый верхний уровень иерархии логической структуры. Лес Active Directory представляет один отдельный каталог. Лес является границей безопасности. Это означает, что администраторы леса полностью управляют доступом к информации, хранящейся в пределах леса, и доступом к контроллерам домена, используемым для реализации леса.
В организациях, как правило, реализуется один лес, за исключением случаев, когда имеется конкретная потребность в нескольких лесах. Например, если для разных частей организации требуется создать отдельные административные области, для представления этих областей необходимо создать несколько лесов.
При реализации нескольких лесов в организации каждый лес по умолчанию работает отдельно от других лесов, как если бы он был единственным лесом в организации.
Примечание. Для интеграции нескольких лесов можно создать между ними отношения безопасности, которые называются внешними или доверительными отношениями лесов.
Операции на уровне леса
Доменные службы Active Directory - это служба каталогов с несколькими хозяевами. Это означает, что большинство изменений в каталог можно вносить на любом доступном для записи экземпляре каталога, т. е. на любом доступном для записи контроллере домена. Однако некоторые изменения являются монопольными. Это означает, что их можно вносить только на одном определенном контроллере домена в лесу или домене в зависимости от конкретного изменения. Говорят, что контроллеры домена, на которых можно вносить эти монопольные изменения, содержат роли хозяина операций. Существует пять ролей хозяина операций, две из которых являются ролями уровня леса, а остальные три - ролями уровня домена.
Две роли хозяина операций, назначаемые для всего леса:
- Хозяин именования доменов. Задача хозяина именования доменов - обеспечить наличие уникальных имен во всем лесу. Он гарантирует, что во всем лесу имеется только одно полное доменное имя каждого компьютера.
- Хозяин схемы. Хозяин схемы отслеживает схему леса и поддерживает изменения базовой структуры леса.
Поскольку эти роли являются ключевыми критическими ролями уровня леса, в каждом лесу должен быть только один хозяин схемы и хозяин именования доменов.
Дополнительные материалы:
Схема - это компонент доменных служб Active Directory, который определяет все объекты и атрибуты, используемые доменными службами Active Directory для хранения данных.
Доменные службы Active Directory хранят и получают сведения от множества приложений и служб. Поэтому для обеспечения возможности хранения и репликации данных от этих разных источников, доменные службы Active Directory определяют стандарт хранения данных в каталоге. Наличие стандарта хранения данных позволяет доменным службам Active Directory получать, обновлять и реплицировать данные с сохранением их целостности.
В качестве единиц хранения в доменных службах Active Directory используются объекты. Все объекты определяются в схеме. При каждой обработке данных каталогом каталог запрашивает схему в отношении соответствующего определения объекта. На основе определения объекта в схеме каталог создает объект и сохраняет данные.
От определений объектов зависят типы данных, которые объекты могут хранить, а также синтаксис данных. На основе этой информации схема обеспечивает соответствие всех объектов их стандартным определениям. В результате доменные службы Active Directory могут хранить, получать и проверять данные, которыми они управляют, независимо от приложения, являющегося исходным источником данных. В каталоге могут храниться только данные, имеющие существующее определение объекта в схеме. Если требуется сохранить данные нового типа, сначала необходимо создать в схеме новое определение объекта для этих данных.
Схема в доменных службах Active Directory определяет:
- объекты, используемые для хранения данных в каталоге;
- правила, определяющие, какие типы объектов можно создавать, какие атрибуты необходимо определить при создании объекта, и какие атрибуты являются необязательными;
- структуру и содержимое самого каталога.
Схема является элементом доменных служб Active Directory с единственным хозяином. Это означает, что вносить изменения в схему необходимо на контроллере домена, который содержит роль хозяина операций схемы.
Схема реплицируется среди всех контроллеров домена в лесу. Любое изменение, внесенное в схему, реплицируется на все контроллеры домена в лесу от владельца роли хозяина операций схемы, которым обычно является первый контроллер домена в лесу.
Поскольку схема определяет хранение информации и любые изменения, внесенные в схему, влияют на все контроллеры домена, изменения в схему следует вносить только при необходимости (посредством жестко контролируемого процесса) после выполнения тестирования, чтобы не было неблагоприятного воздействия на остальную часть леса.
Хотя в схему нельзя вносить никаких изменений непосредственно, некоторые приложения вносят изменения в схему для поддержки дополнительных возможностей. Например, при установке Microsoft Exchange Server 2010 в лес доменных служб Active Directory программа установки расширяет схему для поддержки новых типов объектов и атрибутов.
Дополнительные материал:
1.3 Что такое домен.
Домен - это административная граница. Во всех доменах есть учетная запись администратора, которая имеет все административные полномочия для всех объектов в домене. Хотя администратор может делегировать администрирование объектов в домене, его учетная запись сохраняет полное административное управление всеми объектами в домене.
В ранних версиях Windows Server считалось, что домены предназначены для обеспечения полного административного разделения; действительно, одной из основных причин выбора топологии с несколькими доменами было обеспечение такого разделения. Однако в доменных службах Active Directory учетная запись администратора в корневом домене леса имеет полное административное управление всеми объектами леса, в результате чего такое административное разделение на уровне доменов становится недействительным.
Домен - это граница репликации. Доменные службы Active Directory состоят из трех элементов, или разделов, - схемы , раздела конфигурации и раздела домена . Как правило, часто изменяется только раздел домена.
Раздел домена содержит объекты, которые, вероятно, должны часто обновляться ; такими объектами являются пользователи, компьютеры, группы и подразделения. Поэтому репликация доменных служб Active Directory состоит в основном из обновлений объектов, определенных в разделе домена. Только контроллеры домена в конкретном домене получают обновления раздела домена от других контроллеров домена. Разделение данных позволяет организациям реплицировать данные только туда, где они требуются. В результате каталог может глобально масштабироваться по сети, имеющей ограниченную пропускную способность.
Домен - это граница проверки подлинности. Подлинность каждой учетной записи пользователя в домене может проверяться контроллерами этого домена. Домены леса доверяют друг другу, благодаря чему пользователь из одного домена может получать доступ к ресурсам, расположенным в другом домене.
Операции на уровне домена
В каждом домене существует три роли хозяина операций. Эти роли, первоначально назначаемые первому контроллеру домена в каждом домене, перечислены ниже.
- Хозяин относительного идентификатора (RID). При каждом создании объекта в доменных службах Active Directory контроллер домена, где создается этот объект, назначает ему уникальный идентификационный номер, называемый идентификатором безопасности (SID). Чтобы два контроллера домена не могли назначить один и тот же SID двум разным объектам, хозяин RID выделяет блоки идентификаторов безопасности каждому контроллеру домена в домене.
- Эмулятор основного контроллера домена. Эта роль является самой важной, так как ее временная потеря становится заметной намного быстрее, чем потеря любой другой роли хозяина операций. Она отвечает за ряд функций уровня домена, включая:
- обновление состояния блокировки учетной записи;
- создание и репликацию объекта групповой политики единственным хозяином;
- синхронизацию времени для домена.
- Хозяин инфраструктуры. Эта роль отвечает за поддержание междоменных ссылок на объекты. Например, когда в группу одного домена входит член из другого домена, хозяин инфраструктуры отвечает за поддержание целостности этой ссылки.
Эти три роли должны быть уникальными в каждом домене, поэтому в каждом домене может быть только один хозяин RID, один эмулятор основного контроллера домена (PDC) и один хозяин инфраструктуры.
Дополнительные материалы:
Если доменные службы Active Directory содержат более одного домена, необходимо определить отношения между доменами. Если домены совместно используют общий корень и непрерывное пространство имен, они логически являются частью одного дерева Active Directory. Дерево не служит никакой административной цели. Другими словами, не существует администратора дерева, так как существует администратор леса или домена. Дерево обеспечивает логическое иерархическое группирование доменов, которые имеют родительско-дочерние отношения, определенные с помощью их имен. Дерево Active Directory сопоставляется с пространством имен службы доменных имен (DNS).
Деревья Active Directory создаются на основе отношений между доменами леса. Не существует серьезных причин, по которым требуется или не требуется создавать несколько деревьев в лесу. Однако следует иметь в виду, что одним деревом с его непрерывным пространством имен легче управлять и пользователям легче его визуализировать.
Если имеется несколько поддерживаемых пространств имен, рассмотрите вопрос использования нескольких деревьев в одном лесу. Например, если в организации существует несколько разных производственных отделов с разными публичными идентификаторами, можно создать свое дерево для каждого производственного отдела. Следует иметь в виду, что в таком сценарии нет разделения администрирования, поскольку корневой администратор леса по-прежнему полностью управляет всеми объектами леса независимо от того, в каком дереве они находятся.
1.5 Подразделения
Подразделение - это объект-контейнер в домене, который можно использовать для объединения пользователей, групп, компьютеров и других объектов. Есть две причины для создания подразделений.
- Настройка объектов, содержащихся в подразделении. Можно назначить объекты групповой политики подразделению и применить параметры ко всем объектам в этом подразделении.
- Делегирование административного управления объектами в подразделении. Можно назначить права управления подразделением, делегировав таким образом управление подразделением не являющемуся администратором пользователю или группе в доменных службах Active Directory.
Примечание. Подразделение - самая маленькая область или единица, которой можно назначить параметры групповой политики или делегировать права администратора.
Подразделения можно использовать для представления иерархических логических структур в организации. Например, можно создать подразделения, представляющие отделы в организации, географические регионы в организации, а также подразделения, являющиеся сочетанием отделов и географических регионов. После этого можно управлять конфигурацией и использовать учетные записи пользователей, групп и компьютеров на основе созданной модели организации.
В каждом домене доменных служб Active Directory имеется стандартный набор контейнеров и подразделений, которые создаются при установке доменных служб Active Directory. Эти контейнеры и подразделения перечислены ниже.
- Контейнер домена, служащий в качестве корневого контейнера иерархии.
- Встроенный контейнер, содержащий учетные записи администратора служб по умолчанию.
- Контейнер пользователей, являющийся расположением по умолчанию для новых учетных записей пользователей и групп, создаваемых в домене.
- Контейнер компьютеров, являющийся расположением по умолчанию для новых учетных записей компьютеров, создаваемых в домене.
- Подразделение контроллеров домена, являющееся расположением по умолчанию для учетных записей компьютеров контроллеров домена.
1.6 Отношения доверия
Отношение доверия позволяет одному объекту безопасности доверять другому объекту безопасности в целях проверки подлинности. В операционной системе Windows Server 2008 R2 объектом безопасности является домен Windows.
Основная цель отношения доверия - облегчить для пользователя в одном домене получение доступа к ресурсу в другом домене без необходимости поддержания учетной записи пользователя в обоих доменах.
В любом отношении доверия участвуют две стороны - доверяющий объект и доверенный объект. Доверяющий объект - это объект, владеющий ресурсом, а доверенный объект - это объект с учетной записью. Например, если вы отдаете кому-то во временное пользование ноутбук, вы доверяете этому человеку. Вы являетесь объектом, владеющим ресурсом. Ресурс - ваш ноутбук; тот, кому ноутбук отдается во временное пользование, является доверенным объектом с учетной записью.
Типы доверительных отношений
Доверительные отношения могут быть односторонними и двусторонними.
Одностороннее доверие означает, что, хотя один объект доверяет другому, обратное утверждение не соответствует истине. Например, если вы даете во временное пользование Steve свой ноутбук, это не значит, что Steve обязательно даст вам во временное пользование свой автомобиль.
При двустороннем доверии оба объекта доверяют друг другу.
Доверительные отношения могут быть транзитивными и нетранзитивными. Если при транзитивном доверии объект А доверяет объекту Б, а объект Б - объекту В, то объект А также неявно доверяет объекту В. Например, если вы даете во временное пользование Steve свой ноутбук, а Steve дает во временное пользование свой автомобиль Mary, вы можете дать во временное пользование Mary свой мобильной телефон.
Windows Server 2008 R2 поддерживает целый ряд доверительных отношений, предназначенных для использования в различных ситуациях.
В одном лесу все домены доверяют друг другу, используя внутренние двусторонние транзитивные доверительные отношения. По существу это означает, что все домены доверяют всем другим доменам. Эти доверительные отношения расширяются через деревья леса. Помимо таких автоматически создаваемых доверительных отношений, можно настраивать дополнительные доверительные отношения между доменами леса, между данным лесом и другими лесами и между данным лесом и другими объектами безопасности, например областями Kerberos или доменами операционной системы Microsoft Windows NT® 4.0. В следующей таблице приведены дополнительные сведения.
| Тип доверия | Транзитивность | Направление | Описание |
|---|---|---|---|
| Внешнее | Нетранзитивное | Внешние отношения доверия используются для предоставления доступа к ресурсам, расположенным в домене Windows NT Server 4.0 или домене, который находится в отдельном лесу, не присоединенном доверительным отношением леса. | |
| Доверие области | Транзитивное или нетранзитивное. | Одностороннее или двустороннее. | Доверительные отношения области используются для создания отношения доверия между областью Kerberos, управляемой операционной системой, отличной от Windows, и операционной системой Windows Server 2008 или доменом Windows Server 2008 R2. |
| Доверие леса | Транзитивное | Одностороннее или двустороннее. | Для разделения ресурсов между лесами используйте доверительные отношения лесов. Если доверительные отношения лесов являются двусторонними, запросы проверки подлинности, выполняемые в любом лесу, могут достигать другого леса. |
| Установленное напрямую доверие | Транзитивное | Одностороннее или двустороннее. | Установленные напрямую доверия используются для сокращения времени входа пользователей между двумя доменами в лесу Windows Server 2008 или Windows Server 2008 R2. Это применимо, когда два домена разделены двумя доменными деревьями. |
2. Реализация доменных служб Active Directory
Для реализации доменных служб Active Directory необходимо развернуть контроллеры домена. Для оптимизации доменных служб Active Directory важно понимать, где и как следует создать контроллеры домена, чтобы оптимизировать сетевую инфраструктуру.
2.1 Что такое контроллер домена?
Домен создается при повышении уровня компьютера сервера Windows Server 2008 R2 до контроллера домена. Контроллеры домена содержат доменные службы Active Directory.
Контроллеры домена обеспечивают выполнение следующих функций в сети.
- Обеспечивает проверку подлинности. Контроллеры домена содержат базу данных учетных записей домена и обеспечивают работу служб проверки подлинности.
- Содержит роли хозяина операций в качестве дополнительной возможности. Эти роли ранее назывались ролями FSMO (Flexible Single Master Operations). Существует пять ролей хозяина операций - две роли уровня леса и три роли уровня домена. Эти роли можно переносить в соответствии с требованиями.
- Содержит глобальный каталог в качестве дополнительной возможности. В качестве сервера глобального каталога можно назначить любой контроллер домена.
Примечание. Глобальный каталог - это распределенная база данных, которая содержит доступное для поиска представление каждого объекта из всех доменов в лесу с несколькими доменами. Однако глобальный каталог не содержит всех атрибутов для каждого объекта. Вместо этого он поддерживает подмножество атрибутов, которые скорее всего пригодятся при поисках в домене.
2.2 Что такое контроллер домена только для чтения?
Контроллер домена только для чтения - это новый тип контроллера домена в Windows Server 2008 R2. Используя контроллер домена только для чтения, организации могут легко развертывать контроллер домена в местах, где невозможно гарантировать физическую безопасность. В контроллере домена только для чтения размещается реплика базы данных только для чтения в доменных службах Active Directory для данного домена. Контроллер домена только для чтения может также функционировать в качестве сервера глобального каталога.
Начиная с Windows Server 2008, организация может развертывать контроллер домена только для чтения в случаях ограниченной пропускной способности каналов глобальной сети или недостаточной физической безопасности компьютеров. В результате пользователи в такой ситуации могут получить преимущества благодаря:
- повышенная безопасность;
- более быстрому входу в систему;
- более эффективному доступу к ресурсам сети.
| Функция контроллера домена только для чтения | Объяснение |
| База данных Active Directory только для чтения | За исключением паролей учетных записей, контроллер домена только для чтения содержит все объекты и атрибуты Active Directory, имеющиеся в контроллере домена, доступном для записи. Однако внесение изменений в реплику, хранящуюся в контроллере домена только для чтения, невозможно. Изменения необходимо вносить на контроллере домена, доступном для записи, и реплицировать в контроллер домена только для чтения. |
| Однонаправленная репликация | Поскольку изменения не записываются непосредственно в контроллер домена только для чтения, никакие изменения на таком контроллере не делаются. Поэтому контроллеры домена, доступные для записи, которые являются партнерами репликации, не должны получать изменения от контроллера только для чтения. В результате снижается рабочая нагрузка серверов-плацдармов в концентраторе и для отслеживания репликации требуется меньше усилий. |
| Кэширование учетных данных | Кэширование учетных данных - это сохранение учетных данных пользователей или компьютеров. Учетные данные состоят из небольшого набора паролей (около десяти), связанных с участниками безопасности. По умолчанию в контроллере домена только для чтения учетные данные пользователей и компьютеров не хранятся. Исключения составляют учетная запись компьютера контроллера домена только для чтения и особая учетная запись krbtgt (учетная запись центра службы распространения ключей Kerberos), имеющаяся в каждом контроллере домена только для чтения. Кэширование любых других учетных данных необходимо явно разрешить в контроллере домена только для чтения. |
| Разделение ролей администратора | Роль локального администратора контроллера домена только для чтения можно делегировать любому пользователю домена, не предоставляя ему никаких прав для домена или других контроллеров домена. В этом случае локальный пользователь филиала сможет входить в систему контроллера домена только для чтения и выполнять на нем операции обслуживания, например обновление драйвера. Однако пользователь филиала не будет иметь права входить в систему любого другого контроллера домена или выполнять любые другие задачи администрирования в домене. |
| Служба доменных имен только для чтения | Службу DNS-сервера можно установить на контроллере домена только для чтения. Контроллер домена только для чтения может реплицировать все разделы каталога приложений, которые используются DNS-сервером, включая разделы ForestDNSZones и DomainDNSZones. Если DNS-сервер установлен на контроллере домена только для чтения, клиенты могут направлять ему запросы на разрешение имен, как любому другому DNS-серверу. |
Ниже резюмирована роль контроллера домена только для чтения.
- Контроллер домена, выполняющий роль хозяина операций эмулятора PDC для домена, должен работать под управлением операционной системы Windows Server 2008. Это необходимо для создания новой учетной записи krbtgt для контроллера домена, доступного только для чтения, а также для текущих операций этого контроллера.
- Контроллер домена только для чтения требует перенаправления запросов проверки подлинности на сервер глобального каталога (под управлением Windows Server 2008), расположенный на сайте, ближайшем к сайту с данным контроллером. На этом контроллере домена устанавливается политика репликации паролей, чтобы определить, реплицируются ли учетные данные в расположение филиала для перенаправляемого запроса от контроллера домена только для чтения.
- Для обеспечения доступности ограниченного делегирования Kerberos необходимо установить режим работы домена Windows Server 2003. Ограниченное делегирование используется для вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
- Для обеспечения доступности репликации связанного значения необходимо установить режим работы леса Windows Server 2003. Это обеспечивает более высокий уровень совместимости репликации.
- Необходимо запустить adprep /rodcprep один раз в лесу. При этом обновятся разрешения для всех разделов каталога приложений DNS в лесу, чтобы облегчить репликацию между контроллерами домена только для чтения, которые являются также DNS-серверами.
- Контроллер домена только для чтения не может содержать роли хозяина операций и работать в качестве сервера-плацдарма репликации.
- Контроллер домена только для чтения можно развернуть в системе Server Core для дополнительной безопасности.
Сайт - это логическое представление географической области в сети. Сайт представляет границу высокоскоростной сети для компьютеров доменных служб Active Directory, т. е. компьютеры, которые могут взаимодействовать с высокой скоростью и низкой задержкой, можно объединить в сайт; контроллеры домена в пределах сайта реплицируют данные доменных служб Active Directory оптимизированным для этой среды способом; такая конфигурация репликации является в значительной степени автоматической.
Примечание. Сайты используются клиентскими компьютерами для поиска таких служб, как контроллеры домена и серверы глобального каталога. Важно, чтобы каждый создаваемый сайт содержал по крайней мере один контроллер домена и сервер глобального каталога.
2.4 Репликация доменных служб Active Directory
- Репликация доменных служб Active Directory - это передача изменений, внесенных в данные каталога, между контроллерами домена в лесу доменных служб Active Directory. Модель репликации доменных служб Active Directory определяет механизмы, позволяющие автоматически передавать обновления каталога между контроллерами домена, чтобы обеспечить решение по беспрепятственной репликации для службы распределенного каталога доменных служб Active Directory.
- В доменных службах Active Directory есть три раздела. Раздел домена содержит наиболее часто изменяемые данные и поэтому создает большой поток данных репликации доменных служб Active Directory.
Связи сайтов Active Directory
- Ссылка на сайт используется для обработки репликации между группами сайтов. Вы можете использовать предоставленную в AD DS ссылку на сайт по умолчанию или, при необходимости, создать дополнительные ссылки на сайт. Вы можете настроить параметры для ссылок на сайт, чтобы определить расписание и доступность пути репликации для упрощения управления репликацией.
- Если два сайта связаны посредством ссылки на сайт, система репликации автоматически создает подключения между конкретными контроллерами доменов на каждом сайте, которые называются серверами-плацдармами.
2.5 Настройка DNS для доменных служб Active Directory
Установка DNS
AD DS требует DNS. Роль DNS-сервера не устанавливается в Windows Server 2008 R2 по умолчанию. Как и другие функциональные возможности, эта функция добавляется на основе роли, когда сервер настраивается для выполнения определенной роли.
Роль DNS-сервера можно установить, воспользовавшись ссылкой "Добавить роль" в диспетчере сервера. Роль DNS-сервера также может быть добавлена автоматически с помощью мастера установки доменных служб Active Directory (dcpromo.exe). Страница параметров контроллера домена в мастере позволяет добавить роль DNS-сервера.
Настройка зон DNS
После установки DNS-сервера можно начать добавлять зоны на сервер. Если DNS-сервер является контроллером домена, можно настроить хранение данных о зонах в AD DS. Тогда будет создана интегрированная зона Active Directory. Если этот параметр не выбран, данные о зонах будут храниться в файле, а не в AD DS.
Динамические обновления
При создании зоны вам также будет предложено указать, должно ли поддерживаться динамическое обновление. Динамическое обновление позволяет сократить усилия по управлению зоной, так как клиенты могут добавлять, удалять и обновлять собственные записи ресурсов.
Динамическое обновление допускает возможность подделки записи ресурса. Например, какой-нибудь компьютер может зарегистрировать запись с именем "www" и перенаправлять трафик с вашего веб-сайта на неправильный адрес.
Чтобы исключить возможность подделки, служба DNS-сервера Windows Server 2008 R2 поддерживает безопасное динамическое обновление. Клиент должен пройти проверку подлинности, прежде чем обновлять записи ресурсов, поэтому DNS-серверу известно, является ли клиент тем компьютером, которому разрешено изменять запись ресурса.
Передачи зон DNS
Предприятие должно стремиться к тому, чтобы зона могла быть разрешена принудительно по крайней мере двумя DNS-серверами.
Если зона интегрирована в доменные службы Active Directory, достаточно добавить роль DNS-сервера в другой контроллер домена в том же домене , где находится первый DNS-сервер. Интегрированные зоны Active Directory и репликация зоны DNS с помощью AD DS описаны в следующем уроке.
Если зона не является интегрированной в AD DS, необходимо добавить другой DNS-сервер и настроить его для размещения дополнительной зоны. Не следует забывать, что дополнительная зона является доступной только для чтения копией основной зоны.
Записи SRV
Запись ресурса локатора служб (SRV) разрешает запрос для сетевой службы, позволяя клиенту находить узел, предоставляющий определенную службу.
- Когда контроллер домена должен выполнить репликацию изменений с партнеров.
- Когда клиентскому компьютеру требуется пройти проверку подлинности в AD DS.
- Когда пользователь изменяет свой пароль.
- Когда сервер Microsoft Exchange выполняет поиск в каталоге.
- Когда администратор открывает оснастку "Active Directory - пользователи и компьютеры".
В SRV-записях используется следующий синтаксис.
имя.службы.протокола срок_жизни класс тип приоритет вес порт целевой_узел
Пример SRV-записи приведен ниже.
Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
Запись состоит из следующих компонентов:
- Имя службы протокола, например служба LDAP, предлагаемая контроллером домена.
- Срок жизни в секундах.
- Класс (все записи DNS-сервера Windows будут иметь значение "IN" или "INternet").
- Тип: SRV;
- Значения приоритета и веса, которые помогают клиентам определить предпочтительный узел.
- Порт, в котором служба предлагается сервером. На контроллере домена Windows для LDAP стандартный порт - 389.
- Целевой объект, или узел службы, которым в данном случае является контроллер домена с именем hqdc01.contoso.com.
Когда клиентский процесс ищет контроллер домена, он может запросить службу LDAP у DNS. Запрос возвращает как SRV-запись, так и A-запись для одного или нескольких серверов, предоставляющих запрошенную службу.
В средних и крупных компаниях для управления инфраструктурой корпоративной сети принято использовать доменные службы с одним или несколькими контроллерами домена Active Directory, которые формируют сайты и леса. Доменные службы, о которых пойдет речь в этой статье, позволяют проверять подлинность пользователей и клиентских компьютеров, централизованно управлять инфраструктурными единицами предприятия при помощи групповых политик, предоставлять доступ к общим ресурсам и многое другое. Структура идентификации и доступа корпоративных сетей Active Directory включает в себя пять технологий:
- Доменные службы Active Directory (Active Directory Domain Services — AD DS);
- Службы сертификации Active Directory (Active Directory Certificate Services — AD CS);
- Службы управления правами Active Directory (Active Directory Rights Management Services — AD RDS);
- Службы федерации Active Directory (Active Directory Federation Services — AD FS);
- Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services — AD LDS).
Основной технологией Active Directory считаются доменные службы (AD DS). Именно при помощи данной службы вы можете развернуть контроллер домена, без которой в основных службах просто нет необходимости. Серверную роль доменных служб Active Directory можно устанавливать как при помощи графического интерфейса, так и средствами командной строки в полной редакции Windows Server 2008/2008 R2, а также в редакциях ядра сервера Windows Server 2008/2008 R2 средствами командной строки. В этой статье речь пойдет именно об установке роли AD DS при помощи командной строки (как в полной версии, так и в режиме ядра доменные службы Active Directory средствами командной строки устанавливаются одинаково). Но перед командами установки данной роли рекомендую ознакомиться с некоторыми терминами, которые используются в данной технологии:
Контроллер домена . Контроллером домена называется сервер, выполняющий роль доменных служб, или служб каталогов, как называлось ранее, на нем также располагается хранилище данных каталогов и протокол распределения ключей Kerberos (Kerberos Key Distribution Center — KDC). Этот протокол обеспечивает проверку подлинности объектов идентификации в домене Active Directory.
Домен . Домен – это административная единица, внутри которой расположены компьютеры, группы безопасности и пользователи одной сети, управляемые контроллером домена, использующие единые определенные возможности. Контроллер домена реплицирует раздел хранилища данных, который содержит данные идентификации пользователей, групп и компьютеров домена. Причем, учетные записи пользователей и компьютеров расположены не локально на клиентских компьютерах, а на контроллере домена, то есть используется сетевой вход в системы на всех рабочих местах. Помимо этого, домен является областью действия административных политик разного характера.
Лес . Совокупность доменов, использующих единую схему каталога, называется лесом доменов. По сути, лес представляет собой самую внешнюю границу службы каталогов, где первый установленный домен называется корневым. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Лес может состоять из одного или нескольких доменов. Внутри леса домены связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена.
Дерево . Внутри леса домена, пространство доменных имен содержит деревья леса. Домены интерпретируются как деревья в том случае, если один домен является дочерним для другого. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов.
Сайт . Сайтом называется такой объект Active Directory, как контейнер, предоставляющий часть предприятия с хорошей сетевой коммуникацией. Сайты обычно используются предприятиями, у которых филиалы разбросаны по всей стране или по разным странам и даже континентам. Сайт создает периметр репликации и использования служб Active Directory. Основные задачи сайтов – управление трафиком репликации и локализации служб. Репликацией называется перенос изменений с одного контроллера домена на другой, а локализация служб позволяет пользователям проходить проверку подлинности на любом контроллере домена во всем сайте.
Установка роли доменных служб Active Directory
Как в случае с установкой при помощи графического интерфейса, так и средствами командной строки для создания контроллера домена, вам нужно сначала установить роль доменных служб Active Directory, а затем запустить мастер установки доменных служб, который открывается с помощью команды Dcpromo.exe. На примере, приведенном в данной статье, будет происходить установка контроллера домена под Windows Server 2008 R2 в режиме полной установки, хотя сам процесс ничем не отличается от установки в режиме ядра.
Для установки роли доменных служб Active Directory при помощи командной строки, следует воспользоваться средством для управления конфигурацией сервера ServerManagerCmd . Перед установкой роли доменных служб Active Directory убедитесь в том, что ваш сервер переименован и у вас настроен IPv4 адрес компьютера. Выполните следующие действия:
Рис. 3. Установка роли доменных служб средствами PowerShell
Повышение роли доменных служб контроллера домена
Для автоматической установки контроллера домена средствами командной строки используется команда Dcporomo с определенными параметрами автоматической установки. Для автоматической установки доступно порядка сорока параметров. В нашем случае мы не будет использовать параметры. Поэтому, если вы хотите узнать все параметры, выполните команду Dcpromo /?:Promotion . Рассмотрим те параметры, которые нам пригодятся при установке контроллера домена:
/NewDomain – этот параметр определяет тип создаваемого домена. Доступные параметры: Forest – корневой домен нового леса, Tree – корневой домен нового дерева в существующем лесу, Child – дочерний домен в существующем лесу;
/NewDomainDNSName – при помощи этого параметра указывается полное имя нового домена (FQDN);
/DomainNetBiosName – при помощи этого параметра вы можете присвоить NetBIOS-имя для нового домена;
/ForestLevel – при помощи этого параметра вы можете указать режим работы леса при создании нового домена в новом лесу. Доступные параметры: 0 – основной режим Windows 2000 Server, 2 – основной режим Windows Server 2003, 3 – основной режим Windows Server 2008, 4 – основной режим Windows Server 2008 R2;
/ReplicaOrNewDomain – указывает, следует ли устанавливать дополнительный контроллер домена или первый контроллер в домене. Доступные параметры: Replica — дополнительный контроллер домена в существующем домене, ReadOnlyReplica — контроллер домена только для чтения в существующем домене, Domain — первый контроллер домена в домене;
/DomainLevel — указывает режим работы домена при создании нового домена в существующем лесу, причем режим работы домена не может быть ниже режима работы леса. По умолчанию устанавливается значение идентичное значению /ForestLevel;
/InstallDNS – при помощи этого параметра вы можете указать, будет ли для данного домена установлена система доменных имен;
/dnsOnNetwork – при помощи этого параметра определяется, имеется ли в сети служба DNS. Этот параметр используется только в том случае, если для сетевого адаптера этого компьютера не настроено имя DNS-сервера для разрешения имен. Значение No означает, что на этом компьютере будет установлен DNS-сервер для разрешения имен. В противном случае нужно сначала настроить имя DNS-сервера для сетевого адаптера.
/DatabasePath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, на котором хранится база данных домена. Например, C:WindowsNTDS;
/LogPath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, содержащего файлы журнала домена. Например, C:WindowsNTDS;
/SysVolPath — при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, например C:WindowsSYSVOL;
/safeModeAdminPassword – при помощи этого параметра указывается пароль, соответствующий имени администратора, который используется для повышения роли контроллера домена;
/RebootOnCompletion – этот параметр указывает, перезагружать ли компьютер независимо от успешности завершения операции. Доступны параметры: Yes и No .
В итоге, для установки контроллера домена, воспользуемся следующей командой:
Dcpromo /unattend /InstallDNS:Yes /dnsOnNetwork:Yes /ReplicaOrNewDomain:Domain /NewDomain:Forest /NewDomainDNSName:testdomain.com /DomainNetBiosName:testdomain /DatabasePath:"C:WindowsNTDS" /LogPath:"C:WindowsNTDS" /SysvolPath:"C:WindowsSYSVOL” /safeModeAdminPassword:P@ssw0rd /ForestLevel:4 /DomainLevel:4 /RebootOnCompletion:No
Рис. 4. Установка контроллера домена
Заключение
В этой статье вы ознакомились с технологией доменных служб Active Directory, узнали о значении таких терминов, как контроллер домена, домен, лес, дерево и сайт. В статье подробно описан процесс установки роли доменных служб и контроллера домена при помощи утилит командной строки ServerManagerCmd и Dcpromo.exe. Даны пошаговые рекомендации для установки роли доменных служб Active Directory средством управления конфигурацией сервера ServerManagerCmd и командлетом PowerShell.
