Was ist ein Domänencontroller?
Ein Domänencontroller bietet eine zentrale Verwaltung von Netzwerkgeräten, dh Domänen. Der Controller speichert alle Informationen aus Konten und Parametern von Netzwerkbenutzern. Dies sind Sicherheitsparameter, lokale Politik und viele andere. Es ist eine Art Server, der ein bestimmtes Netzwerk oder eine bestimmte Netzwerkgruppe vollständig steuert. Ein Domänencontroller ist in gewisser Weise eine Reihe spezieller Software, die verschiedene Programme startet aktive Dienste Verzeichnis. Auf Controllern werden bestimmte Betriebssysteme wie Windows Server 2003 ausgeführt. Assistent aktive Installationen Mit Drive können Sie Domänencontroller erstellen.
Das Windows NT-Betriebssystem verwendet den primären Domänencontroller als primären Server. Die anderen verwendeten Server werden als Backup-Controller verwendet. Grundlegende PDC-Controller können verschiedene Aufgaben im Zusammenhang mit der Mitgliedschaft in Benutzergruppen lösen, Kennwörter erstellen und ändern, Benutzer hinzufügen und viele andere. Die Daten werden dann an zusätzliche BDC-Controller übertragen.
Kann als Domänencontroller verwendet werden software Samba 4, wenn ein Unix-Betriebssystem installiert ist. Diese Software unterstützt auch andere Betriebssysteme wie Windows 2003, 2008, 2003 R2 und 2008 R2. Jedes der Betriebssysteme kann bei Bedarf abhängig von spezifischen Anforderungen und Parametern erweitert werden.
Domänencontroller verwenden
Domänencontroller werden von vielen Organisationen verwendet, in denen sich Computer befinden, die miteinander und mit dem Netzwerk verbunden sind. Die Controller speichern Verzeichnisdaten und steuern den Ein- und Ausstieg von Benutzern in das System sowie die Interaktion zwischen ihnen.
Unternehmen, die einen Domänencontroller verwenden, müssen entscheiden, wie viele verwendet werden sollen, Datenarchivierung, physische Sicherheit, Server-Upgrades und andere erforderliche Aufgaben planen.
Wenn das Unternehmen oder die Organisation klein ist und nur ein Domänennetzwerk verwendet wird, reicht es aus, zwei Controller zu verwenden, die eine hohe Stabilität, Fehlertoleranz und eine hohe Netzwerkverfügbarkeit gewährleisten. In Netzwerken, die in eine bestimmte Anzahl von Standorten unterteilt sind, ist auf jedem ein Controller installiert, wodurch die erforderliche Leistung und Zuverlässigkeit erzielt werden kann. Durch die Verwendung von Controllern an jedem Standort kann die Benutzeranmeldung erheblich vereinfacht und beschleunigt werden.
Der Netzwerkverkehr kann dafür optimiert werden, indem die Replikationsaktualisierungszeit festgelegt wird, wenn die Netzwerklast minimal ist. Das Einrichten der Replikation vereinfacht Ihre Arbeit erheblich und macht sie produktiver.
Sie können maximale Leistung im Betrieb des Controllers erzielen, wenn es sich bei der Domäne um einen globalen Katalog handelt, mit dem Sie Objekte nach einer bestimmten Gewichtung abfragen können. Es ist jedoch wichtig zu beachten, dass das Aktivieren des globalen Katalogs zu einer erheblichen Zunahme des Replikationsverkehrs führt.
Es ist am besten, den Master-Domänencontroller nicht zu aktivieren, wenn mehr als ein Domänencontroller verwendet wird. Bei der Verwendung eines Domänencontrollers ist es sehr wichtig, auf die Sicherheit zu achten, da dieser für Angreifer, die die zur Täuschung erforderlichen Daten übernehmen möchten, ausreichend zugänglich ist.
Installationsfunktionen zusätzliche Steuerungen Domain
Um eine höhere Zuverlässigkeit beim Betrieb der erforderlichen Netzwerkdienste zu erreichen, müssen zusätzliche Domänencontroller installiert werden. Dadurch können deutlich höhere Stabilität, Zuverlässigkeit und Betriebssicherheit erreicht werden. In diesem Fall wird die Netzwerkleistung viel höher, was ein sehr wichtiger Parameter für Organisationen ist, die einen Domänencontroller verwenden.
Einige, damit der Domänencontroller ordnungsgemäß funktioniert vorarbeit... Als erstes müssen Sie die TCP / IP-Parameter überprüfen. Sie müssen für den Server korrekt eingestellt sein. Das Wichtigste ist, die DNS-Namen auf Übereinstimmungen zu überprüfen.
Für den sicheren Betrieb des Domänencontrollers muss das NTFS-Dateisystem verwendet werden, das im Vergleich zu den FAT 32-Dateisystemen eine höhere Sicherheit bietet. Für die Installation auf dem Server müssen Sie eine Partition im NTFS-Dateisystem erstellen, die das Systemvolume enthält. Sie müssen auch vom Server aus auf den DNS-Server zugreifen. DNS ist auf diesem oder einem zusätzlichen Server installiert, der Ressourceneinträge unterstützen muss.
Um den Domänencontroller ordnungsgemäß zu konfigurieren, können Sie den Konfigurationsassistenten verwenden, mit dem Sie die Ausführung bestimmter Rollen hinzufügen können. Dazu müssen Sie über das Control Panel zum Administrationsbereich gehen. Sie müssen einen Domänencontroller als Serverrolle angeben.
Der Domänencontroller ist heute unverzichtbar für Netzwerke und Standorte, die von verschiedenen Organisationen, Institutionen und Unternehmen in allen Bereichen menschlicher Aktivitäten verwendet werden. Dank ihm sind hohe Produktivität und Sicherheit gewährleistet, die in computernetzwerke ist von besonderer Bedeutung. Die Rolle eines Domänencontrollers ist sehr wichtig, da Sie damit Domänenbereiche verwalten können, die auf Computernetzwerken basieren. Jedes Betriebssystem hat bestimmte Nuancen, die mit dem Betrieb von Domänencontrollern verbunden sind, aber das Prinzip und sein Zweck sind überall gleich, so dass es nicht so schwierig ist, die Einstellungen herauszufinden, wie es am Anfang erscheinen mag. Es ist jedoch sehr wichtig, dass Domänencontroller von Experten konfiguriert werden, um letztendlich zu erhalten hohe Produktivität und Sicherheit während der Arbeit.
In seltenen Fällen muss der Administrator der Domänendienste möglicherweise die aktuelle Domain umbenennen. Die Gründe mögen unterschiedlich sein, aber diese Situation ist durchaus möglich. Trotz der Tatsache, dass diese Aufgabe nicht als trivial bezeichnet werden kann, aber gelegentlich muss man sich ihr stellen, ist es äußerst wichtig, alles richtig zu machen, da sonst das Ergebnis von Ereignissen bis zu einer völlig funktionsunfähigen Unternehmensinfrastruktur kritisch gefährlich sein kann. Später in diesem Artikel erfahren Sie mehr über die Voraussetzungen für die Ausführung dieses Vorgangs, einige der Einschränkungen und wie Sie Ihre Domain umbenennen können. Bevor wir beginnen, führen Sie diese Schritte bitte nicht in einer Produktionsumgebung aus, bis Sie Ihre Testdomäne in einer Laborumgebung erfolgreich umbenannt haben. Lasst uns beginnen.
Voraussetzungen
Beachten Sie vor dem Umbenennen Ihrer Domain die folgenden Informationen:
- Funktionsstufe der Active Directory-Gesamtstruktur... Sie können Aufgaben zum Umbenennen von Domänen nur ausführen, wenn alle Domänen in der Gesamtstruktur mit mindestens Windows Server 2003 ausgestattet sind (in diesem Fall gibt es keine Editionsbeschränkungen). Darüber hinaus muss die Funktionsebene mindestens auf die Ebene von Windows Server 2003 angehoben werden. Wenn Sie also die Funktionsebene von Windows Server 2000 in Ihrer Gesamtstruktur ausgewählt haben, wird der folgende Vorgang einfach unmöglich.
- Domain-Standort... In einer Active Directory-Gesamtstruktur können verschiedene Domänenebenen vorhanden sein. Das heißt, es kann entweder eine separate Domäne geben oder die Gesamtstruktur kann untergeordnete Domänen enthalten. Für den Fall, dass Sie den Speicherort des Domänencontrollers in der Gesamtstruktur ändern, müssen Sie eine Vertrauensstellung erstellen.
- DNS-Zone... Bevor Sie den Umbenennungsvorgang für die Domäne ausführen, müssen Sie eine neue DNS-Zone erstellen.
- Administrative Anmeldeinformationen... Um den Vorgang zum Umbenennen von Domänen auszuführen, müssen Sie mit einem Administratorkonto angemeldet sein, das Mitglied der Gruppe "Unternehmensadministratoren" ist.
- DFS-Server (Distributed File System)... Wenn in Ihrer Unternehmensumgebung DFS bereitgestellt oder Roaming-Profile konfiguriert sind, beachten Sie bitte, dass die DFS-Stammserver mindestens ausgeführt werden müssen betriebssystem Windows Server 2000 mit Service Pack 3 oder höheren Betriebssystemen;
- Inkompatibilität mit Microsoft Exchange-Servern... Der unangenehmste Punkt ist, dass, wenn der Mailserver von Microsoft Exchange Server 2003 Service Pack 1 in Ihrer Active Directory-Gesamtstruktur bereitgestellt wird, das Umbenennen der Domäne problemlos durchgeführt wird, das Benutzerkonto, unter dem der Umbenennen der Domäne durchgeführt wird, jedoch sollte Mitglied der Full Exchange Administrator-Gruppe sein. Immer moderner mailserver (einschließlich Exchange Server 2016) sind nicht mit Umbenennungsvorgängen für Domänen kompatibel.
Beachten Sie außerdem, dass Sie alle anstehenden Active Directory-Gesamtstrukturkonfigurationen einfrieren müssen, während die Domäne umbenannt wird. Mit anderen Worten, Sie müssen sicherstellen, dass sich Ihre Gesamtstrukturkonfiguration nicht ändert, bis der Vorgang zum Umbenennen der Domäne abgeschlossen ist (Einzelheiten zum Ausführen dieses Schritts finden Sie weiter unten). Diese Vorgänge umfassen: Erstellen oder Entfernen von Domänen in Ihrer Active Directory-Gesamtstruktur, Erstellen oder Entfernen von Anwendungsverzeichnispartitionen, Hinzufügen oder Entfernen von Domänencontrollern in der Gesamtstruktur, Erstellen oder Entfernen einer direkt eingerichteten Vertrauensstellung sowie Hinzufügen oder Entfernen von Attributen, die in die globale repliziert werden Katalog.
Für alle Fälle würde ich auch vorschlagen, dass Sie auf jedem Domänencontroller in Ihrer Active Directory-Gesamtstruktur eine vollständige Systemstatussicherung durchführen. Wenn Sie diese Aufgabe erledigen, ist diese Vorsichtsmaßnahme definitiv nicht überflüssig.
Falls Ihre Infrastruktur die oben genannten Anforderungen erfüllt und alle erforderlichen Sicherungen durchgeführt wurden, können Sie mit dem Umbenennen der Domäne fortfahren.
Prozess zum Umbenennen der Active Directory-Domäne
Um den ursprünglichen Namen Ihrer Domain zu überprüfen, können Sie zunächst das Fenster mit den Systemeigenschaften öffnen. Wie Sie in der entsprechenden Abbildung sehen können, heißt meine Domain "Biopharmaceutic.local":
Zahl: 1. Überprüfen des ursprünglichen Active Directory-Domänennamens
Sie sollten jetzt eine neue DNS-Zone "biopharm.local" erstellen, damit Ihre Mitgliedsserver und Clients nach einer erfolgreichen Domänenumbenennung problemlos dem neuen Domänennamen beitreten können. Öffnen Sie dazu „ DNS-Manager» ( DNS-Manager) und in " Live-Ansichtsbereich» ( Forward Lookup Zone) Wählen Sie die Option zum Erstellen einer neuen Zone. Grundsätzlich wird die Zone wie gewohnt erstellt: Auf der ersten Seite des Assistenten zum Erstellen einer neuen Zone sollten Sie die Einführungsinformationen lesen und zur zweiten Seite wechseln. Wählen Sie auf der Seite Zonentyp die Hauptzone aus ( Primärzone) und stellen Sie sicher, dass die Option zum Speichern der Zone in Active Directory aktiviert wurde. Lassen Sie auf der Seite mit den Zonenreplikationsbereichen die Standardoption - " Für alle DNS-Server, die auf Domänencontrollern in dieser Domäne ausgeführt werden: Biopharmaceutic.local» ( An alle DNS-Server, die auf Domänencontrollern in dieser Domäne ausgeführt werden: Biopharmaceutic.local). Geben Sie auf der Seite mit dem Zonennamen den neuen Domänennamen (biopharm.local) an. Lassen Sie auf der Seite mit den dynamischen Updates auch die Option „ Nur sichere dynamische Updates zulassen (empfohlen für Active Directory)» ( Nur sichere dynamische Updates zulassen (empfohlen für Active Directory)), die standardmäßig ausgewählt ist. Im Folgenden sehen Sie mehrere Schritte zum Erstellen einer neuen Zone:
Zahl: 2. Erstellen Sie eine neue DNS-Zone
Der nächste Schritt beim Umbenennen von Domänen besteht darin, eine Beschreibung des aktuellen Status der Gesamtstruktur zu generieren. Tatsächlich ist dies der erste Vorgang zum Umbenennen von Domänen, bei dem das Dienstprogramm verwendet wird befehlszeile Rendom... Dieses Dienstprogramm generiert eine Textbeschreibung Ihrer aktuellen Gesamtstrukturstruktur als XML-Datei mit dem Namen Domainlist.xml. Diese Datei enthält eine Liste aller Domänenverzeichnispartitionen sowie Anwendungsverzeichnispartitionen, die sich in Ihrer Active Directory-Gesamtstruktur befinden. Jeder Eintrag für jede Domänen- und Anwendungsverzeichnispartition wird durch XML-Tags begrenzt
Um eine solche Datei zu erstellen, öffnen Sie die Befehlszeile unter dem entsprechenden Konto und führen Sie den Befehl „ zufällig / Liste". Die generierte Datei wird im Stammverzeichnis Ihres Benutzerkontos gespeichert. Als nächstes müssen Sie diese Datei mit einem beliebigen Texteditor öffnen.
In dieser Datei müssen Sie den Domänennamen innerhalb des Abschnitts ändern, der durch Tags begrenzt ist
In der folgenden Abbildung sehen Sie den Vorgang zum Ausführen des obigen Befehls, den Speicherort der Datei Domainlist.xml und die Änderungen für den ersten Abschnitt dieser Datei. In meinem Fall wird der Domainname in dieser Konfiguration viermal geändert:
Zahl: 3. Generierung und Änderung der Datei Domainlist.xml
Um sicherzustellen, dass Sie die erforderlichen Änderungen an der entsprechenden Datei vorgenommen haben, können Sie den Befehl „ rendom / Showforest". Wie Sie in der folgenden Abbildung sehen können, haben sich alle meine Einträge in "Bopharm" geändert:
Zahl: 4. Zeigen Sie mögliche Änderungen an
Wenn Sie den folgenden Befehl ausführen ( rendom / upload) Das Dienstprogramm Rendom übersetzt die in der bearbeiteten Datei angegebene neue Gesamtstrukturstruktur in eine Folge von Anweisungen zur Verzeichnisaktualisierung, die lokal und remote auf jedem Domänencontroller in der Gesamtstruktur ausgeführt werden. Im Allgemeinen werden zu diesem Zeitpunkt im Abschnitt "Konfigurationsverzeichnis" des Assistenten für die Domänenbenennung Änderungen vorgenommen, um die Active Directory-Domäne umzubenennen. Darüber hinaus wird eine Dclist.xml-Datei erstellt und verwendet, um den Fortschritt und den Status jedes Domänencontrollers in der Gesamtstruktur für den Umbenennungsvorgang der Domäne zu verfolgen. Übrigens friert Rendom zu diesem Zeitpunkt Ihre Active Directory-Gesamtstruktur vor Konfigurationsänderungen ein. Der Vorgang zum Ausführen dieses Befehls ist unten dargestellt:
Zahl: 5. Ausführen des Befehls rendom / upload
Der folgende Befehl wird ausgeführt, um die Bereitschaft der Domänencontroller vor dem Umbenennen der Domäne zu überprüfen. Während dieses Schritts müssen Sie den Befehl zur vorbereitenden Prüfung ausführen jeder Domänencontroller in der Gesamtstruktur... Damit stellen Sie sicher, dass sich die Active Directory-Datenbank auf jedem Domänencontroller in der Gesamtstruktur im richtigen Status befindet und bereit ist, Änderungen vorzunehmen, die Ihre Domäne umbenennen. Führen Sie daher den Befehl " rendom / vorbereiten"Wie in der folgenden Abbildung gezeigt:
Zahl: 6. Vorbereiten der Domain für das Umbenennen
Der wichtigste Moment. Befehl ausführen “ rendom / execute". Wenn Sie diesen Befehl in der Domäne ausführen, werden die Anweisungen zum Umbenennen der Domäne befolgt. Im Wesentlichen wird in diesem Moment auf jeden Domänencontroller in der Gesamtstruktur einzeln zugegriffen, wodurch jeder Domänencontroller gezwungen wird, die Anweisungen zum Umbenennen der Domäne zu befolgen. Nach Abschluss dieses Vorgangs wird jeder Domänencontroller neu gestartet. In der folgenden Abbildung finden Sie Informationen zum Umbenennen von Domains:
Zahl: 7. Domain-Umbenennungsprozess
Das ist aber noch nicht alles. Obwohl Ihre Domain im Wesentlichen bereits umbenannt wurde, müssen Sie die Gruppenrichtlinienobjekte und ihre Links nach Abschluss des Domain-Umbenennungsvorgangs reparieren. Verwenden Sie das Befehlszeilenprogramm, um Gruppenrichtlinienobjekte sowie Gruppenrichtlinienobjektverknüpfungen in jeder umbenannten Domäne wiederherzustellen Gpfixup.exe... Dieses Verfahren kann nicht vernachlässigt werden, da Gruppenrichtlinien ohne ihre Verwendung nach Abschluss des Umbenennens einer Domäne in einer neuen Gesamtstruktur einfach nicht ordnungsgemäß funktionieren. Bitte beachten Sie, dass dieser Befehl in jeder umbenannten Domäne einmal ausgeführt werden muss. Führen Sie den Befehl daher einmal aus gpfixup mit Parametern /olddns:Biopharmaceutic.local (der alte Name der Domain, die Sie umbenannt haben) und /newdns:Biopharm.local (neuer umbenannter Domainname) und dann Befehl gpfixup mit Parametern / oldnb: Biopharmazeutikum und / newnb: Biopharm (die alten und neuen NETBIOS-Namen Ihrer Domain). Dieser Vorgang ist unten sichtbar:
Zahl: 8. Korrektur von Gruppenrichtlinienobjekten
Es müssen nur noch zwei Befehle ausgeführt werden: der Befehl „ rendom / sauber", Damit können Sie alle Verweise auf alte Domänennamen in Ihrem Active Directory sowie den Befehl entfernen." rendom / Ende", Tatsächlich wird die Active Directory-Gesamtstruktur von Änderungen an ihrer Konfiguration befreit. Sie können den Prozess der Ausführung dieser Befehle in der folgenden Abbildung sehen:
Zahl: 9. Abschluss des Umbenennens der Active Directory-Domäne
Sie müssen ihre Computer zweimal neu starten, damit die Änderungen auf Mitgliedsserver und Endclients angewendet werden. Sie müssen die Domänencontroller jedoch manuell umbenennen. Wie Sie in der folgenden Abbildung sehen können, bleibt mein Domänencontrollername unverändert.
Gestern erhielt unser Studio einen Brief von unserem regulären Leser Andrey mit der Frage:
Ich freue mich, Ihr Blog zu lesen, ich habe viele nützliche Dinge für mich selbst gelernt, ich wollte Ihre Meinung über den Active Directory-Domänennamen wissen, viele schreiben, dass es sich lohnt, ihn * Organisation * .local zu nennen, und jemand schreibt, dass er genauso genannt werden sollte wie die Domäne.
Lassen Sie uns einen kurzen Blick darauf werfen, welcher Name am besten für die Benennung einer Domäne innerhalb einer Organisation verwendet werden kann.
Wie die Praxis zeigt, kann die Auswahl eines Domänennamens selbst einen erfahrenen Systemadministrator verwirren. Wenn Sie das Dienstprogramm zum ersten Mal ausführen dcpromo Der Domainname wird automatisch und zufällig generiert. Wenn der Domainname zu diesem Zeitpunkt nicht mit den erforderlichen Regeln in Einklang gebracht wird, ist es in Zukunft schwieriger, den Domainnamen zu ändern. Werfen wir einen Blick auf die Optionen in der Reihenfolge ihrer Beliebtheit.
1. Eine Domain namens example.local
Der Anführer unserer Hitparade ist der Domainname, der auf endet lokal. Es gibt zum Beispiel andere Variationen dieses Themas prüfung, firma, fabrik, nn, loc, usw. Jetzt können Sie sich nicht einmal daran erinnern, woher diese Liebe kam. In all seinen Büchern verwendet Microsoft immer eine eigene Benennung des Formulars contoso.comwo wir klar sehen domain-Namensformat... Seit fast 10 Jahren ist die Domain jedoch .lokal nahm eine führende Position ein. Die Situation begann sich mit dem Eintreffen von Diensten, die ihre Arbeit in Anspruch nahmen, zu beruhigen SSL-Zertifikate... Wo die Verwendung von Domains "egal ist und so runter kommt" wird unmöglich. Nehmen wir an, Ihr Unternehmen verwendet intern Austausch serverDas benötigt ein SSL-Zertifikat, um Client-Verbindungen zu verschlüsseln. Entsprechend Ihrem Szenario benötigen Sie ein Zertifikat, um diese Aufgabe auszuführen. externe Zertifizierungsstelle, in dem Sie alle Namen der Server angeben müssen, die für die externe Verbindung verwendet werden. Es scheint, dass wir so etwas alle Servernamen aufschreiben und die Ausstellung von Zertifikaten beantragen, aber es gibt eine Sache. Mit dem Namen einer solchen Domain sie können die Validierung nicht bestehenDa die Domain "egal und wird daher herunterkommen" nicht existiert und Sie versuchen, einer externen Zertifizierungsstelle zu erklären, dass Sie den FQDN-Namen einer Domain, die nicht im SAN existiert, verschieben müssen, erhalten Sie eine weiche Ablehnung:
Es ist nicht möglich, wir stellen nur Zertifikate für echte Domainnamen aus.
Aber es gibt noch ein anderes Ärgernis. Verwendung von Domainnamen nicht zu dir gehören in einem Domainnamen kann schrecklich sein. Stellen Sie sich die Situation in der Zone vor lokal wird öffentlichen Status haben. Wie eine Zone com oder ru... Ich denke, es lohnt sich nicht weiterzumachen 🙂
2. Der Domainname ist der gleiche wie der externe Domainname
Der zweite Platz in unserer Hitparade. Trotz der Tatsache, dass dieses Szenario weniger beliebt ist, hat es immer noch ein Recht auf Leben. Neben der Tatsache, dass Sie in naher Zukunft immer noch einige Unannehmlichkeiten bei der Wartung des Netzwerks haben werden, bedroht Sie nichts anderes. Das Hauptproblem in diesem Szenario besteht darin, dass Sie zwei DNS-Server warten müssen: intern und extern... Unter dieser Bedingung verwenden Computer im Netzwerk den internen DNS-Server für die Namensauflösung und Computer außerhalb des Unternehmensbereichs. Angenommen, Ihre Domain hat einen stolzen Namen example.com... IM DMZ Zone, die Sie haben webseite Firmen genannt example.com... In dem oben beschriebenen Szenario befinden sich die Computer innerhalb Organisation wird nicht in der Lage sein Zugriff darauf, weil für sie example.com ist domainname und wenn Sie diese Adresse in den Browser eingeben, gehen sie zu domänencontroller... Wie ich oben bereits erwähnt habe, wird dies, abgesehen von Unannehmlichkeiten, zu nichts führen. Sie können immer Krücken verwenden, die Sie auf eine externe Site übertragen. Sie sind sich jedoch einig, dass dies keine doppelte Arbeit ist, oder verwenden Sie innerhalb des Netzwerks einen Site-Namen, der mit beginnt wwwoder draußen.
3. Ein Wort Domainname
Vielleicht die falscheste Option von oben. Einstufige Domänen: Single-Label-Domain Ist eine Domain, die nur enthält eine Komponente... Anscheinend wurden sie während der NT-Ära verwendet, als Microsoft die erfolgreiche Erfahrung von Novell übernahm. So kam es, dass ich anfangs Administrator von FreeBSD und einer großen Flotte von NetWare-Servern ab Version 4.11 war und in jenen alten Zeiten NetWare Bindery für seine Arbeit verwendete, was nur die Namen sind Geschwisterdomänenschema, die später von Microsoft übernommen wurde.
Empfohlene Vorgehensweise
Es ist Zeit zusammenzufassen. Welche Domain-Benennung sollten Sie verwenden? Nur eine Domain der dritten Ebene in der Domain, die Sie besitzen... Verwenden Sie nicht die hübscheren Domainnamen anderer :-). Unten sehen Sie ein Beispiel für eine solche Domain.
Es ist 2015, das Internet ist weit verbreitet, jedes Unternehmen mit Selbstachtung hat seit langem eine eigene Website. Sie müssen nicht weit gehen - selbst jedes städtische Krankenhaus verfügt über eigene Webressourcen. Trotzdem haben Systemadministratoren nicht gelernt, wie man normale Namen für ihre Domänen erstellt.
Die Kosten für eine Domain der zweiten Ebene (z. B. bissquit.com) betragen etwas mehr als 500 Rubel pro Jahr. Dies ist selbst für normale Bürger wie Sie und mich sehr wenig, und dies ist nur ein Cent für Unternehmen, umso mehr. Ich habe meine Domain erworben, lange bevor die Idee, diesen Blozhik zu „archivieren“, auftauchte. Es ist einfach bequem. Nimm sogar fernverbindung per rdp - Ich gebe meinen Domainnamen anstelle einer langweiligen IP-Adresse ein.
Im Internet enthält fast jede Site für die Abfrage "Best Practices für Active Directory-Domänen" umfassende Empfehlungen zum Benennen von AD-Domänen und erklärt, warum dies erforderlich ist. Schauen wir uns die fraglichen Empfehlungen genauer an:
- Verwenden Sie eine Subdomain der offiziell registrierten Domain Ihrer Organisation, um Ihre AD-Domain zu benennen.
Sie haben es richtig verstanden, nur ein Ratschlag. Das ist alles! Sie können viel über Details und kleine Nuancen sprechen, aber 80-90% der Argumentation beruht auf einem einzigen Ratschlag, der oben geäußert wurde. Alle Probleme ergeben sich aus der Tatsache, dass eine Person weiß, dass dies getan werden sollte, aber nicht versteht, warum es unmöglich oder höchst entmutigt ist, dies anders zu tun. Von nun an mehr Details.
1. Warum können Sie keine internen, extern ungelösten Namen wie .local, .corp, .lan verwenden?
Können. So viel wie möglich. Die meisten von ihnen benutzen sie auch. Ich habe Beispiele unter Freunden, die mehr als 2000 Personen in ihren Organisationen haben und die .local-Domain verwenden. Alle Schwierigkeiten beginnen, wenn Sie plötzlich eine echte AD-Domain benötigen. Dies kann bei Verwendung von Hybrid-Cloud-Bereitstellungen passieren (ein Paradebeispiel hierfür ist Exchange + Office365). "Warum nicht einfach die Domain umbenennen, da dies mit einer bestimmten Version von AD durchaus möglich ist?" - du fragst. Ja, im Prinzip können Sie das, aber Sie müssen sich den Schwierigkeiten bei der Migration domänenabhängiger Dienste stellen. Unter ihnen sind alle die gleiche Börse und andere, aber hier ist eine Börse mehr als genug.
2. "Ok, wir kaufen einen echten externen Namen - my-company.com, nennen wir auch die AD-Domain" - ist ebenfalls keine Option. Sie haben Probleme beim Auflösen anderer Ressourcen auf my-company.com, z. B. der Website des Unternehmens. Außerdem sind Ihre DNS-Server für diese Domain nicht autorisierend, obwohl sie sich selbst als solche betrachten. Dies wird auch Probleme verursachen.
Es gibt andere Überlegungen zur Domänenbenennung, z. B. das Erstellen einer Domäne, die der realen Domäne ähnelt, sich jedoch in einer anderen TLD befindet. Aber es scheint mir, dass es nicht viel Sinn macht, dies zu tun, da einige der Probleme immer noch bestehen und es einfach keine offensichtlichen Vorteile im Vergleich zur Verwendung der Domain corp.my-company.com gibt (der Name wird als Beispiel genommen).
Für diejenigen, die alles auf ihre eigene Art und Weise tun möchten, werden kürzlich auch Probleme mit Zertifikaten hinzugefügt, sodass es keinen Sinn macht, jetzt überhaupt interne Namen zu verwenden.
Die Frage der Auswahl eines Domainnamens hängt technisch von der Zeile ab, in der Sie den Namen beim Erstellen einer AD-Domain notieren, und nicht mehr. Die Konsequenzen, die mit einer falschen Namenswahl verbunden sind, werden Ihnen jedoch in Zukunft viele Probleme bereiten. Daher ist es sehr wichtig, dass Sie in der Planungsphase alles effizient erledigen. Es ist wieder eine gute Idee, Artikel von erfahrenen Administratoren zu lesen
Kurz gesagt, mit AD können Sie für alle veröffentlichten Ressourcen einen einzigen Verwaltungspunkt festlegen. AD basiert auf dem X.500-Namensstandard, dem DNS (Domain Name System) für den Standort, und verwendet das LDAP (Lightweight Directory Access Protocol) als primäres Protokoll.
AD integriert die logische und physische Struktur des Netzwerks. Die logische Struktur von AD besteht aus folgenden Elementen:
- organisationseinheit - eine Untergruppe von Computern, die normalerweise die Struktur des Unternehmens widerspiegelt;
- domain - eine Gruppe von Computern, die eine gemeinsame Katalogdatenbank gemeinsam nutzen;
- domänenbaum - eine oder mehrere Domänen, die einen zusammenhängenden Namespace gemeinsam nutzen;
- domänenstruktur - ein oder mehrere Bäume, die Verzeichnisinformationen gemeinsam nutzen.
Die physikalische Struktur enthält die folgenden Elemente:
- subnetz - eine Netzwerkgruppe mit einem bestimmten Bereich von IP-Adressen und einer Netzwerkmaske;
- website (Website) - ein oder mehrere Subnetze. Die Site wird zum Konfigurieren des Verzeichniszugriffs und zur Replikation verwendet.
Der Katalog speichert drei Arten von Informationen: Domänendaten, Schemadaten und Konfigurationsdaten. AD verwendet nur Domänencontroller. Domänendaten werden auf alle Domänencontroller repliziert. Alle Domänencontroller sind gleich, d.h. Alle von einem Domänencontroller vorgenommenen Änderungen werden auf alle anderen Domänencontroller repliziert. Das Schema und die Konfigurationsdaten werden auf alle Domänen in der Baumstruktur oder Gesamtstruktur repliziert. Darüber hinaus werden alle einzelnen Domänenobjekte und einige Eigenschaften von Gesamtstrukturobjekten in den globalen Katalog (GC) repliziert. Dies bedeutet, dass der Domänencontroller das Schema für die Baumstruktur oder Gesamtstruktur, Konfigurationsinformationen für alle Domänen in der Baumstruktur oder Gesamtstruktur sowie alle Verzeichnisobjekte und -eigenschaften für seine eigene Domäne speichert und repliziert.
Der Domänencontroller, auf dem der GC gespeichert ist, enthält und repliziert Schemainformationen für die Gesamtstruktur, Konfigurationsinformationen für alle Domänen in der Gesamtstruktur und einen begrenzten Satz von Eigenschaften für alle Verzeichnisobjekte in der Gesamtstruktur (die nur zwischen GC-Servern repliziert werden) sowie alle Verzeichnisobjekte und Eigenschaften für Deine Domain.
Domänencontroller können unterschiedliche Betriebsmasterfunktionen haben. Der Operations Master löst Aufgaben, die in einem Multi-Master-Replikationsmodell unpraktisch sind.
Es gibt fünf Operationsmaster-Rollen, die einem oder mehreren Domänencontrollern zugewiesen werden können. Einige Rollen müssen auf Gesamtstrukturebene eindeutig sein, andere auf Domänenebene.
Jede AD-Gesamtstruktur hat die folgenden Rollen:
- Schema-Master - Verwaltet Aktualisierungen und Änderungen am Verzeichnisschema. Um das Katalogschema zu aktualisieren, benötigen Sie Zugriff auf den Schemamaster. Um festzustellen, welcher Server derzeit der Master des Schemas in der Domäne ist, müssen Sie den Befehl in das Eingabeaufforderungsfenster eingeben dsquery server -hasfsmo Schema
- Domain-Namensmaster - verwaltet das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Um eine Domain hinzuzufügen oder zu entfernen, benötigen Sie Zugriff auf den Domain-Namensmaster. Geben Sie an einer Eingabeaufforderung dsquery server -hasismo name ein, um festzustellen, welcher Server derzeit der Domänennamen-Master ist
Diese Rollen sind dem gesamten Wald gemeinsam und in diesem Wald einzigartig.
Jede AD-Domäne muss die folgenden Rollen haben:
- Relativer ID-Master - weist Domänencontrollern relative Kennungen zu. Jedes Mal, wenn ein Benutzer, eine Gruppe oder ein Computerobjekt erstellt wird, weisen die Controller dem Objekt eine eindeutige SID zu, die aus einer Domänen-SID und einer eindeutigen ID besteht, die vom relativen ID-Master zugewiesen wurde. Geben Sie an einer Eingabeaufforderung dsquery server -hasfsmo rid ein, um festzustellen, welcher Server derzeit der Master der relativen Domänen-IDs ist
- PDC-Emulator (PDC-Emulator) - Im gemischten oder Staging-Domänenmodus fungiert er als Windows NT-Masterdomänencontroller. Es authentifiziert die Windows-Anmeldung, verarbeitet Kennwortänderungen und repliziert gegebenenfalls Aktualisierungen auf den BDC. Geben Sie an einer Eingabeaufforderung dsquery server -hasfsmo pdc ein, um festzustellen, welcher Server derzeit der Domänen-PDC-Emulator ist
- Infrastruktur-Master - Aktualisiert Objektreferenzen durch Vergleich der Katalogdaten mit GC-Daten. Wenn die Daten veraltet sind, werden Aktualisierungen vom GC angefordert und auf die übrigen Domänencontroller repliziert. Geben Sie an einer Eingabeaufforderung dsquery server -hasfsmo infr ein, um festzustellen, welcher Server derzeit der Domäneninfrastruktur-Master ist
Diese Rollen sind für die gesamte Domäne gleich und müssen innerhalb dieser Domäne eindeutig sein.
Operationsmaster-Rollen werden automatisch dem ersten Controller in der Domäne zugewiesen, können jedoch später von Ihnen neu zugewiesen werden. Wenn nur ein Domänencontroller vorhanden ist, werden alle Rollen des Operations Masters gleichzeitig ausgeführt.
Es wird nicht empfohlen, die Schemamaster- und Domänennamen-Masterrollen zu trennen. Weisen Sie sie nach Möglichkeit einem einzelnen Domänencontroller zu. Für die größte Effizienz ist es wünschenswert, dass sich der Master der relativen Kennungen und der PDC-Emulator ebenfalls auf demselben Controller befinden, obwohl diese Rollen bei Bedarf getrennt werden können. In einem großen Netzwerk, in dem starke Lasten die Leistung beeinträchtigen, sollten sich der RID-Master und der PDC-Emulator auf separaten Controllern befinden. Es wird auch nicht empfohlen, den Infrastrukturmaster auf einem Domänencontroller zu hosten, auf dem der globale Katalog gespeichert ist.
Installieren eines Windows Server 2003-Domänencontrollers (DC) mithilfe des Active Directory-Installationsassistenten
Die Installation des Domänencontrollers wird mithilfe des Active Directory-Installationsassistenten durchgeführt. Um den Serverstatus auf einen Domänencontroller zu übertragen, müssen Sie sicherstellen, dass alle Anforderungen dafür erfüllt sind:
- Der Server muss über mindestens eine NTFS-Partition verfügen, um das SYSVOL-Systemvolume aufzunehmen.
- Der Server muss Zugriff auf den DNS-Server haben. Es wird empfohlen, den DNS-Dienst auf demselben Server zu installieren. Wenn Sie einen separaten Server verwenden, müssen Sie sicherstellen, dass er Service Location-Ressourceneinträge (RFC 2052) und dynamische Updates (RFC 2136) unterstützt.
- Sie müssen über ein Konto mit lokalen Administratorrechten auf dem Server verfügen.
Schauen wir uns die Heraufstufung einer Serverrolle zu einem Active Directory-Domänencontroller in Schritten genauer an:
Grundlagen der Active Directory-Domänenverwaltung
Eine Reihe von Tools in den MMC-Snap-Ins (Microsoft Management Console) erleichtern die Arbeit mit Active Directory.
Das Snap-In (Active Directory-Benutzer und -Computer) ist eine MMC, mit der Sie Informationen verwalten und im Verzeichnis veröffentlichen können. Es ist das Hauptverwaltungstool für Active Directory und wird zum Ausführen aller Aufgaben in Bezug auf Benutzer, Gruppen und Computer sowie zum Verwalten von Organisationseinheiten verwendet.
Wählen Sie zum Starten des Snap-Ins (Active Directory - Benutzer und Computer) den gleichnamigen Befehl im Menü Verwaltung aus.
Standardmäßig arbeitet die Active Directory-Benutzer- und Computerkonsole mit der Domäne, zu der Ihr Computer gehört. Sie können über die Konsolenstruktur auf die Computer- und Benutzerobjekte in dieser Domäne zugreifen oder eine Verbindung zu einer anderen Domäne herstellen. Mit den Werkzeugen derselben Konsole können Sie zusätzliche Parameter von Objekten anzeigen und nach ihnen suchen.
Nach dem Zugriff auf die Domäne wird ein Standardsatz von Ordnern angezeigt:
- Gespeicherte Abfragen (Gespeicherte Abfragen) - Gespeicherte Suchkriterien, mit denen Sie eine zuvor durchgeführte Suche in Active Directory schnell wiederholen können.
- Eingebaut - eine Liste der integrierten Benutzerkonten;
- Computers - Standardcontainer für Computerkonten;
- Domänencontroller - der Standardcontainer für Domänencontroller;
- ForeignSecurityPrincipals - enthält Informationen zu Objekten aus einer vertrauenswürdigen externen Domäne. In der Regel werden diese Objekte erstellt, wenn Sie der aktuellen Domänengruppe ein Objekt aus einer externen Domäne hinzufügen.
- Benutzer Ist der Standardcontainer für Benutzer.
Einige Konsolenordner werden standardmäßig nicht angezeigt. Wählen Sie im Menü Ansicht die Option Erweiterte Funktionen, um sie anzuzeigen. Diese zusätzlichen Ordner sind:
- Verloren und gefunden - verlorener Besitzer, Katalogobjekte;
- NTDS-Kontingente - Daten zu Kontingenten für den Verzeichnisdienst;
- Programmdaten - im Verzeichnisdienst für Microsoft-Anwendungen gespeicherte Daten;
- System - eingebaute Systemparameter.
Sie können dem AD-Baum selbst Ordner für Organisationseinheiten hinzufügen.
Schauen wir uns ein Beispiel für die Erstellung eines Domänenbenutzerkontos an. Um ein Benutzerkonto zu erstellen, klicken Sie mit der rechten Maustaste auf den Container, in den Sie das Benutzerkonto einfügen möchten, und wählen Sie in aus kontextmenü Neu und dann Benutzer. Der Assistent für neue Objekte - Benutzer wird geöffnet:
- Geben Sie den Vor-, Vor- und Nachnamen des Benutzers in die entsprechenden Felder ein. Sie benötigen diese Informationen, um Ihren Anzeigenamen zu erstellen.
- Bearbeiten Sie den vollständigen Namen. Es muss in der Domäne eindeutig sein und darf nicht länger als 64 Zeichen sein.
- Geben Sie Ihren Anmeldenamen ein. Verwenden Sie die Dropdown-Liste, um die Domäne auszuwählen, der das Konto zugeordnet werden soll.
- Ändern Sie gegebenenfalls den Benutzernamen, um sich bei Systemen mit Windows NT 4.0 oder früher anzumelden. Standardmäßig als Anmeldename mit vorherige Versionen Windows verwendet die ersten 20 Zeichen des vollständigen Benutzernamens. Dieser Name muss auch in der gesamten Domäne eindeutig sein.
- Klicken Nächster. Geben Sie ein Kennwort für den Benutzer ein. Die Parameter müssen mit Ihrer Kennwortrichtlinie übereinstimmen.
Passwort bestätigen - Das Feld zur Bestätigung des eingegebenen Passworts ist korrekt.
Der Benutzer muss das Passwort bei der nächsten Anmeldung ändern (Kennwortänderung bei nächster Anmeldung erforderlich) - Wenn dieses Kontrollkästchen aktiviert ist, muss der Benutzer das Kennwort bei der nächsten Anmeldung ändern.
Benutzer kann Passwort nicht ändern - Wenn diese Option aktiviert ist, kann der Benutzer das Passwort nicht ändern.
Kennwort läuft nie ab - Wenn dieses Kontrollkästchen aktiviert ist, ist das Kennwort für dieses Konto nicht abgelaufen (diese Einstellung überschreibt die Richtlinien für Domänenkonten).
Konto ist deaktiviert - Wenn diese Option aktiviert ist, ist das Konto deaktiviert (diese Option ist nützlich, um jemanden vorübergehend von der Verwendung dieses Kontos auszuschließen).
In Konten können Sie Kontaktinformationen von Benutzern sowie Informationen zur Teilnahme an verschiedenen Domänengruppen, zum Pfad zum Profil, zum Anmeldeskript, zum Pfad des Basisordners, zur Liste der Computer, von denen aus der Benutzer die Domäne betreten darf, usw. speichern.
Anmeldeskripte definieren die Befehle, die bei jeder Anmeldung ausgeführt werden. Mit ihnen können Sie die Systemzeit anpassen. netzwerkdrucker, Der Weg zu netzwerklaufwerke usw. Skripte werden verwendet, um Befehle einmal auszuführen, und die Umgebungseinstellungen der Skripte werden nicht zur späteren Verwendung gespeichert. Anmeldeskripte können Windows Script Host-Dateien mit den Erweiterungen .VBS, .JS und anderen sein, Batch-Dateien mit der Erweiterung .BAT, batch-Dateien mit der Erweiterung .CMD Programme mit der Erweiterung .EXE.
Sie können jedem Konto einen eigenen Basisordner zum Speichern und Wiederherstellen von Benutzerdateien zuweisen. Die meisten Anwendungen öffnen standardmäßig ihren Basisordner, um Dateien zu öffnen und zu speichern, sodass Benutzer ihre Daten leichter finden können. In der Befehlszeile ist der Basisordner das anfängliche aktuelle Verzeichnis. Der Basisordner kann sich sowohl auf der lokalen Festplatte des Benutzers als auch auf einem öffentlichen Netzwerklaufwerk befinden.
Nach Domain konten Computer und Benutzer können Gruppenrichtlinien anwenden. Gruppenrichtlinie Vereinfacht die Verwaltung, indem Administratoren eine zentrale Kontrolle über die Berechtigungen, Berechtigungen und Funktionen von Benutzern und Computern erhalten. Mit Gruppenrichtlinien können Sie:
- erstellen Sie zentral verwaltete Spezialordner, z. B. Eigene Dateien.
- zugriff kontrollieren auf windows-Komponenten, System- und Netzwerkressourcen, Bedienfeldtools, Desktop und Startmenü;
- konfigurieren Sie Skripte für Benutzer und Computer, um eine Aufgabe zu einem bestimmten Zeitpunkt auszuführen.
- konfigurieren Sie Richtlinien für Kennwörter und Kontosperrungen, Überwachung, Zuweisung von Benutzerrechten und Sicherheit.
Neben den Aufgaben der Benutzerverwaltung konten und Gruppen gibt es viele andere Domänenverwaltungsaufgaben. Hierfür werden andere Snap-Ins und Anwendungen verwendet.
Takelwerk Active Directory-Domänen und -Vertrauensstellungen (Active Directory - Domänen und Vertrauensstellungen) wird zum Arbeiten mit Domänen, Domänenbäumen und Domänengesamtstrukturen verwendet.
Takelwerk Active Directory-Standorte und -Dienste Mit (Active Directory - Sites und Dienste) können Sie Sites und Subnetze sowie die Replikation zwischen Standorten verwalten.
Es gibt Befehlszeilentools zum Verwalten von AD-Objekten, mit denen Sie eine Vielzahl von Verwaltungsaufgaben ausführen können:
- Dsadd - Fügt Active Directory Computer, Kontakte, Gruppen, Organisationseinheiten und Benutzer hinzu. Um Hilfe zu erhalten, geben Sie dsadd /? z. B. dsadd computer /?
- Dsmod - Ändert die Eigenschaften von Computern, Kontakten, Gruppen, Organisationseinheiten, Benutzern und Servern, die in Active Directory registriert sind. Um Hilfe zu erhalten, geben Sie dsmod /? z. B. dsmod server /?
- Dsmove - Verschiebt ein einzelnes Objekt an einen neuen Ort innerhalb der Domäne oder benennt ein Objekt um, ohne es zu verschieben.
- Dsget - Zeigt die Eigenschaften von Computern, Kontakten, Gruppen, Organisationseinheiten, Benutzern, Standorten, Subnetzen und Servern an, die in Active Directory registriert sind. Um Hilfe zu erhalten, geben Sie dsget /? z. B. dsget subnet /?
- Dsquery - Suche nach Computern, Kontakten, Gruppen, Organisationseinheiten, Benutzern, Standorten, Subnetzen und Servern in Active Directory nach festgelegten Kriterien.
- Dsrm - Entfernt ein Objekt aus Active Directory.
- Ntdsutil - Ermöglicht das Anzeigen von Informationen zu einer Site, Domäne oder einem Server, das Verwalten von Betriebsmastern und das Verwalten der Active Directory-Datenbank.
Es gibt auch Active Directory-Supporttools:
- Ldp - Führt LDAP-Vorgänge in der Active Directory-Verwaltung aus.
- Replmon - Verwaltet die Replikation und zeigt die Ergebnisse in einer grafischen Oberfläche an.
- Dsacls - Verwaltet ACLs (Zugriffssteuerungslisten) für Active Directory-Objekte.
- Dfsutil - Verwaltet verteilt dateisystem (Distributed File System, DFS) und zeigt Informationen zu dessen Betrieb an.
- Dnscmd - Verwaltet die Eigenschaften von DNS-Servern, Zonen und Ressourceneinträgen.
- Movetree - Verschiebt Objekte von einer Domäne in eine andere.
- Repadmin - Verwaltet die Replikation und zeigt die Ergebnisse im Befehlszeilenfenster an.
- Sdcbeck - Analysiert die Verteilung, Replikation und Vererbung von ACLs.
- Sidwalker - Gibt ACLs für Objekte an, deren Eigentümer zuvor verschobene, gelöschte oder verwaiste Konten waren.
- Netdom - Ermöglicht die Verwaltung von Domänen und Vertrauensstellungen über die Befehlszeile.
Wie Sie diesem Artikel entnehmen können, können Sie durch die Kombination von Computergruppen zu Domänen auf Basis von Active Directory die Kosten für Verwaltungsaufgaben erheblich senken, indem Sie die Verwaltung von Domänencomputern und Benutzerkonten zentralisieren. Außerdem können Sie Benutzerrechte, Sicherheit und eine Vielzahl anderer Parameter flexibel verwalten. Ausführlicheres Material zum Organisieren von Domänen finden Sie in der einschlägigen Literatur.
