Qu'est-ce qu'un contrôleur de domaine
Un contrôleur de domaine fournit une gestion centralisée des périphériques réseau, c'est-à-dire des domaines. Le contrôleur stocke toutes les informations des comptes et des paramètres des utilisateurs du réseau. Ce sont des paramètres de sécurité, politique locale et plein d'autres. C'est une sorte de serveur qui contrôle complètement un réseau ou un groupe de réseaux spécifique. Un contrôleur de domaine est, en quelque sorte, un ensemble de logiciels spéciaux qui lance divers services actifs Annuaire. Les contrôleurs exécutent des systèmes d'exploitation spécifiques tels que Windows Server 2003. Assistant installations actives Drive vous permet de créer des contrôleurs de domaine.
Le système d'exploitation Windows NT utilise le contrôleur de domaine principal comme serveur principal. Les autres serveurs utilisés sont utilisés comme contrôleurs de sauvegarde. Les contrôleurs PDC de base peuvent résoudre diverses tâches liées à l'appartenance à un groupe d'utilisateurs, à la création et à la modification de mots de passe, à l'ajout d'utilisateurs et bien d'autres. Les données sont ensuite transférées vers des contrôleurs BDC supplémentaires.
Peut être utilisé comme contrôleur de domaine logiciel Samba 4 si un système d'exploitation Unix est installé. Ce logiciel prend également en charge d'autres systèmes d'exploitation tels que Windows 2003, 2008, 2003 R2 et 2008 R2. Chacun des systèmes d'exploitation peut être étendu, si nécessaire, en fonction des exigences et des paramètres spécifiques.
Utilisation de contrôleurs de domaine
Les contrôleurs de domaine sont utilisés par de nombreuses organisations dans lesquelles se trouvent des ordinateurs connectés les uns aux autres et au réseau. Les contrôleurs stockent les données du répertoire et contrôlent l'entrée et la sortie des utilisateurs dans le système, ainsi que gèrent l'interaction entre eux.
Les organisations utilisant un contrôleur de domaine doivent décider du nombre à utiliser, planifier l'archivage des données, la sécurité physique, les mises à niveau du serveur et d'autres tâches nécessaires.
Si l'entreprise ou l'organisation est petite et qu'un seul réseau de domaine est utilisé, il suffit d'utiliser deux contrôleurs, capables d'assurer une stabilité élevée, une tolérance aux pannes et un niveau élevé de disponibilité du réseau. Dans les réseaux divisés en un certain nombre de sites, un contrôleur est installé sur chacun d'eux, ce qui permet d'atteindre les performances et la fiabilité nécessaires. En utilisant des contrôleurs sur chaque site, il est possible de simplifier considérablement la connexion des utilisateurs et de la rendre plus rapide.
Le trafic réseau peut être optimisé pour ce faire en définissant l'heure de mise à jour de la réplication lorsque la charge sur le réseau est minimale. La configuration de la réplication simplifiera considérablement votre travail et le rendra plus productif.
Vous pouvez obtenir des performances maximales dans le travail du contrôleur si le domaine est un catalogue global, ce qui vous permettra d'interroger tous les objets selon un poids spécifique. Cependant, il est important de se rappeler que l'activation du catalogue global entraîne une augmentation significative du trafic de réplication.
Il est préférable de ne pas activer le contrôleur de domaine maître si plusieurs contrôleurs de domaine sont utilisés. Lors de l'utilisation d'un contrôleur de domaine, il est très important de veiller à la sécurité, car elle devient suffisamment accessible pour les attaquants qui veulent prendre en charge les données dont ils ont besoin pour tromper.
Fonctionnalités d'installation contrôleurs supplémentaires domaine
Afin d'obtenir une plus grande fiabilité dans le fonctionnement des services réseau nécessaires, il est nécessaire d'installer des contrôleurs de domaine supplémentaires. En conséquence, une stabilité, une fiabilité et une sécurité de fonctionnement nettement supérieures peuvent être obtenues. Dans ce cas, les performances du réseau deviendront beaucoup plus élevées, ce qui est un paramètre très important pour les organisations qui utilisent un contrôleur de domaine.
Pour que le contrôleur de domaine fonctionne correctement, certains travail préparatoire... La première chose à faire est de vérifier les paramètres TCP / IP, ils doivent être correctement définis pour le serveur. La chose la plus importante est de vérifier les noms DNS pour les correspondances.
Pour le fonctionnement sécurisé du contrôleur de domaine, il est nécessaire d'utiliser le système de fichiers NTFS, qui offre une sécurité supérieure par rapport aux systèmes de fichiers FAT 32. Pour l'installation sur le serveur, vous devez créer une partition dans le système de fichiers NTFS, qui contiendra le volume système. Vous devez également accéder au serveur DNS à partir du serveur. DNS est installé sur ce serveur ou sur un serveur supplémentaire qui doit prendre en charge les enregistrements de ressources.
Afin de configurer correctement le contrôleur de domaine, vous pouvez utiliser l'assistant de configuration, avec lequel vous pouvez ajouter l'exécution de rôles spécifiques. Pour ce faire, vous devrez vous rendre dans la section administration via le panneau de configuration. Vous devez spécifier un contrôleur de domaine comme rôle serveur.
Le contrôleur de domaine est aujourd'hui indispensable pour les réseaux et sites utilisés par diverses organisations, institutions et entreprises dans tous les domaines de l'activité humaine. Grâce à lui, une productivité et une sécurité élevées sont assurées, ce qui en réseaux informatiques revêt une importance particulière. Le rôle d'un contrôleur de domaine est très important car il vous permet de gérer les étendues de domaine créées sur des réseaux informatiques. Chaque système d'exploitation a certaines nuances associées au fonctionnement des contrôleurs de domaine, mais le principe et son objectif sont les mêmes partout, donc comprendre les paramètres n'est pas aussi difficile que cela puisse paraître au tout début. Cependant, il est très important que les contrôleurs de domaine soient configurés par des experts afin d'obtenir grande productivité et la sécurité pendant le travail.
Dans de rares cas, l'administrateur des services de domaine peut être confronté à la tâche de renommer le domaine actuel. Les raisons peuvent être différentes, mais cette situation est tout à fait possible. Bien que cette tâche ne puisse pas être qualifiée d'insignifiante, mais que vous devez parfois y faire face, il est extrêmement important de tout faire correctement, car sinon le résultat des événements peut être extrêmement dangereux, jusqu'à une infrastructure d'entreprise complètement inopérante. Ainsi, plus loin dans cet article, vous découvrirez les conditions préalables à l'exécution de cette opération, certaines restrictions et la manière dont vous pouvez renommer votre domaine. Avant de commencer, veuillez ne pas effectuer ces étapes dans un environnement de production tant que vous n’avez pas renommé votre domaine de test dans un environnement de laboratoire. Commençons.
Conditions préalables
Avant de commencer à renommer votre domaine, assurez-vous de prendre en compte les informations suivantes:
- Niveau fonctionnel de la forêt Active Directory... Vous pouvez effectuer des tâches de changement de nom de domaine uniquement si tous les domaines de la forêt sont équipés d'au moins Windows Server 2003 (dans ce cas, il n'y a pas de restrictions d'édition). De plus, le niveau fonctionnel doit être élevé au moins au niveau de Windows Server 2003. Autrement dit, si vous avez sélectionné le niveau fonctionnel de Windows Server 2000 dans la forêt, l'opération suivante deviendra simplement impossible;
- Emplacement du domaine... Il peut y avoir différents niveaux de domaines dans une forêt Active Directory. Autrement dit, il peut y avoir un domaine distinct ou une forêt peut inclure des domaines enfants. Dans le cas où vous modifiez l'emplacement du contrôleur de domaine dans la forêt, vous devrez créer une relation d'approbation;
- Zone DNS... Avant d'effectuer l'opération de changement de nom de domaine, vous devez créer une nouvelle zone DNS;
- Identifiants administratifs... Pour effectuer l'opération de changement de nom de domaine, vous devez être connecté avec un compte administratif membre du groupe Administrateurs de l'entreprise;
- Serveurs DFS (Distributed File System)... Si votre environnement d'entreprise a déployé DFS ou des profils itinérants configurés, veuillez noter que les serveurs racine DFS doivent être exécutés au moins système opérateur Windows Server 2000 avec Service Pack 3 ou systèmes d'exploitation supérieurs;
- Incompatibilité avec les serveurs Microsoft Exchange... Le point le plus désagréable est que si le serveur de messagerie Microsoft Exchange Server 2003 Service Pack 1 est déployé dans votre forêt Active Directory, le changement de nom de domaine sera effectué sans aucun problème, mais le compte d'utilisateur sous lequel le processus de changement de nom de domaine sera effectué devrait être membre du groupe Administrateur Exchange complet. De plus en plus moderne serveurs de messagerie (y compris Exchange Server 2016) sont incompatibles avec les opérations de changement de nom de domaine.
Notez également que vous devez geler toutes les configurations de forêt Active Directory à venir pendant que le domaine est renommé. En d'autres termes, vous devez vous assurer que la configuration de votre forêt ne change pas tant que l'opération de changement de nom de domaine n'est pas terminée (voir ci-dessous pour savoir comment effectuer cette étape). Ces opérations incluent: la création ou la suppression de domaines au sein de votre forêt Active Directory, la création ou la suppression de partitions d'annuaire d'applications, l'ajout ou la suppression de contrôleurs de domaine dans la forêt, la création ou la suppression d'une approbation directement établie et l'ajout ou la suppression d'attributs qui seront répliqués sur le global catalogue.
Au cas où, je vous suggère également de faire une sauvegarde complète de l'état du système sur chaque contrôleur de domaine de votre forêt Active Directory. Si vous terminez cette tâche, cette précaution ne sera certainement pas superflue.
Dans le cas où votre infrastructure répond aux exigences mentionnées ci-dessus et que toutes les sauvegardes requises ont été effectuées, vous pouvez procéder au processus de changement de nom du domaine.
Processus de changement de nom de domaine Active Directory
Tout d'abord, afin de vérifier le nom d'origine de votre domaine, vous pouvez ouvrir la fenêtre des propriétés du système. Comme vous pouvez le voir dans l'illustration associée, mon domaine s'appelle "Biopharmaceutic.local":
Figure: 1. Vérification du nom de domaine Active Directory d'origine
Vous devez maintenant créer une nouvelle zone DNS "biopharm.local" afin qu'après un changement de nom de domaine réussi, vos serveurs membres et clients puissent facilement rejoindre le nouveau nom de domaine. Pour ce faire, ouvrez " Gestionnaire DNS» ( Gestionnaire DNS) et être dans " Zone de visualisation en direct» ( Zone de recherche directe) sélectionnez l'option pour créer une nouvelle zone. En gros, la zone est créée comme d'habitude: sur la première page de l'assistant de création d'une nouvelle zone, vous devriez lire les informations d'introduction et aller à la deuxième page. Sur la page du type de zone, sélectionnez la zone principale ( Zone principale) et assurez-vous que l'option d'enregistrement de la zone dans Active Directory est activée. Sur la page des étendues de réplication de zone, laissez l'option par défaut - " Pour tous les serveurs DNS exécutés sur des contrôleurs de domaine de ce domaine: Biopharmaceutic.local» ( À tous les serveurs DNS exécutés sur des contrôleurs de domaine dans ce domaine: Biopharmaceutic.local). Sur la page de nom de zone, spécifiez le nouveau nom de domaine (biopharm.local), et sur la page de mise à jour dynamique, laissez également l'option " Autoriser uniquement les mises à jour dynamiques sécurisées (recommandé pour Active Directory)» ( Autoriser uniquement les mises à jour dynamiques sécurisées (recommandé pour Active Directory)) qui est sélectionné par défaut. Vous pouvez voir plusieurs étapes de création d'une nouvelle zone ci-dessous:
Figure: 2. Créez une nouvelle zone DNS
La prochaine étape du changement de nom de domaine consiste à générer une description de l'état actuel de la forêt. En fait, il s'agit de la première opération de changement de nom de domaine dans laquelle l'utilitaire sera utilisé ligne de commande Rendom... Cet utilitaire générera une description textuelle de votre structure de forêt actuelle sous la forme d'un fichier XML nommé Domainlist.xml. Ce fichier contient une liste de toutes les partitions d'annuaire de domaine ainsi que des partitions d'annuaire d'applications qui résident dans votre forêt Active Directory. Chaque entrée pour chaque domaine et partition d'annuaire d'application est délimitée par des balises XML
Pour créer un tel fichier, ouvrez la ligne de commande sous le compte approprié et exécutez la commande " aléatoire / liste". Le fichier généré sera enregistré dans le répertoire racine de votre compte utilisateur. Ensuite, vous devrez ouvrir ce fichier à l'aide de n'importe quel éditeur de texte.
Dans ce fichier, vous devez changer le nom de domaine à l'intérieur de la section, qui est délimitée par des balises
Dans l'illustration suivante, vous verrez le processus d'exécution de la commande ci-dessus, l'emplacement du fichier Domainlist.xml et les modifications apportées à la première section de ce fichier. Dans mon cas, le nom de domaine dans cette configuration sera changé 4 fois:
Figure: 3. Génération et modification du fichier Domainlist.xml
Afin de vous assurer que vous avez apporté les modifications requises au fichier correspondant, vous pouvez exécuter la commande " rendom / showforest". Comme vous pouvez le voir dans l'illustration suivante, toutes mes entrées ont changé en "Bopharm":
Figure: 4. Afficher les changements potentiels
Lorsque vous exécutez la commande suivante ( rendre / télécharger), l'utilitaire Rendom traduit la nouvelle structure de forêt spécifiée dans le fichier modifié en une séquence d'instructions de mise à jour de répertoire qui s'exécutera localement et à distance sur chaque contrôleur de domaine de la forêt. En termes généraux, à ce stade, des modifications seront apportées dans la section du répertoire de configuration de l'assistant d'attribution de noms de domaine pour renommer le domaine Active Directory. En outre, un fichier Dclist.xml sera créé et utilisé pour suivre la progression et l'état de chaque contrôleur de domaine dans la forêt pour l'opération de changement de nom de domaine. À ce stade, l'utilitaire Rendom empêche votre forêt Active Directory d'apporter des modifications à sa configuration. Le processus d'exécution de cette commande est illustré ci-dessous:
Figure: 5. Exécution de la commande rendom / upload
La commande suivante est exécutée pour vérifier l'état de préparation des contrôleurs de domaine avant l'opération de changement de nom de domaine. Au cours de cette étape, vous devez exécuter la commande de contrôle préparatoire sur chaque contrôleur de domaine de la forêt... Cela permet de garantir que la base de données Active Directory sur chaque contrôleur de domaine de la forêt est dans l'état correct et prête à apporter des modifications qui renommeront votre domaine. Par conséquent, exécutez la commande " rendre / préparer"Comme indiqué dans l'illustration suivante:
Figure: 6. Préparation du domaine pour le changement de nom
Le moment le plus crucial. Exécution de la commande " rendre / exécuter". Lorsque vous exécutez cette commande, les instructions de changement de nom de domaine sont suivies sur le domaine. Essentiellement, à ce moment précis, chaque contrôleur de domaine de la forêt est accédé individuellement, ce qui oblige chaque contrôleur de domaine à suivre les instructions pour renommer le domaine. À la fin de cette opération, chaque contrôleur de domaine sera redémarré. Reportez-vous à l'illustration suivante pour le processus de changement de nom de domaine:
Figure: 7. Processus de changement de nom de domaine
Mais ce n'est pas tout. Même si votre domaine a essentiellement déjà été renommé, vous avez toujours la tâche de corriger les objets de stratégie de groupe et leurs liens une fois l'opération de changement de nom de domaine terminée. Utilisez l'utilitaire de ligne de commande pour restaurer les objets de stratégie de groupe et les objets de stratégie de groupe dans chaque domaine renommé Gpfixup.exe... Cette procédure ne peut pas être négligée en raison du fait que sans son utilisation, une fois l'opération de changement de nom de domaine terminée dans la nouvelle forêt, la stratégie de groupe ne fonctionnera tout simplement pas correctement. Veuillez noter que cette commande doit être exécutée une fois dans chaque domaine renommé. Par conséquent, exécutez la commande une fois gpfixup avec paramètres /olddns:Biopharmaceutique.local (l'ancien nom du domaine que vous avez renommé) et /newdns:Biopharm.local (nouveau nom de domaine renommé) puis commande gpfixup avec paramètres / oldnb: Biopharmaceutique et / newnb: Biopharm (les anciens et nouveaux noms NETBIOS de votre domaine, respectivement). Cette procédure est visible ci-dessous:
Figure: 8. Réparation des objets de stratégie de groupe
Il ne reste plus que deux commandes à exécuter: la commande " rendre / nettoyer"Ce qui vous permet de supprimer toutes les références aux anciens noms de domaine dans votre Active Directory, ainsi que la commande" rendom / end", En fait, libérer la forêt Active Directory de la modification de sa configuration. Vous pouvez voir le processus d'exécution de ces commandes dans l'illustration suivante:
Figure: 9. Achèvement du changement de nom du domaine Active Directory
Vous devrez redémarrer leurs ordinateurs deux fois pour que les modifications soient appliquées aux serveurs membres et aux clients finaux. Cependant, vous devrez renommer manuellement les contrôleurs de domaine. Comme vous pouvez le voir dans l'illustration suivante, le nom de mon contrôleur de domaine reste le même.
Hier, notre studio a reçu une lettre de notre lecteur régulier Andrey, avec une question:
Je suis heureux de lire votre blog, j'ai appris beaucoup de choses utiles pour moi-même, je voulais connaître votre opinion sur le nom de domaine Active Directory, beaucoup écrivent qu'il vaut la peine de l'appeler * organisation * .local, et quelqu'un écrit qu'il devrait être appelé de la même manière que le domaine.
Jetons un coup d'œil sur le meilleur nom à utiliser pour nommer un domaine au sein d'une organisation.
Comme le montre la pratique, le choix d'un nom de domaine peut dérouter même un administrateur système expérimenté. Lorsque vous exécutez l'utilitaire pour la première fois dcpromo le nom de domaine sera généré automatiquement et aléatoirement, si à ce stade le nom de domaine n'est pas mis en conformité avec les règles nécessaires, il sera alors plus difficile de changer le nom de domaine à l'avenir. Jetons un coup d'œil aux options par ordre de popularité.
1. Un domaine nommé example.local
Le leader de notre hit parade est le nom de domaine se terminant par local. Il existe d'autres variantes sur ce thème, par exemple tester, firma, usine, nn, loc, etc. Maintenant, vous ne pouvez même pas vous souvenir d'où vient cet amour, dans tous ses livres, Microsoft utilise toujours sa propre dénomination du formulaire contoso.comoù nous voyons clairement format de dénomination de domaine... Pourtant, depuis près de 10 ans, le domaine .local occupait une position de leader. La situation a commencé à se stabiliser avec l'arrivée de services utilisant dans leur travail Certificats SSL... Là où l'utilisation de domaines «ne se soucient pas et donc descendra» devient impossible. Voir, disons que votre entreprise utilise en interne Serveur d'échangequi a besoin d'un certificat SSL pour crypter les connexions client. Selon votre scénario, vous avez besoin d'un certificat pour accomplir cette tâche. autorité de certification externe, dans lequel vous devez spécifier tous les noms des serveurs utilisés pour la connexion externe. Il semblerait qu'une telle chose, nous notons tous les noms de serveurs et demandons la délivrance de certificats, mais il y a une chose. Avec le nom d'un tel domaine vous ne pourrez pas passer la validation, étant donné que le domaine «ne se soucient pas et donc descendra» n'existe pas et, lors d'une tentative d'expliquer à une autorité de certification externe que vous devez pousser le nom FQDN d'un domaine qui n'existe pas dans le SAN, vous recevrez un refus souple:
Ce n'est pas possible, nous émettons uniquement des certificats pour de vrais noms de domaine.
Mais il y a une autre nuisance. Utilisation du nom de domaine ne t'appartenant pas dans un nom de domaine peut être désastreux. Imaginez la situation si la zone local aura un statut public. Comme une zone com ou ru... Je pense que ça ne vaut pas la peine de continuer 🙂
2. Le nom de domaine est le même que le nom de domaine externe
La deuxième place de notre hit parade. Malgré le fait que ce scénario soit moins populaire, il a toujours droit à la vie. En plus du fait que dans un proche avenir, vous subirez toujours des inconvénients lors de la maintenance du réseau, rien d'autre ne vous menace. Le principal problème dans ce scénario est que vous devez gérer deux serveurs DNS: interne et externe... Dans cette condition, les ordinateurs du réseau utiliseront un serveur DNS interne pour la résolution de noms, et les ordinateurs en dehors du périmètre de l'entreprise utiliseront un serveur externe. Disons que votre domaine a un nom fier example.com... DANS DMZ zone que vous avez site Internet entreprises nommées example.com... Dans le scénario décrit ci-dessus, les ordinateurs situés à l'intérieur organisation ne sera pas capable y accéder car pour eux example.com est nom de domaine et lorsque vous entrez cette adresse dans le navigateur, ils iront à contrôleur de domaine... Comme je l'ai noté ci-dessus, mis à part les inconvénients, cela ne mènera à rien. Vous pouvez toujours utiliser des béquilles qui vous transféreront vers un site externe, mais convenez que ce n'est pas un double travail nécessaire, ou à l'intérieur du réseau utilisez un nom de site commençant par wwwou à l'extérieur.
3. Nom de domaine en un mot
Peut-être l'option la plus incorrecte de ce qui précède. Domaines à un seul niveau: Domaine en une seule étiquette Est un domaine qui contient uniquement un composant... Apparemment, ils ont commencé à être utilisés à l'époque NT, lorsque Microsoft a adopté l'expérience réussie de Novell. Il se trouve qu'au départ j'étais l'administrateur de FreeBSD et d'une grande flotte de serveurs NetWare à partir de la version 4.11, et dans ces temps anciens, NetWare utilisait Bindery dans son travail, ce qui n'est que les noms schéma de domaine frère, qui a ensuite été repris par Microsoft.
Les meilleures pratiques
Il est temps de résumer. Quel nom de domaine devez-vous utiliser? Uniquement un domaine de troisième niveau dans le domaine que vous possédez... N'utilisez pas les plus beaux noms de domaine de quelqu'un d'autre :-). Vous pouvez voir un exemple d'un tel domaine ci-dessous.
Nous sommes en 2015, Internet s'est généralisé, chaque entreprise qui se respecte a depuis longtemps son propre site Internet. Vous n'avez pas besoin de chercher loin - même chaque hôpital de la ville a ses propres ressources Web. Mais néanmoins, tout de même, les administrateurs système n'ont pas appris à créer des noms normaux pour leurs domaines.
Le coût d'un domaine de deuxième niveau (par exemple, bissquit.com) est d'un peu plus de 500 roubles par an. C'est très peu, même pour les citoyens ordinaires comme vous et moi, et c'est un simple sou pour les entreprises, encore plus. J'ai acquis mon domaine bien avant que l'idée de «scier» ce blozhik n'apparaisse. C'est juste pratique. Prendre même connexion à distance par rdp - j'entre mon nom de domaine au lieu de l'adresse IP terne.
Sur Internet, pour la requête «bonnes pratiques de domaine Active Directory», presque tous les sites contiennent des recommandations complètes sur la dénomination des domaines AD et expliquent pourquoi il est nécessaire de le faire. Examinons de plus près les recommandations en question:
- Utilisez un sous-domaine du domaine officiellement enregistré de votre organisation pour nommer votre domaine AD.
Vous avez raison, juste un conseil. C'est tout! Vous pouvez beaucoup parler de détails et de petites nuances, mais 80 à 90% du raisonnement se résume à un seul conseil exprimé ci-dessus. Tous les problèmes viennent du fait qu'une personne sait que cela doit être fait, mais ne comprend pas pourquoi il est impossible ou fortement découragé de le faire différemment. A partir de maintenant, plus de détails.
1. Pourquoi ne pouvez-vous pas utiliser des noms internes non résolus en externe comme .local, .corp, .lan?
Pouvez. Autant que possible. La plupart d'entre eux les utilisent également. J'ai des exemples parmi des amis qui comptent plus de 2000 personnes dans leurs organisations et utilisent le domaine .local. Toutes les difficultés commenceront si vous avez soudainement besoin d'un vrai domaine AD. Cela peut se produire lors de l'utilisation de déploiements de cloud hybride (un excellent exemple de ceci est Exchange + Office365). "Pourquoi ne pas simplement renommer le domaine, car c'est tout à fait possible avec une certaine version d'AD?" - tu demandes. Oui, en principe, vous pouvez, mais vous devez faire face aux difficultés de migration des services dépendants du domaine. Parmi eux, il y a tous les mêmes Exchange et d'autres, mais ici un seul échange est plus que suffisant.
2. "Ok, nous achetons un vrai nom externe - my-company.com, nommons aussi le domaine AD" - n'est pas non plus une option. Vous rencontrerez des problèmes pour résoudre d'autres ressources situées sur my-company.com, par exemple le site Web de l'entreprise. De plus, vos serveurs DNS ne feront pas autorité pour ce domaine, bien qu'ils se considèrent comme tels. Cela posera également des problèmes.
Il existe d'autres considérations pour la dénomination de domaine, telles que la création d'un domaine similaire au domaine réel mais dans un TLD différent. Mais il me semble que cela n'a pas beaucoup de sens, car certains problèmes subsistent, et il n'y a tout simplement aucun avantage évident par rapport à l'utilisation du domaine corp.my-company.com (le nom est pris comme exemple).
Pour ceux qui aiment tout faire à leur manière, des problèmes avec les certificats seront également ajoutés récemment, il est donc inutile d'utiliser des noms internes maintenant.
La question du choix d'un nom de domaine repose techniquement sur la ligne dans laquelle vous notez le nom lors de la création d'un domaine AD et rien de plus. Cependant, les conséquences d'un mauvais choix de nom vous causeront de nombreux problèmes à l'avenir, et il est donc très important de tout faire efficacement au stade de la planification. Encore une fois, c'est une bonne idée de lire les articles d'administrateurs expérimentés
En bref, AD permet un point d'administration unique pour toutes les ressources publiées. AD est basé sur la norme de dénomination X.500, le DNS (Domain Name System) pour l'emplacement, et utilise le protocole LDAP (Lightweight Directory Access Protocol) comme protocole principal.
AD intègre la structure logique et physique du réseau. La structure logique d'AD se compose des éléments suivants:
- unité organisationnelle - un sous-groupe d'ordinateurs, reflétant généralement la structure de l'entreprise;
- domaine - un groupe d'ordinateurs partageant une base de données catalogue commune;
- arborescence de domaine - un ou plusieurs domaines partageant un espace de noms contigu;
- forêt de domaine - une ou plusieurs arborescences partageant des informations d'annuaire.
La structure physique comprend les éléments suivants:
- sous-réseau - un groupe de réseaux avec une plage d'adresses IP spécifiée et un masque de réseau;
- site - un ou plusieurs sous-réseaux. Le site est utilisé pour configurer l'accès au répertoire et pour la réplication.
L'annuaire stocke trois types d'informations: les données de domaine, les données de schéma et les données de configuration. AD utilise uniquement des contrôleurs de domaine. Les données du domaine sont répliquées sur tous les contrôleurs de domaine. Tous les contrôleurs de domaine sont égaux, c'est-à-dire toutes les modifications apportées à partir de n'importe quel contrôleur de domaine seront répliquées sur tous les autres contrôleurs de domaine. Le schéma et les données de configuration sont répliqués sur tous les domaines de l'arborescence ou de la forêt. En outre, tous les objets du domaine individuel et certaines des propriétés des objets de forêt sont répliqués dans le catalogue global (GC). Cela signifie que le contrôleur de domaine stocke et réplique le schéma de l'arborescence ou de la forêt, les informations de configuration de tous les domaines de l'arborescence ou de la forêt et tous les objets et propriétés d'annuaire de son propre domaine.
Le contrôleur de domaine qui stocke le GC contient et réplique les informations de schéma pour la forêt, les informations de configuration pour tous les domaines de la forêt et un ensemble limité de propriétés pour tous les objets d'annuaire de la forêt (qui est répliqué uniquement entre les serveurs GC), ainsi que tous les objets et propriétés d'annuaire pour ton domaine.
Les contrôleurs de domaine peuvent avoir différents rôles de maître d'opérations. Le maître d'opérations gère les tâches qui ne sont pas pratiques dans un modèle de réplication multimaître.
Il existe cinq rôles de maître d'opérations qui peuvent être attribués à un ou plusieurs contrôleurs de domaine. Certains rôles doivent être uniques au niveau de la forêt, d'autres au niveau du domaine.
Chaque forêt AD a les rôles suivants:
- Maître de schéma - Gère les mises à jour et les modifications du schéma de catalogue. Pour mettre à jour le schéma de catalogue, vous devez accéder au maître de schéma. Pour déterminer quel serveur est actuellement le maître du schéma dans le domaine, vous devez taper la commande dans la fenêtre d'invite de commande schéma -hasfsmo serveur dsquery
- Maître de dénomination de domaine - gère l'ajout et la suppression de domaines dans la forêt. Pour ajouter ou supprimer un domaine, vous devez accéder au maître de dénomination de domaine. Pour déterminer quel serveur est actuellement le maître de nommage de domaine, à une invite de commande, entrez dsquery server -hasismo name
Ces rôles sont communs à toute la forêt et sont uniques en son sein.
Chaque domaine AD doit avoir les rôles suivants:
- Maître d'identification relative - attribue des identifiants relatifs aux contrôleurs de domaine. Chaque fois qu'un objet utilisateur, groupe ou ordinateur est créé, les contrôleurs attribuent un SID unique à l'objet, qui se compose d'un SID de domaine et d'un ID unique qui a été alloué par le maître d'ID relatif. Pour déterminer quel serveur est actuellement le maître des ID de domaine relatifs, à une invite de commande, entrez dsquery server -hasfsmo rid
- Émulateur PDC (émulateur PDC) - En mode domaine mixte ou intermédiaire, agit comme un contrôleur de domaine maître Windows NT. Il authentifie la connexion Windows, traite les modifications de mot de passe et réplique les mises à jour sur le contrôleur secondaire de domaine, le cas échéant. Pour déterminer quel serveur est actuellement l'émulateur PDC de domaine, à une invite de commande, entrez dsquery server -hasfsmo pdc
- Maître d'infrastructure - Met à jour les références d'objet en comparant ses données de catalogue avec les données GC. Si les données sont obsolètes, il demande des mises à jour au GC et les réplique sur le reste des contrôleurs de domaine. Pour déterminer quel serveur est actuellement le maître d'infrastructure de domaine, à une invite de commande, entrez dsquery server -hasfsmo infr
Ces rôles sont communs à l'ensemble du domaine et doivent y être uniques.
Les rôles de maître d'opérations sont automatiquement attribués au premier contrôleur de domaine du domaine, mais peuvent être réaffectés par vous ultérieurement. S'il n'y a qu'un seul contrôleur de domaine, il exécute tous les rôles du maître d'opérations à la fois.
Il n'est pas recommandé de séparer les rôles de maître de schéma et de maître de dénomination de domaine. Dans la mesure du possible, attribuez-les à un seul contrôleur de domaine. Pour la plus grande efficacité, il est souhaitable que le maître des identifiants relatifs et l'émulateur PDC soient également sur le même contrôleur, bien que ces rôles puissent être séparés si nécessaire. Dans un grand réseau, où de lourdes charges ralentissent les performances, le maître RID et l'émulateur PDC doivent être situés sur des contrôleurs séparés. En outre, il n'est pas recommandé d'héberger le maître d'infrastructure sur le contrôleur de domaine qui stocke le catalogue global.
Installation d'un contrôleur de domaine (DC) Windows Server 2003 à l'aide de l'assistant d'installation d'Active Directory
Le contrôleur de domaine est installé à l'aide de l'assistant d'installation d'Active Directory. Pour promouvoir l'état du serveur en contrôleur de domaine, vous devez vous assurer que toutes les conditions requises sont remplies:
- Le serveur doit avoir au moins une partition NTFS pour contenir le volume système SYSVOL.
- Le serveur doit avoir accès au serveur DNS. Il est conseillé d'installer le service DNS sur le même serveur. Si vous utilisez un serveur distinct, vous devez vous assurer qu'il prend en charge les enregistrements de ressources d'emplacement de service (RFC 2052) et le protocole Dynamic Updates (RFC 2136).
- Vous devez disposer d'un compte avec des droits d'administrateur local sur le serveur.
Examinons de plus près la promotion du rôle de serveur vers un contrôleur de domaine Active Directory par étapes:
Principes de base de la gestion de domaine Active Directory
Un certain nombre d'outils dans les composants logiciels enfichables Microsoft Management Console (MMC) facilitent l'utilisation d'Active Directory.
Le composant logiciel enfichable (Utilisateurs et ordinateurs Active Directory) est une console MMC que vous pouvez utiliser pour administrer et publier des informations dans l'annuaire. Il s'agit du principal outil d'administration d'Active Directory et est utilisé pour effectuer toutes les tâches liées aux utilisateurs, aux groupes et aux ordinateurs, ainsi que pour gérer les unités organisationnelles.
Pour lancer le composant logiciel enfichable (Active Directory - Utilisateurs et ordinateurs), sélectionnez la commande du même nom dans le menu Outils d’administration.
Par défaut, la console Utilisateurs et ordinateurs Active Directory fonctionne avec le domaine auquel appartient votre ordinateur. Vous pouvez accéder à l'ordinateur et aux objets utilisateur de ce domaine via l'arborescence de la console ou vous connecter à un autre domaine. Les outils de la même console vous permettent de visualiser des paramètres supplémentaires d'objets et de les rechercher.
Après avoir accédé au domaine, vous verrez un ensemble standard de dossiers:
- Requêtes enregistrées (Requêtes enregistrées) - Critères de recherche enregistrés qui vous permettent de répéter rapidement une recherche effectuée précédemment dans Active Directory;
- Intégré - une liste de comptes utilisateurs intégrés;
- Des ordinateurs - le conteneur par défaut pour les comptes informatiques;
- Contrôleurs de domaine - le conteneur par défaut pour les contrôleurs de domaine;
- Sécurité étrangèrePrincipaux - contient des informations sur les objets d'un domaine externe approuvé. En règle générale, ces objets sont créés lorsqu'un objet d'un domaine externe est ajouté au groupe de domaines actuel;
- Utilisateurs Est le conteneur par défaut pour les utilisateurs.
Certains dossiers de console ne sont pas affichés par défaut. Sélectionnez Fonctionnalités avancées dans le menu Affichage pour les afficher. Ces dossiers supplémentaires sont:
- Perdu et trouvé - perdu le propriétaire, les objets du catalogue;
- Quotas NTDS - données sur les quotas pour le service d'annuaire;
- Données de programme - les données stockées dans le service d'annuaire pour les applications Microsoft;
- Système - paramètres système intégrés.
Vous pouvez ajouter vous-même des dossiers pour les unités organisationnelles à l'arborescence AD.
Regardons un exemple de création d'un compte d'utilisateur de domaine. Pour créer un compte utilisateur, cliquez avec le bouton droit sur le conteneur dans lequel vous souhaitez placer le compte utilisateur, sélectionnez menu contextuel Nouveau, puis utilisateur. L'assistant Nouvel objet - Utilisateur s'ouvre:
- Entrez le prénom, l'initiale et le nom de l'utilisateur dans les champs appropriés. Vous aurez besoin de ces informations pour créer votre nom d'affichage.
- Modifiez le nom complet. Il doit être unique dans le domaine et ne pas dépasser 64 caractères.
- Entrez votre nom de connexion. Utilisez la liste déroulante pour sélectionner le domaine auquel le compte sera associé.
- Modifiez le nom d'utilisateur pour vous connecter aux systèmes avec Windows NT 4.0 ou version antérieure, si nécessaire. Par défaut, comme nom de connexion avec versions précédentes Windows utilise les 20 premiers caractères du nom complet de l'utilisateur. Ce nom doit également être unique dans le domaine.
- Cliquez sur Prochain. Fournissez un mot de passe pour l'utilisateur. Ses paramètres doivent être cohérents avec votre politique de mot de passe;
Confirmer le mot de passe - le champ utilisé pour confirmer le mot de passe entré est correct;
Utilisateur doit changer le mot de passe à la prochaine ouverture de session (Exiger le changement de mot de passe à la prochaine connexion) - Si cette case est cochée, l'utilisateur devra changer le mot de passe à la prochaine connexion.
L'utilisateur ne peut pas changer le mot de passe - Si coché, l'utilisateur ne peut pas changer le mot de passe.
Le mot de passe n'expire jamais - Si cette case est cochée, le mot de passe de ce compte n'est pas expiré (ce paramètre remplace la stratégie de compte de domaine);
Le compte est désactivé - si coché, le compte est désactivé (cette option est utile pour empêcher temporairement quelqu'un d'utiliser ce compte).
Les comptes vous permettent de stocker les informations de contact des utilisateurs, ainsi que des informations sur la participation à divers groupes de domaines, le chemin d'accès au profil, le script de connexion, le chemin du dossier d'accueil, la liste des ordinateurs à partir desquels l'utilisateur est autorisé à entrer dans le domaine, etc.
Les scripts de connexion définissent les commandes qui sont exécutées à chaque connexion. Ils vous permettent de personnaliser l'heure du système, imprimantes réseau, la manière de lecteurs réseau etc. Les scripts sont utilisés pour exécuter des commandes une seule fois et les paramètres d'environnement définis par les scripts ne sont pas enregistrés pour une utilisation ultérieure. Les scripts de connexion peuvent être des fichiers Windows Script Host avec les extensions .VBS, .JS et autres, des fichiers batch avec l'extension .BAT, fichiers de commande avec l'extension .CMD, les programmes avec l'extension .EXE.
Vous pouvez attribuer à chaque compte son propre dossier de départ pour stocker et restaurer les fichiers utilisateur. La plupart des applications ouvrent leur dossier de départ par défaut pour ouvrir et enregistrer des fichiers, ce qui permet aux utilisateurs de trouver plus facilement leurs données. Sur la ligne de commande, le dossier de départ est le répertoire courant initial. Le dossier de départ peut être situé à la fois sur le disque dur local de l'utilisateur et sur un lecteur réseau public.
Au domaine comptes les ordinateurs et les utilisateurs peuvent appliquer des stratégies de groupe. Stratégie de groupe Simplifie l'administration en donnant aux administrateurs un contrôle centralisé sur les privilèges, les autorisations et les capacités des utilisateurs et des ordinateurs. La stratégie de groupe vous permet de:
- créez des dossiers spéciaux gérés de manière centralisée, tels que Mes documents
- gérer l'accès à composants Windows, ressources système et réseau, outils du panneau de commande, bureau et menu Démarrer;
- configurer des scripts pour que les utilisateurs et les ordinateurs exécutent une tâche à un moment spécifié;
- configurer des politiques pour les mots de passe et les verrouillages de compte, l'audit, l'attribution des droits d'utilisateur et la sécurité.
En plus des tâches de gestion de l'utilisateur comptes et groupes, il existe de nombreuses autres tâches de gestion de domaine. D'autres composants logiciels enfichables et applications sont utilisés pour cela.
Gréement Domaines et approbations Active Directory (Domaines et approbations Active Directory) est utilisé pour travailler avec des domaines, des arborescences de domaines et des forêts de domaines.
Gréement Sites et services Active Directory (Active Directory - Sites et services) vous permet de gérer des sites et des sous-réseaux, ainsi que la réplication intersite.
Il existe des outils de ligne de commande pour la gestion des objets AD qui vous permettent d'effectuer un large éventail de tâches administratives:
- Dsadd - ajoute des ordinateurs, des contacts, des groupes, des unités organisationnelles et des utilisateurs à Active Directory. Pour obtenir de l'aide, entrez dsadd /? par exemple, ordinateur dsadd /?
- Dsmod - modifie les propriétés des ordinateurs, contacts, groupes, unités organisationnelles, utilisateurs et serveurs enregistrés dans Active Directory. Pour obtenir de l'aide, entrez dsmod /? par exemple, serveur dsmod /?
- Dsmove - déplace un seul objet vers un nouvel emplacement dans le domaine ou renomme un objet sans se déplacer.
- Dsget - affiche les propriétés des ordinateurs, contacts, groupes, unités organisationnelles, utilisateurs, sites, sous-réseaux et serveurs enregistrés dans Active Directory. Pour obtenir de l'aide, entrez dsget /? par exemple dsget subnet /?
- Dsquery - recherche des ordinateurs, des contacts, des groupes, des unités organisationnelles, des utilisateurs, des sites, des sous-réseaux et des serveurs dans Active Directory selon des critères spécifiés.
- DSRM - supprime un objet d'Active Directory.
- Ntdsutil - vous permet d'afficher des informations sur un site, un domaine ou un serveur, de gérer les maîtres d'opérations et de maintenir la base de données Active Directory.
Il existe également des outils de support Active Directory:
- LDP - Effectue des opérations LDAP dans l'administration d'Active Directory.
- Replmon - Gère la réplication et affiche ses résultats dans une interface graphique.
- Dsacls - Gère les ACL (listes de contrôle d'accès) pour les objets Active Directory.
- Dfsutil - Gères distribués système de fichiers (Distributed File System, DFS) et affiche des informations sur son fonctionnement.
- Dnscmd - Gère les propriétés des serveurs DNS, des zones et des enregistrements de ressources.
- Movetree - Déplace les objets d'un domaine à un autre.
- Repadmin - Gère la réplication et affiche ses résultats dans la fenêtre de ligne de commande.
- Sdcbeck - Analyse la distribution, la réplication et l'héritage des ACL.
- Sidwalker - Spécifie les ACL pour les objets qui appartenaient auparavant à des comptes déplacés, supprimés ou orphelins.
- Netdom - Vous permet de gérer les domaines et les approbations à partir de la ligne de commande.
Comme vous pouvez le voir dans cet article, la combinaison de groupes d'ordinateurs dans des domaines basés sur Active Directory peut réduire considérablement le coût des tâches administratives en centralisant la gestion de l'ordinateur du domaine et des comptes d'utilisateurs, et vous permet également de gérer de manière flexible les droits des utilisateurs, la sécurité et une foule d'autres paramètres. Des informations plus détaillées sur l'organisation des domaines peuvent être trouvées dans la littérature correspondante.
