Che cos'è un controller di dominio
Un controller di dominio fornisce una gestione centralizzata dei dispositivi di rete, ovvero domini. Il controller memorizza tutte le informazioni dagli account e dai parametri degli utenti della rete. Queste sono impostazioni di sicurezza, criteri locali e molti altri. Questo è un tipo di server che controlla completamente una particolare rete o gruppo di reti. Un controller di dominio è, in un certo senso, un insieme di software speciale che esegue vari servizi di Active Directory. I controller eseguono determinati sistemi operativi, come Windows Server 2003. La procedura guidata di installazione di Active Drive consente di creare controller di dominio.
Il sistema operativo Windows NT, come server primario, utilizza il controller di dominio primario. Altri server utilizzati vengono utilizzati come controller di backup. I principali controller PDC possono risolvere varie attività relative alle appartenenze a gruppi di utenti, creando e modificando password, aggiungendo utenti e molti altri. Quindi i dati vengono trasferiti su controller BDC aggiuntivi.
Il software Samba 4 può essere utilizzato come controller di dominio se è installato il sistema operativo Unix. Questo software supporta anche altri sistemi operativi, come Windows 2003, 2008, 2003 R2 e 2008 R2. Ognuno dei sistemi operativi, se necessario, può essere espanso in base a requisiti e parametri specifici.
Utilizzo dei controller di dominio
I controller di dominio sono utilizzati da molte organizzazioni in cui si trovano computer collegati tra loro e alla rete. I controller memorizzano i dati della directory e controllano l'ingresso e l'uscita degli utenti nel sistema, oltre a controllare l'interazione tra di essi.
Le organizzazioni che utilizzano un controller di dominio devono decidere quante verranno utilizzate, pianificare l'archiviazione dei dati, la sicurezza fisica, gli aggiornamenti del server e altre attività necessarie.
Se la società o l'organizzazione è piccola e utilizza solo una rete di dominio, è sufficiente utilizzare due controller in grado di fornire elevata stabilità, tolleranza agli errori e un elevato livello di disponibilità della rete. Nelle reti divise in un determinato numero di siti, un controller è installato su ciascuno di essi, il che consente di ottenere le prestazioni e l'affidabilità necessarie. Grazie all'utilizzo di controller su ciascun sito, è possibile semplificare in modo significativo l'accesso degli utenti e renderlo più veloce.
Il traffico di rete può essere ottimizzato, per fare ciò, è necessario impostare il tempo per gli aggiornamenti di replica quando il carico della rete è minimo. La configurazione della replica semplifica notevolmente il lavoro e lo rende più produttivo.
È possibile ottenere le massime prestazioni nel controller se il dominio è un catalogo globale, che consente di eseguire query su qualsiasi oggetto per un peso specifico. È importante ricordare che l'inclusione di un catalogo globale comporta un aumento significativo del traffico di replica.
È meglio non abilitare il controller di dominio host se si utilizza più di un controller di dominio. Quando si utilizza un controller di dominio, è molto importante prendersi cura della sicurezza, perché diventa sufficientemente accessibile per gli aggressori che vogliono assumere il controllo dei dati necessari per la frode.
Funzionalità di installazione di controller di dominio aggiuntivi
Al fine di ottenere una maggiore affidabilità nel funzionamento dei servizi di rete necessari, è necessaria l'installazione di controller di dominio aggiuntivi. Di conseguenza, è possibile ottenere stabilità, affidabilità e sicurezza significativamente più elevate durante il funzionamento. La velocità della rete in questo caso sarà significativamente più alta, che è un parametro molto importante per le organizzazioni che utilizzano un controller di dominio.
Affinché il controller di dominio funzioni correttamente, sono necessari alcuni lavori preparatori. La prima cosa da fare è controllare le impostazioni TCP / IP, devono essere installate correttamente per il server. La cosa più importante è controllare i nomi DNS per i mapping.
Per un funzionamento sicuro di un controller di dominio, è necessario utilizzare il file system NTFS, che offre una maggiore sicurezza rispetto ai file system FAT 32. Per installare su un server, è necessario creare una partizione nel file system NTFS su cui sarà posizionato il volume di sistema. È inoltre richiesto l'accesso al server DNS dal server. Il DNS è installato su questo o su un server aggiuntivo, che deve supportare i record di risorse.
Per configurare correttamente un controller di dominio, è possibile utilizzare l'Installazione guidata, con la quale è possibile aggiungere l'esecuzione di determinati ruoli. Per fare ciò, dovrai accedere alla sezione amministrazione tramite il pannello di controllo. È necessario specificare un controller di dominio come ruolo del server.
Il controller di dominio oggi è indispensabile per le reti e i siti utilizzati da varie organizzazioni, istituzioni e aziende in tutti i settori dell'attività umana. Grazie a lui, è garantita un'elevata produttività e sicurezza, che nelle reti di computer è di particolare importanza. Il ruolo di un controller di dominio è molto importante perché ti consente di gestire aree di dominio costruite su reti di computer. Ogni sistema operativo ha alcune sfumature associate al lavoro dei controller di dominio, ma il principio e il suo scopo sono gli stessi ovunque, quindi comprendere le impostazioni non è così difficile come potrebbe sembrare all'inizio. Tuttavia, è molto importante che i controller di dominio siano configurati da specialisti al fine di ottenere elevate prestazioni e sicurezza durante il funzionamento.
In rari casi, l'amministratore dei servizi di dominio può trovarsi di fronte al compito di rinominare il dominio corrente. Le ragioni possono essere diverse, ma questa situazione è del tutto possibile. Nonostante il fatto che questo compito non possa essere definito banale, ma a volte è necessario affrontarlo, è estremamente importante fare tutto nel modo giusto, perché altrimenti l'esito degli eventi può essere criticamente pericoloso, fino a un'infrastruttura aziendale completamente inoperante. Quindi, più avanti in questo articolo, imparerai i prerequisiti per eseguire questa operazione, alcune limitazioni e come rinominare il tuo dominio. Prima di iniziare, una richiesta urgente: non eseguire questi passaggi in un ambiente di produzione fino a quando non si rinomina correttamente il dominio di prova in un ambiente di laboratorio. Iniziamo.
Prerequisiti
Prima di iniziare a rinominare il tuo dominio, assicurati di considerare le seguenti informazioni:
- Livello di funzionalità foresta di Active Directory. È possibile eseguire attività di ridenominazione del dominio solo se tutti i domini nella foresta sono dotati almeno di Windows Server 2003 (in questo caso, non vi sono restrizioni sulle edizioni). Inoltre, il livello funzionale dovrebbe essere aggiornato almeno a Windows Server 2003. In altre parole, se nella foresta è stato selezionato il livello funzionale Windows Server 2000, l'operazione successiva diventerà semplicemente impossibile;
- Posizione del dominio. Una foresta di Active Directory può avere diversi livelli di domini. Ossia, può esistere un dominio separato oppure la foresta può includere domini secondari. Nel caso in cui cambiate la posizione del controller di dominio all'interno della foresta, dovrete creare una relazione di fiducia;
- Zona DNS. Prima di eseguire l'operazione di ridenominazione del dominio, è necessario creare una nuova zona DNS;
- Credenziali amministrative. Per eseguire l'operazione di ridenominazione del dominio, è necessario accedere utilizzando un account amministrativo membro del gruppo Enterprise Admins;
- Server di file system distribuito (DFS). Se i servizi DFS sono distribuiti nell'ambiente aziendale o i profili di roaming sono configurati, prestare attenzione al fatto che i server DFS root dovrebbero funzionare almeno sotto il controllo del sistema operativo Windows Server 2000 Service Pack 3 o con versioni più moderne dei sistemi operativi;
- Incompatibilità con i server Microsoft Exchange. Il momento più spiacevole è che se Microsoft Exchange Server 2003 Service Pack 1 viene distribuito nella foresta di Active Directory, il dominio verrà rinominato senza problemi, ma l'account utente con il quale verrà eseguito il processo di ridenominazione del dominio Essere un membro del gruppo Amministratore completo di Exchange. Server di posta più moderni (incluso Exchange Server 2016) non sono compatibili con le operazioni di ridenominazione del dominio.
Inoltre, prestare attenzione al fatto che al momento della ridenominazione di un dominio, è necessario bloccare tutte le operazioni imminenti per la configurazione della foresta di Active Directory. In altre parole, devi assicurarti che la configurazione della tua foresta non cambi fino a quando l'operazione di ridenominazione del dominio non sarà completata (vedrai informazioni dettagliate su come completare questa azione di seguito). Queste operazioni includono: creazione o eliminazione di domini all'interno della foresta di Active Directory, creazione o eliminazione di partizioni di directory applicative, aggiunta o rimozione di controller di dominio nella foresta, creazione o eliminazione di un trust diretto e aggiunta o rimozione di attributi che verranno replicati nel globale Catalogare.
Nel caso, ti consiglio anche di fare un backup completo dello stato del sistema su ciascun controller di dominio nella foresta di Active Directory. Se completi questa attività, questa precauzione non sarà certamente superflua.
Nel caso in cui l'infrastruttura soddisfi i requisiti di cui sopra e vengano eseguiti tutti i backup richiesti, è possibile iniziare il processo di ridenominazione del dominio.
Processo di ridenominazione del dominio di Active Directory
Per cominciare, per verificare il nome iniziale del tuo dominio, puoi aprire la finestra delle proprietà del sistema. Come puoi vedere nella figura corrispondente, il mio dominio si chiama "Biopharmaceutic.local":
Figura. 1. Verificare il nome di dominio di Active Directory
Ora dovresti creare una nuova zona DNS biopharm.local in modo che dopo una corretta ridenominazione del dominio, i tuoi server e client membri possano facilmente unirsi al nuovo nome di dominio. Per fare ciò, apri " Gestore DNS» ( Gestore DNS) ed essere in " Zona di visualizzazione diretta» ( Zona di ricerca diretta) seleziona l'opzione per creare una nuova zona. In effetti, viene creata una zona come al solito: nella prima pagina della procedura guidata per la creazione di una nuova zona, è necessario leggere le informazioni introduttive e passare alla seconda pagina. Nella pagina del tipo di zona, selezionare la zona primaria ( Zona primaria) e assicurarsi che l'opzione per salvare la zona in Active Directory sia attivata. Nella pagina dell'area di replica della zona, lasciare l'opzione selezionata per impostazione predefinita - " Per tutti i server DNS in esecuzione su controller di dominio in questo dominio: Biopharmaceutic.local» ( A tutti i server DNS in esecuzione su controller di dominio in questo dominio: Biopharmaceutic.local) Nella pagina del nome della zona, specificare il nuovo nome di dominio (biopharm.local) e nella pagina di aggiornamento dinamico, lasciare anche il " Consenti solo aggiornamenti dinamici protetti (consigliato per Active Directory)» ( Consenti solo aggiornamenti dinamici protetti (consigliato per Active Directory)), che è selezionato per impostazione predefinita. Di seguito puoi vedere diverse fasi della creazione di una nuova zona:
Figura. 2. Creare una nuova zona DNS
Il passaggio successivo nella ridenominazione di un dominio consiste nel generare una descrizione dello stato corrente della foresta. In effetti, questa è la prima operazione di ridenominazione del dominio che utilizza l'utilità della riga di comando rendom. Utilizzando questa utility, verrà generata una descrizione testuale della struttura della foresta corrente come file XML chiamato Domainlist.xml. Questo file contiene un elenco di tutte le sezioni della directory del dominio, nonché le sezioni della directory dell'applicazione che si trovano nella foresta di Active Directory. Ogni voce per ogni sezione del dominio e della directory dell'applicazione è limitata ai tag XML
Per creare un tale file, apri la riga di comando con l'account appropriato ed esegui il " random / list". Il file generato verrà salvato nella directory principale del tuo account utente. Successivamente, dovrai aprire questo file usando qualsiasi editor di testo.
All'interno di questo file è necessario modificare il nome del dominio all'interno della sezione, che è limitato dai tag
Nell'illustrazione seguente, vedrai il processo di esecuzione del comando sopra, l'ubicazione del file Domainlist.xml e le modifiche per la prima sezione di questo file. Nel mio caso, il nome di dominio in questa configurazione verrà modificato 4 volte:
Figura. 3. Generazione e modifica del file Domainlist.xml
Per assicurarti di aver apportato le modifiche richieste al file corrispondente, puoi eseguire il comando " rendom / showforest". Come puoi vedere nella figura seguente, tutti i miei record sono cambiati in "Bopharm":
Figura. 4. Visualizza i potenziali cambiamenti
Quando si esegue il comando seguente ( rendom / upload) l'utilità Rendom traduce la nuova struttura di foresta specificata nel file modificato in una sequenza di istruzioni per l'aggiornamento della directory, che verrà avviata localmente e in remoto su ciascun controller di dominio nella foresta. In termini generali, a questo punto nella sezione della directory di configurazione della procedura guidata di denominazione del dominio, verranno apportate modifiche per rinominare il dominio di Active Directory. Inoltre, verrà creato un file Dclist.xml che viene utilizzato per tenere traccia dell'avanzamento e dello stato di ciascun controller di dominio nella foresta per l'operazione di ridenominazione del dominio. Per inciso, a questo punto, l'utilità Rendom impedisce alla foresta di Active Directory di apportare modifiche alla sua configurazione. Il processo per eseguire questo comando è mostrato di seguito:
Figura. 5. Esecuzione del comando rendom / upload
Il comando seguente viene eseguito per verificare che i controller di dominio siano pronti prima dell'operazione di ridenominazione del dominio. Durante questo passaggio, è necessario eseguire il comando di test preparatorio su ogni controller di dominio nella foresta. Ciò è necessario per essere sicuri che il database di Active Directory su ciascun controller di dominio nella foresta sia nello stato corretto ed è pronto per apportare modifiche che consentiranno di rinominare il dominio. Pertanto, esegui il comando " rendom / preparare", Come nella figura seguente:
Figura. 6. Preparazione di un dominio per la ridenominazione
Il momento più cruciale L'esecuzione del comando " rendom / esegui". Durante l'esecuzione di questo comando sul dominio, vengono seguite le istruzioni per rinominare il dominio. In effetti, proprio in questo momento, viene fatto un appello a ciascun controller di dominio nella foresta singolarmente, il che costringe ciascun controller di dominio a seguire le istruzioni per rinominare il dominio. Al completamento di questa operazione, ciascun controller di dominio verrà riavviato. Vedere la seguente illustrazione per il processo di esecuzione della ridenominazione del dominio:
Figura. 7. Processo di ridenominazione del dominio
Ma non è tutto. Nonostante il fatto che il tuo dominio, in realtà, sia già stato rinominato, hai ancora un'attività per correggere gli oggetti Criteri di gruppo e i loro collegamenti dopo che l'operazione di ridenominazione del dominio è stata completata. Per ripristinare oggetti Criteri di gruppo e collegamenti oggetti Criteri di gruppo in ciascun dominio rinominato, utilizzare l'utilità della riga di comando Gpfixup.exe. Questa procedura non può essere trascurata perché senza il suo utilizzo, una volta completata l'operazione di ridenominazione del dominio nella nuova foresta, i criteri di gruppo semplicemente non funzioneranno correttamente. Si noti che questo comando deve essere eseguito una volta in ciascun dominio rinominato. Pertanto, eseguire il comando una volta gpfixup con parametri /olddns:Biopharmaceutic.local (vecchio nome del dominio che hai rinominato) e /newdns:Biopharm.local (nuovo nome del dominio rinominato) e quindi il comando gpfixup con parametri / oldnb: biofarmaceutico e / newnb: Biopharm (rispettivamente, il vecchio e il nuovo nome NETBIOS del tuo dominio). Questa procedura è visibile di seguito:
Figura. 8. Correzione di oggetti Criteri di gruppo
Resta da eseguire solo due comandi: il comando " rendom / clean", Che consente di rimuovere tutti i collegamenti ai vecchi nomi di dominio all'interno di Active Directory, nonché il" resa / fine", In effetti, sbrinamento della foresta di Active Directory da modifiche alla sua configurazione. Puoi vedere il processo di esecuzione di questi comandi nella seguente illustrazione:
Figura. 9. Completamento della ridenominazione di un dominio Active Directory
Affinché le modifiche vengano applicate ai server membri e ai client finali, dovrai riavviare i loro computer due volte. Tuttavia, è necessario rinominare manualmente i controller di dominio. Come puoi vedere nella figura seguente, il nome del mio controller di dominio rimane obsoleto.
Ieri, il nostro studio ha ricevuto una lettera dal nostro lettore abituale Andrei, chiedendo:
Sono lieto di leggere il tuo blog, ho imparato molte cose utili per me stesso, volevo conoscere la tua opinione sul nome del dominio di Active Directory, molte persone scrivono che dovrebbe essere chiamato * organizzazione * .local e qualcuno scrive che dovrebbe essere chiamato lo stesso dominio.
Scopriamo brevemente quale nome è meglio usare quando si nomina un dominio all'interno di un'organizzazione.
Come dimostra la pratica, la scelta di un nome di dominio può stupire anche un amministratore di sistema esperto. Quando si esegue l'utilità per la prima volta dcpromo il nome di dominio verrà generato automaticamente e in modo casuale, se in questa fase non si rende il nome di dominio conforme alle regole necessarie, in futuro sarà più difficile cambiare il nome di dominio. Diamo un'occhiata alle possibili opzioni in ordine di popolarità.
1. Un dominio chiamato example.local
Il leader dei nostri grafici sta nominando un dominio che termina in locale Ci sono altre variazioni su questo argomento, per esempio test, firma, fabbrica, nn, loc, eccetera. Ora non ricordi nemmeno da dove provenga questo amore; in tutti i suoi libri, Microsoft usa sempre la sua convenzione sui nomi contoso.comdove vediamo chiaramente formato di denominazione del dominio. Tuttavia, per quasi 10 anni, il dominio .Locale ha ricoperto una posizione di leader. La situazione cominciò a stabilizzarsi con l'avvento dei servizi che utilizzavano nel loro lavoro Certificati SSL. Dove l'uso dei domini "non importa e così sarà" diventa impossibile. Supponiamo che la tua azienda usi internamente Exchange serverche necessita di un certificato SSL per crittografare le connessioni client. Secondo il tuo scenario, per questa attività hai bisogno di un certificato autorità di certificazione esterna, in cui è necessario specificare tutti i nomi dei server utilizzati per la connessione esterna. Sembrerebbe che scriviamo tutti i nomi dei server e richiediamo l'emissione dei certificati, ma c'è una cosa. Con il nome di un tale dominio non puoi superare la convalida, poiché il dominio "non importa" non esisterà e tentando di spiegare all'autorità di certificazione esterna che è necessario inserire il nome di dominio completo del nome del dominio inesistente nella SAN otterrà un rifiuto morbido:
Non è possibile, emettiamo solo certificati per nomi di dominio reali.
Ma c'è un altro fastidio. Utilizzando un nome di dominio non di tua proprietà nel nome di dominio può portare a conseguenze disastrose. Immagina la situazione se la zona locale avrà uno stato pubblico. Come una zona com o ru. Quindi, penso che non valga la pena continuare 🙂
2. Il nome di dominio corrisponde al nome di dominio esterno
Secondo posto nelle nostre classifiche. Nonostante il fatto che uno scenario del genere sia meno popolare, ha ancora il diritto alla vita. Oltre al fatto che nel prossimo futuro avrai ancora qualche inconveniente durante la manutenzione della rete, niente di più ti minaccia. Il problema principale in questo scenario è che dovrai supportare due server DNS: interno ed esterno. In questa condizione, i computer situati all'interno della rete utilizzeranno il server DNS interno per la risoluzione dei nomi e i computer esterni al di fuori del perimetro aziendale. Supponiamo che il tuo dominio sia orgogliosamente chiamato example.com. A dmz la zona che hai luogo aziende con nome example.com. Nello scenario sopra, i computer si trovano dentro l'organizzazione non sarò in grado accedervi perché per loro è example.com nome del dominio e quando inserisci questo indirizzo nel browser, andranno a controller di dominio. Come ho notato sopra, a parte l'inconveniente, questo non porterà a nulla. Puoi sempre utilizzare le stampelle che ti trasferiranno su un sito esterno, ma concordano sul fatto che questo non è un doppio lavoro necessario o utilizzare il nome del sito che inizia con wwwo fuori.
3. Nome dominio a una parola
Forse l'opzione più errata da quanto sopra. Domini a livello singolo: Dominio con etichetta singola È un dominio che contiene solo un componente. Apparentemente iniziarono ad essere utilizzati ai tempi di NT, quando Microsoft adottò l'esperienza di successo di Novell. Accadde così che inizialmente ero l'amministratore di FreeBSD e una grande flotta di server NetWare a partire dalla versione 4.11, e così in quei tempi antichi, NetWare usava Bindery nel suo lavoro, che era solo il nome schema di dominio a livello singolo, che è stato successivamente adottato da Microsoft.
Migliori pratiche
È tempo di fare il punto. Quale nome di dominio usare? Solo il dominio di terzo livello nel dominio che possiedi. Non usare i nomi di dominio più belli di altre persone :-). Di seguito puoi vedere un esempio di tale dominio.
Nel 2015, nel cantiere, Internet è diventato molto diffuso, ogni azienda che si rispetti ha da tempo il proprio sito Web. Non c'è bisogno di andare lontano - anche ogni ospedale cittadino ha le sue risorse web. Tuttavia, gli amministratori di sistema non hanno ancora imparato a creare nomi normali per i loro domini.
Il costo di un dominio di secondo livello (ad esempio, bissquit.com) è di poco più di 500 rubli all'anno. Questo è molto piccolo anche per i comuni cittadini, come lo siamo noi, e questi sono solo pochi centesimi per le aziende. Ho acquisito il mio dominio molto prima dell'idea di "squarciare" questo blozik apparso. È solo conveniente. Prendiamo anche una connessione rdp remota: inserisco il mio nome di dominio anziché un indirizzo IP noioso.
Su Internet, su richiesta "best practice per i domini Active Directory", quasi tutti i siti hanno scritto raccomandazioni esaustive per la denominazione dei domini AD e spiegano perché è necessario fare proprio questo. Diamo un'occhiata più da vicino alle raccomandazioni in questione:
- Utilizzare il sottodominio del dominio dell'organizzazione registrata ufficialmente per denominare il dominio AD.
Hai capito bene, solo un consiglio. È tutto! Puoi parlare molto dei dettagli e delle piccole sfumature, ma l'80-90% degli argomenti si riduce a un singolo suggerimento, espresso sopra. Tutti i problemi si basano sul fatto che una persona sa cosa fare, ma non capisce perché sia \u200b\u200bimpossibile o non consigliato fare diversamente. Da questo momento in modo più dettagliato.
1. Perché non puoi usare nomi interni, non risolvibili come.local, .corp, .lan?
Può. Per quanto possibile. Molti lo usano. Ho esempi tra amici che hanno oltre 2000 persone nelle organizzazioni e usano il dominio .local. Tutte le difficoltà inizieranno se improvvisamente hai bisogno di un vero dominio AD. Ciò può accadere quando si utilizzano distribuzioni di cloud ibrido (un chiaro esempio di ciò è Exchange + Office365). "Perché non semplicemente rinominare il dominio, dal momento che con una certa versione di AD è del tutto possibile?" - tu chiedi. Sì, in linea di principio puoi, ma incontrerai le difficoltà della migrazione dei servizi dipendenti dal dominio. Tra questi, lo stesso Exchange e altri, ma qui e uno Exchange è più che sufficiente.
2. "Ok, acquistiamo un vero nome esterno - my-company.com, chiamiamo anche dominio AD" - inoltre non è un'opzione. Si verificheranno problemi nella risoluzione di altre risorse disponibili su my-company.com, ad esempio il sito Web dell'azienda. Inoltre, i tuoi server DNS non saranno autorevoli per questo dominio, anche se si riterranno tali. Ciò causerà anche problemi.
Vi sono altre considerazioni relative alla denominazione del dominio, tra cui la creazione di un dominio reale simile ma in un TLD diverso. Ma mi sembra che non abbia molto senso farlo, perché permangono alcuni problemi e semplicemente non ci sono evidenti vantaggi rispetto all'utilizzo del dominio corp.my-company.com (il nome è preso come esempio).
Per i fan di fare tutto a modo loro, più recentemente, verranno aggiunti problemi con i certificati, quindi non ha senso usare i nomi interni ora.
La questione della scelta di un nome di dominio si basa tecnicamente sulla riga in cui si scrive il nome durante la creazione del dominio AD e nient'altro. Tuttavia, le conseguenze che il nome errato comporterà in futuro ti causeranno molti problemi e quindi è molto importante fare tutto qualitativamente in fase di pianificazione. Ancora una volta, è bello leggere articoli di amministratori esperti
In breve, AD ti consente di utilizzare un unico punto di amministrazione per tutte le risorse pubblicate. Al centro di AD c'è lo standard di denominazione X.500, il Domain Name System (DNS) per determinare la posizione e il protocollo LDAP (Lightweight Directory Access Protocol) viene utilizzato come protocollo principale.
AD integra la struttura logica e fisica della rete. La struttura logica di AD è costituita dai seguenti elementi:
- unità organizzativa - un sottogruppo di computer, di norma, che riflette la struttura dell'azienda;
- dominio - un gruppo di computer che condividono un database di catalogo comune;
- albero di dominio - uno o più domini che condividono uno spazio dei nomi continuo;
- foresta di dominio - uno o più alberi che condividono le informazioni del catalogo.
I seguenti elementi appartengono alla struttura fisica:
- sottorete - un gruppo di rete con un determinato ambito di indirizzi IP e una maschera di rete;
- sito (sito) - una o più sottoreti. Il sito viene utilizzato per configurare l'accesso alla directory e per la replica.
Nella directory sono memorizzati tre tipi di informazioni: dati di dominio, dati di schema e dati di configurazione. AD utilizza solo controller di dominio. I dati del dominio vengono replicati su tutti i controller di dominio. Tutti i controller di dominio sono uguali, ad es. tutte le modifiche apportate da qualsiasi controller di dominio verranno replicate in tutti gli altri controller di dominio. Lo schema e i dati di configurazione vengono replicati in tutti i domini dell'albero o della foresta. Inoltre, tutti gli oggetti di un singolo dominio e parte delle proprietà degli oggetti forestali vengono replicati nel catalogo globale (GC). Ciò significa che il controller di dominio archivia e replica lo schema per l'albero o la foresta, le informazioni di configurazione per tutti i domini dell'albero o della foresta e tutti gli oggetti e le proprietà del catalogo per il proprio dominio.
Il controller di dominio su cui è archiviato il GC contiene e replica le informazioni di schema per la foresta, le informazioni di configurazione per tutti i domini nella foresta e un insieme limitato di proprietà per tutti gli oggetti di directory nella foresta (che viene replicato solo tra server GC), nonché tutti gli oggetti di directory e le proprietà per il tuo dominio.
I controller di dominio possono avere ruoli master operazioni diverse. Un master operazioni risolve attività che sono scomode da eseguire in un modello di replica multi-master.
Esistono cinque ruoli principali operazioni che possono essere assegnati a uno o più controller di dominio. Alcuni ruoli devono essere univoci a livello di foresta, altri a livello di dominio.
I seguenti ruoli esistono in ogni foresta AD:
- Schema master - Gestisce gli aggiornamenti e le modifiche allo schema del catalogo. Per aggiornare lo schema del catalogo, è necessario l'accesso al master dello schema. Per determinare quale server è attualmente il master dello schema nel dominio, è necessario digitare il comando nella finestra del prompt dei comandi dsquery server -hasfsmo schema
- Master per la denominazione dei domini - Gestisce l'aggiunta e la rimozione di domini nella foresta. Per aggiungere o rimuovere un dominio, è necessario l'accesso al master di denominazione del dominio. Per determinare quale server è attualmente il master di denominazione del dominio, al prompt dei comandi digitare dsquery server -hasismo name
Questi ruoli sono comuni a tutta la foresta e sono unici in essa.
I seguenti ruoli devono esistere in ciascun dominio AD:
- Master ID relativo - alloca identificatori relativi ai controller di dominio. Ogni volta che viene creato un oggetto utente, gruppo o computer, i controller assegnano all'oggetto un identificatore di sicurezza univoco costituito da un identificatore di sicurezza del dominio e un identificatore univoco che è stato assegnato dal proprietario dell'identificatore relativo. Per determinare quale server è attualmente il master degli identificatori di dominio relativi, al prompt dei comandi digitare dsquery server -hasfsmo rid
- Emulatore PDC - in modalità mista o intermedia, il dominio funge da controller di dominio principale di Windows NT. Autentica l'accesso a Windows, elabora le modifiche della password e replica eventuali aggiornamenti al BDC. Per determinare quale server è attualmente l'emulatore PDC del dominio, al prompt dei comandi digitare dsquery server -hasfsmo pdc
- Maestro dell'infrastruttura - aggiorna i collegamenti degli oggetti, confrontando i dati del suo catalogo con i dati del GC. Se i dati non sono aggiornati, richiede aggiornamenti dal GC e li replica nel resto dei controller di dominio. Per determinare quale server è attualmente il master dell'infrastruttura del dominio, al prompt dei comandi digitare dsquery server -hasfsmo infr
Questi ruoli sono comuni all'intero dominio e devono essere univoci in esso.
I ruoli di master operazioni vengono automaticamente assegnati al primo controller nel dominio, ma possono essere riassegnati in un secondo momento. Se nel dominio è presente un solo controller, svolge contemporaneamente tutti i ruoli di master operazioni.
Non è consigliabile distribuire i ruoli del master schema e del master dei nomi di dominio. Assegnali a un controller di dominio, se possibile. Per la massima efficienza, è auspicabile che anche il relativo identificatore principale e l'emulatore PDC si trovino sullo stesso controller, sebbene questi ruoli possano essere separati se necessario. In una rete di grandi dimensioni dove i carichi di grandi dimensioni rallentano, il relativo identificatore principale e l'emulatore PDC devono trovarsi su controller diversi. Inoltre, non è consigliabile ospitare l'host dell'infrastruttura su un controller di dominio che archivia il catalogo globale.
Installare un controller di dominio (DC) basato su Windows Server 2003 utilizzando l'Installazione guidata di Active Directory
L'installazione di un controller di dominio viene eseguita utilizzando l'Installazione guidata di Active Directory. Per aumentare lo stato del server a un controller di dominio, è necessario assicurarsi di soddisfare tutti i requisiti necessari:
- Il server deve avere almeno una partizione NTFS per ospitare il volume di sistema SYSVOL.
- Il server deve avere accesso al server DNS. Si consiglia di installare il servizio DNS sullo stesso server. Se si utilizza un server separato, è necessario assicurarsi che supporti i record delle risorse di posizione del servizio (RFC 2052) e il protocollo di aggiornamenti dinamici (RFC 2136).
- È necessario disporre di un account con diritti di amministratore locale sul server.
Consideriamo in dettaglio la promozione del server nel controller di dominio Active Directory nei passaggi:
Nozioni di base sulla gestione del dominio di Active Directory
Numerosi strumenti negli snap-in di Microsoft Management Console (MMC) semplificano il lavoro con Active Directory.
Lo snap-in (Utenti e computer di Active Directory) è una console di gestione MMC che è possibile utilizzare per amministrare e pubblicare informazioni in una directory. Questo è il principale strumento di amministrazione di Active Directory utilizzato per eseguire tutte le attività relative a utenti, gruppi e computer, nonché per gestire le unità organizzative.
Per avviare lo snap-in (Utenti e computer di Active Directory), selezionare il comando con lo stesso nome nel menu Strumenti di amministrazione.
Per impostazione predefinita, la console Utenti e computer di Active Directory funziona con il dominio a cui appartiene il computer. È possibile accedere agli oggetti di computer e utenti in questo dominio tramite l'albero della console o connettersi a un altro dominio. Gli strumenti della stessa console consentono di visualizzare parametri aggiuntivi di oggetti ed eseguire la loro ricerca.
Avendo accesso al dominio, vedrai un set standard di cartelle:
- Query salvate (Query salvate): criteri di ricerca salvati che consentono di ripetere rapidamente una ricerca precedentemente eseguita in Active Directory;
- builtin - elenco di account utente integrati;
- computers - Il contenitore predefinito per gli account dei computer;
- Controller di dominio - il contenitore predefinito per i controller di dominio;
- ForeignSecurityPrincipals - Contiene informazioni sugli oggetti da un dominio esterno attendibile. In genere, questi oggetti vengono creati quando un oggetto da un dominio esterno viene aggiunto al gruppo del dominio corrente;
- utenti - contenitore predefinito per gli utenti.
Alcune cartelle della console non vengono visualizzate per impostazione predefinita. Per visualizzarli, selezionare il comando Funzioni avanzate dal menu Visualizza. Queste cartelle aggiuntive sono:
- Perso e trovato - perso il proprietario, oggetti catalogo;
- Quote NTDS - quote del servizio di directory;
- Dati del programma - dati memorizzati nel servizio directory per le applicazioni Microsoft;
- Sistema - parametri di sistema integrati.
È possibile aggiungere cartelle per le unità organizzative all'albero AD da soli.
Considera l'esempio della creazione di un account utente di dominio. Per creare un account utente, fare clic con il pulsante destro del mouse sul contenitore in cui si desidera posizionare l'account utente, selezionare Nuovo dal menu di scelta rapida, quindi selezionare Utente. Si apre la finestra Nuovo oggetto - Procedura guidata utente:
- Immettere il nome, il nome iniziale e il cognome dell'utente nei campi appropriati. Questi dati saranno richiesti per creare un nome utente di visualizzazione.
- Modifica il nome completo. Deve essere univoco nel dominio e avere una lunghezza non superiore a 64 caratteri.
- Inserisci un nome di accesso. Utilizzare l'elenco a discesa per selezionare il dominio a cui verrà associato l'account.
- Se necessario, modificare il nome utente per l'accesso a Windows NT 4.0 o precedente. Per impostazione predefinita, i primi 20 caratteri del nome utente completo vengono utilizzati come nome di accesso per i sistemi con versioni precedenti di Windows. Anche questo nome deve essere univoco nel dominio.
- Clicca su Il prossimo. Inserisci una password per l'utente. I suoi parametri devono corrispondere alla politica della password;
Conferma password: un campo utilizzato per confermare la correttezza della password inserita;
L'utente deve cambiare la password al prossimo accesso (Richiedi modifica password al prossimo accesso) - se questa casella di controllo è selezionata, l'utente dovrà cambiare la password al prossimo accesso;
L'utente non può cambiare la password - se questa casella di controllo è selezionata, l'utente non può cambiare la password;
La password non scade mai: se questa casella di controllo è selezionata, la password non scade per questo account (questo parametro ignora la politica di dominio degli account);
Account disabilitato: se questa casella di controllo è selezionata, l'account non funziona (il parametro è utile per vietare temporaneamente a qualcuno di utilizzare questo account).
Gli account consentono di archiviare le informazioni di contatto dell'utente, nonché le informazioni sulla partecipazione a vari gruppi di domini, il percorso del profilo, lo script di accesso, il percorso della cartella principale, l'elenco dei computer da cui l'utente può accedere al dominio, ecc.
Gli script di accesso definiscono i comandi che vengono eseguiti ad ogni accesso. Consentono di configurare l'ora del sistema, le stampanti di rete, i percorsi verso le unità di rete, ecc. Gli script vengono utilizzati per eseguire i comandi una volta, mentre le impostazioni dell'ambiente specificate dagli script non vengono salvate per un uso successivo. Gli script di accesso possono essere file server di script Windows con estensione .VBS, .JS e altri, file batch con estensione .BAT, file batch con estensione .CMD, programmi con estensione .EXE.
A ciascun account può essere assegnata una propria cartella principale per l'archiviazione e il ripristino dei file utente. La maggior parte delle applicazioni apre la cartella principale per impostazione predefinita per l'apertura e il salvataggio dei file, il che rende più semplice per gli utenti trovare i propri dati. Sulla riga di comando, la cartella principale è la directory corrente iniziale. La cartella principale può trovarsi sia sul disco rigido locale dell'utente sia su un'unità di rete pubblica.
I criteri di gruppo possono essere applicati agli account di dominio dei computer e degli utenti. Criteri di gruppo semplifica l'amministrazione offrendo agli amministratori il controllo centralizzato su privilegi, autorizzazioni e capacità di utenti e computer. Criteri di gruppo ti consente di:
- crea cartelle personalizzate gestite centralmente, come Documenti
- gestire l'accesso ai componenti di Windows, alle risorse di sistema e di rete, agli strumenti del pannello di controllo, al desktop e al menu Start;
- configurare gli script utente e computer per completare un'attività in un momento specifico.
- configurare criteri di blocco password e account, controllo, diritti utente e sicurezza.
Oltre alle attività di gestione di account e gruppi di utenti, ci sono molte altre attività di gestione del dominio. Per questo servono altri snap-in e applicazioni.
Sartiame Domini e trust di Active Directory (Active Directory - Domini e trust) viene utilizzato per lavorare con domini, alberi di domini e foreste di domini.
Sartiame Siti e servizi di Active Directory (Active Directory - siti e servizi) consente di gestire siti e sottoreti, nonché la replica tra siti.
Per gestire gli oggetti AD, esistono strumenti da riga di comando che ti consentono di eseguire una vasta gamma di attività amministrative:
- dsadd - Aggiunge computer, contatti, gruppi, unità organizzative e utenti ad Active Directory. Per assistenza, digitare dsadd /? ad es. dsadd computer /?
- dsmod - modifica le proprietà di computer, contatti, gruppi, unità organizzative, utenti e server registrati in Active Directory. Per assistenza, digitare dsmod /? ad es. dsmod server /?
- dsmove - Sposta un singolo oggetto in una nuova posizione all'interno del dominio o rinomina l'oggetto senza spostarlo.
- dsget - Visualizza le proprietà di computer, contatti, gruppi, unità organizzative, utenti, siti, sottoreti e server registrati in Active Directory. Per assistenza, digitare dsget /? ad es. subnet dsget /?
- dsquery - Cerca computer, contatti, gruppi, unità organizzative, utenti, siti, sottoreti e server in Active Directory secondo i criteri specificati.
- DSRM - rimuove un oggetto da Active Directory.
- Ntdsutil - consente di visualizzare informazioni sul sito, dominio o server, gestire i master delle operazioni (master operazioni) e mantenere il database di Active Directory.
Esistono anche strumenti di supporto di Active Directory:
- Ldp - Esegue operazioni LDAP nell'amministrazione di Active Directory.
- Replmon - Gestisce la replica e visualizza i suoi risultati in un'interfaccia grafica.
- dsacls - Gestisce ACL (elenchi di controllo di accesso) per gli oggetti di Active Directory.
- dfsutil - Gestisce il file system distribuito (file system distribuito, DFS) e visualizza informazioni sul suo lavoro.
- dnscmd - Gestisce le proprietà di server, zone e record di risorse DNS.
- Movetree - Sposta gli oggetti da un dominio all'altro.
- repadmin - Gestisce la replica e visualizza i risultati in una finestra del prompt dei comandi.
- Sdcbeck - Analizza la distribuzione, la replica e l'ereditarietà degli elenchi di controllo degli accessi.
- Sidwalker - Definisce gli elenchi di controllo di accesso per gli oggetti che in precedenza appartenevano a account trasferiti, eliminati o persi.
- netdom - Ti consente di gestire domini e trust dalla riga di comando.
Come puoi vedere da questo articolo, la combinazione di gruppi di computer in domini basati su Active Directory può ridurre significativamente il sovraccarico amministrativo centralizzando la gestione degli account di dominio per computer e utenti e ti consente anche di gestire in modo flessibile i diritti degli utenti, la sicurezza e una miriade di altri parametri. Informazioni più dettagliate sull'organizzazione dei domini sono disponibili nella letteratura pertinente.
