DZWONEK

Są tacy, którzy czytają tę wiadomość przed tobą.
Zapisz się, aby otrzymywać najnowsze artykuły.
E-mail
Nazwa
Nazwisko
Jak chcesz przeczytać The Bell
Bez spamu

Nazwa domeny lokalnej. Zrozumienie domen Active Directory. Konfigurowanie komputera klienckiego z systemem Windows do uruchamiania zapytań i dynamicznych aktualizacji w strefach DNS z jedną etykietą

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Co to jest kontroler domeny

Kontroler domeny zapewnia scentralizowane zarządzanie urządzeniami sieciowymi, czyli domenami. Sterownik przechowuje wszystkie informacje z kont i parametrów użytkowników sieci. To są parametry bezpieczeństwa, polityka lokalna i wiele innych. Jest to rodzaj serwera, który całkowicie kontroluje określoną sieć lub grupę sieci. Kontroler domeny to w pewnym sensie zestaw specjalnego oprogramowania, które uruchamia różne aktywne usługi Informator. Kontrolery obsługują określone systemy operacyjne, takie jak Windows Server 2003. Kreator aktywne instalacje Dysk umożliwia tworzenie kontrolerów domeny.

System operacyjny Windows NT używa podstawowego kontrolera domeny jako serwera podstawowego. Pozostałe używane serwery są używane jako kontrolery zapasowe. Podstawowe kontrolery PDC mogą rozwiązywać różne zadania związane z członkostwem w grupach użytkowników, tworzeniem i zmianą haseł, dodawaniem użytkowników i wieloma innymi. Dane są następnie przekazywane do dodatkowych kontrolerów BDC.

Może być używany jako kontroler domeny oprogramowanie Samba 4, jeśli jest zainstalowany system operacyjny Unix. To oprogramowanie obsługuje również inne systemy operacyjne, takie jak Windows 2003, 2008, 2003 R2 i 2008 R2. Każdy z systemów operacyjnych można w razie potrzeby rozbudować w zależności od określonych wymagań i parametrów.

Korzystanie z kontrolerów domeny

Kontrolery domeny są używane przez wiele organizacji, w których znajdują się komputery połączone ze sobą iz siecią. Kontrolery przechowują dane katalogowe i kontrolują wejście i wyjście użytkowników do systemu, a także zarządzają interakcją między nimi.

Organizacje korzystające z kontrolera domeny muszą zdecydować, ile ich użyć, zaplanować archiwizację danych, zabezpieczenia fizyczne, uaktualnienia serwerów i inne niezbędne zadania.

Jeśli firma lub organizacja jest mała i używana jest w niej tylko jedna sieć domenowa, wystarczy zastosować dwa kontrolery, które są w stanie zapewnić wysoką stabilność, odporność na awarie i wysoki poziom dostępności sieci. W sieciach podzielonych na określoną liczbę lokalizacji na każdej z nich jest zainstalowany jeden kontroler, co umożliwia osiągnięcie niezbędnej wydajności i niezawodności. Używając kontrolerów w każdej lokalizacji, można znacznie uprościć logowanie użytkowników i przyspieszyć je.

Ruch sieciowy można zoptymalizować, w tym celu należy ustawić czas aktualizacji replikacji, kiedy obciążenie sieci będzie minimalne. Skonfigurowanie replikacji znacznie uprości Twoją pracę i zwiększy jej produktywność.

Maksymalną wydajność działania kontrolera można osiągnąć, jeśli domena jest wykazem globalnym, co pozwoli na wysyłanie zapytań do dowolnych obiektów według określonej wagi. Należy jednak pamiętać, że włączenie wykazu globalnego wiąże się ze znacznym wzrostem ruchu związanego z replikacją.

Najlepiej nie włączać głównego kontrolera domeny, jeśli używany jest więcej niż jeden kontroler domeny. Podczas korzystania z kontrolera domeny bardzo ważne jest zadbanie o bezpieczeństwo, ponieważ staje się on wystarczająco dostępny dla atakujących, którzy chcą przejąć potrzebne im dane do oszukania.

Funkcje instalacji dodatkowe kontrolery domena

W celu uzyskania większej niezawodności w działaniu niezbędnych usług sieciowych konieczne jest zainstalowanie dodatkowych kontrolerów domeny. W rezultacie można osiągnąć znacznie wyższą stabilność, niezawodność i bezpieczeństwo eksploatacji. W takim przypadku wydajność sieci będzie znacznie wyższa, co jest bardzo ważnym parametrem dla organizacji korzystających z kontrolera domeny.

Aby kontroler domeny działał poprawnie, niektóre pliki praca przygotowawcza... Pierwszą rzeczą do zrobienia jest sprawdzenie parametrów TCP / IP, muszą one być poprawnie ustawione dla serwera. Najważniejszą rzeczą jest sprawdzenie nazw DNS pod kątem dopasowań.

Do bezpiecznego działania kontrolera domeny konieczne jest użycie systemu plików NTFS, który zapewnia większe bezpieczeństwo w porównaniu z systemami plików FAT 32. Do instalacji na serwerze należy utworzyć jedną partycję w systemie plików NTFS, na której będzie rezydował wolumin systemowy. Musisz również uzyskać dostęp do serwera DNS z serwera. DNS jest zainstalowany na tym lub dodatkowym serwerze, który musi obsługiwać rekordy zasobów.

W celu poprawnego skonfigurowania kontrolera domeny można skorzystać z Kreatora konfiguracji, za pomocą którego można dodać wykonanie określonych ról. Aby to zrobić, musisz przejść do sekcji administracyjnej za pośrednictwem panelu sterowania. Jako rolę serwera należy określić kontroler domeny.

Kontroler domeny jest dziś niezbędny w sieciach i witrynach wykorzystywanych przez różne organizacje, instytucje i firmy we wszystkich obszarach ludzkiej działalności. Dzięki niemu zapewniona jest wysoka wydajność i bezpieczeństwo, które w sieć komputerowa ma szczególne znaczenie. Rola kontrolera domeny jest bardzo ważna, ponieważ umożliwia zarządzanie zakresami domeny zbudowanymi w sieciach komputerowych. Każdy system operacyjny ma pewne niuanse związane z działaniem kontrolerów domeny, ale zasada i cel są wszędzie takie same, więc zrozumienie ustawień nie jest tak trudne, jak mogłoby się wydawać na samym początku. Jednak bardzo ważne jest, aby kontrolery domeny były konfigurowane przez ekspertów w celu ostatecznego uzyskania wysoka wydajność i bezpieczeństwo podczas pracy.

W rzadkich przypadkach administrator usług domenowych może stanąć przed zadaniem zmiany nazwy bieżącej domeny. Powody mogą być różne, ale taka sytuacja jest całkiem możliwa. Pomimo tego, że tego zadania nie można nazwać trywialnym, ale czasami trzeba się z nim zmierzyć, niezwykle ważne jest, aby zrobić wszystko poprawnie, ponieważ w przeciwnym razie wynik wydarzeń może być krytycznie niebezpieczny, aż do całkowicie niedziałającej infrastruktury korporacyjnej. W dalszej części tego artykułu dowiesz się o wymaganiach wstępnych do wykonania tej operacji, niektórych ograniczeniach oraz o tym, jak zmienić nazwę domeny. Zanim zaczniemy, nie wykonuj tych kroków w środowisku produkcyjnym, dopóki nie zmienisz nazwy domeny testowej w środowisku laboratoryjnym. Zaczynajmy.

Wymagania wstępne

Zanim zaczniesz zmieniać nazwę domeny, weź pod uwagę następujące informacje:

  • Poziom funkcjonalności lasu usługi Active Directory... Zadania zmiany nazwy domeny można wykonywać tylko wtedy, gdy wszystkie domeny w lesie są wyposażone w co najmniej system Windows Server 2003 (w tym przypadku nie ma ograniczeń dotyczących edycji). Co więcej, poziom funkcjonalności musi zostać podniesiony co najmniej do poziomu Windows Server 2003. Oznacza to, że jeśli wybrałeś poziom funkcjonalności Windows Server 2000 w swoim lesie, to następująca operacja będzie po prostu niemożliwa;
  • Lokalizacja domeny... W lesie usługi Active Directory mogą istnieć różne poziomy domen. Oznacza to, że może istnieć oddzielna domena lub las może zawierać domeny podrzędne. W przypadku zmiany lokalizacji kontrolera domeny w lesie konieczne będzie utworzenie relacji zaufania;
  • Strefa DNS... Przed wykonaniem operacji zmiany nazwy domeny musisz utworzyć nową strefę DNS;
  • Poświadczenia administracyjne... Aby wykonać operację zmiany nazwy domeny, należy zalogować się na konto administracyjne, które jest członkiem grupy Enterprise Admins;
  • Serwery rozproszonego systemu plików (DFS)... Jeśli środowisko przedsiębiorstwa ma wdrożony system plików DFS lub skonfigurowane profile mobilne, należy pamiętać, że serwery główne systemu plików DFS muszą działać co najmniej system operacyjny Windows Server 2000 z Service Pack 3 lub nowszymi systemami operacyjnymi;
  • Niezgodność z serwerami Microsoft Exchange... Najbardziej nieprzyjemną rzeczą jest to, że jeśli serwer poczty Microsoft Exchange Server 2003 z dodatkiem Service Pack 1 zostanie wdrożony w lesie Active Directory, zmiana nazwy domeny zostanie przeprowadzona bez żadnych problemów, ale konto użytkownika, na którym będzie wykonywany proces zmiany nazwy domeny, powinno być członkiem grupy Full Exchange Administrator. Coraz nowocześniejszy serwery pocztowe (w tym Exchange Server 2016) są niekompatybilne z operacjami zmiany nazwy domeny.

Należy również pamiętać, że należy zamrozić wszystkie nadchodzące konfiguracje lasów usługi Active Directory podczas zmiany nazwy domeny. Innymi słowy, należy upewnić się, że konfiguracja lasu nie ulegnie zmianie do czasu zakończenia operacji zmiany nazwy domeny (zobacz poniżej, aby uzyskać szczegółowe informacje na temat wykonywania tego kroku). Te operacje obejmują: tworzenie lub usuwanie domen w lesie Active Directory, tworzenie lub usuwanie partycji katalogu aplikacji, dodawanie lub usuwanie kontrolerów domeny w lesie, tworzenie lub usuwanie bezpośrednio ustanowionego zaufania oraz dodawanie lub usuwanie atrybutów, które będą replikowane do globalnego katalog.

Na wszelki wypadek sugerowałbym również wykonanie pełnej kopii zapasowej stanu systemu na każdym kontrolerze domeny w lesie Active Directory. Jeśli wykonasz to zadanie, ten środek ostrożności z pewnością nie będzie zbyteczny.

W przypadku, gdy Twoja infrastruktura spełnia powyższe wymagania i wszystkie wymagane kopie zapasowe zostały wykonane, możesz przystąpić do procesu zmiany nazwy domeny.

Proces zmiany nazwy domeny Active Directory

Najpierw, aby sprawdzić oryginalną nazwę swojej domeny, możesz otworzyć okno właściwości systemu. Jak widać na powiązanej ilustracji, moja domena nazywa się „Biopharmaceutic.local”:

Postać: 1. Sprawdzanie oryginalnej nazwy domeny Active Directory

Powinieneś teraz utworzyć nową strefę DNS „biopharm.local”, aby po pomyślnej zmianie nazwy domeny Twoje serwery członkowskie i klienci mogli łatwo dołączyć do nowej nazwy domeny. Aby to zrobić, otwórz „ Menedżer DNS» ( Menedżer DNS) i bycie w „ Obszar podglądu na żywo» ( Strefa wyszukiwania do przodu) wybierz opcję utworzenia nowej strefy. Zasadniczo strefa jest tworzona w zwykły sposób: na pierwszej stronie kreatora tworzenia nowej strefy przeczytaj informacje wstępne i przejdź do drugiej strony. Na stronie typu strefy wybierz strefę główną ( Strefa podstawowa) i upewnij się, że opcja zapisywania strefy w usłudze Active Directory jest włączona. Na stronie zakresu replikacji strefy pozostaw domyślną opcję - „ Dla wszystkich serwerów DNS działających na kontrolerach domeny w tej domenie: Biopharmaceutic.local» ( Do wszystkich serwerów DNS działających na kontrolerach domeny w tej domenie: Biopharmaceutic.local). Na stronie nazwy strefy określ nową nazwę domeny (biopharm.local), a na stronie dynamicznej aktualizacji pozostaw również opcję „ Zezwalaj tylko na bezpieczne aktualizacje dynamiczne (zalecane dla usługi Active Directory)» ( Zezwalaj tylko na bezpieczne aktualizacje dynamiczne (zalecane dla usługi Active Directory)), który jest wybrany domyślnie. Poniżej możesz zobaczyć kilka etapów tworzenia nowej strefy:

Postać: 2. Utwórz nową strefę DNS

Następnym krokiem podczas zmiany nazwy domeny jest wygenerowanie opisu bieżącego stanu lasu. W rzeczywistości jest to pierwsza operacja zmiany nazwy domeny, w której narzędzie będzie używane wiersz poleceń Rendom... To narzędzie wygeneruje tekstowy opis bieżącej struktury lasu jako plik XML o nazwie Domainlist.xml. Ten plik zawiera listę wszystkich partycji katalogu domeny, a także partycji katalogu aplikacji, które znajdują się w lesie usługi Active Directory. Każdy wpis dla każdej domeny i partycji katalogu aplikacji jest oddzielony znacznikami XML i... Ponadto każdy rekord zawiera dane, które obejmują globalnie unikalny identyfikator obiektu (GUID) obiektu partycji głównej, nazwę DNS domeny lub katalogu aplikacji oraz nazwę NetBIOS domeny.

Aby utworzyć taki plik, otwórz wiersz poleceń na odpowiednim koncie i wykonaj polecenie „ losowo / lista”. Wygenerowany plik zostanie zapisany w katalogu głównym konta użytkownika. Następnie musisz otworzyć ten plik za pomocą dowolnego edytora tekstu.

W tym pliku musisz zmienić nazwę domeny wewnątrz sekcji, która jest oddzielona tagami i i nazwa NetBIOS wewnątrz tagów i). Pamiętaj, że nie możesz zmieniać identyfikatora GUID w odpowiednich tagach.

Na poniższej ilustracji zobaczysz proces wykonywania powyższego polecenia, lokalizację pliku Domainlist.xml oraz zmiany w pierwszej sekcji tego pliku. W moim przypadku nazwa domeny w tej konfiguracji zostanie zmieniona 4 razy:

Postać: 3. Generowanie i modyfikacja pliku Domainlist.xml

Aby upewnić się, że dokonałeś wymaganych zmian w odpowiednim pliku, możesz uruchomić polecenie „ rendom / showforest”. Jak widać na poniższej ilustracji, wszystkie moje wpisy zmieniły się na „Bopharm”:

Postać: 4. Zobacz potencjalne zmiany

Po uruchomieniu następującego polecenia ( rendom / upload) Narzędzie Rendom tłumaczy nową strukturę lasu określoną w edytowanym pliku na sekwencję instrukcji aktualizacji katalogu, które będą uruchamiane lokalnie i zdalnie na każdym kontrolerze domeny w lesie. Ogólnie rzecz biorąc, w tym momencie w sekcji katalogu konfiguracji Kreatora nazw domen zostaną wprowadzone zmiany w celu zmiany nazwy domeny usługi Active Directory. Ponadto zostanie utworzony plik Dclist.xml, który będzie używany do śledzenia postępu i stanu każdego kontrolera domeny w lesie podczas operacji zmiany nazwy domeny. Nawiasem mówiąc, w tym momencie narzędzie Rendom blokuje las Active Directory przed wprowadzaniem jakichkolwiek zmian w jego konfiguracji. Proces wykonywania tego polecenia przedstawiono poniżej:

Postać: 5. Wykonanie polecenia rendom / upload

Następujące polecenie jest uruchamiane w celu sprawdzenia gotowości kontrolerów domeny przed operacją zmiany nazwy domeny. Na tym etapie należy uruchomić polecenie sprawdzania przygotowawczego każdy kontroler domeny w lesie... Ma to na celu zapewnienie, że baza danych usługi Active Directory na każdym kontrolerze domeny w lesie jest w odpowiednim stanie i jest gotowa do wprowadzania zmian, które spowodują zmianę nazwy domeny. Dlatego uruchom polecenie „ rendom / przygotowanie„Jak pokazano na poniższej ilustracji:

Postać: 6. Przygotowanie domeny do zmiany nazwy

Najważniejszy moment. Wykonanie polecenia „ rendom / execute”. Po uruchomieniu tego polecenia w domenie są wykonywane instrukcje dotyczące zmiany nazwy domeny. Zasadniczo w tym momencie dostęp do każdego kontrolera domeny w lesie jest uzyskiwany indywidualnie, co zmusza każdy kontroler domeny do wykonania instrukcji zmiany nazwy domeny. Po zakończeniu tej operacji każdy kontroler domeny zostanie ponownie uruchomiony. Na poniższej ilustracji przedstawiono proces zmiany nazwy domeny:

Postać: 7. Proces zmiany nazwy domeny

Ale to nie wszystko. Mimo że nazwa domeny została już zasadniczo zmieniona, nadal masz zadanie naprawienia obiektów zasad grupy i ich łączy po zakończeniu operacji zmiany nazwy domeny. Użyj narzędzia wiersza poleceń, aby przywrócić obiekty GPO oraz łącza GPO w każdej domenie o zmienionej nazwie Gpfixup.exe... Tej procedury nie można zaniedbać ze względu na fakt, że bez jej użycia, po zakończeniu operacji zmiany nazwy domeny w nowym lesie, zasady grupy po prostu nie będą działać poprawnie. Należy pamiętać, że to polecenie należy uruchomić raz w każdej domenie o zmienionej nazwie. Dlatego uruchom polecenie raz gpfixup z parametrami /olddns:Biopharmaceutic.local (stara nazwa domeny, której nazwa została zmieniona) i /newdns:Biopharm.local (nowa nazwa domeny o zmienionej nazwie), a następnie polecenie gpfixup z parametrami / oldnb: Biopharmaceutic i / newnb: Biopharm (odpowiednio stara i nowa nazwa NETBIOS Twojej domeny). Ta procedura jest widoczna poniżej:

Postać: 8. Naprawianie obiektów zasad grupy

Do wykonania pozostały tylko dwa polecenia: polecenie „ rendom / clean", Co pozwala na usunięcie wszystkich odniesień do starych nazw domen w Active Directory, jak również polecenie" rendom / endW rzeczywistości odmrażanie lasu Active Directory przed wprowadzaniem zmian w jego konfiguracji. Proces wykonywania tych poleceń można zobaczyć na poniższej ilustracji:

Postać: 9. Zakończenie zmiany nazwy domeny Active Directory

Będziesz musiał dwukrotnie zrestartować ich komputery, aby zmiany zostały zastosowane na serwerach członkowskich i klientach końcowych. Będziesz jednak musiał ręcznie zmienić nazwy kontrolerów domeny. Jak widać na poniższej ilustracji, nazwa mojego kontrolera domeny pozostaje taka sama.

Wczoraj do naszego studia wpłynął list od naszego stałego czytelnika Andreya z pytaniem:

Cieszę się, że czytam Twojego bloga, nauczyłem się wielu przydatnych dla siebie rzeczy, chciałem poznać Twoją opinię na temat nazwy domeny Active Directory, wielu pisze, że warto nazywać ją * organizacją * .lokalną, a ktoś pisze, że powinna nazywać się tak samo jak domena.

Rzućmy okiem na to, jaka nazwa jest najlepsza do nazwania domeny w organizacji.

Jak pokazuje praktyka, wybór nazwy domeny może zmylić nawet doświadczonego administratora systemu. Przy pierwszym uruchomieniu narzędzia dcpromo nazwa domeny będzie generowana automatycznie i losowo, jeśli na tym etapie nazwa domeny nie zostanie dostosowana do niezbędnych reguł, w przyszłości trudniej będzie zmienić nazwę domeny. Przyjrzyjmy się opcjom w kolejności popularności.

1. Domena o nazwie example.local

Liderem naszej listy przebojów jest nazwa domeny kończąca się na lokalny. Na przykład istnieją inne odmiany tego tematu test, firma, fabryka, nn, locitp. Teraz nawet nie możesz sobie przypomnieć, skąd wzięła się ta miłość, we wszystkich swoich książkach Microsoft zawsze używa własnego nazewnictwa formularza contoso.comgdzie wyraźnie widzimy format nazewnictwa domen... Jednak od prawie 10 lat domena .lokalny zajmował czołowe miejsce. Sytuacja zaczęła się wyrównać wraz z pojawieniem się usług wykorzystujących w swojej pracy Certyfikaty SSL... Tam, gdzie użycie domen „nie obchodzi mnie to i tak się skończy” staje się niemożliwe. Zobacz, powiedzmy, że Twoja firma używa wewnętrznie Wymiana serweruktóry potrzebuje certyfikatu ssl do szyfrowania połączeń klientów. Zgodnie ze scenariuszem do wykonania tego zadania potrzebny jest certyfikat. zewnętrzny urząd certyfikacji, w którym należy podać wszystkie nazwy serwerów używanych do połączenia zewnętrznego. Wydawałoby się, że w takim razie spisujemy wszystkie nazwy serwerów i staramy się o wydanie certyfikatów, ale jest jedno. Z nazwą takiej domeny nie będziesz w stanie przejść walidacjiponieważ domena „nie obchodzi mnie to i tak się zepsuje” nie istnieje i przy próbie wyjaśnienia zewnętrznemu urzędowi certyfikacji, że należy podać nazwę FQDN domeny, która nie istnieje w sieci SAN, otrzymasz miękką odmowę:

Nie jest to możliwe, wydajemy tylko certyfikaty dla prawdziwych nazw domen.

Ale jest jeszcze jedna niedogodność. Użycie nazwy domeny nie należy do ciebie w nazwie domeny może być tragiczne. Wyobraź sobie sytuację, jeśli strefa lokalny będą miały status publiczny. Jak strefa com lub ru... Myślę, że nie warto kontynuować 🙂

2. Nazwa domeny jest taka sama, jak nazwa domeny zewnętrznej

Drugie miejsce w naszej hitowej paradzie. Pomimo tego, że ten scenariusz jest mniej popularny, nadal ma prawo do życia. Oprócz tego, że w najbliższej przyszłości nadal będziesz odczuwać pewne niedogodności związane z utrzymaniem sieci, nic innego Ci nie grozi. Główny problem w tym scenariuszu polega na tym, że musisz utrzymywać dwa serwery DNS: wewnętrzny i zewnętrzny... W takim przypadku komputery znajdujące się w sieci będą korzystały z wewnętrznego serwera DNS do rozpoznawania nazw, a komputery poza granicami firmy - z serwera zewnętrznego. Powiedzmy, że Twoja domena ma dumną nazwę example.com... W DMZ strefa, którą masz stronie internetowej nazwy firm example.com... W opisanym powyżej scenariuszu zlokalizowano komputery wewnątrz organizacja nie będę w stanie dostęp do niego, ponieważ dla nich example.com jest nazwa domeny a po wpisaniu tego adresu w przeglądarce przejdą na kontroler domeny... Jak zauważyłem powyżej, poza niedogodnościami, to do niczego nie doprowadzi. Zawsze możesz użyć kul, które przeniesie Cię na zewnętrzną stronę, ale zgódź się, że nie jest to konieczna podwójna praca lub w sieci użyj nazwy witryny zaczynającej się od wwwlub na zewnątrz.

3. Nazwa domeny składająca się z jednego słowa

Być może najbardziej niepoprawna opcja z powyższego. Domeny jednopoziomowe: Domena z pojedynczą etykietą To domena, która zawiera tylko jeden składnik... Najwyraźniej zaczęto ich używać w czasach NT, kiedy Microsoft przyjął udane doświadczenia Novella. Tak się złożyło, że początkowo byłem administratorem FreeBSD i dużej floty serwerów NetWare począwszy od wersji 4.11, aw tamtych starożytnych czasach NetWare wykorzystywał w swojej pracy Bindery, czyli tylko nazwy schemat domeny rodzeństwa, który został później przejęty przez Microsoft.

Najlepsze praktyki

Czas podsumować. Jakiego nazewnictwa domen należy użyć? Tylko domena trzeciego poziomu w Twojej domenie... Nie używaj ładniejszych nazw domen innych osób :-). Przykład takiej domeny możesz zobaczyć poniżej.

Jest rok 2015, Internet stał się powszechny, każda szanująca się firma od dawna ma własną stronę internetową. Nie musisz daleko szukać - nawet każdy szpital miejski ma własne zasoby sieciowe. Niemniej jednak administratorzy systemów nie nauczyli się tworzyć normalnych nazw dla swoich domen.

Koszt domeny drugiego poziomu (na przykład bissquit.com) to nieco ponad 500 rubli rocznie. To bardzo niewiele, nawet dla zwykłych obywateli, takich jak ty i ja, a dla firm to tylko grosz, a nawet więcej. Swoją domenę nabyłem na długo przed pojawieniem się pomysłu, aby „złożyć” tego blozhika. To po prostu wygodne. Wyrównaj zdalne połączenie przez rdp - wpisuję nazwę domeny zamiast nudnego adresu IP.

W Internecie w przypadku zapytania „sprawdzone metody dotyczące domeny usługi Active Directory” prawie każda witryna zawiera wyczerpujące zalecenia dotyczące nazewnictwa domen AD i wyjaśnia, dlaczego jest to konieczne. Przyjrzyjmy się bliżej, o jakie zalecenia chodzi:

  • Użyj subdomeny oficjalnie zarejestrowanej domeny swojej organizacji, aby nazwać swoją domenę AD.

Masz rację, tylko jedna rada. To wszystko! Możesz dużo mówić o szczegółach i drobnych niuansach, ale 80-90% rozumowania sprowadza się do jednej porady wyrażonej powyżej. Wszystkie problemy wynikają z tego, że człowiek wie, że należy to zrobić, ale nie rozumie, dlaczego jest to niemożliwe lub bardzo zniechęcone, aby zrobić to inaczej. Od teraz więcej szczegółów.

1. Dlaczego nie możesz używać nazw wewnętrznych, nierozwiązanych zewnętrznie, takich jak .local, .corp, .lan?

Mogą. Tak dużo jak to możliwe. Większość z nich również z nich korzysta. Mam przykłady wśród znajomych, którzy mają ponad 2000 osób w swoich organizacjach i używają domeny .local. Wszystkie trudności zaczną się, jeśli nagle będziesz potrzebować prawdziwej domeny AD. Może się to zdarzyć podczas korzystania z wdrożeń chmury hybrydowej (najlepszym przykładem jest Exchange + Office365). „Dlaczego nie zmienić nazwy domeny, skoro jest to całkiem możliwe w przypadku określonej wersji AD?” - ty pytasz. Tak, w zasadzie możesz, ale musisz zmierzyć się z trudnościami związanymi z migracją usług zależnych od domeny. Wśród nich są wszystkie te same wymiany i inne, ale tutaj jedna wymiana jest więcej niż wystarczająca.

2. „Ok, kupujemy prawdziwą nazwę zewnętrzną - moja-firma.com, nazwiemy również domenę AD” - również nie wchodzi w grę. Będziesz mieć problemy z rozwiązywaniem innych zasobów znajdujących się w witrynie moja-firma.com, na przykład w witrynie internetowej firmy. Poza tym twoje serwery DNS nie będą autorytatywne dla tej domeny, chociaż będą się tak uważać. To również spowoduje problemy.

Istnieją inne kwestie związane z nazewnictwem domen, w tym tworzenie domeny podobnej do rzeczywistej, ale w innej TLD. Ale wydaje mi się, że nie ma to większego sensu, ponieważ niektóre problemy nadal pozostają, a po prostu nie ma oczywistych zalet w porównaniu z używaniem domeny corp.moja-firma.com (na przykład nazwa).

Dla tych, którzy lubią robić wszystko po swojemu, od niedawna pojawią się również problemy z certyfikatami, więc teraz w ogóle nie ma sensu używać nazw wewnętrznych.

Kwestia wyboru nazwy domeny technicznie zależy od linii, w której wpisujesz nazwę podczas tworzenia domeny AD i nic więcej. Jednak konsekwencje, które pociągną za sobą niewłaściwy wybór nazwy, spowodują w przyszłości wiele problemów, dlatego bardzo ważne jest, aby na etapie planowania wszystko robić sprawnie. Jeszcze raz warto przeczytać artykuły doświadczonych administratorów

Krótko mówiąc, AD zapewnia pojedynczy punkt administracyjny dla wszystkich opublikowanych zasobów. Usługa AD jest oparta na standardzie nazewnictwa X.500, systemie nazw domen (DNS) lokalizacji i używa protokołu Lightweight Directory Access Protocol (LDAP) jako protokołu podstawowego.

AD integruje logiczną i fizyczną strukturę sieci. Logiczna struktura AD składa się z następujących elementów:

  • jednostka organizacyjna - podgrupa komputerów, zwykle odzwierciedlająca strukturę firmy;
  • domena - grupa komputerów korzystających ze wspólnej bazy danych katalogu;
  • drzewo domeny - jedna lub więcej domen współdzielących ciągłą przestrzeń nazw;
  • las domeny - jedno lub więcej drzew udostępniających informacje katalogowe.

Struktura fizyczna obejmuje następujące elementy:

  • podsieć - grupa sieciowa z określonym zakresem adresów IP i maską sieciową;
  • teren - jedna lub więcej podsieci. Witryna służy do konfigurowania dostępu do katalogu i replikacji.

W katalogu są przechowywane trzy typy informacji: dane domeny, dane schematu i dane konfiguracyjne. Usługa AD używa tylko kontrolerów domeny. Dane domeny są replikowane do wszystkich kontrolerów domeny. Wszystkie kontrolery domeny są równe, tj. wszelkie zmiany dokonane na dowolnym kontrolerze domeny będą replikowane na wszystkie inne kontrolery domeny. Schemat i dane konfiguracyjne są replikowane do wszystkich domen w drzewie lub lesie. Ponadto wszystkie obiekty w poszczególnych domenach i niektóre właściwości obiektów leśnych są replikowane do wykazu globalnego (GC). Oznacza to, że kontroler domeny przechowuje i replikuje schemat drzewa lub lasu, informacje konfiguracyjne dla wszystkich domen w drzewie lub lesie oraz wszystkie obiekty i właściwości katalogu dla własnej domeny.

Kontroler domeny, który przechowuje GC, zawiera i replikuje informacje o schemacie dla lasu, informacje o konfiguracji dla wszystkich domen w lesie oraz ograniczony zestaw właściwości dla wszystkich obiektów katalogu w lesie (który jest replikowany tylko między serwerami GC), a także wszystkie obiekty katalogu i właściwości dla Twoja domena.

Kontrolery domeny mogą mieć różne role wzorca operacji. Mistrz operacji rozwiązuje zadania, które są niewygodne w modelu replikacji z wieloma wzorcami.

Istnieje pięć ról wzorca operacji, które można przypisać do jednego lub większej liczby kontrolerów domeny. Niektóre role muszą być unikatowe na poziomie lasu, inne na poziomie domeny.

Każdy las usługi AD ma następujące role:

  • Mistrz schematu - Zarządza aktualizacjami i zmianami w schemacie katalogu. Aby zaktualizować schemat katalogu, potrzebujesz dostępu do wzorca schematu. Aby określić, który serwer jest obecnie głównym schematem w domenie, musisz wpisać polecenie w oknie wiersza polecenia dsquery server -hasfsmo schema
  • Wzorzec nazw domen - zarządza dodawaniem i usuwaniem domen w lesie. Aby dodać lub usunąć domenę, potrzebujesz dostępu do wzorca nazw domen. Aby określić, który serwer jest obecnie wzorcem nazw domen, w wierszu polecenia wprowadź dsquery server -hasismo nazwa

Te role są wspólne dla całego lasu i są w nim wyjątkowe.

Każda domena AD musi mieć następujące role:

  • Względny mistrz ID - przydziela względne identyfikatory kontrolerom domeny. Za każdym razem, gdy tworzony jest obiekt użytkownika, grupy lub komputera, kontrolery przypisują do obiektu unikatowy identyfikator SID, który składa się z identyfikatora SID domeny i unikalnego identyfikatora przydzielonego przez wzorca względnego identyfikatora. Aby określić, który serwer jest aktualnie głównym serwerem względnych identyfikatorów domeny, w wierszu polecenia wprowadź dsquery server -hasfsmo rid
  • Emulator PDC (emulator PDC) - W trybie domeny mieszanej lub pomostowej działa jako główny kontroler domeny systemu Windows NT. Uwierzytelnia logowanie do systemu Windows, przetwarza zmiany haseł i replikuje aktualizacje w BDC, jeśli takie istnieją. Aby określić, który serwer jest obecnie emulatorem domeny PDC, w wierszu polecenia wprowadź dsquery server -hasfsmo pdc
  • Mistrz infrastruktury - Aktualizuje odniesienia do obiektów, porównując dane katalogowe z danymi GC. Jeśli dane są nieaktualne, żąda aktualizacji z GC i replikuje je do pozostałych kontrolerów domeny. Aby określić, który serwer jest obecnie głównym serwerem infrastruktury domeny, w wierszu polecenia wpisz dsquery server -hasfsmo infr

Te role są wspólne dla całej domeny i muszą być w niej unikalne.

Role wzorca operacji są automatycznie przypisywane do pierwszego kontrolera w domenie, ale użytkownik może je później ponownie przypisać. Jeśli w domenie jest tylko jeden kontroler, pełni on jednocześnie wszystkie role wzorca operacji.

Nie zaleca się oddzielania ról wzorca schematu i wzorca nazw domen. Jeśli to możliwe, przypisz je do pojedynczego kontrolera domeny. Aby uzyskać największą wydajność, pożądane jest, aby wzorzec identyfikatorów względnych i emulator kontrolera PDC również znajdowały się na tym samym kontrolerze, chociaż w razie potrzeby role te można rozdzielić. W dużej sieci, w której duże obciążenia spowalniają wydajność, względny główny identyfikator i emulator kontrolera PDC powinny znajdować się na różnych kontrolerach. Ponadto nie zaleca się hostowania wzorca infrastruktury na kontrolerze domeny, który przechowuje wykaz globalny.

Instalowanie kontrolera domeny (DC) systemu Windows Server 2003 przy użyciu Kreatora instalacji usługi Active Directory

Kontroler domeny jest instalowany przy użyciu Kreatora instalacji usługi Active Directory. Aby podwyższyć status serwera do kontrolera domeny, należy upewnić się, że spełnione są wszystkie wymagania:

  1. Serwer musi mieć co najmniej jedną partycję NTFS do przechowywania woluminu systemowego SYSVOL.
  2. Serwer musi mieć dostęp do serwera DNS. Zaleca się zainstalowanie usługi DNS na tym samym serwerze. Jeśli używasz oddzielnego serwera, musisz upewnić się, że obsługuje on rekordy zasobów lokalizacji usługi (RFC 2052) i aktualizacje dynamiczne (RFC 2136).
  3. Musisz mieć konto z lokalnymi uprawnieniami administratora na serwerze.

Przyjrzyjmy się bliżej promowaniu roli serwera do kontrolera domeny Active Directory w krokach:

Podstawy zarządzania domeną Active Directory

Szereg narzędzi w przystawkach Microsoft Management Console (MMC) ułatwia pracę z Active Directory.

Przystawka (Użytkownicy i komputery usługi Active Directory) to konsola MMC, której można używać do administrowania i publikowania informacji w katalogu. Jest głównym narzędziem administracyjnym Active Directory i służy do wykonywania wszystkich zadań związanych z użytkownikami, grupami i komputerami, a także do zarządzania jednostkami organizacyjnymi.

Aby uruchomić przystawkę (Active Directory - Użytkownicy i komputery), wybierz polecenie o tej samej nazwie w menu Narzędzia administracyjne.

Domyślnie konsola Użytkownicy i komputery usługi Active Directory działa z domeną, do której należy komputer. Możesz uzyskać dostęp do komputerów i obiektów użytkowników w tej domenie za pośrednictwem drzewa konsoli lub połączyć się z inną domeną. Narzędzia tej samej konsoli pozwalają na przeglądanie dodatkowych parametrów obiektów i ich wyszukiwanie.

Po uzyskaniu dostępu do domeny zobaczysz standardowy zestaw folderów:

  • Zapisane zapytania (Zapisane zapytania) - Zapisane kryteria wyszukiwania, które umożliwiają szybkie powtórzenie wcześniej przeprowadzonego wyszukiwania w Active Directory;
  • Wbudowany - lista wbudowanych kont użytkowników;
  • Komputery - domyślny kontener dla kont komputerów;
  • Kontrolery domeny - domyślny kontener dla kontrolerów domeny;
  • ForeignSecurityPrincipals - zawiera informacje o obiektach z zaufanej domeny zewnętrznej. Zazwyczaj te obiekty są tworzone, gdy obiekt z domeny zewnętrznej jest dodawany do bieżącej grupy domen;
  • Użytkownicy To domyślny kontener dla użytkowników.

Niektóre foldery konsoli nie są domyślnie wyświetlane. Wybierz Zaawansowane funkcje z menu Widok, aby je wyświetlić. Te dodatkowe foldery to:

  • LostAndFound - stracił właściciela, katalog obiektów;
  • Przydziały NTDS - dane o kwotach dla usługi katalogowej;
  • Dane programu - dane przechowywane w usłudze katalogowej dla aplikacji Microsoft;
  • System - wbudowane parametry systemowe.

Możesz samodzielnie dodawać foldery dla jednostek organizacyjnych do drzewa AD.

Spójrzmy na przykład tworzenia konta użytkownika domeny. Aby utworzyć konto użytkownika, kliknij prawym przyciskiem myszy kontener, w którym chcesz umieścić konto użytkownika, wybierz w menu kontekstowe Nowy, a następnie Użytkownik. Otworzy się kreator Nowy obiekt - użytkownik:

  1. Wpisz imię, inicjał i nazwisko użytkownika w odpowiednich polach. Te informacje będą potrzebne do utworzenia nazwy wyświetlanej.
  2. Edytuj imię i nazwisko. Musi być unikalny w domenie i nie dłuższy niż 64 znaki.
  3. Wpisz swoją nazwę logowania. Z listy rozwijanej wybierz domenę, z którą będzie skojarzone konto.
  4. W razie potrzeby zmień nazwę użytkownika, aby logować się do systemów z systemem Windows NT 4.0 lub starszym. Domyślnie jako nazwa logowania z poprzednie wersje System Windows używa pierwszych 20 znaków pełnej nazwy użytkownika. Ta nazwa musi być również unikalna w całej domenie.
  5. Kliknij Kolejny. Podaj hasło dla użytkownika. Jego parametry muszą być zgodne z twoją polityką haseł;
    Potwierdź hasło - pole potwierdzające wpisane hasło jest prawidłowe;
    Użytkownik musi zmienić hasło przy następnym logowaniu (Wymagaj zmiany hasła przy następnym logowaniu) - zaznaczenie tego pola wyboru spowoduje, że użytkownik będzie musiał zmienić hasło przy następnym logowaniu;
    Użytkownik nie może zmienić hasła - jeśli zaznaczone, użytkownik nie może zmienić hasła.
    Hasło nigdy nie wygasa - jeśli to pole wyboru jest zaznaczone, hasło do tego konta nie wygaśnie (ta opcja zastępuje zasady konta domeny).
    Konto jest wyłączone - jeśli zaznaczone, konto jest wyłączone (ta opcja jest przydatna do tymczasowego zablokowania komuś korzystania z tego konta).

Konta pozwalają na przechowywanie informacji kontaktowych użytkowników, a także informacji o uczestnictwie w różnych grupach domenowych, ścieżce do profilu, skrypcie logowania, ścieżce do katalogu domowego, liście komputerów, z których użytkownik może wejść do domeny itp.

Skrypty logowania definiują polecenia wykonywane przy każdym logowaniu. Pozwalają dostosować czas systemowy, drukarki sieciowe, sposób dyski sieciowe itp. Skrypty służą do jednorazowego uruchamiania poleceń, a ustawienia środowiska ustawione przez skrypty nie są zapisywane do późniejszego wykorzystania. Skrypty logowania mogą być plikami hosta skryptów systemu Windows z rozszerzeniami .VBS, .JS i innymi, plikami wsadowymi z rozszerzeniem .BAT, pliki poleceń z rozszerzeniem .CMD, programy z rozszerzeniem .EXE.

Do każdego konta można przypisać własny folder domowy do przechowywania i przywracania plików użytkownika. Większość aplikacji domyślnie otwiera swój katalog domowy, aby otwierać i zapisywać pliki, co ułatwia użytkownikom znajdowanie ich danych. W wierszu poleceń katalog domowy to początkowy katalog bieżący. Folder domowy może znajdować się zarówno na lokalnym dysku twardym użytkownika, jak i na publicznym dysku sieciowym.

Do domeny rachunki komputery i użytkownicy mogą stosować zasady grupowe. Zasady grupy Upraszcza administrację, dając administratorom scentralizowaną kontrolę nad uprawnieniami, uprawnieniami i możliwościami użytkowników i komputerów. Zasady grupy umożliwiają:

  • tworzyć centralnie zarządzane foldery specjalne, takie jak Moje dokumenty;
  • zarządzać dostępem do składniki systemu Windows, zasoby systemowe i sieciowe, narzędzia panelu sterowania, pulpit i menu Start;
  • skonfigurować skrypty dla użytkowników i komputerów, aby wykonywały zadanie w określonym czasie;
  • konfigurować zasady dotyczące haseł i blokad kont, audytów, przydzielania praw użytkowników i bezpieczeństwa.

Oprócz zadań zarządzania użytkownikami rachunki i grup, istnieje wiele innych zadań związanych z zarządzaniem domeną. W tym celu używane są inne przystawki i aplikacje.

Olinowanie Domeny i relacje zaufania usługi Active Directory (Domeny i relacje zaufania usługi Active Directory) jest używany do pracy z domenami, drzewami domen i lasami domen.

Olinowanie Witryny i usługi Active Directory (Active Directory - Lokacje i usługi) umożliwia zarządzanie lokacjami i podsieciami, a także replikacją międzylokacyjną.

Istnieją narzędzia wiersza poleceń do zarządzania obiektami AD, które umożliwiają wykonywanie różnorodnych zadań administracyjnych:

  • Dsadd - dodaje komputery, kontakty, grupy, jednostki organizacyjne i użytkowników do Active Directory. Aby uzyskać pomoc, wpisz dsadd /? np. dsadd komputer /?
  • Dsmod - zmienia właściwości komputerów, kontaktów, grup, jednostek organizacyjnych, użytkowników i serwerów zarejestrowanych w Active Directory. Aby uzyskać pomoc, wpisz dsmod /? np. serwer dsmod /?
  • Dsmove - przenosi pojedynczy obiekt do nowej lokalizacji w domenie lub zmienia nazwę obiektu bez przemieszczania.
  • Dsget - Wyświetla właściwości komputerów, kontaktów, grup, jednostek organizacyjnych, użytkowników, witryn, podsieci i serwerów zarejestrowanych w usłudze Active Directory. Aby uzyskać pomoc, wpisz dsget /? np. dsget subnet /?
  • Dsquery - wyszukuje komputery, kontakty, grupy, jednostki organizacyjne, użytkowników, witryny, podsieci i serwery w Active Directory według określonych kryteriów.
  • Dsrm - usuwa obiekt z Active Directory.
  • Ntdsutil - Umożliwia przeglądanie informacji o witrynie, domenie lub serwerze, zarządzanie wzorcami operacji i utrzymywanie bazy danych Active Directory.

Istnieją również narzędzia obsługi Active Directory:

  • Ldp - Wykonuje operacje LDAP w administracji Active Directory.
  • Zastąp - Zarządza replikacją i wyświetla jej wyniki w interfejsie graficznym.
  • Dsacls - Zarządza listami ACL (listami kontroli dostępu) dla obiektów usługi Active Directory.
  • Dfsutil - Zarządza dystrybucją system plików (Distributed File System, DFS) i wyświetla informacje o jego działaniu.
  • Dnscmd - Zarządza właściwościami serwerów DNS, strefami i rekordami zasobów.
  • Movetree - Przenosi obiekty z jednej domeny do drugiej.
  • Repadmin - Zarządza replikacją i wyświetla jej wyniki w oknie wiersza poleceń.
  • Sdcbeck - Analizuje dystrybucję, replikację i dziedziczenie list ACL.
  • Sidwalker - Ustawia listy ACL dla obiektów, które były wcześniej własnością przeniesionych, usuniętych lub osieroconych kont.
  • Netdom - Umożliwia zarządzanie domenami i zaufaniami z wiersza poleceń.

Jak widać z tego artykułu, łączenie grup komputerów w domeny oparte na Active Directory pozwala znacznie obniżyć koszty zadań administracyjnych poprzez centralizację zarządzania komputerami domeny i kontami użytkowników, a także pozwala elastycznie zarządzać uprawnieniami użytkowników, bezpieczeństwem i szeregiem innych parametrów. Bardziej szczegółowe materiały dotyczące organizowania domen można znaleźć w odpowiedniej literaturze.

Dzielić
Dzielić
Ćwierkać
Lubić
Lubić

Przeczytaj także

DZWONEK

Są tacy, którzy czytają tę wiadomość przed tobą.
Zapisz się, aby otrzymywać najnowsze artykuły.
E-mail
Nazwa
Nazwisko
Jak chcesz przeczytać The Bell
Bez spamu