Контроллер домена — сервер, который работает под управлением операционной системы Windows Server, с установленной доменной службой Active Directory. В данной статье кратко рассмотрим назначение контроллера домена, его функции и важность правильной настройки.

Назначение

Чтобы не вдаваться в большое число специальных терминов, контроллеры доменов являются серверами, поддерживающими работу Active Directory. Они хранят информацию об учетных записях пользователей и компьютеров, входящих в домен, схему, а также собственную копию базы данных Active Directory, поддерживающую запись. Помимо этого, контроллеры домена выступают в роли центрального компонента безопасности в домене. Подобная организация позволяет гибко настраивать политики безопасности в рамках корпоративной сети, а также разрешать, или наоборот, запрещать определенным группам пользователей доступ к тем или иным ресурсам.

Основные функции контроллера домена:

• Хранение полной копии информации Active Directory, которая относится к конкретному домену, управление и репликация данной информации на другие контроллеры входящие в данный домен;
• Репликация информации каталога, относящейся ко всем объектам домена Active Directory;
• Разрешение конфликтов репликации, когда один и тот же атрибут был изменен на разных контроллерах до момента инициализации репликации.

Преимущества для бизнеса

Преимущества централизованной системы на базе контроллеров домена:

1. Единая база данных для аутентификации. Контроллер домена хранит все учетные записи в одной базе данных и каждый пользователь, входящего в домен компьютера, обращается к контроллеру домена для входа в систему. Разделение пользователей по соответствующим группам позволяет упростить организацию распределенного доступа к документам и приложениям. Таким образом, при появлении нового сотрудника, достаточно создать для него учетную запись в соответствующей группе и сотрудник автоматически получит доступ ко всех необходимым сетевым ресурсам и устройствам. При уходе сотрудника достаточно заблокировать его учетную запись для отзыва всех доступов.
2. Единая точка управления политиками. Контроллер домена позволяет распределять учетные записи компьютеров и пользователей по организационным подразделениям и применять к ним различные групповые политики, определяя настройки и параметры безопасности для группы компьютеров и пользователей (напр. доступ к сетевым принтерам, набор необходимых приложений, настройки браузера и т.д). Таким образом, при добавлении в домен нового компьютера или пользователя, он автоматически получит все настройки и доступы, определенные для того или иного подразделения.
3. Безопасность. Гибкая настройка процедур аутентификации и авторизации, в совокупности с централизованным управлением позволяют значительно повысить безопасность IT-инфраструктуры в рамках организации. Помимо этого, физически контроллер домена устанавливается в специальном месте, защищенном от внешнего доступа.
4. Упрощенная интеграция с другими сервисами. Использование контроллера домена в качестве единой точки аутентификации позволяет пользователям использовать одну и ту же учетную запись при работе с дополнительными инструментами и службами (напр. почтовые службы, офисные программы, прокси-серверы, мессенджеры, и т.д).

Настройка

Контроллер домена на базе доменной службы Active Directory является ключевым элементом IT-инфраструктуры, обеспечивающий контроль доступа, а также защиту данных в рамках организации. От корректной настройки контроллера домена зависит функционирование не только самого контроллера домена, но также и Active Directory в целом (например, распространение политик безопасности и правил доступа), что в свою очередь влияет на работу всех сопутствующих служб и сервисов, а также определяет уровень безопасности.

Именно поэтому, если ваша компания планирует оптимизировать процедуры доступа к корпоративным ресурсам, повысить безопасность и упростить рутинные административные задачи путем перехода на централизованное управление, специалисты IT Svit помогут в решении вопросов правильного планирования структуры масштабируемой корпоративной сети и ее компонентов, а также настройки и дальнейшего развертывания контроллера домена в данной сети.

Как говориться "вдруг откуда ни возьмись появился.... ....", ни чего ни предвещало беды, но тут начал глючить основной контроллер домена, и пока он еще дышал решил делегировать права основного домена на другой.

Для передачи роли “хозяина именования домена” выполняем следующие шаги:

После того как все роли переданы остаётся разобраться с оставшейся опцией – хранителем глобального каталога. Заходим в Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)

итог – мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена – понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.

Добровольная передача ролей fsmo при консолей ntdsutil.exe.

На случай, если передача ролей fsmo при консолей AD не удалась, создал очень удобную утилиту – ntdsutil.exe – обслуживания каталога Directory. Этот инструмент позволяет выполнять чрезвычайно действия – вплоть до всей базы данных AD из резервной копии, которую эта сама создала во время последнего изменения в AD. Со всеми её возможностями ознакомиться в знаний (Код статьи: 255504). В данном случае мы говорим о том, что ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.

Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» – мы заходим в на «основной» контроллер и начинаем передавать роли (команда transfer ).

Если у нас по каким-то причинам отсутствует основной контролер домена, или мы не можем войти под административной учетной – мы входим в на резервный контроллер домена и начинаем «отбирать» роли (команда seize ).

Итак случай – основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:

ntdsutil.exe

connect to имя_сервера (того кому хотим отдать роль)

Если выскакивают ошибки – нужно связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет – значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.

Полный список доступен запроса fsmo maintenance стандартным знаком? . Пришла пора передавать роли. Я сходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне, в ответ на запрос о передаче роли, возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в и обнаружил, что большинство людей дошедших до этапа передачи ролей сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть – и благополучно живёт без этой роли.

Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:

Хозяин идентификаторов;

Хозяин схемы;

Хозяин именования;

Хозяин инфраструктуры;

Контроллер домена;

После успешного к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли:

- transfer domain naming master

Transfer infrastructure master

Transfer rid master

Transfer schema master

Transfer pdc master

После выполнения каждой должен выходить запрос о том – действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения показан на (рис.4).

Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.

Принудительное присваивание ролей fsmo при ntdsutil.exe.

Второй случай – мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется – единственная разница в том, что мы проводим все операции, с использованием seize, но уже на том сервере, которому хотим передать роли для присвоения роли.

seize naming master

seize infrastructure master

seize rid master

seize schema master

Обратите внимание – если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.

Работа над ошибками.

Самое главное, о чём не следует забывать – новый основной контроллер домена сам себе TCP/IP не исправит: ему адресом первичного DNS теперь желательно (а если старый контроллер домена + DNS будут отсутствовать, то обязательно) указать 127.0.0.1 .При этом если у вас в есть DHCP сервер, то нужно заставить его выдавать адресом первичного DNS ip вашего нового сервера, если DHCP нет – пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, назначить новому контроллеру домена тот же ip что был у старого.Теперь необходимо как всё работает и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все сервера.После их включения внимательно все журналы событий на факт появления предупреждений и ошибок.Самым распространённым предупреждением, передачи ролей fsmo, является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».Исправляется просто: в с оригинального

Если и этого остаются ошибки связанные с DNS – всего удалить из него все зоны и создать вручную. Это довольно просто – главное создать основную зону по имени домена, хранящуюся в и реплицируемую на все контроллеры домена в сети.

Более подробную информацию об ошибках DNS даст ещё одна команда:

dcdiag /test:dns

По окончанию проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений – я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы – самое главное не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.

Контроллеры домена, работающие под управлением Windows Server 2003, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory .

В Windows NT Server контроллер домена для надёжности создается в связке с основным контроллером домена, резервный контроллер домена . В Windows 2000 и Windows Server 2003 все равны.

Windows NT

В сетях Windows NT один сервер использовался в качестве основного контроллера домена (PDC), а все остальные серверы, выполняли роль резервных контроллеров домена (BDC).

BDC мог выполнять аутентификацию пользователей в домене, но все обновления в домене (добавление новых пользователей, изменение паролей, членство в группах и т. д.) могли быть сделаны только через PDC, которые затем распространялись на все резервные контроллеры домена. При недоступном PDC, не удавалось осуществить обновления. Если PDC был постоянно недоступен, существующий BDC мог быть повышен до роли PDC.

Windows 2000

Windows 2000 и более поздние версии введен Active Directory (AD), которая практически свела на нет концепцию основного и резервного контроллеров домена в пользу нескольких хозяев репликации (модель одноранговой репликации (англ. ) ).

Тем не менее, существует несколько ролей, которые по умолчанию устанавливаются на первый DC в сети. Они называются Flexible single-master operations (FSMO). Некоторые из этих ролей отвечают за домен , другие за лес доменов . Если сервер, выполняющий одну из этих ролей недоступен, домен продолжает функционировать. В случае, если сервер недоступен постоянно, роль контроллера может на себя взять другой DC (процесс, известный как «захват» роли).

Windows Server 2008 и более поздние версии могут использоваться в качестве Read Only Domain Controller (RODC). Обновление информации на них возможно через репликацию с других DC.

Samba 4.0/4.1

В Unix-подобных системах Samba 4.x может работать в качестве контроллера домена, поддерживает схемы леса доменов Windows 2003, 2003 R2, 2008, 2008 R2, которые в свою очередь могут быть расширены , может использоваться в качестве RODC .

Семейства Windows

При организации сетей в ОС семейства Windows под понятие контроллер домена попадает так называемый сервер, то есть главный или центральный компьютер в сети, с которого происходит управление работой различных служб каталогов, а также размещается база данных тех же каталогов. Кроме всего прочего, на сервере (контроллере домена) хранятся параметры, относящиеся к учетным записям всех пользователей, а также параметры безопасности. В последнем случае речь идет исключительно о Естественно головной компьютер хранит необходимую информацию о политиках, групповой и локальной.

Если в какой-либо организации устанавливается первый по счету сервер, то, естественно, сразу же создаются и сайт, а также первый лес, при этом в обязательном порядке устанавливается Active Directory. Контроллер домена, который настроен для работы под операционной системой , сохраняет данные и регулирует взаимодействие домена и пользователя. При этом настройка домена в локальной сети осуществляется при непосредственном использовании Active Directory в качестве мастера установки.

Контроллер домена для ОС Unix

В данном случае серверная организация для ОС Linux/Unix в полной степени совместима с предъявляемыми стандартами Весь необходимый и сопутствующий функционал обеспечивает программный комплекс Samba (найти его можно на сайте по адресу www.samba.org, а также OpenLDAP (соответственно www.openldap.org). Как всем хорошо известно, основополагающим преимуществом поред знаменитой Windows заключается в том, что она распространяется бесплатно, а, соответственно, организации нет необходимости тратить достаточно большие средства для того, чтобы установить контроллер домена, предположим, под windows Server 2003. Лицензию на данный программный продукт по закону необходимо покупать. При этом настройка домена в локальной сети особых проблем не составляет.

Изменение домена для сайта организации

Кроме того, что в подавляющем большинстве организаций организована локальная сеть, но и еще существенным аспектом в решении является возможность с любого компьютера выхода в сеть Интернет, в том числе для посещения сайта компании, который в некотором роде является лицом организации. Но иногда может возникнуть некая необходимость для выполнения такой задачи как перенос сайта на другой домен. Как показывает практика, для принятия подобного решения могут способствовать две основных причины: первая - приобретение более привлекательного для клиентов и посетителей имени домена; вторая - попадание старого в черные списки различных поисковых систем.

Для решения поставленной задачи с минимальными потерями, прежде всего в посетителях, рекомендуется применять такую операцию как склейка домена. Стоит отметить, что использовать склейку стоит только в исключительных случаях, поскольку операция эта достаточно длительная, а, самое главное, достаточно нервная, хотя, стоит отметить, и несложная с технической точки зрения.

По мнению подавляющего большинства специалистов наиболее эффективным способом для выполнения такой операции как перенос сайта на другой домен является так называемая парковка домена в виде зеркала. Основным положительным аспектом в данной ситуации можно считать то, что пользователи практически не замечают склейки. Единственное, что возможно необходимо оставить новость об изменении адреса для постоянных клиентов, чтобы они имели возможность внести изменения в закладки своих браузеров. Единственное о чем стоит помнить в этой ситуации, так это о необходимости использования относительных ссылок для того, чтобы не перемещаться с домена на домен.

Чтобы не вдаваться в большое число специальных терминов, контроллеры доменов являются серверами, поддерживающими работу Active Directory. Они хранят информацию об учетных записях пользователей и компьютеров, входящих в домен, схему, а также собственную копию базы данных Active Directory, поддерживающую запись. Помимо этого, контроллеры домена выступают в роли центрального компонента безопасности в домене. Подобная организация позволяет гибко настраивать политики безопасности в рамках корпоративной сети, а также разрешать, или наоборот, запрещать определенным группам пользователей доступ к тем или иным ресурсам.

Основные функции контроллера домена:

• Хранение полной копии информации Active Directory, которая относится к конкретному домену, управление и репликация данной информации на другие контроллеры входящие в данный домен;
• Репликация информации каталога, относящейся ко всем объектам домена Active Directory;
• Разрешение конфликтов репликации, когда один и тот же атрибут был изменен на разных контроллерах до момента инициализации репликации.

Преимущества для бизнеса

Преимущества централизованной системы на базе контроллеров домена:

1. Единая база данных для аутентификации. Контроллер домена хранит все учетные записи в одной базе данных и каждый пользователь, входящего в домен компьютера, обращается к контроллеру домена для входа в систему. Разделение пользователей по соответствующим группам позволяет упростить организацию распределенного доступа к документам и приложениям. Таким образом, при появлении нового сотрудника, достаточно создать для него учетную запись в соответствующей группе и сотрудник автоматически получит доступ ко всех необходимым сетевым ресурсам и устройствам. При уходе сотрудника достаточно заблокировать его учетную запись для отзыва всех доступов.
2. Единая точка управления политиками. Контроллер домена позволяет распределять учетные записи компьютеров и пользователей по организационным подразделениям и применять к ним различные групповые политики, определяя настройки и параметры безопасности для группы компьютеров и пользователей (напр. доступ к сетевым принтерам, набор необходимых приложений, настройки браузера и т.д). Таким образом, при добавлении в домен нового компьютера или пользователя, он автоматически получит все настройки и доступы, определенные для того или иного подразделения.
3. Безопасность. Гибкая настройка процедур аутентификации и авторизации, в совокупности с централизованным управлением позволяют значительно повысить безопасность IT-инфраструктуры в рамках организации. Помимо этого, физически контроллер домена устанавливается в специальном месте, защищенном от внешнего доступа.
4. Упрощенная интеграция с другими сервисами. Использование контроллера домена в качестве единой точки аутентификации позволяет пользователям использовать одну и ту же учетную запись при работе с дополнительными инструментами и службами (напр. почтовые службы, офисные программы, прокси-серверы, мессенджеры, и т.д).

Настройка

Контроллер домена на базе доменной службы Active Directory является ключевым элементом IT-инфраструктуры, обеспечивающий контроль доступа, а также защиту данных в рамках организации. От корректной настройки контроллера домена зависит функционирование не только самого контроллера домена, но также и Active Directory в целом (например, распространение политик безопасности и правил доступа), что в свою очередь влияет на работу всех сопутствующих служб и сервисов, а также определяет уровень безопасности. Выбирайте лучших разработчиков в разделе.