Контроллеры доменов являются серверами, поддерживающими работу Active Directory. Каждый контроллер домена имеет собственную копию базы данных Active Directory, поддерживающую запись. Контроллеры домена выступают в роли центрального компонента безопасности в домене.

Все операции безопасности и проверки учетных записей выполняются на контроллере домена. Каждый домен должен иметь как минимум один контроллер домена. Для обеспечения устойчивости к ошибкам рекомендуется для каждого домена устанавливать как минимум два контроллера домена.

В операционной системе Windows NT запись в базу данных поддерживал только один контроллер домена, то есть для создания и изменения параметров учетных записей пользователей необходимо было подключение к контроллеру домена.

Такой контроллер назывался первичным контроллером домена (Primary Domain Controller - PDC) . Начиная с операционной системы Windows 2000 архитектура контроллеров доменов была изменена таким образом, чтобы обеспечить возможность обновления базы данных Active Directory на любом контроллере домена. После обновления базы данных на одном контроллере домена, изменения реплицировались на все остальные контроллеры.

Хотя все контроллеры домена поддерживают запись в базу данных, они не идентичны. В доменах и лесах Active Directory существуют задачи, которые выполняются определенными контроллерами домена. Контроллеры домена с дополнительными обязанностями известны как хозяева операций (operation masters) . В некоторых материалах компании Microsoft такие системы называются Flexible Single-Master Operations (FSMO) . Многие верят, что термин FSMO использовался так долго только из-за того, что произнесенная аббревиатура звучит очень смешно.

Существует пять ролей хозяев операций. По умолчанию все пять ролей выдаются первому контроллеру домена в лесу Active Directory. Три роли хозяев операций используются на уровне доменов и назначаются первому контроллеру домена в созданном домене. Утилиты Active Directory, которые рассматриваются далее, позволяют передавать роли хозяев операций от одного контроллера другому контроллеру домена. Кроме этого, можно заставить контроллер домена принять на себя определенную роль хозяина операции.

Существует две роли хозяев операций, которые работают на уровне леса.

• Хозяин именования домена (Domain naming master) - к этим хозяевам операций необходимо обращаться каждый раз, когда в пределах иерархии доменов леса вносятся изменения в именование. Задачей хозяина именования домена заключается в обеспечении уникальности имен доменов в пределах леса. Эта роль хозяина операций должна быть доступна при создании новых доменов, удалении доменов или переименовании доменов
• Хозяин схемы (Schema master) - роль хозяина схемы принадлежит единственному контроллеру домена в пределах леса, на котором можно вносить изменения в схему. Как только изменения внесены, они реплицируются на все остальные контроллеры домена в пределах леса. В качестве примера необходимости внесения изменений в схему можно рассмотреть установку программного продукта Microsoft Exchange Server. При этом в схему вносятся изменения, позволяющие администратору одновременно управлять учетными записями пользователей и почтовыми ящиками

Каждая из ролей на уровне леса может принадлежать только одному контроллеру домена в пределах леса. То есть, можно использовать один контроллер в роли хозяина именования домена, а второй контроллер в роли хозяина схемы. Кроме этого, обе роли можно назначить одному контроллеру домена. Такое распределение ролей используется по умолчанию.

Каждый домен в пределах леса имеет контроллер домена, выполняющий каждую из ролей уровня домена.

• Хозяин относительных идентификаторов (RID master) - хозяин относительных идентификаторов отвечает за назначение относительных идентификаторов. Относительные идентификаторы являются уникальной частью идентификатора безопасности (Security ID - SID), который используется для определения объекта безопасности (пользователя, компьютера, группы и т.д.) в пределах домена. Одной из главных задач хозяина относительных идентификаторов является удаление объекта из одного домена и добавление объекта в другой домен при перемещении объектов между доменами.
• Хозяин инфраструктуры (Infrastructure master) - задачей хозяина инфраструктуры является синхронизация членства в группах. При внесении изменений в состав групп, хозяин инфраструктуры сообщает об изменениях всем остальным контроллерам домена.
• Эмулятор первичного контроллера домена (PDC Emulator) - эта роль используется для эмуляции первичного контроллера домена Windows NT 4 для поддержки резервных контроллеров домена Windows NT 4. Еще одной задачей эмулятора первичного контроллера домена является предоставление центральной точки администрирования изменений в паролях пользователей, а также политик блокирования пользователей.

Слово "политики" достаточно часто используется в этом разделе для ссылки на объекты групповых политик (group policy objects - GPO). Объекты групповых политик являются одной из главных полезных особенностей Active Directory и рассматриваются в соответствующей статье, ссылка на которую представлена ниже.

UPD: Создал видеоканал на youtube куда постепенно выкладываю обучающие видео по всем областям ИТ, в которых хорошо разбираюсь, подписывайтесь: http://www.youtube.com/user/itsemaev

UPD2: Микрософт традиционно меняет привычный синаксис в командной строке, поэтому роли в кажлый версии Windows Server могут звучать по-разному. Они вообще теперь не fsmo называются а operation masters. Так вот, для корректных команд в консоли после fsmo maintenance напишите просто? и он вам покажет доступные команды.

У меня в апрельский журнал "Системный администратор" взяли статью на тему "Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server"

И даже сто долларов заплатили и дали пакет с мозгами)) Я теперь Онотоле.

Безболезненная замена устаревшего или отказавшего контроллера домена на базе Windows Server. (кому вдруг надо - картинки пришлю)

Если ваш контроллер домена вышел из строя или полностью устарел и требует замены - не спешите планировать провести ближайшие выходные за созданием нового домена на новом сервере и кропотливым переносом в него пользовательских машин. Грамотное управление резервным контроллером домена поможет быстро и безболезненно заменить предыдущий сервер.

Практически каждый администратор, работающий с серверами на базе Windows, рано или поздно сталкивается с необходимостью замены полностью устаревшего основного контроллера домена, дальнейший апгрейд которого больше не имеет смысла, на новый и более соответствующий современным требованиям. Бывают ситуации и хуже - контроллер домена просто-напросто приходит в негодность из-за поломок на физическом уровне, а резервные копии и образы устарели, или потерялись
В принципе, описание процедуры замены одного контроллера домена на другой можно найти на разных форумах, но информация даётся отрывками и, как правило, применима только к конкретной ситуации, однако фактического решения не даёт. Кроме того, даже вдоволь начитавшись форумов , баз знаний и прочих ресурсов на английском языке - я смог грамотно провести процедуру замены контроллера домена без ошибок только с третьего или четвёртого раза.
Таким образом, я хочу привести поэтапную инструкцию замены контроллера домена вне зависимости от того работоспособен он или нет. Единственная разница заключается в том, что при «упавшем» контроллере эта статья поможет только если вы заранее позаботились и развернули резервный контроллер домена.

Подготовка серверов к повышению/понижению роли

Сама процедура создания резервного контроллера домена элементарна - мы просто запускаем на любом сервере сети мастер dcpromo. При помощи мастера dcpromo создаём контроллер домена в существующем домене. В результате проделанных манипуляций мы получаем развернутую службу каталогов AD на нашем дополнительном сервере (я буду называть его pserver, а основной контроллер - dcserver).
Дальше, если dcpromo сам не предложил - запускаем установку DNS сервера. Никаких настроек изменять не надо, зону создавать также не надо - она хранится в AD, и все записи автоматически реплицируются на резервный контроллер. Внимание - основная зона в DNS появится только после репликации, для ускорения которой сервер можно перезагрузить. В настройках TCP/IP сетевой карты резервного контроллера домена адресом первичного DNS сервера должен быть указан ip-адрес основного контроллер домена.
Теперь можно легко проверить работоспособность резервного контроллера домена pserver. Мы можем создать пользователя домена как на основном так и на резервном контроллере домена. Сразу после создания он появляется на дублирующем сервере, но где-то в течении минуты (пока происходит репликация) - он показан как отключенный, после чего начинает отображаться одинаково на обоих контроллерах.
На первый взгляд все действия по созданию исправной схемы взаимодействия нескольких контроллеров домена выполнены, и теперь, в случае выхода из строя «основного» контроллера домена, «резервные» контроллеры будут автоматически выполнять его функции. Однако, хотя разница между «основным» и «резервным» контроллерами домена чисто номинальная, «основной» контроллер домена имеет ряд особенностей (роли FSMO), о которых не стоит забывать. Таким образом, вышеприведенных операций для нормального функционирования службы каталогов при отказе «основного» контроллера домена не достаточно, и действия, которые надо произвести для грамотной передачи/захвата роли основного контроллера домена будут описаны ниже.

Немного теории

Нужно знать, что контроллеры домена Active Directory исполняют несколько видов ролей. Эти роли называются FSMO (Flexible single-master operations):
- Schema Master (Хозяин схемы) - роль отвечает за возможность изменения схемы - например разворачивания Exchange server или ISA server. Если владелец роли будет недоступен - схему существующего домена вы изменить не сможете;
- Domain Naming Master (Хозяин операции именования доменов) - роль необходима в том случае, если в вашем доменном лесу есть несколько доменов или поддоменов. Без неё не получится создавать и удалять домены в едином доменном лесу;
- Relative ID Master (Хозяин относительных идентификаторов) - отвечает за создание уникального ID для каждого объекта AD;
- Primary Domain Controller Emulator (Эмулятор основного контроллера домена) - именно он отвечает за работу с учётными записями пользователей и политику безопасности. Отсутствие связи с ним позволяет входить на рабочие станции со старым паролем, который нельзя сменить, если контроллер домена «упал»;
- Infrastructure Master (Хозяин Инфраструктуры) - роль отвечает за передачу информации об объектах AD прочим контроллерам домена в рамках всего леса.
Об этих ролях достаточно подробно написано во многих базах знаний, но основную роль практически всегда забывают - это роль Global Catalog (Глобального Каталога). По факту этот каталог просто запускает LDAP сервис на порту 3268, но именно его недоступность не позволит доменным пользователям входить в систему. Что примечательно - роль глобального каталога могут иметь все контроллеры домена одновременно.

Фактически можно сделать вывод - если у вас примитивный домен на 30-50 машин, без расширенной инфраструктуры, не включающий в себя поддомены - то отсутствие доступа к владельцу/владельцам первых двух ролей вы можете не заметить. Кроме того, мне несколько раз попадались организации, работающие больше года вообще без контроллера домена, но в доменной инфраструктуре. То есть все права были розданы давно, при работающем контроллере домена, и не нуждались в изменении, пароли пользователи себе не меняли и спокойно работали.

Определение текущих владельцев ролей fsmo.

Уточняю - мы грамотно хотим заменить контроллер домена, не потеряв никаких его возможностей. В том случае, если в домене два или более контроллеров, нам необходимо выяснить кто является обладателем каждой из ролей fsmo. Это достаточно просто сделать, использовав следующие команды:

dsquery server -hasfsmo schema
dsquery server - hasfsmo name
dsquery server - hasfsmo rid
dsquery server - hasfsmo pdc
dsquery server - hasfsmo infr
dsquery server -forest -isgc

Каждая из команд выводит нам информацию о том, кто является владельцем запрашиваемой роли (рис.1). В нашем случае владелец всех ролей - основной контроллер домена dcserver.

Добровольная передача ролей fsmo при помощи консолей Active Directory.

Вся информация, необходимая для передачи роли основного контроллера домена у нас есть. Приступаем: для начала нужно убедиться в том, что наша учётная запись входит в группы «Администраторы домена», «Администраторы схемы» и «Администраторы предприятия», а затем приступить к традиционному методу передачи ролей fsmo - управлением доменом через консоли Active Directory.

Для передачи роли “хозяина именования домена” выполняем следующие шаги:
- открываем «Active Directory Домены и Доверие» на том контроллере домена, с которого мы хотим передать роль. Если мы работаем с AD на том контроллере домена, которому мы хотим передать роль, то следующий пункт пропускаем;
- щёлкаем правой кнопкой мыши на значке Active Directory — домены и доверие и выбираем команду Подключение к контроллеру домена. Выбираем тот контроллер домена, которому хотим передать роль;
- щелкаем правой кнопкой мыши компонент Active Directory — домены и доверие и выбираем команду Хозяева операций;
- в диалоговом окне Изменение хозяина операций нажимаем кнопку Изменить (рис. 2).
- после утвердительного ответа на всплывающий запрос получаем успешно переданную роль.

Аналогичным образом, при помощи консоли «Active Directory — пользователи и компьютеры» можно передать роли «хозяин RID», «основной контроллер домена» и «хозяин инфраструктуры».

Для передачи роли «хозяина схемы» необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory:

После того как все роли переданы остаётся разобраться с оставшейся опцией - хранителем глобального каталога. Заходим в Active Directory: «Сайты и Службы», сайт по умолчанию, сервера, находим контроллер домена, ставший основным, и в свойствах его NTDS settings ставим галочку напротив global catalog. (рис. 3)

Итог - мы поменяли хозяев ролей для нашего домена. Кому нужно окончательно избавиться от старого контроллера домена - понижаем его до рядового сервера. Однако простота проделанных действий окупается тем, что их выполнение в ряде ситуаций невозможно, или оканчивается ошибкой. В этих случаях нам поможет ntdsutil.exe.

Добровольная передача ролей fsmo при помощи консолей ntdsutil.exe.

На случай, если передача ролей fsmo при помощи консолей AD не удалась, Microsoft создал очень удобную утилиту - ntdsutil.exe - программа обслуживания каталога Active Directory. Этот инструмент позволяет выполнять чрезвычайно полезные действия - вплоть до восстановления всей базы данных AD из резервной копии, которую эта утилита сама создала во время последнего изменения в AD. Со всеми её возможностями можно ознакомиться в базе знаний Microsoft (Код статьи: 255504). В данном случае мы говорим о том, что утилита ntdsutil.exe позволяет как передавать роли, так и «отбирать» их.
Если мы хотим передать роль от существующего «основного» контроллера домена к «резервному» - мы заходим в систему на «основной» контроллер и начинаем передавать роли (команда transfer).
Если у нас по каким-то причинам отсутствует основной контролер домена, или мы не можем войти под административной учетной записью - мы входим в систему на резервный контроллер домена и начинаем «отбирать» роли (команда seize).

Итак первый случай - основной контроллер домена существует и функционирует нормально. Тогда мы заходим на основной контроллер домена и набираем следующие команды:

ntdsutil.exe
roles
connections
connect to server имя_сервера (того кому хотим отдать роль)
q

Если выскакивают ошибки - нужно проверить связь с тем контроллером домена, к которому мы пытаемся подключиться. Если ошибок нет - значит мы успешно подключились к указанному контроллеру домена с правами того пользователя, от имени которого вводим команды.
Полный список команд доступен после запроса fsmo maintenance стандартным знаком? . Пришла пора передавать роли. Я сходу, не задумываясь, решил передавать роли в том порядке, в каком они указаны в инструкции к ntdsutil и пришёл к тому, что не смог передать роль хозяина инфраструктуры. Мне, в ответ на запрос о передаче роли, возвращалась ошибка: «невозможно связаться с текущим владельцем роли fsmo». Я долго искал информацию в сети и обнаружил, что большинство людей дошедших до этапа передачи ролей сталкиваются с этой ошибкой. Часть из них пытается отобрать эту роль принудительно (не выходит), часть оставляет всё как есть - и благополучно живёт без этой роли.
Я же путём проб и ошибок выяснил, что при передаче ролей в данном порядке гарантируется корректное завершение всех шагов:
- хозяин идентификаторов;
- хозяин схемы;
- хозяин именования;
- хозяин инфраструктуры;
- контроллер домена;

После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли:
- transfer domain naming master
- transfer infrastructure master
- transfer rid master
- transfer schema master
- transfer pdc master

После выполнения каждой команды должен выходить запрос о том - действительно ли мы хотим передать указанную роль указанному серверу. Результат удачного выполнения команды показан на рис.4.

Роль хранителя глобального каталога передаётся способом, описанным в предыдущем разделе.

Принудительное присваивание ролей fsmo при помощи ntdsutil.exe.

Второй случай - мы хотим присвоить нашему резервному контроллеру домена роль основного. В этом случае ничего не меняется - единственная разница в том, что мы проводим все операции, с использованием команды seize, но уже на том сервере, которому хотим передать роли для присвоения роли.

seize domain naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc

Обратите внимание - если вы отобрали роль у контроллера домена, отсутствующего в данный момент, то при его появлении в сети контроллеры начнут конфликтовать, и проблем в функционировании домена вам не избежать.

Работа над ошибками.

Самое главное, о чём не следует забывать - новый основной контроллер домена сам себе настройки TCP/IP не исправит: ему адресом первичного DNS сервера теперь желательно (а если старый контроллер домена + DNS сервер будут отсутствовать, то обязательно) указать 127.0.0.1 .
При этом если у вас в сети есть DHCP сервер, то нужно заставить его выдавать адресом первичного DNS сервера ip вашего нового сервера, если DHCP нет - пройтись по всем машинам и прописать им этот первичный DNS вручную. Как вариант, можно назначить новому контроллеру домена тот же ip что был у старого.

Теперь необходимо проверить как всё работает и избавиться от основных ошибок. Для этого я предлагаю на обоих контроллерах стереть все события с сохранением журналов в папку с прочими резервными копиями и перезагрузить все сервера.
После их включения внимательно анализируем все журналы событий на факт появления предупреждений и ошибок.

Самым распространённым предупреждением, после передачи ролей fsmo, является сообщение о том, что «msdtc не может корректно обработать произошедшее повышение/понижение роли контроллера домена».
Исправляется просто: в меню «Администрирование» находим «Службы
компонентов». Там раскрываем «Службы компонентов», «Компьютеры», открываем свойства раздела "Мой компьютер", ищем там "MS DTC" и жмем там "Настройки безопасности". Там разрешаем "Доступ к сети DTC" и давим ОК. Служба будет перезапущена и предупреждение исчезнет.

Примером ошибки может служить сообщение о том, что основная DNS зона не может быть загружена, либо DNS сервер не видит контроллер домена.
Разобраться в проблемах функционирования домена можно при помощи утилиты (рис. 5):

Установить эту утилиту можно с оригинального диска Windows 2003 из папки /support/tools. Утилита позволяет проверить работоспособность всех служб контроллера домена, каждый её этап должен оканчиваться словами successfully passed. Если у вас выходит failed (чаще всего это тесты connection или systemlog) то ошибку можно попробовать вылечить в автоматическом режиме:

dcdiag /v /fix

Как правило, все ошибки, связанные с DNS должны пропасть. Если нет - пользуемся утилитой проверки состояния всех сетевых служб:

И её полезным инструментом устранения ошибок:

netdiag /v /fix

Если и после этого остаются ошибки связанные с DNS - проще всего удалить из него все зоны и создать вручную. Это довольно просто - главное создать основную зону по имени домена, хранящуюся в Active Directory и реплицируемую на все контроллеры домена в сети.
Более подробную информацию об ошибках DNS даст ещё одна команда:

dcdiag /test:dns

По окончанию проделанных работ у меня ушло ещё где-то 30 минут на выяснение причины появления ряда предупреждений - я разобрался с синхронизацией времени, архивацией глобального каталога и прочими вещами, до которых раньше не доходили руки. Теперь всё работает как часы - самое главное не забудьте завести резервный контроллер домена, если вы хотите удалить старый контроллер домена из сети.

Лес в доменных службах Active Directory - самый верхний уровень иерархии логической структуры. Лес Active Directory представляет один отдельный каталог. Лес является границей безопасности. Это означает, что администраторы леса полностью управляют доступом к информации, хранящейся в пределах леса, и доступом к контроллерам домена, используемым для реализации леса.

В организациях, как правило, реализуется один лес, за исключением случаев, когда имеется конкретная потребность в нескольких лесах. Например, если для разных частей организации требуется создать отдельные административные области, для представления этих областей необходимо создать несколько лесов.

При реализации нескольких лесов в организации каждый лес по умолчанию работает отдельно от других лесов, как если бы он был единственным лесом в организации.

Примечание. Для интеграции нескольких лесов можно создать между ними отношения безопасности, которые называются внешними или доверительными отношениями лесов.

Операции на уровне леса

Доменные службы Active Directory - это служба каталогов с несколькими хозяевами. Это означает, что большинство изменений в каталог можно вносить на любом доступном для записи экземпляре каталога, т. е. на любом доступном для записи контроллере домена. Однако некоторые изменения являются монопольными. Это означает, что их можно вносить только на одном определенном контроллере домена в лесу или домене в зависимости от конкретного изменения. Говорят, что контроллеры домена, на которых можно вносить эти монопольные изменения, содержат роли хозяина операций. Существует пять ролей хозяина операций, две из которых являются ролями уровня леса, а остальные три - ролями уровня домена.

Две роли хозяина операций, назначаемые для всего леса:

• Хозяин именования доменов. Задача хозяина именования доменов - обеспечить наличие уникальных имен во всем лесу. Он гарантирует, что во всем лесу имеется только одно полное доменное имя каждого компьютера.
• Хозяин схемы. Хозяин схемы отслеживает схему леса и поддерживает изменения базовой структуры леса.

Поскольку эти роли являются ключевыми критическими ролями уровня леса, в каждом лесу должен быть только один хозяин схемы и хозяин именования доменов.

Дополнительные материалы:

Схема - это компонент доменных служб Active Directory, который определяет все объекты и атрибуты, используемые доменными службами Active Directory для хранения данных.

Доменные службы Active Directory хранят и получают сведения от множества приложений и служб. Поэтому для обеспечения возможности хранения и репликации данных от этих разных источников, доменные службы Active Directory определяют стандарт хранения данных в каталоге. Наличие стандарта хранения данных позволяет доменным службам Active Directory получать, обновлять и реплицировать данные с сохранением их целостности.

В качестве единиц хранения в доменных службах Active Directory используются объекты. Все объекты определяются в схеме. При каждой обработке данных каталогом каталог запрашивает схему в отношении соответствующего определения объекта. На основе определения объекта в схеме каталог создает объект и сохраняет данные.

От определений объектов зависят типы данных, которые объекты могут хранить, а также синтаксис данных. На основе этой информации схема обеспечивает соответствие всех объектов их стандартным определениям. В результате доменные службы Active Directory могут хранить, получать и проверять данные, которыми они управляют, независимо от приложения, являющегося исходным источником данных. В каталоге могут храниться только данные, имеющие существующее определение объекта в схеме. Если требуется сохранить данные нового типа, сначала необходимо создать в схеме новое определение объекта для этих данных.

Схема в доменных службах Active Directory определяет:

• объекты, используемые для хранения данных в каталоге;
• правила, определяющие, какие типы объектов можно создавать, какие атрибуты необходимо определить при создании объекта, и какие атрибуты являются необязательными;
• структуру и содержимое самого каталога.

Схема является элементом доменных служб Active Directory с единственным хозяином. Это означает, что вносить изменения в схему необходимо на контроллере домена, который содержит роль хозяина операций схемы.

Схема реплицируется среди всех контроллеров домена в лесу. Любое изменение, внесенное в схему, реплицируется на все контроллеры домена в лесу от владельца роли хозяина операций схемы, которым обычно является первый контроллер домена в лесу.

Поскольку схема определяет хранение информации и любые изменения, внесенные в схему, влияют на все контроллеры домена, изменения в схему следует вносить только при необходимости (посредством жестко контролируемого процесса) после выполнения тестирования, чтобы не было неблагоприятного воздействия на остальную часть леса.

Хотя в схему нельзя вносить никаких изменений непосредственно, некоторые приложения вносят изменения в схему для поддержки дополнительных возможностей. Например, при установке Microsoft Exchange Server 2010 в лес доменных служб Active Directory программа установки расширяет схему для поддержки новых типов объектов и атрибутов.

Дополнительные материал:

1.3 Что такое домен.

Домен - это административная граница. Во всех доменах есть учетная запись администратора, которая имеет все административные полномочия для всех объектов в домене. Хотя администратор может делегировать администрирование объектов в домене, его учетная запись сохраняет полное административное управление всеми объектами в домене.

В ранних версиях Windows Server считалось, что домены предназначены для обеспечения полного административного разделения; действительно, одной из основных причин выбора топологии с несколькими доменами было обеспечение такого разделения. Однако в доменных службах Active Directory учетная запись администратора в корневом домене леса имеет полное административное управление всеми объектами леса, в результате чего такое административное разделение на уровне доменов становится недействительным.

Домен - это граница репликации. Доменные службы Active Directory состоят из трех элементов, или разделов, - схемы , раздела конфигурации и раздела домена . Как правило, часто изменяется только раздел домена.

Раздел домена содержит объекты, которые, вероятно, должны часто обновляться ; такими объектами являются пользователи, компьютеры, группы и подразделения. Поэтому репликация доменных служб Active Directory состоит в основном из обновлений объектов, определенных в разделе домена. Только контроллеры домена в конкретном домене получают обновления раздела домена от других контроллеров домена. Разделение данных позволяет организациям реплицировать данные только туда, где они требуются. В результате каталог может глобально масштабироваться по сети, имеющей ограниченную пропускную способность.

Домен - это граница проверки подлинности. Подлинность каждой учетной записи пользователя в домене может проверяться контроллерами этого домена. Домены леса доверяют друг другу, благодаря чему пользователь из одного домена может получать доступ к ресурсам, расположенным в другом домене.

Операции на уровне домена

В каждом домене существует три роли хозяина операций. Эти роли, первоначально назначаемые первому контроллеру домена в каждом домене, перечислены ниже.

• Хозяин относительного идентификатора (RID). При каждом создании объекта в доменных службах Active Directory контроллер домена, где создается этот объект, назначает ему уникальный идентификационный номер, называемый идентификатором безопасности (SID). Чтобы два контроллера домена не могли назначить один и тот же SID двум разным объектам, хозяин RID выделяет блоки идентификаторов безопасности каждому контроллеру домена в домене.
• Эмулятор основного контроллера домена. Эта роль является самой важной, так как ее временная потеря становится заметной намного быстрее, чем потеря любой другой роли хозяина операций. Она отвечает за ряд функций уровня домена, включая:
• обновление состояния блокировки учетной записи;
• создание и репликацию объекта групповой политики единственным хозяином;
• синхронизацию времени для домена.
• Хозяин инфраструктуры. Эта роль отвечает за поддержание междоменных ссылок на объекты. Например, когда в группу одного домена входит член из другого домена, хозяин инфраструктуры отвечает за поддержание целостности этой ссылки.

Эти три роли должны быть уникальными в каждом домене, поэтому в каждом домене может быть только один хозяин RID, один эмулятор основного контроллера домена (PDC) и один хозяин инфраструктуры.

Дополнительные материалы:

Если доменные службы Active Directory содержат более одного домена, необходимо определить отношения между доменами. Если домены совместно используют общий корень и непрерывное пространство имен, они логически являются частью одного дерева Active Directory. Дерево не служит никакой административной цели. Другими словами, не существует администратора дерева, так как существует администратор леса или домена. Дерево обеспечивает логическое иерархическое группирование доменов, которые имеют родительско-дочерние отношения, определенные с помощью их имен. Дерево Active Directory сопоставляется с пространством имен службы доменных имен (DNS).

Деревья Active Directory создаются на основе отношений между доменами леса. Не существует серьезных причин, по которым требуется или не требуется создавать несколько деревьев в лесу. Однако следует иметь в виду, что одним деревом с его непрерывным пространством имен легче управлять и пользователям легче его визуализировать.

Если имеется несколько поддерживаемых пространств имен, рассмотрите вопрос использования нескольких деревьев в одном лесу. Например, если в организации существует несколько разных производственных отделов с разными публичными идентификаторами, можно создать свое дерево для каждого производственного отдела. Следует иметь в виду, что в таком сценарии нет разделения администрирования, поскольку корневой администратор леса по-прежнему полностью управляет всеми объектами леса независимо от того, в каком дереве они находятся.

1.5 Подразделения

Подразделение - это объект-контейнер в домене, который можно использовать для объединения пользователей, групп, компьютеров и других объектов. Есть две причины для создания подразделений.

• Настройка объектов, содержащихся в подразделении. Можно назначить объекты групповой политики подразделению и применить параметры ко всем объектам в этом подразделении.
• Делегирование административного управления объектами в подразделении. Можно назначить права управления подразделением, делегировав таким образом управление подразделением не являющемуся администратором пользователю или группе в доменных службах Active Directory.

Примечание. Подразделение - самая маленькая область или единица, которой можно назначить параметры групповой политики или делегировать права администратора.

Подразделения можно использовать для представления иерархических логических структур в организации. Например, можно создать подразделения, представляющие отделы в организации, географические регионы в организации, а также подразделения, являющиеся сочетанием отделов и географических регионов. После этого можно управлять конфигурацией и использовать учетные записи пользователей, групп и компьютеров на основе созданной модели организации.

В каждом домене доменных служб Active Directory имеется стандартный набор контейнеров и подразделений, которые создаются при установке доменных служб Active Directory. Эти контейнеры и подразделения перечислены ниже.

• Контейнер домена, служащий в качестве корневого контейнера иерархии.
• Встроенный контейнер, содержащий учетные записи администратора служб по умолчанию.
• Контейнер пользователей, являющийся расположением по умолчанию для новых учетных записей пользователей и групп, создаваемых в домене.
• Контейнер компьютеров, являющийся расположением по умолчанию для новых учетных записей компьютеров, создаваемых в домене.
• Подразделение контроллеров домена, являющееся расположением по умолчанию для учетных записей компьютеров контроллеров домена.

1.6 Отношения доверия

Отношение доверия позволяет одному объекту безопасности доверять другому объекту безопасности в целях проверки подлинности. В операционной системе Windows Server 2008 R2 объектом безопасности является домен Windows.

Основная цель отношения доверия - облегчить для пользователя в одном домене получение доступа к ресурсу в другом домене без необходимости поддержания учетной записи пользователя в обоих доменах.

В любом отношении доверия участвуют две стороны - доверяющий объект и доверенный объект. Доверяющий объект - это объект, владеющий ресурсом, а доверенный объект - это объект с учетной записью. Например, если вы отдаете кому-то во временное пользование ноутбук, вы доверяете этому человеку. Вы являетесь объектом, владеющим ресурсом. Ресурс - ваш ноутбук; тот, кому ноутбук отдается во временное пользование, является доверенным объектом с учетной записью.

Типы доверительных отношений

Доверительные отношения могут быть односторонними и двусторонними.

Одностороннее доверие означает, что, хотя один объект доверяет другому, обратное утверждение не соответствует истине. Например, если вы даете во временное пользование Steve свой ноутбук, это не значит, что Steve обязательно даст вам во временное пользование свой автомобиль.

При двустороннем доверии оба объекта доверяют друг другу.

Доверительные отношения могут быть транзитивными и нетранзитивными. Если при транзитивном доверии объект А доверяет объекту Б, а объект Б - объекту В, то объект А также неявно доверяет объекту В. Например, если вы даете во временное пользование Steve свой ноутбук, а Steve дает во временное пользование свой автомобиль Mary, вы можете дать во временное пользование Mary свой мобильной телефон.

Windows Server 2008 R2 поддерживает целый ряд доверительных отношений, предназначенных для использования в различных ситуациях.

В одном лесу все домены доверяют друг другу, используя внутренние двусторонние транзитивные доверительные отношения. По существу это означает, что все домены доверяют всем другим доменам. Эти доверительные отношения расширяются через деревья леса. Помимо таких автоматически создаваемых доверительных отношений, можно настраивать дополнительные доверительные отношения между доменами леса, между данным лесом и другими лесами и между данным лесом и другими объектами безопасности, например областями Kerberos или доменами операционной системы Microsoft Windows NT® 4.0. В следующей таблице приведены дополнительные сведения.

2. Реализация доменных служб Active Directory

Для реализации доменных служб Active Directory необходимо развернуть контроллеры домена. Для оптимизации доменных служб Active Directory важно понимать, где и как следует создать контроллеры домена, чтобы оптимизировать сетевую инфраструктуру.

2.1 Что такое контроллер домена?

Домен создается при повышении уровня компьютера сервера Windows Server 2008 R2 до контроллера домена. Контроллеры домена содержат доменные службы Active Directory.

Контроллеры домена обеспечивают выполнение следующих функций в сети.

• Обеспечивает проверку подлинности. Контроллеры домена содержат базу данных учетных записей домена и обеспечивают работу служб проверки подлинности.
• Содержит роли хозяина операций в качестве дополнительной возможности. Эти роли ранее назывались ролями FSMO (Flexible Single Master Operations). Существует пять ролей хозяина операций - две роли уровня леса и три роли уровня домена. Эти роли можно переносить в соответствии с требованиями.
• Содержит глобальный каталог в качестве дополнительной возможности. В качестве сервера глобального каталога можно назначить любой контроллер домена.

Примечание. Глобальный каталог - это распределенная база данных, которая содержит доступное для поиска представление каждого объекта из всех доменов в лесу с несколькими доменами. Однако глобальный каталог не содержит всех атрибутов для каждого объекта. Вместо этого он поддерживает подмножество атрибутов, которые скорее всего пригодятся при поисках в домене.

2.2 Что такое контроллер домена только для чтения?

Контроллер домена только для чтения - это новый тип контроллера домена в Windows Server 2008 R2. Используя контроллер домена только для чтения, организации могут легко развертывать контроллер домена в местах, где невозможно гарантировать физическую безопасность. В контроллере домена только для чтения размещается реплика базы данных только для чтения в доменных службах Active Directory для данного домена. Контроллер домена только для чтения может также функционировать в качестве сервера глобального каталога.

Начиная с Windows Server 2008, организация может развертывать контроллер домена только для чтения в случаях ограниченной пропускной способности каналов глобальной сети или недостаточной физической безопасности компьютеров. В результате пользователи в такой ситуации могут получить преимущества благодаря:

• повышенная безопасность;
• более быстрому входу в систему;
• более эффективному доступу к ресурсам сети.

Ниже резюмирована роль контроллера домена только для чтения.

• Контроллер домена, выполняющий роль хозяина операций эмулятора PDC для домена, должен работать под управлением операционной системы Windows Server 2008. Это необходимо для создания новой учетной записи krbtgt для контроллера домена, доступного только для чтения, а также для текущих операций этого контроллера.
• Контроллер домена только для чтения требует перенаправления запросов проверки подлинности на сервер глобального каталога (под управлением Windows Server 2008), расположенный на сайте, ближайшем к сайту с данным контроллером. На этом контроллере домена устанавливается политика репликации паролей, чтобы определить, реплицируются ли учетные данные в расположение филиала для перенаправляемого запроса от контроллера домена только для чтения.
• Для обеспечения доступности ограниченного делегирования Kerberos необходимо установить режим работы домена Windows Server 2003. Ограниченное делегирование используется для вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
• Для обеспечения доступности репликации связанного значения необходимо установить режим работы леса Windows Server 2003. Это обеспечивает более высокий уровень совместимости репликации.
• Необходимо запустить adprep /rodcprep один раз в лесу. При этом обновятся разрешения для всех разделов каталога приложений DNS в лесу, чтобы облегчить репликацию между контроллерами домена только для чтения, которые являются также DNS-серверами.
• Контроллер домена только для чтения не может содержать роли хозяина операций и работать в качестве сервера-плацдарма репликации.
• Контроллер домена только для чтения можно развернуть в системе Server Core для дополнительной безопасности.

Сайт - это логическое представление географической области в сети. Сайт представляет границу высокоскоростной сети для компьютеров доменных служб Active Directory, т. е. компьютеры, которые могут взаимодействовать с высокой скоростью и низкой задержкой, можно объединить в сайт; контроллеры домена в пределах сайта реплицируют данные доменных служб Active Directory оптимизированным для этой среды способом; такая конфигурация репликации является в значительной степени автоматической.

Примечание. Сайты используются клиентскими компьютерами для поиска таких служб, как контроллеры домена и серверы глобального каталога. Важно, чтобы каждый создаваемый сайт содержал по крайней мере один контроллер домена и сервер глобального каталога.

2.4 Репликация доменных служб Active Directory

1. Репликация доменных служб Active Directory - это передача изменений, внесенных в данные каталога, между контроллерами домена в лесу доменных служб Active Directory. Модель репликации доменных служб Active Directory определяет механизмы, позволяющие автоматически передавать обновления каталога между контроллерами домена, чтобы обеспечить решение по беспрепятственной репликации для службы распределенного каталога доменных служб Active Directory.
2. В доменных службах Active Directory есть три раздела. Раздел домена содержит наиболее часто изменяемые данные и поэтому создает большой поток данных репликации доменных служб Active Directory.

Связи сайтов Active Directory

1. Ссылка на сайт используется для обработки репликации между группами сайтов. Вы можете использовать предоставленную в AD DS ссылку на сайт по умолчанию или, при необходимости, создать дополнительные ссылки на сайт. Вы можете настроить параметры для ссылок на сайт, чтобы определить расписание и доступность пути репликации для упрощения управления репликацией.
2. Если два сайта связаны посредством ссылки на сайт, система репликации автоматически создает подключения между конкретными контроллерами доменов на каждом сайте, которые называются серверами-плацдармами.

2.5 Настройка DNS для доменных служб Active Directory

Установка DNS

AD DS требует DNS. Роль DNS-сервера не устанавливается в Windows Server 2008 R2 по умолчанию. Как и другие функциональные возможности, эта функция добавляется на основе роли, когда сервер настраивается для выполнения определенной роли.

Роль DNS-сервера можно установить, воспользовавшись ссылкой "Добавить роль" в диспетчере сервера. Роль DNS-сервера также может быть добавлена автоматически с помощью мастера установки доменных служб Active Directory (dcpromo.exe). Страница параметров контроллера домена в мастере позволяет добавить роль DNS-сервера.

Настройка зон DNS

После установки DNS-сервера можно начать добавлять зоны на сервер. Если DNS-сервер является контроллером домена, можно настроить хранение данных о зонах в AD DS. Тогда будет создана интегрированная зона Active Directory. Если этот параметр не выбран, данные о зонах будут храниться в файле, а не в AD DS.

Динамические обновления

При создании зоны вам также будет предложено указать, должно ли поддерживаться динамическое обновление. Динамическое обновление позволяет сократить усилия по управлению зоной, так как клиенты могут добавлять, удалять и обновлять собственные записи ресурсов.

Динамическое обновление допускает возможность подделки записи ресурса. Например, какой-нибудь компьютер может зарегистрировать запись с именем "www" и перенаправлять трафик с вашего веб-сайта на неправильный адрес.

Чтобы исключить возможность подделки, служба DNS-сервера Windows Server 2008 R2 поддерживает безопасное динамическое обновление. Клиент должен пройти проверку подлинности, прежде чем обновлять записи ресурсов, поэтому DNS-серверу известно, является ли клиент тем компьютером, которому разрешено изменять запись ресурса.

Передачи зон DNS

Предприятие должно стремиться к тому, чтобы зона могла быть разрешена принудительно по крайней мере двумя DNS-серверами.

Если зона интегрирована в доменные службы Active Directory, достаточно добавить роль DNS-сервера в другой контроллер домена в том же домене , где находится первый DNS-сервер. Интегрированные зоны Active Directory и репликация зоны DNS с помощью AD DS описаны в следующем уроке.

Если зона не является интегрированной в AD DS, необходимо добавить другой DNS-сервер и настроить его для размещения дополнительной зоны. Не следует забывать, что дополнительная зона является доступной только для чтения копией основной зоны.

Записи SRV

Запись ресурса локатора служб (SRV) разрешает запрос для сетевой службы, позволяя клиенту находить узел, предоставляющий определенную службу.

• Когда контроллер домена должен выполнить репликацию изменений с партнеров.
• Когда клиентскому компьютеру требуется пройти проверку подлинности в AD DS.
• Когда пользователь изменяет свой пароль.
• Когда сервер Microsoft Exchange выполняет поиск в каталоге.
• Когда администратор открывает оснастку "Active Directory - пользователи и компьютеры".

В SRV-записях используется следующий синтаксис.

имя.службы.протокола срок_жизни класс тип приоритет вес порт целевой_узел

Пример SRV-записи приведен ниже.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Запись состоит из следующих компонентов:

• Имя службы протокола, например служба LDAP, предлагаемая контроллером домена.
• Срок жизни в секундах.
• Класс (все записи DNS-сервера Windows будут иметь значение "IN" или "INternet").
• Тип: SRV;
• Значения приоритета и веса, которые помогают клиентам определить предпочтительный узел.
• Порт, в котором служба предлагается сервером. На контроллере домена Windows для LDAP стандартный порт - 389.
• Целевой объект, или узел службы, которым в данном случае является контроллер домена с именем hqdc01.contoso.com.

Когда клиентский процесс ищет контроллер домена, он может запросить службу LDAP у DNS. Запрос возвращает как SRV-запись, так и A-запись для одного или нескольких серверов, предоставляющих запрошенную службу.

У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.

Из этой статьи вы узнаете:

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24 , в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

• Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
• Устанавливаем контроллер домена во второй подсети и добавляем его в домен
• Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4 , второй — xm-winsrv 10.1.4.6 . Домен, который мы будем создавать будет называться xs.local

Настройка контроллеров домена для работы в разных подсетях

Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv . Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1 :

Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv . Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.

В xs-winsrv добавляем строку:

10.1.4.6 xm-winsrv

В xm-winsrv добавляем:

10.1.3.4 xs-winsrv

Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:

Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv , который мы будем добавлять в домен:

После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.

Добавление второго контроллера домена из другой подсети

Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен , указываем наш домен xs.local :

На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:

Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC) . Дальше все настройки оставляем по-умолчанию.

После перезагрузки сервера, он окажется в домене xs.local . Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:

На этом все. Можно добавлять компьютеры в обоих офисах в домен.

Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.

Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.

Онлайн курс "Администратор Linux"