Un controler de domeniu este un computer server care gestionează un domeniu și stochează o replică a directorului de domeniu (baza de date locală a domeniului). Deoarece un domeniu poate avea mai multe controlere de domeniu, toate acestea stochează copie integrală acea parte a directorului care aparține .

Următoarele sunt funcțiile controlerelor de domeniu.

• Fiecare controler de domeniu stochează o copie completă a tuturor informațiilor Director activ legate de domeniul său și, de asemenea, gestionează modificările aduse acestor informații și le reproduce altor controlori din același domeniu.
• Toți controlorii dintr-un domeniu reproduc automat toate obiectele din domeniu între ele. Orice modificări aduse Active Directory sunt de fapt făcute pe unul dintre controlerele de domeniu. Acest controler de domeniu reproduce apoi modificările controlerelor rămase din domeniul său. Setând frecvența de replicare și cantitatea de date pe care Windows o va transfera cu fiecare replicare, puteți controla trafic de rețeaîntre controlorii de domeniu.
• Actualizări importante, cum ar fi dezactivarea unui cont de utilizator, controlorii de domeniu se reproduc imediat.
• Active Directory folosește replicarea multimaster, în care niciun controler de domeniu nu este master. Toate controlerele sunt egale și fiecare controler conține o copie a bazei de date a directorului care poate fi modificată. Pentru perioade scurte de timp, informațiile din aceste copii pot diferi până când toate controlerele sunt sincronizate între ele.
• Având mai multe controlere într-un domeniu oferă toleranță la erori. Dacă unul dintre controlorii de domeniu nu este disponibil, celălalt va efectua toate operațiunile necesare, cum ar fi scrierea modificărilor în Active Directory.
• Controlerele de domeniu gestionează interacțiunile dintre utilizatori și domeniu, cum ar fi găsirea de obiecte Active Directory și detectarea încercărilor de conectare la rețea.

Există două roluri de master operațiuni care pot fi atribuite unui singur controler de domeniu într-o pădure (roluri care operează peste granițele pădurii):

• Proprietarul schemei ( Schema Master). Primul controler de domeniu din pădure își asumă rolul de maestru al schemei și este responsabil pentru menținerea și propagarea schemei în restul pădurii. Menține o listă a tuturor claselor de obiecte și atributelor posibile care definesc obiectele care se află în Active Directory. Dacă schema trebuie actualizată sau modificată, este necesar un Schema Master.
• Maestru de nume de domenii. Înregistrează adăugarea și eliminarea domeniilor din pădure și este vital pentru menținerea integrității domeniului. Domain Naming Master este solicitat atunci când noi domenii sunt adăugate în pădure. Dacă Domain Naming Master nu este disponibil, atunci adăugarea de noi domenii nu este posibilă; cu toate acestea, acest rol poate fi transferat unui alt controlor dacă este necesar.

Există trei roluri de master operațiuni care pot fi atribuite unuia dintre controlorii din fiecare domeniu (roluri la nivelul întregului domeniu).

• Identificator relativ (RID) Master. Responsabil pentru alocarea intervalelor de identificare relativă (RID) tuturor controlerelor din domeniu. SID în Windows Server 2003 este format din două părți. Prima parte este comună tuturor obiectelor din domeniu; pentru a crea un SID unic, un RID unic este adăugat la această parte. Împreună identifică în mod unic un obiect și indică locul în care a fost creat.
• Emulator de controler de domeniu primar (PDC). Răspunzător de Emulare Windows NT 4.0 PDC pentru mașini client care nu au fost încă traduse în Windows 2000, Windows Server 2003 sau Windows XP și nu au instalat clientul de servicii de director. Una dintre sarcinile principale ale emulatorului PDC este să înregistreze clienții moșteniți. În plus, emulatorul PDC este contactat dacă autentificarea clientului eșuează. Acest lucru permite emulatorului PDC să verifice parolele modificate recent pentru clienții vechi din domeniu înainte de a respinge cererea de conectare.
• Maestru de infrastructură. Înregistrează modificările aduse obiectelor controlate din domeniu. Toate modificările sunt mai întâi raportate către Infrastructure Master și abia apoi sunt replicate altor controlere de domeniu. Infrastructure Master procesează informații de grup și de membru pentru toate obiectele din domeniu. O altă sarcină a Infrastructure Master este să comunice informații despre modificările aduse obiectelor către alte domenii.

Orez. 3.4. Distribuția implicită a rolurilor de maestru al operațiunilor forestiere

Rolul Global Catalog Server (GC) poate fi îndeplinit de orice controler de domeniu individual dintr-un domeniu - una dintre funcțiile serverului care poate fi atribuită unui controler de domeniu. Serverele de catalog globale îndeplinesc două sarcini importante. Acestea permit utilizatorilor să se conecteze la rețea și să găsească obiecte în orice parte a pădurii. Catalogul global conține un subset de informații din fiecare partiție de domeniu și este replicat printre serverele de catalog global din domeniu. Când un utilizator încearcă să se conecteze la o rețea sau să acceseze o resursă de rețea de oriunde în pădure, cererea este rezolvată prin catalogul global. O altă sarcină a directorului global care este utilă indiferent de câte domenii aveți în rețea este să participați la procesul de autentificare atunci când un utilizator se conectează la rețea. Când un utilizator se conectează la rețea, numele său este mai întâi verificat cu conținutul directorului global. Acest lucru vă permite să vă conectați în rețea de pe computere din alte domenii decât cel în care este stocat contul de utilizator dorit.

Controlere de domeniu care rulează sub Control Windows Server 2003, stochează datele din director și gestionează interacțiunile utilizator-domeniu, inclusiv procesele de conectare a utilizatorului, autentificare și căutări în director. Controlerele de domeniu sunt create utilizând Expertul de configurare Active Directory.

În Windows NT Server, pentru fiabilitate, un controler de domeniu este creat împreună cu controlerul de domeniu principal, un controler de domeniu de rezervă. În Windows 2000 și Windows Server 2003, totul este egal.

Windows NT

În rețelele Windows NT, un server a fost folosit ca controler de domeniu primar (PDC) și toate celelalte servere au acționat ca controlere de domeniu de rezervă (BDC).

BDC-ul putea autentifica utilizatorii din domeniu, dar toate actualizările domeniului (adăugarea de noi utilizatori, schimbarea parolelor, apartenența la grup etc.) puteau fi făcute doar prin intermediul PDC, care au fost apoi propagate tuturor controlerelor de domeniu de rezervă. Dacă PDC-ul nu era disponibil, actualizările nu au putut fi efectuate. Dacă PDC-ul era permanent indisponibil, BDC-ul existent ar putea fi promovat la rolul PDC.

Windows 2000

Windows 2000 și mai târziu au introdus Active Directory (AD), care a eliminat practic conceptul de controlere de domeniu primare și de rezervă în favoarea mai multor master de replicare (modelul de replicare peer-to-peer (Engleză)).

Cu toate acestea, există mai multe roluri care sunt instalate implicit pe primul DC din rețea. Ele se numesc operațiuni flexibile single-master (FSMO). Unele dintre aceste roluri sunt responsabile pentru un domeniu, altele pentru o pădure de domenii. Dacă serverul care îndeplinește unul dintre aceste roluri nu este disponibil, domeniul continuă să funcționeze. Dacă serverul este indisponibil în orice moment, un alt DC poate prelua rolul de controlor (un proces cunoscut sub numele de deturnare a rolului).

Windows Server 2008 și versiunile ulterioare pot fi utilizate ca Numai citire Controler de domeniu (RODC). Actualizarea informațiilor despre acestea este posibilă prin replicare de la alte DC.

Samba 4.0/4.1

Pe sisteme asemănătoare Unix, Samba 4.x poate funcționa ca controler de domeniu, acceptă scheme forestiere domenii Windows 2003, 2003 R2, 2008, 2008 R2, care la rândul lor pot fi extinse, pot fi folosite ca RODC.

Instalarea unui controler de domeniu este o parte importantă pentru rețea de calculatoare, controlându-și în esență activitatea. Sarcina sa principală este să ruleze importantul serviciu Active Directory. Funcționează cu o autoritate cheie de distribuție - Kerberos.

De asemenea, oferă lucrări pe sisteme compatibile cu Unix. În ele kitul acționează ca un controler software Samba.

Controlerul de domeniu este folosit pentru a crea retea locala, în care utilizatorii se puteau conecta sub numele lor și cu datele de conectare. Ar trebui să facă acest lucru pe toate computerele. De asemenea, instalarea unui controler de domeniu asigură că drepturile de acces sunt determinate în rețea și securitatea acesteia este gestionată. Cu ajutorul acestuia, puteți gestiona central întreaga rețea, ceea ce este foarte important.

Controlerele de domeniu pot rula și sub Windows Server 2003. Acesta este modul în care stochează toate datele directorului, gestionează operațiunile utilizatorilor și domeniului, controlează autentificarea utilizatorilor, verifică autenticitatea directorului și așa mai departe. Toate pot fi create folosind programul de instalare Active Directory. Poate funcționa și pe Windows NT. Aici, pentru ca acesta să funcționeze mai fiabil, este creat controler suplimentar. Acesta va fi conectat la controlerul principal.

ÎN Rețeaua Windows NT a existat un singur server. Ar putea fi folosit pentru a opera un controler de domeniu primar sau PDC. Toate celelalte servere au funcționat ca auxiliare. Ei, de exemplu, ar putea efectua verificarea tuturor utilizatorilor, ar putea stoca și verifica parolele și alte operațiuni importante. Dar, în același timp, nu puteau adăuga noi utilizatori pe server și nici nu puteau schimba parolele și altele asemenea, adică configurarea unui controler de domeniu era mai puțin diversă. Aceste operațiuni au putut fi efectuate numai folosind PDC. Modificările aduse acestora ar putea fi apoi propagate la toate domeniile de rezervă. Dacă serverul principal nu era disponibil, atunci domeniul de rezervă nu putea fi promovat la nivelul celui principal.

Cu toate acestea, puteți configura un controler de domeniu, o rețea și puteți ridica nivelul de domeniu pe orice computer și acasă. Această înțelepciune este ușor de învățat singur. Toate instrumentele necesare pentru aceasta se află în Panoul de control – Adăugați sau eliminați programe – Instalarea componentelor sistemului. Adevărat, va trebui să lucrați cu ei instalând mai întâi un disc cu sistemul de operare în computer. Puteți crește rolul computerului folosind linia de comandă introducând comanda dcpromo în ea.

În plus, verificarea unui controler de domeniu se poate face cu ușurință folosind utilități specializate care funcționează efectiv într-un mod automat, adică vă permit să obțineți informatie necesara după pornirea programului și reglarea funcționării controlerelor după efectuarea diagnosticelor. De exemplu, puteți utiliza utilitarul Ntdsutil.exe, care oferă posibilitatea de a vă conecta la un controler de domeniu nou instalat pentru a testa capacitatea acestuia de a răspunde la o solicitare LDAP. De asemenea, folosind acest software, este posibil să se determine dacă controlorul are informații despre locația rolurilor FSMO în propriul său domeniu.

Mai sunt câteva moduri simple, care vă va permite să diagnosticați funcționarea corespunzătoare a controlerelor. În special, puteți merge la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (cheie de registry) și căutați acolo subcheia NTDS, a cărei prezență indică performanța normală a funcțiilor controlerului de domeniu. Există o metodă de introducere a conturilor nete în Linie de comandași acolo, dacă computerul este un controler de domeniu, veți vedea valoarea BACKUP sau PRIMARY în linia de rol Computer alte valori sunt disponibile pe computere simple;

Un controler de domeniu este un server care rulează sub controlul sistem de operare Windows Server cu Active Directory Domain Service instalat. În acest articol, vom analiza pe scurt scopul unui controler de domeniu, funcțiile acestuia și importanța unei configurări corecte.

Scop

Pentru a nu intra în număr mareÎn termeni tehnici, controlerele de domeniu sunt servere care acceptă Active Directory. Acestea stochează informații despre conturile de utilizator și computer aparținând domeniului, schemei, precum și propria copie a bazei de date Date active Director care acceptă scrierea. În plus, controlorii de domeniu acționează ca componentă centrală de securitate într-un domeniu. O astfel de organizație vă permite să configurați în mod flexibil politicile de securitate rețeaua corporativă, precum și a permite, sau invers, a interzice anumite grupuri accesul utilizatorilor la anumite resurse.

Funcțiile de bază ale unui controler de domeniu:

• Stocarea unei copii complete a informațiilor Active Directory care se referă la un anumit domeniu, gestionarea și replicarea acestor informații către alte controlere incluse în acest domeniu;
• Replicarea informațiilor din director pe toate obiectele domeniu Activ Director;
• Rezolvarea conflictelor de replicare atunci când același atribut a fost schimbat în controlori diferiți până când este inițiată replicarea.

Beneficii de afaceri

Avantaje sistem centralizat bazat pe controlere de domeniu:

1. Baza de date unică pentru autentificare. Controlerul de domeniu stochează toate conturile într-o singură bază de date și fiecare utilizator care face parte din domeniul unui computer contactează controlerul de domeniu pentru a se conecta. Împărțirea utilizatorilor în grupuri adecvate facilitează organizarea accesului distribuit la documente și aplicații. Astfel, atunci când apare un nou angajat, este suficient să creați pentru el contîn grupul corespunzător, iar angajatul va avea automat acces la toate resursele și dispozitivele de rețea necesare. Când un angajat pleacă, este suficient să-i blochezi contul pentru a revoca orice acces.
2. Punct unic de management al politicii. Un controler de domeniu vă permite să distribuiți conturi de computer și de utilizator între unitățile organizaționale și să aplicați diferite politici de grup, definirea setărilor și a parametrilor de securitate pentru un grup de computere și utilizatori (de exemplu, acces la imprimante de rețea, trusa aplicatii necesare, setările browserului etc.). Astfel, atunci când un nou computer sau utilizator este adăugat la domeniu, acesta va primi automat toate setările și accesele definite pentru un anumit departament.
3. Siguranță. Configurare flexibilă procedurile de autentificare și autorizare, împreună cu managementul centralizat, pot crește semnificativ securitatea infrastructurii IT din cadrul organizației. În plus, controlerul de domeniu este instalat fizic într-un loc special, protejat de accesul extern.
4. Integrare simplificată cu alte servicii. Utilizarea unui controler de domeniu ca punct unic de autentificare permite utilizatorilor să folosească același cont atunci când lucrează cu el instrumente suplimentareși servicii (de ex. servicii poștale, programe de birou, servere proxy, mesagerie instant etc.).

Setări

Un controler de domeniu bazat pe Active Directory Domain Service este un element cheie al infrastructurii IT, oferind controlul accesului, precum și protecția datelor în cadrul organizației. Funcționarea nu numai a controlorului de domeniu în sine, ci și a Active Directory în ansamblu (de exemplu, distribuția politicilor de securitate și a regulilor de acces), care, la rândul său, afectează funcționarea tuturor serviciilor conexe și determină, de asemenea, nivelul de securitate, depinde privind configurarea corectă a controlerului de domeniu.

De aceea, dacă compania dumneavoastră intenționează să optimizeze procedurile de acces resurse corporative, crește securitatea și simplifica sarcinile administrative de rutină prin trecerea la managementul centralizat, specialiștii IT Svit vor ajuta la rezolvarea problemelor de planificare adecvată a structurii unei rețele corporative scalabile și a componentelor acesteia, precum și la configurarea și implementarea în continuare a unui controler de domeniu în acest domeniu. reţea.