Controlerele de domeniu sunt serverele care suportă funcționarea Active Directory. Fiecare controler de domeniu are propria copie a bazei de date Date active Director care acceptă scrierea. Controloarele de domeniu acționează ca componentă centrală de securitate într-un domeniu.

Toate operațiunile de securitate și de verificare a contului sunt efectuate pe controlerul de domeniu. Fiecare domeniu trebuie să aibă cel puțin un controler de domeniu. Pentru a asigura toleranța la erori, se recomandă să instalați cel puțin două controlere de domeniu pentru fiecare domeniu.

În sistemul de operare Windows NT, un singur controler de domeniu accepta scrierea bazei de date, ceea ce înseamnă că era necesară o conexiune la un controler de domeniu pentru a crea și modifica setările contului de utilizator.

Acest controler a fost numit controler de domeniu primar (PDC). Incepand din sala de operatie sisteme WindowsÎn 2000, arhitectura controlerului de domeniu a fost reproiectată pentru a permite actualizarea bazei de date Active Directory pe orice controler de domeniu. După actualizarea bazei de date pe un controler de domeniu, modificările au fost replicate tuturor celorlalte controlere.

Deși toate controlerele de domeniu acceptă scrierea bazelor de date, acestea nu sunt identice. Domeniile și pădurile Active Directory au sarcini care sunt efectuate de controlori de domeniu specifici. Controlerele de domeniu cu responsabilități suplimentare sunt cunoscute ca maeștri de operațiuni. În unele materiale Microsoft se numesc astfel de sisteme Operațiuni flexibile cu un singur master (FSMO). Mulți cred că termenul FSMO a fost folosit atât de mult timp doar pentru că acronimul sună atât de amuzant când este pronunțat.

Există cinci roluri de maestru de operațiuni. În mod implicit, toate cele cinci roluri sunt emise primului controler de domeniu din pădurea Active Directory. Cele trei roluri de master operațiuni sunt utilizate la nivel de domeniu și sunt atribuite primului controler de domeniu din domeniul creat. Utilități active Directoarele, care sunt discutate în continuare, permit transferul rolurilor de master operațiuni de la un controler de domeniu la un alt controler de domeniu. În plus, puteți forța un controler de domeniu să-și asume un rol specific de maestru al operațiunii.

Există două roluri de maestru de operațiuni care operează la nivel de pădure.

• Maestru de nume de domeniu- Acești maeștri operațiuni trebuie contactați ori de câte ori se fac modificări de denumire în ierarhia domeniului forestier. Sarcina maestrului de numire a domeniilor este de a se asigura că numele de domenii sunt unice în pădure. Acest rol de master operațiuni trebuie să fie disponibil la crearea de noi domenii, la ștergerea de domenii sau la redenumirea domeniilor
• Schema master- rolul de master schema aparține singurului controler de domeniu din pădure în care se pot face modificări la schemă. Odată ce modificările sunt făcute, acestea sunt replicate tuturor celorlalte controlere de domeniu din pădure. Ca exemplu al necesității de a face modificări la circuit, luați în considerare instalarea produs software Microsoft Exchange Server. Aceasta modifică schema pentru a permite administratorului să gestioneze simultan conturile de utilizator și cutiile poștale

Fiecare rol la nivel de pădure poate fi deținut doar de un controler de domeniu din pădure. Adică, puteți utiliza un controler ca master de denumire a domeniului și un al doilea controler ca master al schemei. În plus, ambele roluri pot fi atribuite aceluiași controler de domeniu. Aceasta este distribuția implicită a rolurilor.

Fiecare domeniu din pădure are un controler de domeniu care îndeplinește fiecare dintre rolurile la nivel de domeniu.

• Relative Identificator Master (RID master)- Maestrul identificatorilor relativi este responsabil pentru atribuirea identificatorilor relativi. Identificatorii relativi sunt o parte unică a ID-ului de securitate (SID) care este utilizată pentru a identifica un obiect de securitate (utilizator, computer, grup etc.) într-un domeniu. Una dintre sarcinile principale ale unui master de identificare relativă este de a elimina un obiect dintr-un domeniu și de a adăuga un obiect la alt domeniu atunci când mută obiecte între domenii.
• Maestru de infrastructură- sarcina proprietarului infrastructurii este de a sincroniza apartenența la grup. Când se fac modificări în componența grupurilor, proprietarul infrastructurii notifică toți ceilalți controlori de domeniu despre modificări.
• Emulator de controler de domeniu primar (Emulator PDC)- acest rol este folosit pentru a emula controlerul primar domeniul Windows NT 4 pentru a suporta controlerele de domeniu de rezervă Windows NT 4 Un alt scop al emulatorului de control de domeniu principal este de a oferi un punct central de administrare pentru modificările parolelor utilizatorilor, precum și politicile de blocare a utilizatorilor.

Cuvântul „politici” este folosit destul de des în această secțiune pentru a se referi la obiectele de politică de grup (GPO). Obiectele de politică de grup sunt unul dintre principalele utile caracteristicile lui Active Director și sunt discutate în articolul corespunzător, link-ul către care este furnizat mai jos.

UPD: Am creat un canal video pe YouTube unde postez treptat videoclipuri de antrenament pe toate domeniile IT pe care le cunosc bine, abonați-vă: http://www.youtube.com/user/itsemaev

UPD2: Microsoft schimbă în mod tradițional sintaxa obișnuită în linie de comandă, deci rolurile din fiecare versiune Windows Server poate suna diferit. Nu se mai numesc fsmo, ci maeștri de operațiuni. Deci, pentru comenzile corecte din consolă după întreținerea fsmo, scrieți pur și simplu? și vă va afișa comenzile disponibile.

În revista mea de aprilie" Administrator de sistem" a luat un articol pe tema "Înlocuirea fără durere a unui controler de domeniu învechit sau eșuat cu Bazat pe Windows Server"

Și chiar au plătit o sută de dolari și mi-au dat o pungă de creier)) Acum sunt Onotole.

Înlocuiți fără probleme un controler de domeniu Windows Server învechit sau eșuat.(daca cineva are nevoie iti trimit poze)

Dacă controlerul dvs. de domeniu a eșuat sau este complet depășit și necesită înlocuire, nu vă grăbiți să vă petreceți weekendul următor creând un domeniu nou pe un nou server și transferând cu migăre mașinile utilizatorului pe acesta. Gestionarea corectă a unui controler de domeniu de rezervă vă va ajuta să înlocuiți rapid și fără durere serverul anterior.

Aproape fiecare administrator care lucrează cu servere bazate pe Windows, mai devreme sau mai târziu, se confruntă cu nevoia de a înlocui un controler de domeniu principal complet învechit, a cărui actualizare ulterioară nu mai are sens, cu unul nou și mai adecvat. cerințe moderne. Există situații și mai grave - controlerul de domeniu devine pur și simplu inutilizabil din cauza defecțiunilor la nivel fizic, iar copiile de siguranță și imaginile sunt depășite sau pierdute
În principiu, o descriere a procedurii de înlocuire a unui controler de domeniu cu altul poate fi găsită pe diferite forumuri, dar informațiile sunt date fragmentare și, de regulă, se aplică doar unei situații specifice, dar nu oferă o soluție reală. În plus, chiar și după ce a citit o mulțime de forumuri, baze de cunoștințe și alte resurse pe engleză- Am reușit să efectuez corect procedura de înlocuire a unui controler de domeniu fără erori doar a treia sau a patra oară.
Așa că vreau să aduc instrucțiuni pas cu pasînlocuirea unui controler de domeniu, indiferent dacă este operațional sau nu. Singura diferență este că, în cazul unui controler „căzut”, acest articol vă va ajuta doar dacă ați avut grijă în avans și ați implementat un controler de domeniu de rezervă.

Pregătirea serverelor pentru promovarea/retrogradarea rolului

Procedura de creare a unui controler de domeniu de rezervă este simplă - pur și simplu rulăm vrăjitorul dcpromo pe orice server din rețea. Folosind expertul dcpromo, creăm un controler de domeniu într-un domeniu existent. Ca urmare a acestor manipulări, obținem un serviciu de director AD implementat pe serverul nostru suplimentar (îl voi numi pserver, iar controlerul principal - dcserver).
Apoi, dacă dcpromo în sine nu a sugerat-o, începeți instalarea servere DNS. Nu trebuie să modificați nicio setare, nici să creați o zonă - este stocată în AD și toate înregistrările sunt replicate automat pe controlerul de rezervă. Atenție - zona principală din DNS va apărea numai după replicare, pentru a accelera, serverul poate fi repornit. În setările TCP/IP placa de retea a controlerului de domeniu de rezervă, adresa serverului DNS primar trebuie să indice adresa IP a controlerului de domeniu principal.
Acum puteți verifica cu ușurință funcționalitatea pserver-ului controlerului de domeniu de rezervă. Putem crea un utilizator de domeniu atât pe controlerul de domeniu principal, cât și pe cel de rezervă. Imediat după creare, apare pe serverul duplicat, dar într-un minut (în timp ce replicarea are loc) este afișat ca dezactivat, după care începe să apară identic pe ambele controlere.
La prima vedere, toți pașii pentru a crea o schemă de lucru pentru interacțiunea mai multor controlere de domeniu au fost finalizați, iar acum, în cazul unei defecțiuni a controlerului de domeniu „primar”, controlerele „de rezervă” își vor îndeplini automat funcțiile. . Cu toate acestea, în timp ce diferența dintre un controler de domeniu „primar” și unul „de rezervă” este pur nominală, controlerul de domeniu „primar” are o serie de caracteristici (roluri FSMO) care nu trebuie uitate. Astfel, operațiunile de mai sus pentru funcționarea normală a serviciului de directoare în cazul unei defecțiuni a controlorului de domeniu „primar” nu sunt suficiente, iar acțiunile care trebuie efectuate pentru a transfera/se ocupa cu competență de rolul controlorului de domeniu primar vor fi descris mai jos.

Puțină teorie

Trebuie să știu că controlorii domeniu Activ Directoarele îndeplinesc mai multe tipuri de roluri. Aceste roluri se numesc FSMO (Flexible single-master operations):
- Schema Master(Schema Master) - rolul este responsabil pentru capacitatea de a schimba schema - de exemplu, implementarea unui server Exchange sau server ISA. Dacă proprietarul rolului nu este disponibil, nu veți putea modifica schema domeniului existent;
- Domain Naming Master (Domain naming operation master) - rolul este necesar dacă există mai multe domenii sau subdomenii în pădurea dvs. de domenii. Fără acesta, nu va fi posibilă crearea și ștergerea de domenii într-o singură pădure de domeniu;
- Relative ID Master (Relative ID Master) - este responsabil pentru crearea unui ID unic pentru fiecare obiect AD;
- Primary Domain Controller Emulator - este responsabil pentru lucrul cu conturile de utilizator și politicile de securitate. Lipsa comunicării cu acesta vă permite să vă conectați la stațiile de lucru cu vechea parolă, care nu poate fi schimbată dacă controlerul de domeniu „cade”;
- Infrastructure Master (Infrastructure Master) - rolul este responsabil pentru transmiterea informațiilor despre obiectele AD către alți controlori de domeniu din întreaga pădure.
Aceste roluri sunt scrise suficient de detaliat în multe baze de cunoștințe, dar rolul principal este aproape întotdeauna uitat - acesta este rolul Catalogului global. De fapt, acest director pur și simplu lansează serviciul LDAP pe portul 3268, dar inaccesibilitatea acestuia nu va permite utilizatorilor de domeniu să se conecteze la sistem. Ceea ce este de remarcat este faptul că toți controlorii de domeniu pot avea rolul de catalog global în același timp.

De fapt, putem concluziona că dacă ai un domeniu primitiv pentru 30-50 de mașini, fără o infrastructură extinsă, care nu include subdomenii, atunci s-ar putea să nu observi lipsa de acces la proprietarul/proprietarii primelor două roluri. În plus, de mai multe ori am dat peste organizații care funcționează de mai bine de un an fără controler de domeniu, dar pe o infrastructură de domeniu. Adică, toate drepturile au fost distribuite cu mult timp în urmă, cu controlerul de domeniu rulând, și nu a trebuit să fie schimbate utilizatorii nu și-au schimbat parolele și au lucrat în liniște.

Determinați proprietarii actuali de rol fsmo.

Permiteți-mi să clarific - dorim cu înțelepciune să înlocuim controlerul de domeniu fără a-i pierde niciuna dintre capabilitățile. În cazul în care există doi sau mai mulți controlori în domeniu, trebuie să aflăm cine deține fiecare dintre rolurile fsmo. Acest lucru este destul de ușor de făcut folosind următoarele comenzi:

dsquery server -hasfsmo schema
server dsquery - nume hasfsmo
server dsquery - hasfsmo rid
server dsquery - hasfsmo pdc
server dsquery - hasfsmo infr
server dsquery -forest -isgc

Fiecare dintre comenzi afișează informații despre cine este proprietarul rolului solicitat (Fig. 1). În cazul nostru, proprietarul tuturor rolurilor este controlerul de domeniu principal dcserver.

Transfer voluntar al rolurilor fsmo folosind consolele Active Directory.

Avem toate informațiile necesare pentru a transfera rolul PDC. Să începem: mai întâi trebuie să ne asigurăm că contul nostru este membru al grupurilor Administratori de domeniu, Administratori de schemă și Administratori de întreprindere, apoi treceți la metoda traditionala fsmo role transfer - gestionarea domeniului prin consolele Active Directory.

Pentru a transfera rolul „maestru de denumire a domeniului”, parcurgeți următorii pași:
- deschideți „Active Directory Domains and Trusts” pe controlerul de domeniu de la care dorim să transferăm rolul. Dacă lucrăm cu AD pe controlerul de domeniu către care dorim să transferăm rolul, atunci sărim peste următorul punct;
- click clic dreapta mouse-ul pe pictograma Active Directory - Domains and Trusts și selectați comanda Conectare la un controler de domeniu. Selectăm controlerul de domeniu căruia dorim să transferăm rolul;
- faceți clic dreapta pe componenta Active Directory - Domains and Trusts și selectați comanda Operation Masters;
- în caseta de dialog Change Operations Owner, faceți clic pe butonul Change (Fig. 2).
- după un răspuns afirmativ la cererea pop-up, primim un rol transferat cu succes.

În mod similar, puteți utiliza consola Active Directory Users and Computers pentru a transfera rolurile RID Master, PDC și Infrastructure Master.

Pentru a transfera rolul „master schema”, trebuie mai întâi să înregistrați biblioteca de gestionare a schemelor Active Directory în sistem:

După ce toate rolurile au fost transferate, rămâne să ne ocupăm de opțiunea rămasă - custodele catalogului global. Mergem la Active Directory: „Site și servicii”, site implicit, servere, găsim controlerul de domeniu care a devenit principalul, iar în proprietățile sale de setări NTDS, bifați caseta de lângă catalogul global. (Fig. 3)

Rezultatul este că am schimbat proprietarii rolurilor pentru domeniul nostru. Pentru cei care trebuie să scape în sfârșit de vechiul controler de domeniu, îl degradăm la un server membru. Cu toate acestea, simplitatea acțiunilor întreprinse dă roade prin faptul că implementarea lor într-o serie de situații este imposibilă, sau se termină într-o eroare. În aceste cazuri, ntdsutil.exe ne va ajuta.

Transfer voluntar al rolurilor fsmo folosind console ntdsutil.exe.

În cazul în care transferul rolurilor fsmo folosind consolele AD eșuează, Microsoft a creat un utilitar foarte convenabil - ntdsutil.exe - program de întreținere Director activ Director. Acest instrument vă permite să efectuați acțiuni extrem de utile - chiar și restaurarea întregii baze de date AD dintr-o copie de rezervă creată de utilitarul însuși în timpul ultimei modificări la AD. Toate capacitățile sale pot fi găsite în baza de cunoștințe Microsoft (Cod articol: 255504). ÎN în acest caz, Vorbim despre faptul că utilitarul ntdsutil.exe vă permite atât să transferați roluri, cât și să le „selectați”.
Dacă dorim să transferăm un rol de la un controler de domeniu „primar” existent la unul „de rezervă”, ne conectăm la controlerul „primar” și începem să transferăm roluri (comandă de transfer).
Dacă dintr-un motiv oarecare nu avem un controler de domeniu principal sau nu ne putem autentifica cu un cont administrativ, ne conectăm la controlerul de domeniu de rezervă și începem să „selectăm” roluri (comanda seize).

Deci, primul caz este că controlerul de domeniu principal există și funcționează normal. Apoi mergem la controlerul de domeniu principal și tastam următoarele comenzi:

ntdsutil.exe
roluri
conexiuni
conectați-vă la server server_name (cel căruia vrem să-i acordăm rolul)
q

Dacă apar erori, trebuie să verificăm conexiunea cu controlerul de domeniu la care încercăm să ne conectăm. Dacă nu există erori, atunci ne-am conectat cu succes la controlerul de domeniu specificat cu drepturile utilizatorului în numele căruia introducem comenzile.
O listă completă de comenzi este disponibilă după ce se solicită întreținerea fsmo folosind un semn standard? . A sosit momentul transferului de roluri. Imediat, fără să mă gândesc, am decis să transfer rolurile în ordinea în care sunt indicate în instrucțiunile pentru ntdsutil și am ajuns la concluzia că nu pot transfera rolul de proprietar al infrastructurii. Ca răspuns la o solicitare de a transfera un rol, mi-a fost returnată o eroare: „proprietarul actual al rolului fsmo nu poate fi contactat”. Am căutat mult timp informații pe Internet și am constatat că majoritatea oamenilor care au ajuns în stadiul de transfer de rol se confruntă cu această eroare. Unii dintre ei încearcă să-și ia cu forță acest rol (nu funcționează), alții lasă totul așa cum este - și trăiesc fericiți fără acest rol.
Am aflat prin încercări și erori că atunci când transferam rolurile către în această ordine Este garantată parcurgerea corectă a tuturor pașilor:
- proprietar de identificatori;
- proprietarul schemei;
- maestru al numirii;
- proprietarul infrastructurii;
- controler de domeniu;

După conectarea cu succes la server, primim o invitație de gestionare a rolurilor (fsmo maintenance) și putem începe să transferăm roluri:
- transfer de nume de domeniu master
- master infrastructura de transfer
- transfer rid master
- master schema de transfer
- transfer pdc master

După executarea fiecărei comenzi, ar trebui să apară o solicitare care ne întreabă dacă vrem cu adevărat să transferăm rolul specificat pe serverul specificat. Rezultatul executării cu succes a comenzii este prezentat în Fig. 4.

Rolul de custode a catalogului global este delegat în modul descris în secțiunea anterioară.

Forțarea rolurilor fsmo folosind ntdsutil.exe.

Al doilea caz este că dorim să atribuim rolul de principal controlerului nostru de domeniu de rezervă. În acest caz, nimic nu se schimbă - singura diferenta Ideea este că efectuăm toate operațiunile folosind comanda seize, dar pe serverul căruia dorim să transferăm roluri pentru a atribui roluri.

seize master de nume de domeniu
pune mâna pe comandantul infrastructurii
apuca scapa maestru
seize schema master
apuca pdc

Vă rugăm să rețineți - dacă luați un rol de la un controler de domeniu care nu este în în acest moment, atunci când apare în rețea, controlerele vor începe să intre în conflict și nu puteți evita problemele în funcționarea domeniului.

Lucrați la greșeli.

Cel mai important lucru care nu trebuie uitat este că noul controler de domeniu primar nu va corecta singur setările TCP/IP: acum este recomandabil ca acesta să specifice 127.0.0.1 ca adresă a serverului DNS primar (și dacă vechiul controler de domeniu + serverul DNS lipsesc, atunci este obligatoriu).
Mai mult, dacă aveți un server DHCP în rețea, atunci trebuie să-l forțați să furnizeze adresa serverului DNS primar, ip-ul noului dvs. server, dacă nu există DHCP, treceți prin toate mașinile și atribuiți acest primar DNS către ei manual. Alternativ, puteți atribui același ip noului controler de domeniu ca și cel vechi.

Acum trebuie să verificați cum funcționează totul și să scăpați de principalele erori. Pentru a face acest lucru, vă sugerez să ștergeți toate evenimentele de pe ambele controlere și să salvați jurnalele în folder cu altele copii de rezervăși reporniți toate serverele.
După ce le pornim, analizăm cu atenție toate jurnalele de evenimente pentru avertismente și erori.

Cel mai frecvent avertisment după transferul rolurilor către fsmo este mesajul că „msdtc nu poate gestiona corect promovarea/retrogradarea controlerului de domeniu care a avut loc”.
Remedierea este simplă: în meniul „Administrare” găsim „Servicii”
componente”. Acolo deschidem „Servicii componente”, „Computere”, deschidem proprietățile secțiunii „Computerul meu”, căutăm „MS DTC” acolo și facem clic pe „Setări de securitate” acolo. Acolo permitem „Accesul la rețeaua DTC” și facem clic pe OK. Serviciul va fi repornit și avertismentul va dispărea.

Un exemplu de eroare ar fi un mesaj că zona DNS principală nu poate fi încărcată sau serverul DNS nu vede controlerul de domeniu.
Puteți înțelege problemele de funcționare a domeniului folosind utilitarul (Fig. 5):

Puteți instala acest utilitar de pe discul original Windows 2003 din folderul /support/tools. Utilitarul vă permite să verificați funcționalitatea tuturor serviciilor de control de domeniu, fiecare etapă trebuie să se încheie cu cuvintele trecute cu succes; Dacă ați eșuat (cel mai adesea acestea sunt teste de conexiune sau de jurnal de sistem), atunci puteți încerca să remediați automat eroarea:

dcdiag /v /fix

De regulă, toate erorile legate de DNS ar trebui să dispară. Dacă nu, utilizați utilitarul pentru a verifica starea tuturor serviciilor de rețea:

Și ea instrument util depanare:

netdiag /v /fix

Dacă după aceasta mai există erori legate de DNS, cel mai simplu mod este să eliminați toate zonele din acesta și să le creați manual. Este destul de simplu - principalul lucru este să creați o zonă principală după nume de domeniu, stocată în Active Directory și replicată tuturor controlerelor de domeniu din rețea.
Mai multe informații despre Erori DNS dă o altă comandă:

dcdiag /test:dns

La sfârșitul lucrărilor efectuate, mi-a luat aproximativ 30 de minute să aflu motivul apariției unui număr de avertismente - mi-am dat seama de sincronizarea timpului, de arhivarea catalogului global și de alte lucruri pe care nu le-am apucat niciodată. înainte. Acum totul funcționează ca un farmec - cel mai important, nu uitați să creați un controler de domeniu de rezervă dacă doriți să eliminați vechiul controler de domeniu din rețea.

Pădurea din Active Directory Domain Services este cea mai mare nivel superior ierarhia structurii logice. O pădure Active Directory reprezintă un singur director. Pădurea este o limită de siguranță. Aceasta înseamnă că administratorii pădurii au control deplin asupra accesului la informațiile stocate în pădure și accesul la controlerele de domeniu utilizate pentru implementarea pădurii.

Organizațiile implementează de obicei o singură pădure, cu excepția cazului în care există o nevoie specifică de mai multe păduri. De exemplu, dacă pentru diferite părți O organizație trebuie să creeze zone administrative separate și trebuie create mai multe păduri pentru a reprezenta aceste zone.

Când implementați mai multe păduri într-o organizație, fiecare pădure în mod implicit funcționează separat de celelalte păduri, ca și cum ar fi singura pădure din organizație.

Nota. Pentru a integra mai multe păduri, puteți crea relații de securitate între ele, numite relații externe sau de încredere în pădure.

Operațiuni la nivel de pădure

Active Directory Domain Services este un serviciu de director multi-master. Aceasta înseamnă că cele mai multe modificări ale directorului pot fi făcute pe orice instanță scrisă a directorului, adică pe orice controler de domeniu care poate fi scris. Cu toate acestea, unele modificări sunt exclusive. Aceasta înseamnă că acestea pot fi realizate numai pe un controler de domeniu specific din pădure sau domeniu, în funcție de modificarea specifică. Se spune că controlerele de domeniu pe care pot fi făcute aceste modificări exclusive conțin roluri de maestru de operațiuni. Există cinci roluri de master operațiuni, dintre care două sunt roluri la nivel de pădure și celelalte trei sunt roluri la nivel de domeniu.

Două roluri de maestru de operațiuni la nivel de pădure:

• Maestru de nume de domeniu. Sarcina maestrului de numire a domeniilor este să se asigure că există nume unice în toată pădurea. Garantează că în toată pădurea există doar unul complet nume de domeniu fiecare calculator.
• Proprietarul schemei. Schema principală monitorizează schema pădurii și menține modificările aduse structurii de bază a pădurii.

Deoarece aceste roluri sunt roluri critice la nivel de pădure, fiecare pădure trebuie să aibă doar un master de schemă și un master de denumire a domeniului.

Materiale suplimentare:

O schemă este o componentă a Active Directory Domain Services care definește toate obiectele și atributele pe care Active Directory Domain Services le utilizează pentru a stoca date.

Active Directory Domain Services stochează și preia informații din multe aplicații și servicii. Prin urmare, pentru a permite stocarea și replicarea datelor din aceste surse diferite, Active Directory Domain Services definește un standard pentru stocarea datelor în director. Având un standard de stocare a datelor, Active Directory Domain Services poate prelua, actualiza și replica datele, menținând în același timp integritatea acestora.

Serviciile de domeniu Active Directory utilizează obiecte ca unități de stocare. Toate obiectele sunt definite într-o schemă. De fiecare dată când un director procesează date, directorul interogează schema pentru definiția obiectului corespunzătoare. Pe baza definiției unui obiect din schemă, directorul creează obiectul și stochează datele.

Definițiile obiectelor determină tipurile de date pe care obiectele le pot stoca, precum și sintaxa datelor. Pe baza acestor informații, schema asigură că toate obiectele se potrivesc cu acestea definiții standard. Drept urmare, Active Directory Domain Services poate stoca, prelua și valida datele pe care le gestionează, indiferent de aplicația care este sursa inițială a datelor. Directorul poate stoca numai date care au o definiție de obiect existentă în schemă. Dacă doriți să stocați un nou tip de date, trebuie mai întâi să creați o nouă definiție de obiect în schema pentru acele date.

O schemă în Active Directory Domain Services definește:

• obiecte utilizate pentru stocarea datelor în director;
• reguli care determină ce tipuri de obiecte pot fi create, ce atribute trebuie specificate la crearea unui obiect și ce atribute sunt opționale;
• structura și conținutul directorului în sine.

Schema este un singur membru master al Active Directory Domain Services. Aceasta înseamnă că modificările schemei trebuie făcute pe controlerul de domeniu care deține rolul de maestru al operațiunilor de schemă.

Schema este replicată între toate controlerele de domeniu din pădure. Orice modificare adusă schemei este replicată tuturor controlerelor de domeniu din pădure de la proprietarul rolului de maestru al operațiunilor de schemă, care este de obicei primul controler de domeniu din pădure.

Deoarece schema determină modul în care sunt stocate informațiile și orice modificări aduse schemei afectează toate controlerele de domeniu, modificările schemei ar trebui făcute numai atunci când este necesar (prin proces controlat) după ce testarea a fost finalizată astfel încât să nu existe un impact negativ asupra restului pădurii.

Deși nu puteți face modificări în schemă în mod direct, unele aplicații fac modificări schemei pentru a accepta funcții suplimentare. De exemplu, la instalare Microsoft Exchange Server 2010 într-un program de configurare a pădurii Active Directory Domain Services extinde schema pentru a accepta noi tipuri de obiecte și atribute.

Material suplimentar:

1.3 Ce este un domeniu.

Un domeniu este o graniță administrativă. Toate domeniile au un cont de administrator, care are permisiuni administrative complete pentru toate obiectele din domeniu. Deși un administrator poate delega administrarea obiectelor dintr-un domeniu, contul de administrator păstrează controlul administrativ deplin asupra tuturor obiectelor din domeniu.

ÎN versiuni anterioare Windows Server credea că domeniile erau menite să ofere o separare administrativă completă; într-adevăr, unul dintre motivele principale pentru alegerea unei topologii cu mai multe domenii a fost asigurarea unei astfel de separari. Cu toate acestea, în Active Domain Services cont director intrare admin în domeniu rădăcină Pădurea are control administrativ deplin asupra tuturor obiectelor din pădure, făcând această separare administrativă la nivel de domeniu invalidă.

Un domeniu este o graniță de replicare. Serviciile de domeniu Active Directory constă din trei elemente sau secțiuni, - scheme, secțiunea de configurareŞi secțiunea de domeniu. De obicei, doar secțiunea de domeniu este schimbată frecvent.

Secțiunea de domeniu conține obiecte care probabil trebuie actualizate frecvent; Aceste obiecte sunt utilizatori, computere, grupuri și departamente. Prin urmare, replicarea Active Directory Domain Services constă în principal din actualizări ale obiectelor definite în partiția de domeniu. Numai controlorii de domeniu dintr-un anumit domeniu primesc actualizări ale partițiilor de domeniu de la alți controlori de domeniu. Partiționarea datelor permite organizațiilor să reproducă datele numai acolo unde este nevoie. Ca rezultat, directorul se poate scala la nivel global printr-o rețea care are lățime de bandă limitată.

Un domeniu este o graniță de autentificare. Fiecare cont de utilizator dintr-un domeniu poate fi verificat de controlorii acelui domeniu. Domeniile dintr-o pădure au încredere unele în altele, astfel încât un utilizator dintr-un domeniu să poată accesa resursele aflate în alt domeniu.

Operațiuni la nivel de domeniu

Există trei roluri de master operațiuni în fiecare domeniu. Aceste roluri, atribuite inițial primului controler de domeniu din fiecare domeniu, sunt enumerate mai jos.

• Proprietarul identificatorului relativ (RID). De fiecare dată când un obiect este creat în Active Domain Services Controler de director domeniul în care este creat acest obiect îi atribuie un unic numărul de identificare, numit un identificator de securitate (SID). Pentru a împiedica doi controlori de domeniu să aloce același SID la două obiecte diferite, masterul RID alocă blocuri SID fiecărui controler de domeniu din domeniu.
• Emulator de controler de domeniu principal. Acest rol este cel mai important deoarece pierderea lui temporară devine vizibilă mult mai repede decât pierderea oricărui alt rol de maestru de operațiuni. Este responsabil pentru o serie de funcții la nivel de domeniu, inclusiv:
• actualizați starea de blocare a contului;
• crearea și replicarea obiectelor politica de grup proprietar unic;
• sincronizare de timp pentru domeniu.
• Proprietarul infrastructurii. Acest rol este responsabil pentru menținerea referințelor obiectelor pe mai multe domenii. De exemplu, atunci când un grup dintr-un domeniu include un membru dintr-un alt domeniu, comandantul infrastructurii este responsabil pentru menținerea integrității acelei legături.

Aceste trei roluri trebuie să fie unice în fiecare domeniu, astfel încât fiecare domeniu poate avea un singur master RID, un emulator primar de controler de domeniu (PDC) și un master de infrastructură.

Materiale suplimentare:

Dacă Active Directory Domain Services conține mai multe domenii, trebuie să definiți relațiile dintre domenii. Dacă domeniile au o rădăcină comună și un spațiu de nume contiguu, ele fac parte din același arbore Active Directory. Arborele nu servește niciun scop administrativ. Cu alte cuvinte, nu există administrator de arbore, la fel cum există un administrator de pădure sau de domeniu. Un arbore oferă o grupare ierarhică logică de domenii care au relații părinte-copil definite de numele lor. Arborele Active Directory se mapează la un spațiu de nume Domain Name Service (DNS).

Arborele Active Directory sunt creați pe baza relațiilor dintre domeniile pădurii. Nu există niciun motiv întemeiat pentru care este sau nu necesar să se creeze mai mulți copaci într-o pădure. Cu toate acestea, rețineți că un singur arbore cu spațiul său de nume contiguu este mai ușor de gestionat și mai ușor de vizualizat de către utilizatori.

Dacă există mai multe spații de nume acceptate, luați în considerare utilizarea mai multor copaci în aceeași pădure. De exemplu, dacă organizația dvs. are mai multe departamente de producție diferite cu identificatori publici diferiți, puteți crea un arbore diferit pentru fiecare departament de producție. Rețineți că în acest scenariu nu există o separare a administrației, deoarece administratorul rădăcinii pădurii are în continuare control deplin asupra tuturor obiectelor din pădure, indiferent de arborele în care se află.

1.5 Diviziuni

Subdiviziune este un obiect container dintr-un domeniu care poate fi utilizat pentru a grupa utilizatori, grupuri, computere și alte obiecte. Există două motive pentru a crea diviziuni.

• Configurați obiectele conținute în unitatea organizatorică. Puteți atribui GPO unei OU și să aplicați setările tuturor obiectelor din acea OU.
• Delegarea gestiunii administrative a obiectelor din departament. Puteți atribui drepturi de gestionare unei OU, delegând astfel controlul OU unui utilizator sau grup neadministrativ în Active Directory Domain Services.

Nota. O unitate organizațională este cea mai mică zonă sau unitate căreia îi puteți atribui setări de politică de grup sau îi puteți delega drepturi administrative.

Diviziunile pot fi folosite pentru a reprezenta ierarhice structuri logice in organizatie. De exemplu, puteți crea unități de afaceri care reprezintă departamente dintr-o organizație, regiuni geografice dintr-o organizație și unități de afaceri care sunt o combinație de departamente și regiuni geografice. Apoi, puteți gestiona configurația și utiliza conturi de utilizator, grup și computer pe baza modelului de organizare creat de dvs.

Fiecare domeniu Active Directory Domain Services are set standard containere și unități organizaționale care sunt create atunci când instalați Active Directory Domain Services. Aceste containere și unități sunt enumerate mai jos.

• Un container de domeniu care servește ca container rădăcină al unei ierarhii.
• Container încorporat care conține conturi implicite de administrator de servicii.
• Un container de utilizatori care este locația implicită pentru noile conturi de utilizator și grupuri create în domeniu.
• Un container de computer care este locația implicită pentru noile conturi de computer create în domeniu.
• Unitatea organizatorică a controlorilor de domeniu, care este locația implicită pentru conturile de computer ale controlorilor de domeniu.

1.6 Relații de încredere

O relație de încredere permite unui obiect de securitate să aibă încredere în alt obiect de securitate în scopuri de autentificare. În sistemul de operare Windows Server 2008 R2, obiectul de securitate este domeniul Windows.

Scopul principal al unei relații de încredere este acela de a facilita accesul unui utilizator dintr-un domeniu la o resursă dintr-un alt domeniu fără a fi necesar să mențină un cont de utilizator în ambele domenii.

În orice relație de încredere, există două părți - entitatea de încredere și entitatea de încredere. Un obiect de încredere este un obiect care deține o resursă, iar un obiect de încredere este un obiect cu un cont. De exemplu, dacă împrumuți cuiva un laptop, ai încredere în acea persoană. Sunteți obiectul care deține resursa. Resursa este laptopul dvs.; persoana căreia i se împrumută laptopul este un obiect de încredere cu cont.

Tipuri de relații de încredere

Relațiile de încredere pot fi unilaterale sau bilaterale.

Încrederea unidirecțională înseamnă că, deși o entitate are încredere în alta, inversul nu este adevărat. De exemplu, dacă îi împrumuți lui Steve laptopul, asta nu înseamnă că Steve îți va împrumuta neapărat mașina lui.

În încrederea bidirecțională, ambele entități au încredere una în alta.

Relațiile de încredere pot fi tranzitive sau intranzitive. Dacă într-o încredere tranzitivă, obiectul A are încredere în obiectul B și obiectul B are încredere în obiectul C, atunci obiectul A are încredere și în obiectul B. De exemplu, dacă îi împrumuți lui Steve laptopul și Steve îi împrumută mașina lui Mary, îi poți da lui Mary. telefonul mobil pentru utilizare temporară.

Windows Server 2008 R2 acceptă o varietate de relații de încredere concepute pentru a fi utilizate în diferite situații.

Într-o pădure, toate domeniile au încredere unul în celălalt utilizând tranzitivul intern în două sensuri relație de încredere. Acest lucru înseamnă în esență că toate domeniile au încredere în toate celelalte domenii. Aceste relații de încredere se extind prin copacii pădurii. În plus față de aceste încrederi create automat, puteți configura încrederi suplimentare între domeniile pădurii, între această pădure și alte păduri și între această pădure și alte entități de securitate, cum ar fi tărâmurile sau domeniile Kerberos. sistem de operare Microsoft Windows NT® 4.0. Următorul tabel oferă informații suplimentare.

2. Implementarea Serviciilor de Domeniu Active Directory

Pentru a implementa Active Directory Domain Services, trebuie să implementați controlere de domeniu. Pentru a optimiza serviciile de domeniu Active Directory, este important să înțelegeți unde și cum să creați controlere de domeniu pentru a vă optimiza infrastructura de rețea.

2.1 Ce este un controler de domeniu?

Un domeniu este creat atunci când promovați un computer server Windows Server 2008 R2 către controlerul de domeniu. Controlerele de domeniu conțin servicii de domeniu Active Directory.

Controlerele de domeniu oferă următoarele funcții în rețea.

• Oferă autentificare. Controloarele de domeniu conțin o bază de date de conturi de domeniu și oferă servicii de autentificare.
• Conține roluri de master operațiuni ca caracteristică opțională. Aceste roluri erau numite anterior roluri FSMO (Flexible Single Master Operations). Există cinci roluri de master operațiuni - două roluri la nivel de pădure și trei roluri la nivel de domeniu. Aceste roluri pot fi migrate conform cerințelor.
• Conține un catalog global ca caracteristică opțională. Orice controler de domeniu poate fi desemnat ca server de catalog global.

Nota. Directorul global este bază distribuită date care conțin o reprezentare care poate fi căutată a fiecărui obiect din toate domeniile dintr-o pădure cu mai multe domenii. Totuși, catalogul global nu conține toate atributele pentru fiecare obiect. În schimb, acceptă un subset de atribute care sunt cel mai probabil utile în căutările de domenii.

2.2 Ce este un controler de domeniu numai pentru citire?

Un controler de domeniu numai pentru citire este un nou tip de controler de domeniu în Windows Server 2008 R2. Prin utilizarea unui controler de domeniu numai pentru citire, organizațiile pot implementa cu ușurință un controler de domeniu în locații în care securitatea fizică nu poate fi garantată. Un RODC găzduiește o replică numai în citire a bazei de date Active Directory Domain Services pentru un domeniu dat. Un controler de domeniu numai pentru citire poate funcționa și ca server de catalog global.

Începând cu Windows Server 2008, o organizație poate implementa un controler de domeniu numai pentru citire în cazurile în care lățime de bandă canale retea globala sau insuficientă securitate fizică calculatoare. Drept urmare, utilizatorii aflați în această situație pot beneficia de:

• securitate sporită;
• Mai mult autentificare rapidăîn sistem;
• acces mai eficient la resursele rețelei.

Rolul unui controler de domeniu numai pentru citire este rezumat mai jos.

• Controlerul de domeniu care acționează ca master al operațiunilor emulatorului PDC pentru domeniu trebuie să ruleze sistemul de operare Windows Server 2008. Acest lucru este necesar pentru a crea un cont nou krbtgt pentru un controler de domeniu numai în citire, precum și pentru operațiunile în curs ale controlerului respectiv.
• RODC necesită ca cererile de autentificare să fie redirecționate către serverul de catalog global (sub Control Windows Server 2008), situat pe site-ul cel mai apropiat de site-ul cu acest controlor. O politică de replicare a parolei este setată pe acest controler de domeniu pentru a determina dacă acreditările sunt replicate în locația sucursalei pentru o solicitare redirecționată de la RODC.
• Pentru a face disponibilă delegarea constrânsă Kerberos, trebuie să setați nivelul funcțional al domeniului Windows Server 2003. Delegarea constrânsă este utilizată pentru apelurile de securitate care trebuie uzurpate în contextul apelantului.
• Pentru a vă asigura că este disponibilă replicarea valorii asociate, trebuie să setați nivelul funcțional al pădurii Windows Server 2003. Aceasta oferă mai multe nivel înalt compatibilitate de replicare.
• Trebuie să rulați adprep /rodcprep o dată în pădure. Acest lucru va actualiza permisiunile pentru toate partițiile directorului de aplicații DNS din pădure pentru a facilita replicarea între RODC-uri care sunt și servere DNS.
• Un RODC nu poate conține roluri de master operațiuni și nu poate acționa ca un server cap de pod de replicare.
• Un controler de domeniu numai pentru citire poate fi implementat în Sistem server Core pentru securitate sporită.

Un site este o reprezentare logică a unei zone geografice pe Internet. Un site reprezintă o limită de rețea de mare viteză pentru computerele Active Directory Domain Services, adică computerele care pot comunica la viteză mare și latență scăzută pot fi combinate într-un site; Controloarele de domeniu dintr-un site reproduc datele Active Directory Domain Services într-un mod optimizat pentru acel mediu; Această configurație de replicare este în mare parte automată.

Nota. Site-urile sunt folosite de computerele client pentru a găsi servicii precum controlere de domeniu și servere de catalog global. Este important ca fiecare site creat sa contina cel puţin un controler de domeniu și un server de catalog global.

2.4 Replicarea serviciilor de domeniu Active Directory

1. Replicarea Active Directory Domain Services este transferul modificărilor aduse datelor de director între controlerele de domeniu dintr-o pădure Active Directory Domain Services. Modelul de replicare Active Directory Domain Services definește mecanisme care permit trecerea automată a actualizărilor de director între controlerele de domeniu pentru a oferi o soluție de replicare fără probleme pentru serviciul de director distribuit Active Directory Domain Services.
2. Există trei partiții în Active Directory Domain Services. Partiția de domeniu conține datele modificate cel mai frecvent și, prin urmare, generează un flux mare de date de replicare a serviciilor de domeniu Active Directory.

Link-uri de site-uri Active Directory

1. Un link de site este utilizat pentru a gestiona replicarea între grupuri de site-uri. Puteți utiliza linkul implicit de site furnizat în AD DS sau puteți crea link-uri suplimentare de site după cum este necesar. Puteți configura setări pentru legăturile de site pentru a determina programarea și disponibilitatea căii de replicare pentru a face replicarea mai ușor de gestionat.
2. Când două site-uri sunt conectate printr-un link de site, sistemul de replicare creează automat conexiuni între controlori de domeniu specifici de la fiecare site, numite servere cap de pod.

2.5 Configurarea DNS pentru serviciile de domeniu Active Directory

Instalare DNS

AD DS necesită DNS. Rolul Server DNS nu este instalat implicit în Windows Server 2008 R2. Ca și alte funcționalități, această caracteristică este adăugată în funcție de rol atunci când serverul este configurat pentru a îndeplini un anumit rol.

Puteți instala rolul de server DNS utilizând linkul Adăugare rol din Server Manager. Rolul serverului DNS poate fi adăugat automat, de asemenea, utilizând Expertul de instalare a serviciilor de domeniu Active Directory (dcpromo.exe). Pagina Setări controler de domeniu din expert vă permite să adăugați rolul Server DNS.

Configurarea zonelor DNS

Odată ce serverul DNS este instalat, puteți începe să adăugați zone la server. Dacă serverul DNS este un controler de domeniu, puteți configura AD DS pentru a stoca informații despre zonă. Apoi va fi creată o zonă Active Directory integrată. Dacă această opțiune nu este selectată, datele de zonă vor fi stocate într-un fișier, mai degrabă decât în ​​AD DS.

Actualizări dinamice

Când creați o zonă, vi se va cere și să specificați dacă actualizarea dinamică ar trebui să fie acceptată. Actualizarea dinamică reduce eforturile de gestionare a zonei, deoarece clienții își pot adăuga, șterge și actualiza propriile înregistrări de resurse.

Actualizarea dinamică permite posibilitatea de a modifica o înregistrare a resursei. De exemplu, un computer ar putea să înregistreze o intrare numită „www” și să redirecționeze traficul de pe site-ul dvs. la adresa greșită.

Pentru a elimina posibilitatea de contrafacere, serviciul Servere DNS Windows Server 2008 R2 acceptă actualizări dinamice securizate. Clientul trebuie să fie autentificat înainte de a actualiza înregistrările de resurse, astfel încât serverul DNS să știe dacă clientul este computerul căruia îi este permis să actualizeze înregistrările de resurse.

Transferuri de zonă DNS

O întreprindere ar trebui să se străduiască să se asigure că o zonă poate fi aplicată de cel puțin două servere DNS.

Dacă zona este integrată în Active Directory Domain Services, este suficient adăugați rolul serverului DNS la alt controler de domeniu din același domeniu, unde se află primul server DNS. Zonele Active Directory integrate și replicarea zonei DNS folosind AD DS sunt tratate în lecția următoare.

Dacă zona nu este integrată AD DS, trebuie să adăugați un alt server DNS și să îl configurați pentru a găzdui zona suplimentară. Rețineți că zona secundară este o copie numai în citire a zonei principale.

Postări de SRV

Înregistrarea resurselor de localizare a serviciului (SRV) rezolvă cererea pentru serviciu de rețea, permițând unui client să găsească un nod care oferă un anumit serviciu.

• Când un controler de domeniu trebuie să reproducă modificările de la parteneri.
• Când un computer client trebuie să se autentifice la AD DS.
• Când un utilizator își schimbă parola.
• Când server Microsoft Exchange efectuează o căutare în director.
• Când un administrator deschide Active Directory Users and Computers.

Înregistrările SRV folosesc următoarea sintaxă.

protocol.service.name durata de viață tip clasa prioritate greutate port target_node

Un exemplu de înregistrare SRV este prezentat mai jos.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

O înregistrare constă din următoarele componente:

• Numele serviciului de protocol, cum ar fi serviciul LDAP, oferit de controlerul de domeniu.
• Durata de viață în secunde.
• Clasa (toate înregistrări DNS-Serverele Windows vor avea valoarea „IN” sau „INternet”).
• Tip: SRV;
• Valori de prioritate și greutate care ajută clienții să determine nodul preferat.
• Portul pe care este oferit serviciul de către server. Pe un controler de domeniu Windows pentru LDAP port standard - 389.
• Țintă sau gazdă de serviciu, care în acest caz este un controler de domeniu numit hqdc01.contoso.com.

Când un proces client caută un controler de domeniu, poate interoga serviciul LDAP de la DNS. Solicitarea returnează atât o înregistrare SRV, cât și o înregistrare A pentru unul sau mai multe servere care furnizează serviciul solicitat.

Am avut nevoie să implementez serviciul Active Directory în locații separate geografic, ale căror rețele sunt conectate folosind vpn. La prima vedere, sarcina pare simplă, dar personal, nu m-am ocupat de astfel de lucruri înainte și, printr-o căutare rapidă, nu am putut găsi nicio imagine sau un plan de acțiune în acest caz. A trebuit să colectez informații din diferite surse și să-mi dau seama singur setările.

Din acest articol veți învăța:

Planificarea instalării Active Directory pe diferite subrețele

Deci avem două subrețele 10.1.3.0/24 Şi 10.1.4.0/24 , fiecare dintre acestea având un anumit număr de computere și o partajare de rețea. Trebuie să combinăm toate acestea într-un singur domeniu. Rețelele sunt conectate între ele printr-un tunel VPN, computerele pun ping unul pe celălalt în ambele direcții, probleme cu acces la rețea Nu.

Pentru funcționare normală Vom instala serviciile Active Directory pe un controler de domeniu din fiecare subrețea și vom configura replicarea între ele. Vom folosi Windows Server 2012R2. Secvența acțiunilor este următoarea:

• Instalăm un controler de domeniu într-o subrețea, ridicăm un nou domeniu pe el într-o pădure nouă
• Instalați un controler de domeniu în a doua subrețea și adăugați-l la domeniu
• Configurarea replicării între domenii

Va fi apelat primul controler de domeniu xs-winsrv cu adresa 10.1.3.4 , al doilea - xm-winsrv 10.1.4.6. Domeniul pe care îl vom crea va fi numit xs.local

Configurarea controlerelor de domeniu pentru a funcționa pe diferite subrețele

Mai întâi de toate, instalați un controler de domeniu în noua pădure de pe primul server xs-winsrv. Nu mă voi opri asupra acestui subiect în detaliu, există multe tutoriale și instrucțiuni pe acest subiect. Facem totul ca standard, instalăm AD, DHCP și Servicii DNS. Specificăm adresa IP locală ca prim server DNS și ca al doilea 127.0.0.1 :

Apoi, instalăm Windows Server 2012R2 pe al doilea server xm-winsrv. Acum hai să facem ceva pași importanți, fără de care nu va fi posibilă adăugarea unui al doilea server la domeniu. Ambele servere trebuie să pună ping unul altuia după nume. Pentru a face acest lucru, adăugați înregistrări unul despre celălalt în fișierele C:\Windows\System32\drivers\etc\host.

ÎN xs-winsrv adauga linia:

10.1.4.6 xm-winsrv

ÎN xm-winsrv adăuga:

10.1.3.4 xs-winsrv

Acum al doilea punct important. Pe server xm-winsrv Specificăm primul controler de domeniu 10.1.3.4 ca prim server DNS:

Acum ambele servere se rezolvă reciproc. Să verificăm mai întâi acest lucru pe server xm-winsrv, pe care îl vom adăuga la domeniu:

După aceasta serverul xs-winsrv trebuie transferat de pe site Implicit-First-Site-Nume la noul site web creat pentru el. Acum sunteți gata să adăugați un al doilea server la domeniu.

Adăugarea unui al doilea controler de domeniu dintr-o subrețea diferită

Mergem la al doilea server xm-winsrv, rulăm Expertul Add Roles și adăugăm 3 roluri în același mod ca pe primul server - AD, DNS, DHCP. Când pornește Expertul de configurare a serviciilor de domeniu Active Directory, selectați primul element de acolo - Adăugați un controler de domeniu la domeniul existent , indicați domeniul nostru xs.local:

Pe pasul următor in parametrii controlerului de domeniu specificam numele site-ului la care vom atasa controlerul:

Permiteți-mi să vă reamintesc că acesta trebuie să fie un site la care este atașată subrețeaua 10.1.4.0/24. Primul și al doilea controler ajung în site-uri diferite. Nu uitați să bifați caseta Catalog global (GC). Apoi lăsăm toate setările implicite.

După repornirea serverului, acesta va fi în domeniu xs.local. Conectați-vă sub administrator local nu va funcționa, trebuie să utilizați un domeniu cont. Să mergem și să verificăm dacă a avut loc replicarea cu controlerul de domeniu principal și dacă înregistrările DNS au fost sincronizate. Toate acestea au mers bine pentru mine al doilea controler de domeniu a luat toți utilizatorii și înregistrările DNS din primul. Pe ambele servere, în snap-in-ul Active-Directory - Site-uri și servicii, ambele controlere sunt afișate, fiecare în propriul site:

Asta e tot. Puteți adăuga computere în ambele birouri la domeniu.

Voi adăuga încă un punct important pentru cei care vor configura toate acestea pe mașinile virtuale. Este necesar să dezactivați sincronizarea timpului cu hypervisorul pe sistemele oaspeți. Dacă acest lucru nu se face, atunci la un moment dat controlorii de domeniu se pot îmbolnăvi.

Sper că am făcut totul bine. Nu am cunoștințe aprofundate despre replicarea Active Directory. Dacă cineva are comentarii cu privire la conținutul articolului, scrie despre el în comentarii. Am adunat toate informațiile în principal de pe forumuri unde s-au pus întrebări sau s-au rezolvat probleme pe subiecte similare de funcționare a domeniului în diferite subrețele.

Curs online „Administrator Linux”