Controlerele de domeniu sunt servere care suportă operațiunea Director activ. Fiecare controler de domeniu are propria copie a bazei de date Date active Director care poate fi scris. Controloarele de domeniu acționează ca componentă centrală de securitate într-un domeniu.

Toate operațiunile de securitate și de verificare a contului sunt efectuate pe controlerul de domeniu. Fiecare domeniu trebuie să aibă cel puțin un controler de domeniu. Pentru toleranța la erori, vă recomandăm să instalați cel puțin două controlere de domeniu pe domeniu.

În sistemul de operare Windows NT, un singur controler de domeniu accepta scrierea în baza de date, adică era necesară o conexiune la un controler de domeniu pentru a crea și modifica setările contului de utilizator.

Acest controler este numit controler de domeniu primar (controller de domeniu primar - PDC). Incepand din sala de operatie sisteme Windows 2000, arhitectura controlerelor de domeniu a fost modificată pentru a permite actualizarea bazei de date Active Directory pe orice controler de domeniu. După actualizarea bazei de date pe un controler de domeniu, modificările au fost replicate tuturor celorlalte controlere de domeniu.

Deși toate controlerele de domeniu acceptă scrierea în baza de date, acestea nu sunt identice. În domeniile și pădurile Active Directory, există sarcini care sunt efectuate de controlori de domeniu specifici. Controlerele de domeniu cu responsabilități suplimentare sunt cunoscute ca maeștri de operațiuni. Unele materiale Microsoft se referă la aceste sisteme ca Operațiuni flexibile cu un singur master (FSMO). Mulți oameni cred că termenul FSMO a fost folosit atât de mult timp doar pentru că abrevierea sună foarte amuzant.

Există cinci roluri de maestru de operațiuni. În mod implicit, toate cele cinci roluri sunt atribuite primului controler de domeniu dintr-o pădure Active Directory. Cele trei roluri de master operațiuni sunt utilizate la nivel de domeniu și sunt atribuite primului controler de domeniu din domeniul creat. Utilități active Director, discutat în continuare, vă permite să transferați roluri de master operațiuni de la un controler de domeniu la un alt controler de domeniu. În plus, puteți forța controlerul de domeniu să-și asume un anumit rol de maestru al operațiunii.

Există două roluri de maestru de operațiuni care operează la nivel de pădure.

• Maestru de nume de domeniu- Acești maeștri de operațiuni trebuie contactați de fiecare dată când se fac modificări de denumire în ierarhia domeniului pădurii. Sarcina maestrului de numire a domeniilor este să se asigure că numele de domenii sunt unice în pădure. Acest rol de master operațiuni trebuie să fie disponibil la crearea de noi domenii, la ștergerea de domenii sau la redenumirea domeniilor
• Schema master- Rolul de master schema aparține singurului controler de domeniu din pădure în care se pot face modificări de schemă. Odată ce modificările sunt făcute, acestea sunt replicate tuturor celorlalte controlere de domeniu din pădure. Ca exemplu al necesității de a face modificări la circuit, luați în considerare instalarea produs software Microsoft Exchange Server. Aceasta modifică schema pentru a permite unui administrator să gestioneze atât conturile de utilizator, cât și cutiile poștale în același timp.

Fiecare dintre rolurile la nivel de pădure poate aparține unui singur controler de domeniu din pădure. Adică, puteți utiliza un controler ca master de denumire a domeniului și un al doilea controler ca master al schemei. În plus, ambele roluri pot fi atribuite aceluiași controler de domeniu. Această distribuție a rolurilor este utilizată în mod implicit.

Fiecare domeniu din pădure are un controler de domeniu care îndeplinește fiecare dintre rolurile la nivel de domeniu.

• Master ID relativ (master RID)- Maestrul identificatorilor relativi este responsabil pentru atribuirea identificatorilor relativi. Identificatorii relativi sunt partea unică a unui identificator de securitate (ID de securitate - SID) care este utilizat pentru a identifica un obiect de securitate (utilizator, computer, grup etc.) în cadrul unui domeniu. Una dintre sarcinile principale ale unui master de identificare relativă este de a elimina un obiect dintr-un domeniu și de a adăuga un obiect la alt domeniu atunci când mută obiecte între domenii.
• Maestru de infrastructură- Sarcina maestrului infrastructurii este de a sincroniza apartenența la grup. Când se fac modificări la apartenența la grup, maestrul infrastructurii comunică modificările tuturor celorlalți controlori de domeniu.
• Emulator de controler de domeniu primar (Emulator PDC)- acest rol este folosit pentru a emula controlerul primar domeniul Windows NT 4 pentru a suporta controlerele de domeniu de rezervă Windows NT 4. Un alt scop al emulatorului de controler de domeniu principal este acela de a oferi un punct central de administrare pentru modificările parolei utilizatorului și politicile de blocare a utilizatorilor.

Cuvântul „politici” este folosit destul de des în această secțiune pentru a se referi la obiectele de politică de grup (GPO). Obiectele de politică de grup sunt unul dintre principalele utile Caracteristici active Director și sunt discutate în articolul corespunzător, link-ul către care este furnizat mai jos.

UPD: Am creat un canal video pe youtube unde postez treptat videoclipuri de antrenament în toate domeniile IT pe care le cunosc bine, abonați-vă: http://www.youtube.com/user/itsemaev

UPD2: Microsoft schimbă în mod tradițional sintaxa obișnuită în Linie de comanda, deci rolurile din fiecare versiune Windows Server poate suna diferit. Nu se mai numesc deloc fsmo, ci maeștri de operațiuni. Deci, pentru comenzile corecte din consolă după întreținerea fsmo, scrieți pur și simplu? și vă va afișa comenzile disponibile.

Am o revistă din aprilie" Administrator de sistem" a luat un articol pe tema "Înlocuirea fără durere a unui controler de domeniu învechit sau eșuat cu Baza Windows Server"

Și chiar au plătit o sută de dolari și mi-au dat un pachet cu creier)) Acum sunt Onotole.

Înlocuire fără probleme pentru un controler de domeniu Windows Server învechit sau eșuat.(cine are nevoie brusc - trimite poze)

Dacă controlerul dvs. de domeniu nu este în funcțiune sau este complet depășit și trebuie înlocuit - nu vă grăbiți să vă petreceți weekendul următor creând un domeniu nou pe un nou server și transferând cu grijă mașinile utilizatorului pe acesta. Gestionarea corectă a unui controler de domeniu de rezervă vă va ajuta să înlocuiți rapid și fără durere serverul anterior.

Aproape fiecare administrator care lucrează cu servere bazate pe Windows, mai devreme sau mai târziu, se confruntă cu nevoia de a înlocui un controler de domeniu principal complet învechit, a cărui actualizare ulterioară nu mai are sens, cu un control nou și mai adecvat. cerințe moderne. Există situații și mai grave - controlerul de domeniu devine pur și simplu inutilizabil din cauza defecțiunilor la nivel fizic, iar copiile de siguranță și imaginile sunt depășite sau pierdute
În principiu, o descriere a procedurii de înlocuire a unui controler de domeniu cu altul poate fi găsită pe diverse forumuri, dar informațiile sunt date fragmentare și, de regulă, sunt aplicabile doar unei situații specifice, dar nu oferă o soluție reală. . În plus, chiar și după ce ați citit o mulțime de forumuri, baze de cunoștințe și alte resurse pe Limba engleză- Am reușit să efectuez cu competență procedura de înlocuire a unui controler de domeniu fără erori doar din a treia sau a patra oară.
Așa că vreau să aduc instrucțiuni pas cu pasînlocuirea unui controler de domeniu, indiferent dacă acesta este operațional sau nu. Singura diferență este că, cu un controler „căzut”, acest articol vă va ajuta doar dacă ați avut grijă în avans și ați implementat un controler de domeniu de rezervă.

Pregătirea serverelor pentru promovare/retrogradare

Însăși procedura de creare a unui controler de domeniu de rezervă este elementară - pur și simplu rulăm vrăjitorul dcpromo pe orice server de rețea. Folosind expertul dcpromo, creăm un controler de domeniu într-un domeniu existent. Ca urmare a manipulărilor efectuate, obținem un serviciu de director AD implementat pe serverul nostru suplimentar (îl voi numi pserver, iar controlerul principal va fi dcserver).
În plus, dacă dcpromo nu l-a oferit el însuși, începem instalarea servere DNS. Nu trebuie să modificați nicio setare, nici nu trebuie să creați o zonă - este stocată în AD și toate înregistrările sunt replicate automat pe controlerul de rezervă. Atenție - zona principală din DNS va apărea numai după replicare, pentru a accelera, serverul poate fi repornit. În setările TCP/IP card de retea controler de domeniu de rezervă, adresa serverului DNS primar trebuie setată la adresa IP a controlerului de domeniu principal.
Acum puteți verifica cu ușurință starea pserver-ului controlerului de domeniu standby. Putem crea un utilizator de domeniu atât pe controlerul de domeniu principal, cât și pe cel de rezervă. Imediat după creare, apare pe serverul duplicat, dar timp de aproximativ un minut (în timp ce are loc replicarea) este afișat ca dezactivat, după care începe să fie afișat la fel pe ambele controlere.
La prima vedere, toți pașii pentru a crea o schemă de lucru pentru interacțiunea mai multor controlere de domeniu au fost finalizați, iar acum, în cazul unei defecțiuni a controlerului de domeniu „primar”, controlerele „de rezervă” își vor îndeplini automat funcțiile. . Cu toate acestea, în timp ce diferența dintre controlerele de domeniu „primare” și „de rezervă” este pur nominală, controlerul de domeniu „primar” are o serie de caracteristici (roluri FSMO) care ar trebui să fie reținute. Astfel, operațiunile de mai sus pentru funcționarea normală a serviciului de directoare în cazul unei defecțiuni a controlerului de domeniu „primar” nu sunt suficiente, iar acțiunile care trebuie întreprinse pentru a transfera/se ocupa în mod corespunzător rolul controlerului de domeniu primar vor fi descris mai jos.

Un pic de teorie

Trebuie să știi ce controlere Domeniu activ Directorul îndeplinește mai multe tipuri de roluri. Aceste roluri se numesc FSMO (Flexible single-master operations):
- Schema Master(Schema master) - rolul este responsabil pentru capacitatea de a schimba schema - de exemplu, implementarea unui server Exchange sau server ISA. Dacă proprietarul rolului nu este disponibil, nu veți putea modifica schema unui domeniu existent;
- Domain Naming Master - Acest rol este necesar dacă domeniul dumneavoastră are mai multe domenii sau subdomenii. Fără acesta, nu va fi posibilă crearea și ștergerea de domenii într-o singură pădure de domeniu;
- Relative ID Master (Master of relative identifiers) - este responsabil de crearea unui ID unic pentru fiecare obiect AD;
- Primary Domain Controller Emulator (Primary Domain Controller Emulator) - el este responsabil pentru lucrul cu conturile de utilizator și cu politica de securitate. Lipsa comunicării cu acesta vă permite să intrați în stațiile de lucru cu vechea parolă, care nu poate fi schimbată dacă controlerul de domeniu a „căzut”;
- Infrastructure Master (Infrastructure Master) - rolul este responsabil pentru transferul de informații despre obiectele AD către alți controlori de domeniu din întreaga pădure.
Aceste roluri sunt scrise în detaliu în multe baze de cunoștințe, dar rolul principal este aproape întotdeauna uitat - acesta este rolul Catalogului Global (Catalog Global). De fapt, acest director pur și simplu pornește serviciul LDAP pe portul 3268, dar inaccesibilitatea lui va împiedica utilizatorii de domeniu să se conecteze. În mod remarcabil, toți controlorii de domeniu pot avea rolul de catalog global în același timp.

De fapt, putem concluziona – dacă aveți un domeniu primitiv pentru 30-50 de mașini, fără o infrastructură extinsă, care să nu includă subdomenii – atunci este posibil să nu observați lipsa de acces la proprietarul/proprietarii primelor două roluri. În plus, de mai multe ori am dat peste organizații care funcționează de mai bine de un an fără controler de domeniu, dar într-o infrastructură de domeniu. Adică, toate drepturile au fost distribuite cu mult timp în urmă, cu un controler de domeniu funcțional și nu trebuiau schimbate, utilizatorii nu și-au schimbat parolele și au lucrat în liniște.

Determinați proprietarii actuali de rol fsmo.

Precizez - dorim în mod competent să înlocuim controlerul de domeniu fără a-i pierde niciuna dintre capabilitățile. În cazul în care există doi sau mai mulți controlori în domeniu, trebuie să aflăm cine deține fiecare dintre rolurile fsmo. Acest lucru este destul de ușor de făcut folosind următoarele comenzi:

dsquery server -hasfsmo schema
server dsquery - nume hasfsmo
server dsquery - hasfsmo rid
server dsquery - hasfsmo pdc
server dsquery - hasfsmo infr
server dsquery -forest -isgc

Fiecare dintre comenzi afișează informații despre cine deține rolul solicitat (Fig. 1). În cazul nostru, proprietarul tuturor rolurilor este controlerul de domeniu principal dcserver.

Transfer voluntar al rolurilor fsmo folosind consolele Active Directory.

Avem toate informațiile necesare pentru a transfera rolul de controler de domeniu primar. Să începem: mai întâi trebuie să ne asigurăm că contul nostru este membru al grupurilor „Administratori de domeniu”, „Administratori de schemă” și „Administratori de întreprindere”, apoi treceți la metoda traditionala fsmo role transfer - gestionarea domeniului prin consolele Active Directory.

Pentru a transfera rolul „maestru de denumire a domeniului”, parcurgeți următorii pași:
- deschideți „Active Directory Domains and Trust” pe controlerul de domeniu de la care dorim să transferăm rolul. Dacă lucrăm cu AD pe controlerul de domeniu către care dorim să transferăm rolul, atunci sărim peste următorul articol;
- click Click dreapta Faceți clic pe pictograma Active Directory - Domains and Trusts și selectați Conectare la un controler de domeniu. Selectăm controlerul de domeniu căruia dorim să transferăm rolul;
- faceți clic dreapta pe componenta Active Directory - domenii și trusturi și selectați comanda Operations Masters;
- în caseta de dialog Change Operations Master, faceți clic pe butonul Change (Fig. 2).
- după un răspuns afirmativ la cererea pop-up, obținem un rol transferat cu succes.

În mod similar, utilizând consola Active Directory Users and Computers, puteți transfera rolurile RID Master, PDC și Infrastructure Master.

Pentru a transfera rolul „master schema”, trebuie mai întâi să înregistrați biblioteca de gestionare a schemelor Active Directory în sistem:

După ce toate rolurile au fost transferate, rămâne să ne ocupăm de opțiunea rămasă - custodele catalogului global. Intrăm în Active Directory: „Site și servicii”, site-ul implicit, servere, găsim controlerul de domeniu care a devenit cel principal, iar în proprietățile setărilor sale NTDS, bifați caseta de lângă catalogul global. (Fig. 3)

Concluzie - am schimbat proprietarii rolurilor pentru domeniul nostru. Cine trebuie să scape în sfârșit de vechiul controler de domeniu - îl coborâm la un server membru. Cu toate acestea, simplitatea acțiunilor întreprinse este compensată de faptul că implementarea lor într-o serie de situații este imposibilă, sau se încheie într-o eroare. În aceste cazuri, ntdsutil.exe ne va ajuta.

Transfer voluntar al rolurilor fsmo folosind console ntdsutil.exe.

În cazul în care transferul rolurilor fsmo folosind consolele AD eșuează, Microsoft a creat un utilitar foarte la îndemână - ntdsutil.exe - un program de întreținere Director activ Director. Acest instrument vă permite să efectuați acțiuni extrem de utile - până la restaurarea întregii baze de date AD dintr-o copie de rezervă pe care acest utilitar a creat-o în timpul ultimei modificări în AD. Toate caracteristicile sale pot fi găsite în baza de cunoștințe Microsoft (ID articol: 255504). LA acest caz vorbim despre faptul că utilitarul ntdsutil.exe vă permite atât să transferați roluri, cât și să le „selectați”.
Dacă dorim să transferăm un rol de la un controler de domeniu „primar” existent la unul „de rezervă”, ne conectăm în sistem pe controlerul „primar” și începem să transferăm roluri (comandă de transfer).
Dacă dintr-un motiv oarecare nu avem un controler de domeniu principal sau nu ne putem conecta cu un cont administrativ, ne conectăm la controlerul de domeniu de rezervă și începem să „selectăm” roluri (comanda seize).

Deci primul caz - controlerul de domeniu principal există și funcționează normal. Apoi mergem la controlerul de domeniu principal și tastam următoarele comenzi:

ntdsutil.exe
roluri
conexiuni
conectați-vă la server server_name (cel căruia vrem să-i acordăm rolul)
q

Dacă apar erori, trebuie să verificați conexiunea cu controlerul de domeniu la care încercăm să ne conectăm. Dacă nu există erori, atunci ne-am conectat cu succes la controlerul de domeniu specificat cu drepturile utilizatorului în numele căruia introducem comenzi.
O listă completă de comenzi este disponibilă după ce ați interogat întreținerea fsmo cu semnul standard? . Este timpul să predăm rolurile. Imediat, fără ezitare, am decis să transfer rolurile în ordinea în care sunt specificate în instrucțiunile pentru ntdsutil și am ajuns la concluzia că nu pot transfera rolul de maestru al infrastructurii. Mie, ca răspuns la o solicitare de transfer al unui rol, mi-a fost returnată o eroare: „este imposibil să contactez proprietarul actual al rolului fsmo”. Am căutat mult timp informații pe net și am constatat că majoritatea oamenilor care ajung la etapa transferului de roluri se confruntă cu această eroare. Unii dintre ei încearcă să preia acest rol cu ​​forța (nu iese), alții lasă totul așa cum este - și trăiesc fericiți fără acest rol.
Am aflat prin încercări și erori că atunci când transferam rolurile către ordine dată parcurgerea corectă a tuturor pașilor este garantată:
- proprietar de identificatori;
- proprietarul schemei;
- proprietarul denumirii;
- proprietarul infrastructurii;
- controlor de domeniu;

După conectarea cu succes la server, primim o invitație la managementul rolurilor (fsmo maintenance) și putem începe să transferăm roluri:
- transfer de nume de domeniu master
- master infrastructura de transfer
- transfer rid master
- master schema de transfer
- transfer pdc master

După executarea fiecărei comenzi, ar trebui să apară o solicitare care ne întreabă dacă vrem cu adevărat să transferăm rolul specificat pe serverul specificat. Rezultatul executării cu succes a comenzii este prezentat în Figura 4.

Rolul deținătorului global de catalog este transferat în modul descris în secțiunea anterioară.

Atribuirea forțată a rolurilor fsmo folosind ntdsutil.exe.

Al doilea caz - vrem să atribuim rolul de principal controlerului nostru de domeniu de rezervă. În acest caz, nimic nu se schimbă - singura diferenta prin aceea că efectuăm toate operațiunile folosind comanda seize, dar deja pe serverul căruia dorim să transferăm roluri pentru atribuirea unui rol.

seize master de nume de domeniu
pune mâna pe comandantul infrastructurii
apuca scapa maestru
seize schema master
apuca pdc

Vă rugăm să rețineți că, dacă ați luat un rol de la un controler de domeniu care nu este în acest moment, atunci când apare în rețea, controlerele vor începe să intre în conflict și nu puteți evita problemele în funcționarea domeniului.

Lucrați la greșeli.

Cel mai important lucru care nu trebuie uitat este că noul controler de domeniu primar nu va repara singur setările TCP / IP: acum este de dorit ca acesta să specifice 127.0.
În același timp, dacă aveți un server DHCP în rețea, atunci trebuie să îl forțați să emită ip-ul noului server cu adresa serverului DNS primar, dacă nu există DHCP, treceți prin toate mașinile și înregistrați manual acest DNS primar pentru ei. Alternativ, puteți atribui același ip noului controler de domeniu ca și cel vechi.

Acum trebuie să verificați cum funcționează totul și să scăpați de principalele erori. Pentru a face acest lucru, vă propun să ștergeți toate evenimentele de pe ambele controlere, salvând jurnalele într-un folder cu alții copii de rezervăși reporniți toate serverele.
După ce le-am activat, analizăm cu atenție toate jurnalele de evenimente pentru apariția avertismentelor și erorilor.

Cel mai frecvent avertisment după transferul rolurilor către fsmo este mesajul că „msdtc nu poate gestiona corect promovarea/retrogradarea unui controler de domeniu care a avut loc”.
Remedierea este simplă: în meniul „Administrare” găsim „Servicii
componente". Acolo extindem „Servicii componente”, „Computer”, deschidem proprietățile secțiunii „Computerul meu”, căutăm acolo „MS DTC” și facem clic acolo „Setări de securitate”. Acolo permitem „Accesul la rețeaua DTC” și apăsăm OK. Serviciul va fi repornit și avertismentul va dispărea.

Un exemplu de eroare este un mesaj care afirmă că zona DNS principală nu poate fi încărcată sau serverul DNS nu vede controlerul de domeniu.
Puteți înțelege problemele de funcționare a domeniului folosind utilitarul (Fig. 5):

Puteți instala acest utilitar de pe discul original Windows 2003 din folderul /support/tools. Utilitarul vă permite să verificați starea de sănătate a tuturor serviciilor controlerului de domeniu, fiecare dintre etapele sale trebuie să se încheie cu cuvintele trecute cu succes. Dacă ați eșuat (cel mai adesea acestea sunt teste de conexiune sau de jurnal de sistem), atunci puteți încerca să remediați automat eroarea:

dcdiag /v /fix

Ca regulă generală, toate erorile legate de DNS ar trebui să dispară. Dacă nu, folosim utilitarul pentru a verifica starea tuturor serviciilor de rețea:

Si ea unealtă folositoare depanare:

netdiag /v /fix

Dacă după aceea rămân erori legate de DNS, cel mai simplu mod este să eliminați toate zonele din acesta și să le creați manual. Este destul de simplu - principalul lucru este să creați o zonă primară după numele de domeniu, stocată în Active Directory și replicată tuturor controlerelor de domeniu din rețea.
Mai multe informații despre Erori DNS dă o altă comandă:

dcdiag /test:dns

La sfârșitul lucrărilor efectuate, mi-a luat încă aproximativ 30 de minute să aflu motivul apariției unui număr de avertismente - mi-am dat seama de sincronizarea timpului, de arhivarea catalogului global și de alte lucruri pe care nu le-am pus mâna. pe înainte. Acum totul funcționează ca un ceasornic - cel mai important, nu uitați să aveți un controler de domeniu de așteptare dacă doriți să eliminați vechiul controler de domeniu din rețea.

O pădure în AD DS este cea mai mare nivelul superior ierarhii ale structurii logice. O pădure Active Directory reprezintă un singur director. Pădurea este o limită de securitate. Aceasta înseamnă că administratorii de pădure au control complet asupra accesului la informațiile stocate în pădure și accesul la controlerele de domeniu utilizate pentru implementarea pădurii.

Organizațiile implementează de obicei o singură pădure, cu excepția cazului în care există o nevoie specifică de mai multe păduri. De exemplu, dacă pentru părți diferite Deoarece o organizație trebuie să creeze zone administrative separate, trebuie create mai multe păduri pentru a reprezenta aceste zone.

La implementarea mai multor păduri într-o organizație, fiecare pădure, implicit, funcționează separat de alte păduri, ca și cum ar fi singura pădure din organizație.

Notă. Pentru a integra mai multe păduri, puteți crea relații de securitate între ele, care se numesc trusturi străine sau forestiere.

Operațiuni la nivel de pădure

Active Directory Domain Services este un serviciu de director multi-master. Aceasta înseamnă că majoritatea modificărilor de director pot fi făcute pe orice instanță de director care poate fi scrisă, adică pe orice controler de domeniu care poate fi scris. Cu toate acestea, unele modificări sunt exclusive. Aceasta înseamnă că acestea pot fi realizate numai pe un controler de domeniu specific din pădure sau domeniu, în funcție de modificarea specifică. Se spune că controlerele de domeniu pe care pot fi făcute aceste modificări exclusive conțin roluri de maestru de operațiuni. Există cinci roluri de master operațiuni, dintre care două sunt roluri la nivel de pădure și celelalte trei sunt roluri la nivel de domeniu.

Două roluri de maestru de operațiuni la nivel de pădure:

• Maestru de nume de domeniu. Sarcina maestrului de numire a domeniului este de a se asigura că există nume unice în întreaga pădure. Garantează că există un singur copac complet în întreaga pădure. Numele domeniului fiecare calculator.
• Proprietarul schemei. Schema master ține evidența schemei pădurii și acceptă modificări ale structurii de bază a pădurii.

Deoarece aceste roluri sunt roluri esențiale la nivel de pădure, ar trebui să existe un singur master de schemă și un singur master de denumire a domeniului în fiecare pădure.

Materiale suplimentare:

O schemă este o componentă a AD DS care definește toate obiectele și atributele pe care AD DS le utilizează pentru a stoca date.

AD DS stochează și preia informații din multe aplicații și servicii. Prin urmare, pentru a putea stoca și replica datele din aceste surse diferite, AD DS definește un standard pentru stocarea datelor într-un director. Având un standard de păstrare a datelor, AD DS poate prelua, actualiza și replica datele, menținând în același timp integritatea acestora.

Obiectele sunt folosite ca unități de stocare în AD DS. Toate obiectele sunt definite în schemă. De fiecare dată când directorul procesează date, directorul interogează schema pentru definiția obiectului corespunzătoare. Pe baza definiției obiectului din schemă, directorul creează obiectul și stochează datele.

Definițiile obiectelor determină tipurile de date pe care obiectele le pot stoca, precum și sintaxa datelor. Pe baza acestor informații, schema asigură că toate obiectele se potrivesc cu acestea definiții standard. Drept urmare, Active Directory Domain Services poate stoca, prelua și valida datele pe care le gestionează, indiferent de aplicația care este sursa inițială a datelor. Doar datele care au o definiție de obiect existentă în schemă pot fi stocate în director. Dacă doriți să stocați date de un tip nou, trebuie mai întâi să creați o nouă definiție de obiect în schema pentru acele date.

Schema din AD DS definește:

• obiecte utilizate pentru stocarea datelor în director;
• reguli care definesc ce tipuri de obiecte pot fi create, ce atribute trebuie definite la crearea unui obiect și care atribute sunt opționale;
• structura și conținutul directorului în sine.

Schema este un element de master unic Active Directory Domain Services. Aceasta înseamnă că modificările schemei trebuie făcute pe controlerul de domeniu care deține rolul de maestru al operațiunilor cu schema.

Schema este replicată între toate controlerele de domeniu din pădure. Orice modificare adusă schemei este replicată tuturor controlerelor de domeniu din pădure de la deținătorul rolului de maestru al operațiunilor de schemă, care este de obicei primul controler de domeniu din pădure.

Deoarece schema definește stocarea informațiilor și orice modificări aduse schemei afectează toți controlorii de domeniu, modificările schemei ar trebui făcute numai atunci când este necesar (prin coduri hard-coded). proces controlat) după ce se efectuează testarea astfel încât să nu existe un efect negativ asupra restului pădurii.

Deși nu puteți face modificări în schemă în mod direct, unele aplicații fac modificări schemei pentru a accepta funcții suplimentare. De exemplu, la instalare Microsoft Exchange Server 2010 într-o pădure AD DS, Setup extinde schema pentru a accepta noi tipuri de obiecte și atribute.

Material suplimentar:

1.3 Ce este un domeniu.

Un domeniu este o graniță administrativă. Toate domeniile au un cont de administrator care are autoritate administrativă completă pentru toate obiectele din domeniu. Deși un administrator poate delega administrarea obiectelor dintr-un domeniu, contul de administrator păstrează controlul administrativ deplin asupra tuturor obiectelor din domeniu.

LA versiuni timpurii Windows Server credea că domeniile au fost concepute pentru a oferi separare administrativă completă; într-adevăr, unul dintre motivele principale pentru alegerea unei topologii cu mai multe domenii a fost asigurarea unei astfel de separari. Cu toate acestea, în Active Domain Services Contabilitatea directorului intrare admin în domeniu rădăcină pădure are control administrativ deplin asupra tuturor obiectelor din pădure, ceea ce face ca această separare administrativă la nivel de domeniu invalidă.

Domeniul este granița de replicare. Serviciile de domeniu Active Directory sunt formate din trei elemente sau secțiuni, - sistem, secțiunea de configurareși partiție de domeniu. De obicei, doar partiția de domeniu se schimbă frecvent.

Secțiunea de domeniu conține obiecte care probabil ar trebui actualizate frecvent; astfel de obiecte sunt utilizatori, computere, grupuri și unități organizaționale. Prin urmare, replicarea AD DS constă în principal din actualizări ale obiectelor definite în partiția de domeniu. Numai controlorii de domeniu dintr-un anumit domeniu primesc actualizări ale partițiilor de domeniu de la alți controlori de domeniu. Partiționarea datelor permite organizațiilor să reproducă datele numai acolo unde este nevoie. Ca rezultat, catalogul se poate scala la nivel global printr-o rețea cu lățime de bandă limitată.

Domeniul este granița de autentificare. Fiecare cont de utilizator dintr-un domeniu poate fi autentificat de controlorii acelui domeniu. Domeniile forestiere au încredere unul în celălalt, astfel încât un utilizator dintr-un domeniu să poată accesa resursele aflate în alt domeniu.

Operațiuni la nivel de domeniu

Există trei roluri de master operațiuni în fiecare domeniu. Aceste roluri, atribuite inițial primului controler de domeniu din fiecare domeniu, sunt enumerate mai jos.

• Proprietarul identificatorului relativ (RID). Ori de câte ori un obiect este creat în Active Domain Services controler de director domeniul în care este creat acest obiect îi atribuie un unic un număr de identificare, numit un identificator de securitate (SID). Pentru a împiedica doi controlori de domeniu să aloce același SID la două obiecte diferite, masterul RID alocă blocuri SID fiecărui controler de domeniu din domeniu.
• Emulator PDC. Acest rol este cel mai important, deoarece pierderea lui temporară devine vizibilă mult mai repede decât pierderea oricărui alt rol de maestru de operațiuni. Este responsabil pentru o serie de funcții la nivel de domeniu, inclusiv:
• actualizați starea de blocare a contului;
• crearea și replicarea obiectelor Politica de grup unic proprietar;
• sincronizare de timp pentru domeniu.
• Proprietarul infrastructurii. Acest rol este responsabil pentru menținerea referințelor obiectelor pe mai multe domenii. De exemplu, atunci când un grup dintr-un domeniu include un membru dintr-un alt domeniu, comandantul infrastructurii este responsabil pentru menținerea integrității acelei legături.

Aceste trei roluri trebuie să fie unice în fiecare domeniu, astfel încât nu poate exista decât un master RID, un emulator primar de controler de domeniu (PDC) și un master de infrastructură în fiecare domeniu.

Materiale suplimentare:

Dacă AD DS conține mai multe domenii, trebuie să definiți relațiile dintre domenii. Dacă domeniile au o rădăcină comună și un spațiu de nume contiguu, ele fac parte din același arbore Active Directory. Arborele nu servește niciun scop administrativ. Cu alte cuvinte, nu există administrator de arbore pentru că există un administrator de pădure sau de domeniu. Arborele oferă o grupare ierarhică logică de domenii care au relații părinte-copil definite de numele lor. Arborele Active Directory se mapează la un spațiu de nume Domain Name Service (DNS).

Arborele Active Directory sunt creați pe baza relațiilor dintre domeniile pădurii. Nu există niciun motiv bun pentru care ar trebui sau nu ar trebui să creați mai mulți copaci într-o pădure. Cu toate acestea, rețineți că un singur arbore cu spațiul său de nume contiguu este mai ușor de gestionat și mai ușor de vizualizat de către utilizatori.

Dacă există mai multe spații de nume acceptate, luați în considerare utilizarea mai multor copaci în aceeași pădure. De exemplu, dacă organizația dvs. are mai multe departamente de producție diferite cu identificatori publici diferiți, puteți crea un arbore diferit pentru fiecare departament de producție. Rețineți că nu există o separare a administrației în acest scenariu, deoarece administratorul rădăcinii pădurii are în continuare control deplin asupra tuturor obiectelor din pădure, indiferent de arborele în care se află.

1.5 Diviziuni

Subdiviziune este un obiect container dintr-un domeniu care poate fi utilizat pentru a grupa utilizatori, grupuri, computere și alte obiecte. Există două motive pentru a crea diviziuni.

• Configurați obiectele conținute în OU. Puteți atribui GPO unei unități organizaționale și puteți aplica setările tuturor obiectelor din acea unitate organizațională.
• Delegarea controlului administrativ al obiectelor dintr-o unitate organizatorică. Puteți atribui drepturi de gestionare a OU, delegând astfel gestionarea OU unui utilizator sau unui grup non-administrator în Active Directory Domain Services.

Notă. O unitate organizațională este cel mai mic domeniu sau unitate căreia îi puteți atribui setări de politică de grup sau îi puteți delega drepturi administrative.

Diviziunile pot fi folosite pentru a reprezenta ierarhice structuri logice In organizatie. De exemplu, puteți crea divizii care reprezintă departamente dintr-o organizație, regiuni geografice din cadrul unei organizații și divizii care sunt o combinație de departamente și zone geografice. Apoi, puteți gestiona configurația și utiliza conturi de utilizator, grup și computer pe baza modelului de organizare creat de dvs.

Fiecare domeniu Active Directory Domain Services are set standard containere și OU care sunt create atunci când instalați Active Directory Domain Services. Aceste containere și diviziuni sunt enumerate mai jos.

• Containerul de domeniu care servește ca container rădăcină al ierarhiei.
• Container încorporat care conține conturi implicite de administrator de servicii.
• Containerul de utilizatori care este locația implicită pentru noile conturi de utilizator și grupuri create în domeniu.
• Containerul computerului care este locația implicită pentru noile conturi de computer care sunt create în domeniu.
• Unitatea organizatorică a controlerelor de domeniu, care este locația implicită pentru conturile de computer ale controlerului de domeniu.

1.6 Relații de încredere

O relație de încredere permite unei entități de securitate să aibă încredere în altă entitate de securitate în scopuri de autentificare. În sistemul de operare Windows Server 2008 R2, obiectul de securitate este domeniul Windows.

Scopul principal al unui trust este de a facilita accesul unui utilizator dintr-un domeniu la o resursă dintr-un alt domeniu, fără a fi necesar să mențină un cont de utilizator în ambele domenii.

În orice relație de încredere, există două părți implicate - entitatea de încredere și entitatea de încredere. O entitate de încredere este o entitate care deține o resursă, iar o entitate de încredere este o entitate cu un cont. De exemplu, dacă împrumuți cuiva un laptop, ai încredere în acea persoană. Sunteți obiectul care deține resursa. Resursa este laptopul dvs.; persoana căreia i se împrumută laptopul este un obiect de încredere cu cont.

Tipuri de relații de încredere

Relațiile de încredere pot fi unidirecționale sau bidirecționale.

Încrederea unidirecțională înseamnă că, deși o entitate are încredere în alta, inversul nu este adevărat. De exemplu, dacă îi împrumuți lui Steve laptopul tău, nu înseamnă că Steve îți va împrumuta neapărat mașina lui.

Într-o încredere bidirecțională, ambele entități au încredere una în alta.

Relațiile de încredere pot fi fie tranzitive, fie netranzitive. Dacă obiectul A are încredere în obiectul B în încredere tranzitivă și obiectul B are încredere în obiectul C, atunci obiectul A are încredere și în obiectul C. De exemplu, dacă îi împrumuți lui Steve laptopul și Steve îi împrumută mașina lui Mary, îi poți împrumuta lui Mary telefonul tău mobil.

Windows Server 2008 R2 acceptă o varietate de trusturi concepute pentru a fi utilizate într-o varietate de situații.

În aceeași pădure, toate domeniile au încredere unul în celălalt folosind tranzitivul intern în două sensuri relație de încredere. În esență, aceasta înseamnă că toate domeniile au încredere în toate celelalte domenii. Aceste relații de încredere se extind prin copacii pădurii. Pe lângă aceste încrederi generate automat, puteți configura încrederi suplimentare între domeniile pădurii, între această pădure și alte păduri și între această pădure și alte entități de securitate, cum ar fi tărâmurile sau domeniile Kerberos. sistem de operare Microsoft Windows NT® 4.0. Următorul tabel oferă informații suplimentare.

2. Implementarea Serviciilor de Domeniu Active Directory

Pentru a implementa Active Directory Domain Services, trebuie să implementați controlere de domeniu. Pentru a optimiza AD DS, este important să înțelegeți unde și cum să creați controlere de domeniu pentru a vă optimiza infrastructura de rețea.

2.1 Ce este un controler de domeniu?

Domeniul este creat atunci când computerul este promovat Windows server Server 2008 R2 către controlerul de domeniu. Controlerele de domeniu găzduiesc Servicii de domeniu Active Directory.

Controlerele de domeniu oferă următoarele funcții într-o rețea.

• Oferă autentificare. Controlorii de domeniu mențin o bază de date de conturi de domeniu și oferă servicii de autentificare.
• Conține roluri de master operațiuni ca caracteristică opțională. Aceste roluri erau cunoscute anterior ca roluri FSMO (Flexible Single Master Operations). Există cinci roluri de master operațiuni - două roluri la nivel de pădure și trei roluri la nivel de domeniu. Aceste roluri pot fi migrate după cum este necesar.
• Conține catalogul global ca o caracteristică opțională. Orice controler de domeniu poate fi desemnat ca server de catalog global.

Notă. Directorul global este bază distribuită date care conțin o reprezentare care poate fi căutată a fiecărui obiect din toate domeniile dintr-o pădure cu mai multe domenii. Totuși, catalogul global nu conține toate atributele pentru fiecare obiect. În schimb, menține un subset de atribute care sunt cel mai probabil să fie utile în căutările de domenii.

2.2 Ce este un RODC?

Controlerul de domeniu numai pentru citire este un nou tip de controler de domeniu în Windows Server 2008 R2. Prin utilizarea unui RODC, organizațiile pot implementa cu ușurință un controler de domeniu în locații în care securitatea fizică nu poate fi garantată. Un RODC găzduiește o replică a bazei de date numai în citire în AD DS pentru acel domeniu. Un RODC poate funcționa și ca server de catalog global.

Începând cu Windows Server 2008, o organizație poate implementa un RODC în cazurile limitate lățime de bandă canale retea globala sau insuficientă siguranță fizică calculatoare. Drept urmare, utilizatorii aflați în această situație pot beneficia de:

• securitate sporită;
• Mai mult intrare rapidăîn sistem;
• acces mai eficient la resursele rețelei.

Rolul unui RODC este rezumat mai jos.

• Controlerul de domeniu care acționează ca master al operațiunilor emulatorului PDC pentru domeniu trebuie să ruleze sistemul de operare Windows Server 2008. Acest lucru este necesar pentru a crea un cont nou krbtgt pentru un controler de domeniu numai pentru citire, precum și pentru operațiunile curente ale controlerului de domeniu respectiv.
• RODC necesită ca cererile de autentificare să fie redirecționate către serverul de catalog global (sub Control Windows Server 2008) situat pe site-ul cel mai apropiat de site-ul cu acest controler. O politică de replicare a parolei este setată pe acest controler de domeniu pentru a determina dacă acreditările sunt replicate la locația sucursalei pentru o solicitare redirecționată de la RODC.
• Pentru ca delegarea constrânsă Kerberos să fie disponibilă, nivelul funcțional al domeniului trebuie setat la Windows Server 2003. Delegarea constrânsă este utilizată pentru apelurile de securitate care trebuie uzurpate în contextul apelantului.
• Pentru ca valoarea asociată să fie replicată, nivelul funcțional al pădurii trebuie setat la Windows Server 2003. Acest lucru oferă mai multe nivel inalt compatibilitate cu replicare.
• Trebuie să rulați adprep /rodcprep o dată în pădure. Acest lucru va actualiza permisiunile pentru toate partițiile directorului de aplicații DNS din pădure pentru a facilita replicarea între RODC-uri care sunt și servere DNS.
• Un RODC nu poate deține roluri de master operațiuni și nu poate acționa ca un server cap de pod de replicare.
• Controlerul de domeniu numai pentru citire poate fi implementat în Sistem server Core pentru securitate sporită.

Un site este o reprezentare logică a unei zone geografice pe web. Un site reprezintă marginea unei rețele de mare viteză pentru computerele Active Directory Domain Services, adică computerele care pot comunica la viteză mare și latență scăzută pot fi combinate într-un site; Controloarele de domeniu dintr-un site reproduc datele AD DS într-o manieră care este optimizată pentru acel mediu. această configurație de replicare este în mare parte automată.

Notă. Site-urile sunt folosite de computerele client pentru a localiza servicii precum controlere de domeniu și servere de catalog global. Este important ca fiecare site pe care îl creați să conțină macar un controler de domeniu și un server de catalog global.

2.4 Replicarea AD DS

1. Replicarea AD DS este transferul modificărilor aduse datelor de director între controlerele de domeniu dintr-o pădure AD DS. Modelul de replicare AD DS definește mecanisme pentru a împinge automat actualizări de directoare între controlerele de domeniu pentru a oferi o soluție de replicare perfectă pentru serviciul de directoare distribuit AD DS.
2. Există trei secțiuni în Active Directory Domain Services. Partiția de domeniu conține datele modificate cel mai frecvent și, prin urmare, generează un flux mare de date de replicare AD DS.

Link-uri de site-uri Active Directory

1. Link-ul site-ului este folosit pentru a gestiona replicarea între grupuri de site-uri. Puteți utiliza linkul implicit de site furnizat în AD DS sau puteți crea link-uri suplimentare de site după cum este necesar. Puteți configura setări pentru legăturile de site pentru a determina programarea și disponibilitatea căii de replicare pentru o gestionare mai ușoară a replicării.
2. Când două site-uri sunt conectate printr-o legătură de site, sistemul de replicare creează automat conexiuni între controlori de domeniu specifici din fiecare site, numite servere cap de pod.

2.5 Configurarea DNS pentru serviciile de domeniu Active Directory

Setarea DNS

AD DS necesită DNS. Rolul de server DNS nu este instalat în Windows Server 2008 R2 în mod implicit. Ca și alte funcționalități, această caracteristică este adăugată în funcție de rol, unde serverul este configurat pentru a îndeplini un anumit rol.

Rolul de server DNS poate fi instalat folosind linkul „Adăugați rol” din Server Manager. Rolul de server DNS poate fi adăugat automat, de asemenea, utilizând Expertul de instalare a serviciilor de domeniu Active Directory (dcpromo.exe). Pagina Opțiuni controler de domeniu din expert vă permite să adăugați rolul Server DNS.

Configurarea zonelor DNS

După instalarea serverului DNS, puteți începe să adăugați zone la server. Dacă serverul DNS este un controler de domeniu, puteți configura AD DS pentru a stoca date de zonă. Apoi va fi creată o zonă Active Directory integrată. Dacă această opțiune nu este selectată, datele de zonă vor fi stocate în fișier, nu în AD DS.

Actualizări dinamice

Când creați zona, vi se va solicita și să specificați dacă actualizarea dinamică ar trebui să fie acceptată. Actualizarea dinamică reduce efortul de gestionare a zonei, deoarece clienții își pot adăuga, elimina și actualiza propriile înregistrări de resurse.

Actualizarea dinamică permite posibilitatea de a falsifica o înregistrare a resurselor. De exemplu, un computer ar putea să înregistreze o intrare numită „www” și să redirecționeze traficul de pe site-ul dvs. la adresa greșită.

Pentru a exclude posibilitatea de fals, serviciul Servere DNS Windows Server 2008 R2 acceptă actualizări dinamice securizate. Clientul trebuie să fie autentificat înainte de a actualiza înregistrările de resurse, astfel încât serverul DNS să știe dacă clientul este un computer căruia îi este permis să schimbe înregistrările de resurse.

Transferuri de zonă DNS

O întreprindere ar trebui să se străduiască să se asigure că o zonă poate fi aplicată de cel puțin două servere DNS.

Dacă zona este integrată în AD DS, atunci adăugați rolul serverului DNS la alt controler de domeniu din același domeniu unde se află primul server DNS. Zonele integrate Active Directory și replicarea zonei DNS cu AD DS sunt tratate în lecția următoare.

Dacă zona nu este federată AD DS, trebuie să adăugați un alt server DNS și să îl configurați pentru a găzdui zona suplimentară. Rețineți că zona secundară este o copie numai pentru citire a zonei primare.

înregistrări SRV

O înregistrare de resurse Service Locator (SRV) rezolvă o solicitare pentru serviciu de rețea, permițând clientului să găsească o gazdă care oferă un anumit serviciu.

• Când un controler de domeniu trebuie să reproducă modificările de la parteneri.
• Când un computer client trebuie să se autentifice cu AD DS.
• Când un utilizator își schimbă parola.
• Când server Microsoft Exchange caută în director.
• Când un administrator deschide snap-in-ul Utilizatori și computere Active Directory.

Înregistrările SRV utilizează următoarea sintaxă.

protocol.service.name lifetime_class tip prioritate greutate port_gazdă_țintă

Un exemplu de înregistrare SRV este prezentat mai jos.

ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Înregistrarea constă din următoarele componente:

• Numele serviciului de protocol, cum ar fi serviciul LDAP oferit de controlerul de domeniu.
• Durata de viață în secunde.
• clasa (toate înregistrări DNS-Serverele Windows vor fi „IN” sau „INternet”).
• Tip: SRV;
• Valori de prioritate și greutate care îi ajută pe clienți să determine ce nod preferă.
• Portul pe care este oferit serviciul de către server. Pe un controler de domeniu Windows pentru LDAP port standard - 389.
• Țintă sau gazdă de serviciu, care în acest caz este un controler de domeniu numit hqdc01.contoso.com.

Când un proces client caută un controler de domeniu, poate interoga serviciul LDAP de la DNS. Interogarea returnează atât o înregistrare SRV, cât și o înregistrare A pentru unul sau mai multe servere care furnizează serviciul solicitat.

Am avut nevoie să implementez serviciul Active Directory în locuri separate geografic, ale căror rețele sunt conectate folosind vpn. La prima vedere, sarcina pare simplă, dar personal nu m-am ocupat de astfel de lucruri înainte și, printr-o căutare superficială, nu am putut găsi nicio imagine sau un plan de acțiune în acest caz. A trebuit să colectez informații din diferite surse și să mă ocup eu de setări.

Din acest articol veți învăța:

Planifică să instalezi Active Directory pe diferite subrețele

Deci avem două subrețele 10.1.3.0/24 și 10.1.4.0/24 , fiecare dintre acestea având un anumit număr de computere și o partajare de rețea. Este necesar să unim toate acestea într-un singur domeniu. Rețelele sunt interconectate printr-un tunel vpn, computerele fac ping reciproc în ambele direcții, probleme cu acces la retea Nu.

Pentru operatie normala vom instala serviciile Active Directory pe fiecare subrețea de către un controler de domeniu și vom configura replicarea între ele. Vom folosi Windows Server 2012R2. Secvența acțiunilor este următoarea:

• Instalăm un controler de domeniu într-o subrețea, ridicăm un nou domeniu pe el într-o pădure nouă
• Instalați un controler de domeniu în a doua subrețea și adăugați-l la domeniu
• Configurați replicarea între domenii

Primul controler de domeniu va fi numit xs-winsrv cu adresa 10.1.3.4 , al doilea - xm-winsrv 10.1.4.6. Domeniul pe care îl vom crea va fi numit xs.local

Configurarea controlerelor de domeniu pentru a funcționa pe diferite subrețele

Mai întâi de toate, instalați un controler de domeniu în noua pădure de pe primul server xs-winsrv. Nu mă voi opri asupra acestui subiect în detaliu, există multe tutoriale și instrucțiuni pe acest subiect pe Internet. Facem totul ca standard, setăm AD, DHCP și Servicii DNS. Ca prim server DNS, specificați adresa IP locală, ca al doilea 127.0.0.1 :

Apoi, instalați Windows Server 2012R2 pe al doilea server xm-winsrv. Acum facem ceva pași importanți, fără de care nu va fi posibilă adăugarea unui al doilea server la domeniu. Ambele servere trebuie să pună ping unul altuia după nume. Pentru a face acest lucru, adăugați înregistrări unul despre celălalt în fișierele C:\Windows\System32\drivers\etc\host.

LA xs-winsrv adauga linia:

10.1.4.6 xm-winsrv

LA xm-winsrv adăuga:

10.1.3.4 xs-winsrv

Acum al doilea punct important. Pe server xm-winsrv specificați primul controler de domeniu 10.1.3.4 ca prim server DNS:

Acum ambele servere se rezolvă reciproc. Să verificăm mai întâi pe server xm-winsrv, pe care îl vom adăuga la domeniu:

După aceea serverul xs-winsrv trebuie transferat de pe site Implicit-First-Site-Nume către un nou site creat pentru el. Acum sunteți gata să adăugați al doilea server la domeniu.

Adăugarea unui al doilea controler de domeniu dintr-o subrețea diferită

Mergem la al doilea server xm-winsrv, lansăm Expertul Add Roles și adăugăm 3 roluri, la fel ca pe primul server - AD, DNS, DHCP. Când se lansează Expertul de configurare a serviciilor de domeniu Active Directory, selectați primul element de acolo - Adăugați un controler de domeniu la domeniul existent , specificați domeniul nostru xs.local:

Pe urmatorul pasîn parametrii controlerului de domeniu, specificați numele site-ului la care vom atașa controlerul:

Permiteți-mi să vă reamintesc că acesta ar trebui să fie un site la care este atașată subrețeaua 10.1.4.0/24. Primul și al doilea controler sunt în site-uri diferite. Nu uitați să bifați Catalog global (GC). Apoi lăsați toate setările ca implicite.

După repornirea serverului, acesta va fi în domeniu xs.local. Du-te sub administrator local nu va funcționa, trebuie să utilizați un domeniu cont. Intrăm, verificăm dacă replicarea cu controlerul de domeniu principal a trecut, dacă înregistrările DNS au fost sincronizate. Toate acestea au mers bine pentru mine, al doilea controler de domeniu a luat toți utilizatorii și înregistrările DNS din primul. Pe ambele servere, snap-in-ul Active-Directory - Site-uri și servicii afișează ambele controlere, fiecare pe propriul site:

Asta e tot. Puteți adăuga computere în ambele birouri la domeniu.

Voi adăuga încă un punct important pentru cei care vor configura toate acestea pe mașini virtuale. Este necesar să dezactivați sincronizarea timpului cu hypervisorul pe sistemele oaspeți. Dacă acest lucru nu se face, atunci la un moment dat controlorii de domeniu se pot îmbolnăvi.

Sper că am făcut totul bine. Nu am cunoștințe aprofundate în replicarea Active Directory. Dacă cineva are comentarii cu privire la conținutul articolului, scrieți despre el în comentarii. Am adunat toate informațiile în principal de pe forumuri unde au pus întrebări sau au rezolvat probleme pe subiecte similare ale domeniului în diferite subrețele.

Curs online „Administrator Linux”