Работа с active directory с. Установка и настройка контроллера домена Active Directory Domain

Записки IT спеца

В наших прошедших материалах мы разобрали общие вопросцы касающиеся служб каталогов и Active Directory. Сейчас пришла пора перебегать к практике. Но не торопитесь бежать к серверу, перед развертыванием доменной структуры в вашей сети нужно ее спланировать и иметь точное представление о назначении отдельных серверов и действиях взаимодействия меж ними.

Перед тем как создавать ваш 1-ый контроллер домена нужно определиться с режимом его работы. Режим работы описывает доступные способности и зависит от версии применяемой операционной системы. Мы не будем разглядывать все вероятные режимы, не считая тех которые имеют актуальность на текущий момент. Таковых режимов три: Windows Server 2003, 2008 и 2008 R2.

Режим Windows Server 2003 следует выбирать лишь тогда, когда в вашей инфраструктуре уже развернуты сервера на данной ОС и планируется употреблять один либо несколько таковых серверов в качестве контроллеров домена. В других вариантах необходимо выбирать режим Windows Server 2008 либо 2008 R2 в зависимости от купленных лицензий. Следует держать в голове, что режим работы домена можно постоянно повысить, а вот снизить уже не получится (разве что восстановив из резервной копии), потому подходите к данному вопросцу осмотрительно, с учетом вероятных расширений, лицензий в филиалах и т.д. и т.п.

Мы на данный момент не будем тщательно разглядывать сам процесс сотворения контроллера домена, к этому вопросцу мы вернемся позднее, а на данный момент желаем направить ваше внимание на то, что в настоящей структуре Active Directory контроллеров домена обязано быть не наименее двух. В неприятном случае вы подвергаете себя неоправданному риску, так как в случае отказа единственного контроллера домена ваша структура AD будет полностью уничтожена. Отлично ежели будет актуальная резервная копия и из нее получится восстановиться, в любом случае все это время ваша сеть будет вполне парализована.

Поэтому сходу же опосля сотворения первого контроллера домена необходимо развернуть 2-ой, вне зависимости от размеров сети и бюджета. 2-ой контроллер должен быть предусмотрен еще на стадии планирования и без него за развертывание AD даже не стоит браться. Также не стоит кооперировать роль контроллера домена с хоть какими другими серверными ролями, в целях обеспечения надежности операций с базой AD на диске отключается кэширование записи, что приводит к резкому падению производительности дисковой подсистемы (это разъясняет и долгую загрузку контроллеров домена).

В итоге наша сеть обязана принять последующий вид:

Вопреки всераспространенному мнению, все контроллеры в домене равнозначны, т.е. каждый контроллер содержит полную информацию о всех объектах домена и может обслужить клиентский запрос. Но это не означает, что контроллеры взаимозаменяемы, недопонимание этого момента часто приводит к отказам AD и простою сети компании. Почему так происходит? Самое время вспомнить про роли FSMO.

Когда мы создаем 1-ый контроллер, то он содержит все доступные роли, а также является глобальным каталогом, с возникновением второго контроллера ему передаются роли владельца инфраструктуры, владельца RID и эмулятора PDC. Что будет ежели админ решил временно вывести из строя сервер DC1, к примеру чтоб почистить от пыли? На 1-ый взор ничего ужасного, ну перейдет домен в режим “только чтение”, но работать то будет. Но мы запамятовали про глобальный каталог и ежели в вашей сети развернуты приложения требующие его наличия, к примеру Exchange, то вы узнаете о этом ранее, чем снимете крышку с сервера. Узнаете от недовольных юзеров, да и управление вряд ли придет в восторг.

Из чего же следует вывод: в лесу обязано быть не наименее 2-ух глобальных каталогов, а лучше всего по одному в каждом домене. Так как у нас домен в лесу один, то оба сервера должны быть глобальными каталогами, это дозволит для вас без особенных заморочек вывести хоть какой из серверов на профилактику, временное отсутствие каких или ролей FSMO не приводит к отказу AD, а только делает неосуществимым создание новейших объектов.

Как админ домена, вы должны верно знать каким образом роли FSMO распределены меж вашими серверами и при выводе сервера из эксплуатации на долгий срок передавать эти роли остальным серверам. А что будет ежели сервер содержащий роли FSMO необратимо выйдет из строя? Ничего ужасного, как мы уже писали, хоть какой контроллер домена содержит всю нужную информацию и ежели таковая проблема все же произошла, то необходимо будет выполнить захват нужных ролей одним из контроллеров, это дозволит вернуть всеполноценную работу службы каталогов.

Проходит время, ваша организация растет и у нее возникает филиал в другом конце городка и возникает необходимость включить их сеть в общую инфраструктуру компании. На 1-ый взор ничего сложного, вы настраиваете канал связи меж кабинетами и располагаете в нем доп контроллер. Все бы отлично, но есть одно но. Данный сервер вы контролировать не сможете, а следовательно не исключен несанкционированный доступ к нему, да и местный администратор вызывает у вас сомнения в его квалификации. Как быть в таковой ситуации? Для этих целей специально существует особенный тип контроллера: контроллер домена доступный лишь на чтение (RODC), данная функция доступна в режимах работы домена начиная с Windows Server 2008 и выше.

Читайте также  Подключено без интернета вай фай. Подключается к Wi-Fi, но нет интернета: самостоятельное решение

Контроллер домена доступный лишь для чтения содержит полную копию всех объектов домена и может быть глобальным каталогом, но не дозволяет вносить никаких конфигураций в структуру AD, также он дозволяет назначить хоть какого юзера локальным админом, что дозволит ему всеполноценно обслуживать данный сервер, но снова таки без доступа к службам AD. В нашем случае это то, что “доктор прописал”.

Настраиваем в филиале RODC, все работает, вы размеренны, но юзеры начинают жаловаться на длинный вход в систему и счета за трафик в конце месяца демонстрируют превышение. Что происходит? Самое время еще раз вспомнить про равнозначность контроллеров в домене, клиент может навести собственный запрос к хоть какому контроллеру домена, даже находящемуся в другом филиале. Примите во внимание медленный и, с большой вероятностью, загруженный канал связи – вот и причина задержек входа.

Следующий фактор, отравляющий нам жизнь в данной нам ситуации, это репликация. Как понятно, все конфигурации, изготовленные на одном из контроллеров домена, автоматом распространяются на остальные и именуется этот процесс репликацией, он дозволяет иметь на каждом контроллере актуальную и непротиворечивую копию данных. Служба репликации не знает о нашем филиале и медленном канале связи и потому все конфигурации в кабинете здесь же будут реплицироваться в филиал, загружая канал и увеличивая расход трафика.

Здесь мы вплотную подошли к понятию веб-сайтов AD, которые не следует путать с веб веб-сайтами. Сайты Active Directory представляют метод физического деления структуры службы каталогов на области отделенные от остальных областей медленными и/или нестабильными каналами связи. Веб-сайты создаются на базе субсетей и все клиентские запросы отправляются в первую очередь контроллерам собственного веб-сайта, также очень лучше иметь в каждом веб-сайте собственный глобальный каталог. В нашем случае будет нужно сделать два сайта: AD Site 1 для центрального кабинета и AD Site 2 для филиала, поточнее один, так как по умолчанию структура AD уже содержит веб-сайт, куда входят все ранее сделанные объекты. Сейчас разглядим как происходит репликация в сети с несколькими сайтами.

Будем считать, что наша организация мало подросла и основной кабинет содержит целых четыре контроллера домена, репликация меж контроллерами 1-го веб-сайта именуется внутрисайтовой и происходит мгновенно. Топология репликации строится по схеме кольца с условием, чтоб меж хоть какими контроллерами домена было не наиболее 3-х шагов репликации. Схема кольца сохраняется до 7 контроллеров включительно, каждый контроллер устанавливает связь с 2-мя наиблежайшими соседями, при большем числе контроллеров возникают доп связи и общее кольцо как бы преобразуется в группу наложенных друг на друга колец.

Межсайтовая репликация происходит по другому, в каждом домене автоматом выбирается один из серверов (сервер-плацдарм) который устанавливает связь с аналогичным сервером другого веб-сайта. Репликация по умолчанию происходит раз в 3 часа (180 минут), но мы можем установить собственное расписание репликации и для экономии трафика все данные передаются в сжатом виде. При наличии в веб-сайте лишь RODC репликация происходит однонаправленно.

Безусловно, затронутые нами темы очень глубоки и в данном материале мы лишь слегка их коснулись, но это тот нужный минимум познаний, который необходимо иметь перед практическим внедрением Active Directiry в инфраструктуру компании. Это дозволит избежать глуповатых ошибок при развертывании и авральных ситуаций при обслуживании и расширении структуры, а любая из поднятых тем еще будет дискуссироваться наиболее подробно.




Блог dоктора Dобрянского

Давно собирался написать несколько статей по работе с Active Directory. Не так давно в комментах попросили посодействовать с данным вопросцем и я решил что время пришло :))

Говорю сходу, особо глубочайших знаний в данной нам теме у меня нет, потому, ничего новейшего вы тут не увидите. Но для начинающих админов-виндузятников данная статья может послужить неплохим отправительным «пинком» для начала исследования данной системы каталогов.

Сам я издавна отошел от администрирования винды, но по долгу службы (а занимаюсь я в основном виртуализацией) приходится нередко настраивать много всяких вспомогательных сервисов от Microsoft (всякие там AD, DNS, MSSQL и т.п..).

В общем неплох болтать, перейдем к делу.

Рассматривать будем службы каталогов Active Directory на базе Windows 2008 R2 как более всераспространенную в наше время.

Итак для установки роли лезем в Server Manager -> Add Roles:

Читайте также  Mi5 сброс к заводским настройкам. Xiaomi Mi 5 хард ресет и сброс настроек: инструкция

Собсна избираем интересующую нас роль — Active Directory Domain Services:

Добавляем .NET Framework, ежели нужен:

Начинаем установку:

Процесс пошел:

Установка завершена удачно, лицезреем лишь предупреждение о том, что отключены обновления, (кому это принципиально — можем включить), а так ничего критического — жмем «Close«:

далее идем в меню «Пуск» и напускаем утилитку dcpromo, как нарисовано на картинке:

Отметим галочку «Use advanced mode installation» мы же мастера 😎

Читаем принципиальное уведомление по поводу новейшего метода шифрования и жмем «Next«:

Предлагаются варианты: подключить наш контроллер домена к существующему домену, сделать новейший домен в существующем лесу, либо сделать новейший лес и новейший домен. Я выбираю крайнее, т.к. ни леса, ни домена у меня еще нет:

Вводим имя домена. Ежели ваш контроллер домена не будет глядеть «наружу» и привязываться к наружной доменной зоне, то тут можно написать какую-то бредовую зону типа «.local» либо «.lab», что я фактически и сделал:

Нет времени разъяснять, просто пишем имя домена без зоны :))

Выбираем функциональность нашего домена. У меня домен новейший, потому я избрал самую новейшую версию что бы насладиться всеми восхитительными способностями 2008 R2:

Какой же домен без DNS сервера:

Матюки по поводу отсутствия родительской зоны. В нашем случае это нормально, т.к. мы не интегрируемся с наружным DNS-сервером:

Пути оставляем стандартные:

Вводим пароль админа домена, который лучше всего не запамятовать и сохранить в тайне:

Еще раз все проверяем и нажимаем «Next«:

Процесс пошел:

Установка завершена нажимаем «Finish«:

Далее будет предложено перезагрузиться и опосля перезагрузки мы получим контроллер домена, готовый к употреблению.

Если на данном сервере работают юзеры (не администраторы) средством удаленных рабочих столов (RDP), то опосля перезагрузки вас будет ждать сюрприз — на контроллер домена, по-умолчанию имеют право подключаться лишь юзеры группы локальных админов и доменные админы.

О том, как это поменять я писал ранее.

На сейчас все, в последующий четверг побеседуем о том, как всем сиим счастьем управлять и разглядим главные инструменты администрирования.

Запись размещена создателем Доктор Добрянский в рубрике HOWTO, Windows, Сохранность, Операционные системы, По просьбам трудящихся, Статьи с метками Active Directory, Microsoft, RDP, Windows, Windows 2008.

Что такое Active Directory – как установить и настроить

Active Directory (AD) — это служебные программы, разработанные для операционной системы Microsoft Server. Сначало создавалась в качестве облегченного метода доступа к каталогам юзеров. С версии Windows Server 2008 возникло интеграция с сервисами авторизации.

Дает возможность соблюдать групповую политику, применяющую однотипность характеристик и ПО на всех подконтрольных ПК с помощью System Center Configuration Manager.

Если простыми словами для начинающих – это роль сервера, которая дозволяет из 1-го места управлять всеми доступами и разрешениями в локальной сети

Функции и предназначения

Microsoft Active Directory – (так именуемый каталог) пакет средств, позволяющий проводить манипуляции с юзерами и данными сети. Основная цель сотворения – облегчение работы системных админов в широких сетях.

Каталоги содержат в для себя разную информацию, относящуюся к пользователям, группам, устройствам сети, файловым ресурсам — одним словом, объектам. К примеру, атрибуты юзера, которые хранятся в каталоге должны быть следующими: адресок, логин, пароль, номер мобильного телефона и т.д. Каталог употребляется в качестве точки аутентификации, с помощью которой можно выяснить подходящую информацию о пользователе.

Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые используются при работе с AD:

  1. Сервер – комп, содержащий все данные.
  2. Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
  3. Домен AD — совокупа устройств, объединенных под одним неповторимым именованием, сразу использующих общую базу данных каталога.
  4. Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из хоть какого контроллера домена.

Как работают активные директории

Основными принципами работы являются:

  • Авторизация, с помощью которой возникает возможность пользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
  • Защищенность. Active Directory содержит функции определения юзера. Для хоть какого объекта сети можно удаленно, с 1-го устройства, выставить нужные права, которые будут зависеть от категорий и определенных юзеров.
  • Администрирование сети из одной точки. Во время работы с Актив Директори системному администратору не требуется поновой настраивать все ПК, ежели необходимо поменять права на доступ, к примеру, к принтеру. Конфигурации проводятся удаленно и глобально.
  • Полная интеграция с DNS. С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во глобальной паутине.
  • Крупные масштабы. Совокупа серверов способна контролироваться одной Active Directory.
  • Поиск делается по разным характеристикам, к примеру, имя компа, логин.

Объекты и атрибуты

Объект — совокупа атрибутов, объединенных под своим заглавием, представляющих собой ресурс сети.

Атрибут — свойства объекта в каталоге. К примеру, к таковым относятся ФИО юзера, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компа и его описание.

Читайте также  Установка на навигатор программ. Как установить программу на GPS навигатор

Пример:

“Сотрудник” – объект, который владеет атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из остальных объектов. Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Почаще всего контейнеры используют для группировки объектов с схожими атрибутами.

Почти все контейнеры показывают совокупа объектов, а ресурсы показываются неповторимым объектом Active Directory. Один из основных видов контейнеров AD — модуль организации, либо OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат лишь домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) —  основной метод подключений TCP/IP. Он сотворен с целью понизить количество аспект во время доступа к службам каталога. Также, в LDAP установлены деяния, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупа доменов, имеющих общие схему и конфигурацию, которые образуют общее место имен и соединены доверительными отношениями.

Лес доменов – совокупа деревьев, связанных меж собою.

Сайт — совокупа устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность сотворения n-ного количества веб-сайтов либо объединения n-ного количества доменов под одним сайтом.

Установка и настройка Active Directory

Теперь перейдем конкретно к настройке Active Directory на примере Windows Server 2008 (на остальных версиях процедура идентична):

  • Первым делом необходимо присвоить статический IP компу с установленным Windows Server Необходимо перейти в меню “Пуск” — “Панель управления”, отыскать пункт “Сетевые подключения”, кликнуть правой клавишей мыши (ПКМ) по имеющемуся подключению к сети и выбрать “Свойства”.
  • В открывшемся окне выбрать “Протокол Веба версии 4” и опять кликнуть на “Свойства”.
  • Заполнить поля последующим образом: IP-адрес – 192.168.1.5. DNS – 127.0.0.1.

Нажать на клавишу “ОК”. Стоит увидеть, что подобные значения не неотклонимы. Можно применять IP адресок и DNS из собственной сети.

Для надежности пароль должен соответствовать таковым требованиям:

  • Содержать цифры.
  • При желании, содержать спецсимволы.
  • Включать в себя строчные и большие буковкы латинского алфавита.

После того как AD завершит процесс опции компонентов, нужно перезагрузить сервер.

  • Следующий шаг – настройка DHCP. Для этого необходимо опять зайти в “Диспетчер сервера”, надавить “Добавить роль”. Выбрать пункт “DHCP-сервер”. Система начнет поиск активных сетевых адаптеров и произойдет автоматическое добавление IP-адресов.
  • Прописать статический адрес.
  • Указать адресок DNS.

Настройка завершена, оснастка и роль установлены в систему. Установить AD можно лишь на Windows  семейства Server, обыденные версии, к примеру 7 либо 10, могут дозволить установить лишь консоль управления.

Администрирование в Active Directory

По умолчанию в Windows Server консоль Active Directory Users and Computers работает с доменом, к которому относится комп. Можно получить доступ к объектам компов и юзеров в этом домене через дерево консоли либо подключиться к другому контроллеру.

Средства данной для нас же консоли разрешают просматривать дополнительные параметры объектов и осуществлять их поиск, можно создавать новейших юзеров, группы и изменять из разрешения.

К слову, существует 2 типа групп в Актив Директори – сохранности и распространения. Группы сохранности отвечают за разграничение прав доступа к объектам, они могут употребляться, как группы распространения.

Группы распространения не могут разграничивать права, а употребляются в основном для рассылки сообщений в сети.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта иной ответственной стороне.

Известно, что любая организация имеет в собственном штабе несколько системных админов. Различные задачки должны возлагаться на различные плечи. Для того чтоб использовать конфигурации, нужно обладать правами и разрешениями, которые делятся на обычные и особенные. Особенные — применимы к определенному объекту, а обычные представляют собой набор, состоящий из имеющихся разрешений, которые делают доступными либо недоступными отдельные функции.

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не напротив, соответственно 1-ый имеет доступ к ресурсам второго, а 2-ой не имеет доступа. Во втором виде доверие “взаимное”. Также есть «исходящие» и «входящие» дела. В исходящих – 1-ый домен доверяет второму, таковым образом разрешая юзерам второго применять ресурсы первого.

При установке следует провести такие процедуры:

  • Проверить сетевые связи меж котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для наружных доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить сделанные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Глобальный каталог

Это контроллер домена, который хранит копии всех объектов леса. Он…

Оставьте комментарий