Nastavenie radičov domény v rôznych podsieťach

V našom článku sme analyzovali minimálny teoretický materiál, ktorý potrebujete vedieť pred nasadením doménových služieb Active Directory. Dnes začneme praktickú časť cyklu, v ktorej podrobne zvážime vytvorenie a prechod na doménovú štruktúru siete. Začnime ako vždy od začiatku – v tomto článku si povieme, ako správne nasadiť radiče domény.

Skôr ako pristúpite k praktickej realizácii všetkých svojich plánov, zastavte sa a znova skontrolujte niektoré maličkosti. Veľmi často tieto veci unikajú oku administrátora, čo v budúcnosti prinesie dosť vážne ťažkosti, najmä pre začiatočníkov.

• Dajte budúcemu radiču domény čitateľný názov, napríklad SRV-DC01, nie WIN-VAGNTE3N62T.
• Nastavte sieťový adaptér na statickú IP adresu.
• Premenujte vstavaný administrátorský účet, používajte iba latinské písmená a symboly.

Inštalácia tejto roly ešte neurobí z tohto servera radič domény, preto musíte spustiť Sprievodcu inštaláciou doménových služieb, ktorý bude na konci inštalácie vyzvaný, môžete to urobiť aj neskôr spustením dcpromo.exe.

Nebudeme podrobne analyzovať všetky nastavenia sprievodcu, zameriame sa iba na tie kľúčové, navyše stojí za zmienku, že počas procesu inštalácie sa zobrazí pomerne veľké množstvo informácií pomocníka a odporúčame vám, aby ste si ich pozorne prečítali .

Keďže toto je náš prvý radič domény, vyberáme Vytvorte novú doménu v novom lese.

Ďalším krokom je zadanie názvu vašej domény. Neodporúča sa dávať internetovej doméne názov externej domény, taktiež sa neodporúča dávať názov v neexistujúcich zónach prvej úrovne, ako napr. .miestny alebo .test atď. Najlepšou možnosťou pre AD doménu by bola napríklad subdoména v mennom priestore externej internetovej domény corp.example.com. Keďže naša doména slúži výhradne na testovacie účely v rámci laboratória, pomenovali sme ju rozhranie31.lab, hoci by bolo správne nazvať to lab.site.

Potom uvedieme režim prevádzky lesa, o tejto problematike sme už hovorili v predchádzajúcej časti článku a nebudeme zachádzať do podrobností.

Veľmi dôležitý bod - uveďte a zapíšte si na bezpečnom mieste heslo správcu režimu obnovenia adresárových služieb, v dobrom scenári by ste ho nemali potrebovať, ale oveľa horšie, ak si ho nepamätáte.

V ďalšom okne ešte raz skontrolujte všetky zadané údaje a môžete spustiť proces konfigurácie doménových služieb. Pamätajte, že od tohto momentu sa už nedá nič zmeniť ani opraviť a ak niekde urobíte chybu, budete musieť začať odznova. Sprievodca medzitým nastaví doménové služby, vy si môžete ísť naliať kávu.

Po dokončení sprievodcu reštartujte server a ak je všetko vykonané správne, máte k dispozícii prvý radič domény, ktorý bude zároveň fungovať ako DNS server pre vašu sieť. Tu vzniká ešte jeden jemný bod, tento server bude obsahovať záznamy o všetkých objektoch vo vašej doméne, pri vyžiadaní záznamov súvisiacich s inými doménami, ktoré nedokáže vyriešiť, budú prenesené na vyššie servery, tzv. preposielacie servery.

V predvolenom nastavení je adresa DNS servera z vlastností sieťového pripojenia určená ako forwardery. Ak to chcete urobiť, otvorte nástroj DNS v Správca servera a vyberte si Špeditéri pre váš server. Zadajte aspoň dva dostupné externé servery, môžu to byť servery poskytovateľa alebo verejné služby DNS.

Upozorňujeme tiež, že vo vlastnostiach sieťového pripojenia radiča domény, ktorým je server DNS, musí byť adresa DNS nastavená na 127.0.0.1 , akýkoľvek iný zápis je chybný.

Po vytvorení prvého radiča domény bez meškania pokračujte v nasadení druhého, bez toho sa vaša AD štruktúra nemôže považovať za úplnú a odolnú voči chybám. Tiež sa uistite, že má server čitateľný názov a statickú IP adresu, nastavte DNS server na adresu prvého radiča a pridajte stroj do domény.

Po reštarte sa prihláste ako správca domény a nastavte rolu Active Directory Domain Services a potom spustite aj sprievodcu. V nastavení druhého ovládača nie sú žiadne zásadné rozdiely, okrem toho, že budete musieť odpovedať na menej otázok. Najprv uveďte, že pridávate nový radič do existujúcej domény.

Ako sme povedali, odporúčame, aby ste si z tohto servera urobili DNS server a globálny katalóg. Majte na pamäti, že ak nemáte globálny katalóg, vaša doména nemusí byť funkčná, preto sa odporúča mať aspoň dva globálne katalógy a ku každej novej doméne alebo lokalite AD pridať ďalší GC.

Ostatné nastavenia sú úplne identické a po opätovnom skontrolovaní všetkého pokračujte v nasadení druhého radiča, počas ktorého sa nakonfigurujú zodpovedajúce služby a vykoná sa replikácia s prvým radičom.

Po dokončení inštalácie druhého radiča môžete prejsť k nastaveniam doménových služieb: vytvárať používateľov, priraďovať ich ku skupinám a oddeleniam, konfigurovať skupinové politiky atď. atď. Môžete to urobiť na ľubovoľnom radiči domény, ak to chcete urobiť, použite príslušné položky ponuky Administrácia.

Ďalším krokom bude zavedenie užívateľských PC a členských serverov do domény, ako aj migrácia užívateľského prostredia na doménové účty, o tom si povieme v ďalšej časti.

Active Directory je adresárová služba spoločnosti Microsoft pre rodinu operačných systémov Windows NT.

Táto služba umožňuje správcom používať skupinové politiky na zabezpečenie jednotných nastavení používateľského pracovného priestoru, inštalácie softvéru, aktualizácií a podobne.

Čo je podstatou Active Directory a aké úlohy rieši? Pokračuj v čítaní.

Princípy organizácie peer-to-peer a multi-peer sietí

Vyvstáva však ďalší problém, čo ak sa používateľ2 na PC2 rozhodne zmeniť svoje heslo? Potom, ak používateľ1 zmení heslo účtu, používateľ2 na PC1 nebude mať prístup k prostriedku.

Ďalší príklad: máme 20 pracovných staníc s 20 účtami, ktorým chceme poskytnúť prístup k určitému, na to musíme vytvoriť 20 účtov na súborovom serveri a poskytnúť prístup k potrebnému zdroju.

A ak ich nie je 20, ale 200?

Ako ste pochopili, správa siete sa týmto prístupom mení na hotové peklo.

Preto je prístup pracovnej skupiny vhodný pre malé kancelárske siete s maximálne 10 počítačmi.

Ak je v sieti viac ako 10 pracovných staníc, racionálne sa odôvodňuje prístup, v ktorom sa jednému sieťovému uzlu delegujú práva na vykonávanie autentifikácie a autorizácie.

Tento uzol je radič domény – Active Directory.

Radič domény

Prevádzkovateľ vedie databázu účtov, t.j. vedie účet pre PC1 aj PC2.

Teraz sú všetky účty zaregistrované raz v ovládači a potreba miestnych účtov stráca zmysel.

Teraz, keď sa používateľ prihlási do počítača zadaním svojho používateľského mena a hesla, tieto údaje sa prenesú v zašifrovanej forme do radiča domény, ktorý vykoná overenie a autorizáciu.

Po tom, čo radič odovzdá používateľovi, ktorý sa prihlásil, niečo ako pas, s ktorým neskôr pracuje v sieti a ktorý predloží na žiadosť ostatných počítačov v sieti, servery, ku ktorým sa chce pripojiť.

Dôležité! Radič domény je počítač so službou Active Directory, ktorý spravuje prístup používateľov k sieťovým prostriedkom. Ukladá zdroje (napr. tlačiarne, zdieľané priečinky), služby (napr. e-mail), ľudí (účty používateľov a skupín používateľov), počítače (počítačové účty).

Počet takto ušetrených zdrojov môže dosiahnuť milióny objektov.

Nasledujúce verzie MS Windows môžu fungovať ako doménový radič: Windows Server 2000/2003/2008/2012 okrem edícií Web-Edition.

Radič domény, okrem toho, že je sieťovým overovacím centrom, je aj riadiacim centrom pre všetky počítače.

Okamžite po zapnutí počítača začne kontaktovať radič domény, dlho predtým, ako sa zobrazí okno overenia.

Overí sa teda nielen používateľ zadávajúci prihlasovacie meno a heslo, ale aj klientsky počítač.

Inštalácia Active Directory

Zvážte príklad inštalácie služby Active Directory v systéme Windows Server 2008 R2. Ak chcete nainštalovať rolu Active Directory, prejdite na „Správca servera“:

Pridajte rolu „Pridať roly“:

Vyberte rolu Active Directory Domain Services:

A začnime s inštaláciou:

Potom dostaneme okno s upozornením o nainštalovanej role:

Po nainštalovaní role radiča domény pristúpime k inštalácii samotného radiča.

Vo vyhľadávacom poli programu kliknite na „Štart“, zadajte názov sprievodcu DCPromo, spustite ho a začiarknite políčko pre rozšírené nastavenia inštalácie:

Kliknite na „Ďalej“ z navrhovaných možností, vyberte vytvorenie novej domény a lesa.

Zadajte názov domény, napríklad example.net.

Napíšeme názov domény NetBIOS bez zóny:

Vyberáme funkčnú úroveň našej domény:

Kvôli zvláštnostiam fungovania doménového radiča inštalujeme aj DNS server.

Active Directory je služba správy systému. Sú oveľa lepšou alternatívou k lokálnym skupinám a umožňujú vytvárať počítačové siete s efektívnou správou a spoľahlivou ochranou dát.

Ak ste sa ešte nestretli s konceptom Active Directory a neviete, ako takéto služby fungujú, tento článok je určený práve vám. Pozrime sa, čo tento pojem znamená, aké sú výhody takýchto databáz a ako ich vytvoriť a nakonfigurovať na prvé použitie.

Active Directory je veľmi pohodlný spôsob správy systémov. Pomocou služby Active Directory môžete efektívne spravovať svoje údaje.

Tieto služby vám umožňujú vytvoriť jednu databázu spravovanú radičmi domény. Ak vlastníte firmu, riadite kanceláriu alebo vo všeobecnosti ovládate aktivity mnohých ľudí, ktorých treba dať dokopy, budete takúto doménu potrebovať.

Zahŕňa všetky objekty – počítače, tlačiarne, faxy, používateľské účty atď. Súčet domén, kde sa údaje nachádzajú, sa označuje ako „les“. Základňa Active Directory je doménové prostredie, v ktorom môže byť počet objektov až 2 miliardy. Viete si predstaviť tieto váhy?

To znamená, že pomocou takéhoto „lesa“ alebo databázy môžete pripojiť veľké množstvo zamestnancov a zariadení v kancelárii a bez viazanosti na miesto - v službách môžu byť pripojení aj ďalší používatelia, napr. sídlo spoločnosti v inom meste.

Okrem toho sa v rámci služieb Active Directory vytvára a kombinuje viacero domén – čím väčšia firma, tým viac prostriedkov je potrebných na ovládanie jej technológie v rámci databázy.

Ďalej pri vytváraní takejto siete je určená jedna kontrolná doména a aj pri následnej prítomnosti ďalších domén ostáva tá pôvodná stále „rodičovská“ – teda iba ona má plný prístup k správe informácií.

Kde sú tieto údaje uložené a čo zabezpečuje existenciu domén? Radiče sa používajú na vytvorenie Active Directory. Väčšinou sú dva – ak sa niečo stane jednému, informácia sa uloží na druhý ovládač.

Ďalšou možnosťou využitia základne je, ak napríklad vaša firma spolupracuje s inou a vy musíte dokončiť spoločný projekt. V tomto prípade môže byť potrebné, aby neoprávnené osoby mali prístup k súborom domény, a tu môžete nastaviť akýsi „vzťah“ medzi dvoma rôznymi „lesmi“, otvoriť prístup k požadovaným informáciám bez toho, aby ste riskovali bezpečnosť ostatných údajov.

Vo všeobecnosti je Active Directory prostriedkom na vytváranie databázy v rámci určitej štruktúry bez ohľadu na jej veľkosť. Používatelia a všetko vybavenie sú spojené do jedného „lesa“, vytvárajú sa domény a umiestňujú sa na radiče.

Je tiež vhodné objasniť - prevádzka služieb je možná iba na zariadeniach so serverovými systémami Windows. Okrem toho sú na radičoch vytvorené 3-4 servery DNS. Obsluhujú hlavnú zónu domény a v prípade zlyhania jedného z nich je nahradený inými servermi.

Po krátkom prehľade Active Directory pre figuríny sa prirodzene pýtate – prečo meniť lokálnu skupinu na celú databázu? Prirodzene, pole možností je tu oveľa širšie a aby sme zistili ďalšie rozdiely medzi týmito službami pre správu systému, pozrime sa bližšie na ich výhody.

Výhody služby Active Directory

Výhody Active Directory sú nasledovné:

1. Použitie jedného zdroja na autentifikáciu. V tomto scenári musíte na každý počítač pridať všetky účty vyžadujúce prístup k všeobecným informáciám. Čím viac používateľov a zariadení, tým náročnejšia je synchronizácia týchto údajov medzi nimi.

A tak pri používaní služieb s databázou sú účty uložené v jednom bode a zmeny sa okamžite prejavia na všetkých počítačoch.

Ako to funguje? Každý zamestnanec, ktorý príde do kancelárie, spustí systém a prihlási sa do svojho účtu. Požiadavka na prihlásenie sa automaticky odošle na server a cez ňu prebehne autentifikácia.

Čo sa týka určitého poriadku vo vedení evidencie, vždy môžete používateľov rozdeliť do skupín – „HR“ alebo „Účtovníctvo“.

Ešte jednoduchšie je v tomto prípade poskytnúť prístup k informáciám – ak potrebujete otvoriť priečinok pre zamestnancov z jedného oddelenia, urobíte to cez databázu. Spoločne získajú prístup k požadovanému dátovému priečinku, zatiaľ čo ostatné dokumenty zostávajú zatvorené.

1. Kontrola nad každým členom databázy.

Ak je v lokálnej skupine každý člen nezávislý, je ťažké ho ovládať z iného počítača, potom je možné v doménach nastaviť určité pravidlá, ktoré zodpovedajú firemnej politike.

Ako správca systému môžete nastaviť nastavenia prístupu a zabezpečenia a potom ich použiť pre každú skupinu používateľov. Prirodzene, v závislosti od hierarchie možno niektorým skupinám definovať prísnejšie nastavenia, zatiaľ čo iným je možné udeliť prístup k iným súborom a akciám v systéme.

Navyše, keď do firmy vstúpi nový človek, jeho počítač okamžite dostane potrebnú sadu nastavení, kde sú zahrnuté komponenty pre prácu.

1. Všestrannosť pri inštalácii softvéru.

Mimochodom, o komponentoch - pomocou Active Directory môžete priradiť tlačiarne, okamžite nainštalovať potrebné programy pre všetkých zamestnancov a nastaviť nastavenia ochrany osobných údajov. Vo všeobecnosti vytvorenie databázy výrazne optimalizuje prácu, monitoruje bezpečnosť a zjednocuje používateľov pre maximálnu efektivitu.

A ak spoločnosť prevádzkuje samostatnú utilitu alebo špeciálne služby, je možné ich synchronizovať s doménami a uľahčiť tak prístup k nim. Ako? Ak skombinujete všetky produkty používané vo firme, zamestnanec nebude musieť pre vstup do každého programu zadávať rôzne prihlasovacie mená a heslá – tieto informácie budú spoločné.

Teraz, keď sú výhody a význam používania Active Directory jasné, pozrime sa na proces inštalácie týchto služieb.

Používanie databázy v systéme Windows Server 2012

Inštalácia a konfigurácia Active Directory nie je náročná a je tiež jednoduchšia, ako sa na prvý pohľad zdá.

Ak chcete načítať služby, musíte najprv urobiť nasledovné:

1. Zmeňte názov počítača: kliknite na "Štart", otvorte Ovládací panel, položku "Systém". Vyberte „Zmeniť nastavenia“ a vo vlastnostiach oproti riadku „Názov počítača“ kliknite na „Zmeniť“ a zadajte novú hodnotu pre hostiteľský počítač.
2. Reštartujte podľa požiadaviek počítača.
3. Nastavte sieťové nastavenia takto:
   • Prostredníctvom ovládacieho panela otvorte ponuku so sieťami a zdieľaním.
   • Správne nastavenie adaptéra. Kliknite pravým tlačidlom myši na „Vlastnosti“ a otvorte kartu „Sieť“.
   • V okne zo zoznamu kliknite na Internetový protokol na čísle 4, znova kliknite na „Vlastnosti“.
   • Zadajte požadované nastavenia, napríklad: IP adresa - 192.168.10.252 , maska ​​podsiete - 255.255.255.0, hlavná podbrána - 192.168.10.1.
   • V riadku "Preferovaný server DNS" zadajte adresu lokálneho servera, v "Alternatívne ..." - iné adresy serverov DNS.
   • Uložte zmeny a zatvorte okná.

Nainštalujte roly Active Directory takto:

1. Na začiatku otvorte „Správca servera“.
2. V ponuke vyberte položku Pridať roly a funkcie.
3. Spustí sa sprievodca, ale prvé okno s popisom môžete preskočiť.
4. Začiarknite riadok „Inštalovať roly a funkcie“, pokračujte.
5. Vyberte svoj počítač, do ktorého chcete umiestniť Active Directory.
6. V zozname začiarknite rolu, ktorú chcete načítať – pre váš prípad je to „Doménové služby Active Directory“.
7. Zobrazí sa malé okno so žiadosťou o stiahnutie komponentov potrebných pre služby - akceptujte to.
8. Potom sa zobrazí výzva na inštaláciu ďalších komponentov - ak ich nepotrebujete, jednoducho tento krok preskočte kliknutím na tlačidlo "Ďalej".
9. Sprievodca nastavením zobrazí okno s popisom služieb, ktoré inštalujete – čítajte ďalej a pokračujte.
10. Zobrazí sa zoznam komponentov, ktoré ideme inštalovať - ​​skontrolujte, či je všetko správne, a ak áno, kliknite na príslušné tlačidlo.
11. Po dokončení procesu zatvorte okno.
12. To je všetko - služby sa načítajú do vášho počítača.

Konfigurácia služby Active Directory

Ak chcete nastaviť doménovú službu, musíte urobiť nasledovné:

• Spustite sprievodcu nastavením s rovnakým názvom.
• Kliknite na žltý ukazovateľ v hornej časti okna a vyberte možnosť „Povýšiť server na radič domény“.
• Kliknite na pridať nový „les“ a vytvorte názov pre koreňovú doménu, potom kliknite na „Ďalej“.
• Uveďte prevádzkové režimy "lesa" a domény - najčastejšie sa zhodujú.
• Vytvorte si heslo, ale nezabudnite si ho zapamätať. Pohni sa.
• Potom sa môže zobraziť upozornenie, že doména nie je delegovaná, a návrh na kontrolu názvu domény – tieto kroky môžete preskočiť.
• V ďalšom okne môžete zmeniť cestu k adresárom databáz - urobte to, ak vám nevyhovujú.
• Teraz uvidíte všetky možnosti, ktoré sa chystáte nastaviť - skontrolujte, či ste ich vybrali správne a pokračujte ďalej.
• Aplikácia skontroluje, či sú splnené predpoklady, a ak nie sú žiadne komentáre alebo nie sú kritické, kliknite na „Inštalovať“.
• Po dokončení inštalácie sa počítač sám reštartuje.

Možno sa tiež pýtate, ako pridať používateľa do databázy. Na to slúži menu "Používatelia alebo počítače Active Directory", ktoré nájdete v ovládacom paneli v sekcii "Správa", alebo použite ponuku nastavení databázy.

Ak chcete pridať nového používateľa, kliknite pravým tlačidlom myši na názov domény a vyberte možnosť „Vytvoriť“ po položke „Poddelenie“. Pred vami sa zobrazí okno, kde je potrebné zadať názov nového oddelenia – slúži ako priečinok, do ktorého môžete zhromažďovať používateľov z rôznych oddelení. Rovnakým spôsobom neskôr vytvoríte niekoľko ďalších divízií a správne umiestnite všetkých zamestnancov.

Potom, keď ste vytvorili názov oddelenia, kliknite naň pravým tlačidlom myši a vyberte "Vytvoriť" po - "Používateľ". Teraz zostáva len zadať potrebné údaje a nastaviť nastavenia prístupu pre používateľa.

Po vytvorení nového profilu kliknite naň výberom kontextového menu a otvorte "Vlastnosti". Na karte „Účet“ zrušte začiarknutie políčka vedľa položky „Blokovať ...“. To je všetko.

Všeobecným záverom je, že Active Directory je výkonný a užitočný nástroj na správu systému, ktorý pomôže zjednotiť počítače všetkých zamestnancov do jedného tímu. Pomocou služieb môžete vytvoriť bezpečnú databázu a výrazne optimalizovať prácu a synchronizáciu informácií medzi všetkými používateľmi. Ak je vaša spoločnosť a akékoľvek iné pracovisko pripojené k elektronickým počítačom a sieti, potrebujete konsolidovať účty a sledovať prácu a súkromie, inštalácia databázy na báze Active Directory bude skvelým riešením.

Mal som potrebu nasadiť službu Active Directory na geograficky oddelené miesta, ktorých siete sú prepojené pomocou vpn. Na prvý pohľad sa úloha zdá jednoduchá, ale osobne som sa takýmito vecami ešte nezaoberal a pri zbežnom hľadaní som v tomto prípade nenašiel ani jeden obrázok, ani akčný plán. Musel som zbierať informácie z rôznych zdrojov a riešiť nastavenia sám.

Z tohto článku sa dozviete:

Plánovanie inštalácie Active Directory do rôznych podsietí

Takže máme dve podsiete 10.1.3.0/24 a 10.1.4.0/24 , z ktorých každý má určitý počet počítačov a zdieľanie v sieti. Toto všetko je potrebné zjednotiť do jednej domény. Siete sú prepojené vpn tunelom, počítače sa navzájom pingujú v oboch smeroch, nie sú problémy s prístupom do siete.

Pre normálnu prevádzku služby Active Directory nainštalujeme radič domény do každej podsiete a nakonfigurujeme replikáciu medzi nimi. Budeme používať Windows Server 2012R2. Postupnosť akcií je nasledovná:

• Nainštalujeme radič domény do jednej podsiete, vytvoríme na nej novú doménu v novom lese
• Nainštalujte radič domény do druhej podsiete a pridajte ho do domény
• Nastavte replikáciu medzi doménami

Prvý radič domény bude pomenovaný xs-winsrv s adresou 10.1.3.4 , druhý - xm-winsrv 10.1.4.6. Doména, ktorú vytvoríme, sa bude volať xs.local

Konfigurácia radičov domény na prácu v rôznych podsieťach

Najprv nainštalujte radič domény do nového lesa na prvom serveri xs-winsrv. Nebudem sa tomu podrobne venovať, na internete je veľa tutoriálov a návodov na túto tému. Všetko robíme štandardne, nastavujeme služby AD, DHCP a DNS. Ako prvý DNS server zadajte lokálnu IP adresu ako druhý 127.0.0.1 :

Ďalej nainštalujte Windows Server 2012R2 na druhý server xm-winsrv. Teraz robíme niekoľko dôležitých krokov, bez ktorých pridanie druhého servera do domény nebude fungovať. Oba servery sa musia navzájom pingovať podľa názvu. Ak to chcete urobiť, pridajte záznamy o sebe do súborov C:\Windows\System32\drivers\etc\host.

AT xs-winsrv pridajte riadok:

10.1.4.6 xm-winsrv

AT xm-winsrv pridať:

10.1.3.4 xs-winsrv

Teraz druhý dôležitý bod. Na serveri xm-winsrv zadajte prvý radič domény 10.1.3.4 ako prvý server DNS:

Teraz sa oba servery navzájom vyriešia. Najprv to skontrolujeme na serveri xm-winsrv, ktorý pridáme do domény:

Potom server xs-winsrv potrebné preniesť z lokality Default-First-Site-Name na novú stránku vytvorenú pre neho. Teraz ste pripravení pridať druhý server do domény.

Pridanie druhého radiča domény z inej podsiete

Prejdeme na druhý server xm-winsrv, spustíme Sprievodcu pridaním rolí a pridáme 3 roly, rovnako ako na prvom serveri - AD, DNS, DHCP. Po spustení Sprievodcu konfiguráciou doménových služieb Active Directory vyberte prvú položku - Pridajte radič domény do existujúcej domény, uveďte našu doménu xs.local:

V ďalšom kroku v parametroch radiča domény zadajte názov lokality, ku ktorej radič pripojíme:

Dovoľte mi pripomenúť, že toto by mala byť stránka, ku ktorej je pripojená podsieť 10.1.4.0/24. Prvý a druhý ovládač sú na rôznych miestach. Nezabudnite zaškrtnúť Globálny katalóg (GC). Potom ponechajte všetky nastavenia ako predvolené.

Po reštarte servera bude v doméne xs.local. Prihlásenie ako lokálny správca nebude fungovať, musíte použiť doménový účet. Ideme dovnútra, skontrolujeme, či replikácia s hlavným doménovým radičom prebehla, či boli synchronizované DNS záznamy. Toto všetko mi išlo dobre, druhý radič domény bral všetkých používateľov a DNS záznamy z prvého. Na oboch serveroch modul Active-Directory – lokality a služby zobrazuje oba radiče, každý vo svojej vlastnej lokalite:

To je všetko. Do domény môžete pridať počítače v oboch kanceláriách.

Pre tých, ktorí toto všetko budú konfigurovať na virtuálnych strojoch, pridám ešte jeden dôležitý bod. Na hosťujúcich systémoch je potrebné vypnúť synchronizáciu času s hypervízorom. Ak sa tak nestane, v určitom bode môžu radiče domény ochorieť.

Dúfam, že som urobil všetko správne. Nemám hlboké znalosti o replikácii služby Active Directory. Ak má niekto pripomienky k obsahu článku, napíšte o tom do komentárov. Všetky informácie som zbieral hlavne z fór, kde sa pýtali alebo riešili problémy na podobné témy fungovania domény v rôznych podsieťach.

Online kurz "Správca Linuxu"

Ak máte chuť naučiť sa budovať a udržiavať vysoko dostupné a spoľahlivé systémy, odporúčam sa s nimi zoznámiť online kurz "Správca Linuxu" v OTUS. Kurz nie je pre začiatočníkov, na prijatie sú potrebné základné znalosti sietí a inštalácie Linuxu na virtuálny stroj. Školenie trvá 5 mesiacov, po ktorých budú môcť úspešní absolventi kurzu absolvovať rozhovory s partnermi. Otestujte sa na vstupnom teste a pozrite si program podrobnejšie.

Srdcom efektívnej podnikovej siete je radič domény Active Directory, ktorý spravuje množstvo služieb a poskytuje množstvo výhod.

Existujú dva spôsoby, ako vybudovať IT infraštruktúru – štandardný a príležitostný, keď je vynaložené minimálne dostatočné úsilie na riešenie vznikajúcich problémov, bez budovania jasnej a spoľahlivej infraštruktúry. Napríklad budovanie siete typu peer-to-peer v celej organizácii a zdieľanie všetkých potrebných súborov a priečinkov bez možnosti ovládať akcie používateľov.

Je zrejmé, že táto cesta nie je žiaduca, pretože nakoniec budete musieť rozobrať a správne usporiadať chaotickú spleť systémov, inak nebude môcť fungovať - ​​a s ňou aj vaše podnikanie. Preto čím skôr urobíte jediné správne rozhodnutie vybudovať firemnú sieť s doménovým radičom, tým lepšie pre vaše podnikanie z dlhodobého hľadiska. A preto.

„Doména je základná jednotka IT infraštruktúry založená na rodine OS Windows, logické a fyzické spojenie serverov, počítačov, zariadení a používateľských účtov.“

Radič domény (DC) je samostatný server so systémom Windows Server so službami Active Directory, ktorý umožňuje spúšťať veľké množstvo softvéru, ktorý vyžaduje na správu disk CD. Príkladmi takéhoto softvéru sú poštový server Exchange, cloudový balík Office 365 a ďalšie softvérové ​​prostredia na podnikovej úrovni od spoločnosti Microsoft.

Okrem zabezpečenia správneho fungovania týchto platforiem poskytuje CD podnikom a organizáciám nasledujúce výhody:

• Nasadenie terminálového servera. umožňuje výrazne ušetriť zdroje a námahu nahradením neustálej aktualizácie kancelárskych počítačov jednorazovou investíciou do umiestnenia „tenkých klientov“ na pripojenie k výkonnému cloudovému serveru.
• Vylepšená bezpečnosť. Disk CD vám umožňuje nastaviť zásady hesiel a prinútiť používateľov používať heslá, ktoré sú zložitejšie ako ich dátum narodenia, qwerty alebo 12345.
• Centralizovaná kontrola prístupových práv. Namiesto ručnej aktualizácie hesiel na každom počítači samostatne môže správca CD centrálne zmeniť všetky heslá v jednej operácii z jedného počítača.
• Centralizovaná správa skupinovej politiky. Nástroje služby Active Directory vám umožňujú vytvárať skupinové politiky a nastavovať prístupové práva k súborom, priečinkom a iným sieťovým zdrojom pre konkrétne skupiny používateľov. To výrazne uľahčuje nastavenie nových používateľských účtov alebo zmenu nastavení existujúcich profilov.
• cez vstup. Active Directory podporuje pass-through prihlasovanie, kedy pri zadávaní používateľského mena a hesla pre doménu je používateľ automaticky pripojený ku všetkým ostatným službám, ako je pošta a Office 365.
• Vytvorte šablóny programu Computer Setup. Konfiguráciu každého jednotlivého počítača pri jeho pridaní do podnikovej siete je možné automatizovať pomocou šablón. Napríklad pomocou špeciálnych pravidiel možno centrálne deaktivovať jednotky CD alebo porty USB, zatvoriť určité sieťové porty atď. Administrátor teda namiesto manuálneho nastavenia novej pracovnej stanice ju jednoducho zaradí do špecifickej skupiny a automaticky sa aplikujú všetky pravidlá pre túto skupinu.

Ako vidíte, nastavenie radiča domény Active Directory prináša podnikom a organizáciám všetkých veľkostí množstvo vymožeností a výhod.

Kedy nasadiť radič domény Active Directory v podnikovej sieti?

Odporúčame vám zvážiť nastavenie radiča domény pre vašu spoločnosť už vtedy, keď máte k sieti pripojených viac ako 10 počítačov, pretože je oveľa jednoduchšie nastaviť potrebné politiky pre 10 počítačov ako pre 50. Navyše, keďže tento server nevykonáva úlohy náročné na zdroje, výkonný stolný počítač môže byť pre túto úlohu vhodný.

Je však dôležité mať na pamäti, že tento server bude uchovávať heslá pre prístup k sieťovým zdrojom a databáze používateľov domény, schému práv a skupinovú politiku používateľov. Pre zabezpečenie kontinuity doménového radiča je potrebné nasadiť záložný server s neustálym kopírovaním dát, čo je oveľa rýchlejšie, jednoduchšie a spoľahlivejšie pomocou virtualizácie serverov poskytovanej hostingom firemnej siete v cloude. Vyhnete sa tak nasledujúcim problémom:

• Nesprávne nastavenia servera DNS, čo vedie k chybám v umiestnení zdrojov v podnikovej sieti a na internete
• Nesprávne nakonfigurované bezpečnostné skupiny, čo vedie k chybám v prístupových právach používateľov k sieťovým zdrojom
• Nesprávne verzie OS. Každá verzia Active Directory podporuje špecifické verzie operačného systému Windows pre tenkých klientov
• Neprítomnosť alebo nesprávne nastavenie automatické kopírovanie údajov na záložný radič domény.