Názov lokálnej domény. Niekoľko slov o pomenovaní domén Active Directory. Konfigurácia Domain Controller Locator pre Windows XP Professional a novší Windows

Dobré popoludnie, milí čitatelia a predplatitelia, dlho som vám nehovoril o doménach Windows, dnes to napravím a rozoberieme si takú zásadnú tému, ako správne pomenovať doménu active directory, keďže výsledkom bude ďalej správne fungovanie vašich služieb a znížite si počet problémov, ktoré môžu nastať, ak je názov doménových služieb nesprávny.

Chyby pri výbere názvu služby Active Directory

Ak čítate môj blog už dlhšie alebo ste sa práve pridali, tak vám pripomeniem úvodný článok Úvod do Active Directory, kde som sa vám snažil priblížiť, čo je AD a ako funguje a hlavne aké komponenty obsahuje pozostáva z. Ak ste pozorne čítali, viete, že služba Active Directory nemôže fungovať bez serverov DNS.

• Určite väčšina z vás vie, že DNS mená na internete sú zostavené podľa určitého princípu, skladá sa len z číslic, písmen, bodiek a pomlčiek (nehovorím o rôznych typoch DNS záznamov) .. com. Existuje norma z dokumentu RFC 1123 o názvoch domén, kde je čiernobielo napísané, že v menách by nemali byť prítomné nasledujúce špeciálne znaky: znak psa @, vlnovka ~, znak čísla #, lomka / a \ , podčiarknite, ak ste si nevedomky ako názov domény vybrali niečo, čo obsahuje podčiarkovník, tak budete mať napríklad veľké problémy s poštovým serverom MS Exchange. Ak by neexistovali normy, nastal by chaos.
• Ako lokálne názvy pre Active Directory si ľudia vyberajú externé adresy, presnejšie názvy druhej úrovne. Jednoduchý príklad, povedzme, že mám podnik Pyatilistnik.inc a správca sa rozhodol nainštalovať radič Active Directory a vytvoriť štruktúru domény, ale ako lokálny názov pre to vzal pyatilistnik.. Predstavte si, aký chaos začne, keď ľudia budú potrebovať dostať sa k nemu z lokálnej siete, dôjde ku konfliktu s názvom AD, na vyriešenie problému budete musieť zachovať externú zónu DNS aj vnútornú, čo je nepohodlné a povedie to k chybám. Nižšie vám poviem, ako správne pomenovať doménu Active Directory.
• Názvy zón nie sú zahrnuté v globálnom oficiálne registrovanom registri ICANN. Príkladom sú zóny .local alebo napr. .nn, aj keď som si istý, že ich štandard dosiahne, keďže pre túto organizáciu je výhodné zarábať peniaze z ničoho predajom mien, ktoré domény teraz nenájdete, ale toto je nie to, o čom dnes hovoríme. Nie je správne používať tieto názvy v adresári Activer, keďže ich nemožno použiť mimo vašej kancelárie, nemôžete vydať certifikát ssl pre doménu.

Hoci ak to robíte v testovacom prostredí, môžete

• Disjoint Namespace> existujú situácie, keď názov DNS radiča domény alebo počítača nezodpovedá jeho názvu NETBIOS, napríklad ak môj radič mal názov NETBIOS dc6 a doménu dc. Takéto konštrukcie sú uskutočniteľné a môžu byť pri fúzii podnikov, ale v Disjoint Namespace môže existovať rake s rovnakou MS Exchange. Nižšie je uvedený príklad zhody názvov NETBIOS a DNS.

Ako správne pomenovať doménu Active Directory

Pochopili sme, ako sa to robí zle a vieme, teraz urobíme všetko krásne, hneď zopakujem, že ak máte testovacie prostredie, môžete volať AD ako chcete, dokonca aj microsoft.com. Ale vážne, vráťme sa k našej spoločnosti Pyatilistnik.inc. Pre zónu domény Active Directory by som zvolil zónu tretej úrovne, ad.site. Webová stránka spoločnosti by bola zavesená na logickej stránke. Vďaka tomu by neboli žiadne problémy so serverom MS Exchange. Ak máte niekoľko pobočiek, potom vám odporúčam použiť jeden les, napríklad Nižný Novgorod a Moskva, pre Moskvu volím ad..ad.site. Dúfam, že teraz chápete, ako lepšie a správnejšie volať doménu Active Directory.

Čo je radič domény

Radič domény poskytuje centralizovanú správu sieťových zariadení, teda domén. Kontrolér ukladá všetky informácie z účtov a parametrov používateľov siete. Sú to bezpečnostné nastavenia, lokálna politika a mnohé ďalšie. Je to druh servera, ktorý úplne riadi špecifickú sieť alebo sieťovú skupinu. Radič domény je druh špeciálneho softvéru, ktorý spúšťa rôzne služby Active Directory. Na radičoch bežia špecifické operačné systémy, ako napríklad Windows server 2003. Sprievodca inštaláciou Active Drive vám umožňuje vytvárať radiče domény.

Operačný systém Windows NT používa primárny radič domény ako primárny server. Ostatné použité servery sa používajú ako záložné radiče. Základné radiče PDC dokážu riešiť rôzne úlohy súvisiace s členstvom v skupine používateľov, vytváraním a zmenou hesiel, pridávaním používateľov a mnohými ďalšími. Údaje sa potom prenesú do ďalších ovládačov BDC.

Softvér Samba 4 možno použiť ako radič domény, ak je operačným systémom Unix. Tento softvér podporuje aj iné operačné systémy, ako napríklad Windows 2003, 2008, 2003 R2 a 2008 R2. Každý z operačných systémov je možné v prípade potreby rozšíriť v závislosti od konkrétnych požiadaviek a parametrov.

Používanie radičov domény

Radiče domény používajú mnohé organizácie, v ktorých sa nachádzajú počítače, ktoré sú navzájom prepojené a prepojené do siete. Kontroléry ukladajú údaje z adresára a riadia vstup a výstup používateľov do systému, ako aj riadia interakciu medzi nimi.

Organizácie používajúce radič domény sa musia rozhodnúť, koľko ich použijú, naplánovať archiváciu údajov, fyzické zabezpečenie, aktualizácie serverov a ďalšie potrebné úlohy.

Ak je firma alebo organizácia malá a využíva sa v nej len jedna doménová sieť, potom stačí použiť dva radiče, ktoré sú schopné zabezpečiť vysokú stabilitu, odolnosť voči poruchám a vysokú úroveň dostupnosti siete. V sieťach, ktoré sú rozdelené do určitého počtu lokalít, je na každej z nich nainštalovaný jeden ovládač, čo umožňuje dosiahnuť potrebný výkon a spoľahlivosť. Použitím ovládačov na každej lokalite je možné výrazne zjednodušiť a zrýchliť prihlasovanie používateľov.

Sieťovú prevádzku je možné optimalizovať, na to je potrebné nastaviť čas aktualizácie replikácie, kedy bude zaťaženie siete minimálne. Nastavenie replikácie výrazne zjednoduší vašu prácu a zvýši jej produktivitu.

Maximálny výkon pri prevádzke radiča dosiahnete, ak je doménou globálny katalóg, ktorý vám umožní dopytovať ľubovoľné objekty podľa špecifickej váhy. Je však dôležité zapamätať si, že aktivácia globálneho katalógu má za následok výrazné zvýšenie replikačnej prevádzky.

Najlepšie je nezapínať radič hostiteľskej domény, ak používate viac ako jeden radič domény. Pri používaní doménového radiča je veľmi dôležité dbať na bezpečnosť, pretože sa stáva dostatočne dostupným pre útočníkov, ktorí chcú prebrať údaje, ktoré potrebujú oklamať.

Úvahy o inštalácii ďalších radičov domény

Pre dosiahnutie vyššej spoľahlivosti pri prevádzke potrebných sieťových služieb je potrebné doinštalovať ďalšie doménové radiče. Vďaka tomu možno dosiahnuť výrazne vyššiu stabilitu, spoľahlivosť a prevádzkovú bezpečnosť. V tomto prípade bude výkon siete oveľa vyšší, čo je veľmi dôležitý parameter pre organizácie, ktoré používajú radič domény.

Aby radič domény správne fungoval, sú potrebné prípravné práce. Prvá vec, ktorú musíte urobiť, je skontrolovať parametre TCP / IP, mali by byť správne nastavené pre server. Najdôležitejšou vecou je skontrolovať názvy DNS pre mapovania.

Pre bezpečnú prevádzku doménového radiča je potrebné použiť súborový systém NTFS, ktorý poskytuje vyššiu bezpečnosť v porovnaní so súborovými systémami FAT 32. Pre inštaláciu na server je potrebné vytvoriť jeden oddiel v súborovom systéme NTFS, ktorý bude obsahovať systémový zväzok. Je tiež potrebné mať prístup na server DNS zo servera. DNS je nainštalovaný na tomto alebo ďalšom serveri, ktorý musí podporovať záznamy o zdrojoch.

Na správnu konfiguráciu radiča domény môžete použiť Sprievodcu konfiguráciou, pomocou ktorého môžete pridať vykonávanie konkrétnych rolí. Ak to chcete urobiť, musíte prejsť do sekcie správy cez ovládací panel. Ako rolu servera musíte zadať radič domény.

Doménový radič je dnes nevyhnutný pre siete a stránky používané rôznymi organizáciami, inštitúciami a spoločnosťami vo všetkých sférach ľudskej činnosti. Vďaka nemu je zabezpečená vysoká produktivita a bezpečnosť, čo je obzvlášť dôležité v počítačových sieťach. Úloha doménového radiča je veľmi dôležitá, pretože vám umožňuje spravovať rozsahy domény postavené na počítačových sieťach. Každý operačný systém má určité nuansy spojené s fungovaním doménových radičov, ale princíp a jeho účel sú všade rovnaké, takže zistenie nastavení nie je také ťažké, ako by sa mohlo zdať na začiatku. Je však veľmi dôležité, aby boli radiče domény vyladené odborníkmi, aby sa v konečnom dôsledku dosiahol vysoký výkon a bezpečnosť počas prevádzky.

Prišla jar a s ňou zvýšená túžba zrodiť základný materiál, ktorý odpovedá na otázku, ktorá sa zdá byť zrejmá, no zároveň kriticky dôležitá v dizajne: aké meno by ste mali dať doméne Active Directory, aby neskôr by to nebolo neznesiteľne bolestivé?

V tomto článku sa vás pokúsim previesť od najhorších možných názvov domén Active Directory k tým, ktoré považujem za najlepšie, a zároveň poukážem na úskalia, ktoré treba prekonať.

Doména s jednolabelovým názvom nie je použiteľná v produkčnom prostredí a jediný správny spôsob je zbaviť sa jej čo najskôr.

Neplatné znaky v názve domény

Napríklad podčiarkovník. Aj keď bol tento znak povolený pri výbere názvu domény DNS v predchádzajúcich verziách systému Windows Server, nespĺňa štandard RFC 1123 pre DNS. Novšie verzie systému Windows Server už neumožňujú pomenovanie domén v rozpore so štandardom. Ak bola zdedená doména s názvom obsahujúcim podčiarkovník, očakávajú sa veľké problémy. Nemôžete napríklad nainštalovať Exchange 2007 a vyšší. Existuje len jedno riešenie – zbaviť sa neplatných znakov v názve domény migráciou na inú doménu (preferované), alebo premenovaním domény (nebezpečné).

Nespojitý menný priestor

Jedným zo špeciálnych prípadov Disjoint namespace je, keď sa názov domény Netbios líši od ľavej časti názvu domény DNS.

Názov Netbios = TEST
Názov DNS = lab.site

Z hľadiska funkčnosti je táto konfigurácia plne podporovaná. Ale aj tak odporúčam vyhnúť sa tomu, aby som nezaviedol zmätok a nejasnosti.

.miestne alebo ICANN

V mnohých tutoriáloch uvidíte názvy domén ako company.local. Používanie takýchto mien na vzdelávacie a testovacie účely skutočne nie je trestným činom. Horšie je, keď sú skutočné domény pomenované podľa rovnakej schémy:

• Názov je v rozpore s ideológiou globálneho DNS: nezaručuje absenciu kolízií s inými doménami rovnakého typu (keď príde čas na vytvorenie dôveryhodných vzťahov)
• Toto meno nie je možné použiť na prístup z globálnej siete (keď je čas na zverejnenie)
• Doména, ktorú nemožno overiť, nemôže získať verejný certifikát SSL. Toto obmedzenie je obzvlášť dôležité pri rozvoji cloudových služieb, keď sú hranice medzi on-premise a cloudovými službami nejasné. Len príklad: na fungovanie jediného prihlásenia so službami Office 365 sa vyžadujú služby AD Federation Services s verejným certifikátom

Odporúčam preto pri pomenovaní domény vždy používať oficiálne registrovaný globálny názov v hierarchii ICANN (Internet Corporation for Assigned Names and Numbers), ktorý zaručene odstraňuje vyššie popísané nevýhody.

stránky
argon.com.ru
irom.info

Vyberte alebo skombinujte

Povedzme, že navrhujeme štruktúru domény pre spoločnosť s názvom Argon, ktorá má stránku na mieste a tiež používa e-mailové adresy v rovnakej doméne. Ale je lepšie to nerobiť z nasledujúcich dôvodov:

• Ak v rámci siete takejto organizácie v prehliadači zadáte adresu http: // site /, nedostaneme sa na webovú stránku spoločnosti, ale na prvý radič domény, ktorý sa stretne.
• Správa verejných a interných DNS záznamov je náročná: všetky verejné DNS záznamy v zóne lokality, ktoré sa používajú z internej siete, musia byť duplikované v internej DNS zóne. Taktiež je potrebné nejako zabezpečiť synchronizáciu týchto záznamov.

Napríklad na internete existuje stránka www.site. Aby sa k nemu dostali používatelia z internej siete, je potrebné vytvoriť podobný záznam v internej DNS zóne.

• Existuje možnosť kolízií medzi internými a externými názvami zdrojov.

Napríklad na intranete je široko používaný ftp server. Zrazu vznikla potreba poskytnúť používateľom internetu súborovú službu na rovnakom ftp. Čo sa stalo? Interní používatelia sa nemôžu pripojiť k externej službe pomocou zadaného názvu...

Pre doménu Active Directory je teda lepšie mať vyhradený menný priestor (namespace), odlišný od menného priestoru na internete (web spoločnosti atď.). A aj tu je na výber:

• Použite úplne iný názov pre AD (stránka pre web, argon.com.ru pre AD)
• Použiť podradené meno pre AD (miesto pre lokalitu, laboratórium pre AD)

Obidve možnosti vyhovujú ideológii DNS a neobsahujú vyššie uvedené nevýhody, ale druhá možnosť s podriadenou doménou môže byť výhodnejšia z hľadiska:

• podpora registrovaných doménových mien (platba za registráciu a DNS hosting len jednej domény)
• dostupnosť krásnych mien na registráciu (netreba sa registrovať)
• získanie verejných SSL certifikátov (len jeden zástupný certifikát je možné použiť ako pre webovú stránku spoločnosti, tak aj pri publikovaní interných sieťových zdrojov)

Navrhujem teda vybrať si vyhradenú doménu pre AD, ale doménu podriadenú stránke organizácie.

lab.site
corp.microsoft.com

Rozštiepený mozog

Split-brain DNS znamená použitie jedného názvu domény na publikovanie zdrojov vo vnútornej sieti aj na internete. V tomto prípade DNS servery internej siete prekladajú adresy formulára portál.lab.site na interné IP adresy a verejné DNS servery na internete na externé IP adresy. Príklad:

Názov DNS	Vo vnútornej sieti	Na internete
portál.lab.stránka	10.18.0.20	77.37.182.47
stránka smtp.lab	10.18.0.40	78.107.236.18

Vďaka split-brain sa dosahujú užitočné veci, ako sú jednotné adresy pre prístup k zdrojom z internej siete aj z internetu. Používateľovi stačí poznať jednu adresu, portal.lab, stránku, cez ktorú sa dostane k svojim dokumentom, a nezáleží na tom, kde sa nachádza: v kancelárii spoločnosti alebo v hoteli.

Z hľadiska infraštruktúry je vhodné mať rovnakú adresu CRL alebo OCSP v certifikátoch SSL vydaných internými CA.

Pri absencii rozdeleného mozgu môže byť potrebné vytvoriť takzvané presné zóny na interných serveroch DNS, takéto „bodové“ zóny budú obsahovať iba tie záznamy, pre ktoré je potrebné nahradiť „verejné“ hodnoty „súkromnými“. ” tie, ktoré sú charakteristické pre internú sieť (situácia podobná tej, ktorá je opísaná pod nadpisom „Vybrať alebo zladiť“).

Príklad presnej zóny:

Názov DNS	Vo vnútornej sieti	Na internete
_sipinternaltls._tcp.lab.site	stránka sip.lab	lync.argon.com.ru

Vysvetlite alebo zhrňte

V literatúre môžete nájsť radu, ako nazývať domény (najmä koreň) všeobecným slovom, ako napríklad Banka, Spoločnosť alebo Corp. Existujú na to dobré dôvody, pretože v našej dobe môžu spoločnosti pravidelne zažívať fúzie a akvizície, zmeny značiek. A názov domény, ako viete, je veľmi ťažké zmeniť.

Na druhej strane, pri rovnakých fúziách a akvizíciách používatelia pravdepodobne migrujú z jednej domény do druhej. V praxi som sa stretol so situáciou, keď som potreboval migrovať používateľov z tucta domén s rovnakým názvom Banky. Ako viete, vytvorenie dôveryhodných vzťahov medzi doménami s rovnakým názvom (či už ide o DNS alebo Netbios) nie je možné. Tieto domény budete musieť buď premenovať, alebo migrovať údaje v dvoch fázach cez tretiu doménu.

Prikláňam sa k názoru, že je lepšie pomenovať doménu konkrétne a tolerovať starý názov po premenovaní spoločnosti, ako ju pomenovať genericky a dostať vážne technické problémy, keď potrebujete migrovať alebo nadviazať dôveryhodný vzťah.

Dokončovacie úpravy na ceste k dokonalosti

• celosvetovo registrované
• vyhradená (podriadená doména webovej stránky spoločnosti)
• špecifické
• používať rozdelený mozog

lab.site
corp.microsoft.com

V Lyncu by však bolo lepšie použiť kratšie adresy pre e-mailové a SIP adresy. [e-mail chránený] stránky . Nič nám v tom nebráni, ale pribudnú nepríjemnosti.

E-mailová adresa používateľa = [e-mail chránený] lokalita, prihlasovacie meno = laboratórium \ používateľ, hlavné meno používateľa = [e-mail chránený] stránky . Je ľahké sa tu zmiasť nielen pre používateľa, ale aj pre programy ako Outlook a Lync.

Po menších úpravách účtov budú mať používatelia hlavné meno používateľa rovnaké ako ich e-mailová adresa. Nastane menší zmätok a programy ako Lync a Outlook si prestanú pýtať používateľské meno, bude im stačiť poznať e-mail alebo SIP adresu.

Moje základné práce:

Články o iných zdrojoch:

• Úvahy o názvoch domén Active Directory – a tu je suchý sprievodca od spoločnosti Microsoft
• Konvencie pomenovania v Active Directory pre počítače, domény, lokality a organizačné jednotky – pozri podsekciu Lesy, ktoré sú pripojené na internet
• Prečo by ste v názve domény Active Directory nemali používať .local – podobný článok od zahraničného kolegu

Smerovanie
Tagy
Publikované

V zriedkavých prípadoch môže správca doménových služieb čeliť úlohe premenovať aktuálnu doménu. Dôvody môžu byť rôzne, ale takáto situácia je celkom možná. Napriek tomu, že túto úlohu nemožno nazvať triviálnou, ale občas jej musíte čeliť, je mimoriadne dôležité robiť všetko správne, pretože inak môže byť výsledok udalostí kriticky nebezpečný až po úplne nefunkčnú podnikovú infraštruktúru. Takže neskôr v tomto článku sa dozviete o predpokladoch vykonania tejto operácie, niektorých obmedzeniach a o tom, ako môžete premenovať svoju doménu. Skôr než začneme, nevykonávajte tieto kroky v produkčnom prostredí, kým úspešne nepremenujete svoju testovaciu doménu v prostredí laboratória. Začnime.

Predpoklady

Skôr ako začnete premenovávať svoju doménu, nezabudnite zvážiť nasledujúce informácie:

• Funkčná úroveň lesa Active Directory... Úlohy premenovania domén môžete vykonávať iba vtedy, ak sú všetky domény v doménovej štruktúre vybavené aspoň systémom Windows Server 2003 (v tomto prípade neexistujú žiadne obmedzenia vydania). Okrem toho musí byť funkčná úroveň zvýšená aspoň na úroveň Windows Server 2003. To znamená, že ak ste v lese vybrali funkčnú úroveň Windows Server 2000, nasledujúca operácia bude jednoducho nemožná;
• Umiestnenie domény... V doméne Active Directory môžu byť rôzne úrovne domén. To znamená, že môže existovať buď samostatná doména, alebo môže les obsahovať podradené domény. V prípade, že zmeníte umiestnenie radiča domény v rámci lesa, budete musieť vytvoriť vzťah dôvery;
• DNS zóna... Pred vykonaním operácie premenovania domény musíte vytvoriť novú zónu DNS;
• Administratívne poverenia... Ak chcete vykonať operáciu premenovania domény, musíte sa prihlásiť do systému pod správcovským účtom, ktorý je členom skupiny Enterprise Admins;
• Servery distribuovaného systému súborov (DFS).... Ak je vo vašom podnikovom prostredí nasadený DFS alebo sú nakonfigurované roamingové profily, uvedomte si, že na koreňových serveroch DFS musí byť spustený aspoň Windows Server 2000 s operačným systémom Service Pack 3 alebo novším;
• Nekompatibilita so servermi Microsoft Exchange... Najnepríjemnejším bodom je, že ak je poštový server Microsoft Exchange Server 2003 Service Pack 1 nasadený vo vašej doméne Active Directory, premenovanie domény sa vykoná bez problémov, ale používateľský účet, pod ktorým sa bude proces premenovania domény vykonávať, by mal byť člen skupiny Full Exchange Administrator. Všetky novšie poštové servery (vrátane Exchange Server 2016) nie sú kompatibilné s operáciami premenovania domény.

Upozorňujeme tiež, že počas premenovania domény musíte zmraziť všetky nadchádzajúce konfigurácie lesa služby Active Directory. Inými slovami, musíte sa uistiť, že konfigurácia lesa sa nezmení, kým sa nedokončí operácia premenovania domény (podrobnosti o dokončení tohto kroku nájdete nižšie). Tieto operácie zahŕňajú: vytváranie alebo odstraňovanie domén vo vašej doménovej štruktúre Active Directory, vytváranie alebo odstraňovanie oddielov adresára aplikácií, pridávanie alebo odstraňovanie radičov domény v doménovej štruktúre, vytváranie alebo odstraňovanie priamo zriadenej dôveryhodnosti a pridávanie alebo odstraňovanie atribútov, ktoré budú replikované do globálnej katalóg.

Pre každý prípad by som tiež navrhol, aby ste vytvorili úplnú zálohu stavu systému na každom radiči domény vo vašej doméne Active Directory. Ak túto úlohu splníte, toto opatrenie určite nebude zbytočné.

V prípade, že vaša infraštruktúra spĺňa vyššie uvedené požiadavky a máte vytvorené všetky požadované zálohy, môžete pristúpiť k procesu premenovania domény.

Proces premenovania domény Active Directory

Po prvé, ak chcete skontrolovať pôvodný názov vašej domény, môžete otvoriť okno vlastností systému. Ako môžete vidieť na priloženom obrázku, moja doména sa volá „Biopharmaceutic.local“:

Ryža. 1. Kontrola pôvodného názvu domény Active Directory

Teraz by ste mali vytvoriť novú zónu DNS „biopharm.local“, aby sa po úspešnom premenovaní domény mohli vaše členské servery a klienti ľahko pripojiť k novému názvu domény. Ak to chcete urobiť, otvorte „ Správca DNS» ( Správca DNS) a byť v " Oblasť živého náhľadu» ( Zóna dopredného vyhľadávania) vyberte možnosť vytvorenia novej zóny. V podstate sa zóna vytvorí ako obvykle: na prvej stránke sprievodcu vytvorením novej zóny by ste si mali prečítať úvodné informácie a prejsť na druhú stránku. Na stránke typu zóny vyberte hlavnú zónu ( Primárna zóna) a uistite sa, že bola aktivovaná možnosť uloženia zóny do Active Directory. Na stránke rozsahu replikácie zóny ponechajte predvolenú možnosť - " Pre všetky servery DNS spustené na radičoch domény v tejto doméne: Biopharmaceutic.local» ( Na všetky servery DNS spustené na radičoch domény v tejto doméne: Biopharmaceutic.local). Na stránke názvu zóny zadajte nový názov domény (biopharm.local) a na stránke dynamickej aktualizácie tiež ponechajte možnosť „ Povoliť iba zabezpečené dynamické aktualizácie (odporúča sa pre Active Directory)» ( Povoliť iba zabezpečené dynamické aktualizácie (odporúča sa pre Active Directory)), ktorá je predvolene vybratá. Nižšie môžete vidieť niekoľko fáz vytvárania novej zóny:

Ryža. 2. Vytvorte novú zónu DNS

Ďalším krokom pri premenovávaní domény je vygenerovanie popisu aktuálneho stavu lesa. V podstate ide o prvú operáciu premenovania domény, ktorá bude využívať nástroj príkazového riadka Rendom... Tento nástroj vygeneruje textový popis vašej aktuálnej štruktúry lesa ako súbor XML s názvom Domainlist.xml. Tento súbor obsahuje zoznam všetkých oddielov adresára domény, ako aj oddielov adresára aplikácií, ktoré sa nachádzajú vo vašej doméne Active Directory. Každá položka pre každú doménu a oddiel adresára aplikácie je ohraničená značkami XML a... Okrem toho každý záznam obsahuje údaje, ktoré zahŕňajú globálne jedinečný identifikátor objektu (GUID) objektu koreňového oddielu, názov DNS domény alebo adresára aplikácie a názov NetBIOS pre doménu.

Ak chcete vytvoriť takýto súbor, otvorte príkazový riadok pod príslušným účtom a vykonajte príkaz „ náhodný / zoznam". Vygenerovaný súbor sa uloží do koreňového adresára vášho používateľského účtu. Ďalej budete musieť tento súbor otvoriť pomocou ľubovoľného textového editora.

V tomto súbore je potrebné zmeniť názov domény v sekcii, ktorá je ohraničená značkami a a názov NetBIOS vo vnútri značiek a). Nezabudnite, že nesmiete meniť GUID v rámci zodpovedajúcich značiek.

Na nasledujúcom obrázku uvidíte proces vykonávania vyššie uvedeného príkazu, umiestnenie súboru Domainlist.xml a zmeny pre prvú časť tohto súboru. V mojom prípade sa názov domény v tejto konfigurácii zmení 4-krát:

Ryža. 3. Generovanie a úprava súboru Domainlist.xml

Aby ste sa uistili, že ste vykonali požadované zmeny v príslušnom súbore, môžete spustiť príkaz „ Rendom / showforest". Ako môžete vidieť na nasledujúcom obrázku, všetky moje záznamy sa zmenili na „Bopharm“:

Ryža. 4. Pozrite si potenciálne zmeny

Keď spustíte nasledujúci príkaz ( prehodiť / odovzdať) Pomôcka Rendom preloží novú štruktúru lesa špecifikovanú v upravenom súbore do postupnosti inštrukcií na aktualizáciu adresára, ktoré sa budú spúšťať lokálne a vzdialene na každom radiči domény v lese. Vo všeobecnosti sa v tomto bode vykonajú zmeny v sekcii konfiguračného adresára Sprievodcu názvom domén, aby sa premenovala doména Active Directory. Okrem toho sa vygeneruje súbor Dclist.xml a použije sa na sledovanie priebehu a stavu každého radiča domény v lese pre operáciu premenovania domény. Mimochodom, v tomto bode Rendom zmrazí vašu doménovú štruktúru služby Active Directory pred vykonaním akýchkoľvek zmien v konfigurácii. Proces vykonania tohto príkazu je uvedený nižšie:

Ryža. 5. Vykonanie príkazu Rendom / upload

Nasledujúci príkaz sa spustí na kontrolu pripravenosti radičov domény pred operáciou premenovania domény. Počas tohto kroku musíte spustiť príkaz prípravnej kontroly každý radič domény v lese... Toto má zabezpečiť, že databáza Active Directory na každom radiči domény v lese je v správnom stave a pripravená na vykonanie zmien, ktoré premenujú vašu doménu. Preto spustite príkaz " prerobiť / pripraviť", Ako je znázornené na nasledujúcom obrázku:

Ryža. 6. Príprava domény na premenovanie

Najzásadnejší moment. Vykonanie príkazu " prehodiť / vykonať". Keď spustíte tento príkaz, postupujte podľa pokynov na premenovanie domény na doméne. V podstate sa práve v tomto momente ku každému radiču domény v lese pristupuje individuálne, čo núti každý radič domény postupovať podľa pokynov na premenovanie domény. Po dokončení tejto operácie sa každý radič domény reštartuje. Proces premenovania domény nájdete na nasledujúcom obrázku:

Ryža. 7. Proces premenovania domény

To však nie je všetko. Aj keď vaša doména už bola v podstate premenovaná, stále máte za úlohu opraviť GPO a ich referencie po dokončení operácie premenovania domény. Pomocou pomocného programu príkazového riadka obnovte objekty GPO a GPO v každej premenovanej doméne Gpfixup.exe... Tento postup nemožno zanedbať, pretože bez jeho použitia po dokončení operácie premenovania domény v novom lese nebude skupinová politika jednoducho fungovať správne. Upozorňujeme, že tento príkaz musí byť spustený raz pre premenovanú doménu. Preto príkaz spustite raz gpfixup s parametrami /olddns:Biofarmaceutikum.lokálne(starý názov domény, ktorú ste premenovali) a /newdns:Biopharm.local(nový názov domény) a potom príkaz gpfixup s parametrami / oldnb: Biofarmaceutikum a / newnb: Biopharm(respektíve starý a nový názov NETBIOS vašej domény). Tento postup je viditeľný nižšie:

Ryža. 8. Oprava objektov skupinovej politiky

Zostávajú iba dva príkazy na vykonanie: príkaz „ prenajať / vyčistiť", Čo vám umožňuje odstrániť všetky odkazy na staré názvy domén v rámci vášho Active Directory, ako aj príkaz" prehodiť / ukončiť“, V skutočnosti rozmrazenie lesa Active Directory z vykonávania zmien v jeho konfigurácii. Proces vykonávania týchto príkazov môžete vidieť na nasledujúcom obrázku:

Ryža. 9. Dokončenie premenovania domény Active Directory

Aby sa zmeny prejavili na členských serveroch a koncových klientoch, budete musieť dvakrát reštartovať ich počítače. Radiče domény však budete musieť premenovať ručne. Ako môžete vidieť na nasledujúcom obrázku, názov môjho doménového radiča zostáva rovnaký.

Stručne povedané, AD vám umožňuje mať jediné miesto správy pre všetky vaše publikované zdroje. AD je založená na štandarde názvov X.500, Domain Name System (DNS) pre umiestnenie a používa Lightweight Directory Access Protocol (LDAP) ako svoj primárny protokol.

AD integruje logickú a fyzickú štruktúru siete. Logická štruktúra AD pozostáva z nasledujúcich prvkov:

• organizačná jednotka - podskupina počítačov, ktorá zvyčajne odráža štruktúru spoločnosti;
• doména - skupina počítačov zdieľajúcich spoločnú databázu katalógu;
• strom domén - jedna alebo viac domén zdieľajúcich súvislý menný priestor;
• doménový les - jeden alebo viac stromov zdieľajúcich informácie o adresári.

Fyzická štruktúra zahŕňa nasledujúce prvky:

• podsiete - sieťovú skupinu so špecifikovaným rozsahom IP adries a sieťovou maskou;
• stránky - jedna alebo viac podsietí. Stránka sa používa na konfiguráciu prístupu k adresárom a na replikáciu.

V adresári sú uložené tri typy informácií: údaje domény, údaje schémy a konfiguračné údaje. AD používa iba radiče domény. Údaje domény sa replikujú do všetkých radičov domény. Všetky radiče domény sú si rovné, t.j. všetky zmeny vykonané z ľubovoľného radiča domény sa replikujú na všetky ostatné radiče domény. Schéma a konfiguračné údaje sa replikujú do všetkých domén v strome alebo lese. Okrem toho sú všetky objekty v individuálnej doméne a niektoré vlastnosti objektov lesa replikované do globálneho katalógu (GC). To znamená, že radič domény ukladá a replikuje schému pre strom alebo les, konfiguračné informácie pre všetky domény v strome alebo lese a všetky adresárové objekty a vlastnosti pre svoju vlastnú doménu.

Radič domény, ktorý uchováva GC obsahuje a replikuje informácie o schéme pre les, konfiguračné informácie pre všetky domény v lese a obmedzenú množinu vlastností pre všetky objekty adresára v lese (ktoré sa replikujú iba medzi servermi GC). ako všetky adresárové objekty a vlastnosti pre vašu doménu.

Radiče domény môžu mať rôzne roly hlavného operačného servera. Hlavný operačný systém rieši úlohy, ktoré sú nepohodlné vo viachlavnom replikačnom modeli.

Existuje päť rolí hlavného servera operácií, ktoré možno priradiť jednému alebo viacerým radičom domény. Niektoré roly musia byť jedinečné na úrovni lesa, iné na úrovni domény.

Každý les AD má nasledujúce úlohy:

• Majster schémy - Spravuje aktualizácie a zmeny v schéme adresára. Ak chcete aktualizovať schému katalógu, potrebujete prístup k hlavnému serveru schém. Ak chcete zistiť, ktorý server je momentálne hlavným serverom schémy v doméne, musíte zadať príkaz do okna príkazového riadka dsquery server - schéma hasfsmo
• Majster názvov domén - spravuje pridávanie a odstraňovanie domén v lese. Ak chcete pridať alebo odstrániť doménu, potrebujete prístup k hlavnému správcovi názvov domén. Ak chcete zistiť, ktorý server je momentálne hlavným serverom názvov domén, do príkazového riadka zadajte dsquery server -hasismo name

Tieto úlohy sú spoločné pre celý les a sú v ňom jedinečné.

V každej doméne AD musia existovať nasledujúce roly:

• Relatívna predloha ID - prideľuje relatívne identifikátory radičom domény. Zakaždým, keď sa vytvorí používateľ, skupina alebo počítačový objekt, radiče priradia objektu jedinečné SID, ktoré pozostáva z SID domény a jedinečného ID, ktoré pridelil relatívny hlavný ID. Ak chcete zistiť, ktorý server je momentálne hlavným ID relatívnych domén, do príkazového riadka zadajte dsquery server -hasfsmo rid
• Emulátor PDC (emulátor PDC) - V režime zmiešanej alebo postupnej domény funguje ako hlavný radič domény Windows NT. Overuje prihlásenie do systému Windows, spracováva zmeny hesla a replikuje aktualizácie do BDC, ak nejaké existujú. Ak chcete zistiť, ktorý server je momentálne emulátorom domény PDC, do príkazového riadka zadajte dsquery server -hasfsmo pdc
• Majster infraštruktúry - Aktualizuje referencie objektov porovnaním údajov svojho katalógu s údajmi GC. Ak sú údaje neaktuálne, vyžiada si aktualizácie od GC a replikuje ich na zvyšok radičov domény. Ak chcete zistiť, ktorý server je momentálne hlavným serverom infraštruktúry domény, do príkazového riadka zadajte dsquery server -hasfsmo infr

Tieto roly sú spoločné pre celú doménu a musia byť v rámci nej jedinečné.

Roly hlavného operačného servera sú automaticky priradené k prvému radiču domény v doméne, ale neskôr ich môžete priradiť vy. Ak je v doméne iba jeden radič, potom vykonáva všetky úlohy hlavného operačného servera naraz.

Neodporúča sa oddeľovať roly hlavného servera schém a hlavného servera názvov domén. Vždy, keď je to možné, priraďte ich k jednému radiču domény. Pre čo najväčšiu efektivitu je žiaduce, aby master relatívnych identifikátorov a emulátor PDC boli tiež na rovnakom ovládači, hoci tieto roly možno v prípade potreby oddeliť. Vo veľkej sieti, kde veľké zaťaženie spomaľuje výkon, by mal byť RID master a PDC emulátor umiestnený na samostatných radičoch. Tiež sa neodporúča hostiť hlavný server infraštruktúry na radiči domény, ktorý ukladá globálny katalóg.

Inštalácia radiča domény (DC) systému Windows Server 2003 pomocou Sprievodcu inštaláciou služby Active Directory

Radič domény sa inštaluje pomocou Sprievodcu inštaláciou služby Active Directory. Ak chcete povýšiť stav servera na radič domény, musíte sa uistiť, že sú splnené všetky potrebné požiadavky:

1. Server musí mať aspoň jeden oddiel NTFS na uloženie systémového zväzku SYSVOL.
2. Server musí mať prístup k serveru DNS. Odporúča sa nainštalovať službu DNS na rovnaký server. Ak používate samostatný server, musíte sa uistiť, že podporuje záznamy o prostriedku umiestnenia služby (RFC 2052) a protokol dynamických aktualizácií (RFC 2136).
3. Na serveri musíte mať účet s právami lokálneho správcu.

Pozrime sa bližšie na povýšenie role servera na radič domény Active Directory v krokoch:

Základy správy domén Active Directory

Množstvo nástrojov v moduloch snap-in konzoly Microsoft Management Console (MMC) uľahčuje prácu so službou Active Directory.

Modul (Active Directory Users and Computers) je modul MMC, ktorý môžete použiť na správu a publikovanie informácií v adresári. Je to hlavný administratívny nástroj pre Active Directory a používa sa na vykonávanie všetkých úloh súvisiacich s používateľmi, skupinami a počítačmi, ako aj na správu organizačných jednotiek.

Ak chcete spustiť modul snap-in (Používatelia a počítače služby Active Directory), vyberte príkaz s rovnakým názvom v ponuke Nástroje na správu.

V predvolenom nastavení konzola Active Directory Users and Computers pracuje s doménou, do ktorej patrí váš počítač. K počítaču a užívateľským objektom v tejto doméne môžete pristupovať cez strom konzoly alebo sa pripojiť k inej doméne. Nástroje tej istej konzoly umožňujú zobraziť ďalšie parametre objektov a vyhľadať ich.

Po prístupe k doméne uvidíte štandardnú sadu priečinkov:

• Uložené dotazy (Uložené dopyty) – Uložené kritériá vyhľadávania, ktoré vám umožňujú rýchlo zopakovať predtým vykonané vyhľadávanie v Active Directory;
• Vstavaný - zoznam vstavaných používateľských účtov;
• Počítače - predvolený kontajner pre počítačové účty;
• radiče domén - predvolený kontajner pre radiče domény;
• Zahraniční riaditelia bezpečnosti - obsahuje informácie o objektoch z dôveryhodnej externej domény. Tieto objekty sa zvyčajne vytvárajú, keď sa do aktuálnej skupiny domén pridá objekt z externej domény;
• Používatelia Je predvolený kontajner pre používateľov.

Niektoré priečinky konzoly sa predvolene nezobrazujú. Ak ich chcete zobraziť, vyberte položku Rozšírené funkcie z ponuky Zobraziť. Tieto ďalšie priečinky sú:

• Straty a nálezy - stratil majiteľa, katalógové predmety;
• Kvóty NTDS - údaje o kvótach pre adresárovú službu;
• Údaje programu - údaje uložené v adresárovej službe pre aplikácie Microsoft;
• systém - parametre vstavaného systému.

Priečinky pre organizačné jednotky môžete do stromu AD pridať sami.

Pozrime sa na príklad vytvorenia používateľského účtu domény. Ak chcete vytvoriť používateľské konto, kliknite pravým tlačidlom myši na kontajner, do ktorého chcete používateľské konto umiestniť, z kontextovej ponuky vyberte položku Nový a potom položku Používateľ. Otvorí sa sprievodca Nový objekt – Používateľ:

1. Do príslušných polí zadajte krstné meno, iniciály a priezvisko používateľa. Tieto informácie budete potrebovať na vytvorenie svojho zobrazovaného mena.
2. Upravte celé meno. Musí byť jedinečný v doméne a nesmie mať viac ako 64 znakov.
3. Zadajte svoje prihlasovacie meno. Pomocou rozbaľovacieho zoznamu vyberte doménu, ku ktorej bude účet priradený.
4. Ak je to potrebné, zmeňte používateľské meno na prihlásenie do systémov so systémom Windows NT 4.0 alebo starším. V predvolenom nastavení sa ako prihlasovacie meno v predchádzajúcich verziách systému Windows používa prvých 20 znakov úplného mena používateľa. Tento názov musí byť jedinečný v celej doméne.
5. Kliknite Ďalšie. Zadajte heslo pre používateľa. Jeho parametre musia byť v súlade s vašou politikou hesiel;
   Potvrdiť heslo – pole používané na potvrdenie zadaného hesla je správne;
   Používateľ si musí pri ďalšom prihlásení zmeniť heslo(Vyžadovať zmenu hesla pri ďalšom prihlásení) – ak je toto zaškrtávacie políčko začiarknuté, používateľ si bude musieť pri nasledujúcom prihlásení zmeniť heslo;
   Používateľ nemôže zmeniť heslo – ak je začiarknuté, používateľ nemôže zmeniť heslo.
   Heslo nikdy nevyprší – ak je vybraté, platnosť hesla pre tento účet ešte nevyprší (toto nastavenie má prednosť pred zásadami účtu domény).
   Účet je zakázaný – ak je vybratá táto možnosť, účet je deaktivovaný (táto možnosť je užitočná, ak niekomu dočasne znemožníte používanie tohto účtu).

Účty vám umožňujú ukladať kontaktné informácie používateľov, ako aj informácie o účasti v rôznych doménových skupinách, cestu k profilu, prihlasovací skript, cestu k domovskému priečinku, zoznam počítačov, z ktorých má používateľ povolený vstup doménu atď.

Prihlasovacie skripty definujú príkazy, ktoré sa vykonávajú pri každom prihlásení. Umožňujú vám konfigurovať systémový čas, sieťové tlačiarne, cesty k sieťovým jednotkám atď. Skripty sa používajú na jednorazové spustenie príkazov a nastavenia prostredia nastavené skriptami sa neuložia na neskoršie použitie. Prihlasovacie skripty môžu byť súbory Windows Script Host s príponou .VBS, .JS a inými, dávkové súbory s príponou .BAT, dávkové súbory s príponou .CMD, programy s príponou .EXE.

Každému účtu môžete priradiť vlastný domovský priečinok na ukladanie a obnovu používateľských súborov. Väčšina aplikácií predvolene otvára svoj domovský priečinok na otváranie a ukladanie súborov, čo používateľom uľahčuje vyhľadávanie údajov. Na príkazovom riadku je domovský priečinok pôvodný aktuálny adresár. Domovský priečinok môže byť umiestnený na lokálnom pevnom disku používateľa aj na verejnom sieťovom disku.

Zásady skupiny možno použiť na počítač v doméne a používateľské účty. Zásady skupiny zjednodušujú správu tým, že správcom poskytujú centralizovanú kontrolu nad oprávneniami, povoleniami a schopnosťami používateľov a počítačov. Zásady skupiny vám umožňujú:

• Vytvorte centrálne spravované špeciálne priečinky, ako sú Moje dokumenty
• ovládať prístup ku komponentom Windows, systémovým a sieťovým prostriedkom, nástrojom ovládacieho panela, pracovnej ploche a ponuke Štart;
• konfigurovať skripty pre používateľov a počítače na vykonanie úlohy v určenom čase;
• konfigurovať zásady pre heslá a zablokovanie účtov, auditovanie, prideľovanie používateľských práv a bezpečnosť.

Okrem úloh správy používateľských účtov a skupín existuje mnoho ďalších úloh správy domény. Na to slúžia iné snap-iny a aplikácie.

Výstroj Domény a dôveryhodnosti služby Active Directory(Active Directory – Domains and Trusts) sa používa na prácu s doménami, stromami domén a doménovými lesmi.

Výstroj Lokality a služby Active Directory(Active Directory – Sites and Services) vám umožňuje spravovať lokality a podsiete, ako aj replikáciu medzi lokalitami.

Existujú nástroje príkazového riadka na správu objektov AD, ktoré vám umožňujú vykonávať širokú škálu administratívnych úloh:

• Dsadd - pridáva počítače, kontakty, skupiny, organizačné jednotky a používateľov do Active Directory. Ak potrebujete pomoc, zadajte dsadd /? napr počítač dsadd /?
• Dsmod - upravuje vlastnosti počítačov, kontaktov, skupín, organizačných jednotiek, používateľov a serverov registrovaných v Active Directory. Ak potrebujete pomoc, zadajte dsmod /? napr server dsmod /?
• Dsmove - presunie jeden objekt na nové miesto v rámci domény alebo premenuje objekt bez presunu.
• Dsget - Zobrazuje vlastnosti počítačov, kontaktov, skupín, organizačných jednotiek, používateľov, lokalít, podsietí a serverov registrovaných v Active Directory. Ak potrebujete pomoc, zadajte dsget /? napr. dsget subnet /?
• Dsquery - vyhľadáva počítače, kontakty, skupiny, organizačné jednotky, používateľov, lokality, podsiete a servery v Active Directory podľa zadaných kritérií.
• Dsrm - odstráni objekt z Active Directory.
• Ntdsutil - Umožňuje vám zobraziť informácie o lokalite, doméne alebo serveri, spravovať hlavné operácie a udržiavať databázu Active Directory.

Existujú aj nástroje podpory služby Active Directory:

• Ldp - Vykonáva operácie LDAP v správe Active Directory.
• Replmon - Spravuje replikáciu a zobrazuje jej výsledky v grafickom rozhraní.
• Dsacls - Spravuje zoznamy ACL (Access Control List) pre objekty Active Directory.
• Dfsutil - Spravuje distribuovaný súborový systém (DFS) a zobrazuje informácie o jeho práci.
• Dnscmd - Spravuje vlastnosti serverov DNS, zón a záznamov o zdrojoch.
• Movetree - Presúva objekty z jednej domény do druhej.
• Repadmin - Spravuje replikáciu a zobrazuje jej výsledky v okne príkazového riadka.
• Sdcbeck - Analyzuje distribúciu, replikáciu a dedičnosť ACL.
• Sidwalker - Určuje zoznamy prístupových práv pre objekty, ktoré boli predtým vo vlastníctve presunutých, odstránených alebo osirotených účtov.
• Netdom - Umožňuje vám spravovať domény a trusty z príkazového riadku.

Ako môžete vidieť z tohto článku, kombinovanie skupín počítačov do domén založených na Active Directory môže výrazne znížiť náklady na administratívne úlohy centralizáciou správy doménových účtov počítačov a používateľov a tiež umožňuje flexibilne spravovať používateľské práva, bezpečnosť a množstvo ďalších parametrov. Podrobnejší materiál o organizovaní domén možno nájsť v súvisiacej literatúre.