Etki alanı denetleyicilerini farklı alt ağlarda yapılandırma

22.07.2019

Yazımızda, Active Directory Etki Alanı Hizmetlerini dağıtmadan önce bilmeniz gereken minimum teorik materyali analiz ettik. Bugün, ağın etki alanı yapısının oluşturulmasına ve geçişine daha yakından bakacağımız döngünün pratik kısmına başlayacağız. Her zaman olduğu gibi önce başlayalım - bu makalede size etki alanı denetleyicilerini nasıl düzgün şekilde dağıtacağınızı göstereceğiz.

Tüm planlarınızın pratik uygulamasına geçmeden önce bir ara verin ve bazı küçük şeyleri tekrar kontrol edin. Çoğu zaman bu şeyler yöneticinin gözünden kaçar ve özellikle yeni başlayanlar için gelecekte oldukça ciddi zorluklar getirir.

Gelecekteki etki alanı denetleyicinize WIN-VAGNTE3N62T değil, SRV-DC01 gibi insan tarafından okunabilir bir ad verin.
Ağ bağdaştırıcısını statik bir IP adresine ayarlayın.
Yerleşik yönetici hesabını yeniden adlandırın, yalnızca Latin harflerini ve sembollerini kullanın.

Bu rolü yüklemek, bu sunucuyu henüz bir etki alanı denetleyicisi yapmaz, bunun için yükleme sonunda yapmanız istenecek Etki Alanı Hizmetleri Yükleme Sihirbazı'nı çalıştırmanız gerekir, bunu daha sonra çalıştırarak da yapabilirsiniz. dcpromo.exe.

Sihirbazın tüm ayarlarını ayrıntılı olarak analiz etmeyeceğiz, yalnızca önemli olanlara odaklanacağız, ayrıca kurulum işlemi sırasında oldukça fazla miktarda referans bilgisinin görüntüleneceğini ve dikkatlice okumanızı öneririz. .

Bu bizim ilk etki alanı denetleyicimiz olduğundan, Yeni bir ormanda yeni bir etki alanı oluşturun.

Bir sonraki adım, alan adınızı girmektir. İnternet etki alanına harici bir etki alanı adı verilmesi önerilmez; ayrıca, var olmayan birinci düzey bölgelerde bir ad verilmesi de önerilmez. .yerel veya .Ölçek vesaire. Bir AD etki alanı için en iyi seçenek, örneğin, harici İnternet etki alanının ad alanındaki bir alt etki alanı olacaktır. corp.example.com... Alanımız yalnızca laboratuvarda test amaçlı kullanıldığından, adını koyduk. arayüz31.lab olarak adlandırmak doğru olsa da laboratuvar.site.

Ardından ormanın çalışma modunu belirtiyoruz, bu konuda makalenin önceki bölümünde zaten durduk ve ayrıntılara girmeyeceğiz.

Çok önemli bir nokta - dizin hizmetleri kurtarma modu için yönetici şifresini güvenli bir yere belirtin ve yazın, iyi bir senaryoda buna ihtiyacınız olmamalı, ancak hatırlayamıyorsanız çok daha kötü.

Bir sonraki pencerede, girilen tüm verileri iki kez kontrol edin ve etki alanı hizmetlerini yapılandırma işlemini başlatabilirsiniz. Unutmayın, bu andan itibaren hiçbir şey değiştirilemez veya düzeltilemez ve bir yerde hata yaptıysanız, her şeye yeniden başlamak zorunda kalacaksınız. Bu arada sihirbaz alan servislerini kuruyor, gidip kendinize bir fincan kahve koyabilirsiniz.

Sihirbazı tamamladıktan sonra sunucuyu yeniden başlatın ve her şey doğru yapıldıysa, ağınız için DNS sunucusu olarak da görev yapacak olan ilk etki alanı denetleyicisine sahip olursunuz. Burada başka bir ince nokta ortaya çıkıyor, bu sunucu, etki alanınızdaki tüm nesnelerle ilgili kayıtları içerecek, çözemediği diğer etki alanları ile ilgili kayıtlar talep edildiğinde, sözde daha yüksek sunuculara aktarılacaktır. sunucuları yönlendirme.

Varsayılan olarak, ağ bağlantısının özelliklerinden DNS sunucusunun adresi ileticiler olarak belirtilir; daha sonra çeşitli ağ hatalarından kaçınmak için harici ağdaki kullanılabilir sunucuları açıkça belirtmelisiniz. Bunu yapmak için snap'i açın DNS v Sunucu Yöneticisi ve seçin ileticiler sunucunuz için. En az iki kullanılabilir harici sunucu belirtin; bunlar hem sağlayıcının sunucuları hem de genel DNS hizmetleri olabilir.

Ayrıca DNS sunucusu olan etki alanı denetleyicisinin ağ bağlantısının özelliklerinde DNS adresinin belirtilmesi gerektiğini unutmayın. 127.0.0.1 , diğer yazma seçenekleri yanlış.

İlk etki alanı denetleyicisini oluşturduktan sonra, konuyu süresiz olarak ertelemeden ikincisinin dağıtımına devam edin; bu olmadan AD yapınız eksiksiz ve hataya dayanıklı olarak kabul edilemez. Ayrıca, sunucunun insan tarafından okunabilir bir adı ve statik bir IP adresi olduğundan emin olun, DNS sunucusu olarak ilk denetleyiciyi belirtin ve makineyi etki alanına girin.

Yeniden başlattıktan sonra, etki alanı yöneticisi olarak oturum açın ve rolü yükleyin Active Directory Etki Alanı Hizmetleri ve ardından sihirbazı da çalıştırın. Daha az soruyu yanıtlamanız gerekmesi dışında, ikinci denetleyicinin kurulumunda hiçbir temel farklılık yoktur. Her şeyden önce, mevcut bir etki alanına yeni bir denetleyici eklediğinizi belirtin.

Dediğimiz gibi bu sunucuyu bir DNS sunucusu ve bir Global Katalog yapmanızı öneririz. Genel bir kataloğunuz yoksa alan adınızın çalışmayabileceğini unutmayın, bu nedenle en az iki genel kataloğa sahip olmak ve ayrıca her yeni alana veya AD sitesine GC'ler eklemek iyi bir fikirdir.

Ayarların geri kalanı tamamen aynıdır ve her şeyi tekrar kontrol ettikten sonra, ilgili hizmetlerin ilk denetleyici ile yapılandırılacağı ve çoğaltılacağı ikinci denetleyicinin dağıtımına geçin.

İkinci denetleyicinin kurulumunu tamamladıktan sonra, etki alanı hizmetleri ayarlarına geçebilirsiniz: kullanıcılar oluşturun, bunları gruplara ve departmanlara atayın, grup ilkelerini yapılandırın, vb. vesaire. Bu, herhangi bir etki alanı denetleyicisinde yapılabilir, bunun için uygun menü öğelerini kullanın Yönetim.

Bir sonraki adım, kullanıcı bilgisayarlarının ve üye sunucuların domaine tanıtılması ve ayrıca kullanıcı ortamının domain hesaplarına taşınması olacak, bundan sonraki bölümde bahsedeceğiz.

Active Directory, Microsoft'un Windows NT ailesi işletim sistemleri için dizin hizmetidir.

Bu hizmet, yöneticilerin kullanıcı ortamı ayarlarında, yazılım yüklemesinde, güncellemelerde ve daha fazlasında tutarlılığı sağlamak için grup ilkeleri kullanmasına olanak tanır.

Active Directory'nin özü nedir ve hangi görevleri çözer? Okumaya devam etmek.

Eşler Arası ve Çok Sıralı Ağ İlkeleri

Ancak başka bir sorun ortaya çıkar, ya PC2'deki kullanıcı2 şifresini değiştirmeye karar verirse? Daha sonra kullanıcı1 hesap parolasını değiştirirse, kullanıcı2 PC1'deki kaynağa erişemez.

Başka bir örnek: 20 hesaplı 20 iş istasyonumuz var ve bazılarına erişim vermek istiyoruz, bunun için dosya sunucusunda 20 hesap oluşturmalı ve gerekli kaynağa erişim sağlamalıyız.

Ve 20 değil, 200 varsa?

Anlayacağınız üzere bu yaklaşımla ağ yönetimi tam bir cehenneme dönüşüyor.

Bu nedenle, çalışma grubu yaklaşımı, 10'dan fazla PC'si olmayan küçük ofis ağları için uygundur.

Izgarada 10'dan fazla iş istasyonu varsa, bir ağ düğümüne kimlik doğrulama ve yetkilendirme yapma haklarının devredildiği yaklaşım rasyonel olarak gerekçelendirilir.

Bu site etki alanı denetleyicisidir - Active Directory.

Etki alanı denetleyicisi

Kontrolör, hesapların bir veritabanını tutar, yani. hem PC1 hem de PC2 için kayıt tutar.

Artık tüm hesaplar denetleyiciye bir kez kaydedilir ve yerel hesaplara duyulan ihtiyaç anlamını kaybeder.

Artık bir kullanıcı kullanıcı adı ve şifresini girerek bir PC'ye giriş yaptığında, bu veriler kapalı bir biçimde kimlik doğrulama ve yetkilendirme prosedürlerini gerçekleştiren etki alanı denetleyicisine iletilir.

Bundan sonra, denetleyici, oturum açan kullanıcıya, ağda daha fazla çalıştığı ve şebekedeki diğer bilgisayarların isteği üzerine sunduğu, kaynaklarına bağlanmak istediği sunucular olan bir pasaport gibi bir şey verir.

Önemli! Etki alanı denetleyicisi, ağ kaynaklarına kullanıcı erişimini denetleyen Active Directory çalıştıran bir bilgisayardır. Kaynakları (yazıcılar, paylaşılan klasörler gibi), hizmetleri (e-posta gibi), kişileri (kullanıcı ve kullanıcı grubu hesapları), bilgisayarları (bilgisayar hesapları) depolar.

Bu tür kaydedilen kaynakların sayısı milyonlarca nesneye ulaşabilir.

Aşağıdaki MS Windows sürümleri bir etki alanı denetleyicisi olarak işlev görebilir: Web Sürümleri dışında Windows Server 2000/2003/2008/2012.

Etki alanı denetleyicisi, ağ kimlik doğrulama merkezi olmanın yanı sıra, tüm bilgisayarlar için kontrol merkezidir.

Bilgisayar açıldıktan hemen sonra, kimlik doğrulama penceresi görünmeden çok önce, bilgisayar etki alanı denetleyicisiyle iletişim kurmaya başlar.

Böylece sadece kullanıcı adı ve şifresini giren kullanıcının kimliği doğrulanmakla kalmaz, aynı zamanda istemci bilgisayarın da kimliği doğrulanır.

Active Directory'yi Yükleme

Windows Server 2008 R2'ye Active Directory yükleme örneğine bakalım. Bu nedenle, Active Directory rolünü yüklemek için "Sunucu Yöneticisi" ne gidin:

"Rol Ekle" rolünü ekleyin:

Active Directory Etki Alanı Hizmetleri rolünü seçin:

Ve kuruluma devam ediyoruz:

Ardından, yüklü rol hakkında bir bildirim penceresi alırız:

Etki alanı denetleyicisi rolünü yükledikten sonra, etki alanı denetleyicisinin kendisinin kurulumuna geçelim.

Program arama alanında "Başlat"a tıklayın, DCPromo sihirbazının adını girin, başlatın ve gelişmiş kurulum ayarları kutusunu işaretleyin:

Önerilen seçeneklerden "İleri" ye tıklayın, yeni bir etki alanı ve orman oluşturmayı seçin.

Etki alanı adını girin, örneğin example.net.

NetBIOS alan adını bölge olmadan yazıyoruz:

Etki alanımızın işlevsel seviyesini seçiyoruz:

Etki alanı denetleyicisinin işleyişinin özellikleri nedeniyle, bir DNS sunucusu da kuruyoruz.

Active Directory bir sistem yönetim hizmetidir. Yerel gruplara çok daha iyi bir alternatiftirler ve verimli yönetim ve güvenilir veri koruması ile bilgisayar ağları oluşturmanıza olanak tanırlar.

Active Directory kavramı ile daha önce karşılaşmadıysanız ve bu tür servislerin nasıl çalıştığını bilmiyorsanız bu makale tam size göre. Bu kavramın ne anlama geldiğini, bu tür veritabanlarının avantajlarının neler olduğunu ve bunları ilk kullanım için nasıl oluşturup yapılandıracağımızı anlayalım.

Active Directory, sisteminizi yönetmenin çok uygun bir yoludur. Active Directory ile verilerinizi etkin bir şekilde yönetebilirsiniz.

Bu hizmetler, etki alanı denetleyicileri tarafından yönetilen tek bir veritabanı oluşturmanıza olanak tanır. Bir girişiminiz varsa, bir ofis işletiyorsanız, genel olarak, birleşmesi gereken birçok kişinin faaliyetlerini kontrol edin, böyle bir alan kullanışlı olacaktır.

Tüm nesneleri içerir - bilgisayarlar, yazıcılar, fakslar, kullanıcı hesapları ve daha fazlası. Verilerin bulunduğu alanların toplamına "orman" denir. Active Directory veritabanı, nesne sayısının 2 milyara kadar çıkabildiği etki alanı tabanlı bir ortamdır. Bu ölçeği hayal edebiliyor musunuz?

Yani, böyle bir "orman" veya veritabanı yardımıyla, ofiste çok sayıda çalışanı ve ekipmanı bağlamak mümkündür ve yere atıfta bulunmadan - diğer kullanıcılar da hizmetlere bağlanabilir, örneğin , başka bir şehirde bir şirketin ofisinden.

Ek olarak, Active Directory hizmetleri çerçevesinde birkaç alan oluşturulur ve birleştirilir - şirket ne kadar büyükse, teknolojisini veritabanı içinde kontrol etmek için o kadar fazla araca ihtiyaç duyulur.

Ayrıca, böyle bir ağ oluştururken, bir kontrol alanı belirlenir ve daha sonra diğer alanların varlığında bile, orijinal olan hala "ebeveyn" olarak kalır - yani, bilgi yönetimine yalnızca tam erişime sahiptir.

Bu veriler nerede depolanır ve etki alanları nasıl bulunur? Denetleyiciler, Active Directory oluşturmak için kullanılır. Genellikle iki tane vardır - birine bir şey olursa, bilgi ikinci denetleyiciye kaydedilir.

Veritabanını kullanmak için başka bir seçenek, örneğin şirketiniz başka bir şirketle işbirliği yapıyorsa ve ortak bir projeyi tamamlamanız gerekiyorsa. Bu durumda, yetkisiz kişilerin etki alanı dosyalarına erişimi gerekebilir ve burada iki farklı "orman" arasında bir tür "ilişki" kurabilir, geri kalanın güvenliğini riske atmadan gerekli bilgilere açık erişim sağlayabilirsiniz. veri.

Genel olarak Active Directory, boyutundan bağımsız olarak belirli bir yapı içinde bir veritabanı oluşturmaya yarayan bir araçtır. Kullanıcılar ve tüm ekipman tek bir "ormanda" birleştirilir, denetleyicilerde bulunan etki alanları oluşturulur.

Hizmetlerin yalnızca Windows sunucu sistemlerine sahip cihazlarda çalışabileceğinin açıklığa kavuşturulması da önerilir. Ayrıca denetleyicilerde 3-4 DNS sunucusu oluşturulur. Etki alanının ana bölgesine hizmet ederler ve bunlardan birinin arızalanması durumunda diğer sunucular onun yerini alır.

Aptallar için Active Directory'ye kısa bir genel bakışın ardından, doğal olarak şu soruyla ilgileniyorsunuz: yerel bir grubu neden bütün bir veritabanıyla değiştirelim? Doğal olarak, burada olasılıklar alanı birçok kez daha geniştir ve sistem yönetimi için bu hizmetler arasındaki diğer farklılıkları bulmak için avantajlarına daha yakından bakalım.

Active Directory Avantajları

Active Directory'nin avantajları aşağıdaki gibidir:

Kimlik doğrulama için bir kaynak kullanma. Bu durumda, genel bilgilere erişim gerektiren tüm hesapları her PC'ye eklemeniz gerekir. Ne kadar çok kullanıcı ve teknisyen olursa, bu verileri aralarında senkronize etmek o kadar zor olur.

Böylece, hizmetleri bir veritabanıyla kullanırken, hesaplar bir noktada saklanır ve değişiklikler tüm bilgisayarlarda hemen yürürlüğe girer.

Nasıl çalışır? Ofise gelen her çalışan sistemi başlatır ve hesabına giriş yapar. Oturum açma isteği sunucuya otomatik olarak gönderilir ve kimlik doğrulama bunun üzerinden gerçekleşir.

Kayıt tutmada belirli bir sıraya gelince, kullanıcıları her zaman gruplara ayırabilirsiniz - "İnsan Kaynakları" veya "Muhasebe".

Bu durumda bilgiye erişim sağlamak daha da kolaydır - bir departmandan çalışanlar için bir klasör açmanız gerekiyorsa, bunu veritabanı üzerinden yaparsınız. Belgelerin geri kalanı kapalı kalırken, birlikte gerekli veri klasörüne erişirler.

Veritabanının her üyesi üzerinde kontrol.

Yerel bir grupta her üye bağımsız ise, onu başka bir bilgisayardan kontrol etmek zorsa, şirket politikasına uygun olarak etki alanlarında belirli kurallar oluşturulabilir.

Sistem yöneticisi olarak, erişim ayarlarını ve güvenlik ayarlarını yapılandırabilir ve ardından bunları her kullanıcı grubu için uygulayabilirsiniz. Doğal olarak, hiyerarşiye bağlı olarak, bazı gruplar daha katı ayarlar tanımlayabilirken, diğerlerine sistemdeki diğer dosyalara ve eylemlere erişim izni verilebilir.

Ek olarak, şirkete yeni bir kişi girdiğinde, bilgisayarı, iş bileşenlerinin dahil olduğu gerekli ayar setini hemen alacaktır.

Yazılım kurulumunda çok yönlülük.

Bu arada, bileşenler hakkında - Active Directory'nin yardımıyla yazıcılar atayabilir, tüm çalışanlar için gerekli programları bir kerede kurabilir, gizlilik parametrelerini ayarlayabilirsiniz. Genel olarak, bir veri tabanının oluşturulması işi önemli ölçüde optimize edecek, güvenliği izleyecek ve kullanıcıları maksimum verimlilik için birleştirecektir.

Ve bir şirket ayrı bir yardımcı program veya özel hizmetler işletiyorsa, bunlar alan adlarıyla senkronize edilebilir ve bunlara basitleştirilmiş erişim sağlanabilir. Nasıl? Şirkette kullanılan tüm ürünleri birleştirirseniz, çalışanın her programa giriş yapmak için farklı kullanıcı adı ve şifre girmesine gerek kalmayacak - bu bilgiler paylaşılacaktır.

Artık Active Directory kullanmanın yararlarını ve sonuçlarını anladığınıza göre, bu hizmetleri yükleme sürecini gözden geçirelim.

Windows Server 2012'de bir veritabanı kullanma

Active Directory'yi kurmak ve yapılandırmak zor değildir ve aynı zamanda ilk bakışta göründüğünden daha kolaydır.

Hizmetleri yüklemek için önce aşağıdakileri yapmanız gerekir:

Bilgisayarın adını değiştirin: "Başlat" a tıklayın, Denetim Masası'nı açın, "Sistem" öğesini açın. "Parametreleri değiştir"i seçin ve "Bilgisayar adı" satırının karşısındaki Özellikler'de "Değiştir"e tıklayın, ana bilgisayar için yeni bir değer girin.
PC'nin isteği üzerine yeniden başlatın.
Ağ ayarlarınızı şu şekilde yapın:
- Kontrol panelinden Ağlar ve Paylaşım menüsünü açın.
- Doğru adaptör ayarları. Özellikler'e sağ tıklayın ve Ağ sekmesine tıklayın.
- Listedeki pencerede, 4 numaralı İnternet protokolüne tıklayın, tekrar "Özellikler" e tıklayın.
- Gerekli ayarları girin, örneğin: IP adresi - 192.168.10.252, alt ağ maskesi - 255.255.255.0, ana alt ağ geçidi - 192.168.10.1.
- "Tercih edilen DNS sunucusu" satırında yerel sunucunun adresini belirtin, "Alternatif ..." - DNS sunucularının diğer adresleri.
- Değişiklikleri kaydedin ve pencereleri kapatın.

Active Directory rollerini şu şekilde yükleyin:

Başlangıç boyunca "Sunucu Yöneticisi"ni açın.
Menüden, Rol ve Özellik Ekle'yi seçin.
Sihirbaz başlayacaktır, ancak ilk açıklama penceresini atlayabilirsiniz.
"Rolleri ve özellikleri yükleme" satırını kontrol edin, devam edin.
Active Directory'yi yüklemek için bilgisayarınızı seçin.
Listeden yüklemek istediğiniz rolü işaretleyin - sizin durumunuz için bu "Active Directory Etki Alanı Hizmetleri"dir.
Hizmetler için gerekli bileşenleri indirmenizi isteyen küçük bir pencere görünecektir - kabul edin.
Ardından, diğer bileşenleri yüklemeniz istenecektir - bunlara ihtiyacınız yoksa, "İleri" düğmesine tıklayarak bu adımı atlayın.
Kurulum sihirbazı, kurduğunuz hizmetlerin açıklamalarını içeren bir pencere görüntüler - okumaya devam edin ve devam edin.
Kuracağımız bileşenlerin bir listesi görünecektir - her şeyin doğru olup olmadığını kontrol edin ve doğruysa uygun düğmeye basın.
İşlem tamamlandığında pencereyi kapatın.
İşte bu - hizmetler bilgisayarınıza yüklenir.

Active Directory'yi Yapılandırma

Bir etki alanı hizmeti kurmak için aşağıdakileri yapmanız gerekir:

Aynı ada sahip yapılandırma sihirbazını çalıştırın.
Pencerenin üstündeki sarı işaretçiye tıklayın ve Sunucuyu Etki Alanı Denetleyicisine Yükselt'i seçin.
Yeni bir "orman" ekle'ye tıklayın ve kök etki alanı için bir ad oluşturun, ardından "İleri"ye tıklayın.
Orman ve etki alanı işlevsel düzeylerini belirtin - çoğu zaman aynıdırlar.
Bir şifre ile gelin, ancak hatırladığınızdan emin olun. Devam edin.
Bundan sonra, alan adının yetkilendirilmediğine dair bir uyarı ve alan adını kontrol etmek için bir teklif görebilirsiniz; bu adımları atlayabilirsiniz.
Bir sonraki pencerede, veritabanı dizinlerinin yolunu değiştirebilirsiniz - size uymuyorlarsa bunu yapın.
Şimdi ayarlayacağınız tüm parametreleri göreceksiniz - bunları doğru seçip seçmediğinize bakın ve devam edin.
Uygulama ön koşulların karşılanıp karşılanmadığını kontrol edecek ve herhangi bir yorum yoksa veya kritik değilse "Yükle" ye tıklayın.
Kurulum tamamlandıktan sonra bilgisayar kendini yeniden başlatacaktır.

Ayrıca veritabanına nasıl kullanıcı ekleyeceğinizi merak ediyor olabilirsiniz. Bunu yapmak için kontrol panelinin "Yönetim" bölümünde bulacağınız "Active Directory Kullanıcıları veya Bilgisayarları" menüsünü kullanın veya veritabanı ayarları menüsünü kullanın.

Yeni bir kullanıcı eklemek için alan adına sağ tıklayın, “Alt Bölüm”den sonra “Oluştur”u seçin. Önünüzde yeni bölümün adını girmeniz gereken bir pencere belirecektir - bu, farklı bölümlerden kullanıcıları toplayabileceğiniz bir klasör görevi görür. Aynı şekilde daha sonra birkaç bölüm daha oluşturacak ve tüm çalışanları doğru şekilde yerleştireceksiniz.

Ardından, bölümün adını oluşturduğunuzda, üzerine sağ tıklayın ve "Kullanıcı" dan sonra "Yeni" yi seçin. Artık geriye sadece gerekli verileri girmek ve kullanıcı için erişim ayarlarını yapmak kalıyor.

Yeni profil oluşturulduğunda, içerik menüsünü seçerek üzerine tıklayın ve "Özellikler"i açın. "Hesap" sekmesinde, "Engelle..." seçeneğinin yanındaki onay işaretini kaldırın. Bu kadar.

Genel sonuç, Active Directory'nin çalışanların tüm bilgisayarlarını tek bir ekipte birleştirmeye yardımcı olacak güçlü ve kullanışlı bir sistem yönetim aracı olduğudur. Hizmetlerin yardımıyla güvenli bir veritabanı oluşturabilir ve tüm kullanıcılar arasında çalışmayı ve bilgi senkronizasyonunu önemli ölçüde optimize edebilirsiniz. Şirketiniz ve başka herhangi bir iş yeri bilgisayarlar ve ağ ile bağlantılıysa, hesapları birleştirmeniz ve iş ve gizliliği izlemeniz gerekir, Active Directory tabanlı bir veritabanı kurmak harika bir çözüm olacaktır.

Active Directory hizmetini, ağları vpn kullanılarak bağlanan coğrafi olarak ayrılmış konumlara dağıtma ihtiyacı duydum. İlk bakışta, görev basit görünüyor, ancak kişisel olarak daha önce hiç böyle şeyler yapmadım ve üstünkörü bir aramayla bu durumda tek bir resim veya eylem planı bulamadım. Çeşitli kaynaklardan bilgi toplamam ve ayarları kendim çözmem gerekiyordu.

Bu yazıda şunları öğreneceksiniz:

Farklı Alt Ağlarda Active Directory Kurulumunu Planlama

Yani, iki alt ağımız var 10.1.3.0/24 ve 10.1.4.0/24 , her biri bir dizi bilgisayara ve bir ağ topuna sahiptir. Tüm bunları tek bir etki alanında birleştirmeniz gerekir. Ağlar bir vpn tüneli ile birbirine bağlıdır, bilgisayarlar her iki yönde birbirine ping atar, ağ erişiminde herhangi bir sorun yoktur.

Active Directory hizmetlerinin normal çalışması için her alt ağa bir etki alanı denetleyicisi yükleyeceğiz ve bunlar arasında çoğaltmayı yapılandıracağız. Windows Server 2012R2 kullanacağız. Eylemlerin sırası aşağıdaki gibidir:

Bir alt ağa bir etki alanı denetleyicisi kuruyoruz, üzerinde yeni bir ormanda yeni bir etki alanı oluşturuyoruz
İkinci alt ağa bir etki alanı denetleyicisi kurun ve etki alanına ekleyin
Etki alanları arasında çoğaltmayı yapılandırma

İlk etki alanı denetleyicisi adlandırılacak xs-winsrv adresli 10.1.3.4 , ikinci - xm-winsrv 10.1.4.6... Oluşturacağımız alan adı xs.local

Etki Alanı Denetleyicilerini Farklı Alt Ağlarda Çalıştırılacak Şekilde Yapılandırma

İlk adım, ilk sunucudaki yeni ormana bir etki alanı denetleyicisi kurmaktır. xs-winsrv... Bunun üzerinde ayrıntılı olarak durmayacağım, internette bu konuyla ilgili birçok eğitim ve talimat var. Her şeyi standart olarak yapıyoruz, AD, DHCP ve DNS servislerini kuruyoruz. Birinci DNS sunucusu olarak yerel ip adresini, ikinci olarak da yerel ip adresini belirtiyoruz. 127.0.0.1 :

Ardından, Windows Server 2012R2'yi ikinci sunucuya yükleyin xm-winsrv... Şimdi, etki alanına ikinci bir sunucu eklemenin işe yaramayacağı birkaç önemli adım atıyoruz. Her iki sunucu da birbirine adıyla ping atmalıdır. Bunu yapmak için, C: \ Windows \ System32 \ driver \ etc \ host dosyalarına birbirleriyle ilgili girdiler ekleyin.

V xs-winsrv satırı ekleyin:

10.1.4.6 xm-winsrv

V xm-winsrv Ekle:

10.1.3.4 xs-winsrv

Şimdi ikinci önemli nokta için. sunucuda xm-winsrv ilk DNS sunucusu olarak ilk etki alanı denetleyicisi 10.1.3.4'ü belirtiyoruz:

Artık her iki sunucu da birbirini çözecektir. Bunu önce sunucuda kontrol edelim xm-winsrv etki alanına ekleyeceğimiz:

Bundan sonra sunucu xs-winsrv siteden aktarmanız gerekiyor Varsayılan-İlk-Site-Adı onun için oluşturulan yeni siteye. Artık etki alanına ikinci bir sunucu eklemeye hazırsınız.

Farklı bir alt ağdan ikinci bir etki alanı denetleyicisi ekleme

İkinci sunucu xm-winsrv'ye gidiyoruz, rol ekleme sihirbazını başlatıyoruz ve ilk sunucudaki gibi 3 rol ekliyoruz - AD, DNS, DHCP. Active Directory Etki Alanı Hizmetleri Yapılandırma Sihirbazı başlatıldığında, oradaki ilk öğeyi seçin - Mevcut bir etki alanına etki alanı denetleyicisi ekleyin, etki alanımızı belirtiyoruz xs.local:

Bir sonraki adımda, etki alanı denetleyicisinin parametrelerinde denetleyiciyi ekleyeceğimiz sitenin adını belirtiyoruz:

Bunun 10.1.4.0/24 alt ağının bağlı olduğu bir site olması gerektiğini hatırlatmama izin verin. Birinci ve ikinci kontrolörler farklı sitelerde son bulur. kutucuğu işaretlemeyi unutmayın Genel katalog (GC)... Ardından tüm ayarları varsayılan olarak bırakıyoruz.

Sunucuyu yeniden başlattıktan sonra, etki alanında görünecektir. xs.local... Yerel yönetici olarak giriş yapmak işe yaramaz, bir etki alanı hesabı kullanmanız gerekir. İçeri giriyoruz, ana etki alanı denetleyicisi ile replikasyon olup olmadığını, DNS kayıtlarının senkronize edilip edilmediğini kontrol ediyoruz. Bütün bunlar benim için iyi gitti, ikinci etki alanı denetleyicisi ilkinden tüm kullanıcıları ve DNS kayıtlarını aldı. Active-Directory ek bileşenindeki her iki sunucuda - Siteler ve Hizmetler, her iki denetleyici de her biri kendi sitesinde görüntülenir:

Bu kadar. Etki alanına her iki ofisteki bilgisayarları ekleyebilirsiniz.

Tüm bunları sanal makinelerde yapılandıracak olanlar için bir önemli noktayı daha ekleyeceğim. Konuk sistemlerde hiper yönetici ile zaman senkronizasyonunu devre dışı bırakmak zorunludur. Bu yapılmazsa, bir noktada etki alanı denetleyicileri hastalanabilir.

Umarım her şeyi doğru yapmışımdır. Active Directory replikasyonu hakkında derin bilgim yok. Birisi makalenin içeriği hakkında yorumu varsa, yorumlarda bunun hakkında yazın. Tüm bilgileri temel olarak, farklı alt ağlarda etki alanı işlemiyle ilgili benzer konularda soru sordukları veya sorunları çözdükleri forumlardan topladım.

Çevrimiçi kurs "Linux Yöneticisi"

Yüksek düzeyde kullanılabilir ve güvenilir sistemlerin nasıl oluşturulacağını ve sürdürüleceğini öğrenmek istiyorsanız, tanışmanızı tavsiye ederim. çevrimiçi kurs "Linux Yöneticisi" OTUS'ta. Kurs yeni başlayanlar için değildir, kabul için temel ağ bilgisine ve sanal bir makineye Linux kurulumuna ihtiyacınız vardır. Eğitim 5 ay sürer, ardından kursun başarılı mezunları ortaklarla görüşmeleri geçebilecektir. Giriş sınavında kendinizi kontrol edin ve ayrıntılar için programa bakın.

Verimli bir kurumsal ağın kalbi, birçok hizmeti yöneten ve birçok fayda sağlayan bir Active Directory etki alanı denetleyicisidir.

Bir BT altyapısı oluşturmanın iki yolu vardır - açık ve güvenilir bir altyapı oluşturmadan ortaya çıkan sorunları çözmek için minimum yeterli çaba gösterildiğinde standart ve geçici. Örneğin, kuruluş genelinde eşler arası bir ağ oluşturmak ve kullanıcı eylemlerini kontrol etme yeteneği olmadan gerekli tüm dosya ve klasörlere paylaşılan erişim açmak.

Açıkçası, bu yol istenmeyen bir durumdur, çünkü sonunda kaotik bir sistem karmaşasını sökmeniz ve düzgün bir şekilde organize etmeniz gerekecektir, aksi takdirde çalışamaz - ve onunla birlikte işiniz. Bu nedenle, etki alanı denetleyicili bir kurumsal ağ oluşturmak için tek doğru kararı ne kadar erken verirseniz, uzun vadede işiniz için o kadar iyi olur. Ve bu yüzden.

"Bir etki alanı, Windows işletim sistemine dayalı temel bir BT altyapısı birimi, sunucuların, bilgisayarların, ekipmanın ve kullanıcı hesaplarının mantıksal ve fiziksel bir ilişkisidir."

Etki alanı denetleyicisi (DC), yönetim için DC gerektiren çok sayıda yazılımın çalışmasını mümkün kılan, Active Directory hizmetlerini çalıştıran Windows Server işletim sistemine sahip ayrı bir sunucudur. Bu tür yazılımlara örnek olarak Exchange posta sunucusu, Office 365 bulut paketi ve Microsoft'un diğer kurumsal sınıf yazılım ortamları dahildir.

Bu platformların doğru çalışmasını sağlamanın yanı sıra CA, işletmelere ve kuruluşlara aşağıdaki faydaları sağlar:

Terminal Sunucusunu Dağıtma... ofis bilgisayarlarının sürekli yükseltmelerini, güçlü bir bulut sunucusuna bağlanmak için "ince istemcileri" barındırmaya yönelik tek seferlik bir yatırımla değiştirerek önemli ölçüde kaynak ve emek tasarrufu sağlar.
Geliştirilmiş güvenlik... CA, parola oluşturma ilkeleri belirlemenize ve kullanıcıları doğum tarihleri, qwerty veya 12345'ten daha karmaşık parolalar kullanmaya zorlamanıza olanak tanır.
Erişim haklarının merkezi kontrolü... Şifreleri her bilgisayarda ayrı ayrı manuel olarak güncellemek yerine, CD yöneticisi tüm şifreleri tek bir işlemle tek bir bilgisayardan merkezi olarak değiştirebilir.
Merkezi Grup İlkesi Yönetimi... Active Directory araçları, belirli kullanıcı grupları için grup ilkeleri oluşturmanıza ve dosyalara, klasörlere ve diğer ağ kaynaklarına erişim hakları ayarlamanıza olanak tanır. Bu, yeni kullanıcı hesapları oluşturmayı veya mevcut profillerin ayarlarını değiştirmeyi büyük ölçüde basitleştirir.
Geçişli giriş... Active Directory, etki alanı için kullanıcı adını ve parolasını girerken, posta ve Office 365 gibi diğer tüm hizmetlere otomatik olarak bağlandığında doğrudan geçişi destekler.
Bilgisayar Yapılandırma Şablonları Oluşturun... Şirket ağına eklendiğinde her bir bilgisayarın yapılandırması, şablonlar kullanılarak otomatikleştirilebilir. Örneğin, CD sürücülerini veya USB bağlantı noktalarını merkezi olarak devre dışı bırakmak, belirli ağ bağlantı noktalarını kapatmak vb. için özel kurallar kullanılabilir. Böylece, yeni bir iş istasyonunu manuel olarak yapılandırmak yerine, yönetici onu belirli bir gruba ekler ve bu grup için tüm kurallar otomatik olarak uygulanır.

Gördüğünüz gibi, bir Active Directory etki alanı denetleyicisini yapılandırmak, her büyüklükteki işletme ve kuruluşa sayısız fayda ve fayda sağlar.

Bir Kurumsal Ağda Active Directory Etki Alanı Denetleyicisi Ne Zaman Uygulanır?

10'dan fazla bilgisayar ağa bağlıyken bile şirketiniz için bir etki alanı denetleyicisi yapılandırmayı düşünmenizi öneririz, çünkü 10 bilgisayar için gerekli ilkeleri ayarlamak 50 bilgisayardan çok daha kolaydır. Ayrıca, bu sunucu çalışmadığından özellikle kaynak yoğun görevler, güçlü bir masaüstü bilgisayar bu rol için uygun olabilir.

Ancak, bu sunucunun ağ kaynaklarına ve etki alanı kullanıcı veritabanına, kullanıcı hakları şemasına ve grup ilkelerine erişim için parolaları depolayacağını unutmamak önemlidir. Etki alanı denetleyicisinin sürekliliğini sağlamak için sürekli veri kopyalama ile bir yedekleme sunucusu dağıtmak gerekir ve bu, kurumsal ağ bulutta barındırıldığında sağlanan sunucu sanallaştırma kullanılarak çok daha hızlı, daha kolay ve daha güvenilir yapılabilir. Bu, aşağıdaki sorunları önler:

Yanlış DNS sunucusu ayarları, kurumsal ağdaki ve İnternet'teki kaynakların konumunda hatalara yol açar
Yanlış yapılandırılmış güvenlik grupları ağ kaynaklarına kullanıcı erişim haklarında hatalara yol açan
Yanlış işletim sistemi sürümleri... Active Directory'nin her sürümü, Windows masaüstü işletim sistemlerinin belirli ince istemci sürümlerini destekler
Yokluk veya yanlış ayar otomatik veri kopyalama yedek etki alanı denetleyicisine.

En son makaleler

2021-10-09 12:32:37
Twitter uygulamaları
2021-10-09 12:32:37
VKontakte küçük resmini değiştirme VKontakte fotoğrafı nasıl değiştirilir
2021-10-09 12:32:37
Vkontakte hile hizmetleri için botlar Hile aboneleri için program

Popüler Makaleler

Editörün Seçimi

2021-10-05 08:48:27

İstenmeyen e-postalara karşı temel koruma yöntemleri İstenmeyen posta önleme sistemi
Bu, kapsamlı ev bilgisayarı koruması için tasarlanmış yeni bir Kaspersky Lab ürünüdür. Bu program aynı anda ...
2021-10-05 08:48:27

İnternette bir genç nasıl yapılır?
Kendi web siteniz olmadan veya kişisel fonlara yatırım yapmadan çevrimiçi para kazanmanın imkansız olduğuna dair yaygın bir inanç var. Bu doğru değil. tonlarca var...
2021-10-05 08:48:27

Firmware HTC Desire C htc için Firmware dosyası
Genellikle, ürün yazılımını değiştirmek için arızalar, sorunlar veya basit bir istek vardır. Belli bir zamana kadar resmi garanti kapsamındaki cihaz güncellenebiliyor...
2021-10-05 08:48:27

Easypay e-cüzdanı Easypay cüzdanına nasıl para yatırılır
Easypay elektronik para, mobil iletişim, hizmetler, İnternet'teki mallar için ödeme yapmak ve para transfer etmek için bir komplekstir ....
2021-10-05 08:48:27

VK'da bir grup nasıl oluşturulur: adım adım talimatlar ve ne tür bir topluluk seçmek daha iyidir
Bir Vkontakte grubunu korumak oldukça karmaşık bir süreçtir ve yanlış bir yaklaşımla tüm işleri mahvedebilirsiniz. Bu yazımda önemli olanlardan bahsedeceğim...