Основни понятия на Active Directory

Обслужване Активна директория

Разширяема и мащабируема справочна услуга Активен Директория (Активна директория)ви позволява ефективно да управлявате мрежовите ресурси.

Активен Директорията е йерархично организирано хранилище на данни за мрежови обекти, предоставящо удобно средство за намиране и използване на тези данни. Компютърът работи активноСправочник, наречен домейн контролер . ОТ Активна директорияучастват почти всички административни задачи.

Технологията Active Directory е базирана на стандарт Интернет протоколии помага за ясното дефиниране на структурата на мрежата.

Active Directory и DNS

AT Активен Директоргизползва се системата за имена на домейни.

ДомейнИме System (DNS) е стандартна интернет услуга, която организира групи от компютри в домейни.DNS домейните имат йерархична структура, която формира основата на Интернет. различни ниваТази йерархия идентифицира компютри, организационни домейни и домейни от първо ниво. DNS също така служи за разрешаване на имена на хостове, например z eta.webwork.com към цифрови IP адреси, като 192.168.19.2. Чрез DNS, йерархията на домейна на Active Directory може да бъде вписана в интернет пространството или оставена независима и изолирана от външен достъп.

За достъп до ресурси в Домейнът използва напълно квалифицираното име на хост, като например zeta.webatwork.com. Тукzетае името на отделния компютър, webwork е домейнът на организацията, а com е домейнът от първо ниво. Домейните от първо ниво формират основата на DNS йерархията и затова се наричат коренни домейни (основни домейни). Те са организирани географски, с имена, базирани на двубуквени кодове на държави (enза Русия), по вид организация (клетказа търговски организации) и по предварителна уговорка (мил за военни организации).

Редовни домейни като microsoft.com, Наречен родителски (родителски домейн), защото те формират основата на организационната структура. Родителските домейни могат да бъдат разделени на поддомейни на различни отдели или отдалечени филиали. Например, пълното име на компютър в офиса на Microsoft в Сиатъл може да бъде jacob.seattle.microsoft.com , където йакоб- име на компютър, сдAltle - поддомейн, а microsoft.com е родителският домейн. Друго име на поддомейн - дъщерен домейн (дъщен домейн).

Компоненти Активен Справочник

Active Directory обединява физическата и логическата структура на мрежовите компоненти. Логическите структури на Active Directory помагат за организиране на обекти на директория и управление на мрежови акаунти и споделяния. Логическата структура е следните елементи:

организационна единица (организационна единица) - подгрупа компютри, обикновено отразяваща структурата на компанията;

домейн ( домейн) - група компютри, споделящи обща каталожна база данни;

дърво на домейна (домейн дърво) - един или повече домейни, споделящи непрекъснато пространство от имена;

домейн гора - едно или повече дървета, които споделят информация за директория.

Физическите елементи помагат при планирането на действителната мрежова структура. Въз основа на физическите структури се формират мрежовите връзки и физическите граници на мрежовите ресурси. Физическата структура включва следните елементи:

подмрежа ( подмрежа) - мрежова групас дадена площ IP адресии мрежова маска;

уебсайт ( сайт) една или повече подмрежи. Сайтът се използва за настройка на достъп до директория и репликация.

Организационни единици

Организационни единици (OU) са подгрупи в домейни, които често отразяват функционалната структура на организацията. PU са вид логически контейнери, които хостват акаунти, споделяния и други PU. Например, можете да създадете в домейна МайкрософтT. comдивизии ресурси, ТО, Маркетинг. След това тази схема може да бъде разширена, за да включва дъщерни отдели.

Разрешено е поставянето на обекти в OP само от родителския домейн. Например RO от домейна Seattle.microsoft.com съдържат само обекти от този домейн. Добавете обекти отмг. мicrosoft.com не може. ОП е много удобен при формирането на функционален или бизнес структуриорганизации.Но това не е единствената причина за тяхното използване.

OP позволяват груповата политика да бъде дефинирана за малък набор от ресурси в домейн, без да се прилага към целия домейн. OP създава компактни и по-управляеми представяния на обекти на директория в домейн, което спомага за по-ефективното управление на ресурсите.

OP ви позволяват да делегирате правомощия и да контролирате административния достъп до ресурсите на домейна, което помага да зададете ограничения на правомощията на администраторите в домейн. Възможно е да се дадат административни привилегии на потребител A само за една OU и в същото време да се дадат административни привилегии на потребител B за всички OU в домейна.

Домейни

Домейн Active Directory е група от компютри, които споделят обща база данни на директория. Имената на домейни в Active Directory трябва да бъдат уникални. Например не може да има два домейна мicrosoft.com, но може да има родителски домейн microsoft.com с дъщерни домейни seattle.microsoft.com и мy.microsoft.com. Ако домейнът е част от затворена мрежа, името, дадено на новия домейн, не трябва да противоречи на нито едно от съществуващите имена на домейни в тази мрежа. Ако домейнът е част от глобалния интернет, тогава името му не трябва да е в конфликт с никое от съществуващите имена на домейни в интернет. За да се гарантира, че имената са уникални в Интернет, името на родителския домейн трябва да бъде регистрирано чрез всеки оторизиран регистратор.

Всеки домейн има свои собствени политики за сигурност и доверителна връзкас други домейни. Често домейните са разпределени на множество физически местоположения, т.е. те се състоят от множество сайтове, а сайтовете обхващат множество подмрежи. Базата данни на директорията на домейна съхранява обекти, които дефинират акаунти за потребители, групи и компютри, както и споделени ресурси като принтери и папки.

Функциите на домейна са ограничени и регулирани от режима на неговата работа. Има четири функционални режима на домейни:

смесен Windows режим 2000 (смесен режим) - поддържа домейн контролери, работещи под Windows NT 4.0, Wi ndows 2000 и Windows сървър 2003;

Основен режим на Windows 2000 (основен режим) - поддържа домейн контролери, работещи под Windows 2000 и Windows сървър 2003;

междинен режим Windows сървър 2003 ( междинен режим) - поддържа работещи домейн контролери Windows NT 4.0 и Windows сървър 2003;

режим Windows Server 2003 - Поддържа домейн контролери, работещи под Windows Server 2003.

Гори и дървета

Всеки домейн Активен Справочникима DNS- тип име Майкрософт.com. Домейните, които споделят данни от директорията, образуват гора. Имената на горски домейни в йерархията на имена на DNS са несъседни(прекъснат) или свързани(непрекъснато).

Домейните, които имат непрекъсната структура на имена, се наричат ​​дърво на домейна. Ако горските домейни имат несвързани DNS имена, те образуват отделни дървета на домейни в гората. Можете да включите едно или повече дървета в гората. Конзолата е предназначена за достъп до домейн структури.Активен Справочник- домейни и доверие (АктивенСправочник Домейнии тръстове).

Функциите на горите се ограничават и регулират от функционалния режим на гората. Има три такива режима:

Windows 2000 - Поддържа домейн контролери, работещи под Windows NT 4.0, Windows 2000 и Windows сървър 2003;

междинен ( междинен) Windows сървър 2003 - поддържа домейн контролери, работещи под Windows NT 4.0 и Windows Server 2003;

Windows Server 2003 - Поддържа домейн контролери, работещи под Windows Server 2003.

Най-усъвършенстваните функции на Active Directory са налични в режим Windows Server 2003. Ако всички домейни в гората работят в този режим, можете да се насладите на подобрена репликация на глобален каталог и по-ефективна репликация на данни на Active Directory. Можете също така да деактивирате класове и атрибути на схеми, да използвате динамични помощни класове, да преименувате домейни и да създавате еднопосочни, двупосочни и преходни доверителни отношения в гората.

Сайтове и подмрежи

уебсайт е група от компютри в една или повече IP подмрежи, използвани за планиране на физическата структура на мрежа. Планирането на сайта става независимо от логическата структура на домейна. Active Directory ви позволява да създавате множество сайтове в рамките на един домейн или един сайт, обхващащ множество домейни.

За разлика от сайтовете, които могат да обхващат множество IP адресни области, подмрежите имат зададена IP адресна област и мрежова маска. Имената на подмрежите са посочени във формата мрежа/битова маска, например 192.168.19.0/24, където мрежовият адрес 192.168.19.0 и мрежовата маска 255.255.255.0 се комбинират, за да образуват името на подмрежата 192.168.19.0/24.

Компютрите се присвояват на сайтове въз основа на тяхното местоположение в подмрежа или набор от подмрежи. Ако компютрите в подмрежи могат да комуникират с достатъчно високи скорости, те се извикват добре свързан (добре свързан).

В идеалния случай сайтовете се състоят от добре свързани подмрежи и компютри. Ако трафикът между подмрежи и компютри е нисък, може да се наложи да създадете няколко сайта. Добрата комуникация дава на сайтовете някои предимства.

Когато клиент се присъедини към домейн, процесът на удостоверяване първо търси локалния домейн контролер в сайта на клиента, т.е. локалните контролери се запитват първо, ако е възможно, което ограничава мрежовия трафик и ускорява удостоверяването.

Информацията от директорията се копира по-често вътре сайтове от между сайтове. Това намалява мрежовия трафик, причинен от репликация, и гарантира, че локалните домейн контролери получават бързо актуализирана информация.

Можете да персонализирате реда, в който данните от директорията се репликират, като използвате връзки към сайта (връзки към сайта). Например, дефинирайте предмостов сървър (предмостие) за репликация между сайтове.

По-голямата част от натоварването от репликация между сайтове ще падне върху този специализиран сървър, а не върху който и да е наличен сървърсайт. сайтовеи подмрежите се конфигурират в конзолата Active Directory-сайтове и услуги(сайтове и услуги на Active Directory).

Работа с домейни Активна директория

Онлайн Windows сървърСервиз 2003г АктивенСправочникконфигуриран едновременноDNS. Домейните на Active Directory и DNS домейните обаче имат различни цели. Домейните на Active Directory помагат за управление на акаунти, ресурси и сигурност.

Йерархията на DNS домейни е основно за разрешаване на имена.

Компютрите, работещи с Windows XP Professional и Windows 2000, могат да се възползват напълно от Active Directory.Те работят като клиенти на Active Directory в мрежата и имат достъп до транзитивни доверителни отношения, които съществуват в дърво или гора на домейни. Тези връзки позволяват на оторизираните потребители да имат достъп до ресурси във всеки домейн в гората.

Система Windows Server 2003 функционира като домейн контролер или като членски сървър. Членските сървъри стават контролери след инсталиране на Active Directory; контролерите се понижават до членски сървъри след премахване на Active Directory.

И двата процеса се изпълняватСъветник за инсталиране на Active Directory. Един домейн може да има няколко контролера. Те репликират данни от директория помежду си, като използват модел на репликация с множество главни устройства, който позволява на всеки контролер да обработва промените в директорията и след това да ги разпространява към други контролери. Благодарение на структурата с множество главни, всички контролери имат еднаква отговорност по подразбиране. Въпреки това можете да дадете на някои домейн контролери приоритет пред други в определени задачи, като например създаване на предмостен сървър, който има приоритет при репликиране на данни от директория към други сайтове.

Освен това някои задачи се изпълняват най-добре на специален сървър. Извиква се сървър, който обработва определен тип задача майстор на операциите (майстор на операциите).

Всички компютри с Windows 2000, Windows XP Professional и Windows Server 2003, които са присъединени към домейн, имат създадени и съхранени акаунти, подобно на други ресурси, като обекти на Active Directory. Компютърните акаунти се използват за контрол на достъпа до мрежата и ресурсите й. Преди компютърът да получи достъп до домейн, използвайки своя акаунт, той трябва да премине през процедура за удостоверяване.

Структура на директорията

Данните от директорията се предоставят на потребителите и компютрите чрез хранилище на данни (хранилища за данни) и глобални директории (глобаленкаталози). Въпреки че повечето функцииАктивенСправочникзасягат хранилището на данни, глобалните каталози (GC) са също толкова важни, защото се използват за влизане и търсене на информация. Ако GC не е наличен, нормалните потребители няма да могат да влязат в домейна.Единственият начин да заобиколите това условие е да кеширате членствата локално. универсални групи.

Достъпът и разпространението на данните на Active Directory се осигуряват чрез средства протоколи за достъп до директория (директория достъппротоколи) и репликация (репликация).

Репликацията е необходима за разпространение на актуализирани данни до контролерите. Основният метод за разпространение на актуализацията е репликация с множество главни устройства, но някои промени се обработват само от специализирани контролери - оперативни майстори (майстори на операциите).

Начинът, по който се изпълнява репликацията с мултимастър в Windows Server 2003, също се промени с въвеждането на секции на директория приложения (приложениеуказателпрегради). Чрез тях системните администратори могат да създават дялове за репликация в гората на домейна, които са логически структури, използвани за управление на репликацията в гората на домейна. Например, можете да създадете дял, който ще обработва репликацията на DNS информация в домейн. Други системи в домейна нямат право да репликират DNS информация.

Дяловете на директория на приложения могат да бъдат дъщерни на домейн, дъщерни на друг дял на приложение или ново дърво в гората на домейна. Репликите на дялове могат да бъдат хоствани на всеки домейн контролер на Active Directory, включително глобални каталози. Въпреки че дяловете на каталога на приложенията са полезни в големи домейни и гори, те увеличават разходите за планиране, администриране и поддръжка.

Съхранение на данни

Хранилището съдържа информация за най-важните обектисправочни услуги Active Directory - акаунти, споделяния, OP и групови политики. Понякога хранилището на данни просто се извиква каталог (директория). На домейн контролера директорията се съхранява във файла NTDS.DIT ​​​​, чието местоположение се определя по време на инсталирането на Active Directory (трябва да е NTFS устройство). Някои каталожни данни могат да се съхраняват отделно от основното хранилище, напр. групови политики, скриптове и друга информация, записана в системния дял SYSVOL.

Извиква се информация за споделяне на директория публикация (публикувам). Например, когато даден принтер се отвори за използване в мрежата, той се публикува; публикувана информация за споделена папкаи т. н. Домейн контролерите възпроизвеждат повечето промени в хранилището по мулти-главен начин. Администраторът на малка или средна организация рядко управлява репликацията на хранилището, тъй като е автоматична, но може да бъде конфигурирана според спецификата на мрежовата архитектура.

Не всички данни от директорията се репликират, а само:

Данни за домейна - информация за обекти в домейна, включително обекти на акаунти, споделяния, ОП и групови политики;

Конфигурационни данни - информация за топологията на директорията: списък на всички домейни, дървета и гори, както и местоположението на контролерите и сървърите на книгата;

Schema data - информация за всички обекти и типове данни, които могат да се съхраняват в директорията; стандартна схема Windows Server 2003 описва обекти на акаунти, обекти за споделяне и други и може да бъде разширен чрез дефиниране на нови обекти и атрибути или чрез добавяне на атрибути към съществуващи обекти.

Глобален указател

Ако локалното кеширане на членство в универсални групи не се извършва, влизането в мрежата се основава на информация за членство универсална групапредоставени от GC.

Той също така осигурява търсене в директория във всички домейни в гората. Контролер, действащ GC сървър, съхранява пълна реплика на всички обекти на директория в своя домейн и частична реплика на обекти в останалите горски домейни.

Само някои свойства на обекта са необходими за влизане и търсене, така че могат да се използват частични реплики. За да формира частична реплика, репликацията трябва да прехвърли по-малко данни, което намалява мрежовия трафик.

По подразбиране първият домейн контролер става GC сървър. Следователно, ако има само един контролер в домейна, тогава GC сървърът и домейн контролерът са един и същ сървър. Можете да поставите GC на друг контролер, за да намалите времето за реакция при влизане и да ускорите търсенията. Препоръчително е да създадете един GC във всеки сайт на домейн.

Има няколко начина за решаване на този проблем. Разбира се, можете да създадете регистрационен сървър на един от домейн контролерите в отдалечения офис. Недостатъкът на този метод е увеличаването на натоварването на GC сървъра, което може да изисква допълнителни ресурси и внимателно планиране на времето за работа на сървъра.

Друг начин за решаване на проблема е да кеширате локално членството в универсална група. Всеки контролер на домейн обаче може да обслужва заявки за влизане локално, без да се свързва със сървъра на книгата. Това ускорява процедурата за влизане и улеснява нещата в случай на повреда на сървъра на G/L. Той също така намалява трафика на репликация.

Вместо периодично опресняване на целия GC в мрежата, достатъчно е да актуализирате информацията в кеша за членство в универсалната група. По подразбиране опресняването се извършва на всеки осем часа на всеки домейн контролер, който използва локално кеширане на членство в универсална група.

Членство в универсална група индивидуално за всеки сайт. Спомнете си, че сайтът е физическа структура, състояща се от една или повече подмрежи, които имат индивидуален набор от IP адреси и мрежова маска. Домейн контролери Windows Server 2003 и GC, към който се отнасят, трябва да са на един и същи сайт. Ако има няколко сайта, ще трябва да настроите локално кеширане на всеки от тях. Освен това потребителите, влизащи в сайта, трябва да са част от домейн на Windows Server 2003, работещ в горски режим на Windows Server 2003.

Репликация в Active Directory

Директорията съхранява три вида информация: данни за домейн, данни за схема и данни за конфигурация. Данните за домейна се копират към всички домейн контролери. Всички домейн контролери са равни, т.е. всички промени, които правите от който и да е домейн контролер, ще бъдат репликирани към всички други домейн контролери. Схемата и данните за конфигурацията се репликират към всички домейни в дървото или гората. Освен това всички отделни обекти на домейн и някои свойства на горски обекти се репликират в GC. Това означава, че домейн контролерът съхранява и репликира схемата за дървото или гората, конфигурационната информация за всички домейни в дървото или гората и всички обекти на директория и свойства за собствения си домейн.

Домейн контролерът, който хоства GL, съдържа и репликира информацията за схемата за гората, конфигурационната информация за всички домейни в гората и ограничен набор от свойства за всички обекти на директория в гората (репликира се само между GC сървъри) и всички обекти и свойства на директорията за вашия домейн.

За да разберете същността на репликацията, разгледайте следния сценарий за настройка на нова мрежа.

1. В домейна И първият контролер е инсталиран. Този сървър е единственият домейн контролер. Това е и GC сървърът. Репликацията не се осъществява в такава мрежа, тъй като няма други контролери.

2. В домейна Инсталира се втори контролер и репликацията започва. Можете да посочите единия контролер като главен инфраструктурен, а другия като GC сървър. Капитанът на инфраструктурата наблюдава и изисква актуализации на GL за променени обекти. И двата контролера също репликират схема и конфигурационни данни.

3. В домейна И е монтиран трети контролер, на който няма GC. Капитанът на инфраструктурата следи за актуализации на GC, изисква ги за променени обекти и след това репликира промените към трети домейн контролер. И трите контролера също репликират схема и конфигурационни данни.

4. Създава се нов домейн B, към него се добавят контролери. Сървърите на GC в домейн A и домейн B репликират всички данни за схема и конфигурация, както и подмножество от данни за домейн от всеки домейн. Репликацията в домейн A продължава, както е описано по-горе, плюс репликацията започва в домейн B.

АктивенСправочники LDAP

Lightweight Directory Access Protocol (LDAP) е стандартен протокол за интернет връзки през TCP/IP мрежи. LDAP е проектиран специално за достъп до справочни услуги с минимални разходи. LDAP също дефинира операциите, използвани за запитване и модифициране на информация в директорията.

клиенти Active Directory използва LDAP, за да комуникира с компютри, работещи с Active Directory всеки път, когато влязат в мрежата или търсят споделяния. LDAP опростява асоциирането на директория и миграцията към Active Directory от други услуги на директория. За да подобрите съвместимостта, можете да използвате интерфейсите на услугите на Active Directory (АктивенСправочник Обслужване- Интерфейси, ADSI).

Роли на ръководител на операциите

Главният на операциите изпълнява задачи, които са неудобни за изпълнение в модел на репликация с множество главни. Има пет главни роли на операции, които могат да бъдат присвоени на един или повече домейн контролери. Някои роли трябва да са уникални на ниво гора, за други нивото на домейна е достатъчно. Във всяка гора на Active Directory трябва да съществуват следните роли:

Главна схема) - управлява актуализации и промени в схемата на директорията. Актуализирането на каталожната схема изисква достъп до главния файл на схемата. За да определите кой сървър дадено времее главният на схемата в домейна, просто отворете прозореца командна линияи въведете: dsquery сървър -имаfсме схема .

Майстор на именуване на домейни - управлява добавянето и премахването на домейни в гората. За да добавите или премахнете домейн, е необходим достъп до главния домейн за именуване. За да определите кой сървър в момента е главният домейн за именуване, просто въведете в прозореца на командния ред: dsquery сървър -имаfсме име

Тези роли, които са общи за гората като цяло, трябва да бъдат уникални в нея.

Следните роли са задължителни във всеки домейн на Active Directory.

Относителен ID master (относителен ID master ) - разпределя относителни идентификатори на домейн контролери. Всеки път, когато създавате потребителски обект, групирайте или компютър, контролерите присвояват уникален SID на обект, състоящ се от SID на домейн и уникален идентификатор, който е бил разпределен от главния на относителните идентификатори. За да определите кой сървър в момента е главният на относителните идентификатори в домейна, достатъчно е да въведете в прозореца на командния ред: dsqueryсървър-имаfсмеотървавам се.

PDC емулатор (PDC емулатор) - В режим на смесен или етапен домейн, действа като основен домейн контролер на Windows NT. Той удостоверява влизанията в Windows NT, обработва промените на паролите и репликира актуализации на P DC. За да определите кой сървър в момента е PDC емулатор в домейна, достатъчно е да въведете в прозореца на командния ред dsquery сървър - hasfsmo pdc.

Инфраструктурен хост (инфраструктура майстор ) - актуализира връзките на обектите, сравнявайки данните от своя каталог с данните от главната книга. Ако данните са остарели, той отправя запитване към GC за актуализации и ги репликира към останалите домейн контролери. За да определите кой сървър в момента е главен на инфраструктурата в домейна, достатъчно е в прозореца на командния ред и въведете dsqueryсървър -hasfsmo infr.

Тези роли, които са общи за целия домейн, трябва да бъдат уникални в него. С други думи, можете да конфигурирате само един относителен ID master, един PDC емулатор и един инфраструктурен master на домейн.

Ролите на главен оператор обикновено се присвояват автоматично, но могат да бъдат преназначавани. Когато се инсталира нова мрежа, всички главни роли на операции се присвояват на първия домейн контролер в първия домейн. Ако по-късно в ново дърво бъде създаден нов дъщерен домейн или основен домейн, ролите на главния на операциите също се присвояват автоматично на първия домейн контролер. В новата гора на домейни на домейн контролера са присвоени всички главни роли на операциите. Ако нов домейн е създаден в същата гора, на неговия контролер се присвояват ролите на главния на относителните идентификатори, P емулатора.дC и майстор на инфраструктурата. Ролите на главния на схемата и главния за именуване на домейн остават с първия домейн в гората.

Ако има само един контролер в домейна, той изпълнява всички роли на главни операции. Ако има само един сайт в мрежата, местоположението по подразбиране на главните операции е оптимално. Въпреки това, тъй като се добавят домейн контролери и домейни, понякога е необходимо да се преместят главните роли на операции към други домейн контролери.

Ако има два или повече домейн контролери в домейн, ви препоръчваме да конфигурирате два домейн контролера, които да служат като главни операции. Например, посочете един домейн контролер като основен главен оперативен контролер, а друг като резервен, който ще бъде необходим, когато основният се повреди.

Администрация Активна директория

° СС помощта на услугата Active Directory се създават компютърни акаунти, те се свързват с домейна и се управляват компютри, домейн контролери и организационни единици (OU).

Осигурени са инструменти за администриране и поддръжка за управление на Active Directory. Инструментите, изброени по-долу, са внедрени като модули за MMC конзола (Microsoft управлениеКонзола):

Потребители и компютри на Active Directory (Active Directory Потребители и компютри) ви позволява да управлявате потребители, групи, компютри и организационни единици (OU);

Активен Справочник- домейни и доверие ( Активен Справочник Домейнии Тръстове ) служи за работа с домейни, домейн дървета и домейн гори;

Active Directory- сайтове иуслуги (Сайтове и услуги на Active Directory) ви позволява да управлявате сайтове и подмрежи;

Резултат политика (Резултатният набор от правила използва се за преглед на текущата потребителска или системна политика и за планиране на промени в политиката.

AT Microsoft Windows 2003 Server има достъп до тези модули директно от менюто Административни инструменти.

Друг инструмент за администриране е щракване Схема АктивенСправочник (Активен Справочник схема) - позволява ви да управлявате и променяте схемата на директорията.

Помощни програми за команден ред Активен Справочник

За управление на обекти Активен Справочникима инструменти на командния ред, които ви позволяват да изпълнявате широк набор от административни задачи:

DSADD - добавя към Активен Справочниккомпютри, контакти, групи, операционни системи и потребители.

DSGET - показва свойства на компютри, контакти, групи, OU, потребители, сайтове, подмрежи и сървъри, регистрирани в Активен Справочник.

DSMOD - променя свойствата на компютри, контакти, групи, PO, потребители и сървъри, регистрирани в Активен Справочник.

DSMOVE - Премества отделен обект на ново място в рамките на домейн или преименува обект, без да го мести.

DSQXJERY - търси компютри, контакти, групи, PO, потребители, сайтове, подмрежи и сървъри в Активен Справочникспоред зададените критерии.

DSRM - премахва обект от Активен Справочник.

NTDSUTIL - позволява ви да преглеждате информация за сайта, домейна или сървъра, да управлявате оперативни майстори (операции майстори) и обслужват базата данниАктивен Справочник.

Всеки начинаещ потребител, изправен пред съкращението AD, се чуди какво е Active Directory? Active Directory е услуга за директория, разработена от Microsoft за домейн Windows мрежи. Включен в повечето операционни системи Windows Server като набор от процеси и услуги. Първоначално услугата се занимаваше само с домейни. Въпреки това, след Windows Server 2008, AD се превърна в името на голямо разнообразие от услуги за идентичност, базирани на директории. Това прави Active Directory за начинаещи по-оптимален за учене.

Основна дефиниция

Сървърът, който изпълнява домейн услугите на Active Directory, се нарича домейн контролер. Той удостоверява и упълномощава всички потребители и компютри в мрежов домейн на Windows, като присвоява и прилага политика за сигурност към всички компютри и инсталира или актуализира софтуер. Например, когато потребител влезе в компютър, присъединен към домейн на Windows, Active Directory проверява предоставената парола и определя дали обектът е системен администратор или редовен потребител. Той също така ви позволява да управлявате и съхранявате информация, предоставя механизми за удостоверяване и оторизация и осигурява рамка за внедряване на други свързани услуги: сертификатни услуги, обединени и олекотени справочни услуги и управление на права.

Active Directory използва LDAP версия 2 и 3, версията на Kerberos на Microsoft и DNS.

Active Directory - какво е това? С прости думи за сложно

Проследяването на мрежови данни отнема време. Дори в по-малки мрежи потребителите обикновено срещат трудности при намирането на мрежови файлове и принтери. Без някаква директория средните до големите мрежи не могат да бъдат управлявани и често срещат трудности при намирането на ресурси.

Предишни версии Microsoft Windowsвключени услуги за подпомагане на потребителите и администраторите да намират данни. мрежова средаполезен в много среди, но очевидният недостатък е неудобният интерфейс и неговата непредвидимост. WINS Manager и Server Manager могат да се използват за преглед на списък със системи, но не са били достъпни за крайните потребители. Администраторите използваха User Manager, за да добавят и премахват данни от напълно различен тип мрежов обект. Тези приложения се оказаха неефективни за големи мрежи и породиха въпроса защо в компанията Active Directory?

Директория в най-общ смисъл е пълен списъкобекти. Телефонният указател е вид указател, който съхранява информация за хора, фирми и държавни организации, ите обикновено съдържат имена, адреси и телефонни номера.чудейки се Active Directory - какво е това, с прости думиможем да кажем, че тази технология е подобна на справочника, но е много по-гъвкава. AD съхранява информация за организации, сайтове, системи, потребители, споделяния и всеки друг мрежов обект.

Въведение в основните понятия на Active Directory

Защо една организация се нуждае от Active Directory? Както бе споменато във въведението към Active Directory, услугата съхранява информация за мрежовите компоненти.Ръководството "Active Directory за начинаещи" казва, че това е така позволява на клиентите да намират обекти в тяхното пространство от имена.Това t Терминът (наричан още конзолно дърво) се отнася до областта, в която може да бъде разположен мрежов компонент. Например, съдържанието на книга създава пространство от имена, в което главите могат да бъдат съпоставени с номера на страници.

DNS е конзолно дърво, което преобразува имената на хостове в IP адреси, като напртелефонните указатели предоставят пространство от имена за разрешаване на имена за телефонни номера.И как става това в Active Directory? AD предоставя конзолно дърво за преобразуване на имената на мрежови обекти в самите обекти иможе да разреши голямо разнообразие от обекти, включително потребители, системи и услуги в мрежата.

Обекти и атрибути

Всичко, което Active Directory следи, се счита за обект.Можете да кажете с прости думи, че това е в Active Directory е всеки потребител, система, ресурс или услуга. Обектът с общи термини се използва, защото AD може да следи много елементи и много обекти могат да споделят общи атрибути. Какво означава?

Атрибутите описват обекти в Active Directory, например всички потребителски обекти споделят атрибути за съхраняване на името на потребителя. Това важи и за техните описания. Системите също са обекти, но имат отделен набор от атрибути, който включва име на хост, IP адрес и местоположение.

Наборът от атрибути, налични за всеки отделен тип обект, се нарича схема. Това прави класовете обекти различни един от друг. Информацията за схемата всъщност се съхранява в Active Directory. Че това поведение на протокола за сигурност е много важно е фактът, че схемата позволява на администраторите да добавят атрибути към класове обекти и да ги разпространяват по мрежата до всички краища на домейна, без да рестартират домейн контролери.

LDAP контейнер и име

Контейнерът е специален тип обект, който се използва за организиране на работата на услуга. Той не представлява физическа единица като потребител или система. Вместо това се използва за групиране на други елементи. Контейнерните обекти могат да бъдат вложени в други контейнери.

Всеки елемент в AD има име. Това не са тези, с които сте свикнали, например Иван или Олга. Това са LDAP отличителни имена. Отличителните имена на LDAP са трудни, но ви позволяват да идентифицирате уникално всеки обект в директория, независимо от неговия тип.

Дърво на термини и уебсайт

Дървото на термините се използва за описание на набор от обекти в Active Directory. Какво е това? С прости думи това може да се обясни с помощта на дървовидна асоциация. Когато контейнерите и обектите се комбинират йерархично, те са склонни да образуват разклонения - оттук и името. Свързан термин е съседно поддърво, което се отнася до непрекъснатия основен ствол на дърво.

Продължавайки метафората, терминът "гора" описва колекция, която не е част от едно и също пространство от имена, но споделя обща схема, конфигурация и глобален каталог. Обектите в тези структури са достъпни за всички потребители, ако сигурността позволява. Организациите, които са разделени на множество домейни, трябва да групират дървета в една гора.

Сайтът е географско местоположение, дефинирано в Active Directory. Сайтовете съответстват на логически IP подмрежи и като такива могат да се използват от приложенията за намиране на най-близкия сървър в мрежата. Използването на информация за сайта от Active Directory може значително да намали WAN трафика.

Управление на Active Directory

Компонент за модулна добавка на Active Directory - Потребители. Това е най-удобният инструмент за администриране на Active Directory. Той е достъпен директно от програмната група Административни инструменти в менюто Старт. Той замества и подобрява Server Manager и User Manager от Windows NT 4.0.

Безопасност

Active Directory играе важна роля в бъдещето на мрежите на Windows. Администраторите трябва да могат да защитят своята директория от натрапници и потребители, докато делегират задачи на други администратори. Всичко това е възможно с помощта на модела за сигурност на Active Directory, който свързва списък за контрол на достъпа (ACL) с всеки контейнер и атрибут на обект в директорията.

Високото ниво на контрол позволява на администратора да предоставя на отделни потребители и групи различни нива на разрешения за обекти и техните свойства. Те дори могат да добавят атрибути към обекти и да скриват тези атрибути от определени потребителски групи. Например, можете да зададете ACL, така че само мениджърите да могат да виждат домашните телефони на други потребители.

Делегирана администрация

Нова концепция за Windows 2000 Server е делегираната администрация. Това ви позволява да възлагате задачи на други потребители, без да предоставяте допълнителни права за достъп. Делегираната администрация може да бъде възложена чрез конкретни обекти или поддървета на съседни директории. Това е много по-ефективен метод за предоставяне на разрешения в мрежите.

AT дестинация за някой с всички права на администратор на глобален домейн, потребителят може да получи разрешения само в рамките на конкретно поддърво. Active Directory поддържа наследяване, така че всички нови обекти наследяват ACL на своя контейнер.

Терминът "доверие"

Терминът "доверие" все още се използва, но има различна функционалност. Няма разлика между едностранни и двустранни тръстове. В края на краищата всички доверителни връзки на Active Directory са двупосочни. Освен това всички те са преходни. Така че, ако домейн A се доверява на домейн B, а B се доверява на C, тогава има автоматична имплицитна връзка на доверие между домейн A и домейн C.

Одит в Active Directory - какво е това с прости думи? Това е защитна функция, която ви позволява да определите кой се опитва да получи достъп до обекти, както и колко успешен е този опит.

Използване на DNS (система за имена на домейни)

Системата, известна още като DNS, е от съществено значение за всяка организация, свързана с интернет. DNS осигурява разделяне на имена между общи имена като mspress.microsoft.com и необработените IP адреси, които компонентите използват мрежов слойза комуникация.

Active Directory използва широко DNS технологията за търсене на обекти. Това е значителна промяна спрямо предишната операция Windows системи, които изискват NetBIOS имена да бъдат разрешавани чрез IP адреси и разчитат на WINS или други техники за разрешаване на NetBIOS имена.

Active Directory работи най-добре, когато се използва с DNS сървъри, работещи под Windows 2000. Microsoft улесни мигрирането на администраторите към Windows 2000 DNS сървъри, като предостави съветници за миграция, които насочват администратора през процеса.

Могат да се използват други DNS сървъри. В този случай обаче администраторите ще трябва да отделят повече време за управление на DNS бази данни. Какви са нюансите? Ако решите да не използвате DNS сървъри на Windows 2000, трябва да се уверите, че вашите DNS сървъри отговарят на новия протокол за динамично актуализиране на DNS. Сървърите разчитат на динамично актуализиране на своите записи, за да намерят домейн контролери. Не е удобно. В края на краищата, eАко динамичното актуализиране не се поддържа, базите данни трябва да се актуализират ръчно.

Домейните на Windows и интернет домейните вече са напълно съвместими. Например име като mspress.microsoft.com ще идентифицира домейн контролерите на Active Directory, отговорни за домейна, така че всеки клиент с DNS достъп може да намери домейн контролера.Клиентите могат да използват DNS резолюция, за да търсят произволен брой услуги, тъй като сървърите на Active Directory публикуват списък с адреси в DNS, използвайки новите функции за динамично актуализиране. Тези данни се дефинират като домейн и се публикуват чрез записи на ресурсни услуги. SRV RR следвайте формата service.protocol.domain.

Сървърите на Active Directory предоставят LDAP услуга за хостване на обект, а LDAP използва TCP като основен протокол на транспортния слой. Следователно, клиент, който търси сървър на Active Directory в домейна mspress.microsoft.com, ще търси DNS запис за ldap.tcp.mspress.microsoft.com.

Глобален указател

Active Directory предоставя глобален каталог (GC) ипредоставя един източник за търсене на всеки обект в мрежата на организацията.

Глобалният каталог е услуга в Windows 2000 Server, която позволява на потребителите да намерят всеки обект, на който е предоставен достъп. Тази функционалност отива далеч отвъд Намерете приложенияКомпютър включен в предишни версии Windows. В крайна сметка потребителите могат да търсят всеки обект в Active Directory: сървъри, принтери, потребители и приложения.

Active Directory - разширяема и мащабируема услуга за директория Active Directory (Active Directory) ви позволява ефективно да управлявате мрежовите ресурси.
Активна директорияе йерархично организирано хранилище на данни за мрежови обекти, предоставящо удобни средства за намиране и използване на тези данни. Компютърът, който изпълнява Active Directory, се нарича домейн контролер. Почти всички административни задачи са свързани с Active Directory.
Технологията Active Directory се основава на стандартни интернет протоколи и помага за ясното дефиниране на мрежовата структура, по-подробно как да разположите домейн на Active Directory от нулата, прочетете тук ..

Active Directory и DNS

Active Directory използва системата за имена на домейни.

Администриране на Active Directory

С помощта на услугата Active Directory се създават компютърни акаунти, те се свързват с домейна и се управляват компютри, домейн контролери и организационни единици (OU).

Осигурени са инструменти за администриране и поддръжка за управление на Active Directory. Инструментите, изброени по-долу, са внедрени като MMC (Microsoft Management Console) добавки:

• Active Directory - потребители и компютри (Active Directory Users and Computers) ви позволява да управлявате потребители, групи, компютри и организационни единици (OD);
• Active Directory - домейни и доверие (Active Directory Domains and Trusts) се използва за работа с домейни, домейн дървета и домейн гори;
• Active Directory - сайтове и услуги (Active Directory Sites and Services) ви позволява да управлявате сайтове и подмрежи;
• Резултатният набор от правила се използва за преглед на текущата потребителска или системна политика и за планиране на промени в политиката.
• В Microsoft Windows 2003 Server можете да получите достъп до тези модули директно от менюто Административни инструменти.

Друг административен инструмент - модулът за схема на Active Directory - ви позволява да управлявате и променяте схемата на директорията.

Помощни програми за командния ред на Active Directory

За да управлявате обекти на Active Directory, има инструменти от командния ред, които ви позволяват да изпълнявате широк набор от административни задачи:

• DSADD - добавя компютри, контакти, групи, OP и потребители към Active Directory.
• DSGET - Показва свойствата на компютри, контакти, групи, PO, потребители, сайтове, подмрежи и сървъри, регистрирани в Active Directory.
• DSMOD - променя свойствата на компютри, контакти, групи, PO, потребители и сървъри, регистрирани в Active Directory.
• DSMOVE - Премества единичен обект на ново място в домейн или преименува обект, без да го мести.
• DSQXJERY - търси компютри, контакти, групи, OP, потребители, сайтове, подмрежи и сървъри в Active Directory по зададени критерии.
• DSRM - Премахва обект от Active Directory.
• NTDSUTIL - позволява ви да преглеждате информация за сайт, домейн или сървър, да управлявате основни операции и да поддържате базата данни на Active Directory.

Тъй като познавам добре малкия бизнес отвътре, винаги съм се интересувал от следните въпроси. Обяснете защо служителят трябва да използва браузъра, който системният администратор харесва на работния компютър? Или вземете друг софтуер, например същия архиватор, пощенски клиент, клиент за незабавни съобщения ... Това плавно намеквам за стандартизация и не въз основа на личната симпатия на системния администратор, а въз основа на достатъчността на функционалността, разходите за поддръжка и поддръжка на тези софтуерни продукти. Да започнем да разглеждаме ИТ като точна наука, а не занаят, когато всеки прави каквото може. Отново има много проблеми с това и в малките предприятия. Представете си, че една компания смени няколко такива администратори в труден момент на криза, какво трябва да направят бедните потребители в такава ситуация? Постоянно да се учи отново?

Да погледнем от другата страна. Всеки лидер трябва да разбере какво се случва в компанията (включително в ИТ) сега. Това е необходимо за наблюдение на текущата ситуация, за бързо реагиране на възникването на различни видове проблеми. Но това разбиране е по-важно за стратегическото планиране. Наистина, имайки здрава и надеждна основа, можем да построим къща на 3 или 5 етажа, да направим покрив с различни форми, да направим балкони или зимна градина. По същия начин в ИТ имаме солидна основа - можем да продължим да използваме по-сложни продукти и технологии за решаване на бизнес проблеми.

В първата статия ще говорим за такава основа - услугите на Active Directory. Те са предназначени да станат здрава основа за ИТ инфраструктурата на компания от всякакъв размер и бизнес. Какво е? Нека поговорим за това тук...

И нека започнем разговора с прости понятия - домейн и услуги на Active Directory.

Домейне основната административна единица в мрежовата инфраструктура на едно предприятие, която включва всички мрежови обекти, като потребители, компютри, принтери, споделяния и др. Колекцията от такива домейни се нарича гора.

Услуги на Active Directory (Услуги на Active Directory) е разпределена база данни, която съдържа всички обекти на домейна. Домейн средата на Active Directory е единна точка за удостоверяване и оторизация за потребители и приложения в цялото предприятие. Именно с организацията на домейна и внедряването на услугите на Active Directory започва изграждането на ИТ инфраструктурата на предприятието.

Базата данни на Active Directory се съхранява на специализирани сървъри - домейн контролери. Active Directory Services е роля на сървърна операционна зала. системи на Microsoft windows сървър. Услугите на Active Directory са силно мащабируеми. Повече от 2 милиарда обекта могат да бъдат създадени в гора на Active Directory, което прави възможно внедряването на справочна услуга в компании със стотици хиляди компютри и потребители. Йерархичната структура на домейните ви позволява гъвкаво да мащабирате вашата ИТ инфраструктура към всички клонове и регионални подразделения на компании. За всеки клон или подразделение на компанията може да се създаде отделен домейн със собствени политики, свои потребители и групи. За всеки дъщерен домейн административните права могат да бъдат делегирани на локалните системни администратори. В същото време дъщерните домейни все още са подчинени на родителските.

В допълнение, услугите на Active Directory ви позволяват да настроите доверителни отношения между домейн гори. Всяка компания има собствена гора от домейни, всяка със собствени ресурси. Но понякога може да се наложи да предоставите достъп до вашите корпоративни ресурси на служители на друга компания - работа със споделени документи и приложения като част от съвместен проект. За целта могат да се установят доверителни отношения между горите на организациите, което ще позволи на служителите на една организация да влизат в домейна на друга.

За да осигурите устойчивост на грешки за услугите на Active Directory, трябва да разположите два или повече домейн контролера във всеки домейн. Всички промени се репликират автоматично между домейн контролерите. В случай на повреда на един от домейн контролерите, мрежата не се засяга, тъй като останалите продължават да работят. Осигурява се допълнителен слой устойчивост чрез хостване на DNS сървъри на домейн контролери в Active Directory, което позволява на всеки домейн да има множество DNS сървъри, обслужващи основната домейн зона. И ако един от DNS сървърите се повреди, останалите ще продължат да работят. За ролята и значението на DNS сървърите в ИТ инфраструктурата ще говорим в една от статиите от поредицата.

Но това са всички технически аспекти на внедряването и поддържането на услугите на Active Directory. Нека поговорим за ползите, които една компания получава, като се отдалечи от мрежата peer-to-peer, използвайки работни групи.

1. Единична точка за удостоверяване

В работна група на всеки компютър или сървър ще трябва ръчно да добавите пълен списък с потребители, които се нуждаят от достъп до мрежата. Ако внезапно някой от служителите иска да промени паролата си, тогава тя ще трябва да бъде променена на всички компютри и сървъри. Добре, ако мрежата се състои от 10 компютъра, но ако има повече? Когато използвате домейн на Active Directory, всички потребителски акаунти се съхраняват в една база данни и всички компютри имат достъп до нея за оторизация. Всички потребители на домейна са включени в съответните групи, например „Счетоводство“, „Финансов отдел“. Достатъчно е да зададете разрешения за определени групи веднъж и всички потребители ще получат съответния достъп до документи и приложения. Ако компанията дойде нов служител, за него се създава акаунт, който се включва в съответната група - служителят получава достъп до всички мрежови ресурси, до които трябва да има достъп. Ако служител напусне, достатъчно е да блокирате - и той веднага ще загуби достъп до всички ресурси (компютри, документи, приложения).

2. Единна точка на управление на политиката

В една работна група всички компютри са равни. Нито един от компютрите не може да контролира другия, невъзможно е да се контролира спазването на единни политики и правила за сигурност. Когато използвате една единствена директория на Active Directory, всички потребители и компютри са йерархично разпределени в организационни единици, всяка от които е обект на единни групови правила. Политиките ви позволяват да зададете еднакви настройки и настройки за сигурност за група компютри и потребители. Когато към домейна се добави нов компютър или потребител, той автоматично получава настройки, които отговарят на приетите корпоративни стандарти. С помощта на политики можете централизирано да назначавате потребители мрежови принтери, инсталирайте необходимите приложения, задайте настройки за сигурност на браузъра, конфигурирайте Microsoft приложенияофис.

3. Повишено ниво на информационна сигурност

Използването на услугите на Active Directory значително подобрява мрежовата сигурност. Първо, това е единно и сигурно хранилище сметки. В среда на домейн всички пароли за потребители на домейн се съхраняват на специални сървъри, домейн контролери, които обикновено са защитени от външен достъп. Второ, когато се използва среда на домейн, за удостоверяване се използва протоколът Kerberos, който е много по-сигурен от NTLM, използван в работни групи.

4. Интеграция с корпоративни приложения и оборудване

Голямо предимство на услугите на Active Directory е съответствието със стандарта LDAP, който се поддържа от други системи, като пощенски сървъри (Exchange Server), прокси сървъри (ISA Server, TMG). И не е задължително да са само продукти на Microsoft. Предимството на тази интеграция е, че не е необходимо потребителят да помни голям брой влизания и пароли за достъп до определено приложение, във всички приложения потребителят има едни и същи идентификационни данни - неговото удостоверяване се извършва в една единствена Active Directory. Windows Server осигурява интеграция на Active Directory с RADIUS протокола, който се поддържа от голямо разнообразие от мрежово оборудване. По този начин е възможно например да се осигури удостоверяване на потребители на домейн, когато се свързват чрез VPN отвън, като се използва WiFi горещи точкидостъп до компанията.

5. Единен магазин за конфигурация на приложения

Някои приложения съхраняват конфигурацията си в Active Directory, като Exchange Server. Внедряването на услугата за директория на Active Directory е предпоставка за работата на тези приложения. Съхраняването на конфигурация на приложение в директорийна услуга е полезно от гледна точка на гъвкавост и надеждност. Например, в случай на пълна повреда на сървъра на Exchange, цялата му конфигурация ще остане непокътната. За възстановяване на функционалността корпоративна поща, ще бъде достатъчно да преинсталирате Exchange Server в режим на възстановяване.

Обобщавайки, бих искал отново да се съсредоточа върху факта, че услугите на Active Directory са сърцето на ИТ инфраструктурата на предприятието. В случай на повреда цялата мрежа, всички сървъри, работата на всички потребители ще бъде парализирана. Никой няма да може да влезе в компютъра, да получи достъп до техните документи и приложения. Следователно справочната услуга трябва да бъде внимателно проектирана и внедрена, като се вземат предвид всички възможни нюанси, например, честотна лентаканали между клонове или офиси на компанията (скоростта на потребителско влизане в системата, както и обмен на данни между домейн контролери, пряко зависи от това).

В нашите предишни статии сме обсъждали често срещани проблеми, свързани с услугите на директорията и Active Directory. Сега е време да преминете към практиката. Но не бързайте да бягате към сървъра, преди да разположите структура на домейн във вашата мрежа, трябва да я планирате и да имате ясна представа за целта индивидуални сървърии взаимодействията между тях.

Преди да създадете своя първи домейн контролер, трябва да решите режима на неговата работа. Режимът на работа определя наличните функции и зависи от версията на използваното приложение. операционна система. Няма да разглеждаме всички възможни режими, с изключение на тези, които са актуални в момента. Има три такива режима: Windows Server 2003, 2008 и 2008 R2.

Режимът Windows Server 2003 трябва да бъде избран само когато сървърите на тази операционна система вече са разположени във вашата инфраструктура и планирате да използвате един или повече от тези сървъри като домейн контролери. В други случаи трябва да изберете режим Windows Server 2008 или 2008 R2, в зависимост от закупените лицензи. Трябва да се помни, че режимът на работа на домейна винаги може да бъде увеличен, но няма да е възможно да го намалите (освен чрез възстановяване от резервно копие), така че подходете към този въпрос внимателно, като вземете предвид възможните разширения, лицензи в клонове и т.н. . и т.н.

Сега няма да разглеждаме подробно процеса на създаване на домейн контролер, ще се върнем към този въпрос по-късно, но сега искаме да насочим вниманието ви към факта, че в пълната структура на Active Directory на домейн контролери трябва да има поне две. В противен случай се излагате на ненужен риск, тъй като в случай на повреда на един домейн контролер, вашата AD структура ще напълно унищожени. Добре е, ако има актуално архивиране и можете да се възстановите от него, във всеки случай през цялото това време мрежата ви ще бъде напълно парализирана.

Следователно, веднага след създаването на първия домейн контролер, трябва да разположите втори, независимо от размера на мрежата и бюджета. Вторият контролер трябва да бъде осигурен на етапа на планиране и без него внедряването на AD дори не си струва да се предприема. Също така, не комбинирайте ролята на контролер на домейн с други роли на сървъра, за да се гарантира надеждността на операциите с AD базата данни, кеширането на запис е деактивирано на диска, което води до рязък спад в производителността на диска подсистема (това обяснява и дълго натоварванедомейн контролери).

В резултат нашата мрежа трябва да приеме следната форма:

Противно на общоприетото схващане, всички контролери в домейн са равни; всеки контролер съдържа пълна информацияза всички обекти на домейна и може да обслужва клиентска заявка. Но това не означава, че контролерите са взаимозаменяеми, неразбирането на тази точка често води до откази на AD и прекъсване на корпоративната мрежа. Защо се случва това? Време е да си спомним за ролята на FSMO.

Когато създадем първия контролер, той съдържа всички налични роли и също така е глобален каталог, с появата на втория контролер, ролите на мастер на инфраструктура, RID мастер и PDC емулатор се прехвърлят към него. Какво се случва, ако администраторът реши временно да деактивира DC1 сървъра, например, за да го почисти от прах? На пръв поглед всичко е наред, добре, домейнът ще премине в режим "само за четене", но ще работи. Но ние забравихме за глобалния каталог и ако приложения, които го изискват, като Exchange, са разположени във вашата мрежа, тогава ще знаете за това, преди да премахнете капака от сървъра. Учите се от недоволни потребители и е малко вероятно ръководството да бъде доволно.

От което следва заключението: в гората трябва да има поне два глобални каталога и най-добре по един във всеки домейн. Тъй като имаме един домейн в гората, и двата сървъра трябва да са глобални директории, това ще ви позволи да вземете някой от сървърите за поддръжка без никакви проблеми, временната липса на каквито и да е FSMO роли не води до повреда на AD, а само го прави невъзможно е създаването на нови обекти.

Като администратор на домейн трябва ясно да разберете как ролите на FSMO са разпределени между вашите сървъри и когато извеждате сървър от експлоатация за продължителен период от време, прехвърлете тези роли на други сървъри. И какво ще се случи, ако сървърът, съдържащ ролите на FSMO, се повреди необратимо? Всичко е наред, както вече писахме, всеки контролер на домейн съдържа цялата необходима информация и ако възникне такова неудобство, тогава ще трябва да заснемете необходимите роли от един от контролерите, това ще възстанови пълната работа на директорийната услуга .

Времето минава, вашата организация се разраства и има клон на другия край на града и се налага да включите тяхната мрежа в цялостната инфраструктура на предприятието. На пръв поглед нищо сложно, създавате комуникационен канал между офисите и поставяте допълнителен контролер в него. Всичко би било наред, но има едно нещо. Вие не можете да контролирате този сървър и следователно е възможен неоторизиран достъп до него, а локалният администратор ви кара да се съмнявате в неговата квалификация. Как да бъдем в такава ситуация? За тези цели има специален тип контролер специално: домейн контролер само за четене (RODC), дадена функцияналични във функционални режими на домейни, започващи с Windows Server 2008 и по-нови.

Контролерът на домейн само за четене съдържа пълно копие на всички обекти на домейн и може да бъде глобален каталог, но не ви позволява да правите промени в структурата на AD, той също така ви позволява да назначите всеки потребител като локален администратор, което ще позволи му да служи напълно даден сървър, но отново без достъп до AD услуги. В нашия случай това е предписанието на лекаря.

Установихме в клона на RODC, всичко работи, вие сте спокойни, но потребителите започват да се оплакват от дългото влизане и сметките за трафик в края на месеца показват излишък. Какво се случва? Време е отново да си спомним за еквивалентността на домейн контролерите, клиентът може да изпрати заявката си до всеки домейн контролер, дори разположен в друг клон. Вземете под внимание бавния и най-вероятно натоварения комуникационен канал - това е причината за забавянето на влизането.

Следващият фактор, който трови живота ни в тази ситуация, е репликацията. Както знаете, всички промени, направени на един от домейн контролерите, автоматично се разпространяват към други и този процес се нарича репликация, той ви позволява да имате актуално и последователно копие на данните на всеки контролер. Услугата за репликация не знае за нашия клон и бавен канал за комуникация и следователно всички промени в офиса незабавно ще бъдат репликирани в клона, зареждайки канала и увеличавайки потреблението на трафик.

Тук се доближаваме до концепцията за AD сайтове, които не трябва да се бъркат с интернет сайтове. Сайтове на Active Directoryпредставляват начин за физическо разделяне на структурата на справочна услуга на области, отделени от другите области чрез бавни и/или нестабилни връзки. Сайтовете се създават на базата на подмрежи и всички клиентски заявки се изпращат първо до контролерите на техния сайт, също така е много желателно да има глобален каталог във всеки сайт. В нашия случай трябва да създадем два сайта: Рекламен сайт 1за централния офис и AD сайт 2за клон, по-точно един, тъй като по подразбиране AD структурата вече съдържа сайт, който включва всички предварително създадени обекти. Сега нека да разгледаме как се осъществява репликацията в мрежа с няколко сайта.

Ще приемем, че нашата организация е нараснала малко и главният офис съдържа до четири домейн контролера, репликацията между контролерите на един сайт се нарича вътрешносайтови става моментално. Топологията на репликация е изградена съгласно пръстеновидната схема с условието, че няма повече от три стъпки на репликация между всеки контролер на домейн. Схемата на пръстена се запазва до 7 контролера включително, всеки контролер установява връзка с двама най-близки съседи, с по-голям брой контролери се появяват допълнителни връзки и общият пръстен, така да се каже, се превръща в група от пръстени, насложени един върху друг.

Интерсайтрепликацията се извършва по различен начин, във всеки домейн автоматично се избира един от сървърите (сървър на предмостието), който установява връзка с подобен сървър на друг сайт. По подразбиране репликацията се извършва веднъж на всеки 3 часа (180 минути), но можем да зададем собствен график за репликация и за да спестим трафик, всички данни се прехвърлят в компресирана форма. Ако в даден сайт има само RODC, репликацията се извършва еднопосочно.

Разбира се, темите, които засегнахме, са много дълбоки и в този материал ги засегнахме само леко, но това са необходимите минимални знания, които трябва да имате преди практическото внедряване на Active Directory в корпоративната инфраструктура. Това ще избегне глупави грешки по време на разгръщането и извънредни ситуации по време на поддръжката и разширяването на структурата, а всяка от повдигнатите теми ще бъде разгледана по-подробно.