Stiki
doma

Kaj je imenik sredstev. Uvod. Kako delujejo aktivni imeniki

Kaj bo pomagalo Aktivni imenik specialisti?

Podal bom majhen seznam "dobrov", ki jih je mogoče dobiti z uvedbo Active Directory:

  • baza podatkov za registracijo enega uporabnika, ki je centralno shranjena na enem ali več strežnikih; tako, ko se v pisarni pojavi nov zaposleni, boste morali zanj ustvariti le račun na strežniku in določiti, do katerih delovnih postaj lahko dostopa;
  • ker so vsi viri domene indeksirani, to omogoča preprosto in hitro iskanje uporabnikov; na primer, če morate v oddelku najti barvni tiskalnik;
  • kombinacija uporabe dovoljenj NTFS, pravilnikov skupine in prenosa nadzora vam bo omogočila natančno nastavitev in distribucijo pravic med člani domene;
  • gostujoči uporabniški profili vam omogočajo shranjevanje pomembnih informacij in konfiguracijskih nastavitev na strežniku; pravzaprav, če uporabnik s profilom gostovanja v domeni sede za delo na drug računalnik in vnese svoje uporabniško ime in geslo, bo videl svoje namizje s svojimi običajnimi nastavitvami;
  • z uporabo skupinskih pravilnikov lahko spreminjate nastavitve uporabniških operacijskih sistemov, od dovoljenja uporabniku, da nastavi ozadje na namizju do varnostnih nastavitev, pa tudi distribuira programsko opremo po omrežju, na primer odjemalec Volume Shadow Copy itd.;
  • številni programi (proxy strežniki, strežniki baz podatkov itd.), ki jih danes ne proizvaja le Microsoft, so se naučili uporabljati preverjanje pristnosti domene, zato vam ni treba ustvariti druge uporabniške baze podatkov, lahko pa uporabite obstoječo;
  • uporaba storitev oddaljene namestitve olajša namestitev sistemov na delovne postaje, vendar pa deluje samo z vgrajeno imeniško storitvijo.

In to ni popoln seznam funkcij, vendar več o tem kasneje. Zdaj bom poskušal povedati samo logiko gradnje Aktivni imenik, a spet je vredno ugotoviti, iz česa so narejeni naši fantje, iz česa so zgrajeni naši fantje Aktivni imenik so domene, drevesa, gozdovi, organizacijske enote, uporabniške in računalniške skupine.

domene - To je osnovna logična gradbena enota. V primerjavi z delovnimi skupinami AD domene so varnostne skupine, ki imajo eno samo registracijsko bazo, medtem ko so delovne skupine le logična skupina strojev. AD uporablja DNS (Domain Name Server) za poimenovanje in storitve iskanja, ne WINS (Windows Internet Name Service), kot je bilo v prejšnjih različicah NT. Tako so imena računalnikov v domeni na primer buh.work.com, kjer je buh ime računalnika v domeni work.com (čeprav ni vedno tako).

Delovne skupine uporabljajo imena NetBIOS. Za gostovanje domenske strukture AD morda uporabljate strežnik DNS, ki ni Microsoftov. Vendar mora biti združljiv z BIND 8.1.2 ali novejšim in podpirati zapise SRV() ter Dynamic Registration Protocol (RFC 2136). Vsaka domena ima vsaj en krmilnik domene, ki gosti centralno bazo podatkov.

drevesa - To so večdomenske strukture. Koren te strukture je glavna domena, za katero ustvarite podrejene domene. Dejansko Active Directory uporablja hierarhični konstrukcijski sistem, podoben strukturi domen v DNS.

Če imamo domeno work.com (domena prve stopnje) in zanjo ustvarimo dve podrejeni domeni, first.work.com in second.work.com (tu sta prva in druga domeni druge stopnje, ne pa računalnik v domene, kot v zgoraj opisanem primeru), potem kot rezultat dobimo drevo domen.

Drevesa kot logična struktura se uporabljajo, ko morate ločiti podružnice podjetja, na primer po geografskih značilnostih ali iz drugih organizacijskih razlogov.

AD pomaga samodejno ustvariti odnose zaupanja med vsako domeno in njenimi podrejenimi domenami.

Tako ustvarjanje domene first.work.com vodi v avtomatsko organizacijo dvosmernega zaupanja med nadrejenim work.com in otrokom first.work.com (podobno za second.work.com). Zato je mogoče uporabiti dovoljenja iz nadrejene domene za podrejeno domeno in obratno. Ni težko domnevati, da bodo odnosi zaupanja obstajali tudi za otroške domene.

Druga lastnost zaupanja vrednih odnosov je prehodnost. Dobimo - za domeno net.first.work.com je ustvarjen odnos zaupanja z domeno work.com.

gozd - Tako kot drevesa so tudi večdomenske strukture. Ampak gozd je zveza dreves, ki imajo različne korenske domene.

Recimo, da se odločite za več domen z imenom work.com in home.net in zanje ustvarite podrejene domene, a ker tld (domena najvišje ravni) ni pod vašim nadzorom, lahko v tem primeru organizirate gozd tako, da izberete eno od prvih domene ravni je koren. Lepota ustvarjanja gozda v tem primeru je dvosmerno zaupanje med tema dvema domenama in njunima podrejenima domenama.

Pri delu z gozdovi in ​​drevesi pa si zapomnite naslednje:

  • v drevo ne morete dodati obstoječe domene
  • v gozd ne morete vključiti že obstoječega drevesa
  • če so domene postavljene v gozd, jih ni mogoče premakniti v drug gozd
  • ne morete izbrisati domene, ki ima podrejene domene

Organizacijske enote - načeloma lahko imenujemo poddomene. vam omogočajo združevanje uporabniških računov, uporabniških skupin, računalnikov, virov v skupni rabi, tiskalnikov in drugih OU (organizacijskih enot) v domeni. Praktična korist njihove uporabe je možnost prenosa pravic za upravljanje teh enot.

Preprosto povedano, v domeni je mogoče določiti skrbnika, ki lahko upravlja OU, vendar nima pravic za upravljanje celotne domene.

Pomembna značilnost OU, za razliko od skupin, je zmožnost uporabe skupinskih pravilnikov zanje. "Zakaj prvotne domene ni mogoče razdeliti na več domen, namesto da bi uporabili OU?" - vprašaš.

Mnogi strokovnjaki svetujejo, da imate eno domeno, kadar koli je to mogoče. Razlog za to je decentralizacija administracije pri ustvarjanju dodatne domene, saj imajo skrbniki vsake take domene neomejen nadzor (naj spomnim, da lahko pri prenosu pravic na skrbnike OU omejite njihovo funkcionalnost).

Poleg tega boste za ustvarjanje nove domene (tudi otroške) potrebovali še en krmilnik. Če imate dva ločena oddelka, povezana s počasnim komunikacijskim kanalom, se lahko pojavijo težave pri podvajanju. V tem primeru bi bilo bolj primerno imeti dve domeni.

Obstaja tudi še en odtenek pri uporabi pravilnikov skupine: pravilniki, ki določajo nastavitve gesel in zaklepanja računa, se lahko uporabljajo samo za domene. Za OU se te nastavitve pravilnika prezrejo.

Spletna mesta - To je način za fizično ločevanje imeniške storitve. Po definiciji je spletno mesto skupina računalnikov, povezanih s hitrimi podatkovnimi povezavami.

Če imate v različnih delih države več poslovalnic, povezanih s hitrimi komunikacijskimi linijami, lahko za vsako poslovalnico ustvarite svojo spletno stran. To se naredi za izboljšanje zanesljivosti replikacije imenika.

Takšna particija AD ne vpliva na načela logične konstrukcije, torej tako kot lahko spletno mesto vsebuje več domen, in obratno, lahko domena vsebuje več mest. Toda ta topologija imeniških storitev je polna ulova. Internet se praviloma uporablja za komunikacijo s podružnicami – zelo nevarno okolje. Mnoga podjetja uporabljajo varnostne ukrepe, kot so požarni zidovi. Imeniška storitev pri svojem delu uporablja približno ducat in pol vrat in storitev, katerih odpiranje za promet AD skozi požarni zid ga bo dejansko izpostavilo "zunaj". Rešitev problema je uporaba tehnologije tuneliranja, pa tudi prisotnost krmilnika domene na vsakem mestu za pospešitev obdelave zahtev odjemalcev AD.

Predstavljena je logika gnezdenja komponent imeniške storitve. Vidimo lahko, da gozd vsebuje dve domenski drevesi, v katerih lahko korenska domena drevesa vsebuje OU in skupine predmetov ter ima tudi podrejene domene (v tem primeru po eno za vsako). Podrejene domene lahko vsebujejo tudi skupine objektov in OU ter imajo podrejene domene (niso prikazane na sliki). itd. Kot opomnik, OU lahko vsebujejo OU, predmete in skupine predmetov, skupine pa lahko vsebujejo druge skupine.

Skupine uporabnikov in računalnikov - se uporabljajo za administrativne namene in imajo enak pomen kot pri uporabi na lokalnih računalnikih v omrežju. Za razliko od OU pravilnikov skupine ni mogoče uporabiti za skupine, lahko pa jim je prenesen nadzor. V okviru sheme Active Directory obstajata dve vrsti skupin: varnostne skupine (uporabljajo se za razlikovanje pravic dostopa do omrežnih objektov) in distribucijske skupine (uporabljajo se predvsem za pošiljanje poštnih sporočil, na primer v strežniku Microsoft Exchange Server).

Razvrščeni so glede na obseg:

  • univerzalne skupine lahko vključuje uporabnike znotraj gozda, pa tudi druge univerzalne skupine ali globalne skupine iz katere koli domene v gozdu
  • domenske globalne skupine lahko vključuje uporabnike domene in druge globalne skupine iste domene
  • lokalne skupine domene uporablja za razlikovanje pravic dostopa, lahko vključuje uporabnike domen, pa tudi univerzalne skupine in globalne skupine katere koli domene v gozdu
  • lokalne računalniške skupine– skupine, ki jih vsebuje SAM (upravitelj varnostnih računov) lokalnega računalnika. Njihov obseg je omejen samo na ta računalnik, lahko pa vključujejo lokalne skupine domene, v kateri se računalnik nahaja, pa tudi univerzalne in globalne skupine svoje ali druge domene, ki ji zaupajo. Uporabnika iz domenske lokalne skupine Uporabniki lahko na primer vključite v skupino skrbnikov lokalnega računalnika in mu tako dodelite skrbniške pravice, vendar samo za ta računalnik

Vsak samospoštljiv uporabnik računalnika je moral vsaj enkrat v življenju priključiti tiskalnik na računalnik, morda svojega nimaš, so pa sosedje ali prijatelji prosili, da to storijo. In ste se strinjali, čeprav tega postopka še nikoli niste doživeli. Na fizični ravni ste naredili vse pravilno, a ko poskušate nekaj natisniti, sistem prikaže napako "Domenske storitve Active Directory trenutno niso na voljo." Kaj storiti v tej situaciji, verjetno ne veste. Ta članek je zasnovan tako, da vam pomaga narediti prav to.

Razlogi, zakaj tiskalnik ne deluje

Eden najverjetnejših razlogov je, da se ne izvaja posebna storitev, ki velja samo za tiskalnik Active Directory, kot tudi njegov spremljajoči okačni program. Včasih, zlasti na starejših napravah, je treba to storitev zagnati ročno. Drugi razlog so gonilniki tiskalnika, morda niso pravilno nameščeni, zaradi česar se ustrezne storitve ne zaženejo.

Pomembno je biti pozoren na sam operacijski sistem. Za povezane naprave ima nekaj programske opreme, ki omogoča delo s specifičnimi napravami, v našem primeru s tiskalnikom. Preverite tudi delovanje samega računalnika in njegovih USB vrat.

Pravilno dodajanje tiskalnika

Le malo ljudi je pred tem prebralo navodila, kako pravilno priključiti ali namestiti novo opremo. Mnogi se poskušajo spopasti s svojo intuicijo in pretirano samozavestjo. In k navodilom se običajno zatečemo že, ko se na primer pojavi napaka »Domenske storitve Active Directory trenutno niso na voljo«. Naučimo se od Microsofta, prodajalca operacijskega sistema Windows, kako pravilno dodati tiskalnik napravam operacijskega sistema.


Odpravljanje napake »Domenske storitve niso na voljo« na tiskalniku

Preden razumete napako Active Directory, se prepričajte, da vrata, na katera priključite tiskalnik, delujejo, kot tudi žica, s katero je naprava povezana z računalnikom. Prav tako se morate prepričati, da naprava sama deluje. Če imate možnost, priključite drug tiskalnik na svoj računalnik tako, da si ga izposodite od soseda ali prijateljev. V vsakem primeru morate biti 100% prepričani, da naprave ne potrebujejo popravila in da je težava na ravni programske opreme.


Omogočite storitve Active Directory

Če želite odpraviti našo težavo »AD DS trenutno ni na voljo«, boste morda morali omogočiti ali znova zagnati določene storitve, da bo tiskalnik deloval. Za to:

  1. Odprite nadzorno ploščo (z desno miškino tipko kliknite ikono "Start" in izberite s seznama).
  2. Nato poiščite razdelek »Administracija«. Na seznamu izberite "Storitve".
  3. Tukaj poiščite na seznamu storitev "Samodejna konfiguracija omrežnih naprav". Izberite ga in če je onemogočen, ga omogočite, sicer pa ga znova zaženite s klikom v lastnostih "Onemogoči", "Omogoči".
  4. Enake korake je treba izvesti za naslednje storitve: "Upravitelj samodejnih povezav za oddaljeni dostop", "Local Device Manager", "Local Session Manager".

Nastavitev Active Directory je dokaj preprost postopek in je zajeta v številnih virih na internetu, vključno z uradnimi. Vendar se na svojem blogu ne morem ne dotakniti te točke, saj bo večina naslednjih člankov tako ali drugače zasnovana na okolju, ki ga nameravam vzpostaviti prav zdaj.

Če vas zanima tema Windows Server, vam priporočam, da se obrnete na oznako na mojem blogu. Priporočam tudi, da preberete glavni članek o Active Directory -

Nameravam umestiti vlogo AD na dveh virtualnih strežnikih (prihodnjih krmilnikih domen) izmenično.

  1. Prvi korak je, da nastavite ustrezno imena strežnikov, zame bo DC01 in DC02;
  2. Naprej piši statične omrežne nastavitve(O tej točki bom podrobneje razpravljal spodaj);
  3. Namestite vse posodobitve sistema, zlasti varnostne posodobitve (za CD je to pomembno kot za katero koli drugo vlogo).

Na tej stopnji se morate odločiti katero ime domene boste imeli. To je izjemno pomembno, saj bo potem sprememba imena domene za vas zelo velika težava, čeprav je skript za preimenovanje uradno podprt in implementiran že dlje časa.

Opomba: n Nekaj ​​sklepanja, pa tudi številne povezave do uporabnega gradiva, lahko najdete v mojem članku. Priporočam, da se seznanite z njim, pa tudi s seznamom uporabljenih virov.

Ker bom uporabljal virtualizirane krmilnike domene, moram spremeniti nekatere nastavitve virtualnega stroja, in sicer onemogoči časovno sinhronizacijo s hipervizorjem. Čas v AD je treba sinhronizirati izključno iz zunanjih virov. Omogočene nastavitve časovne sinhronizacije s hipervizorjem lahko povzročijo ciklično sinhronizacijo in posledično težave pri delovanju celotne domene.

Opomba: onemogočanje sinhronizacije z gostiteljem za virtualizacijo je najpreprostejša in najhitrejša možnost. Vendar to ni najboljša praksa. V skladu s priporočili Microsofta bi morali sinhronizacijo z gostiteljem le delno onemogočiti. Za razumevanje principa dela preberite uradno dokumentacijo, ki je v zadnjih letih korenito poskočila v smislu predstavitve gradiva. .

Na splošno se pristop k upravljanju virtualiziranih krmilnikov domen razlikuje zaradi nekaterih značilnosti delovanja AD DS:

Navidezna okolja predstavljajo poseben izziv za porazdeljene delovne tokove, ki se zanašajo na časovno temelječo logiko podvajanja. Podvajanje AD DS na primer uporablja enakomerno naraščajočo vrednost (imenovano USN ali zaporedna številka posodobitve), dodeljeno transakcijam v vsakem krmilniku domene. Vsak primerek baze podatkov krmilnika domene prejme tudi identifikator, imenovan InvocationID. InvocationID krmilnika domene in njegova zaporedna številka posodobitve skupaj služita kot edinstven identifikator, ki je povezan z vsako transakcijo pisanja, ki se zgodi na vsakem krmilniku domene, in mora biti edinstven v gozdu.

S tem so zaključeni osnovni koraki za pripravo okolja, nadaljujte s fazo namestitve.

Namestitev Active Directory

Namestitev poteka prek upravitelja strežnikov in v njej ni nič zapletenega, vse korake namestitve si lahko podrobno ogledate spodaj:


Sam postopek namestitve je v primerjavi s prejšnjimi različicami OS doživel nekaj sprememb:

Uvajanje domenskih storitev Active Directory (AD DS) v Windows Server 2012 je lažje in hitrejše kot prejšnje različice Windows Server. Namestitev AD DS zdaj temelji na Windows PowerShell in je integrirana z upraviteljem strežnikov. Število korakov, potrebnih za uvedbo krmilnikov domene v obstoječe okolje Active Directory, se je zmanjšalo.

Izbrati morate samo vlogo Domenske storitve Active Directory, dodatnih komponent ni treba namestiti. Postopek namestitve traja malo časa in lahko takoj nadaljujete z nastavitvijo.

Ko je vloga nameščena, boste v zgornjem desnem kotu upravitelja strežnikov videli klicaj – potrebna je konfiguracija po uvedbi. Kliknite Povečajte ta strežnik v krmilnik domene.

Promoviranje strežnika v krmilnik domene

Koraki čarovnika so podrobno opisani v dokumentaciji. Vendar pa pojdimo skozi osnovne korake.

Ker AD uvajamo iz nič, moramo dodati nov gozd. Prepričajte se, da ste varno shranili geslo za način obnovitve imenikov (DSRM). Lokacija baze podatkov AD DS lahko pustite privzeto (kar je priporočeno. Vendar sem zaradi raznolikosti v mojem testnem okolju podal drug imenik).

Čakamo na namestitev.

Strežnik se bo nato znova zagnal.

Ustvarite skrbniške račune domene/podjetja

Kot prej se boste morali prijaviti pod lokalnim skrbniškim računom. Pojdi na posnetek Uporabniki in računalniki Active Directory, ustvarite potrebne račune - na tej točki je to skrbnik domene.

Nastavitev DNS na enem DC v domeni

Med namestitvijo AD je bila nameščena tudi vloga AD DNS, saj v infrastrukturi nisem imel drugih DNS strežnikov. Za pravilno delovanje storitve morate spremeniti nekatere nastavitve. Najprej morate v nastavitvah omrežne kartice preveriti želene strežnike DNS. Uporabiti morate samo en strežnik DNS z naslovom 127.0.0.1. Da, to je lokalni gostitelj. Privzeto se mora registrirati.

Ko se prepričate, da so nastavitve pravilne, odprite DNS snap-in. Z desno tipko miške kliknite ime strežnika in odprite njegove lastnosti, pojdite na zavihek "Posredovalec". Naslov strežnika DNS, ki je bil podan v omrežnih nastavitvah pred namestitvijo vloge AD DS, je bil samodejno registriran kot edini pošiljatelj:

Treba ga je izbrisati in ustvariti novega, zelo zaželeno pa je, da gre za strežnik ponudnika, ne pa tudi za javni naslov kot sta znani 8.8.8.8 in 8.8.4.4. Za toleranco napak registrirajte vsaj dva strežnika. Ne počistite potrditvenega polja za uporabo korenskih namigov, če ni na voljo nobenih posredovanj. Korenski namigi so dobro znana skupina strežnikov DNS najvišje ravni.

Dodajanje drugega DC v domeno

Ker sem prvotno govoril o dveh krmilnikih domen, je čas, da začnemo nastavljati drugega. Gremo tudi skozi čarovnika za namestitev, vlogo povišamo na krmilnika domene, samo izberite Dodajte krmilnik domene obstoječi domeni:

Upoštevajte, da je v omrežnih nastavitvah tega strežnika glavna Prvi prej konfiguriran krmilnik domene mora biti izbran kot strežnik DNS! To je obvezno, sicer boste dobili napako.

Po potrebnih nastavitvah se prijavite v strežnik pod skrbniškim računom domene, ki je bil ustvarjen prej.

Nastavitev DNS na več DC-jih v domeni

Da preprečite težave z replikacijo, morate znova spremeniti omrežne nastavitve in to morate storiti na vsakem krmilniku domene (in tudi na že obstoječih) in vsakič, ko dodate nov DC:

Če imate v domeni več kot tri DC-je, morate registrirati strežnike DNS z naprednimi nastavitvami v tem vrstnem redu. Več o DNS si lahko preberete v mojem članku.

Nastavitev časa

Ta korak je obvezen, še posebej, če postavljate resnično okolje v produkciji. Kot se spomnite, sem prej onemogočil časovno sinhronizacijo prek hipervizorja in zdaj jo morate pravilno konfigurirati. Krmilnik z vlogo emulatorja FSMO PDC je odgovoren za razporeditev pravilnega časa na celotno domeno (Ne veste, kaj je ta vloga? Preberite članek). V mojem primeru je to seveda prvi krmilnik domene, ki je od samega začetka nosilec vseh vlog FSMO.

Na krmilnikih domen bomo konfigurirali čas s pravilniki skupine. Naj spomnimo, da so računalniški računi krmilnika domene v ločenem vsebniku in imajo ločen privzeti pravilnik skupine. Tega pravilnika vam ni treba spreminjati, bolje je ustvariti novega.

Poimenujte ga, kot se vam zdi primerno in kako bo predmet ustvarjen, z desno tipko miške kliknite - Spremeni se. Pojdi do Konfiguracija računalnika\Policies\Administrative Templates\System\Windows Time Service\Time Providers. Aktivirajte pravilnike Omogoči odjemalec Windows NTP in Omogoči strežnik Windows NTP, pojdite na lastnosti pravilnika Konfigurirajte odjemalca Windows NTP in nastavite vrsto protokola - NTP, ne dotikajte se ostalih nastavitev:

Čakamo na uporabo pravilnikov (trajalo mi je približno 5-8 minut, kljub zagonu gpupdate/force in nekaj ponovnim zagonom), nakar dobimo:

Na splošno je treba zagotoviti, da samo emulator PDC sinhronizira čas iz zunanjih virov in ne vseh krmilnikov domene zapored, vendar bo tako, saj se pravilnik skupine uporablja za vse predmete v vsebniku. Preusmeriti ga morate na določen predmet računa računalnika, ki ima vlogo PDC-emulatorja. To se naredi tudi prek skupinskih pravilnikov – v konzoli gpmc.msc z levo miškino tipko kliknite želeni pravilnik in na desni boste videli njegove nastavitve. V varnostne filtre morate dodati račun želenega krmilnika domene:

Več o principu delovanja in nastavitvi časovnega servisa si preberite v uradni dokumentaciji.

S tem je nastavitev časa končana, s tem pa je zaključena začetna konfiguracija imenika Active Directory.

Active Directory (AD) je pripomoček, zasnovan za operacijski sistem Microsoft Server. Prvotno je bil ustvarjen kot lahek algoritem za dostop do uporabniških imenikov. Od različice Windows Server 2008 se je pojavila integracija s storitvami avtorizacije.

Omogoča vam skladnost s pravilnikom skupine, ki uporablja isto vrsto nastavitev in programske opreme na vseh nadzorovanih računalnikih z uporabo System Center Configuration Manager.

Če z enostavnimi besedami za začetnike, je to vloga strežnika, ki vam omogoča upravljanje vseh dostopov in dovoljenj v lokalnem omrežju z enega mesta

Funkcije in nameni

Microsoft Active Directory - (tako imenovani imenik) paket orodij, ki vam omogoča manipulacijo uporabnikov in omrežnih podatkov. glavni cilj Ustvarjanje - Olajšajte delo sistemskih skrbnikov v obsežnih omrežjih.

Imeniki vsebujejo različne informacije, povezane z uporabniki, skupinami, omrežnimi napravami, datotečnimi viri - z eno besedo, predmeti. Na primer, uporabniški atributi, ki so shranjeni v imeniku, morajo biti naslednji: naslov, prijava, geslo, številka mobilnega telefona itd. Imenik se uporablja kot točke za preverjanje pristnosti, s katerim lahko najdete potrebne podatke o uporabniku.

Osnovni pojmi, s katerimi se srečujemo med delom

Obstaja več specializiranih konceptov, ki se uporabljajo pri delu z AD:

  1. Strežnik je računalnik, ki vsebuje vse podatke.
  2. Krmilnik je strežnik z vlogo AD, ki obravnava zahteve ljudi, ki uporabljajo domeno.
  3. Domena AD je zbirka naprav, združenih pod enim edinstvenim imenom, ki hkrati uporabljajo skupno bazo podatkov imenika.
  4. Shramba podatkov je del imenika, ki je odgovoren za shranjevanje in pridobivanje podatkov iz katerega koli krmilnika domene.

Kako delujejo aktivni imeniki

Glavna načela dela so:

  • Pooblastilo, s katerim je mogoče uporabljati osebni računalnik v omrežju preprosto z vnosom osebnega gesla. V tem primeru se prenesejo vsi podatki iz računa.
  • varnost. Active Directory vsebuje funkcije za prepoznavanje uporabnikov. Za kateri koli omrežni objekt lahko na daljavo iz ene naprave nastavite potrebne pravice, ki bodo odvisne od kategorij in posameznih uporabnikov.
  • Omrežna administracija iz ene točke. Med delom z Active Directory skrbniku sistema ni treba ponovno konfigurirati vseh osebnih računalnikov, če morate spremeniti pravice dostopa, na primer do tiskalnika. Spremembe se izvajajo na daljavo in globalno.
  • Dokončano DNS integracija. Z njegovo pomočjo v AD ni zmede, vse naprave so označene na enak način kot v svetovnem spletu.
  • velikega obsega. Zbirko strežnikov lahko nadzira en sam Active Directory.
  • Iskanje je izdelan glede na različne parametre, na primer ime računalnika, prijavo.

Predmeti in atributi

Objekt - niz atributov, združenih pod svojim imenom, ki predstavljajo omrežni vir.

Atribut - značilnosti predmeta v katalogu. Ti na primer vključujejo polno ime uporabnika, njegovo prijavo. Toda atributi računa osebnega računalnika so lahko ime tega računalnika in njegov opis.

»Uslužbenec« je objekt, ki ima atribute »Ime«, »Položaj« in »TabN«.

Vsebnik LDAP in ime

Vsebnik je vrsta predmeta, ki lahko sestavljen iz drugih predmetov. Domena, na primer, lahko vključuje predmete računa.

Njihov glavni namen je naročanje predmetov po vrsti znakov. Najpogosteje se vsebniki uporabljajo za združevanje predmetov z enakimi atributi.

Skoraj vsi vsebniki se preslikajo v zbirko predmetov, viri pa v edinstven predmet Active Directory. Ena glavnih vrst vsebnikov AD je organizacijska enota ali OU (organizacijska enota). Objekti, ki so postavljeni v ta vsebnik, pripadajo samo domeni, v kateri so ustvarjeni.

Lightweight Directory Access Protocol (LDAP) je osnovni algoritem za povezave TCP/IP. Ustvarjen je bil za zmanjšanje količine odtenkov med dostopom do imeniških storitev. Prav tako LDAP definira dejanja, ki se uporabljajo za poizvedovanje in urejanje podatkov imenika.

Drevo in mesto

Drevo domen je struktura, zbirka domen, ki si delijo skupno shemo in konfiguracijo, tvorijo skupni imenski prostor in so povezane z razmerji zaupanja.

Gozd domen je zbirka dreves, povezanih med seboj.

Spletno mesto - zbirka naprav v podomrežjih IP, ki predstavljajo fizični model omrežja, katerega načrtovanje se izvaja ne glede na logično predstavitev njegove konstrukcije. Active Directory ima možnost ustvariti n mest ali združiti n domen na enem mestu.

Namestitev in konfiguracija Active Directory

Zdaj pa pojdimo neposredno na nastavitev Active Directory z uporabo Windows Server 2008 kot primer (pri drugih različicah je postopek enak):

Kliknite na gumb “V redu”. Upoštevajte, da te vrednosti niso potrebne. Uporabite lahko naslov IP in DNS iz svojega omrežja.

  • Nato morate iti v meni "Start", izbrati "Skrbniška orodja" in "".
  • Pojdite na postavko »Vloge«, izberite » Dodajte vloge”.
  • Izberite »Domenske storitve Active Directory«, dvakrat kliknite »Naprej« in nato »Namesti«.
  • Počakajte, da se namestitev konča.
  • Odprite meni Start -" teci". V polje vnesite dcpromo.exe.
  • Kliknite "Naprej".
  • Izberite element " Ustvarite novo domeno v novem gozdu« in znova kliknite »Naprej«.
  • V naslednjem oknu vnesite ime, kliknite "Naprej".
  • Izberite Združljivostni način(Windows Server 2008).
  • V naslednjem oknu pustite vse privzeto.
  • bo začel konfiguracijsko oknoDNS. Ker na strežniku prej ni bil uporabljen, delegacija ni bila ustvarjena.
  • Izberite imenik za namestitev.
  • Po tem koraku morate nastaviti skrbniško geslo.

Za zaščito mora geslo izpolnjevati naslednje zahteve:


Ko AD dokonča postopek konfiguracije komponente, morate znova zagnati strežnik.



Konfiguracija je končana, snap-in in vloga sta nameščena v sistemu. AD lahko namestite samo v Windows družine strežnikov, običajne različice, kot sta 7 ali 10, vam lahko omogočajo samo namestitev upravljalne konzole.

Administracija v Active Directory

V strežniku Windows Server konzola Active Directory Users and Computers privzeto deluje z domeno, ki ji pripada računalnik. Do računalniških in uporabniških objektov v tej domeni lahko dostopate prek drevesa konzole ali se povežete z drugim krmilnikom.

Ista orodja konzole vam omogočajo ogled Dodatne možnosti predmetov in jih iščete, lahko ustvarite nove uporabnike, skupine in spreminjate iz dovoljenj.

Mimogrede, obstaja 2 vrsti skupin v Active Directory - varnost in distribucija. Varnostne skupine so odgovorne za razmejitev pravic dostopa do predmetov, lahko se uporabljajo kot distribucijske skupine.

Razdeljevalne skupine ne morejo razlikovati med pravicami, ampak se uporabljajo predvsem za distribucijo sporočil v omrežju.

Kaj je AD Delegacija

Sama delegacija je prenos dela dovoljenj in nadzora od nadrejenega predmeta do druge odgovorne osebe.

Znano je, da ima vsaka organizacija na svojem sedežu več sistemskih skrbnikov. Različne naloge je treba dodeliti različnim ramenom. Za uveljavitev sprememb morate imeti pravice in dovoljenja, ki so razdeljena na standardna in posebna. Posebno - velja za določen predmet, medtem ko standardno - nabor obstoječih dovoljenj, ki omogočajo ali onemogočajo določene funkcije.

Vzpostavljanje zaupanja vrednih odnosov

V AD obstajata dve vrsti odnosov zaupanja: "enosmerni" in "dvosmerni". V prvem primeru ena domena zaupa drugi, ne pa obratno, prva ima dostop do virov druge, druga pa nima dostopa. V drugi obliki je zaupanje »vzajemno«. Obstajajo tudi "odhodni" in "dohodni" odnosi. Pri odhodu prva domena zaupa drugi, kar uporabnikom druge omogoča uporabo virov prve.

Med namestitvijo je treba izvesti naslednje postopke:

  • Preverite omrežne povezave med krmilniki.
  • Preverite nastavitve.
  • Uglasi ločljivost imen za zunanje domene.
  • Ustvarite povezavo iz zaupanja vredne domene.
  • Ustvarite povezavo s strani krmilnika, na katerega je naslovljeno zaupanje.
  • Preverite ustvarjena enosmerna razmerja.
  • Če obstaja potreba pri vzpostavljanju dvostranskih odnosov - narediti namestitev.

Globalni imenik

To je krmilnik domene, ki hrani kopije vseh objektov v gozdu. Uporabnikom in programom daje možnost iskanja objektov v kateri koli domeni v trenutnem gozdu z uporabo odkrivalci atributov vključena v globalni katalog.

Globalni katalog (GC) vključuje omejen nabor atributov za vsak gozdni objekt v vsaki domeni. Prejema podatke iz vseh particij imenika domene v gozdu in jih podvoji s standardnim postopkom replikacije Active Directory.

Shema določa, ali bo atribut kopiran. Obstaja možnost konfiguriranje dodatnih funkcij, ki bo ponovno ustvarjen v globalnem katalogu s pomočjo »Active Directory Schema«. Če želite dodati atribut v globalni katalog, morate izbrati atribut replikacije in uporabiti možnost »Kopiraj«. To bo ustvarilo podvajanje atributa v globalni katalog. Vrednost parametra atributa isMemberOfPartialAttributeSet bo postalo res.

Da bi ugotoviti lokacijo globalni imenik, morate v ukazno vrstico vnesti:

Strežnik Dsquery –isgc

Podvajanje podatkov v imeniku Active Directory

Replikacija je postopek kopiranja, ki se izvede, ko je treba shraniti enako ažurne informacije, ki obstajajo na katerem koli krmilniku.

Proizvaja se brez posredovanja operaterja. Obstajajo naslednje vrste replik vsebine:

  • Replike podatkov so ustvarjene iz vseh obstoječih domen.
  • Replike podatkovne sheme. Ker je podatkovna shema enaka za vse predmete v gozdu imenika Active Directory, so njene replike ohranjene v vseh domenah.
  • konfiguracijskih podatkov. Prikazuje kopije zgradb med krmilniki. Informacije veljajo za vse domene v gozdu.

Glavne vrste replik so intra-node in inter-node.

V prvem primeru po spremembah sistem počaka, nato obvesti partnerja, naj ustvari repliko za dokončanje sprememb. Tudi v odsotnosti sprememb se postopek replikacije po določenem času samodejno zgodi. Po uveljavitvi prekinitvenih sprememb v imenikih se podvajanje izvede takoj.

Postopek replikacije med vozlišči zgodi vmes minimalna obremenitev omrežja, s tem se izognemo izgubi informacij.

V naših prejšnjih člankih smo razpravljali o pogostih vprašanjih, povezanih z imeniškimi storitvami in Active Directory. Zdaj je čas, da nadaljujemo s prakso. Toda ne hitite s tekom na strežnik, preden v svoje omrežje namestite strukturo domene, jo morate načrtovati in imeti jasno predstavo o namenu posameznih strežnikov in procesih interakcije med njimi.

Preden ustvarite svoj prvi krmilnik domene, se morate odločiti za način njegovega delovanja. Način delovanja določa razpoložljive možnosti in je odvisen od različice uporabljenega operacijskega sistema. Ne bomo upoštevali vseh možnih načinov, razen tistih, ki so trenutno pomembni. Obstajajo trije takšni načini: Windows Server 2003, 2008 in 2008 R2.

Način Windows Server 2003 je treba izbrati samo, če so strežniki v tem operacijskem sistemu že nameščeni v vaši infrastrukturi in nameravate uporabiti enega ali več teh strežnikov kot krmilnike domene. V drugih primerih morate izbrati način Windows Server 2008 ali 2008 R2, odvisno od kupljenih licenc. Ne pozabite, da je način delovanja domene vedno mogoče povečati, vendar ga ne bo mogoče znižati (razen z obnovitvijo iz varnostne kopije), zato k temu vprašanju pristopite previdno, pri čemer upoštevajte morebitne razširitve, licence v podružnicah itd. . itd.

Zdaj ne bomo podrobno obravnavali postopka ustvarjanja krmilnika domene, na to vprašanje se bomo vrnili pozneje, zdaj pa vas želimo opozoriti na dejstvo, da bi v celotni strukturi krmilnikov domene Active Directory morali biti vsaj dva. V nasprotnem primeru se izpostavljate nepotrebnemu tveganju, saj bo v primeru okvare posameznega krmilnika domene vaša struktura AD popolnoma uničena. Dobro je, če obstaja posodobljena varnostna kopija in si jo lahko opomorete, v vsakem primeru pa bo vaše omrežje ves ta čas popolnoma paralizirano.

Zato morate takoj po izdelavi prvega krmilnika domene uvesti drugega, ne glede na velikost omrežja in proračun. Drugi krmilnik je treba zagotoviti v fazi načrtovanja, brez njega pa se uvajanje AD niti ne splača. Prav tako ne združujte vloge krmilnika domene z drugimi vlogami strežnika, da bi zagotovili zanesljivost delovanja z bazo podatkov AD, je predpomnjenje pisanja na disku onemogočeno, kar vodi do močnega padca zmogljivosti diskovnega podsistema (to je pojasnjuje tudi dolgo nalaganje krmilnikov domen).

Posledično bi moralo naše omrežje imeti naslednjo obliko:

V nasprotju s splošnim prepričanjem so vsi krmilniki v domeni enaki; vsak krmilnik vsebuje popolne informacije o vseh predmetih domene in lahko služi zahtevi odjemalca. Toda to ne pomeni, da so krmilniki zamenljivi, nerazumevanje te točke pogosto vodi do okvar AD in izpada omrežja podjetja. Zakaj se to dogaja? Čas je, da se spomnimo vloge FSMO.

Ko ustvarimo prvi krmilnik, vsebuje vse razpoložljive vloge in je tudi globalni katalog, s pojavom drugega krmilnika pa se nanj prenesejo vloge glavnega infrastrukturnega krmilnika, RID masterja in emulatorja PDC. Kaj se zgodi, če se skrbnik odloči začasno onemogočiti strežnik DC1, na primer, da ga očisti prahu? Na prvi pogled je v redu, no, domena bo prešla v način "samo za branje", vendar bo delovala. Toda pozabili smo na globalni katalog in če so aplikacije, ki to zahtevajo, kot je Exchange, nameščene v vašem omrežju, boste za to vedeli, preden odstranite pokrov s strežnika. Učite se od nezadovoljnih uporabnikov in vodstvo verjetno ne bo navdušeno.

Iz tega sledi sklep: v gozdu morata biti vsaj dva globalna kataloga, najbolje pa po en v vsaki domeni. Ker imamo eno domeno v gozdu, morata biti oba strežnika globalna imenika, to vam bo omogočilo, da katerega od strežnikov vzamete v vzdrževanje brez težav, začasna odsotnost kakršnih koli vlog FSMO ne vodi do okvare AD, ampak le povzroči nemogoče ustvariti nove predmete.

Kot skrbnik domene morate jasno razumeti, kako so vloge FSMO porazdeljene med vašimi strežniki in pri razgradnji strežnika za daljše obdobje te vloge prenesti na druge strežnike. In kaj se bo zgodilo, če strežnik, ki vsebuje vloge FSMO, nepopravljivo odpove? V redu je, kot smo že zapisali, vsak krmilnik domene vsebuje vse potrebne informacije, in če se takšna nadloga zgodi, boste morali zajeti potrebne vloge s strani enega od krmilnikov, to bo obnovilo popolno delovanje imeniške storitve .

Čas teče, vaša organizacija raste in ima podružnico na drugi strani mesta, zato je treba njihovo mrežo vključiti v celotno infrastrukturo podjetja. Na prvi pogled nič zapletenega, vzpostavite komunikacijski kanal med pisarnami in vanj postavite dodaten krmilnik. Vse bi bilo v redu, vendar obstaja ena stvar. Tega strežnika ne morete nadzorovati, zato je možen nepooblaščen dostop do njega, lokalni skrbnik pa vas spravi v dvom v njegove kvalifikacije. Kako biti v takšni situaciji? Za te namene obstaja posebna vrsta krmilnika: krmilnik domene samo za branje (RODC), je ta funkcija na voljo v načinih delovanja domene od Windows Server 2008 in novejših.

Krmilnik domene, ki je samo za branje, vsebuje popolno kopijo vseh predmetov domene in je lahko globalni katalog, vendar vam ne omogoča spreminjanja strukture AD, omogoča pa vam tudi imenovanje katerega koli uporabnika za lokalnega skrbnika, ki bo mu omogoči, da v celoti služi temu strežniku, vendar spet brez dostopa do storitev AD. V našem primeru je zdravnik tako naročil.

Nastavili smo v poslovalnici RODC, vse deluje, vi ste mirni, a uporabniki se začnejo pritoževati zaradi dolge prijave in prometni računi ob koncu meseca kažejo presežek. Kaj se dogaja? Čas je, da se še enkrat spomnimo na enakovrednost krmilnikov domene, odjemalec lahko pošlje svojo zahtevo kateremu koli krmilniku domene, tudi v drugi veji. Upoštevajte počasen in najverjetneje zaseden komunikacijski kanal - to je razlog za zamude pri prijavi.

Naslednji dejavnik, ki zastruplja naša življenja v tej situaciji, je replikacija. Kot veste, se vse spremembe, narejene na enem od krmilnikov domene, samodejno prenašajo na druge in ta postopek se imenuje replikacija, omogoča vam, da imate posodobljeno in dosledno kopijo podatkov na vsakem krmilniku. Storitev replikacije ne pozna naše podružnice in počasnega komunikacijskega kanala, zato bodo vse spremembe v pisarni nemudoma replicirane v poslovalnico, obremenitev kanala in povečanje porabe prometa.

Tu se približamo konceptu spletnih mest AD, ki jih ne smemo zamenjevati z internetnimi stranmi. Spletna mesta Active Directory predstavljajo način fizične delitve strukture imeniške storitve na področja, ločena od drugih območij s počasnimi in/ali nestabilnimi povezavami. Spletna mesta so ustvarjena na podlagi podomrežij in vse zahteve strank se najprej pošljejo upravljavcem njihove strani, prav tako je zelo zaželeno, da ima vsaka stran globalni katalog. V našem primeru moramo ustvariti dve spletni strani: Spletno mesto AD 1 za centralno pisarno in Spletno mesto AD 2 za vejo, natančneje eno, saj privzeto struktura AD že vsebuje spletno mesto, ki vključuje vse predhodno ustvarjene objekte. Zdaj pa poglejmo, kako poteka replikacija v omrežju z več mesti.

Predvidevamo, da je naša organizacija nekoliko zrasla in glavna pisarna vsebuje kar štiri krmilnike domene, replikacija med krmilniki enega mesta se imenuje intrasite in se zgodi takoj. Topologija podvajanja je zgrajena v skladu z obročno shemo s pogojem, da ni več kot trije koraki podvajanja med poljubnimi krmilniki domen. Obročna shema je shranjena do vključno 7 krmilnikov, vsak krmilnik vzpostavi povezavo z dvema najbližjima sosedoma, pri večjem številu krmilnikov se pojavijo dodatne povezave in skupni obroč se tako rekoč spremeni v skupino obročev, ki se prekrivajo drug na drugega.

Intersite replikacija poteka drugače, v vsaki domeni se samodejno izbere eden od strežnikov (strežnik mostišča), ki vzpostavi povezavo s podobnim strežnikom druge strani. Privzeto se replikacija zgodi enkrat na 3 ure (180 minut), lahko pa nastavimo svoj urnik replikacije in zaradi prihranka prometa se vsi podatki prenašajo v stisnjeni obliki. Če je na mestu samo RODC, se replikacija zgodi enosmerno.

Seveda so teme, ki smo se jih dotaknili, zelo globoke in smo se jih v tem gradivu dotaknili le rahlo, vendar je to potrebno minimalno znanje, ki ga morate imeti pred praktično implementacijo Active Directory v infrastrukturo podjetja. Tako se boste izognili neumnim napakam pri namestitvi in ​​izrednih razmerah med vzdrževanjem in širitvijo konstrukcije, vsaka od zastavljenih tem pa bo podrobneje obravnavana.

Vam je bil članek všeč? Deli
Priporočeni sorodni članki
Kje so meje med temi kategorijami potrošnikov?Kje so meje med temi kategorijami potrošnikov?
Kaj je imenik sredstevKaj je imenik sredstev
Brezplačni programi za Windows brezplačen prenosBrezplačni programi za Windows brezplačen prenos
Obiskovalci zdaj razpravljajo
Gonilnik zvoka Realtek (Realtek HD Audio)Gonilnik zvoka Realtek (Realtek HD Audio) Stene in strop
Gonilnik zvoka Realtek (Realtek HD Audio)Gonilnik zvoka Realtek (Realtek HD Audio) Sosednje stavbe
Račun RK ni našel, kaj storitiRačun RK ni našel, kaj storiti Oskrba z vodo in kanalizacija
Ali ureaplazma prehaja sama (ali lahko prehaja sama)?Ali ureaplazma prehaja sama (ali lahko prehaja sama)? Okna in vrata