Domeincontrollers configureren op verschillende subnetten. Domeincontroller: wat is het en waarvoor dient het? Regelaar instellen

Het forest in Active Directory Domain Services is het hoogste niveau in een logische structuurhiërarchie. Het Active Directory-forest vertegenwoordigt één afzonderlijke map. Het bos is de grens van veiligheid. Dit betekent dat forestbeheerders volledige controle hebben over de toegang tot informatie die is opgeslagen in het forest en over toegang tot de domeincontrollers die worden gebruikt om het forest te implementeren.

Organisaties hebben doorgaans één forest, tenzij er een specifieke behoefte is aan meerdere forests. Als u bijvoorbeeld afzonderlijke beheergebieden wilt maken voor verschillende delen van uw organisatie, moet u meerdere forests maken om die gebieden weer te geven.

Wanneer u meerdere forests in een organisatie implementeert, werkt elk forest standaard afzonderlijk van andere forests, alsof het het enige forest in de organisatie is.

Opmerking. Als u meerdere forests wilt integreren, kunt u er beveiligingsrelaties tussen maken, die externe vertrouwensrelaties of forest-vertrouwensrelaties worden genoemd.

Bewerkingen op bosniveau

Active Directory Domain Services is een directoryservice met meerdere masters. Dit betekent dat de meeste wijzigingen in de directory kunnen worden aangebracht op elk beschrijfbaar exemplaar van de directory, dat wil zeggen op elke beschrijfbare domeincontroller. Sommige wijzigingen zijn echter exclusief. Dit betekent dat ze slechts op één specifieke domeincontroller in het forest of domein kunnen worden gemaakt, afhankelijk van de specifieke wijziging. De domeincontrollers waarop deze exclusieve wijzigingen kunnen worden aangebracht, zouden operations-masterrollen bevatten. Er zijn vijf operations-masterrollen, waarvan twee op forestniveau en de andere drie op domeinniveau.

Twee operations-masterrollen toegewezen aan het hele forest:

• Domeinnaammeester. De taak van de master voor het benoemen van domeinen is ervoor te zorgen dat er in het hele forest unieke namen zijn. Het zorgt ervoor dat er slechts één FQDN is voor elke computer in het hele forest.
• Schema meester. De schemamaster houdt het forest-schema bij en onderhoudt wijzigingen in de onderliggende forest-structuur.

Omdat deze rollen essentiële essentiële rollen op forestniveau zijn, mag er slechts één schemamaster en domeinnaamgevingsmaster per forest zijn.

Aanvullende materialen:

Een schema is een onderdeel van Active Directory Domain Services dat alle objecten en kenmerken definieert die Active Directory Domain Services gebruikt om gegevens op te slaan.

Active Directory Domain Services slaan en ontvangen informatie van een verscheidenheid aan toepassingen en diensten. Om de mogelijkheid te bieden om gegevens uit deze verschillende bronnen op te slaan en te repliceren, definieert Active Directory Domain Services daarom een ​​standaard voor het opslaan van gegevens in de directory. Met een opslagstandaard kan Active Directory Domain Services gegevens ophalen, bijwerken en repliceren met behoud van de gegevensintegriteit.

Active Directory Domain Services gebruikt objecten als opslageenheden. Alle objecten zijn gedefinieerd in het schema. Elke keer dat de catalogus gegevens verwerkt, doorzoekt de catalogus het schema voor de juiste objectdefinitie. Op basis van de definitie van een object in het schema, maakt de catalogus het object en slaat de gegevens op.

Objectdefinities bepalen de soorten gegevens die objecten kunnen opslaan, evenals de syntaxis van de gegevens. Op basis van deze informatie zorgt het schema ervoor dat alle objecten voldoen aan hun standaarddefinities. Als gevolg hiervan kan Active Directory Domain Services de gegevens die het beheert opslaan, ophalen en valideren, onafhankelijk van de toepassing die de oorspronkelijke bron van de gegevens is. De catalogus kan alleen gegevens opslaan met een bestaande objectdefinitie in het schema. Als u een nieuw type gegevens wilt opslaan, moet u eerst een nieuwe objectdefinitie voor die gegevens in het schema maken.

Het schema in AD DS definieert:

• objecten die worden gebruikt om gegevens in een map op te slaan;
• regels die bepalen welke typen objecten kunnen worden gemaakt, welke attributen moeten worden gedefinieerd bij het maken van een object en welke attributen optioneel zijn;
• de structuur en inhoud van de directory zelf.

Het schema is een enkel hoofdlid van Active Directory Domain Services. Dit betekent dat u wijzigingen moet aanbrengen in het schema op de domeincontroller die de rol van schema-operations-master bevat.

Het schema wordt gerepliceerd op alle domeincontrollers in het forest. Elke wijziging die in het schema wordt aangebracht, wordt naar alle domeincontrollers in het forest gerepliceerd door de eigenaar van de rol van schema-operationsmaster, die gewoonlijk de eerste domeincontroller in het forest is.

Omdat het schema de opslag van informatie bepaalt en alle wijzigingen in het schema van invloed zijn op alle domeincontrollers, mogen schemawijzigingen alleen worden aangebracht wanneer dat nodig is (via een streng gecontroleerd proces) na het testen om te voorkomen dat de rest van het forest nadelig wordt beïnvloed.

Hoewel u niet rechtstreeks wijzigingen in het schema kunt aanbrengen, brengen sommige toepassingen wijzigingen aan in het schema om extra functionaliteit te ondersteunen. Als u bijvoorbeeld Microsoft Exchange Server 2010 installeert in een Active Directory Domain Services-forest, breidt Setup het schema uit om nieuwe objecttypen en kenmerken te ondersteunen.

Aanvullend materiaal:

1.3 Wat is een domein.

Domein is een administratieve grens. Alle domeinen hebben een beheerdersaccount met volledige beheerdersbevoegdheid voor alle objecten in het domein. Hoewel de beheerder het beheer van objecten in het domein kan delegeren, behoudt zijn account de volledige administratieve controle over alle objecten in het domein.

In eerdere versies van Windows Server werd gedacht dat domeinen volledige administratieve scheiding boden; inderdaad, een van de belangrijkste redenen om voor een multidomein-topologie te kiezen, was om deze scheiding te waarborgen. In Active Directory Domain Services heeft het beheerdersaccount in het foresthoofddomein echter volledige beheerderscontrole over alle objecten in het forest, waardoor deze administratieve scheiding op domeinniveau ongeldig wordt.

Domein is de replicatiegrens. Active Directory Domain Services bestaat uit drie elementen, of secties, - schema's, configuratie sectie en domeinpartitie... Meestal wordt alleen de domeinpartitie vaak gewijzigd.

Het domeingedeelte bevat objecten die waarschijnlijk regelmatig moeten worden bijgewerkt; dergelijke objecten zijn gebruikers, computers, groepen en organisatie-eenheden. Daarom bestaat AD DS-replicatie voornamelijk uit updates van objecten die zijn gedefinieerd in de domeinpartitie. Alleen domeincontrollers in een bepaald domein ontvangen domeinpartitie-updates van andere domeincontrollers. Door gegevens te partitioneren, kunnen organisaties gegevens alleen repliceren waar dat nodig is. Als gevolg hiervan kan de directory wereldwijd worden geschaald via een netwerk met een beperkte bandbreedte.

Domein is een authenticatiegrens. Elke gebruikersaccount in een domein kan worden geverifieerd door de controllers van dat domein. Domeinen in het forest vertrouwen elkaar, zodat een gebruiker van het ene domein toegang heeft tot bronnen in een ander domein.

Bewerkingen op domeinniveau

Er zijn drie operations-masterrollen in elk domein. Deze rollen, die aanvankelijk zijn toegewezen aan de eerste domeincontroller in elk domein, worden hieronder vermeld.

• Relatieve identificatie (RID) master. Elke keer dat een object wordt gemaakt in Active Directory Domain Services, wijst de domeincontroller waarop het object is gemaakt, het een uniek identificatienummer toe, een zogenaamde beveiligingsidentificatie (SID). Om te voorkomen dat twee domeincontrollers dezelfde SID aan twee verschillende objecten toewijzen, wijst de RID-master SID-blokken toe aan elke domeincontroller in het domein.
• Primaire domeincontroller-emulator. Deze rol is de belangrijkste, omdat het tijdelijke verlies veel sneller merkbaar wordt dan het verlies van een andere operations-masterrol. Ze is verantwoordelijk voor een aantal functies op domeinniveau, waaronder:
• het bijwerken van de accountvergrendelingsstatus;
• creatie en replicatie van een GPO door een enkele master;
• tijdsynchronisatie voor het domein.
• Meester infra. Deze rol is verantwoordelijk voor het onderhouden van objectverwijzingen tussen domeinen. Wanneer een lid van een ander domein bijvoorbeeld tot een groep in één domein behoort, is de infrastructuurmaster verantwoordelijk voor het handhaven van de integriteit van die link.

Deze drie rollen moeten uniek zijn in elk domein, zodat elk domein slechts één RID-master, één primaire domeincontroller (PDC)-emulator en één infrastructuurmaster kan hebben.

Aanvullende materialen:

Als AD DS meer dan één domein bevat, moet u relaties tussen de domeinen definiëren. Wanneer domeinen een gemeenschappelijke root en aangrenzende naamruimte delen, maken ze logischerwijs deel uit van dezelfde Active Directory-structuur. De boom dient geen administratief doel. Met andere woorden, er is geen boombeheerder omdat er een forest- of domeinbeheerder is. De boomstructuur biedt een logische hiërarchische groepering van domeinen met ouder-kindrelaties die worden gedefinieerd door hun naam. De Active Directory-structuur wordt toegewezen aan de Domain Name System (DNS)-naamruimte.

Active Directory-structuren worden gemaakt op basis van de relaties tussen de domeinen in het forest. Er is geen goede reden waarom je wel of niet meerdere bomen in een bos wilt maken. Houd er echter rekening mee dat een enkele boomstructuur, met zijn aaneengesloten naamruimte, gemakkelijker te beheren en voor gebruikers gemakkelijker te visualiseren is.

Als u meerdere ondersteunde naamruimten hebt, kunt u overwegen meerdere bomen in hetzelfde forest te gebruiken. Als uw organisatie bijvoorbeeld verschillende productieafdelingen heeft met verschillende openbare ID's, kunt u voor elke productieafdeling een andere structuur maken. Houd er rekening mee dat er in een dergelijk scenario geen scheiding van beheer is, omdat de rootforestbeheerder nog steeds volledige controle heeft over alle objecten in het forest, ongeacht in welke boom ze zich bevinden.

1.5 Divisies

Onderverdeling is een containerobject in een domein dat kan worden gebruikt om gebruikers, groepen, computers en andere objecten te groeperen. Er zijn twee redenen om divisies te creëren.

• Opstellen van de objecten op de afdeling. U kunt GPO's toewijzen aan een OU en instellingen toepassen op alle objecten in die OU.
• Delegeren van administratief beheer van objecten in een organisatieonderdeel. U kunt beheersrechten toewijzen aan een OE door het beheer van de OU te delegeren aan een niet-beheerdersgebruiker of -groep in Active Directory Domain Services.

Opmerking. Een OU is het kleinste gebied of de kleinste eenheid waaraan Groepsbeleid-instellingen of gedelegeerde beheerdersrechten kunnen worden toegewezen.

Organisatie-eenheden kunnen worden gebruikt om hiërarchische logische structuren in een organisatie weer te geven. U kunt bijvoorbeeld OE's maken om afdelingen in een organisatie, geografische regio's in een organisatie en OE's die een combinatie zijn van afdelingen en geografische regio's te vertegenwoordigen. U kunt vervolgens de configuratie beheren en de gebruikers-, groeps- en computeraccounts gebruiken op basis van het gemaakte organisatiemodel.

Elk AD DS-domein heeft een standaardset containers en OE's die worden gemaakt wanneer AD DS wordt geïnstalleerd. Deze containers en units staan ​​hieronder vermeld.

• Domeincontainer die fungeert als de hoofdcontainer van de hiërarchie.
• Een ingebouwde container met de standaard servicebeheerdersaccounts.
• Gebruikerscontainer, de standaardlocatie voor nieuwe gebruikers- en groepsaccounts die in het domein zijn gemaakt.
• De computercontainer, de standaardlocatie voor nieuwe computeraccounts die in het domein worden gemaakt.
• Domeincontrollers OU, de standaardlocatie voor computeraccounts van domeincontrollers.

1.6 Vertrouwensrelaties

Met een vertrouwensrelatie kan het ene beveiligingsobject een ander beveiligingsobject vertrouwen voor authenticatiedoeleinden. In Windows Server 2008 R2 is het beveiligingsobject het Windows-domein.

Het belangrijkste doel van een vertrouwensrelatie is om het voor een gebruiker in het ene domein gemakkelijker te maken om toegang te krijgen tot een bron in een ander domein zonder dat hij in beide domeinen een gebruikersaccount hoeft aan te houden.

In elke vertrouwensrelatie zijn twee partijen betrokken: de vertrouwende entiteit en de vertrouwde entiteit. Een vertrouwd object is een object dat eigenaar is van een bron en een vertrouwd object is een object met een account. Als je bijvoorbeeld een laptop aan iemand uitleent, vertrouw je die persoon. U bent de entiteit die eigenaar is van de resource. De bron is uw laptop; de persoon aan wie de laptop voor tijdelijk gebruik wordt gegeven, is een vertrouwd object met een account.

Soorten vertrouwensrelaties

Vertrouwensrelaties kunnen eenrichtingsverkeer en tweerichtingsverkeer zijn.

Eenrichtingsvertrouwen betekent dat hoewel de ene entiteit een andere vertrouwt, het tegenovergestelde niet waar is. Als je bijvoorbeeld je laptop aan Steve uitleent, wil dat nog niet zeggen dat Steve je zijn auto zal lenen.

Bij een tweerichtingsvertrouwen vertrouwen beide entiteiten elkaar.

Vertrouwensrelaties kunnen transitief en niet-transitief zijn. Als in een transitieve trust object A object B vertrouwt en object B object C, dan vertrouwt object A ook impliciet object C. Als u bijvoorbeeld uw laptop aan Steve uitleent en Steve zijn auto aan Mary uitleent, kunt u Mary uw mobiele telefoon.

Windows Server 2008 R2 ondersteunt verschillende vertrouwensrelaties die in verschillende situaties kunnen worden gebruikt.

In hetzelfde forest vertrouwen alle domeinen elkaar met behulp van interne tweerichtingstransitieve vertrouwensrelaties. Dit betekent in wezen dat alle domeinen alle andere domeinen vertrouwen. Deze vertrouwensrelatie breidt zich door de bomen van het bos uit. Naast deze automatisch gegenereerde vertrouwensrelaties kunt u aanvullende vertrouwensrelaties configureren tussen forestdomeinen, tussen dit forest en andere forests, en tussen dit forest en andere beveiligingsobjecten zoals Kerberos-realms of Microsoft Windows NT® 4.0-besturingssysteemdomeinen. Zie de volgende tabel voor meer informatie.

Vertrouwenstype	transitiviteit	Richting	Beschrijving
extern	niet-transitief		Externe vertrouwensrelaties worden gebruikt om toegang te verlenen tot bronnen die zich in een Windows NT Server 4.0-domein bevinden of in een domein dat zich in een afzonderlijk forest bevindt dat niet is aangesloten bij een forest-vertrouwensrelatie.
Vertrouwensgebied	Transitief of niet-transitief.	Eenzijdig of bilateraal.	Realm-vertrouwensrelaties worden gebruikt om een ​​vertrouwensrelatie tot stand te brengen tussen een niet-Windows-besturingssysteem Kerberos-realm en een Windows Server 2008-besturingssysteem of Windows Server 2008 R2-domein.
Vertrouwen van het bos	Transitief	Eenzijdig of bilateraal.	Gebruik forest-vertrouwensrelaties om resources tussen forests te delen. Als forest-vertrouwensrelaties in twee richtingen zijn, kunnen verificatieverzoeken die in een van beide forests worden gedaan, het andere forest bereiken.
Direct gevestigd vertrouwen	Transitief	Eenzijdig of bilateraal.	Direct tot stand gebrachte vertrouwensrelaties worden gebruikt om de aanmeldingstijd van gebruikers tussen twee domeinen in een Windows Server 2008- of Windows Server 2008 R2-forest te verkorten. Dit is van toepassing wanneer twee domeinen worden gescheiden door twee domeinbomen.

2. Implementatie van Active Directory Domain Services

Om Active Directory Domain Services te implementeren, moet u domeincontrollers implementeren. Om Active Directory Domain Services te optimaliseren, is het belangrijk om te begrijpen waar en hoe u domeincontrollers moet maken om uw netwerkinfrastructuur te optimaliseren.

2.1 Wat is een domeincontroller?

Een domein wordt gemaakt wanneer een Windows Server 2008 R2-servercomputer wordt gepromoveerd tot domeincontroller. Domeincontrollers bevatten Active Directory Domain Services.

Domeincontrollers bieden de volgende functies op een netwerk.

• Biedt authenticatie. Domeincontrollers onderhouden een database met domeinaccounts en bieden authenticatieservices.
• Bevat operations-masterrollen als optionele functie. Deze rollen werden voorheen Flexible Single Master Operations (FSMO)-rollen genoemd. Er zijn vijf operations-masterrollen: twee rollen op forestniveau en drie rollen op domeinniveau. Deze rollen kunnen naar wens worden gemigreerd.
• Bevat de globale catalogus als een optionele functie. Elke domeincontroller kan worden aangewezen als een globale-catalogusserver.

Opmerking. De globale catalogus is een gedistribueerde database die een doorzoekbare weergave bevat van elk object van alle domeinen in een forest met meerdere domeinen. De globale catalogus bevat echter niet alle attributen voor elk object. In plaats daarvan ondersteunt het een subset van de kenmerken die waarschijnlijk van pas zullen komen bij het zoeken naar domeinen.

2.2 Wat is een alleen-lezen domeincontroller?

Een alleen-lezen domeincontroller is een nieuw type domeincontroller in Windows Server 2008 R2. Door een alleen-lezen domeincontroller te gebruiken, kunnen organisaties eenvoudig een domeincontroller implementeren op locaties waar fysieke beveiliging niet kan worden gegarandeerd. Een alleen-lezen domeincontroller host een alleen-lezen replica van de AD DS-database voor dat domein. Een alleen-lezen domeincontroller kan ook functioneren als een globale-catalogusserver.

Vanaf Windows Server 2008 kan een organisatie een alleen-lezen domeincontroller implementeren wanneer de WAN-bandbreedte beperkt is of de fysieke beveiliging van computers onvoldoende is. Als gevolg hiervan kunnen gebruikers in een dergelijke situatie profiteren van:

• verhoogde veiligheid;
• sneller inloggen;
• efficiëntere toegang tot netwerkbronnen.

Alleen-lezen domeincontrollerfunctie	Uitleg
Alleen-lezen database van Active Directory	Met uitzondering van accountwachtwoorden bevat een alleen-lezen domeincontroller alle Active Directory-objecten en -kenmerken die aanwezig zijn op een beschrijfbare domeincontroller. U kunt echter geen wijzigingen aanbrengen in een replica die is opgeslagen op een alleen-lezen domeincontroller. Wijzigingen moeten worden aangebracht op een beschrijfbare domeincontroller en worden gerepliceerd naar een alleen-lezen domeincontroller.
Unidirectionele replicatie	Omdat wijzigingen niet rechtstreeks naar een RODC worden geschreven, worden er geen wijzigingen aangebracht in die RODC. Daarom mogen beschrijfbare domeincontrollers die replicatiepartners zijn, geen wijzigingen ontvangen van een alleen-lezen controller. Als gevolg hiervan wordt de werklast van de bruggenhoofdservers in de hub verminderd en is er minder inspanning nodig om replicatie te volgen.
Credential caching	Credential caching is de opslag van gebruikers- of computerreferenties. Referenties bestaan ​​uit een kleine set wachtwoorden (ongeveer tien) die zijn gekoppeld aan beveiligings-principals. Standaard slaat de RODC geen gebruikers- en computerreferenties op. De uitzonderingen zijn het RODC-computeraccount en het speciale account krbtgt (het Kerberos Key Distribution Service Center-account) dat op elke RODC bestaat. Het cachen van andere referenties moet expliciet worden ingeschakeld op de RODC.
Scheiding van beheerdersrollen	De rol van lokale RODC-beheerder kan worden gedelegeerd aan elke domeingebruiker zonder hem rechten te verlenen op het domein of andere domeincontrollers. In dit geval kan de lokale gebruiker op het filiaal zich aanmelden bij de RODC en er onderhoudswerkzaamheden aan uitvoeren, zoals het bijwerken van een stuurprogramma. De filiaalgebruiker heeft echter niet het recht om in te loggen op een andere domeincontroller of andere administratieve taken op het domein uit te voeren.
Alleen-lezen domeinnaamservice	De DNS Server-service kan worden geïnstalleerd op een alleen-lezen domeincontroller. Een alleen-lezen domeincontroller kan alle toepassingsmappartities repliceren die worden gebruikt door een DNS-server, inclusief de ForestDNSZones- en DomainDNSZones-partities. Als een DNS-server is geïnstalleerd op een alleen-lezen domeincontroller, kunnen clients er naamresolutieverzoeken naar sturen, net als elke andere DNS-server.

Het volgende is een samenvatting van de rol van een alleen-lezen domeincontroller.

• De domeincontroller die de PDC-emulatorbewerkingen voor het domein host, moet een besturingssysteem hebben met Windows Server 2008. Dit is vereist om een ​​nieuw account te maken krbtgt voor een alleen-lezen domeincontroller en voor de huidige bewerkingen van die controller.
• De RODC vereist dat verificatieverzoeken worden omgeleid naar een globale catalogusserver (met Windows Server 2008) die zich bevindt op de site die zich het dichtst bij de site met die controller bevindt. Op deze domeincontroller is een wachtwoordreplicatiebeleid ingesteld om te bepalen of referenties worden gerepliceerd naar de filiaallocatie voor een omgeleide aanvraag van een RODC.
• Om beperkte Kerberos-delegering beschikbaar te maken, moet het domeinfunctionaliteitsniveau zijn ingesteld op Windows Server 2003. Beperkte delegering wordt gebruikt voor beveiligingsaanroepen die moeten worden geïmiteerd in de context van de beller.
• De bijbehorende waarde moet worden ingesteld op een forestfunctionaliteitsniveau van Windows Server 2003. Dit zorgt voor een hoger niveau van replicatiecompatibiliteit.
• U moet adprep / rodcprep eenmaal in het bos uitvoeren. Hiermee worden de machtigingen voor alle DNS Application Directory-partities in het forest bijgewerkt om replicatie tussen RODC's, die ook DNS-servers zijn, te vergemakkelijken.
• Een alleen-lezen domeincontroller kan niet de rol van operations-master hosten en kan niet fungeren als een bruggenhoofdserver voor replicatie.
• Een alleen-lezen domeincontroller kan worden geïmplementeerd op een Server Core-systeem voor extra beveiliging.

Een site is een logische weergave van een geografisch gebied op internet. Een site vertegenwoordigt de hogesnelheidsnetwerkgrens voor AD DS-computers, dat wil zeggen dat computers die met hoge snelheid en met een lage latentie kunnen communiceren, tot een site kunnen worden gecombineerd; Domeincontrollers binnen een site repliceren AD DS-gegevens op een manier die is geoptimaliseerd voor die omgeving. deze replicatieconfiguratie is grotendeels automatisch.

Opmerking. Sites worden door clientcomputers gebruikt om services te vinden, zoals domeincontrollers en globale-catalogusservers. Het is belangrijk dat elke site die u maakt, ten minste één domeincontroller en een globale-catalogusserver bevat.

2.4 AD DS-replicatie

1. AD DS-replicatie is de overdracht van wijzigingen die zijn aangebracht in directory-informatie tussen domeincontrollers in een AD DS-forest. Het AD DS-replicatiemodel definieert mechanismen voor het automatisch pushen van directory-updates tussen domeincontrollers om een ​​naadloze replicatieoplossing voor AD DS te bieden.
2. Active Directory Domain Services heeft drie secties. De domeinpartitie bevat de meest gewijzigde gegevens en genereert daarom een ​​grote stroom AD DS-replicatiegegevens.

Links naar Active Directory-sites

1. De sitekoppeling wordt gebruikt om replicatie tussen sitegroepen af ​​te handelen. U kunt de standaard sitekoppeling in AD DS gebruiken of indien nodig extra sitekoppelingen maken. U kunt instellingen voor sitekoppelingen configureren om de planning en beschikbaarheid van het replicatiepad te bepalen om u te helpen replicatie te beheren.
2. Wanneer twee sites zijn gekoppeld via een sitekoppeling, maakt het replicatiesysteem automatisch verbindingen tussen specifieke domeincontrollers op elke site, bruggenhoofdservers genoemd.

2.5 DNS configureren voor Active Directory Domain Services

DNS-configuratie

AD DS vereist DNS. De DNS-serverrol is niet standaard geïnstalleerd in Windows Server 2008 R2. Net als andere functionaliteit wordt deze functionaliteit toegevoegd op basis van rollen wanneer de server is geconfigureerd voor een specifieke rol.

De DNS-serverrol kan worden geïnstalleerd via de koppeling Rol toevoegen in Serverbeheer. De DNS-serverrol kan ook automatisch worden toegevoegd met behulp van de Active Directory Domain Services Installation Wizard (dcpromo.exe). Op de pagina Instellingen domeincontroller in de wizard kunt u de DNS-serverrol toevoegen.

DNS-zones configureren

Nadat u de DNS-server hebt geïnstalleerd, kunt u beginnen met het toevoegen van zones aan de server. Als de DNS-server een domeincontroller is, kunt u AD DS configureren om zonegegevens op te slaan. Er wordt dan een Active Directory Integrated Zone gemaakt. Als deze optie niet is geselecteerd, worden de zonegegevens opgeslagen in een bestand in plaats van in AD DS.

Dynamische updates

Wanneer u een zone aanmaakt, wordt u ook gevraagd aan te geven of dynamisch bijwerken moet worden ondersteund. Dynamisch bijwerken kan de inspanning om een ​​zone te beheren verminderen, omdat klanten hun eigen resourcerecords kunnen toevoegen, verwijderen en bijwerken.

Dynamische update zorgt voor de mogelijkheid van spoofing van bronrecords. Een computer kan bijvoorbeeld een vermelding met de naam 'www' registreren en verkeer van uw website naar het verkeerde adres omleiden.

Om spoofing te voorkomen, ondersteunt de Windows Server 2008 R2 DNS Server-service veilige dynamische updates. De client moet zich verifiëren voordat de bronrecords worden bijgewerkt, zodat de DNS-server weet of de client de computer is die de bronrecord mag wijzigen.

DNS-zoneoverdrachten

Een onderneming moet ernaar streven om een ​​zone af te dwingen door ten minste twee DNS-servers.

Als de zone is geïntegreerd in Active Directory Domain Services, volstaat het om: voeg de DNS-serverrol toe aan een andere domeincontroller in hetzelfde domein waar de eerste DNS-server zich bevindt. Geïntegreerde Active Directory-zones en DNS-zonereplicatie met AD DS worden in de volgende les beschreven.

Als de zone niet AD DS-geïntegreerd is, moet u een andere DNS-server toevoegen en deze configureren om de extra zone te hosten. Onthoud dat de secundaire zone een alleen-lezen kopie is van de primaire zone.

SRV-records

Een service locator resource record (SRV) lost de aanvraag voor een netwerkservice op, waardoor de client de host kan lokaliseren die een bepaalde service levert.

• Wanneer de domeincontroller wijzigingen van partners moet repliceren.
• Wanneer een clientcomputer moet worden geverifieerd bij AD DS.
• Wanneer een gebruiker zijn wachtwoord wijzigt.
• Wanneer Microsoft Exchange Server de directory doorzoekt.
• Wanneer de beheerder de module Active Directory: gebruikers en computers opent.

SRV-records gebruiken de volgende syntaxis.

name.service.protocol levensduur klasse type prioriteit gewicht poort target_node

Hieronder ziet u een voorbeeld van een SRV-record.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Een record bestaat uit de volgende onderdelen:

• De naam van de protocolservice, zoals de LDAP-service die wordt aangeboden door de domeincontroller.
• Levensduur in seconden.
• Klasse (alle Windows DNS-serverrecords zijn IN of INTERnet).
• Soort: SRV;
• Prioriteits- en gewichtswaarden die klanten helpen bij het bepalen van het voorkeursknooppunt.
• De poort waarop de service wordt aangeboden door de server. Op een Windows-domeincontroller voor LDAP is de standaardpoort 389.
• Het doel of de servicehost, in dit geval een domeincontroller met de naam hqdc01.contoso.com.

Wanneer het clientproces naar een domeincontroller zoekt, kan het DNS opvragen voor de LDAP-service. Het verzoek retourneert zowel een SRV-record als een A-record voor een of meer servers die de gevraagde service leveren.

Ik had de behoefte om de Active Directory-service op geografisch gescheiden plaatsen te implementeren, waarvan de netwerken zijn verbonden via vpn. Op het eerste gezicht lijkt de taak eenvoudig, maar persoonlijk heb ik dergelijke dingen nog nooit eerder gedaan, en met een vluchtige zoektocht kon ik in dit geval geen enkele afbeelding of actieplan vinden. Ik moest informatie verzamelen uit verschillende bronnen en zelf de instellingen uitzoeken.

In dit artikel leer je:

Installatie van Active Directory op verschillende subnetten plannen

We hebben dus twee subnetten 10.1.3.0/24 en 10.1.4.0/24 , die elk een aantal computers en een netwerkbal hebben. Dit alles moet je combineren in één domein. De netwerken zijn met elkaar verbonden door een vpn-tunnel, computers pingen elkaar in beide richtingen, er zijn geen problemen met netwerktoegang.

Voor een normale werking van de Active Directory-services zullen we op elk subnet een domeincontroller installeren en de replicatie daartussen configureren. We zullen Windows Server 2012R2 gebruiken. De volgorde van acties is als volgt:

• We installeren een domeincontroller in één subnet, verhogen er een nieuw domein op in een nieuw forest
• Installeer een domeincontroller op het tweede subnet en voeg deze toe aan het domein
• Replicatie tussen domeinen configureren

De eerste domeincontroller krijgt een naam xs-winsrv met adres 10.1.3.4 , tweede - xm-winsrv 10.1.4.6... Het domein dat we gaan maken heet xs.local

Domeincontrollers configureren om op verschillende subnetten te draaien

De eerste stap is het installeren van een domeincontroller in het nieuwe forest op de eerste server xs-winsrv... Ik zal hier niet in detail op ingaan, er zijn veel tutorials en instructies over dit onderwerp op internet. Wij doen alles standaard, installeren AD, DHCP en DNS services. We specificeren het lokale ip-adres als de eerste DNS-server en als de tweede 127.0.0.1 :

Installeer vervolgens Windows Server 2012R2 op de tweede server xm-winsrv... Nu nemen we een aantal belangrijke stappen, zonder welke het niet zal werken om een ​​tweede server aan het domein toe te voegen. Beide servers moeten elkaar op naam pingen. Om dit te doen, voegt u vermeldingen over elkaar toe aan de bestanden C: \ Windows \ System32 \ drivers \ etc \ host.

V xs-winsrv voeg de regel toe:

10.1.4.6 xm-winsrv

V xm-winsrv toevoegen:

10.1.3.4 xs-winsrv

Nu voor het tweede belangrijke punt. op server xm-winsrv we specificeren de eerste domeincontroller 10.1.3.4 als de eerste DNS-server:

Nu zullen beide servers elkaar oplossen. Laten we het eerst op de server controleren xm-winsrv die we aan het domein zullen toevoegen:

Daarna de server xs-winsrv je moet overstappen van de site Standaard-voor-site-naam naar de nieuwe site die voor hem is gemaakt. U bent nu klaar om een ​​tweede server aan het domein toe te voegen.

Een tweede domeincontroller toevoegen vanuit een ander subnet

We gaan naar de tweede server xm-winsrv, starten de wizard voor het toevoegen van rollen en voegen, zoals op de eerste server, 3 rollen toe - AD, DNS, DHCP. Wanneer de Active Directory Domain Services-configuratiewizard wordt gestart, selecteert u daar het eerste item - Een domeincontroller toevoegen aan een bestaand domein, wij geven ons domein aan xs.local:

In de volgende stap, in de parameters van de domeincontroller, specificeren we de naam van de site waaraan we de controller zullen koppelen:

Laat me je eraan herinneren dat dit een site moet zijn waaraan het 10.1.4.0/24-subnet is gebonden. De eerste en tweede controller komen op verschillende locaties terecht. Vergeet niet het vakje aan te vinken Globale catalogus (GC)... Dan laten we alle instellingen standaard staan.

Nadat de server opnieuw is opgestart, verschijnt deze in het domein xs.local... Inloggen als lokale beheerder werkt niet; u moet een domeinaccount gebruiken. We gaan naar binnen, we controleren of de replicatie met de hoofddomeincontroller heeft plaatsgevonden, of de DNS-records gesynchroniseerd zijn. Dit alles ging goed voor mij, de tweede domeincontroller nam alle gebruikers en DNS-records van de eerste. Op beide servers in de Active Directory-module - Sites en Services worden beide controllers weergegeven, elk op een eigen site:

Dat is alles. U kunt computers in beide kantoren toevoegen aan het domein.

Ik zal nog een belangrijk punt toevoegen voor degenen die dit allemaal op virtuele machines zullen configureren. Het is absoluut noodzakelijk om tijdsynchronisatie met de hypervisor op de gastsystemen uit te schakelen. Als dit niet gebeurt, kunnen de domeincontrollers op een gegeven moment ziek worden.

Hoop dat ik alles goed heb gedaan. Ik heb geen diepgaande kennis van Active Directory-replicatie. Als iemand opmerkingen heeft over de inhoud van het artikel, schrijf dit dan in de opmerkingen. Ik verzamelde alle informatie voornamelijk van forums, waar ze vragen stelden of problemen oplosten over vergelijkbare onderwerpen van domeinwerking in verschillende subnetten.

Online cursus "Linux Beheerder"

Als je wilt leren hoe je zeer beschikbare en betrouwbare systemen kunt bouwen en onderhouden, raad ik je aan om kennis te maken met online cursus "Linux Beheerder" bij OTUS. De cursus is niet voor beginners, voor toelating heb je basiskennis nodig van netwerken en het installeren van Linux op een virtuele machine. De training duurt 5 maanden, waarna succesvolle afgestudeerden van de cursus interviews met partners kunnen afleggen. Controleer jezelf op de toelatingstest en zie het programma voor details over.

Het hart van een efficiënt bedrijfsnetwerk is een Active Directory-domeincontroller die veel services beheert en veel voordelen biedt.

Er zijn twee manieren om een ​​IT-infrastructuur te bouwen - standaard en casual, wanneer er minimaal voldoende inspanning wordt geleverd om opkomende problemen op te lossen, zonder een duidelijke en betrouwbare infrastructuur te bouwen. Bijvoorbeeld het bouwen van een peer-to-peer netwerk in de hele organisatie en het delen van alle benodigde bestanden en mappen, zonder de mogelijkheid om gebruikersacties te controleren.

Uiteraard is dit pad ongewenst, want uiteindelijk zul je een chaotische wirwar van systemen moeten demonteren en goed organiseren, anders kan het niet functioneren - en je bedrijf daarbij. Dus hoe eerder u de enige juiste beslissing neemt om een ​​bedrijfsnetwerk te bouwen met een domeincontroller, hoe beter voor uw bedrijf op de lange termijn. En dat is waarom.

"Een domein is een basiseenheid van IT-infrastructuur op basis van het Windows-besturingssysteem, een logische en fysieke koppeling van servers, computers, apparatuur en gebruikersaccounts."

Een domeincontroller (DC) is een aparte server met Windows Server OS waarop Active Directory-services draaien, wat het mogelijk maakt om een ​​groot aantal software uit te voeren waarvoor een DC nodig is voor beheer. Voorbeelden van dergelijke software zijn de Exchange-mailserver, de Office 365-cloudsuite en andere enterprise-grade softwareomgevingen van Microsoft.

Naast het zorgen voor de juiste werking van deze platforms, biedt CA bedrijven en organisaties de volgende voordelen:

• Terminal Server implementeren... bespaart aanzienlijke middelen en moeite door constante upgrades van kantoor-pc's te vervangen door een eenmalige investering in het hosten van "thin clients" om verbinding te maken met een krachtige cloudserver.
• Verbeterde beveiliging... Met CA kunt u beleidsregels voor het maken van wachtwoorden instellen en gebruikers dwingen complexere wachtwoorden te gebruiken dan hun geboortedatum, qwerty of 12345.
• Gecentraliseerde toegangscontrole... In plaats van handmatig wachtwoorden op elke computer afzonderlijk bij te werken, kan de cd-beheerder alle wachtwoorden centraal wijzigen in één handeling vanaf één computer.
• Gecentraliseerd beheer van groepsbeleid... Met Active Directory-tools kunt u groepsbeleid maken en toegangsrechten instellen voor bestanden, mappen en andere netwerkbronnen voor specifieke gebruikersgroepen. Dit vereenvoudigt het instellen van nieuwe gebruikersaccounts of het wijzigen van de instellingen voor bestaande profielen aanzienlijk.
• Doorgangsingang... Active Directory ondersteunt pass-through, wanneer de gebruiker bij het invoeren van zijn gebruikersnaam en wachtwoord voor het domein automatisch verbinding maakt met alle andere services zoals e-mail en Office 365.
• Sjablonen voor computerconfiguratie maken... De configuratie van elke individuele computer wanneer deze wordt toegevoegd aan het bedrijfsnetwerk, kan worden geautomatiseerd met behulp van sjablonen. Er kunnen bijvoorbeeld speciale regels worden gebruikt om cd-stations of USB-poorten centraal uit te schakelen, bepaalde netwerkpoorten af ​​te sluiten, enzovoort. Dus in plaats van handmatig een nieuw werkstation te configureren, voegt de beheerder het gewoon toe aan een specifieke groep en worden alle regels voor deze groep automatisch toegepast.

Zoals u kunt zien, biedt het configureren van een Active Directory-domeincontroller tal van voordelen en voordelen voor bedrijven en organisaties van elke omvang.

Wanneer implementeert u een Active Directory Domain Controller in een bedrijfsnetwerk?

We raden u aan te overwegen een domeincontroller voor uw bedrijf te configureren wanneer er meer dan 10 computers op het netwerk zijn aangesloten, aangezien het veel gemakkelijker is om het benodigde beleid voor 10 computers in te stellen dan voor 50. Bovendien, aangezien deze server niet bijzonder presteert resource-intensieve taken, kan een krachtige desktopcomputer zeer geschikt zijn voor deze rol.

Het is echter belangrijk om te onthouden dat deze server wachtwoorden zal opslaan voor toegang tot netwerkbronnen en de domeingebruikersdatabase, het schema van gebruikersrechten en groepsbeleid. Om de continuïteit van de domeincontroller te garanderen, is het noodzakelijk om een ​​back-upserver in te zetten met continu kopiëren van gegevens, en dit kan veel sneller, gemakkelijker en betrouwbaarder worden gedaan met behulp van servervirtualisatie die wordt geboden bij het hosten van een bedrijfsnetwerk in de cloud. Dit voorkomt de volgende problemen:

• Verkeerde DNS-serverinstellingen, wat leidt tot fouten bij de locatie van bronnen in het bedrijfsnetwerk en op internet
• Verkeerd geconfigureerde beveiligingsgroepen wat leidt tot fouten in gebruikerstoegangsrechten tot netwerkbronnen
• Onjuiste OS-versies... Elke versie van Active Directory ondersteunt specifieke thin client-versies van Windows-desktopbesturingssystemen
• Afwezigheid of verkeerde instelling automatisch gegevens kopiëren naar de back-updomeincontroller.

Een domeincontroller is een server met een Windows Server-besturingssysteem waarop Active Directory Domain Service is geïnstalleerd. Dit artikel gaat kort in op het doel van een domeincontroller, de functionaliteit en het belang van een juiste configuratie.

Afspraak

Om te voorkomen dat we te veel technische termen gebruiken, zijn domeincontrollers servers die Active Directory ondersteunen. Ze slaan informatie op over gebruikers- en computeraccounts die lid zijn van het domein, het schema en hun eigen kopie van de Active Directory-database die kan worden geschreven. Daarnaast fungeren domeincontrollers als de centrale beveiligingscomponent in het domein. Een dergelijke organisatie stelt u in staat om op flexibele wijze beveiligingsbeleid binnen het bedrijfsnetwerk te configureren en bepaalde groepen gebruikers toegang te geven tot bepaalde bronnen, of omgekeerd.

De belangrijkste functies van een domeincontroller:

• Het opslaan van een volledige kopie van Active Directory-informatie met betrekking tot een specifiek domein, het beheren en repliceren van deze informatie naar andere controllers in dit domein;
• Replicatie van directory-informatie met betrekking tot alle objecten in een Active Directory-domein;
• Replicatieconflicten oplossen wanneer hetzelfde kenmerk op verschillende controllers werd gewijzigd voordat de replicatie werd geïnitialiseerd.

Zakelijke voordelen

Voordelen van een gecentraliseerd systeem op basis van domeincontrollers:

1. Enkele database voor authenticatie. De domeincontroller slaat alle accounts op in één database en elke gebruiker die lid is van het domein van de computer neemt contact op met de domeincontroller om zich aan te melden bij het systeem. Door gebruikers in de juiste groepen te verdelen, wordt het eenvoudiger om gedistribueerde toegang tot documenten en toepassingen te organiseren. Dus wanneer een nieuwe medewerker verschijnt, volstaat het om een ​​account voor hem aan te maken in de overeenkomstige groep en heeft de medewerker automatisch toegang tot alle benodigde netwerkbronnen en apparaten. Wanneer een medewerker vertrekt, volstaat het om zijn account te blokkeren om alle toegang in te trekken.
2. Eén controlepunt voor beleid. Met een domeincontroller kunt u computer- en gebruikersaccounts per organisatie-eenheid distribueren en er verschillende groepsbeleidsregels op toepassen, waarbij u instellingen en beveiligingsinstellingen voor een groep computers en gebruikers definieert (bijvoorbeeld toegang tot netwerkprinters, een reeks vereiste toepassingen, browser instellingen, enz.). Dus wanneer een nieuwe computer of gebruiker aan het domein wordt toegevoegd, krijgt deze automatisch alle instellingen en toegang die voor deze of gene afdeling zijn gedefinieerd.
3. Veiligheid. Flexibele configuratie van authenticatie- en autorisatieprocedures, in combinatie met gecentraliseerd beheer, kan de beveiliging van de IT-infrastructuur binnen de organisatie aanzienlijk verhogen. Bovendien wordt de domeincontroller fysiek geïnstalleerd op een speciale locatie die is beveiligd tegen externe toegang.
4. Vereenvoudigde integratie met andere diensten. Door een domeincontroller als een enkel authenticatiepunt te gebruiken, kunnen gebruikers hetzelfde account gebruiken bij het werken met extra tools en services (bijv. mailservices, kantoorprogramma's, proxyservers, instant messengers, enz.).

Maatwerk

Een op AD DS gebaseerde domeincontroller is een belangrijk onderdeel van de IT-infrastructuur die toegangscontrole en gegevensbescherming biedt in de hele organisatie. Het functioneren van niet alleen de domeincontroller zelf, maar ook Active Directory als geheel (bijvoorbeeld de distributie van beveiligingsbeleid en toegangsregels) hangt af van de juiste configuratie van de domeincontroller, wat op zijn beurt de werking van alle gerelateerde services beïnvloedt en diensten, en bepaalt ook het beveiligingsniveau.

Dat is de reden waarom, als uw bedrijf van plan is de procedures voor toegang tot bedrijfsbronnen te optimaliseren, de beveiliging te verbeteren en routinematige administratieve taken te vereenvoudigen door over te gaan naar gecentraliseerd beheer, IT Svit-specialisten zullen helpen bij het beslissen over de problemen van een goede planning van de structuur van een schaalbaar bedrijfsnetwerk en de componenten ervan, evenals de configuratie en verdere implementatie van een domeincontroller op dit netwerk.

Omdat ik van binnenuit erg vertrouwd ben met kleine bedrijven, ben ik altijd geïnteresseerd geweest in de volgende vragen. Leg uit waarom de werknemer de browser moet gebruiken die de systeembeheerder leuk vindt op de werkcomputer? Of neem een ​​andere software, bijvoorbeeld dezelfde archiver, mailclient, instant messaging-client ... Ik zinspeel soepel op standaardisatie, en niet op basis van persoonlijke sympathie van de systeembeheerder, maar op basis van de toereikendheid van functionaliteit, onderhoudskosten en ondersteuning van deze softwareproducten. Laten we IT gaan zien als een exacte wetenschap, geen ambacht, wanneer iedereen doet wat hij doet. Nogmaals, hier zijn veel problemen mee in kleine bedrijven. Stel je voor dat een bedrijf in een moeilijke tijd van crisis meerdere van deze beheerders verandert, wat moeten arme gebruikers in zo'n situatie doen? Voortdurend bijleren?

Laten we eens naar de andere kant kijken. Elke manager moet begrijpen wat er in het bedrijf (inclusief IT) gebeurt. Dit is nodig om de huidige situatie te volgen, om snel te reageren op de opkomst van verschillende soorten problemen. Maar dit begrip is belangrijker voor strategische planning. Met een sterke en betrouwbare basis kunnen we immers een huis bouwen op 3 of 5 verdiepingen, een dak in verschillende vormen maken, balkons of een wintertuin maken. Evenzo hebben we in IT een solide basis - we kunnen verder complexere producten en technologieën gebruiken om zakelijke problemen op te lossen.

Het eerste artikel gaat over zo'n stichting - Active Directory-services. Ze zijn ontworpen om een ​​solide basis te vormen voor de IT-infrastructuur van een bedrijf van elke omvang en elke branche. Wat het is? Laten we erover praten ...

Laten we het gesprek beginnen met eenvoudige concepten: domein- en Active Directory-services.

Domein Is de belangrijkste administratieve eenheid in de netwerkinfrastructuur van een onderneming die alle netwerkobjecten omvat, zoals gebruikers, computers, printers, gedeelde bronnen en meer. De verzameling van dergelijke domeinen wordt een forest genoemd.

Active Directory-services (Active Directory-services)) zijn een gedistribueerde database die alle objecten in het domein bevat. De Active Directory-domeinomgeving is het enige verificatie- en autorisatiepunt voor gebruikers en applicaties in de hele onderneming. Het is met de organisatie van het domein en de implementatie van Active Directory-services dat de bouw van de IT-infrastructuur van de onderneming begint.

De Active Directory-database wordt opgeslagen op dedicated servers - domeincontrollers. Active Directory is een rol voor Microsoft Windows Server-besturingssystemen. Active Directory is zeer schaalbaar. In een Active Directory-forest kunnen meer dan 2 miljard objecten worden gemaakt, waardoor het mogelijk is om een ​​directoryservice te implementeren in bedrijven met honderdduizenden computers en gebruikers. Door de hiërarchische structuur van domeinen kunt u de IT-infrastructuur flexibel opschalen naar alle vestigingen en regionale afdelingen van bedrijven. Voor elke vestiging of afdeling van het bedrijf kan een apart domein worden aangemaakt, met zijn eigen beleid, zijn gebruikers en groepen. Voor elk onderliggend domein kan de administratieve bevoegdheid worden gedelegeerd aan lokale systeembeheerders. In dit geval gehoorzamen alle dezelfde onderliggende domeinen de bovenliggende domeinen.

Bovendien kunt u met Active Directory vertrouwensrelaties instellen tussen domeinforests. Elk bedrijf heeft zijn eigen bos van domeinen, elk met zijn eigen bronnen. Maar soms moet u medewerkers van een ander bedrijf toegang geven tot uw bedrijfsmiddelen - werk met gedeelde documenten en applicaties binnen een gezamenlijk project. Om dit te doen, kunt u vertrouwensrelaties instellen tussen de forests van organisaties, waardoor mensen in de ene organisatie kunnen inloggen op het domein van een andere.

Om fouttolerantie voor Active Directory te bieden, moet u in elk domein twee of meer domeincontrollers implementeren. Alle wijzigingen worden automatisch gerepliceerd tussen domeincontrollers. Bij uitval van een van de domeincontrollers wordt het netwerk niet aangetast, omdat de rest gewoon blijft werken. Een extra laag van veerkracht is door DNS-servers op domeincontrollers in Active Directory te plaatsen, waardoor elk domein meerdere DNS-servers kan hebben die de primaire zone van het domein bedienen. En als een van de DNS-servers uitvalt, blijft de rest werken. In een van de artikelen in deze serie zullen we het hebben over de rol en het belang van DNS-servers in de IT-infrastructuur.

Maar dit zijn allemaal technische aspecten van het implementeren en onderhouden van de status van Active Directory-services. Laten we het hebben over de voordelen die een bedrijf kan behalen door peer-to-peer-netwerken met werkgroepen af ​​te schaffen.

1. Eén authenticatiepunt

In een werkgroep op elke computer of server moet u handmatig een volledige lijst van gebruikers toevoegen die netwerktoegang nodig hebben. Als een van de medewerkers plotseling zijn wachtwoord wil wijzigen, dan moet dit op alle computers en servers worden gewijzigd. Het is oké als het netwerk uit 10 computers bestaat, maar als er meer zijn? Wanneer u een Active Directory-domein gebruikt, worden alle gebruikersaccounts in één database opgeslagen en hebben alle computers toegang tot dit domein voor autorisatie. Alle domeingebruikers zijn opgenomen in de juiste groepen, bijvoorbeeld "Accounting", "Financiële afdeling". Het is voldoende om eenmaal permissies voor bepaalde groepen in te stellen en alle gebruikers hebben de juiste toegang tot documenten en applicaties. Als een nieuwe werknemer naar het bedrijf komt, wordt er een account voor hem aangemaakt, die is opgenomen in de overeenkomstige groep - de werknemer krijgt toegang tot alle netwerkbronnen waartoe hij toegang moet krijgen. Als een werknemer vertrekt, volstaat het om deze te blokkeren - en hij verliest onmiddellijk de toegang tot alle bronnen (computers, documenten, applicaties).

2. Eén punt voor beleidsbeheer

In een werkgroep zijn alle computers gelijk. Geen van de computers kan de andere controleren, het is onmogelijk om de naleving van uniforme beleidsregels en beveiligingsregels te controleren. Wanneer u één Active Directory-directory gebruikt, zijn alle gebruikers en computers hiërarchisch verdeeld over organisatie-eenheden, waarop uniform groepsbeleid wordt toegepast. Met beleidsregels kunt u uniforme instellingen en beveiligingsinstellingen instellen voor een groep computers en gebruikers. Wanneer een nieuwe computer of gebruiker aan het domein wordt toegevoegd, ontvangt deze automatisch de instellingen die voldoen aan de geaccepteerde bedrijfsnormen. Met behulp van beleidsregels kunt u centraal netwerkprinters toewijzen aan gebruikers, de benodigde toepassingen installeren, browserbeveiligingsinstellingen instellen en Microsoft Office-toepassingen configureren.

3. Verhoogd niveau van informatiebeveiliging

Het gebruik van Active Directory-services verhoogt het niveau van netwerkbeveiliging aanzienlijk. Ten eerste is het een uniforme en veilige opslagplaats van accounts. In een domeinomgeving worden alle wachtwoorden voor domeingebruikers opgeslagen op dedicated servers, domeincontrollers, die over het algemeen beveiligd zijn tegen toegang van buitenaf. Ten tweede wordt Kerberos bij gebruik van een domeinomgeving gebruikt voor authenticatie, wat aanzienlijk veiliger is dan NTLM, dat in werkgroepen wordt gebruikt.

4. Integratie met bedrijfsapplicaties en apparatuur

Een groot voordeel van Active Directory-services is de naleving van de LDAP-standaard, die wordt ondersteund door andere systemen, bijvoorbeeld mailservers (Exchange Server), proxyservers (ISA Server, TMG). En dit zijn niet per se alleen Microsoft-producten. Het voordeel van deze integratie is dat de gebruiker niet een groot aantal logins en wachtwoorden hoeft te onthouden om toegang te krijgen tot een bepaalde applicatie; in alle applicaties heeft de gebruiker dezelfde referenties - hij wordt geauthenticeerd in een enkele Active Directory-directory. Windows Server biedt het RADIUS-protocol voor integratie met Active Directory, dat door een groot aantal netwerkapparatuur wordt ondersteund. Zo is het bijvoorbeeld mogelijk om domeingebruikers authenticatie te bieden bij het verbinden via VPN van buitenaf, met behulp van Wi-Fi-toegangspunten in het bedrijf.

5. Uniforme

Sommige toepassingen slaan hun configuratie op in Active Directory, zoals Exchange Server. Het implementeren van Active Directory is een vereiste om deze toepassingen te laten werken. Het opslaan van applicatieconfiguratie in een directoryservice is gunstig in termen van flexibiliteit en betrouwbaarheid. Bij een volledige uitval van bijvoorbeeld een Exchange-server blijft de gehele configuratie intact. Om de functionaliteit van zakelijke e-mail te herstellen, volstaat het om Exchange Server opnieuw te installeren in de herstelmodus.

Samenvattend wil ik nogmaals benadrukken dat Active Directory-services het hart vormen van de IT-infrastructuur van een onderneming. In geval van storing zal het hele netwerk, alle servers, het werk van alle gebruikers lamgelegd worden. Niemand zal in staat zijn om in te loggen op een computer, toegang te krijgen tot hun documenten en applicaties. Daarom moet de directoryservice zorgvuldig worden ontworpen en geïmplementeerd, rekening houdend met alle mogelijke nuances, bijvoorbeeld de bandbreedte van kanalen tussen filialen of bedrijfskantoren (dit heeft rechtstreeks invloed op de snelheid van gebruikersaanmelding op het systeem, evenals de uitwisseling van gegevens tussen domeincontrollers).