Skogen i Active Directory Domain Services är den översta nivån i en logisk strukturhierarki. Active Directory-skogen representerar en separat katalog. Skogen är trygghetens gräns. Detta innebär att skogsadministratörer har fullständig kontroll över tillgången till information som lagras i skogen och tillgången till de domänkontrollanter som används för att implementera skogen.
Organisationer har vanligtvis en enda skog, såvida det inte finns ett specifikt behov av flera skogar. Om du till exempel vill skapa separata administrativa områden för olika delar av din organisation måste du skapa flera skogar för att representera dessa områden.
När du implementerar flera skogar i en organisation, fungerar varje skog separat från andra skogar som standard, som om det vore den enda skogen i organisationen.
Notera. För att integrera flera skogar kan du skapa säkerhetsrelationer mellan dem, som kallas externa eller skogsförtroende.
Verksamhet på skogsnivå
Active Directory Domain Services är en katalogtjänst med flera master. Detta innebär att de flesta ändringar i katalogen kan göras på vilken skrivbar instans av katalogen som helst, det vill säga på vilken skrivbar domänkontrollant som helst. Vissa ändringar är dock exklusiva. Det betyder att de bara kan göras på en specifik domänkontrollant i skogen eller domänen, beroende på den specifika ändringen. De domänkontrollanter på vilka dessa exklusiva ändringar kan göras sägs innehålla operationsmaster-roller. Det finns fem operationsmasterroller, varav två är roller på skogsnivå och de andra tre är roller på domännivå.
Två operationsmästarroller tilldelade hela skogen:
- Domännamnmästare. Domännamnsmästarens uppgift är att se till att det finns unika namn i hela skogen. Det säkerställer att det bara finns en FQDN för varje dator i hela skogen.
- Schema master. Schemamastern håller reda på skogsschemat och underhåller ändringar av den underliggande skogsstrukturen.
Eftersom dessa roller är viktiga viktiga roller på skogsnivå, bör det bara finnas en schemamästare och domännamnmästare per skog.
Ytterligare material:
Ett schema är en komponent i Active Directory Domain Services som definierar alla objekt och attribut som Active Directory Domain Services använder för att lagra data.
Active Directory Domain Services lagrar och tar emot information från en mängd olika applikationer och tjänster. Därför, för att ge möjligheten att lagra och replikera data från dessa olika källor, definierar Active Directory Domain Services en standard för att lagra data i katalogen. Att ha en lagringsstandard gör det möjligt för Active Directory Domain Services att hämta, uppdatera och replikera data samtidigt som dataintegriteten bibehålls.
Active Directory Domain Services använder objekt som lagringsenheter. Alla objekt är definierade i schemat. Varje gång katalogen bearbetar data, frågar katalogen schemat efter lämplig objektdefinition. Baserat på definitionen av ett objekt i schemat skapar katalogen objektet och lagrar data.
Objektdefinitioner bestämmer vilka typer av data som objekt kan lagra, såväl som syntaxen för datan. Baserat på denna information säkerställer schemat att alla objekt överensstämmer med deras standarddefinitioner. Som ett resultat kan Active Directory Domain Services lagra, hämta och validera den data som hanteras, oberoende av applikationen som är den ursprungliga datakällan. Katalogen kan bara lagra data som har en befintlig objektdefinition i schemat. Om du vill lagra en ny typ av data måste du först skapa en ny objektdefinition för den datan i schemat.
Schemat i AD DS definierar:
- objekt som används för att lagra data i en katalog;
- regler som styr vilka typer av objekt som kan skapas, vilka attribut som måste definieras när ett objekt skapas och vilka attribut som är valfria;
- strukturen och innehållet i själva katalogen.
Schemat är en enda huvudmedlem i Active Directory Domain Services. Det betyder att du måste göra ändringar i schemat på domänkontrollanten som innehåller huvudrollen för schemaoperationer.
Schemat replikeras över alla domänkontrollanter i skogen. Alla ändringar som görs i schemat replikeras till alla domänkontrollanter i skogen från ägaren av huvudrollen för schemaoperationer, som vanligtvis är den första domänkontrollanten i skogen.
Eftersom schemat bestämmer lagringen av information, och alla ändringar som görs i schemat påverkar alla domänkontrollanter, bör schemaändringar endast göras när det är nödvändigt (genom en hårt kontrollerad process) efter testning för att undvika negativ påverkan på resten av skogen.
Även om du inte kan göra några ändringar i schemat direkt, gör vissa applikationer ändringar i schemat för att stödja ytterligare funktionalitet. Till exempel, när du installerar Microsoft Exchange Server 2010 i en Active Directory Domain Services-skog, utökar installationsprogrammet schemat för att stödja nya objekttyper och attribut.
Ytterligare material:
1.3 Vad är en domän.
Domän är en administrativ gräns. Alla domäner har ett administratörskonto som har full administrativ behörighet för alla objekt i domänen. Även om administratören kan delegera administration av objekt i domänen, behåller hans konto full administrativ kontroll över alla objekt i domänen.
I tidigare versioner av Windows Server ansågs domäner tillhandahålla fullständig administrativ separation; faktiskt, ett av huvudskälen till att välja en multidomäntopologi var att säkerställa denna separation. Men i Active Directory Domain Services har administratörskontot i skogens rotdomän full administrativ kontroll över alla objekt i skogen, vilket ogiltigförklarar denna administrativa separation på domännivå.
Domän är replikeringsgränsen. Active Directory Domain Services består av tre element, eller sektioner, - system, konfigurationsdelen och domänpartition... Vanligtvis ändras bara domänpartitionen ofta.
Domänsektionen innehåller objekt som förmodligen bör uppdateras ofta; sådana objekt är användare, datorer, grupper och organisationsenheter. Därför består AD DS-replikering främst av uppdateringar av objekt som definierats i domänpartitionen. Endast domänkontrollanter i en viss domän får domänpartitionsuppdateringar från andra domänkontrollanter. Partitionering av data gör det möjligt för organisationer att replikera data endast där det behövs. Som ett resultat kan katalogen skalas globalt över ett nätverk som har begränsad bandbredd.
Domän är en autentiseringsgräns. Varje användarkonto i en domän kan autentiseras av kontrollerna för den domänen. Domäner i skogen litar på varandra, så att en användare från en domän kan komma åt resurser som finns på en annan domän.
Operationer på domännivå
Det finns tre operationsmasterroller i varje domän. Dessa roller, som initialt tilldelades den första domänkontrollanten i varje domän, listas nedan.
- Relativ identifierare (RID) master. Varje gång ett objekt skapas i Active Directory Domain Services tilldelar domänkontrollanten där objektet skapas det ett unikt identifieringsnummer, en så kallad säkerhetsidentifierare (SID). För att förhindra att två domänkontrollanter tilldelar samma SID till två olika objekt, allokerar RID-mastern SID-block till varje domänkontrollant i domänen.
- Emulator för primär domänkontrollant. Denna roll är den viktigaste, eftersom dess tillfälliga förlust blir märkbar mycket snabbare än förlusten av någon annan operationsmasterroll. Hon är ansvarig för ett antal funktioner på domännivå, inklusive:
- uppdatering av kontolåsets status;
- skapande och replikering av en GPO av en enda master;
- tidssynkronisering för domänen.
- Infrastrukturmästare. Den här rollen är ansvarig för att upprätthålla referenser för objektöverskridande domäner. Till exempel, när en medlem från en annan domän tillhör en grupp i en domän, är infrastrukturmastern ansvarig för att upprätthålla integriteten för den länken.
Dessa tre roller måste vara unika i varje domän, så varje domän kan bara ha en RID-master, en primär domänkontrollant (PDC)-emulator och en infrastrukturmaster.
Ytterligare material:
Om AD DS innehåller mer än en domän måste du definiera relationer mellan domänerna. När domäner delar en gemensam rot och sammanhängande namnutrymme är de logiskt sett en del av samma Active Directory-träd. Trädet tjänar inget administrativt syfte. Det finns med andra ord ingen trädadministratör eftersom det finns en skog- eller domänadministratör. Trädet tillhandahåller en logisk hierarkisk gruppering av domäner som har förälder-barn-relationer definierade av deras namn. Active Directory-trädet mappas till namnområdet Domain Name System (DNS).
Active Directory-träd skapas baserat på relationerna mellan domänerna i skogen. Det finns ingen bra anledning till varför du vill eller inte vill skapa flera träd i en skog. Tänk dock på att ett enskilt träd, med dess sammanhängande namnutrymme, är lättare att hantera och lättare för användare att visualisera.
Om du har flera namnområden som stöds, överväg att använda flera träd i samma skog. Om din organisation till exempel har flera olika produktionsavdelningar med olika offentliga ID:n kan du skapa ett annat träd för varje produktionsavdelning. Observera att det inte finns någon separation av administration i ett sådant scenario eftersom rotskogsadministratören fortfarande har fullständig kontroll över alla objekt i skogen, oavsett vilket träd de befinner sig i.
1.5 divisioner
Indelningär ett containerobjekt i en domän som kan användas för att gruppera användare, grupper, datorer och andra objekt. Det finns två anledningar till att skapa splittringar.
- Uppsättning av objekten som finns på avdelningen. Du kan tilldela GPO till en organisationsenhet och tillämpa inställningar på alla objekt i den organisationsenheten.
- Delegering av administrativ kontroll av objekt i en organisatorisk enhet. Du kan tilldela kontrollrättigheter till en organisationsenhet genom att delegera kontrollen av organisationsenheten till en användare eller grupp som inte är administratör i Active Directory Domain Services.
Notera. En organisationsenhet är den minsta yta eller enhet som kan tilldelas grupprincipinställningar eller delegerade administratörsrättigheter.
Organisationsenheter kan användas för att representera hierarkiska logiska strukturer i en organisation. Du kan till exempel skapa organisationsenheter för att representera avdelningar i en organisation, geografiska regioner i en organisation och organisationsenheter som är en kombination av avdelningar och geografiska regioner. Du kan sedan hantera konfigurationen och använda användar-, grupp- och datorkonton baserat på den skapade organisationsmodellen.
Varje AD DS-domän har en standarduppsättning behållare och organisationsenheter som skapas när AD DS installeras. Dessa behållare och enheter listas nedan.
- Domänbehållare som fungerar som hierarkins rotbehållare.
- En inbyggd behållare som innehåller standardtjänstens administratörskonton.
- Användarbehållare, som är standardplatsen för nya användar- och gruppkonton som skapats i domänen.
- Datorbehållaren, som är standardplatsen för nya datorkonton som skapas i domänen.
- Domain Controllers OU, som är standardplatsen för domänkontrollanters datorkonton.
1.6 Förtroenderelationer
En förtroenderelation tillåter ett säkerhetsobjekt att lita på ett annat säkerhetsobjekt för autentiseringsändamål. I Windows Server 2008 R2 är säkerhetsobjektet Windows-domänen.
Huvudsyftet med en förtroenderelation är att göra det lättare för en användare på en domän att få tillgång till en resurs på en annan domän utan att behöva ha ett användarkonto på båda domänerna.
I alla förtroenderelationer är det två parter inblandade – den betrodda enheten och den betrodda enheten. Ett betrodd objekt är ett objekt som äger en resurs, och ett betrodd objekt är ett objekt med ett konto. Om du till exempel lånar ut en bärbar dator till någon litar du på den personen. Du är den enhet som äger resursen. Resursen är din bärbara dator; den person som den bärbara datorn ges för tillfälligt bruk är ett betrodd objekt med ett konto.
Typer av förtroenderelationer
Förtroenderelationer kan vara enkelriktade och tvåvägs.
Envägsförtroende innebär att även om en enhet litar på en annan, är det motsatta inte sant. Till exempel, om du lånar Steve din bärbara dator betyder det inte att Steve kommer att låna ut sin bil till dig.
I ett tvåvägsförtroende litar båda enheterna på varandra.
Förtroenderelationer kan vara transitiva och icke-transitiva. Om, i ett transitivt förtroende, objekt A litar på objekt B och objekt B litar på objekt C, litar objekt A också implicit på objekt C. Till exempel, om du lånar Steve din bärbara dator och Steve lånar ut sin bil till Mary, kan du låna Mary din mobiltelefon.
Windows Server 2008 R2 stöder en mängd olika förtroenden som kan användas i en mängd olika situationer.
I samma skog litar alla domäner på varandra genom att använda interna tvåvägs transitiva förtroende. Detta betyder i huvudsak att alla domäner litar på alla andra domäner. Detta förtroendeförhållande expanderar genom skogens träd. Utöver dessa automatiskt genererade förtroende, kan du konfigurera ytterligare förtroende mellan skogsdomäner, mellan denna skog och andra skogar, och mellan denna skog och andra säkerhetsobjekt som Kerberos realms eller Microsoft Windows NT® 4.0 operativsystemdomäner. Se följande tabell för mer information.
| Typ förtroende | Transitivitet | Riktning | Beskrivning |
|---|---|---|---|
| Extern | Icke-transitiv | Externa förtroende används för att ge åtkomst till resurser som finns i en Windows NT Server 4.0-domän eller en domän som finns i en separat skog som inte är ansluten till ett skogsförtroende. | |
| Förtroendeområde | Transitiv eller icke-transitiv. | Unilateral eller bilateral. | Realm-förtroende används för att skapa ett förtroende mellan en Kerberos-sfär som hanteras av ett icke-Windows-operativsystem och ett Windows Server 2008-operativsystem eller en Windows Server 2008 R2-domän. |
| Skogens förtroende | Transitiv | Unilateral eller bilateral. | Använd skogsfonder för att dela resurser mellan skogar. Om skogstruster är tvåvägs kan autentiseringsbegäranden som görs i endera skogen nå den andra skogen. |
| Direkt etablerad förtroende | Transitiv | Unilateral eller bilateral. | Direkt etablerade förtroende används för att minska användarens inloggningstid mellan två domäner i en Windows Server 2008- eller Windows Server 2008 R2-skog. Detta är tillämpligt när två domäner är åtskilda av två domänträd. |
2. Implementera Active Directory Domain Services
För att implementera Active Directory Domain Services måste du distribuera domänkontrollanter. För att optimera Active Directory Domain Services är det viktigt att förstå var och hur du bör skapa domänkontrollanter för att optimera din nätverksinfrastruktur.
2.1 Vad är en domänkontrollant?
En domän skapas när en Windows Server 2008 R2-serverdator befordras till en domänkontrollant. Domänkontrollanter innehåller Active Directory Domain Services.
Domänkontrollanter tillhandahåller följande funktioner i ett nätverk.
- Ger autentisering. Domänkontrollanter upprätthåller en databas med domänkonton och tillhandahåller autentiseringstjänster.
- Innehåller operations master roller som en valfri funktion. Dessa roller kallades tidigare Flexible Single Master Operations (FSMO) roller. Det finns fem operationsmasterroller – två roller på skogsnivå och tre roller på domännivå. Dessa roller kan migreras efter behov.
- Innehåller den globala katalogen som en valfri funktion. Alla domänkontrollanter kan designas som en global katalogserver.
Notera. Den globala katalogen är en distribuerad databas som innehåller en sökbar vy av varje objekt från alla domäner i en flerdomänskog. Den globala katalogen innehåller dock inte alla attribut för varje objekt. Istället stöder den en delmängd av de attribut som sannolikt kommer att vara användbara när du gör domänsökningar.
2.2 Vad är en skrivskyddad domänkontrollant?
En skrivskyddad domänkontrollant är en ny typ av domänkontrollant i Windows Server 2008 R2. Genom att använda en skrivskyddad domänkontrollant kan organisationer enkelt distribuera en domänkontrollant på platser där fysisk säkerhet inte kan garanteras. En skrivskyddad domänkontrollant är värd för en skrivskyddad replik av AD DS-databasen för den domänen. En skrivskyddad domänkontrollant kan också fungera som en global katalogserver.
Från och med Windows Server 2008 kan en organisation distribuera en skrivskyddad domänkontrollant när WAN-bandbredden är begränsad eller den fysiska säkerheten för datorer är otillräcklig. Som ett resultat kan användare i en sådan situation dra nytta av:
- ökad säkerhet;
- snabbare inloggning;
- effektivare tillgång till nätverksresurser.
| Skrivskyddad domänkontrollerfunktion | Förklaring |
| Active Directory skrivskyddad databas | Med undantag för kontolösenord innehåller en skrivskyddad domänkontrollant alla Active Directory-objekt och attribut som finns på en skrivbar domänkontrollant. Du kan dock inte göra ändringar i en replik som är lagrad på en skrivskyddad domänkontrollant. Ändringar måste göras på en skrivbar domänkontrollant och replikeras till en skrivskyddad domänkontrollant. |
| Enkelriktad replikering | Eftersom ändringar inte skrivs direkt till en RODC, görs inga ändringar i den RODC. Därför bör skrivbara domänkontrollanter som är replikeringspartner inte ta emot ändringar från en skrivskyddad kontroller. Som ett resultat minskar arbetsbelastningen för brohuvudsservrarna i hubben och mindre ansträngning krävs för att spåra replikering. |
| Cachning av autentiseringsuppgifter | Cachning av autentiseringsuppgifter är lagring av användar- eller datoruppgifter. Autentiseringsuppgifter består av en liten uppsättning lösenord (cirka tio) associerade med säkerhetsprinciper. Som standard lagrar RODC inte användar- och datoruppgifter. Undantagen är RODC-datorkontot och det särskilda kontot krbtgt (kontot för Kerberos Key Distribution Service Center) som finns på varje RODC. Cachning av andra referenser måste uttryckligen vara aktiverat på RODC. |
| Separation av administratörsroller | Den lokala RODC-administratörsrollen kan delegeras till alla domänanvändare utan att ge honom några rättigheter på domänen eller andra domänkontrollanter. I det här fallet kommer den lokala användaren på filialkontoret att kunna logga in på RODC och utföra underhållsåtgärder på den, som att uppdatera en drivrutin. Filialanvändaren kommer dock inte att ha rätt att logga in på någon annan domänkontrollant eller utföra några andra administrativa uppgifter på domänen. |
| Skrivskyddad domännamnstjänst | DNS-servertjänsten kan installeras på en skrivskyddad domänkontrollant. En skrivskyddad domänkontrollant kan replikera alla programkatalogpartitioner som används av en DNS-server, inklusive ForestDNSZones- och DomainDNSZones-partitionerna. Om en DNS-server är installerad på en skrivskyddad domänkontrollant kan klienter skicka namnupplösningsbegäranden till den precis som vilken annan DNS-server som helst. |
Följande är en sammanfattning av rollen för en skrivskyddad domänkontrollant.
- Domänkontrollanten som är värd för PDC-emulatoroperationerna för domänen måste köra ett operativsystem Windows Server 2008. Detta krävs för att skapa ett nytt konto krbtgt för en skrivskyddad domänkontrollant och för den aktuella driften av den kontrollern.
- RODC kräver att autentiseringsbegäranden omdirigeras till en global katalogserver (som kör Windows Server 2008) som finns på platsen närmast platsen med den kontrollern. En lösenordsreplikeringspolicy är inställd på den här domänkontrollanten för att avgöra om autentiseringsuppgifterna replikeras till filialplatsen för en omdirigerad begäran från en RODC.
- För att göra Kerberos begränsad delegering tillgänglig måste domänens funktionsnivå ställas in på Windows Server 2003. Begränsad delegering används för säkerhetssamtal som måste efterliknas i anroparens sammanhang.
- Det associerade värdet måste ställas in på en skogsfunktionsnivå för Windows Server 2003 för att säkerställa replikeringstillgänglighet. Detta ger en högre nivå av replikeringskompatibilitet.
- Du måste köra adprep / rodcprep en gång i skogen. Detta kommer att uppdatera behörigheterna för alla DNS Application Directory-partitioner i skogen för att underlätta replikering mellan RODCs, som också är DNS-servrar.
- En skrivskyddad domänkontrollant kan inte vara värd för operationsmasterrollen och fungera som en replikeringsbrygghuvudsserver.
- En skrivskyddad domänkontrollant kan distribueras på ett Server Core-system för ökad säkerhet.
En webbplats är en logisk representation av ett geografiskt område på webben. En plats representerar höghastighetsnätverkets gräns för AD DS-datorer, det vill säga datorer som kan kommunicera med hög hastighet och låg latens kan kombineras till en plats; Domänkontrollanter inom en webbplats replikerar AD DS-data på ett sätt som är optimerat för den miljön. denna replikeringskonfiguration är till stor del automatisk.
Notera. Webbplatser används av klientdatorer för att hitta tjänster som domänkontrollanter och globala katalogservrar. Det är viktigt att varje webbplats som du skapar innehåller minst en domänkontrollant och en global katalogserver.
2.4 AD DS-replikering
- AD DS-replikering är överföringen av ändringar som görs i kataloginformation mellan domänkontrollanter i en AD DS-skog. AD DS-replikeringsmodellen definierar mekanismer för att automatiskt skicka kataloguppdateringar mellan domänkontrollanter för att tillhandahålla en sömlös replikeringslösning för AD DS.
- Active Directory Domain Services har tre sektioner. Domänpartitionen innehåller de data som oftast ändras och genererar därför en stor ström av AD DS-replikeringsdata.
Active Directory-webbplatslänkar
- Webbplatslänken används för att hantera replikering mellan webbplatsgrupper. Du kan använda standardwebbplatslänken i AD DS, eller skapa ytterligare webbplatslänkar efter behov. Du kan konfigurera inställningar för webbplatslänkar för att bestämma schemat och tillgängligheten för replikeringsvägen för att hjälpa dig hantera replikering.
- När två platser är länkade via en platslänk skapar replikeringssystemet automatiskt anslutningar mellan specifika domänkontrollanter på varje plats, så kallade brygghuvudsservrar.
2.5 Konfigurera DNS för Active Directory Domain Services
DNS-inställning
AD DS kräver DNS. DNS-serverrollen är inte installerad som standard i Windows Server 2008 R2. Liksom andra funktioner läggs denna funktionalitet till på en rollbaserad basis när servern är konfigurerad för en specifik roll.
DNS-serverrollen kan installeras med länken Lägg till roll i Serverhanteraren. DNS-serverrollen kan också läggas till automatiskt med hjälp av installationsguiden för Active Directory Domain Services (dcpromo.exe). Sidan Domänkontrollantinställningar i guiden låter dig lägga till DNS-serverrollen.
Konfigurera DNS-zoner
Efter att du har installerat DNS-servern kan du börja lägga till zoner på servern. Om DNS-servern är en domänkontrollant kan du konfigurera AD DS för att lagra zondata. En Active Directory Integrated Zone kommer sedan att skapas. Om det här alternativet inte är valt kommer zondata att lagras i en fil snarare än i AD DS.
Dynamiska uppdateringar
När du skapar en zon kommer du också att uppmanas att ange om dynamisk uppdatering ska stödjas. Dynamisk uppdatering kan minska ansträngningen att hantera en zon eftersom kunder kan lägga till, ta bort och uppdatera sina egna resursposter.
Dynamisk uppdatering möjliggör möjligheten till spoofing av resursposter. Till exempel kan en dator registrera en post med namnet "www" och omdirigera trafik från din webbplats till fel adress.
För att förhindra spoofing stöder tjänsten Windows Server 2008 R2 DNS Server säker dynamisk uppdatering. Klienten måste autentisera innan resursposter uppdateras, så att DNS-servern vet om klienten är den dator som får ändra resursposten.
DNS-zonöverföringar
Ett företag bör sträva efter att tvinga en zon att lösas av minst två DNS-servrar.
Om zonen är integrerad i Active Directory Domain Services räcker det att lägg till DNS-serverrollen till en annan domänkontrollant i samma domän där den första DNS-servern finns. Integrerade Active Directory-zoner och DNS-zonreplikering med AD DS beskrivs i nästa lektion.
Om zonen inte är AD DS-integrerad måste du lägga till en annan DNS-server och konfigurera den för att vara värd för den extra zonen. Kom ihåg att den sekundära zonen är en skrivskyddad kopia av den primära zonen.
SRV-rekord
En tjänstelokaliseringsresurspost (SRV) löser begäran om en nätverkstjänst, vilket tillåter klienten att lokalisera värden som tillhandahåller en viss tjänst.
- När domänkontrollanten behöver replikera ändringar från partners.
- När en klientdator behöver autentisera till AD DS.
- När en användare ändrar sitt lösenord.
- När Microsoft Exchange Server söker i katalogen.
- När administratören öppnar snapin-modulen Active Directory Användare och datorer.
SRV-poster använder följande syntax.
name.service.protocol livslängd klass typ prioritet vikt port target_node
Ett exempel på SRV-post visas nedan.
Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
En post består av följande komponenter:
- Namnet på protokolltjänsten, till exempel LDAP-tjänsten som erbjuds av domänkontrollanten.
- Livstid i sekunder.
- Klass (alla Windows DNS-serverposter kommer att vara IN eller Internet).
- Typ: SRV;
- Prioritets- och viktvärden som hjälper kunder att bestämma den föredragna noden.
- Porten där tjänsten erbjuds av servern. På en Windows-domänkontrollant för LDAP är standardporten 389.
- Målet, eller tjänstvärden, som i det här fallet är en domänkontrollant som heter hqdc01.contoso.com.
När klientprocessen letar efter en domänkontrollant kan den fråga DNS för LDAP-tjänsten. Begäran returnerar både en SRV-post och en A-post för en eller flera servrar som tillhandahåller den begärda tjänsten.
Jag hade ett behov av att distribuera Active Directory-tjänsten på geografiskt åtskilda platser, vars nätverk är anslutna med vpn. Vid första anblicken verkar uppgiften enkel, men personligen har jag aldrig gjort sådana saker förut, och med en översiktlig sökning kunde jag inte hitta någon enskild bild eller handlingsplan i det här fallet. Jag var tvungen att samla information från olika källor och ta reda på inställningarna själv.
I den här artikeln kommer du att lära dig:
Planerar Active Directory-installation på olika subnät
Så vi har två subnät 10.1.3.0/24 och 10.1.4.0/24 , som var och en har ett antal datorer och en nätverkskula. Du måste kombinera allt detta till en domän. Nätverken är sammankopplade med en vpn-tunnel, datorer pingar varandra i båda riktningarna, det finns inga problem med nätverksåtkomst.
För normal drift av Active Directory-tjänsterna kommer vi att installera en domänkontrollant på varje subnät och konfigurera replikering mellan dem. Vi kommer att använda Windows Server 2012R2. Sekvensen av åtgärder är som följer:
- Vi installerar en domänkontrollant i ett subnät, skapar en ny domän på den i en ny skog
- Installera en domänkontrollant på det andra undernätet och lägg till den i domänen
- Konfigurera replikering mellan domäner
Den första domänkontrollanten kommer att namnges xs-winsrv med adress 10.1.3.4 , andra - xm-winsrv 10.1.4.6... Domänen som vi kommer att skapa kommer att kallas xs.local
Konfigurera domänkontrollanter för att köras på olika undernät
Det första steget är att installera en domänkontrollant i den nya skogen på den första servern xs-winsrv... Jag kommer inte att uppehålla mig i detalj, det finns många tutorials och instruktioner om detta ämne på Internet. Vi gör allt som standard, installerar AD, DHCP och DNS-tjänster. Vi anger den lokala IP-adressen som den första DNS-servern och som den andra 127.0.0.1 :
Installera sedan Windows Server 2012R2 på den andra servern xm-winsrv... Nu tar vi flera viktiga steg, utan vilka det inte fungerar att lägga till en andra server till domänen. Båda servrarna måste pinga varandra med namn. För att göra detta, lägg till poster om varandra i filerna C: \ Windows \ System32 \ drivers \ etc \ host.
V xs-winsrv lägg till raden:
10.1.4.6 xm-winsrv
V xm-winsrv Lägg till:
10.1.3.4 xs-winsrv
Nu till den andra viktiga punkten. På servern xm-winsrv vi anger den första domänkontrollanten 10.1.3.4 som den första DNS-servern:
Nu kommer båda servrarna att lösa varandra. Låt oss kontrollera det först och främst på servern xm-winsrv som vi lägger till i domänen:
Efter det servern xs-winsrv du måste överföra från webbplatsen Default-First-Site-Name till den nya webbplatsen som skapats för honom. Du är nu redo att lägga till en andra server till domänen.
Lägger till en andra domänkontrollant från ett annat subnät
Vi går till den andra servern xm-winsrv, startar guiden för att lägga till roller och lägger till, som på den första servern, 3 roller - AD, DNS, DHCP. När Active Directory Domain Services Configuration Wizard startas, välj det första objektet där - Lägg till en domänkontrollant till en befintlig domän anger vi vår domän xs.local:
I nästa steg, i parametrarna för domänkontrollanten, anger vi namnet på webbplatsen som vi ska koppla kontrollanten till:
Låt mig påminna dig om att detta måste vara en webbplats som 10.1.4.0/24-undernätet är bundet till. Den första och andra styrenheten hamnar på olika platser. Glöm inte att markera rutan Global katalog (GC)... Sedan lämnar vi alla inställningar som standard.
Efter att ha startat om servern visas den i domänen xs.local... Att logga in som lokal administratör fungerar inte, du måste använda ett domänkonto. Vi går in, vi kontrollerar om replikeringen med huvuddomänkontrollanten ägde rum, om DNS-posterna var synkroniserade. Allt detta gick bra för mig, den andra domänkontrollanten tog alla användare och DNS-poster från den första. På båda servrarna i Active-Directory snap-in - Sites and Services visas båda kontrollerna, var och en på sin egen plats:
Det är allt. Du kan lägga till datorer på båda kontoren till domänen.
Jag kommer att lägga till ytterligare en viktig punkt för dem som kommer att konfigurera allt detta på virtuella maskiner. Det är absolut nödvändigt att inaktivera tidssynkronisering med hypervisorn på gästsystemen. Om detta inte görs kan domänkontrollanterna vid något tillfälle bli sjuka.
Hoppas jag gjorde allt rätt. Jag har ingen djup kunskap om Active Directory-replikering. Om någon har kommentarer till innehållet i artikeln, skriv om det i kommentarerna. Jag samlade all information främst från forum, där de ställde frågor eller löste problem om liknande ämnen för domändrift i olika subnät.
Onlinekurs "Linux Administrator"
Om du har en önskan om att lära dig bygga och underhålla högst tillgängliga och pålitliga system rekommenderar jag att du bekantar dig med onlinekurs "Linux Administrator" på OTUS. Kursen är inte för nybörjare, för antagning behöver du grundläggande kunskaper i nätverk och installation av Linux på en virtuell maskin. Utbildningen varar i 5 månader, varefter framgångsrika utexaminerade från kursen kommer att kunna passera intervjuer med partners. Kolla in dig på antagningsprovet och se programmet för detaljer om.Hjärtat i ett effektivt företagsnätverk är en Active Directory-domänkontrollant som hanterar många tjänster och ger många fördelar.
Det finns två sätt att bygga en IT-infrastruktur - standard och avslappnad, när minimal tillräcklig ansträngning görs för att lösa uppkommande problem, utan att bygga en tydlig och pålitlig infrastruktur. Till exempel bygga ett peer-to-peer-nätverk i hela organisationen och dela alla nödvändiga filer och mappar, utan möjlighet att styra användaråtgärder.
Uppenbarligen är denna väg oönskad, eftersom du i slutändan måste demontera och organisera ett kaotiskt virrvarr av system, annars kommer det inte att kunna fungera - och ditt företag tillsammans med det. Därför, ju tidigare du fattar det enda korrekta beslutet att bygga ett företagsnätverk med en domänkontrollant, desto bättre för ditt företag på lång sikt. Och det är varför.
"En domän är en grundläggande enhet av IT-infrastruktur baserad på Windows operativsystem, en logisk och fysisk sammanslutning av servrar, datorer, utrustning och användarkonton."
En domänkontrollant (DC) är en separat server som kör Windows Server OS som kör Active Directory-tjänster, vilket gör det möjligt att köra ett stort antal mjukvara som kräver en DC för administration. Exempel på sådan programvara inkluderar Exchange-e-postservern, Office 365-molnpaketet och andra programvarumiljöer av företagsklass från Microsoft.
Förutom att säkerställa att dessa plattformar fungerar korrekt, ger CA företag och organisationer följande fördelar:
- Installera Terminal Server... sparar betydande resurser och ansträngning genom att ersätta ständiga uppgraderingar av kontorsdatorer med en engångsinvestering i att vara värd för "tunna klienter" för att ansluta till en kraftfull molnserver.
- Förbättrad säkerhet... CA låter dig ställa in policyer för att skapa lösenord och tvinga användare att använda mer komplexa lösenord än deras födelsedatum, qwerty eller 12345.
- Centraliserad passerkontroll... Istället för att manuellt uppdatera lösenord på varje dator separat, kan CD-administratören centralt ändra alla lösenord i en operation från en dator.
- Centraliserad Group Policy Management... Active Directory-verktyg låter dig skapa grupppolicyer och ange åtkomsträttigheter till filer, mappar och andra nätverksresurser för specifika användargrupper. Detta förenklar avsevärt att skapa nya användarkonton eller ändra inställningarna för befintliga profiler.
- Genomgående entré... Active Directory stöder pass-through, när användaren, när han anger sitt användarnamn och lösenord för domänen, automatiskt ansluter till alla andra tjänster som e-post och Office 365.
- Skapa datorkonfigurationsmallar... Konfigurationen av varje enskild dator när den läggs till i företagets nätverk kan automatiseras med hjälp av mallar. Specialregler kan till exempel användas för att centralt inaktivera CD-enheter eller USB-portar, stänga vissa nätverksportar och så vidare. Således, istället för att manuellt konfigurera en ny arbetsstation, lägger administratören helt enkelt till den i en specifik grupp, och alla regler för denna grupp kommer att tillämpas automatiskt.
Som du kan se medför konfigurering av en Active Directory-domänkontrollant många fördelar och fördelar för företag och organisationer av alla storlekar.
När ska man implementera en Active Directory-domänkontrollant i ett företagsnätverk?
Vi rekommenderar att du överväger att konfigurera en domänkontrollant för ditt företag när fler än 10 datorer är anslutna till nätverket, eftersom det är mycket lättare att ställa in nödvändiga policyer för 10 datorer än för 50. Dessutom, eftersom denna server inte fungerar särskilt resurskrävande uppgifter kan en kraftfull stationär dator mycket väl vara lämplig för denna roll.
Det är dock viktigt att komma ihåg att denna server kommer att lagra lösenord för åtkomst till nätverksresurser och domänanvändardatabasen, systemet för användarrättigheter och grupppolicyer. Det är nödvändigt att distribuera en backupserver med kontinuerlig datakopiering för att säkerställa kontinuiteten hos domänkontrollanten, och detta kan göras mycket snabbare, enklare och mer tillförlitligt med hjälp av servervirtualisering som tillhandahålls när företagsnätverket är värd i molnet. Detta undviker följande problem:
- Fel DNS-serverinställningar, vilket leder till fel i placeringen av resurser i företagsnätverket och på Internet
- Felaktigt konfigurerade säkerhetsgrupper leder till fel i användarens åtkomsträttigheter till nätverksresurser
- Felaktiga OS-versioner... Varje version av Active Directory stöder specifika versioner av tunna klienter av Windows-operativsystem för stationära datorer
- Frånvaro eller fel inställning automatisk datakopiering till backup-domänkontrollanten.
En domänkontrollant är en server som kör ett Windows Server-operativsystem med Active Directory Domain Service installerad. Den här artikeln tar en snabb titt på syftet med en domänkontrollant, dess funktionalitet och vikten av korrekt konfiguration.
Utnämning
För att undvika att komma in på för många tekniska termer är domänkontrollanter servrar som stöder Active Directory. De lagrar information om användar- och datorkonton som är medlemmar i domänen, schemat och sin egen kopia av Active Directory-databasen som kan skrivas. Dessutom fungerar domänkontrollanter som den centrala säkerhetskomponenten i domänen. En sådan organisation låter dig flexibelt konfigurera säkerhetspolicyer inom företagets nätverk, samt tillåta, eller vice versa, förbjuda vissa grupper av användare från att komma åt vissa resurser.
Huvudfunktionerna för en domänkontrollant:
- Lagra en fullständig kopia av Active Directory-information relaterad till en specifik domän, hantera och replikera denna information till andra kontroller i denna domän;
- Replikering av kataloginformation relaterad till alla objekt i en Active Directory-domän;
- Att lösa replikeringskonflikter när samma attribut ändrades på olika kontroller innan replikeringen initierades.
Affärsfördelar
Fördelar med ett centraliserat system baserat på domänkontrollanter:
- Enskild databas för autentisering. Domänkontrollanten lagrar alla konton i en enda databas och varje användare som är medlem i datorns domän kontaktar domänkontrollanten för att logga in på systemet. Genom att dela in användare i lämpliga grupper blir det lättare att organisera distribuerad åtkomst till dokument och applikationer. Således, när en ny anställd dyker upp, räcker det att skapa ett konto för honom i motsvarande grupp och den anställde kommer automatiskt att ha tillgång till alla nödvändiga nätverksresurser och enheter. När en anställd slutar räcker det med att spärra sitt konto för att återkalla all åtkomst.
- En enda kontrollpunkt för policyer. En domänkontrollant låter dig distribuera dator- och användarkonton per organisationsenhet och tillämpa olika grupppolicyer på dem, definiera inställningar och säkerhetsinställningar för en grupp av datorer och användare (till exempel åtkomst till nätverksskrivare, en uppsättning nödvändiga applikationer, webbläsare inställningar etc.). Således, när en ny dator eller användare läggs till i domänen, kommer den automatiskt att få alla inställningar och åtkomst som definierats för den eller den avdelningen.
- Säkerhet. Flexibel konfiguration av autentiserings- och auktoriseringsprocedurer, i kombination med centraliserad hantering, kan avsevärt öka säkerheten för IT-infrastrukturen inom organisationen. Dessutom är domänkontrollanten fysiskt installerad på en speciell plats skyddad från extern åtkomst.
- Förenklad integration med andra tjänster. Genom att använda en domänkontrollant som en enda autentiseringspunkt kan användare använda samma konto när de arbetar med ytterligare verktyg och tjänster (t.ex. e-posttjänster, kontorsprogram, proxyservrar, instant messengers, etc.).
Anpassning
En AD DS-baserad domänkontrollant är en nyckelkomponent i IT-infrastrukturen som tillhandahåller åtkomstkontroll och dataskydd i hela organisationen. Funktionen hos inte bara domänkontrollanten själv, utan även Active Directory som helhet (till exempel distributionen av säkerhetspolicyer och åtkomstregler) beror på den korrekta konfigurationen av domänkontrollanten, vilket i sin tur påverkar driften av alla relaterade tjänster och tjänster, och bestämmer även säkerhetsnivån.
Det är därför, om ditt företag planerar att optimera procedurerna för att få tillgång till företagets resurser, förbättra säkerheten och förenkla rutinmässiga administrativa uppgifter genom att gå över till centraliserad hantering, kommer IT Svit-specialister att hjälpa till med att avgöra frågorna om korrekt planering av strukturen för ett skalbart företagsnätverk och dess komponenter, såväl som konfiguration och vidare driftsättning, en domänkontrollant på detta nätverk.
Eftersom jag är mycket bekant med småföretag från insidan har jag alltid varit intresserad av följande frågor. Förklara varför medarbetaren ska använda webbläsaren som sysadmin gillar på arbetsdatorn? Eller ta vilken annan programvara som helst, till exempel samma arkiverare, e-postklient, snabbmeddelandeklient ... Jag antyder smidigt på standardisering, och inte på grundval av personlig sympati från systemadministratören, utan på grundval av tillräckligheten av funktionalitet, kostnader för underhåll och support för dessa mjukvaruprodukter. Låt oss börja tänka på IT som en exakt vetenskap, inte ett hantverk, när alla gör som de gör. Återigen, det finns många problem med detta i småföretag. Tänk att ett företag i en svår kristid byter ut flera av dessa administratörer, vad ska fattiga användare göra i en sådan situation? Att ständigt lära sig om?
Låt oss titta på andra sidan. Alla chefer bör förstå vad som händer i företaget (inklusive IT). Detta är nödvändigt för att övervaka den nuvarande situationen, för att omedelbart reagera på uppkomsten av olika typer av problem. Men denna förståelse är viktigare för strategisk planering. När allt kommer omkring, med en stark och pålitlig grund, kan vi bygga ett hus på 3 eller 5 våningar, göra ett tak i olika former, göra balkonger eller en vinterträdgård. På samma sätt har vi inom IT en solid grund - vi kan ytterligare använda mer komplexa produkter och teknologier för att lösa affärsproblem.
Den första artikeln kommer att tala om en sådan stiftelse - Active Directory-tjänster. De är utformade för att bli en solid grund för IT-infrastrukturen för ett företag av alla storlekar och alla branscher. Vad det är? Låt oss prata om det ...
Låt oss börja samtalet med enkla koncept – domän- och Active Directory-tjänster.
DomänÄr den huvudsakliga administrativa enheten i ett företags nätverksinfrastruktur som inkluderar alla nätverksobjekt som användare, datorer, skrivare, delade resurser och mer. Samlingen av sådana domäner kallas en skog.
Active Directory Services (Active Directory Services) är en distribuerad databas som innehåller alla objekt i domänen. Active Directory-domänmiljön är den enda punkten för autentisering och auktorisering för användare och applikationer i hela företaget. Det är med organisationen av domänen och distributionen av Active Directory-tjänster som uppbyggnaden av företagets IT-infrastruktur börjar.
Active Directory-databasen lagras på dedikerade servrar - domänkontrollanter. Active Directory är en roll för Microsoft Windows Server-operativsystem. Active Directory är mycket skalbart. Mer än 2 miljarder objekt kan skapas i en Active Directory-skog, vilket gör det möjligt att implementera en katalogtjänst i företag med hundratusentals datorer och användare. Den hierarkiska strukturen av domäner tillåter dig att flexibelt skala IT-infrastrukturen till alla grenar och regionala divisioner av företag. För varje gren eller division av företaget kan en separat domän skapas, med egna policyer, dess användare och grupper. För varje underdomän kan administrativ auktoritet delegeras till lokala systemadministratörer. I det här fallet lyder alla samma underordnade domäner föräldern.
Dessutom låter Active Directory dig skapa förtroende mellan domänskogar. Varje företag har sin egen skog av domäner, var och en med sina egna resurser. Men ibland behöver du ge tillgång till dina företagsresurser till anställda i ett annat företag - arbeta med delade dokument och applikationer inom ett gemensamt projekt. För att göra detta kan du skapa förtroende mellan organisationers skogar, vilket gör att personer i en organisation kan logga in på en annans domän.
För att tillhandahålla feltolerans för Active Directory måste du distribuera två eller flera domänkontrollanter i varje domän. Alla ändringar replikeras automatiskt mellan domänkontrollanter. I händelse av ett fel på en av domänkontrollanterna påverkas inte nätverket, eftersom resten fortsätter att fungera. Ett ytterligare lager av motståndskraft är genom att placera DNS-servrar på domänkontrollanter i Active Directory, vilket gör att varje domän kan ha flera DNS-servrar som betjänar domänens primära zon. Och i händelse av fel på en av DNS-servrarna, kommer resten att fortsätta att fungera. Vi kommer att prata om DNS-servrarnas roll och betydelse i IT-infrastrukturen i en av artiklarna i denna serie.
Men dessa är alla tekniska aspekter av implementering och underhåll av Active Directory-tjänster. Låt oss prata om fördelarna som ett företag kan vinna på att avstå från peer-to-peer-nätverk med arbetsgrupper.
1. Enskild autentiseringspunkt
I en arbetsgrupp på varje dator eller server måste du manuellt lägga till en komplett lista över användare som behöver nätverksåtkomst. Om en av de anställda plötsligt vill ändra sitt lösenord, måste det ändras på alla datorer och servrar. Det är bra om nätverket består av 10 datorer, men om det finns fler? När du använder en Active Directory-domän lagras alla användarkonton i en databas och alla datorer kommer åt den för auktorisering. Alla domänanvändare ingår i lämpliga grupper, till exempel "Redovisning", "Finansavdelning". Det räcker att ställa in behörigheter för vissa grupper en gång, och alla användare kommer att ha lämplig tillgång till dokument och applikationer. Om en ny anställd kommer till företaget skapas ett konto för denne som ingår i motsvarande grupp - den anställde får tillgång till alla nätverksresurser som han ska få tillgång till. Om en anställd lämnar räcker det att blockera den - och han kommer omedelbart att förlora åtkomst till alla resurser (datorer, dokument, applikationer).
2. En enda punkt för policyhantering
I en arbetsgrupp är alla datorer lika. Ingen av datorerna kan kontrollera den andra, det är omöjligt att kontrollera efterlevnaden av enhetliga policyer och säkerhetsregler. När du använder en enda Active Directory-katalog är alla användare och datorer hierarkiskt fördelade över organisationsenheter, på vilka enhetliga grupppolicyer tillämpas på var och en. Policyer låter dig ställa in enhetliga inställningar och säkerhetsinställningar för en grupp datorer och användare. När en ny dator eller användare läggs till i domänen får den automatiskt de inställningar som uppfyller de accepterade företagsstandarderna. Med hjälp av policyer kan du centralt tilldela nätverksskrivare till användare, installera nödvändiga applikationer, ställa in webbläsarsäkerhetsinställningar och konfigurera Microsoft Office-applikationer.
3. Ökad nivå av informationssäkerhet
Användningen av Active Directory-tjänster ökar nivån av nätverkssäkerhet avsevärt. För det första är det ett enhetligt och säkert förråd av konton. I en domänmiljö lagras alla lösenord för domänanvändare på dedikerade servrar, domänkontrollanter, som i allmänhet är skyddade från extern åtkomst. För det andra, när du använder en domänmiljö, används Kerberos för autentisering, vilket är betydligt säkrare än NTLM, som används i arbetsgrupper.
4. Integration med företagsapplikationer och utrustning
En stor fördel med Active Directory-tjänster är dess överensstämmelse med LDAP-standarden, som stöds av andra system, till exempel e-postservrar (Exchange Server), proxyservrar (ISA Server, TMG). Och dessa är inte nödvändigtvis bara Microsoft-produkter. Fördelen med denna integration är att användaren inte behöver komma ihåg ett stort antal inloggningar och lösenord för att komma åt en viss applikation, i alla applikationer har användaren samma referenser - han är autentiserad i en enda Active Directory-katalog. Windows Server tillhandahåller RADIUS-protokollet för integration med Active Directory, som stöds av ett stort antal nätverksutrustning. Det är alltså möjligt att till exempel tillhandahålla autentisering av domänanvändare vid uppkoppling via VPN utifrån, med hjälp av Wi-Fi-accesspunkter i företaget.
5. Unifierad programkonfigurationsförråd
Vissa applikationer lagrar sin konfiguration i Active Directory, till exempel Exchange Server. Att distribuera Active Directory är en förutsättning för att dessa applikationer ska fungera. Att lagra applikationskonfiguration i en katalogtjänst är fördelaktigt när det gäller flexibilitet och tillförlitlighet. Till exempel, i händelse av ett fullständigt fel på en Exchange-server, kommer hela dess konfiguration att förbli intakt. För att återställa funktionaliteten för företagspost räcker det att installera om Exchange Server i återställningsläge.
Sammanfattningsvis vill jag än en gång betona att Active Directory-tjänster är hjärtat i ett företags IT-infrastruktur. I händelse av fel kommer hela nätverket, alla servrar, alla användares arbete att förlamas. Ingen kommer att kunna logga in på en dator, komma åt sina dokument och applikationer. Därför måste katalogtjänsten utformas och distribueras noggrant, med hänsyn till alla möjliga nyanser, till exempel bandbredden för kanaler mellan filialer eller företagskontor (detta påverkar direkt hastigheten för användarinloggning till systemet, såväl som utbytet av data mellan domänkontrollanter).
