Verkkotunnuksen ohjaimet ja niiden roolit. Domain controller: osoitus ja konfigurointi

Tärkein elementti tehokas yritysverkosto on ohjain verkkotunnus aktiivinen Hakemisto, joka hallitsee monia palveluita ja tarjoaa monia etuja.

IT-infrastruktuurin rakentamiseen on kaksi tapaa - vakio ja satunnainen, kun esiin tulevien ongelmien ratkaisemiseksi ponnistetaan mahdollisimman vähän ilman selkeää ja luotettavaa infrastruktuuria. Esimerkiksi peer-to-peer-verkoston rakentaminen läpi organisaation ja avaaminen julkinen pääsy kaikille tarvittavat tiedostot ja kansiot ilman mahdollisuutta hallita käyttäjän toimintoja.

Ilmeisesti tämä polku ei ole toivottava, koska lopulta sinun on purettava ja järjestettävä oikein kaoottinen järjestelmien sekamelska, muuten se ei voi toimia - ja yrityksesi sen mukana. Siksi mitä nopeammin teet ainoan oikean päätöksen rakentaa yritysverkko toimialueen ohjaimella, sitä parempi yrityksellesi pitkällä aikavälillä. Ja siksi.

"Domain on Windows-käyttöjärjestelmään perustuva IT-infrastruktuurin perusyksikkö, palvelimien, tietokoneiden, laitteiden ja käyttäjätilien looginen ja fyysinen liitto."

Verkkotunnuksen ohjain (DC) - erillinen palvelin Windows Server -käyttöjärjestelmän ollessa käynnissä Aktiiviset palvelut Hakemisto tekee mahdollista työtä suuri määrä ohjelmistoja, jotka vaativat CD-levyn hallintaan. Esimerkkejä tällaisista ohjelmistoista ovat Exchange-sähköpostipalvelin, Office 365 -pilvipaketti ja muut. ohjelmistoympäristöt yritystasolla alkaen Microsoft.

Tarjoamisen lisäksi oikea toiminta Näistä alustoista CD tarjoaa yrityksille ja organisaatioille seuraavat edut:

  • Päätepalvelimen käyttöönotto. voit säästää merkittävästi resursseja ja vaivaa vaihtamalla jatkuva päivitys toimistotietokoneet kertaluonteisella sijoitussijoituksella ohuita asiakkaita" muodostaa yhteyden tehokkaaseen pilvipalvelimeen.
  • Lisääntynyt turvallisuus. CD-levyn avulla voit määrittää salasanan luontikäytännöt ja pakottaa käyttäjät käyttämään enemmän monimutkaiset salasanat kuin syntymäaikasi, qwerty tai 12345.
  • Keskitetty käyttöoikeuksien valvonta. Sijasta manuaalinen päivitys salasanat jokaisessa tietokoneessa erikseen, CD-järjestelmänvalvoja voi vaihtaa kaikki salasanat keskitetysti yhdellä toiminnolla yhdeltä tietokoneelta.
  • Keskitetty ryhmäkäytäntöjen hallinta. Active Directory -työkalujen avulla voit luoda ryhmäkäytännöt ja määritä tiedostojen, kansioiden ja muiden käyttöoikeudet verkon resursseja tietyille käyttäjäryhmille. Tämä yksinkertaistaa huomattavasti uusien käyttäjätilien luomista tai olemassa olevien profiilien asetusten muuttamista.
  • Sisäänpääsy. Active Directory tukee pass-through-kirjautumista, kun käyttäjä on automaattisesti yhteydessä kaikkiin muihin palveluihin, kuten sähköpostiin ja Office 365:een, kun syötät verkkotunnuksen käyttäjätunnuksesi ja salasanasi.
  • Tietokoneen asennusmallien luominen. Jokaisen asettaminen erillinen tietokone kun se lisätään yritysverkkoon, se voidaan automatisoida mallipohjien avulla. Esimerkiksi erityissääntöjä käyttämällä CD-asemat tai USB-portit voidaan tietyllä tavalla poistaa keskitetysti käytöstä verkkoportit ja niin edelleen. Joten sen sijaan manuaaliset asetukset Uusi työasema, järjestelmänvalvoja yksinkertaisesti sisällyttää sen tiettyyn ryhmään, ja kaikkia kyseisen ryhmän sääntöjä sovelletaan automaattisesti.

Kuten näet, Active Directory -toimialueen ohjaimen määrittäminen tuo lukuisia mukavuuksia ja etuja kaikenkokoisille yrityksille ja organisaatioille.

Milloin Active Directory -toimialueen ohjain otetaan käyttöön yritysverkossa?

Suosittelemme harkitsemaan verkkotunnuksen ohjaimen asentamista yrityksellesi, kun verkkoon on kytketty yli 10 tietokonetta, koska on paljon helpompi asettaa tarvittavat käytännöt 10 koneelle kuin 50 koneelle. Lisäksi koska tämä palvelin ei suorittaa erityisen resurssiintensiivisiä tehtäviä, Tehokas pöytätietokone voi hyvinkin sopia tähän rooliin.

On kuitenkin tärkeää muistaa, että tämä palvelin tallentaa pääsysalasanat verkkoresursseihin ja verkkotunnuksen käyttäjien tietokantaan, käyttäjäoikeuskaavion ja ryhmäkäytännöt. Tarve laajentaa varmuuskopiopalvelin jatkuvalla tietojen kopioinnilla varmistaaksesi toimialueen ohjaimen toiminnan jatkuvuuden, ja tämä voidaan tehdä paljon nopeammin, helpommin ja luotettavammin käyttämällä palvelimen virtualisointi tarjotaan, kun isännöidään yritysverkkoa pilvessä. Tämä välttää seuraavat ongelmat:

  • Virheelliset DNS-palvelimen asetukset, mikä johtaa virheisiin resurssien sijainnissa yritysverkossa ja Internetissä
  • Väärin määritetyt suojausryhmät mikä johtaa virheisiin käyttäjien verkkoresurssien käyttöoikeuksissa
  • Väärät käyttöjärjestelmäversiot. Jokainen Aktiivinen versio Hakemisto tukee tietyt versiot työpöydän Windows-käyttöjärjestelmä ohuille asiakkaille
  • Poissaolo tai väärä asetus automaattinen tietojen kopiointi varatoimialueen ohjaimeen.

Toimialueohjaimet ovat palvelimia, jotka tukevat Active Directorya. Jokaisella toimialueen ohjaimella on oma kirjoitettava kopio Active Directory -tietokannasta. Toimialueen ohjaimet toimivat toimialueen keskeisenä suojauskomponenttina.

Kaikki suojaus- ja tilin vahvistustoiminnot suoritetaan toimialueen ohjaimella. Jokaisella toimialueella on oltava vähintään yksi toimialueen ohjain. Virheiden sietokyvyn varmistamiseksi on suositeltavaa asentaa vähintään kaksi toimialueen ohjauskonetta jokaiselle toimialueelle.

Windows NT -käyttöjärjestelmässä vain yksi toimialueen ohjauskone tuki tietokannan kirjoittamista, mikä tarkoittaa, että käyttäjätilin asetusten luomiseen ja muuttamiseen vaadittiin yhteys toimialueen ohjaimeen.

Tätä ohjainta kutsuttiin ensisijainen toimialueen ohjain (PDC). Windows 2000 -käyttöjärjestelmästä alkaen toimialueen ohjauskoneiden arkkitehtuuri suunniteltiin uudelleen tarjoamaan mahdollisuus päivittää Active Directory -tietokanta missä tahansa toimialueen ohjaimessa. Yhden toimialueen ohjaimen tietokannan päivityksen jälkeen muutokset replikoitiin kaikkiin muihin ohjaimiin.

Vaikka kaikki toimialueen ohjaimet tukevat tietokantojen kirjoittamista, ne eivät ole identtisiä. Active Directory -toimialueissa ja -metsissä on tehtäviä, jotka tietyt toimialueen ohjauskoneet suorittavat. Verkkotunnuksen ohjaimet, joilla on lisävastuu, tunnetaan nimellä operaation mestarit. Joissakin Microsoftin materiaaleissa tällaisia ​​järjestelmiä kutsutaan nimellä Flexible Single-Master Operations (FSMO). Monet uskovat, että termiä FSMO on käytetty niin pitkään vain siksi, että lyhenne kuulostaa niin hauskalta lausuttaessa.

Toiminnan päärooleja on viisi. Oletusarvoisesti kaikki viisi roolia myönnetään ensimmäiselle toimialueen ohjaimelle metsä aktiivinen Hakemisto. Kolmea toimintojen pääroolia käytetään toimialuetasolla ja ne on määritetty luodun toimialueen ensimmäiselle toimialueen ohjaimelle. Seuraavassa käsitellyt Active Directory -apuohjelmat mahdollistavat toimintojen pääroolien siirtämisen yhdestä toimialueen ohjaimesta toiseen. Lisäksi voit pakottaa toimialueen ohjaimen ottamaan tietyn roolin toiminnan päällikkönä.

Metsätasolla toimii kaksi operaatiopäällikön roolia.

  • Verkkotunnuksen nimeämispäällikkö- Näihin operaatiopäällikköihin on otettava yhteyttä aina, kun metsäalueen hierarkiassa tehdään nimeämismuutoksia. Verkkotunnuksen nimeämispäällikön tehtävänä on varmistaa, että verkkotunnukset ovat yksilöllisiä metsässä. Tämän toimintojen pääroolin on oltava käytettävissä, kun luodaan uusia toimialueita, poistetaan toimialueita tai nimetään uudelleen toimialueita
  • Kaaviomestari- Kaaman pääkäyttäjän rooli kuuluu metsän ainoalle toimialueen ohjaimelle, jossa skeemaan voidaan tehdä muutoksia. Kun muutokset on tehty, ne replikoidaan kaikkiin muihin metsän toimialueen ohjaimiin. Esimerkkinä tarpeesta tehdä muutoksia piiriin, harkitse ohjelmistotuotteen asentamista Microsoft Exchange Palvelin. Tämä muuttaa skeemaa siten, että järjestelmänvalvoja voi hallita samanaikaisesti käyttäjätilejä ja postilaatikoita

Kunkin metsätason roolin voi omistaa vain yksi toimialueen ohjain metsässä. Toisin sanoen voit käyttää yhtä ohjainta toimialueen nimeämisen isäntänä ja toista ohjainta skeeman isäntänä. Lisäksi molemmat roolit voidaan määrittää samalle toimialueen ohjaimelle. Tämä on oletusroolijakauma.

Jokaisella metsän toimialueella on toimialueen ohjain, joka suorittaa kunkin toimialuetason roolin.

  • Suhteellinen tunnistepää (RID-master)- Suhteellisten tunnisteiden isäntä vastaa suhteellisten tunnisteiden osoittamisesta. Suhteelliset tunnisteet ovat suojaustunnuksen (SID) ainutlaatuinen osa, jota käytetään tunnistamaan suojausobjekti (käyttäjä, tietokone, ryhmä jne.) toimialueen sisällä. Yksi suhteellisen tunnistemasterin päätehtävistä on poistaa objekti yhdestä toimialueesta ja lisätä objekti toiseen toimialueeseen siirrettäessä objekteja toimialueiden välillä.
  • Infrastruktuurimestari- Infrastruktuurin omistajan tehtävänä on synkronoida ryhmän jäsenyys. Kun ryhmien kokoonpanoon tehdään muutoksia, infrastruktuurin omistaja ilmoittaa muutoksista kaikille muille toimialueen ohjaimille.
  • Primary Domain Controller -emulaattori (PDC-emulaattori)- tätä roolia käytetään ensisijaisen ohjaimen emulointiin Windows-toimialue NT 4 tuki varaohjaimet Windows NT 4 -toimialue Toinen ensisijaisen toimialueen ohjainemulaattorin tehtävä on tarjota keskipiste käyttäjien salasanojen muutosten hallinta sekä käyttäjien estokäytäntöjä.

Sanaa "käytännöt" käytetään melko usein tässä osiossa viittaamaan ryhmäkäytäntöobjekteihin (GPO). Ryhmäpolitiikkaobjektit ovat yksi tärkeimmistä hyödyllisiä ominaisuuksia Active Directory ja niitä käsitellään vastaavassa artikkelissa, jonka linkki on alla.

Koska olen perehtynyt pienyritykseen hyvin sisältäpäin, olen aina ollut kiinnostunut seuraavista kysymyksistä. Selitä, miksi työntekijän tulisi käyttää työkoneessaan selainta, josta järjestelmänvalvoja pitää? Tai ota joku muu ohjelmisto esimerkiksi sama arkistaattori, sähköpostiohjelma, asiakas pikaviestejä... Viittaan varovasti standardointiin, en perustu järjestelmänvalvojan henkilökohtaiseen sympatiaan, vaan näiden ohjelmistotuotteiden toimivuuden, ylläpitokustannusten ja tuen riittävyyteen. Aletaan pitämään IT:tä eksakti tieteenä, ei käsityönä, kun jokainen tekee kuten haluaa. Pienissä yrityksissä tässä on myös paljon ongelmia. Kuvittele, että vaikean kriisin aikana yritys vaihtaa useita näistä ylläpitäjistä, mitä köyhien käyttäjien pitäisi tehdä tällaisessa tilanteessa? Kouluttautua jatkuvasti uudelleen?

Katsotaanpa toiselta puolelta. Jokaisen johtajan tulee ymmärtää, mitä hänen yrityksessään tällä hetkellä tapahtuu (myös IT-alalla). Tämä on tarpeen, jotta voidaan seurata nykyistä tilannetta ja reagoida nopeasti erilaisiin ongelmiin. Mutta tämä ymmärrys on tärkeämpää strategisen suunnittelun kannalta. Voimmehan, kun meillä on vahva ja luotettava perusta, voimme rakentaa 3- tai 5-kerroksisen talon, tehdä erimuotoisen katon, tehdä parvekkeita tai talvipuutarhan. Samoin IT-alalla meillä on luotettava perusta - voimme edelleen käyttää monimutkaisempia tuotteita ja teknologioita liiketoiminnan ongelmien ratkaisemiseen.

Ensimmäinen artikkeli puhuu tällaisesta perustasta - Active Directory -palveluista. Ne on suunniteltu toimimaan vahvana perustana kaiken kokoisen ja minkä tahansa toimialan yrityksen IT-infrastruktuurille. Mikä se on? Joten puhutaan tästä...

Aloitetaan keskustelu kanssa yksinkertaisia ​​käsitteitä– Active Directory -toimialue ja -palvelut.

Verkkotunnus on tärkein hallintoyksikkö verkkoinfrastruktuuria yritys, joka sisältää kaikki verkkoobjektit, kuten käyttäjät, tietokoneet, tulostimet, yhteiset resurssit ja paljon enemmän. Tällaisten verkkotunnusten kokoelmaa kutsutaan metsäksi.

Active Directory Services (Active Directory Services) ovat hajautettu tietokanta, joka sisältää kaikki verkkotunnuksen objektit. Active Directory -toimialueympäristö tarjoaa yhden todennuspisteen ja valtuutuksen käyttäjille ja sovelluksille kaikkialla yrityksessä. Yrityksen IT-infrastruktuurin rakentaminen alkaa toimialueen organisoinnista ja Active Directory -palveluiden käyttöönotosta.

Active Directory -tietokanta on tallennettu omistetuille palvelimille – toimialueen ohjaimille. Active Directory Services on palvelimen käyttöjärjestelmän rooli Microsoftin järjestelmät Windows Server. Active Directory Servicesillä on runsaasti mahdollisuuksia skaalaus. Active Directory -metsään voidaan luoda yli 2 miljardia objektia, mikä mahdollistaa hakemistopalvelun toteuttamisen yrityksissä, joissa on satoja tuhansia tietokoneita ja käyttäjiä. Hierarkinen rakenne domainin avulla voit skaalata IT-infrastruktuurin joustavasti kaikkiin yritysten toimialoihin ja alueellisiin yksiköihin. Yrityksen kullekin haaralle tai osa-alueelle voidaan luoda erillinen toimialue, jolla on omat käytännöt, omat käyttäjät ja ryhmät. Jokaisen alatason verkkotunnuksen hallinnolliset valtuudet voidaan delegoida paikallisille järjestelmänvalvojat. Samaan aikaan lapsiverkkotunnukset ovat edelleen vanhempiensa alaisia.

Lisäksi Active Directory Services antaa sinun määrittää luottamuksellinen suhde verkkoaluemetsien välillä. Jokaisella yrityksellä on oma toimialuemetsä, jokaisella on omat resurssinsa. Mutta joskus sinun on annettava pääsy omaan yritysten resursseja toisen yrityksen työntekijät - kanssa yleisiä asiakirjoja ja sovellukset sisällä yhteinen projekti. Tätä varten organisaatiometsien välille voidaan luoda luottamussuhteita, joiden avulla yhden organisaation työntekijät voivat kirjautua sisään toisen organisaation toimialueelle.

Varmistaaksesi Active Directory -palvelujen vikasietoisuuden, sinun on otettava käyttöön kaksi tai useampi toimialueen ohjauskone kussakin toimialueella. Kaikki muutokset replikoidaan automaattisesti toimialueen ohjauskoneiden välillä. Jos jokin toimialueen ohjauskoneista epäonnistuu, se ei vaikuta verkon toimivuuteen, koska muut toimivat edelleen. Lisäkestävyyden taso saadaan asettamalla DNS-palvelimet toimialueen ohjauskoneisiin Active Directoryssa, jolloin jokaisella toimialueella voi olla useita DNS-palvelimia, jotka palvelevat toimialueen ensisijaista vyöhykettä. Ja jos yksi DNS-palvelimista epäonnistuu, muut jatkavat toimintaansa. Keskustelemme DNS-palvelimien roolista ja merkityksestä IT-infrastruktuurissa yhdessä sarjan artikkeleista.

Mutta siinä kaikki tekniset näkökohdat Active Directory -palveluiden käyttöönotto ja ylläpito. Puhutaanpa eduista, joita yritys saa siirtymällä pois vertaisverkottumisesta ja käyttämällä työryhmiä.

1. Yksittäinen todennuspiste

SISÄÄN työryhmä jokaisessa tietokoneessa tai palvelimessa sinun on lisättävä manuaalisesti täydellinen lista käyttäjille, jotka tarvitsevat pääsyn verkkoon. Jos yhtäkkiä joku työntekijöistä haluaa vaihtaa salasanansa, se on vaihdettava kaikissa tietokoneissa ja palvelimissa. On hyvä, jos verkko koostuu 10 tietokoneesta, mutta entä jos niitä on enemmän? Active Directory -toimialuetta käytettäessä kaikki käyttäjätilit tallennetaan yhteen tietokantaan, ja kaikki tietokoneet etsivät sen valtuutusta. Kaikki verkkotunnuksen käyttäjät sisällytetään asianmukaisiin ryhmiin, esimerkiksi "kirjanpito", "rahoitusosasto". Riittää, kun määrität käyttöoikeudet tietyille ryhmille kerran, ja kaikilla käyttäjillä on asianmukaiset käyttöoikeudet asiakirjoihin ja sovelluksiin. Jos yritykseen tulee uusi työntekijä, hänelle luodaan tili, joka sisältyy sopivaan ryhmään - työntekijä saa pääsyn kaikkiin verkkoresursseihin, joihin hänen pitäisi olla pääsy. Jos työntekijä lopettaa, estä hänet ja hän menettää välittömästi pääsyn kaikkiin resursseihin (tietokoneet, asiakirjat, sovellukset).

2. Yksittäinen politiikan hallinta

Työryhmässä kaikilla tietokoneilla on yhtäläiset oikeudet. Yksikään tietokoneista ei voi hallita toista, on mahdotonta valvoa yhtenäisten käytäntöjen ja turvallisuussääntöjen noudattamista. Kun käytetään yhtä Active Directorya, kaikki käyttäjät ja tietokoneet on jaettu hierarkkisesti eri puolille organisaatioyksiköt, joihin jokaiseen sovelletaan yhtenäisiä ryhmäkäytäntöjä. Käytäntöjen avulla voit määrittää yhtenäiset asetukset ja suojausasetukset ryhmälle tietokoneita ja käyttäjiä. Kun uusi tietokone tai käyttäjä lisätään toimialueeseen, se vastaanottaa automaattisesti asetukset, jotka ovat hyväksyttyjen yritysstandardien mukaisia. Käytäntöjen avulla voit määrittää keskitetysti käyttäjille verkkotulostimet, Asentaa vaaditut sovellukset, aseta selaimen suojausasetukset, määritä Microsoft-sovellukset Toimisto.

3. Korotettu taso tietoturva

Active Directory -palveluiden käyttö lisää merkittävästi verkon suojaustasoa. Ensinnäkin se on yksi ja turvallinen tilitallennus. Toimialueympäristössä kaikki toimialueen käyttäjien salasanat tallennetaan omistetuille toimialueen ohjainpalvelimille, joilta yleensä suojataan ulkoinen pääsy. Toiseksi toimialueympäristöä käytettäessä autentikointiin käytetään Kerberos-protokollaa, joka on paljon turvallisempi kuin työryhmissä käytettävä NTLM.

4. Integrointi yrityssovelluksia ja varusteet

Active Directory -palveluiden suuri etu on LDAP-standardin noudattaminen, jota tukevat muut järjestelmät, mm. sähköpostipalvelimet(Exchange Server), välityspalvelimet (ISA Server, TMG). Lisäksi tämä ei ole vain välttämätöntä Microsoftin tuotteet. Tällaisen integroinnin etuna on, että käyttäjän ei tarvitse muistaa suurta määrää kirjautumistunnuksia ja salasanoja päästäkseen tiettyyn sovellukseen, käyttäjällä on samat tunnistetiedot - hänen todennus tapahtuu yhdessä Active Directoryssa. Windows Server tarjoaa RADIUS-protokollan integroitavaksi Active Directoryn kanssa, jota tuetaan iso määrä verkkolaitteet. Tällä tavalla on mahdollista saada aikaan esimerkiksi todennus verkkotunnuksen käyttäjiä kun muodostat yhteyden VPN:n kautta ulkopuolelta, käyttämällä Wi-Fi-yhteyttä tukiasemat yrityksessä.

5. Yhtenäinen sovelluskokoonpanon tallennus

Jotkin sovellukset tallentavat määrityksensä Active Directoryyn, kuten Exchange Server. Active Directory -hakemistopalvelun käyttöönotto on näiden sovellusten toiminnan edellytys. Sovellusmääritysten tallentaminen hakemistopalveluun tarjoaa joustavuutta ja luotettavuutta. Esimerkiksi siinä tapauksessa täydellinen epäonnistuminen Exchange-palvelin, sen koko kokoonpano säilyy ennallaan. Toimivuuden palauttamiseksi yrityksen posti, riittää, kun asennat Exchange Serverin uudelleen palautustilassa.

Yhteenvetona haluan vielä kerran korostaa, että Active Directory -palvelut ovat yrityksen IT-infrastruktuurin sydän. Vian sattuessa koko verkko, kaikki palvelimet ja kaikkien käyttäjien työ halvaantuu. Kukaan ei voi kirjautua sisään tietokoneeseen tai käyttää asiakirjojaan ja sovelluksiaan. Siksi hakemistopalvelu tulee suunnitella ja ottaa käyttöön huolellisesti ottaen huomioon kaikki mahdollisia vivahteita, Esimerkiksi, kaistanleveys kanavat yrityksen sivukonttoreiden tai toimistojen välillä (käyttäjien järjestelmään kirjautumisen nopeus sekä tiedonvaihto toimialueen ohjauskoneiden välillä riippuu suoraan tästä).

Windows Server 2003 ja sitten, kun olet varmistanut, että nämä palvelimet käynnistyvät oikein ja että niissä ei ole ongelmia, voit aloittaa toimialueen ohjaimien (DC) ja muiden luontitehtävät. järjestelmäpalvelimet. Lisäksi, jos päivität laitteistosi samanaikaisesti käyttöjärjestelmän päivityksen kanssa, voit pyytää tavallista laitteistotoimittajaasi esiasentamaan Windows Server 2003:n ilman, että sinun tarvitsee nimetä ja määrittää toimialueen ohjaimia.

Ensimmäisen toimialueen ohjaimen (DC) asentaminen uuteen toimialueeseen

Asenna Active Directory (AD) avaamalla Palvelimen hallinta osoitteesta Aloitusvalikko(Käynnistä) ja napsauta Lisää tai poista rooli käynnistääksesi ohjatun palvelimen määritystoiminnon. Valitse Palvelinrooli-ikkunassa Domain Controller (Active Directory) käynnistääksesi ohjatun Active Directoryn asennustoiminnon. Napsauta Seuraava-painiketta jatkaaksesi ohjatun toiminnon läpi käyttämällä seuraavia ohjeita ensimmäisen DC:n asentamiseen.

  1. Valitse Domain Controller Type -ikkunassa Domain Controller For A Do Domain.
  2. Napsauta Luo uusi verkkotunnus -ikkunassa Toimialue uudessa metsässä.
  3. Kirjoita Uusi verkkotunnus -sivulle täysin kelvollinen Verkkotunnus(FQDN) tälle uudelle verkkotunnukselle. (Toisin sanoen anna companyname.com, mutta älä Yrityksen nimi.)
  4. Tarkista NetBIOS Domain Name -ikkunassa NetBIOS-nimi (mutta älä FQDN:ää).
  5. Hyväksy Tietokanta- ja lokikansiot -ikkunassa tietokannan ja lokikansioiden sijainti tai napsauta Selaa-painiketta valitaksesi toisen sijainnin, jos sinulla on syytä käyttää eri kansiota.
  6. Jaettu-ikkunassa Järjestelmän äänenvoimakkuus(Jaettu järjestelmän äänenvoimakkuus) hyväksy Sysvol-kansion sijainti tai napsauta Selaa-painiketta valitaksesi toisen sijainnin.
  7. DNS Registration Diagnostics -ikkunassa DNS rekisteröinti), tarkista, tuleeko niitä olemassa oleva palvelin Tälle metsälle sopiva DNS tai jos DNS-palvelinta ei ole, valitse vaihtoehto asentaa ja määrittää DNS kyseiselle palvelimelle.
  8. Valitse Oikeudet-ikkunassa jokin seuraavista seuraavat vaihtoehdot käyttöoikeudet (riippuen Windows-versiosta asiakastietokoneet joka käyttää tätä DC:tä).
    • Käyttöoikeudet ovat yhteensopivat Windows 2000:ta edeltävien käyttöjärjestelmien kanssa.
    • Luvat ovat yhteensopivat vain operatiivisten kanssa Windows-järjestelmät 2000 tai Windows Server 2003.
  9. Tarkista Yhteenveto-ikkunan tiedot ja jos haluat muuttaa jotain, napsauta Takaisin-painiketta muuttaaksesi asetuksia. Jos kaikki on kunnossa, napsauta Seuraava-painiketta aloittaaksesi asennuksen.

Kun olet kopioinut kaikki tiedostot omaan HDD Käynnistä tietokoneesi uudelleen.

Muiden toimialueen ohjauskoneiden (DC:t) asentaminen uuteen toimialueeseen

Voit lisätä verkkotunnukseesi minkä tahansa määrän muita DC:itä. Jos muunnat olemassa olevan jäsenpalvelimen DC:ksi, muista, että monet määritysvaihtoehdot katoavat. Esimerkiksi tässä tapauksessa paikalliset käyttäjätilit poistetaan ja kryptografiset avaimet. Jos tämä jäsenpalvelin on tallentanut tiedostot EFS:n avulla, sinun on poistettava salaus käytöstä. Itse asiassa, kun olet poistanut salauksen, sinun tulee siirtää nämä tiedostot toiseen tietokoneeseen.

Voit luoda ja määrittää muita DC:itä uudessa toimialueellasi suorittamalla Active Directoryn ohjatun asennustoiminnon edellisessä osassa kuvatulla tavalla. Noudata sitten tämän ohjatun toiminnon ohjeita seuraavien ohjeiden mukaisesti.

  1. Valitse Domain Controller Type -ikkunassa Lisää verkkotunnuksen ohjain olemassa olevalle toimialueelle olemassa oleva verkkotunnus).
  2. Kirjoita Network Credentials -ikkunaan käyttäjänimi, salasana ja toimialue, jotka osoittavat käyttäjätilin, jota haluat käyttää tässä työssä.
  3. Kirjoita Lisätoimialueen ohjain -ikkunaan olemassa olevan toimialueen täydellinen DNS-nimi, jossa tämä palvelin tulee toimialueen ohjain.
  4. Hyväksy Tietokanta- ja lokikansiot -ikkunassa tietokannan ja lokikansioiden sijainti tai napsauta Selaa-painiketta valitaksesi muu kuin oletusasetus.
  5. Hyväksy Shared System Volume -ikkunassa Sysvol-kansion sijainti tai napsauta Selaa-painiketta valitaksesi toisen sijainnin.
  6. Kirjoita ja vahvista Hakemistopalvelujen palautustilan järjestelmänvalvojan salasana -ikkunassa salasana, jonka haluat määrittää tämän palvelimen järjestelmänvalvojan tilille. (Tätä tiliä käytetään, jos tietokone käynnistyy hakemistopalveluiden palautustilassa.)
  7. Tarkista Yhteenveto-ikkunan tiedot ja jos kaikki on kunnossa, napsauta Seuraava-painiketta aloittaaksesi asennuksen. Napsauta Takaisin-painiketta, jos haluat muuttaa asetuksia.

Järjestelmän kokoonpano mukautetaan toimialueen ohjaimen vaatimuksiin, ja ensimmäinen replikointi käynnistetään. Tietojen kopioimisen jälkeen (tämä voi kestää tietty aika, ja jos tietokoneesi on turvallisessa paikassa, voit pitää tauon itsellesi) napsauta ohjatun toiminnon viimeisessä ikkunassa olevaa Valmis-painiketta ja käynnistä tietokone uudelleen. Uudelleenkäynnistyksen jälkeen Configure Your Server Wizard -ikkuna tulee näkyviin, ja se ilmoittaa, että tietokoneesi on nyt toimialueen ohjauskone. Napsauta Valmis-painiketta suorittaaksesi ohjatun toiminnon loppuun tai napsauta jotakin tämän ikkunan linkeistä saadaksesi lisäinformaatio tietoja toimialueen ohjaimien tuesta.

Luodaan lisää toimialueen ohjaimia (DC:t) palauttamalla varmuuskopiosta

Voit luoda nopeasti lisää Windows Server 2003 DC:itä samaan toimialueeseen kuin olemassa oleva DC palauttamalla käynnissä olevan Windows Server 2003 DC:n varmuuskopiosta. Tämä vaatii vain kolme vaihetta (jotka kuvataan yksityiskohtaisesti seuraavissa osissa).

  1. Järjestelmän tilan varmuuskopio olemassa olevasta Windows Server 2003 DC:stä (kutsutaanko sitä ServerOneksi) samassa toimialueessa.
  2. Järjestelmän tilan palauttaminen toiseen paikkaan, esim. päällä Windows-tietokone Server 2003, josta haluat tehdä toimialueen ohjaimen (kutsutaanko sitä ServerTwoksi).
  3. Kohdepalvelimen tilan nostaminen (in tässä tapauksessa ServerTwo) DC-tasolle käyttämällä komentoriviltä syötettyä DCPROMO /adv-komentoa.

Tätä järjestystä voidaan käyttää kaikissa tilanteissa: uuden Windows Server 2003 -toimialueen asennuksessa, Windows 2000 -toimialueen päivityksessä ja Windows NT -toimialueen päivittämisessä. Jälkeen Windows-asennukset Server 2003 missä tahansa tietokoneessa, voit tehdä tästä tietokoneesta toimialueen ohjaimen (DC) tällä menetelmällä.

Tämä on erityisen hyödyllistä, jos verkkotunnuksessasi on useita sivustoja ja DC:t replikoidaan laajan verkon (WAN) kautta, mikä on paljon hitaampaa kuin tiedonsiirto Ethernet kaapeli. Kun uusi DC asennetaan etäpaikkaan, ensimmäinen replikointi kestää hyvin kauan. klo tätä menetelmää Tätä ensimmäistä replikointia ei enää tarvita, ja seuraavat replikaatiot kopioivat vain muutokset (mikä vie paljon vähemmän aikaa).

Seuraavissa osissa on ohjeita DC:n luomiseen tällä menetelmällä.

Suorita Ntbackup.exe (Valvontatyökalut-valikosta tai Suorita-valintaikkunasta) ja valitse seuraavat asetukset ohjatun toiminnon ikkunoissa.

  1. Valitse Varmuuskopioi tiedostot ja asetukset.
  2. Valitse Anna minun valita varmuuskopioitavat tiedot.
  3. Valitse Järjestelmän tila -valintaruutu.
  4. Valitse varmuuskopiotiedoston sijainti ja nimi. Käytin verkon jaettua pistettä ja nimesin tiedoston DCmodel.bkf (varmuuskopiotiedostojen nimitunniste on .bkf).
  5. Napsauta Valmis-painiketta.

Ntbackup varmuuskopioi järjestelmän tilan määrittämääsi sijaintiin. Sinun on käytettävä tätä varmuuskopiota kohdetietokoneista, joten helpoin tapa on käyttää verkkojakoa tai kirjoittaa varmuuskopiotiedosto CD-R-levy.

Kohdetietokoneen järjestelmän tilan palauttaminen

Jos haluat palauttaa järjestelmän tilan Windows Server 2003 -tietokoneeseen, josta haluat tehdä toimialueen ohjaimen, mene kyseiselle tietokoneelle (sillä on oltava pääsy varmuuskopiotiedostoon, jonka loit lähdetietokone). Suorita Ntbackup.exe tässä tietokoneessa ja valitse seuraavat asetukset ohjatun toiminnon ikkunoissa.

  1. Valitse Palauta tiedostot ja asetukset.
  2. Määritä varmuuskopiotiedoston sijainti.
  3. Valitse Järjestelmän tila -valintaruutu.
  4. Napsauta Lisäasetukset-painiketta.
  5. Valitse avattavasta luettelosta Vaihtoehtoinen sijainti ja kirjoita sijainti paikallisella kiintolevyllä (voit esimerkiksi luoda kansion nimeltä ADRestore C-asemaan).
  6. Valitse Korvaa olemassa olevat tiedostot -vaihtoehto.
  7. Valitse Palauta suojausasetukset ja Säilytä olemassa olevat volyymin kiinnityspisteet -valintaruudut. olemassa olevia pisteitääänenvoimakkuuden kiinnikkeet).
  8. Napsauta Valmis-painiketta.

Ntbackup palauttaa järjestelmän tilan viiteen alikansioon ohjatussa toiminnossa määrittämääsi sijaintiin. Näiden kansioiden nimet vastaavat seuraavia järjestelmän tilan osien nimiä:

  • Active Directory (tietokanta ja lokitiedostot)
  • Sysvol (käytännöt ja komentosarjat)
  • Käynnistystiedostot
  • Rekisteri
  • COM+ luokan rekisteröintitietokanta

Jos suoritat DCPROMO-ohjelman uudella /adv-kytkimellä, se etsii näitä alikansioita.

Kirjoita Suorita-valintaikkunaan dcpromo /adv käynnistääksesi ohjatun Active Directoryn asennustoiminnon. Tee valinnat tämän ohjatun toiminnon jokaisessa ikkunassa seuraavien ohjeiden mukaan.

  1. Valitse Lisätoimialueen ohjain verkkotunnuksesta poistumiseen -vaihtoehto.
  2. Valitse Näistä palautetuista varmuuskopiotiedostoista -vaihtoehto ja määritä sijainti paikallinen levy, johon haluat palauttaa varmuuskopion. Tämän pitäisi olla sijainti, jossa yllä olevat viisi alikansiota sijaitsevat.
  3. Jos lähde-DC sisältää maailmanlaajuinen luettelo, näkyviin tulee ohjattu ikkuna, jossa kysytään, haluatko sijoittaa yleisen luettelon tähän DC:hen. Valitse Kyllä tai Ei kokoonpanosuunnitelmistasi riippuen. DC:n luontiprosessi on hieman nopeampi, jos valitset Kyllä, mutta saatat päättää, että haluat säilyttää maailmanlaajuisen luettelon vain yhdessä DC:ssä.
  4. Anna kirjautumistiedot, joiden avulla voit tehdä tämän työn (järjestelmänvalvojan nimi ja salasana).
  5. Anna sen toimialueen nimi, jossa tämä DC toimii. Tämän on oltava toimialue, jonka jäsen lähde-DC on.
  6. Anna Active Directory -tietokannan ja lokien sijainnit (oletussijainnit ovat parhaat).
  7. Anna SYSVOLin sijainti (ja tässä on parasta käyttää oletussijaintia).
  8. Anna järjestelmänvalvojan salasana, jota käytetään, jos sinun on käynnistettävä tämä tietokone hakemistopalveluiden palautustilaan.
  9. Napsauta Valmis-painiketta.

Dcpromo siirtää tämän palvelimen toimialueen ohjaimeksi palautettujen tiedostojen sisältämien tietojen avulla, joten sinun ei tarvitse odottaa, että jokainen Active Directory -objekti replikoidaan olemassa olevasta DC:stä tähän uuteen DC:hen. Jos objekteja muutetaan, lisätään tai poistetaan tämän prosessin aloittamisen jälkeen, seuraavan kerran kun kopioit sen, on sekuntien kysymys uudelle DC:lle.

Kun tämä prosessi on valmis, käynnistä tietokone uudelleen. Voit sitten poistaa kansiot, jotka sisältävät palautetun varmuuskopion.

Windows-perheet

Kun verkkoja järjestetään Windows-käyttöjärjestelmissä, toimialueen ohjaimen käsite sisältää ns. palvelimen eli verkon pää- tai keskustietokoneen, josta työtä ohjataan. erilaisia ​​palveluita hakemistoja ja isännöi myös tietokantaa samoista hakemistoista. Palvelin (domain controller) tallentaa muun muassa kaikkien käyttäjien tileihin liittyvät asetukset sekä suojausasetukset. Jälkimmäisessä tapauksessa me puhumme yksinomaan Luonnollisesti päätietokonekaupoista tarvittavat tiedot käytännöistä, ryhmästä ja paikallisesta.

Jos ensimmäinen palvelin asennetaan mihin tahansa organisaatioon, niin verkkosivusto luodaan luonnollisesti välittömästi, samoin kuin ensimmäinen metsä, ja Active Directory on asennettava. Toimialueen ohjain, joka on määritetty toimimaan alla käyttöjärjestelmä, tallentaa tietoja ja säätelee verkkotunnuksen ja käyttäjän välistä vuorovaikutusta. Tässä tapauksessa verkkotunnuksen määrittäminen paikallisessa verkossa suoritetaan suoraan käyttämällä Active Hakemisto ohjattuna asennustoimintona.

Domain-ohjain Unix OS:lle

Tässä tapauksessa palvelinorganisaatio Linux/Unix OS on täysin yhteensopiva vaadittujen standardien kanssa Kaikki tarvittavat ja niihin liittyvät toiminnot tarjotaan ohjelmistopaketti Samba (löydät sen verkkosivuilta www.samba.org sekä OpenLDAP:sta (vastaavasti www.openldap.org). Kuten kaikki hyvin tietävät, kuuluisan Windowsin perusetu on, että sitä jaetaan ilmaiseksi, ja vastaavasti organisaation ei tarvitse käyttää suuria summia rahaa asentaakseen esimerkiksi toimialueen ohjaimen alle windows palvelin 2003. Tämän ohjelmistotuotteen lisenssi on lain mukaan ostettava. Tässä tapauksessa verkkotunnuksen määrittäminen paikallisessa verkossa erityisiä ongelmia ei sovi.

Muutetaan organisaatiosi verkkosivuston verkkotunnus

Sen lisäksi, että valtaosa järjestöistä on järjestänyt paikalliseen verkkoon, mutta toinen tärkeä näkökohta ratkaisussa on mahdollisuus käyttää Internetiä miltä tahansa tietokoneelta, mukaan lukien vierailu yrityksen verkkosivuilla, jotka ovat jollain tapaa organisaation kasvot. Joskus saattaa kuitenkin olla tarpeen suorittaa sellainen tehtävä kuin siirtää verkkosivusto toiseen verkkotunnukseen. Kuten käytäntö osoittaa, tällaisen päätöksen tekemiseen on kaksi pääsyytä: ensimmäinen on asiakkaille ja vierailijoille houkuttelevamman verkkotunnuksen hankkiminen; toinen on, että vanha joutuu mustalle listalle useissa hakukoneissa.

Ongelman ratkaisemiseksi minimaalisilla tappioilla, pääasiassa vierailijoissa, on suositeltavaa käyttää sellaista toimintoa kuin verkkotunnusten yhdistäminen. On syytä huomata, että liimaamista tulisi käyttää vain poikkeustapauksissa, koska tämä toimenpide on melko pitkä ja mikä tärkeintä, melko hermoja raastava, vaikka on syytä huomata, että se ei ole teknisesti vaikeaa.

Asiantuntijoiden ylivoimaisen enemmistön mukaan eniten tehokas tapa Sellaisen toiminnon suorittamiseksi kuin verkkosivuston siirtäminen toiselle verkkotunnukselle käytetään niin kutsuttua verkkotunnuksen pysäköintiä peilin muodossa. Tärkein myönteinen puoli tässä tilanteessa on, että käyttäjät eivät käytännössä huomaa liimausta. Ainoa asia, joka saattaa olla tarpeen, on jättää uutiset osoitteenmuutoksesta kanta-asiakkaita jotta he voivat tehdä muutoksia selaimensa kirjanmerkkeihin. Ainoa asia, joka kannattaa muistaa tässä tilanteessa, on käytön tarve suhteellisia linkkejä jotta et siirry verkkotunnuksesta toiseen.



AIHEESEEN LIITTYVÄT ARTIKKELIT