Mengapa sesebuah organisasi memerlukan Active Directory? Apakah pengawal domain

Salah satu pilihan untuk membina rangkaian tempatan ialah berasaskan rangkaian pelayan. Rangkaian jenis ini digunakan apabila bilangan komputer melebihi 15-20. Dalam keadaan sedemikian, tidak sesuai lagi untuk menggunakan apa yang dipanggil kumpulan kerja, memandangkan rangkaian peer-to-peer dengan begitu banyak nod tidak dapat memberikan tahap kebolehurusan dan kawalan yang diperlukan. Dalam kes ini, lebih baik untuk menetapkan fungsi kawalan kepada pelayan pengurusan -.

Untuk mengurus pelayan, versi khas sistem pengendalian dengan fungsi pentadbiran lanjutan digunakan. Contoh seperti itu sistem operasi adalah Pelayan Windows 2008 atau Pelayan Windows 2012.

Selepas pemasangan dihidupkan komputer berasingan Sistem pengendalian pelayan, sebelum ia boleh mengatur kerja rangkaian tempatan, perlu membuat tetapan tertentu. Sistem pengendalian pelayan adalah mekanisme universal dengan keupayaan yang sangat luas, atau, seperti yang sering dipanggil, peranan. Salah satu peranan ini, dan mungkin yang paling sukar dan bertanggungjawab, adalah. Jika anda bercadang untuk mendapatkan mekanisme yang cekap pengurusan pengguna rangkaian, ia perlu dikonfigurasikan dalam apa jua keadaan.

Mencipta pengawal domain memerlukan pemasangan mekanisme sistem seperti Direktori Aktif– alat utama untuk mencipta, mengkonfigurasi dan mengurus akaun pengguna dan komputer pada rangkaian tempatan. Di samping itu, sebagai peraturan, peranan dan serta-merta ditambah kepada pengawal domain, yang menjadikan pelayan produk yang lengkap dan sedia untuk digunakan.

Salah satu kelebihan mutlak sistem domain ialah keupayaan untuk mengkonfigurasi dasar kumpulan secara fleksibel, yang dengannya anda boleh mengehadkan akses bukan sahaja kepada perisian, tetapi juga kepada perkakasan komputer. Contohnya, anda boleh dengan mudah melarang penggunaan pemacu DVD, pemacu kilat, dsb. Dasar Kumpulan bermula apabila pengguna log masuk ke rangkaian, jadi tiada cara untuk pengguna memintas sekatan ini.

Pengawal domain ialah titik paling penting dan terdedah pada rangkaian tempatan, jadi disyorkan untuk mencipta pengawal sandaran. Dalam kes ini, pengawal domain tambahan dipanggil pengawal domain sekunder, dan pengawal domain utama menjadi pengawal domain utama. Penyegerakan data akaun dan hak akses berlaku secara berkala, jadi jika pengawal utama gagal, pengawal kedua disambungkan serta-merta, dan kerja pada rangkaian tidak terganggu seketika. Di samping itu, adalah perlu untuk menyediakan perlindungan domain pasif dengan memasang bekalan kuasa tanpa gangguan pada pelayan.

Seperti yang mereka katakan, "tiba-tiba muncul entah dari mana.... ....", tiada apa-apa yang meramalkan masalah, tetapi kemudian pengawal domain utama mula gagal, dan semasa ia masih bernafas, ia memutuskan untuk mewakilkan hak-hak utama. domain kepada yang lain.

Untuk memindahkan peranan "tuan penamaan domain", lakukan langkah berikut:

Selepas semua peranan telah dipindahkan, ia masih perlu berurusan dengan pilihan yang tinggal - penjaga katalog global. Kami pergi ke Direktori: "Tapak dan Perkhidmatan", tapak lalai, pelayan, cari pengawal domain yang telah menjadi yang utama, dan dalam sifat tetapan NTDSnya, tandai kotak di sebelah katalog global. (Gamb. 3)

Hasilnya ialah kami menukar pemilik peranan untuk domain kami. Bagi mereka yang akhirnya perlu menyingkirkan pengawal domain lama, kami menurunkan tarafnya kepada pelayan ahli. Walau bagaimanapun, kesederhanaan tindakan yang diambil membuahkan hasil kerana pelaksanaannya dalam beberapa situasi adalah mustahil, atau berakhir dengan ralat. Dalam kes ini, ntdsutil.exe akan membantu kami.

Pemindahan sukarela peranan fsmo untuk konsol ntdsutil.exe.

Sekiranya pemindahan peranan fsmo dengan konsol AD ​​gagal, saya mencipta fail very utiliti yang selesa– ntdsutil.exe – penyelenggaraan Direktori. Alat ini membolehkan anda melakukan tindakan melampau - sehingga keseluruhan pangkalan data AD daripada sandaran yang dibuatnya sendiri semasa perubahan terakhir dalam AD. Anda boleh membiasakan diri dengan semua kemungkinannya dalam pengetahuan (Kod artikel: 255504). DALAM dalam kes ini Kami bercakap tentang fakta bahawa ntdsutil.exe membolehkan anda memindahkan kedua-dua peranan dan "memilih" mereka.

Jika kami ingin memindahkan peranan daripada pengawal domain "utama" sedia ada kepada "sandaran", kami pergi ke pengawal "utama" dan mula memindahkan peranan (perintah pemindahan).

Jika atas sebab tertentu kami tidak mempunyai pengawal domain utama, atau kami tidak boleh log masuk dengan akaun pentadbiran, kami log masuk ke pengawal domain sandaran dan mula "memilih" peranan (perintah rampas).

Jadi kesnya ialah pengawal domain utama wujud dan berfungsi secara normal. Kemudian kita pergi ke pengawal domain utama dan taip arahan berikut:

ntdsutil.exe

sambung ke server_name (orang yang kami ingin berikan peranan)

Jika ralat muncul, kami perlu berkomunikasi dengan pengawal domain yang kami cuba sambungkan. Jika tiada ralat, maka kami telah berjaya menyambung ke pengawal domain yang ditentukan dengan hak pengguna yang bagi pihak kami memasukkan arahan.

Senarai lengkap tersedia dengan meminta penyelenggaraan fsmo menggunakan tanda standard? . Masanya telah tiba untuk memindahkan peranan. Saya segera, tanpa berfikir, memutuskan untuk memindahkan peranan dalam susunan yang ditunjukkan dalam arahan untuk ntdsutil dan membuat kesimpulan bahawa saya tidak dapat memindahkan peranan pemilik infrastruktur. Sebagai tindak balas kepada permintaan untuk memindahkan peranan, ralat telah dikembalikan kepada saya: "pemilik semasa peranan fsmo tidak dapat dihubungi." Saya mencari maklumat untuk masa yang lama dan mendapati kebanyakan orang yang telah mencapai peringkat pemindahan peranan menghadapi ralat ini. Sesetengah daripada mereka cuba mengambil secara paksa peranan ini (ia tidak berfungsi), ada yang meninggalkan segala-galanya seperti sedia ada - dan hidup bahagia tanpa peranan ini.

Saya mendapat tahu melalui percubaan dan kesilapan bahawa apabila memindahkan peranan kepada dalam susunan ini Penyelesaian yang betul bagi semua langkah dijamin:

Pemilik pengecam;

Pemilik skim;

Sarjana penamaan;

Pemilik infrastruktur;

Pengawal domain;

Selepas berjaya mengakses pelayan, kami menerima jemputan untuk mengurus peranan (penyelenggaraan fsmo), dan kami boleh mula memindahkan peranan:

- pindahkan induk penamaan domain

Pemindahan tuan infrastruktur

Pindahkan rid master

Pemindahan induk skema

Pindah pdc master

Selepas setiap pelaksanaan, permintaan akan muncul bertanya sama ada kita benar-benar mahu memindahkan peranan yang ditentukan. ke pelayan yang ditentukan. Hasil pelaksanaan yang berjaya ditunjukkan dalam (Rajah 4).

Peranan penjaga katalog global diwakilkan mengikut cara yang diterangkan dalam bahagian sebelumnya.

Tugasan paksa peranan fsmo dengan ntdsutil.exe.

Kes kedua ialah kami ingin menetapkan peranan utama kepada pengawal domain sandaran kami. Dalam kes ini, tiada apa-apa perubahan - satu-satunya perbezaan ialah kami menjalankan semua operasi menggunakan rampasan, tetapi pada pelayan yang kami ingin pindahkan peranan untuk penugasan peranan.

rampas penamaan tuan

rampas tuan infrastruktur

rampaslah tuan

rampas tuan skema

Sila ambil perhatian bahawa jika anda mengambil peranan daripada pengawal domain yang tidak ada masa ini, maka apabila ia muncul, pengawal akan mula berkonflik, dan anda tidak boleh mengelakkan masalah dalam fungsi domain.

Bekerja pada kesilapan.

Perkara paling penting yang tidak boleh dilupakan ialah pengawal domain utama baharu tidak akan membetulkan TCP/IP untuk dirinya sendiri: kini dinasihatkan untuk menentukan 127.0.0.1 sebagai alamat DNS utama (dan jika pengawal domain lama + DNS hilang, maka wajib) anda di sana pelayan DHCP, maka anda perlu memaksanya untuk memberikan alamat ip DNS utama pelayan baharu anda; jika tiada DHCP, pergi melalui semua mesin dan berikan DNS utama ini kepada mereka secara manual. Sebagai pilihan, tetapkan ip yang sama kepada pengawal domain baharu seperti yang lama. Kini anda perlu melihat cara semuanya berfungsi dan menyingkirkan ralat utama. Untuk melakukan ini, saya cadangkan memadamkan semua acara pada kedua-dua pengawal, menyimpan log dalam folder dengan sandaran lain dan but semula semua pelayan. Selepas menghidupkannya, semak semua log peristiwa untuk amaran dan ralat dengan teliti. Amaran paling biasa semasa memindahkan fsmo roles ialah mesej bahawa , bahawa "msdtc tidak dapat memproses promosi/penurunan pangkat pengawal domain yang telah berlaku dengan betul." Penyelesaiannya adalah mudah: daripada yang asal

Jika masih terdapat ralat yang berkaitan dengan DNS, alih keluar semua zon daripadanya dan buat secara manual. Ini agak mudah - perkara utama ialah mencipta zon induk mengikut nama domain, disimpan dalam dan direplikasi kepada semua pengawal domain pada rangkaian.

Lagi maklumat terperinci kira-kira Ralat DNS memberikan arahan lain:

dcdiag /test:dns

Pada akhir kerja yang dilakukan, saya mengambil masa kira-kira 30 minit lagi untuk mengetahui sebab munculnya beberapa amaran - Saya mengetahui penyegerakan masa, mengarkibkan katalog global dan perkara lain yang tidak pernah saya ketahui. sebelum ini. Kini semuanya berfungsi seperti azimat - perkara yang paling penting ialah ingat untuk mencipta pengawal domain sandaran jika anda ingin mengalih keluar pengawal domain lama daripada rangkaian.

Apakah pengawal domain

Pengawal domain menyediakan pengurusan berpusat peranti rangkaian, iaitu domain. Pengawal menyimpan semua maklumat daripada akaun dan parameter pengguna rangkaian. Ini adalah tetapan keselamatan, politik tempatan dan lain-lain lagi. Ini adalah sejenis pelayan yang mengawal sepenuhnya rangkaian tertentu atau kumpulan rangkaian. Pengawal domain ialah sejenis set perisian khas yang dijalankan pelbagai perkhidmatan Direktori Aktif. Pengawal menjalankan sistem pengendalian tertentu seperti pelayan Windows 2003. Wizard Pemasangan aktif Drive membolehkan anda membuat pengawal domain.

Dalam sistem pengendalian Windows NT, pengawal domain utama digunakan sebagai pelayan utama. Pelayan lain yang digunakan digunakan sebagai pengawal sandaran. Pengawal PDC asas boleh membuat keputusan pelbagai tugas berkaitan dengan keahlian kumpulan pengguna, mencipta dan menukar kata laluan, menambah pengguna dan lain-lain lagi. Selepas itu data dihantar ke pengawal BDC tambahan.

Perisian Samba 4 boleh digunakan sebagai pengawal domain jika sistem pengendalian dipasang Sistem Unix. Perisian ini juga menyokong sistem pengendalian lain seperti windows 2003, 2008, 2003 R2 dan 2008 R2. Setiap sistem pengendalian boleh dikembangkan jika perlu, bergantung pada keperluan dan parameter tertentu.

Menggunakan Pengawal Domain

Pengawal domain digunakan oleh banyak organisasi di mana komputer berada yang bersambung antara satu sama lain dan ke rangkaian. Pengawal menyimpan data direktori dan mengawal cara pengguna log masuk dan keluar daripada sistem, serta mengurus interaksi antara mereka.

Organisasi yang menggunakan pengawal domain perlu menentukan bilangan daripada mereka yang akan digunakan, merancang pengarkiban data, Sekuriti fizikal, kemas kini pelayan dan tugasan lain yang diperlukan.

Jika syarikat atau organisasi kecil dan menggunakan hanya satu rangkaian domain, maka sudah cukup untuk menggunakan dua pengawal yang boleh memberikan kestabilan yang tinggi, toleransi kesalahan dan tahap tinggi ketersediaan rangkaian. Dalam rangkaian yang dibahagikan kepada beberapa tapak tertentu, satu pengawal dipasang pada setiap daripada mereka, yang membolehkan mencapai prestasi dan kebolehpercayaan yang diperlukan. Dengan menggunakan pengawal pada setiap tapak, log masuk pengguna boleh dibuat dengan lebih mudah dan pantas.

Trafik rangkaian boleh dioptimumkan; untuk melakukan ini, anda perlu menetapkan masa untuk kemas kini replikasi apabila beban pada rangkaian adalah minimum. Menyediakan replikasi akan memudahkan kerja anda dengan ketara dan menjadikannya lebih produktif.

Anda boleh mencapai prestasi maksimum dalam pengawal jika domain itu ialah katalog global, yang membolehkan anda meminta sebarang objek mengikut berat tertentu. Adalah penting untuk diingat bahawa mendayakan katalog global memerlukan peningkatan ketara dalam trafik replikasi.

Adalah lebih baik untuk tidak mendayakan pengawal domain hos jika lebih daripada satu pengawal domain digunakan. Apabila menggunakan pengawal domain, adalah sangat penting untuk menjaga keselamatan, kerana ia menjadi agak mudah diakses oleh penyerang yang ingin mengambil milikan data yang diperlukan untuk penipuan.

Ciri-ciri Pemasangan pengawal tambahan domain

Untuk mencapai kebolehpercayaan yang lebih tinggi dalam operasi yang diperlukan perkhidmatan rangkaian, pemasangan pengawal domain tambahan diperlukan. Hasilnya, anda boleh mencapai lebih banyak lagi kestabilan yang tinggi, kebolehpercayaan dan keselamatan dalam operasi. Dalam kes ini, kelajuan rangkaian akan menjadi lebih tinggi dengan ketara, yang sangat parameter penting untuk organisasi yang menggunakan pengawal domain.

Agar pengawal domain berfungsi dengan betul, beberapa kerja persediaan mesti dilakukan. Perkara pertama yang perlu dilakukan ialah menyemak tetapan TCP/IP, ia mesti ditetapkan dengan betul untuk pelayan. Perkara yang paling penting ialah menyemak nama DNS untuk pemetaan.

Untuk pengendalian yang selamat bagi pengawal domain, perlu menggunakan sistem fail NTFS, yang menyediakan lebih banyak lagi keselamatan yang tinggi berbanding dengan sistem fail FAT 32. Untuk memasang pada pelayan, anda perlu membuat satu partition dalam sistem fail NTFS di mana ia akan ditempatkan isipadu sistem. Akses kepada pelayan DNS daripada pelayan juga diperlukan. perkhidmatan DNS dipasang pada ini atau pelayan tambahan, yang mesti menyokong rekod sumber.

Untuk mengkonfigurasi pengawal domain dengan betul, anda boleh menggunakan Wizard Konfigurasi, yang membolehkan anda menambah peranan tertentu. Untuk melakukan ini, anda perlu pergi ke bahagian pentadbiran melalui panel kawalan. Anda mesti menentukan pengawal domain sebagai peranan pelayan.

Hari ini, pengawal domain amat diperlukan untuk rangkaian dan tapak yang digunakan oleh pelbagai organisasi, institusi dan syarikat dalam semua bidang aktiviti manusia. Terima kasih kepadanya, produktiviti dan keselamatan yang tinggi dipastikan, yang jaringan komputer mempunyai makna khusus. Peranan pengawal domain adalah sangat penting kerana ia membolehkan anda mengurus kawasan domain yang dibina pada rangkaian komputer. Setiap sistem pengendalian mempunyai nuansa tertentu yang berkaitan dengan pengendalian pengawal domain, tetapi prinsip dan tujuannya adalah sama di mana-mana, jadi memahami tetapan tidaklah sesukar yang mungkin kelihatan pada mulanya. Walau bagaimanapun, adalah sangat penting bahawa pengawal domain dikonfigurasikan oleh pakar untuk mencapai akhirnya prestasi tinggi dan keselamatan semasa bekerja.

Windows Server 2003 dan kemudian, setelah anda memastikan pelayan ini boot dengan betul dan tiada masalah, anda boleh memulakan tugas mencipta pengawal domain (DC) dan lain-lain pelayan sistem. Selain itu, jika anda menaik taraf perkakasan anda pada masa yang sama dengan menaik taraf sistem pengendalian anda, anda boleh meminta vendor perkakasan biasa anda pra-pasang Windows Server 2003 tanpa perlu menamakan dan mengkonfigurasi pengawal domain.

Memasang pengawal domain (DC) pertama dalam domain baharu

Untuk memasang Active Directory (AD), buka Manage Your Server dari menu Start dan klik Add or Remove a Role untuk melancarkan Configure Your Server Wizard. . Dalam tetingkap Peranan Pelayan, pilih Pengawal Domain (Direktori Aktif) untuk melancarkan Wizard Pemasangan Direktori Aktif. Klik butang Seterusnya untuk meneruskan wizard menggunakan mengikut arahan untuk memasang DC pertama anda.

  1. Dalam tetingkap Jenis Pengawal Domain, pilih Pengawal Domain Untuk Domain Baharu.
  2. Dalam tetingkap Cipta Domain Baharu, klik Domain dalam hutan baharu.
  3. Pada halaman Nama Domain Baharu, masukkan nama domain yang layak sepenuhnya (FQDN) untuk domain baharu ini. (Iaitu, masukkan nama syarikat.com tetapi tidak nama syarikat.)
  4. Dalam tetingkap Nama Domain NetBIOS, semak nama NetBIOS (tetapi bukan FQDN).
  5. Dalam tetingkap Pangkalan Data dan Folder Log, bersetuju dengan lokasi untuk pangkalan data dan folder log, atau klik butang Semak Imbas untuk memilih lokasi lain jika anda mempunyai sebab untuk menggunakan folder lain.
  6. Dalam tetingkap Kongsi Kelantangan Sistem(Volume Sistem Dikongsi) terima lokasi folder Sysvol atau klik butang Semak Imbas untuk memilih lokasi lain.
  7. Dalam tetingkap Diagnostik Pendaftaran DNS Pendaftaran DNS), semak jika ada pelayan sedia ada DNS yang sesuai untuk hutan ini, atau jika tiada pelayan DNS, pilih pilihan untuk memasang dan mengkonfigurasi DNS pada pelayan itu.
  8. Dalam tetingkap Kebenaran, pilih salah satu daripada pilihan berikut kuasa (bergantung kepada Versi Windows pada komputer pelanggan yang akan mengakses DC ini).
    • Kebenaran serasi dengan sistem pengendalian sebelum Windows 2000.
    • Kebenaran yang hanya serasi dengan sistem pengendalian Windows 2000 atau Windows Server 2003.
  9. Semak maklumat tetingkap Ringkasan dan jika anda perlu menukar apa-apa, klik butang Kembali untuk menukar pilihan anda. Jika semuanya ok, klik pada butang Seterusnya untuk memulakan pemasangan.

Selepas menyalin semua fail ke anda HDD mulakan semula komputer anda.

Memasang pengawal domain (DC) lain dalam domain baharu

Anda boleh menambah sebarang bilangan DC lain dalam domain anda. Jika anda menukar pelayan ahli sedia ada kepada DC, maklum bahawa banyak pilihan konfigurasi akan hilang. Sebagai contoh, dalam kes ini, akaun pengguna tempatan akan dipadamkan dan kunci kriptografi. Jika pelayan ahli ini menyimpan fail menggunakan EFS, maka anda mesti melumpuhkan penyulitan. Sebenarnya, selepas anda mengalih keluar penyulitan, anda harus memindahkan fail ini ke komputer lain.

Untuk mencipta dan mengkonfigurasi DC lain dalam domain baharu anda, jalankan Wizard Pemasangan Direktori Aktif seperti yang diterangkan dalam bahagian sebelumnya. Kemudian ikuti langkah wizard ini menggunakan arahan berikut.

  1. Dalam tetingkap Jenis Pengawal Domain, pilih Pengawal Domain Tambahan Untuk Domain Sedia Ada.
  2. Dalam tetingkap Kredensial Rangkaian, masukkan nama pengguna, kata laluan dan domain yang menunjukkan akaun pengguna yang anda mahu gunakan untuk kerja ini.
  3. Dalam tetingkap Pengawal Domain Tambahan, masukkan nama DNS yang layak sepenuhnya bagi domain sedia ada, di mana pelayan ini akan menjadi pengawal domain.
  4. Dalam tetingkap Pangkalan Data dan Folder Log, bersetuju dengan lokasi untuk pangkalan data dan folder log, atau klik butang Semak Imbas untuk memilih lokasi selain daripada tetapan lalai.
  5. Dalam tetingkap Kelantangan Sistem Dikongsi, bersetuju dengan lokasi folder Sysvol, atau klik butang Semak Imbas untuk memilih lokasi lain.
  6. Dalam tetingkap Kata Laluan Pentadbir Mod Pemulihan Perkhidmatan Direktori, masukkan dan sahkan kata laluan yang anda ingin berikan kepada akaun pentadbir untuk pelayan ini. (Akaun ini digunakan jika komputer but dalam Mod Pemulihan Perkhidmatan Direktori.)
  7. Semak maklumat tetingkap Ringkasan, dan jika semuanya OK, klik butang Seterusnya untuk memulakan pemasangan. Klik butang Kembali jika anda ingin menukar sebarang tetapan.

Konfigurasi sistem disesuaikan dengan keperluan untuk pengawal domain, dan replikasi pertama dimulakan. Selepas menyalin data (ini mungkin mengambil sedikit masa, dan jika komputer anda berada di lokasi yang selamat, maka anda boleh berehat), klik pada butang Selesai di tetingkap terakhir wizard dan mulakan semula komputer anda. Selepas but semula, tetingkap Configure Your Server Wizard muncul, mengumumkan bahawa komputer anda kini menjadi pengawal domain. Klik butang Selesai untuk melengkapkan wizard, atau klik salah satu pautan dalam tetingkap ini untuk mendapatkannya maklumat tambahan tentang sokongan untuk pengawal domain.

Mencipta pengawal domain tambahan (DC) dengan memulihkan daripada sandaran

Anda boleh mencipta Windows Server 2003 DC tambahan dengan cepat dalam domain yang sama seperti DC sedia ada dengan memulihkan Windows Server 2003 DC yang sedang berjalan daripada sandaran. Ini memerlukan hanya tiga langkah (yang diperincikan dalam bahagian berikut).

  1. Sandaran keadaan sistem bagi Windows Server 2003 DC sedia ada (mari panggil ia ServerOne) dalam domain yang sama.
  2. Memulihkan keadaan sistem ke lokasi lain, i.e. pada komputer Windows Pelayan 2003, yang anda ingin jadikan pengawal domain (mari panggil ia ServerTwo).
  3. Naikkan pelayan sasaran (dalam kes ini ServerTwo) kepada DC menggunakan arahan DCPROMO /adv yang dimasukkan daripada baris arahan.

Urutan ini boleh digunakan dalam semua senario: memasang yang baharu domain Windows Pelayan 2003, Peningkatan Domain Windows 2000 dan Peningkatan Domain Windows NT. Selepas memasang Windows Server 2003 pada komputer, anda boleh menjadikan komputer itu sebagai pengawal domain (DC) menggunakan kaedah ini.

Ini amat berguna jika domain anda mengandungi berbilang tapak dan DC anda direplikasi merentas rangkaian global(WAN), yang jauh lebih perlahan daripada memindahkan data Kabel Ethernet. Apabila DC baharu dipasang di tapak terpencil, replikasi pertama mengambil masa yang sangat lama. Pada kaedah ini Replikasi pertama ini tidak lagi diperlukan, dan replikasi berikutnya hanya menyalin perubahan (yang mengambil masa yang lebih singkat).

Bahagian berikut menyediakan arahan untuk mencipta DC menggunakan kaedah ini.

Jalankan Ntbackup.exe (daripada menu Alat Pentadbiran atau kotak dialog Jalankan) dan pilih pilihan berikut dalam tetingkap wizard.

  1. Pilih Sandarkan Fail dan Tetapan.
  2. Pilih Biar Saya Pilih Perkara Untuk Disandarkan.
  3. Pilih kotak semak Keadaan Sistem.
  4. Pilih lokasi dan nama untuk fail sandaran. Saya menggunakan titik perkongsian rangkaian dan menamakan fail DCmodel.bkf (fail sandaran mempunyai sambungan nama .bkf).
  5. Klik butang Selesai.

Ntbackup akan membuat sandaran keadaan sistem ke lokasi yang anda tentukan. Anda perlu mengakses sandaran ini daripada komputer sasaran, jadi cara paling mudah ialah menggunakan perkongsian rangkaian atau menulis fail sandaran ke cakera CD-R.

Memulihkan keadaan sistem pada komputer sasaran

Untuk memulihkan keadaan sistem pada komputer Windows Server 2003 yang anda ingin jadikan pengawal domain, pergi ke komputer itu (ia mesti mempunyai akses kepada fail sandaran yang anda buat pada komputer sumber). Jalankan Ntbackup.exe pada komputer ini dan pilih pilihan berikut dalam tetingkap wizard.

  1. Pilih Pulihkan Fail dan Tetapan.
  2. Tentukan lokasi fail sandaran.
  3. Pilih kotak semak Keadaan Sistem.
  4. Klik butang Lanjutan.
  5. Pilih Lokasi Gantian daripada senarai juntai bawah dan masukkan lokasi pada pemacu keras tempatan anda (contohnya, anda boleh mencipta folder bernama ADRestore pada pemacu C).
  6. Pilih pilihan Gantikan Fail Sedia Ada.
  7. Pilih kotak semak Pulihkan Tetapan Keselamatan dan Kekalkan Titik Pelekap Kelantangan Sedia Ada. mata sedia ada lekapan volum).
  8. Klik butang Selesai.

Ntbackup memulihkan keadaan sistem dalam lima subfolder di lokasi yang anda tentukan dalam wizard. Nama folder ini sepadan dengan nama komponen keadaan sistem berikut:

  • Direktori Aktif (pangkalan data dan fail log)
  • Sysvol (dasar dan skrip)
  • Fail But
  • Pendaftaran
  • Pangkalan Data Pendaftaran Kelas COM+

Jika anda menjalankan program DCPROMO dengan suis /adv baharu, ia mencari subfolder ini.

Dalam kotak dialog Run, masukkan dcpromo /adv untuk melancarkan Wizard Pemasangan Direktori Aktif. Gunakan arahan berikut untuk membuat pilihan anda dalam setiap tetingkap wizard ini.

  1. Pilih pilihan Pengawal Domain Tambahan untuk Keluar dari Domain.
  2. Pilih pilihan Daripada Fail Sandaran Dipulihkan Ini dan tentukan lokasi dihidupkan cakera tempatan di mana anda ingin memulihkan salinan sandaran. Ini sepatutnya lokasi di mana lima subfolder di atas berada.
  3. Jika sumber DC mengandungi katalog global, tetingkap wizard muncul bertanya sama ada anda mahu meletakkan katalog global pada DC ini. Pilih Ya atau Tidak bergantung pada pelan konfigurasi anda. Proses penciptaan DC akan menjadi lebih pantas sedikit jika anda memilih Ya, tetapi anda mungkin memutuskan bahawa anda hanya mahu menyimpan katalog global pada satu DC.
  4. Masukkan bukti kelayakan yang membolehkan anda melakukan kerja ini (nama pentadbir dan kata laluan).
  5. Masukkan nama domain di mana DC ini akan beroperasi. Ini mestilah domain yang menjadi ahli sumber DC.
  6. Masukkan lokasi untuk pangkalan data dan log Direktori Aktif (lokasi lalai adalah yang terbaik).
  7. Masukkan lokasi untuk SYSVOL (dan sebaiknya gunakan lokasi lalai di sini).
  8. Masukkan kata laluan pentadbir untuk digunakan sekiranya anda perlu boot komputer ini ke Mod Pemulihan Perkhidmatan Direktori.
  9. Klik butang Selesai.

Dcpromo akan mempromosikan pelayan ini kepada pengawal domain menggunakan data yang terkandung dalam fail yang dipulihkan, bermakna anda tidak perlu menunggu untuk setiap objek Active Directory direplikasi daripada DC sedia ada kepada DC baharu ini. Jika mana-mana objek diubah, ditambah atau dipadamkan selepas anda memulakan proses ini, maka pada kali seterusnya anda meniru ia akan memerlukan masa beberapa saat untuk DC baharu.

Setelah proses ini selesai, mulakan semula komputer anda. Anda kemudiannya boleh memadamkan folder yang mengandungi sandaran yang dipulihkan.

Memahami perniagaan kecil dari dalam, saya sentiasa berminat dengan soalan berikut. Terangkan mengapa pekerja harus menggunakan penyemak imbas yang disukai oleh pentadbir sistem pada komputer kerjanya? Atau ambil mana-mana perisian lain, sebagai contoh, pengarkib yang sama, pelanggan mel, pelanggan mesej segera... Saya dengan lembut membayangkan penyeragaman, dan bukan berdasarkan simpati peribadi pentadbir sistem, tetapi berdasarkan kecukupan fungsi, kos penyelenggaraan dan sokongan ini produk perisian. Mari kita mula menganggap IT sebagai sains tepat, dan bukan sebagai kerajinan, apabila semua orang melakukan sesuka hati. Sekali lagi, terdapat juga banyak masalah dengan ini dalam perniagaan kecil. Bayangkan bahawa sebuah syarikat dalam masa krisis yang sukar mengubah beberapa pentadbir ini, apakah yang perlu dilakukan oleh pengguna miskin dalam situasi sedemikian? Sentiasa melatih semula?

Mari kita lihat dari sisi lain. Mana-mana pengurus harus memahami apa yang sedang berlaku dalam syarikatnya (termasuk dalam IT). Ini adalah perlu untuk memantau keadaan semasa dan bertindak balas segera terhadap kemunculan pelbagai jenis masalah. Tetapi pemahaman ini lebih penting untuk perancangan strategik. Lagipun, mempunyai asas yang kukuh dan boleh dipercayai, kita boleh membina rumah dengan 3 atau 5 tingkat, membuat bumbung dalam bentuk yang berbeza, membuat balkoni atau taman musim sejuk. Begitu juga, dalam IT, kami mempunyai asas yang boleh dipercayai - kami boleh menggunakan produk dan teknologi yang lebih kompleks untuk menyelesaikan masalah perniagaan.

Artikel pertama akan bercakap tentang asas sedemikian - perkhidmatan Active Directory. Mereka direka untuk menjadi asas yang kukuh untuk infrastruktur IT syarikat dalam sebarang saiz dan mana-mana bidang aktiviti. Apa ini? Jadi mari kita bercakap tentang ini...

Mari kita mulakan perbualan dengan konsep mudah– Domain dan perkhidmatan Direktori Aktif.

Domain merupakan unit pentadbiran utama di infrastruktur rangkaian perusahaan, yang merangkumi semua objek rangkaian seperti pengguna, komputer, pencetak, sumber yang dikongsi dan banyak lagi. Pengumpulan domain tersebut dipanggil hutan.

Perkhidmatan Direktori Aktif (Perkhidmatan Direktori Aktif) ialah pangkalan data teragih yang mengandungi semua objek domain. Persekitaran domain Active Directory menyediakan satu titik pengesahan dan kebenaran untuk pengguna dan aplikasi di seluruh perusahaan. Dengan organisasi domain dan penggunaan perkhidmatan Active Directory, pembinaan infrastruktur IT perusahaan bermula.

Pangkalan data Active Directory disimpan pada pelayan khusus – pengawal domain. Perkhidmatan Direktori Aktif ialah peranan sistem pengendalian pelayan sistem Microsoft Pelayan Windows. Perkhidmatan Direktori Aktif mempunyai peluang yang banyak penskalaan. DALAM hutan Aktif Direktori boleh dibuat dengan lebih daripada 2 bilion objek, yang memungkinkan untuk melaksanakan perkhidmatan direktori dalam syarikat yang mempunyai ratusan ribu komputer dan pengguna. Struktur hierarki domain membolehkan anda menskalakan infrastruktur IT secara fleksibel kepada semua cawangan dan bahagian serantau syarikat. Untuk setiap cawangan atau bahagian syarikat, domain yang berasingan boleh dibuat, dengan dasarnya sendiri, pengguna dan kumpulannya sendiri. Untuk setiap domain kanak-kanak, kuasa pentadbiran boleh diwakilkan kepada pentadbir sistem tempatan. Pada masa yang sama, domain kanak-kanak masih berada di bawah ibu bapa mereka.

selain itu, Perkhidmatan aktif Direktori membolehkan anda mengkonfigurasi hubungan percaya antara hutan domain. Setiap syarikat mempunyai hutan domain sendiri, masing-masing mempunyai sumber sendiri. Tetapi kadangkala anda perlu menyediakan akses kepada anda sumber korporat pekerja syarikat lain - bekerja dengan dokumen am dan aplikasi dalam projek bersama. Untuk melakukan ini, hubungan kepercayaan boleh disediakan antara hutan organisasi, yang akan membolehkan pekerja satu organisasi untuk log masuk ke domain yang lain.

Untuk memastikan toleransi kesalahan untuk perkhidmatan Active Directory, anda mesti menggunakan dua atau lebih pengawal domain dalam setiap domain. Semua perubahan direplikasi secara automatik antara pengawal domain. Jika salah satu pengawal domain gagal, kefungsian rangkaian tidak terjejas, kerana yang selebihnya terus berfungsi. Tahap tambahan Toleransi kesalahan memastikan bahawa pelayan DNS diletakkan pada pengawal domain dalam Active Directory, yang membolehkan setiap domain mempunyai berbilang pelayan DNS yang melayani zon domain utama. Dan jika salah satu pelayan DNS gagal, yang lain akan terus berfungsi. Kami akan bercakap tentang peranan dan kepentingan pelayan DNS dalam infrastruktur IT dalam salah satu artikel dalam siri ini.

Tetapi itu sahaja aspek teknikal pelaksanaan dan penyelenggaraan perkhidmatan Active Directory. Mari kita bincangkan tentang faedah yang diperoleh syarikat dengan menjauhkan diri daripada rangkaian peer-to-peer dan menggunakan kumpulan kerja.

1. Titik tunggal pengesahan

DALAM kerja berkumpulan pada setiap komputer atau pelayan yang anda perlu tambah secara manual senarai penuh pengguna yang memerlukan akses rangkaian. Jika tiba-tiba salah seorang pekerja ingin menukar kata laluannya, maka ia perlu ditukar pada semua komputer dan pelayan. Bagus jika rangkaian terdiri daripada 10 komputer, tetapi bagaimana jika lebih banyak? menggunakan domain Aktif Direktori menyimpan semua akaun pengguna dalam satu pangkalan data, dan semua komputer mengaksesnya untuk kebenaran. Semua pengguna domain termasuk dalam kumpulan yang sesuai, contohnya, "Perakaunan", "Jabatan Kewangan". Ia cukup untuk menetapkan kebenaran untuk kumpulan tertentu sekali, dan semua pengguna akan mempunyai akses yang sesuai kepada dokumen dan aplikasi. Jika pekerja baharu menyertai syarikat itu, akaun dibuat untuknya, yang termasuk dalam kumpulan yang sesuai - pekerja itu mendapat akses kepada semua sumber rangkaian yang mana dia harus dibenarkan akses. Jika seorang pekerja berhenti, maka sekat sahaja dia dan dia akan segera kehilangan akses kepada semua sumber (komputer, dokumen, aplikasi).

2. Titik tunggal pengurusan dasar

Dalam kumpulan kerja, semua komputer mempunyai hak yang sama. Tiada komputer boleh mengawal yang lain; adalah mustahil untuk memantau pematuhan dengan dasar seragam dan peraturan keselamatan. Apabila menggunakan Direktori Aktif tunggal, semua pengguna dan komputer diedarkan secara hierarki merentas unit organisasi, kepada setiap yang sama dasar kumpulan. Dasar membenarkan anda menetapkan tetapan seragam dan tetapan keselamatan untuk sekumpulan komputer dan pengguna. Apabila komputer atau pengguna baharu ditambahkan pada domain, ia secara automatik menerima tetapan yang mematuhi piawaian korporat yang diterima. Menggunakan dasar, anda boleh menetapkan secara berpusat kepada pengguna pencetak rangkaian, pasang permohonan yang diperlukan, tetapkan tetapan keselamatan penyemak imbas, konfigurasikan aplikasi Microsoft Pejabat.

3. Peningkatan tahap keselamatan maklumat

Menggunakan perkhidmatan Active Directory meningkatkan tahap keselamatan rangkaian dengan ketara. Pertama, ini adalah storan tunggal dan selamat akaun. Dalam persekitaran domain, semua kata laluan pengguna domain disimpan pada pelayan pengawal domain khusus, yang biasanya dilindungi daripada akses luaran. Kedua, apabila menggunakan persekitaran domain, protokol Kerberos digunakan untuk pengesahan, yang jauh lebih selamat daripada NTLM, yang digunakan dalam kumpulan kerja.

4. Integrasi dengan aplikasi perusahaan dan peralatan

Kelebihan besar perkhidmatan Active Directory ialah pematuhannya dengan standard LDAP, yang disokong oleh sistem lain, mis. pelayan mel (Pelayan Pertukaran), pelayan proksi (Pelayan ISA, TMG). Lebih-lebih lagi, ini bukan sahaja perlu produk Microsoft. Kelebihan integrasi ini ialah pengguna tidak perlu mengingati sejumlah besar log masuk dan kata laluan untuk mengakses aplikasi tertentu, dalam semua aplikasi pengguna mempunyai kelayakan yang sama - pengesahannya berlaku dalam satu Active Directory. Pelayan Windows menyediakan protokol RADIUS untuk penyepaduan dengan Active Directory, yang disokong jumlah yang besar peralatan rangkaian. Dengan cara ini adalah mungkin, sebagai contoh, untuk menyediakan pengesahan pengguna domain apabila menyambung melalui VPN dari luar, gunakan Titik Wi-Fi akses kepada syarikat.

5. Storan konfigurasi aplikasi bersatu

Sesetengah aplikasi menyimpan konfigurasi mereka dalam Active Directory, seperti Exchange Server. Penyerahan Perkhidmatan Direktori aktif Direktori adalah keperluan untuk aplikasi ini berfungsi. Menyimpan konfigurasi aplikasi dalam perkhidmatan direktori menawarkan faedah fleksibiliti dan kebolehpercayaan. Sebagai contoh, dalam kes penolakan sepenuhnya Pelayan pertukaran, keseluruhan konfigurasinya akan kekal utuh. Untuk memulihkan fungsi mel korporat, sudah cukup untuk memasang semula Exchange Server dalam mod pemulihan.

Untuk meringkaskan, saya ingin sekali lagi menekankan bahawa perkhidmatan Active Directory adalah nadi kepada infrastruktur IT perusahaan. Sekiranya berlaku kegagalan, keseluruhan rangkaian, semua pelayan, dan kerja semua pengguna akan lumpuh. Tiada siapa yang akan dapat log masuk ke komputer atau mengakses dokumen dan aplikasi mereka. Oleh itu, perkhidmatan direktori mesti direka bentuk dan digunakan dengan teliti, dengan mengambil kira semua nuansa yang mungkin, Sebagai contoh, lebar jalur saluran antara cawangan atau pejabat syarikat (kelajuan log masuk pengguna ke sistem, serta pertukaran data antara pengawal domain, secara langsung bergantung pada ini).



ARTIKEL BERKAITAN