Pengawal domain dan peranan mereka. Pengawal domain: penetapan dan konfigurasi

Elemen utama berkesan rangkaian korporat ialah pengawal domain Aktif Direktori, yang menguruskan banyak perkhidmatan dan memberikan banyak faedah.

Terdapat dua cara untuk membina infrastruktur IT - standard dan rawak, apabila usaha yang mencukupi minimum dibuat untuk menyelesaikan masalah yang timbul, tanpa membina infrastruktur yang jelas dan boleh dipercayai. Contohnya, membina rangkaian peer-to-peer di seluruh organisasi dan pembukaan akses awam kepada semua fail yang diperlukan dan folder, tanpa keupayaan untuk mengawal tindakan pengguna.

Jelas sekali, laluan ini tidak diingini, kerana pada akhirnya anda perlu membongkar dan menyusun sistem yang huru-hara dengan betul, jika tidak, ia tidak akan dapat berfungsi - dan perniagaan anda bersama-sama dengannya. Oleh itu, lebih cepat anda membuat satu-satunya keputusan yang tepat untuk membina rangkaian korporat dengan pengawal domain, lebih baik untuk perniagaan anda dalam jangka panjang. Dan itulah sebabnya.

"Domain ialah unit asas infrastruktur IT berdasarkan Windows OS, kesatuan logik dan fizikal pelayan, komputer, peralatan dan akaun pengguna."

Pengawal domain (DC) - pelayan berasingan dengan OS Windows Server berjalan Perkhidmatan aktif Direktori melakukan pekerjaan yang mungkin sejumlah besar perisian yang memerlukan CD untuk pentadbiran. Contoh perisian tersebut ialah pelayan mel Exchange, pakej awan Office 365 dan lain-lain. persekitaran perisian peringkat korporat daripada Microsoft.

Selain menyediakan operasi yang betul daripada platform ini, CD memberikan perniagaan dan organisasi kelebihan berikut:

  • Menggunakan Pelayan Terminal. membolehkan anda menjimatkan sumber dan usaha dengan ketara dengan menggantikan kemas kini berterusan PC pejabat dengan pelaburan sekali sahaja dalam penempatan " pelanggan kurus” untuk menyambung ke pelayan awan yang berkuasa.
  • Peningkatan keselamatan. CD membolehkan anda menetapkan dasar penciptaan kata laluan dan memaksa pengguna untuk menggunakan lebih banyak lagi kata laluan yang kompleks daripada tarikh lahir anda, qwerty atau 12345.
  • Kawalan hak akses berpusat. Sebaliknya kemas kini manual kata laluan pada setiap komputer secara berasingan, pentadbir CD boleh menukar semua kata laluan secara berpusat dalam satu operasi daripada satu komputer.
  • Pengurusan dasar kumpulan berpusat. Alat Active Directory membolehkan anda membuat dasar kumpulan dan tetapkan hak akses kepada fail, folder dan lain-lain sumber rangkaian untuk kumpulan pengguna tertentu. Ini sangat memudahkan penyediaan akaun pengguna baharu atau menukar tetapan profil sedia ada.
  • Kemasukan lewat. Active Directory menyokong log masuk lulus, apabila apabila memasukkan nama pengguna dan kata laluan anda untuk domain, pengguna disambungkan secara automatik ke semua perkhidmatan lain seperti mel dan Office 365.
  • Mencipta templat persediaan komputer. Menyediakan setiap satu komputer berasingan apabila ditambahkan pada rangkaian korporat, ia boleh diautomatikkan menggunakan templat. Contohnya, menggunakan peraturan khas, pemacu CD atau port USB boleh dilumpuhkan secara berpusat, tertentu port rangkaian dan sebagainya. Jadi sebaliknya tetapan manual baru stesen kerja, pentadbir hanya memasukkannya dalam kumpulan tertentu dan semua peraturan untuk kumpulan itu akan digunakan secara automatik.

Seperti yang anda lihat, menyediakan pengawal domain Active Directory membawa banyak kemudahan dan faedah kepada perniagaan dan organisasi dari semua saiz.

Bila hendak melaksanakan pengawal domain Direktori Aktif dalam rangkaian korporat?

Kami mengesyorkan agar anda mempertimbangkan untuk menyediakan pengawal domain untuk syarikat anda apabila anda mempunyai lebih daripada 10 komputer yang disambungkan ke rangkaian, kerana adalah lebih mudah untuk menetapkan dasar yang diperlukan untuk 10 mesin berbanding 50. Selain itu, kerana pelayan ini tidak melaksanakan tugas intensif sumber terutamanya, Komputer meja yang berkuasa mungkin sesuai untuk peranan ini.

Walau bagaimanapun, adalah penting untuk diingat bahawa pelayan ini akan menyimpan kata laluan akses kepada sumber rangkaian dan pangkalan data pengguna domain, skim hak pengguna dan dasar kumpulan. Perlu berkembang pelayan sandaran dengan penyalinan data yang berterusan untuk memastikan kesinambungan operasi pengawal domain, dan ini boleh dilakukan dengan lebih cepat, lebih mudah dan lebih dipercayai menggunakan virtualisasi pelayan disediakan apabila mengehos rangkaian korporat dalam awan. Ini mengelakkan masalah berikut:

  • Tetapan pelayan DNS yang salah, yang membawa kepada ralat dalam lokasi sumber pada rangkaian korporat dan di Internet
  • Kumpulan keselamatan yang dikonfigurasikan dengan salah membawa kepada ralat dalam hak akses pengguna kepada sumber rangkaian
  • Versi OS yang salah. setiap satu Versi aktif Sokongan direktori versi tertentu OS Windows desktop untuk klien tipis
  • Ketiadaan atau tetapan yang salah penyalinan data automatik kepada pengawal domain sandaran.

Pengawal domain ialah pelayan yang menyokong Active Directory. Setiap pengawal domain mempunyai salinan pangkalan data Active Directory yang boleh ditulis sendiri. Pengawal domain bertindak sebagai komponen keselamatan pusat dalam domain.

Semua operasi keselamatan dan pengesahan akaun dilakukan pada pengawal domain. Setiap domain mesti mempunyai sekurang-kurangnya satu pengawal domain. Untuk memastikan toleransi ralat, anda disyorkan untuk memasang sekurang-kurangnya dua pengawal domain untuk setiap domain.

Dalam sistem pengendalian Windows NT, hanya satu pengawal domain menyokong penulisan pangkalan data, bermakna sambungan kepada pengawal domain diperlukan untuk mencipta dan menukar tetapan akaun pengguna.

Pengawal ini dipanggil pengawal domain utama (PDC). Bermula dengan sistem pengendalian Windows 2000, seni bina pengawal domain telah direka bentuk semula untuk menyediakan keupayaan untuk mengemas kini pangkalan data Active Directory pada mana-mana pengawal domain. Selepas mengemas kini pangkalan data pada satu pengawal domain, perubahan telah direplikasi kepada semua pengawal lain.

Walaupun semua pengawal domain menyokong penulisan pangkalan data, mereka tidak sama. Domain Direktori Aktif dan hutan mempunyai tugas yang dilakukan oleh pengawal domain tertentu. Pengawal domain dengan tanggungjawab tambahan dikenali sebagai tuan operasi. Dalam sesetengah bahan Microsoft, sistem sedemikian dipanggil Operasi Induk Tunggal Fleksibel (FSMO). Ramai yang percaya bahawa istilah FSMO telah digunakan untuk sekian lama sahaja kerana akronim itu kedengaran sangat lucu apabila disebut.

Terdapat lima peranan induk operasi. Secara lalai, semua lima peranan dikeluarkan kepada pengawal domain pertama dalam hutan Aktif Direktori. Tiga peranan induk operasi digunakan pada peringkat domain dan diberikan kepada pengawal domain pertama dalam domain yang dibuat. Utiliti Active Directory, yang dibincangkan seterusnya, membolehkan anda memindahkan peranan induk operasi daripada satu pengawal domain ke pengawal domain yang lain. Di samping itu, anda boleh memaksa pengawal domain untuk mengambil alih peranan khusus sebagai tuan operasi.

Terdapat dua peranan induk operasi yang beroperasi di peringkat hutan.

  • Induk penamaan domain- Induk operasi ini mesti dihubungi setiap kali perubahan penamaan dibuat dalam hierarki domain hutan. Tugas tuan penamaan domain adalah untuk memastikan bahawa nama domain adalah unik dalam hutan. Peranan induk operasi ini mesti tersedia semasa membuat domain baharu, memadamkan domain atau menamakan semula domain
  • Sarjana skema- peranan induk skema dimiliki oleh satu-satunya pengawal domain dalam hutan di mana perubahan boleh dibuat pada skema. Setelah perubahan dibuat, ia direplikasi kepada semua pengawal domain lain dalam hutan. Sebagai contoh keperluan untuk membuat perubahan pada litar, pertimbangkan untuk memasang produk perisian Microsoft Exchange Pelayan. Ini menukar skema untuk membenarkan pentadbir mengurus akaun pengguna dan peti mel secara serentak

Setiap peranan peringkat hutan hanya boleh dimiliki oleh satu pengawal domain dalam hutan. Iaitu, anda boleh menggunakan satu pengawal sebagai induk penamaan domain, dan pengawal kedua sebagai induk skema. Selain itu, kedua-dua peranan boleh diberikan kepada pengawal domain yang sama. Ini ialah pengagihan peranan lalai.

Setiap domain dalam hutan mempunyai pengawal domain yang melaksanakan setiap peranan peringkat domain.

  • Induk Pengecam Relatif (Induk RID)- Induk pengecam relatif bertanggungjawab untuk memberikan pengecam relatif. Pengecam relatif ialah bahagian unik ID Keselamatan (SID) yang digunakan untuk mengenal pasti objek keselamatan (pengguna, komputer, kumpulan, dll.) dalam domain. Salah satu tugas utama induk pengecam relatif ialah mengalih keluar objek daripada satu domain dan menambah objek ke domain lain apabila memindahkan objek antara domain.
  • Sarjana infrastruktur- tugas pemilik infrastruktur adalah untuk menyegerakkan keahlian kumpulan. Apabila perubahan dibuat pada komposisi kumpulan, pemilik infrastruktur memberitahu semua pengawal domain lain tentang perubahan tersebut.
  • Emulator Pengawal Domain Utama (Emulator PDC)- peranan ini digunakan untuk meniru pengawal utama domain Windows Sokongan NT 4 pengawal sandaran Domain Windows NT 4 Satu lagi tugas emulator pengawal domain utama ialah menyediakan titik tengah mentadbir perubahan pada kata laluan pengguna, serta dasar menyekat pengguna.

Perkataan "dasar" digunakan agak kerap dalam bahagian ini untuk merujuk kepada objek dasar kumpulan (GPO). Objek Dasar Kumpulan adalah salah satu yang utama ciri yang berguna Active Directory dan dibincangkan dalam artikel yang sepadan, pautannya disediakan di bawah.

Memahami perniagaan kecil dari dalam, saya sentiasa berminat dengan soalan berikut. Terangkan mengapa pekerja harus menggunakan penyemak imbas yang disukai oleh pentadbir sistem pada komputer kerjanya? Atau ambil yang lain perisian, sebagai contoh, arkib yang sama, klien mel, klien mesej segera... Saya dengan lembut membayangkan penyeragaman, bukan berdasarkan simpati peribadi pentadbir sistem, tetapi berdasarkan kecukupan fungsi, kos penyelenggaraan dan sokongan produk perisian ini. Mari kita mula menganggap IT sebagai sains tepat, dan bukan sebagai kerajinan, apabila semua orang melakukan sesuka hati. Sekali lagi, terdapat juga banyak masalah dengan ini dalam perniagaan kecil. Bayangkan bahawa sebuah syarikat dalam masa krisis yang sukar mengubah beberapa pentadbir ini, apakah yang perlu dilakukan oleh pengguna miskin dalam situasi sedemikian? Sentiasa melatih semula?

Mari kita lihat dari sisi lain. Mana-mana pengurus harus memahami apa yang sedang berlaku dalam syarikatnya (termasuk dalam IT). Ini adalah perlu untuk memantau keadaan semasa dan bertindak balas segera terhadap kemunculan pelbagai jenis masalah. Tetapi pemahaman ini lebih penting untuk perancangan strategik. Lagipun, mempunyai asas yang kukuh dan boleh dipercayai, kita boleh membina rumah dengan 3 atau 5 tingkat, membuat bumbung dalam bentuk yang berbeza, membuat balkoni atau taman musim sejuk. Begitu juga, dalam IT, kami mempunyai asas yang boleh dipercayai - kami boleh menggunakan produk dan teknologi yang lebih kompleks untuk menyelesaikan masalah perniagaan.

Artikel pertama akan bercakap tentang asas sedemikian - perkhidmatan Active Directory. Mereka direka bentuk untuk menjadi asas yang kukuh untuk infrastruktur IT syarikat dalam sebarang saiz dan mana-mana bidang aktiviti. Apa ini? Jadi mari kita bercakap tentang ini...

Mari kita mulakan perbualan dengan konsep mudah– Domain dan perkhidmatan Direktori Aktif.

Domain merupakan unit pentadbiran utama di infrastruktur rangkaian perusahaan, yang merangkumi semua objek rangkaian seperti pengguna, komputer, pencetak, sumber yang dikongsi dan banyak lagi. Pengumpulan domain tersebut dipanggil hutan.

Perkhidmatan Direktori Aktif (Perkhidmatan Direktori Aktif) ialah pangkalan data teragih yang mengandungi semua objek domain. Persekitaran domain Active Directory menyediakan satu titik pengesahan dan kebenaran untuk pengguna dan aplikasi di seluruh perusahaan. Dengan organisasi domain dan penggunaan perkhidmatan Active Directory, pembinaan infrastruktur IT perusahaan bermula.

Pangkalan data Active Directory disimpan pada pelayan khusus – pengawal domain. Perkhidmatan Direktori Aktif ialah peranan sistem pengendalian pelayan sistem Microsoft Pelayan Windows. Perkhidmatan Direktori Aktif mempunyai peluang yang banyak penskalaan. Lebih daripada 2 bilion objek boleh dicipta dalam hutan Active Directory, membolehkan perkhidmatan direktori dilaksanakan dalam syarikat yang mempunyai ratusan ribu komputer dan pengguna. Struktur hierarki domain membolehkan anda menskalakan infrastruktur IT secara fleksibel kepada semua cawangan dan bahagian serantau syarikat. Untuk setiap cawangan atau bahagian syarikat, domain yang berasingan boleh dibuat, dengan dasarnya sendiri, pengguna dan kumpulannya sendiri. Bagi setiap domain kanak-kanak, kuasa pentadbiran boleh diwakilkan kepada tempatan pentadbir sistem. Pada masa yang sama, domain kanak-kanak masih berada di bawah ibu bapa mereka.

Di samping itu, Perkhidmatan Direktori Aktif membolehkan anda mengkonfigurasi hubungan percaya antara hutan domain. Setiap syarikat mempunyai hutan domain sendiri, masing-masing mempunyai sumber sendiri. Tetapi kadangkala anda perlu menyediakan akses kepada anda sumber korporat pekerja syarikat lain - bekerja dengan dokumen am dan aplikasi dalam projek bersama. Untuk melakukan ini, hubungan kepercayaan boleh disediakan antara hutan organisasi, yang akan membolehkan pekerja satu organisasi melog masuk ke domain yang lain.

Untuk memastikan toleransi kesalahan untuk perkhidmatan Active Directory, anda mesti menggunakan dua atau lebih pengawal domain dalam setiap domain. Semua perubahan direplikasi secara automatik antara pengawal domain. Jika salah satu pengawal domain gagal, kefungsian rangkaian tidak terjejas, kerana yang selebihnya terus berfungsi. Tahap ketahanan tambahan disediakan dengan meletakkan pelayan DNS pada pengawal domain dalam Active Directory, yang membolehkan setiap domain mempunyai berbilang pelayan DNS yang melayani zon utama domain. Dan jika salah satu pelayan DNS gagal, yang lain akan terus berfungsi. Kami akan bercakap tentang peranan dan kepentingan pelayan DNS dalam infrastruktur IT dalam salah satu artikel dalam siri ini.

Tetapi itu sahaja aspek teknikal pelaksanaan dan penyelenggaraan perkhidmatan Active Directory. Mari kita bincangkan tentang faedah yang diperoleh syarikat dengan menjauhkan diri daripada rangkaian peer-to-peer dan menggunakan kumpulan kerja.

1. Titik tunggal pengesahan

DALAM kerja berkumpulan pada setiap komputer atau pelayan yang anda perlu tambah secara manual senarai penuh pengguna yang memerlukan akses rangkaian. Jika tiba-tiba salah seorang pekerja ingin menukar kata laluannya, maka ia perlu ditukar pada semua komputer dan pelayan. Bagus jika rangkaian terdiri daripada 10 komputer, tetapi bagaimana jika lebih banyak? Apabila menggunakan domain Active Directory, semua akaun pengguna disimpan dalam satu pangkalan data dan semua komputer melihatnya untuk mendapatkan kebenaran. Semua pengguna domain termasuk dalam kumpulan yang sesuai, contohnya, "Perakaunan", "Jabatan Kewangan". Ia cukup untuk menetapkan kebenaran untuk kumpulan tertentu sekali, dan semua pengguna akan mempunyai akses yang sesuai kepada dokumen dan aplikasi. Jika pekerja baharu menyertai syarikat itu, akaun dibuat untuknya, yang termasuk dalam kumpulan yang sesuai - pekerja itu mendapat akses kepada semua sumber rangkaian yang mana dia harus dibenarkan akses. Jika pekerja berhenti, maka sekat sahaja dia dan dia akan kehilangan akses kepada semua sumber (komputer, dokumen, aplikasi dengan serta-merta).

2. Titik tunggal pengurusan dasar

Dalam kumpulan kerja, semua komputer mempunyai hak yang sama. Tiada komputer boleh mengawal yang lain; adalah mustahil untuk memantau pematuhan dengan dasar seragam dan peraturan keselamatan. Apabila menggunakan Direktori Aktif tunggal, semua pengguna dan komputer diedarkan secara hierarki merentas unit organisasi, bagi setiap dasar kumpulan seragam yang digunakan. Dasar membenarkan anda menetapkan tetapan seragam dan tetapan keselamatan untuk sekumpulan komputer dan pengguna. Apabila komputer atau pengguna baharu ditambahkan pada domain, ia secara automatik menerima tetapan yang mematuhi piawaian korporat yang diterima. Menggunakan dasar, anda boleh menetapkan secara berpusat kepada pengguna pencetak rangkaian, pasang permohonan yang diperlukan, tetapkan tetapan keselamatan penyemak imbas, konfigurasikan aplikasi Microsoft Pejabat.

3. Peningkatan tahap keselamatan maklumat

Menggunakan perkhidmatan Active Directory meningkatkan tahap keselamatan rangkaian dengan ketara. Pertama, ia adalah storan akaun tunggal dan selamat. Dalam persekitaran domain, semua kata laluan pengguna domain disimpan pada pelayan pengawal domain khusus, yang biasanya dilindungi daripada akses luaran. Kedua, apabila menggunakan persekitaran domain, protokol Kerberos digunakan untuk pengesahan, yang jauh lebih selamat daripada NTLM, yang digunakan dalam kumpulan kerja.

4. Integrasi dengan aplikasi perusahaan dan peralatan

Kelebihan besar perkhidmatan Active Directory ialah pematuhannya dengan standard LDAP, yang disokong oleh sistem lain, mis. pelayan mel(Pelayan Exchange), pelayan proksi (Pelayan ISA, TMG). Lebih-lebih lagi, ini bukan sahaja perlu produk Microsoft. Kelebihan penyepaduan sedemikian ialah pengguna tidak perlu mengingati sejumlah besar log masuk dan kata laluan untuk mengakses aplikasi tertentu dalam semua aplikasi pengguna mempunyai kelayakan yang sama - pengesahannya berlaku dalam satu Direktori Aktif; Pelayan Windows menyediakan protokol RADIUS untuk penyepaduan dengan Active Directory, yang disokong jumlah yang besar peralatan rangkaian. Dengan cara ini adalah mungkin, sebagai contoh, untuk menyediakan pengesahan pengguna domain apabila menyambung melalui VPN dari luar, menggunakan Wi-Fi titik akses dalam syarikat.

5. Storan konfigurasi aplikasi bersatu

Sesetengah aplikasi menyimpan konfigurasi mereka dalam Active Directory, seperti Exchange Server. Penggunaan perkhidmatan direktori Active Directory adalah prasyarat untuk aplikasi ini berfungsi. Menyimpan konfigurasi aplikasi dalam perkhidmatan direktori menawarkan faedah fleksibiliti dan kebolehpercayaan. Sebagai contoh, dalam kes kegagalan sepenuhnya Pelayan pertukaran, keseluruhan konfigurasinya akan kekal utuh. Untuk memulihkan fungsi mel korporat, sudah cukup untuk memasang semula Exchange Server dalam mod pemulihan.

Untuk meringkaskan, saya ingin sekali lagi menekankan bahawa perkhidmatan Active Directory adalah nadi kepada infrastruktur IT perusahaan. Sekiranya berlaku kegagalan, keseluruhan rangkaian, semua pelayan, dan kerja semua pengguna akan lumpuh. Tiada siapa yang akan dapat log masuk ke komputer atau mengakses dokumen dan aplikasi mereka. Oleh itu, perkhidmatan direktori mesti direka bentuk dan digunakan dengan teliti, dengan mengambil kira semua nuansa yang mungkin, Sebagai contoh, lebar jalur saluran antara cawangan atau pejabat syarikat (kelajuan log masuk pengguna ke sistem, serta pertukaran data antara pengawal domain, secara langsung bergantung pada ini).

Windows Server 2003 dan kemudian, setelah anda memastikan pelayan ini boot dengan betul dan tiada masalah, anda boleh memulakan tugas mencipta pengawal domain (DC) dan lain-lain pelayan sistem. Selain itu, jika anda menaik taraf perkakasan anda pada masa yang sama dengan menaik taraf sistem pengendalian anda, anda boleh meminta vendor perkakasan biasa anda pra-pasang Windows Server 2003 tanpa perlu menamakan dan mengkonfigurasi pengawal domain.

Memasang pengawal domain (DC) pertama dalam domain baharu

Untuk memasang Active Directory (AD), buka Urus Pelayan Anda daripada Menu mula(Mula) dan klik Tambah atau Buang Peranan untuk melancarkan Wizard Konfigurasi Pelayan Anda. Dalam tetingkap Peranan Pelayan, pilih Pengawal Domain (Direktori Aktif) untuk melancarkan Wizard Pemasangan Direktori Aktif. Klik butang Seterusnya untuk meneruskan melalui wizard, menggunakan arahan berikut untuk memasang DC pertama anda.

  1. Dalam tetingkap Jenis Pengawal Domain, pilih Pengawal Domain Untuk Domain Baharu.
  2. Dalam tetingkap Cipta Domain Baharu, klik Domain dalam hutan baharu.
  3. Pada halaman Nama Domain Baharu, masukkan yang layak sepenuhnya Nama domain(FQDN) untuk domain baharu ini. (Iaitu, masukkan nama syarikat.com tetapi tidak nama syarikat.)
  4. Dalam tetingkap Nama Domain NetBIOS, semak nama NetBIOS (tetapi bukan FQDN).
  5. Dalam tetingkap Pangkalan Data dan Folder Log, bersetuju dengan lokasi untuk pangkalan data dan folder log, atau klik butang Semak Imbas untuk memilih lokasi lain jika anda mempunyai sebab untuk menggunakan folder lain.
  6. Dalam tetingkap Kongsi Kelantangan Sistem(Dikongsi isipadu sistem) terima lokasi folder Sysvol atau klik butang Semak Imbas untuk memilih lokasi lain.
  7. Dalam tetingkap Diagnostik Pendaftaran DNS Pendaftaran DNS), semak jika ada pelayan sedia ada DNS yang sesuai untuk hutan ini, atau jika tiada pelayan DNS, pilih pilihan untuk memasang dan mengkonfigurasi DNS pada pelayan itu.
  8. Dalam tetingkap Kebenaran, pilih salah satu daripada pilihan berikut kebenaran (bergantung pada versi Windows pada komputer pelanggan yang akan mengakses DC ini).
    • Kebenaran serasi dengan sistem pengendalian sebelum Windows 2000.
    • Kebenaran hanya serasi dengan operasi sistem Windows 2000 atau Windows Server 2003.
  9. Semak maklumat tetingkap Ringkasan dan jika anda perlu menukar apa-apa, klik butang Kembali untuk menukar pilihan anda. Jika semuanya ok, klik pada butang Seterusnya untuk memulakan pemasangan.

Selepas menyalin semua fail ke anda HDD mulakan semula komputer anda.

Memasang pengawal domain (DC) lain dalam domain baharu

Anda boleh menambah sebarang bilangan DC lain dalam domain anda. Jika anda menukar pelayan ahli sedia ada kepada DC, maklum bahawa banyak pilihan konfigurasi akan hilang. Sebagai contoh, dalam kes ini, akaun pengguna tempatan akan dipadamkan dan kunci kriptografi. Jika pelayan ahli ini menyimpan fail menggunakan EFS, maka anda mesti melumpuhkan penyulitan. Sebenarnya, selepas anda mengalih keluar penyulitan, anda harus memindahkan fail ini ke komputer lain.

Untuk mencipta dan mengkonfigurasi DC lain dalam domain baharu anda, jalankan Wizard Pemasangan Direktori Aktif seperti yang diterangkan dalam bahagian sebelumnya. Kemudian ikuti langkah wizard ini menggunakan arahan berikut.

  1. Dalam tetingkap Jenis Pengawal Domain, pilih Pengawal Domain Tambahan Untuk Domain Sedia Ada domain sedia ada).
  2. Dalam tetingkap Kredensial Rangkaian, masukkan nama pengguna, kata laluan dan domain yang menunjukkan akaun pengguna yang anda mahu gunakan untuk kerja ini.
  3. Dalam tetingkap Pengawal Domain Tambahan, masukkan nama DNS yang layak sepenuhnya bagi domain sedia ada, di mana pelayan ini akan menjadi pengawal domain.
  4. Dalam tetingkap Pangkalan Data dan Folder Log, bersetuju dengan lokasi untuk pangkalan data dan folder log, atau klik butang Semak Imbas untuk memilih lokasi selain daripada tetapan lalai.
  5. Dalam tetingkap Kelantangan Sistem Dikongsi, bersetuju dengan lokasi folder Sysvol, atau klik butang Semak Imbas untuk memilih lokasi lain.
  6. Dalam tetingkap Kata Laluan Pentadbir Mod Pemulihan Perkhidmatan Direktori, masukkan dan sahkan kata laluan yang anda ingin berikan kepada akaun pentadbir untuk pelayan ini. (Akaun ini digunakan jika komputer but dalam Mod Pemulihan Perkhidmatan Direktori.)
  7. Semak maklumat tetingkap Ringkasan, dan jika semuanya OK, klik butang Seterusnya untuk memulakan pemasangan. Klik butang Kembali jika anda ingin menukar sebarang tetapan.

Konfigurasi sistem disesuaikan dengan keperluan untuk pengawal domain, dan replikasi pertama dimulakan. Selepas menyalin data (ini mungkin mengambil masa masa tertentu, dan jika komputer anda berada di tempat yang selamat, maka anda boleh berehat untuk diri sendiri) klik pada butang Selesai dalam tetingkap terakhir wizard dan mulakan semula komputer anda. Selepas but semula, tetingkap Configure Your Server Wizard muncul, mengumumkan bahawa komputer anda kini menjadi pengawal domain. Klik butang Selesai untuk melengkapkan wizard, atau klik salah satu pautan dalam tetingkap ini untuk mendapatkannya maklumat tambahan tentang sokongan untuk pengawal domain.

Mencipta pengawal domain tambahan (DC) dengan memulihkan daripada sandaran

Anda boleh membuat Windows Server 2003 DC tambahan dengan cepat dalam domain yang sama dengan DC sedia ada dengan memulihkan Windows Server 2003 DC yang sedang berjalan daripada sandaran Ini memerlukan hanya tiga langkah (yang diperincikan dalam bahagian berikut).

  1. Sandaran keadaan sistem bagi Windows Server 2003 DC sedia ada (mari panggil ia ServerOne) dalam domain yang sama.
  2. Memulihkan keadaan sistem ke lokasi lain, i.e. pada komputer Windows Pelayan 2003, yang anda ingin jadikan pengawal domain (mari panggil ia ServerTwo).
  3. Meningkatkan status pelayan sasaran (dalam dalam kes ini ServerTwo) ke peringkat DC menggunakan arahan DCPROMO /adv yang dimasukkan daripada baris arahan.

Urutan ini boleh digunakan dalam semua senario: memasang domain Windows Server 2003 baharu, menaik taraf domain Windows 2000 dan menaik taraf domain Windows NT. Selepas Pemasangan Windows Server 2003 pada mana-mana komputer, anda boleh menjadikan komputer ini sebagai pengawal domain (DC) menggunakan kaedah ini.

Ini amat berguna jika domain anda mengandungi berbilang tapak dan DC anda direplikasi melalui rangkaian kawasan luas (WAN), yang jauh lebih perlahan daripada memindahkan data melalui Kabel Ethernet. Apabila DC baharu dipasang di tapak terpencil, replikasi pertama mengambil masa yang sangat lama. Pada kaedah ini Replikasi pertama ini tidak lagi diperlukan, dan replikasi berikutnya hanya menyalin perubahan (yang mengambil masa yang lebih singkat).

Bahagian berikut menyediakan arahan untuk mencipta DC menggunakan kaedah ini.

Jalankan Ntbackup.exe (daripada menu Alat Pentadbiran atau kotak dialog Jalankan) dan pilih pilihan berikut dalam tetingkap wizard.

  1. Pilih Sandarkan Fail dan Tetapan.
  2. Pilih Biar Saya Pilih Perkara Untuk Disandarkan.
  3. Pilih kotak semak Keadaan Sistem.
  4. Pilih lokasi dan nama untuk fail sandaran. Saya menggunakan titik perkongsian rangkaian dan menamakan fail DCmodel.bkf (fail sandaran mempunyai sambungan nama .bkf).
  5. Klik butang Selesai.

Ntbackup akan membuat sandaran keadaan sistem ke lokasi yang anda tentukan. Anda perlu mengakses sandaran ini daripada komputer sasaran, jadi cara paling mudah ialah menggunakan perkongsian rangkaian atau menulis fail sandaran ke cakera CD-R.

Memulihkan keadaan sistem pada komputer sasaran

Untuk memulihkan keadaan sistem pada komputer Windows Server 2003 yang anda ingin jadikan pengawal domain, pergi ke komputer itu (ia mesti mempunyai akses kepada fail sandaran yang anda buat pada komputer sumber). Jalankan Ntbackup.exe pada komputer ini dan pilih pilihan berikut dalam tetingkap wizard.

  1. Pilih Pulihkan Fail dan Tetapan.
  2. Tentukan lokasi fail sandaran.
  3. Pilih kotak semak Keadaan Sistem.
  4. Klik butang Lanjutan.
  5. Pilih Lokasi Gantian daripada senarai juntai bawah dan masukkan lokasi pada pemacu keras tempatan anda (contohnya, anda boleh mencipta folder bernama ADRestore pada pemacu C).
  6. Pilih pilihan Gantikan Fail Sedia Ada.
  7. Pilih kotak semak Pulihkan Tetapan Keselamatan dan Kekalkan Titik Pelekap Kelantangan Sedia Ada. mata sedia ada lekapan volum).
  8. Klik butang Selesai.

Ntbackup memulihkan keadaan sistem dalam lima subfolder di lokasi yang anda tentukan dalam wizard. Nama folder ini sepadan dengan nama komponen keadaan sistem berikut:

  • Direktori Aktif (pangkalan data dan fail log)
  • Sysvol (dasar dan skrip)
  • Fail But
  • Pendaftaran
  • Pangkalan Data Pendaftaran Kelas COM+

Jika anda menjalankan program DCPROMO dengan suis /adv baharu, ia mencari subfolder ini.

Dalam kotak dialog Jalankan, masukkan dcpromo /adv untuk melancarkan Wizard Pemasangan Direktori Aktif. Gunakan arahan berikut untuk membuat pilihan anda dalam setiap tetingkap wizard ini.

  1. Pilih pilihan Pengawal Domain Tambahan untuk Keluar dari Domain.
  2. Pilih pilihan Daripada Fail Sandaran Dipulihkan Ini dan tentukan lokasi dihidupkan cakera tempatan, di mana anda ingin memulihkan sandaran. Ini sepatutnya menjadi lokasi di mana lima subfolder di atas berada.
  3. Jika sumber DC mengandungi katalog global, tetingkap wizard muncul bertanya sama ada anda mahu meletakkan katalog global pada DC ini. Pilih Ya atau Tidak bergantung pada pelan konfigurasi anda. Proses penciptaan DC akan menjadi lebih pantas sedikit jika anda memilih Ya, tetapi anda mungkin memutuskan bahawa anda hanya mahu menyimpan katalog global pada satu DC.
  4. Masukkan bukti kelayakan yang membolehkan anda melakukan kerja ini (nama pentadbir dan kata laluan).
  5. Masukkan nama domain di mana DC ini akan beroperasi. Ini mestilah domain yang menjadi ahli sumber DC.
  6. Masukkan lokasi untuk pangkalan data dan log Direktori Aktif (lokasi lalai adalah yang terbaik).
  7. Masukkan lokasi untuk SYSVOL (dan sebaiknya gunakan lokasi lalai di sini).
  8. Masukkan kata laluan pentadbir untuk digunakan sekiranya anda perlu boot komputer ini ke Mod Pemulihan Perkhidmatan Direktori.
  9. Klik butang Selesai.

Dcpromo akan mempromosikan pelayan ini kepada pengawal domain menggunakan data yang terkandung dalam fail yang dipulihkan, bermakna anda tidak perlu menunggu untuk setiap objek Active Directory direplikasi daripada DC sedia ada kepada DC baharu ini. Jika mana-mana objek diubah, ditambah atau dipadamkan selepas anda memulakan proses ini, maka pada kali seterusnya anda meniru ia akan memerlukan masa beberapa saat untuk DC baharu.

Setelah proses ini selesai, mulakan semula komputer anda. Anda kemudiannya boleh memadamkan folder yang mengandungi sandaran yang dipulihkan.

Keluarga Windows

Apabila mengatur rangkaian dalam sistem pengendalian Windows, konsep pengawal domain termasuk pelayan yang dipanggil, iaitu, komputer utama atau pusat dalam rangkaian dari mana kerja itu dikawal pelbagai perkhidmatan direktori, dan juga menjadi hos pangkalan data direktori yang sama. Antara lain, pelayan (pengawal domain) menyimpan tetapan yang berkaitan dengan akaun semua pengguna, serta tetapan keselamatan. Dalam kes kedua kita bercakap tentang secara eksklusif mengenai Kedai komputer kepala secara semulajadi maklumat yang diperlukan tentang dasar, kumpulan dan tempatan.

Jika pelayan pertama dipasang di mana-mana organisasi, maka, secara semula jadi, tapak web segera dibuat, serta hutan pertama, dan Active Directory diperlukan untuk dipasang. Pengawal domain yang dikonfigurasikan untuk dijalankan di bawah sistem operasi, menyimpan data dan mengawal selia interaksi antara domain dan pengguna. Dalam kes ini, menyediakan domain pada rangkaian tempatan dijalankan secara langsung menggunakan Aktif Direktori sebagai wizard pemasangan.

Pengawal domain untuk OS Unix

Dalam kes ini organisasi pelayan untuk Linux/Unix OS adalah serasi sepenuhnya dengan piawaian yang diperlukan Semua fungsi yang diperlukan dan berkaitan disediakan pakej perisian Samba (anda boleh menemuinya di tapak web di www.samba.org, serta OpenLDAP (masing-masing www.openldap.org). Seperti semua orang sedia maklum, kelebihan asas Windows yang terkenal ialah ia diedarkan secara percuma, dan, oleh itu, organisasi tidak perlu membelanjakan sejumlah besar wang untuk memasang pengawal domain, katakan, di bawah pelayan tingkap 2003. Lesen untuk produk perisian ini dikehendaki oleh undang-undang untuk dibeli. Dalam kes ini, menyediakan domain pada rangkaian tempatan masalah khas tidak membuat.

Menukar domain untuk tapak web organisasi anda

Sebagai tambahan kepada fakta bahawa sebahagian besar organisasi telah menganjurkan rangkaian tempatan, tetapi satu lagi aspek penting penyelesaian ialah keupayaan untuk mengakses Internet dari mana-mana komputer, termasuk melawati laman web syarikat, yang dalam beberapa cara adalah wajah organisasi. Tetapi kadangkala mungkin terdapat beberapa keperluan untuk melaksanakan tugas seperti memindahkan tapak web ke domain lain. Seperti yang ditunjukkan oleh amalan, terdapat dua sebab utama untuk membuat keputusan sedemikian: yang pertama ialah pemerolehan nama domain yang lebih menarik kepada pelanggan dan pelawat; yang kedua ialah yang lama disenaraihitamkan oleh pelbagai enjin carian.

Untuk menyelesaikan masalah dengan kerugian yang minimum, terutamanya dalam pelawat, adalah disyorkan untuk menggunakan operasi sedemikian sebagai penggabungan domain. Perlu diingat bahawa pelekatan harus digunakan hanya dalam kes-kes yang luar biasa, kerana operasi ini agak panjang dan, yang paling penting, agak menegangkan, walaupun, perlu diperhatikan, ia tidak sukar dari sudut pandangan teknikal.

Menurut majoriti besar pakar, yang paling banyak cara yang berkesan Untuk melakukan operasi seperti memindahkan tapak web ke domain lain, apa yang dipanggil letak kereta domain dalam bentuk cermin digunakan. Aspek positif utama dalam situasi ini ialah pengguna secara praktikal tidak menyedari pelekatan itu. Satu-satunya perkara yang mungkin perlu ialah meninggalkan berita tentang pertukaran alamat untuk pelanggan tetap supaya mereka boleh membuat perubahan pada penanda halaman penyemak imbas mereka. Satu-satunya perkara yang perlu diingat dalam situasi ini ialah keperluan untuk digunakan pautan relatif agar tidak berpindah dari domain ke domain.



ARTIKEL BERKAITAN