Memasang pengawal domain ialah bahagian penting rangkaian komputer, pada asasnya mengawal operasinya. Tugas utamanya ialah menjalankan perkhidmatan Active Directory yang penting. Ia berfungsi dengan pihak berkuasa pengedaran utama - Kerberos.
Juga menyediakan kerja pada sistem yang serasi dengan Unix. Di dalamnya, suite perisian Samba bertindak sebagai pengawal.
Pengawal domain digunakan untuk mencipta rangkaian tempatan di mana pengguna boleh log masuk di bawah nama mereka sendiri dan dengan kelayakan mereka sendiri. Mereka harus melakukan ini pada semua komputer. Selain itu, memasang pengawal domain memastikan bahawa hak akses ditentukan pada rangkaian dan keselamatannya diuruskan. Dengan bantuannya, anda boleh mengurus keseluruhan rangkaian secara berpusat, yang sangat penting.
Pengawal domain juga boleh dijalankan di bawah Windows Server 2003. Beginilah cara mereka menyimpan semua data direktori, mengurus operasi pengguna dan domain, mengawal log masuk pengguna, mengesahkan ketulenan direktori dan sebagainya. Kesemuanya boleh dibuat menggunakan pemasang Active Directory. Ia juga boleh berfungsi pada Windows NT. Di sini, agar ia berfungsi dengan lebih dipercayai, pengawal tambahan dibuat. Ia akan disambungkan kepada pengawal utama.
Terdapat satu pelayan pada rangkaian Windows NT. Ia boleh digunakan untuk mengendalikan pengawal domain utama, atau PDC. Semua pelayan lain berfungsi sebagai pelayan tambahan. Mereka, sebagai contoh, boleh melakukan pengesahan semua pengguna, menyimpan dan mengesahkan kata laluan dan operasi penting lain. Tetapi pada masa yang sama, mereka tidak boleh menambah pengguna baharu pada pelayan, mereka juga tidak boleh menukar kata laluan dan sebagainya, iaitu, menyediakan pengawal domain adalah kurang pelbagai. Operasi ini hanya boleh dilakukan menggunakan PDC. Perubahan yang dibuat kepada mereka kemudiannya boleh disebarkan ke semua domain sandaran. Jika pelayan utama tidak tersedia, maka domain sandaran tidak dapat dinaikkan ke tahap yang utama.
Walau bagaimanapun, anda boleh menyediakan pengawal domain, rangkaian dan meningkatkan tahap domain pada mana-mana komputer dan di rumah. Hikmah ini mudah dipelajari sendiri. Semua alat yang diperlukan untuk ini terletak dalam Panel Kawalan - Tambah atau Alih Keluar Program - Memasang Komponen Sistem. Benar, anda perlu bekerja dengan mereka dengan terlebih dahulu memasang cakera dengan OS dalam komputer anda. Anda boleh meningkatkan peranan komputer anda menggunakan baris arahan dengan memasukkan arahan dcpromo ke dalamnya.
Di samping itu, menyemak pengawal domain dengan mudah boleh dilakukan menggunakan utiliti khusus yang sebenarnya berfungsi dalam mod automatik, iaitu, ia membolehkan anda mendapatkan maklumat yang diperlukan selepas memulakan program dan melaraskan operasi pengawal selepas melakukan diagnostik. Sebagai contoh, anda boleh menggunakan utiliti Ntdsutil.exe, yang menyediakan keupayaan untuk menyambung kepada pengawal domain yang baru dipasang untuk menguji keupayaannya untuk bertindak balas kepada permintaan LDAP. Selain itu, menggunakan perisian ini, adalah mungkin untuk menentukan sama ada pengawal mempunyai maklumat tentang lokasi peranan FSMO dalam domainnya sendiri.
Masih terdapat beberapa cara mudah yang membolehkan anda mendiagnosis operasi pengawal yang betul. Khususnya, anda boleh pergi ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (kunci pendaftaran) dan cari di sana untuk subkunci NTDS, yang kehadirannya menunjukkan fungsi normal pengawal domain. Terdapat kaedah untuk memasukkan akaun bersih dalam baris arahan dan di sana, jika komputer adalah pengawal domain, anda akan melihat nilai BACKUP atau PRIMER dalam baris peranan Komputer tersedia pada komputer mudah.
Apakah pengawal domain
Pengawal domain menyediakan pengurusan berpusat peranti rangkaian, iaitu domain. Pengawal menyimpan semua maklumat daripada akaun dan parameter pengguna rangkaian. Ini ialah tetapan keselamatan, dasar tempatan dan banyak lagi. Ini adalah sejenis pelayan yang mengawal sepenuhnya rangkaian atau kumpulan rangkaian tertentu. Pengawal domain ialah sejenis set perisian khas yang menjalankan pelbagai perkhidmatan Active Directory. Pengawal menjalankan sistem pengendalian tertentu, seperti pelayan Windows 2003. Wizard Persediaan Pemacu Aktif membolehkan anda mencipta pengawal domain.
Dalam sistem pengendalian Windows NT, pengawal domain utama digunakan sebagai pelayan utama. Pelayan lain yang digunakan digunakan sebagai pengawal sandaran. Pengawal PDC asas boleh menyelesaikan pelbagai tugas yang berkaitan dengan keahlian pengguna dalam kumpulan, mencipta dan menukar kata laluan, menambah pengguna dan lain-lain lagi. Selepas itu data dipindahkan ke pengawal BDC tambahan.
Perisian Samba 4 boleh digunakan sebagai pengawal domain jika sistem pengendalian Unix dipasang. Perisian ini juga menyokong sistem pengendalian lain seperti windows 2003, 2008, 2003 R2 dan 2008 R2. Setiap sistem pengendalian boleh dikembangkan jika perlu, bergantung pada keperluan dan parameter tertentu.
Menggunakan Pengawal Domain
Pengawal domain digunakan oleh banyak organisasi di mana komputer berada yang bersambung antara satu sama lain dan ke rangkaian. Pengawal menyimpan data direktori dan mengawal cara pengguna log masuk dan keluar daripada sistem, serta mengurus interaksi antara mereka.
Organisasi yang menggunakan pengawal domain perlu memutuskan bilangan yang akan digunakan, merancang untuk pengarkiban data, keselamatan fizikal, peningkatan pelayan dan tugasan lain yang diperlukan.
Jika sebuah syarikat atau organisasi kecil dan hanya menggunakan satu rangkaian domain, maka sudah memadai untuk menggunakan dua pengawal yang boleh memberikan kestabilan yang tinggi, toleransi kesalahan dan tahap ketersediaan rangkaian yang tinggi. Dalam rangkaian yang dibahagikan kepada beberapa tapak tertentu, satu pengawal dipasang pada setiap daripada mereka, yang membolehkan mencapai prestasi dan kebolehpercayaan yang diperlukan. Dengan menggunakan pengawal pada setiap tapak, log masuk pengguna boleh dibuat dengan lebih mudah dan pantas.
Trafik rangkaian boleh dioptimumkan; untuk melakukan ini, anda perlu menetapkan masa untuk kemas kini replikasi apabila beban pada rangkaian adalah minimum. Menyediakan replikasi akan memudahkan kerja anda dengan ketara dan menjadikannya lebih produktif.
Anda boleh mencapai prestasi maksimum dalam pengawal jika domain itu ialah katalog global, yang membolehkan anda meminta sebarang objek mengikut berat tertentu. Adalah penting untuk diingat bahawa mendayakan katalog global memerlukan peningkatan ketara dalam trafik replikasi.
Adalah lebih baik untuk tidak mendayakan pengawal domain hos jika lebih daripada satu pengawal domain digunakan. Apabila menggunakan pengawal domain, adalah sangat penting untuk menjaga keselamatan, kerana ia menjadi agak mudah diakses oleh penyerang yang ingin mengambil milikan data yang diperlukan untuk penipuan.
Ciri-ciri memasang pengawal domain tambahan
Untuk mencapai kebolehpercayaan yang lebih tinggi dalam pengendalian perkhidmatan rangkaian yang diperlukan, adalah perlu untuk memasang pengawal domain tambahan. Hasilnya, anda boleh mencapai kestabilan, kebolehpercayaan dan keselamatan yang jauh lebih tinggi dalam operasi. Dalam kes ini, prestasi rangkaian akan menjadi lebih tinggi dengan ketara, yang merupakan parameter yang sangat penting untuk organisasi yang menggunakan pengawal domain.
Agar pengawal domain berfungsi dengan betul, beberapa kerja persediaan mesti dilakukan. Perkara pertama yang perlu dilakukan ialah menyemak tetapan TCP/IP, ia mesti ditetapkan dengan betul untuk pelayan. Perkara yang paling penting ialah menyemak nama DNS untuk pemetaan.
Untuk pengendalian pengawal domain yang selamat, anda mesti menggunakan sistem fail NTFS, yang menyediakan keselamatan yang lebih tinggi berbanding sistem fail FAT 32 Untuk memasang pada pelayan, anda perlu membuat satu partition dalam sistem fail NTFS, yang akan mengandungi sistem kelantangan. Akses kepada pelayan DNS daripada pelayan juga diperlukan. Perkhidmatan DNS dipasang pada ini atau pelayan tambahan, yang mesti menyokong rekod sumber.
Untuk mengkonfigurasi pengawal domain dengan betul, anda boleh menggunakan Wizard Konfigurasi, yang boleh digunakan untuk menambah peranan tertentu. Untuk melakukan ini, anda perlu pergi ke bahagian pentadbiran melalui panel kawalan. Anda mesti menentukan pengawal domain sebagai peranan pelayan.
Hari ini, pengawal domain amat diperlukan untuk rangkaian dan tapak yang digunakan oleh pelbagai organisasi, institusi dan syarikat dalam semua bidang aktiviti manusia. Terima kasih kepadanya, produktiviti dan keselamatan yang tinggi dipastikan, yang sangat penting dalam rangkaian komputer. Peranan pengawal domain adalah sangat penting kerana ia membolehkan anda mengurus kawasan domain yang dibina pada rangkaian komputer. Setiap sistem pengendalian mempunyai nuansa tertentu yang berkaitan dengan pengendalian pengawal domain, tetapi prinsip dan tujuannya adalah sama di mana-mana, jadi memahami tetapan tidaklah sesukar yang mungkin kelihatan pada mulanya. Walau bagaimanapun, adalah sangat penting bahawa pengawal domain dikonfigurasikan oleh pakar untuk memastikan prestasi tinggi dan keselamatan semasa operasi akhirnya.
UPD: Saya mencipta saluran video di YouTube di mana saya menyiarkan video latihan secara beransur-ansur pada semua bidang IT yang saya mahir, langgan: http://www.youtube.com/user/itsemaev
UPD2: Microsoft secara tradisinya menukar sintaks baris perintah biasa, jadi peranan dalam setiap versi Windows Server mungkin berbeza. Mereka tidak lagi dipanggil fsmo, tetapi induk operasi. Jadi, untuk arahan yang betul dalam konsol selepas penyelenggaraan fsmo, tulis sahaja? dan ia akan menunjukkan kepada anda arahan yang tersedia.
Dalam majalah April saya "System Administrator" mereka mengambil artikel mengenai topik "Penggantian tanpa rasa sakit bagi pengawal domain yang sudah lapuk atau gagal berdasarkan Windows Server"
Dan mereka juga membayar seratus dolar dan memberi saya satu beg otak)) Saya kini Onotole.
Gantikan pengawal domain Windows Server yang lapuk atau gagal tanpa rasa sakit.(jika ada yang memerlukannya, saya akan menghantar gambar kepada anda)
Jika pengawal domain anda telah gagal atau sudah lapuk sepenuhnya dan memerlukan penggantian, jangan tergesa-gesa merancang untuk menghabiskan hujung minggu seterusnya mencipta domain baharu pada pelayan baharu dan dengan bersusah payah memindahkan mesin pengguna kepadanya. Pengurusan pengawal domain sandaran yang betul akan membantu anda menggantikan pelayan sebelumnya dengan cepat dan tanpa rasa sakit.
Hampir setiap pentadbir yang bekerja dengan pelayan berasaskan Windows, lambat laun, berhadapan dengan keperluan untuk menggantikan pengawal domain utama yang sudah lapuk sepenuhnya, peningkatan selanjutnya yang tidak lagi masuk akal, dengan yang baharu yang lebih memenuhi keperluan moden. Terdapat situasi yang lebih teruk - pengawal domain menjadi tidak boleh digunakan kerana kerosakan pada tahap fizikal, dan sandaran serta imej sudah lapuk atau hilang
Pada dasarnya, penerangan mengenai prosedur untuk menggantikan satu pengawal domain dengan yang lain boleh didapati di pelbagai forum, tetapi maklumat diberikan dalam serpihan dan, sebagai peraturan, hanya terpakai untuk situasi tertentu, tetapi tidak memberikan penyelesaian sebenar. Di samping itu, walaupun selepas membaca banyak forum, pangkalan pengetahuan dan sumber lain dalam bahasa Inggeris, saya dapat dengan cekap menjalankan prosedur untuk menggantikan pengawal domain tanpa ralat hanya untuk kali ketiga atau keempat.
Oleh itu, saya ingin memberikan arahan langkah demi langkah untuk menggantikan pengawal domain, tidak kira sama ada ia beroperasi atau tidak. Satu-satunya perbezaan ialah sekiranya pengawal "jatuh", artikel ini hanya akan membantu jika anda berhati-hati terlebih dahulu dan menggunakan pengawal domain sandaran.
Menyediakan pelayan untuk kenaikan pangkat/turun pangkat
Prosedur untuk mencipta pengawal domain sandaran adalah mudah - kami hanya menjalankan wizard dcpromo pada mana-mana pelayan pada rangkaian. Menggunakan wizard dcpromo, kami mencipta pengawal domain dalam domain sedia ada. Hasil daripada manipulasi ini, kami mendapat perkhidmatan direktori AD yang digunakan pada pelayan tambahan kami (saya akan memanggilnya pserver, dan pengawal utama - dcserver).
Seterusnya, jika dcpromo sendiri tidak mencadangkannya, kami mula memasang pelayan DNS. Anda tidak perlu menukar sebarang tetapan, anda juga tidak perlu membuat zon - ia disimpan dalam AD, dan semua rekod direplikasi secara automatik kepada pengawal sandaran. Perhatian - zon utama dalam DNS akan muncul hanya selepas replikasi, untuk mempercepatkan pelayan boleh but semula. Dalam tetapan TCP/IP kad rangkaian pengawal domain sandaran, alamat pelayan DNS utama mesti menunjukkan alamat IP pengawal domain utama.
Kini anda boleh menyemak kefungsian pengawal domain sandaran dengan mudah. Kami boleh mencipta pengguna domain pada kedua-dua pengawal domain utama dan sandaran. Sejurus selepas penciptaan, ia muncul pada pelayan pendua, tetapi dalam masa seminit (semasa replikasi sedang berlaku) ia ditunjukkan sebagai dilumpuhkan, selepas itu ia mula kelihatan sama pada kedua-dua pengawal.
Pada pandangan pertama, semua langkah untuk mencipta skema kerja untuk interaksi beberapa pengawal domain telah selesai, dan kini, jika pengawal domain "utama" gagal, pengawal "sandaran" akan melaksanakan fungsinya secara automatik. Walau bagaimanapun, walaupun perbezaan antara pengawal domain "utama" dan "sandaran" adalah nominal semata-mata, pengawal domain "utama" mempunyai beberapa ciri (peranan FSMO) yang tidak boleh dilupakan. Oleh itu, operasi di atas tidak mencukupi untuk fungsi normal perkhidmatan direktori apabila pengawal domain "utama" gagal, dan tindakan yang mesti dilakukan untuk memindahkan/merebut peranan pengawal domain utama dengan cekap akan diterangkan di bawah.
Sedikit teori
Anda perlu tahu bahawa pengawal domain Active Directory melaksanakan beberapa jenis peranan. Peranan ini dipanggil FSMO (Operasi induk tunggal yang fleksibel):
- Induk Skema (Induk Skema) - peranan bertanggungjawab ke atas keupayaan untuk menukar skema - contohnya, menggunakan pelayan Exchange atau pelayan ISA. Jika pemilik peranan tidak tersedia, anda tidak akan dapat menukar skema domain sedia ada;
- Induk Penamaan Domain (Induk operasi penamaan domain) - peranan diperlukan jika terdapat beberapa domain atau subdomain dalam hutan domain anda. Tanpanya, ia tidak mungkin untuk mencipta dan memadam domain dalam hutan domain tunggal;
- Relative ID Master (Relative ID Master) - bertanggungjawab untuk mencipta ID unik untuk setiap objek AD;
- Emulator Pengawal Domain Utama - ia bertanggungjawab untuk bekerja dengan akaun pengguna dan dasar keselamatan. Kekurangan komunikasi dengannya membolehkan anda log masuk ke stesen kerja dengan kata laluan lama, yang tidak boleh diubah jika pengawal domain "jatuh";
- Sarjana Infrastruktur (Master Infrastruktur) - peranan bertanggungjawab untuk menghantar maklumat tentang objek AD kepada pengawal domain lain di seluruh hutan.
Peranan ini ditulis dengan terperinci yang mencukupi dalam banyak pangkalan pengetahuan, tetapi peranan utama hampir selalu dilupakan - ini ialah peranan Katalog Global. Sebenarnya, direktori ini hanya melancarkan perkhidmatan LDAP pada port 3268, tetapi ketidakbolehaksesannya tidak akan membenarkan pengguna domain log masuk ke sistem. Apa yang patut diberi perhatian ialah semua pengawal domain boleh mempunyai peranan katalog global pada masa yang sama.
Malah, kami boleh membuat kesimpulan bahawa jika anda mempunyai domain primitif untuk 30-50 mesin, tanpa infrastruktur lanjutan, yang tidak termasuk subdomain, maka anda mungkin tidak menyedari kekurangan akses kepada pemilik/pemilik dua peranan pertama. Di samping itu, beberapa kali saya menemui organisasi yang telah beroperasi selama lebih daripada setahun tanpa pengawal domain sama sekali, tetapi pada infrastruktur domain. Iaitu, semua hak telah diedarkan lama dahulu, dengan pengawal domain berjalan, dan tidak perlu ditukar pengguna tidak menukar kata laluan mereka dan bekerja dengan senyap.
Tentukan pemilik peranan fsmo semasa.
Biar saya jelaskan - kami bijak mahu menggantikan pengawal domain tanpa kehilangan sebarang keupayaannya. Sekiranya terdapat dua atau lebih pengawal dalam domain, kita perlu mengetahui siapa yang memiliki setiap peranan fsmo. Ini agak mudah dilakukan menggunakan arahan berikut:
pelayan dsquery -hasfsmo skema
pelayan dsquery - nama hasfsmo
pelayan dsquery - hasfsmo rid
pelayan dsquery - hasfsmo pdc
pelayan dsquery - hasfsmo infr
pelayan dsquery -hutan -isgc
Setiap arahan memaparkan maklumat tentang siapa pemilik peranan yang diminta (Gamb. 1). Dalam kes kami, pemilik semua peranan ialah dcserver pengawal domain utama.
Pemindahan sukarela peranan fsmo menggunakan konsol Active Directory.
Kami mempunyai semua maklumat yang diperlukan untuk memindahkan peranan PDC. Mari kita mulakan: mula-mula kita perlu memastikan bahawa akaun kita disertakan dalam kumpulan Pentadbir Domain, Pentadbir Skema dan Pentadbir Perusahaan, dan kemudian teruskan ke kaedah fsmo tradisional untuk memindahkan peranan - mengurus domain melalui konsol Active Directory.
Untuk memindahkan peranan "tuan penamaan domain", lakukan langkah berikut:
- buka "Domain dan Amanah Direktori Aktif" pada pengawal domain dari mana kami ingin memindahkan peranan. Jika kami bekerja dengan AD pada pengawal domain yang kami ingin pindahkan peranannya, maka kami melangkau titik seterusnya;
- klik kanan pada Active Directory - ikon Domain dan Amanah dan pilih arahan pengawal Sambung ke domain. Kami memilih pengawal domain yang kami ingin pindahkan peranannya;
- klik kanan komponen Active Directory - Domain dan Amanah dan pilih perintah Master Operasi;
- dalam kotak dialog Pemilik Operasi Tukar, klik butang Tukar (Gamb. 2).
- selepas respons afirmatif kepada permintaan pop timbul, kami menerima peranan yang berjaya dipindahkan.
Begitu juga, anda boleh menggunakan konsol Pengguna dan Komputer Direktori Aktif untuk memindahkan peranan RID Master, PDC dan Infrastructure Master.
Untuk memindahkan peranan "induk skema", anda mesti mendaftarkan perpustakaan pengurusan skema Direktori Aktif dalam sistem dahulu:
Selepas semua peranan telah dipindahkan, ia masih perlu berurusan dengan pilihan yang tinggal - penjaga katalog global. Kami pergi ke Direktori Aktif: "Tapak dan Perkhidmatan", tapak lalai, pelayan, cari pengawal domain yang telah menjadi yang utama, dan dalam sifat tetapan NTDSnya, tandai kotak di sebelah katalog global. (Gamb. 3)
Hasilnya ialah kami menukar pemilik peranan untuk domain kami. Bagi mereka yang akhirnya perlu menyingkirkan pengawal domain lama, kami menurunkan tarafnya kepada pelayan ahli. Walau bagaimanapun, kesederhanaan tindakan yang diambil membuahkan hasil kerana pelaksanaannya dalam beberapa situasi adalah mustahil, atau berakhir dengan ralat. Dalam kes ini, ntdsutil.exe akan membantu kami.
Pemindahan sukarela peranan fsmo menggunakan konsol ntdsutil.exe.
Sekiranya pemindahan peranan fsmo menggunakan konsol AD gagal, Microsoft telah mencipta utiliti yang sangat mudah - ntdsutil.exe - program penyelenggaraan direktori Active Directory. Alat ini membolehkan anda melakukan tindakan yang sangat berguna - malah memulihkan keseluruhan pangkalan data AD daripada sandaran yang dibuat oleh utiliti itu sendiri semasa perubahan terakhir kepada AD. Semua keupayaannya boleh didapati dalam pangkalan pengetahuan Microsoft (Kod artikel: 255504). Dalam kes ini, kita bercakap tentang hakikat bahawa utiliti ntdsutil.exe membolehkan anda memindahkan kedua-dua peranan dan "memilih" mereka.
Jika kami ingin memindahkan peranan daripada pengawal domain "utama" sedia ada kepada "sandaran", kami log masuk ke pengawal "utama" dan mula memindahkan peranan (perintah pemindahan).
Jika atas sebab tertentu kami tidak mempunyai pengawal domain utama, atau kami tidak boleh log masuk dengan akaun pentadbiran, kami log masuk ke pengawal domain sandaran dan mula "memilih" peranan (merebut arahan).
Jadi kes pertama ialah pengawal domain utama wujud dan berfungsi secara normal. Kemudian kita pergi ke pengawal domain utama dan taip arahan berikut:
ntdsutil.exe
peranan
sambungan
sambung ke pelayan server_name (orang yang kami ingin berikan peranan)
q
Jika ralat muncul, kami perlu menyemak sambungan dengan pengawal domain yang kami cuba sambungkan. Jika tiada ralat, maka kami telah berjaya menyambung ke pengawal domain yang ditentukan dengan hak pengguna yang bagi pihak kami memasukkan arahan.
Senarai lengkap arahan tersedia selepas meminta penyelenggaraan fsmo menggunakan tanda standard? . Masa telah tiba untuk memindahkan peranan. Saya segera, tanpa berfikir, memutuskan untuk memindahkan peranan dalam susunan yang ditunjukkan dalam arahan untuk ntdsutil dan membuat kesimpulan bahawa saya tidak dapat memindahkan peranan pemilik infrastruktur. Sebagai tindak balas kepada permintaan untuk memindahkan peranan, ralat telah dikembalikan kepada saya: "pemilik semasa peranan fsmo tidak boleh dihubungi." Saya mencari maklumat di Internet untuk masa yang lama dan mendapati bahawa kebanyakan orang yang telah mencapai tahap pemindahan peranan menghadapi ralat ini. Sesetengah daripada mereka cuba mengambil secara paksa peranan ini (ia tidak berfungsi), ada yang meninggalkan segala-galanya seperti sedia ada - dan hidup bahagia tanpa peranan ini.
Melalui percubaan dan kesilapan, saya mendapati bahawa apabila memindahkan peranan dalam susunan ini, penyempurnaan semua langkah yang betul dijamin:
- pemilik pengecam;
- pemilik skim;
- pakar penamaan;
- pemilik infrastruktur;
- pengawal domain;
Selepas berjaya menyambung ke pelayan, kami menerima jemputan untuk mengurus peranan (penyelenggaraan fsmo), dan kami boleh mula memindahkan peranan:
- pindahkan induk penamaan domain
- pemindahan tuan infrastruktur
- pindahkan rid master
- induk skema pemindahan
- pindahkan tuan pdc
Selepas melaksanakan setiap arahan, permintaan akan muncul bertanya sama ada kita benar-benar mahu memindahkan peranan yang ditentukan ke pelayan yang ditentukan. Keputusan pelaksanaan arahan yang berjaya ditunjukkan dalam Rajah 4.
Peranan penjaga katalog global diwakilkan mengikut cara yang diterangkan dalam bahagian sebelumnya.
Memaksa peranan fsmo menggunakan ntdsutil.exe.
Kes kedua ialah kami ingin memberikan peranan utama kepada pengawal domain sandaran kami. Dalam kes ini, tiada apa-apa perubahan - satu-satunya perbezaan ialah kami menjalankan semua operasi menggunakan arahan rampas, tetapi pada pelayan yang kami ingin pindahkan peranan untuk menetapkan peranan.
rampas induk penamaan domain
rampas tuan infrastruktur
rampaslah tuan
rampas tuan skema
rampas pdc
Sila ambil perhatian bahawa jika anda mengambil peranan daripada pengawal domain yang tiada pada masa ini, maka apabila ia muncul pada rangkaian, pengawal akan mula bercanggah dan anda tidak boleh mengelakkan masalah dalam fungsi domain.
Bekerja pada kesilapan.
Perkara yang paling penting yang tidak boleh dilupakan ialah pengawal domain utama baharu tidak akan membetulkan tetapan TCP/IP dengan sendirinya: kini dinasihatkan untuk menetapkan 127.0.0.1 sebagai alamat pelayan DNS utama (dan jika pengawal domain lama + pelayan DNS tidak hadir, maka ia adalah wajib).
Lebih-lebih lagi, jika anda mempunyai pelayan DHCP pada rangkaian anda, maka anda perlu memaksanya untuk memberikan alamat pelayan DNS utama ip pelayan baharu anda, jika tiada DHCP, pergi melalui semua mesin dan tetapkan utama ini DNS kepada mereka secara manual. Sebagai alternatif, anda boleh menetapkan ip yang sama kepada pengawal domain baharu seperti yang lama.
Kini anda perlu menyemak bagaimana semuanya berfungsi dan menyingkirkan ralat utama. Untuk melakukan ini, saya cadangkan memadamkan semua acara pada kedua-dua pengawal, menyimpan log ke folder dengan sandaran lain dan but semula semua pelayan.
Selepas menghidupkannya, kami menganalisis semua log peristiwa dengan teliti untuk amaran dan ralat.
Amaran yang paling biasa selepas memindahkan peranan kepada fsmo ialah mesej bahawa "msdtc tidak dapat mengendalikan promosi/penurunan pangkat pengawal domain yang telah berlaku dengan betul."
Penyelesaiannya mudah: dalam menu "Pentadbiran" kami dapati "Perkhidmatan"
komponen". Di sana kami membuka "Perkhidmatan Komponen", "Komputer", buka sifat bahagian "Komputer Saya", cari "MS DTC" di sana dan klik "Tetapan Keselamatan" di sana. Di sana kami membenarkan "Akses ke rangkaian DTC" dan klik OK. Perkhidmatan akan dimulakan semula dan amaran akan hilang.
Contoh ralat ialah mesej bahawa zon DNS utama tidak boleh dimuatkan atau pelayan DNS tidak melihat pengawal domain.
Anda boleh memahami masalah fungsi domain menggunakan utiliti (Gamb. 5):
Anda boleh memasang utiliti ini daripada cakera Windows 2003 asal daripada folder /support/tools. Utiliti membolehkan anda menyemak kefungsian semua perkhidmatan pengawal domain setiap peringkat mesti berakhir dengan perkataan yang berjaya diluluskan. Jika anda gagal (selalunya ini adalah ujian sambungan atau log sistem), maka anda boleh cuba memulihkan ralat secara automatik:
dcdiag /v /fix
Sebagai peraturan, semua ralat berkaitan DNS akan hilang. Jika tidak, gunakan utiliti untuk menyemak status semua perkhidmatan rangkaian:
Dan alat penyahpepijatan ralat yang berguna:
netdiag /v /fix
Jika selepas ini masih terdapat ralat berkaitan DNS, cara paling mudah ialah membuang semua zon daripadanya dan menciptanya secara manual. Ia agak mudah - perkara utama ialah mencipta zon induk mengikut nama domain, disimpan dalam Active Directory dan direplikasi kepada semua pengawal domain pada rangkaian.
Perintah lain akan memberikan maklumat yang lebih terperinci tentang ralat DNS:
dcdiag /test:dns
Pada akhir kerja yang dilakukan, saya mengambil masa kira-kira 30 minit lagi untuk mengetahui sebab munculnya beberapa amaran - Saya mengetahui penyegerakan masa, mengarkibkan katalog global dan perkara lain yang tidak pernah saya ketahui. sebelum ini. Kini semuanya berfungsi seperti jam - perkara yang paling penting ialah ingat untuk mencipta pengawal domain sandaran jika anda ingin mengalih keluar pengawal domain lama daripada rangkaian.
Tanpa menggunakan banyak jargon teknikal, pengawal domain ialah pelayan yang menyokong Active Directory. Mereka menyimpan maklumat tentang akaun pengguna dan komputer yang merupakan ahli domain, skema dan salinan pangkalan data Active Directory mereka sendiri yang sedar rekod. Selain itu, pengawal domain bertindak sebagai komponen keselamatan pusat dalam domain. Organisasi sedemikian membolehkan anda mengkonfigurasi dasar keselamatan secara fleksibel dalam rangkaian korporat, serta membenarkan atau, sebaliknya, menafikan kumpulan pengguna tertentu mengakses sumber tertentu.
Fungsi asas pengawal domain:
- Menyimpan salinan lengkap maklumat Active Directory yang berkaitan dengan domain tertentu, mengurus dan mereplikasi maklumat ini kepada pengawal lain yang disertakan dalam domain ini;
- Replikasi maklumat direktori yang berkaitan dengan semua objek dalam domain Active Directory;
- Penyelesaian konflik replikasi apabila atribut yang sama ditukar pada pengawal yang berbeza sebelum replikasi dimulakan.
Faedah perniagaan
Kelebihan sistem berpusat berdasarkan pengawal domain:
- Pangkalan data tunggal untuk pengesahan. Pengawal domain menyimpan semua akaun dalam satu pangkalan data dan setiap pengguna yang merupakan sebahagian daripada domain komputer menghubungi pengawal domain untuk log masuk. Membahagikan pengguna kepada kumpulan yang sesuai memudahkan untuk mengatur akses yang diedarkan kepada dokumen dan aplikasi. Oleh itu, apabila pekerja baharu muncul, sudah cukup untuk membuat akaun untuknya dalam kumpulan yang sesuai dan pekerja itu secara automatik akan mendapat akses kepada semua sumber rangkaian dan peranti yang diperlukan. Apabila pekerja keluar, ia cukup untuk menyekat akaunnya untuk membatalkan semua akses.
- Titik tunggal pengurusan dasar. Pengawal domain membolehkan anda mengedarkan komputer dan akaun pengguna ke seluruh unit organisasi dan menggunakan pelbagai dasar kumpulan pada mereka, mentakrifkan tetapan dan tetapan keselamatan untuk sekumpulan komputer dan pengguna (contohnya, akses kepada pencetak rangkaian, satu set aplikasi yang diperlukan, penyemak imbas tetapan, dsb.). Oleh itu, apabila komputer atau pengguna baharu ditambahkan pada domain, ia secara automatik akan menerima semua tetapan dan akses yang ditakrifkan untuk jabatan tertentu.
- Keselamatan. Konfigurasi fleksibel prosedur pengesahan dan kebenaran, digabungkan dengan pengurusan berpusat, boleh meningkatkan keselamatan infrastruktur IT dengan ketara dalam organisasi. Di samping itu, pengawal domain dipasang secara fizikal di tempat khas, dilindungi daripada akses luaran.
- Penyepaduan mudah dengan perkhidmatan lain. Menggunakan pengawal domain sebagai satu titik pengesahan membolehkan pengguna menggunakan akaun yang sama apabila bekerja dengan alatan dan perkhidmatan tambahan (cth perkhidmatan e-mel, program pejabat, proksi, pemesej segera, dsb.).
tetapan
Pengawal domain berdasarkan Perkhidmatan Domain Direktori Aktif ialah elemen utama infrastruktur IT, menyediakan kawalan akses serta perlindungan data dalam organisasi. Fungsi bukan sahaja pengawal domain itu sendiri, tetapi juga Direktori Aktif secara keseluruhan (contohnya, pengedaran dasar keselamatan dan peraturan akses), yang seterusnya menjejaskan operasi semua perkhidmatan berkaitan dan juga menentukan tahap keselamatan, bergantung pada konfigurasi yang betul bagi pengawal domain. Pilih pembangun terbaik dalam bahagian tersebut.
Saya mempunyai keperluan untuk menggunakan perkhidmatan Active Directory di lokasi yang dipisahkan secara geografi, yang rangkaiannya disambungkan menggunakan vpn. Pada pandangan pertama, tugas itu kelihatan mudah, tetapi secara peribadi, saya tidak pernah berurusan dengan perkara sedemikian sebelum ini dan dengan carian pantas saya tidak dapat mencari sebarang gambar atau pelan tindakan dalam kes ini. Saya terpaksa mengumpul maklumat daripada sumber yang berbeza dan memikirkan tetapan itu sendiri.
Dari artikel ini anda akan belajar:
Merancang untuk Pemasangan Direktori Aktif pada Subnet Berbeza
Jadi kita mempunyai dua subnet 10.1.3.0/24 Dan 10.1.4.0/24 , setiap satunya mempunyai bilangan komputer tertentu dan bahagian rangkaian. Kita perlu menggabungkan semua ini menjadi satu domain. Rangkaian disambungkan antara satu sama lain melalui terowong VPN, komputer saling ping di kedua-dua arah, tiada masalah dengan akses rangkaian.
Untuk operasi biasa perkhidmatan Active Directory, kami akan memasang pengawal domain dalam setiap subnet dan mengkonfigurasi replikasi di antara mereka. Kami akan menggunakan Windows Server 2012R2. Urutan tindakan adalah seperti berikut:
- Kami memasang pengawal domain dalam satu subnet, menaikkan domain baharu padanya dalam hutan baharu
- Pasang pengawal domain dalam subnet kedua dan tambahkannya pada domain
- Menyediakan replikasi antara domain
Pengawal domain pertama akan dipanggil xs-winsrv dengan alamat 10.1.3.4 , kedua - xm-winsrv 10.1.4.6. Domain yang akan kami buat akan dipanggil xs.local
Mengkonfigurasi pengawal domain untuk berfungsi pada subnet yang berbeza
Pertama sekali, pasang pengawal domain di hutan baharu pada pelayan pertama xs-winsrv. Saya tidak akan membincangkan perkara ini secara terperinci; terdapat banyak tutorial dan arahan mengenai topik ini di Internet. Kami melakukan segala-galanya sebagai standard, memasang perkhidmatan AD, DHCP dan DNS. Kami menentukan alamat IP tempatan sebagai pelayan DNS pertama, dan sebagai yang kedua 127.0.0.1 :
Seterusnya kami memasang Windows Server 2012R2 pada pelayan kedua xm-winsrv. Sekarang kami mengambil beberapa langkah penting, tanpanya ia tidak akan mungkin untuk menambah pelayan kedua pada domain. Kedua-dua pelayan mesti ping satu sama lain mengikut nama. Untuk melakukan ini, tambahkan rekod tentang satu sama lain pada fail C:\Windows\System32\drivers\etc\host.
DALAM xs-winsrv tambah baris:
10.1.4.6 xm-winsrv
DALAM xm-winsrv Tambah:
10.1.3.4 xs-winsrv
Sekarang perkara penting kedua. Pada pelayan xm-winsrv Kami menentukan pengawal domain pertama 10.1.3.4 sebagai pelayan DNS pertama:
Kini kedua-dua pelayan menyelesaikan satu sama lain. Mari kita semak ini terlebih dahulu pada pelayan xm-winsrv, yang akan kami tambahkan pada domain:
Selepas ini pelayan xs-winsrv perlu dipindahkan dari tapak Default-First-Site-Name ke laman web baharu yang dibuat untuknya. Kini anda sudah bersedia untuk menambah pelayan kedua pada domain.
Menambah pengawal domain kedua daripada subnet yang berbeza
Kami pergi ke pelayan xm-winsrv kedua, jalankan Wizard Tambah Peranan dan tambah 3 peranan dengan cara yang sama seperti pada pelayan pertama - AD, DNS, DHCP. Apabila Wizard Konfigurasi Perkhidmatan Domain Direktori Aktif bermula, pilih item pertama di sana - Tambahkan pengawal domain pada domain sedia ada, nyatakan domain kami xs.local:
Dalam langkah seterusnya, dalam parameter pengawal domain, kami menentukan nama tapak yang kami akan lampirkan pengawal:
Biar saya ingatkan anda bahawa ini mestilah tapak yang dilampirkan subnet 10.1.4.0/24. Pengawal pertama dan kedua berakhir di tapak yang berbeza. Jangan lupa tandakan kotak Katalog Global (GC). Kemudian kami meninggalkan semua tetapan pada lalai.
Selepas but semula pelayan, ia akan berada dalam domain xs.local. Anda tidak akan dapat log masuk sebagai pentadbir tempatan anda perlu menggunakan akaun domain. Mari kita semak sama ada replikasi dengan pengawal domain utama telah berlaku dan sama ada rekod DNS telah disegerakkan. Semua ini berjalan lancar untuk saya; pengawal domain kedua mengambil semua pengguna dan rekod DNS dari yang pertama. Pada kedua-dua pelayan, dalam Active-Directory - Sites and Services snap-in, kedua-dua pengawal dipaparkan, setiap satu dalam tapaknya sendiri:
Itu sahaja. Anda boleh menambah komputer di kedua-dua pejabat pada domain.
Saya akan menambah satu lagi perkara penting bagi mereka yang akan mengkonfigurasi semua ini pada mesin maya. Ia adalah perlu untuk melumpuhkan penyegerakan masa dengan hipervisor pada sistem tetamu. Jika ini tidak dilakukan, maka pada satu ketika pengawal domain mungkin menjadi sakit.
Saya harap saya melakukan semuanya dengan betul. Saya tidak mempunyai pengetahuan mendalam tentang replikasi Active Directory. Jika sesiapa mempunyai komen tentang kandungan artikel, tulis mengenainya dalam ulasan. Saya mengumpul semua maklumat terutamanya daripada forum di mana soalan ditanya atau masalah diselesaikan mengenai topik operasi domain yang serupa dalam subnet yang berbeza.
