Waarom heeft een organisatie Active Directory nodig? Wat is een domeincontroller

Eén van de mogelijkheden voor het opbouwen van een lokaal netwerk is een netwerkgebaseerd netwerk servers. Dit soort netwerken worden gebruikt wanneer het aantal computers groter is dan 15-20. In een dergelijke situatie is het niet langer ongepast om de zogenaamde te gebruiken werkgroepen, omdat een peer-to-peer-netwerk met zoveel knooppunten niet het noodzakelijke niveau van beheersbaarheid en controle kan bieden. In dit geval is het beter om besturingsfuncties toe te wijzen aan de beheerserver -.

Om de werking van de server te beheren, worden speciale versies van het besturingssysteem met geavanceerde beheerfuncties gebruikt. Voorbeelden daarvan besturingssystemen Zijn Windows-server 2008 of WindowsServer 2012.

Na installatie op aparte computer Voordat het serverbesturingssysteem het werk van het lokale netwerk kan organiseren, moet het bepaalde instellingen maken. Het serverbesturingssysteem is een universeel mechanisme met zeer brede mogelijkheden, of, zoals ze vaak worden genoemd, rollen. Een van deze rollen, en waarschijnlijk de moeilijkste en verantwoordelijkste, is die van. Als u van plan bent om te krijgen efficiënt mechanisme netwerkgebruikersbeheer, het zal in ieder geval moeten worden geconfigureerd.

Het maken van een domeincontroller omvat het installeren van een systeemmechanisme zoals Actieve map– het belangrijkste hulpmiddel voor het aanmaken, configureren en beheren van gebruikers- en computeraccounts op een lokaal netwerk. Daarnaast worden in de regel rollen en direct toegevoegd aan de domeincontroller, waardoor de server een compleet en gebruiksklaar product wordt.

Eén van de absolute voordelen domein systeem is de mogelijkheid om groepsbeleid flexibel te configureren, waarmee u niet alleen de toegang tot de software, maar ook tot de hardware van de computer kunt beperken. U kunt bijvoorbeeld eenvoudig het gebruik van een dvd-station, flashdrives, enz. verbieden. Groepsbeleid start op het moment dat een gebruiker zich aanmeldt bij het netwerk. De gebruiker kan deze beperkingen dus op geen enkele manier omzeilen.

De domeincontroller is het belangrijkste en meest kwetsbare punt van het lokale netwerk, dus het wordt aanbevolen om een ​​back-upcontroller te maken. In dit geval wordt de extra domeincontroller een secundaire domeincontroller genoemd en wordt de primaire domeincontroller de primaire domeincontroller. Synchronisatie van accountgegevens en toegangsrechten vindt periodiek plaats, dus als de primaire controller uitvalt, wordt de secundaire onmiddellijk verbonden en wordt het werk op het netwerk geen seconde onderbroken. Daarnaast is het noodzakelijk om passieve domeinbescherming te bieden door een ononderbroken stroomvoorziening op de server te installeren.

Zoals ze zeggen, "verscheen plotseling uit het niets... ....", niets voorspelde problemen, maar toen begon de hoofddomeincontroller te falen, en terwijl deze nog ademde, besloot ik de rechten van de hoofddomeincontroller te delegeren domein naar een ander.

Om de rol “domain naming master” over te dragen, voert u de volgende stappen uit:

Nadat alle rollen zijn overgedragen, blijft het om de resterende optie te doen: de bewaarder van de globale catalogus. We gaan naar de Directory: "Sites en Services", standaardsite, servers, zoeken de domeincontroller die de belangrijkste is geworden en vinken in de eigenschappen van de NTDS-instellingen het vakje naast de globale catalogus aan. (Afb. 3)

Het resultaat is dat we de roleigenaren voor ons domein hebben gewijzigd. Voor degenen die eindelijk van de oude domeincontroller af moeten, downgraden we deze naar een ledenserver. De eenvoud van de ondernomen acties werpt echter zijn vruchten af ​​in het feit dat de implementatie ervan in een aantal situaties onmogelijk is of in een fout eindigt. In deze gevallen zal ntdsutil.exe ons helpen.

Vrijwillige overdracht van fsmo-rollen voor ntdsutil.exe-consoles.

In het geval dat de overdracht van fsmo-rollen met AD-consoles mislukte, heb ik een very handig hulpprogramma– ntdsutil.exe – onderhoud Directory. Met deze tool kunt u extreme acties uitvoeren - tot aan de gehele AD-database vanaf de back-up die deze zelf heeft gemaakt tijdens de laatste wijziging in AD. U kunt kennismaken met alle mogelijkheden op het gebied van kennis (artikelcode: 255504). IN in dit geval We hebben het over het feit dat u met ntdsutil.exe zowel rollen kunt overdragen als ze kunt "selecteren".

Als we een rol van een bestaande ‘primaire’ domeincontroller willen overdragen naar een ‘back-up’, gaan we naar de ‘primaire’ controller en beginnen we met het overdragen van rollen (opdracht overdracht).

Als we om wat voor reden dan ook geen primaire domeincontroller hebben, of als we niet kunnen inloggen met een beheerdersaccount, loggen we in op de back-updomeincontroller en beginnen we rollen te "selecteren" (opdracht grijpen).

Het geval is dus dat de primaire domeincontroller bestaat en normaal functioneert. Vervolgens gaan we naar de primaire domeincontroller en typen de volgende opdrachten:

ntdsutil.exe

maak verbinding met servernaam (degene aan wie we de rol willen geven)

Als er fouten optreden, moeten we communiceren met de domeincontroller waarmee we verbinding proberen te maken. Als er geen fouten zijn, hebben we met succes verbinding gemaakt met de opgegeven domeincontroller met de rechten van de gebruiker namens wie we de opdrachten invoeren.

Een volledige lijst is beschikbaar door fsmo-onderhoud aan te vragen met behulp van een standaardbord? . Het is tijd om rollen over te dragen. Ik besloot onmiddellijk, zonder na te denken, de rollen over te dragen in de volgorde waarin ze worden aangegeven in de instructies voor ntdsutil en kwam tot de conclusie dat ik de rol van de infrastructuureigenaar niet kon overdragen. Als reactie op een verzoek om een ​​rol over te dragen, kreeg ik een foutmelding: “Er kan geen contact worden opgenomen met de huidige eigenaar van de fsmo-rol.” Ik heb lang naar informatie gezocht en ontdekt dat de meeste mensen die de fase van roloverdracht hebben bereikt, deze fout tegenkomen. Sommigen van hen proberen deze rol met geweld weg te nemen (het werkt niet), sommigen laten alles zoals het is - en leven gelukkig zonder deze rol.

Ik kwam er met vallen en opstaan ​​achter dat bij het overdragen van rollen naar in deze volgorde Een correcte uitvoering van alle stappen is gegarandeerd:

Eigenaar van identificatiegegevens;

De eigenaar van de regeling;

Meester in het benoemen;

Eigenaar van de infrastructuur;

Domeincontroller;

Na succesvolle toegang tot de server ontvangen we een uitnodiging om rollen te beheren (fsmo-onderhoud) en kunnen we beginnen met het overdragen van rollen:

- overdracht domeinnaammaster

Infrastructuurmaster overdragen

Breng de ontdoende meester over

Schemamaster overdragen

Pdc-master overzetten

Na elke uitvoering zou er een verzoek moeten verschijnen met de vraag of we de opgegeven rol echt willen overdragen. naar de opgegeven server. Het resultaat van een succesvolle uitvoering wordt getoond in (Fig. 4).

De rol van de globale catalogusbeheerder wordt gedelegeerd op de manier die in de vorige sectie is beschreven.

Geforceerde toewijzing van fsmo-rollen met ntdsutil.exe.

Het tweede geval is dat we de rol van primair willen toewijzen aan onze back-updomeincontroller. In dit geval verandert er niets - het enige verschil is dat we alle bewerkingen uitvoeren met behulp van seize, maar op de server waarnaar we rollen willen overdragen voor roltoewijzing.

beslag leggen op de naamgeving van meester

beslag leggen op de infrastructuurmeester

grijpen ontdoen meester

schemamaster grijpen

Houd er rekening mee dat als u een rol wegneemt van een domeincontroller die er niet in zit op dit moment, en als het verschijnt, zullen de controllers in conflict komen en kun je problemen in de werking van het domein niet vermijden.

Werk aan fouten.

Het belangrijkste dat niet mag worden vergeten is dat de nieuwe primaire domeincontroller TCP/IP niet voor zichzelf zal repareren: het is nu raadzaam om 127.0.0.1 op te geven als het primaire DNS-adres (en als de oude domeincontroller + DNS ontbreken, dan is het verplicht) je daar in DHCP-server, dan moet je het forceren om het primaire DNS-ip-adres van je nieuwe server door te geven, alle machines doorlopen en deze primaire DNS handmatig aan hen toewijzen; Wijs eventueel hetzelfde IP-adres toe aan de nieuwe domeincontroller als de oude. Nu moet je zien hoe alles werkt en de belangrijkste fouten verwijderen. Om dit te doen, raad ik aan om alle gebeurtenissen op beide controllers te wissen, de logboeken in een map met andere back-ups op te slaan en alle servers opnieuw op te starten. Controleer na het inschakelen zorgvuldig alle gebeurtenislogboeken op waarschuwingen en fouten rollen is de boodschap dat “msdtc de promotie/degradatie van een domeincontroller die heeft plaatsgevonden niet correct kan verwerken.” De oplossing is eenvoudig: vanaf het origineel

Als er nog steeds fouten zijn gerelateerd aan DNS, verwijder dan gewoon alle zones en maak ze handmatig. Dit is vrij eenvoudig: het belangrijkste is het creëren van een masterzone op domeinnaam, opgeslagen in en gerepliceerd naar alle domeincontrollers op het netwerk.

Meer gedetailleerde informatie over DNS-fouten geeft nog een commando:

dcdiag /test:dns

Aan het einde van het verrichte werk kostte het me nog ongeveer 30 minuten om de reden voor het verschijnen van een aantal waarschuwingen te achterhalen - ik ontdekte tijdsynchronisatie, archivering van de globale catalogus en andere dingen waar ik nog nooit aan was toegekomen voor. Nu werkt alles op rolletjes. Het belangrijkste is om te onthouden dat u een back-updomeincontroller moet maken als u de oude domeincontroller uit het netwerk wilt verwijderen.

Wat is een domeincontroller

Een domeincontroller biedt gecentraliseerd beheer van netwerkapparaten, dat wil zeggen domeinen. De controller slaat alle informatie op van de accounts en parameters van netwerkgebruikers. Dit zijn de beveiligingsinstellingen, lokale politiek en vele anderen. Dit is een soort server die de volledige controle heeft specifiek netwerk of netwerkgroep. Een domeincontroller is een soort set speciale software die wordt uitgevoerd diverse diensten Actieve map. De controllers draaien bepaalde besturingssystemen zoals Windows server 2003. Wizard Actieve installaties Met Drive kunt u domeincontrollers maken.

In het Windows NT-besturingssysteem wordt een primaire domeincontroller gebruikt als hoofdserver. Andere gebruikte servers worden gebruikt als back-upcontrollers. Basis PDC-controllers kunnen beslissen diverse taken gerelateerd aan het lidmaatschap van een gebruikersgroep, het maken en wijzigen van wachtwoorden, het toevoegen van gebruikers en vele anderen. Daarna worden de gegevens naar extra BDC-controllers verzonden.

Samba 4-software kan worden gebruikt als domeincontroller als het besturingssysteem is geïnstalleerd Unix-systeem. Deze software ondersteunt ook andere besturingssystemen zoals Windows 2003, 2008, 2003 R2 en 2008 R2. Elk besturingssysteem kan indien nodig worden uitgebreid, afhankelijk van specifieke vereisten en parameters.

Domeincontrollers gebruiken

Domeincontrollers worden door veel organisaties gebruikt waarin computers staan ​​die met elkaar en met het netwerk zijn verbonden. Controllers slaan directorygegevens op en bepalen hoe gebruikers zich aan- en afmelden bij het systeem, en beheren de interacties tussen hen.

Organisaties die een domeincontroller gebruiken, moeten beslissen hoeveel ervan er zullen worden gebruikt, de archivering van gegevens plannen, fysieke veiligheid, serverupdates en andere noodzakelijke taken.

Als het bedrijf of de organisatie klein is en er maar één gebruikt domein netwerk, dan is het voldoende om twee controllers te gebruiken die een hoge stabiliteit, fouttolerantie en hoog niveau beschikbaarheid van het netwerk. In netwerken die in een bepaald aantal sites zijn verdeeld, wordt op elk van hen één controller geïnstalleerd, waardoor de nodige prestaties en betrouwbaarheid worden bereikt. Door op elke site controllers te gebruiken, kan het inloggen van gebruikers veel eenvoudiger en sneller worden gemaakt.

Het netwerkverkeer kan worden geoptimaliseerd; hiervoor moet u de tijd voor replicatie-updates instellen wanneer de belasting van het netwerk minimaal is. Het instellen van replicatie zal uw werk aanzienlijk vereenvoudigen en productiever maken.

U kunt maximale prestaties in de controller bereiken als het domein een globale catalogus is, waarmee u alle objecten voor een bepaald gewicht kunt opvragen. Het is belangrijk om te onthouden dat het inschakelen van de globale catalogus een aanzienlijke toename van het replicatieverkeer met zich meebrengt.

Het is het beste om de hostdomeincontroller niet in te schakelen als er meer dan één domeincontroller wordt gebruikt. Bij het gebruik van een domeincontroller is het erg belangrijk om voor de beveiliging te zorgen, omdat deze vrij toegankelijk wordt voor aanvallers die bezit willen nemen van de gegevens die nodig zijn voor misleiding.

Installatiefuncties extra regelaars domein

Om een ​​hogere betrouwbaarheid bij de werking van het noodzakelijke te bereiken netwerkdiensten, is de installatie van extra domeincontrollers vereist. Hierdoor kun je aanzienlijk meer bereiken hoge stabiliteit, betrouwbaarheid en veiligheid tijdens het gebruik. In dit geval zal de netwerksnelheid aanzienlijk hoger zijn, wat erg is belangrijke parameter voor organisaties die een domeincontroller gebruiken.

Om de domeincontroller correct te laten werken, moet er voorbereidend werk worden gedaan. Het eerste wat u moet doen is de TCP/IP-instellingen controleren. Deze moeten correct zijn ingesteld voor de server. Het belangrijkste is om DNS-namen te controleren op toewijzingen.

Voor een veilige werking van een domeincontroller is het noodzakelijk om het NTFS-bestandssysteem te gebruiken, dat biedt meer hoge beveiliging in vergelijking met FAT 32-bestandssystemen. Om op de server te installeren, moet u één partitie aanmaken bestandssysteem NTFS waarop het zich zal bevinden systeemvolume. Toegang tot de DNS-server vanaf de server is ook vereist. DNS-service geïnstalleerd op deze of extra server, die bronrecords moet ondersteunen.

Om een ​​domeincontroller goed te configureren, kunt u gebruik maken van de Configuratiewizard, waarmee u specifieke rollen kunt toevoegen. Om dit te doen, moet u via het controlepaneel naar het beheergedeelte gaan. U moet een domeincontroller opgeven als serverrol.

Tegenwoordig is een domeincontroller onmisbaar voor netwerken en sites die worden gebruikt door verschillende organisaties, instellingen en bedrijven op alle gebieden van menselijke activiteit. Dankzij dit zijn hoge productiviteit en veiligheid verzekerd, wat computernetwerken heeft een speciale betekenis. De rol van een domeincontroller is erg belangrijk omdat u hiermee domeingebieden kunt beheren die op computernetwerken zijn gebouwd. Elk besturingssysteem heeft bepaalde nuances die verband houden met de werking van domeincontrollers, maar het principe en het doel ervan zijn overal hetzelfde, dus het begrijpen van de instellingen is niet zo moeilijk als het in het begin lijkt. Om dit uiteindelijk te kunnen realiseren is het echter van groot belang dat domeincontrollers door specialisten worden geconfigureerd hoge prestaties en veiligheid tijdens het werk.

Windows Server 2003 en vervolgens, zodra u er zeker van bent dat deze servers goed opstarten en geen problemen ondervinden, kunt u beginnen met het maken van domeincontrollers (DC's) en andere systeemservers. Bovendien kunt u, als u tegelijk met uw besturingssysteem een ​​upgrade uitvoert van uw hardware, uw gebruikelijke hardwareleverancier Windows Server 2003 vooraf laten installeren zonder dat u domeincontrollers een naam hoeft te geven en te configureren.

De eerste domeincontroller (DC) in een nieuw domein installeren

Om Active Directory (AD) te installeren, opent u Uw server beheren vanuit het menu Start en klikt u op Een rol toevoegen of verwijderen om de wizard Uw server configureren te starten. Selecteer in het venster Serverrol Domeincontroller (Active Directory) om de Active Directory-installatiewizard te starten. Klik op de knop Volgende om door te gaan met de wizard volgende instructies om uw eerste DC te installeren.

  1. In het venster Type domeincontroller selecteert u Domeincontroller voor een nieuw domein.
  2. Klik in het venster Nieuw domein maken op Domein in een nieuw forest.
  3. Voer op de pagina Nieuwe domeinnaam de volledig gekwalificeerde domeinnaam (FQDN) in voor dit nieuwe domein. (Dat wil zeggen: voer bedrijfsnaam.com in, maar niet bedrijfsnaam.)
  4. Controleer in het venster NetBIOS Domain Name de NetBIOS-naam (maar niet de FQDN).
  5. Ga in het venster Database- en logmappen akkoord met een locatie voor de database- en logmappen, of klik op de knop Bladeren om een ​​andere locatie te selecteren als u een reden hebt om een ​​andere map te gebruiken.
  6. In het venster Gedeeld Systeemvolume(Shared System Volume) accepteer de locatie van de Sysvol-map of klik op de knop Bladeren om een ​​andere locatie te selecteren.
  7. In het venster DNS-registratiediagnostiek DNS-registratie), controleer of dit het geval zal zijn bestaande server DNS die geschikt is voor dit forest, of als er geen DNS-server is, selecteert u de optie om DNS op deze server te installeren en configureren.
  8. Selecteer in het venster Machtigingen een van de de volgende opties bevoegdheden (afhankelijk van Windows-versies op clientcomputers die toegang hebben tot deze DC).
    • Machtigingen compatibel met besturingssystemen vóór Windows 2000.
    • Machtigingen die alleen compatibel zijn met de besturingssystemen Windows 2000 of Windows Server 2003.
  9. Bekijk de informatie in het Samenvatting-venster en als u iets wilt wijzigen, klikt u op de knop Terug om uw opties te wijzigen. Als alles in orde is, klikt u op de knop Volgende om de installatie te starten.

Nadat u alle bestanden naar uw harde schijf start uw computer opnieuw op.

Andere domeincontrollers (DC's) installeren in het nieuwe domein

U kunt een willekeurig aantal andere DC's toevoegen aan uw domein. Als u een bestaande lidserver naar een DC converteert, moet u er rekening mee houden dat veel configuratie-opties zullen verdwijnen. In dit geval worden bijvoorbeeld lokale gebruikersaccounts verwijderd en cryptografische sleutels. Als deze lidserver bestanden heeft opgeslagen met behulp van EFS, moet u de codering uitschakelen. Nadat u de codering hebt verwijderd, moet u deze bestanden eigenlijk naar een andere computer verplaatsen.

Als u andere DC's in uw nieuwe domein wilt maken en configureren, voert u de Active Directory-installatiewizard uit, zoals beschreven in de vorige sectie. Volg daarna de stappen van deze wizard met behulp van de volgende aanwijzingen.

  1. In het venster Type domeincontroller selecteert u Extra domeincontroller voor een bestaand domein.
  2. Voer in het venster Netwerkreferenties de gebruikersnaam, het wachtwoord en het domein in die aangeven welk gebruikersaccount u voor deze taak wilt gebruiken.
  3. Voer in het venster Extra domeincontroller de volledig gekwalificeerde DNS-naam van het bestaande domein in, waar deze server wordt een domeincontroller.
  4. Ga in het venster Database- en logmappen akkoord met een locatie voor de database- en logmappen, of klik op de knop Bladeren om een ​​andere locatie dan de standaardinstelling te selecteren.
  5. Ga in het venster Gedeeld systeemvolume akkoord met de locatie van de map Sysvol of klik op de knop Bladeren om een ​​andere locatie te selecteren.
  6. Voer in het venster Directory Services Herstelmodus Beheerderwachtwoord het wachtwoord in en bevestig dit dat u wilt toewijzen aan de beheerdersaccount voor deze server. (Dit account wordt gebruikt als de computer opstart in de Directory Services-herstelmodus.)
  7. Bekijk de informatie in het Samenvatting-venster en als alles in orde is, klikt u op de knop Volgende om de installatie te starten. Klik op de knop Terug als u instellingen wilt wijzigen.

De systeemconfiguratie wordt aangepast aan de vereisten voor de domeincontroller en de eerste replicatie wordt gestart. Na het kopiëren van de gegevens (dit kan enige tijd duren en als uw computer zich op een veilige locatie bevindt, kunt u een pauze nemen), klikt u op de knop Voltooien in het laatste venster van de wizard en start u uw computer opnieuw op. Na het opnieuw opstarten verschijnt het venster Configure Your Server Wizard, waarin wordt aangekondigd dat uw computer nu een domeincontroller is. Klik op de knop Voltooien om de wizard te voltooien, of klik op een van de links in dit venster om de wizard te voltooien aanvullende informatie over ondersteuning voor domeincontrollers.

Extra domeincontrollers (DC's) maken door te herstellen vanaf een back-up

U kunt snel extra Windows Server 2003 DC's maken in hetzelfde domein als een bestaande DC door een actieve Windows Server 2003 DC te herstellen vanaf een back-up. Hiervoor zijn slechts drie stappen nodig (die in de volgende secties worden beschreven).

  1. Systeemstatusback-up van een bestaande Windows Server 2003 DC (laten we het ServerOne noemen) in hetzelfde domein.
  2. Het herstellen van de systeemstatus naar een andere locatie, d.w.z. op Windows-computer Server 2003, waarvan u een domeincontroller wilt maken (laten we het ServerTwo noemen).
  3. Promoot de doelserver (in dit geval ServerTwo) naar DC met behulp van de opdracht DCPROMO /adv die u op de opdrachtregel invoert.

Deze volgorde kan in alle scenario's worden toegepast: het installeren van een nieuw Windows-domein Server 2003, Windows 2000-domeinupgrade en Windows NT-domeinupgrade. Nadat u Windows Server 2003 op een computer hebt geïnstalleerd, kunt u met deze methode van die computer een domeincontroller (DC) maken.

Dit is vooral handig als uw domein meerdere sites bevat en uw DC's overal naartoe worden gerepliceerd mondiaal netwerk(WAN), wat veel langzamer is dan het overbrengen van gegevens Ethernet-kabel. Wanneer een nieuwe DC op een externe locatie wordt geïnstalleerd, duurt de eerste replicatie erg lang. Bij deze methode Deze eerste replicatie is niet langer nodig en daaropvolgende replicaties kopiëren alleen de wijzigingen (wat veel minder tijd kost).

In de volgende secties vindt u instructies voor het maken van een DC met behulp van deze methode.

Voer Ntbackup.exe uit (via het menu Systeembeheer of het dialoogvenster Uitvoeren) en selecteer de volgende opties in de wizardvensters.

  1. Selecteer Back-up maken van bestanden en instellingen.
  2. Selecteer Laat mij kiezen waarvan ik een back-up wil maken.
  3. Schakel het selectievakje Systeemstatus in.
  4. Selecteer een locatie en naam voor het back-upbestand. Ik heb een gedeeld netwerkpunt gebruikt en het bestand DCmodel.bkf genoemd (back-upbestanden hebben de naamextensie .bkf).
  5. Klik op de knop Voltooien.

Ntbackup maakt een back-up van de systeemstatus naar de locatie die u opgeeft. U moet toegang krijgen tot deze back-up vanaf de doelcomputers, dus de eenvoudigste manier is om een ​​netwerkshare te gebruiken of het back-upbestand naar de doelcomputer te schrijven. CD-R-schijf.

Herstellen van de systeemstatus op de doelcomputer

Om de systeemstatus te herstellen op de Windows Server 2003-computer waarop u een domeincontroller wilt maken, gaat u naar die computer (deze moet toegang hebben tot het back-upbestand dat u op uw computer hebt gemaakt). broncomputer). Voer Ntbackup.exe uit op deze computer en selecteer de volgende opties in de wizardvensters.

  1. Selecteer Bestanden en instellingen herstellen.
  2. Geef de locatie van het back-upbestand op.
  3. Schakel het selectievakje Systeemstatus in.
  4. Klik op de knop Geavanceerd.
  5. Selecteer Alternatieve locatie in de vervolgkeuzelijst en voer een locatie op uw lokale harde schijf in (u kunt bijvoorbeeld een map maken met de naam ADRestore op station C).
  6. Selecteer de optie Bestaande bestanden vervangen.
  7. Schakel de selectievakjes Beveiligingsinstellingen herstellen en Bestaande volumekoppelpunten behouden in. bestaande punten volumesteunen).
  8. Klik op de knop Voltooien.

Ntbackup herstelt de systeemstatus in vijf submappen op de locatie die u opgeeft in de wizard. De namen van deze mappen komen overeen met de volgende namen van systeemstatuscomponenten:

  • Active Directory (database- en logbestanden)
  • Sysvol (beleid en scripts)
  • Opstartbestanden
  • Register
  • COM+-klasseregistratiedatabase

Als u het DCPROMO-programma uitvoert met de nieuwe schakeloptie /adv, zoekt het naar deze submappen.

Voer in het dialoogvenster Uitvoeren dcpromo /adv in om de Active Directory-installatiewizard te starten. Gebruik de volgende instructies om uw selecties te maken in elk venster van deze wizard.

  1. Selecteer de optie Extra domeincontroller voor het verlaten van het domein.
  2. Selecteer de optie Van deze herstelde back-upbestanden en geef de locatie op lokale schijf waar u wilt herstellen reservekopie. Dit zou de locatie moeten zijn waar de vijf bovenstaande submappen zich bevinden.
  3. Als de bron-DC bevat mondiale catalogus, verschijnt er een wizardvenster waarin u wordt gevraagd of u de globale catalogus op deze DC wilt plaatsen. Selecteer Ja of Nee, afhankelijk van uw configuratieplannen. Het DC-aanmaakproces gaat iets sneller als u Ja selecteert, maar u kunt besluiten dat u de globale catalogus slechts op één DC wilt behouden.
  4. Voer de referenties in waarmee u dit werk kunt doen (beheerdersnaam en wachtwoord).
  5. Voer de naam in van het domein waarin deze DC zal opereren. Dit moet een domein zijn waarvan de bron-DC lid is.
  6. Voer de locaties in voor de Active Directory-database en logboeken (de standaardlocaties zijn het beste).
  7. Voer de locatie voor SYSVOL in (en het is het beste om hier de standaardlocatie te gebruiken).
  8. Voer een beheerderswachtwoord in dat u kunt gebruiken als u deze computer moet opstarten in de Directory Services-herstelmodus.
  9. Klik op de knop Voltooien.

Dcpromo zal deze server promoveren tot een domeincontroller met behulp van de gegevens in de herstelde bestanden, wat betekent dat u niet hoeft te wachten totdat elk Active Directory-object is gerepliceerd van de bestaande DC naar deze nieuwe DC. Als er objecten worden gewijzigd, toegevoegd of verwijderd nadat u dit proces hebt gestart, is dit de volgende keer dat u repliceert een kwestie van seconden voor de nieuwe DC.

Zodra dit proces is voltooid, start u uw computer opnieuw op. Vervolgens kunt u de mappen verwijderen die de herstelde back-up bevatten.

Omdat ik kleine bedrijven van binnenuit goed ken, ben ik altijd geïnteresseerd geweest in de volgende vragen. Leg uit waarom een ​​medewerker op zijn werkcomputer de browser moet gebruiken die de systeembeheerder leuk vindt? Of neem een ​​andere software, bijvoorbeeld dezelfde archiver, e-mailclient, klant instant berichten... Ik zinspeel zachtjes op standaardisatie, en niet op basis van de persoonlijke sympathie van de systeembeheerder, maar op basis van de toereikendheid van functionaliteit, de kosten van onderhoud en ondersteuning hiervan softwareproducten. Laten we IT gaan beschouwen als een exacte wetenschap, en niet als een ambacht, waarbij iedereen doet waar hij goed in is. Nogmaals, ook in kleine bedrijven zijn hier veel problemen mee. Stel je voor dat een bedrijf in een moeilijke crisistijd meerdere van deze beheerders verandert, wat moeten arme gebruikers in zo'n situatie doen? Voortdurend bijscholen?

Laten we vanaf de andere kant kijken. Elke manager moet begrijpen wat er momenteel in zijn bedrijf (ook in de IT) gebeurt. Dit is nodig om de huidige situatie te monitoren en snel te kunnen reageren op het ontstaan ​​van verschillende soorten problemen. Maar dit inzicht is belangrijker voor strategische planning. Met een sterke en betrouwbare basis kunnen we immers een huis bouwen met 3 of 5 verdiepingen, een dak met verschillende vormen maken, balkons of een wintertuin maken. Op dezelfde manier hebben we in de IT een betrouwbare basis: we kunnen later complexere producten en technologieën gebruiken om bedrijfsproblemen op te lossen.

Het eerste artikel gaat over een dergelijke basis: Active Directory-services. Ze zijn ontworpen om een ​​sterke basis te vormen voor de IT-infrastructuur van een bedrijf van elke omvang en elk activiteitengebied. Wat is het? Dus laten we hierover praten...

Laten we het gesprek beginnen met eenvoudige concepten– Active Directory-domein en services.

Domein is de belangrijkste administratieve eenheid in netwerk infrastructuur onderneming, die alle netwerkobjecten omvat, zoals gebruikers, computers, printers, gedeelde bronnen en nog veel meer. De verzameling van dergelijke domeinen wordt een forest genoemd.

Active Directory-services (Active Directory-services) zijn een gedistribueerde database die alle domeinobjecten bevat. De Active Directory-domeinomgeving biedt één enkel authenticatie- en autorisatiepunt voor gebruikers en applicaties in de hele onderneming. Met de organisatie van een domein en de implementatie van Active Directory-services begint de constructie van een zakelijke IT-infrastructuur.

De Active Directory-database wordt opgeslagen op speciale servers – domeincontrollers. Active Directory Services is een serverbesturingsrol Microsoft-systemen Windows-server. Active Directory Services heeft volop mogelijkheden schaalvergroting. IN bos Actief Directory kan worden aangemaakt met meer dan 2 miljard objecten, waardoor het mogelijk is een directoryservice te implementeren in bedrijven met honderdduizenden computers en gebruikers. Hiërarchische structuur domeinen kunt u de IT-infrastructuur flexibel schalen naar alle vestigingen en regionale afdelingen van bedrijven. Voor elke vestiging of divisie van een bedrijf kan een apart domein worden aangemaakt, met eigen beleid, eigen gebruikers en groepen. Voor elk onderliggend domein kan de administratieve bevoegdheid worden gedelegeerd aan lokale systeembeheerders. Tegelijkertijd zijn onderliggende domeinen nog steeds ondergeschikt aan hun ouders.

Daarnaast, Actieve diensten Met Directory kunt u configureren vertrouwensrelatie tussen domeinbossen. Elk bedrijf heeft zijn eigen woud aan domeinen, elk met zijn eigen middelen. Maar soms moet u toegang verlenen tot uw bedrijfsmiddelen werknemers van een ander bedrijf - waarmee ze samenwerken algemene documenten en toepassingen binnen gezamenlijk project. Om dit te doen kunnen vertrouwensrelaties tussen organisatieforesten worden opgezet, waardoor medewerkers van de ene organisatie kunnen inloggen op het domein van een andere organisatie.

Om fouttolerantie voor Active Directory-services te garanderen, moet u in elk domein twee of meer domeincontrollers implementeren. Alle wijzigingen worden automatisch gerepliceerd tussen domeincontrollers. Als een van de domeincontrollers uitvalt, wordt de functionaliteit van het netwerk niet beïnvloed, omdat de overige blijven werken. Extra niveau Fouttolerantie zorgt ervoor dat DNS-servers op domeincontrollers in Active Directory worden geplaatst, waardoor elk domein meerdere DNS-servers kan hebben die de hoofddomeinzone bedienen. En als een van de DNS-servers uitvalt, blijven de anderen werken. We zullen het hebben over de rol en het belang van DNS-servers in de IT-infrastructuur in een van de artikelen in de serie.

Maar dat is alles technische aspecten implementatie en onderhoud van Active Directory-diensten. Laten we het eens hebben over de voordelen die een bedrijf krijgt als het afstapt van peer-to-peer-netwerken en het gebruik van werkgroepen.

1. Eén authenticatiepunt

IN werkgroep op elke computer of server moet u handmatig toevoegen volledige lijst gebruikers die netwerktoegang nodig hebben. Als een van de medewerkers plotseling zijn wachtwoord wil wijzigen, dan zal dit op alle computers en servers moeten worden gewijzigd. Het is goed als het netwerk uit 10 computers bestaat, maar wat als het er meer zijn? Bij gebruik domein Actief Directory slaat alle gebruikersaccounts op in één database en alle computers hebben er toegang toe voor autorisatie. Alle domeingebruikers zijn opgenomen in de juiste groepen, bijvoorbeeld 'Boekhouding', 'Financiële afdeling'. Het volstaat om één keer machtigingen voor bepaalde groepen in te stellen, en alle gebruikers hebben de juiste toegang tot documenten en applicaties. Als een nieuwe medewerker bij het bedrijf komt, wordt er een account voor hem aangemaakt, dat in de juiste groep wordt opgenomen: de medewerker krijgt toegang tot alle netwerkbronnen waartoe hij toegang zou moeten krijgen. Als een medewerker ontslag neemt, blokkeer hem dan gewoon en hij verliest onmiddellijk de toegang tot alle bronnen (computers, documenten, applicaties).

2. Eén punt voor beleidsbeheer

In een werkgroep hebben alle computers gelijke rechten. Geen van de computers kan de ander besturen; het is onmogelijk om toezicht te houden op de naleving van uniform beleid en beveiligingsregels. Bij gebruik van één Active Directory worden alle gebruikers en computers hiërarchisch verdeeld organisatorische eenheden, voor elk hetzelfde groepsbeleid. Met beleid kunt u uniforme instellingen en beveiligingsinstellingen instellen voor een groep computers en gebruikers. Wanneer een nieuwe computer of gebruiker aan een domein wordt toegevoegd, ontvangt deze automatisch instellingen die voldoen aan geaccepteerde bedrijfsstandaarden. Met behulp van beleid kunt u centraal gebruikers toewijzen netwerkprinters, installeren vereiste toepassingen, browserbeveiligingsinstellingen instellen, configureren Microsoft-applicaties Kantoor.

3. Verhoogd niveau informatiebeveiliging

Het gebruik van Active Directory-services verhoogt het niveau van netwerkbeveiliging aanzienlijk. Ten eerste is dit een enkele en veilige opslag rekeningen. In een domeinomgeving worden alle wachtwoorden van domeingebruikers opgeslagen op speciale domeincontrollerservers, waartegen ze doorgaans beschermd zijn externe toegang. Ten tweede wordt bij gebruik van een domeinomgeving het Kerberos-protocol gebruikt voor authenticatie, wat veel veiliger is dan NTLM, dat in werkgroepen wordt gebruikt.

4. Integratie met zakelijke toepassingen en uitrusting

Een groot voordeel van Active Directory-services is dat ze voldoen aan de LDAP-standaard, die door andere systemen wordt ondersteund, b.v. mailservers (Exchange-server), proxyservers (ISA Server, TMG). Bovendien is dit niet alleen nodig Microsoft-producten. Het voordeel van deze integratie is dat de gebruiker niets hoeft te onthouden groot aantal logins en wachtwoorden om toegang te krijgen tot een bepaalde applicatie, in alle applicaties heeft de gebruiker dezelfde inloggegevens - zijn authenticatie vindt plaats in een enkele Active Directory. Windows Server biedt het RADIUS-protocol voor integratie met Active Directory, dat wordt ondersteund een groot aantal netwerkapparatuur. Op deze manier is het bijvoorbeeld mogelijk om authenticatie te verzorgen domein gebruikers gebruik bij verbinding via VPN van buitenaf Wi-Fi-punten toegang tot het bedrijf.

5. Uniforme opslag van applicatieconfiguratie

Sommige applicaties slaan hun configuratie op in Active Directory, zoals Exchange Server. Service-implementatie Actieve mappen Directory is een vereiste om deze toepassingen te laten werken. Het opslaan van de applicatieconfiguratie in een directoryservice biedt voordelen op het gebied van flexibiliteit en betrouwbaarheid. Bijvoorbeeld in het geval volledige mislukking Exchange-server, blijft de volledige configuratie intact. Om de functionaliteit te herstellen zakelijke post, is het voldoende om Exchange Server opnieuw te installeren in de herstelmodus.

Samenvattend zou ik nogmaals willen benadrukken dat Active Directory-services het hart vormen van de IT-infrastructuur van een onderneming. Bij een storing zal het hele netwerk, alle servers en het werk van alle gebruikers lamgelegd worden. Niemand kan inloggen op de computer of toegang krijgen tot zijn documenten en applicaties. Daarom moet een directoryservice zorgvuldig worden ontworpen en geïmplementeerd, waarbij met alle factoren rekening wordt gehouden mogelijke nuances, Bijvoorbeeld, bandbreedte kanalen tussen filialen of kantoren van een bedrijf (de snelheid waarmee gebruikers inloggen op het systeem, evenals de gegevensuitwisseling tussen domeincontrollers, hangt hiervan rechtstreeks af).



GERELATEERDE ARTIKELEN