Saraka inayotumika ni msingi. Kanuni za kuunda vikoa vya Saraka Inayotumika. Hazina ya usanidi wa programu iliyounganishwa

Huduma Inayotumika Saraka - Huduma ya saraka inayoweza kupanuliwa na inayoweza kupanuka Saraka Inayotumika(Active Directory) hukuruhusu kudhibiti rasilimali za mtandao kwa ufanisi.
Saraka Inayotumika ni hifadhi iliyopangwa kihierarkia ya data kuhusu vitu vya mtandao, ikitoa njia rahisi za kutafuta na kutumia data hii. Kompyuta inayoendesha Active Directory inaitwa kidhibiti cha kikoa. Takriban kazi zote za usimamizi zinahusiana na Active Directory.
Teknolojia ya Active Directory inategemea itifaki za kawaida za Mtandao na husaidia kufafanua kwa uwazi muundo wa mtandao; soma zaidi kuhusu jinsi ya kusambaza kikoa cha Saraka Inayotumika kuanzia mwanzo hapa.

Saraka Inayotumika na DNS

Utumiaji wa Saraka Inayotumika mfumo wa kikoa majina

Kwa kutumia huduma ya Active Directory, akaunti za kompyuta zinaundwa, zimeunganishwa kwenye kikoa, na kompyuta, vidhibiti vya kikoa, na vitengo vya shirika (OUs) vinasimamiwa.

Kwa Udhibiti amilifu Saraka hutoa zana za usimamizi na usaidizi. Zana zilizoorodheshwa hapa chini pia zinatekelezwa kama snap-ins za koni ya MMC ( Usimamizi wa Microsoft Console):

Active Directory - watumiaji na kompyuta (Active Directory Watumiaji na Kompyuta) utapata kusimamia watumiaji, vikundi, kompyuta na vitengo shirika (OU);

Active Directory - domains na amana (Active Directory Domains and Trusts) hutumika kufanya kazi na vikoa, miti ya kikoa na misitu ya kikoa;

Tovuti na Huduma za Saraka Inayotumika hukuruhusu kudhibiti tovuti na nyavu ndogo;

Seti Inayotumika ya Sera inatumika kutazama sera ya sasa ya mtumiaji au mfumo na kuratibu mabadiliko ya sera.

KATIKA Microsoft Windows 2003 Server, unaweza kufikia hizi snap-ins moja kwa moja kutoka kwa menyu ya Zana za Utawala.

Zana nyingine ya utawala, Active Directory Schema snap-in, hukuruhusu kudhibiti na kurekebisha schema ya saraka.

Kuna zana za kudhibiti vipengee vya Active Directory mstari wa amri, ambayo hukuruhusu kutekeleza anuwai ya kazi za kiutawala:

DSADD - huongeza kompyuta, waasiliani, vikundi, OU na watumiaji kwenye Saraka Inayotumika.

DSGET - huonyesha sifa za kompyuta, anwani, vikundi, OUs, watumiaji, tovuti, subnets na seva zilizosajiliwa katika Active Directory.

DSMOD - hubadilisha sifa za kompyuta, wasiliani, vikundi, OP, watumiaji na seva zilizosajiliwa katika Saraka Inayotumika.

DSMOVE - Huhamisha kitu kimoja hadi eneo jipya ndani ya kikoa au kubadilisha jina la kitu bila kukisogeza.

DSQXJERY - hutafuta kompyuta, anwani, vikundi, OPs, watumiaji, tovuti, subnets na seva katika Saraka Amilifu kulingana na vigezo maalum.

DSRM - huondoa kitu kutoka kwa Saraka Inayotumika.

NTDSUTIL - inakuwezesha kuona taarifa kuhusu tovuti, kikoa au seva, kudhibiti mabwana wa uendeshaji na kudumisha hifadhidata ya Active Directory.

Katika nyenzo zetu zilizopita, tulijadili masuala ya jumla kuhusiana na huduma za saraka na Active Directory. Sasa ni wakati wa kuendelea na mazoezi. Lakini usikimbilie kwa seva; kabla ya kupeleka muundo wa kikoa kwenye mtandao wako, unahitaji kuipanga na kuwa na wazo wazi la kusudi lake. seva tofauti na michakato ya mwingiliano kati yao.

Kabla ya kuunda mtawala wako wa kwanza wa kikoa, unahitaji kuamua juu ya hali yake ya uendeshaji. Hali ya uendeshaji huamua chaguzi zinazopatikana na inategemea toleo la mfumo wa uendeshaji uliotumiwa. Hatutazingatia njia zote zinazowezekana, isipokuwa zile ambazo zinafaa kwa sasa. Kuna aina tatu kama hizo: Windows Server 2003, 2008 na 2008 R2.

Hali ya Windows Server 2003 inapaswa kuchaguliwa tu wakati seva zinazoendesha Mfumo huu wa Uendeshaji zimeshawekwa kwenye miundombinu yako na unapanga kutumia seva moja au zaidi kama vidhibiti vya kikoa. Katika hali nyingine unahitaji kuchagua Hali ya Windows Seva 2008 au 2008 R2 kulingana na leseni zilizonunuliwa. Ikumbukwe kwamba hali ya uendeshaji ya kikoa inaweza kuongezeka kila wakati, lakini haitawezekana kuipunguza (isipokuwa kwa kurejesha kutoka nakala rudufu), kwa hivyo nenda kwa suala hili kwa uangalifu, kwa kuzingatia upanuzi unaowezekana, leseni katika matawi, nk. Nakadhalika.

Sasa hatutazingatia kwa undani mchakato wa kuunda kidhibiti cha kikoa; tutarudi kwenye suala hili baadaye, lakini sasa tungependa kuteka mawazo yako kwa ukweli kwamba katika muundo kamili wa Active. Kidhibiti cha saraka kikoa ov lazima angalau mbili. Vinginevyo, unajiweka kwenye hatari isiyo ya lazima kwa sababu ikiwa kidhibiti chako cha kikoa pekee kitashindwa, muundo wako wa AD utakuwa kuharibiwa kabisa. Ni vizuri ikiwa una nakala ya kisasa na unaweza kurejesha kutoka kwayo, kwa hali yoyote, mtandao wako utalemazwa kabisa wakati huu wote.

Kwa hiyo, mara baada ya kuunda mtawala wa kikoa cha kwanza, unahitaji kupeleka pili, bila kujali ukubwa wa mtandao na bajeti. Mdhibiti wa pili anapaswa kutolewa katika hatua ya kupanga, na bila hiyo, kupelekwa kwa AD haipaswi hata kufanywa. Pia, hupaswi kuchanganya jukumu la mtawala wa kikoa na nyingine yoyote majukumu ya seva, ili kuhakikisha kuegemea kwa shughuli na hifadhidata ya AD kwenye diski, caching ya kuandika imezimwa, ambayo inasababisha kushuka kwa kasi kwa utendaji wa mfumo mdogo wa disk (hii inaelezea muda mrefu wa kupakia vidhibiti vya kikoa).

Kwa hivyo, mtandao wetu unapaswa kuchukua fomu ifuatayo:

Kinyume na imani maarufu, watawala wote katika kikoa ni sawa, i.e. kila kidhibiti kina taarifa kamili kuhusu vipengee vyote vya kikoa na kinaweza kutoa ombi la mteja. Lakini hii haimaanishi kuwa vidhibiti vinaweza kubadilishana; kushindwa kuelewa jambo hili mara nyingi husababisha kushindwa kwa AD na wakati wa kupungua kwa mtandao wa biashara. Kwa nini hii inatokea? Ni wakati wa kukumbuka Majukumu ya FSMO.

Tunapounda kidhibiti cha kwanza, kina majukumu yote yanayopatikana, na pia ni saraka ya kimataifa; na ujio wa kidhibiti cha pili, majukumu ya mkuu wa miundombinu, RID master na emulator ya PDC huhamishiwa kwake. Ni nini hufanyika ikiwa msimamizi ataamua kuzima seva ya DC1 kwa muda, kwa mfano, kuitakasa kutoka kwa vumbi? Kwa mtazamo wa kwanza, hakuna kitu kibaya na hilo, vizuri, kikoa kitabadilika kwa hali ya kusoma tu, lakini itafanya kazi. Lakini tulisahau kuhusu orodha ya kimataifa, na ikiwa mtandao wako una programu zinazohitaji, kwa mfano Exchange, iliyotumiwa, basi utajua kuhusu hilo kabla ya kuondoa kifuniko kutoka kwa seva. Utajifunza kutoka kwa watumiaji ambao hawajaridhika, na usimamizi hauwezekani kufurahishwa.

Ambayo hitimisho linafuata: lazima kuwe na angalau saraka mbili za kimataifa katika msitu, na ikiwezekana moja katika kila kikoa. Kwa kuwa tuna kikoa kimoja msituni, seva zote mbili lazima ziwe katalogi za kimataifa, hii itakuruhusu matatizo maalum kuchukua seva yoyote kwa matengenezo; kutokuwepo kwa muda kwa majukumu yoyote ya FSMO hakuletishi kushindwa kwa AD, lakini kunafanya tu kutowezekana kuunda vitu vipya.

Kama msimamizi wa kikoa, lazima uelewe kwa uwazi jinsi majukumu ya FSMO yanasambazwa kati ya seva zako na wakati wa kuzima seva. muda mrefu kuhamisha majukumu haya kwa seva zingine. Je! ni nini hufanyika ikiwa seva iliyo na majukumu ya FSMO itashindwa kutenduliwa? Ni sawa, kama tulivyoandika tayari, mtawala wowote wa kikoa ana habari zote muhimu, na ikiwa kero kama hiyo itatokea, basi utahitaji kuchukua majukumu muhimu na mmoja wa watawala, hii itakuruhusu kurejesha. kazi ya wakati wote huduma za saraka.

Muda unapita, shirika lako linakua na lina tawi upande wa pili wa jiji na hitaji la kujumuisha mtandao wao katika miundombinu ya jumla makampuni ya biashara. Kwa mtazamo wa kwanza, hakuna chochote ngumu, unaweka njia ya mawasiliano kati ya ofisi na mahali ndani yake mtawala wa ziada. Kila kitu kitakuwa sawa, lakini kuna jambo moja. Huwezi kudhibiti seva hii, na kwa hivyo haijatengwa ufikiaji usioidhinishwa kwake, na msimamizi wa eneo hilo anazua shaka kuhusu sifa zake. Nini cha kufanya katika hali kama hiyo? Kwa madhumuni haya, kuna aina maalum ya mtawala: kidhibiti cha kikoa cha kusoma tu (RODC), kipengele hiki inapatikana katika hali za uendeshaji za kikoa kuanzia Windows Server 2008 na matoleo mapya zaidi.

Kidhibiti cha kikoa cha kusoma tu kina nakala kamili ya vitu vyote vya kikoa na kinaweza kuwa saraka ya kimataifa, lakini hairuhusu mabadiliko yoyote kufanywa kwa muundo wa AD, na pia hukuruhusu kukabidhi mtumiaji yeyote. msimamizi wa eneo, ambayo itamruhusu kutumikia kikamilifu seva hii, lakini tena bila ufikiaji wa huduma za AD. Kwa upande wetu, ndivyo daktari alivyoamuru.

Tunaanzisha tawi la RODC, kila kitu kinafanya kazi, wewe ni utulivu, lakini watumiaji wanaanza kulalamika kuhusu kuingia kwa muda mrefu na bili za trafiki mwishoni mwa mwezi zinaonyesha ziada. Nini kinaendelea? Ni wakati wa kukumbuka tena kuhusu usawa wa vidhibiti katika kikoa; mteja anaweza kutuma ombi lake kwa kidhibiti chochote cha kikoa, hata kimoja kilicho katika tawi lingine. Zingatia njia ya mawasiliano polepole na, uwezekano mkubwa, iliyosongamana - hii ndiyo sababu ya ucheleweshaji wa kuingia.

Sababu inayofuata ambayo inatia sumu maisha yetu katika hali hii ni kurudia. Kama unavyojua, mabadiliko yote yanayofanywa kwenye kidhibiti kimoja cha kikoa huenezwa kiotomatiki kwa wengine na mchakato huu unaitwa urudufishaji; hukuruhusu kuwa na nakala ya data iliyosasishwa na thabiti kwa kila kidhibiti. Huduma ya kuiga haijui kuhusu tawi letu na njia ya mawasiliano ya polepole, na kwa hiyo mabadiliko yote katika ofisi yatafanywa mara moja kwenye tawi, kupakia chaneli na kuongeza matumizi ya trafiki.

Hapa tunakuja karibu na dhana ya maeneo ya AD, ambayo haipaswi kuchanganyikiwa na tovuti za mtandao. Tovuti Zinazotumika Saraka kuwakilisha mbinu ya kugawanya muundo wa huduma ya saraka katika maeneo yaliyotenganishwa na maeneo mengine kwa polepole na/au njia zisizo imara mawasiliano. Tovuti huundwa kwa misingi ya subnets na maombi yote ya mteja yanatumwa hasa kwa vidhibiti vya tovuti yao; pia ni muhimu sana kuwa na saraka yake ya kimataifa katika kila tovuti. Kwa upande wetu, tutahitaji kuunda tovuti mbili: Tovuti ya AD 1 kwa ofisi kuu na Tovuti ya AD 2 kwa tawi, au tuseme moja, kwani kwa chaguo-msingi muundo wa AD tayari una tovuti inayojumuisha vitu vyote vilivyoundwa hapo awali. Sasa hebu tuangalie jinsi replication hutokea katika mtandao wenye tovuti nyingi.

Wacha tuchukulie kuwa shirika letu limekua kidogo na ofisi kuu ina vidhibiti vinne vya kikoa; replication kati ya vidhibiti vya tovuti moja inaitwa. ndani na hutokea mara moja. Topolojia ya urudufishaji hujengwa kulingana na mpango wa pete kwa sharti kwamba hakuna zaidi ya hatua tatu za urudufishaji kati ya vidhibiti vyovyote vya kikoa. Mpango wa pete hudumishwa hadi watawala 7 wakijumuisha, kila mtawala huanzisha uhusiano na majirani zake wawili wa karibu, na idadi kubwa ya watawala viunganisho vya ziada vinaonekana na pete ya kawaida hugeuka kuwa kundi la pete zilizowekwa juu ya kila mmoja.

Intersite replication hutokea kwa njia tofauti; katika kila kikoa, moja ya seva (serverheadhead) huchaguliwa kiatomati, ambayo huanzisha muunganisho na seva inayofanana kwenye tovuti nyingine. Kwa chaguo-msingi, urudufishaji hutokea mara moja kila baada ya saa 3 (dakika 180), hata hivyo, tunaweza kuweka ratiba yetu ya urudufishaji na kuokoa trafiki, data yote hupitishwa kwa fomu iliyobanwa. Ikiwa kuna RODC tu kwenye tovuti, replication hutokea unidirectionally.

Kikoa ni kitengo cha msingi cha usimamizi katika miundombinu ya mtandao ya biashara, ambayo inajumuisha vitu vyote vya mtandao kama vile watumiaji, kompyuta, vichapishaji, hisa, n.k. Mkusanyiko (hierarkia) ya vikoa inaitwa msitu. Kila kampuni inaweza kuwa na kikoa cha nje na cha ndani.

Kwa mfano, tovuti ni kikoa cha nje kwenye Mtandao ambacho kilinunuliwa kutoka kwa msajili wa majina. Kikoa hiki ni mwenyeji wa tovuti yetu ya WEB na seva ya barua. lankey.local - kikoa cha ndani cha huduma Saraka zinazotumika Saraka, ambayo huhifadhi akaunti za watumiaji, kompyuta, vichapishaji, seva na programu za kampuni. Wakati mwingine majina ya kikoa ya nje na ya ndani hufanywa sawa.

Microsoft Active Directory imekuwa kiwango cha mifumo ya saraka iliyounganishwa ya biashara. Kikoa kimewashwa Hifadhidata inayotumika Saraka imetekelezwa katika takriban kampuni zote ulimwenguni, na katika soko hili Microsoft haina washindani wowote waliosalia, sehemu ya Huduma ya Saraka ya Novell (NDS) haina maana, na kampuni zilizobaki zinahamia kwa Active Directory hatua kwa hatua.

Saraka Inayotumika (Huduma ya Saraka) ni hifadhidata iliyosambazwa ambayo ina vitu vyote kwenye kikoa. Mazingira ya kikoa cha Saraka Inayotumika hutoa sehemu moja ya uthibitishaji na uidhinishaji kwa watumiaji na programu katika biashara yote. Ni pamoja na shirika la kikoa na uwekaji wa Saraka Amilifu ambapo ujenzi wa miundombinu ya IT ya biashara huanza. Hifadhidata ya Active Directory imehifadhiwa kwenye seva zilizojitolea - vidhibiti vya kikoa. Active Directory ni jukumu la uendeshaji wa seva Mifumo ya Microsoft Seva ya Windows. KATIKA wakati huu Kampuni ya LanKey inatekeleza vikoa vya Active Directory kulingana na mfumo wa uendeshaji wa Windows Server 2008 R2.

Usambazaji wa Orodha tendaji juu ya Kikundi cha Kazi hutoa faida zifuatazo:

Sehemu moja ya uthibitishaji. Wakati kompyuta zinafanya kazi katika kikundi cha kazi, hazina hifadhidata ya mtumiaji mmoja; kila kompyuta ina yake. Kwa hiyo, kwa chaguo-msingi, hakuna mtumiaji anayepata mtandao kwa kompyuta au seva ya mtumiaji mwingine. Na, kama unavyojua, uhakika wa mtandao ni ili watumiaji waweze kuingiliana. Wafanyikazi wanahitaji kugawana kwa hati au maombi. Katika kikundi cha kazi, kwenye kila kompyuta au seva itabidi uongeze kwa mikono orodha kamili watumiaji wanaohitaji ufikiaji wa mtandao. Ikiwa ghafla mmoja wa wafanyakazi anataka kubadilisha nenosiri lake, basi itahitaji kubadilishwa kwenye kompyuta na seva zote. Ni vizuri ikiwa mtandao una kompyuta 10, lakini ikiwa kuna 100 au 1000, basi utumie. kikundi cha kazi itakuwa haikubaliki. Unapotumia kikoa cha Saraka Inayotumika, akaunti zote za watumiaji huhifadhiwa kwenye hifadhidata moja, na kompyuta zote huitazama kwa idhini. Watumiaji wote wa kikoa wamejumuishwa katika vikundi vinavyofaa, kwa mfano, "Uhasibu", "HR", "Idara ya Fedha", nk. Inatosha kuweka ruhusa kwa vikundi fulani mara moja, na watumiaji wote watakuwa na ufikiaji sahihi wa hati na programu. Ikiwa mfanyakazi mpya anajiunga na kampuni, akaunti imeundwa kwa ajili yake, ambayo imejumuishwa katika kikundi kinachofaa, na ndivyo! Baada ya dakika chache, mfanyakazi mpya anapata upatikanaji wa rasilimali zote za mtandao ambazo anapaswa kuruhusiwa kufikia, kwenye seva zote na kompyuta. Ikiwa mfanyakazi anaacha, basi inatosha kuzuia au kufuta akaunti yake, na mara moja atapoteza upatikanaji wa kompyuta zote, nyaraka na maombi.
Sehemu moja ya usimamizi wa sera. Katika mtandao wa rika-kwa-rika (kikundi cha kazi), kompyuta zote zina haki sawa. Hakuna kompyuta inayoweza kudhibiti nyingine, kompyuta zote zimeundwa kwa njia tofauti, na haiwezekani kufuatilia kufuata sera zinazofanana au sheria za usalama. Unapotumia Saraka Inayotumika moja, watumiaji na kompyuta zote husambazwa kwa mpangilio katika vitengo vya shirika, ambavyo kila kimoja kinategemea sera za kikundi sawa. Sera hukuruhusu kuweka mipangilio sawa na mipangilio ya usalama kwa kikundi cha kompyuta na watumiaji. Kompyuta au mtumiaji mpya anapoongezwa kwenye kikoa, hupokea kiotomatiki mipangilio ambayo inatii viwango vinavyokubalika vya shirika. Pia, kwa kutumia sera, unaweza kuwapa watumiaji vichapishi vya mtandao serikali kuu, vilivyowekwa maombi yanayohitajika, weka mipangilio ya usalama ya kivinjari cha Mtandao, sanidi Programu za Microsoft Ofisi, nk.
Ushirikiano na maombi ya biashara na vifaa. Faida kubwa ya Active Directory ni kufuata kwake kiwango cha LDAP, ambacho kinasaidiwa na mamia ya programu, kama vile seva za barua (Exchange, Lotus, Mdaemon), mifumo ya ERP (Dynamics, CRM), seva mbadala (Seva ya ISA, Squid) , nk Zaidi ya hayo, hii sio tu maombi ya Microsoft Windows, lakini pia seva kulingana na Linux. Faida za ujumuishaji kama huo ni kwamba mtumiaji haitaji kukumbuka idadi kubwa ya kumbukumbu na nywila ili kupata programu fulani; katika programu zote mtumiaji ana sifa zinazofanana, kwa sababu. uthibitishaji wake hutokea katika Saraka Amilifu moja. Kwa kuongezea, mfanyakazi haitaji kuingiza jina lake la mtumiaji na nywila mara kadhaa; inatosha kuingia mara moja wakati wa kuanza kompyuta, na katika siku zijazo mtumiaji atathibitishwa kiotomatiki katika programu zote. Seva ya Windows hutoa itifaki ya RADIUS ya kuunganishwa na Active Directory, ambayo inatumika kiasi kikubwa vifaa vya mtandao. Kwa njia hii, unaweza, kwa mfano, kutoa uthibitishaji kwa watumiaji wa kikoa wakati wa kuunganisha Kipanga njia cha Cisco kupitia VPN.
Hazina ya usanidi wa programu iliyounganishwa. Baadhi ya programu huhifadhi usanidi wao katika Saraka Inayotumika, kama vile Seva ya Exchange au Seva ya Mawasiliano ya Ofisi. Usambazaji wa huduma ya saraka ya Active Directory ni sharti ili maombi haya yafanye kazi. Unaweza pia kuhifadhi usanidi wa seva ya jina la kikoa cha DNS katika huduma ya saraka. Kuhifadhi usanidi wa programu katika huduma ya saraka hutoa faida za kubadilika na kutegemewa. Kwa mfano, katika tukio la kushindwa kabisa kwa seva ya Kubadilishana, usanidi wake wote utabaki sawa, kwa sababu. kuhifadhiwa katika Saraka Amilifu. Na kurejesha utendaji barua ya kampuni, itatosha kusakinisha tena Seva ya kubadilishana katika hali ya kurejesha.
Kuongezeka kwa kiwango usalama wa habari. Kutumia Active Directory kwa kiasi kikubwa huongeza kiwango cha usalama wa mtandao. Kwanza, ni hifadhi ya akaunti moja na salama. Katika mtandao wa rika-kwa-rika, kitambulisho cha mtumiaji huhifadhiwa katika hifadhidata ya akaunti ya ndani (SAM), ambayo inaweza kudukuliwa kinadharia kwa kuchukua kompyuta. Katika mazingira ya kikoa, manenosiri yote ya mtumiaji wa kikoa huhifadhiwa kwenye seva maalum za kidhibiti cha kikoa, ambazo kwa kawaida zinalindwa kutoka ufikiaji wa nje. Pili, wakati wa kutumia mazingira ya kikoa, itifaki ya Kerberos hutumiwa kwa uthibitishaji, ambayo ni salama zaidi kuliko NTLM, ambayo hutumiwa katika vikundi vya kazi. Vinginevyo, unaweza kutumia uthibitishaji wa mambo mawili kwa kutumia kadi smart. Wale. Ili mfanyakazi apate upatikanaji wa kompyuta, atahitaji kuingiza jina lake la mtumiaji na nenosiri, na pia kuingiza kadi yake ya smart.

Uwezo na Uthabiti wa Saraka Inayotumika

Huduma ya saraka ya Microsoft Active Directory ina fursa nyingi kuongeza. Zaidi ya vitu bilioni 2 vinaweza kuundwa katika msitu wa Active Directory, ambayo inaruhusu huduma ya saraka kutekelezwa katika makampuni yenye mamia ya maelfu ya kompyuta na watumiaji. Muundo wa kihierarkia vikoa hukuruhusu kuongeza kwa urahisi miundombinu ya TEHAMA kwa matawi yote na vitengo vya kikanda vya makampuni. Kwa kila tawi au mgawanyiko wa kampuni, kikoa tofauti kinaweza kuundwa, na sera zake, watumiaji wake na vikundi. Kwa kila kikoa cha mtoto, mamlaka ya usimamizi inaweza kukabidhiwa kwa wasimamizi wa mfumo wa ndani. Wakati huo huo, vikoa vya watoto bado viko chini ya wazazi wao.

Kwa kuongeza, Active Directory inakuwezesha kusanidi uhusiano wa kuaminiana kati ya misitu ya kikoa. Kila kampuni ina msitu wake wa vikoa, kila moja na rasilimali zake. Lakini wakati mwingine unahitaji kutoa ufikiaji wako rasilimali za ushirika wafanyakazi kutoka makampuni washirika. Kwa mfano, wakati wa kushiriki miradi ya pamoja Wafanyikazi kutoka kampuni za washirika wanaweza kuhitaji kufanya kazi pamoja kwenye hati au maombi yaliyoshirikiwa. Kwa kufanya hivyo, mahusiano ya uaminifu yanaweza kuanzishwa kati ya misitu ya shirika, ambayo itawawezesha wafanyakazi kutoka shirika moja kuingia kwenye uwanja wa mwingine.

Uvumilivu wa kosa wa huduma ya saraka unahakikishwa kwa kupeleka seva 2 au zaidi - watawala wa kikoa katika kila kikoa. Mabadiliko yote yanaigwa kiotomatiki kati ya vidhibiti vya kikoa. Ikiwa mmoja wa watawala wa kikoa hushindwa, utendaji wa mtandao hauathiriwa, kwa sababu waliobaki wanaendelea na kazi. Kiwango cha ziada Uvumilivu wa hitilafu huhakikisha kuwa seva za DNS zimewekwa kwenye vidhibiti vya kikoa katika Saraka Inayotumika, ambayo inaruhusu kila kikoa kuwa na seva nyingi za DNS zinazohudumia eneo kuu la kikoa. Na ikiwa moja ya seva za DNS itashindwa, iliyobaki itaendelea kufanya kazi, na itapatikana kwa kusoma na kuandika, ambayo haiwezi kuhakikishwa kwa kutumia, kwa mfano, BIND seva za DNS kulingana na Linux.

Faida za kupata toleo jipya la Windows Server 2008 R2

Hata kama kampuni yako tayari ina huduma ya saraka ya Active Directory inayotumika kwenye Windows Server 2003, unaweza kupata manufaa kadhaa kwa kupata toleo jipya la Windows Server 2008 R2. Windows Server 2008 R2 hutoa huduma zifuatazo za ziada:

Kidhibiti cha Kikoa cha Kusoma pekee RODC (Kidhibiti cha Kikoa cha Kusoma pekee). Vidhibiti vya kikoa huhifadhi akaunti za watumiaji, vyeti na zaidi habari za siri. Ikiwa seva ziko katika vituo vya data vilivyo salama, basi unaweza kuwa na utulivu juu ya usalama wa habari hii, lakini nini cha kufanya ikiwa mtawala wa kikoa iko katika ofisi ya tawi mahali pa kupatikana kwa umma. Katika kesi hii, kuna uwezekano kwamba seva itaibiwa na washambuliaji na kudukuliwa. Na kisha hutumia data hii kupanga shambulio kwenye mtandao wako wa shirika ili kuiba au kuharibu habari. Ni kuzuia kesi kama hizo kwamba ofisi za tawi huweka vidhibiti vya vikoa vya kusoma tu (RODCs). Kwanza, watawala wa RODC hawahifadhi nywila za mtumiaji, lakini huhifadhi tu ili kuharakisha ufikiaji, na pili, hutumia urudufishaji wa njia moja, kutoka tu. seva za kati kwa tawi, lakini sio nyuma. Na hata kama washambuliaji watachukua kidhibiti cha kikoa cha RODC, hawatapokea manenosiri ya mtumiaji na hawataweza kusababisha uharibifu kwenye mtandao mkuu.

Inarejesha vitu vilivyofutwa vya Saraka Inayotumika. Takriban kila msimamizi wa mfumo amekumbana na hitaji la kurejesha akaunti ya mtumiaji iliyofutwa kwa bahati mbaya au kikundi kizima cha watumiaji. Katika Windows 2003, hii ilihitaji kurejesha huduma ya saraka kutoka kwa chelezo, ambayo mara nyingi haikuwepo, lakini hata ikiwa kulikuwa na moja, urejesho ulichukua muda mrefu sana. Windows Server 2008 R2 ilianzisha Bin ya Usafishaji Saraka ya Active. Sasa, unapofuta mtumiaji au kompyuta, huenda kwenye pipa la kuchakata tena, ambalo linaweza kurejeshwa kwa dakika chache ndani ya siku 180, kuhifadhi sifa zote za awali.

Udhibiti uliorahisishwa. Windows Server 2008 R2 inajumuisha idadi ya mabadiliko ambayo hupunguza kwa kiasi kikubwa mzigo kwa wasimamizi wa mfumo na kufanya miundombinu ya IT iwe rahisi kudhibiti. Kwa mfano, zana kama vile: Ukaguzi mabadiliko Active Saraka inayoonyesha ni nani aliyebadilisha nini na lini; sera za utata za nenosiri zinaweza kusanidiwa katika kiwango cha kikundi cha watumiaji; hapo awali hii iliwezekana tu katika kiwango cha kikoa; zana mpya za usimamizi wa mtumiaji na kompyuta; violezo vya sera; usimamizi kwa kutumia mstari wa amri ya PowerShell, nk.

Utekelezaji Saraka Inayotumika

Huduma ya saraka ya Active Directory ndio kiini cha miundombinu ya IT ya biashara. Ikiwa itashindwa, mtandao mzima, seva zote, na kazi ya watumiaji wote itapooza. Hakuna mtu atakayeweza kuingia kwenye kompyuta au kufikia hati na programu zao. Kwa hiyo, huduma ya saraka lazima iandaliwe kwa uangalifu na kupelekwa, kwa kuzingatia yote nuances iwezekanavyo. Kwa mfano, muundo wa tovuti unapaswa kuzingatia topolojia ya kimwili ya mtandao na kipimo data njia kati ya matawi au ofisi za kampuni, kwa sababu Hii inathiri moja kwa moja kasi ya kuingia kwa mtumiaji, pamoja na urudufishaji kati ya vidhibiti vya kikoa. Kwa kuongeza, kulingana na topolojia ya tovuti, Exchange Server 2007/2010 hufanya uelekezaji wa barua. Pia unahitaji kuhesabu kwa usahihi idadi na uwekaji wa seva za katalogi za kimataifa ambazo huhifadhi orodha za vikundi vya wote na sifa nyingine nyingi zinazotumiwa sana katika vikoa vyote msituni. Ndiyo maana makampuni yanatoa kazi ya kutekeleza, kupanga upya au kuhamisha huduma ya saraka ya Active Directory kwa viunganishi vya mfumo. Walakini, haupaswi kufanya makosa wakati wa kuchagua kiunganishi cha mfumo; unapaswa kuhakikisha kuwa ameidhinishwa kufanya aina hii ya kazi na ana uwezo unaofaa.

LanKey ni kiunganishi cha mfumo kilichoidhinishwa na ina hadhi ya Mshirika Aliyeidhinishwa na Microsoft Gold. LanKey ina uwezo wa Datacenter Platform (Advanced Infrastructure Solutions) ambayo inathibitisha uzoefu wetu na sifa zetu katika masuala yanayohusiana na uwekaji wa Active Directory na utekelezaji wa suluhu za seva kutoka Microsoft.

Kazi zote katika miradi hiyo hufanywa na wahandisi walioidhinishwa na Microsoft MCSE, MCITP, ambao wana uzoefu mkubwa katika miradi mikubwa na changamano ya kujenga miundomsingi ya TEHAMA na kutekeleza vikoa vya Active Directory.

LanKey itatengeneza miundombinu ya IT, itapeleka huduma ya saraka ya Active Directory na kuhakikisha ujumuishaji wa rasilimali zote zilizopo za biashara kuwa moja. nafasi ya habari. Utekelezaji wa Active Directory utasaidia kupunguza gharama ya jumla ya umiliki wa mfumo wa habari, na pia kuongeza ufanisi kugawana rasilimali za pamoja. LanKey pia hutoa huduma za uhamiaji wa kikoa, ujumuishaji na utenganishaji wa miundomsingi ya TEHAMA wakati wa muunganisho na upataji, matengenezo na usaidizi wa mifumo ya habari.

Mifano ya baadhi ya miradi ya utekelezaji wa Active Directory iliyotekelezwa na LanKey:

Mteja	Maelezo ya suluhisho
	Kuhusiana na ununuzi wa 100% ya hisa za kampuni OJSC SIBUR-Minudobreniya (baadaye iliitwa OJSC SDS-Azot) ya Kampuni Holding Siberian Business Union mnamo Desemba 2011, hitaji liliibuka kutenganisha miundombinu ya IT ya OJSC. SDS -Azot" kutoka kwa mtandao wa SIBUR Holding. Kampuni ya LanKey ilihamisha huduma ya saraka ya Active Directory ya kitengo cha SIBUR-Minudobreniya kutoka mtandao unaoshikilia SIBUR hadi kwenye miundombinu mpya. Akaunti za watumiaji, kompyuta, na programu pia zilihamishwa. Kulingana na matokeo ya mradi huo, barua ya shukrani ilipokelewa kutoka kwa mteja.
	Kuhusiana na urekebishaji wa biashara, huduma ya saraka ya Active Directory ilitumwa kwa ofisi kuu na maduka 50 ya Moscow na kikanda. Huduma ya saraka ilitoa usimamizi wa kati wa rasilimali zote za biashara, pamoja na uthibitishaji na idhini ya watumiaji wote.
	Kama sehemu ya mradi wa kina wa kuunda miundombinu ya IT ya biashara, LanKey ilipeleka kikoa cha Saraka Inayotumika kwa kampuni ya usimamizi na tarafa 3 za kikanda. Tovuti tofauti iliundwa kwa kila tawi; vidhibiti 2 vya kikoa viliwekwa katika kila tovuti. Huduma za uthibitisho pia zilitumwa. Huduma zote ziliwekwa mashine virtual Oh chini inayosimamiwa na Microsoft Hyper-V. Ubora wa kazi ya kampuni ya LanKey ulibainishwa na ukaguzi.
	Kama sehemu ya mradi wa kina wa kuunda shirika mfumo wa habari, huduma ya saraka ya Active Directory iliwekwa kulingana na Windows Server 2008 R2. Mfumo uliwekwa kwa kutumia teknolojia ya uboreshaji wa seva inayoendesha Microsoft Hyper-V. Huduma ya saraka iliyotolewa uthibitishaji mmoja na idhini ya wafanyikazi wote wa hospitali, na pia ilihakikisha utendakazi wa maombi kama vile Exchange, TMG, SQL, nk.
	Huduma ya saraka ya Active Directory iliwekwa kwenye Windows Server 2008 R2. Ili kupunguza gharama, usakinishaji ulifanyika katika mfumo wa virtualization server juu ya Hifadhidata ya Microsoft Hyper-V.
	Kama sehemu ya mradi wa kina wa kuunda miundombinu ya IT ya biashara, huduma ya saraka kulingana na Windows Server 2008 R2 ilitumwa. Vidhibiti vyote vya kikoa vilitumwa kwa kutumia mfumo wa uboreshaji wa seva ya Microsoft Hyper-V. Ubora wa kazi unathibitishwa na maoni yaliyopokelewa kutoka kwa mteja.
	KATIKA haraka iwezekanavyo Utendaji wa huduma ya saraka ya Active Directory umerejeshwa katika hali mbaya ya biashara. Wataalamu wa LanKey walirejesha kihalisi utendakazi wa kikoa cha mizizi katika saa chache tu na wakaandika maagizo ya kurejesha nakala za ofisi 80 za tawi. Tulipokea maoni kutoka kwa mteja kwa ufanisi na ubora wa kazi.
	Kama sehemu ya mradi wa kina wa kuunda miundombinu ya TEHAMA, kikoa cha Active Directory kiliwekwa kulingana na Windows Server 2008 R2. Utendaji wa huduma ya saraka ulihakikishwa kwa kutumia vidhibiti 5 vya kikoa vilivyowekwa kwenye kundi la mashine pepe. Hifadhi nakala huduma za saraka zilitekelezwa na Msaada wa Microsoft Ulinzi wa Data Meneja 2010. Ubora wa kazi unathibitishwa na ukaguzi.
	Kama sehemu ya mradi wa kina wa kuunda mfumo wa habari wa shirika, huduma ya saraka ya Active Directory iliwekwa kulingana na Windows Server 2008. Miundombinu ya TEHAMA ilijengwa kwa kutumia uboreshaji wa Hyper-V. Baada ya kukamilika kwa mradi huo, makubaliano yalihitimishwa kwa matengenezo zaidi ya mfumo wa habari. Ubora wa kazi unathibitishwa na ukaguzi.
Teknolojia ya mafuta na gesi	Kama sehemu ya mradi wa kina wa kuunda miundombinu ya IT, saraka moja ya Active Directory ilitumwa kulingana na Windows Server 2008 R2. Mradi huo ulikamilika kwa mwezi 1. Baada ya kukamilika kwa mradi huo, makubaliano yalihitimishwa kwa matengenezo zaidi ya mfumo. Ubora wa kazi unathibitishwa na ukaguzi.
	Active Directory iliwekwa kwenye Windows Server 2008 kama sehemu ya mradi wa utekelezaji wa Exchange Server 2007.
	Huduma ya saraka ya Active Directory kulingana na Windows Server 2003 ilipangwa upya hapo awali utekelezaji wa Exchange Server 2007. Ubora wa kazi unathibitishwa na ukaguzi.
	Huduma ya saraka ya Active Directory iliwekwa kwenye Windows Server 2003 R2. Baada ya kukamilika kwa mradi huo, mkataba ulisainiwa kwa matengenezo zaidi ya mfumo. Ubora wa kazi unathibitishwa na ukaguzi.
	Active Directory iliwekwa kwenye Windows Server 2003. Baada ya kukamilika kwa mradi huo, makubaliano yalitiwa saini kwa usaidizi zaidi wa mfumo.

Imejumuishwa kwa muda mrefu katika kitengo cha kanuni za kihafidhina ujenzi wa kimantiki miundombinu ya mtandao. Lakini wasimamizi wengi wanaendelea kutumia vikundi vya kazi vya Windows NT na vikoa katika kazi zao. Utekelezaji wa huduma ya saraka itakuwa ya kuvutia na muhimu kwa wasimamizi wa mwanzo na wenye uzoefu ili kuweka usimamizi wa mtandao kati na kuhakikisha kiwango sahihi cha usalama.

Active Directory, teknolojia ambayo ilionekana katika safu ya mifumo ya Win2K miaka sita iliyopita, inaweza kuelezewa kuwa ya kimapinduzi. Kwa upande wa kunyumbulika na kubadilika, ni mpangilio wa ukubwa bora kuliko vikoa vya NT 4, bila kutaja mitandao inayojumuisha vikundi vya kazi.

Wamegawanywa na wigo:

Vikundi vya Universal vinaweza kujumuisha watumiaji ndani ya msitu, pamoja na vikundi vingine vya ulimwengu au vikundi vya kimataifa vya kikoa chochote msituni;
Vikundi vya kikoa vya kimataifa vinaweza kujumuisha watumiaji wa kikoa na vikundi vingine vya kimataifa vya kikoa sawa;
vikundi vya kikoa vya ndani vinatumika kutofautisha haki za ufikiaji, vinaweza kujumuisha watumiaji wa kikoa, pamoja na vikundi vya ulimwengu na vikundi vya kimataifa vya kikoa chochote msituni;
vikundi vya kompyuta vya ndani - vikundi ambavyo vina SAM (meneja wa akaunti ya usalama) ya mashine ya ndani. Upeo wao ni mdogo tu kwa mashine fulani, lakini wanaweza kujumuisha vikundi vya ndani vya kikoa ambacho kompyuta iko, pamoja na vikundi vya ulimwengu na vya kimataifa vya kikoa chao au kingine ambacho wanaamini. Kwa mfano, unaweza kujumuisha mtumiaji kutoka kwa kikundi cha Watumiaji wa ndani katika kikundi cha Wasimamizi wa mashine ya ndani, na hivyo kumpa haki za msimamizi, lakini kwa kompyuta hii pekee.

Tovuti

Hii ni njia ya kutenganisha huduma ya saraka. Kwa ufafanuzi, tovuti ni kundi la kompyuta zilizounganishwa njia za haraka usambazaji wa data.

Kwa mfano, ikiwa una matawi kadhaa katika sehemu tofauti za nchi, iliyounganishwa na mistari ya mawasiliano ya kasi ya chini, basi kwa kila tawi unaweza kuunda tovuti yako mwenyewe. Hii inafanywa ili kuongeza kuegemea kwa uigaji saraka.

Mgawanyiko huu wa AD hauathiri kanuni za ujenzi wa kimantiki, kwa hivyo, kama tovuti inaweza kuwa na vikoa kadhaa, na kinyume chake, kikoa kinaweza kuwa na tovuti kadhaa. Lakini kuna mtego wa topolojia ya huduma ya saraka hii. Kama sheria, mtandao hutumiwa kuwasiliana na matawi - mazingira yasiyo salama sana. Kampuni nyingi hutumia hatua za usalama kama vile ngome. Huduma ya saraka hutumia takriban dazeni moja na nusu ya bandari na huduma katika kazi yake, ufunguzi ambao kwa trafiki ya AD kupita kwenye firewall kwa kweli itafichua "nje". Suluhisho la tatizo ni kutumia teknolojia ya tunnel, pamoja na kuwepo kwa mtawala wa kikoa katika kila tovuti ili kuharakisha usindikaji wa maombi ya mteja wa AD.

Shirika la Huduma ya Saraka

Ili kutoa kiwango fulani cha usalama, mfumo wowote wa uendeshaji lazima uwe na faili zilizo na hifadhidata ya mtumiaji. Mapema Matoleo ya Windows NT, faili ya SAM (Kidhibiti cha Akaunti ya Usalama) ilitumiwa kwa hili. Ilikuwa na kitambulisho cha mtumiaji na ilisimbwa kwa njia fiche. Leo SAM pia inatumika katika mifumo ya uendeshaji Familia ya NT 5 (Windows 2000 na ya juu).

Unapotangaza seva ya mwanachama kwa kidhibiti cha kikoa kwa kutumia amri ya DCPROMO (ambayo kwa hakika inaendesha Mchawi wa Usakinishaji wa Huduma za Saraka), injini ya usalama ya Windows Server 2000/2003 huanza kutumia hifadhidata ya kati ya AD. Hii inaweza kuangaliwa kwa urahisi - baada ya kuunda kikoa, jaribu kufungua snap-in ya Usimamizi wa Kompyuta kwenye kidhibiti na upate hapo " Watumiaji wa ndani na vikundi." Zaidi ya hayo, jaribu kuingia kwenye seva hii kwa kutumia akaunti ya ndani. Haiwezekani kwamba utafaulu.

Data nyingi za mtumiaji huhifadhiwa kwenye faili ya NTDS.DIT (Directory Information Tree). NTDS.DIT ni hifadhidata iliyobadilishwa. Imeundwa kwa kutumia teknolojia sawa na hifadhidata Ufikiaji wa Microsoft. Kanuni za uendeshaji wa kidhibiti cha kikoa zina kibadala cha injini ya hifadhidata ya JET Fikia data, ambayo iliitwa ESE (Injini ya Uhifadhi Inayoongezwa - injini ya kuhifadhi inayoweza kupanuka). NTDS.DIT na huduma zinazoingiliana na faili hii ni huduma ya saraka.

Muundo wa mwingiliano kati ya wateja wa AD na hifadhi kuu ya data, sawa na nafasi ya jina la huduma ya saraka, imewasilishwa katika makala. Ili kukamilisha maelezo, itajwe matumizi ya vitambulisho vya kimataifa. Kitambulisho cha Kipekee cha Ulimwenguni (GUID) ni nambari ya biti 128 ambayo huhusishwa na kila kitu kinapoundwa ili kuhakikisha upekee. Jina la kitu cha AD linaweza kubadilishwa, lakini GUID itabaki bila kubadilika.

Katalogi ya ulimwengu

Labda tayari umegundua kuwa muundo wa AD unaweza kuwa ngumu sana na una idadi kubwa ya vitu. Hebu fikiria juu ya ukweli kwamba kikoa cha AD kinaweza kujumuisha hadi vitu milioni 1.5. Lakini hii inaweza kusababisha masuala ya utendaji wakati wa kufanya shughuli. Tatizo hili linatatuliwa kwa kutumia Katalogi ya Ulimwengu (,). Ina toleo fupi la msitu mzima wa AD, ambayo husaidia kuharakisha utafutaji wa vitu. Mmiliki wa katalogi ya kimataifa anaweza kuwa vidhibiti vya kikoa vilivyoteuliwa mahususi kwa madhumuni haya.

Majukumu

Katika AD, kuna orodha fulani ya shughuli, utekelezaji ambao unaweza kupewa mtawala mmoja tu. Wanaitwa majukumu FSMO (Operesheni Inayobadilika ya Mwalimu Mmoja). Kuna jumla ya majukumu 5 ya FSMO katika AD. Hebu tuziangalie kwa undani zaidi.

Ndani ya msitu, lazima kuwe na hakikisho kwamba majina ya vikoa ni ya kipekee wakati wa kuongeza kikoa kipya kwenye msitu wa vikoa. Dhamana hii inafanywa na mtekelezaji wa jukumu la mmiliki wa operesheni ya kumtaja kikoa ( Mwalimu wa Kutaja Kikoa) Kufanya jukumu la mmiliki wa schema ( Mwalimu wa Schema) hufanya mabadiliko yote kwenye schema ya saraka. Majukumu ya Mmiliki wa Jina la Kikoa na Mmiliki wa Schema lazima yawe ya kipekee ndani ya msitu wa kikoa.

Kama nilivyokwisha sema, kitu kinapoundwa, kinahusishwa na kitambulisho cha kimataifa, ambacho kinahakikisha upekee wake. Ndio maana mtawala anayehusika na kutengeneza GUID na kutenda kama mmiliki wa vitambulisho vya jamaa ( Kitambulisho cha Jamaa Mwalimu), lazima kuwe na moja na moja tu ndani ya kikoa.

Tofauti na vikoa vya NT, AD haina dhana ya PDC na BDC (kidhibiti cha msingi na chelezo cha kikoa). Moja ya majukumu ya FSMO ni Emulator ya PDC(Emulator ya Kidhibiti cha Kikoa cha Msingi). Seva chini Udhibiti wa Windows Seva ya NT inaweza kufanya kazi kama kidhibiti chelezo cha kikoa katika AD. Lakini inajulikana kuwa vikoa vya NT vinaweza kutumia kidhibiti kimoja cha msingi. Ndio maana Microsoft imeifanya ili ndani ya kikoa kimoja cha AD tunaweza kuteua seva moja kubeba jukumu la Kiigaji cha PDC. Kwa hivyo, tukiondoka kwenye istilahi, tunaweza kuzungumza juu ya uwepo wa vidhibiti kuu vya kikoa na chelezo, ikimaanisha mmiliki wa jukumu la FSMO.

Vipengee vinapofutwa au kusogezwa, mmoja wa vidhibiti lazima adumishe rejeleo la kitu hicho hadi urudufishaji ukamilike. Jukumu hili linachezwa na mmiliki wa miundombinu ya saraka ( Mwalimu wa Miundombinu).

Majukumu matatu ya mwisho yanahitaji mwimbaji awe wa kipekee ndani ya uwanja. Majukumu yote yanapewa mtawala wa kwanza aliyeundwa msituni. Wakati wa kuunda muundo wa kina wa AD, unaweza kukasimu majukumu haya kwa vidhibiti vingine. Hali zinaweza pia kutokea wakati mmiliki wa mojawapo ya majukumu hayupo (seva imeshindwa). Katika kesi hii, lazima ufanye operesheni ya kukamata jukumu la FSMO kwa kutumia matumizi NTDSUTIL(tutazungumzia matumizi yake katika makala zifuatazo). Lakini unapaswa kuwa makini, kwa sababu wakati jukumu linachukuliwa, huduma ya saraka inadhani kuwa hakuna mmiliki wa zamani na haiwasiliani naye kabisa. Kurejesha kwa mmiliki wa jukumu hapo awali kwenye mtandao kunaweza kusababisha usumbufu wa utendakazi wake. Hii ni muhimu sana kwa mmiliki wa schema, mmiliki wa jina la kikoa, na mmiliki wa kitambulisho.

Kuhusu utendaji: jukumu la emulator ya kidhibiti cha kikoa cha msingi ndilo linalohitajika zaidi kwenye rasilimali za kompyuta, hivyo inaweza kupewa mtawala mwingine. Majukumu yaliyobaki sio ya kudai sana, kwa hivyo wakati wa kuyasambaza, unaweza kuongozwa na nuances ya muundo wa kimantiki wa AD yako.
Hatua ya mwisho ya mwananadharia

Kusoma makala haipaswi kukuhamisha kabisa kutoka kwa wananadharia hadi kwa watendaji. Kwa sababu mpaka umezingatia mambo yote kutoka kwa uwekaji wa kimwili wa nodes za mtandao hadi ujenzi wa mantiki ya saraka nzima, hupaswi kupata chini ya biashara na kujenga uwanja na majibu rahisi kwa maswali ya mchawi wa ufungaji wa AD. Fikiria juu ya kile kikoa chako kitaitwa na, ikiwa utaunda watoto kwa ajili yake, jinsi watakavyoitwa. Ikiwa kuna sehemu kadhaa kwenye mtandao zilizounganishwa na njia zisizoaminika za mawasiliano, fikiria kutumia tovuti.

Kama mwongozo wa kusakinisha AD, ninaweza kupendekeza kutumia vifungu na, pamoja na msingi wa maarifa wa Microsoft.

Hatimaye, vidokezo vichache:

Jaribu, ikiwezekana, usichanganye majukumu ya Emulator ya PDC na seva ya wakala kwenye mashine moja. Kwanza, na idadi kubwa ya mashine kwenye mtandao na watumiaji wa mtandao, mzigo kwenye seva huongezeka, na pili, kwa shambulio la mafanikio kwenye wakala wako, sio mtandao tu, bali pia mtawala mkuu wa kikoa "ataanguka", na. hii ni mkali kazi isiyo sahihi mtandao mzima.
Ikiwa unasimamia mtandao wa ndani mara kwa mara, na hautatekeleza Active Directory kwa wateja, ongeza mashine kwenye kikoa hatua kwa hatua, sema, nne hadi tano kwa siku. Kwa sababu ikiwa una idadi kubwa ya mashine kwenye mtandao wako (50 au zaidi) na unaisimamia peke yako, basi hakuna uwezekano wa kuisimamia hata mwishoni mwa wiki, na hata ikiwa unaisimamia, haijulikani jinsi kila kitu kitakuwa sahihi. . Kwa kuongeza, kubadilishana nyaraka ndani ya mtandao, unaweza kutumia faili au seva ya barua ya ndani (nilielezea hili katika No. 11, 2006). Kitu pekee katika kesi hii ni kuelewa kwa usahihi jinsi ya kusanidi haki za mtumiaji kufikia seva ya faili. Kwa sababu ikiwa, kwa mfano, haijajumuishwa kwenye kikoa, uthibitishaji wa mtumiaji utafanywa kulingana na rekodi msingi wa ndani SAM. Hakuna data kuhusu watumiaji wa kikoa. Hata hivyo, ikiwa seva yako ya faili ni mojawapo ya mashine za kwanza zilizojumuishwa katika AD na sio kidhibiti cha kikoa, basi itawezekana kuthibitisha kupitia hifadhidata ya ndani ya SAM na hifadhidata ya akaunti ya AD. Lakini kwa chaguo la mwisho utahitaji mipangilio ya ndani usalama wa kuruhusu (ikiwa hili halijafanyika) ufikiaji wa seva ya faili kwenye mtandao kwa washiriki wa kikoa na akaunti za ndani.

KUHUSU ubinafsishaji zaidi Huduma za saraka (kuunda na kusimamia akaunti, kugawa sera za kikundi, n.k.) soma makala inayofuata.

Maombi

Nini Kipya katika Saraka Inayotumika katika Windows Server 2003

Pamoja na kutolewa kwa Windows Server 2003, mabadiliko yafuatayo yalionekana katika Active Directory:

Imewezekana kubadili jina la kikoa baada ya kuundwa.
imeimarika kiolesura cha mtumiaji usimamizi. Kwa mfano, unaweza kubadilisha sifa za vitu kadhaa mara moja.
Imeonekana dawa nzuri usimamizi sera za kikundi– Dashibodi ya Usimamizi wa Sera ya Kikundi (gpmc.msc, lazima ipakuliwe kutoka kwa tovuti ya Microsoft).
Viwango vya utendaji wa kikoa na msitu vimebadilika.

Mabadiliko ya mwisho yanahitaji kusemwa kwa undani zaidi. Kikoa cha AD katika Windows Server 2003 kinaweza kupatikana kwenye moja ya ngazi zinazofuata, iliyoorodheshwa kwa mpangilio wa utendakazi unaoongezeka:

Windows 2000 Mchanganyiko (Windows 2000 iliyochanganywa). Inaruhusiwa kuwa na vidhibiti vya matoleo tofauti - Windows NT na Windows 2000/2003. Kwa kuongezea, ikiwa seva za Windows 2000/2003 zina haki sawa, basi seva ya NT, kama ilivyotajwa tayari, inaweza kuchukua hatua tu. kidhibiti chelezo kikoa.
Windows 2000 Native (asili Windows 2000). Inaruhusiwa kuwa na vidhibiti vinavyoendesha Windows Server 2000/2003. Kiwango hiki ni kazi zaidi, lakini ina vikwazo vyake. Kwa mfano, hutaweza kubadilisha jina la vidhibiti vya kikoa.
Windows Server 2003 Muda (kati Windows Server 2003). Inakubalika kuwa na vidhibiti vinavyoendesha Windows NT pamoja na Windows Server 2003. Inatumika, kwa mfano, wakati kidhibiti kikuu cha kikoa kinachoendesha seva ya Windows NT kinasasishwa hadi W2K3. Kiwango kina utendaji zaidi kidogo kuliko kiwango cha Native Windows 2000.
Windows Server 2003. Vidhibiti vinavyoendesha Windows Server 2003 pekee ndivyo vinavyoruhusiwa kwenye kikoa. Katika kiwango hiki, unaweza kuchukua fursa ya uwezo wote wa huduma. Saraka za Windows Seva ya 2003.

Viwango vya utendaji vya msitu wa kikoa kimsingi ni sawa na kwa vikoa. Mbali pekee ni kwamba kuna ngazi moja tu ya Windows 2000, ambayo inawezekana kutumia watawala wanaoendesha Windows NT, pamoja na Windows Server 2000/2003, katika msitu.

Inafaa kumbuka kuwa kubadilisha kiwango cha kazi cha kikoa na msitu ni operesheni isiyoweza kutenduliwa. Hiyo ni, hakuna utangamano wa nyuma.

1. Korobko I. Active Directory - nadharia ya ujenzi. //« Msimamizi wa Mfumo", No. 1, 2004 - ukurasa wa 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

2. Markov R. Domains Windows 2000/2003 - kuacha kikundi cha kazi. //"Msimamizi wa Mfumo", No. 9, 2005 - ukurasa wa 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a=01).

3. Markov R. Ufungaji na Mpangilio wa Windows Seva ya 2K. //"Msimamizi wa Mfumo", Nambari 10, 2004 - ukurasa wa 88-94. (http://www.samag.ru/cgi-bin/go.pl? q=makala;n=10.2004;a=12).

Alexander Emelyanov

Teknolojia ya Active Directory (AD) ni huduma ya saraka iliyoundwa na Microsoft. Huduma ya saraka ina data katika muundo uliopangwa na hutoa ufikiaji uliopangwa kwake. Active Directory si uvumbuzi wa Microsoft, lakini utekelezaji wa mfano wa viwanda uliopo (yaani X.500), itifaki ya mawasiliano (LDAP - Saraka Nyepesi). Itifaki ya Ufikiaji) na teknolojia za kurejesha data (huduma za DNS).

Kujifunza kuhusu Active Directory kunapaswa kuanza kwa kuelewa madhumuni ya teknolojia hii. Kwa ujumla, saraka ni chombo cha kuhifadhi data.

Saraka ya simu ni mfano mzuri wa huduma ya saraka kwa sababu ina seti ya data na hutoa uwezo wa kupata taarifa muhimu kutoka kwenye orodha. Saraka ina maingizo mbalimbali, ambayo kila moja ina thamani ya eigen, kwa mfano, majina/majina ya waliojiandikisha, anwani zao za nyumbani na, kwa kweli, nambari ya simu. Katika saraka iliyopanuliwa, maingizo yanapangwa kulingana na eneo la kijiografia, aina, au zote mbili. Kwa njia hii, safu ya aina za rekodi inaweza kuundwa kwa kila eneo la kijiografia. Kwa kuongeza, operator wa simu pia hukutana na ufafanuzi wa huduma ya saraka kwa sababu ina upatikanaji wa data. Kwa hiyo, ikiwa unatoa ombi la kupata data yoyote ya saraka, operator atatoa jibu linalohitajika kwa ombi lililopokelewa.

Huduma ya saraka ya Active Directory imeundwa kuhifadhi habari kuhusu rasilimali zote za mtandao. Wateja wana uwezo wa kuuliza Active Directory kupata taarifa kuhusu kitu chochote cha mtandao. Vipengele vya Active Directory ni pamoja na yafuatayo:

Hifadhi hifadhi ya data salama. Kila kitu katika Active Directory kina orodha mwenyewe udhibiti wa ufikiaji (ACL), ambao una orodha ya rasilimali ambazo zimepewa ufikiaji wa kitu, pamoja na kiwango kilichoainishwa cha ufikiaji wa kitu hicho.
Injini ya maswali yenye vipengele vingi kulingana na katalogi ya kimataifa iliyoundwa na Active Directory (GC). Wateja wote wanaotumia Active Directory wanaweza kufikia saraka hii.
Kuiga data ya saraka kwa vidhibiti vyote vya kikoa hurahisisha ufikiaji wa habari, kuboresha upatikanaji, na kuboresha kutegemewa kwa huduma kwa ujumla.
Dhana ya upanuzi ya msimu ambayo hukuruhusu kuongeza aina mpya za vitu au kupanua vitu vilivyopo. Kwa mfano, unaweza kuongeza sifa ya "mshahara" kwa kitu cha "mtumiaji".
Mawasiliano ya mtandao kwa kutumia itifaki nyingi. Saraka Inayotumika inategemea muundo wa X.500, unaotumia itifaki mbalimbali za mtandao kama vile LDAP 2, LDAP 3 na HTTP.
Huduma ya DNS inatumika badala ya NetBIOS kutekeleza Huduma ya Jina la Kidhibiti cha Kikoa na kutafuta anwani za mtandao.

Taarifa ya saraka inasambazwa kwenye kikoa kizima, hivyo basi kuepuka kurudia data nyingi kupita kiasi.

Ingawa Active Directory husambaza taarifa za saraka katika maduka mbalimbali, watumiaji wana uwezo wa kuuliza Active Directory kwa maelezo kuhusu vikoa vingine. Katalogi ya ulimwengu ina taarifa kuhusu vitu vyote katika msitu wa biashara, kukusaidia kutafuta data katika msitu mzima.

Unapoendesha matumizi ya DCPROMO (Utility Domain Controller Promotion) kwenye kompyuta ya Windows ili kuunda kikoa kipya, matumizi huunda kikoa kwenye seva ya DNS. Kisha mteja huwasiliana na seva ya DNS ili kupata taarifa kuhusu kikoa chake. Seva ya DNS hutoa habari sio tu kuhusu kikoa, lakini pia kuhusu mtawala wa kikoa wa karibu. Mfumo wa mteja, kwa upande wake, unaunganishwa na hifadhidata ya kikoa cha Active Directory kwenye kidhibiti cha kikoa kilicho karibu ili kupata vitu muhimu (vichapishaji, seva za faili, watumiaji, vikundi, vitengo vya shirika) vilivyojumuishwa kwenye kikoa. Kwa sababu kila kidhibiti cha kikoa huhifadhi marejeleo ya vikoa vingine kwenye mti, mteja anaweza kutafuta mti mzima wa kikoa.

Ladha ya Active Directory inayoorodhesha vitu vyote katika msitu wa kikoa inapatikana unapohitaji kupata data nje ya mti wa kikoa cha mteja. Toleo hili linaitwa orodha ya kimataifa. Katalogi ya kimataifa inaweza kuhifadhiwa kwenye kidhibiti chochote cha kikoa katika msitu wa AD.

Katalogi ya kimataifa hutoa ufikiaji wa haraka kwa kila kitu ambacho kiko kwenye msitu wa kikoa, lakini wakati huo huo kina vigezo vya kitu fulani. Ili kupata sifa zote, lazima uwasiliane na huduma ya Active Directory ya kikoa lengwa (mtawala wa kikoa cha riba). Katalogi ya kimataifa inaweza kusanidiwa ili kutoa sifa za kitu zinazohitajika.

Ili kurahisisha mchakato wa kuunda vitu vya Saraka Inayotumika, kidhibiti cha kikoa hudumisha nakala na daraja la darasa kwa msitu mzima. Active Directory ina miundo ya darasa katika schema inayoweza kupanuliwa ambayo madarasa mapya yanaweza kuongezwa.

Schema ni sehemu ya nafasi ya majina ya usanidi wa Windows ambayo inatumika na vidhibiti vyote vya kikoa msituni. Nafasi ya majina ya usanidi wa Windows inajumuisha kadhaa vipengele vya muundo, kama vile eneo la kimwili, tovuti za Windows na nyavu ndogo.

Tovuti iko ndani ya msitu na inaweza kuunganisha kompyuta kutoka kwa kikoa chochote, na kompyuta zote kwenye tovuti lazima ziwe na haraka na za kuaminika. miunganisho ya mtandao ili kuhifadhi data ya kidhibiti cha kikoa.

Subnet ni kundi la anwani za IP zilizotengwa kwa tovuti. Neti ndogo hukuruhusu kuharakisha urudufishaji wa data ya Active Directory kati ya vidhibiti vya kikoa.

Siri yangu

Saraka inayotumika ni msingi. Kanuni za kuunda vikoa vya Saraka Inayotumika. Hazina ya usanidi wa programu iliyounganishwa

Saraka Inayotumika na DNS

Usambazaji wa Orodha tendaji juu ya Kikundi cha Kazi hutoa faida zifuatazo:

Uwezo na Uthabiti wa Saraka Inayotumika

Faida za kupata toleo jipya la Windows Server 2008 R2

Utekelezaji Saraka Inayotumika

Tovuti

Shirika la Huduma ya Saraka

Katalogi ya ulimwengu

Majukumu

Maombi

Tunapendekeza

Samsung Charm: kifuatiliaji cha siha cha bei nafuu na maridadi

Firmware kwa simu mahiri za Huawei - maagizo rahisi

Manufaa na hasara za vipokea sauti vinavyobanwa kichwani ikilinganishwa na vinavyobadilika

Vipokea sauti vya masikioni vya waya vya kivita

mde faili Fungua faili za MDE. Umbizo la faili la .MDE linatumika kwa ajili gani?

Fungua faili smf. Jinsi ya kufungua SMF? Njia mbadala ya kubadilisha faili ya SMF kuwa faili ya PDF

Jinsi ya kuweka nenosiri kwenye kumbukumbu katika WinRAR Jinsi ya kuhifadhi nyaraka na kuweka nenosiri

Maisha mapya kwa kompyuta ya zamani au nini cha kufanya na vifaa vya zamani Jinsi ya kutengeneza mpya kutoka kwa ubao wa zamani

Programu za kuongeza kasi ya mtandao

Mapitio ya Samsung Galaxy A7 - Msururu Bora wa Kati ulio na Vipengele vya Bendera ya Vifuasi vya Galaxy A7

Jinsi ya kuweka nenosiri kwenye folda kwa njia tofauti Weka msimbo kwenye faili

Utambuzi otomatiki wa injini ya jukwaa

Mada inayohusiana ya php inayoendeshwa na smf

Windows OS haitapakia ukarabati wa kuanzisha Windows 7 hautaanza

Hifadhi ya diski kwenye kompyuta ya mkononi haifunguzi: nini cha kufanya, sababu za tatizo Hifadhi ya disk kwenye kompyuta haitoke.

Kuunganisha ubao wa mama kwenye usambazaji wa umeme

GPS: kanuni za uendeshaji wa mfumo na usahihi wa uamuzi wa kuratibu

Jinsi ya kuzuia ukurasa wa VK wa mtu

Ulimwengu wa Mizinga huchukua muda mrefu kuingia vitani Kwa nini mizinga huchukua muda mrefu kupakia?

Jinsi ya kupata hazina zaidi za Cydia Hazina mpya za cydia ios 9

Samsung Charm: kifuatiliaji cha siha cha bei nafuu na maridadi

Firmware kwa simu mahiri za Huawei - maagizo rahisi

Manufaa na hasara za vipokea sauti vinavyobanwa kichwani ikilinganishwa na vinavyobadilika

Vipokea sauti vya masikioni vya waya vya kivita

mde faili Fungua faili za MDE. Umbizo la faili la .MDE linatumika kwa ajili gani?