การติดตั้งตัวควบคุมโดเมนเป็นส่วนสำคัญของเครือข่ายคอมพิวเตอร์ ซึ่งควบคุมการทำงานของเครือข่ายคอมพิวเตอร์เป็นหลัก หน้าที่หลักคือการเรียกใช้บริการ Active Directory ที่สำคัญ ทำงานร่วมกับหน่วยงานกระจายคีย์ - Kerberos
ยังจัดเตรียมการทำงานบนระบบที่เข้ากันได้กับ Unix ในนั้นชุดซอฟต์แวร์ Samba ทำหน้าที่เป็นตัวควบคุม
ตัวควบคุมโดเมนใช้เพื่อสร้างเครือข่ายท้องถิ่นที่ผู้ใช้สามารถเข้าสู่ระบบด้วยชื่อของตนเองและด้วยข้อมูลประจำตัวของตนเอง พวกเขาควรทำสิ่งนี้กับคอมพิวเตอร์ทุกเครื่อง นอกจากนี้ การติดตั้งตัวควบคุมโดเมนช่วยให้มั่นใจได้ว่าสิทธิ์การเข้าถึงถูกกำหนดบนเครือข่ายและมีการจัดการความปลอดภัย ด้วยความช่วยเหลือนี้ คุณสามารถจัดการเครือข่ายทั้งหมดจากส่วนกลางได้ ซึ่งมีความสำคัญมาก
ตัวควบคุมโดเมนยังสามารถทำงานภายใต้ Windows Server 2003 ได้อีกด้วย นี่คือวิธีการจัดเก็บข้อมูลไดเรกทอรีทั้งหมด จัดการการดำเนินงานของผู้ใช้และโดเมน ควบคุมการเข้าสู่ระบบของผู้ใช้ ตรวจสอบความถูกต้องของไดเรกทอรี และอื่นๆ ทั้งหมดสามารถสร้างได้โดยใช้โปรแกรมติดตั้ง Active Directory นอกจากนี้ยังสามารถทำงานบน Windows NT ได้อีกด้วย ที่นี่เพื่อให้ทำงานได้อย่างน่าเชื่อถือยิ่งขึ้นจึงมีการสร้างตัวควบคุมเพิ่มเติมขึ้น มันจะเชื่อมต่อกับตัวควบคุมหลัก
มีเซิร์ฟเวอร์หนึ่งเครื่องบนเครือข่าย Windows NT สามารถใช้เพื่อดำเนินการตัวควบคุมโดเมนหลักหรือ PDC เซิร์ฟเวอร์อื่นๆ ทั้งหมดทำงานเป็นเซิร์ฟเวอร์เสริม ตัวอย่างเช่น พวกเขาสามารถดำเนินการยืนยันผู้ใช้ทั้งหมด จัดเก็บและตรวจสอบรหัสผ่านและการดำเนินการที่สำคัญอื่น ๆ แต่ในขณะเดียวกัน พวกเขาไม่สามารถเพิ่มผู้ใช้ใหม่ไปยังเซิร์ฟเวอร์ได้ และไม่สามารถเปลี่ยนรหัสผ่านได้ และสิ่งที่คล้ายคลึงกัน นั่นคือ การตั้งค่าตัวควบคุมโดเมนมีความหลากหลายน้อยกว่า การดำเนินการเหล่านี้สามารถทำได้โดยใช้ PDC เท่านั้น การเปลี่ยนแปลงที่เกิดขึ้นสามารถเผยแพร่ไปยังโดเมนสำรองทั้งหมดได้ หากไม่มีเซิร์ฟเวอร์หลัก โดเมนสำรองก็ไม่สามารถเลื่อนระดับเป็นโดเมนหลักได้
อย่างไรก็ตาม คุณสามารถตั้งค่าตัวควบคุมโดเมน เครือข่าย และเพิ่มระดับโดเมนบนคอมพิวเตอร์ทุกเครื่องและที่บ้านได้ ภูมิปัญญานี้ง่ายต่อการเรียนรู้ด้วยตนเอง เครื่องมือทั้งหมดที่จำเป็นสำหรับสิ่งนี้จะอยู่ในแผงควบคุม - เพิ่มหรือลบโปรแกรม - การติดตั้งส่วนประกอบของระบบ จริงอยู่ที่คุณจะต้องทำงานร่วมกับพวกเขาโดยติดตั้งดิสก์ด้วยระบบปฏิบัติการในคอมพิวเตอร์ของคุณก่อน คุณสามารถเพิ่มบทบาทของคอมพิวเตอร์ของคุณได้โดยใช้บรรทัดคำสั่งโดยป้อนคำสั่ง dcpromo เข้าไป
นอกจากนี้ การตรวจสอบตัวควบคุมโดเมนสามารถทำได้ง่าย ๆ โดยใช้ยูทิลิตี้พิเศษที่ทำงานจริงในโหมดอัตโนมัตินั่นคือช่วยให้คุณได้รับข้อมูลที่จำเป็นหลังจากเริ่มโปรแกรมและปรับการทำงานของตัวควบคุมหลังจากทำการวินิจฉัย ตัวอย่างเช่น คุณสามารถใช้โปรแกรมอรรถประโยชน์ Ntdsutil.exe ซึ่งให้ความสามารถในการเชื่อมต่อกับตัวควบคุมโดเมนที่ติดตั้งใหม่เพื่อทดสอบความสามารถในการตอบสนองต่อคำขอ LDAP นอกจากนี้ การใช้ซอฟต์แวร์นี้ยังสามารถตรวจสอบได้ว่าตัวควบคุมมีข้อมูลเกี่ยวกับตำแหน่งของบทบาท FSMO ในโดเมนของตัวเองหรือไม่
ยังมีวิธีง่ายๆ ที่จะช่วยให้คุณสามารถวินิจฉัยการทำงานที่เหมาะสมของคอนโทรลเลอร์ได้ โดยเฉพาะอย่างยิ่งคุณสามารถไปที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (คีย์รีจิสทรี) และมองหาคีย์ย่อยของ NTDS ที่นั่น ซึ่งการมีอยู่ของสิ่งนี้บ่งบอกถึงการทำงานปกติของตัวควบคุมโดเมน มีวิธีป้อนบัญชี net ในบรรทัดคำสั่งและหากคอมพิวเตอร์เป็นตัวควบคุมโดเมนคุณจะเห็นค่า BACKUP หรือ PRIMARY ในบรรทัดบทบาทของคอมพิวเตอร์ ค่าอื่น ๆ มีอยู่ในคอมพิวเตอร์ธรรมดา
ตัวควบคุมโดเมนคืออะไร
ตัวควบคุมโดเมนให้การจัดการแบบรวมศูนย์ของอุปกรณ์เครือข่าย ซึ่งก็คือ โดเมน คอนโทรลเลอร์จัดเก็บข้อมูลทั้งหมดจากบัญชีและพารามิเตอร์ของผู้ใช้เครือข่าย สิ่งเหล่านี้คือการตั้งค่าความปลอดภัย นโยบายท้องถิ่น และอื่นๆ อีกมากมาย นี่คือเซิร์ฟเวอร์ชนิดหนึ่งที่ควบคุมเครือข่ายหรือกลุ่มเครือข่ายเฉพาะอย่างสมบูรณ์ ตัวควบคุมโดเมนคือชุดซอฟต์แวร์พิเศษประเภทหนึ่งที่เรียกใช้บริการ Active Directory ต่างๆ ตัวควบคุมใช้ระบบปฏิบัติการบางระบบ เช่น Windows Server 2003 Active Drive Setup Wizard ช่วยให้คุณสร้างตัวควบคุมโดเมนได้
ในระบบปฏิบัติการ Windows NT ตัวควบคุมโดเมนหลักถูกใช้เป็นเซิร์ฟเวอร์หลัก เซิร์ฟเวอร์อื่นๆ ที่ใช้งานอยู่จะถูกใช้เป็นตัวควบคุมการสำรองข้อมูล ตัวควบคุม PDC พื้นฐานสามารถแก้ปัญหาต่างๆ ที่เกี่ยวข้องกับการเป็นสมาชิกของผู้ใช้ในกลุ่ม การสร้างและการเปลี่ยนรหัสผ่าน การเพิ่มผู้ใช้ และอื่นๆ อีกมากมาย หลังจากนั้นข้อมูลจะถูกส่งไปยังตัวควบคุม BDC เพิ่มเติม
ซอฟต์แวร์ Samba 4 สามารถใช้เป็นตัวควบคุมโดเมนได้หากติดตั้งระบบปฏิบัติการ Unix ซอฟต์แวร์นี้ยังรองรับระบบปฏิบัติการอื่นๆ เช่น windows 2003, 2008, 2003 R2 และ 2008 R2 แต่ละระบบปฏิบัติการสามารถขยายได้หากจำเป็น ขึ้นอยู่กับข้อกำหนดและพารามิเตอร์เฉพาะ
การใช้ตัวควบคุมโดเมน
ตัวควบคุมโดเมนถูกใช้โดยองค์กรหลายแห่งซึ่งมีคอมพิวเตอร์ตั้งอยู่ซึ่งเชื่อมต่อถึงกันและกับเครือข่าย ตัวควบคุมจะจัดเก็บข้อมูลไดเร็กทอรีและควบคุมวิธีที่ผู้ใช้เข้าสู่ระบบและออกจากระบบ รวมถึงจัดการการโต้ตอบระหว่างกัน
องค์กรที่ใช้ตัวควบคุมโดเมนจำเป็นต้องตัดสินใจว่าจะใช้จำนวนเท่าใด วางแผนสำหรับการเก็บข้อมูลถาวร การรักษาความปลอดภัยทางกายภาพ การอัพเกรดเซิร์ฟเวอร์ และงานที่จำเป็นอื่นๆ
หากบริษัทหรือองค์กรมีขนาดเล็กและใช้เครือข่ายโดเมนเพียงเครือข่ายเดียว ก็เพียงพอแล้วที่จะใช้ตัวควบคุมสองตัวที่สามารถให้ความเสถียรสูง ความทนทานต่อข้อผิดพลาด และความพร้อมใช้งานของเครือข่ายในระดับสูง ในเครือข่ายที่แบ่งออกเป็นไซต์จำนวนหนึ่งจะมีการติดตั้งตัวควบคุมหนึ่งตัวในแต่ละไซต์ซึ่งช่วยให้บรรลุประสิทธิภาพและความน่าเชื่อถือที่จำเป็น การใช้คอนโทรลเลอร์ในแต่ละไซต์ทำให้การเข้าสู่ระบบของผู้ใช้ทำได้ง่ายและรวดเร็วยิ่งขึ้น
การรับส่งข้อมูลเครือข่ายสามารถปรับให้เหมาะสมได้ ในการดำเนินการนี้ คุณต้องตั้งเวลาสำหรับการอัปเดตการจำลองเมื่อมีภาระงานบนเครือข่ายน้อยที่สุด การตั้งค่าการจำลองจะทำให้งานของคุณง่ายขึ้นอย่างมากและมีประสิทธิผลมากขึ้น
คุณสามารถบรรลุประสิทธิภาพสูงสุดในคอนโทรลเลอร์ได้หากโดเมนเป็นแค็ตตาล็อกส่วนกลาง ซึ่งจะช่วยให้คุณสามารถสืบค้นออบเจ็กต์ใดๆ สำหรับน้ำหนักที่เฉพาะเจาะจงได้ สิ่งสำคัญคือต้องจำไว้ว่าการเปิดใช้งานแค็ตตาล็อกส่วนกลางทำให้เกิดการเพิ่มขึ้นอย่างมากในการรับส่งข้อมูลการจำลองแบบ
วิธีที่ดีที่สุดคือไม่เปิดใช้งานตัวควบคุมโดเมนโฮสต์หากมีการใช้ตัวควบคุมโดเมนมากกว่าหนึ่งตัว เมื่อใช้ตัวควบคุมโดเมน การดูแลความปลอดภัยเป็นสิ่งสำคัญมาก เนื่องจากผู้โจมตีที่ต้องการครอบครองข้อมูลที่จำเป็นสำหรับการหลอกลวงจะเข้าถึงได้ค่อนข้างมาก
คุณสมบัติของการติดตั้งตัวควบคุมโดเมนเพิ่มเติม
เพื่อให้บรรลุความน่าเชื่อถือที่สูงขึ้นในการทำงานของบริการเครือข่ายที่จำเป็น จำเป็นต้องติดตั้งตัวควบคุมโดเมนเพิ่มเติม เป็นผลให้คุณสามารถได้รับความเสถียร ความน่าเชื่อถือ และความปลอดภัยในการทำงานที่สูงขึ้นอย่างมาก ในกรณีนี้ ประสิทธิภาพเครือข่ายจะสูงขึ้นอย่างมาก ซึ่งเป็นพารามิเตอร์ที่สำคัญมากสำหรับองค์กรที่ใช้ตัวควบคุมโดเมน
เพื่อให้ตัวควบคุมโดเมนทำงานได้อย่างถูกต้อง จะต้องดำเนินการเตรียมการบางอย่าง สิ่งแรกที่ต้องทำคือตรวจสอบการตั้งค่า TCP/IP ซึ่งจะต้องตั้งค่าอย่างถูกต้องสำหรับเซิร์ฟเวอร์ สิ่งที่สำคัญที่สุดคือการตรวจสอบชื่อ DNS สำหรับการแมป
เพื่อการทำงานที่ปลอดภัยของตัวควบคุมโดเมน คุณต้องใช้ระบบไฟล์ NTFS ซึ่งให้ความปลอดภัยที่สูงกว่าเมื่อเปรียบเทียบกับระบบไฟล์ FAT 32 หากต้องการติดตั้งบนเซิร์ฟเวอร์ คุณต้องสร้างพาร์ติชั่นหนึ่งตัวในระบบไฟล์ NTFS ซึ่งจะบรรจุระบบไว้ ปริมาณ. จำเป็นต้องเข้าถึงเซิร์ฟเวอร์ DNS จากเซิร์ฟเวอร์ด้วย มีการติดตั้งบริการ DNS บนเซิร์ฟเวอร์นี้หรือเซิร์ฟเวอร์เพิ่มเติม ซึ่งจะต้องรองรับบันทึกทรัพยากร
หากต้องการกำหนดค่าตัวควบคุมโดเมนอย่างถูกต้อง คุณสามารถใช้ Configuration Wizard ซึ่งช่วยให้คุณสามารถเพิ่มบทบาทเฉพาะได้ ในการดำเนินการนี้ คุณจะต้องไปที่ส่วนการดูแลระบบผ่านแผงควบคุม คุณต้องระบุตัวควบคุมโดเมนเป็นบทบาทเซิร์ฟเวอร์
ในปัจจุบัน ตัวควบคุมโดเมนเป็นสิ่งที่ขาดไม่ได้สำหรับเครือข่ายและไซต์ที่ใช้งานโดยองค์กร สถาบัน และบริษัทต่างๆ ในทุกด้านของกิจกรรมของมนุษย์ ด้วยเหตุนี้จึงมั่นใจได้ถึงประสิทธิภาพและความปลอดภัยสูงซึ่งมีความสำคัญเป็นพิเศษในเครือข่ายคอมพิวเตอร์ บทบาทของตัวควบคุมโดเมนมีความสำคัญมากเนื่องจากช่วยให้คุณสามารถจัดการพื้นที่โดเมนที่สร้างบนเครือข่ายคอมพิวเตอร์ได้ ระบบปฏิบัติการแต่ละระบบมีความแตกต่างบางประการที่เกี่ยวข้องกับการทำงานของตัวควบคุมโดเมน แต่หลักการและวัตถุประสงค์ของมันเหมือนกันทุกที่ ดังนั้นการทำความเข้าใจการตั้งค่าจึงไม่ยากอย่างที่คิดตั้งแต่แรกเริ่ม อย่างไรก็ตาม เป็นสิ่งสำคัญมากที่ตัวควบคุมโดเมนจะต้องได้รับการกำหนดค่าโดยผู้เชี่ยวชาญเพื่อให้มั่นใจถึงประสิทธิภาพและความปลอดภัยสูงระหว่างการดำเนินการในท้ายที่สุด
อัปเดต:ฉันสร้างช่องวิดีโอบน YouTube โดยฉันจะค่อยๆ โพสต์วิดีโอการฝึกอบรมเกี่ยวกับไอทีทุกด้านที่ฉันเชี่ยวชาญ ติดตาม: http://www.youtube.com/user/itsemaev
UPD2: Microsoft มักจะเปลี่ยนไวยากรณ์บรรทัดคำสั่งตามปกติ ดังนั้นบทบาทใน Windows Server แต่ละเวอร์ชันจึงอาจฟังดูแตกต่างออกไป พวกเขาไม่ได้เรียกว่า fsmo อีกต่อไป แต่เป็นผู้เชี่ยวชาญด้านการดำเนินการ ดังนั้นสำหรับคำสั่งที่ถูกต้องในคอนโซลหลังการบำรุงรักษา fsmo เพียงแค่เขียน? และมันจะแสดงคำสั่งที่ใช้ได้
ในนิตยสารเดือนเมษายนของฉัน "ผู้ดูแลระบบ" พวกเขาได้เขียนบทความในหัวข้อ "การแทนที่ตัวควบคุมโดเมนที่ล้าสมัยหรือล้มเหลวบน Windows Server อย่างไม่ลำบาก"
และพวกเขายังจ่ายเงินหนึ่งร้อยดอลลาร์และมอบถุงสมองให้ฉันด้วย)) ตอนนี้ฉันคือโอโนโทลแล้ว
แทนที่ตัวควบคุมโดเมน Windows Server ที่ล้าสมัยหรือล้มเหลวอย่างไม่ลำบาก(ถ้าใครต้องการฉันจะส่งรูปให้คุณ)
หากตัวควบคุมโดเมนของคุณล้มเหลวหรือล้าสมัยโดยสิ้นเชิงและจำเป็นต้องเปลี่ยน อย่ารีบเร่งที่จะวางแผนที่จะใช้เวลาสุดสัปดาห์ถัดไปในการสร้างโดเมนใหม่บนเซิร์ฟเวอร์ใหม่และถ่ายโอนเครื่องของผู้ใช้ไปยังโดเมนนั้นอย่างอุตสาหะ การจัดการตัวควบคุมโดเมนสำรองอย่างเหมาะสมจะช่วยให้คุณเปลี่ยนเซิร์ฟเวอร์ก่อนหน้าได้อย่างรวดเร็วและไม่ลำบาก
ผู้ดูแลระบบเกือบทุกคนที่ทำงานกับเซิร์ฟเวอร์ที่ใช้ Windows ไม่ช้าก็เร็วต้องเผชิญกับความจำเป็นในการเปลี่ยนตัวควบคุมโดเมนหลักที่ล้าสมัยโดยสิ้นเชิง การอัปเกรดเพิ่มเติมนั้นไม่สมเหตุสมผลอีกต่อไปด้วยอันใหม่ที่ตรงตามข้อกำหนดที่ทันสมัยกว่า มีสถานการณ์ที่เลวร้ายยิ่งกว่านั้นอีก - ตัวควบคุมโดเมนใช้งานไม่ได้เนื่องจากการเสียในระดับกายภาพ และการสำรองข้อมูลและรูปภาพล้าสมัยหรือสูญหาย
โดยหลักการแล้ว คำอธิบายของขั้นตอนการแทนที่ตัวควบคุมโดเมนหนึ่งด้วยตัวควบคุมโดเมนอื่นสามารถพบได้ในฟอรัมต่างๆ แต่ข้อมูลจะได้รับเป็นส่วนย่อยและตามกฎแล้วจะใช้กับสถานการณ์เฉพาะเท่านั้น แต่ไม่ได้ให้วิธีแก้ปัญหาจริง นอกจากนี้ แม้จะอ่านฟอรัม ฐานความรู้ และแหล่งข้อมูลอื่น ๆ เป็นภาษาอังกฤษเป็นจำนวนมาก แต่ฉันก็สามารถดำเนินการตามขั้นตอนการเปลี่ยนตัวควบคุมโดเมนได้อย่างมีประสิทธิภาพโดยไม่มีข้อผิดพลาดเพียงครั้งที่สามหรือสี่เท่านั้น
ดังนั้น ฉันต้องการให้คำแนะนำทีละขั้นตอนในการเปลี่ยนโดเมนคอนโทรลเลอร์ ไม่ว่าจะใช้งานได้หรือไม่ก็ตาม ข้อแตกต่างเพียงอย่างเดียวคือในกรณีของตัวควบคุม "ล้ม" บทความนี้จะช่วยได้ก็ต่อเมื่อคุณดูแลล่วงหน้าและปรับใช้ตัวควบคุมโดเมนสำรอง
การเตรียมเซิร์ฟเวอร์สำหรับการเลื่อนตำแหน่ง/ลดตำแหน่ง
ขั้นตอนการสร้างตัวควบคุมโดเมนสำรองนั้นง่ายดาย เพียงเรียกใช้วิซาร์ด dcpromo บนเซิร์ฟเวอร์ใดก็ได้บนเครือข่าย การใช้ตัวช่วยสร้าง dcpromo เราสร้างตัวควบคุมโดเมนในโดเมนที่มีอยู่ จากการเปลี่ยนแปลงเหล่านี้ เราจึงได้รับบริการไดเรกทอรี AD ที่ปรับใช้บนเซิร์ฟเวอร์เพิ่มเติมของเรา (ฉันจะเรียกมันว่าเซิร์ฟเวอร์ และตัวควบคุมหลัก - dcserver)
ต่อไป หาก dcpromo ไม่แนะนำ เราจะเริ่มติดตั้งเซิร์ฟเวอร์ DNS คุณไม่จำเป็นต้องเปลี่ยนการตั้งค่าใดๆ และไม่จำเป็นต้องสร้างโซนด้วย โดยโซนจะถูกจัดเก็บไว้ใน AD และบันทึกทั้งหมดจะถูกจำลองไปยังตัวควบคุมการสำรองข้อมูลโดยอัตโนมัติ ข้อควรสนใจ - โซนหลักใน DNS จะปรากฏขึ้นหลังจากการจำลองแบบเท่านั้น เพื่อเร่งความเร็วในการรีบูตเซิร์ฟเวอร์ ในการตั้งค่า TCP/IP ของการ์ดเครือข่ายของตัวควบคุมโดเมนสำรอง ที่อยู่ของเซิร์ฟเวอร์ DNS หลักต้องระบุที่อยู่ IP ของตัวควบคุมโดเมนหลัก
ตอนนี้คุณสามารถตรวจสอบการทำงานของเซิร์ฟเวอร์ตัวควบคุมโดเมนสำรองได้อย่างง่ายดาย เราสามารถสร้างผู้ใช้โดเมนได้ทั้งบนตัวควบคุมโดเมนหลักและสำรอง ทันทีหลังจากการสร้าง มันจะปรากฏบนเซิร์ฟเวอร์ที่ซ้ำกัน แต่ภายในหนึ่งนาที (ในขณะที่กำลังจำลองแบบ) มันจะแสดงเป็นปิดการใช้งาน หลังจากนั้นมันจะเริ่มปรากฏเหมือนกันบนคอนโทรลเลอร์ทั้งสองตัว
เมื่อมองแวบแรก ขั้นตอนทั้งหมดในการสร้างรูปแบบการทำงานสำหรับการโต้ตอบของตัวควบคุมโดเมนหลายตัวได้เสร็จสิ้นแล้ว และตอนนี้ ในกรณีที่ตัวควบคุมโดเมน "หลัก" ล้มเหลว ตัวควบคุม "สำรอง" จะทำหน้าที่ของมันโดยอัตโนมัติ . อย่างไรก็ตาม แม้ว่าความแตกต่างระหว่างตัวควบคุมโดเมน "หลัก" และ "สำรอง" นั้นเป็นเพียงค่าเล็กน้อย แต่ตัวควบคุมโดเมน "หลัก" มีคุณลักษณะหลายประการ (บทบาท FSMO) ที่ไม่ควรลืม ดังนั้น การดำเนินการข้างต้นจึงไม่เพียงพอสำหรับการทำงานปกติของบริการไดเร็กทอรีเมื่อตัวควบคุมโดเมน "หลัก" ล้มเหลว และการดำเนินการที่ต้องดำเนินการเพื่อโอน/ยึดบทบาทของตัวควบคุมโดเมนหลักอย่างมีประสิทธิภาพจะอธิบายไว้ด้านล่าง
ทฤษฎีเล็กน้อย
คุณจำเป็นต้องทราบว่าตัวควบคุมโดเมน Active Directory มีบทบาทหลายประเภท บทบาทเหล่านี้เรียกว่า FSMO (การดำเนินการหลักเดียวที่ยืดหยุ่น):
- Schema Master (Schema Master) - บทบาทมีหน้าที่รับผิดชอบในการเปลี่ยนแปลงสคีมา - เช่นปรับใช้เซิร์ฟเวอร์ Exchange หรือเซิร์ฟเวอร์ ISA หากเจ้าของบทบาทไม่พร้อมใช้งาน คุณจะไม่สามารถเปลี่ยนสคีมาของโดเมนที่มีอยู่ได้
- Domain Naming Master (หลักการดำเนินการตั้งชื่อโดเมน) - บทบาทจำเป็นหากมีหลายโดเมนหรือโดเมนย่อยในฟอเรสต์โดเมนของคุณ หากไม่มีสิ่งนี้ จะไม่สามารถสร้างและลบโดเมนในฟอเรสต์โดเมนเดียวได้
- Relative ID Master (Relative ID Master) - รับผิดชอบในการสร้าง ID เฉพาะสำหรับวัตถุ AD แต่ละรายการ
- Primary Domain Controller Emulator - รับผิดชอบในการทำงานกับบัญชีผู้ใช้และนโยบายความปลอดภัย การขาดการสื่อสารทำให้คุณสามารถเข้าสู่เวิร์กสเตชันด้วยรหัสผ่านเก่าซึ่งไม่สามารถเปลี่ยนแปลงได้หากตัวควบคุมโดเมน "ตก"
- Infrastructure Master (Infrastructure Master) - บทบาทมีหน้าที่รับผิดชอบในการส่งข้อมูลเกี่ยวกับวัตถุ AD ไปยังตัวควบคุมโดเมนอื่นทั่วทั้งฟอเรสต์
บทบาทเหล่านี้เขียนในรายละเอียดเพียงพอในฐานความรู้หลายแห่ง แต่บทบาทหลักมักถูกลืมไปเกือบทุกครั้ง - นี่คือบทบาทของ Global Catalog ในความเป็นจริงไดเร็กทอรีนี้เพิ่งเปิดตัวบริการ LDAP บนพอร์ต 3268 แต่ไม่สามารถเข้าถึงได้จะไม่อนุญาตให้ผู้ใช้โดเมนเข้าสู่ระบบ สิ่งที่น่าสังเกตคือตัวควบคุมโดเมนทั้งหมดสามารถมีบทบาทแค็ตตาล็อกส่วนกลางได้ในเวลาเดียวกัน
ในความเป็นจริง เราสามารถสรุปได้ว่าหากคุณมีโดเมนดั้งเดิมสำหรับเครื่อง 30-50 เครื่อง โดยไม่มีโครงสร้างพื้นฐานเพิ่มเติม ซึ่งไม่รวมโดเมนย่อย คุณอาจไม่สังเกตเห็นการขาดการเข้าถึงของเจ้าของ/เจ้าของสองบทบาทแรก นอกจากนี้ หลายครั้งที่ฉันพบองค์กรที่ทำงานมานานกว่าหนึ่งปีโดยไม่มีตัวควบคุมโดเมนเลย แต่ใช้โครงสร้างพื้นฐานของโดเมน นั่นคือมีการเผยแพร่สิทธิ์ทั้งหมดมานานแล้ว โดยที่ตัวควบคุมโดเมนทำงานอยู่ และไม่จำเป็นต้องเปลี่ยน ผู้ใช้ไม่ได้เปลี่ยนรหัสผ่านและทำงานอย่างเงียบๆ
กำหนดเจ้าของบทบาท fsmo ปัจจุบัน
ให้ฉันชี้แจง - เราต้องการแทนที่ตัวควบคุมโดเมนอย่างชาญฉลาดโดยไม่สูญเสียความสามารถใดๆ ในกรณีที่มีตัวควบคุมตั้งแต่สองตัวขึ้นไปในโดเมน เราจำเป็นต้องค้นหาว่าใครเป็นเจ้าของแต่ละบทบาท fsmo มันค่อนข้างง่ายที่จะทำโดยใช้คำสั่งต่อไปนี้:
เซิร์ฟเวอร์ dsquery - สคีมา hasfsmo
เซิร์ฟเวอร์ dsquery - ชื่อ hasfsmo
เซิร์ฟเวอร์ dsquery - กำจัด hasfsmo
เซิร์ฟเวอร์ dsquery - hasfsmo pdc
เซิร์ฟเวอร์ dsquery - hasfsmo infr
เซิร์ฟเวอร์ dsquery -forest -isgc
แต่ละคำสั่งจะแสดงข้อมูลเกี่ยวกับใครเป็นเจ้าของบทบาทที่ร้องขอ (รูปที่ 1) ในกรณีของเรา เจ้าของบทบาททั้งหมดคือ dcserver ตัวควบคุมโดเมนหลัก
การถ่ายโอนบทบาท fsmo โดยสมัครใจโดยใช้คอนโซล Active Directory
เรามีข้อมูลทั้งหมดที่จำเป็นในการโอนบทบาท PDC มาเริ่มกันเลย: ก่อนอื่นเราต้องตรวจสอบให้แน่ใจว่าบัญชีของเรารวมอยู่ในกลุ่มผู้ดูแลระบบโดเมน ผู้ดูแลระบบสคีมา และผู้ดูแลระบบองค์กร จากนั้นดำเนินการตามวิธีการถ่ายโอนบทบาท fsmo แบบดั้งเดิม - การจัดการโดเมนผ่านคอนโซล Active Directory
หากต้องการโอนบทบาท "ต้นแบบการตั้งชื่อโดเมน" ให้ทำตามขั้นตอนต่อไปนี้:
- เปิด “Active Directory Domains and Trusts” บนตัวควบคุมโดเมนที่เราต้องการถ่ายโอนบทบาท หากเราทำงานกับ AD บนตัวควบคุมโดเมนที่เราต้องการถ่ายโอนบทบาท เราจะข้ามจุดถัดไป
- คลิกขวาที่ไอคอน Active Directory - Domains and Trusts และเลือกคำสั่ง Connect to Domain Controller เราเลือกตัวควบคุมโดเมนที่เราต้องการถ่ายโอนบทบาท
- คลิกขวาที่ส่วนประกอบ Active Directory - Domains and Trusts และเลือกคำสั่ง Operation Masters
- ในกล่องโต้ตอบ Change Operations Owner ให้คลิกปุ่ม Change (รูปที่ 2)
- หลังจากที่ยืนยันการตอบกลับคำขอป๊อปอัปแล้ว เราได้รับการโอนบทบาทสำเร็จ
ในทำนองเดียวกัน คุณสามารถใช้คอนโซลผู้ใช้ Active Directory และคอมพิวเตอร์เพื่อถ่ายโอนบทบาท RID Master, PDC และ Infrastructure Master
หากต้องการถ่ายโอนบทบาท "schema master" คุณต้องลงทะเบียนไลบรารีการจัดการ Schema Active Directory ในระบบก่อน:
หลังจากโอนบทบาททั้งหมดแล้ว ยังคงต้องจัดการกับตัวเลือกที่เหลือ นั่นคือผู้ดูแลแค็ตตาล็อกส่วนกลาง ไปที่ Active Directory: "ไซต์และบริการ" ไซต์เริ่มต้น เซิร์ฟเวอร์ ค้นหาตัวควบคุมโดเมนที่กลายเป็นตัวควบคุมหลักและในคุณสมบัติการตั้งค่า NTDS ให้ทำเครื่องหมายในช่องถัดจากแคตตาล็อกส่วนกลาง (รูปที่ 3)
ผลลัพธ์ก็คือเราได้เปลี่ยนเจ้าของบทบาทสำหรับโดเมนของเรา สำหรับผู้ที่ต้องการกำจัดตัวควบคุมโดเมนตัวเก่าในที่สุด เราจะดาวน์เกรดเป็นเซิร์ฟเวอร์สมาชิก อย่างไรก็ตาม ความเรียบง่ายของการดำเนินการนั้นให้ผลตอบแทนที่การนำไปปฏิบัติในหลายสถานการณ์เป็นไปไม่ได้ หรือจบลงด้วยข้อผิดพลาด ในกรณีเหล่านี้ ntdsutil.exe จะช่วยเรา
การถ่ายโอนบทบาท fsmo โดยสมัครใจโดยใช้คอนโซล ntdsutil.exe
ในกรณีที่การถ่ายโอนบทบาท fsmo โดยใช้คอนโซล AD ล้มเหลว Microsoft ได้สร้างยูทิลิตี้ที่สะดวกมาก - ntdsutil.exe - โปรแกรมบำรุงรักษาไดเรกทอรี Active Directory เครื่องมือนี้ช่วยให้คุณสามารถดำเนินการที่เป็นประโยชน์อย่างยิ่งได้ แม้กระทั่งการเรียกคืนฐานข้อมูล AD ทั้งหมดจากข้อมูลสำรองที่ยูทิลิตี้สร้างขึ้นเองระหว่างการเปลี่ยนแปลง AD ครั้งล่าสุด ความสามารถทั้งหมดสามารถพบได้ในฐานความรู้ของ Microsoft (รหัสบทความ: 255504) ในกรณีนี้เรากำลังพูดถึงความจริงที่ว่ายูทิลิตี้ ntdsutil.exe อนุญาตให้คุณถ่ายโอนบทบาทและ "เลือก" ได้
หากเราต้องการถ่ายโอนบทบาทจากตัวควบคุมโดเมน "หลัก" ที่มีอยู่ไปยังตัวควบคุม "สำรอง" เราจะลงชื่อเข้าใช้ตัวควบคุม "หลัก" และเริ่มถ่ายโอนบทบาท (คำสั่งถ่ายโอน)
หากเราไม่มีตัวควบคุมโดเมนหลักด้วยเหตุผลบางประการ หรือเราไม่สามารถเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบได้ เราจะเข้าสู่ระบบตัวควบคุมโดเมนสำรองและเริ่ม "เลือก" บทบาท (คำสั่ง seize)
ดังนั้นกรณีแรกคือตัวควบคุมโดเมนหลักมีอยู่และทำงานได้ตามปกติ จากนั้นเราไปที่ตัวควบคุมโดเมนหลักแล้วพิมพ์คำสั่งต่อไปนี้:
ntdsutil.exe
บทบาท
การเชื่อมต่อ
เชื่อมต่อกับเซิร์ฟเวอร์ server_name (คนที่เราต้องการมอบบทบาทให้)
ถาม
หากเกิดข้อผิดพลาด เราจำเป็นต้องตรวจสอบการเชื่อมต่อกับตัวควบคุมโดเมนที่เราพยายามเชื่อมต่อ หากไม่มีข้อผิดพลาดแสดงว่าเราได้เชื่อมต่อกับตัวควบคุมโดเมนที่ระบุเรียบร้อยแล้วโดยมีสิทธิ์ของผู้ใช้ที่เราป้อนคำสั่งในนามของเรา
มีรายการคำสั่งทั้งหมดหลังจากร้องขอการบำรุงรักษา fsmo โดยใช้เครื่องหมายมาตรฐานหรือไม่ - ถึงเวลาย้ายบทบาทแล้ว ฉันตัดสินใจโอนบทบาทตามลำดับที่ระบุไว้ในคำแนะนำสำหรับ ntdsutil ทันทีโดยไม่ต้องคิดและได้ข้อสรุปว่าฉันไม่สามารถถ่ายโอนบทบาทของเจ้าของโครงสร้างพื้นฐานได้ เพื่อตอบสนองต่อคำขอโอนบทบาท จึงได้รับข้อผิดพลาดกลับมา: “ไม่สามารถติดต่อเจ้าของบทบาท fsmo คนปัจจุบันได้” ฉันค้นหาข้อมูลบนอินเทอร์เน็ตเป็นเวลานานและพบว่าคนส่วนใหญ่ที่มาถึงขั้นของการโอนบทบาทจะต้องเผชิญกับข้อผิดพลาดนี้ บางคนพยายามบังคับถอดบทบาทนี้ออกไป (ไม่ได้ผล) บางคนทิ้งทุกอย่างตามที่เป็นอยู่ - และใช้ชีวิตอย่างมีความสุขโดยไม่มีบทบาทนี้
จากการทดลองและข้อผิดพลาด ฉันพบว่าเมื่อโอนบทบาทตามลำดับนี้ รับประกันความสมบูรณ์ของทุกขั้นตอนอย่างถูกต้อง:
- เจ้าของตัวระบุ
- เจ้าของโครงการ
- ผู้เชี่ยวชาญด้านการตั้งชื่อ
- เจ้าของโครงสร้างพื้นฐาน
- ตัวควบคุมโดเมน
หลังจากเชื่อมต่อกับเซิร์ฟเวอร์สำเร็จแล้ว เราได้รับคำเชิญให้จัดการบทบาท (การบำรุงรักษา fsmo) และเราสามารถเริ่มถ่ายโอนบทบาทได้:
- โอนย้ายการตั้งชื่อโดเมนหลัก
- โอนโครงสร้างพื้นฐานหลัก
- โอนกำจัดต้นแบบ
- โอนสคีมาต้นแบบ
- โอน pdc ต้นแบบ
หลังจากดำเนินการแต่ละคำสั่งแล้ว คำขอจะปรากฏขึ้นเพื่อถามว่าเราต้องการถ่ายโอนบทบาทที่ระบุไปยังเซิร์ฟเวอร์ที่ระบุหรือไม่ ผลลัพธ์ของการดำเนินการคำสั่งที่สำเร็จจะแสดงในรูปที่ 4
บทบาทผู้ดูแลแค็ตตาล็อกส่วนกลางได้รับการมอบหมายในลักษณะที่อธิบายไว้ในส่วนก่อนหน้า
การบังคับใช้บทบาท fsmo โดยใช้ ntdsutil.exe
กรณีที่สองคือเราต้องการกำหนดบทบาทหลักให้กับตัวควบคุมโดเมนสำรองของเรา ในกรณีนี้ไม่มีอะไรเปลี่ยนแปลง - ข้อแตกต่างเพียงอย่างเดียวคือเราดำเนินการทั้งหมดโดยใช้คำสั่ง seize แต่บนเซิร์ฟเวอร์ที่เราต้องการถ่ายโอนบทบาทเพื่อกำหนดบทบาท
ยึดต้นแบบการตั้งชื่อโดเมน
ยึดต้นแบบโครงสร้างพื้นฐาน
ยึดนายออกไป
ยึดสคีมามาสเตอร์
ยึดพีดีซี
โปรดทราบว่าหากคุณถอดบทบาทออกจากตัวควบคุมโดเมนที่ไม่มีอยู่ในปัจจุบัน เมื่อปรากฏบนเครือข่าย ตัวควบคุมจะเริ่มขัดแย้งกัน และคุณไม่สามารถหลีกเลี่ยงปัญหาในการทำงานของโดเมนได้
ทำงานกับข้อผิดพลาด
สิ่งสำคัญที่สุดที่ไม่ควรลืมก็คือ ตัวควบคุมโดเมนหลักใหม่จะไม่แก้ไขการตั้งค่า TCP/IP ด้วยตัวเอง ขอแนะนำให้ระบุ 127.0.0.1 เป็นที่อยู่ของเซิร์ฟเวอร์ DNS หลัก (และหาก ตัวควบคุมโดเมนเก่า + เซิร์ฟเวอร์ DNS หายไป ดังนั้นจึงจำเป็น)
ยิ่งไปกว่านั้น หากคุณมีเซิร์ฟเวอร์ DHCP บนเครือข่ายของคุณ คุณจะต้องบังคับให้เซิร์ฟเวอร์ระบุที่อยู่ของเซิร์ฟเวอร์ DNS หลักเป็น IP ของเซิร์ฟเวอร์ใหม่ของคุณ หากไม่มี DHCP ให้ดำเนินการผ่านเครื่องทั้งหมดและกำหนดที่อยู่หลักนี้ DNS ให้กับพวกเขาด้วยตนเอง หรือคุณสามารถกำหนด IP เดียวกันให้กับตัวควบคุมโดเมนใหม่เหมือนกับอันเก่าได้
ตอนนี้คุณต้องตรวจสอบทุกอย่างทำงานอย่างไรและกำจัดข้อผิดพลาดหลัก ในการดำเนินการนี้ ฉันขอแนะนำให้ลบเหตุการณ์ทั้งหมดบนคอนโทรลเลอร์ทั้งสองตัว บันทึกบันทึกลงในโฟลเดอร์ที่มีข้อมูลสำรองอื่น ๆ และรีบูตเซิร์ฟเวอร์ทั้งหมด
หลังจากเปิดใช้งานแล้ว เราจะวิเคราะห์บันทึกเหตุการณ์ทั้งหมดอย่างรอบคอบเพื่อหาคำเตือนและข้อผิดพลาด
คำเตือนที่พบบ่อยที่สุดหลังจากถ่ายโอนบทบาทไปยัง fsmo คือข้อความว่า "msdtc ไม่สามารถจัดการการเลื่อนระดับ/ลดระดับตัวควบคุมโดเมนที่เกิดขึ้นได้อย่างถูกต้อง"
การแก้ไขนั้นง่าย: ในเมนู "การดูแลระบบ" เราพบ "บริการ"
ส่วนประกอบ". ที่นั่นเราเปิด "บริการส่วนประกอบ", "คอมพิวเตอร์" เปิดคุณสมบัติของส่วน "คอมพิวเตอร์ของฉัน" ค้นหา "MS DTC" ที่นั่นแล้วคลิก "การตั้งค่าความปลอดภัย" ที่นั่น ที่นั่นเราอนุญาตให้ "เข้าถึงเครือข่าย DTC" แล้วคลิกตกลง บริการจะเริ่มต้นใหม่และคำเตือนจะหายไป
ตัวอย่างของข้อผิดพลาดอาจเป็นข้อความว่าไม่สามารถโหลดโซน DNS หลักได้ หรือเซิร์ฟเวอร์ DNS ไม่เห็นตัวควบคุมโดเมน
คุณสามารถเข้าใจปัญหาการทำงานของโดเมนได้โดยใช้ยูทิลิตี้ (รูปที่ 5):
คุณสามารถติดตั้งยูทิลิตี้นี้ได้จากดิสก์ Windows 2003 ดั้งเดิมจากโฟลเดอร์ /support/tools ยูทิลิตี้นี้ช่วยให้คุณตรวจสอบการทำงานของบริการตัวควบคุมโดเมนทั้งหมด แต่ละขั้นตอนจะต้องลงท้ายด้วยคำที่ส่งสำเร็จ หากคุณล้มเหลว (ส่วนใหญ่มักเป็นการทดสอบการเชื่อมต่อหรือบันทึกระบบ) คุณสามารถลองแก้ไขข้อผิดพลาดได้โดยอัตโนมัติ:
dcdiag /v /แก้ไข
ตามกฎแล้ว ข้อผิดพลาดเกี่ยวกับ DNS ทั้งหมดควรหายไป ถ้าไม่เช่นนั้น ให้ใช้ยูทิลิตี้เพื่อตรวจสอบสถานะของบริการเครือข่ายทั้งหมด:
และเครื่องมือแก้ไขปัญหาที่มีประโยชน์:
netdiag /v /แก้ไข
หากยังมีข้อผิดพลาดเกี่ยวกับ DNS หลังจากนี้ วิธีที่ง่ายที่สุดคือการลบโซนทั้งหมดออกจากโซนและสร้างด้วยตนเอง มันค่อนข้างง่าย - สิ่งสำคัญคือการสร้างโซนหลักตามชื่อโดเมนจัดเก็บไว้ใน Active Directory และจำลองไปยังตัวควบคุมโดเมนทั้งหมดบนเครือข่าย
คำสั่งอื่นจะให้ข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับข้อผิดพลาด DNS:
dcdiag / ทดสอบ: DNS
เมื่อสิ้นสุดงาน ฉันใช้เวลาประมาณ 30 นาทีเพื่อค้นหาสาเหตุของคำเตือนจำนวนหนึ่ง - ฉันค้นหาการซิงโครไนซ์เวลา การเก็บถาวรแคตตาล็อกทั่วโลก และสิ่งอื่น ๆ ที่ฉันไม่เคยทำมาก่อน ก่อน. ตอนนี้ทุกอย่างทำงานเหมือนเครื่องจักร - สิ่งที่สำคัญที่สุดคืออย่าลืมสร้างตัวควบคุมโดเมนสำรองหากคุณต้องการลบตัวควบคุมโดเมนเก่าออกจากเครือข่าย
ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่รองรับ Active Directory โดยไม่ต้องใช้ศัพท์เฉพาะทางเทคนิคมากนัก พวกเขาจัดเก็บข้อมูลเกี่ยวกับบัญชีผู้ใช้และคอมพิวเตอร์ที่เป็นสมาชิกของโดเมน สคีมา และสำเนาฐานข้อมูล Active Directory ที่รับรู้บันทึกของตนเอง นอกจากนี้ ตัวควบคุมโดเมนยังทำหน้าที่เป็นองค์ประกอบความปลอดภัยส่วนกลางในโดเมนอีกด้วย องค์กรดังกล่าวช่วยให้คุณสามารถกำหนดค่านโยบายความปลอดภัยภายในเครือข่ายองค์กรได้อย่างยืดหยุ่นรวมทั้งอนุญาตหรือปฏิเสธผู้ใช้บางกลุ่มในการเข้าถึงทรัพยากรบางอย่าง
ฟังก์ชั่นพื้นฐานของตัวควบคุมโดเมน:
- การจัดเก็บสำเนาข้อมูล Active Directory ที่เกี่ยวข้องกับโดเมนเฉพาะ การจัดการและการจำลองข้อมูลนี้ไปยังตัวควบคุมอื่น ๆ ที่รวมอยู่ในโดเมนนี้
- การจำลองข้อมูลไดเร็กทอรีที่เกี่ยวข้องกับออบเจ็กต์ทั้งหมดในโดเมน Active Directory
- ความละเอียดของความขัดแย้งในการจำลองแบบเมื่อมีการเปลี่ยนแอตทริบิวต์เดียวกันบนตัวควบคุมที่แตกต่างกันก่อนที่จะเตรียมใช้งานการจำลองแบบ
ผลประโยชน์ทางธุรกิจ
ข้อดีของระบบรวมศูนย์ที่ใช้ตัวควบคุมโดเมน:
- ฐานข้อมูลเดียวสำหรับการรับรองความถูกต้องตัวควบคุมโดเมนจะจัดเก็บบัญชีทั้งหมดในฐานข้อมูลเดียว และผู้ใช้ทุกคนที่เป็นส่วนหนึ่งของโดเมนของคอมพิวเตอร์จะติดต่อกับตัวควบคุมโดเมนเพื่อเข้าสู่ระบบ การแบ่งผู้ใช้ออกเป็นกลุ่มที่เหมาะสมทำให้ง่ายต่อการจัดระเบียบการเข้าถึงเอกสารและแอปพลิเคชันแบบกระจาย ดังนั้นเมื่อพนักงานใหม่ปรากฏตัว ก็เพียงพอที่จะสร้างบัญชีให้เขาในกลุ่มที่เหมาะสม และพนักงานจะสามารถเข้าถึงทรัพยากรเครือข่ายและอุปกรณ์ที่จำเป็นทั้งหมดได้โดยอัตโนมัติ เมื่อพนักงานลาออก การบล็อกบัญชีของเขาเพื่อเพิกถอนการเข้าถึงทั้งหมดก็เพียงพอแล้ว
- การจัดการนโยบายจุดเดียวตัวควบคุมโดเมนช่วยให้คุณสามารถกระจายคอมพิวเตอร์และบัญชีผู้ใช้ระหว่างหน่วยขององค์กรและใช้นโยบายกลุ่มต่างๆ กับหน่วยเหล่านั้น กำหนดการตั้งค่าและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ (เช่น การเข้าถึงเครื่องพิมพ์เครือข่าย ชุดแอปพลิเคชันที่จำเป็น เบราว์เซอร์ การตั้งค่า ฯลฯ) ดังนั้นเมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ในโดเมน ระบบจะได้รับการตั้งค่าและการเข้าถึงทั้งหมดที่กำหนดไว้สำหรับแผนกใดแผนกหนึ่งโดยอัตโนมัติ
- ความปลอดภัย.การกำหนดค่าที่ยืดหยุ่นของขั้นตอนการพิสูจน์ตัวตนและการอนุญาต รวมกับการจัดการแบบรวมศูนย์ จะสามารถเพิ่มความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีภายในองค์กรได้อย่างมาก นอกจากนี้ ตัวควบคุมโดเมนยังได้รับการติดตั้งทางกายภาพในตำแหน่งพิเศษ ซึ่งได้รับการป้องกันจากการเข้าถึงจากภายนอก
- บูรณาการกับบริการอื่น ๆ ได้ง่ายขึ้นการใช้ตัวควบคุมโดเมนเป็นจุดตรวจสอบความถูกต้องจุดเดียวทำให้ผู้ใช้สามารถใช้บัญชีเดียวกันเมื่อทำงานกับเครื่องมือและบริการเพิ่มเติม (เช่น บริการอีเมล โปรแกรมสำนักงาน พร็อกซี โปรแกรมส่งข้อความด่วน ฯลฯ)
การตั้งค่า
ตัวควบคุมโดเมนที่ใช้ Active Directory Domain Service เป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านไอที ซึ่งให้การควบคุมการเข้าถึงและการปกป้องข้อมูลภายในองค์กร การทำงานของไม่เพียงแต่ตัวควบคุมโดเมนเท่านั้น แต่ยังรวมถึง Active Directory โดยรวมด้วย (เช่น การกระจายนโยบายความปลอดภัยและกฎการเข้าถึง) ซึ่งจะส่งผลต่อการทำงานของบริการที่เกี่ยวข้องทั้งหมดและยังกำหนดระดับความปลอดภัยด้วย ขึ้นอยู่กับ เกี่ยวกับการกำหนดค่าที่ถูกต้องของตัวควบคุมโดเมน เลือกนักพัฒนาที่ดีที่สุดในส่วนนี้
ฉันจำเป็นต้องปรับใช้บริการ Active Directory ในตำแหน่งทางภูมิศาสตร์ที่แยกจากกัน ซึ่งมีเครือข่ายที่เชื่อมต่อกันโดยใช้ VPN เมื่อมองแวบแรกงานดูเหมือนง่าย แต่โดยส่วนตัวแล้วฉันไม่เคยจัดการกับสิ่งเหล่านี้มาก่อน และด้วยการค้นหาอย่างรวดเร็ว ฉันไม่พบภาพหรือแผนปฏิบัติการใด ๆ ในกรณีนี้ ฉันต้องรวบรวมข้อมูลจากแหล่งต่างๆ และหาการตั้งค่าด้วยตัวเอง
จากบทความนี้คุณจะได้เรียนรู้:
การวางแผนสำหรับการติดตั้ง Active Directory บนเครือข่ายย่อยที่ต่างกัน
ดังนั้นเราจึงมีสองเครือข่ายย่อย 10.1.3.0/24 และ 10.1.4.0/24 ซึ่งแต่ละเครื่องมีคอมพิวเตอร์จำนวนหนึ่งและใช้เครือข่ายร่วมกัน เราจำเป็นต้องรวมทั้งหมดนี้ไว้ในโดเมนเดียว เครือข่ายเชื่อมต่อถึงกันด้วยอุโมงค์ VPN คอมพิวเตอร์ส่ง Ping ซึ่งกันและกันในทั้งสองทิศทาง ไม่มีปัญหาในการเข้าถึงเครือข่าย
สำหรับการทำงานปกติของบริการ Active Directory เราจะติดตั้งตัวควบคุมโดเมนในแต่ละเครือข่ายย่อยและกำหนดค่าการจำลองแบบระหว่างเครือข่ายเหล่านั้น เราจะใช้ Windows Server 2012R2 ลำดับของการกระทำมีดังนี้:
- เราติดตั้งตัวควบคุมโดเมนในซับเน็ตเดียว เพิ่มโดเมนใหม่ในฟอเรสต์ใหม่
- ติดตั้งตัวควบคุมโดเมนในเครือข่ายย่อยที่สองและเพิ่มลงในโดเมน
- การตั้งค่าการจำลองแบบระหว่างโดเมน
ตัวควบคุมโดเมนแรกจะถูกเรียก xs-winsrv.xsพร้อมที่อยู่ 10.1.3.4 , ที่สอง - xm-winsrv 10.1.4.6- โดเมนที่เราจะสร้างจะถูกเรียกว่า xs.ท้องถิ่น
การกำหนดค่าตัวควบคุมโดเมนให้ทำงานบนเครือข่ายย่อยที่แตกต่างกัน
ก่อนอื่น ให้ติดตั้งตัวควบคุมโดเมนในฟอเรสต์ใหม่บนเซิร์ฟเวอร์เครื่องแรก xs-winsrv.xs- ฉันจะไม่พูดถึงเรื่องนี้อย่างละเอียด มีบทช่วยสอนและคำแนะนำมากมายในหัวข้อนี้บนอินเทอร์เน็ต เราทำทุกอย่างตามมาตรฐาน ติดตั้งบริการ AD, DHCP และ DNS เราระบุที่อยู่ IP ในเครื่องเป็นเซิร์ฟเวอร์ DNS แรกและเป็นเซิร์ฟเวอร์ที่สอง 127.0.0.1 :
ต่อไปเราจะติดตั้ง Windows Server 2012R2 บนเซิร์ฟเวอร์ตัวที่สอง xm-winsrv- ตอนนี้เราดำเนินการตามขั้นตอนที่สำคัญหลายประการ โดยหากไม่มีสิ่งนี้จะไม่สามารถเพิ่มเซิร์ฟเวอร์ตัวที่สองให้กับโดเมนได้ เซิร์ฟเวอร์ทั้งสองจะต้อง ping กันตามชื่อ ในการดำเนินการนี้ ให้เพิ่มบันทึกที่เกี่ยวข้องกันลงในไฟล์ C:\Windows\System32\drivers\etc\host
ใน xs-winsrv.xsเพิ่มบรรทัด:
10.1.4.6 xm-winsrv
ใน xm-winsrvเพิ่ม:
10.1.3.4 xs-winsrv
ตอนนี้จุดสำคัญที่สอง บนเซิร์ฟเวอร์ xm-winsrvเราระบุตัวควบคุมโดเมนตัวแรก 10.1.3.4 เป็นเซิร์ฟเวอร์ DNS ตัวแรก:
ตอนนี้เซิร์ฟเวอร์ทั้งสองแก้ไขปัญหาซึ่งกันและกัน มาตรวจสอบสิ่งนี้กันก่อนบนเซิร์ฟเวอร์ xm-winsrvซึ่งเราจะเพิ่มลงในโดเมน:
หลังจากนี้เซิร์ฟเวอร์ xs-winsrv.xsจำเป็นต้องโอนจากไซต์ ค่าเริ่มต้นชื่อไซต์แรกสู่เว็บไซต์ใหม่ที่สร้างขึ้นเพื่อเขา ตอนนี้คุณพร้อมที่จะเพิ่มเซิร์ฟเวอร์ตัวที่สองให้กับโดเมนแล้ว
การเพิ่มตัวควบคุมโดเมนตัวที่สองจากซับเน็ตอื่น
ไปที่เซิร์ฟเวอร์ xm-winsrv ตัวที่สองเรียกใช้ Add Roles Wizard และเพิ่ม 3 บทบาทในลักษณะเดียวกับบนเซิร์ฟเวอร์แรก - AD, DNS, DHCP เมื่อตัวช่วยสร้างการกำหนดค่าบริการโดเมน Active Directory เริ่มต้นให้เลือกรายการแรกที่นั่น - เพิ่มตัวควบคุมโดเมนลงในโดเมนที่มีอยู่, ระบุโดเมนของเรา xs.ท้องถิ่น:
ในขั้นตอนถัดไป ในพารามิเตอร์ตัวควบคุมโดเมน เราจะระบุชื่อของไซต์ที่เราจะแนบตัวควบคุม:
ฉันขอเตือนคุณว่านี่จะต้องเป็นไซต์ที่แนบเครือข่ายย่อย 10.1.4.0/24 ตัวควบคุมตัวแรกและตัวที่สองจะอยู่คนละไซต์ อย่าลืมทำเครื่องหมายในช่อง แคตตาล็อกสากล (GC)- จากนั้นเราจะปล่อยให้การตั้งค่าทั้งหมดเป็นค่าเริ่มต้น
หลังจากรีบูตเซิร์ฟเวอร์แล้ว เซิร์ฟเวอร์จะอยู่ในโดเมน xs.ท้องถิ่น- คุณจะไม่สามารถเข้าสู่ระบบในฐานะผู้ดูแลระบบภายในได้ คุณต้องใช้บัญชีโดเมน ไปตรวจสอบว่าการจำลองแบบกับตัวควบคุมโดเมนหลักเกิดขึ้นหรือไม่ และระเบียน DNS ได้รับการซิงโครไนซ์หรือไม่ ทั้งหมดนี้ผ่านไปด้วยดีสำหรับฉัน ตัวควบคุมโดเมนตัวที่สองนำผู้ใช้และบันทึก DNS ทั้งหมดตั้งแต่อันแรก บนเซิร์ฟเวอร์ทั้งสองในสแน็ปอิน Active-Directory - ไซต์และบริการ ตัวควบคุมทั้งสองจะแสดงขึ้น โดยแต่ละตัวอยู่ในไซต์ของตัวเอง:
นั่นคือทั้งหมดที่ คุณสามารถเพิ่มคอมพิวเตอร์ในสำนักงานทั้งสองแห่งลงในโดเมนได้
ฉันจะเพิ่มจุดสำคัญอีกจุดหนึ่งสำหรับผู้ที่จะกำหนดค่าทั้งหมดนี้บนเครื่องเสมือน จำเป็นต้องปิดใช้งานการซิงโครไนซ์เวลากับไฮเปอร์ไวเซอร์บนระบบเกสต์ หากยังไม่เสร็จสิ้น ในบางจุดตัวควบคุมโดเมนอาจป่วย
ฉันหวังว่าฉันจะทำทุกอย่างถูกต้อง ฉันไม่มีความรู้เชิงลึกเกี่ยวกับการจำลองแบบ Active Directory หากใครมีความคิดเห็นเกี่ยวกับเนื้อหาของบทความให้เขียนลงในความคิดเห็น ฉันรวบรวมข้อมูลทั้งหมดจากฟอรัมที่มีการถามคำถามหรือแก้ไขปัญหาในหัวข้อที่คล้ายกันของการดำเนินการโดเมนในเครือข่ายย่อยที่ต่างกัน
