Будучи добре знайомим із малим бізнесом зсередини, мене завжди цікавили такі питання. Поясніть, чому працівник повинен користуватися на робочому комп'ютері тим браузером, який подобається сісадміну? Або взяти будь-яке інше програмне забезпечення, наприклад, той самий архіватор, поштовий клієнт, клієнт миттєвих повідомлень… Це я плавно натякаю на стандартизацію, причому не за ознаками особистої симпатії сисадміну, а за ознаками достатності функціоналу, вартості обслуговування та підтримки цих програмних продуктів. Почнемо вважати ІТ точною наукою, а не ремеслом, коли кожен робить так, як у нього виходить. Знову ж таки, з цим у малому бізнесі теж дуже багато проблем. Уявіть, що компанія в нелегкий кризовий час змінює кількох таких адміністраторів, що робити в такій ситуації бідним користувачам? Постійно переучуватись?

Давайте подивимося з іншого боку. Будь-який керівник повинен розуміти, що він зараз відбувається в компанії (у тому числі і в ІТ). Це необхідно для відстеження поточної ситуації, для оперативного реагування на виникнення різноманітних проблем. Але це розуміння є важливішим для стратегічного планування. Адже, маючи міцний і надійний фундамент, ми можемо будувати будинок на 3 поверхи або на 5, робити дах різної форми, балкони або зимовий сад. Так само і в ІТ, маємо надійну основу – можемо надалі використовувати більш складні продукти та технології для вирішення бізнес-завдань.

У першій статті й ​​йтиметься про такий фундамент – служби Active Directory. Саме вони покликані стати міцним фундаментом ІТ-інфраструктури компанії будь-якого розміру та будь-якого напряму діяльності. Що це таке? Ось давайте про це і поговоримо.

А розмову почнемо із простих понять – домену та служб Active Directory.

Домен– це основна адміністративна одиниця у мережній інфраструктурі підприємства, до якої входять усі мережеві об'єкти, такі як користувачі, комп'ютери, принтери, загальні ресурси та багато іншого. Сукупність таких доменів називається лісом.

Служби Active Directory (служби активного каталогу) є розподілену базу даних, яка містить всі об'єкти домену. Доменне середовище Active Directory є єдиною точкою автентифікації та авторизації користувачів та додатків у масштабах підприємства. Саме з організації домену та розгортання служб Active Directory починається побудова ІТ-інфраструктури підприємства.

База даних Active Directory зберігається на виділених серверах – контролерах домену. Служби Active Directory є участю серверних операційних систем Microsoft Windows Server. Служби Active Directory мають широкі можливості масштабування. У лісі Active Directory може бути створено понад 2 мільярди об'єктів, що дозволяє впроваджувати службу каталогів у компаніях із сотнями тисяч комп'ютерів та користувачів. Ієрархічна структура доменів дозволяє гнучко масштабувати ІТ-інфраструктуру на всі філії та регіональні підрозділи компаній. Для кожної філії або підрозділу компанії може бути створений окремий домен зі своїми політиками, своїми користувачами та групами. До кожного дочірнього домену можуть бути делеговані адміністративні повноваження місцевим системним адміністраторам. При цьому дочірні домени підпорядковуються батьківським.

Крім того, служби Active Directory дозволяють налагодити довірчі стосунки між доменними лісами. Кожна компанія має власний ліс доменів, кожен із яких має власні ресурси. Але іноді буває потрібно надати доступ до своїх корпоративних ресурсів співробітникам іншої компанії – робота із загальними документами та додатками у рамках спільного проекту. Для цього між лісами організацій можна налаштувати довірчі стосунки, що дозволить співробітникам однієї організації авторизуватись у домені іншої.

Для забезпечення стійкості до служби Active Directory необхідно розгорнути два або більше контролерів домену в кожному домені. Між контролерами домену забезпечується автоматична реплікація всіх змін. У разі виходу з ладу одного з контролерів домену працездатність мережі не порушується, адже продовжують працювати. Додатковий рівень стійкості до відмови забезпечує розміщення серверів DNS на контролерах домену в Active Directory, що дозволяє в кожному домені отримати кілька серверів DNS, що обслуговують основну зону домену. І у разі відмови одного із DNS серверів, продовжать працювати інші. Про роль і значущість серверів DNS в ІТ-інфраструктурі ми ще поговоримо в одній із статей циклу.

Але це все технічні аспекти застосування та підтримки працездатності служб Active Directory. Давайте поговоримо про ті переваги, які отримує компанія, відмовляючись від однорангової мережі з використанням робочих груп.

1. Єдина точка аутентифікації

У робочій групі на кожному комп'ютері або сервері доведеться вручну додавати повний список користувачів, яким потрібний доступ до мережі. Якщо раптом один із співробітників захоче змінити свій пароль, його потрібно буде поміняти на всіх комп'ютерах і серверах. Добре, якщо мережа складається із 10 комп'ютерів, але якщо їх більше? При використанні домену Active Directory всі облікові записи користувачів зберігаються в одній базі даних, і всі комп'ютери звертаються до неї за авторизацією. Усі користувачі домену включаються до відповідних груп, наприклад, «Бухгалтерія», «Фінансовий відділ». Достатньо один раз задати дозволи для тих чи інших груп, і всі користувачі отримають відповідний доступ до документів та додатків. Якщо в компанію приходить новий співробітник, для нього створюється обліковий запис, який включається до відповідної групи, співробітник отримує доступ до всіх ресурсів мережі, до яких йому повинен бути дозволений доступ. Якщо співробітник звільняється, достатньо заблокувати – і він відразу втратить доступ до всіх ресурсів (комп'ютерів, документів, додатків).

2. Єдина точка управління політиками

У робочій групі всі комп'ютери є рівноправними. Жоден із комп'ютерів не може керувати іншим, неможливо проконтролювати дотримання єдиних політик, правил безпеки. При використанні єдиного каталогу Active Directory всі користувачі та комп'ютери ієрархічно розподіляються по організаційним підрозділам, до кожного з яких застосовуються єдині групові політики. Політики дають змогу встановити єдині параметри та параметри безпеки для групи комп'ютерів та користувачів. При додаванні до домену нового комп'ютера або користувача він автоматично отримує настройки, що відповідають прийнятим корпоративним стандартам. За допомогою політик можна централізовано призначити користувачам мережні принтери, встановити необхідні програми, встановити параметри безпеки браузера, налаштувати програми Microsoft Office.

3. Підвищений рівень інформаційної безпеки

Використання служб Active Directory значно підвищує рівень безпеки мережі. По-перше – це єдине та захищене сховище облікових записів. У доменному середовищі всі паролі доменних користувачів зберігаються на виділених серверах контролерах домену, які зазвичай захищені від зовнішнього доступу. По-друге, при використанні доменного середовища для аутентифікації використовується протокол Kerberos, який значно безпечніший за NTLM, що використовується в робочих групах.

4. Інтеграція з корпоративними додатками та обладнанням

Великою перевагою Active Directory є відповідність стандарту LDAP, який підтримується іншими системами, наприклад, поштовими серверами (Exchange Server), проксі-серверами (ISA Server, TMG). Причому це не обов'язково лише продукти Microsoft. Перевага такої інтеграції полягає в тому, що користувачу не потрібно пам'ятати велику кількість логінів і паролів для доступу до того чи іншого додатку, у всіх додатках користувач має одні й ті самі облікові дані – його автентифікація відбувається в єдиному каталозі Active Directory. Windows Server для інтеграції з Active Directory надає протокол RADIUS, який підтримується великою кількістю мережного обладнання. Таким чином, можна, наприклад, забезпечити аутентифікацію доменних користувачів при підключенні з VPN ззовні, використання Wi-Fi точок доступу в компанії.

5. Єдине сховище конфігурації додатків

Деякі програми зберігають свою конфігурацію в Active Directory, наприклад, Exchange Server. Розгортання служби каталогів Active Directory є обов'язковою умовою для роботи цих програм. Зберігання конфігурації програм у службі каталогів є вигідним з точки зору гнучкості та надійності. Наприклад, у разі повної відмови сервера Exchange, вся його конфігурація залишиться недоторканою. Для відновлення працездатності корпоративної пошти, достатньо буде інсталювати Exchange Server в режимі відновлення.

Підбиваючи підсумки, хочеться ще раз акцентувати увагу на тому, що служби Active Directory є серцем ІТ-інфраструктури підприємства. У разі відмови вся мережа, всі сервери, робота всіх користувачів будуть паралізовані. Ніхто не зможе увійти в комп'ютер, отримати доступ до своїх документів та програм. Тому служба каталогів повинна бути ретельно спроектована і розгорнута, з урахуванням усіх можливих нюансів, наприклад, пропускної спроможності каналів між філією або офісами компанії (від цього залежить швидкість входу користувачів в систему, а також обмін даними між контролерами домену).

Один із варіантів побудови локальної мережі – це мережа на основі сервера. Подібні мережі використовуються в тому випадку, коли кількість комп'ютерів перевищує 15-20 штук. У такій ситуації вже недоречно використати так звані робочі групиоскільки однорангова мережа з такою кількістю вузлів не може забезпечити необхідний рівень керованості та контролю. І тут функції контролю краще покласти на керуючий сервер – .

Для керування роботою сервера використовують спеціальні версії операційної системи з розширеними функціями адміністрування. Прикладами таких операційних систем є Windows Server 2008або Windows Server 2012.

Після встановлення на окремий комп'ютер серверної операційної системи, перш ніж вона зможе організувати роботу локальної мережі, потрібно зробити певні налаштування. Серверна операційна система є універсальним механізмом з дуже широкими можливостями, або, як їх часто називають, ролями. Однією з таких ролей, причому, напевно, найскладнішою і найвідповідальнішою, є . Якщо ви плануєте отримати ефективний механізм керування користувачами мережі, його доведеться в будь-якому разі налаштувати.

Створення контролера домену спричиняє встановлення такого системного механізму, як Active Directory– основний засіб створення, налаштування та керування обліковими записами користувачів та комп'ютерів локальної мережі. Крім того, як правило, на контролер домену відразу ж додаються ролі та , що робить сервер закінченим та готовим до використання продуктом.

Одним з безумовних плюсів доменної системи є можливість гнучкого настроювання групових політик, за допомогою яких можна обмежувати доступ не лише до програмної, а й до апаратної частини комп'ютера. Наприклад, легко можна заборонити використання DVD-приводу, флеш-накопичувачів і т.д. Групова політика починається в момент входу користувача до мережі, тому йому ніяк не вдасться обійти ці обмеження.

Контролер домену - найбільш важливе місце локальної мережі, тому рекомендується створювати резервний контролер. І тут додатковий контролер домену отримує назву вторинного, а головний домен стає первинним контролером домену. Періодично відбувається синхронізація даних облікових записів та прав доступу, тому у разі виходу з ладу первинного контролера – відразу ж підключається вторинний, і робота в мережі не переривається ні на секунду. Крім того, необхідно забезпечувати пасивний захист домену шляхом встановлення на сервер джерела безперебійного живлення.

Щоб не вдаватися до великої кількості спеціальних термінів, контролери доменів є серверами, які підтримують Active Directory. Вони зберігають інформацію про облікові записи користувачів та комп'ютерів, що входять до домену, схему, а також власну копію бази даних Active Directory, яка підтримує запис. Крім цього, контролери домену виступають у ролі центрального компонента безпеки домену. Подібна організація дозволяє гнучко налаштовувати політики безпеки в рамках корпоративної мережі, а також дозволяти або навпаки забороняти певним групам користувачів доступ до тих чи інших ресурсів.

Основні функції контролера домену:

• Зберігання повної копії інформації Active Directory, яка відноситься до конкретного домену, управління та реплікація даної інформації на інші контролери, що входять до цього домену;
• Реплікація інформації каталогу, що стосується всіх об'єктів домену Active Directory;
• Вирішення конфліктів реплікації, коли той самий атрибут був змінений на різних контролерах до моменту ініціалізації реплікації.

Переваги для бізнесу

Переваги централізованої системи з урахуванням контролерів домену:

1. Єдина база даних для автентифікації.Контролер домену зберігає всі облікові записи в одній базі даних і кожен користувач, що входить до домену комп'ютера, звертається до контролера домену для входу в систему. Поділ користувачів за відповідними групами дозволяє спростити організацію розподіленого доступу до документів та додатків. Таким чином, при появі нового співробітника достатньо створити для нього обліковий запис у відповідній групі і співробітник автоматично отримає доступ до всіх необхідних мережевих ресурсів та пристроїв. Під час відходу співробітника достатньо заблокувати його обліковий запис для відкликання всіх доступів.
2. Єдина точка управління політиками.Контролер домену дозволяє розподіляти облікові записи комп'ютерів та користувачів по організаційним підрозділам та застосовувати до них різні групові політики, визначаючи налаштування та параметри безпеки для групи комп'ютерів та користувачів (напр. доступ до мережних принтерів, набір необхідних програм, налаштування браузера тощо). Таким чином, при додаванні в домен нового комп'ютера або користувача він автоматично отримає всі налаштування та доступи, визначені для того чи іншого підрозділу.
3. Безпека.Гнучке налаштування процедур аутентифікації та авторизації, разом із централізованим управлінням дозволяють значно підвищити безпеку IT-інфраструктури в рамках організації. Крім цього, фізично контролер домену встановлюється у спеціальному місці, захищеному від зовнішнього доступу.
4. Спрощена інтеграція коїться з іншими сервісами.Використання контролера домену як єдиної точки аутентифікації дозволяє користувачам використовувати один і той же обліковий запис під час роботи з додатковими інструментами та службами (наприклад, поштові служби, офісні програми, проксі-сервери, месенджери тощо).

Налаштування

Контролер домену на базі доменної служби Active Directory є ключовим елементом IT-інфраструктури, що забезпечує контроль доступу, а також захист даних у рамках організації. Від коректного налаштування контролера домену залежить функціонування не тільки самого контролера домену, але також і Active Directory в цілому (наприклад, поширення політик безпеки та правил доступу), що впливає на роботу всіх супутніх служб і сервісів, а також визначає рівень безпеки. Вибирайте найкращих розробників у розділі.

Контролери доменів є серверами, які підтримують Active Directory. Кожен контролер домену має власну копію бази даних Active Directory, яка підтримує запис. Контролери домену виступають у ролі центрального компонента безпеки домену.

Усі операції безпеки та перевірки облікових записів виконуються на контролері домену. Кожен домен повинен мати щонайменше один контролер домену. Для забезпечення стійкості до помилок рекомендується для кожного домену встановлювати щонайменше два контролери домену.

В операційній системі Windows NT запис до бази даних підтримував лише один контролер домену, тобто для створення та зміни параметрів облікових записів користувачів необхідно було підключення до контролера домену.

Такий контролер називався первинним контролером домену (Primary Domain Controller – PDC). Починаючи з операційної системи Windows 2000, архітектура контролерів доменів була змінена таким чином, щоб забезпечити можливість оновлення бази даних Active Directory на будь-якому контролері домену. Після оновлення бази даних на одному контролері домену зміни реплікувалися на всі інші контролери.

Хоча всі контролери домену підтримують запис до бази даних, вони не ідентичні. У доменах та лісах Active Directory є завдання, які виконуються певними контролерами домену. Контролери домену з додатковими обов'язками відомі як господарі операцій (operation masters). У деяких матеріалах Microsoft такі системи називаються Flexible Single-Master Operations (FSMO). Багато хто вірить, що термін FSMO використовувався так довго лише через те, що сказана абревіатура звучить дуже смішно.

Існує п'ять ролей господарів операцій. За промовчанням усі п'ять ролей видаються першому контролеру домену в лісі Active Directory. Три ролі господарів операцій використовуються лише на рівні доменів і призначаються першому контролеру домену у створеному домені. Утиліти Active Directory, які розглядаються далі, дозволяють передавати ролі господарів операцій від одного контролера до іншого контролера домену. Крім цього, можна змусити контролер домену взяти на себе певну роль господаря операції.

Існує дві ролі господарів операцій, які працюють на рівні лісу.

• Господар іменування домену (Domain naming master)- до цих господарів операцій необхідно звертатися щоразу, як у межах ієрархії доменів лісу вносяться зміни у именование. Завданням господаря іменування домену полягає у забезпеченні унікальності імен доменів у межах лісу. Ця роль господаря операцій має бути доступна при створенні нових доменів, видаленні доменів або перейменуванні доменів
• Господар схеми (Schema master)- роль господаря схеми належить єдиному контролеру домену не більше лісу, у якому можна вносити зміни у схему. Як тільки зміни внесені, вони реплікуються на решту контролерів домену в межах лісу. Як приклад необхідності внесення змін до схеми можна розглянути інсталяцію програмного продукту Microsoft Exchange Server. При цьому до схеми вносяться зміни, що дозволяють адміністратору одночасно керувати обліковими записами користувачів та поштовими скриньками.

Кожна з ролей на рівні лісу може належати лише одному контролеру домену в межах лісу. Тобто, можна використовувати один контролер у ролі хазяїна іменування домену, а другий контролер у ролі хазяїна схеми. Крім цього, обидві ролі можна призначити одному контролеру домену. Такий розподіл ролей використовується за умовчанням.

Кожен домен у межах лісу має контролер домену, який виконує кожну з ролей рівня домену.

• Господар відносних ідентифікаторів (RID master)- господар відносних ідентифікаторів відповідає за призначення відносних ідентифікаторів. Відносні ідентифікатори є унікальною частиною ідентифікатора безпеки (Security ID - SID), який використовується для визначення об'єкта безпеки (користувача, комп'ютера, групи тощо) у межах домену. Однією з головних завдань господаря відносних ідентифікаторів є видалення об'єкта з одного домену та додавання об'єкта до іншого домен при переміщенні об'єктів між доменами.
• Господар інфраструктури (Infrastructure master)- Завданням господаря інфраструктури є синхронізація членства в групах. При внесенні змін до складу груп, господар інфраструктури повідомляє про зміни до всіх інших контролерів домену.
• Емулятор первинного контролера домену (PDC Emulator)- ця роль використовується для емуляції первинного контролера домену Windows NT 4 для підтримки резервних контролерів домену Windows NT 4. Ще одним завданням емулятора первинного контролера домену є надання центральної точки адміністрування змін у паролях користувачів, а також політик блокування користувачів.

Слово " політики " досить часто використовують у цьому розділі посилання на об'єкти групових політик (group policy objects - GPO). Об'єкти групових політик є однією з головних корисних особливостей Active Directory і розглядаються у відповідній статті, посилання на яку наведено нижче.

Так вийшло в нашій організації, що інфраструктуру треба було робити швидко, а на покупку ліцензій потрібен час. Тому вирішено використовувати образи Windows Server 2012R2 Evaluation, а після тестового періоду вже ліцензувати. Тоді ще ніхто не знав, що не можна просто так взяти, прописати ліцензію Standard у релізі Evaluation, і на виході отримати ліцензійний Standard, інакше, думаю, спочатку все-таки купили ліцензії. Але робити нічого, що маємо, з тим і працюємо. Отже.

Завдання:після покупки ліцензій Microsoft на Windows Server 2012R2 Standard необхідно активувати їх на наших серверах. Приступаємо.

Під час виконання завдання було виявлено проблему. Так як спочатку ми встановлювали Windows Server 2012R2 Standard Evaluation, то при спробі прописати ключ для Standard – сервер каже, що йому цей ключ не підходить. Почали пошук вирішення проблеми перекладу сервера з версії Evaluation до Standard. Відповідь було знайдено на сайті microsoft у статті TechNet.

Частково стаття допомогла вирішити проблему. Ми змогли змінити версію на трьох фізичних серверах та активувати їх нашими ліцензіями. Але, на жаль, не все так просто складалося з контролерами домену. У вищезазначеній статті прямим текстом говориться, що контролери домену НЕМОЖЛИВО перевести з випуску Evaluation до Standard. Нам це необхідно зробити у найкоротші терміни, т.к. кількість можливих /rearm у PDC закінчилася, а днів до закінчення ознайомлювальної версії залишилося менше 3 днів.

Варіанту вирішення питання я бачив два. Або по черзі між BDC і PDC передавати права власника схеми та інші ролі, знижувати до рядових серверів і потім піднімати назад. Але ідею цього доменного волейболу я відмів, тому що просто робив усе це вперше і боявся поламати.

Тому було вирішено піднімати новий сервер, підвищувати до контролера домену і передавати йому господаря схеми, а потім вимикати старий PDC і призначати його новий IP, цей варіант тоді мені здався простіше і безпечніше. Зауважу, що після описаних нижче подій, я як і раніше вважаю це хорошим рішенням, принаймні все пройшло без ексцесів, інакше стаття мала б зовсім інший заголовок, або її не було б зовсім.

Схему можна відтворити без проблем протягом робочого дня. Залишалося півтора дня, так що, мріяти про те, як я все це робитиму часу не було, треба було терміново приступати. Далі по пунктах.

1. Створюємо нову віртуальну машину з параметрами, що відповідають поточному PDC. Бажано створити на фізичному сервері, на якому немає інших контролерів домену, але це якщо у вас кілька гіпервізорів, як у моєму випадку, якщо ні, то це не принципово, питання лише у відмовостійкості. Ну а якщо ви працюєте не з гіпервізорами, а з реальними серверами, то стійкість до відмови PDC і BDC річ і так само собою зрозуміла.

2. Встановлюємо Windows Server 2012R2. Вибираємо випуск Standard із графічним інтерфейсом. Налаштовуємо TCP/IP і перейменовуємо сервер відповідно до стандартних найменувань в IT інфраструктурі.

3. Після встановлення в диспетчері серверів включаємо нові ролі. Нас цікавить AD, DNS та інші ролі та компоненти, що використовуються на поточних домен-контролерах.

4. Підвищуємо сервер до контролера домену. Проходить реплікація між основним контролером домену та новим.

5. Передаємо ролі господаря схеми зі старого DC на новий.
Для цього заходимо на контролер домену, якому призначатимуться ролі FSMO, запускаємо командний рядок, і вводимо команди у наведеній нижче послідовності:

ntdsutil
roles
connections
connect to server<имя сервера PDC>
q

Успішно підключившись до сервера, ми отримаємо запрошення до управління ролями (FSMO maintenance) і можемо приступати до передачі ролей:

transfer naming master- Передача ролі господаря доменних імен.
transfer infrastructure master- передача ролі господаря інфраструктури;
transfer rid master- передача ролі господаря RID;
transfer schema master- передача ролі господаря схеми;
transfer pdc- передача ролі емулятора PDC

Для завершення роботи Ntdsutil вводимо команду q.

6. Після передачі господаря схеми дивимося системний журнал і dcdiag щодо помилок. Їх не повинно бути. Якщо є, виправляємо. (я зіткнувся з помилкою dns, де сервер скаржився на неправильно вказані сервера пересилання. У цей же день я дізнався, що в серверах пересилання DNS не повинен бути вказаний сервер на якому встановлено DNS (зазвичай вказують сервера DNS провайдера та Yandex(Google), що загалом логічно, це по суті породжує петлю в DNS.

7. Якщо помилки виправлені, або їх немає. Приступаємо до змін IP-адрес. Призначаємо старому PDC будь-яку вільну IP-адресу в мережі, а новому PDC призначаємо адресу старого.

8. Знову перевіряємо на помилки. Проводимо тести. Вимикаємо старий PDC та BDC. Перевіряємо можливість авторизації у домені. Потім залишаємо включеним тільки BDC, перевіряємо чи він бере на себе роль контролера домену у разі недоступності PDC.

9. Якщо всі випробування проходять успішно. Можна знищувати старий PDC і братися за зміну версії BDC.

10. У нашому випадку старий PDC все ще не можна було викинути на смітник так як на ньому функціонувала роль простору імен DFS, а ми не знали, як її реплікувати на новий сервер.

11. Все виявилося дуже просто. Входимо до графічного оснащення «Керування DFS». У «Просторі імен» додаємо існуючі простори імен, потім кожному простору імен додаємо сервер простору імен і взагалі все. Корінь dfs автоматично разом із посиланнями на мережеві ресурси з'являється на c:\ і все працює. Про всяк випадок перевіряємо роботу вимкненням старого PDC. Спочатку мережні ресурси будуть недоступні (DFS потрібно 300 секунд для реплікації). Через 5 хвилин мережні ресурси знову мають стати доступними.

12. Залишаємо старий PDC вимкненим і через якийсь час знижуємо до рядового сервера і після видаляємо. Можна звичайно й одразу, але мені було страшно, і я до останнього не вірив, що все вийшло без проблем.

PS:Всі вищеописані дії проводилися після уважного вивчення книги Windows Server 2012R2 – Повне керівництво. Зокрема глав присвячених саме AD, DNS і DFS, а як і контролерам домену. Без розуміння та планування до цих дій краще не приступати, т.к. можна втратити робочу інфраструктуру.

Сподіваюся, для когось ця стаття виявиться корисною та потрібною. Дякую за увагу!