Контролеры домена

Домены

 

Домены — это единицы репликации. Все контроллеры домена в конкретном домене могут получать изменения и реплицировать эти изменения на все остальные контроллеры домена в домене. Каждый домен в Active Directory определяется DNS-именем домена и требует один или несколько контроллеров домена. Если в сети должно быть более одного домена, можно просто создать несколько доменов.

 

Все операции безопасности и проверки учетных записей выполняются на контроллере домена. Каждый домен должен иметь как минимум один контроллер домена. Для обеспечения устойчивости к ошибкам рекомендуется для каждого домена устанавливать как минимум два контроллера домена.

В операционной системе Windows NT запись в базу данных поддерживал только один контроллер домена, то есть для создания и изменения параметров учетных записей пользователей необходимо было подключение к контроллеру домена.

Такой контроллер назывался первичным контроллером домена (Primary Domain Controller — PDC). Начиная с операционной системы Windows 2000 архитектура контроллеров доменов была изменена таким образом, чтобы обеспечить возможность обновления базы данных Active Directory на любом контроллере домена. После обновления базы данных на одном контроллере домена, изменения реплицировались на все остальные контроллеры.

Хотя все контроллеры домена поддерживают запись в базу данных, они не идентичны. В доменах и лесах Active Directory существуют задачи, которые выполняются определенными контроллерами домена. Контроллеры домена с дополнительными обязанностями известны как хозяева операций (operation masters). В некоторых материалах компании Microsoft такие системы называются Flexible Single-Master Operations (FSMO). Многие верят, что термин FSMO использовался так долго только из-за того, что произнесенная аббревиатура звучит очень смешно.

Существует пять ролей хозяев операций. По умолчанию все пять ролей выдаются первому контроллеру домена в лесу Active Directory. Три роли хозяев операций используются на уровне доменов и назначаются первому контроллеру домена в созданном домене. Утилиты Active Directory, которые рассматриваются далее, позволяют передавать роли хозяев операций от одного контроллера другому контроллеру домена. Кроме этого, можно заставить контроллер домена принять на себя определенную роль хозяина операции.

Существует две роли хозяев операций, которые работают на уровне леса.

• Хозяин именования домена (Domain naming master) — к этим хозяевам операций необходимо обращаться каждый раз, когда в пределах иерархии доменов леса вносятся изменения в именование. Задачей хозяина именования домена заключается в обеспечении уникальности имен доменов в пределах леса. Эта роль хозяина операций должна быть доступна при создании новых доменов, удалении доменов или переименовании доменов
• Хозяин схемы (Schema master) — роль хозяина схемы принадлежит единственному контроллеру домена в пределах леса, на котором можно вносить изменения в схему. Как только изменения внесены, они реплицируются на все остальные контроллеры домена в пределах леса. В качестве примера необходимости внесения изменений в схему можно рассмотреть установку программного продукта Microsoft Exchange Server. При этом в схему вносятся изменения, позволяющие администратору одновременно управлять учетными записями пользователей и почтовыми ящиками

Каждая из ролей на уровне леса может принадлежать только одному контроллеру домена в пределах леса. То есть, можно использовать один контроллер в роли хозяина именования домена, а второй контроллер в роли хозяина схемы. Кроме этого, обе роли можно назначить одному контроллеру домена. 

Планирование ежедневной архивации доменных служб Active Directory с использованием графического интерфейса пользователя

1. Нажмите кнопку Пуск, выберите Администрирование, а затем выберите Система архивации данных Windows Server.
2. Если появится диалоговое окно Управление учетной записью пользователя, убедитесь, что действие, указанное в окне, совпадает с тем, которое вы хотите выполнить, и нажмите Продолжить.
3. Нажмите кнопку Действие и выберите пункт Расписание архивации.
4. Просмотрите сведения на странице Начало работы и нажмите кнопку Далее.
5. При создании первой резервной копии контроллера домена, нажмите кнопку Да, чтобы архивация производится впервые.
6. Выберите вариант Весь сервер (рекомендуется), а затем нажмите кнопку Далее.
7. Укажите время архивации и нажмите кнопку Далее.
8. Отметьте флажком диск назначения, а затем нажмите кнопку Далее.
9. Нажмите кнопку Да, чтобы подтвердить переформатирование диска назначения.
10. Проверьте метку диска назначения, а затем нажмите кнопку Далее.
11. Проверьте данные на странице Сводка, и затем нажмите кнопку Готово.
12. На странице Подтверждение нажмите кнопку Закрыть.

Планирование ежедневного резервного копирования доменных служб Active Directory с использованием командной строки

1. Нажмите кнопку Пуск, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
2. Если появится диалоговое окно Управление учетной записью пользователя, убедитесь, что действие, указанное в окне, совпадает с тем, которое вы хотите выполнить, и нажмите Продолжить.
3. Получите значение DiskIdentifier для обозначения целевой папки архивации описанным ниже образом.
1. Чтобы просмотреть идентификаторы диска для всех подключенных жестких дисков, в командной строке введите следующую команду и нажмите клавишу ВВОД: 
    
   wbadmin get disks
2. Выберите и скопируйте в буфер обмена значение параметра DiskIdentifier для необходимого внешнего диска.
4. В командной строке введите следующую команду и нажмите клавишу ВВОД:

wbadmin enable backup -addtarget: DiskIdentifier -schedule: ЧЧ:ММ , ЧЧ:ММ ,...ЧЧ:ММ -include:исходный _диск_1:,исходный_диск_2:,...исходный_диск_x:

Значение параметров:

• Параметр DiskIdentifier содержит значение, скопированное из вывода команды wbadmin get disks, и обозначает внешнее место хранения для архивации по расписанию.
• ЧЧ:ММ – время или несколько значений времени для выполнения ежедневной архивации. Значения разделяются запятыми, без пробелов.
• исходный_диск_x – архивируемые критические тома (или том), разделенные запятыми без пробелов.

5. Если архивация контроллера домена выполняется впервые, введите Y.

6. Чтобы включить архивацию с указанными параметрами, введите Y.
7. Чтобы выполнить форматирование томов и использовать тома на указанном диске в качестве места хранения для архивации по расписанию, введитеY.

 

 

 

 

 

 

 

 

 

 

Контроллер Домена в компьютерных сетях — сервер, контролирующий область компьютерной сети (домен).

Запускает службы Active Directory, в частности Центр распространения ключей Kerberos (Kerberos Key Distribution Center, KDC)

С программной точки зрения, на большинстве Unix-подобных систем в качестве контроллера домена выступает пакет прикладных программ Samba.

Контроллеры домена, работающие под управлением Windows Server 2003, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.

В Windows NT для надежности создается в связке с основным контроллером домена, резервный контроллер домена. В Windows 2000 и Windows Server 2003 все равны.

В сетях Windows NT , один сервер использовался в качестве основного контроллера домена (PDC), а все остальные серверы, выполняли роль резервных контроллеров домена (BDC).

BDC мог выполнять аутентификацию  пользователей в домене, но все  обновления в домене (добавление  новых пользователей, изменение  паролей, членство в группах и т. д.) могли быть сделаны только через PDC , которые затем распространялись на все резервные контроллеры домена. При недоступном PDC, не удавалось осуществить обновления. Если PDC был постоянно недоступен, существующий BDC мог быть повышен до роли PDC.

indows 2000 и более поздние версии введен Active Directory (AD), которая практически свела на нет концепцию основного и резервного контроллеров домена в пользу нескольких хозяев репликации (multi-master replication модель).

Тем не менее, существует несколько ролей, которые по умолчанию устанавливаются на первый DC в сети. Они называются Flexible single-master operations (FSMO) (некоторые роли отвечают за домен, другие за лес). Если сервер, выполняющий одну из этих ролей недоступен, домен продолжает функционировать. В случае, если сервер недоступен постоянно роль может на себя взять другой DC (процесс, известный как «захват» роли).

Windows Server 2008 и более поздние версии могут использоваться в качестве Read Only Domain Controller (RODC). Обновление информации на них возможно через репликацию с других DC.

В unix-подобных системах Samba 4.x может работать в качестве контроллера домена. Поддерживает схемы леса и домена windows 2003, 2003 R2, 2008, 2008 R2, которые в свою очередь могут быть расширены. Может использоваться в качестве RODC

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Основные сведения о доменах Active Directory

Домены на базе Active Directory позволяют централизованно администрировать все ресурсы, включая пользователей, файлы, периферийные устройства, доступ к службам, сетевым ресурсам, веб-узлам, базам данных и так далее. AD поддерживает иерархическое пространство имён для учётной информации о пользователях, группах и компьютерах, а так же о других каталогах, что в конечном счёте позволяет снизить административные издержки, связанные с поддержкой нескольких пространств имён. Короче говоря, AD позволяет использовать единую точку администрирования для всех публикуемых ресурсов. В основе AD используется стандарт именования X.500, система доменных имён – Domain Name System (DNS) для определения местоположения, и в качестве основного протокола используется Lightweight Directory Access Protocol (LDAP).

AD объединяет логическую  и физическую структуру сети. Логическая структура AD состоит  из следующих элементов:

• организационное подразделение (organizational unit) – подгруппа компьютеров, как правило, отражающая структуру компании;
• домен (domain) – группа компьютеров, совместно использующих общую базу данных каталога;
• дерево доменов (domain tree) – один или несколько доменов, совместно использующих непрерывное пространство имен;
• лес доменов (domain forest) – одно или несколько деревьев, совместно использующих информацию каталога.

К физической структуре относятся следующие элементы:

• подсеть (subnet) – сетевая группа с заданной областью IP-адресов и сетевой маской;
• сайт (site) – одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. AD использует только контроллеры доменов. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена. Схема и данные конфигурации реплицируются во все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в глобальный каталог (GC). Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится GC, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (который реплицируется только между серверами GC), а также все объекты каталога и свойства для своего домена.

Контроллеры домена могут иметь разные роли хозяев операций. Хозяин операций решает задачи, которые неудобно выполнять в модели репликации с несколькими хозяевами.

Существует пять ролей хозяина операций, которые могут быть назначены одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, другие на уровне домена.

В каждом лесе AD существуют следующие роли:

• Хозяин схемы (schema master) – управляет обновлениями и изменениями схемы каталога. Для обновления схемы каталога необходим доступ к хозяину схемы. Чтобы определить, какой сервер в данное время является хозяином схемы в домене, нужно в окне командной строки набрать команду dsquery server -hasfsmo schema
• Хозяин именования доменов (domain naming master) – управляет добавлением и удалением доменов в лесу. Чтобы добавить или удалить домен требуется доступ к хозяину именования доменов. Чтобы определить, какой сервер в данное время является хозяином именования доменов, в окне командной строки введите dsquery server -hasismo name

Эти роли, общие для всего леса в целом и являются в нем уникальными.

В каждом домене AD обязательно существуют следующие роли:

• Хозяин относительных идентификаторов (relative ID master) – выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы, или компьютера, контроллеры назначают объекту уникальный идентификатор безопасности, состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином относительных идентификаторов. Чтобы определить, какой сервер в данное время является хозяином относительных идентификаторов домена, в командной строке введите dsquery server -hasfsmo rid
• Эмулятор PDC (PDC emulator) – в смешанном или промежуточном режиме домена действует как главный контроллер домена Windows NT. Он аутентифицирует вход в Windows, обрабатывает изменения пароля и реплицирует обновления на BDC, если они есть. Чтобы определить, какой сервер в данное время является эмулятором PDC домена, в командной строке введите dsquery server -hasfsmo pdc
• Хозяин инфраструктуры (infrastructure master) – обновляет ссылки объектов, сравнивая данные своего каталога с данными GC. Если данные устарели, он запрашивает из GC обновления и реплицирует их на остальные контроллеры домена. Чтобы определить, какой сервер в данное время является хозяином инфраструктуры домена, в командной строке введите dsquery server -hasfsmo infr