Контроллер домена: что это и для чего? Настройка контроллера. Контроллеры доменов

Семейства Windows

При организации сетей в ОС семейства Windows под понятие контроллер домена попадает так называемый сервер, то есть главный или центральный компьютер в сети, с которого происходит управление работой различных служб каталогов, а также размещается база данных тех же каталогов. Кроме всего прочего, на сервере (контроллере домена) хранятся параметры, относящиеся к учетным записям всех пользователей, а также параметры безопасности. В последнем случае речь идет исключительно о Естественно головной компьютер хранит необходимую информацию о политиках, групповой и локальной.

Если в какой-либо организации устанавливается первый по счету сервер, то, естественно, сразу же создаются и сайт, а также первый лес, при этом в обязательном порядке устанавливается Active Directory. Контроллер домена, который настроен для работы под операционной системой , сохраняет данные и регулирует взаимодействие домена и пользователя. При этом настройка домена в локальной сети осуществляется при непосредственном использовании Active Directory в качестве мастера установки.

Контроллер домена для ОС Unix

В данном случае серверная организация для ОС Linux/Unix в полной степени совместима с предъявляемыми стандартами Весь необходимый и сопутствующий функционал обеспечивает программный комплекс Samba (найти его можно на сайте по адресу www.samba.org, а также OpenLDAP (соответственно www.openldap.org). Как всем хорошо известно, основополагающим преимуществом поред знаменитой Windows заключается в том, что она распространяется бесплатно, а, соответственно, организации нет необходимости тратить достаточно большие средства для того, чтобы установить контроллер домена, предположим, под windows Server 2003. Лицензию на данный программный продукт по закону необходимо покупать. При этом настройка домена в локальной сети особых проблем не составляет.

Изменение домена для сайта организации

Кроме того, что в подавляющем большинстве организаций организована локальная сеть, но и еще существенным аспектом в решении является возможность с любого компьютера выхода в сеть Интернет, в том числе для посещения сайта компании, который в некотором роде является лицом организации. Но иногда может возникнуть некая необходимость для выполнения такой задачи как перенос сайта на другой домен. Как показывает практика, для принятия подобного решения могут способствовать две основных причины: первая - приобретение более привлекательного для клиентов и посетителей имени домена; вторая - попадание старого в черные списки различных поисковых систем.

Для решения поставленной задачи с минимальными потерями, прежде всего в посетителях, рекомендуется применять такую операцию как склейка домена. Стоит отметить, что использовать склейку стоит только в исключительных случаях, поскольку операция эта достаточно длительная, а, самое главное, достаточно нервная, хотя, стоит отметить, и несложная с технической точки зрения.

По мнению подавляющего большинства специалистов наиболее эффективным способом для выполнения такой операции как перенос сайта на другой домен является так называемая парковка домена в виде зеркала. Основным положительным аспектом в данной ситуации можно считать то, что пользователи практически не замечают склейки. Единственное, что возможно необходимо оставить новость об изменении адреса для постоянных клиентов, чтобы они имели возможность внести изменения в закладки своих браузеров. Единственное о чем стоит помнить в этой ситуации, так это о необходимости использования относительных ссылок для того, чтобы не перемещаться с домена на домен.

Контроллер домена - это компьютер-сервер, управляющий доменом и хранящий реплику каталога домена (локальную БД домена). Поскольку в домене может быть несколько контроллеров домена, все они хранят полную копию той части каталога, которая относится к их домену .

Ниже перечислены функции контроллеров доменов .

• Каждый контроллер домена хранит полную копию всей информации Active Directory, относящейся к его домену, а также управляет изменениями этой информации и реплицирует их на остальные контроллеры того же домена.
• Все контроллеры в домене автоматически реплицируют между собой все объекты в домене. Какие-либо изменения, вносимые в Active Directory, на самом деле производятся на одном из контроллеров домена. Затем этот контроллер домена реплицирует изменения на остальные контроллеры в пределах своего домена. Задавая частоту репликации и количество данных, которое Windows будет передавать при каждой репликации, можно регулировать сетевой трафик между контроллерами домена.
• Важные обновления, например отключение учетной записи пользователя, контроллеры домена реплицируют немедленно.
• Active Directory использует репликацию с несколькими хозяевами (multimaster replication), в котором ни один из контроллеров домена не является главным. Все контроллеры равноправны, и каждый из них содержит копию базы данных каталога, в которую разрешается вносить изменения. В короткие периоды времени информация в этих копиях может отличаться до тех пор, пока все контроллеры не синхронизируются друг с другом.
• Наличие в домене нескольких контроллеров обеспечивает отказоустойчивость. Если один из контроллеров домена недоступен, другой будет выполнять все необходимые операции, например записывать изменения в Active Directory.
• Контроллеры домена управляют взаимодействием пользователей и домена, например находят объекты Active Directory и распознают попытки входа в сеть.

Существует две роли хозяина операций, которые могут быть назначены единственному контроллеру домена в лесу (роли, действующие в границах леса) :

• Хозяин схемы (Schema Master). Первый контроллер домена в лесу принимает роль хозяина схемы и отвечает за поддержку и распространение схемы на остальную часть леса. Он поддерживает список всех возможных классов объектов и атрибутов, определяющих объекты, которые находятся в Active Directory. Если схему нужно обновлять или изменять, наличие Schema Master обязательно.
• Хозяин именования доменов (Domain Naming Master). Протоколирует добавление и удаление доменов в лесу и жизненно необходим для поддержания целостности доменов. Domain Naming Master запрашивается при добавлении к лесу новых доменов. Если Domain Naming Master недоступен, то добавление новых доменов невозможно; однако при необходимости эта роль может быть передана другому контроллеру.

Существует три роли хозяина операций, которые могут быть назначены одному из контроллеров в каждом домене (общедоменные роли) .

• Хозяин RID (Relative Identifier (RID) Master). Отвечает за выделение диапазонов относительных идентификаторов (RID) всем контроллерам в домене. SID в Windows Server 2003 состоит из двух частей. Первая часть - общая для всех объектов в домене; для создания уникального SID к этой части добавляется уникальный RID. Вместе они уникально идентифицируют объект и указывают, где он был создан.
• Эмулятор основного контроллера домена (Primary Domain Controller (PDC) Emulator). Отвечает за эмуляцию Windows NT 4.0 PDC для клиентских машин, которые еще не переведены на Windows 2000, Windows Server 2003 или Windows XP и на которых не установлен клиент службы каталогов. Одна из основных задач эмулятора PDC - регистрировать устаревшие клиенты. Кроме того, к эмулятору PDC происходит обращение, если аутентификация клиента оказалась неудачной. Это дает возможность эмулятору PDC проверять недавно измененные пароли для устаревших клиентов в домене, прежде чем отклонять запрос на вход.
• Хозяин инфраструктуры (Infrastructure Master). Регистрирует изменения, вносимые в контролируемые объекты в домене. Обо всех изменениях сначала сообщается Infrastructure Master, и лишь потом они реплицируются на другие контроллеры домена. Infrastructure Master обрабатывает информацию о группах и членстве в них для всех объектов в домене. Еще одна задача Infrastructure Master - передавать информацию об изменениях, внесенных в объекты, в другие домены.

Рис. 3.4. Принятое по умолчанию распределение ролей хозяина операций в лесе

Роль «Сервер глобального каталога» (GC - Global Catalog) может выполнять любой отдельный контроллер домена в домене - одна из функций сервера, которую можно назначить контроллеру домена . Серверы глобального каталога выполняют две важные задачи. Они дают возможность пользователям входить в сеть и находить объекты в любой части леса. Глобальный каталог содержит подмножество информации из каждого доменного раздела и реплицируется между серверами глобального каталога в домене. Когда пользователь пытается войти в сеть или обратиться к какому-то сетевому ресурсу из любой точки леса, соответствующий запрос разрешается с участием глобального каталога. Другая задача глобального каталога, полезная независимо от того, сколько доменов в вашей сети, - участие в процессе аутентификации при входе пользователя в сеть. Когда пользователь входит в сеть, его имя сначала сверяется с содержимым глобального каталога. Это позволяет входить в сеть с компьютеров в доменах, отличных от того, где хранится нужная пользовательская учетная запись.

Установка контроллера домена – это важная часть для компьютерной сети, по сути, контролирующая ее работу. Его основная задача – запуск важной службы Active Directory. Он работает с центром распространения ключей – Kerberos.

Также предусматривает работу на Unix-совместимых системах. В них в качестве контроллера выступает комплект программного обеспечения Samba.

Контроллер домена служит для создания локальной сети, в которой могли бы авторизоваться пользователи под своим именем и со своими учетными данными. Они должны это делать на всех компьютерах. Также установка контроллера домена обеспечивает определение права доступа в сети и управления ее безопасностью. С его помощью можно централизованно управлять всей сетью, что очень важно.

Контроллеры домена также могут работать под Windows Server 2003. Так они обеспечивают хранение всех данных каталога, управлять работой пользователя и домена, контролировать вход пользователя в систему, проверять подлинность каталога и проч. Все их можно создать, используя установщик Active Directory. Также он может работать и в Windows NT. Здесь для того, чтобы он работал надежнее, создается дополнительный контроллер. Он будет связан с основным контроллером.

В сети Windows NT существовал один сервер. Он мог использоваться для работы основного доменного контроллера, или же PDC. Все остальные сервера работали как вспомогательные. Они, например, могли выполнять проверку всех пользователей, хранить и проверять пароли и другие важные операции. Но при этом они не могли добавлять новых пользователей на сервер, не могли также изменять пароли и подобное, то есть настройка контроллера домена являлась менее разнообразной. Эти операции могли быть сделаны только при помощи PDC. Произведенные на них изменения могли бы потом распространяться на все резервные домены. Если же основной сервер не был доступен, то резервный домен не мог быть повышен до уровня основного.

Впрочем, настроить контроллер домена, сеть и поднять уровень домена можно на любом компьютере и в домашних условиях. Этой премудрости легко обучиться самому. Все необходимые для этого инструменты находятся в Панели управления – Установка и удаление программ – Установка компонентов системы. Правда, работать с ними придется, установив предварительно в компьютер диск с ОС. Повысить же роль компьютера можно с помощью командной строки, введя в нее команду dcpromo.

Помимо этого, проверка контроллера домена вполне может выполняться при помощи специализированных утилит, которые работают фактически в автоматизированном режиме, то есть позволяют получить нужную информацию после запуска программы и наладить работу контроллеров после выполнения диагностики. К примеру, вы можете использовать утилиту Ntdsutil.exe, которая предоставляет возможность подключения к новоустановленному контроллеру домена для проверки возможности откликаться на запрос от LDAP. Равно при помощи данного программного обеспечения имеется возможность определить имеется ли в контроллере информация про расположение ролей FSMO в собственном домене.

Существуют еще некоторые простые способы, которые позволят вам диагностировать соответствующую работу контроллеров. В частности вы можете зайти в HKEY _LOCAL _MACHINE \SYSTEM \ CurrentControlSet \Services (раздел реестра) и там поискать подраздел NTDS , наличие которого свидетельствует о нормальном выполнении функций контроллера домена. Есть метод введения net accounts в командной строке и там, если компьютер является контроллером домена, вы увидите в строчке Computer role значение BACKUP или PRIMARY, другие значения имеются на простых компьютерах.

В данной заметке, подробно рассмотрим процесс внедрения первого контроллера домена на предприятии. А всего их будет три:

1) Основной контроллер домена, ОС — Windows Server 2012 R2 with GUI, сетевое имя: dc1.

Выбираем вариант по умолчанию, нажимаем Next. Затем выбираем протокол по умолчанию IPv4 и снова жмем Next.

На следующем экране зададим идентификатор сети (Network ID). В нашем случае 192.168.0. В поле Reverse Lookup Zone Name увидим как автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.

На экране Dynamic Update (динамические обновления), выберем один из трех возможных вариантов динамического обновления.

Разрешить только безопасные динамические обновления (Allow Only Secure Dynamic Updates). Это опция доступна, только если зона интегрирована в Active Directory.

Разрешить любые, безопасные и не безопасные динамические обновления (Allow Both Nonsecure And Secure Dynamic Updates). Данный переключатель, позволяет любому клиенту обновлять его записи ресурса в DNS при наличии изменений.

Запретить динамические обновления (Do Not Allow Dynamic Updates). Это опция отключает динамические обновления DNS. Ее следует использовать только при отсутствии интеграции зоны с Active Directory.

Выбираем первый вариант, нажимаем Next и завершаем настройку нажатием Finish.

Еще одна полезная опция, которая обычно настраивается в DNS — это серверы пересылки или Forwarders, основное предназначение которых кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет, например тот что находится у провайдера. Например мы хотим, что бы локальные компьютеры в нашей доменной сети, в сетевых настройках у которых прописан DNS-сервер (192.168.0.3) смогли получить доступ в интернет, необходимо что бы наш локальный dns-сервер был настроен на разрешение dns-запросов вышестоящего сервера. Для настройки серверов пересылки (Forwarders) переходим в консоль менеджера DNS. Затем в свойствах сервера переходим на вкладку Forwarders и нажимаем там Edit.

Укажем как минимум один IP-адрес. Желательно несколько. Нажимаем ОК.

Теперь настроим службу DHCP. Запускаем оснастку.

Сперва зададим полный рабочий диапазон адресов из которого будут браться адреса для выдачи клиентам. Выбираем Action\New Scope. Запустится мастер добавления области. Зададим имя области.

Далее укажем начальный и конечный адрес диапазона сети.

Далее добавим адреса которые мы хотим исключить из выдачи клиентам. Жмем Далее.

На экране Lease Duration укажем отличное от по умолчанию время аренды, если требуется. Жмем Далее.

Затем согласимся, что хотим настроить опции DHCP: Yes, I want to configure these option now.

Последовательно укажем шлюз, доменное имя, адреса DNS, WINS пропускаем и в конце соглашаемся с активацией области нажатием: Yes, I want to activate this scope now. Finish.

Для безопасной работы службы DHCP, требуется настроить специальную учетную запись для динамического обновления записей DNS. Это необходимо сделать, с одной стороны для того что бы предотвратить динамическую регистрацию клиентов в DNS при помощи административной учетной записи домена и возможного злоупотребления ею, с другой стороны в случае резервирования службы DHCP и сбоя основного сервера, можно будет перенести резервную копию зоны на второй сервер, а для этого потребуется учетная запись первого сервера. Для выполнения этих условий, в оснастке Active Directory Users and Computers создадим учетную запись с именем dhcp и назначим бессрочный пароль, выбрав параметр: Password Never Expires.

Назначим пользователю надежный пароль и добавим в группу DnsUpdateProxy. Затем удалим пользователя из группы Domain Users, предварительно назначив пользователю primary группу «DnsUpdateProxy». Данная учетная запись будет отвечать исключительно за динамическое обновление записей и не иметь доступа не каким другим ресурсам где достаточно базовых доменных прав.

Нажимаем Apply и затем ОК. Открываем снова консоль DHCP. Переходим в свойства протокола IPv4 на вкладку Advanced.

Нажимаем Credentials и указываем там нашего пользователя DHCP.

Нажимаем ОК, перезапускаем службу.

Позже мы еще вернемся к настройке DHCP, когда будем настраивать резервирование службы DHCP, но для этого нам надо поднять как минимум и контроллеры домена.