Лучшие практики Active Directory. Доменные службы Active Directory сейчас недоступны на принтере что делать Принцип работы active directory

Любой начинающий пользователь, сталкиваясь с аббревиатурой AD, задается вопросом, что такое Active Directory? Active Directory — это служба каталогов, разработанная Microsoft для доменных сетей Windows. Входит в большинство операционных систем Windows Server, как набор процессов и сервисов. Первоначально служба занималась только доменами. Однако, начиная с Windows Server 2008, AD стала наименованием для широкого спектра служб, связанных с идентификацией, основанных на каталогах. Это делает Active Directory для начинающих более оптимальной для изучения.

Базовое определение

Сервер, на котором работают доменные службы каталогов Active Directory, называется контроллером домена. Он аутентифицирует и авторизует всех пользователей и компьютеры в сетевом домене Windows, назначая и применяя политику безопасности для всех ПК, а также устанавливая или обновляя программное обеспечение. Например, когда пользователь входит в компьютер, включенный в домен Windows, Active Directory проверяет предоставленный пароль и определяет, является ли объект системным администратором или обычным пользователем. Также он позволяет управлять и хранить информацию, предоставляет механизмы аутентификации и авторизации и устанавливает структуру для развертывания других связанных сервисов: службы сертификации, федеративные и облегченные службы каталогов и управления правами.

В Active Directory используются протоколы LDAP версии 2 и 3, версия Kerberos от Microsoft и DNS.

Active Directory — что это? Простыми словами о сложном

Отслеживание данных сети — трудоемкая задача. Даже в небольших сетях пользователи, как правило, испытывают трудности с поиском сетевых файлов и принтеров. Без какого-либо каталога средними и крупными сетями невозможно управлять, и часто приходится сталкиваться с трудностями при поиске ресурсов.

Предыдущие версии Microsoft Windows включали службы, помогающие пользователям и администраторам находить данные. Сетевое окружение полезно во многих средах, но явным недостатком являются неудобный интерфейс и его непредсказуемость. WINS Manager и Server Manager могут использоваться для просмотра списка систем, но они не были доступны конечным пользователям. Администраторы использовали User Manager для добавления и удаления данных совершенно другого типа сетевого объекта. Эти приложения оказались неэффективными для работы в крупных сетях и вызывали вопрос, зачем в компании Active Directory?

Каталог, в самом общем смысле, представляет собой полный список объектов. Телефонная книга — это тип каталога, в котором хранится информация о людях, предприятиях и правительственных организациях, и обычно в них записывают имена, адреса и номера телефонов. Задаваясь вопросом, Active Directory — что это, простыми словами можно сказать, что эта технология похожа на справочник, но является гораздо более гибкой. AD хранит информацию об организациях, сайтах, системах, пользователях, общих ресурсах и любом другом сетевом объекте .

Введение в основные понятия Active Directory

Зачем организации нужна Active Directory? Как уже упоминалось во введении в Active Directory, служба хранит информацию о сетевых компонентах. В пособии «Active Directory для начинающих» говорится о том, что это позволяет клиентам находить объекты в своем пространстве имен. Этот термин (также называемый деревом консоли) относится к области, в которой может располагаться сетевой компонент. Например, оглавление книги создает пространство имен, в котором главы могут быть соотнесены к номерам страниц.

DNS — это дерево консоли, которое разрешает имена узлов IP-адресам, как т елефонные книги предоставляют пространство имен для разрешения имен для номеров телефонов. А как это происходит в Active Directory? AD предоставляет дерево консоли для разрешения имен сетевых объектов самим объектам и может разрешить широкий спектр объектов, включая пользователей, системы и службы в сети.

Объекты и атрибуты

Все, что отслеживает Active Directory, считается объектом. Можно сказать простыми словами, что этим в Active Directory является любой пользователь, система, ресурс или служба. Общий объект терминов используется, поскольку AD способен отслеживать множество элементов, а многие объекты могут совместно использовать общие атрибуты. Что это значит?

Атрибуты описывают объекты в активный каталог Active Directory, например, все пользовательские объекты совместно используют атрибуты для хранения имени пользователя. Это касается и их описания. Системы также являются объектами, но у них есть отдельный набор атрибутов, который включает имя хоста, IP-адрес и местоположение.

Набор атрибутов, доступных для любого конкретного типа объекта, называется схемой. Она делает классы объектов отличными друг от друга. Информация о схеме фактически хранится в Active Directory. Что такое поведение протокола безопасности очень важно, говорит тот факт, что схема позволяет администраторам добавлять атрибуты к классам объектов и распределять их по сети во всех уголках домена без перезапуска любых контроллеров домена.

Контейнер и имя LDAP

Контейнер - это особый тип объекта, который используется для организации работы службы. Он не представляет собой физического объекта, как пользователь или система. Вместо этого он используется для группировки других элементов. Контейнерные объекты могут быть вложены в другие контейнеры.

У каждого элемента в AD есть имя. Это не те, к которым вы привыкли, например, Иван или Ольга. Это отличительные имена LDAP. Различающиеся имена LDAP сложны, но они позволяют идентифицировать любой объект внутри каталога однозначно, независимо от его типа.

Дерево терминов и сайт

Дерево терминов используется для описания набора объектов в Active Directory. Что это? Простыми словами это можно объяснить при помощи древовидной ассоциации. Когда контейнеры и объекты объединены иерархически, они имеют тенденцию формировать ветви — отсюда и название. Связанным термином является непрерывное поддерево, которое относится к неразрывному основному стволу дерева.

Продолжая метафорию, термин «лес» описывает совокупность, которая не является частью одного и того же пространства имен, но имеет общую схему, конфигурацию и глобальный каталог. Объекты в этих структурах доступны всем пользователям, если это позволяет безопасность. Организации, разделенные на несколько доменов, должны группировать деревья в один лес.

Сайт — это географическое местоположение, определенное в Active Directory. Сайты соответствуют логическим IP-подсетям и, как таковые, могут использоваться приложениями для поиска ближайшего сервера в сети. Использование информации сайта из Active Directory может значительно снизить трафик в глобальных сетях.

Управление Active Directory

Компонент оснастки Active Directory — пользователи. Это самый удобный инструмент для администрирования Active Directory. Он напрямую доступен из группы программ «Администрирование» в меню «Пуск». Он заменяет и улучшает работу диспетчера сервера и диспетчера пользователей из Windows NT 4.0.

Безопасность

Active Directory играет важную роль в будущем сетей Windows. Администраторы должны иметь возможность защищать свой каталог от злоумышленников и пользователей, одновременно делегируя задачи другим администраторам. Все это возможно с использованием модели безопасности Active Directory, которая связывает список управления доступом (ACL) с каждым атрибутом контейнера и объекта в каталоге.

Высокий уровень контроля позволяет администратору предоставлять отдельным пользователям и группам различные уровни разрешений для объектов и их свойств. Они могут даже добавлять атрибуты к объектам и скрывать эти атрибуты от определенных групп пользователей. Например, можно установить ACL, чтобы только менеджеры могли просматривать домашние телефоны других пользователей.

Делегированное администрирование

Концепцией, новой для Windows 2000 Server, является делегированное администрирование. Это позволяет назначать задачи другим пользователям, не предоставляя дополнительных прав доступа. Делегированное администрирование может быть назначено через определенные объекты или непрерывные поддеревья каталога. Это гораздо более эффективный метод предоставления полномочий по сетям.

Вместо назначения кому-либо всех глобальных прав администратора домена, пользователю могут быть даны разрешения только в рамках определенного поддерева. Active Directory поддерживает наследование, поэтому любые новые объекты наследуют ACL своего контейнера.

Термин «доверительные отношения»

Термин «доверительные отношения» по-прежнему используется, но имеют разную функциональность. Не существует различия между односторонними и двусторонними трастами. Ведь все доверительные отношения Active Directory двунаправлены. Кроме того, все они являются транзитивными. Итак, если домен A доверяет домену B, а B доверяет C, тогда существует автоматические неявные доверительные отношения между доменом A и доменом C.

Аудит в Active Directory — что это простыми словами? Это функция безопасности, которая позволяет определить, кто пытается получить доступ к объектам, а также насколько эта попытка успешна.

Использование DNS (Domain Name System)

Система по-другому DNS, необходима для любой организации, подключенной к Интернету. DNS предоставляет разрешение имен между общими именами, такими как mspress.microsoft.com, и необработанные IP-адреса, которые используют компоненты сетевого уровня для связи.

Active Directory широко использует технологию DNS для поиска объектов. Это существенное изменение в сравнении с предыдущими операционными системами Windows, которые требуют, чтобы имена NetBIOS были разрешены IP-адресами, и полагаются на WINS или другую технику разрешения имен NetBIOS.

Active Directory работает лучше всего при использовании с DNS-серверами под управлением Windows 2000. Microsoft упростила для администраторов переход на DNS-серверы под управлением Windows 2000 путем предоставления мастеров миграции, которые управляют администратором через этот процесс.

Могут использоваться другие DNS-серверы. Однако в этом случае администраторы должны будут тратить больше времени на управление базами данных DNS. В чем заключаются нюансы? Если вы решите не использовать DNS-серверы под управлением Windows 2000, вы должны убедиться, что ваши DNS-серверы соответствуют новому протоколу динамического обновления DNS. Серверы полагаются на динамическое обновление своих записей, чтобы найти контроллеры домена. Это неудобно. Ведь, е сли динамическое обновление не поддерживается, обновлять базы данных приходится вручную.

Домены Windows и интернет-домены теперь полностью совместимы. Например, имя, такое как mspress.microsoft.com, будет определять контроллеры домена Active Directory, ответственные за домен, поэтому любой клиент с DNS-доступом может найти контроллер домена. Клиенты могут использовать разрешение DNS для поиска любого количества услуг, поскольку серверы Active Directory публикуют список адресов в DNS с использованием новых функций динамического обновления. Эти данные определяются как домен и публикуются через записи ресурсов службы. SRV RR следуют формату service.protocol.domain.

Серверы Active Directory предоставляют службу LDAP для размещения объекта, а LDAP использует TCP как базовый протокол транспортного уровня. Поэтому клиент, который ищет сервер Active Directory в домене mspress.microsoft.com, будет искать запись DNS для ldap.tcp.mspress.microsoft.com.

Глобальный каталог

Active Directory предоставляет глобальный каталог (GC) и предоставляет единственный источник для поиска любого объекта в сети организации.

Глобальный каталог — это сервис в Windows 2000 Server, который позволяет пользователям находить любые объекты, которым был предоставлен доступ. Эта функциональность намного превосходит возможности приложения Find Computer, включенного в предыдущие версии Windows. Ведь пользователи могут искать любой объект в Active Directory: серверы, принтеры, пользователей и приложения.

Будучи хорошо знакомым с малым бизнесом изнутри, меня всегда интересовали следующие вопросы. Объясните, почему сотрудник должен пользоваться на рабочем компьютере тем браузером, который нравится сисадмину? Или взять любое другое программное обеспечение, например, тот же архиватор, почтовый клиент, клиент мгновенных сообщений… Это я плавно намекаю на стандартизацию, причем не по признакам личной симпатии сисадмина, а по признакам достаточности функционала, стоимости обслуживания и поддержки этих программных продуктов. Давайте начнем считать ИТ точной наукой, а не ремеслом, когда каждый делает так, как у него получается. Опять-таки, с этим в малом бизнесе тоже очень много проблем. Представьте, что компания в нелегкое кризисное время меняет нескольких таких администраторов, что в такой ситуации делать бедным пользователям? Постоянно переучиваться?

Давайте посмотрим с другой стороны. Любой руководитель должен понимать, что у него сейчас происходит в компании (в том числе и в ИТ). Это необходимо для отслеживания текущей ситуации, для оперативного реагирования на возникновение разного рода проблем. Но это понимание является более важным для стратегического планирования. Ведь, имея крепкий и надежный фундамент, мы можем строить дом на 3 этажа или на 5, делать крышу разной формы, делать балконы или зимний сад. Точно также и в ИТ, имеем надежную основу – можем в дальнейшем использовать более сложные продукты и технологии для решения бизнес-задач.

В первой статье и пойдет речь о таком фундаменте – службах Active Directory . Именно они призваны стать крепким фундаментом ИТ-инфраструктуры компании любого размера и любого направления деятельности. Что это такое? Вот давайте об этом и поговорим…

А разговор начнем с простых понятий – домена и служб Active Directory.

Домен – это основная административная единица в сетевой инфраструктуре предприятия, в которую входят все сетевые объекты, такие как пользователи, компьютеры, принтеры, общие ресурсы и многое другое. Совокупность таких доменов называется лесом.

Службы Active Directory (службы активного каталога ) представляют собой распределённую базу данных, которая содержит все объекты домена. Доменная среда Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Именно с организации домена и развёртывания служб Active Directory начинается построение ИТ-инфраструктуры предприятия.

База данных Active Directory хранится на выделенных серверах – контроллерах домена. Службы Active Directory являются ролью серверных операционных систем Microsoft Windows Server. Службы Active Directory имеют широкие возможности масштабирования. В лесу Active Directory может быть создано более 2-х миллиардов объектов, что позволяет внедрять службу каталогов в компаниях с сотнями тысяч компьютеров и пользователей. Иерархическая структура доменов позволяет гибко масштабировать ИТ-инфраструктуру на все филиалы и региональные подразделения компаний. Для каждого филиала или подразделения компании может быть создан отдельный домен, со своими политиками, своими пользователями и группами. Для каждого дочернего домена могут быть делегированы административные полномочия местным системным администраторам. При этом всё равно дочерние домены подчиняются родительским.

Кроме того, службы Active Directory позволяют настроить доверительные отношения между доменными лесами. Каждая компания имеет собственный лес доменов, каждый из которых имеет собственные ресурсы. Но иногда бывает нужно предоставить доступ к своим корпоративным ресурсам сотрудникам другой компании – работа с общими документами и приложениями в рамках совместного проекта. Для этого между лесами организаций можно настроить доверительные отношения, что позволит сотрудникам одной организации авторизоваться в домене другой.

Для обеспечения отказоустойчивости служб Active Directory необходимо развернуть два или более контроллера домена в каждом домене. Между контроллерами домена обеспечивается автоматическая репликация всех изменений. В случае выхода из строя одного из контроллеров домена работоспособность сети не нарушается, ведь оставшиеся продолжают работать. Дополнительный уровень отказоустойчивости обеспечивает размещение серверов DNS на контроллерах домена в Active Directory, что позволяет в каждом домене получить несколько серверов DNS, обслуживающих основную зону домена. И в случае отказа одного из DNS серверов, продолжат работать остальные. О роли и значимости DNS серверов в ИТ-инфраструктуре мы еще поговорим в одной из статей цикла.

Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.

1. Единая точка аутентификации

В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).

2. Единая точка управления политиками

В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.

3. Повышенный уровень информационной безопасности

Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.

4. Интеграция с корпоративными приложениями и оборудованием

Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.

5. Единое хранилище конфигурации приложений

Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.

Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).

Active Directory - служба каталогов корпорации Microsoft для ОС семейства Windows NT.

Данная служба позволяет администраторам использование групповых политик для обеспечения единообразия настроек пользовательской рабочей среды, установки ПО , обновлений и пр.

В чем суть работы Active Directory и какие задачи она решает? Читайте дальше.

Принципы организации одноранговых и многоранговых сетей

Но возникает другая проблема, что если пользователь user2 на РС2 решит изменить свой пароль? Тогда если пользователь user1 сменит пароль учетной записи, доступ user2 на РС1 к ресурсу будет невозможен.

Еще один пример: у нас есть 20 рабочих станций с 20-ю учетными записями, которым мы хотим предоставить доступ к некоему , для этого мы должны создать 20 учетных записей на файловом сервере и предоставить доступ к необходимому ресурсу.

А если их будет не 20 а 200?

Как вы понимаете администрирование сети при таком подходе превращается в кромешный ад.

Поэтому подход с использованием рабочих групп подходит для небольших офисных сетей с количеством ПК не более 10 единиц.

При наличии в сетке более 10 рабочих станций, рационально оправданным стает подход, при котором одному узлу сети делегируют права выполнения аутентификации и авторизации.

Этим узлом и выступает контролер домена - Active Directory.

Контролер домена

Контролер хранит базу данных учетных записей, т.е. он хранит учетку и для РС1 и для РС2.

Теперь все учетные записи прописываются один раз на контролере, а необходимость в локальных учетных записях теряет смысл.

Теперь, когда пользователь заходит на ПК, вводя свой логин и пароль , эти данные передаются в закрытом виде на контролер домена, который выполняет процедуры аутентификации и авторизации.

После контролер выдает пользователю, осуществившему вход, что-то вроде паспорта, с которым он в дальнейшем работает в сети и который он предъявляет по запросу других компьютеров сетки, серверов к чьим ресурсам он хочет подключиться.

Важно! Контролер домена - это компьютер с поднятой службой Active Directory, который управляет доступом пользователей к ресурсам сети. Он хранит ресурсы (например, принтеры , папки с общим доступом), службы (например, электронная почта), людей (учетные записи пользователей и групп пользователей), компьютеры (учетные записи компьютеров).

Число таких сохраненных ресурсов может достигать миллионов объектов.

В качестве контролера домена могут выступать следующие версии MS Windows : Windows Server 2000/2003/2008/2012 кроме редакций Web-Edition.

Контролер домена помимо того, что является центром аутентификации сети, также является центром управления всеми компьютерами.

Сразу после включения компьютер начинает обращаться к контролеру домена, задолго до появления окна аутентификации.

Таким образом, выполняется аутентификация не только пользователя, вводящего логин и пароль, но и аутентификация клиентского компьютера.

Установка Active Directory

Рассмотрим пример установки Active Directory на Windows Server 2008 R2. Итак для установки роли Active Directory, заходим в «Server Manager»:

Добавляем роль «Add Roles»:

Выбираем роль Active Directory Domain Services:

И приступаем к установке:

После чего получаем окно уведомления, об установленной роли:

После установки роли контролера домена, приступим к установке самого контролера.

Нажимаем «Пуск» в поле поиска программ вводим название мастера DCPromo, запускаем его и ставим галочку для расширенных настроек установки:

Жмем «Next» из предложенных вариантов выбираем создание нового домена и леса.

Вводим имя домена, например, example.net.

Пишем NetBIOS имя домена, без зоны:

Выбираем функциональный уровень нашего домена:

Ввиду особенностей функционирования контролера домена, устанавливаем также DNS-сервер .

Расположения базы данных, файла логов, системного тома оставляем без изменений:

Вводим пароль администратора домена:

Проверяем правильность заполнения и если все в порядке жмем «Next».

После этого пойдет процесс установки, в конце которого появится окно, которое сообщает, об успешной установке:

Введение в Active Directory

В докладе рассматриваются два типа компьютерных сетей, которые можно создать при помощи операционных систем Microsoft: рабочая группа (workgroup) и домен Active Directory.

Администраторам Windows-сетей не избежать знакомства с . Эта обзорная статья будет посвящена тому, что же такое Active Directory и с чем их едят.

Итак, Active Directory это реализация службы каталогов от компании Microsoft. Под службой каталогов в данном случае подразумевается программный комплекс, помогающий системному администратору работать с такими сетевыми ресурсами, как общие папки, серверы, рабочие станции, принтеры, пользователи и группы.

Active Directory имеет иерархическую структуру, состоящую из объектов. Все объекты разделяются на три основные категории.

• Учетные записи пользователей и компьютеров;
• Ресурсы (например, принтеры);
• Службы (например, электронная почта).

Каждый объект имеет уникальное имя и обладает рядом характеристик. Объекты возможно группировать.

Свойства пользователя

Active Directory имеет лесовидную структуру. Лес имеет несколько деревьев, которые содержат домены. Домены, в свою очередь, содержат вышеупомянутые объекты.

Структура Active Directory

Обычно объекты в домене группируются в подразделения. Подразделения служат для выстраивания иерархии внутри домена (организации, территориальные подразделения, отделы и т.д.). Это особенно важно для организаций, раскиданных по географическому признаку. При выстраивании структуру рекомендуется создавать как можно меньше доменов, создавая, при необходимости, отдельные подразделения. Именно на них и имеет смысл применять групповые политики.

Свойства рабочей станции

Другим способом структурирования Active Directory являются сайты . Сайты являются способом физической, а не логической группировки на основе сегментов сети.

Как уже было сказано, каждый объект в Active Directory имеет уникальное имя. Например, принтер HPLaserJet4350dtn , который находится в подразделении Юристы и в домене primer.ru будет иметь имя CN=HPLaserJet4350dtn,OU=Юристы,DC=primer,DC=ru . CN — это общее имя, OU — подразделение, DC — класс объекта домена. Имя объекта может иметь гораздо больше частей, чем в этом примере.

Другая форма записи имени объекта выглядит так: primer.ru/Юристы/HPLaserJet4350dtn . Также у каждого объекта есть глобальный уникальный идентификатор (GUID ) - уникальная и неизменная 128-битная строка, которая используется в Active Directory для поиска и репликации. Некоторые объекты также имеют имя участника-пользователя (UPN ) в формате объект@домен .

Вот общие сведения о том, что же такое Active Directory и для чего они нужны в локальных сетях на базе Windows. Напоследок имеет смысл сказать, что администратор имеет возможность работать с Active Directory удаленно посредством Средств удаленного администрирования сервера для Windows 7 (KB958830) (Скачать ) и Средств удаленного администрирования сервера для Windows 8.1 (KB2693643) (Скачать ).

на этом мастер выведет итоговое окно и работа почти завершена, останется лишь дождаться завершения работы мастера (это довольно большой промежуток, так как будет совершена значительная работа по созданию AD).

После того, как установится наш первый контроллер домена, кричать "ура" немного преждевременно. После завершения работы мастера DCPROMO нам будет предложено перезагрузить контроллер. Во-первых, после перезагрузки мы больше не увидим профилей учетных записей локальных пользователей. Это значит, что если наш любимый саундтрэк лежал в папке "Моя музыка", значит его уже нет нигде... Да вот так печально может произойти, если предварительно не сохранить наши данные отдельно.

Контроллер перезапущен и начинает выполняться первый запуск уже в новом качестве. Что происходит:

На основе шаблона NTDS.DIT из каталога %systemroot%\System32 формируется база Active Directory (в каталоге %systemroot%\NDTS например появятся файлы res1.log и res2.log, которые весят 10 мегабайт и просто занимают место, что в дальнейшем в случае отсутствия свободного места "удалится", увеличив при этом NTDS.DIT; файл транзакций edb.log (и ему подобные;файл контрольных точек edb.chk используемый в совокуности с файлом транзакций для повторного воспроизведения транзакции при необходимости; в самом конец работы DCPROMO появятся еще файлы регистрации выполнения DCPromoUI.log, DCPromo.log, Netsetup.log, DCPromos.log в каталоге %systemroot%\Debug);

Создается новая учетная запись (и новый идентификатор безопасности SID) администратора и др. стандартные записи службы каталогов;

Создаются ресурсы NETLOGON и SYSVOL;

Некоторые службы меняют параметры запуска из "вручную" в "автоматически";

Служба времени выполняет синхронизацию с внешним источником (в нашем случаи синхронизацию проводить не с кем, однако все же надо знать, что время синронизируется контроллером с ролью PDC (сейчас он естественно на единственном контроллере) командой net time /setsntp:<список серверов точного времени>).

Примечание. Установку можно также производить с ключом Dcpromo /answer:<файл ответов>, но делать это без опыта первый раз не рекомендую.

Мало того, что контроллер будет первый раз "медленно" запускаться, так еще после входа в систему рекомендую сделать паузу на 30 минут, в это время контроллером будет совершаться конфигурирование ДНС и службы каталогов, а также произойти внутрисайтовая репликация.

Что сделать затем:

Посмотреть журнал событий в поисках ошибок, постараться выяснить причину и устранить (вспомните про файлы логи, указанные чуть выше, они тоже пригодятся);

Проверьте, что все службы с параметром запуска "автоматически" запущены;

Ненужные службы (очень осторожно и внимательно) можно перевести в статус "вручную" и остановить;

Проверьте настройки TCP/IP и службу ДНС.

Но не будем пугаться. Ведь эта программа просто создает "виртуальное железо". Вот так сложно и одновременно просто я дал определение. Что это значит?

Да что угодно это значит. Главное, что надо уложить мысленно в голове тот факт, что мы некоторое количество компьютеров, содединенных кстати в сеть с помощью сетевых устройств заменяем программой!!! т.е. моделируем это железо с помощью программы. КАК? ЗАЧЕМ? и ПОЧЕМУ?

Честно говоря, здесь нашим врагом становятся наши же привычки и представления. Мне поначалу было трудно "въехать", а за каким же компьютером я сижу. Да, да, не смейтесь:)))

ПОЧЕМУ...

использовать именно эту программу (это мое мнение) я решил неслучайно, ведь есть аналоги, например фирма Microsoft недавно приобрела фирму Connectix, занимавшуюся разработками аналога VMWare и теперь выступает на рынке с программой VirtualPC , но обещания не поддерживать Линукс..я оставлю без комментариев. Другие конкуренты () тоже имеют недостатки, которые для меня оказались решающим фактором в выборе "хочу всё" :)

Настоятельно рекомендую посетить сайт www.twoostwo.ru, посвященный виртуальным машинам и эмуляторам операционных систем, где вы сможете получить исчерпывающую информацию обзорного характера, особенности той или иной программы, понять разницу между эмуляцией железа и эмуляцией операционной системы в конце концов.

ЗАЧЕМ...

вообще-то использовать эту программу можно в слишком во многих случаях, скажу лишь навскиду, что придумаю сходу:

Новичкам: получить навыки в установке операционных систем, причем можно разных, и... одновременно:)));

Пользователям: возможность проверить настройки программ и системы без ущерба для железа;

Разработчикам: создавать код и портировать под различные системы, переносить данные;

Системным администраторам и инженерам: проектировать сети (в частности как построить двухузловой кластер на портативном или настольном компьютере.)и подготовиться к сдаче сертификационых экзаменов;

Специалистам по безопасности: в ущерб быстродействию можно установить программу на шифрованном диске, тогда можно спрятать важные секретные программы как таковые, также можно создавать ложные хосты .

остальные применения можете придумать сами... :)

КАК

поскольку эта статья не посвящена особенностям vmware, тем более, что в приведенных ссылках уже это есть, я расскажу о самом принципе использования.

первым шагом мы должны создать виртуальную машину, где указываем какое железо будет начинкой, особое внимание уделить сетевым картам ("бридж", т.е. мост позволяет использовать "вместе" с основной операционкой ту же сетевую карту; "хост-онли" - позволяет создавать виртуальное сетевое соединение между основной и виртуальной машинами;"нат" - позволяте организовывать NAT-трансляцию внешних IP-адресов во внутренние)

последнее, установить драйвера, они будут не от реальной машины, а от vmware.

Программа: VMWare Workstation 4.5.1-768

Описание: Позволяет, работая в одной операционной системе (например - Windows XP), одновременно работать и в Windows 2000, Windows NT, Windows 9*, FreeBSD или Linux - без необходимости выделять под операционные системы отдельные партиции и перезагружать компьютер при переходе с одной ОС на другую.

Лицензия: Shareware

Платформы:Windows, UNIX

Скачать Windows версию
Скачать Linux версию

Приложение к статье. Служба доменных имен (DNS) в Active Directory

Напомню в двух словах, что служба доменных имен организовывает разрешение доменных имен в соответствующие IP-адреса и представляет собой распределенную базу данных. Данные о доменах и принадлежащих им хостах, образующие пространство имен ДНС, не концентрируются в одном месте, а хранятся в виде фрагментов на отдельных серверах, что позволяет говорить о распределенности базы данных ДНС.

В операционной системе Windows 2000 служба DNS осуществляет (может этого и не делать:-) динамическую регистрацию клиентам своих доменных имен, что существенно упрощает администрирование таких баз, которые еще принято называть зонами. В Windows 2000 мы можем реализовать размещение зоны в рамках службы каталогов Active Directory (AD), что дает повышение отказоустойчивости, доступности и управляемости службы. Многие механизмы, использующие AD, также не могут обойтись без DNS. Суть в том, что "локализация" ближайшего сервера скажем глобального каталога (GC) происходит на основе специального типа ресурсных записей, называемых локаторами ресурсов, или как и обозначают - SRV-записи.

Эти записи используются для определения местоположения серверов, предоставляющие услуги определенных служб. SRV-запись является "синонимом", или еще говорят, DNS-псевдонимом службы. Записывается это так:
_Service._Protocol.DnsDomainName
где:
Service - название службы (это может быть kerberos,gc, ldap и др.)
Protocol - протокол, при помощи которого клиенты могут подключиться к данной службе (обычно это tcp, udp);
DnsDomainName - DNS-имя домена, к которому принадлежит сервер (в нашем случае songi.local).

Для каждого DNS-домена формируется набор SRV-записей, которые группируются в специальные поддомены:

_msdcs - вспомогательный домен, который используется для группировки ресурсных записей о серверах, выполняющих специфические роли (такие как например сервер глобального каталога или основной котроллер домена).

Благодаря этому клиенты могут осуществлять поиск серверов, основываясь не на имени службы, а на роли, исполняемой искомым сервером. Псевдонимы, используемые для создания ресурсных записей данного поддомена будут выглядеть так:
_Service._Protocol.Dctype._msdcs.DnsDomainName
Параметр Dctype определяет роль сервера (pdc, dc, gc, domains). Например сервера, выполняющие функции котроллера домена и принадлежащего к домену songi.local, будет создан DNS-псевдоним:
_ldap._tcp.dc._msdcs.songi.local
_sites - вспомогательный домен, используемый для группировки ресурсных записей, отражающих физическую структуру сети (с точки зрения узловой инфраструктуры).

Этот домен выполняет функцию контейнера для других поддоменов, имена которых соответствуют именам узлов. Псевдонимы записываются в следующем формате:
_Service._Protocol.SiteName._sites.DnsDomainName
Когда осуществляется обращение к серверу DNS, запрос включает в себя всю необходимую для поиска информацию (такую как наименование службы, протокол, имя домена). Служба DNS в первую очередь пытается найти в базе данных контроллер домена, принадлежащий к тому же узлу, что и "запрашивающий" нужную службу. Для этого служба DNS просматривает все SRV-записи, ассоциированные с данным узлом. Если в этом узле поиск оказывается неудачен, служба DNS начинает просматривать записи других узлов.

Собственно говоря, перечисленные записи сервисов нам вручную делать не придется, при установке первого контроллера домена создадутся автоматически. Однако понимание этих записей важно! Теперь представим очень маловероятную ситуацию, но все же: некоторые записи неправильно изменены вручную, или же случайно стерты вообще. Это не повод паниковать. За формирование записей отвечает служба NetLogon. В командной строке даем всего лишь две команды:

net stop netLogon

net start NetLogon

Выполнив перезапуск службы, наши записи будут автоматически созданы! Разумеется, что если в домене были записи клиентских машин (А-записи) к примеру, то их придется восстанавливать отдельно. Но достаточно воспользоваться службой автоматической раздачи адресов DHCP, как эта проблема тоже будет легко решена.