Контроллер домена — Domain controller

A контроллер домена (DC) — это серверный компьютер , который отвечает на запросы аутентификации безопасности внутри компьютера сетевой домен . Это сервер в сети , который отвечает за предоставление хосту доступа к ресурсам домена. Он аутентифицирует пользователей, хранит информацию об учетных записях пользователей и применяет политику безопасности для домена. Чаще всего он реализуется в средах Microsoft Windows (см. Контроллер домена (Windows) ), где он является центральным элементом службы Windows Active Directory . Однако контроллеры домена, отличные от Windows, могут быть установлены с помощью программного обеспечения управления идентификацией , такого как Samba и Red Hat FreeIPA .

Содержание

Программное обеспечение

Программное обеспечение и операционная система, используемые для запуска контроллера домена, обычно состоят из нескольких ключевых компонентов, общих для платформ . Сюда входят операционная система (обычно Windows Server или Linux ), служба LDAP (Red Hat Directory Server и т. Д.), служба сетевого времени (ntpd , chrony и т. д.) и протокол аутентификации компьютерной сети (обычно Kerberos . Другие компоненты, такие как инфраструктура открытого ключа (Службы сертификации Active Directory, DogTag , OpenSSL ) служба и Система доменных имен (Windows DNS или BIND ) также могут быть включены в на том же сервере или на другом сервере, присоединенном к домену.

Реализация

Контроллеры домена обычно развертываются как кластер для обеспечения высокой доступности и максимальной надежности. В Windows В среде один контроллер домена выполняет роль основного контроллера домена (PDC), а все другие серверы повышаются до статуса контроллера домена на сервере домена в качестве резервного контроллера домена (BDC). В средах на основе Unix одна машина служит главным контроллером домена и другие служат реплики контроллеров домена, периодически реплицируя информацию базы данных с главного контроллера домена и сохраняя ее в формате только для чтения.

Контроллер домена (Windows) — Domain controller (Windows)

На Microsoft Servers , a контроллер домена (DC) — это серверный компьютер , который отвечает на запросы аутентификации безопасности (вход в систему и т. Д.) В пределах домена Windows . Домен — это концепция, представленная в Windows NT , посредством которой пользователю может быть предоставлен доступ к ряду компьютерных ресурсов с использованием единой комбинации имени пользователя и пароля.

Содержание

История

В Windows NT 4 Server один контроллер домена на домен был настроен как основной контроллер домена (PDC); все остальные контроллеры домена были резервными контроллерами домена (BDC).

Из-за критического характера PDC, передовой опыт диктовал, что PDC должен быть выделен исключительно для доменных служб и не использоваться для файловых служб, служб печати или приложений, которые могут замедлить или вывести систему из строя. Некоторые сетевые администраторы предприняли дополнительный шаг, включив выделенный BDC в оперативный режим, чтобы быть доступным для продвижения в случае сбоя PDC.

BDC может аутентифицировать пользователей в домене, но все обновления в домене (новые пользователи, измененные пароли, членство в группах и т. Д.) Могут быть сделаны только через PDC, который затем распространит эти изменения на все BDC в домене. Если PDC был недоступен (или не мог связаться с пользователем, запрашивающим изменение), обновление завершится ошибкой. Если PDC был постоянно недоступен (например, если машина вышла из строя), существующий BDC может быть повышен до PDC.

Windows 2000 и более поздние версии представили Active Directory («AD»), который в значительной степени устранил концепцию PDC и BDC в пользу репликации с несколькими мастерами . Однако по-прежнему существует несколько ролей, которые может выполнять только один контроллер домена, которые называются ролями гибкой единственной главной операции . Некоторые из этих ролей должны быть заполнены одним контроллером домена на домен, в то время как для других требуется только один контроллер домена на лес AD . Если сервер, выполняющий одну из этих ролей, потерян, домен все еще может функционировать, и если сервер снова не будет доступен, администратор может назначить альтернативный DC, который возьмет на себя роль в процессе, известном как «захват» роли.

Основной контроллер домена

В Windows NT 4 один контроллер домена служит основным контроллером домена (PDC). Другие, если они существуют, обычно являются резервным контроллером домена (BDC). PDC обычно обозначается как «первый». «Менеджер пользователей для доменов» — это утилита для хранения информации о пользователях / группах. Он использует базу данных безопасности домена на первичном контроллере. PDC имеет главную копию базы данных учетных записей пользователей, к которой он может получить доступ и изменить. На компьютерах BDC есть копия этой базы данных, но эти копии доступны только для чтения. PDC будет регулярно реплицировать свою базу данных учетных записей на BDC. BDC существуют для обеспечения резервного копирования PDC, а также могут использоваться для аутентификации пользователей, входящих в сеть. В случае отказа PDC один из BDC может быть назначен на его место. PDC обычно будет первым контроллером домена, который был создан, если он не был заменен повышенным BDC.

Эмуляция PDC (основной контроллер домена)

В современных выпусках Windows домены были дополнены использованием служб Active Directory . В доменах Active Directory концепция отношений между первичным и вторичным контроллерами домена больше не применяется. Эмуляторы PDC содержат базы данных учетных записей и инструменты администрирования. В результате большая рабочая нагрузка может замедлить работу системы. Служба DNS может быть установлена ​​на вторичном компьютере-эмуляторе, чтобы снизить нагрузку на эмулятор PDC. Применяются те же правила; в домене может существовать только один основной контроллер домена, но можно использовать несколько серверов репликации.

• Мастер-эмулятор основного контроллера домена действует вместо основного контроллера домена, если в пределах контроллеров домена (BDC) Windows NT 4.0 остаются домен, выступающий в качестве источника для их репликации.
• Главный эмулятор PDC получает преимущественную репликацию изменений пароля внутри домена. Поскольку изменение пароля требует времени для репликации на всех контроллерах домена в домене Active Directory, главный эмулятор PDC получает уведомление об изменении пароля немедленно, и если попытка входа в систему не удалась на другом контроллере домена, этот контроллер домена перенаправит запрос входа в систему. Мастер-эмулятор PDC, прежде чем отклонить его.
• Мастер-эмулятор PDC также служит машиной, с которой все контроллеры домена в домене будут синхронизировать свои часы. Он, в свою очередь, должен быть настроен для синхронизации с внешним источником времени NTP .

Samba

Первичные контроллеры домена (PDC) были точно воссозданы на Samba эмуляция клиент-серверной системы Microsoft SMB . Samba имеет возможность эмулировать домен NT 4.0, а также современные доменные службы Active Directory на компьютере Linux.

Резервный контроллер домена

В доменах Windows NT 4 резервный контроллер домена (BDC) — это компьютер, на котором есть копия базы данных учетных записей пользователей. В отличие от базы данных учетных записей на PDC, база данных BDC является копией только для чтения. Когда изменения вносятся в базу данных основных учетных записей на PDC, PDC отправляет обновления на BDC. Эти дополнительные контроллеры домена существуют для обеспечения отказоустойчивости. Если PDC выходит из строя, его можно заменить на BDC. В таких обстоятельствах администратор продвигает BDC в качестве нового PDC. BDC также могут аутентифицировать запросы пользователей на вход в систему и брать на себя часть аутентификационной нагрузки с PDC.

Когда была выпущена Windows 2000 , домен NT, обнаруженный в NT 4 и предыдущих версиях, был заменен на Active Directory . В доменах Active Directory, работающих в основном режиме, концепции PDC и BDC не существуют. В этих доменах все контроллеры домена считаются равными. Побочным эффектом этого изменения является потеря возможности создания контроллера домена «только для чтения». Windows Server 2008 повторно представила эту возможность.

Номенклатура

Windows Server может быть одного из трех типов: «контроллеры домена» Active Directory (те, которые обеспечивают идентификацию и аутентификацию), «рядовые серверы» Active Directory (те, которые предоставляют дополнительные услуги, такие как как файловые репозитории и схемы) и Windows Workgroup «автономные серверы». Термин «Сервер Active Directory» иногда используется Microsoft как синоним «Контроллера домена», но этот термин не приветствуется.

Что такое контроллер домена?

Контроллер домена – это сервер, контролирующий компьютерную сеть Вашей организации. Чтобы разобраться, как он работает, рассмотрим основные способы управления большим количеством компьютеров.

Существует два типа локальных сетей:

• Основанная на рабочей группе (одноранговая).
• Доменная (сеть на основе управляющего сервера).

В первом случае каждый компьютер одновременно является и клиентом, и сервером. То есть, каждый пользователь может самостоятельно решать, доступ к каким файлам ему открывать и для кого именно. С одной стороны, эту сеть создать достаточно просто, но с другой, управлять ею (администрировать) бывает достаточно сложно, особенно если в сети 5 компьютеров и больше.

Также, если Вам необходимо выполнить какие-либо изменения в программном обеспечении (установить систему безопасности, создать нового пользователя, инсталлировать программу или приписать сетевой принтер), придется каждый компьютер настраивать по отдельности. Одноранговая сеть может сгодиться для управления не более чем десятью устройствами.

Что касается домена, в этой сети есть единый сервер (единый аппарат, в “руках” которого сосредоточена вся власть), а основные машины являются клиентами. Взаимодействие в сети между компьютерами осуществляется через контроллер домена, то есть он определяет кому, когда и куда давать доступ. Таким образом, имея доступ к одному лишь контроллеру домена, Вы можете выполнять 95% задач в удаленном режиме, так как сервер имеет полные права на любом компьютере в сети.

При помощи групповых политик Вы можете за несколько минут настроить все устройства в сети (установить программы, добавить/заблокировать пользователя и т.д.), не бегая от одного устройства к другому. Число подконтрольных компьютеров неограниченно.

Что нужно для добавления контроллера домена?

Работа начинается с того, что на функциональное оборудование ставится специальный серверный софт – Windows Server 2008, 2012, 2016, 2019. После установки софта администратор определяет роль сервера — то, за что сервер будет отвечать:

• за хранение данных – файловый сервер;
• за открытие и работу программ для сотрудников – терминальный;
• за почту – почтовый;
• за управление доступами и прочим – контроллер домена.

Важно! Понятие «контроллер домена» применимо только для серверов с операционной системой Windows.

Если Ваш текущий домен контроллер устаревший, стоит обновить его до более современной версии, которая предусматривает широкие возможности и оптимизированный функционал. Например, под управлением Server 2003 можно настраивать функции Windows XP, а новые функции, появившиеся в Windows 7 – нет.

Список совместимости:

• Server 2003 – Windows XP и более старые
• Server 2008 – Windows XP, Vista
• Server 2008 R2 – Windows XP, Vista, 7
• Server 2012 – Windows XP, Vista, 7, 8
• Server 2012 R2 – Windows XP, Vista, 7, 8, 8.1
• Server 2016 – Windows XP, Vista, 7, 8, 8.1, 10

Серверный механизм способен выполнять очень широкий спектр ролей. Поэтому после инсталляции серверной ОС, прежде чем она сможет выполнить организационную работу локальной сети, необходимо произвести некоторые настройки.

Служба DNS

Для функционирования доменной сети обязательно необходима «DNS» (Domain Name System) служба, а сам контроллер должен видеть устройство, на котором она работает. Эта служба может функционировать как на роутере, так и на другом компьютере. В случае если такой службы нет, то при установке контроллера домена система предложит Вам выбрать роль «DNS». За что же она отвечает?

Служба «DNS» считывает и отправляет информацию об именах устройств. По сути, она связывает названия доменов с IP-адресами компьютеров, соответствующих этим доменам. Приведем простой пример:

• www.yandex.ru — это имя, присвоенное серверу Яндекс;
• 213.180.217.10 — это ip адрес Яндекса.

Одно имя соответствует одному IP-адресу устройства. Но ряд крупных компаний, таких как Яндекс или Гугл, в стремлении ускорить работу собственных сервисов создают дополнительные адреса. Также этот ход позволяет повысить надежность, бесперебойность работы. Порядок выдачи IP-адреса непосредственно зависит от настроек DHCP сервера (именно он позволяет сетевым аппаратам получать IP-адреса). В основном перенаправление имя-адрес осуществляется в случайном режиме. Узнать IP-адрес можно, набрав в командной строке «ping yandex.ru» .

Важно! Каждый раз при пуске «пинга» до Яндекса Вы можете получать разные или один и тот же IP-адрес. Это объясняется тем, что при большой нагрузки сервера один сервер перенаправляет Вас на другой, у которого другой IP.

IP-адрес

IP-адрес – это уникальный идентификатор устройства, находящегося в сети. Если приводить сторонний пример — это серия и номер паспорта человека, но для любого устройства, «общающегося» в сети – компьютер, роутер, принтер, сканер, МФУ, АТС и так далее. Адрес может присваиваться как в ручном режиме, так и в автоматическом. Для автоматического присвоения адресов устройствам, находящимся в сети необходим DHCP-сервер.

Важно! В сети не может быть устройств с одинаковым IP-адресом – точно так же, как нет людей с одинакововыми серией и номером паспорта.

Active Directory

Active Directory («Активный каталог») – это организованный каталог всех данных, необходимых для управления конкретной сетью. Под данными имеются в виду учетные записи, информация об устройствах в сети и многое другое. Active Directory позволяет централизованно управлять всем, что включено в сеть. Приведем простые и важные примеры, которые решаются с помощью этой службы:

1. Ограничение доступа сотрудников к информации. Например, менеджеры не имеют доступа ко всему, что касается бухгалтерской отчетности, а сотрудники бухгалтерии не имеют доступа к данным, которые ведут менеджеры. Это позволяет:

• упростить работу с информацией – сотрудник видит только те материалы, которые необходимы ему для работы;
• создать границы – каждый сотрудник в компании четко знает свою сферу влияния;
• сократить возможность утечки информации – менеджер не может «слить» кому-то Вашу бухгалтерию, или бухгалтер – всех Ваших клиентов.

О безопасности! Когда сфера доступа сотрудника ограничена определенными рамками, он понимает, что ответственность за утерянную информацию с его источника несет именно он! Таким образом, риск быть обнаруженным из-за узкого круга подозреваемых лиц остановит среднестатистического воришку.

2. Ограничения использования некоторых устройств. Добавление контроллера домена позволит Вам защитить конфиденциальную информацию. Например, ограничивайте использования USB-накопителей с целью обезопасить себя от утечки конфиденциальной информации или от проникновения вируса в общую сеть.

3. Ограничения использования программ. Сотрудник не сможет установить игру или другой сторонний софт. Это полезно, потому что:

• сторонний софт может быть пиратским, и компания попадает под риск получить штраф в случае проверки;
• можно установить вирус, который убьет всю информацию на компьютере, либо будет передавать данные с компьютера сторонним лицам;
• можно установить развлекательные игры и таким образом саботировать работу;
• можно открыть шифратор и зашифровать все данные о компании;
• можно наставить столько всего на компьютер, что он будет тормозить и работа станет невозможной и т.д.

4. Быстрая настройка рабочего стола для нового сотрудника. После приема на работу нового коллеги для него устанавливается индивидуальная учетная запись. После чего он определяется в свою рабочую группу, например, «менеджеры». Далее система автоматически и очень быстро устанавливает все необходимые программы, выводит необходимые значки на рабочий стол, настраивает принтеры и т. д. для работы этого человека. Кроме того, он получает доступ к закрытой информации, которой оперируют его коллеги по специальности.

5. Централизованное управление сетевыми устройствами. Вы можете с легкостью прописать (зафиксировать в системе), что для людей, сидящих в одном кабинете, все документы печатаются на один принтер, который находится в их кабинете, а для людей, сидящих в другом кабинете – на другой, который находится у них, и т.д.

Настройка контроллера домена с «Lan-Star»

Быстро открывать и блокировать доступ к данным, ставить нужной группе необходимый софт и решать широкий спектр управленческих задач с помощью системного администратора позволяет именно настройка контроллера домена. Это необходимый элемент IT-структуры, если Вы действительно беспокоитесь о сохранности корпоративных данных, думаете о централизованности управления, хотите создать рабочую и четкую структуру в своей организации, организовать удобную работу своих сотрудников с максимальным сокращением времени простоев, связанных с компьютерной техникой и сбоями в работе программ.

Закажите настройку и сопровождение централизованной системы управления рабочей сетью — контроллера домена. Возьмите все процессы, происходящие в компании, в свои руки! «Lan-Star» — надежный IT партнер. Наша специализация: обеспечение безопасности, организация стабильной работы, оптимизация деятельности компании. Чтобы получить более детальную информацию об услуге, обратитесь к нам по телефону (посмотреть) или закажите бесплатную консультацию.