Сервер контроллера домена

Обзор

Сервер контроллера домена управляет учетными записями домена, которые используются для входа в многопользовательскую среду Microsoft Windows Server. В базе сервера хранится информация, необходимая для идентификации каждого пользователя – сотрудника предприятия – в локальной сети. Чаще всего это имя, фамилия (или ник) пользователя и пароль.

Как выбрать сервер контроллера домена

Задача сервера контроллера домена – управление процессами авторизации пользователей на рабочих местах и назначение им прав доступа к информационным ресурсам предприятия – данным на файловом сервере, сетевым принтерам и т. п. Именно контроллер разрешает или запрещает вход в систему или использование определенных ресурсов.

Сервер контроллера домена упрощает хранение и изменение информации, необходимой для авторизации персонала, делает это централизованно, быстро и безопасно. Так как его задачи не требуют значительных вычислительных мощностей, с ними справится оборудование начального уровня.

Оборудование для организации сервера контроллера домена

Сервер контроллера домена можно настроить на одноюнитовом одно- или двухпроцессорном оборудовании.

HP ProLiant DL20 Gen9. Компактный сервер высокой плотности, который поддерживает подключение недорогих накопителей для малых рабочих нагрузок.

Dell PowerEdge R230. Универсальное решение для малого и среднего бизнеса. Сервер поддерживает быстрое развертывание, сокращает время отклика и позволяет консолидировать данные нескольких рабочих машин.

Fujitsu PRIMERGY RX2510 M2. Многофункциональный сервер, который обеспечивает быструю работу небольшой базы данных. Поддержка емких модулей ОЗУ и возможность масштабирования делают его хорошим вариантом для покупки на перспективу.

Обращайтесь к специалистам компании ITELON – мы поможем выбрать и введем в эксплуатацию сервер контроллера домена для удобной работы в многопользовательском режиме.

2.Контроллеры домена и рядовые серверы

При установке Windows Server 2003 систему можно конфигурировать как рядовой сервер, контроллер домена или изолированный сервер. Различия между этими типами серверов чрезвычайно важны. Рядовые серверы являются частью домена, но не хранят информацию каталога. Контроллеры домена хранят данные каталога и выполняют службы аутентификации и каталога в рамках домена. Изолированные серверы не являются частью домена и имеют собственную БД пользователей, поэтому изолированный сервер также аутентифицирует запросы на вход.

Windows Server 2003 не различает основные и резервные контроллеры домена, так как поддерживает модель репликации с несколькими хозяевами. В этой модели любой контроллер домена может обрабатывать изменения каталога и затем автоматически реплицирует их на другие контроллеры домена. В модели репликации с одним хозяином в Windows NT все происходит не так: основной контроллер домена хранит главную копию каталога, а резервные — ее копии. Кроме того, Windows NT распространяет только БД диспетчера учетных записей безопасности (security access manager, SAM), a Windows Server 2003 — весь каталог информации, называемый хранилищем данных (datastore). В нем есть наборы объектов, представляющие учетные записи пользователей, групп и компьютеров, а также общие ресурсы, например серверы, файлы и принтеры.

Домены, в которых применяются службы Active Directory, называют доменами Active Directory, чтобы отличать их от доменов Windows NT. Хотя Active Directory работает только с одним контроллером домена, в домене можно и нужно создать дополнительные контроллеры. Если ОДИН контроллер выходит из строя, для выполнения аутентификации и других важных задач можно задействовать другие.

В домене Active Directory любой рядовой сервер разрешается повысить до уровня контроллера домена без переустановки ОС, как того требовала Windows NT. Для превращения рядового сервера в контроллер следует лишь установить на него компонент Active Directory. Возможно и обратное действие: понижение контроллера домена до рядового сервера, если он не является последним контроллером домена в сети. Вот как повысить или понизить уровень сервера посредством мастера установки Active Directory.

3.Функции командной строки

В Windows Server 2003 масса утилит командной строки. Многие из них используют протокол TCP/IP, поэтому его следует предварительно установить.

Как администратору, вам следует знать следующие утилиты командной строки.

• ARP отображает и управляет программно-аппаратной привязкой адресов, используемой Windows Server 2003 для отправки данных по сети TCP/IP.

• FTP запускает встроенный FТР-клиент.

• HOSTNAME отображает имя локального компьютера.

• IPCONFIG отображает свойства TCP/IP для сетевых адаптеров, установленных в системе. Также используется для обновления и освобождения выданных службой DHCP адресов.

• NBTSTAT отображает статистику и текущее соединение для протокола NetBIOS по-верх TCP/IP.

• NET отображает список подкоманд команды NET.

• NETSH отображает и управляет сетевой конфигурацией локального и удаленных компьютеров.

• NETSTAT отображает текущие TCP/Ip соединения и статистику протокола.

• NSLOOKUP проверяет статус узла или IP-адреса при использовании с DNS.

• PATHPING проверяет сетевые пути и отображает информацию о потерянных пакетах.

• PING тестирует соединение с удаленным узлом.

• ROUTE управляет таблицами маршрутизации в системе.

• TRACERT во время цитирован и я определяет сетевой путь к удаленному узлу.

Роли сервера Active Directory

Роли сервера Active Directory

Компьютеры, функционирующие в качестве серверов, могут иметь одну из двух ролей: рядовой сервер или контроллер домена. Сервер, находящийся вне домена, называется выделенным сервером.

Рядовые серверы

Рядовым сервером является компьютер, который отвечает следующим условиям:

• Работает под управлением операционной системы семейства Windows 2000 Server или семейства Windows Server 2003.
• подключен к домену;
• не является контроллером домена.

Рядовой сервер не обрабатывает информацию о входе пользователей в сеть, не участвует в репликации Active Directory и не хранит сведений о политике безопасности домена.

Рядовые серверы обычно выполняют функции файловых серверов, серверов приложений, серверов баз данных, веб-серверов, серверов сертификатов, брандмауэров или серверов удаленного доступа. Дополнительные сведения о ролях серверов см. в разделе Роли сервера.

Следующие возможности, связанные с безопасностью, являются общими для всех рядовых серверов:

• Рядовые серверы придерживаются политики безопасности, определенной для сайта, домена или подразделения.
• Управление доступом осуществляется для ресурсов, доступных на рядовом сервере.
• Пользователи рядовых серверов имеют назначенные права пользователей.
• На рядовом сервере находится база данных локальной политики учетных записей — диспетчер учетных записей (SAM).

Контроллеры домена

Контроллером домена является компьютер, который отвечает следующим условиям:

• Работает под управлением операционной системы семейства Windows 2000 Server или семейства Windows Server 2003.
• Использует Active Directory для хранения копии базы данных домена, доступной для чтения и записи, участвует в репликации с несколькими хозяевами и проверяет учетные данные пользователей при входе в сеть.

Контроллеры домена хранят данные каталога и управляют взаимодействием между пользователями и доменом, а именно: процессом входа в домен, проверкой подлинности и поиском в каталоге. Контроллеры домена синхронизируют данные каталога путем репликации с несколькими хозяевами, постоянно проверяя согласованность информации. Дополнительные сведения о репликации с несколькими хозяевами см. в разделе Общие сведения о репликации.

Active Directory поддерживает репликацию данных каталога с несколькими хозяевами между всеми контроллерами домена в домене. Однако для репликации некоторых данных каталога репликация с несколькими хозяевами недопустима. В этом случае данные будет обрабатывать контроллер домена, называемый хозяином операций. Лес Active Directory поддерживает не менее пяти ролей хозяина операций, назначаемых одному или нескольким контроллерам домена. Дополнительные сведения о хозяевах операций см. в разделе Роли хозяев операций.

При изменении вычислительной среды может возникнуть необходимость изменить роли серверов. При помощи мастера установки Active Directory можно установить Active Directory на рядовом сервере, сделав его таким образом контроллером домена. Можно также сделать контроллер домена рядовым сервером, удалив с него Active Directory. Дополнительные сведения о контроллерах домена см. в разделе Контроллеры домена.

Примечание

• Active Directory нельзя установить на компьютер, работающий под управлением Windows Server 2003, Web Edition, но можно присоединить компьютер к домену Active Directory как рядовой сервер. Дополнительные сведения о Windows Server 2003, Web Edition см. в разделе Общие сведения о Windows Server 2003, Web Edition.

Клиенты Active Directory

Клиенты Active Directory

Клиент Active Directory делает многие возможности Active Directory, применяемые в Windows 2000 Professional или Windows XP Professional., доступными на компьютерах, работающих под управлением Windows 95, Windows 98 и Windows NT 4.0.

Служба сайта

Позволяет войти в систему на контроллере домена, который является ближайшим к клиенту в данной сети. Дополнительные сведения см. в разделе Поиск контроллера домена.
Интерфейсы службы Active Directory

Возможно использование сценариев для Active Directory. Интерфейсы службы Active Directory предоставляют также общий интерфейс программирования приложений (API) для программистов Active Directory.
Распределенная файловая система

Обеспечивается доступ к общим ресурсам DFS на серверах, работающих под управлением Windows 2000 и Windows Server 2003.
Проверка подлинности NTLM версии 2

Поддерживаются возможности проверки подлинности в NTLM версии 2.

Дополнительные сведения (на английском языке) о включении NTML версии 2 см. в статье Q239869, «How to Enable NTLM 2 Authentication» базы знаний корпорации Майкрософт.
Свойства адресной книги Windows в Active Directory

Можно изменять такие свойства, как номер телефона и адрес, на страницах объекта-пользователя.
Средства поиска Active Directory

При помощи кнопки Пуск возможен поиск принтеров и людей в доменах Windows 2000 Server или Windows Server 2003.

Сведения о публикации принтеров в каталоге Active Directory (на английском языке) можно найти в статье Q234619, «Publishing a Printer in Windows 2000 Active Directory,» в базе знаний корпорации Майкрософт.

Windows 2000 Professional и Windows XP Professional. поддерживают те функциональные возможности, которые не обеспечивались клиентом Active Directory в Windows 95, Windows 98 и Windows NT 4.0, включая поддержку Kerberos V5, поддержку групповой политики или интерфейса IntelliMirror и имя участника службы (SPN) или взаимную проверку подлинности. Чтобы воспользоваться этими дополнительными возможностями необходимо обновить операционную систему до Windows 2000 Professional или Windows XP Professional..

Инструкции по установке клиента Active Directory (на английском языке) см. на странице клиента Active Directory на веб-узле корпорации Майкрософт.

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.

Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим.

Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций.

Создание контроллера домена Active Directory Domain Services

В статье описан процесс установки Active Directory, настройки контроллера домена и создание пользователей AD на VPS с операционной системой семейства Windows Server.

Виртуальный сервер на базе Windows

• Лицензия включена в стоимость
• Тестирование 3-5 дней
• Безлимитный трафик

Что это такое?

Доменные службы Active Directory (AD DS) — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации. AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам. Active Directory Domain Services используется для организации локальных вычислительных сетей.

Подготовка Windows Server и конфигурация сети

Создание и конфигурация сети

Для начала в панели управления необходимо создать необходимые для сети серверы и один из них будет контроллером домена.

Важно: для работы с Active Directory необходимо при заказе сервера в панели управления отметить галочкой поле “выполнить системную подготовку Windows”.

После создания необходимо объединить все машины в единую частную сеть через панель управления в разделе “Частные сети”, в результате чего они получат локальные IP-адреса.

Настройка сетевого адаптера контроллера домена

Для начала подключитесь к виртуальному серверу по протоколу RDP.

О том как настроить сетевой адаптер написано в нашей инструкции.

Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес шлюза по умолчанию. Сохраните настройки.

Установка Active Directory Domain Service

Откройте Диспетчер серверов и выберете пункт «Add roles and features».

В качестве типа установки укажите Role-based or feature-based installation.

Выберете ваш сервер из пула.

В следующем окне отметьте Active Directory Domain Services (Доменные службы Active Directory).

Установите все отмеченные компоненты на VPS с помощью кнопки Установить.

Настройка

В поиске введите dcpromo и откройте одноименную утилиту.

В открывшемся окне нажмите Ok.

После этого откройте Диспетчер серверов, в вертикальном меню у вас появится вкладка AD DS.

В горизонтальном меню нажмите на восклицательный знак и выберете Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера).

В появившемся окне настроек выберите Добавить новый лес (т.к. действия выполняются впервые) и введите ваше доменное имя.

Примечания:
— Имя корневого домена леса не может быть однокомпонентным (например, он должен быть «company.local» вместо «company»);
— Домен должен быть уникальным;
— Рекомендуем использовать уникальное имя домена из списка локальных (напр. company.local) во избежание конфликтов разрешения имен DNS в случае идентичных имен. — учетная запись, с которой делают настройки, должна входить в группу администраторов.

На следующем шаге введите и подтвердите пароль для режима восстановления служб каталогов.

На этом шаге просто нажмите Next.

Укажите удобное имя домена NetBIOS.

Укажите пути до базы данных AD DS, файлов журналов и папки SYSVOL. Рекомендуем оставить значения по умолчанию.

Проверьте настроенные параметры.

Дождитесь проверки предварительных требований после чего нажмите Установить. После установки сервер будет перезагружен.

Создание учетных записей

Для создания новых учетных записей и администраторов откройте оснастку Active Directory Users and Computers, для этого откройте Диспетчер серверов и перейдите в раздел AD DS. В контекстном меню сервера выберете соответствующую оснастку.

В новом окне разверните дерево вашего домена и найдите каталог с пользователями Users. Правой кнопкой мыши нажмите на каталог и выберете Создать -> Пользователь.

Для нового пользователя задайте личные данные и имя входа.

Далее введите пароль, который должен быть достаточно сложным и содержать буквы разного регистра и цифры. Дополнительные опции выберите на свое усмотрение.

Создайте нового пользователя.

Чтобы пользователь мог управлять службами Active Directory, его необходимо добавить в группу Domain Admins. Для этого с помощью правой кнопки мыши откройте свойства пользователя и перейдите во вкладку Member Of. Нажмите кнопку Add для добавления в группу.

Выполните поиск группы Domain Admins с помощью кнопки Check Names. Нажмите OK.

Сохраните изменения кнопкой Apply.

Теперь созданный пользователь сможет подключиться к контроллеру домена.

Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей — отключен.