Контроллер домена (Windows) — Domain controller (Windows)

На Microsoft Servers , a контроллер домена (DC) — это серверный компьютер , который отвечает на запросы аутентификации безопасности (вход в систему и т. Д.) В пределах домена Windows . Домен — это концепция, представленная в Windows NT , посредством которой пользователю может быть предоставлен доступ к ряду компьютерных ресурсов с использованием единой комбинации имени пользователя и пароля.

Содержание

История

В Windows NT 4 Server один контроллер домена на домен был настроен как основной контроллер домена (PDC); все остальные контроллеры домена были резервными контроллерами домена (BDC).

Из-за критического характера PDC, передовой опыт диктовал, что PDC должен быть выделен исключительно для доменных служб и не использоваться для файловых служб, служб печати или приложений, которые могут замедлить или вывести систему из строя. Некоторые сетевые администраторы предприняли дополнительный шаг, включив выделенный BDC в оперативный режим, чтобы быть доступным для продвижения в случае сбоя PDC.

BDC может аутентифицировать пользователей в домене, но все обновления в домене (новые пользователи, измененные пароли, членство в группах и т. Д.) Могут быть сделаны только через PDC, который затем распространит эти изменения на все BDC в домене. Если PDC был недоступен (или не мог связаться с пользователем, запрашивающим изменение), обновление завершится ошибкой. Если PDC был постоянно недоступен (например, если машина вышла из строя), существующий BDC может быть повышен до PDC.

Windows 2000 и более поздние версии представили Active Directory («AD»), который в значительной степени устранил концепцию PDC и BDC в пользу репликации с несколькими мастерами . Однако по-прежнему существует несколько ролей, которые может выполнять только один контроллер домена, которые называются ролями гибкой единственной главной операции . Некоторые из этих ролей должны быть заполнены одним контроллером домена на домен, в то время как для других требуется только один контроллер домена на лес AD . Если сервер, выполняющий одну из этих ролей, потерян, домен все еще может функционировать, и если сервер снова не будет доступен, администратор может назначить альтернативный DC, который возьмет на себя роль в процессе, известном как «захват» роли.

Основной контроллер домена

В Windows NT 4 один контроллер домена служит основным контроллером домена (PDC). Другие, если они существуют, обычно являются резервным контроллером домена (BDC). PDC обычно обозначается как «первый». «Менеджер пользователей для доменов» — это утилита для хранения информации о пользователях / группах. Он использует базу данных безопасности домена на первичном контроллере. PDC имеет главную копию базы данных учетных записей пользователей, к которой он может получить доступ и изменить. На компьютерах BDC есть копия этой базы данных, но эти копии доступны только для чтения. PDC будет регулярно реплицировать свою базу данных учетных записей на BDC. BDC существуют для обеспечения резервного копирования PDC, а также могут использоваться для аутентификации пользователей, входящих в сеть. В случае отказа PDC один из BDC может быть назначен на его место. PDC обычно будет первым контроллером домена, который был создан, если он не был заменен повышенным BDC.

Эмуляция PDC (основной контроллер домена)

В современных выпусках Windows домены были дополнены использованием служб Active Directory . В доменах Active Directory концепция отношений между первичным и вторичным контроллерами домена больше не применяется. Эмуляторы PDC содержат базы данных учетных записей и инструменты администрирования. В результате большая рабочая нагрузка может замедлить работу системы. Служба DNS может быть установлена ​​на вторичном компьютере-эмуляторе, чтобы снизить нагрузку на эмулятор PDC. Применяются те же правила; в домене может существовать только один основной контроллер домена, но можно использовать несколько серверов репликации.

• Мастер-эмулятор основного контроллера домена действует вместо основного контроллера домена, если в пределах контроллеров домена (BDC) Windows NT 4.0 остаются домен, выступающий в качестве источника для их репликации.
• Главный эмулятор PDC получает преимущественную репликацию изменений пароля внутри домена. Поскольку изменение пароля требует времени для репликации на всех контроллерах домена в домене Active Directory, главный эмулятор PDC получает уведомление об изменении пароля немедленно, и если попытка входа в систему не удалась на другом контроллере домена, этот контроллер домена перенаправит запрос входа в систему. Мастер-эмулятор PDC, прежде чем отклонить его.
• Мастер-эмулятор PDC также служит машиной, с которой все контроллеры домена в домене будут синхронизировать свои часы. Он, в свою очередь, должен быть настроен для синхронизации с внешним источником времени NTP .

Samba

Первичные контроллеры домена (PDC) были точно воссозданы на Samba эмуляция клиент-серверной системы Microsoft SMB . Samba имеет возможность эмулировать домен NT 4.0, а также современные доменные службы Active Directory на компьютере Linux.

Резервный контроллер домена

В доменах Windows NT 4 резервный контроллер домена (BDC) — это компьютер, на котором есть копия базы данных учетных записей пользователей. В отличие от базы данных учетных записей на PDC, база данных BDC является копией только для чтения. Когда изменения вносятся в базу данных основных учетных записей на PDC, PDC отправляет обновления на BDC. Эти дополнительные контроллеры домена существуют для обеспечения отказоустойчивости. Если PDC выходит из строя, его можно заменить на BDC. В таких обстоятельствах администратор продвигает BDC в качестве нового PDC. BDC также могут аутентифицировать запросы пользователей на вход в систему и брать на себя часть аутентификационной нагрузки с PDC.

Когда была выпущена Windows 2000 , домен NT, обнаруженный в NT 4 и предыдущих версиях, был заменен на Active Directory . В доменах Active Directory, работающих в основном режиме, концепции PDC и BDC не существуют. В этих доменах все контроллеры домена считаются равными. Побочным эффектом этого изменения является потеря возможности создания контроллера домена «только для чтения». Windows Server 2008 повторно представила эту возможность.

Номенклатура

Windows Server может быть одного из трех типов: «контроллеры домена» Active Directory (те, которые обеспечивают идентификацию и аутентификацию), «рядовые серверы» Active Directory (те, которые предоставляют дополнительные услуги, такие как как файловые репозитории и схемы) и Windows Workgroup «автономные серверы». Термин «Сервер Active Directory» иногда используется Microsoft как синоним «Контроллера домена», но этот термин не приветствуется.

Создание контроллера домена Active Directory Domain Services

В статье описан процесс установки Active Directory, настройки контроллера домена и создание пользователей AD на VPS с операционной системой семейства Windows Server.

Виртуальный сервер на базе Windows

• Лицензия включена в стоимость
• Тестирование 3-5 дней
• Безлимитный трафик

Что это такое?

Доменные службы Active Directory (AD DS) — это реализация службы каталогов Microsoft, которая предоставляет централизованные службы проверки подлинности и авторизации. AD DS в Windows Server предоставляет мощную службу каталогов для централизованного хранения и управления безопасностью, например пользователями, группами и компьютерами, а также обеспечивает централизованный и безопасный доступ к сетевым ресурсам. Active Directory Domain Services используется для организации локальных вычислительных сетей.

Подготовка Windows Server и конфигурация сети

Создание и конфигурация сети

Для начала в панели управления необходимо создать необходимые для сети серверы и один из них будет контроллером домена.

Важно: для работы с Active Directory необходимо при заказе сервера в панели управления отметить галочкой поле “выполнить системную подготовку Windows”.

После создания необходимо объединить все машины в единую частную сеть через панель управления в разделе “Частные сети”, в результате чего они получат локальные IP-адреса.

Настройка сетевого адаптера контроллера домена

Для начала подключитесь к виртуальному серверу по протоколу RDP.

О том как настроить сетевой адаптер написано в нашей инструкции.

Укажите локальный IP-адрес, маску подсети и шлюз по умолчанию из раздела Сети панели управления. В качестве предпочитаемого DNS-сервера укажите IP-адрес шлюза по умолчанию. Сохраните настройки.

Установка Active Directory Domain Service

Откройте Диспетчер серверов и выберете пункт «Add roles and features».

В качестве типа установки укажите Role-based or feature-based installation.

Выберете ваш сервер из пула.

В следующем окне отметьте Active Directory Domain Services (Доменные службы Active Directory).

Установите все отмеченные компоненты на VPS с помощью кнопки Установить.

Настройка

В поиске введите dcpromo и откройте одноименную утилиту.

В открывшемся окне нажмите Ok.

После этого откройте Диспетчер серверов, в вертикальном меню у вас появится вкладка AD DS.

В горизонтальном меню нажмите на восклицательный знак и выберете Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера).

В появившемся окне настроек выберите Добавить новый лес (т.к. действия выполняются впервые) и введите ваше доменное имя.

Примечания:
— Имя корневого домена леса не может быть однокомпонентным (например, он должен быть «company.local» вместо «company»);
— Домен должен быть уникальным;
— Рекомендуем использовать уникальное имя домена из списка локальных (напр. company.local) во избежание конфликтов разрешения имен DNS в случае идентичных имен. — учетная запись, с которой делают настройки, должна входить в группу администраторов.

На следующем шаге введите и подтвердите пароль для режима восстановления служб каталогов.

На этом шаге просто нажмите Next.

Укажите удобное имя домена NetBIOS.

Укажите пути до базы данных AD DS, файлов журналов и папки SYSVOL. Рекомендуем оставить значения по умолчанию.

Проверьте настроенные параметры.

Дождитесь проверки предварительных требований после чего нажмите Установить. После установки сервер будет перезагружен.

Создание учетных записей

Для создания новых учетных записей и администраторов откройте оснастку Active Directory Users and Computers, для этого откройте Диспетчер серверов и перейдите в раздел AD DS. В контекстном меню сервера выберете соответствующую оснастку.

В новом окне разверните дерево вашего домена и найдите каталог с пользователями Users. Правой кнопкой мыши нажмите на каталог и выберете Создать -> Пользователь.

Для нового пользователя задайте личные данные и имя входа.

Далее введите пароль, который должен быть достаточно сложным и содержать буквы разного регистра и цифры. Дополнительные опции выберите на свое усмотрение.

Создайте нового пользователя.

Чтобы пользователь мог управлять службами Active Directory, его необходимо добавить в группу Domain Admins. Для этого с помощью правой кнопки мыши откройте свойства пользователя и перейдите во вкладку Member Of. Нажмите кнопку Add для добавления в группу.

Выполните поиск группы Domain Admins с помощью кнопки Check Names. Нажмите OK.

Сохраните изменения кнопкой Apply.

Теперь созданный пользователь сможет подключиться к контроллеру домена.

Рекомендуем сразу убедиться, что для публичного сетевого адаптера включен Firewall, а для доменной/частной сетей — отключен.