Разное

Active directory глобальный каталог: Глобальный каталог Active Directory | заметки системного администратора

Содержание

Глобальный каталог Active Directory | заметки системного администратора

Серверы глобальных каталогов

 

Каждый системный администратор, который работает с доменными службами Active Directory, по крайней мере, один раз за время своей работы сталкивается с глобальными каталогами, но далеко не каждый системный администратор задумывается, что же такое глобальный каталог и для чего он предназначен. Глобальный каталог (Global Catalog или GC) представляет собой репозиторий распределенных данных, который хранит информацию о каждом объекте, а также облегчает поиск в лесу Active Directory. Глобальный каталог хранится на контроллерах домена, которые назначены в качестве серверов глобального каталога и распространяется посредством репликации с множеством равноправных участников. Первый контроллер домена, установленный в лесе, автоматически конфигурируется как сервер глобального каталога. Вы можете переносить возможности глобального каталога на другие контроллеры домена, а также изменять расположение глобального каталога, устанавливаемое по умолчанию, указывая другой контроллер. Глобальный каталог позволяет пользователям и приложениям находить объекты в любом домене текущего леса посредством поиска атрибутов, включенных в глобальный каталог, которые идентифицируются в схеме в качестве частного набора атрибутов (Partial Attribute Set, PAT). Допустим, у вас есть лес с тремя доменами, причем каждый домен содержит по два контроллера домена. Все шесть контроллеров домена поддерживают репликацию схемы и конфигурации леса. Соответственно, контроллеры в домене А содержат реплики контекста именования домена А, контроллеры в домене B – реплики именования домена B, а контроллеры домена C, соответственно, реплики домена C. Рассмотрим следующую ситуацию: пользователь домена C хочет найти пользователя домена А. В этом случае, когда пользователь в домене C выполняет поиск объекта домена А, результаты запроса предоставляет глобальный каталог. Но если объект содержит специфический атрибут, который по умолчанию не включен в глобальный каталог, то вы можете добавить такой атрибут при помощи оснастки «Схема Active Directory». Таким образом, если бы не было сервера глобального каталога, то контроллер домена, принимающий поисковые запросы объектов в других доменах, пересылал бы поисковые запросы на контроллер в домене с искомым объектом. В этой статье вы узнаете о самой концепции серверов глобального каталога, об их архитектуре, протоколах, процессах, физической структуре, а также о многих нюансах, связанных с данной технологией.

Взаимодействие глобального каталога с другими серверными объектами

Серверы глобального каталога участвуют в следующих процессах и взаимодействуют со службами:

Установка Active Directory. Глобальный каталог автоматически конфигурируется на первом контроллере домена, который устанавливается в лесу;

Репликация Active Directory. В репликации Active Directory каждая реплика на контроллере домена согласована с репликами этого раздела, управляемого другими контроллерами доменов. Глобальный каталог построен на репликации Active Directory. После того как вы создали лес, на контроллере домена, который используется в качестве сервера глобального каталога, автоматически реплицируется частный набор атрибутов на контроллеры домена всех доменов в лесу, отличных от локального. Для оптимизации репликации один из контроллеров домена обычно назначается в качестве сервера-плацдарма, который отвечает за всю входящую и исходящую репликацию раздела для сайта. Например, для обновлений глобального каталога, при репликации Active Directory выбираются серверы глобального каталога в качестве серверов-плацдармов и все изменения, внесенные в центре данных в глобальный каталог, будут реплицироваться на все контроллеры домена в данном сайте. Изменения будут поступать на сервер-плацдарм, а затем реплицироваться на серверы-плацдармы в филиалах, которые реплицируют изменения на контроллеры домена в своих сайтах.

Система доменных имен (DNS). Как и доменные службы Active Directory, серверы глобального каталога не могут функционировать без DNS. Аналогично тому как службы DNS предоставляют данные, необходимые компьютерам в сети для локализации контроллеров домена Active Directory, так и для предоставления IP-адресов серверов глобального каталога клиенты сервера глобального каталога также полностью зависят от DNS.

Служба «Сетевой вход в систему». При попытке пользователя выполнить вход в систему, клиентский компьютер отправляет вызов удаленной процедуры локальной службе «Сетевой вход в систему», инициируя сеанс входа. В вызове удаленной процедуры клиент пересылает данной службе такую информацию как имя компьютера, имя домена, а также имя сайта. Объявление глобального каталога DNS зависит от службы «Сетевой вход в систему». При завершении репликации глобального каталога или при запуске сервера глобального каталога, служба «Сетевой вход в систему» публикует записи расположения службы (SRV) в DNS, которая объявляет контроллер домена как сервер глобального каталога.

Взаимодействие серверов глобального каталога с серверными объектами выглядит следующим образом:

Рис. 1. Пример взаимодействия серверов глобального каталога с доменными службами Active Directory

После создания нового контролера домена DC02, системный администратор определяет его как сервер глобального каталога и реплицирует частичный набор атрибутов из DC01. В домене А, DC01 реплицирует изменения для DC02 домена А, а DC02 – реплицирует обновления данных для DC01 домена В.

На шаге «А» клиентский компьютер КлиентХ отправляет запрос в глобальный каталог, который перенаправляет запрос DNS-серверу для поиска ближайшего сервера глобального каталога «В», после чего клиент связывается с сервером глобального каталога для выполнения своего запроса «С».

Клиентский компьютер КлиентY выполняет вход в домен «1». Он запрашивает DNS-сервер на расположение ближайшего контроллера домена «2». После этого он связывается с ближайшим контроллером домена DC03 и пробует пройти проверку подлинности «3». DC03 запрашивает DNS-сервер на расположение ближайшего сервера глобального каталога «4». Затем данный контроллер домена связывается с сервером глобального каталога DC02 для извлечения членства пользователя в универсальных группах.

Развитие и сценарии использования серверов глобального каталога

Как уже было сказано ранее, одной из важнейших ролей серверов глобального каталога, является эффективное выполнение поиска объектов в доменах Active Directory. Причем, глобальным каталогом выступает контроллер домена, на котором хранится полная копия всех объектов в каталоге для собственного домена и частичная, предназначенная только для чтения копий всех объектов во всех других доменах леса. Всем известно, что для управления доменными службами и идентификацией в Active Directory используется специальное хранилище, расположенное в базе данных Ntds.dit, где содержатся разделы каталога, также называемые контекстами именования. Кроме таких контекстов именования, как «Конфигурация» и «Схема», в лесах с функциональным уровнем Windows Server 2000, Windows Server 2003, Windows Server 2008, а также Windows Server 2008 R2, контроллеры домена поддерживают полную реплику нескольких контекстов именования каталога одного домена. Конфигурация реплицируется на каждый контроллер домена в лесу, также как и схема. Причем, контекст именования для домена реплицируется на все контроллеры домена, но не реплицируется на контроллеры домена в других доменах. В свою очередь, при помощи глобального каталога пользователи могут выполнять поиск данных каталога во всех доменах леса независимо от места хранения данных. Контроллеры домена, которые выполняют роль глобального каталога, также называются серверами глобального каталога, которые, соответственно, отвечают на запросы глобального каталога. Для оптимизации эффективности, глобальные каталоги содержат лишь поднабор атрибутов, которые используются для поиска среди доменов. По этой причине, глобальный каталог также называют частичным набором атрибутов (Partial Attribute Set, PAS), которые определяются корпорацией Microsoft. Атрибуты, из которых состоит глобальный каталог, называются «частичными», так как они включают в себя ограниченный набор атрибутов, а именно атрибуты, которые востребованы схемой и атрибуты, которые чаще всего используются в пользовательских операциях поиска. Эти атрибуты отмечены для включения в частичный набор атрибутов как часть определения их схемы. Хранение самых атрибутов, поиск которых выполняется чаще всего, для всех доменных объектов в глобальном каталоге позволяет пользователям более эффективно использовать возможность поиска без снижения сетевой производительности вследствие отсутствия пересылок на контроллеры доменов и без необходимости хранения на сервере глобального каталога большого объема ненужных данных. Тем не менее, для оптимизации поиска вы можете использовать схему, в которой можно добавлять, изменять или удалять атрибуты, которые хранятся в глобальном каталоге. Стоит обратить внимание на то, что любое изменение частичного набора атрибута приводит к полной синхронизации глобального каталога.

Сервер глобального каталога обычно используется в ситуациях, которые описаны в следующих подразделах.

Поиск объектов

Поскольку контроллер домена, работающий как сервер глобального каталога, содержит объекты всех доменов в лесу, глобальный каталог предоставляет пользователям и приложениям возможность выполнять поиск данных каталога во всех доменах леса независимо от места хранения данных. Если ваш лес состоит из одного домена, то все контроллеры домена имеют полный доступ для записи экземпляров каждого объекта в домене леса. Когда пользователь выполняет поиск какого-либо участника системы безопасности, указав в меню «Пуск» в запросе параметр «Весь каталог», то поиск выполняется непосредственно в глобальном каталоге.

Для доступа к объектам Active Directory использует протокол облегченного доступа к каталогам (Lightweight Directory Access Protocol, LDAP). Запросы поиска LDAP могут быть отправлены и получены службой каталогов Active Directory через порт 389 (порт LDAP по умолчанию) и через порт 3268 (порт глобального каталога). Трафик LDAP, который использует протокол проверки подлинности Secure Sockets Layer (SSL) обеспечивает доступ к портам 686 и 3269. Соответственно, поведение поиска, которое применяется к портам 389 и 3268 также применяется к соответствующим запросам LDAP через порты 686 и 3269. Когда запрос поиска отправляется на порт 389, поиск осуществляется в разделе каталога одного домена. Если объект не находится в данном домене, разделе каталога схемы или конфигурации, контроллер домена пересылает запрос контроллеру домена в домене, который указан в различающемся имени объекта. Когда запрос поиска отправляется на порт 3268, то опрашиваются все разделы каталога в лесу, то есть поиск обрабатывается сервером глобального каталога. Стоит обратить внимание на то, что только серверы глобального каталога могут получать запросы LDAP через порт 3268.

После того как пользователь вводит свой запрос, данный запрос перенаправляется на порт 3268, и отправляется для разрешения на сервер глобального каталога. В свою очередь, если по каким-либо причинам в вашем домене Active Directory нет сервера глобального каталога, ваши пользователи или приложения не смогут выполнять поиск по лесу. Также стоит отметить, что все реплики, которые реплицируются в глобальный каталог, включают все права доступа для каждого объекта и атрибута. То есть, если вы ищете объект, доступ к которому для вас запрещен, вы его не увидите в списке результатов поиска. Соответственно, пользователи смогут найти только те объекты, для которых им предоставлен доступ.

Подтверждение ссылок на объекты в лесу

Контроллеры домена используют глобальный каталог для подтверждения ссылок на объекты других доменов в лесу. То есть, если контроллер домена содержит объект с атрибутом, который содержит ссылку на объект в другом домене, то контроллер домена проверяет ссылку, устанавливая связь с сервером глобального каталога.

Проверка подлинности имени пользователя

В дополнение к роли поставщика поиска в мультидоменном лесу, глобальный каталог играет роль источника идентификации во время входа пользователя в домен. Сервер глобального каталога разрешает имя пользователя в том случае, если контроллер домена, проверяющий подлинность, не имеет сведений об учетной записи этого пользователя. Другими словами, если учетная запись пользователя находится в одном домене, но сам пользователь входит в систему с компьютера, расположенного в другом домене, контроллер домена не может найти учетную запись пользователя и для того, чтобы завершить процесс входа в систему, он должен связаться с сервером глобального каталога. Во время проверки подлинности в мультидоменном лесах, глобальный каталог руководствуется одним из двух следующих требований:

  • В домене с основным режимом Windows Server 2000 или Windows Server 2003, контроллеры домена запрашивают сведения о членстве в универсальных группах. О данном требовании будет рассказано далее в статье.
  • В мультидоменном лесу, сервер глобального каталога при входе пользователя в систему разрешает имя пользователя, когда используется имя участника-пользователя (UPN), которое можно указать вместо имени доменного пользователя. Имя участника-пользователя (UPN) – это имя входа, которое принимает форму адреса электронной почты. Такое имя представляет собой идентификатор пользователя и DNS-имя домена, разделенные символом @. Основными преимуществами таких имен является то, что они соответствуют имени электронной почты пользователя, а также не раскрывают структуру доменов леса. При создании учетной записи пользователя, за UPN-имя отвечает атрибут userPrincipalName, который системный администратор может в любой момент изменить и отреплицировать в глобальный каталог. Поскольку суффикс UPN не обязательно указывает на тот домен, который сопоставляется с контроллером домена, в который выполняет вход пользователь, для разрешения имени, компьютер связывается с сервером глобального каталога. Стоит обратить внимание на тот факт, что в том случае, если ваша организация имеет более одного леса и между доменами в разных лесах используются доверительные отношения, то UPN не может использоваться для входа в домен, который находится вне леса пользователя, поскольку UPN-имя разрешается в глобальном каталоге в лесу пользователя.

Процесс взаимодействия входа пользователя и глобального каталога выглядит следующим образом:

Рис. 2. Процесс взаимодействия входа пользователя и глобального каталога

  1. Поскольку домен пользователя не обязательно совпадает с UPN-суффиксом, контроллер домена просматривает участников системы безопасности ближайшего домена в сайте, в котором расположен клиентский компьютер;
  2. Контроллер домена, с которым пробует связаться клиент, определяет, является ли DNS-имя в суффиксе имени участника-пользователя доменом, с уполномоченным контроллером домена. Если имя домена в UPN-суффиксе соответствует домену контроллера домена, который обрабатывает проверку подлинности клиента, но имя пользователя не найдено, то контроллер домена связывается с сервером глобального каталога. Также, если имя домена в UPN-суффиксе не соответствует домену контроллера домена, то контролер домена связывается с сервером глобального каталога;
  3. Используя атрибут объекта пользователя userPrincipalName, сервер глобального каталога ищет различающееся имя объекта пользователя и возвращает это значение контроллеру домена;
  4. Контроллер домена извлекает имя домена из различающегося имени и возвращает полученное значение клиенту;
  5. Клиент запрашивает контроллер домена для своего домена.

Сведения о членстве в универсальных группах в среде с несколькими доменами

Как уже было сказано, во время входа пользователя в домен, пользователь должен пройти проверку подлинности. В процессе проверки, контроллер домена проверяет подлинность пользователя, после чего пользователь получает данные авторизации для доступа к ресурсам. Для предоставления данных для авторизации пользователя, контроллер домена извлекает идентификаторы безопасности (SID) для всех групп безопасности, членом которых является пользователь и добавляет эти идентификаторы SID в маркер доступа пользователя. В свою очередь, контроллер домена всегда может определить членство в локальной группе или глобальной группе домена для любого пользователя из этого же домена, но членства в этих группах не реплицируются в глобальный каталог, так как членами данных групп не могут быть пользователи из разных доменов. Но в универсальных группах могут быть члены из других доменов. Не стоит забывать, несмотря на тот факт, что локальные доменные группы также могут содержать членов из других доменов, они могут быть добавлены для управления только в том домене, где были созданы. А глобальные группы, несмотря на то, что могут быть добавлены для управления доступом в любом домене, могут содержать только учетные записи своего домена.

Универсальная группа также является группой безопасности, которая позволяет управлять ресурсами, распределенными в нескольких доменах. Во время выполнения интерактивного входа, контроллер домена извлекает идентификаторы SIDпользовательского компьютера. По этой причине атрибут универсальных групп member, который содержит список членов в группе, реплицируется в глобальный каталог. Например, пользователь в лесу с несколькими доменами подключается к домену, в котором разрешены универсальные группы. В этом случае контроллер домена, для получения членства в универсальных группах, должен связаться с сервером глобального каталога. Если пользователь ни разу не подключался к домену и сервер глобального каталога недоступен, то он может войти только локально в систему. Но если сервер глобального каталога недоступен при входе пользователя в домен, в котором доступны универсальные группы и пользователь уже подключался к данному домену, то клиентский компьютер пользователя может использовать для входа кэшированные учетные данные.

Кэширование членства в универсальных группах

В универсальные группы включаются пользователи и группы, которые расположены в нескольких доменах в лесу. Членство в универсальных группах реплицируется в глобальном каталоге. Универсальная группа применяется для того, чтобы запретить пользователю доступ к ресурсам, а если глобальный каталог будет недоступен, то операционная система не позволит пользователю пройти проверку подлинности в домене. В небольших филиалах доступная пропускная способность сети и ограничения оборудования сервера приводят к нецелесообразности использования глобального каталога. Разумеется, пользователь сможет использовать кэшированные учетные данные, но он не сможет получить доступ к необходимым ресурсам. Для снижения необходимости подключения к серверу глобального каталога, находящегося в другом сайте, на контроллерах домена, работающих под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2, в сайте, который не содержит сервер глобального каталога, можно использовать кэширование членства в универсальных группах. Эта функциональная возможности появилась в Windows Server 2003 и она исключает для контроллера домена в мультидоменном лесу необходимость связаться с сервером глобального каталога во время входа пользователей в домены, где доступны универсальные группы, тем самым снижая трафик по глобальной сети. Если функция кэширования членства в универсальных группах включена, то при первой попытке пользователя подключения к домену, в котором доступны универсальные группы, сведения сохраняются локально. Контроллер домена получает сведения об участии пользователя в универсальных группах из глобального каталога и после этого данные сведения неограниченно кэшируются на контроллере домена данного сайта и периодически обновляются. При последующей попытке входа пользователя в данный домен, контроллер домена, для обработки входа пользователей, вместо подключения к серверу глобального каталога использует членства в кэше.

Поэтому, на контроллерах домена с ненадежной связью с сервером глобального каталога рекомендуется включать и настраивать кэширование членства в универсальных группах. Одновременно, сведения об участии пользователей в универсальных группах, могут обновляться до 500 членств каждые 8 часов. После первого входа в систему, кэш пользователя периодически обновляется в течение 180 дней.

По умолчанию, атрибуты для объектов пользователей и компьютеров не заполняются. На следующей иллюстрации вы увидите пример построения списков идентификаторов безопасности контроллером домена для кэширования:

Рис. 3. Пример построения списков идентификаторов безопасности контроллером домена для кэширования

  1. Пользователь входит на сайт с включенной функцией кэширования членства в универсальных группах. Данный пользователь аутентифицируется контроллером домена как запрашиваемый пользователь;
  2. Контроллер домена проверяет значения трех атрибутов кэширования объекта пользователя;
  3. После того как контроллер домена обнаружил, что атрибуты не заполнены, он проверяет локальный каталог и извлекает SID пользователя и идентификаторы безопасности всех глобальных групп, к которым он принадлежит;
  4. Контроллер домена отправляет этот список идентификаторов безопасности серверу глобального каталога. Сервер глобального каталога проверяет членство в универсальных группах пользователя и все глобальные группы в списке. После этого сервер глобального каталога возвращает список комбинированных идентификаторов безопасности универсальных и глобальных групп контроллеру домена;
  5. Пользовательские атрибуты заполняются следующим образом:
    • Объединенный список идентификаторов безопасности глобальных и универсальных групп записывается в атрибут msDS-Cached-Membership
    • Время, которые указывает на то, когда последний раз был обновлен кэш, записывается в атрибут msDS-Cached-Membership-Time-Stamp
    • Если на контроллерах домена включены параметры атрибута SamNoGcLogonEnforceNTLMCheck и SamNoGcLogonEnforceKerberosIpCheck, то атрибут msDS-Site-Affinity игнорируется
    • Если GUID для локального сайта записан в атрибуте msDS-Site-Affinity и параметры, которые указаны выше, не активны, то значение атрибута msDS-Site-Affinity определяется следующим образом: если значение указанного времени меньше половины значения Cached Membership Site Stickiness, то вход в систему продолжается, если наоборот, то пользователю будет отказано в проверке подлинности
  6. Контроллер домена проверяет свой локальный каталог на наличие любых локальных доменных групп, к которым принадлежит пользователь и добавляет SID локальной доменной группы в свой список идентификаторов безопасности глобальной группы и универсальной группы;
  7. Контроллер домена отправляет весь список идентификаторов безопасности клиентскому компьютеру, где LSA извлекает идентификаторы безопасности встроенных групп пользователя и создает маркер доступа пользователя.

Поиск адресной книги Exchange.

Службы каталогов службы Exchange для почтовых серверов Microsoft Exchange Server тесно интегрированы с доменными службами Active Directory. Когда пользователи в своем почтовом клиенте хотят найти человека в пределах своей организации, чаще всего они выполняют поиск через глобальную адресную книгу (GAL), которая включает совокупность всех получателей почты в организации, включая пользователей электронной почты, контакты и группы. Такими получателями могут быть обычные пользователи, контакты, списки рассылки, группы безопасности и папки. GAL автоматически заполняется специально отведенной для этого службой на почтовом сервере, и пользователи могут создавать списки настраиваемых адресов. Для поиска серверов глобального каталога, почтовые сервера Exchange используют Active Directory и DNS. Когда пользователь пробует открыть в Microsoft Outlook адресную книгу, или когда пользователь пишет сообщение и вводит имя или адрес в поле «To», клиент Outlook использует сервер глобального каталога, указанный сервером Exchange.

Архитектура глобального каталога

Архитектура сервера глобального каталога отличается от архитектуры сервера, у которого нет роли глобального каталога использованием нестандартного порта LDAP 3268, который направляет запросы непосредственно в глобальный каталог. Запросы, которые идут на порт 3268, формируются также как и любые LDAP-запросы, но доменные службы Active Directory изменяют поведение поиска в зависимости от используемого порта. То есть, запросы на порт 3268 направляются на разделы каталога глобального каталога, включая разделы каталога только для чтения, для которых данный сервер является уполномоченным. Запросы на порт 389 направляются на домен с возможностью записи, а также на разделы каталога конфигурации, приложения и схемы реплик, которые расположены на сервере глобального каталога в качестве контроллера домена. Кроме того, во время связи с серверами глобального каталога для получения членства в универсальных группах при входе пользователя в систему, контроллеры домена используют проприетарный интерфейс репликации.

Поиск клиентов включает адресную книгу клиентов Microsoft Exchange Server, которые для поиска адресов электронной почты в глобальном каталоге используют поставщик клиента MAPI Emsabp32.dll. На стороне клиента поставщик MAPI связывается с сервером через проприетарный RPC интерфейс Name Service Provider Interface (NSPI). Пользователи с операционными системами предшествующими Windows 2000 для взаимодействия с диспетчером учетных записей безопасности (Security Accounts Manager, SAM) на эмуляторе основного контроллера домена (PDC) используют сетевой API.

Соответственно, к основным компонентам глобального каталога можно отнести:

  • Файл Ntds.dit, в котором хранится база Active Directory;
  • Глобальный каталог клиентов, который включает поиск клиентов и адресной книги клиентов, а также контроллеры домена, выполнение репликации и универсальные группы SID во время выполнения входа в мультидоменном лесу;
  • Физическую IP-сеть;
  • Интерфейсы LDAP через порт 389 для чтения и записи операций и LDAP через порт 3268 глобального каталога поисковых операций. Клиенты устаревших операционных систем Windows NT 4.0 и резервные контроллеры домена (BDC) взаимодействуют с Active Directory посредством интерфейса диспетчера учетных записей безопасности (SAM). А получение членства в универсальной группе происходит через RPC как часть интерфейса RPC репликации;
  • Directory System Agent (DSA), представляет собой компонент службы каталогов, который выполняется в Ntdsa.dll на каждом контроллере домена, предоставляя интерфейсы, через которые службы и процессы могут получить доступ к базе данных каталогов;
  • Расширяемая подсистема хранения данных (Extensible Storage Engine, ESE), представляет собой компонент службы каталогов, который выполняется как Esent.dll и управляет таблицами записей, которые составляют базу данных каталогов.

На следующей иллюстрации изображена архитектура глобального каталога:

Рис. 4. Архитектура глобального каталога

Протоколы глобального каталога

Протоколы и интерфейсы на всех контроллерах домена одинаковые и для серверов глобального каталога нет специфических протоколов. В данном случае нас интересуют четыре интерфейса и три протокола. Значимость глобального каталога заключается в том, что контроллеры домена используют собственные протоколы репликации RPC не только для репликации, а еще и для связи с сервером глобального каталога при извлечении сведения о членстве в универсальных группах и при обновлении кэша членства в группе, когда включена функция «Кэширование членства в универсальных группах». Для всех требований глобального каталога используются следующие протоколы:

  • Lightweight directory access protocol (LDAP).
  • Simple mail transfer protocol (SMTP).
  • Remote procedure call (RPC).

На следующей иллюстрации изображены протоколы глобального каталога:

Рис. 5. Интерфейсы и протоколы глобального каталога

Физическая структура глобального каталога

Как роль контроллера домена, глобальный каталог хранит один доступный для записи раздел каталога домена, в котором расположены объекты со всеми атрибутами. Также сервер глобального каталога хранит частичный набор атрибутов (PAS) с правом на чтение всех объектов остальных доменов в мультидоменном лесу. Объектами схемы, определяющими атрибуты, являются объекты attributeSchema, которые включают атрибут isMemberOfPartialAttributeSet. Если значение этого атрибута равно «true», то атрибут реплицируется в глобальный каталог. Топология репликации глобального каталога формируется автоматически при помощи проверки согласованности знаний (Knowledge Consistency Checker, KCC) – встроенный процесс, который реализует топологию репликации, гарантирующую доставку содержимого каждого раздела каталога на каждый сервер глобального каталога.

Атрибуты, которые реплицируются в глобальный каталог по умолчанию, включаются в базовый набор, определенный корпорацией Microsoft как атрибуты, которые чаще всего используются при поиске. При необходимости, для того чтобы указать дополнительные атрибуты, вы можете воспользоваться оснасткой консоли управления (MMC) «Схема Active Directory». Чтобы назначить объект attributeSchema членом PAS, в данной оснастке вам нужно установить флажок «Реплицировать этот атрибут в глобальный каталог», который задает атрибуту isMemberOfPartialAttributeSet значение «true».

Физическое представление данных глобального каталога ничем не отличается от контроллера домена, то есть, в глобальном каталоге база данных NTDS.dit хранит атрибуты объекта в одном файле. А на контроллере домена, который не является сервером глобального каталога, файл Ntds.dit содержит полную записываемую реплику каждого объекта в разделе каталога одного домена для своего домена, а также доступные для записи разделы каталога конфигурации и схемы.

Например, рассмотрим достаточно типичный сценарий. На сервере глобального каталога расположена полная реплика своего домена, а также частичная реплика только для чтения всех остальных доменов леса. На данном сервере глобального каталога все разделы каталога на сервере глобального каталога хранятся в файле базы данных каталога (Ntds.dit). Соответственно, в данном случае нет раздельного хранилища атрибутов глобального каталога.

К компонентам физической структуры глобального каталога можно отнести:

  • Файл базы данных Ntds.dit, в котором хранятся реплики объектов Active Directory, проводимых любым контроллером домена, включая серверы глобального каталога;
  • Лес Active Directory, то есть набор доменов, которые составляют логическую структуру Active Directory и которые доступны для поиска в глобальном каталоге;
  • Контроллеры доменов, которые хранят по одному полному разделу каталога домена с возможностью записи и разделы каталога конфигурации и схемы леса;
  • Сервер глобального каталога, который представляет собой контроллер домена, содержащий полную записываемую реплику каждого объекта в разделе каталога одного домена для своего домена, а также доступные для чтения реплики остальных доменов в мультидоменном лесу.

На следующей иллюстрации изображена физическая структура глобального каталога:

Рис. 6. Физическая структура глобального каталога

Заключение

В этой статье вы познакомились с серверами глобального каталога. Было рассказано о самой концепции серверов глобального каталога, а также о взаимодействии серверов глобального каталога с другими серверными объектами корпорации Microsoft. Рассмотрены ситуации, в которых используются сервера глобальных каталогов, а именно: поиск объектов, подтверждение ссылок на объекты в лесу, проверка подлинности, сведения о членстве в универсальных группах в среде с несколькими доменами, кэширование членства в универсальных группах, а также поиск адресной книги Microsoft Exchange. Помимо этого, вкратце была рассмотрена архитектура, физическая структура, а также протоколы серверов глобального каталога.

Об авторе:

Дмитрий Буланов отвечает на вопросы участников конференции OSZone.net в форумах операционных систем Microsoft. Его статьи на сайте OSZone.net можно найти по этой ссылке. С декабря 2008 года Дмитрий ведет свой блог, посвященный клиентским и серверным операционным системам Microsoft.

В апреле 2010 года был награжден премией Microsoft Most Valuable Professional (MVP), присуждаемой за вклад в развитие технических сообществ. Также в 2010 году он получил статус MC ITP (Microsoft Certified IT Professional), сдав 3 экзамена Microsoft, после чего старается регулярно сертифицироваться по разным технологиям.

С 1 января 2011 года он ведет свой микроблог в Твиттере.

Вы можете задать Дмитрию любой полностью анонимный вопрос здесь.

Серверы глобального каталога

Серверы глобального каталога

Контроллер домена, назначенный на роль глобального катало­га, хранит полную копию всех объектов Active Directory для своего домена и частичную копию для остальных доменов леса. Глобальные каталоги используются в процессах входа и поис­ка информации. Фактически, если глобальный каталог недо­ступен, обычные пользователи не смогут войти в домен. Един­ственный способ изменить такое поведение — кэшировать информацию об универсальном членстве в группах на локальных контроллерах домена. По умолчанию первый контроллер, ус­тановленный в домене, назначается глобальным каталогом. Вы также можете добавить глобальные каталоги в домен для ус­корения отклика при подключении и запросах на поиск. Ре­комендуется один глобальный каталог на каждый сайт внут­ри домена.

Любой контроллер домена, обслуживающий глобальный каталог, должен иметь широкополосное соединение с сетью и другими контроллерами домена, выступающими в роли коор­динаторов инфраструктуры (infrastructure masters). Координа­тор инфраструктуры — одна из пяти ролей координатора опе­раций, которые можно назначить доменному контроллеру. Этот координатор отвечает за обновление ссылок на объекты. Для этого координаторы инфраструктуры сравнивают свои данные с данными глобального каталога. Если координатор инфраструктуры обнаруживает устаревшие данные, он запра­шивает обновленные данные из глобального каталога. Затем координатор инфраструктуры копирует изменения па другие контроллеры домена.

Поиск серверов глобального каталога

Хотите узнать, где находится глобальный каталог? Для ваше­го текущего (входного) домена просто наберите dsquery server -isgc. В результате вы получите список DN серверов глобаль­ного каталога, например:
«CN=C0RPSVR02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=site1,DC=com»
Команда DSQUERY server также годится для поиска гло­бальных каталогов в конкретном домене. Чтобы сделать это, используйте параметр -Domain:

  • dsquery server -domain site1.com -isgc

Здесь вы ищете серверы глобального каталога в домене site1.com. Для поиска серверов во всем лесу наберите:

  • dsquery server -forest -isgc

Вы также можете искать серверы глобального каталога по сайту, но для этого нужно знать полное имя сайта и нельзя использовать символы подстановки. Например, чтобы найти все серверы глобального каталога для сайта Default-First-Site-Name, введите dsquery server -site Default-First-Site-Name.

Добавление или удаление глобального каталога

Вы можете назначить контроллер домена на роль глобально­го каталога командой DSMOD server. Укажите DN нужного сервера и параметр -isgc yes, чтобы этот сервер обслуживал глобальный каталог, например:

  • dsmod server «CN=corpdc05,OU=Eng,DC= site1,DC=com» -isgc yes

Другой способ решения той же задачи — применить DS­QUERY server для получения списка серверов, с которыми вы хотите работать. Допустим, в домене tech.cpandl.com три кон­троллера домена, и вы хотите, чтобы все они стали серверами глобального каталога. Тогда введите примерно такую команд­ную строку:
dsquery server -domain site1.com | dsmod server -isgc yes
Здесь вы используете DSQUERY server для получения DN всех контроллеров в домене site1.com и передачи этой информации на вход команды DSMOD server, которая сделает каждый контроллер домена сервером глобального каталога.
Если вы в дальнейшем захотите, чтобы сервер прекратил выступать в роли глобального каталога, наберите -isgc по. В следующем примере отменяется обслуживание глобально­го каталога сервером corpdc04 в домене site1.com:

  • dsmod server «CN=corpdc04,0U=Tech,DC=site1,DC=com» -isgc no

Как размещать FSMO-роли и Глобальный Каталог в Active Directory

Во время установки Active Directory на Windows Server 2000/2003/2008 все FSMO-роли автоматически назначаются первому серверу. Но лучшим вариантом является перемещение этих Flexible Single Master of Operation (FSMO)-ролей на отдельные серверы.

Если имеется лишь один контроллер домена (что не рекомендуется), то все роли, соответственно, автоматически назначаются ему. Если же контроллеров несколько, то наилучшим вариантом будет распределение ролей по этим контроллерам. Также следует учитывать то, какой из контроллеров является сервером Глобального Каталога (Global Catalog), особенно, если в лесу существуют несколько доменов. Данные контроллеры предпочтительны для таких приложений, как Exchange сервер.

Общая рекомендация размещения ролей такова: роли уровня леса размещаются на одном контроллере, а роли доменного уровня — на другом(их). Если не все контроллеры домена являются серверами Глобального Каталога, то важно разместить роль Хозяина Инфраструктуры именно на данных контроллерах.

В общем случае, наилучшим вариантом размещения будет следующий:

Контроллер №1 — роли уровня леса

  • Хоязин Схемы
  • Хозяин Именования домена

Контроллер №2 — роли уровня домена

  • Хозяин RID
  • Хозяин Инфраструктуры
  • Эмулятор PDC

Если в  лесу существуют несколько доменов, то соответствующие роли нужно назначить контроллерам №2 этих доменов

Конфигурация Глобального Каталога

В Windows 2008 Active Directory все контроллеры домена являются серверами Глобального Каталога по-умолчанию. В целом данная политика является оптимальной и ее не следует изменять если на то нет особых условий.

Не рекомендуется размещать роль Хозяина Инфраструктуры на контроллере, являющимся серевером Глобального Каталога, кроме случаев, когда ВСЕ котроллеры являются серверами Глобального Каталога. Впрочем, Хозяин Инфраструктуры бездействует в случае, если в лесу присутствует лишь один домен.

Инструменты управления FSMO-ролями

FSMO-ролями можно управлять как из GUI, утилитами управления Active Directory, или посредством командной строки — комнадой ntdsutil.exe. В случае, когда контроллер домена недоступен и нет возможности его «поднять» то только ntdsutil позволяет захватить и передать роли на новый сервер

Описание данного процесса приведено здесь: http://support.microsoft.com/kb/324801

Настройки Глобального Каталога осуществляются  через оснастку «Active Directory — Сайты и службы» — «Сайты-ИмяСайта (или Default-First-Site-Name)-Servers-ИмяСервера — щелчок правой кнопкой мыши на «NTDS Settings» внутри- «Свойства» — вкладка «Общие» и флажок «Глобальный Каталог»Microsoft have a guide to doing this here:

Описание данного процесса приведено здесь: http://support.microsoft.com/kb/313994

(По мотивам: How to place FSMO and Global Catalog roles in Active Directory )

Оптимальное размещение серверов глобального каталога | Windows IT Pro/RE

Планирование и развертывание серверов глобального каталога (Global Catalog, GC) — дело нелегкое, всегда есть опасность ошибиться с выбором расположения сервера GC при внесении изменений в Active Directory (AD), например, при добавлении нового домена или установке Microsoft Exchange 2000 Server. Хотя Microsoft Knowledge Base, Microsoft Windows Server 2003 Resource Kit и Microsoft Windows 2000 Server Resource Kit содержат ценную информацию о GC, обычно это разрозненные сведения. Рассмотрим несколько простых руководящих принципов размещения сервера GC при различных обстоятельствах и проясним некоторые вопросы, чтобы не возникало путаницы при внесении изменений в AD.

В глобальных каталогах хранятся все объекты леса, но только часть атрибутов этих объектов. GC содержит часто запрашиваемые атрибуты, которые называются частичным набором атрибутов. Серверы GC делают доступной информацию об этих атрибутах через протокол Lightweight Directory Access Protocol (LDAP) и используют репликацию для отправки частичных данных каждого домена на все другие GC. Запросы к GC обладают одним преимуществом перед запросами к контроллерам доменов (DC): контроллеры доменов хранят информацию только о собственных доменах, в то время как GC содержат информацию обо всех доменах леса.

Изменение частичного набора атрибутов

Следующая процедура позволяет определять, какие атрибуты должен включать GC. Для ее осуществления потребуется оснастка Microsoft Management Console (MMC) Schema, которую необходимо предварительно зарегистрировать. Для этого следует ввести в командной строке

regsvr32 schmmgmt.dll

После успешной регистрации появится соответствующее сообщение.

Существует еще одно требование, которое надлежит выполнить, прежде чем можно будет вносить изменения в схему: в реестре DC, выполняющего роль Flexible Single-Master Operation (FSMO), следует создать новый параметр. Как обычно, нужно соблюдать осторожность при внесении изменений в реестр. Следует создать параметр Schema Update Allowed (типа REG_DWORD) со значением 1 в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesNTDSParameters. Изменение вступает в действие незамедлительно, без перезагрузки. Завершив изменение схемы, эту возможность на DC нужно отключить, изменив значение параметра на 0.

Далее необходимо открыть на компьютере MMC и выбрать в меню Console пункт Add/Remove Snap-in, затем открыть оснастку Schema. Если регистрация выполнялась не на DC, который используется в качестве Schema Master, следует щелкнуть правой кнопкой Active Directory Schema, выбрать Change Domain Controller, ввести имя исполнителя роли Schema Master и щелкнуть OK. Затем в правой панели требуется выбрать нужный атрибут и дважды щелкнуть по нему, чтобы перейти к свойствам. На вкладке General, показанной на экране 1, следует установить или снять флажок Replicate this attribute to the Global Catalog. Эта ячейка будет недоступна, если используемая учетная запись не является членом группы Schema Administrators. По умолчанию в эту группу входит только учетная запись Administrator корневого домена. На всякий случай группу Schema Administrators желательно сохранять пустой и добавлять в нее пользователей, только когда необходимо внести в схему изменения.

Никогда не следует менять настройки по умолчанию без веских на то оснований. Добавление еще одного атрибута в частичный набор атрибутов может заметно повлиять на репликацию в сети вследствие так называемой полной синхронизации содержимого GC. Реакцией каждого GC на добавление атрибута является выполнение репликации с полным обновлением содержащейся в нем доступной только для чтения информации о других доменах леса. Чем больше доменов имеет лес, тем значительнее будут последствия. Лучше вообще не вносить никаких изменений в частичный набор атрибутов в производственной среде без настройки расписания. Если лес однодоменный, о последствиях полной синхронизации GC можно не беспокоиться, поскольку GC не содержат информации о других доменах и, следовательно, не производят репликацию дополнительной информации. Не стоит лишний раз удалять атрибуты из GC — это может повлиять на эффективность системы.

Специалисты Microsoft рекомендуют для внесения в схему изменений использовать сценарии. Это позволяет избежать ненужных изменений и тщательно протестировать все модификации в лабораторных условиях. Чтобы улучшить репликацию частичного набора атрибутов, разработчики Microsoft изменили протокол репликации в Windows 2003, и полная синхронизация GC больше не выполняется. Windows 2003 реплицирует только добавленные атрибуты.


Экран 1. Репликация атрибутов на GC

Включение GC

В оснастке AD Sites and Services нужно раскрыть Sites. Выбрав узел, следует открыть его и выбрать DC. Далее требуется щелкнуть правой кнопкой NTDS Settings, после чего на странице свойств General будет отображаться параметр, который позволяет включить (флажок установлен) и отключить (флажок снят) использование данного контроллера домена в качестве GC. Просто установка флажка в этой ячейке не означает, что GC стал доступен и готов к работе, — еще должна быть выполнена репликация. Системный журнал Directory Services будет содержать запись с ID 1119, когда репликация завершится и GC будет готов к работе с запросами.

Поиск GC

Определить, какие контроллеры доменов в настоящий момент сконфигурированы в качестве GC, можно несколькими способами, используя инструменты графического интерфейса, командной строки и сценарии. В дополнение к оснастке Sites and Services можно задействовать Repadmin, инструмент командной строки из папки Support Tools на компакт-диске Windows 2000. Чтобы запустить Repadmin, следует ввести команду

C:>repadmin /showreps domain_controller

где domain_controller — это имя DC, о котором нужно узнать, является ли он GC. Если контроллер домена является GC, сообщение, выведенное после выполнения команды, будет содержать текст DSA Options: IS_GC.

Чтобы получить список всех GC леса, проще всего использовать инструмент Dsquery из папки %systemroot%system32. Чтобы запустить Dsquery, нужно ввести:

C:>dsquery server -forest -isgc

Выполнять Dsquery можно только на платформах Windows 2003 и Windows XP. Если Dsquery в распоряжении администратора нет, можно воспользоваться Active Directory Replication Monitor (replmon.exe). Запустив приложение, следует выбрать любой DC в списке Monitored Servers в левой панели. Возможно, сначала понадобится добавить DC. Необходимо щелкнуть правой кнопкой на DC и выбрать Show Global Catalog Servers in Enterprise, как показано на экране 2. В диалоговом окне Show Global Catalog Servers, изображенном на экране 3, следует выбрать DC и нажать OK. Новое окно, отображающее все GC, будет содержать вариант для записи результатов в текстовый файл. Нужно посмотреть, на каком порту GC ожидает запросы LDAP. GC использует порт 3268/TCP для входящих запросов LDAP и порт 3269/TCP — для подключений LDAP Secure Sockets Layer (SSL).

Совмещение Infrastructure Master с GC

Необходимо позаботиться о том, чтобы контроллер домена, выполняющий роль Infrastructure Master, не был сконфигурирован как GC. Чтобы определить, какие DC выполняют системные роли в конкретном домене, я предпочитаю использовать Netdom, инструмент командной строки, который хранится в папке Support Tools на компакт-диске Windows 2000. Чтобы запустить Netdom, следует воспользоваться командой

C:>netdom query FSMO

Контроллер домена Infrastructure Master сервером GC лучше не назначать. Infrastructure Master поддерживает ссылки объектов собственного домена на объекты в других доменах. Типичный пример — членство в группах. Группа в домене A может содержать членов домена B. Если один из членов группы в домене B переименован, новая информация (т. е. отличительное имя — DN) должна быть каким-то образом переправлена на контроллеры доменов в домен B, чтобы они точно отображали информацию о членстве в группах. Infrastructure Master содержит записи, называемые фантомами (phantoms), в базе данных, представляющей объекты из других доменов. Infrastructure Master периодически обращается к ближайшему GC, чтобы определить, не произошли ли какие-нибудь изменения в объектах, для которых он хранит фантомные записи. Если Infrastructure Master обнаруживает изменения, он удаляет старый фантом и создает новую запись. Затем Infrastructure Master реплицирует обновление на другие DC в домене. Не следует включать роль Infrastructure Master на сервере GC, потому что GC уже имеют информацию об объектах в других доменах и, следовательно, такие контроллеры не будут создавать необходимые фантомные записи. Другими словами, Infrastructure Master не сможет выполнять свою роль.

Когда устанавливается первый DC в AD, система автоматически конфигурирует его как GC. Система также назначает первому DC леса все пять ролей мастеров операций. Кажется, что такое действие противоречит сформулированному выше правилу для GC и Infrastructure Master, но это правило имеет два важных исключения. Если используется только один домен, контроллеру домена, исполняющему роль Infrastructure Master, нет необходимости обновлять ссылки на объекты в других доменах, поскольку других доменов просто не существует. Второе исключение проявляется в том случае, когда все контроллеры доменов одного домена в многодоменном лесу являются также серверами GC. Они хранят самую последнюю информацию и не нуждаются в обновлениях, приходящих с Infrastructure Master. В такой ситуации неважно, какой DC выполняет роль Infrastructure Master.

GC как Domain Naming Master

Сервер, выполняющий роль мастера именования домена — Domain Naming Master — вносит изменения в пространство доменных имен леса, например, при добавлении или удалении домена. Когда создается новый домен, Domain Naming Master должен обеспечить единственность имени, т. е. гарантировать, что никакой другой домен (или доменный объект) не имеет такого же имени. Он делает это, проверяя локальный (наиболее близкий) сервер GC. Если GC не является локальным, изменение выполнено не будет. Чтобы избежать подобного конфликта, следует располагать сервер с ролью Schema Master поблизости от Domain Naming Master.


Экран 3. Выбор сервера GC

Каждому сайту — свой GC

В доменах, работающих в собственном режиме, GC играют важную роль в процессе регистрации пользователя. Центр распределения ключей (Key Distribution Center, KDC) на контроллере домена, выполняющем аутентификацию, связывается с GC, чтобы классифицировать пользователя по принадлежности к универсальным группам, и добавляет к пользовательскому маркеру записи SID универсальных групп, членом которых является пользователь. Если клиент не может связаться с GC и получить эту информацию об универсальных группах, вход в систему будет невозможен. Процесс регистрации не нужен в доменах со смешанным режимом, поскольку универсальные группы функционируют только в собственном режиме Windows 2000. В Windows 2003 не требуется, чтобы GC был доступен в процессе регистрации; это обусловлено тем, что в новой версии реализовано кэширование членства в универсальных группах. Кэш заполняется при первой регистрации, а при последующих регистрациях используется кэшированная информация. Контроллеры доменов периодически обновляют кэш через ближайшие GC.

Меня часто спрашивают, должен ли каждый домен иметь собственный GC. Поскольку все GC леса содержат одинаковую информацию независимо от домена, ответ, очевидно, — нет. Однако каждый узел AD должен иметь по крайней мере один GC. Информация о расположении GC хранится в записях DNS SRV. В результате клиентские программы, работающие в пределах сайта, предпочитают связываться с ближайшими GC, т. е. с GC в том же сайте, а не в других. Если в пределах сайта не доступен ни один GC, запросы будут адресоваться к GC в других сайтах, с которыми установлена связь по медленной линии, что, конечно, нежелательно.

Может быть, имеет смысл все DC сконфигурировать как GC? Преимущество этого подхода состоит в максимальной избыточности GC, а также в том, что вопрос о назначении роли Infrastructure Master решается очень просто. Недостатком является ухудшение производительности и сети, и DC вследствие возросшего трафика репликации. Очевидно, что издержки производительности возрастают с ростом числа доменов, DC и GC. Необходимо стремиться к тому, чтобы поддерживать баланс между достижением хорошего уровня избыточности и сокращением издержек. В однодоменной среде следует сконфигурировать все DC как GC, поскольку это не повлечет за собой никаких дополнительных затрат.

Мне могут возразить, что в однодоменной среде GC вообще не нужны, поскольку контроллеры доменов уже содержат всю информацию, относящуюся к объектам леса. Дело действительно может обстоять таким образом, но я рекомендую все же иметь GC, поскольку некоторые службы обращаются именно к ним. Exchange 2000 — пример такого приложения. А еще GC необходим при регистрации пользователей (по крайней мере в AD Windows 2000) независимо от того, сколько имеется доменов.

GC и Exchange 2000

Я хочу подчеркнуть, что и клиент Exchange 2000, и клиент Microsoft Outlook активно используют GC. Exchange 2000 обращается к GC за информацией о пользователях, контактах и списках рассылки (DL), а также за важными конфигурационными данными. Без доступа к GC большинство операций Exchange 2000 выполняться не будет. Клиенту Outlook нужен доступ к GC для выполнения поиска по глобальному списку адресов (Global Address List, GAL).

Я настоятельно рекомендую иметь по крайней мере один доступный GC на каждом узле AD, на котором расположен сервер Exchange 2000. Еще одна общая рекомендация — устанавливать дополнительный GC на каждые четыре сервера Exchange. В принципе, чтобы иметь сеть с надежной передачей сообщений, я рекомендую, если позволяют средства и сеть может справиться с дополнительной репликацией данных, развернуть несколько дополнительных GC.

Заметки на полях

Хотя при размещении GC следует руководствоваться довольно жесткими правилами, в конечном итоге можно проявить гибкость при развертывании серверов GC. Нужно помнить, что каждая среда AD уникальна и что решение, которое работает в одной организации, может быть совсем непригодно в другой.

Слишком большое рвение при развертывании GC имеет определенные недостатки, такие как всплески нагрузок на сеть и интенсивная работа DC, но и скупость в этом отношении не принесет ничего хорошего. Желательно обеспечить небольшой избыток GC и помнить о том, что, даже если вы ошибетесь с количеством GC, можно свободно включить или отключить роль GC на сервере по ходу дела.

Наконец, последнее и самое важное замечание. Размещение GC не является одноразовой акцией. По мере расширения леса необходимо регулярно пересматривать свои решения о размещении GC. Мониторинг контроллеров доменов и инфраструктурных ресурсов сети должен помочь в этом..

Тони Мюррей-Смит ([email protected]) — специалист по службам каталогов и почтовым системам, поддерживает сайт ActiveDir.org. Имеет сертификаты MVP и MCSE

Оптимальное размещение серверов глобального каталога

Поделитесь материалом с коллегами и друзьями

Глобальный каталог и его роль. — Active Directory — Каталог статей

После того как мы с вами рассмотрели что такое  служба каталогов Микрософт  ActiveDirectory а так же ее основные логические и физические
компоненты нужно еще рассмотреть такое понятие которое тесно связано с ActiveDirectoryкак
– глобальный каталог.

Итак, давайте разберем, что такое глобальный каталог. Пусть
у нас есть большая фирма, которая имеет лес доменов.  Что такое лес, домен смотрите здесь.  И вот нам нужно найти какой-то объект из нашей
фирмы, пусть будет какой-то принтер. Но как мы уже знаем объекты хранятся в службе
каталога ActiveDirectory
а каждая ActiveDirectoryответственна только за свой домен. Тогда получается нам
нужно лазить по всем доменам в их службе каталогов ActiveDirectory и в каждом домене
искать данный объект в нашем случае принтер. Довольно утомительная согласитесь
операция. И вот подумал Бил Гейц, 
подумал и решил тогда Мелкосфт что надо, что то придумать, что бы облегчить
такой поиск, снизить нагрузку на сеть и прочие. И придумали они тогда такую
штуку как «Глобальный каталог» (globalcatalog). 

То есть глобальный каталог  возвышается
над всеми местными службами каталогов
ActiveDirectory и хранит информацию об о всех объектах  леса  или дерева предприятия или фирмы.

Глобальный каталог представляет из себя  базу данных об объектах дерева или леса. Но
данная база данных главного каталога только частичная, то есть не полная база данных
как в случае с ActiveDirectory
домена и предназначена она только для чтения.  Она содержит только фрагменты всех контекстных
доменных имен (о пространстве имен смотрите здесь) дерева или леса. То есть эта
база данных скажем так — между нами пацанами «кастрирована» слегка, так как она
не содержит весь перечень атрибутов объектов хранящихся в доменах а именно в ActiveDirectoryконкретного
домена. Скажу еще одну умную фразу, которая нам понадобится в дальнейшем, а вы
пока привыкните к ней – глобальный каталог содержит частичную реплику каждого
контекста имен каталога ActiveDirectory,
 а по простому что данная база не
содержит полный набор атрибутов  который
хранится в ActiveDirectory
домена, что уже было сказано выше.

По умолчанию глобальный каталог автоматически создается на
исходном контроллере домена первого леса.

Контролер домена, на котором хранится копия главного каталога,
называется сервером глобального каталога (globalcatalogserver). Сервером глобального каталога
можно назначить любой контроллер домена в рамках леса нашего предприятия.

Хочу теперь добавить, так как выше что бы вас не запутать
совсем, не сказал то что — вообще глобальный каталог хранит все информацию об
объектах в том домене, в котором он был создан и частичную информацию об
объектах остальных доменах дерева или леса. Смотрите рисунок 1.

Рисунок 1.

Информация из глобального каталога в ActiveDirectory распространяется между серверами глобального каталога в других доменах путем  репликации.  Cнова это слово но о ней мы уже упоминали вскользь вот здесь и  еще будем говорить.

Повторяюсь — на сервере главного каталога хранится полная реплика всех атрибутов объектах каталога, принадлежащих домену в котором в котором «живет, создан» данный сервер каталога и частичная реплика атрибутов объектов каталога, относящимся ко всем остальным доменам леса или дерева. Частичная реплика включает в себя как правило наиболее часто используемые при поиске атрибуты ( например имена и фамилии пользователей, их логины и так далее), а это позволяет пользователям находить объекты даже не зная в каком домене находится этот объект.

Забегая чуть вперед хочу сказать что в первый контроллер домена установленный, автоматически становится и  сервером глобального каталога или еще можно сказать контроллером глобального каталога. Дополнительные  контроллеры  домена  можно  назначить как GC, выбирая опцию Global Catalog Server (Сервер  глобального  каталога)  в  инструменте  администрирования Active Directory Sites And Services (Сайты  и  службы Active Directory). Это  делается  с  целью оптимизации входа в систему. Как используется каталог GC в процессе входа в систему, рассмотрим позже.

Функции глобального каталога

У глобального каталога две основные функции (по штатному расписанию — шутка, гы..), а именно:

  • он позволяет осуществлять поиск в независимости от того из какого домена мы осуществляем поиск и в каком домене находится искомый объект в рамках нашего леса или домена.

теперь чуть по- взрослому. Без  каталога GC поиск по  запросам,  полученным  контроллером домена, который не обладает запрошенным объектом, приведет к тому, что он переправит запрос на контроллер  домена  другого  домена, увеличивая и нагрузку на сеть и на обработку данного запроса непосредственно другим контроллером.  Поскольку GC-каталог  содержит  полный  список  всех объектов  леса или дерева (но не  содержит полный набор атрибутов  объекта), GC-сервер  может  ответить  на  любой  запрос, используя  атрибут,  который  копировался  в GC-каталог,  без  необходимости  передавать  его другому  контроллеру  домена.  Запрос,  который  послан GC-серверу,  является LDAP-запросом (Lightweght Directory Access Protocol — облегченный протокол службы каталогов), использующим порт 3268 (заданный по умолчанию порт GC-каталога). Не пугайтесь и это со временем разберем, теперь просто надо запомнить что запросы к ГК осуществляются по протоколу LDAP.

  • с помощью глобального каталога  GC регистрация пользователей в сети сводится к предоставлению контроллеру домена, на котором происходит процесс регистрации, информации о членстве в универсальных группах (о группах мы поговорим отдельно, пока необходимо помнить что универсальная группа эта группа которая может содержать учетные записи, а так же и другие группы (т.е. включенные в нее, ну как в контейнер) из любого домена нашего леса).

GC-серверы необходимы для обработки пользовательских входов в систему. Обычно каждый  раз,  когда  пользователь  входит  в  домен,  выполняется  обращение  к GC-каталогу.  Это происходит потому, что контроллеры домена, не являющиеся глобальными, не содержат никакой информации  об  универсальном  членстве  группы. (Универсальные  группы  имеются  только  в доменах,  обладающих  функциональным  уровнем Microsoft Windows 2000 или Windows Server 2003.)  Так  как  универсальное  групповое  членство  распространяется  на  лес,  то групповое  членство  может  быть  разрешено  только  тем  контроллером  домена,  который  имеет информацию  каталога  на  уровне  леса,  т.е.  информацию  глобального  каталога (GC).

Или еще можно так сказать — при регистрации пользователя в сети, GC передает контроллеру домена (который занимается переработкой (перевариванием) информации о пользователе т.е его регистрационных данных) информацию о том — является данная учетная запись членом универсальной группы или нет.

Если у нас в домене единственный контроллер домена то именно на нем и размещен сервер глобального каталога (по умолчанию). Если же несколько контроллеров то сервер глобального каталога размещается на один из них. Но в любом случае если сервер GC недоступен регистрация пользователя возможна только локально на компьютере. Исключением есть те случаи когда сайт так сконфигурирован что позволяет при попытке регистрации пользователя кэшировать (временно запоминать) результаты поиска соответствия предоставленной  регистрационной записи какой то группе. Но есть и исключения. Если пользователь состоит в группе «Администраторы домена» (Domain Admins) то он может регистрироваться в сети невзирая на неготовность по тем или иным причинам сервера глобального каталога. Ладно я что — то заумничал, к этому мы еще вернемся.

Поскольку каждый GC содержит обо всех объектах во всех доменах леса, запросы об отсутствующих в локальном домене объектах обрабатываются на сервере глобального каталога в домене, в котором этот запрос был подан, и это поиск информации в каталоге не связан с генерацией дополнительного трафика вне границы данного домена, а как мы уже помним GC обмениваются между собой информацией посредством репликации.

Кажись пожалуй пока фсё…о глобальном каталоге.

Если что не понятно задавайте вопросы на форуме.

Роли FSMO и самая важная роль контроллера домена [Dant’s Wiki]

Автор — Виталий Ладыгин


В фундаменте инфраструктуры Microsoft находится каталог Active Directory. Как и положено «становому хребту» каталог AD – это чертовски крепкая вещь. Также, это один из примеров «Next-Next-Next – работает!» продуктов, которые без дополнительного сопровождения работают годами. Но есть ряд мифов и неточностей, которые просто необходимо каждый раз обсуждать с администраторами, сопровождающими каталог AD.

Сегодня я хочу поговорить о такой вещи как роли контроллеров домена. Многие знают, что они называются FSMO или мастера операций. Очень часто на собеседованиях спрашивают: «Какие существуют роли в AD для контроллера домена(DC)?. Зачем они нужны и что будет, если они недоступны?» Но, к сожалению, очень редко случается услышать полный и правильный ответ. Для начала, выскажу достаточно “крамольную мысль”, что безо всех FSMO ролей можно жить месяцами и даже этого не заметить…

Во встроенной справке, многочисленных руководствах и книгах, в том числе в отличных книгах Федора Зубанова написаны сотни страниц теории на эту тему. Но как показывает практика – это больше напускает туману в головы администраторов. Особенно это важно в том случае, когда кроме AD есть еще десяток систем для сопровождения. Рассмотрим этот вопрос с практической точки зрения, т.е. что нужно обязательно помнить, а что можно немного и «забыть».

О ролях кратко и ёмко написано в статье «Роли FSMO службы Active Directory в Windows 2000». Обязательно прочитайте ее, чтобы освежить информацию, даже если вы чувствуете себя уверенно в Active Directory. Можно использовать статью как памятку о том, что конкретно делают сервера FSMO.

Большинство привычных операций, например, заведение пользователей и групп можно делать на любом контроллере домена. Служба репликации AD берет на себя копирование этих данных в рамках каталога. Устранение конфликтов делается простым методом – кто последний тот и прав. Этот механизм обеспечивает одинаковость базы Active Directory всех контролеров одного домена, т.е. любой контроллер домена содержит ВСЮ существенную информацию. Смело можно считать, что домен работает до тех пор, пока работает хотя бы один из контроллеров этого домена. Другими словами единица выживания всего каталога – это один сервер для каждого из доменов леса.

Существует несколько действий, при которых недопустимы конфликты. Если два администратора решили в одно время создать по домену Siberia в лесу outof.ru, то система сама никогда не сможет определить какой из них нужно оставить, а какой удалить. Поэтому и существуют сервера с ролями flexible single master operation (FSMO). Их задача НЕДОПУСКАТЬ таких конфликтов. На мой взгляд, многие переводы термина FSMO на русский язык не так легки для понимания, а смысл там прост: главный сервер для роли может быть только один, но ее можно в любой момент легко передать другому контроллеру домена.

Роль сервера (FSMO)Описание
Существуют только по одному на ВЕСЬ лес
Хозяин именования домена (Domain naming master) Сервер с этой ролью обеспечивает уникальность имен для создаваемых доменов и разделов приложений в лесу.
Хозяин схемы (Schema master)Эта роль необходима для расширения схемы леса Active Directory, в большинстве случаев просто для выполнения команды adprep /forestprep
Существуют по одной на каждый домен
Хозяин инфраструктуры (Infrastructure Master)Сервер с такой ролью нужен для успешного выполнения команды adprep /domainprep. Про эту роль мифы наиболее стойкие. Для пользователей других доменов, которые являются членами локальных групп своего домена создает и обновляет специальные объекты в базе не глобального каталога своего домена. Это просто – т.к. если сервер не глобальный каталог(GC), то в его базе физически нет данных о пользователях других доменов. НО! Мы знаем, что в локальные группы домена мы можем добавлять любых пользователей. А группа в базе AD должна физически иметь ссылки на всех пользователей. Коллизия? ДА! Вот ее и решили специальным объектом фантомом(phantom), который никак через ldap не увидеть, но он есть. Именно работой с фантомами занимается мастер инфраструктуры.
Эмулятор PDC (PDC emulator)Очень важная роль, если у вас есть NT4 домен или клиенты до 2000. Работает как основной обозреватель сети Windows. Отслеживает блокировки пользователей при ошибках паролей. Является эталоном времени для домена. Роль также заслуживает отдельного поста – это в планах
Хозяин RID (RID Master)Сервер с этой ролью раздает другим контроллерам домена пачки по 500 заготовок для создания уникальных SID. У каждого пользователя и группы обязательно есть SID(Security Identifier). Сам SID это такая строка вида S-1-5-21-165875785-1005667432-441284377-1023, которую вы иногда видите вместо имени пользователя или группы.

Существует еще важная шестая роль контроллера домена – это глобальный каталог(Global Catalog = GC). Такую роль может иметь любой контроллер в домене, т.е. она не относится к единственно возможной ни для леса, ни для домена. Другими словами, Global Catalog это НЕ FSMO – flexible single master operation. Наверное, именно поэтому, на вопрос о важных ролях контроллера домена, практически никогда не говорят о глобальном каталоге(GC).

Глобальный каталог по определению слушает LDAP порт 3268 и содержит в себе не только информацию о своем домене, но и часть информации обо всех остальных доменах, т.е:

  1. На глобальном каталоге можно запросом получить всех пользователей леса Active Directory!

  2. Из глобального каталога можно узнать членство пользователя во всех группах всех доменов.

  3. Глобальная адресная книга для Exchange запрашивается именно из глобального каталога (GC)

Важный вывод из определения:

  1. Если у вас есть только один домен, то включение роли глобального каталога только и только запускает LDAP сервис на порту 3268. Трафик репликации и размер базы не изменяются, т.к. просто НЕТ других доменов.
  2. Мастер инфраструктуры не работает на глобальном каталоге, потому что в его базе есть ВСЕ объекты леса. Там нет фантомов по определению, т.к. они не нужны.

  3. Если у вас все контроллеры в домене глобальные каталоги, то где находится и работает ли мастер инфраструктуры для вас совершенно не важно. Т.к. он просто не нужен.

Глобальный каталог — самая важная с практической точки зрения роль контроллера домена

Кратко вспомнили основные роли мастеров операций (FSMO роли) и что такое глобальный каталог (GC). Теперь переходим к самому интересному – что будет, если у нас недоступна каждая из ролей:

  • Хозяин схемы (Schema master FSMO) – не сможем произвести модификацию схемы. Схему модифицируют единичными случаями раз в несколько лет: установка новой версии ОС для доменов, установка Exchange, иногда других приложений.

  • Хозяин именования домена(Domain naming master FSMO) – не сможем добавить или удалить новый домен.

  • Хозяин RID (RID Master FSMO) – через некоторый, и что важно для реальной жизни, довольно длительный промежуток времени не сможем заводить новых пользователей и группы. Лимит жизни до 500 пользователей или групп. Есть организации, где людей работает всего 100 человек.

  • Эмулятор PDC(PDC emulator) – клиенты до 2000 windows не смогут попадать в домен плюс некоторые послабления при вводе неправильного пароля пользователем. синхронизация времени не остановится, но ошибки в event log обеспечены.

  • Хозяин инфраструктуры (Infrastructure Master) – если у нас много доменов, на контроллерах домена, которые не глобальные каталоги может нарушаться членство в локальных группах домена.

ДА… звучит, конечно, страшно, но в реальной жизни даже для относительно большой компании можно действительно жить без FSMO серверов днями. Редко кто заводит по 500 новых пользователей ежедневно. Время на 15 минут рассинхронизироваться тоже за пару дней врят-ли сможет. А проблему с паролями можно даже и не заметить совсем.

Само по себе такое поведение предсказуемо и логично. Революция в архитектуре Active Directory по сравнению с каталогами NT4 как раз и была в том, что нет таких единственных ролей сервера, при выходе из строя которых, вы теряете основную фунциональность домена. Ведь в NT4 отказ PDC приводил к тому, что домен переходил в режим “только для чтения”.

А что будет, если у нас вдруг перестанут работать все глобальные каталоги? Такое для небольших внедрений AD встречается гораздо чаще, чем это может показаться на первый взгляд. Например, есть два сервера – один GC, а второй, как это часто бывает, нет. Выключаем мы сервер, где работает глобальный каталог, пропылесосить и что мы увидим?

При отказе последнего глобального каталога (GC) – пользователь не сможет войти в свой компьютер. А сервер Exchange не будет работать с почтой.

Конечно, существует специальная политика, которая позволяет входить пользователю в домен и без доступного глобального каталога, но по-умолчанию она выключена. Сервер Exchange без глобального каталога работать в принципе не сможет.

Для больших структур AD при отказе в центре, например, Exchange вдруг станет работать гораздо медленнее, хотя нагрузки на самом почтовом сервере нет. В случае сбоя связи удаленного филиала с центром пользователи не входят в домен. А ведь именно для “независимого входа в сеть” и ставили контроллер домена в филиал, верно?

Если включено кэширование универсальных групп, то конечно это сглаживает ситуацию… но только тех, кто уже входил в сеть. Плюс, обновление этого кэша идет совсем по другому расписанию, чем основная репликация, что вызывает иногда трудные для диагностики проблемы с авторизацией. Для большинства внедрений Active Directory лучше использовать глобальные каталоги, чем кэширование.

Часто получается, что роль глобального каталога, предназначенная для работы на многих серверах, используется на единицах машин. Это опасно для здоровья active directory и нервов системного администратора. Поэтому не стесняйтесь делать каждый контроллер домена глобальным каталогом – жить будет легче.

  • FSMO роли хоть и единственные, и действительно требуют внимания, не так уж и важны для ежедневной работы каталога Active Directory. Т.е. отказ контроллера домена с ролью FSMO в течение нескольких дней может быть незаметен для пользователей.

  • Делайте каждый контроллер домена глобальным каталогом. Во-первых, чем их больше, тем лучше для производительности и надежности инфраструктуры. Во-вторых, тогда можно забыть про роль мастера инфраструктуры (Infrastructure master) совсем, он будет не нужен для работы AD.

  • Никогда не используйте кэширование универсальных групп (Universal Group Membership caching) — включайте глобальный каталог!

Руководство по лучшим практикам Active Directory — Дирайт

 

Active Directory (AD) – это служба каталогов, представляет собой распределённую базу данных, в которой хранятся сведения об объектах в сети.

Active Directory является единой точкой  аутентификации и авторизации пользователей и приложений в масштабах  предприятия. AD необходима для централизованного управления всеми компьютерами в сети. AD хранит сведения об учетных записях пользователей (имена, пароли, контактные данные и т.д.) и позволяет другим уполномоченным пользователям в той же сети получить доступ к этим сведениям, а также проводить манипуляции с пользователями и данными сети.

Основная цель AD – облегчить работу системных администраторов в обширных сетях.

Группы безопасности, учетные записи пользователей и другие основы AD

Операционная система Windows используется на многих предприятих, соответственно ИТ-специалисты используют Active Directory (AD). Active Directory является неотъемлемой частью архитектуры сети предприятия, позволяя ИТ-специалистам лучше контролировать доступ и безопасность. AD — это централизованная стандартная система, позволяющая системным администраторам автоматически управлять своими доменами, учетными записями пользователей и устройствами (компьютерами, принтерами и т.д.) в сети.

AD имеет решающее значение для ряда функций — она может отвечать за хранение централизованных данных, управление связью между доменами и предоставление безопасных сертификатов. Самое главное — AD дает системным администраторам контроль над паролями и уровнями доступа в их сети для управления различными объектами в системе. В то же время Active Directory может помочь пользователям облегчить доступ к ресурсам в сети.

Структуры в Active Directory

Структуру важно понимать для эффективного администрирования Active Directory, так как правильные методы хранения и организации являются ключом к построению безопасной иерархии. Ниже приведены некоторые основные структурные аспекты управления Active Directory:

  • Домены. Домен AD — это совокупность объектов, таких как пользователи или устройства, которые совместно используют политики, и базы данных. Домены содержат идентифицирующую информацию об этих объектах и имеют DNS-имя. Групповая политика может применяться ко всему домену или подгруппам, называемым организационными единицами (OU).
  • Деревья. Несколько доменов AD в одной группе называются деревьями. Они совместно используют конфигурацию сети, схему и глобальный каталог. Существует правило доверия с деревьями — когда новый домен присоединяется к дереву, ему сразу же доверяют другие домены в группе.
  • Леса. Лес — это группа деревьев, которые совместно используют одну базу данных. Это вершина организационной иерархии в AD. Один лес должен быть использован для каждого отдела. Важно отметить, что администраторы пользователей в одном лесу не могут автоматически получать доступ к другому лесу.

Разница между группой безопасности и группой рассылки

AD состоит из двух основных групп — групп рассылки и групп безопасности.

Группы рассылки — создаются в первую очередь для распространения электронных писем. Они полезны для таких приложений, как Microsoft Exchange или Outlook, и, как правило, позволяют легко добавлять и удалять контакты из одного из этих списков. Нельзя использовать группу рассылки для фильтрации параметров групповой политики, группа не предназначена для работы с предоставлением доступа на ресурсы. По возможности, пользователей следует назначать в группы рассылки, а не в группы безопасности, поскольку членство в слишком большом количестве групп безопасности может привести к замедлению входа в систему.

Группы безопасности — позволяют ИТ-отделу управлять доступом к общим ресурсам, контролируя доступ пользователей и компьютеров. Группы безопасности можно использовать для назначения прав безопасности в сети AD. (Эти группы также можно использовать для рассылки электронной почты.) Каждой группе безопасности назначается набор прав пользователей, определяющих их возможности в лесу. Например, некоторые группы могут восстанавливать файлы, а другие нет.

Эти группы обеспечивают ИТ-контроль над параметрами групповой политики, что означает, что разрешения могут быть изменены на нескольких компьютерах. Разрешения отличаются от прав — они применяются к общим ресурсам в домене. Некоторые группы могут иметь больше доступа, чем другие, когда дело доходит до общих ресурсов.

Что такое области действия групп AD?

«Область действия группы» — это термин, используемый для классификации уровней разрешений каждой группы безопасности.

Microsoft ввела три основных области действия для каждого типа групп в AD:

Универсальная: Используется в лесах из множества доменов. Участники из любого домена могут быть добавлены в универсальную группу безопасности. Эти группы часто используются для определения ролей и управления разрешениями в пределах одного и того же леса или доверенных лесов.

Глобальная: В группу добавляются только учетные записи из того же домена. Глобальные группы относятся главным образом к категоризации пользователей на основе бизнес-ролей. Пользователи часто разделяют аналогичные требования доступа к сети. Эта группа имеет возможность входить в другие глобальные и локальные группы и назначать разрешения для доступа к ресурсам в любом домене.

Локальная в домене: Может применяться везде в домене и часто используется для назначения разрешений на доступ к ресурсам. Стоит отметить, что эти разрешения можно назначать только в том домене, где была создана локальная группа домена нельзя использовать в других доменах. Локальные группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Добавляя учетную запись пользователя в группу, вы устраняете административную нагрузку, связанную с обработкой доступа отдельных пользователей. Группы также могут стать членами других групп. Это называется вложенные группы.

Вложенные группы — это полезный способ управления AD на основе бизнес-ролей, функций и правил управления.

Рекомендации для вложенных групп Active Directory

Перед внедрением стратегий вложения обязательно следуйте рекомендациям по вложенным группам Active Directory. Это обеспечит сохранность ваших данных, повысит эффективность и избавит от путаницы.

  • Будь в курсе: знание о наследовании разрешений, вероятно, является наиболее важной вещью, которую следует иметь в виду, когда речь идет о вложении групп. Вы можете вкладывать группы на основе иерархии родитель-потомок, поэтому если вы сделаете пользователей группы A членами группы B, пользователи в группе A будут иметь те же разрешения, что и группа B. Это может привести к проблемам, если пользователи в группе B иметь доступ к конфиденциальной информации, к которой пользователи группы А не должны иметь доступ.
  • Знай свои имена: Соглашения об именах должны быть в центре внимания при создании групп. Они должны быть очевидны, ссылаясь на название отдела (отдел продаж, маркетинг, отдел кадров и т.д.) и уровень разрешения, которое они имеют. Когда придет время строить свои вложенные группы, скажите спасибо, что у вас есть эта практика.
  • Держи локально: Помните, что локальные группы домена используются для управления разрешениями на ресурсы. При вложении групп добавьте учетные записи пользователей в глобальную группу, а затем добавьте эту глобальную группу в локальную группу домена. Глобальная группа будет иметь тот же уровень доступа к ресурсу, что и локальная группа домена.
  • Отпусти: ИТ-специалисты не должны отвечать за управление группами. Менеджеры и директора различных отделов, которым принадлежит контент в определенной группе, могут быть уполномочены управлять тем, кто имеет доступ к этой группе.

Рекомендации по группам безопасности Active Directory

В дополнение к советам по управлению вложениями групп необходимо также учитывать множество вещей при управлении группами безопасности:

  • Понять, кто и что: важно регулярно оценивать, какие сотрудники имеют доступ и разрешение на какие ресурсы. Большинству сотрудников не нужен высокий уровень доступа к домену. Это то, что называется «правилом привилегий». Правило подчеркивает важность предоставления всем учетным записям пользователей абсолютного минимального уровня разрешений, необходимого для выполнения назначенных им задач. Речь идет не о том, чтобы не доверять своим сотрудникам, а об ограничении распространения потенциальных факторов риска. Вход в систему с привилегированной учетной записью означает, что пользователь может случайно распространить скрытый вирус по всему домену, поскольку у вируса будет административный доступ. Однако, если этот же пользователь использует непривилегированную учетную запись, ущерб будет носить только локальный характер. Соблюдайте принцип привилегий, и вы можете помочь предотвратить потенциальный ущерб.
  • Удалить умолчания: AD назначает разрешения и права по умолчанию для основных групп безопасности, таких как операторы учетных записей. Но эти настройки по умолчанию не должны придерживаться. Важно взглянуть и убедиться, что они подходят для вашей компании. Если нет — настраивайте их. Это поможет вам защититься от злоумышленников, которые знакомы с настройками по умолчанию.
  • Практика патчинга: плохие новости? Есть много известных уязвимостей (дыр и слабостей) в вашем компьютерном программном обеспечении. Хорошие новости? Патчи могут их исправить.
  • Патч — это набор изменений, предназначенных для исправления уязвимостей безопасности и повышения удобства использования и производительности. Потратьте время на изучение того, какие исправления подходят для приложений в вашей сети. Это поможет вам избежать угроз безопасности из-за того, что злоумышленники готовы атаковать эти уязвимости с помощью вредоносного кода.

Рекомендации Active Directory для учетных записей пользователей

С тысячами учетных записей пользователей легко справиться. Лучший способ избежать головной боли — быть активным. Если вы сможете предпринять шаги для обеспечения работоспособности Active Directory — риски нарушения безопасности значительно снизятся.

Несколько рекомендаций по управлению пользователями AD, о которых следует помнить:

  • Веди учет: Регулярное удаление ненужных учетных записей пользователей из группы «Администраторы домена» имеет решающее значение. Зачем? Члены этой группы получают доступ к множеству устройств и серверов. Это делает их основной целью для злоумышленников, которые стали экспертами в взломе учетных данных пользователя. Держите количество пользователей в вашей группе администраторов домена на минимальном уровне, чтобы защититься от этой возможности.
  • Следи за увольнениями: когда сотрудники уходят, то же самое следует делать и с их учетными записями. Заброшенные учетные записи оставляют бывшим сотрудникам возможность получить доступ к информации, которая по праву не принадлежит им. Они также являются мишенью для хакеров, которые охотятся на неактивные учетные записи в качестве простого способа входа в домен под прикрытием. Проведите комплексную проверку и регулярно вычищайте заброшенные учетные записи. Вы не пожалеете об этом.
  • Активный мониторинг: важно иметь актуальную информацию о состоянии ваших лесов. Это гарантирует, что вы предупредите потенциальные проблемы, такие как перебои в обслуживании, и быстро обнаружите уведомления, такие как проблемы с синхронизацией и блокировки учетных записей пользователей. Попрактикуйтесь в отслеживании всплеска попыток ввода неверного пароля пользователя. Часто это сигнализирует о вторжении.
  • Реализация политик паролей. Было бы замечательно, если бы AD был настроен так, чтобы пользователи периодически обновляли пароли. К сожалению, это не так, поэтому важно настроить процессы, которые требуют регулярного обновления пароля. Эта профилактическая мера того стоит.

Контрольный список советов и лучших практик Active Directory

Мы собрали рекомендации по группам безопасности Active Directory, рекомендации по учетным записям пользователей Active Directory и рекомендации по вложенным группам Active Directory, но есть также несколько советов и приемов для управления Active Directory в целом.

  • Всегда должен быть план «Б»: делаете все возможное, чтобы обеспечить принятие всех мер безопасности, но что произойдет, если ваша AD будет взломана? Разработайте план аварийного восстановления, чтобы вы могли быстро принять меры в эти кризисные моменты. Также разумно регулярно делать резервные копии ваших конфигураций AD.
  • Автоматизация: автоматизированные рабочие процессы AD могут сэкономить ваше время. Избавьтесь от трудоемких задач, автоматизировав такие действия, как регистрация и управление запросами. Автоматизация особенно полезна, когда речь идет о принятии профилактических мер по обслуживанию. Стандартизация и оптимизация позволяет минимизировать количество ошибок, которые могут произойти в результате человеческого фактора.
  • Удаленная поддержка: реальность такова, что многие устройства и серверы, которые вы обслуживаете, могут быть распределены по зданиям и даже городам. Настройте системы удаленного управления, позволяющие устранять технические проблемы, такие как заблокированные учетные записи пользователей или ошибки репликации, не покидая рабочего места. Это сделает вас и вашу команду более эффективными.
  • Будь в курсе: важно держать руку на пульсе вашей сети. Для этого необходимы инструменты мониторинга Active Directory. Они дают вам полное представление о ваших лесах, помогают следить за угрозами безопасности и легко устранять технические неполадки. Сделайте еще один шаг в мониторинге и создайте пользовательские пороги оповещений, которые предлагают уведомления в режиме реального времени, когда что-то не так. Чем раньше вы сможете обнаружить проблему, особенно те, которые могут поставить под угрозу всю вашу безопасность, тем лучше.

Выбор лучших инструментов для безопасности Active Directory

Трудно идти в ногу со всеми лучшими практиками Active Directory. К счастью, вам не нужно идти в одиночку. Существует множество программ, платформ и сервисов, которые помогут вам ориентироваться в этой сложной среде.

Вот несколько наиболее распространенных:

  • Анализаторы разрешений: Этот инструмент помогает быстро и легко определить, какие права и группы доступа кому-то назначены. Просто введите имя пользователя, и программное обеспечение предоставит иерархическое представление действующих разрешений и прав доступа, что позволит вам быстро определить, как каждый пользователь получил свои права.
  • Менеджеры прав доступа: Внедрение менеджера прав доступа может помочь вам управлять разрешениями пользователей, удостовериться что доступ в нужных руках и предоставить вам возможность отслеживать общую активность вашей AD. Эти инструменты также оснащены интуитивно понятными панелями оценки рисков и настраиваемыми отчетами, что позволяет легко продемонстрировать соответствие нормативным требованиям.
  • Платформы мониторинга: программное обеспечение для управления серверами и приложениями позволяет быстро и легко получить снимок общего состояния вашего каталога, а также предоставляет способы углубленного изучения контроллеров домена. Вы можете использовать эти платформы для создания пользовательских порогов оповещений и определения того, что является нормальным для вашего сервера, что позволяет избежать невосприимчивости к оповещениям. Они помогают быть на шаг впереди и принимать превентивные меры.
  • ПО для удаленного управления: данное ПО разработано, чтобы помочь вам решить проблемы быстро и из любой точки мира. С помощью удаленного доступа вы можете получить контроль над компьютерами, когда пользователь вошел в систему, что дает вам возможность взглянуть на проблемы, с которыми они сталкиваются. Это дает вам лучшее представление о проблеме.
  • Менеджеры автоматизации: эти инструменты довольно просты и часто включают в себя интерфейс интерактивных сценариев для создания повторяющихся процессов. У вас есть много задач, которые нужно выполнять на регулярной основе? Менеджер автоматизации позволит вам свернуть эти задачи в «политику», а затем настроить расписание для этой политики.

Какие атаки может предотвратить Active Directory?

Как видите, Active Directory — это центральный инструмент для управления рядом функций безопасности бизнеса. Существует ряд распространенных атак, которые могут помочь предотвратить хорошие практики Active Directory:

  • Атака передачи хэша: эта атака существует уже более десяти лет. Несмотря на то, что данный тип один из самых известных, ему все же удалось нанести значительный ущерб. Используя атаку передачи хэша, злоумышленник извлекает хэшированные (более короткие значения фиксированной длины) учетные данные пользователя, чтобы перейти на удаленный сервер. Проще говоря, если злоумышленник добьется успеха с помощью тактики передачи хэша, в вашем процессе аутентификации есть слабость.
  • Brute-force: простая, но эффективная атака методом «грубой силы», включает в себя перебор случайных имен пользователей и паролей в быстрой последовательности, чтобы получить доступ к вашей системе. Каковы шансы хакера на успех с помощью этого метода? Больше, чем ты думаешь. Злоумышленники, практикующие грубую силу, используют усовершенствованное программирование для создания триллионов комбинаций за считанные секунды.

Будущее за Active Directory

Поскольку Active Directory является центральным ИТ-инструментом для управления контролем доступа и безопасностью, то независимо от того, идет ли речь о ИТ-безопасности или нет, вы можете повысить свою эффективность, а в большинстве случаев, добиться и того и другого. Внедрение лучших практик Active Directory является неотъемлемой частью любой ИТ-стратегии. Начиная с платформ мониторинга и заканчивая программным обеспечением для удаленного доступа, существуют десятки инструментов, которые помогут вам в этом процессе. Выберите то, что вам нужно для оптимизации рабочего процесса, обеспечения безопасности и, в конечном итоге, улучшения как ИТ-операций, так и взаимодействия с пользователем.

Понравилась статья? Поделись!

Глоссарий Active Directory — термины и основные понятия

В этом посте я собираюсь перечислить и объяснить наиболее часто используемую терминологию в Active Directory и связанных технологиях.

Если вы новичок в Active Directory, это будет отличный ресурс для знакомства с основами и фундаментальными концепциями Active Directory.

Я сгруппировал термины по разным разделам, чтобы облегчить понимание и ссылки. Некоторые темы могут быть очень техническими, я привел краткую и легкую для понимания терминологию.Затем я предоставляю дополнительные ресурсы в конце каждого раздела, если вы хотите узнать больше.

Содержание:

Основы Active Directory

Это основные термины, с которыми вы должны быть знакомы при работе с Active Directory.

Active Directory

Active Directory — это служба каталогов, которая централизует управление пользователями, компьютерами и другими объектами в сети. Его основная функция — аутентификация и авторизация пользователей и компьютеров в домене Windows.Например, когда пользователь входит в компьютер в домене, он проверяет имя пользователя и пароль, которые были отправлены для проверки учетной записи. Если это действительные имя пользователя и пароль, пользователь аутентифицируется и входит в систему.

Не путайте следующие три термина, все они относятся к Active Directory.

  • AD — это просто сокращение от Active Directory
  • AD DS — это сервер, на котором запущена роль доменных служб Active Directory
  • Контроллер домена — Это также сервер, на котором выполняется роль доменной службы Active Directory.Рекомендуется иметь несколько контроллеров домена по причинам аварийного переключения.

Веб-службы Active Directory (ADWS)

Эта служба была представлена ​​в Windows Server 2008 R2. Он автоматически устанавливается с ролью ADDS или ADLDS и настроен на автоматический запуск. Эта служба обеспечивает удаленное управление любыми локальными службами каталогов.

Домен

Домен — это логическая структура контейнеров и объектов в Active Directory. Домен содержит следующие компоненты:

  • Иерархическая структура для пользователей, групп, компьютеров и других объектов
  • Услуги безопасности, обеспечивающие аутентификацию и авторизацию ресурсов в домене и других доменах
  • Политики, применяемые к пользователям и компьютерам
  • DNS-имя для идентификации домена.Когда вы входите в систему на компьютере, который является частью домена, вы входите в доменное имя DNS. Мой домен DNS — ad.activedirectorypro.com, так определяется мой домен.

Дерево доменов

Когда вы добавляете дочерний домен к родительскому домену, вы создаете так называемое дерево доменов. Дерево доменов — это просто последовательность доменов, связанных вместе иерархическим образом, использующих одно и то же пространство имен DNS. Если бы activedirectorypro.com добавлял домен под названием обучение или видео, он бы назвал его обучением.activedirectorypro.com и videos.activedirectorypro.com. Эти домены являются частью одного и того же дерева доменов, и между родительским и дочерним доменами автоматически создается доверие.

Функциональные уровни

Функциональные уровни определяют, какие возможности доступны в домене. Более высокие функциональные уровни позволяют использовать новейшие и лучшие технологии в вашем домене Active Directory. По возможности используйте самые высокие функциональные уровни для контроллеров домена.

Лес

Лес — это набор деревьев доменов.Дерево доменов имеет общую схему и контейнер конфигурации. Дерево доменов связано между собой транзитивным доверием. При первой установке Active Directory и создании домена вы также создаете лес.

FQDN — полное доменное имя

Полное доменное имя — это имя хоста + домен, например, мой домен — ad.activedirectorypro.com, компьютер в домене с именем хоста PC1, поэтому полное доменное имя будет pc1.ad.activedirectorypro.com

ФСМО

Контроллер домена имеет несколько функций, которые называются ролями FSMO.Все эти роли устанавливаются на первом контроллере домена в новом лесу, вы можете перемещать роли между несколькими контроллерами домена, чтобы повысить производительность и отработать отказ.

  • Мастер схемы — Хозяин схемы — это роль в масштабе леса, которая обрабатывает все изменения в схеме Active Directory.

  • Мастер именования доменов — это роль в масштабе леса, которая является мастером доменных имен. Он обрабатывает пространство имен и добавляет удаление доменных имен.

  • Эмулятор PDC — эта роль обрабатывает изменения пароля, блокировки пользователей, групповую политику и является сервером времени для клиентов.

  • RID Master — эта роль отвечает за обработку запросов пула RID от всех контроллеров домена в домене. При создании таких объектов, как пользователи и компьютеры, им присваиваются уникальный SID и относительный идентификатор (RID). Роль хозяина RID гарантирует, что объектам не будут назначены одинаковые SID и RID.

  • Хозяин инфраструктуры — это роль домена, используемая для ссылки на объекты в других доменах. Если пользователи из домена A являются членами группы безопасности в домене B, роль хозяина инфраструктуры используется для ссылки на учетные записи в правильном домене.

Объектов

При работе с Active Directory вы в первую очередь будете работать с объектами. Объекты определяются как группа атрибутов, представляющих ресурс в домене.Этим объектам назначается уникальный идентификатор безопасности (SID), который используется для предоставления или запрета объекту доступа к ресурсам в домене. Типы объектов по умолчанию, создаваемые в новом домене в Active Directory:

  • Организационная единица (OU) — OU — это объект-контейнер, который может содержать разные объекты из одного домена. Вы будете использовать подразделения для хранения и организации учетных записей пользователей, контактов, компьютеров и групп. Вы также свяжете объекты групповой политики с OU.
  • Пользователи — учетные записи пользователей назначаются в первую очередь пользователям для получения доступа к ресурсам домена.Их также можно использовать для запуска программ или системных служб.
  • Компьютер — Это просто компьютер, который присоединен к домену.
  • Группы — Есть два типа объектов: группа безопасности и группа рассылки. Группа безопасности — это группа учетных записей пользователей, которые могут использоваться для предоставления доступа к ресурсам. Группы рассылки используются для списков рассылки электронной почты.
  • Контакты — Контакт используется для электронной почты.Вы не можете войти в домен в качестве контакта, и его нельзя использовать для защиты разрешений.
  • Общая папка — Когда вы публикуете общую папку в Active Directory, она создает объект. Публикация общих папок в AD упрощает пользователям поиск общих файлов и папок в домене.
  • Общий принтер — Как и общие папки, вы можете публиковать принтеры в Active Directory. Это также упрощает пользователям поиск и использование принтеров в домене.

LDAP (облегченный протокол доступа к каталогам)

LDAP — это протокол открытой платформы, используемый для доступа к службам каталогов. LDAP обеспечивает механизм связи для приложений и других систем для взаимодействия с серверами каталогов. Проще говоря, LDAP — это способ подключения и связи с Active Directory.

Глобальный каталог (GC)

Сервер глобального каталога содержит полную реплику всех объектов и используется для поиска по всему лесу.По умолчанию первый контроллер домена в домене назначается сервером GC, рекомендуется иметь по крайней мере один сервер GC для каждого сайта для повышения производительности.

Ядро СУБД Jet

База данных Active Directory основана на движке Microsoft Jet Blue и использует Extensible Storage Engine (ESE) для работы с данными. База данных представляет собой отдельный файл с именем ntds.dit, по умолчанию он хранится в папке% SYSTEMROOT% \ NTDS и на каждом контроллере домена.

Корзина

Корзина Active Directory позволяет администраторам легко восстанавливать удаленные элементы, по умолчанию это не включено.Пошаговое руководство по включению корзины.

Контроллер домена только для чтения (RODC)

Серверы

RODC содержат доступную только для чтения копию базы данных Active Directory и не позволяют вносить изменения в AD. Его основное предназначение — для филиалов и мест с плохой физической безопасностью.

Схема

Схема Active Directory определяет каждый класс объектов, который может быть создан и использован в лесу Active Directory. Он также определяет каждый атрибут, который может существовать в объекте.Другими словами, это план того, как данные могут храниться в Active Directory. Например, учетная запись пользователя является экземпляром класса пользователя, она использует атрибуты для хранения и предоставления информации об этом объекте. Учетная запись компьютера — это еще один экземпляр класса, который также определяется его атрибутами.

Существует множество классов и атрибутов, если только вы не программируете или не устраняете какие-либо сложные проблемы, поэтому нет необходимости знать все о схеме.

SYSVOL

sysvol — это очень важная папка, которая используется совместно на каждом контроллере домена.Расположение по умолчанию -% SYSTEMROOT% \ SYSVOL \ sysvol и состоит из следующего:

  • Объекты групповой политики
  • Папки
  • Скрипты
  • Точки соединения

Надгробие

Tombstone — это удаленный объект из AD, который не был удален из базы данных, технически объект остается в базе данных в течение определенного периода времени. За это время объект можно будет восстановить.

Атрибуты имени объекта

Ниже приведены некоторые важные атрибуты, с которыми вам следует знать при работе с Active Directory.

  • userPrincipalName (UPN) — это обычное имя для входа в формате адреса электронной почты. UPN выглядит так: [email protected], UPN можно использовать для входа в домен Windows.
  • objectGUID — Этот атрибут используется для однозначной идентификации учетной записи пользователя. Даже если учетная запись переименована или перемещена, objectGUID никогда не изменяется.
  • sAmAccountName — этот атрибут используется для входа учетной записи в домен.Это было основным средством входа в домен для более старых версий Windows, его все еще можно использовать в современных версиях Windows.
  • objectSID — Этот атрибут является идентификатором безопасности (SID) пользователя. SID используется сервером для идентификации пользователя и его членства в группе, чтобы разрешить пользователям доступ к ресурсам домена.
  • sIDHistory — Этот атрибут содержит предыдущие SID для пользовательского объекта. Это необходимо только в том случае, если пользователь перешел в другой домен.
  • Относительное отличительное имя (RDN) — RDN является первым компонентом отличительного имени. Это имя объекта в Active Directory относительно его местоположения в иерархической структуре AD
  • .

  • Отличительное имя (DN) — Атрибут DN определяет местонахождение объектов в каталоге. Этот атрибут обычно используется службами и приложениями для поиска объектов в Active Directory. DN состоит из следующих компонентов:
    • CN — общее название
    • ОУ — организационная единица
    • DC — компонент домена

Группы

Группы используются для сбора учетных записей пользователей, компьютеров и контактных объектов в единицы управления.Создание групп упрощает управление разрешениями для ресурсов и назначение таких ресурсов, как принтеры и папки. Есть два типа групп

  • Распределение — Группы рассылки используются приложениями электронной почты t легко отправлять электронное письмо группе пользователей.
  • Безопасность — Группы безопасности — это группа учетных записей, которые можно использовать для простого назначения ресурсу или подачи заявки на разрешения. Например, если бы я хотел заблокировать папку для отдела кадров, я мог бы просто поместить всех сотрудников в группу безопасности и применить группу к папке вместо каждой отдельной учетной записи.

Объем группы

Область действия группы определяет, может ли группа применяться в домене или лесу. Вот три групповых диапазона:

  • Универсальный — Может содержать объекты из других универсальных групп и любого домена в дереве или лесу.
  • Global — Может содержать объекты из домена и использоваться в любом дереве домена или лесу.
  • Локальный домен — может содержать объекты из любого домена, но может применяться только к домену, в котором он был создан.
Ресурсов:

Общие сведения о надгробиях, Active Directory и способах их защиты

Схема Active Directory

Функциональные уровни леса и домена

Active Directory: концепции, часть 1

Службы Active Directory

Active Directory включает несколько других служб, которые подпадают под доменные службы Active Directory, эти службы включают:

Службы сертификации Active Directory (AD CS)

Это роль сервера, которая позволяет создавать инфраструктуру открытых ключей (PKI) и предоставлять цифровые сертификаты для вашей организации.Сертификаты могут использоваться для шифрования сетевого трафика, трафика приложений, а также для аутентификации пользователей и компьютеров. Когда вы видите https в адресе браузера, это означает, что он использует сертификат для шифрования связи от клиента к серверу.

Доменные службы Active Directory (AD DS)

См. Описание Active Directory

Службы федерации Active Directory (AD FS)

Служба федерации позволяет использовать единый вход во внешние системы, такие как веб-сайты и приложения.Office 365 часто используется для служб федерации. Когда вы входите в Office 365, имя пользователя и пароль перенаправляются через сервер федерации, а учетные данные проверяются в вашей локальной службе Active Directory. Таким образом, это позволяет вам предоставлять аутентификацию для внешних систем с помощью вашей локальной Active Directory для аутентификации имени пользователя и пароля.

Службы облегченного доступа к каталогам Active Directory (AD LDS)

Эта служба предоставляет службы каталогов с использованием протокола LDAP без необходимости развертывания контроллеров домена.Это в основном используется для функционального обеспечения службы каталогов для приложений с поддержкой каталогов. Это не заменяет AD DS.

Службы управления правами Active Directory (AD RMS)

Этот сервис предоставляет методы защиты информации о цифровом контенте. Он защищает документы, определяя, кто может открывать, изменять, печатать, пересылать или выполнять другие действия с документами. Вы также можете использовать сертификаты для шифрования документов для большей безопасности.

Active Directory DNS

Система доменных имен

— это служба, которая обеспечивает разрешение имен, чаще всего преобразование имени хоста в IP-адрес.В этом разделе вы узнаете о некоторых важных компонентах DNS.

Ресурсные записи

Запись ресурса — это запись в системе DNS, которая помогает находить ресурсы на основе IP-адреса или имени домена. Существует много типов записей ресурсов, ниже приводится список наиболее распространенных типов записей:

  • A — сопоставляет имя хоста с IPv4-адресом
  • AAAA — сопоставляет имя хоста с IPv6-адресом
  • CNAME — сопоставляет псевдоним с именем хоста
  • MX — Используется для поиска почтового сервера
  • NS — Указывает сервер имен для домена
  • PTR — сопоставляет адрес IPv4 с именем хоста.Реверс записи A.
  • SOA — содержит административную информацию
  • SRV — Используется для поиска серверов, на которых размещены определенные службы
  • TXT — Может содержать различные данные. Часто используется для проверки доменов и из соображений безопасности.

Динамический DNS (DDNS)

Dynamic DNS — это метод, позволяющий клиентам регистрировать и динамически обновлять свои записи ресурсов с помощью DNS-сервера. Это позволяет клиентам, использующим DHCP, автоматически обновлять свою запись DNS при изменении IP-адреса.

Имя хоста

Это чаще всего DNS-запись A, DNS-имя устройства, с которым можно связаться. Например, сервер с именем DC1. Если DC1 был зарегистрирован в DNS, вы должны называть это именем хоста.

Зоны

Зона используется для размещения записей DNS для определенного домена. Наиболее важным и часто используемым типом зоны являются интегрированные зоны Active Directory. Есть несколько других зон, с которыми вы должны быть знакомы. Я расскажу о других зонах в своей статье Windows DNZ ​​Zones Explained.

Устарение и очистка DNS

Это функция, которую можно включить для автоматизации очистки устаревших записей DNS. Я создал отдельный пост, который объясняет больше и предоставляет пошаговые инструкции по настройке устаревания и очистки DNS.

Записи SRV, используемые Active Directory

В домене Windows записи SRV используются клиентами для поиска контроллеров домена для Active Directory. Когда вы устанавливаете службу AD DS, процесс автоматически создает записи SRV для Active Directory.

  • Active Directory создает свои записи SRV в следующих папках, где имя_домена — это имя вашего домена:
    • Зоны прямого просмотра / Имя_домена / _msdcs / dc / _sites / Default-First-Site-Name / _tcp Зоны прямого просмотра / Имя_домена / _msdcs / dc / _tcp

Вот скриншот с моего DNS:

Форвардеры

Серверы пересылки

DNS — это серверы, которые разрешают имена хостов, которые ваш внутренний DNS-сервер не может разрешить, в основном внешние домены, такие как просмотр в Интернете.Вы можете настроить пересылку DNS-запросов на любой сервер по вашему выбору, часто используется интернет-провайдер.

Корневые подсказки

Корневой сервер подсказок — это еще один метод разрешения имен хостов, которые ваш внутренний сервер не может разрешить. Разница в том, что эти серверы служат корневой зоной DNS для Интернета. Они управляются несколькими крупными организациями, организованными для обеспечения безопасности и резервирования. Вы можете использовать корневые ссылки или переадресацию для разрешения внешних имен.

ресурсов:

Полный список типов записей ресурсов DNS

Как проверить, что записи SRV DNS были созданы для контроллера домена

Корневые подсказки против серверов пересылки

Лучшие практики DNS

Репликация Active Directory

Репликация — это процесс, который обеспечивает репликацию изменений, внесенных в один контроллер домена, на другие контроллеры домена в домене.

Объекты подключения

Объект подключения определяет, какие контроллеры домена реплицируются друг с другом, как часто и их контексты именования.

KCC

Проверка согласованности знаний (KCC) — это процесс, который выполняется на всех контроллерах домена и генерирует топологию репликации на основе сайтов, подсетей и объектов связи сайтов.

Подсети

Подсеть — это логическая часть IP-сети. Подсети используются для группировки устройств в определенную сеть, часто по местоположению, зданию или этажу.Если у вас многосайтовая среда, Active Directory необходимо знать о ваших подсетях, чтобы правильно определять наиболее эффективные ресурсы. Если эта информация не предоставлена, клиенты могут пройти проверку подлинности и использовать неправильный контроллер домена.

Участок

Сайт — это набор подсетей. Сайты Active Directory помогают определить поток репликации и расположение ресурсов для клиентов, таких как контроллер домена.

Ссылка на сайт

Ссылки сайтов позволяют настроить, какие сайты связаны друг с другом.

Ссылка на сайт Мост

Мост связей сайтов — это логическое соединение между сайтами. Это метод логического представления транзитивной связи между сайтами.

Топология сайта

Топология сайта — это карта, которая определяет сетевое подключение для репликации и расположение ресурсов в лесу Active Directory. Топология сайта согласована с несколькими компонентами, включая сайты, подсети, связи сайтов, мосты связей сайтов и объекты соединений.

Внутрисайтовая репликация

Это репликация, которая происходит между контроллерами домена на одном сайте.

Межсайтовая репликация

В среде с несколькими сайтами изменение на одном сайте необходимо реплицировать на другой сайт. Это называется межсайтовой репликацией.

Ресурсов:

Как работает репликация Active Directory

Основные понятия репликации Active Directory

Безопасность Active Directory (аутентификация, протоколы безопасности, разрешения)

Kerberos

Kerberos — это протокол безопасности, который позволяет пользователям безопасно подтверждать свою личность для получения доступа к ресурсам домена.

Билет для выдачи билетов (TGT)

Центр распространения ключей (KDC)

KDC — это служба, которая запускается на контроллерах домена и предоставляет билеты сеанса, используемые в протоколе проверки подлинности Kerberos.

Имена участников службы (SPN)

SPN — это уникальный идентификатор экземпляра службы.

NTLM

NTLM — это набор протоколов безопасности, используемых для аутентификации, обеспечения целостности и конфиденциальности пользователей. Kerberos является предпочтительным протоколом проверки подлинности и используется в современных версиях Windows, NTLM по-прежнему доступен для старых клиентов и систем в рабочей группе.

Разрешения NTFS

Разрешения NTFS позволяют определить, кто имеет право доступа к файлу или папке. Ниже приведен список основных разрешений, которые вы можете установить:

  • Полный доступ — дает пользователям права добавлять, изменять, перемещать и удалять файлы и папки.
  • Изменить — Предоставляет пользователям возможность просмотра и прав на изменение
  • Чтение и выполнение — Предоставляет пользователям права просмотра и выполнения
  • Чтение — готово только права
  • Запись — прямо в файл и добавлять новые папки

Разрешения для общего доступа

Разрешения для общего ресурса определяют уровень доступа к общим ресурсам, таким как папка.Есть три основных общих разрешения:

  • Чтение — дает пользователям права просмотра папки и подпапок
  • Изменить — Дает пользователям права на чтение и изменение
  • Полный доступ — дает пользователям права на изменение, изменение и чтение.

Список управления дискреционным доступом (DACL)

DACL определяет, какая учетная запись разрешает или запрещает доступ к объекту, например файлу или папке.

Записи контроля доступа (ACE)

DACL содержит ACE, ACE определяет, какая учетная запись и какой уровень доступа должен быть предоставлен для ресурса.Если ACE отсутствует, система запрещает любой доступ к объекту.

Системный список контроля доступа (SACL)

SACL позволяет администраторам регистрировать попытки доступа к объекту безопасности.

Подробная политика паролей

Функция в Windows 2008 и более поздних версиях, которая позволяет вам определять разные пароли и политики блокировки учетных записей для разных учетных записей. Как правило, все учетные записи должны иметь одинаковую политику, но у вас может быть учетная запись службы или очень специфическая учетная запись, для которой требуется другая политика.Например, наша гостевая учетная запись Wi-Fi продолжала блокироваться из-за попыток ввода неверного пароля. Я использовал политику хорошо предоставленных паролей, чтобы установить более высокий уровень блокировки учетной записи, чем для остальной части домена.

ресурсов:

Kerberos для занятого администратора

Технический обзор проверки подлинности Windows

Различия между разрешениями общего доступа и NTFS

Списки контроля доступа

Консоли управления Active Directory

В этом разделе представлены консоли управления, которые вам понадобятся для управления различными технологиями Active Directory.Для доступа к этим консолям управления вам потребуется установить инструменты удаленного администрирования сервера (RSAT).

Пользователи и компьютеры Active Directory (ADUC)

Это наиболее часто используемая консоль для управления пользователями, компьютерами, группами и контактами.

Ярлык: dsa.msc

Центр администрирования Active Directory (ADAC)

Начиная с Server 2008 R2 Microsoft представляет ADAC для управления своими объектами службы каталогов. Эту консоль можно использовать для создания учетных записей пользователей, учетных записей компьютеров, групп и организационных единиц и управления ими.Он предоставляет те же функции, что и инструмент «Пользователи и компьютеры Active Directory». Из-за сложного интерфейса я предпочитаю ADUC этой консоли.

Домены и доверие Active Directory

Эта консоль используется для повышения режима домена или функционального уровня домена или леса. Он также используется для управления доверительными отношениями.

Ярлык: domain.msc

Сайты и службы Active Directory

Это основная консоль для управления репликацией.Эта консоль используется для управления объектами топологии сайта, объектами подключения, расписанием репликации, принудительной репликацией вручную, включением глобального каталога и включением универсального группового кэширования.

Ярлык: dssite.msc

Редактор ADSI

Редактор интерфейсов службы Active Directory — это инструмент с графическим пользовательским интерфейсом, который можно использовать для управления объектами в Active Directory. Этот инструмент обеспечивает доступ к данным объекта, которые недоступны в Active Directory — пользователи и компьютеры.

Ярлык: adsiedit.msc

Управление DFS

Эта консоль используется для управления пространствами имен DFS и репликацией DFS.

Ярлык: dfsmgmt.msc

DHCP

Эта консоль используется для создания областей DCHP, просмотра информации об аренде и всего прочего DHCP.

Ярлык: dhcpmgmt.msc

DNS

Эта консоль используется для создания зон DNS, записей ресурсов и управления всем, что связано с DNS.

Ярлык: dnsmgmt.msc

Управление групповой политикой

Ярлык: gpmc.msc

PowerShell

Хотя это не консоль управления, это самый мощный инструмент для автоматизации административных задач. PowerShell может ускорить выполнение многих рутинных задач, которые инструменты управления с графическим интерфейсом не могут выполнить.

ресурсов:

Протокол динамического управления хостом (DHCP)

Протокол динамической конфигурации хоста — это служба, обеспечивающая централизованное управление IP-адресом.Когда ваш компьютер подключается к проводной или беспроводной сети, с DHCP-сервером связываются, чтобы найти и назначить вам доступный IP-адрес.

Область применения

Область DHCP — это набор параметров IP-адресов, которые настроены для использования таких устройств, как компьютер. Вы можете создать несколько областей для разных типов устройств и подсетей. Например, у меня есть прицел для компьютеров и различные прицелы для IP-телефонов. При настройке осциллографа вам потребуется настроить следующее:

  • Имя области — это имя области.Дайте ему описательное имя, чтобы можно было легко определить, для каких устройств он предназначен.
  • Диапазон IP-адресов — это диапазон IP-адресов, который должны использовать устройства. Например 10.2.2.0/24
  • Исключения IP-адресов — Вы можете указать, чтобы исключить IP-адрес из области. Это полезно, если у вас есть устройства в подсети, которым нужен статический IP-адрес, например маршрутизатор или сервер.
  • Срок аренды — Срок аренды определяет, как долго клиент имеет IP-адрес перед возвратом его в пул.
  • Параметры DHCP — Существует ряд различных параметров, которые вы можете включить, когда DHCP назначает IP-адрес. Подробнее об этом ниже

Параметры DHCP

Существует множество параметров DCHP, ниже приведены наиболее часто используемые параметры в домене Windows.

  • 003 router — Шлюз подсети по умолчанию
  • 005 DNS-сервер — IP-адрес DNS-сервера, который клиенты должны использовать для разрешения имен.
  • 015 DNS-имя домена — DNS-суффикс, который должен использовать клиент, часто совпадает с именем домена.

Фильтрация DHCP

DHCP-фильтрация может использоваться для запрета или разрешения устройств на основе их MAC-адресов. Например, я использую его, чтобы заблокировать подключение мобильных устройств к нашему защищенному Wi-Fi.

Суперскопы

Суперобласть — это набор отдельных областей DHCP. Это можно использовать, если вы хотите объединить области вместе.Честно говоря, никогда этим не пользовался.

Разделенные прицелы

Это метод обеспечения отказоустойчивости для области DHCP. Отказоустойчивость DHCP не является предпочтительным методом обеспечения отказоустойчивости.

Отказоустойчивость DHCP

Отказоустойчивость

DCHP была новой функцией, начиная с версии сервера 2012. Она позволяет двум DHCP-серверам обмениваться информацией об аренде, обеспечивая высокую доступность для служб DCHP. Если один сервер становится недоступным, его берет на себя другой сервер.

ресурсов:

Параметры DHCP

Групповая политика

Групповая политика позволяет централизованно управлять настройками пользователей и компьютеров.Вы можете использовать групповую политику для установки политик паролей, политик аудита, экрана блокировки, сопоставления дисков, развертывания программного обеспечения, одного диска, настроек Office 365 и многого другого.

Объекты групповой политики (GPO)

Объекты групповой политики

— это набор параметров политики, которые вы используете для применения к компьютерам или пользователям.

Частота обновления групповой политики

Клиентские рабочие станции и рядовые серверы обновляют свои политики каждые 90 минут. Чтобы избежать перегрузки контроллеров домена, на каждую машину добавляется случайный интервал смещения.Это предотвращает одновременный запрос обновлений групповой политики от контроллера домена всеми машинами, что может привести к его сбою.

Обработка политики

Групповые политики применяются в следующем порядке

  • Местный
  • Участок
  • Домен
  • Организационная единица (OU)

Блок наследования

По умолчанию объекты групповой политики наследуются. Чтобы изменить это поведение, вы можете использовать опцию блочного наследования на уровне подразделения.

Без блокировки

Если вы хотите применить политики и предотвратить их блокировку, используйте опцию no override.

Настройки пользователя

В GPO есть настройки пользователя и компьютера. Пользовательские настройки применяются только к пользовательским объектам. Если вы настраиваете параметры пользователя в GPO, этот GPO должен применяться к пользовательским объектам.

Настройки компьютера

Параметры компьютера в объекте групповой политики — это параметры, которые можно применить к компьютеру. Если вы настраиваете параметры компьютера, объект групповой политики должен применяться к объектам компьютера.

Результирующий набор политик (RsoP)

Результирующий набор политик

— это инструмент Microsoft, встроенный в Windows 7 и более поздние версии. Он предоставляет администраторам отчет о том, какие параметры групповой политики применяются к пользователям и компьютерам. Его также можно использовать для моделирования настроек в целях планирования.

У меня есть полное руководство в моей статье Как использовать RSoP для проверки и устранения неполадок настроек групповой политики.

Предпочтения групповой политики

Настройки групповой политики

в основном используются для настройки параметров, которые впоследствии могут быть изменены на уровне клиента.В настройках также есть возможность выполнять некоторые расширенные настройки таргетинга, такие как применение к определенному подразделению, версии Windows, пользователям в группе и т. Д. Предпочтения обычно используются для настройки следующего:

  • Сопоставление дисков
  • Настройки реестра
  • Установить принтеры
  • Расписание задач
  • Установить права доступа к файлам и папкам
  • Установить параметры мощности

Шаблоны

Вы можете установить дополнительные шаблоны групповой политики, чтобы расширить стандартные GPO, предоставляемые Microsoft.Некоторые часто используемые шаблоны — это Office 365, Chrome, Firefox и те, которые поставляются сторонними приложениями. Шаблоны — это файлы на основе xml, обычно в формате ADM или с расширением ADMX.

ресурсов:

Архитектура групповой политики

Обзор групповой политики

Я что-нибудь пропустил? Есть чем поделиться? Позвольте мне знать в комментариях ниже.

Рекомендуемый инструмент: SolarWinds Server & Application Monitor

Эта утилита была разработана для мониторинга Active Directory и других важных служб, таких как DNS и DHCP.Он быстро обнаруживает проблемы с контроллером домена, предотвращает сбои репликации, отслеживает неудачные попытки входа в систему и многое другое.

Что мне больше всего нравится в SAM, так это простая в использовании панель управления и функции предупреждений. Он также имеет возможность контролировать виртуальные машины и хранилище.

Загрузите бесплатную пробную версию здесь

.Обзор доменных служб Active Directory

(AD DS) — статьи TechNet — США (английский)

Используя роль сервера доменных служб Active Directory® (AD DS), вы можете создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами, а также обеспечить поддержку приложений с поддержкой каталогов, таких как Microsoft® Exchange Server .

В следующих разделах вы узнаете больше о AD DS, функциях AD DS, а также о программном и аппаратном обеспечении.Дополнительные сведения о планировании, развертывании и использовании роли сервера AD DS см. В разделе Доменные службы Active Directory (http://go.microsoft.com/fwlink/?LinkID=48547).


Что такое каталог?

Каталог в самом общем смысле представляет собой исчерпывающий список объектов. Телефонная книга — это разновидность справочника
в котором хранится информация о людях, компаниях и государственных организациях. В телефонных книгах обычно записываются имена, адреса и номера телефонов. AD DS похожа на телефонную книгу во многих отношениях и гораздо более гибкая.AD DS будет хранить информацию о
организации, сайты, компьютеры, пользователи, общие ресурсы и практически любой другой сетевой объект, который вы можете себе представить. Не все объекты так похожи друг на друга, как те, что хранятся в телефонной книге, поэтому AD DS включает возможность записи различных типов информации.
о разных предметах.


Облегченный протокол доступа к каталогам (LDAP)

AD DS отражает тенденцию Microsoft полагаться на стандартные протоколы. Облегченный протокол доступа к каталогам (LDAP) является продуктом
IETF (Инженерная группа Интернета).Он определяет, как клиенты и серверы обмениваются информацией о каталоге. LDAP версии 2 и версии 3 используются в AD DS.

Отличительные имена

Очень важно понимать структуру
выдающиеся имена, так как вы будете часто обращаться к ним в процессе работы. Мое выдающееся имя: / O = Internet / DC = COM / DC = Microsoft / DC = MSPress / CN = Users / CN = Tony Northrup. Рассмотрим следующий рисунок, на котором показано, как я вписываюсь в образец AD DS.
дерево. Отличительное имя, которое я дал, начинает иметь некоторый смысл — оно идентифицирует каждый контейнер от самого верха до моего конкретного объекта.Каждый контейнер разделяется косой чертой и идентификатором. Например, COM, Microsoft и MSPress начинаются с
/ DC =. DC означает компонент домена, который определяет домен DNS.

Отличительные имена описывают расположение объекта в дереве.

Для упрощения отличительных имен можно также использовать относительные отличительные имена. Относительное отличительное имя
предыдущий пример — CN = Tony Northrup, идентифицирующий имя пользователя, но не контекст, в котором он находится.Чтобы относительное отличительное имя было эффективным идентификатором, контекст должен быть уже известен.

Основное имя пользователя

Известные имена отлично подходят для компьютеров, но слишком громоздки для запоминания. Люди привыкли к адресам электронной почты, поэтому AD DS предоставляет эти адреса как ярлык для полного имени объекта. На рис. 11-9 Тони Нортрап является пользователем
домен mspress.microsoft.com. Администратор может создать основное имя пользователя в Microsoft.com, чтобы упростить доступ к моей учетной записи и сохранить место для моего адреса электронной почты, например [email protected].

Пользователи будут полагаться на свое основное имя пользователя для входа на свои компьютеры. Другими словами, основные имена пользователей заменят имена пользователей, используемые в старых сетях Windows. Очевидно, это помогает пользователям, избавляя их от необходимости набирать свои выдающиеся
имена. Однако это также приносит пользу пользователям, потому что основное имя пользователя останется прежним, даже если администраторы переместят или переименуют базовую учетную запись пользователя.


Что такое роль сервера AD DS?

AD DS предоставляет распределенную базу данных, в которой хранится и управляется информация о сетевых ресурсах и данные о конкретных приложениях из приложений с поддержкой каталогов. Администраторы могут использовать AD DS для организации элементов сети, таких как пользователи, компьютеры,
и другие устройства в иерархическую сдерживающую структуру. Иерархическая структура включения включает лес AD DS, домены.
в лесу и организационные единицы (OU) в каждом домене.Сервер, на котором работает AD DS, называется

контроллер домена.

Организация сетевых элементов в иерархическую сдерживающую структуру дает следующие преимущества:

  • Лес действует как граница безопасности для организации и определяет объем полномочий для администраторов. По умолчанию лес содержит один домен, известный как корневой домен леса.
  • В лесу могут быть созданы дополнительные домены для разделения данных AD DS, что позволяет организациям реплицировать
    данные только там, где это необходимо.Это позволяет AD DS глобально масштабироваться по сети с ограниченной доступной пропускной способностью. Домен AD DS также поддерживает ряд других основных функций, связанных с администрированием, включая общесетевые.
    идентификация пользователя, аутентификация и доверительные отношения.
  • OU упрощают делегирование полномочий для облегчения управления большим количеством объектов. Посредством делегирования владельцы могут передавать полные или ограниченные полномочия над объектами другим пользователям или

    группы.Делегирование важно, поскольку оно помогает распределить управление большим количеством объектов между несколькими людьми, которым доверяют выполнение задач управления.


Функции в AD DS

Security интегрирован с AD DS посредством аутентификации при входе в систему и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять данными каталога и организацией в своей сети. Авторизованные пользователи сети могут
также используйте единый вход в сеть для доступа к ресурсам в любом месте сети.Администрирование на основе политик упрощает управление даже самой сложной сетью.

Дополнительные функции AD DS включают следующее:

  • Набор правил, схема, которая определяет классы объектов и атрибутов, содержащихся в каталоге, ограничения и ограничения для экземпляров этих объектов, а также формат их имен.
  • Глобальный каталог, содержащий информацию о каждом объекте в каталоге. Пользователи и администраторы могут использовать глобальный каталог для поиска информации каталога, независимо от того, какой домен в каталоге фактически содержит данные.
  • Механизм запроса и индексации, позволяющий публиковать и находить объекты и их свойства сетевыми пользователями или приложениями.
  • Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена с возможностью записи в домене участвуют в репликации и содержат полную копию всей информации каталога для своего домена. Любое изменение в каталоге
    данные реплицируются на все контроллеры домена в домене.
  • Роли хозяина операций (также известные как гибкие одиночные главные операции или

    ФСМО).Контроллеры домена, которые выполняют роли хозяина операций, предназначены для выполнения определенных задач, чтобы обеспечить согласованность и устранить конфликтующие записи в каталоге.

Управление идентификацией для UNIX

Identity Management для UNIX — это ролевая служба AD DS, которую можно установить только на контроллеры домена. Две технологии управления идентификацией для UNIX, сервер для NIS и синхронизация паролей, упрощают интеграцию компьютеров под управлением Microsoft.
Windows® в существующее предприятие UNIX.Администраторы AD DS могут использовать сервер для NIS для управления доменами сетевой информационной службы (NIS). Синхронизация паролей автоматически синхронизирует пароли между операционными системами Windows и UNIX.

Новые функции AD DS в Windows Server 2008 R2

Элемент Описание

Центр администрирования Active Directory

Центр администрирования

Active Directory предоставляет пользователям и сетевым администраторам улучшенные возможности управления данными и богатый графический интерфейс пользователя (GUI) для выполнения общих задач управления объектами Active Directory.Основано на Windows PowerShell ™
Благодаря технологии Active Directory Administrative Center пользователи и сетевые администраторы могут управлять объектами службы каталогов как с помощью навигации, основанной на данных, так и с помощью навигации, ориентированной на задачи.

Модуль

Active Directory для Windows PowerShell

Модуль Active Directory для Windows PowerShell — это интерфейс командной строки, который администраторы могут использовать для настройки и диагностики всех экземпляров доменных служб Active Directory (AD DS) и служб Active Directory облегченного доступа к каталогам (AD LDS) в
их окружение.

Эта функция включает набор командлетов Windows PowerShell и поставщика. Поставщик предоставляет доступ к базе данных Active Directory через систему иерархической навигации, которая очень похожа на файловую систему. Как и в случае с дисками в файловой системе (C :, D :), вы
может подключать диски Windows PowerShell к доменам Active Directory и экземплярам AD LDS, а также к моментальным снимкам Active Directory.

Корзина Active Directory

Корзина

Active Directory сводит к минимуму время простоя службы каталогов, улучшая возможность сохранения и восстановления случайно удаленных объектов Active Directory без необходимости восстановления данных Active Directory из резервных копий, перезапуска AD DS или перезапуска домена
контроллеры.Когда корзина Active Directory включена, все атрибуты удаленных объектов со значениями ссылок и без значений ссылок сохраняются, а объекты полностью восстанавливаются до того же согласованного логического состояния, в котором они находились сразу.
перед удалением. Например, восстановленные учетные записи пользователей автоматически восстанавливают все членство в группах и соответствующие права доступа, которые у них были внутри и между доменами непосредственно перед удалением. Корзина Active Directory работает как для AD DS, так и для
Среды AD LDS.

Корзина Active Directory требует Windows Server 2008 R2
функциональный уровень леса, и по умолчанию он отключен. Чтобы включить его, вы можете использовать Ldp.exe или Windows PowerShell.
Enable-ADOptionalFeature командлет.

Веб-службы Active Directory (ADWS)

ADWS — это служба Windows, которая предоставляет интерфейс веб-службы для экземпляров службы каталогов AD DS и AD LDS, а также для моментальных снимков Active Directory.
которые работают на том же сервере Windows Server 2008 R2, что и ADWS.ADWS устанавливается автоматически при добавлении ролей сервера AD DS или AD LDS на сервер Windows Server 2008 R2.

Обеспечение механизма аутентификации

Authentication Mechanism Assurance предоставляет информацию о типе метода входа в систему (смарт-карта или имя пользователя / пароль), который используется для аутентификации пользователей домена внутри Kerberos каждого пользователя.
токен. Когда эта функция включена в сетевой среде, в которой развернута инфраструктура управления федеративной идентификацией, например, службы федерации Active Directory (AD FS), информация в токене может быть извлечена всякий раз, когда пользователь пытается
для доступа к любому приложению с поддержкой утверждений, которое было разработано для определения авторизации на основе метода входа пользователя.

Authentication Mechanism Assurance требует Windows Server 2008 R2
функциональный уровень домена.

Подключение к автономному домену

Автономное присоединение к домену — это новый процесс, который компьютеры под управлением Windows® 7 или Windows Server 2008 R2 могут использовать для присоединения к домену. Процесс автономного присоединения к домену может завершить операцию присоединения к домену без подключения к сети.


Установка роли сервера AD DS

После завершения установки операционной системы вы можете использовать Задачи начальной настройки или Диспетчер серверов для установки ролей сервера.Чтобы установить роль сервера AD DS, щелкните
Добавьте роли , чтобы запустить мастер добавления ролей, затем щелкните
Доменные службы Active Directory
. Следуйте инструкциям мастера добавления ролей, чтобы установить файлы для роли сервера AD DS. После завершения работы мастера добавления ролей щелкните ссылку, чтобы запустить мастер установки доменных служб Active Directory.

Следуйте инструкциям мастера установки доменных служб Active Directory, чтобы завершить установку и настройку контроллера домена.На большинстве страниц мастера есть ссылка «Справка» для получения дополнительной информации о параметрах, которые можно настроить.

Для автоматизации установки контроллера домена можно использовать файл ответов или указать параметры автоматической установки в командной строке. Дополнительные сведения об установке AD DS см. В пошаговом руководстве по установке и удалению AD DS (http://go.microsoft.com/fwlink/?LinkId=110897).


Управление ролью сервера AD DS

Вы можете управлять ролями сервера с помощью оснасток Microsoft Management Console (MMC).Для управления контроллером домена (то есть сервером
, на котором запущены AD DS), щелкните Пуск , щелкните Панель управления , щелкните
Администрирование , а затем дважды щелкните соответствующую оснастку:

  • Для управления объектами Active Directory с помощью новейшего инструмента графического интерфейса пользователя с улучшенными возможностями просмотра и управления
    Данные Active Directory, щелкните Центр администрирования Active Directory .
  • Чтобы управлять объектами Active Directory с помощью предопределенного набора командлетов Windows PowerShell и поставщика, щелкните
    Модуль Active Directory для Windows PowerShell .
  • Для управления учетными записями пользователей и компьютеров щелкните Пользователи и компьютеры Active Directory (dsa.msc).
  • Для управления доверительными отношениями Active Directory, функциональными уровнями и ролями хозяина операций на уровне леса щелкните
    Домены и доверие Active Directory (domain.msc).
  • Для управления сайтами Active Directory и ссылками на сайты щелкните
    Сайты и службы Active Directory
    (dssite.msc).

В качестве альтернативы вы можете дважды щелкнуть соответствующую оснастку на
Страница
доменных служб Active Directory в диспетчере сервера.


Безопасность

AD DS играет важную роль в будущем сетей Windows. Администраторы должны иметь возможность защитить свой каталог от злоумышленников и пользователей, при необходимости делегируя задачи другим администраторам. Все это возможно с помощью безопасности AD DS.
модель, которая связывает список управления доступом (ACL) с каждым контейнером, объектом и атрибутом объекта в каталоге. На следующем рисунке показано
шаг от мастера делегирования управления, полезной утилиты для назначения разрешений объектам AD DS.

Мастер делегирования управления упрощает назначение разрешений объектам.

Этот высокий уровень контроля позволяет администратору предоставлять отдельным пользователям и группам различные уровни разрешений для объектов и их свойств. Администраторы могут даже добавлять атрибуты к объектам и скрывать эти атрибуты от определенных групп пользователей.
Например, администратор может настроить списки ACL таким образом, чтобы только менеджеры могли просматривать номера домашних телефонов других пользователей.Неуправляющие даже не знали бы, что атрибут существует.

Новым для Windows Server является делегированное администрирование . Это позволяет администраторам назначать административные задачи другим пользователям, не предоставляя этим пользователям больше полномочий, чем необходимо. Делегированное администрирование может быть назначено на определенные
объекты или смежные поддеревья каталога. Это гораздо более эффективный метод предоставления власти над сетями; вместо того, чтобы предоставлять кому-либо всемогущие права администратора домена, ему или ей могут быть предоставлены разрешения только для этих компьютеров
и пользователи в определенном поддереве.AD DS поддерживает наследование , поэтому любые новые объекты наследуют ACL своего контейнера.

Постарайтесь забыть то, что вы узнали о доверии доменов Windows NT. Срок
трасты
по-прежнему используются, но у трастов совсем другие функции. Нет различия между односторонним и двусторонним доверием, потому что все отношения доверия AD DS являются двунаправленными. Далее, все трасты транзитивны. Итак, если домен A доверяет домену B, а домен B
доверяет домену C, то между доменом A и доменом C устанавливается автоматическое неявное доверие.Эта новая функция показана на следующем рисунке.

Доверительные отношения Windows Server являются двунаправленными и транзитивными.

Еще одна функция безопасности AD DS — это аудит. Так же, как вы можете проводить аудит разделов NTFS, можно проверять объекты и контейнеры в AD DS. Это полезный способ определить, кто пытается получить доступ к объектам, и успешны ли они.


Использование DNS (системы доменных имен)

Система доменных имен

, или DNS, необходима любой организации, подключенной к Интернету.DNS обеспечивает разрешение имен между общими именами, такими как mspress.microsoft.com, и необработанными IP-адресами, которые компоненты сетевого уровня используют для связи. AD DS делает обширные
использует технологию DNS и полагается на DNS для обнаружения объектов в AD DS. Это существенное изменение по сравнению с предыдущими операционными системами Windows, требующими NetBIOS.
имена должны быть преобразованы в IP-адреса и полагаться на WINS
или другой метод разрешения имен NetBIOS.

AD DS лучше всего работает при использовании с DNS-серверами на базе Windows Server.Microsoft упростила для администраторов переход на DNS-серверы на базе Windows Server, предоставив мастеров миграции, которые проводят администратора через весь процесс. Другие DNS-серверы
можно использовать, но администраторам потребуется больше времени на управление базами данных DNS. Если вы решите не использовать DNS-серверы на базе Windows Server, вам следует убедиться, что ваши DNS-серверы соответствуют новому протоколу динамического обновления DNS. Серверы AD DS полагаются на
динамическое обновление для обновления записей указателей, и клиенты полагаются на эти записи для поиска контроллеров домена.Если динамическое обновление не поддерживается, вам придется обновить базы вручную.

Примечание. Протокол динамического обновления DNS определен в RFC 2136.

Домены Windows и Интернет-домены теперь полностью совместимы. Имя домена, такое как mspress.microsoft.com, будет определять контроллеры домена AD DS, отвечающие за домен, поэтому любой клиент с доступом к DNS может найти контроллер домена. Клиенты AD DS
может использовать разрешение DNS для поиска любого количества служб, поскольку серверы AD DS публикуют список адресов в DNS с использованием новых функций динамического обновления.Эти адреса идентифицируют как домен, так и предоставляемую услугу и публикуются через Сервис.
Записи о ресурсах (SRV RR). Записи SRV RR имеют следующий формат:

service.protocol.domain

Серверы

AD DS предоставляют службу LDAP для определения местоположения объекта, а LDAP полагается на TCP в качестве основного протокола транспортного уровня. Следовательно,
клиент, ищущий сервер AD DS в домене mspress.microsoft.com, будет искать запись DNS для ldap.tcp.mspress.microsoft.com.


Глобальный каталог

AD DS предоставляет глобальный каталог (GC). Нет, это не означает, что вы можете найти какую-либо информацию на планете, но это все же
очень важно. AD DS предоставляет единый источник для поиска любого объекта в сети организации.

Глобальный каталог — это служба в Windows Server, которая позволяет пользователям находить любые объекты, к которым им предоставлен доступ. Эта функциональность намного превосходит возможности приложения «Найти компьютер», включенного в предыдущие версии Windows, поскольку пользователи
может искать любой объект в AD DS: серверы, принтеры, пользователей и приложения.Например, на следующем рисунке показано, как пользователь может найти все цветные принтеры в своем здании, которые могут печатать двусторонние документы.

Глобальный каталог помогает пользователям находить сетевые ресурсы.

Эта функция особенно важна из-за сложности имен LDAP. В старых версиях Windows использовались 15-значные имена компьютеров NetBIOS, которые пользователи часто могли запомнить. Мало кто сможет вспомнить имена LDAP, например:

 / O = Интернет / DC = COM / DC = Microsoft
/ DC = MSPress / CN = Компьютеры / CN = Server1.

Поскольку пользователи могут легко искать объекты, запоминание имен гораздо менее важно.

GC — это индекс, хранящийся на серверах AD DS. Он содержит имена всех объектов на сервере AD DS, независимо от того, как сервер был разделен. GC также содержит несколько доступных для поиска атрибутов для каждого объекта. Например, GC будет хранить
отличительные имена, имена и фамилии всех пользователей — что позволяет кому-то искать любого по имени Тони и находить отличительное имя пользователя.Глобальный каталог — это подмножество AD DS, в котором хранятся только те атрибуты, которые пользователи обычно ищут.
на. Полезные значения по умолчанию предоставляются Microsoft, и администраторы могут указать другие атрибуты для поиска с помощью схемы AD DS, описанной далее в этой главе.

Не все индексы созданы равными!

Если вы выполняли какое-либо администрирование базы данных, вы уже знаете, что некоторые типы информации более полезно индексировать, чем другие типы. Естественно, вам следует проиндексировать атрибуты, поиск которых будет выполняться часто, но есть и другие факторы.Индексы
занимают место, поэтому индексировать все неэффективно. Индексы также замедляют обновления и вставки — если индексированный атрибут изменяется, индекс также должен быть изменен. Индексирование работает лучше, когда хранимые данные варьируются от пользователя к пользователю. Следовательно,
никогда не индексируйте истинные или ложные атрибуты или любой атрибут с менее чем пятью возможными значениями. Имена — отличный атрибут для индексации, поскольку они почти уникальны для каждого пользователя. Наконец, не индексируйте атрибуты, которые обычно не заполняются.Если мало пользователей войдут
значение для их второго имени, индексация этого атрибута является пустой тратой.

При создании новых объектов в AD DS им присваивается уникальный номер, называемый GUID (глобальный уникальный идентификатор). GUID полезен, потому что
он остается неизменным для любого данного объекта, независимо от того, куда он перемещается. GUID — это 128-битный идентификатор, который не имеет особого значения для пользователей, но приложения, которые ссылаются на объекты в AD DS, могут записывать идентификаторы GUID для объектов и использовать глобальные
каталог, чтобы найти их даже после того, как они переехали.


Реплика

Администраторы, внедряющие AD DS, быстро обнаружат, что их сеть сильно зависит от ее служб. Это означает, что AD DS должны быть доступны на нескольких серверах, чтобы в случае сбоя одного сервера клиенты могли связаться с сервером с дублирующимися
услуги и информация. В отличие от баз данных домена Windows NT, используемых в предыдущих версиях Windows NT, обновления базы данных можно отправлять по адресу
любые серверов AD DS.Хотя это усложняет процесс репликации, это исключает возможность того, что отказ одного контроллера домена остановит обновление баз данных. Это также снижает высокую нагрузку на Windows NT 4.0.
контроллеры домена.

AD DS включает компонент репликации, который упрощает эту задачу для администраторов. Простого добавления контроллеров домена в AD DS достаточно, чтобы начать процесс репликации.

Одна из самых сложных частей обеспечения правильной работы резервных серверов — это репликация информации и обеспечение того, чтобы на всех серверах было самое актуальное содержимое.AD DS использует
multimaster replication, — еще один способ заявить, что обновления могут происходить на любом сервере AD DS. Каждый сервер отслеживает, какие обновления он получил с каких серверов, и может разумно запрашивать только необходимые обновления в случае сбоя.

Как работает репликация AD DS

Каждому обновлению присваивается собственный 64-битный уникальный порядковый номер (USN) из счетчика, который увеличивается при каждом изменении. Эти обновления
зависят от системы, поэтому каждый сервер AD DS поддерживает отдельный счетчик.

Когда сервер реплицирует обновление на другие контроллеры домена AD DS, он отправляет USN вместе с изменением. Каждый сервер поддерживает внутренний список партнеров репликации и полученный от них номер USN. Сервер, получающий запросы на обновление
только те изменения, у которых USN выше, чем было получено ранее. Этот метод имеет дополнительное преимущество, заключающееся в том, что обновления не распространяются бесконечно между несколькими контроллерами домена AD DS.

Одна проблема, присущая любой схеме репликации с несколькими мастерами, состоит в том, что обновления одного объекта могут происходить в нескольких местах одновременно.Например, если администратор в Бостоне меняет имя пользователя с «Курт» на «Курт», а администратор в Чикаго
одновременно меняет имя того же пользователя с «Курт» на «Кирк», возникает конфликт репликации. Когда происходит столкновение, необходимо решать две проблемы: обнаружение столкновения и разрешение столкновения.

AD DS хранит номеров версий свойств , что позволяет обнаруживать конфликты репликации. Эти числа относятся к каждому свойству каждого объекта в AD DS и обновляются каждый раз при изменении свойства.Эти числа распространяются через AD DS.
вместе с изменением, поэтому сервер, который получает два разных обновления одного и того же свойства с одним и тем же номером версии свойства, может сделать вывод, что произошла коллизия репликации.

Контроллеры домена

AD DS разрешают конфликты, применяя обновление с более поздней меткой времени. Отметка времени создается сервером, который инициировал изменение, поэтому очень важно синхронизировать системное время между серверами.

Примечание: Используйте встроенную службу распределенной синхронизации времени, чтобы все серверы работали вместе!

Разбиение на разделы

Большие сети могут содержать сотни тысяч объектов.Windows NT требовала нескольких доменов, чтобы можно было управлять этим множеством объектов. Администраторы часто разделяли пользователей и ресурсы на отдельные домены и создавали доверительные отношения между доменами.
Структура баз данных просто не позволяла им разрастаться до сотен тысяч объектов. К счастью, эти ограничения по размеру менее важны для доменов AD DS. Однако поддержка очень большого AD DS может стать невероятным бременем для любого
контроллер домена.

Active Directory могут быть разделены, чтобы уменьшить эту нагрузку.Разделение позволяет различным контроллерам домена управлять разными разделами базы данных, снижая нагрузку на любой отдельный сервер. Клиенты могут использовать ресурсы, расположенные в разных AD DS.
перегородки прозрачно. Таким образом, администраторы могут управлять огромными доменами AD DS, не требуя, чтобы контроллеры домена обрабатывали всю базу данных.


Объекты

Многих изначально смущает связь между объектами.
классы
атрибуты и сами объекты.Объекты создаются на основе класса объекта. Атрибуты описывают класс объекта. Когда объект
создается, он наследует все атрибуты своего объектного класса. Вот где возникают сложности:
классов объектов и атрибутов также являются объектами в AD DS. К счастью, большинство пользовательских интерфейсов скрывают этот факт.

Объект может быть ссылкой на что-то конкретное или самой полезной информацией. Например, каждый бит информации об учетной записи пользователя хранится в AD DS.Однако в AD CS сохраняется только ссылка на дисковый том. В то время как
ссылка сама по себе бесполезна, она используется для поиска тома на файловом сервере. При создании новых классов объектов тщательно продумайте, будет ли объект хранить ссылку на что-то внешнее или вся необходимая информация будет содержаться.
в атрибутах объекта. Хотя AD DS чрезвычайно удобен, его не следует использовать для хранения больших объемов информации, постоянно меняющейся или редко используемой информации.

Каждый раз, когда вы добавляете пользователя или компьютер в AD DS, вы создаете объект. Создание объекта часто называют
Публикация , , потому что он запускает процесс репликации новой информации на всех контроллерах домена AD DS в домене.


Схема: атрибуты и классы объектов

Схема — это набор атрибутов, используемых для описания определенного класса объектов в AD DS. Необходимо отслеживать различные типы информации.
разные классы объектов, и поэтому схема так важна.Например, классу объектов Users нужны атрибуты для имени, фамилии, номера телефона, адреса электронной почты и почтового адреса. Класс объекта «Принтер» должен иметь много разных атрибутов — пользователей.
захочет узнать, насколько быстр принтер и может ли он выполнять двустороннюю или цветную печать. Эти атрибуты можно просматривать и редактировать с помощью оснастки MMC схемы AD DS, как показано на следующем рисунке.

Опытные программисты и системные администраторы могут управлять схемой AD DS, но оснастка схемы AD DS не устанавливается по умолчанию.Кроме того, файл Schmmgmt.dll ( regsvr32 schmmgmt.dll ) должен быть зарегистрирован из

Командная строка с повышенными привилегиями перед установкой оснастки. Схема AD DS не имеет значка в меню «Пуск»; необходимо запустить интерфейс MMC и добавить оснастку с именем AD DS Schema.

Схема AD DS позволяет изменять классы и атрибуты.

По умолчанию классы объектов поставляются с логическим набором атрибутов, который соответствует потребностям большинства организаций.Однако многим организациям потребуется отслеживать дополнительную информацию о конкретных классах объектов. Например, если сотрудникам присваивается значок
number, полезно отслеживать эту информацию в классе объектов. Первым шагом является создание атрибута с именем BadgeID, как показано на следующем рисунке. Второй шаг — сделать новый атрибут необязательным для класса Users.

Атрибуты можно добавить с помощью оснастки «Схема AD DS».

Схема хранится в AD DS, как и другие объекты.Следовательно, схема наследует возможность автоматической репликации по всему домену. Он также пользуется преимуществами функций безопасности AD DS и позволяет администраторам делегировать полномочия.
по схеме для разных пользователей и групп. Изменяя списки ACL для объекта схемы, администратор может разрешить любому пользователю добавлять или изменять атрибуты для класса объекта. Пример на следующем рисунке показывает, что группа «Администраторы восточного побережья»
получил полный контроль над схемой.

Изменение схемы можно делегировать группам и пользователям.

У новых атрибутов есть несколько свойств, которые необходимо установить. Пользователь, создающий новый атрибут, должен определить имя для атрибута (например, идентификатор значка №), тип данных, которые будут храниться (например, строка или число), и пределы диапазона (например, длину строки).
Также необходимо предоставить уникальный идентификатор объекта (OID). Новые атрибуты можно индексировать, что добавляет атрибуты в глобальный каталог.Индексы должны быть созданы для атрибутов, по которым пользователи будут искать. В этом примере, если системе безопасности нужно найти пользователя
учетных записей по номеру Badge ID, этот атрибут должен быть проиндексирован. Для того чтобы поиск происходил по неиндексированному атрибуту, необходимо выполнить медленный и ресурсоемкий обход дерева каталогов.

Откуда берутся идентификаторы объектов?

Единственный способ гарантировать глобальную уникальность идентификаторов объектов — это иметь центральное агентство, которое назначает

OID.Это уже обычная практика в Интернете; InterNIC назначает доменные имена, а Internet Assigned Numbers Authority (IANA) назначает IP-подсети. Идентификаторы объектов присваиваются национальным органом регистрации (NRA). НРО варьируются от
страна в страну. В США услуги NRA предоставляет Американский национальный институт стандартов (ANSI). За скромную плату
ANSI может предоставить вашей организации корневой OID. Любые объекты, созданные вашей организацией, будут иметь этот корневой OID в качестве префикса, что гарантирует глобальную уникальность идентификаторов объектов.

Список НРО можно найти на веб-сайте Международной организации по стандартизации по адресу
http://www.iso.ch.

Схема кэшируется контроллерами домена AD DS из соображений производительности. После изменения схемы обновление кеша займет до пяти минут. Итак, подождите несколько минут, прежде чем пытаться создавать объекты на основе ваших новых классов объектов и
атрибуты. Если необходимо немедленно перезагрузить кэш, добавьте атрибут schemaUpdateNow к корневому объекту (объекту без отличительного имени) и установите значение 1.

Расширение схемы AD DS — мощная возможность. Однако большинству администраторов никогда не потребуется использовать что-либо, кроме классов и атрибутов, которые Microsoft предоставляет по умолчанию.


ADSI (интерфейс службы Active Directory)

ADSI (интерфейс службы Active Directory) позволяет приложениям взаимодействовать с любой службой каталогов без необходимости знать внутреннюю
детали основных протоколов. Администраторы могут писать программы и сценарии, которые используют ADSI для чтения или записи в устаревшую Windows NT 4.0, каталоги NetWare NDS, каталоги связывания NetWare 3 и каталоги LDAP, такие как AD DS. Разработчики могут
даже создавать приложения, которые используют каталоги на сайте заказчика, не зная заранее, какой тип каталога используется.

Например, следующий код Microsoft Visual Basic использует ADSI для отображения списка пользователей в окне отладки:

Set ou = GetObject («ldap: // dcserver / OU = Sales, DC = ArcadiaBay, DC = COM»)
Для каждого объекта In ou
Отлаживать.Распечатать obj.Name
Следующие

Как видите, составить список пользователей намного проще, чем в предыдущих операционных системах Windows. ADSI использует модель компонентных объектов (COM),
так что почти любая среда разработки Windows может сразу использовать интерфейс. Разработчикам будет интересно узнать, что они могут получить доступ к Active Directory через LDAP C API.
и через
MAPI, хотя предпочтительным интерфейсом является ADSI.

Примечание. API LDAP C определен в RFC 1823.


Вики-страницы Active Directory

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *