Ввод в домен в windows 7: Как ввести компьютер в домен? На примере компьютера под управлением Windows 7
Присоединение Windows 7 к домену
Ввод компьютера в домен позволяет использовать все преимущества домена, такие как централизированное управление, групповые политики и многое, многое другое.
Предварительные требования
Перед вводом компьютера под управлением Windows 7 в домен убедитесь что следующие предварительные требования соблюдены:
Используется Windows 7 Professional, Ultimate или Enterprise — только эти редакции Windows 7 могут быть подключены к домену.
У вас есть сетевая карта — собсвенно без комментариев, думаю вы не забыли об этом
Вы подключены к локальной сети— Убедитесь что вы подключены к локальной сети. Хотя Windows 7 может быть присоединена к домену Windows Server 2008 R2 в оффлайн режca, это тема для отдельной статьи.
Вы имеете правильный IP адрес — Ещё раз убедитесь что вы подключены к сети и получили правильный IP адрес. Адрес может быть настроен вручную, получен от DHCP сервера или может быть получен APIPA address (который начинается с 169.254.X.Y). Если вами получен APIPA адрес, вы гарантированно получите потенциальные проблемы, так как APIPA и AD не работают совместно.
Вам доступны котроллеры домена — или как минимум один из них. Вы должны проверить связь с контроллером домена, например пропинговав его, хотя успешный пинг не гарантирует что контроллер домена полностью доступен.
Вы должны иметь правильно настроенный DNS сервер — Без правильно настроенного DNS сервера вы гарантированно получите проблемы при вводе в домен, во время работы и прочее.
Вам доступны DNS сервера — Проверьте ваше подключение к DNS серверам с помощью программы PING и выполните запрос NSLOOKUP.
Проверьте свои права на локальной системе — Для успешного ввода в домен у вас должны быть права локального администратора компьютера.
Знайте ваше доменное имя, имя администратора и пароль
Существует два способа ввода компьютера в домен. В данной статье мы рассмотрим оба способа
Метод #1 — Традиционный способ
1. Откройте свойства системы, нажав кнопку Start, затем правой кнопкой мыши на ярлыке «Computer», и нажмите «Properties».
2. В разделе «Computer name, domain, and workgroup settings» нажмите «Change settings».
3. Перейдите в вкладку Computer Name и нажмите «Change».
4. В разделе Member of кликните Domain.
5. Введите имя домена, к которому вы хотите подключиться и нажмите OK.
Вам будет предложено ввести имя пользователя домена и пароль.
После успешного ввода компьютера в домен вам будет предложено перегрузиться. Для завершения ввода сделайте это.
Метод #2 — Используем NETDOM
С помощью NETDOM мы можем выполнить ввод компьютера в домен из командной строки с помощью всего одной команды.
NETDOM в Windows 7 включен в операционную систему, в отличие от Windows 2000/XP/2003 где необходимо было устанавливать Support Tools.
Откройте командную строку от имени администратора :
и введите следующую команду:
Замечание: Замените DOMAIN.COM и DOMAIN на ваше имя домена и естественно укажите ваше доменные логин и пароль. Обратите внимание также на дополнительную «d» в «user» и «password», это НЕ опечатка.
netdom join %computername% /domain:DOMAIN.COM /userd:DOMAIN\administrator /passwordd<img src="/uploads/smiles/raspberry.gif" alt="raspberry">@ssw0rd
Для заверешения процедуры перегрузите компьютер.
Полезные ссылки:
Если вы как и я всегда внимательно отслеживаете новости hi-tech то советую подписаться на отличный новостной сайт Informua.net. Только самые интересные новости высоких технологий и многое другое.
Еще записи по теме
Как включить ПК с Windows 7 в домен
Включение ПК в домен позволит вам наслаждаться такими вкусностями домена, как масштабируемость, централизованное управление, групповые политики, настройки безопасности и многое другое.
Прежде чем присоединить к домену вашу машину с Windows 7, убедитесь что выполнены следующие условия:
Вы используете Windows 7 Professional, Ultimate или Enterprise — только эти дистрибутивы Windows 7 можно включить в домен. Windows 7 Home нельзя, даже не пытайтесь.
У вас есть сетевая карта (NIC) – подойдет беспроводная карточка
Вы физически подключены к локальной сети, из которой доступен контроллер домена. Обратите внимание, что Windows 7 можно включить в домен без сетевого соединения с последним (эта функция появилась в домене на Windows Server 2008 R2), но это тема отдельной статьи.
У вас есть правильный IP адрес – для сети, к которой вы подключены. Вы можете настроить его вручную или получить с сервера DHCP.
Вы «видите» по сети контроллер домена.
У вас правильно настроен DNS-сервер — без правильной настройке DNS, ваш компьютер невозможно ввести в домен.
У вас есть права локально администратора — простой пользователь не сможет этого сделать.
Вы должны знать имя домена, и иметь активную пользовательскую/администраторскую учетную запись в домене. По-умолчанию любой пользователь домена может добавить 10 машин в домен. Но этот параметр может быть были изменены администратором домена.
Существует 3 варианта включения машины с 7 в домен: с помощью графического интерфейса (My Computer-> Properties->Change Settings->вкладка Computer Name), с помощью утилиты командной строки NETDOM, с помощью команды Power Shell (add-computer ). На первом не буду останавливаться подробной, это все и так прекрасно знают.
С помощью же утилиты NETDOM можно решить задачу подключения к домену из командной строки. Но по-умолчанию эта утилита не работает! Как заставить работать netdom в Windows 7?
Откройте окно командной строки с правами администратора и введите следующую строку:
netdom join %computername% /domain:winitpro.ru /userd:DOMAIN\administrator /passwordd:P@ssw0rd
Примечание: Замените winitpro.ru на ваше имя домена, и введите верные имя и пароль пользователя. домен с вашим правильное имя домена, и, конечно, ввести соответствующие полномочия пользователя. Также обратите внимание на дополнительную букву “d” в параметрах /userd и /passwordd, это не опечатка.
Перезагрузите компьютер. Вот и все, теперь вы в домене!
Также познакомьтесь со статьей: как запретить выход из домена, а также функцию offline domain join в Windows Server.
Присоединение компьютера к домену | Microsoft Docs
-
- Чтение занимает 2 мин
В этой статье
Для ( работы службы федерации Active Directory (AD FS) AD FS ) каждый компьютер, который работает как сервер федерации, должен быть присоединен к домену.For Active Directory Federation Services (AD FS) to function, each computer that functions as a federation server must be joined to a domain. прокси-серверы федерации могут быть присоединены к домену, но это не является обязательным.federation server proxies may be joined to a domain, but this is not a requirement.
Не нужно присоединять веб-сервер к домену, если на веб-сервере размещены — только приложения с поддержкой утверждений.You do not have to join a Web server to a domain if the Web server is hosting claims-aware applications only.
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере.Membership in Administrators, or equivalent, on the local computer is the minimum required to complete this procedure. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной среде и группах домена по умолчанию.Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups.
Присоединение компьютера к доменуTo join a computer to a domain
На начальном экране введите Панель управленияи нажмите клавишу ВВОД.On the Start screen, type Control Panel, and then press ENTER.
Перейдите к разделу система и безопасность, а затем щелкните система.Navigate to System and Security, and then click System.
В разделе Имя компьютера, имя домена и параметры рабочей группы нажмите кнопку Изменить параметры.Under Computer name, domain, and workgroup settings, click Change settings.
На вкладке Имя компьютера нажмите кнопку Изменить.On the Computer Name tab, click Change.
В разделе член группывыберите домен, введите имя домена, к которому требуется присоединить компьютер, и нажмите кнопку ОК.Under Member of, click Domain, type the name of the domain that you wish this computer to join, and then click OK.
Нажмите кнопку ОК и перезагрузите компьютер.Click OK, and then restart the computer.
Дополнительная справкаAdditional references
Контрольный список. Настройка сервера федерацииChecklist: Setting Up a Federation Server
Контрольный список. Настройка прокси-сервера федерацииChecklist: Setting Up a Federation Server Proxy
Ввод CentOS 7 в домен Active Directory и авторизация по SSH доменных пользователей
Мне понадобилось настроить авторизацию доменный учетных записей Active Directory по ssh на linux сервер. В моем случае это будет система CentOS 7. Данная возможность будет очень удобна для организаций с внедренной доменной структурой Windows. С помощью групп доступа в AD вы сможете централизованно управлять доступом к linux серверам.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужно пройти .
Подготовка сервера
Если у вас еще нет готового сервера, то можете воспользоваться моими материалами на эту тему — установка и настройка centos 7. Так же рекомендую настроить iptables для корректной работы сервера с доменом windows. Далее я не буду каcаться этого вопроса, мы просто отключим фаерволл, потому что его настройка не тема этой статьи.
xs.local | название домена |
10.1.3.4 | ip адрес контроллера домена |
xs-winsrv.xs.local | полное имя контроллера домена |
xs-centos7-test | имя сервера centos, который вводим в домен |
administrator | учетная запись администратора домена |
gr_linux_adm | группа в AD, для которой разрешено подключение к серверам по ssh |
lin-user | учетная запись в AD для проверки подключений по ssh |
Выключаем firewalld:
# systemctl stop firewalld && systemctl disable firewalld
Перед дальнейшей настройкой, убедитесь, что с вашего сервера centos вы без проблем пингуете и резолвите контроллер домена по полному имени. Если есть какие-то проблемы, исправьте это либо указанием нужного dns сервера, либо правкой файла hosts.
Настроим синхронизацию времени с контроллером домена. Это важно, у вас должно быть одинаковое время с контроллером домена. Проверьте его и убедитесь, что стоят одинаковые часовые пояса.
Устанавливаем утилиту для синхронизации времени chrony:
# yum install chrony
Добавляем в конфиг /etc/chrony.conf адрес контроллера домена. И делаем его единственным сервером для синхронизации, остальные удаляем.
server xs-winsrv.xs.local iburst
Сохраняем конфиг, запускаем chrony и добавляем в автозагрузку.
# systemctl start chronyd && systemctl enable chronyd
Проверим, что с синхронизацией.
# cat /var/log/messages | grep chronyd Jul 12 17:58:38 xs-centos7-test chronyd[10620]: chronyd version 2.1.1 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +DEBUG +ASYNCDNS +IPV6 +SECHASH) Jul 12 17:58:38 xs-centos7-test chronyd[10620]: Frequency 0.000 +/- 1000000.000 ppm read from /var/lib/chrony/drift Jul 12 17:02:54 xs-centos7-test chronyd[10620]: Selected source 10.1.3.4 Jul 12 17:02:54 xs-centos7-test chronyd[10620]: System clock wrong by -3348.457170 seconds, adjustment started Jul 12 17:02:54 xs-centos7-test chronyd[10620]: System clock was stepped by -3348.457170 seconds
Все в порядке. Синхронизировали время с контроллером домена. По логу видно, что время на сервере убежало вперед на 56 минут, но мы это исправили.
Подключение CentOS 7 к домену
Устанавливаем софт, который нам понадобится, для корректного ввода centos в домен windows.
# yum install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
Вводим Centos 7 в домен:
# realm discover XS.LOCAL xs.local type: kerberos realm-name: XS.LOCAL domain-name: xs.local configured: no server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools
# realm join -U administrator XS.LOCAL Password for administrator:
Если не получили никакой ошибки, значит все прошло нормально. Можно зайти на контроллер домена и проверить, появился ли наш linux сервер в домене.
Изменим немного конфиг sssd для того, чтобы не нужно было вводить полное имя домена при логине, а только username.
# mcedit /etc/sssd/sssd.conf
use_fully_qualified_names = False
Разрешаем доменным пользователям создавать домашние директории:
# authconfig --enablemkhomedir --enablesssdauth --updateall
Запускаем службу sssd и добавляем в автозагрузку:
# systemctl enable sssd.service && systemctl restart sssd
Проверяем авторизацию по ssh, подключившись по любой доменной учетной записи.
Для пользователя будет создана домашняя директория /home/[email protected].
Ограничение доступа ssh по группам и пользователям домена
На текущий момент подключиться к серверу может любой пользователь домена. Исправим это и разрешим подключаться только пользователям из группы gr_linux_adm. Для этого правим конфиг /etc/sssd/sssd.conf, добавляя туда новые параметры.
# mcedit /etc/sssd/sssd.conf
access_provider = simple simple_allow_users = [email protected] simple_allow_groups = [email protected]
Обращаю внимание, что параметр access_provider у вас уже будет установлен в другое значение. Надо это изменить. Вы можете добавить разрешение как для конкретного пользователя, так и для целых групп. Сохраняйте конфиг и перезапускайте sssd.
# systemctl restart sssd
Теперь подключиться по ssh к серверу сможет только пользователь домена user55 и все члены группы gr_linux_adm.
Для разбора полетов и решения проблем нужно использовать лог файл — /var/log/secure. Вот пример успешного подключения:
Jul 12 18:10:44 xs-centos7-test sshd[4163]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.3.221 user=lin-user Jul 12 18:10:44 xs-centos7-test sshd[4163]: Accepted password for lin-user from 10.1.3.221 port 51063 ssh3 Jul 12 18:10:45 xs-centos7-test sshd[4163]: pam_unix(sshd:session): session opened for user lin-user by (uid=0)
А вот кусок лога подключения доменного пользователя, для которого доступ по ssh закрыт.
Jul 12 18:08:28 xs-centos7-test sshd[4059]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.3.221 user=vzap Jul 12 18:08:28 xs-centos7-test sshd[4059]: pam_sss(sshd:account): Access denied for user vzap: 6 (Permission denied) Jul 12 18:08:28 xs-centos7-test sshd[4059]: Failed password for vzap from 10.1.3.221 port 51057 ssh3 Jul 12 18:08:28 xs-centos7-test sshd[4059]: fatal: Access denied for user vzap by PAM account configuration [preauth]
Здесь видно, что идентификация пользователя прошла корректно, но доступ к серверу запрещен.
Ограничение доступа к sudo по доменным группам
Ограничение доступа к ssh по группам и пользователям настроили, теперь надо разрешить доменным учетным записям получать права суперпользователя в системе. Сейчас у них нет такой возможности.
[sudo] password for lin-user: lin-user is not in the sudoers file. This incident will be reported.
Создаем новый файл в директории /etc/sudoers.d.
# mcedit /etc/sudoers.d/xs
%[email protected] ALL=(ALL) ALL
Обращаю внимание, что имя данного файла не должно содержать точки. Я сначала не знал об этом и сделал файл с именем xs.local и долго не мог понять, почему не работает. Когда изменил имя файла, все заработало.
Выставляем минимальные права на файл:
# chmod 0440 /etc/sudoers.d/xs
Теперь вы можете зайти в систему доменной учетной записью из группы gr_linux_adm и получить полные права в системе.
Реализовать то же самое можно было через настройки sssd. В его конфиге можно было указать группы, которым разрешен доступ к sudo. Но в целом это не принципиально. Так, как сделал я, мне показалось проще. Не нужно использовать полные имена объектов в AD, в которых легко запутаться, особенно тем, кто не очень в этом ориентируется. Мне же понадобились только конечные имена групп. Более подробно об этом можно почитать в руководстве redhat. Ссылку приведу в конце.
Заключение
На этом все. Я рассмотрел наиболее типовую ситуацию, которая может быть полезной при использовании структуры AD совместно с linux серверами. При написании статьи использовал официальные руководства:
Почему-то из руководства по RHEL 7 раздел, посвещенный SSSD убрали, хотя в 5 и 6 есть. Может просто я не заметил, так как структура сильно поменялась. Люблю я CentOS в первую очередь за отличную документацию Redhat. Там есть подробное описание практически всего, с чем приходилось сталкиваться. Надо только не лениться в английском языке разбираться.
Онлайн курс по Linux
Если у вас есть желание освоить операционную систему Linux, не имея подходящего опыта, рекомендую познакомиться с онлайн-курсом Administrator Linux. Basic в OTUS. Курс для новичков, адаптирован для тех, кто только начинает изучение Linux. Обучение длится 4 месяца.
Что даст вам этот курс:
- Вы получите навыки администрирования Linux (структура Linux, основные команды, работа с файлами и ПО).
- Вы рассмотрите следующий стек технологий: Zabbix, Prometheus, TCP/IP, nginx, Apache, MySQL, Bash, Docker, Git, nosql, grfana, ELK.
- Умение настраивать веб-сервера, базы данных (mysql и nosql) и работа с сетью.
- Мониторинг и логирование на базе Zabbix, Prometheus, Grafana и ELK.
- Научитесь командной работе с помощью Git и Docker.
Смотрите подробнее программу по .
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.
Ввод компьютера в домен windows 7
Способ 1 — графический интерфейс
Открываем свойства компьютера. Для этого открываем проводник и кликаем правой кнопкой мыши по Компьютер и выбираем Свойства:
В открывшемся окне в разделе Имя компьютера, имя домена и параметры рабочей группы нажимаем Изменить параметры:
В следующем окне нажимаем Изменить и выставляем переключатель Является членом в положение домена и вводим имя домена:
Нажимаем OK. Система запросит логин и пароль учетной записи с правом на ввод компьютера в домен. Вводим логин и пароль, например администратора, и нажимаем OK. Windows выкинет несколько сообщений о присоединении компьютера к домену и запросит перезагрузку — соглашаемся.
Способ 2 — командная строка
Запускаем командную строку от имени администратора и вводим следующую команду:
> netdom join %computername% /domain:dmosk.local /userd:dmoskadmin /passwordd:pass
* данная команда выполняется в командной строке (cmd). Она добавить компьютер к домену dmosk.local под учетными данными admin с паролем pass.
После отработки команды необходимо перезагрузить компьютер.
Способ 3 — powershell
Запускаем powershell от имени администратора и вводим следующий командлет:
> Add-Computer -DomainName dmosk.local -Credential dmoskkdo
После нажатия Enter система запросит пароль для учетной записи. Вводим и дожидаемся окончания операции. После перезагружаем компьютер.
Администрируем и настраиваем Windows, Linux.
Ввод компьютера в домен позволяет использовать все преимущества домена, такие как централизированное управление, групповые политики и многое, многое другое.
Предварительные требования
Перед вводом компьютера под управлением Windows 7 в домен убедитесь что следующие предварительные требования соблюдены:
Используется Windows 7 Professional, Ultimate или Enterprise – только эти редакции Windows 7 могут быть подключены к домену.
У вас есть сетевая карта – собсвенно без комментариев, думаю вы не забыли об этом
Вы подключены к локальной сети– Убедитесь что вы подключены к локальной сети. Хотя Windows 7 может быть присоединена к домену Windows Server 2008 R2 в оффлайн режca, это тема для отдельной статьи.
Вы имеете правильный IP адрес – Ещё раз убедитесь что вы подключены к сети и получили правильный IP адрес. Адрес может быть настроен вручную, получен от DHCP сервера или может быть получен APIPA address (который начинается с 169.254.X.Y). Если вами получен APIPA адрес, вы гарантированно получите потенциальные проблемы, так как APIPA и AD не работают совместно.
Вам доступны котроллеры домена – или как минимум один из них. Вы должны проверить связь с контроллером домена, например пропинговав его, хотя успешный пинг не гарантирует что контроллер домена полностью доступен.
Вы должны иметь правильно настроенный DNS сервер – Без правильно настроенного DNS сервера вы гарантированно получите проблемы при вводе в домен, во время работы и прочее.
Вам доступны DNS сервера – Проверьте ваше подключение к DNS серверам с помощью программы PING и выполните запрос NSLOOKUP.
Проверьте свои права на локальной системе – Для успешного ввода в домен у вас должны быть права локального администратора компьютера.
Знайте ваше доменное имя, имя администратора и пароль
Существует два способа ввода компьютера в домен. В данной статье мы рассмотрим оба способа
Метод #1 – Традиционный способ
1. Откройте свойства системы, нажав кнопку Start, затем правой кнопкой мыши на ярлыке «Computer», и нажмите «Properties».
2. В разделе «Computer name, domain, and workgroup settings» нажмите «Change settings».
3. Перейдите в вкладку Computer Name и нажмите «Change».
4. В разделе Member of кликните Domain.
5. Введите имя домена, к которому вы хотите подключиться и нажмите OK.
Вам будет предложено ввести имя пользователя домена и пароль.
После успешного ввода компьютера в домен вам будет предложено перегрузиться. Для завершения ввода сделайте это.
Метод #2 – Используем NETDOM
С помощью NETDOM мы можем выполнить ввод компьютера в домен из командной строки с помощью всего одной команды.
NETDOM в Windows 7 включен в операционную систему, в отличие от Windows 2000/XP/2003 где необходимо было устанавливать Support Tools.
Откройте командную строку от имени администратора :
и введите следующую команду:
Замечание: Замените DOMAIN.COM и DOMAIN на ваше имя домена и естественно укажите ваше доменные логин и пароль. Обратите внимание также на дополнительную «d» в «user» и «password», это НЕ опечатка.
Для заверешения процедуры перегрузите компьютер.
Включение ПК в домен позволит вам наслаждаться такими вкусностями домена, как масштабируемость, централизованное управление, групповые политики, настройки безопасности и многое другое.
Прежде чем присоединить к домену вашу машину с Windows 7, убедитесь что выполнены следующие условия:
Вы используете Windows 7 Professional, Ultimate или Enterprise — только эти дистрибутивы Windows 7 можно включить в домен. Windows 7 Home нельзя, даже не пытайтесь.
У вас есть сетевая карта (NIC) – подойдет беспроводная карточка
Вы физически подключены к локальной сети, из которой доступен контроллер домена. Обратите внимание, что Windows 7 можно включить в домен без сетевого соединения с последним (эта функция появилась в домене на Windows Server 2008 R2), но это тема отдельной статьи.
У вас есть правильный IP адрес – для сети, к которой вы подключены. Вы можете настроить его вручную или получить с сервера DHCP.
Вы «видите» по сети контроллер домена.
У вас правильно настроен DNS-сервер — без правильной настройке DNS, ваш компьютер невозможно ввести в домен.
У вас есть права локально администратора — простой пользователь не сможет этого сделать.
Вы должны знать имя домена, и иметь активную пользовательскую/администраторскую учетную запись в домене. По-умолчанию любой пользователь домена может добавить 10 машин в домен. Но этот параметр может быть были изменены администратором домена.
Существует 3 варианта включения машины с 7 в домен: с помощью графического интерфейса (My Computer-> Properties->Change Settings->вкладка Computer Name), с помощью утилиты командной строки NETDOM, с помощью команды Power Shell (add-computer ). На первом не буду останавливаться подробной, это все и так прекрасно знают.
С помощью же утилиты NETDOM можно решить задачу подключения к домену из командной строки. Но по-умолчанию эта утилита не работает! Как заставить работать netdom в Windows 7?
Откройте окно командной строки с правами администратора и введите следующую строку:
Примечание: Замените winitpro.ru на ваше имя домена, и введите верные имя и пароль пользователя. домен с вашим правильное имя домена, и, конечно, ввести соответствующие полномочия пользователя. Также обратите внимание на дополнительную букву “d” в параметрах /userd и /passwordd, это не опечатка.
Перезагрузите компьютер. Вот и все, теперь вы в домене!
Также познакомьтесь со статьей: как запретить выход из домена, а также функцию offline domain join в Windows Server 2008.
Ввод компьютера в домен Windows
Введение
Зачастую возникает необходимость ввести Linux-машину в существующий домен Windows. Например, чтобы сделать файловый сервер с помощью Samba. Сделать это очень просто, для этого вам понадобятся клиент Kerberos, Samba и Winbind.
Перед установкой желательно обновиться:
sudo aptitude update sudo aptitude upgrade
Установить всё это добро можно командой:
sudo aptitude install krb5-user samba winbind
Также может понадобиться установить следующие библиотеки:
sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind
Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic.
Далее вам потребуется настроить все вышеперечисленные инструменты для работы с вашим доменом. Допустим, вы хотите войти в домен DOMAIN.COM, доменконтроллером которого является сервер dc.domain.com с IP адресом 192.168.0.1. Этот же сервер является и первичным DNS сервером домена. Кроме того допустим у вас есть второй доменконтроллер1), он же DNS — dc2.domain.com с IP 192.168.0.2. Ваш же компьютер будет называться smbsrv01.
Настройка DNS
Для начала необходимо изменить настройки DNS на вашей машине, прописав в качестве DNS сервера доменконтроллер2) и в качестве домена поиска — нужный домен.
Если у вас статический IP-адрес, то в Ubuntu Desktop это можно сделать через Network Manager, в Ubuntu Server необходимо изменить содержимое файла /etc/resolv.conf
на примерно такое:
domain domain.com search domain.com nameserver 192.168.0.1 nameserver 192.168.0.2
В современных дистрибутивах файл resolv.conf создается автоматически и править вручную его не нужно.
Для получение нужного результата нужно добавить необходимые изменения в файл: /etc/resolvconf/resolv.conf.d/head
Данные которые будут добавлены в него, будут автоматически вставлены в файл /etc/resolv.conf
Если IP-адрес динамический и присваивается DHCP сервером то после перезагрузки resolv.conf может формироваться «неправильный» resolv.conf’ , например присутствует только один nameserver 192.168.0.1 и не указаны domain и search. Нужно отредактировать /etc/dhcp/dhclient.conf
. Чтобы появились записи domain и search нужно убрать комментарий перед строкой supersede domain-name, и вписать свой домен:
supersede domain-name "domain.com";
Чтобы добавить еще один nameserver нужно убрать комментарий перед prepend domain-name-servers и указать ip сервера:
prepend domain-name-servers 192.168.0.2;
Для применения изменений остается перезапустить службу:
/etc/init.d/networking restart
Теперь убедитесь, что вы задали нужное имя компьютера в файле /etc/hostname
:
smbsrv01
Кроме того необходимо отредактировать файл /etc/hosts
так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
# Имена этого компьютера 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01
Сразу нужно проверить что нормально пингуется наш контроллер домена, по короткому и полному имени, чтобы в будушем не получать ошибки что контроллер домена не найден:
ping dc ping dc.domain.com
Не обязательно, но если вы что-то поменяете — перезагрузите компьютер для применения изменений.
Настройка синхронизации времени
Далее необходимо настроить синхронизацию времени с доменконтроллером. Если разница будет более 5 минут мы не сможем получить лист от Kerberos.
Для единовременной синхронизации можно воспользоваться командой:
sudo net time set dc
Если в сети существует сервер точного времени, то можно воспользоваться им или любым публичным:
ntpdate ntp.mobatime.ru
Автоматическая же синхронизация настраивается с помощью ntpd
, это демон будет периодически выполнять синхронизацию. Для начала его необходимо установить:
sudo aptitude install ntp
Теперь исправьте файл /etc/ntp.conf
, добавив в него информацию о вашем сервере времени:
# You do need to talk to an NTP server or two (or three). server dc.domain.com
После чего перезапустите демон ntpd
:
sudo /etc/init.d/ntp restart
Теперь пора настраивать непосредственно взаимодействие с доменом.
Настройка авторизации через Kerberos
Начнём с настройки авторизации в домене через протокол Kerberos. Вам потребуется изменить файл /etc/krb5.conf
. В общем случае он выглядит так:
[libdefaults] default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] DOMAIN.COM = { kdc = dc kdc = dc2 admin_server = dc default_domain = DOMAIN.COM } [domain_realm] .domain.com = DOMAIN.COM domain.com = DOMAIN.COM [login] krb4_convert = false krb4_get_tickets = false
Вам, конечно, нужно изменить domain.com
на ваш домен и dc
и dc2
на ваши доменконтроллеры. Кстати, возможно вам понадобится написать полные имена доменконтроллеров dc.domain.com
и dc2.domain.com
. Поскольку у меня прописан домен поиска в DNS, то мне это делать не нужно.
Обратите особое внимание на регистр написания имени домена — везде, где домен написан в верхнем регистре, его обязательно нужно писать именно в верхнем регистре. Иначе волшебным образом ничего может не заработать.
Это не все возможные опции настройки Kerberos, только основные. Однако их обычно достаточно.
Теперь настало время проверить, что мы можем авторизоваться в домене. Для этого выполните команду
kinit [email protected]
Вместо username естественно стоит вписать имя существующего пользователя домена.
Имя домена необходимо писать заглавными буквами!
Если вы не получили никаких ошибок — значит вы настроили всё верно и домен отдаёт вам билет Kerberos. Кстати, некоторые распространённые ошибки перечислены чуть ниже.
Убедиться в том, что билет получен, можно выполнив команду
klist
Удалить все билеты (они вам вообще говоря не нужны) можно командой
kdestroy
Итак, будем считать, что авторизацию вы настроили, пора настроить непосредственно вход в домен, об этом после списка распространённых ошибок kinit
.
Распространённые ошибки kinit
kinit(v5): Clock skew too great while getting initial credentials
Это значит, что у вашего компьютера не синхронизировано время с доменконтроллером (см. выше).
kinit(v5): Preauthentication failed while getting initial credentials
Вы ввели неверный пароль.
kinit(v5): KDC reply did not match expectations while getting initial credentials
Самая странная ошибка. Убедитесь, что имя realm в krb5.conf
, а так же домен в команде kinit
введены большими буквами:
DOMAIN.COM = { # ...
kinit [email protected]
kinit(v5): Client not found in Kerberos database while getting initial credentials
Указанного пользователя не существует в домене.
Настройка Samba и вход в домен
Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле /etc/samba/smb.conf
. На данном этапе вас должны интересовать только некоторые опции из секции [global]
. Ниже — пример части файла конфигурации Samba с комментариями по поводу значения важных параметров:
[global] # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без # последней секции после точки, а realm - полное имя домена workgroup = DOMAIN realm = DOMAIN.COM # Эти две опции отвечают как раз за авторизацию через AD security = ADS encrypt passwords = true # Просто важные dns proxy = no socket options = TCP_NODELAY # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе, # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде domain master = no local master = no preferred master = no os level = 0 domain logons = no # Отключить поддержку принтеров load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes
После того, как вы отредактируете smb.conf
выполните команду
testparm
Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём:
# testparm Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions
Как видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду:
net ads join -U username -D DOMAIN
И в случае успеха вы увидите что-то похожее на:
# net ads join -U username -D DOMAIN Enter username's password: Using short domain name -- DOMAIN Joined 'SMBSRV01' to realm 'domain.com'
Используемые параметры команды net
-U username%password
: Обязательный параметр, вместо username
необходимо подставить имя пользователя с правами администратора домена, и указать пароль.
-D DOMAIN
: DOMAIN
— собственно сам домен, домен можно и не указывать, но лучше всё же это всегда делать — хуже не будет.
-S win_domain_controller
: win_domain_controller
, можно не указывать, но бывают случаи когда автоматически сервер не находит контроллер домена.
createcomputer=«OU/OU/…»
: В AD часто используется OU (Organizational Unit), есть в корне домена OU = Office, в нем OU = Cabinet, чтобы сразу добавить в нужный можно указать так: sudo net ads join -U username createcomputer=«Office/Cabinet».
Если больше никаких сообщений нет — значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо.
Так же можно набрать команду:
net ads testjoin
Если все хорошо, можно увидеть:
#net ads testjoin Join is OK
Но иногда после сообщения о присоединении к домену выдаётся ошибка наподобие3):
DNS update failed!
Это не очень хорошо, и в этом случае рекомендуется ещё раз прочитать раздел про настройку DNS чуть выше и понять, что же вы сделали не так. После этого нужно удалить компьютер из домена и попытаться ввести его заново. Если вы твердо уверены, что всё настроили верно, а DNS всё равно не обновляется, то можно внести вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать. Конечно, если нет никаких других ошибок, и вы успешно вошли в домен. Однако лучше всё же разберитесь, почему DNS не обновляется автоматически. Это может быть связано не только с вашим компьютером, но и с некорректной настройкой AD.
Прежде чем выяснять, почему же не обновляется DNS, не забудьте перезагрузить компьютер после введения в домен! Вполне возможно, что это решит проблему.
Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Для этого установите smbclient
:
sudo aptitude install smbclient
Теперь можно просматривать ресурсы компьютеров домена. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером workstation
:
smbclient -k -L workstation
Вы должны увидеть список общих ресурсов на этом компьютере.
Настройка Winbind
Если вам необходимо как-либо работать с пользователями домена, например, настраивать SMB-шары с разграничением доступа, то вам понадобится кроме самой Samba ещё и Winbind — специальный демон, служащий для связи локальной системы управления пользователями и группами Linux с сервером Active Directory. Проще говоря Winbind нужен, если вы хотите видеть пользователей домена на своём компьютере с Ubuntu.
Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.
Для настройки Winbind используется всё тот же файл /etc/samba/smb.conf
. Добавьте в секцию [global]
следующие строки:
# Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind. # Диапазоны идентификаторов для виртуальных пользователей и групп. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Эти опции не стоит выключать. winbind enum groups = yes winbind enum users = yes # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп # будут использоваться с доменом, т.е. вместо username - DOMAIN\username. # Возможно именно это вам и нужно, однако обычно проще этот параметр включить. winbind use default domain = yes # Если вы хотите разрещить использовать командную строку для пользователей домена, то # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false template shell = /bin/bash # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку winbind refresh tickets = yes
Параметры :
idmap uid = 10000 — 40000
idmap gid = 10000 — 40000
в новых версиях Samba уже устарели и при проверке конфига самбы с помощью testparm
будет выдваться предупреждение:
WARNING: The «idmap uid» option is deprecated
WARNING: The «idmap gid» option is deprecated
Чтобы убрать предупреждения нужно заменить эти строки на новые:
idmap config * : range = 10000-20000
idmap config * : backend = tdb
Теперь перезапустите демон Winbind и Samba в следующем порядке:
sudo /etc/init.d/winbind stop sudo smbd restart sudo /etc/init.d/winbind start
Запускаем
sudo testparm
Смотрим есть ли ошибки или предупреждения, если появится:
«rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»
Без перезагрузки можно устранить так:
ulimit -n 16384
Для сохранения после перезагрузки отредактировать файл /etc/security/limits.conf
# Добавить в конец файла строки: * - nofile 16384 root - nofile 16384
После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой:
# wbinfo -t checking the trust secret for domain DCN via RPC calls succeeded
А так же, что Winbind увидел пользователей и группы из AD командами4):
wbinfo -u wbinfo -g
Эти две команды должны выдать список пользователей и групп из домена соответственно. Либо с префиксом DOMAIN\
, либо без него — в зависимости от того, какое значение вы указали параметру «winbind use default domain» в smb.conf
.
Итак, Winbind работает, однако в систему он ещё не интегрирован.
Добавление Winbind в качестве источника пользователей и групп
Для того, чтобы ваша Ubuntu прозрачно работала с пользователями домена, в частности, чтобы вы могли назначать пользователей домена владельцами папок и файлов, необходимо указать Ubuntu использовать Winbind как дополнительный источник информации о пользователях и группах.
Для этого измените две строчки в файле /etc/nsswitch.conf
:
passwd: compat group: compat
добавив к ним в конец winbind
:
passwd: compat winbind group: compat winbind
также рекомендую привести строку files в файле /etc/nsswitch.conf
к виду:
files: dns mdns4_minimal[NotFoud=return] mdns4
ubuntu server 14.04, файл /etc/nsswitch.conf
не содержал строку
«files: dns mdns4_minimal[NotFoud=return] mdns4»
вместо неё было:
«hosts: files mdns4_minimal [NOTFOUND=return] dns wins»
Которую я преобразовал в:
«hosts: dns mdns4_minimal[NotFoud=return] mdns4 files»
после чего всё заработало
Теперь проверьте, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив
getent passwd getent group
Первая команда должна вам вернуть всё содержимое вашего файла /etc/passwd
, то есть ваших локальных пользователей, плюс пользователей домена с ID из заданного вами в smb.conf
диапазона. Вторая должна сделать тоже самое для групп.
Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла.
Авторизация в Ubuntu через пользователей домена
Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.
Он-лайн авторизация
Для Ubuntu 10.04 и выше добавьте всего одну строку в файле /etc/pam.d/common-session
, т.к. PAM и так неплохо справляется с авторизацией:
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
Для Ubuntu 13.10 чтобы появилось поле ручного ввода логина необходимо в любой файл из папки /etc/lightdm/lightdm.conf/
снизу добавить строку:
greeter-show-manual-login=true
Для Ubuntu 9.10 и ниже придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 — он тоже работает):
Последовательность строк в файлах имеет значение!
/etc/pam.d/common-auth
auth required pam_env.so auth sufficient pam_unix.so likeauth nullok try_first_pass auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE auth required pam_deny.so
/etc/pam.d/common-account
account sufficient pam_winbind.so account required pam_unix.so
/etc/pam.d/common-session
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 session optional pam_ck_connector.so nox11 session required pam_limits.so session required pam_env.so session required pam_unix.so
/etc/pam.d/common-password
password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow password sufficient pam_winbind.so password required pam_deny.so
И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:
sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"
Что эквивалентно запуску для каждого уровня (в примере — 4) команды:
mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
В некоторых случаях winbind может иметь иной уровень запуска (например, S02winbind). Поэтому сначала проверьте имена файлов, вполнив команду «ls /etc/rc{2,3,4,5}.d/ | grep winbind» (без кавычек).
Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.
Офф-лайн авторизация
Часто возникает ситуация, когда домен-контроллер недоступен по различным причинам — профилактика, отключение света или вы принесли ноутбук домой и хотите поработать. В этом случае для Winbind можно настроить кэширование учетных записей пользователей домена. Для этого необходимо сделать следующее.
Добавьте в секцию [global]
файла /etc/samba/smb.conf
следующие строки:
[global] # Возможность оффлайн-авторизации при недоступности доменконтроллера winbind offline logon = yes # Период кэширования учетных записей, по умолчанию равен 300 секунд winbind cache time = 300 # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc, # можно указать и ip, но это является плохим тоном password server = dc
Обычно этого достаточно. Если же возникают ошибки, то необходимо создать файл /etc/security/pam_winbind.conf
со следующим содержанием5):
Внимание! При использовании советов ниже может возникать совершенно случайная ошибка «Сбой аутентификации»! Поэтому все что Вы делаете, Вы делаете на свой страх и риск!
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # [global] # turn on debugging debug = no # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes # authenticate using kerberos krb5_auth = yes # when using kerberos, request a "FILE" krb5 credential cache type # (leave empty to just do krb5 authentication but not have a ticket # afterwards) krb5_ccache_type = FILE # make successful authentication dependend on membership of one SID # (can also take a name) ;require_membership_of = silent = yes
Файл /etc/pam.d/gnome-screensaver
в таком случае принимает вид:
auth sufficient pam_unix.so nullok_secure auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
А также изменяется файл /etc/pam.d/common-auth
:
auth optional pam_group.so auth sufficient pam_unix.so nullok_secure use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
Ссылки
Вход на доменный компьютер под локальной учетной записью
В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.
Немного предыстории. После того, как компьютер добавлен в домен Active Directory, вы можете войти в него под учетной записью домена или локального пользователя (если конечно локальная учетная запись не отключена и вход под ней не заблокирован через групповые политики). В Windows XP и Windows Server 2003 на экране входа в систему имелся раскрывающийся список «Вход в систему», в котором можно было выбрать в какой домен вы хотите войти, либо, если нужно зайти под локальной учетной, для этого нужно выбрать пункт «Этот компьютер» - @Computer_Name (this computer)
.
Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.
Type domain name\domain user name to sign in to another domain.
)
Type РKZ-ТZI01K1\local user name to sign in to this PC only (not a domain
Чтобы войти в другой домен, введите имя_домена\имя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1\локальное_имя_пользователя
Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1\Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.
К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.
Секрет в том, что Windows использует символ точки (.) в качестве псевдонима для локального компьютера. Поэтому, если в поле с именем пользователя поставить .\
, то система будет считать, что вы хотите авторизоваться под локальной учеткой. Соответственно изменится поле Sign in to, вместо имени домена там уже будет указано имя данного компьютера.
Теперь после .\
осталось набрать имя локальной учетной записи и пароль.
Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.
Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.
Расположение контроллеров домена в Windows — статьи TechNet — США (английский)
Использование эффективного и надежного процесса локализации контроллера домена важно для
Системы и приложения, интегрированные в AD, чтобы избежать медлительности при обработке операций, связанных с AD, и поддерживать высокую доступность служб AD. Эта статья в Wiki объясняет важность эффективного процесса локализации и фокусируется на DC.
Процесс локатора, используемый в системах Windows.
Наличие эффективного процесса локализации контроллера домена важно, потому что:
- Сайты часто связаны медленными сетевыми соединениями, что может привести к снижению скорости межсайтовой связи с
Active Directory
- Он минимизирует влияние, когда контроллер домена недоступен
- Он уменьшает ненужный сетевой трафик между сайтами, обнаруживая ближайший контроллер домена
Представьте себе ситуацию, когда CONTOSO — это компания, имеющая два сайта (Редмонд и Денвер) с двумя контроллерами домена на сайт для обеспечения высокой доступности служб AD.У CONTOSO есть приложение, интегрированное с AD, размещенное в Редмонде. Приложение CONTOSO — это миссия
критически важное приложение, в котором простои приводят к огромным последствиям для бизнеса и убыткам. Разработчики CONTOSO работали над внедрением автоматического процесса локализации контроллера домена и LDAP.
эхо-запросы для периодической проверки состояния работоспособности запрошенного контроллера домена. Локализация выполняется путем запроса DNS-имени домена contoso.com.
A записывает и использует первый доступный контроллер домена.
В этой реализации разработчики CONTOSO заметили, что:
- Связь с Active Directory случайным образом медленная
- Значительный трафик LDAP проходит через WAN-соединение Редмонд-Денвер при обнаружении медленности
- Приложение может автоматически находить контроллер домена и переключаться на другой, когда используемый контроллер домена становится недоступным
Разработчики CONTOSO смогли обеспечить высокую доступность связи между приложением и Active Directory, реализовав обнаружение сбоев и автоматическую локализацию нового контроллера домена.Однако этого недостаточно
так как используемый процесс локализации должен найти ближайший контроллер домена, чтобы избежать замедления из-за связи контроллеров домена через соединение WAN, хотя этого можно избежать.
Затем процесс локализации должен идентифицировать DC1 или
DC2 , которые будут использоваться приложением, если они доступны. Если нет, он должен идентифицировать
DC3 или DC4 . При таком подходе разработчики CONTOSO гарантируют, что приложение имеет высокодоступную связь с AD без замедления, когда доступны контроллеры домена Redmond.Тогда медлительность будет
быть замеченным только тогда, когда все контроллеры домена в Редмонде больше не доступны, поскольку контроллеры домена в Денвере будут использоваться вместо этого для обеспечения непрерывности службы.
Используя процесс DC Locator (описанный в следующей главе), CONTOSO сможет обеспечить надежный процесс локализации и полностью выполнить свои требования.
Процесс
DC Locator используется системами Windows для определения ближайшего доступного контроллера домена в домене AD.Он полагается на разрешение DNS и сайты и подсети AD.
конфигурация для идентификации. Когда компьютер Windows, интегрированный в AD, запускается, для поиска ближайшего контроллера домена будет выполнено следующее:
- Компьютер Windows отправляет DNS-запрос, чтобы запросить разрешение DNS
_ldap._tcp.dc._msdcs. domain.com (пример: _ldap._tcp.dc._msdcs.contoso.com) записи SRV
- DNS-сервер отвечает списком зарегистрированных DNS-записей (записи содержат список контроллеров домена в домене AD)
- Компьютер Windows просматривает список записей SRV и выбирает одну в соответствии с приоритетом и весом, присвоенными этим записям.Будет
затем запросите DNS-сервер, чтобы получить IP-адрес выбранного контроллера домена.
- DNS-сервер проверяет запись A контроллера домена и отвечает IP-адресом.
- Компьютер Windows связывается с выбранным контроллером домена и устанавливает с ним связь.
При инициировании связи выбранный контроллер домена проверит, что клиентский компьютер принадлежит его сайту Active Directory.Это делается путем сравнения IP-адресов клиентских компьютеров с сайтами и подсетями, настроенными в Active Directory.
Здесь будет два возможных сценария:
- Компьютер Windows и выбранный контроллер домена принадлежат одному сайту Active Directory:
В этой ситуации произойдет следующее:- Выбранный контроллер домена предоставляет клиентскому компьютеру имя сайта.
- Компьютер Windows кэширует имя своего сайта AD и имя используемого контроллера домена.Выбранный контроллер домена будет использоваться до тех пор, пока он доступен. Компьютеру Windows больше не нужно заново выполнять процесс локализации каждый раз, когда это необходимо.
для связи с контроллером домена. - Компьютер Windows и выбранный контроллер домена не принадлежат одному сайту Active Directory:
В этой ситуации произойдет следующее:- Выбранный контроллер домена предоставляет клиентскому компьютеру имя сайта и сообщает ему, что это не ближайший контроллер домена.
- Компьютер Windows отправляет DNS-запрос, чтобы запросить разрешение DNS ldap._tcp. Имя_сайта_компьютера ._sites.dc._msdcs .domain.com
(Пример: _ldap._tcp.denver._sites.dc._msdcs.contoso.com) Записи SRV
- DNS-сервер отвечает списком зарегистрированных DNS-записей (записи содержат список контроллеров домена на сайте AD)
- Компьютер Windows просматривает список записей SRV и выбирает одну в соответствии с приоритетом и весом, присвоенными этим записям.Затем он запросит DNS-сервер, чтобы получить IP-адрес выбранного контроллера домена.
- DNS-сервер проверяет запись A контроллера домена и отвечает IP-адресом.
- Компьютер Windows связывается с выбранным контроллером домена и устанавливает с ним связь.
Замечание 1: Если компьютеру Windows не удается установить связь с выбранным контроллером домена, он попытается связаться с другим в соответствии с приоритетом и весом, назначенным для записей SRV.
Замечание 2: Если на компьютере Windows уже есть кэшированный сайт AD и он хотел бы локализовать новый контроллер домена (пример: текущий используемый контроллер домена больше не доступен), то он начнется непосредственно с шага 7 (мы ссылаться
к шагам, показанным на предыдущем рисунке)
Примечание 3: Сайт AD компьютера Windows хранится в следующей записи реестра: HKLM \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters \ DynamicSiteName
Используя описанный процесс, компьютер Windows обладает «интеллектом», чтобы определить местонахождение ближайшего Контроллера домена, когда ему нужно взаимодействовать с Active Directory.Однако этот процесс будет работать эффективно, только если сайты и подсети Active Directory
поддерживается должным образом.
Да, можно использовать Microsoft DsGetDcName API:
http://msdn.microsoft.com/en-us/library/ms675983(v=vs.85).aspx
В этой статье в Wiki рассказывается о важности обнаружения ближайших контроллеров домена с помощью приложений и систем, интегрированных в AD, и о том, как работает процесс DC Locator. Использование DC Locator или аналогичного процесса важно для интегрированных в AD систем и приложений для минимизации
простои и проблемы с производительностью.Microsoft предоставляет API DsGetDcName, который можно использовать для локализации, который уже используется самими системами Windows.
.
Как присоединиться к домену Windows с помощью VPN
Как присоединиться к домену Windows с помощью VPN
25 июля 2012 г.
Могут быть случаи, когда вам нужно присоединить внешний компьютер к существующему домену в удаленном офисе. Чаще всего это может происходить в такой ситуации, как вспомогательный офис, который является частью более крупной корпоративной сети, и имеется VPN типа «сеть-сеть». Хотя VPN-соединение типа «сеть-сеть» на сегодняшний день является самым простым способом присоединиться, это можно сделать с помощью клиента Windows VPN, который будет обсуждаться далее в этой статье.Основная проблема, возникающая при присоединении к домену, — это DNS, но с ней легко справиться.
Присоединение к домену с помощью VPN типа «сеть-сеть»
- На ПК, присоединяющемся к домену, может быть включен только 1 сетевой адаптер, желательно проводное соединение. Если есть какие-либо другие, например беспроводная карта, отключите, пока домен не присоединится. Иногда адаптеры Bluetooth также конфликтуют, поэтому я рекомендую их также отключить.
- Сконфигурируйте сетевой адаптер подключенного ПК статически или через DHCP, чтобы он указывал ТОЛЬКО на контроллер домена в корпоративном офисе для DNS.Не добавляйте альтернативный внешний DNS-сервер, такой как интернет-провайдер или маршрутизатор, так как они часто будут отвечать первыми, и разрешение имени не удастся.
- В конфигурации сетевого адаптера в свойствах Интернет-протокола версии 4 (TCP / IPv4) щелкните «Дополнительно» и на вкладке DNS вставьте корпоративный внутренний DNS-суффикс, например CompanyDomain.local, в поле «DNS-суффикс для этого подключения».
- Затем присоединитесь к домену, используя традиционный метод «Компьютер» (бывший «Мой компьютер») | Недвижимость | Изменить настройки | Изменить | введите внутреннее доменное имя | нажмите ОК | и вам будет предложено ввести учетные данные для учетной записи, авторизованной для этого, учетной записи администратора домена.Если контроллер домена является версией Small Business Server, вариант SBS для использования http: // SBSname / connectcomputer или http: // connect чаще всего не работает. (более подробную информацию и снимки экрана для процесса присоединения к домену можно найти ниже в разделе «Использование клиента VPN»).
- Если вы хотите одновременно импортировать существующий профиль локального пользователя, вы можете использовать ProfWiz, как указано в следующей ссылке, которая одновременно присоединится к домену и переместит профиль. Хотя в статье упоминается SBS, его можно использовать с любой версией Windows Server.https://blog.lan-tech.ca/2011/05/19/sbs-and-profwiz/
Присоединение к домену с помощью клиента Windows VPN
Присоединение к домену с помощью VPN-клиента немного сложнее, но не сложнее. Этот метод может работать с другими клиентами VPN, если у них есть возможность подключиться к VPN перед входом в систему, но в этом объяснении используется только встроенный в Windows клиент VPN. Без возможности подключиться перед входом в систему будет очень мало преимуществ, даже если вы сможете присоединиться к домену, поскольку вы фактически не будете аутентифицироваться в домене.Я предполагаю, что серверная часть, RRAS, настроена и работает для клиентских подключений VPN.
- Войдите на компьютер, на котором вы хотите присоединиться к домену, с учетной записью локального администратора
- На ПК, присоединяющемся к домену, может быть включен только 1 сетевой адаптер, желательно проводное соединение. Если есть какие-либо другие, например беспроводная карта, отключите, пока домен не присоединится. Иногда адаптеры Bluetooth также конфликтуют, поэтому я рекомендую их также отключить.
- Установить VPN-соединение .Если вы не знакомы с этим:
- В центре управления сетями и общим доступом выберите «Установить новое соединение или сеть».
- Выберите «Подключиться к рабочему месту».
- Выберите «Использовать мое Интернет-соединение (VPN)».
- Введите общедоступное полное доменное имя корпоративного VPN-сервера, например VPNserver.MyDomain.com, и введите понятное имя для подключения, какое угодно. Также очень важно установить флажок «Разрешить другим людям использовать это соединение» , так как скоро у вас будет учетная запись домена, для которой потребуется доступ к этому VPN-соединению.
- Введите имя пользователя, которое в идеале — это пользователь, который будет использовать соединение после присоединения к домену, но может быть любым именем пользователя, которому разрешено подключаться к корпоративной сети через VPN. Если вы используете имя, отличное от имени конечного пользователя ПК, им просто нужно будет изменить имя пользователя в мастере подключения при первой попытке подключения. Введите пароль и выберите подключение. По соображениям безопасности я не рекомендую устанавливать флажок «Запомнить этот пароль».
- Если после подключения будет предложено указать тип сети, выберите «Рабочая сеть».
- Предположительно вам удалось установить соединение. Однако при подключении, если вы выполнили NSlookup из командной строки для имени сервера, вы увидите, что это не удается. Попробуйте выполнить NSlookup для полного доменного имени сервера, и все будет успешно. Таким образом, нам нужно настроить DNS для VPN-клиента , прежде чем продолжить.
- Отключить VPN-клиент
- В окне сетевых подключений щелкните правой кнопкой мыши подключение VPN / PPP и выберите свойства | Вкладка «Сеть» | выделите Internet Protocol Version 4 (TCP / IPv4) и выберите свойства | Продвинутый | Вкладка DNS | и введите IP-адрес корпоративного DNS-сервера в разделе DNS-серверы и суффикс внутреннего домена, например MyDomain.local в «DNS-суффиксе для этого окна подключения. Если администраторам необходимо подключиться к удаленному клиентскому ПК для администрирования по имени, установите флажок «зарегистрировать адрес этого подключения в DNS», но я бы не одобрял этого, поскольку IP-адрес может часто меняться и вызывать проблемы. Также на вкладке «Настройки IP» оставьте флажок «Использовать шлюз по умолчанию в удаленной сети» установленным, по крайней мере, на данный момент, чтобы весь трафик принудительно направлялся в корпоративную сеть при подключении VPN.
- Теперь вы можете попробовать присоединиться к домену
- Подключите VPN-клиент
- Щелкните правой кнопкой мыши «Компьютер» (ранее «Мой компьютер») и выберите свойства.
- В появившемся окне выберите «Изменить настройки».
- Снова выберите «Изменить»
- Введите имя внутреннего корпоративного домена, например MyDomain.local, в поле «Домен» и нажмите «ОК».
- Вам будет предложено ввести учетную запись домена с привилегиями для присоединения ПК к домену, администратора домена. Введите его и пароль, и вы должны получить сообщение о том, что вы присоединились к домену. Будьте терпеливы, это займет немного больше времени, поскольку это медленное соединение по сравнению с локальной сетью.
- Теперь вам необходимо перезагрузить подключенный компьютер.
- Чтобы аутентифицироваться в корпоративной сети при входе в систему и работать как в корпоративной локальной сети, вам необходимо подключиться к VPN перед входом в ПК . Когда компьютер перезагружается, нажмите Ctrl + Alt + Delete, как обычно, а затем выберите «Сменить пользователя».
- Затем вам будет предложена новая опция, маленький синий значок в правом нижнем углу.
- Нажав на эту кнопку, вы сможете выбрать подключение к корпоративной сети с помощью VPN.После ввода учетных данных вы увидите, что знакомое VPN-соединение автоматически запускается, оно подключится, и вы будете аутентифицированы в домене.
- Вход в систему, конечно, немного медленнее из-за медленного соединения, и при первом подключении необходимо будет настроить профиль локального домена. Если вы используете перенаправленные мои документы, автономные файлы или у вас много групповых политик, вход в систему может занять очень много времени, пока они применяются и синхронизируются. Если вход в систему происходит слишком медленно, вы можете просмотреть параметры, доступные удаленному пользователю.Вы заметите, что если вы сейчас попробуете nslookup,
будет работать как надо.
Примечание. При подключении из Windows 8 см. Следующую обновленную статью: https://blog.lan-tech.ca/2013/03/02/windows-8-connect-to-vpn-before-logon /
В зависимости от производительности VPN-подключения , сетевому администратору иногда необходимо «настроить» несколько групповых политик для обнаружения медленной сети. Следующие политики могут помочь в этом:
Сервер 2008/2008 R2 / SBS 2008 / SBS 2011:
- Конфигурация компьютера | Политика | Административные шаблоны | Система | Групповая политика | Обнаружение медленного соединения групповой политики
- Конфигурация компьютера | Политика | Административные шаблоны | Система | Скрипты | Запускать сценарии входа синхронно
- Конфигурация компьютера | Политика | Административные шаблоны | Сеть | Автономные файлы | Настроить режим медленного соединения
- Конфигурация компьютера | Политика | Административные шаблоны | Сеть | Автономные файлы | Настроить медленную скорость связи
Сервер 2003 / SBS 2003 / SBS 2003 R2:
- Конфигурация компьютера | Административные шаблоны | Система | Войти | Всегда ждите сети при запуске компьютера и авторизуйтесь
- Конфигурация компьютера | Административные шаблоны | Система | Групповая политика | Обнаружение медленного соединения групповой политики
- Конфигурация компьютера | Административные шаблоны | Система | Скрипты | Запускать сценарии входа синхронно
- Конфигурация компьютера | Административные шаблоны | Сеть | Автономные файлы | Настроить режим медленного соединения
- Конфигурация компьютера | Административные шаблоны | Сеть | Автономные файлы | Настроить медленную скорость связи
.
Шаг 2 Настройка многосайтовой инфраструктуры
- 15 минут на чтение
В этой статье
Применимо к: Windows Server 2012 R2, Windows Server 2012
Чтобы настроить многосайтовое развертывание, необходимо выполнить ряд шагов для изменения параметров сетевой инфраструктуры, включая: настройку дополнительных сайтов Active Directory и контроллеров домена, настройку дополнительных групп безопасности и настройку объектов групповой политики (GPO), если вы не используете автоматически настраиваемые GPO.
Задача | Описание |
---|---|
2.1. Настроить дополнительные сайты Active Directory | Настройте дополнительные сайты Active Directory для развертывания. |
2.2. Настроить дополнительные контроллеры домена | Настройте дополнительные контроллеры домена Active Directory по мере необходимости. |
2.3. Настроить группы безопасности | Настройте группы безопасности для любых клиентских компьютеров Windows 7. |
2.4. Настроить GPO | Настройте дополнительные объекты групповой политики по мере необходимости. |
Примечание
В этот раздел включены образцы командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых из описанных процедур. Для получения дополнительной информации см. Использование командлетов.
2.1. Настроить дополнительные сайты Active Directory
Все точки входа могут находиться на одном сайте Active Directory. Следовательно, для реализации серверов удаленного доступа в многосайтовой конфигурации требуется по крайней мере один сайт Active Directory.Используйте эту процедуру, если вам нужно создать первый сайт Active Directory или если вы хотите использовать дополнительные сайты Active Directory для многосайтового развертывания. Используйте оснастку «Сайты и службы Active Directory» для создания новых сайтов в сети вашей организации.
Членство в группе «Администраторы предприятия » в лесу или группе «Администраторы домена » в корневом домене леса или эквивалентной группе, как минимум, требуется для выполнения этой процедуры. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальных и доменных группах по умолчанию.
Для получения дополнительной информации см. Добавление сайта в лес.
Для настройки дополнительных сайтов Active Directory
На основном контроллере домена щелкните Пуск , а затем щелкните Сайты и службы Active Directory .
В консоли Active Directory Sites and Services в дереве консоли щелкните правой кнопкой мыши Sites , а затем выберите New Site .
В диалоговом окне «Новый объект — сайт » в поле « Имя » введите имя нового сайта.
В Имя ссылки щелкните объект ссылки сайта, а затем дважды щелкните ОК .
В дереве консоли разверните Сайты , щелкните правой кнопкой мыши Подсети , а затем щелкните Новая подсеть .
В диалоговом окне «Новый объект — подсеть » в разделе «Префикс » введите префикс подсети IPv4 или IPv6, в поле выберите объект сайта для этого префикса , щелкните сайт, чтобы связать его с этой подсетью, а затем нажмите ОК .
Повторяйте шаги 5 и 6, пока не создадите все подсети, необходимые для вашего развертывания.
Закройте сайты и службы Active Directory.
Эквивалентные команды Windows PowerShell
Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов в несколько строк из-за ограничений форматирования.
Чтобы установить компонент Windows «Модуль Active Directory для Windows PowerShell»:
Install-WindowsFeature "Имя RSAT-AD-PowerShell
или добавьте оснастку Active Directory PowerShell с помощью OptionalFeatures.
При выполнении следующих командлетов в Windows 7 «или Windows Server 2008 R2 необходимо импортировать модуль Active Directory PowerShell:
Импорт-модуль ActiveDirectory
Для настройки сайта Active Directory с именем «Second-Site» с помощью встроенного DEFAULTIPSITELINK:
New-ADReplicationSite -Name "Second-Site"
Set-ADReplicationSiteLink -Identity "DEFAULTIPSITELINK" -sitesIncluded @ {Add = "Second-Site"}
Для настройки подсетей IPv4 и IPv6 для второго сайта:
New-ADReplicationSubnet -Name "10.2.0.0 / 24 "- Сайт" Второй сайт "
New-ADReplicationSubnet -Name "2001: db8: 2 :: / 64" -Site "Second-Site"
2.2. Настроить дополнительные контроллеры домена
Для настройки многосайтового развертывания в одном домене рекомендуется иметь хотя бы один записываемый контроллер домена для каждого сайта в вашем развертывании.
Для выполнения этой процедуры вы должны быть как минимум членом группы администраторов домена в домене, в котором устанавливается контроллер домена.
Для получения дополнительной информации см. Установка дополнительного контроллера домена.
Для настройки дополнительных контроллеров домена
На сервере, который будет действовать как контроллер домена, в Server Manager на панели мониторинга щелкните , добавьте роли и функции .
Нажмите Далее три раза, чтобы перейти к экрану выбора роли сервера
На странице Выбор ролей сервера выберите Доменные службы Active Directory .При появлении запроса щелкните Добавить компоненты , а затем трижды щелкните Далее .
На странице Подтверждение щелкните Установить .
После успешного завершения установки щелкните Сделать этот сервер контроллером домена .
В мастере настройки доменных служб Active Directory на странице «Конфигурация развертывания » щелкните Добавить контроллер домена в существующий домен .
В домене введите доменное имя; например, corp.contoso.com.
Под Введите учетные данные для выполнения этой операции , щелкните Изменить . В диалоговом окне Безопасность Windows укажите имя пользователя и пароль для учетной записи, которая может установить дополнительный контроллер домена. Чтобы установить дополнительный контроллер домена, вы должны быть членом группы администраторов предприятия или группы администраторов домена.Когда вы закончите вводить учетные данные, нажмите Далее .
На странице параметров контроллера домена выполните следующие действия:
Сделайте следующий выбор:
Сервер системы доменных имен (DNS) «Этот параметр выбран по умолчанию, чтобы ваш контроллер домена мог работать как сервер системы доменных имен (DNS). Если вы не хотите, чтобы контроллер домена был сервером DNS, снимите эту опцию.
Если роль DNS-сервера не установлена на эмуляторе основного контроллера домена (PDC) в корневом домене леса, то возможность установки DNS-сервера на дополнительном контроллере домена недоступна. В качестве обходного пути в этой ситуации можно установить роль DNS-сервера до или после установки AD DS.
Примечание
Если вы выберете вариант установки DNS-сервера, вы можете получить сообщение о том, что DNS-делегирование для DNS-сервера не может быть создано и что вам следует вручную создать DNS-делегирование для DNS-сервера, чтобы обеспечить надежное разрешение имен.Если вы устанавливаете дополнительный контроллер домена в корневой домен леса или корневой домен дерева, вам не нужно создавать делегирование DNS. В этом случае нажмите Да и не обращайте внимания на сообщение.
Глобальный каталог (GC) «Этот параметр выбран по умолчанию. Он добавляет глобальный каталог, разделы каталога только для чтения в контроллер домена и включает функцию поиска в глобальном каталоге.
Контроллер домена только для чтения (RODC) «Этот параметр не выбран по умолчанию.Это делает дополнительный контроллер домена доступным только для чтения; то есть он делает контроллер домена RODC.
В Имя сайта выберите сайт из списка.
В разделе Введите пароль режима восстановления служб каталогов (DSRM) , в поле Пароль и Подтвердите пароль , дважды введите надежный пароль и нажмите Далее . Этот пароль необходимо использовать для запуска AD DS в DSRM для задач, которые должны выполняться в автономном режиме.
На странице Параметры DNS установите флажок Обновить делегирование DNS , если вы хотите обновить делегирование DNS во время установки роли, а затем нажмите Далее .
На странице Дополнительные параметры введите или перейдите к расположению тома и папки для файла базы данных, файлов журнала службы каталогов и файлов системного тома (SYSVOL). Укажите необходимые параметры репликации и нажмите Далее .
На странице Обзор параметров просмотрите параметры установки и нажмите Далее .
На странице Проверка предварительных требований после проверки предварительных требований щелкните Установить .
Подождите, пока мастер завершит настройку, а затем нажмите Закрыть .
Перезагрузите компьютер, если он не перезагружался автоматически.
2.3. Настройте группы безопасности
Для многосайтового развертывания требуется дополнительная группа безопасности для клиентских компьютеров Windows 7 для каждой точки входа в развертывании, которая обеспечивает доступ к клиентским компьютерам с Windows 7. Если существует несколько доменов, содержащих клиентские компьютеры Windows 7, рекомендуется создать группу безопасности в каждом домене для одной и той же точки входа. В качестве альтернативы можно использовать одну универсальную группу безопасности, содержащую клиентские компьютеры из обоих доменов. Например, в среде с двумя доменами, если вы хотите разрешить доступ к клиентским компьютерам Windows 7 в точках входа 1 и 3, но не в точке входа 2, создайте две новые группы безопасности, содержащие клиентские компьютеры Windows 7 для каждой точка входа в каждый из доменов.
Для настройки дополнительных групп безопасности
На основном контроллере домена щелкните Пуск , а затем щелкните Пользователи и компьютеры Active Directory .
В дереве консоли щелкните правой кнопкой мыши папку, в которую вы хотите добавить новую группу, например corp.contoso.com/Users. Наведите указатель на Новый , а затем щелкните Группа .
В диалоговом окне «Новый объект — группа » в разделе « Имя группы » введите имя новой группы, например Win7_Clients_Entrypoint1.
В разделе Область действия группы щелкните Универсальный , в разделе Тип группы щелкните Безопасность , а затем нажмите ОК .
Чтобы добавить компьютеры в новую группу безопасности, дважды щелкните группу безопасности и в диалоговом окне <Имя_группы> Свойства щелкните вкладку Члены .
На вкладке Элементы щелкните Добавить .
Выберите компьютеры с Windows 7, которые нужно добавить в эту группу безопасности, и нажмите OK .
При необходимости повторите эту процедуру, чтобы создать группу безопасности для каждой точки входа.
Эквивалентные команды Windows PowerShell
Следующий командлет или командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Введите каждый командлет в одной строке, даже если они могут отображаться здесь с переносом слов в несколько строк из-за ограничений форматирования.
Чтобы установить компонент Windows «Модуль Active Directory для Windows PowerShell»:
Install-WindowsFeature "Имя RSAT-AD-PowerShell
или добавьте оснастку Active Directory PowerShell с помощью OptionalFeatures.
При выполнении следующих командлетов в Windows 7 «или Windows Server 2008 R2 необходимо импортировать модуль Active Directory PowerShell:
Импорт-модуль ActiveDirectory
Чтобы настроить группу безопасности с именем Win7_Clients_Entrypoint1 и добавить клиентский компьютер с именем CLIENT2:
New-ADGroup -GroupScope universal -Name Win7_Clients_Entrypoint1
Add-ADGroupMember -Identity Win7_Clients_Entrypoint1 -Members CLIENT2 $
2.4. Настройте GPO
.
Для развертывания удаленного доступа с несколькими узлами требуются следующие объекты групповой политики:
Объект групповой политики для каждой точки входа для сервера удаленного доступа.
Объект групповой политики для любых клиентских компьютеров Windows 8 для каждого домена.
Объект групповой политики в каждом домене, который содержит клиентские компьютеры Windows 7 для каждой точки входа, настроенной для поддержки клиентов Windows 7.
Примечание
Если у вас нет клиентских компьютеров с Windows 7, вам не нужно создавать объекты групповой политики для компьютеров с Windows 7.
При настройке удаленного доступа мастер автоматически создает необходимые объекты групповой политики, если они еще не существуют. Если у вас нет необходимых разрешений для создания объектов групповой политики, они должны быть созданы до настройки удаленного доступа. Администратор DirectAccess должен иметь полные права доступа к объектам групповой политики (редактирование + изменение безопасности + удаление).
Важно
После ручного создания объектов групповой политики для удаленного доступа необходимо выделить достаточно времени для репликации Active Directory и DFS на контроллер домена на сайте Active Directory, который связан с сервером удаленного доступа.Если удаленный доступ автоматически создал объекты групповой политики, время ожидания не требуется.
Чтобы создать объекты групповой политики, см. Создание и редактирование объекта групповой политики.
Техническое обслуживание и простой контроллера домена
Когда контроллер домена, работающий как эмулятор основного контроллера домена, или контроллеры домена, управляющие объектами групповой политики сервера, испытывают простои, загрузить или изменить конфигурацию удаленного доступа невозможно. Это не влияет на подключение клиентов, если доступны другие контроллеры домена.
Чтобы загрузить или изменить конфигурацию удаленного доступа, вы можете передать роль эмулятора PDC другому контроллеру домена для объектов групповой политики клиента или сервера приложений; для объектов групповой политики сервера измените контроллеры домена, управляющие объектами групповой политики сервера.
Важно
Эту операцию может выполнить только администратор домена. Влияние изменения основного контроллера домена не ограничивается удаленным доступом; поэтому будьте осторожны при передаче роли эмулятора PDC.
Примечание
Перед изменением сопоставления контроллеров домена убедитесь, что все объекты групповой политики в развертывании удаленного доступа были реплицированы на все контроллеры домена в домене. Если объект групповой политики не синхронизирован, последние изменения конфигурации могут быть потеряны после изменения сопоставления контроллеров домена, что может привести к повреждению конфигурации. Чтобы проверить синхронизацию GPO, см. Раздел Проверка состояния инфраструктуры групповой политики.
Для передачи роли эмулятора PDC
На экране Start введите dsa.msc , а затем нажмите клавишу ВВОД.
На левой панели консоли «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory , а затем щелкните Изменить контроллер домена . В диалоговом окне «Изменить сервер каталогов» щелкните Этот контроллер домена или экземпляр AD LDS , в списке щелкните контроллер домена, который будет новым держателем роли, а затем щелкните ОК .
Примечание
Этот шаг необходимо выполнить, если вы не находитесь на контроллере домена, которому хотите передать роль.Не выполняйте этот шаг, если вы уже подключены к контроллеру домена, которому хотите передать роль.
В дереве консоли щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory , выберите Все задачи , а затем щелкните Мастера операций .
В диалоговом окне Мастера операций щелкните вкладку PDC , а затем щелкните Изменить .
Щелкните Да , чтобы подтвердить, что вы хотите передать роль, а затем щелкните Закрыть .
Чтобы изменить контроллер домена, который управляет объектами групповой политики сервера
Запустите командлет Windows PowerShell Set-DAEntryPointDC на сервере удаленного доступа и укажите имя недоступного контроллера домена для параметра ExistingDC . Эта команда изменяет ассоциацию контроллера домена для серверных объектов групповой политики точек входа, которые в настоящее время управляются этим контроллером домена.
Для замены недоступного контроллера домена «dc1.corp.contoso.com «с контроллером домена» dc2.corp.contoso.com «, выполните следующие действия:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com'" NewDC 'dc2.corp.contoso.com' "ErrorAction Запрос
Чтобы заменить недоступный контроллер домена «dc1.corp.contoso.com» на контроллер домена на ближайшем к серверу удаленного доступа Active Directory сайте Active Directory «DA1.corp.contoso.com», выполните следующие действия:
Set-DAEntryPointDC "ExistingDC 'dc1.corp.contoso.com '"Имя компьютера' DA1.corp.contoso.com '" ErrorAction Inquire
Изменить два или более контроллеров домена, управляющих объектами групповой политики сервера
В минимальном количестве случаев два или более контроллеров домена, управляющих объектами групповой политики сервера, недоступны. В этом случае требуются дополнительные действия для изменения сопоставления контроллера домена для объектов групповой политики сервера.
Информация о сопоставлении контроллера домена хранится как в реестре серверов удаленного доступа, так и во всех объектах групповой политики сервера.В следующем примере есть две точки входа с двумя серверами удаленного доступа: «DA1» в «точке входа 1» и «DA2» в «точке входа 2». Серверный объект групповой политики «Точки входа 1» управляется контроллером домена «DC1», а объект групповой политики сервера «Точки входа 2» управляется контроллером домена «DC2». Оба «DC1» и «DC2» недоступны. Третий контроллер домена по-прежнему доступен в домене «DC3», а данные из «DC1» и «DC2» уже реплицированы на «DC3».
Для изменения двух или более контроллеров домена, управляющих объектами групповой политики сервера
Чтобы заменить недоступный контроллер домена «DC2» на контроллер домена «DC3», выполните следующую команду:
Set-DAEntryPointDC "ExistingDC 'DC2'" NewDC 'DC3' "ComputerName 'DA2'" Ошибка Действие Продолжить
Эта команда обновляет ассоциацию контроллера домена для объекта групповой политики сервера «Точка входа 2» в реестре DA2 и в самом объекте групповой политики сервера «Точка входа 2»; однако он не обновляет объект групповой политики сервера «Точка входа 1», так как контроллер домена, который управляет им, недоступен.
Подсказка
Эта команда использует значение «Продолжить» для параметра ErrorAction , который обновляет объект групповой политики сервера «Точка входа 2», несмотря на то, что не удалось обновить объект групповой политики сервера «Точка входа 1».
Полученная конфигурация показана на следующей диаграмме.
Чтобы заменить недоступный контроллер домена «DC1» на контроллер домена «DC3», выполните следующую команду:
Set-DAEntryPointDC "ExistingDC 'DC1'" NewDC 'DC3' "ComputerName 'DA2'" Ошибка Действие Продолжить
Эта команда обновляет сопоставление контроллера домена для объекта групповой политики сервера «Точка входа 1» в реестре DA1 и в объектах групповой политики сервера «Точка входа 1» и «Точка входа 2».Полученная конфигурация показана на следующей диаграмме.
Чтобы синхронизировать сопоставление контроллера домена для объекта групповой политики сервера «Точка входа 2» в объекте групповой политики сервера «Точка входа 1», выполните команду для замены «DC2» на «DC3» и укажите сервер удаленного доступа, чей объект групповой политики сервера не синхронизируется, в данном случае «DA1», для параметра ComputerName .
Set-DAEntryPointDC "ExistingDC 'DC2'" NewDC 'DC3' "ComputerName 'DA1'" Ошибка Действие Продолжить
Окончательная конфигурация показана на следующей диаграмме.
Оптимизация распределения конфигурации
При внесении изменений в конфигурацию изменения применяются только после того, как серверные объекты групповой политики распространяются на серверы удаленного доступа. Чтобы сократить время распространения конфигурации, удаленный доступ автоматически выбирает доступный для записи контроллер домена, который находится ближе всего к серверу удаленного доступа, при создании своего серверного объекта групповой политики.
В некоторых сценариях может потребоваться вручную изменить контроллер домена, который управляет серверным GPO, чтобы оптимизировать время распространения конфигурации:
На сайте Active Directory сервера удаленного доступа не было доступных для записи контроллеров домена на момент его добавления в качестве точки входа.Контроллер домена с возможностью записи теперь добавляется на сайт Active Directory сервера удаленного доступа.
Изменение IP-адреса или изменение сайтов и подсетей Active Directory могло переместить сервер удаленного доступа на другой сайт Active Directory.
Связь контроллера домена для точки входа была изменена вручную из-за работ по техническому обслуживанию на контроллере домена, и теперь контроллер домена снова подключен к сети.
В этих сценариях запустите командлет PowerShell Set-DAEntryPointDC
на сервере удаленного доступа и укажите имя точки входа, которую вы хотите оптимизировать, с помощью параметра EntryPointName .Это следует делать только после того, как данные объекта групповой политики с контроллера домена, в котором в настоящее время хранится объект групповой политики сервера, уже были полностью реплицированы на требуемый новый контроллер домена.
Примечание
Перед изменением сопоставления контроллеров домена убедитесь, что все объекты групповой политики в развертывании удаленного доступа были реплицированы на все контроллеры домена в домене. Если объект групповой политики не синхронизирован, последние изменения конфигурации могут быть потеряны после изменения сопоставления контроллеров домена, что может привести к повреждению конфигурации.Чтобы проверить синхронизацию GPO, см. Раздел Проверка состояния инфраструктуры групповой политики.
Чтобы оптимизировать время распространения конфигурации, выполните одно из следующих действий:
Для управления серверным GPO точки входа «Entry point 1» на контроллере домена на ближайшем сайте Active Directory к серверу удаленного доступа «DA1.corp.contoso.com» выполните следующую команду:
Set-DAEntryPointDC «EntryPointName 'Entry point 1'« ComputerName 'DA1.corp.contoso.com' »ErrorAction Inquire
Для управления серверным GPO точки входа «Entry point 1» на контроллере домена «dc2.corp.contoso.com «, выполните следующую команду:
Set-DAEntryPointDC «EntryPointName 'Entry point 1'« NewDC 'dc2.corp.contoso.com' «ComputerName 'DA1.corp.contoso.com'» ErrorAction Inquire
Примечание
При изменении контроллера домена, связанного с определенной точкой входа, необходимо указать сервер удаленного доступа, который является членом этой точки входа, для параметра ComputerName .
См. Также
.СОВЕТ
: Как запускать программы от имени пользователя домена с компьютера вне домена
Как многие из вас знают, я независимый консультант и по возможности использую свой ноутбук. У меня есть все инструменты, которые мне нравятся, и все остальное, что мне нужно для продуктивной работы. Поскольку я работаю на нескольких клиентов, я не могу присоединить свой ноутбук к какому-либо конкретному клиентскому домену. Во-первых, это неприятный фактор, особенно при переключении между разными клиентами в течение недели. Каждое присоединение к домену требует, чтобы администратор домена авторизовал присоединение, введя свои учетные данные при появлении запроса на моем ноутбуке.Во-вторых, я не хочу, чтобы к моему ноутбуку применялась групповая политика клиента. В-третьих, что более важно, это соглашения о неразглашении информации, которые я подписываю с клиентами. Если я присоединяю свой ноутбук к домену, администраторы домена получают полные права на мою машину и, следовательно, на данные от других клиентов. Так что присоединение к домену просто невозможно.
В большинстве случаев отсутствие подключения к клиентскому домену не имеет значения. Вам необходимо получить доступ к общему сетевому ресурсу или принтеру, открыть его в браузере, и вам будет предложено ввести учетные данные домена.Тот факт, что вы используете учетные данные домена для доступа к ресурсу, отличные от тех, с которыми вы вошли в систему, не имеет никакого значения. Если вы хотите ускорить процесс и не ждать тайм-аута аутентификации, вы можете использовать NET USE из командной строки, чтобы сообщить Windows, какие учетные данные вы хотите использовать при доступе к определенным компьютерам. Вы даже можете сделать их постоянными или свернуть все это в пакетный скрипт, который вы можете выполнять всякий раз на конкретном клиенте.
чистое использование \\ сервер / пользователь: домен \ имя пользователя / постоянный: да
К сожалению, это работает не во всех случаях.Одна из моих давних неприятностей в разработке — это определенные инструменты — я смотрю на вас, SQL Server Management Studio и SQL Query Analyzer, — которые не позволяют вам указывать альтернативные учетные данные домена для аутентификации. Например, SQL Server Management Studio позволяет входить в экземпляр SQL Server с помощью проверки подлинности Windows или проверки подлинности SQL Server. Если для экземпляра SQL требуется проверка подлинности Windows — рекомендуемая конфигурация — SQL Server Management Studio использует ваши учетные данные для входа.Это хорошо работает, если ваш компьютер является частью домена, но в противном случае приводит к ужасному отказу. Он не позволяет указывать альтернативные учетные данные или даже запрашивать альтернативные учетные данные в случае сбоя входа в систему.
Я вроде все перепробовала. NET USE здесь не помогает, потому что NET USE предназначена специально для сетевых ресурсов.
net use \\ sql-server-name / user: domain \ username # НЕ РАБОТАЕТ — предоставляет только учетные данные домена при доступе к общим ресурсам
RUNAS также не работает — либо при нажатии правой кнопки мыши SHIFT, либо в командной строке — поскольку он пытается запустить команду локально от имени пользователя домена, который неизвестен вашему компьютеру, потому что вы не являетесь частью домена.
runas / пользователь: домен \ имя пользователя «C: \ Program Files (x86) \ Microsoft SQL Server \ 100 \ Tools \ Binn \ VSShell \ Common7 \ IDE \ Ssms.exe»
В течение многих лет (да, лет) я прибегал к использованию удаленного рабочего стола для входа на компьютер домена, чтобы я мог запускать SQL Server Management Studio, использовать виртуальную машину, присоединенную к домену, или умолял коллег запускать команды для меня. Теперь я чувствую себя глупо, потому что наткнулся на решение, которое уже много лет встроено в Windows. Это простой переключатель командной строки для команды RUNAS, который я никогда не замечал: / netonly.(Обратите внимание, что флаг / netonly недоступен через контекстное меню SHIFT, а только через командную строку.)
runas / netonly / user: domain \ username «C: \ Program Files (x86) \ Microsoft SQL Server \ 100 \ Tools \ Binn \ VSShell \ Common7 \ IDE \ Ssms.exe»
Успех! И SQL Server Management Studio, работающий с использованием учетных данных домена / netonly. Команда запускается от имени моего локального пользователя, но использует предоставленные учетные данные домена только при доступе к сети.
Теперь я могу без проблем получить доступ к удаленным SQL-серверам с помощью аутентификации Windows! (Вам придется поверить мне на слово или попробовать это самостоятельно, поскольку для меня было бы невежливо показывать снимки экрана, на которых я обращаюсь к клиентскому SQL Server.) Надеюсь, это облегчит жизнь другому консультанту.
О Джеймсе Коваче
Джеймс Ковач — технический евангелист JetBrains. Он с энтузиазмом делится своими знаниями об OO, SOLID, TDD / BDD, тестировании, объектно-реляционном сопоставлении, внедрении зависимостей, рефакторинге, непрерывной интеграции и связанных с ними методах.
Он ведет блог на CodeBetter.com, а также в своем собственном блоге, является техническим сотрудником Pluralsight, пишет статьи для MSDN Magazine и CoDe Magazine и часто выступает на конференциях и в группах пользователей.Он является создателем psake, инструмента автоматизации сборки на основе PowerShell, предназначенного для спасения разработчиков от ада XML.
Джеймс является председателем Ruby Track на DevTeach, одной из крупнейших независимых конференций разработчиков в Канаде. Он получил степень бакалавра в Университете Торонто и степень магистра в Гарвардском университете.
.