Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контроллер домена это

Что такое контроллер домена

Администратор 26 Сентябрь 2014 Просмотров: 13874

Что такое контроллер домена

Контроллер домена обеспечивает централизованное управление сетевыми устройствами, то есть доменами. В контроллере хранится вся информация с учетных записей и параметров пользователей сети. Это параметры безопасности, локальной политики и многие другие. Это, своего рода, сервер, который полностью контролирует определенную сеть или сетевую группу. Контроллер домена — это, своего рода, набор специального программного обеспечения, которое осуществляет запуск различных служб Active Directory. Контроллеры работают под управлением определенных операционных систем, таких как Windows server 2003. Мастер установки Active Drive позволяет создавать контроллеры доменов.

В операционной системе Windows NT, как основной сервер, используется основной контроллер домена. Другие используемые серверы используются как резервные контроллеры. Основные контроллеры PDС могут решать различные задачи, связанные с членством пользователей в группах, создание и изменение паролей, добавление пользователей и многие другие. После чего данные передаются на дополнительные контроллеры BDC.

В качестве контроллера домена может использоваться программное обеспечение Samba 4, если установлена операционная система Unix. Это ПО также поддерживает и другие операционные системы, такие как windows 2003, 2008, 2003 R2 и 2008 R2. Каждая из операционных систем при необходимости может расширяться в зависимости от конкретных требований и параметров.

Применение контроллеров домена

Используются контроллеры доменов многими организациями, в которых расположены компьютеры, подключенные между собой и в сеть. В контроллерах хранятся данные каталогов и осуществляется контроль входа и выхода пользователей в систему, а также управление взаимодействием между ними.

Организациям, использующим контроллер домена, необходимо решить то, какое количество их будет использоваться, распланировать архивирование данных, физическую безопасность, обновление сервера и другие необходимые задачи.

Если компания или организация небольшая и в ней используется всего одна доменная сеть, то достаточно использовать два контролера, которые способны обеспечить высокую стабильность, отказоустойчивость и высокий уровень доступности сети. В сетях, которые делятся на определенное количество сайтов, на каждом из них устанавливается по одному контроллеру, что позволяет добиться необходимой работоспособности и надежности. Благодаря использованию контроллеров на каждом сайте, можно значительно упростить вход пользователей в систему и сделать его более быстрым.

Сетевой трафик можно оптимизировать, чтобы это сделать, необходимо установить время обновлений репликации тогда, когда нагрузка на сеть будет минимальной. Настройка репликации позволит значительно упростить работу и сделать ее более производительной.

Добиться максимальной производительности в работе контроллера можно в том случае, если домен будет являться глобальным каталогом, что позволит запрашивать любые объекты по конкретному весу. При этом важно помнить, что включение глобального каталога влечет за собой значительное увеличение трафика репликации.

Контроллер домена хозяина лучше не включать, если используется больше одного контроллера домена. При использовании контроллера домена очень важно заботиться о безопасности, потому как он становится достаточно доступным для злоумышленников, желающих завладеть необходимыми для обмана данными.

Особенности установки дополнительных контроллеров домена

Для того чтобы добиться более высокой надежности в работе необходимых сетевых служб, необходима установка дополнительных контроллеров домена. В результате, можно добиться значительно более высокой стабильности, надежности и безопасности в работе. Быстродействие сети в таком случае станет значительно выше, что является очень важным параметром для организаций, которые используют контроллер домена.

Для того чтобы контроллер домена работал правильно, необходимо произвести некоторые подготовительные работы. Первое, что нужно сделать, это проверить параметры TCP/IP, они должны быть правильно установлены для сервера. Важнее всего проверить DNS имена на сопоставления.

Для безопасной работы контроллера домена необходимо использовать файловую систему NTFS, обеспечивающую более высокую безопасность в сравнении с файловыми системами FAT 32. Для установки на сервере нужно создать один раздел в файловой системе NTFS, на котором будет находиться системный том. Также обязательно необходим доступ к DNS серверу с сервера. Служба DNS устанавливается на этом или дополнительном сервере, который должен поддерживать ресурсные записи.

Для того чтобы правильно настроить контроллер домена, можно использовать Мастер настройки, с помощью которого можно добавлять выполнение определенных ролей. Для этого нужно будет зайти в раздел администрирование через панель управления. В качестве роли сервера необходимо указать контроллер домена.

Контроллер доменов на сегодняшний день является незаменимым для сетей и сайтов, которыми пользуются различные организации, учреждения и компании во всех сферах деятельности человека. Благодаря ему, обеспечивается высокая производительность в работе и безопасность, которая в компьютерных сетях имеет особое значение. Роль контроллера домена очень важна, потому как он позволяет осуществлять управление областями домена, построенными на компьютерных сетях. В каждой операционной системе есть определенные нюансы, связанные с работой контроллеров домена, но принцип и его назначение везде одинаковое, поэтому разобраться с настройками не так сложно, как может показаться в самом начале. Тем не менее, очень важно, чтобы настройкой контроллеров домена занимались специалисты, чтобы в конечном итоге получить высокую производительность и безопасность во время работы.

Контроллер домена Active Directory: плюсы и настройка

Основным элементом эффективной корпоративной сети является контроллер домена Active Directory, управляющий многими службами и дающий многие преимущества.

Есть два пути построения ИТ-инфраструктуры — стандартный и случайный, когда прикладываются минимально достаточные усилия для решения возникающих задач, без построения четкой и надежной инфраструктуры. Например, построение одноранговой сети во всей организации и открытие общего доступа ко всем нужным файлам и папкам, без возможности контроля действий пользователей.

Очевидно, этот путь нежелателен, так как в конце концов придется разбирать и правильно организовывать хаотическое нагромождение систем, иначе оно не сможет функционировать — и ваш бизнес вместе с ним. Поэтому, чем раньше вы примете единственно правильное решение строить корпоративную сеть с контроллером домена — тем лучше для вашего бизнеса в долговременной перспективе. И вот почему.

“Домен — базовая единица ИТ-инфраструктуры на базе ОС семейства Windows, логическое и физическое объединение серверов, компьютеров, оборудования и учетных записей пользователей.”

Контроллер домена (КД) — отдельный сервер с ОС Windows Server, на котором запущены службы Active Directory, делающие возможной работу большого количества ПО, требующего КД для администрирования. Примерами такого ПО является почтовый сервер Exchange, облачный пакет Office 365 и другие программные среды корпоративного уровня от компании Microsoft.

Читать еще:  Доменная авторизация это

Помимо обеспечения корректной работы этих платформ, КД дает бизнесу и организациям следующие преимущества:

  • Развертывание терминального сервера. Терминальный сервер в облаке позволяет значительно сэкономить ресурсы и усилия, заменяя постоянное обновление офисных ПК единоразовой инвестицией в размещение “тонких клиентов” для подключения к мощному облачному серверу.
  • Повышенная безопасность. КД позволяет задавать политики создания паролей и заставлять пользователей применять более сложные пароли чем дата своего рождения, qwerty или 12345.
  • Централизованный контроль прав доступа. Вместо ручного обновления паролей на каждом компьютере отдельно, администратор КД может централизованно сменить все пароли за одну операцию с одного компьютера.
  • Централизованное управление групповыми политиками. Средства Active Directory позволяют создать групповые политики и задать права доступа к файлам, папкам и другим сетевым ресурсам для определенных групп пользователей. Это в разы упрощает настройку учетных записей новых пользователей или изменение параметров существующих профилей.
  • Сквозной вход. Active Directory поддерживает сквозной вход, когда при вводе своего логина и пароля для домена, пользователь автоматически подключается ко всем остальным службам типа почты и Office 365.
  • Создание шаблонов настройки компьютеров. Настройка каждого отдельного компьютера при добавлении его в корпоративную сеть может быть автоматизирована с помощью шаблонов. Например, с помощью специальных правил могут быть централизованно отключены CD-приводы или USB-порты, закрыты определенные сетевые порты и так далее. Таким образом, вместо ручной настройки новой рабочей станции, администратор просто включает ее в определенную группу, и все правила для этой группы применятся автоматически.

Как видите, настройка контроллера домена Active Directory несет многочисленные удобства и преимущества для бизнеса и организаций любого размера.

Когда внедрять контроллер домена Active Directory в корпоративную сеть?

Мы рекомендуем задуматься о том, чтобы настроить контроллер домена для вашей компании уже при подключении в сеть более 10 компьютеров, так как гораздо легче задать необходимые политики для 10 машин, чем для 50. Кроме того, так как этот сервер не выполняет особо ресурсоемких задач, на эту роль вполне может подойти мощный настольный компьютер.

Однако важно помнить, что на этом сервере будут храниться пароли доступа к сетевым ресурсам и база данных пользователей домена, схема прав и групповых политик пользователей. Необходимо развернуть резервный сервер с постоянным копированием данных для обеспечения непрерывности работы контроллера домена, а это сделать гораздо быстрее, проще и надежнее используя серверную виртуализацию, предоставляемую при размещении корпоративной сети в облаке. Это позволяет избежать следующих проблем:

  • Ошибочные настройки DNS-сервера, что приводит к ошибкам локации ресурсов в корпоративной сети и в сети Интернет
  • Некорректно настроенные группы безопасности, приводящие к ошибкам прав доступа пользователей к сетевым ресурсам
  • Некорректные версии ОС. Каждая версия Active Directory поддерживает определенные версии десктопных ОС Windows для тонких клиентов
  • Отсутствие или неправильная настройка автоматического копирования данных на резервный контроллер домена.

Чтобы использовать ресурсы вашей корпоративной сети максимально эффективно, безопасно и с наименьшими затратами средств и усилий, выбирайте только профессиональных поставщиков ИТ-услуг!

Контроллер домена: что это и для чего? Настройка контроллера

Установка контроллера домена – это важная часть для компьютерной сети, по сути, контролирующая ее работу. Его основная задача – запуск важной службы Active Directory. Он работает с центром распространения ключей – Kerberos.

Также предусматривает работу на Unix-совместимых системах. В них в качестве контроллера выступает комплект программного обеспечения Samba.

Контроллер домена служит для создания локальной сети, в которой могли бы авторизоваться пользователи под своим именем и со своими учетными данными. Они должны это делать на всех компьютерах. Также установка контроллера домена обеспечивает определение права доступа в сети и управления ее безопасностью. С его помощью можно централизованно управлять всей сетью, что очень важно.

Контроллеры домена также могут работать под Windows Server 2003. Так они обеспечивают хранение всех данных каталога, управлять работой пользователя и домена, контролировать вход пользователя в систему, проверять подлинность каталога и проч. Все их можно создать, используя установщик Active Directory. Также он может работать и в Windows NT. Здесь для того, чтобы он работал надежнее, создается дополнительный контроллер. Он будет связан с основным контроллером.

В сети Windows NT существовал один сервер. Он мог использоваться для работы основного доменного контроллера, или же PDC. Все остальные сервера работали как вспомогательные. Они, например, могли выполнять проверку всех пользователей, хранить и проверять пароли и другие важные операции. Но при этом они не могли добавлять новых пользователей на сервер, не могли также изменять пароли и подобное, то есть настройка контроллера домена являлась менее разнообразной. Эти операции могли быть сделаны только при помощи PDC. Произведенные на них изменения могли бы потом распространяться на все резервные домены. Если же основной сервер не был доступен, то резервный домен не мог быть повышен до уровня основного.

Впрочем, настроить контроллер домена, сеть и поднять уровень домена можно на любом компьютере и в домашних условиях. Этой премудрости легко обучиться самому. Все необходимые для этого инструменты находятся в Панели управления – Установка и удаление программ – Установка компонентов системы. Правда, работать с ними придется, установив предварительно в компьютер диск с ОС. Повысить же роль компьютера можно с помощью командной строки, введя в нее команду dcpromo.

Помимо этого, проверка контроллера домена вполне может выполняться при помощи специализированных утилит, которые работают фактически в автоматизированном режиме, то есть позволяют получить нужную информацию после запуска программы и наладить работу контроллеров после выполнения диагностики. К примеру, вы можете использовать утилиту Ntdsutil.exe, которая предоставляет возможность подключения к новоустановленному контроллеру домена для проверки возможности откликаться на запрос от LDAP. Равно при помощи данного программного обеспечения имеется возможность определить имеется ли в контроллере информация про расположение ролей FSMO в собственном домене.

Читать еще:  Gmail на своем домене

Существуют еще некоторые простые способы, которые позволят вам диагностировать соответствующую работу контроллеров. В частности вы можете зайти в HKEY _ LOCAL _ MACHINE SYSTEM CurrentControlSet Services (раздел реестра) и там поискать подраздел NTDS , наличие которого свидетельствует о нормальном выполнении функций контроллера домена. Есть метод введения net accounts в командной строке и там, если компьютер является контроллером домена, вы увидите в строчке Computer role значение BACKUP или PRIMARY, другие значения имеются на простых компьютерах.

Также вы можете прочитать про хостинг linux и другие статьи.

Active Directory: контроллеры доменов

Контроллеры доменов являются серверами, поддерживающими работу Active Directory. Каждый контроллер домена имеет собственную копию базы данных Active Directory, поддерживающую запись. Контроллеры домена выступают в роли центрального компонента безопасности в домене.

Все операции безопасности и проверки учетных записей выполняются на контроллере домена. Каждый домен должен иметь как минимум один контроллер домена. Для обеспечения устойчивости к ошибкам рекомендуется для каждого домена устанавливать как минимум два контроллера домена.

В операционной системе Windows NT запись в базу данных поддерживал только один контроллер домена, то есть для создания и изменения параметров учетных записей пользователей необходимо было подключение к контроллеру домена.

Такой контроллер назывался первичным контроллером домена (Primary Domain Controller — PDC). Начиная с операционной системы Windows 2000 архитектура контроллеров доменов была изменена таким образом, чтобы обеспечить возможность обновления базы данных Active Directory на любом контроллере домена. После обновления базы данных на одном контроллере домена, изменения реплицировались на все остальные контроллеры.

Хотя все контроллеры домена поддерживают запись в базу данных, они не идентичны. В доменах и лесах Active Directory существуют задачи, которые выполняются определенными контроллерами домена. Контроллеры домена с дополнительными обязанностями известны как хозяева операций (operation masters). В некоторых материалах компании Microsoft такие системы называются Flexible Single-Master Operations (FSMO). Многие верят, что термин FSMO использовался так долго только из-за того, что произнесенная аббревиатура звучит очень смешно.

Существует пять ролей хозяев операций. По умолчанию все пять ролей выдаются первому контроллеру домена в лесу Active Directory. Три роли хозяев операций используются на уровне доменов и назначаются первому контроллеру домена в созданном домене. Утилиты Active Directory, которые рассматриваются далее, позволяют передавать роли хозяев операций от одного контроллера другому контроллеру домена. Кроме этого, можно заставить контроллер домена принять на себя определенную роль хозяина операции.

Существует две роли хозяев операций, которые работают на уровне леса.

  • Хозяин именования домена (Domain naming master) — к этим хозяевам операций необходимо обращаться каждый раз, когда в пределах иерархии доменов леса вносятся изменения в именование. Задачей хозяина именования домена заключается в обеспечении уникальности имен доменов в пределах леса. Эта роль хозяина операций должна быть доступна при создании новых доменов, удалении доменов или переименовании доменов
  • Хозяин схемы (Schema master) — роль хозяина схемы принадлежит единственному контроллеру домена в пределах леса, на котором можно вносить изменения в схему. Как только изменения внесены, они реплицируются на все остальные контроллеры домена в пределах леса. В качестве примера необходимости внесения изменений в схему можно рассмотреть установку программного продукта Microsoft Exchange Server. При этом в схему вносятся изменения, позволяющие администратору одновременно управлять учетными записями пользователей и почтовыми ящиками

Каждая из ролей на уровне леса может принадлежать только одному контроллеру домена в пределах леса. То есть, можно использовать один контроллер в роли хозяина именования домена, а второй контроллер в роли хозяина схемы. Кроме этого, обе роли можно назначить одному контроллеру домена. Такое распределение ролей используется по умолчанию.

Каждый домен в пределах леса имеет контроллер домена, выполняющий каждую из ролей уровня домена.

  • Хозяин относительных идентификаторов (RID master) — хозяин относительных идентификаторов отвечает за назначение относительных идентификаторов. Относительные идентификаторы являются уникальной частью идентификатора безопасности (Security ID — SID), который используется для определения объекта безопасности (пользователя, компьютера, группы и т.д.) в пределах домена. Одной из главных задач хозяина относительных идентификаторов является удаление объекта из одного домена и добавление объекта в другой домен при перемещении объектов между доменами.
  • Хозяин инфраструктуры (Infrastructure master) — задачей хозяина инфраструктуры является синхронизация членства в группах. При внесении изменений в состав групп, хозяин инфраструктуры сообщает об изменениях всем остальным контроллерам домена.
  • Эмулятор первичного контроллера домена (PDC Emulator) — эта роль используется для эмуляции первичного контроллера домена Windows NT 4 для поддержки резервных контроллеров домена Windows NT 4. Еще одной задачей эмулятора первичного контроллера домена является предоставление центральной точки администрирования изменений в паролях пользователей, а также политик блокирования пользователей.

Слово «политики» достаточно часто используется в этом разделе для ссылки на объекты групповых политик (group policy objects — GPO). Объекты групповых политик являются одной из главных полезных особенностей Active Directory и рассматриваются в соответствующей статье, ссылка на которую представлена ниже.

Контроллер домена — Domain controller

На Серверы Microsoft , контроллер домена ( DC ) является компьютер — сервер , который отвечает на запросы аутентификации безопасности (вход в систему , проверки прав доступа и т.д.) в пределах домена Windows . Домен является понятие , введенное в Windows NT , посредством которого пользователь может быть предоставлен доступ к ряду ресурсов компьютера с использованием одного имени пользователя и пароля комбинации.

содержание

история

С Windows NT 4 сервера , один контроллер домена на домен был настроен в качестве основного контроллера домена (PDC); все остальные контроллеры домена были резервные контроллеры домена (BDC).

Читать еще:  Хозяин операций домена

Из-за критического характера ОМР, передовая практика диктуется, что PDC должен быть посвящен исключительно к услугам домена, а не используется для файлов, печати или служб приложений, которые могут замедлить или врезаться в систему. Некоторые сетевые администраторы приняли дополнительный шаг, имеющий специальную BDC онлайн с явной целью, чтобы быть доступны для продвижения, если PDC не удалось.

BDC может аутентифицировать пользователей в домене, но все обновления домена (новые пользователи, измененные пароли, членство в группах и т.д.) могут быть сделаны только через PDC, который затем распространять эти изменения на все резервные контроллеры домена в домене. Если PDC был недоступен (или не может связаться с пользователем с просьбой об изменении), обновление потерпит неудачу. Если PDC был постоянно недоступен (например, если машина не удалась), существующий BDC может быть повышен, чтобы быть PDC.

Windows 2000 и более поздние версии введены Active Directory ( «AD»), которая в значительной степени устранена концепции PDC и BDC в пользу мульти-мастер репликации . Тем не менее, есть еще несколько ролей , которые только один контроллер домена может выполнять, называется Гибкая одиночная мастер операция ролей. Некоторые из этих ролей должны быть заполнены одним DC для каждого домена, в то время как другие требуют только одного DC за AD леса . Если сервер выполняет одну из этих ролей теряются, домен все еще может функционировать, и если сервер не будет доступен снова, администратор может назначить альтернативный DC , чтобы взять на себя роль в процессе , известном как «заедание» роль.

Первичный контроллер домена

В Windows NT 4, один постоянный ток служит в качестве основного контроллера домена (PDC). Другие, если они существуют, как правило, резервный контроллер домена (BDC). PDC, как правило, обозначают как «первый». «Диспетчер пользователей для доменов» это утилита для сохранения информации пользователей / групп. Он использует базу данных безопасности домена на первичном контроллере. PDC имеет мастер копию базы данных учетных записей, которые он может получать доступ и изменять. Компьютеры BDC есть копия этой базы данных, но эти копии только для чтения. PDC будет реплицировать свою базу данных учетных записей на серверах BDC на регулярной основе. В BDCs существует для того, чтобы обеспечить резервное копирование на PDC, а также может быть использован для аутентификации пользователей входа в сеть. Если PDC должен потерпеть неудачу, один из резервных контроллеров домена может быть повышен занять свое место. PDC, как правило, будет первым контроллером домена, который был создан, если он не был заменен рекламируемый НМТ.

эмуляция PDC (контроллер домена Primary)

В современных версиях Windows, домены были дополнены использованием Active Directory услуг. В доменах Active Directory, концепция первичных и вторичных отношений контроллера домена больше не применяется. PDC эмуляторы держат счета базы данных и средства администрирования. В результате, большая нагрузка может замедлить работу системы. Служба DNS может быть установлена на вторичном эмуляторе машины , чтобы уменьшить нагрузку на эмулятор PDC. Те же правила применяются; только один PDC , может существовать на домене, но несколько серверов репликации все еще может быть использован.

  • В PDC мастер — эмулятора действует вместо PDC , если есть Windows NT 4.0 Контроллеры домена (BDC) , остающиеся в пределах области, действуя в качестве источника для их репликации.
  • Мастер PDC эмулятор получает льготную репликацию изменений паролей в домене. Как изменения пароля потребуется время для репликации на всех контроллерах домена в домене Active Directory, то PDC мастер Эмулятор получает уведомление об изменениях пароля немедленно, и если попытка входа терпит неудачу на другой контроллер домена, что контроллер домена пересылает запрос на вход к PDC мастер-эмулятор, прежде чем отвергнуть его.
  • Главный эмулятор PDC также служит в качестве машины , к которой все контроллеры домена в домене будет синхронизировать свои часы. Это, в свою очередь, должно быть выполнено с возможностью синхронизации с внешним NTP источника времени.

самба

PDC добросовестно воссоздан на Samba эмуляции Microsoft в SMB системы клиент / сервер. Samba имеет возможность эмулировать домен NT 4.0, а также современный Active Directory Domain Services на Linux машине.

контроллер домена резервного копирования

В Windows NT 4 доменов, контроллер домена резервного копирования (BDC) представляет собой компьютер, который имеет копию базы данных учетных записей. В отличии от базы данных учетных записей на контроллере домена баз данные BDC является только для чтения копии. При внесении изменений в базу данных мастера-счетах на PDC, то PDC раздвигает обновления вплоть до серверов BDC. Эти дополнительные контроллеры домена существуют для обеспечения отказоустойчивости. Если PDC не удается, то он может быть заменен на BDC. При таких обстоятельствах, администратор способствует BDC быть новой PDC. BDCs также может проверять подлинность запросов на вход в систему пользователя и взять часть нагрузки аутентификации от PDC.

Когда Windows 2000 был выпущен, домен NT , как найти в NT 4 и более ранних версиях была заменена Active Directory . В доменах Active Directory работает в основном режиме, концепция PDC и BDC не существует. В этих областях, все контроллеры домена считаются равными. Побочный эффект этого изменения является потерей способности создавать «только для чтения» контроллера домена. Windows Server 2008 повторно эту возможность.

Номенклатура

Windows Server может быть один из трех видов: Active Directory «контроллеры домена» (те, которые обеспечивают идентичность и аутентификацию), Справочник «рядовые сервера» Активные (те, которые предоставляют бесплатные услуги, такие как хранилища файлов и схему) и рабочая группа Windows «автономный серверы». Термин «Directory Server Active» иногда используется Microsoft, как синоним «контроллер домена», но этот термин не рекомендуется.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector
×
×