IT2web

Системному администратору Windows Server

Главная --> Active Directory

Сетевые сервисы | Active Directory



Роли FSMO. Мастер доменных имен

Мастер доменных имен (Domain naming master) один на весь лес и отвечает за добавление в лес новых доменов, кроме существующих доменов из леса, и за добавление/удаление объектов перекрестных ссылок на внешние каталоги. Эти операции может выполнять только администратор с правами Enterprise Admins.

 

Роли FSMO. Имитатор РDС

Имитатор PDC (PDC Emulator) прежде всего нужен для клиентов старого типа (ранее Windows 2000), так как с их точки зрения он играет роль главного контроллера домена. Кроме того, он является основным обозревателем домена (master browser) для приложений,ориентированных на NetBIOS.

 

Роли FSMO. Мастер инфраструктуры


Чтобы понять, как правильно расположить мастер инфраструктуры, надо знать, как он работает. Когда объект на одном контроллере домена ссылается на отсутствующий в локальной базе объект, этот объект представляется в виде записи, содержащей GUID объекта, его SID (если это участник безопасности) и его отличительное имя DN.

 

Роли FSMO. Мастер RID

Мастер относительных идентификаторов (RID):

  • хранит общий пул идентификаторов домена и выдает их контроллерам по мере необходимости; при этом обеспечивается уникальность RID в домене
  • переносит объекты из одного домена в другой; дело в том, что при переносе учетной записи между доменами у нее меняется DN и SID,
    а вот уникальный ID остается неизменен;
  • мастер RID следит, чтобы в домене не появилось двух объектов с одним уникальным ID.

Компьютер с мастером RID относительно не загружен и поэтому может располагаться на тех же контроллерах, где находятся другие мастера доменных операций.

 

Как передать роли FSMO ?

В лесу Windows 2008 есть пять ролей FSMO. Выполнить передачу этих ролей в Windows можно двумя способами. В этой статье рассмотрен способ передачи всех пяти ролей с помощью оснасток консоли управления. Все эти роли перечислены ниже.

 

 

Бекапить Active Directory (резервное копирование)


Одним из важных аспектов использования Active Directory является восстановление в случае отказа. Для защиты от отказа стоит всегда иметь надежную резервную копию Состояния системы (System State). Резервное копирование состояния системы позволяет обеспечить сохранение файлов, критических для функционирования системы. В число этих файлов входят Active Directory, системный реестр и содержимое папки SYSVOL, которая содержит регистрационные сценарии и шаблоны групповых политик. При отказе контроллера домена лучшим способом восстановления является вообще отказ от восстановления.
 

Заставьте других работать или Делегирование полномочий в Active Directory

Наложение административных разрешений на объекты AD упрощает управление крупными инфраструктурами AD

Без делегирования прав AD невозможно распределить полномочия по управлению большим числом объектов AD (пользователей, компьютеров, принтеров, сайтов, доменов и т.д.) среди нескольких администраторов. Хороший пример успешного делегирования полномочий AD — предоставление специалистам службы технической поддержки прав, достаточных для изменения паролей пользовательских учетных записей AD, но не более того. Делегирование полномочий AD позволяет децентрализовать административные задачи и, как следствие, повысить эффективность управления, сократить затраты и улучшить общую управляемость крупных ИТ-инфраструктур.

 

Поднимаем домен Active Directory (AD)

 

Active Directory уже давно вошла в разряд консервативных принципов логического построения сетевой инфраструктуры. Но многие администраторы продолжают использовать рабочие группы и домены Windows NT в своей работе. Внедрение службы каталогов будет интересно и полезно как начинающим, так и опытным администраторам для централизации управления сетью и обеспечения должного уровня безопасности.

 

Что такое "контроллер только для чтения" RODC ?

Сегодня мы посмотрим на новую, сильно восхваляемую возможность в Windows Server 2008, называемую  контроллер домена на чтение, RODC (Read Only Domain Controller). Давайте посмотри, какие возможности дает нам данная технология.

Windows Server 2008 имеет достаточно много новых возможностей, которые делают его приятным для всех. Одна из этих возможностей - RODC.

 

Не работает репликация? Вам сюда.

Конфигурирование репликации между сайтами

Причина создания нескольких сайтов в Active Directory заключается в необходимости управлять трафиком репликации между несколькими офисами компании, особенно между теми, которые соединены низкоскоростными WAN-соединениями. Конфигурация сайта для вашей компании будет оказывать существенное воздействие на трафик репликации, идущий по сети.

Дополнительная информация. Сформулировать четкий критерий того, когда следует создавать дополнительный сайт, трудно из-за большого количества переменных, которые должны быть включены в этот критерий. В главе 5 приводится подробная информация о создании дополнительных сайтов. В этой главе далее рассмотрены другие вопросы построения Active Directory, которые нужно учитывать при проектировании топологии сайта.

Как сказано в главе 2, сайт в Active Directory — это место, в котором все контроллеры домена связаны друг с другом высокоскоростными соединениями. Одна из задач установки сети Active Directory состоит в определении того, где следует провести границы сайта, а затем соединить сайты вместе.

 

Репликация и сайты AD


В ActiveDirectoryWindowsServer 2003 предусмотрены два механизма репликации данных а именно:

  • Внутрисайтовая (intrasite) – действует внутри сайта;
  • Межсайтовая (intersite) – действует между сайтами.
Напомню, "сайт AD" – это набор подсетей IP, связанных между собой высокоскоростными линиями

 

Active Directory "версии" 2008.

Служба Active Directory давно уже является неотъемлемой частью сетей под управлением Microsoft Windows даже в небольших организациях. Причин тому множество, прежде всего это удобство централизованного управления доступом к различным ресурсам сети, групповые политики, позволяющие управлять различными настройками пользователей и рабочих станций и многое другое.

   Новый продукт компании Microsoft – Windows Server 2008 вносит изменения в структуру каталога Active Directory. Прежде всего, внесены изменения в уровни функционирования доменов и лесов. Напомню определения основных элементов сети Active Directory: доменов, деревьев и лесов.

 

Инструменты диагностики репликации Active Directory

Репликация Active Directory (AD) -- метод, посредством которого изменения в базе службы каталогов на одном контроллере домена (DC) передаются другим контроллерам. AD -- очень надежная и отказоустойчивая служба. Поскольку AD распределена по многим контроллерам домена, потеря части целого не нарушит работу всей службы каталогов. В лесу AD необходимо контролировать не только основные параметры DC, но и репликацию между контроллерами домена. Если не вести мониторинг, то со временем репликация в лесу нарушается, даже если администратор тщательно настроил контроллеры домена. Отслеживать и устранять неполадки репликации по мере возникновения значительно проще, чем восстанавливать лес с накопившимися проблемами. Но потребность в диагностике неизбежно возникает даже при мониторинге репликации AD. В данной статье объясняются основные принципы репликации и приводится простая методика диагностики неисправностей в репликации AD. Порой диагностика репликации AD представляет собой запутанный процесс. Следование описанному в статье порядку действий поможет упростить эту задачу.

 

AD:держатели ролей FSMO

В фундаменте инфраструктуры Microsoft находится каталог Active Directory. Как и положено «становому хребту» каталог AD – это чертовски крепкая вещь. Также, это один из примеров «Next-Next-Next – работает!» продуктов, которые без дополнительного сопровождения работают годами. Но есть ряд мифов и неточностей, которые просто необходимо каждый раз обсуждать с администраторами, сопровождающими каталог AD.

 

Переходим на Windows Server 2008 и Adprep

Ваша организация доросла до миграции контроллеров домена с Windows 2003 R2 на Windows 2008 R2.

Миграция 2003 на 2008 контроллер домена предварительно будет происходить по такому плану:
1. Поднятие 2008 R2,
2. Ввод в домен
3. Апгрейд схемы до версии 2008
4. Перенос FSMO ролей на него +DHCP
5. Гашение 1 сервера 2003.
6. Поднятие второго 2008 итд итп
в конечном итоге поднятие уровня с 2003 до 2008.

 

 

Рука руку греет: Active Directory и DNS

AD В продолжение предыдущей статьи, рассказывающей об основах DNS, хочу рассказать об более тесном взаимодействии службы Active Directory с DNS. В этой статье будет сделан основной упор на более глубокое понимание. В некоторых местах будет пересечение материалов, так же возможно буду ссылаться на предыдущею статью, используя ее в качестве основы. Хочется эту статью сделать такой же самостоятельной, что бы была возможность читать ее монолитно, не ища куски материалов в других местах. Итак начнем.

 

Вопросы по Active Directory + Ответы. Собеседование

Нашел в себе силы написать ответы на вопросы. Старался как можно полнее и яснее ответить на эти вопросы. Но сами понимаете, это достаточно трудно, да и если все детально описывать, то получится очередной resource kit. Пытался больше сосредоточиться на вопросах связанных с логикой работы AD, на другие вопросы предоставил ссылки в конце статьи. Большинство решений по вопросам проверены на практике или на стендах, на другие отвечал с использованием теории или логики. Будем верить, что теория не врет.

 

История и факты Active Directory

Я убежден, что историю знать нужно, как минимум историю тех вещей с которыми ежедневно имеешь дело, это своеобразный показатель уровня специалиста и его кругозора. В интернете среди определенных групп специалистов бытует мнение, что Active Directory украдена/заимствована у различных компаний и собственно ничего нового сама Microsoft в ней не придумала. Все эти высказывания довольно легко распыляются предложением показать оригинал и наконец открыть миру насколько он зеркально похож. Но на самом деле сейчас уже не важно в чьей светлой голове первой появилась идея создания службы каталогов, важна реализация. Колесо было создано ацтеками тысячи лет назад, но сейчас рядового гражданина волнует только то, что представители немецкого автопрома используют его несколько лучше российского.
 


Страница 2 из 2