Доменный контроллер. Active Directory: контроллеры доменов. Ниже резюмирована роль контроллера домена только для чтения

Лайкнуть

Лайкнуть

Твитнуть

Что такое BSoD

BSoD - Blue Sceen of Death, синий экран смерти. Появляется в самых критических ситуациях, когда закрытием сбойной программы обойтись нельзя.

Операционная система Windows имеет несколько уровней работающих программ. Мы видим лишь самый верхний - открытые окна программ и запущенные службы. Именно их показывает Диспетчер задач. Когда одна из программ совершает ошибку, которую не в состоянии обработать и обойти, она, как говорят многие пользователи, «вылетает». Можно снова запустить и работать дальше.

Программные модули, работающие на более низком уровне (драйвера), при ошибке перезапуститься не смогут. Операционная система Windows старается оградить пользователя от многих ошибок, но это не всегда получается и она капитулирует, показывая на экране компьютера грустную рожицу или набор символов.

Нужно понимать, что драйвера - посредник между программной и аппаратной частью компьютера. Сбоить могут как драйвера (программисты тоже люди, могут чего-то не учесть или ошибиться), так и железная часть компьютера.

Симптомы BSoD

1. Появление синего экрана с непонятными символами или грустным смайликом.

В 99% случаев компьютер перезагружается сам из-за критической ошибки (BSoD), но бывает ситуация похуже: проблемы с блоком питания или материнской платы. Если у вас настольный ПК, проверьте, не вздулись ли где-нибудь .

Причины появление синего экрана

1. Перегрев. Перегрев видеокарты, процессора приводит к синему экрану смерти.

Кстати, в Windows XP при перегреве видеокарты всегда возникал BSoD, в Vista и новее видеодрайвер просто перезагружается. Если вы видите надпись «Видеодрайвер перестал отвечать и был восстановлен», то это перегрев видеокарты:

Чем новее Windows, тем совершенней защита от сбоев. Будем надеяться, в какой-нибудь Windows XV вместо синего экрана мы будем видеть уведомление об ошибке, не мешающее работе.

2. Сбой оперативной памяти. Можно , но чтобы не попасть пальцем в небо, сначала прочтите дальше - возможно, причина вашего синего экрана смерти в чем-то другом.

Если вы установили новую оперативную память в компьютер и получили частые BSoD’ы, меняйте в магазине на исправную. Других способов побороть синие экраны смерти при замене оперативной памяти нет.

3. Сбой другого железа. Может быть, «проседает» напряжение в блоке питания. Может быть, где-то пропадает контакт. Может быть, вашему компьютеру не нравится полнолуние. Причин много, гадать можно бесконечно.

Если после того, как вы проанализировали минидамп (об этом ниже) и исключили ошибки, синий экран никуда не уходит, стоит заменить по очереди все компоненты. Нельзя просто так взять и определить причину BSoD, если каждый раз коды ошибок - разные.

4. Переразгон. Если вы продвинутый оверклокер, то знаете, какое отношение разгон компьютера имеет к BSoD. Если нет - не разгоняйте компьютер.

5. Сбой драйвера(ов). Причиной BSoD не обязательно будет аппаратная проблема. Нестабильно работающие драйвера - частый гость на компьютерах пользователей. Как выявить сбойный драйвер, будет дальше.

6. Вирусы. Обязательно проверьте компьютер каким-нибудь или .

Не устаю удивляться самоуверенности пользователей, которые заявляют «У меня нет вирусов и антивируса тоже! У меня прямые руки/сижу только на проверенных сайтах/иногда проверяю одноразовым антивирусом и поэтому все нормально! «. Оставляя в стороне дебаты о том, как можно жить без антивируса, задумайтесь: если человек видит BSoD, у него уже не нормальная ситуация. Как можно заявлять о том, что вирусов нет и это не причина синего экрана?

Также не надо думать, что если у вас установлен антивирус с самыми свежими базами, вирусов быть не может. Проверьте другим, чтобы полностью исключить вероятность.

7. Антивирусы. Забавно (и печально), что антивирусы бывают причиной сбоя. Удалите на время антивирус. Синие экраны смерти перестали появляться? Ставьте новый, чтобы синие экраны не появились по причине №6.

8. Обновления Windows. Разработчики в Microsoft иногда плохо тестируют обновления. Некоторые из-за этого вовсе отключают Центр обновления Windows и сидят без обновлений, хотя это не выход. Панель управления - Программы и компоненты - Просмотр установленных обновлений - нажмите правой кнопкой - Удалить по обновлениям, установленным недавно, затем проверяйте работу Windows. Все нормализовалось? Просто не ставьте обновления пару недель - обычно за это время выходит какое-нибудь исправляющее обновление для обновления и все становится хорошо.

9. Сбой программ. Такое бывает, но редко. Если видите BSoD во время игры или при работе какой-то определенной программы, советую проверить компьютер на перегрев, потому что большинство программ не способны вызвать синий экран, за исключением устанавливающих драйверы в систему (антивирусы, эмуляторы виртуальных дисков, системы игровой защиты вроде PunkBuster, бухгалтерские программы, работающие с цифровыми ключами).

10. Ошибки файловой системы жесткого диска. Не лишним будет

Узнаем причину BSoD

Как видите, причин довольно много и гадать не имеет смысла. К счастью, синий экран смерти содержит подсказки о том, с чего это вдруг Windows начала сбоить. Среди непонятного текста будут коды ошибок, содержащие прямое указание на то, что вызвало сбой.

Чаще всего BSoD вы не увидите , так как в настройках Windows по умолчанию включена перезагрузка компьютера при критических ошибках.

Отключить автоматическую перезагрузку Windows можно так: Панель управления - Система - Дополнительные параметры системы - Параметры - поставить/снять галки так, как на скриншоте ниже:

Обратите внимание на пункт «Малый дамп памяти» - его тоже поставьте.

Загуглите код ошибки из Журнала Windows

Галка «Записать событие в системный журнал» установлена по умолчанию, значит - коды ошибок будут в Журнале Windows.

Идите в Панель управления - Администрирование - Просмотр событий - Система - и ищите в списке строчку, по времени совпадающую с появлением синего экрана или перезагрузкой компьютера:

Ищите код ошибки (на скриншоте выше это 0x0000009f) в Гугле и читайте первые несколько сайтов в выдаче, выполняйте рекомендации, которые помогли другим. Если указан драйвер (слово с окончанием .sys, то вообще замечательно - вероятный виновник найден сразу, нужно установить драйвер для этого устройства более старой/новой версии. Если в интернете не будет четкого и ясного указания причины BSoD по указанному коду ошибки, читайте мою инструкцию дальше.

Если в Журнале Windows ничего нет, ждите появления синего экрана и смотрите ошибку там:

Просто ищите в Google информацию по коду ошибки и выполняйте рекомендации.

Анализируйте минидамп

К сожалению, если проблема в сбойном драйвере, на синем экране это не всегда отображено. Код ошибки тоже не всегда информативен. Нужно проанализировать файл minidump, создавамый во время появления BSoD и содержащий информацию о сбое, в частности о том, какие драйвера сообщили об ошибке. Существуют две программы для анализа минидампа: Windows Debugging Tools и BlueScreenView. К сожалению, первая слишком сложна для начинающих пользователей, хоть и дает более информативный результат. В 99% случаях хватает второй, простой и бесплатной BlueScreenView.

Установщик BlueScreenView доступен по этой ссылке.

После запуска программы вы увидите окно, в котором вверху будут созданные системой минидампы, информация о них, внизу - список драйверов. Желтым будут обозначены сбоившие драйвера.

Пример №1 - виновата видеокарта

Появляется синий экран с текстом ATTEMPTED_WRITE_TO_READONLY_MEMORY. Смотрим минидамп:

Ошибка ATTEMPTED_WRITE_TO_READONLY_MEMORY, судя по гуглению, вызывается каким-то драйвером. Вероятный виновник в данном случае - nv4_disp.sys. Есть и другие, но это часть системы, статистически маловероятно, что причина в них. Поиск в Google показал, что nv4_disp.sys - драйвер видеокарты от nVidia. Три шага:

1. Проверка видеокарты на перегрев.

2. Установка более старого драйвера видеокарты (нового, если стоит старый). Так поступают с любыми драйверами, не только видеокарты.

3. Установка видеокарты в другой компьютер.

4. Если синий экран появляется на другом компьютере - несите видеокарту в сервис-центр. Если гарантия еще действует, можно бесплатно заменить на исправную.

5. На другом компьютере синий экран не появляется? Попробуйте установить другой блок питания на свой - причина может быть в нем.

6. Не помогает? Переустановите Windows начисто.

7. Если и это не поможет, несите в сервис-центр на диагностику.

Пример №2 - виновато совсем не то, что ожидалось

Синий экран с надписью PAGE_FAULT_IN_NONPAGED_AREA сопутствует множеству проблем:

Если бы вероятным сбойным драйвером был ntfs.sys, то я бы порекомендовал проверить жесткий диск на ошибки, а также заменить шлейф, идущий от жесткого диска к материнской плате. В данном случае BlueScreenView указывает на драйвер USB-порта и это могло бы быть правдой, но там, откуда я брал дамп для примера, у человека виновата материнская плата - на ней вздулись конденсаторы. Решение - системный блок в руки и топаем в сервис-центр.

Пример №3 - виноват антивирус

Нашел на просторах интернета вот такой минидамп:

Виновником был SRTSP.SYS - компонент антивируса от Norton. Решается его удалением.

Пример №4 - «битая» оперативная память

Синий экран с MEMORY_MANAGEMENT - признак того, что оперативная память непригодна для использования:

BlueScreenView указывает на вероятного виновника - ntoskrnl.exe. Это ядро Windows, оно не может быть причиной BSOD. В 99% случаев причина синего экрана с ошибкой MEMORY_MANAGEMENT - «битая» оперативная память. Придется ее менять.

Итоги разбора примеров

1. BlueScreenView указывает на сбой в драйвере, при этом виноватой может оказаться железка, с которой драйвер взаимодействует.

2. Определить, виноват ли сбой в драйвере или железо, можно путем перебора как драйверов, так и железа. Ставьте старые драйвера (например, те, что шли в комплекте на диске), скачивайте новые.

Наверное, ничего не пугает пользователя Windows так сильно, как внезапное появление BSOD или как еще принято говорить синего экрана смерти.

Падение операционной системы в BSOD сопровождается практически полным отказом всех функций и остановкой критически важных процессов, а также появлением синего фона с сообщением об ошибке. В самой первой версии Windows экран смерти выглядел довольно устрашающе и представлял собой темно-синий фон со случайным набором символов.

В более поздних версиях бессмысленная абракадабра была заменена информативным текстом, указывающим на код ошибки, а также на системный файл, некорректная работа которого стала её причиной. В Windows 8 и 8.1 экран смерти стал менее отталкивающим, но в то же время и менее информативным.

Вместо детальной технической информации, как это было в и более ранних версиях, пользователь видит грустный смайлик и сообщение о необходимости перезапуска компьютера. Чуть ниже приводится краткое описание ошибки с указанием её кода. Также может указываться проблемный системный файл. Цвет фона экрана смерти в Windows 8 и 8.1 также изменился и вместо ядовито-синего стал голубым.

Появление экрана смерти, как правило, всегда неожиданно. Возникнуть он может как при старте или выключении компьютера, так и процессе работы операционной системы. Что касается причин падения системы в BSOD, то их может быть множество.

Криво установленный драйвер, сбой в оперативной памяти, внезапная остановка критически важного процесса, перегрев материнской платы и центрального процессора, физические и логические ошибки магнитной дисковой поверхности - всё это может привести к внезапному прекращению работы Windows и появлению экрана смерти.

Что делать при появлении BSOD

Появление Screen of Death не обязательно указывает на «настоящую смерть» компьютера или Windows, это скорее защитная реакция на какую-то неполадку, мешающую нормальной работе системы. Поэтому первым делом нужно постараться установить источник этой неполадки.

В ряде случаев причина, приведшая к падению системы очевидна. Если экран смерти стал появляться после установки нового программного обеспечения, внесения каких-либо изменений в конфигурационные файлы или после подключения к компьютеру нового устройства, то, скорее всего источник проблем кроется в недавних действиях пользователя.

В таких случаях бывает достаточно удалить недавно установленные программы или драйвера, выполнить откат к раннему состоянию операционной системы или заменить неисправное устройство. Для установления точных причин падения в BSOD нужно знать код ошибки.

Найти его можно тут же на экране, во второй или третьей строке. Однако поскольку сразу после появления синего экрана смерти Windows перезапускается, чтобы переписать этот код вам потребуется отключить автоматику. Для этого в окошке Run выполняем команду sysdm.cpl, в открывшемся окошке переключаемся на вкладку «Дополнительно» и в параметрах снимаем птичку «Выполнить автоматическую перезагрузку».

Ошибки программные и аппаратные

Найти описание самих кодов BSOD можно на специализированных сайтах, например, таких как bsodstop.ru. Причины, приводящие к появлению BSOD можно условно разделить на две больших категории - программные и аппаратные. В первую категорию входят различные повреждения системных файлов, записей загрузочных секторов, действия вирусов, а также некорректно работающее программное обеспечение.

Ко второй категории относятся сбои в электропитании, перегрев важнейших аппаратных компонентов, неправильная работа подключенных к компьютеру устройств (флешек, USB-хабов, дисков, беспроводных модемов), модулей оперативной памяти, физические ошибки жесткого диска.

Самый простой способ определить является ли проблема аппаратной или программной - попробовать загрузиться с обычного Live-CD. Если экран смерти по-прежнему будет появляться, то, скорее всего причина неполадок кроется в самом «железе».

Как вариант можно попробовать выявить источник проблемы с помощью специальных утилит для тестирования аппаратной составляющей ПК. Для проверки жесткого диска, к примеру, можно использовать утилиту MHDD, для тестирования оперативной памяти утилиту Memtest.

Некоторые распространенные ошибки BSOD

Но как мы уже сказали, установить причину BSOD проще всего просмотрев расшифровку кода ошибки. Приведем несколько наиболее часто встречающихся примеров BSOD.

FILE SYSTEM или 0x00000024. Эта ошибка появляется в случае сбоя драйвера .sys. Ее причина заключается в наличие на жестком диске поврежденных секторов, драйверов SCSI или IDE, а также при повреждении данных на диске или непосредственно в памяти ПК.

В легких случаях ошибка лечится стандартной утилитой chkdsk. Если применение chkdsk не дало нужных результатов, следует тщательно проверить аппаратное обеспечение дисковой подсистемы. смерти могут вызывать некорректно работающие контроллеры и поврежденные кабели IDE и SCSI.

INACCESSIBLE BOOT DEVICE или 0x0000007B. Еще одна распространенная ошибка BSOD указывающая на проблемы доступа к системному логическому диску. Причиной ошибки могут служить вредоносное программное обеспечение, некорректная установка Windows, повреждение файловой системы, дискового контроллера, несовместимость аппаратного обеспечения, неверные настройки BIOSa, конфликты распределения памяти.

Устранить неполадку может обновление BIOSa, встроенного программного обеспечения контроллера SCSI, демонтаж недавно установленных аппаратных средств, выполнение Chkdsk с параметрами /f/r.

STATUS SYSTEM PROCESS TERMINATED или 0xC000021A. Это программная ошибка, указывающая на сбой драйвера, пользовательского приложения или сторонней службы. Решением может стать обновление драйверов (или, напротив, откат к ранней версии), удаление недавно установленных сторонних программ и служб.

DATA BUS ERROR или 0x0000002E. Ошибка, указывающая на проблемы с аппаратным обеспечением. Наиболее распространенными причинами, её вызывающими являются дефект оперативной памяти, сбои в работе видеопамяти и кэш-памяти 2 уровня RAM (L2). Ошибку 0x0000002E может вызывать повреждение магнитной поверхности жесткого диска, а также попытка драйвера оборудования получить доступ к несуществующему адресу в диапазоне 0x8xxxxxxx.

Лечится ошибка заменой «подозрительных» аппаратных компонентов, обновлением программного обеспечения , контроллера SCSI и сетевых плат, заменой или обновление драйверов устройств, выполнением Chkdsk с параметрами /f/r на системном разделе. Также не помешает проверить качество контактов всех компьютерных плат.

Вместо итога

Как видите, причины появления BSOD в Windows 8 и 8.1, равно как и в более ранних версиях ОС могут быть весьма разнообразны. К сожалению, на данный момент не существует единого алгоритма устранения ошибок Screen of Death. Их количество исчисляется несколькими сотнями и каждая из них может требовать сугубо индивидуального подхода.

Поэтому если вы не уверены в своих силах, не пытайтесь исправить ошибки BSOD самостоятельно, особенно когда дело касается аппаратных неполадок. Исключение составляют явно очевидные ошибки, вызываемые подключением к компьютеру внешних устройств, а также сбоем программного обеспечения. В остальных случаях устранение экрана смерти лучше доверить профессионалам.

На этом пожалуй я и закончу свой рассказ всем пока и до новых интересных встреч с вами дорогие мои друзья...

У меня возникла необходимость развернуть службу Active Directory в территориально разделенных местах, сети которых объединены с помощью vpn. На первый взгляд задача кажется простой, но лично я раньше подобными вещами не занимался и при беглом поиске не смог найти какую-то единую картину или план действий в таком случае. Пришлось собирать информацию из разных источников и самому разбираться с настройками.

Из этой статьи вы узнаете:

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24 , в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

• Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
• Устанавливаем контроллер домена во второй подсети и добавляем его в домен
• Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4 , второй — xm-winsrv 10.1.4.6 . Домен, который мы будем создавать будет называться xs.local

Настройка контроллеров домена для работы в разных подсетях

Первым делом устанавливаем контроллер домена в новом лесу на первом сервере xs-winsrv . Подробно останавливаться на этом я не буду, в интернете много обучалок и инструкций на эту тему. Все делаем стандартно, ставим AD, DHCP и DNS службы. В качестве первого DNS сервера указываем локальный ip адрес, в качестве второго 127.0.0.1 :

Дальше устанавливаем Windows Server 2012R2 на второй сервер xm-winsrv . Теперь делаем несколько важных шагов, без которых добавить второй сервер в домен не получится. Оба сервера должны по имени пинговать друг друга. Для этого в файлы C:\Windows\System32\drivers\etc\host добавляем записи друг о друге.

В xs-winsrv добавляем строку:

10.1.4.6 xm-winsrv

В xm-winsrv добавляем:

10.1.3.4 xs-winsrv

Теперь второй важный момент. На сервере xm-winsrv указываем в качестве первого DNS сервера первый контроллер домена 10.1.3.4:

Теперь оба сервера резолвят друг друга. Проверим это в первую очередь на сервере xm-winsrv , который мы будем добавлять в домен:

После этого сервер xs-winsrv нужно перенести из сайта Default-First-Site-Name в новый созданный для него сайт. Теперь все готово для добавления второго сервера в домен.

Добавление второго контроллера домена из другой подсети

Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен , указываем наш домен xs.local :

На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:

Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC) . Дальше все настройки оставляем по-умолчанию.

После перезагрузки сервера, он окажется в домене xs.local . Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:

На этом все. Можно добавлять компьютеры в обоих офисах в домен.

Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.

Надеюсь, что я все сделал правильно. Глубоких знаний в репликации Active Directory у меня нет. Если у кого-то есть замечания по содержанию статьи, напишите об этом в комментариях. Всю информацию я собрал в основном по форумам, где задавали вопросы или решали проблемы по схожей тематике работы домена в разных подсетях.

Онлайн курс "Администратор Linux"

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Администратор Linux» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров. Проверьте себя на вступительном тесте и смотрите программу детальнее по.

В средних и крупных компаниях для управления инфраструктурой корпоративной сети принято использовать доменные службы с одним или несколькими контроллерами домена Active Directory, которые формируют сайты и леса. Доменные службы, о которых пойдет речь в этой статье, позволяют проверять подлинность пользователей и клиентских компьютеров, централизованно управлять инфраструктурными единицами предприятия при помощи групповых политик, предоставлять доступ к общим ресурсам и многое другое. Структура идентификации и доступа корпоративных сетей Active Directory включает в себя пять технологий:

• Доменные службы Active Directory (Active Directory Domain Services — AD DS);
• Службы сертификации Active Directory (Active Directory Certificate Services — AD CS);
• Службы управления правами Active Directory (Active Directory Rights Management Services — AD RDS);
• Службы федерации Active Directory (Active Directory Federation Services — AD FS);
• Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services — AD LDS).

Основной технологией Active Directory считаются доменные службы (AD DS). Именно при помощи данной службы вы можете развернуть контроллер домена, без которой в основных службах просто нет необходимости. Серверную роль доменных служб Active Directory можно устанавливать как при помощи графического интерфейса, так и средствами командной строки в полной редакции Windows Server 2008/2008 R2, а также в редакциях ядра сервера Windows Server 2008/2008 R2 средствами командной строки. В этой статье речь пойдет именно об установке роли AD DS при помощи командной строки (как в полной версии, так и в режиме ядра доменные службы Active Directory средствами командной строки устанавливаются одинаково). Но перед командами установки данной роли рекомендую ознакомиться с некоторыми терминами, которые используются в данной технологии:

Контроллер домена . Контроллером домена называется сервер, выполняющий роль доменных служб, или служб каталогов, как называлось ранее, на нем также располагается хранилище данных каталогов и протокол распределения ключей Kerberos (Kerberos Key Distribution Center — KDC). Этот протокол обеспечивает проверку подлинности объектов идентификации в домене Active Directory.

Домен . Домен – это административная единица, внутри которой расположены компьютеры, группы безопасности и пользователи одной сети, управляемые контроллером домена, использующие единые определенные возможности. Контроллер домена реплицирует раздел хранилища данных, который содержит данные идентификации пользователей, групп и компьютеров домена. Причем, учетные записи пользователей и компьютеров расположены не локально на клиентских компьютерах, а на контроллере домена, то есть используется сетевой вход в системы на всех рабочих местах. Помимо этого, домен является областью действия административных политик разного характера.

Лес . Совокупность доменов, использующих единую схему каталога, называется лесом доменов. По сути, лес представляет собой самую внешнюю границу службы каталогов, где первый установленный домен называется корневым. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Лес может состоять из одного или нескольких доменов. Внутри леса домены связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена.

Дерево . Внутри леса домена, пространство доменных имен содержит деревья леса. Домены интерпретируются как деревья в том случае, если один домен является дочерним для другого. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов.

Сайт . Сайтом называется такой объект Active Directory, как контейнер, предоставляющий часть предприятия с хорошей сетевой коммуникацией. Сайты обычно используются предприятиями, у которых филиалы разбросаны по всей стране или по разным странам и даже континентам. Сайт создает периметр репликации и использования служб Active Directory. Основные задачи сайтов – управление трафиком репликации и локализации служб. Репликацией называется перенос изменений с одного контроллера домена на другой, а локализация служб позволяет пользователям проходить проверку подлинности на любом контроллере домена во всем сайте.

Установка роли доменных служб Active Directory

Как в случае с установкой при помощи графического интерфейса, так и средствами командной строки для создания контроллера домена, вам нужно сначала установить роль доменных служб Active Directory, а затем запустить мастер установки доменных служб, который открывается с помощью команды Dcpromo.exe. На примере, приведенном в данной статье, будет происходить установка контроллера домена под Windows Server 2008 R2 в режиме полной установки, хотя сам процесс ничем не отличается от установки в режиме ядра.

Для установки роли доменных служб Active Directory при помощи командной строки, следует воспользоваться средством для управления конфигурацией сервера ServerManagerCmd . Перед установкой роли доменных служб Active Directory убедитесь в том, что ваш сервер переименован и у вас настроен IPv4 адрес компьютера. Выполните следующие действия:

Рис. 3. Установка роли доменных служб средствами PowerShell

Повышение роли доменных служб контроллера домена

Для автоматической установки контроллера домена средствами командной строки используется команда Dcporomo с определенными параметрами автоматической установки. Для автоматической установки доступно порядка сорока параметров. В нашем случае мы не будет использовать параметры. Поэтому, если вы хотите узнать все параметры, выполните команду Dcpromo /?:Promotion . Рассмотрим те параметры, которые нам пригодятся при установке контроллера домена:

/NewDomain – этот параметр определяет тип создаваемого домена. Доступные параметры: Forest – корневой домен нового леса, Tree – корневой домен нового дерева в существующем лесу, Child – дочерний домен в существующем лесу;

/NewDomainDNSName – при помощи этого параметра указывается полное имя нового домена (FQDN);

/DomainNetBiosName – при помощи этого параметра вы можете присвоить NetBIOS-имя для нового домена;

/ForestLevel – при помощи этого параметра вы можете указать режим работы леса при создании нового домена в новом лесу. Доступные параметры: 0 – основной режим Windows 2000 Server, 2 – основной режим Windows Server 2003, 3 – основной режим Windows Server 2008, 4 – основной режим Windows Server 2008 R2;

/ReplicaOrNewDomain – указывает, следует ли устанавливать дополнительный контроллер домена или первый контроллер в домене. Доступные параметры: Replica — дополнительный контроллер домена в существующем домене, ReadOnlyReplica — контроллер домена только для чтения в существующем домене, Domain — первый контроллер домена в домене;

/DomainLevel — указывает режим работы домена при создании нового домена в существующем лесу, причем режим работы домена не может быть ниже режима работы леса. По умолчанию устанавливается значение идентичное значению /ForestLevel;

/InstallDNS – при помощи этого параметра вы можете указать, будет ли для данного домена установлена система доменных имен;

/dnsOnNetwork – при помощи этого параметра определяется, имеется ли в сети служба DNS. Этот параметр используется только в том случае, если для сетевого адаптера этого компьютера не настроено имя DNS-сервера для разрешения имен. Значение No означает, что на этом компьютере будет установлен DNS-сервер для разрешения имен. В противном случае нужно сначала настроить имя DNS-сервера для сетевого адаптера.

/DatabasePath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, на котором хранится база данных домена. Например, C:WindowsNTDS;

/LogPath – при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, содержащего файлы журнала домена. Например, C:WindowsNTDS;

/SysVolPath — при помощи этого параметра вы можете указать полный путь (не в формате UNC) к каталогу на фиксированном диске локального компьютера, например C:WindowsSYSVOL;

/safeModeAdminPassword – при помощи этого параметра указывается пароль, соответствующий имени администратора, который используется для повышения роли контроллера домена;

/RebootOnCompletion – этот параметр указывает, перезагружать ли компьютер независимо от успешности завершения операции. Доступны параметры: Yes и No .

В итоге, для установки контроллера домена, воспользуемся следующей командой:

Dcpromo /unattend /InstallDNS:Yes /dnsOnNetwork:Yes /ReplicaOrNewDomain:Domain /NewDomain:Forest /NewDomainDNSName:testdomain.com /DomainNetBiosName:testdomain /DatabasePath:"C:WindowsNTDS" /LogPath:"C:WindowsNTDS" /SysvolPath:"C:WindowsSYSVOL” /safeModeAdminPassword:P@ssw0rd /ForestLevel:4 /DomainLevel:4 /RebootOnCompletion:No

Рис. 4. Установка контроллера домена

Заключение

В этой статье вы ознакомились с технологией доменных служб Active Directory, узнали о значении таких терминов, как контроллер домена, домен, лес, дерево и сайт. В статье подробно описан процесс установки роли доменных служб и контроллера домена при помощи утилит командной строки ServerManagerCmd и Dcpromo.exe. Даны пошаговые рекомендации для установки роли доменных служб Active Directory средством управления конфигурацией сервера ServerManagerCmd и командлетом PowerShell.

Один из вариантов построения локальной сети – это сеть на основе сервера . Подобного рода сети используются в том случае, когда количество компьютеров превышает 15-20 штук. В такой ситуации уже неуместно использовать так называемые рабочие группы , поскольку одноранговая сеть с таким количеством узлов не может обеспечить необходимый уровень управляемости и контроля. В этом случае функции контроля лучше возложить на управляющий сервер – .

Для управления работой сервера используются специальные версии операционной системы с расширенными функциями администрирования. Примерами таких операционных систем являются Windows Server 2008 или Windows Server 2012 .

После установки на отдельный компьютер серверной операционной системы, прежде чем она сможет организовать работу локальной сети, требуется произвести определенные настройки. Серверная операционная система представляет собой универсальный механизм с очень широкими возможностями, или, как их часто называют, ролями. Одной из таковых ролей, причем, наверное, самой сложной и ответственной, является . Если вы планируете получить эффективный механизм управления пользователями сети, его придется в любом случае настроить.

Создание контроллера домена влечет за собой установку такого системного механизма, как Active Directory – основного средства создания, настройки и управления учетными записями пользователей и компьютеров локальной сети. Кроме того, как правило, на контроллер домена сразу же добавляются роли и , что делает сервер законченным и готовым к использованию продуктом.

Одним из безусловных плюсов доменной системы является возможность гибкой настройки групповых политик, с помощью которых можно ограничивать доступ не только к программной, но и к аппаратной части компьютера. Например, легко можно запретить использование DVD-привода, флеш-накопителей и т.д. Групповая политика начинается в момент входа пользователя в сеть, поэтому ему никак не удастся обойти эти ограничения.

Контроллер домена – наиболее важное и уязвимое место локальной сети, поэтому рекомендуется создавать резервный контроллер. В этом случае дополнительный контроллер домена получает название вторичного, а главный домен становится первичным контроллером домена. Периодически происходит синхронизация данных учетных записей и прав доступа, поэтому в случае выхода из строя первичного контроллера – сразу же подключается вторичный, и работа в сети не прерывается ни на секунду. Кроме того, необходимо обеспечивать пассивную защиту домена путем установки на сервер источника бесперебойного питания.