Domov › Telefon › Primární řadič domény. Řadič domény: co to je a k čemu slouží? Nastavení ovladače. Replikace služby Active Directory Domain Services

Primární řadič domény. Řadič domény: co to je a k čemu slouží? Nastavení ovladače. Replikace služby Active Directory Domain Services

Mobilní zařízení zejména s operačním systémem od společnosti Microsoft Nokia Lumia, se osvědčily jako spolehlivá zařízení. Jejich práce však někdy selhává. Jde o softwarovou chybu, která brání zapnutí telefonu. Není nutné okamžitě odnášet telefon do servisního střediska. Li Windows Phone nezapne, existují způsoby, jak obnovit jeho funkčnost na vlastní pěst které lze v této situaci použít.

Obnovení smartphonu

Tak, co dělat, když se Windows Phone nezapne? Musíte připojit zařízení k nabíječka. Poté současně podržte tlačítko pro snížení hlasitosti a zapněte zařízení. Musíte držet tlačítka po dobu 15 sekund.

Poté by měl smartphone fungovat správně. Pokud se tak nestane a Windows telefon Telefon se nezapne, vyplatí se postup opakovat, ale po nabití zařízení po dobu 15-20 minut.

Extrémní opatření

I když po druhém pokusu o obnovení funkčnosti telefonu nedojde k žádným změnám v jeho provozu, existují dva poslední způsoby:

- reset hardwaru do továrního nastavení;
- kontaktovat servisní středisko za účelem změny firmwaru.

Na tvrdý reset, všechna uživatelská data a soubory budou trvale smazány. Když ale změníte firmware, stane se to samé. Data lze obnovit pouze automaticky zálohování data ze zařízení.

Chcete-li se vrátit k továrnímu nastavení, musíte stisknout tlačítka zařízení podle následujícího algoritmu:

- současně podržte tlačítko pro snížení hlasitosti a tlačítko pro odemknutí obrazovky;
- poté, co se objeví charakteristické vibrace, musíte znovu stisknout tlačítko snížení úrovně zvuku;
- na obrazovce by se měl objevit vykřičník, po kterém byste měli stisknout tlačítko pro zvýšení hlasitosti, tlačítko pro snížení hlasitosti, tlačítko pro vypnutí a znovu pro snížení hlasitosti.

Obnovení továrního nastavení může chvíli trvat a během této doby nelze telefon používat.

A i když tento postup nepomohl obnovit funkčnost zařízení, bohužel se nemůžete obejít bez kontaktování servisního střediska. Specialista posoudí situaci, určí příčinu problému a pomůže jej odstranit.

Nečekaný vzhled modré obrazovky smrti (BSOD) často uživatele Windows děsí, ne-li děsí.

Modrá obrazovka se zhroutí operační systém, které je obvykle doprovázeno absolutním výpadkem většiny funkcí a zastavením nejdůležitějších procesů pro jeho fungování.

V dřívější verze operační systémy od Microsoft BSOD vypadaly velmi děsivě a navenek byly reprezentovány náhodná sekvence postavy na modrém pozadí.

Později se ze sekvence znaků stal informativní text obsahující informace o kódu chyby a názvu systémového souboru, který způsobil selhání systému. Ve Windows 8 se BSOD stal méně děsivým, barva pozadí se změnila na světle modrou místo modré. Zároveň informační obsah modrá obrazovka znatelně klesla.

Foto: Modrá obrazovka smrti ve Windows 8

Pokud v operačních systémech před Windows 8 modrá obrazovka obsahovala úplné informace o příčině selhání, pak BSODWindows 8 zobrazuje pouze smutný smajlík a informace o nutnosti restartovat počítač. V dolní části obrazovky se zobrazí chybový kód s popisem, který může také označovat název souboru, který chybu způsobil.

Nastavení systému

Po Vzhled BSOD se děje automatický restart počítač, který se spustí, když indikátor načítání sběru informací dosáhne 100 %. To obvykle zabere velmi málo času a v kombinaci se skutečností, že se informace o poruše zobrazují na obrazovce poměrně malé, zabere čas na přečtení a zapamatování nejdůležitější informace kriticky chybí.

VWindowsNastavení můžete nakonfigurovat tak, aby se operační systém nerestartoval automaticky. VWindows8 k tomu potřebujete:

klikněte pravým tlačítkem myši na ikonu „Počítač“ a poté ze zobrazené nabídky vyberte „Vlastnosti“ (můžete použít klávesovou zkratku „Win“ + „Pauza“);
v levém menu aktivní okno vyberte „Pokročilá nastavení systému“;
klikněte na sekci „Upřesnit“;
v poli „Boot and Recovery“ vyberte „Options...“;
v okně „Boot and Recovery“ zrušte zaškrtnutí políčka vedle položky „Provést automatický restart“;
Kromě toho musíte změnit a uložit možnosti pro ukládání informací o ladění. Chcete-li to provést, v okně „Zapsat informace o ladění“ se doporučuje vybrat hodnotu „Small memory dump (256 Kb)“. Je vhodné neměnit adresář, do kterého se budou mini výpisy načítat. Výchozí hodnota je C:\WINDOWS\Minidump.

Foto: nastavení operačního systému

Nastavením parametrů tímto způsobem se v budoucnu, když dojde ve Windows ke kritické chybě, na obrazovce zobrazí modrá obrazovka smrti, uloží se výpis paměti a systém čeká na vynucený restart.

Důvody vzhledu

Vzhled obrazovky smrti je obvykle vždy nečekaný. Může k němu dojít buď při spouštění nebo vypínání počítače, nebo při provozu operačního systému. Pokud jde o důvody pádu systému v BSOD, může jich být mnoho.

Všechny důvody, které způsobují selhání operačního systému, jsou rozděleny na hardware a software.

Hardwarové problémy zahrnují situace související s výpadkem napájení, přehříváním jednotlivých komponent, nestabilním provozem jednotlivá zařízení, špatné sektory na pevném disku, nesprávná funkce ovladače zařízení.

Softwarové problémy zahrnují poškození spouštěcích oblastí, souborů operačního systému, následky virů a nesprávné fungování některých softwarových produktů.

Video: Jak opravit modrou obrazovku

Analýza výpisu paměti

Jakýkoli operační systém Rodina Windows Když dojde ke kritické chybě, pořídí nouzový snímek paměti RAM (výpis paměti) a uloží jej na pevný disk.

Existují 3 typy výpisu paměti:

mini výpis paměti obsahující omezené množství dat: chybový kód s možnostmi, seznam ovladačů umístěných v BERAN v okamžiku neúspěchu. Tyto informace jsou k určení zcela dostačující problémový řidič. Výhoda tohoto typu dump je kompaktnost výsledných souborů;
Výpis paměti jádra, který ukládá informace o jádře. Informace o uživateli se neukládají. Velikost souboru je určena velikostí paměti RAM;
plné paměťových lamp, ve kterých jsou zálohována všechna data RAM, a to při jeho velikosti rovna velikosti RAM se zvýšila o 1 megabajt. Plný záběr velmi zřídka používán kvůli své značné velikosti, zejména na systémech s velkým množstvím paměti RAM.

Po uložení crash dump paměť potřebuje analyzovat informace, které obsahuje. Existuje mnoho programů pro tyto účely, ale nejpohodlnější a nejsnáze se používá bezplatný nástroj BlueScreenView. Při jeho instalaci je důležité správně určit umístění snímků paměti v systému.

Pro analýzu vzniklé situace je nutné:

Chybové kódy modré obrazovky systému Windows 8

Po identifikaci příčiny modré obrazovky můžete analyzovat tabulku s popisem chybových kódů. Zdroje obsahující úplný seznam Na internetu je spousta chybových kódů s popisem a možností opravit problém.

Podívejme se na nejčastější chyby vedoucí k BSOD:

Mezi možné způsoby Chcete-li problém vyřešit, můžete si poznamenat aktualizaci systému BIOS, skenování disku s určitými parametry, demontáž „čerstvého“ hardwaru a aktualizaci ovladače řadiče SCSI;

Chyby jsou velmi rozmanité a neexistuje jediný algoritmus pro jejich odstranění. Jejich počet dosahuje stovek a každý z nich může vyžadovat čistě individuální přístup.

Video: Windows 8.1 🙁 CRITICAL_PROCESS_DIED

Řešení problému

Vzhled modré obrazovky smrti není pro počítač nebo operační systém vždy kritický. Často se jedná pouze o obrannou reakci na některé procesy, které komplikují normální procesy ve fungování systému. Je velmi důležité správně identifikovat příčinu problému.

V některých případech leží příčina poruchy na povrchu. To se stane při instalaci nového. software, úprava konfiguračních souborů nebo připojení k systémová jednotka nový hardware. V této situaci leží určitá vina na uživateli.

Řešením problému je odinstalace problematický program nebo řidič, vraťte se dříve Stav Windows 8, výměna konfliktního zařízení.

Pro jasnější definování posloupnosti akcí pro obnovení funkčnosti počítače a operačního systému je důležité přesně znát kód chyby BSOD, který je vidět na 2. nebo 3. řádku na modré obrazovce.

Nejjednodušším způsobem, jak určit povahu chyby (softwaru nebo hardwaru), je použití spouštěcí disk. Pokud je problém s BSOD stále relevantní, pak důvod pravděpodobně spočívá v hardwarových komponentách počítače.

V takové situaci se můžete pokusit určit zdroj problému pomocí specializované aplikace pro monitorování hardwaru osobního počítače.

Počítače často zažívají značné problémy kvůli softwaru nebo hardwaru. V takové situaci, aby se zabránilo vážnému selhání Počítač se systémem Windows 8 se zhroutí nebo restartuje a poté zobrazí BSOD - který obsahuje informace o chybě.

Hledejte v databázi Data společnosti Microsoft podle chybového kódu pomůže vyřešit problém a vrátit počítač do normálního provozu.

Asi mě nic neděsí uživatel Windows stejně jako náhlý výskyt BSOD nebo, jak se říká, modrá obrazovka smrti.

Zhroucení BSOD operačního systému je doprovázeno téměř úplným selháním všech funkcí a zastavením kritických procesů, stejně jako vzhled modré pozadí s chybovou hláškou. V úplně první verzi Obrazovka Windows smrt vypadala docela děsivě a měla tmavě modré pozadí s náhodnou sadou symbolů.

V pozdějších verzích byl nesmyslný gobbledygook nahrazen informativním textem označujícím kód chyby a systémový soubor nesprávný provoz která se stala její příčinou. Ve Windows 8 a 8.1 se obrazovka smrti stala méně odpudivou, ale zároveň méně informativní.

Místo podrobného technické informace, stejně jako v dřívějších verzích, se uživateli zobrazí smutný emotikon a zpráva o nutnosti restartovat počítač. Níže je uveden stručný popis chyby s uvedením jejího kódu. Může být také označen problematický systémový soubor. Barva pozadí obrazovky smrti ve Windows 8 a 8.1 se také změnila z jedovatě modré na azurovou.

Křivý nainstalovaný ovladač, selhání paměti RAM, kritické náhlé zastavení důležitý proces, přehřívání základní deska a centrální procesor, fyzické a logické chyby povrchu magnetického disku - to vše může vést k náhlému ukončení Operace Windows a objeví se obrazovka smrti.

Co dělat, když se objeví BSOD

Vzhled Screen of Death nemusí nutně znamenat „skutečnou smrt“ počítače nebo Windows, je to spíše obranná reakce na nějaký problém, který zasahuje normální provoz systémy. Proto první věc, kterou musíte udělat, je pokusit se určit zdroj tohoto problému.

V některých případech je důvod, který vedl ke zhroucení systému, zřejmý. Pokud se obrazovka smrti začala objevovat po instalaci nového softwaru, proveďte jakékoli změny konfigurační soubory nebo po připojení nového zařízení k počítači, pak s největší pravděpodobností zdroj problémů spočívá v nedávných akcích uživatele.

V takových případech může stačit odstranit jej nedávno nainstalované programy nebo ovladač, vrátit zpět do dřívějšího stavu operačního systému nebo vyměnit vadné zařízení. K založení přesné důvody Pokud spadáte do BSOD, musíte znát kód chyby.

Najdete ho přímo tam na obrazovce, ve druhém nebo třetím řádku. Protože se však ihned poté objeví modrá obrazovka smrt Windows restartuje, k přepsání tohoto kódu budete muset zakázat automatizaci. Chcete-li to provést, v okně Spustit spusťte příkaz sysdm.cpl, v okně, které se otevře, přejděte na kartu „Upřesnit“ a v parametrech zrušte zaškrtnutí políčka „Provést automatický restart“.

Chyby softwaru a hardwaru

Popis samotných kódů BSOD můžete najít na specializovaných stránkách, jako je bsodstop.ru. Důvody vedoucí ke vzniku BSOD lze rozdělit do dvou velkých kategorií – software a hardware. Do první kategorie patří různá poškození systémových souborů, záznamů boot sektory, účinky virů a také nefunkční software.

Do druhé kategorie patří výpadky napájení, přehřívání kritických hardwarových komponent, nesprávná činnost zařízení připojených k počítači (flash disky, USB rozbočovače, disky, bezdrátové modemy), moduly RAM, fyzické chyby pevný disk.

Nejjednodušší způsob, jak zjistit, zda je problém v hardwaru nebo softwaru, je zkusit zavést systém z běžného Live-CD. Pokud se obrazovka smrti nadále zobrazuje, pak s největší pravděpodobností příčina problému spočívá v samotném hardwaru.

Případně se můžete pokusit identifikovat zdroj problému pomocí speciální pomůcky pro testování hardwaru PC. Pro tvrdé kontroly disku, můžete například použít utilitu MHDD k testování RAM, použijte utilitu Memtest;

Některé běžné chyby BSOD

Ale jak jsme již řekli, nainstalujte příčina BSOD Nejjednodušší způsob je podívat se na kód chyby. Zde jsou některé z nejběžnějších příkladů BSOD.

SOUBOROVÝ SYSTÉM nebo 0x00000024. Tato chyba se objeví, když selže ovladač .sys. Důvodem je přítomnost na pevném disku špatné sektory, ovladače SCSI nebo IDE a také při poškození dat na disku nebo přímo v paměti PC.

V mírných případech je chyba ošetřena standardně nástroj chkdsk. Pokud chkdsk nefungoval požadované výsledky, měli byste pečlivě zkontrolovat hardware diskového subsystému. Smrt může být způsobena nesprávně fungujícími řadiči a poškozenými kabely IDE a SCSI.

NEPŘÍSTUPNÉ ZAVÁDĚCÍ ZAŘÍZENÍ nebo 0x0000007B. Další běžná chyba BSOD indikující problémy s přístupem do systému logický pohon. Chyba může být způsobena škodlivým softwarem, nesprávně Instalace Windows, poškození souborový systém, řadič disku, nekompatibilita železářské zboží, nesprávné nastavení BIOSu, konflikty alokace paměti.

Problém lze vyřešit aktualizací systému BIOSa, firmwaru řadiče SCSI, odebráním nedávno nainstalovaného hardwaru nebo spuštěním nástroje Chkdsk s parametry /f/r.

STAV SYSTÉMOVÝ PROCES UKONČEN nebo 0xC000021A. Tento softwarová chyba označující selhání ovladače, vlastní aplikace nebo služby třetí strany. Řešením může být aktualizace ovladačů (nebo naopak návrat k dřívější verzi), odstranění nedávno nainstalovaných programy třetích stran a služeb.

ERROR DATA BUS ERROR nebo 0x0000002E. Chyba indikující problém s hardwarem. Nejčastějšími důvody, které to způsobují, jsou závada v paměti RAM, poruchy video paměti a mezipaměti RAM úrovně 2 (L2). Chyba 0x0000002E může být způsobena poškozením magnetického povrchu pevného disku a také pokusem ovladače hardwaru o přístup k neexistující adrese v rozsahu 0x8xxxxxxx.

Chyba je ošetřena výměnou „podezřelých“ hardwarových komponent, aktualizací softwaru, řadiče SCSI a síťové karty, výměna nebo aktualizace ovladačů zařízení, spuštění nástroje Chkdsk se zapnutými parametry /f/r systémový oddíl. Také by nebylo na škodu zkontrolovat kvalitu kontaktů na všech počítačových deskách.

Místo celkové

Jak vidíte, důvody pro výskyt BSOD ve Windows 8 a 8.1, stejně jako v dřívějších verzích operačního systému, mohou být velmi rozmanité. Bohužel na momentálně Neexistuje jediný algoritmus pro eliminaci chyb Screen of Death. Jejich počet je několik stovek a každý z nich může vyžadovat čistě individuální přístup.

Proto, pokud si nejste jisti svými schopnostmi, nepokoušejte se sami opravit chyby BSOD, zejména pokud jde o problémy s hardwarem. Výjimkou jsou jednoznačně zjevné chyby způsobené připojením externích zařízení k počítači a také selhání softwaru. V ostatních případech je lepší svěřit odstranění clony smrti profesionálům.

Tady asi svůj příběh ukončím, ahoj a do nových zajímavých setkání s vámi, moji milí přátelé...

Forest v doménových službách Active Directory- nejvyšší úroveň hierarchie logické struktury. Les aktivní Adresář představuje jeden jediný adresář. Les je bezpečnostní hranicí. To znamená, že správci doménové struktury mají plnou kontrolu nad přístupem k informacím uloženým v doménové struktuře a přístupem k řadičům domény používaným k implementaci doménové struktury.

Organizace obvykle implementují jednu doménovou strukturu, pokud není specifická potřeba více doménových struktur. Například pokud pro různé části Organizace potřebuje vytvořit samostatné administrativní oblasti a musí být vytvořeno několik doménových struktur, které budou tyto oblasti reprezentovat.

Když v organizaci implementujete více doménových struktur, každá doménová struktura ve výchozím nastavení funguje odděleně od ostatních doménových struktur, jako by to byla jediná doménová struktura v organizaci.

Poznámka. Chcete-li integrovat více doménových struktur, můžete mezi nimi vytvořit bezpečnostní vztahy, nazývané externí nebo doménové vztahy důvěryhodnosti.

Operace na úrovni lesa

Active Directory Domain Services je adresářová služba s více hlavními servery. To znamená, že většinu změn v adresáři lze provést na jakékoli zapisovatelné instanci adresáře, tedy na libovolném řadiči domény s možností zápisu. Některé změny jsou však exkluzivní. To znamená, že je lze provést pouze na jednom konkrétním řadiči domény v doménové struktuře nebo doméně, v závislosti na konkrétní změna. O řadičích domény, na kterých lze tyto výhradní změny provádět, se říká, že obsahují role hlavního operačního serveru. Existuje pět rolí hlavního operačního serveru, z nichž dvě jsou role na úrovni doménové struktury a další tři jsou role na úrovni domény.

Dvě role hlavního správce operací v celé doménové struktuře:

Master pojmenování domén.Úkolem hlavního pojmenování domén je zajistit, aby v celé doménové struktuře existovala jedinečná jména. Zaručuje, že v celém lese je pouze jeden kompletní název domény každý počítač.
Vlastník schématu. Hlavní server schémat monitoruje schéma doménové struktury a udržuje změny základní struktura lesy.

Protože tyto role jsou kritické role na úrovni doménové struktury, každá doménová struktura musí mít pouze jeden hlavní server schémat a hlavní server názvů domén.

Další materiály:

Schéma je komponentou domény Aktivní služby Adresář, který definuje všechny objekty a atributy, které služba Active Directory Domain Services používá k ukládání dat.

Active Directory Domain Services ukládá a získává informace z mnoha aplikací a služeb. Proto umožnit ukládání a replikaci dat z nich různé zdroje, Active Directory Domain Services definuje standard pro ukládání dat v adresáři. Standard pro ukládání dat umožňuje službě Active Directory Domain Services načítat, aktualizovat a replikovat data při zachování jejich integrity.

Služba Active Directory Domain Services používá objekty jako jednotky úložiště. Všechny objekty jsou definovány ve schématu. Pokaždé, když adresář zpracovává data, adresář se dotáže schématu na odpovídající definici objektu. Na základě definice objektu ve schématu adresář vytvoří objekt a uloží data.

Definice objektů určují typy dat, které mohou objekty ukládat, a také syntaxi dat. Na základě těchto informací schéma zajišťuje, že všechny objekty odpovídají jejich standardní definice. V důsledku toho může služba Active Directory Domain Services ukládat, načítat a ověřovat data, která spravuje, bez ohledu na aplikaci, která je hostí. původní zdroj data. Adresář může ukládat pouze data, která mají existující definici objektu ve schématu. Pokud chcete uložit nový typ dat, musíte nejprve vytvořit novou definici objektu ve schématu pro tato data.

Schéma v Active Directory Domain Services definuje:

objekty používané k ukládání dat v adresáři;
pravidla, která určují, jaké typy objektů lze vytvářet, jaké atributy musí být specifikovány při vytváření objektu a jaké atributy jsou volitelné;
strukturu a obsah samotného adresáře.

Schéma je jediným hlavním členem služby Active Directory Domain Services. To znamená, že změny schématu musí být provedeny na řadiči domény, který má roli hlavního operačního serveru schématu.

Schéma je replikováno mezi všechny řadiče domény v doménové struktuře. Veškeré změny provedené ve schématu jsou replikovány na všechny řadiče domény v doménové struktuře od vlastníka role hlavního operačního serveru schématu, což je obvykle první řadič domény v doménové struktuře.

Vzhledem k tomu, že schéma určuje, jak jsou informace ukládány, a jakékoli změny provedené ve schématu ovlivňují všechny řadiče domény, měly by být změny schématu prováděny pouze v případě potřeby (tvrdým řízený proces) po dokončení testování, aby nedošlo k nepříznivému dopadu na zbytek lesa.

Ačkoli nemůžete provádět žádné změny ve schématu přímo, některé aplikace provádějí změny schématu, aby podporovaly další funkce. Například kdy Instalace Microsoftu Exchange Server Instalační program 2010 Active Directory Domain Services Forest rozšiřuje schéma tak, aby podporovalo nové typy objektů a atributy.

Doplňkový materiál:

1.3 Co je doména.

Doména je administrativní hranice. Všechny domény mají účet správce, který má úplná oprávnění správce pro všechny objekty v doméně. Ačkoli správce může delegovat správu objektů v doméně, účet správce si ponechává plnou správu správy všech objektů v doméně.

Na začátku Verze Windows Server se domníval, že domény byly určeny k úplnému oddělení správy; skutečně jedním z hlavních důvodů pro výběr topologie více domén bylo poskytnout takové oddělení. Nicméně v Active Domain Services Adresářový účetÚčet správce v kořenové doméně doménové struktury má plnou administrativní kontrolu nad všemi objekty v doménové struktuře, což činí toto administrativní oddělení na úrovni domény neplatným.

Doména je hranice replikace. Active Directory Domain Services se skládá ze tří prvků nebo sekcí, - schémata, konfigurační sekce A sekce domény. Obvykle se často mění pouze sekce domény.

Sekce domény obsahuje objekty, které je pravděpodobně třeba často aktualizovat; Tyto objekty jsou uživatelé, počítače, skupiny a oddělení. Proto replikace služby Active Directory Domain Services sestává především z aktualizací objektů definovaných v oddílu domény. Pouze řadiče domény v určité doméně dostávají aktualizace oddílu domény z jiných řadičů domény. Rozdělení dat umožňuje organizacím replikovat data pouze tam, kde je to potřeba. V důsledku toho se adresář může globálně škálovat přes síť s omezenou šířkou pásma.

Doména je autentizační hranice. Autenticita každého z nich účet uživatel v doméně může být ověřen řadiči této domény. Domény v doménové struktuře si navzájem důvěřují, takže uživatel v jedné doméně může přistupovat k prostředkům umístěným v jiné doméně.

Operace na úrovni domény

V každé doméně jsou tři role hlavního operačního serveru. Tyto role, původně přiřazené k prvnímu řadiči domény v každé doméně, jsou uvedeny níže.

Vlastník relativního identifikátoru (RID). Při každém vytvoření objektu v Active Domain Services Adresářový řadič doména, kde je tento objekt vytvořen, mu přiřadí jedinečný identifikační číslo, nazývaný bezpečnostní identifikátor (SID). Chcete-li zabránit dvěma řadičům domény v přiřazení stejného SID dvěma různým objektům, hlavní server RID přiděluje bloky SID každému řadiči domény v doméně.
Emulátor primárního řadiče domény. Tato role je nejdůležitější, protože její dočasná ztráta se projeví mnohem rychleji než ztráta jakékoli jiné role hlavního operačního serveru. Je zodpovědný za řadu funkcí na úrovni domény, včetně:
aktualizovat stav uzamčení účtu;
vytváření a replikace objektů skupinová politika jediný vlastník;
synchronizace času pro doménu.
Vlastník infrastruktury. Tato role je zodpovědná za udržování odkazů na objekty napříč doménami. Pokud například skupina v jedné doméně zahrnuje člena z jiné domény, hlavní server infrastruktury je odpovědný za udržování integrity tohoto propojení.

Tyto tři role musí být jedinečné v každé doméně, takže každá doména může mít pouze jeden hlavní server RID, jeden emulátor primárního řadiče domény (PDC) a jeden hlavní server infrastruktury.

Další materiály:

Pokud služba Active Directory Domain Services obsahuje více než jednu doménu, musíte definovat vztahy mezi doménami. Pokud domény sdílejí společný kořenový a souvislý jmenný prostor, jsou logicky součástí stejného stromu Active Directory. Strom neslouží žádnému administrativnímu účelu. Jinými slovy, neexistuje žádný správce stromu, stejně jako existuje správce lesa nebo domény. Strom poskytuje logické hierarchické seskupení domén, které mají vztahy rodiče a potomka definované svými názvy. Strom služby Active Directory se mapuje na obor názvů DNS (Domain Name System).

Stromy služby Active Directory se vytvářejí na základě vztahů mezi doménami doménové struktury. neexistuje vážné důvody, pro které je nebo není nutné vytvořit v lese několik stromů. Je však třeba mít na paměti, že jeden strom se svými nepřetržitý prostor názvy se snáze spravují a uživatelé je snáze vizualizují.

Pokud existuje více podporovaných oborů názvů, zvažte použití více stromů ve stejné doménové struktuře. Pokud má vaše organizace například několik různých produkčních oddělení s různými veřejnými identifikátory, můžete pro každé produkční oddělení vytvořit jiný strom. Mějte na paměti, že v tomto scénáři nedochází k oddělení správy, protože správce kořenové struktury má stále plnou kontrolu nad všemi objekty v doménové struktuře bez ohledu na to, ve kterém stromu se nacházejí.

1.5 Divize

Pododdělení je kontejnerový objekt v doméně, který lze použít k seskupení uživatelů, skupin, počítačů a dalších objektů. Existují dva důvody pro vytváření divizí.

Nakonfigurujte objekty obsažené v organizační jednotce. Objekty GPO můžete přiřadit organizační jednotce a použít nastavení na všechny objekty v této organizační jednotce.
Delegace administrativní řízení objektů v oddělení. Můžete přiřadit práva správy organizační jednotce, a tím delegovat kontrolu nad organizační jednotkou uživateli nebo skupině ve službě Active Directory Domain Services bez oprávnění správce.

Poznámka. Organizační jednotka je nejmenší oblast nebo jednotka, které můžete přiřadit nastavení zásad skupiny nebo delegovat práva správce.

K reprezentaci hierarchie lze použít dělení logické struktury v organizaci. Můžete například vytvořit obchodní jednotky, které představují oddělení v organizaci, geografické oblasti v organizaci a obchodní jednotky, které jsou kombinací oddělení a geografických oblastí. Poté můžete spravovat konfiguraci a používat účty uživatelů, skupin a počítačů na základě modelu organizace, který jste vytvořili.

Každá doména Active Directory Domain Services má standardní sada kontejnery a organizační jednotky, které se vytvoří při instalaci služby Active Directory Domain Services. Tyto kontejnery a jednotky jsou uvedeny níže.

Kontejner domény, který slouží jako kořenový kontejner hierarchie.
Vestavěný kontejner obsahující výchozí účty správce služeb.
Kontejner uživatele, který je výchozím umístěním pro nové uživatelské účty a skupiny vytvořené v doméně.
Kontejner počítače, který je výchozím umístěním pro nové účty počítačů vytvořené v doméně.
OU řadičů domény, což je výchozí umístění pro účty počítačů řadičů domény.

1.6 Vztahy založené na důvěře

Vztah důvěryhodnosti umožňuje jednomu objektu zabezpečení důvěřovat jinému objektu zabezpečení pro účely ověřování. V operačním systému Windows Server 2008 R2 je objektem zabezpečení doména Windows.

Hlavním účelem vztahu důvěryhodnosti je usnadnit uživateli v jedné doméně získat přístup k prostředku v jiné doméně, aniž by musel udržovat uživatelský účet v obou doménách.

V každém vztahu důvěry existují dvě strany – důvěřující subjekt a důvěryhodný subjekt. Důvěřující objekt je objekt, který vlastní zdroj, a důvěryhodný objekt je objekt s účtem. Pokud například někomu půjčíte notebook, důvěřujete mu. Vy jste objekt, který vlastní zdroj. Zdrojem je váš notebook; osoba, které je notebook zapůjčen, je důvěryhodným objektem s účtem.

Typy důvěryhodných vztahů

Důvěrné vztahy mohou být jednostranné nebo oboustranné.

Jednosměrná důvěra znamená, že ačkoli jedna entita důvěřuje druhé, opak není pravdou. Pokud například půjčíte Steveovi svůj notebook, neznamená to, že vám Steve nutně půjčí své auto.

V obousměrné důvěře si obě entity důvěřují.

Důvěrné vztahy mohou být tranzitivní nebo netranzitivní. Pokud v tranzitivní důvěře objekt A důvěřuje objektu B a objekt B objektu C, pak objekt A také implicitně důvěřuje objektu B. Pokud například půjčíte Steveovi svůj notebook a Steve půjčí své auto Mary, můžete dát Mary váš mobilní telefon pro dočasné použití.

Windows Server 2008 R2 podporuje řadu vztahů důvěryhodnosti navržených pro použití v různých situacích.

V jedné doménové struktuře si všechny domény navzájem důvěřují pomocí vnitřních obousměrných tranzitivních vztahů důvěryhodnosti. To v podstatě znamená, že všechny domény důvěřují všem ostatním doménám. Tyto důvěryhodné vztahy se rozprostírají mezi stromy v lese. Kromě těchto automaticky vytvořených vztahů důvěryhodnosti můžete nakonfigurovat další vztahy důvěryhodnosti mezi doménami doménové struktury, mezi touto doménovou strukturou a jinými doménovými strukturami a mezi touto doménovou strukturou a jinými entitami zabezpečení, jako jsou sféry Kerberos nebo domény operačního systému. Microsoft Windows NT® 4.0. Následující tabulka poskytuje další informace.

Typ důvěry	Tranzitivita	Směr	Popis
Externí	Intranzitivní		Externí vztahy důvěryhodnosti se používají k poskytování přístupu k prostředkům umístěným v doméně Windows NT Server 4.0 nebo doméně, která je v samostatné doménové struktuře, která není spojena důvěryhodnou doménovou strukturou.
Důvěra regionu	Tranzitivní nebo netranzitivní.	Jednostranné nebo oboustranné.	Důvěryhodnosti sfér se používají k vytvoření vztahu důvěryhodnosti mezi sférou Kerberos spravovanou operačním systémem jiného než Windows a operačním systémem Windows Server 2008 nebo doménou Windows Server 2008 R2.
Lesní důvěra	Tranzitivní	Jednostranné nebo oboustranné.	Ke sdílení prostředků mezi doménovými strukturami použijte vztahy důvěryhodnosti doménové struktury. Pokud jsou důvěryhodnosti doménové struktury obousměrné, požadavky na ověření provedené v kterékoli doménové struktuře mohou dosáhnout druhé doménové struktury.
Přímo založená důvěra	Tranzitivní	Jednostranné nebo oboustranné.	Přímo vytvořené vztahy důvěryhodnosti se používají ke zkrácení doby přihlášení uživatele mezi dvěma doménami v doménové struktuře Windows Server 2008 nebo Windows Server 2008 R2. To platí, když jsou dvě domény odděleny dvěma doménovými stromy.

2. Implementace Active Directory Domain Services

Chcete-li implementovat službu Active Directory Domain Services, musíte nasadit řadiče domény. Pro optimalizaci služby Active Directory Domain Services je důležité pochopit, kde a jak vytvořit řadiče domény pro optimalizaci vaší síťové infrastruktury.

2.1 Co je řadič domény?

Doména se vytvoří, když propagujete počítač Windows server Server 2008 R2 na řadič domény. Řadiče domény obsahují službu Active Directory Domain Services.

Spouštění zajišťují řadiče domény následující funkce online.

Poskytuje ověření. Řadiče domén obsahují databázi doménových účtů a poskytují služby ověřování.
Obsahuje role hlavního operačního serveru jako volitelnou funkci. Tyto role se dříve nazývaly role FSMO (Flexible Single Master Operations). Existuje pět rolí hlavního operačního serveru – dvě role na úrovni doménové struktury a tři role na úrovni domény. Tyto role lze migrovat podle požadavků.
Obsahuje globální katalog jako volitelnou funkci. Jakýkoli řadič domény lze označit jako server globálního katalogu.

Poznámka. Globální katalog je distribuovaná databáze, která obsahuje prohledávatelnou reprezentaci každého objektu ze všech domén v doménové struktuře s více doménami. Globální katalog však neobsahuje všechny atributy pro každý objekt. Místo toho podporuje podmnožinu atributů, které budou s největší pravděpodobností užitečné při vyhledávání domén.

2.2 Co je řadič domény pouze pro čtení?

Řadič domény jen pro čtení je nový typřadič domény v systému Windows Server 2008 R2. Pomocí řadiče domény pouze pro čtení mohou organizace snadno nasadit řadič domény v místech, kde nelze zaručit fyzické zabezpečení. RODC je hostitelem repliky databáze Active Directory Domain Services pro danou doménu pouze pro čtení. Řadič domény jen pro čtení může také fungovat jako server globálního katalogu.

Počínaje systémem Windows Server 2008 může organizace nasadit řadič domény pouze pro čtení v případech, kdy šířku pásma kanály globální síť nebo nedostatečné fyzické zabezpečení počítačů. V důsledku toho mohou uživatelé v této situaci těžit z:

zvýšená bezpečnost;
více rychlé přihlášení do systému;
více efektivní přístup na síťové zdroje.

Funkce řadiče domény pouze pro čtení	Vysvětlení
Báze Data aktivní Adresář pouze pro čtení	S výjimkou hesel účtů obsahuje řadič domény jen pro čtení všechny objekty a atributy služby Active Directory, které jsou v řadiči domény s možností zápisu. Nemůžete však provádět změny v replice uložené na řadiči domény jen pro čtení. Změny je třeba provést na řadiči domény s možností zápisu a replikovat na řadič domény jen pro čtení.
Jednosměrná replikace	Protože se změny nezapisují přímo do řadiče domény jen pro čtení, neprovádějí se žádné změny v řadiči domény jen pro čtení. Proto by zapisovatelné řadiče domény, které jsou partnery pro replikaci, neměly přijímat změny z řadiče jen pro čtení. To snižuje zátěž serverů předmostí v rozbočovači a vyžaduje méně úsilí pro sledování replikace.
Ukládání přihlašovacích údajů do mezipaměti	Ukládání pověření do mezipaměti je ukládání pověření uživatele nebo počítače. Pověření se skládají z malé sady hesel (asi deset) spojených s principy zabezpečení. Ve výchozím nastavení řadič domény jen pro čtení neukládá pověření uživatele ani počítače. Výjimkou je účet počítače RODC a speciální účet krbtgt (účet Kerberos Key Distribution Service Center), který se nachází na každém RODC. Ukládání do mezipaměti všech ostatních pověření musí být explicitně povoleno na řadiči domény jen pro čtení.
Oddělení rolí správce	Role místní správceŘadič domény jen pro čtení lze delegovat na libovolného uživatele domény, aniž by tomuto uživateli udělil jakákoli práva k doméně nebo jiným řadičům domény. To umožní uživateli místní pobočky přihlásit se k RODC a provádět na něm operace údržby, jako je aktualizace ovladače. Uživatel pobočky však nebude mít právo přihlásit se k jakémukoli jinému řadiči domény ani provádět žádné jiné administrativní úkoly v doméně.
Služba doménových jmen pouze pro čtení	Službu DNS Server lze nainstalovat na řadič domény pouze pro čtení. RODC může replikovat všechny oddíly adresáře aplikace, které používá server DNS, včetně oddílů ForestDNSZones a DomainDNSZones. Pokud je server DNS nainstalován na řadiči domény pouze pro čtení, mohou na něj klienti zadávat požadavky na překlad názvů stejně jako jakýkoli jiný server DNS.

Role řadiče domény jen pro čtení je shrnuta níže.

Na řadiči domény, který funguje jako hlavní operace emulátoru primárního řadiče domény pro doménu, musí být spuštěn operační systém. Systémy Windows Server 2008. To je nutné k vytvoření nového účtu krbtgt pro doménový řadič pouze pro čtení a také pro probíhající operace tohoto řadiče.
RODC vyžaduje, aby byly požadavky na ověření předány na server globálního katalogu (pod Ovládání Windows Server 2008), umístěný na webu nejblíže webu s tímto ovladačem. Na tomto řadiči domény je nastavena zásada replikace hesel, která určuje, zda jsou pověření replikována do umístění pobočky pro přesměrovaný požadavek z řadiče domény jen pro čtení.
Chcete-li zpřístupnit omezené delegování Kerberos, musíte nastavit provozní režim doména Windows Omezené delegování serveru 2003 se používá pro bezpečnostní volání, která musí být zosobněna v kontextu volajícího.
Aby byla zajištěna dostupnost replikace přidružená hodnota musíte nastavit úroveň funkčnosti doménové struktury systému Windows Server 2003 To poskytuje více vysoká úroveň replikační kompatibilita.
Adprep /rodcprep musíte spustit jednou v doménové struktuře. Tím se aktualizují oprávnění ve všech oddílech adresáře aplikací DNS v doménové struktuře, aby se usnadnila replikace mezi řadiči domény jen pro čtení, které jsou také servery DNS.
RODC nemůže obsahovat role hlavního operačního serveru a nemůže fungovat jako replikační předmostí.
Lze nasadit řadič domény pouze pro čtení Serverový systém Jádro pro větší bezpečnost.

Stránka je logickou reprezentací geografické oblasti na internetu. Tato lokalita představuje vysokorychlostní síťovou hranici pro počítače se službou Active Directory Domain Services, tedy počítače, které mohou komunikovat s vysoká rychlost a nízkou latencí, lze kombinovat do stránky; Řadiče domény v rámci lokality replikují data služby Active Directory Domain Services způsobem optimalizovaným pro dané prostředí; Tato konfigurace replikace je z velké části automatická.

Poznámka. Weby používají klientské počítače k vyhledání služeb, jako jsou řadiče domény a servery globálního katalogu. Je důležité, aby každý web, který vytvoříte, obsahoval alespoň jeden řadič domény a server globálního katalogu.

2.4 Replikace Active Directory Domain Services

Replikace služby Active Directory Domain Services je přenos změn provedených v datech adresáře mezi řadiči domény v doménové struktuře Active Directory Domain Services. Model replikace služby Active Directory Domain Services definuje mechanismy, které umožňují automatické předávání aktualizací adresářů mezi řadiči domény, aby bylo zajištěno bezproblémové řešení replikace pro distribuovanou adresářovou službu Active Directory Domain Services.
Ve službě Active Directory Domain Services jsou tři oddíly. Oddíl domény obsahuje nejčastěji měněná data, a proto generuje velký tok dat replikace služby Active Directory Domain Services.

Odkazy na web služby Active Directory

Odkaz na lokalitu se používá ke zpracování replikace mezi skupinami webů. Můžete použít výchozí odkaz na web poskytnutý ve službě AD DS nebo podle potřeby vytvořit další odkazy na web. Můžete nakonfigurovat nastavení pro odkazy na lokality, abyste určili plán a dostupnost cesty replikace, aby se replikace snáze spravovala.
Když jsou dvě lokality propojeny pomocí propojení lokality, replikační systém automaticky vytvoří připojení mezi konkrétními řadiči domény v každé lokalitě, nazývanými předmostí.

2.5 Konfigurace DNS pro Active Directory Domain Services

Instalace DNS

Služba AD DS vyžaduje DNS. Role DNS Server není ve výchozím nastavení v systému Windows Server 2008 R2 nainstalována. Stejně jako ostatní funkce je tato funkce přidána na základě rolí, když je server nakonfigurován pro provádění konkrétní role.

Roli serveru DNS můžete nainstalovat pomocí odkazu Přidat roli ve Správci serveru. Roli serveru DNS lze také přidat automaticky pomocí Průvodce instalací služby Active Directory Domain Services (dcpromo.exe). Stránka Nastavení řadiče domény v průvodci umožňuje přidat roli serveru DNS.

Nastavení DNS zón

Jakmile je server DNS nainstalován, můžete na server začít přidávat zóny. Pokud je server DNS řadičem domény, můžete nakonfigurovat službu AD DS tak, aby ukládala informace o zóně. Poté bude vytvořena integrovaná zóna Active Directory. Pokud tato možnost není vybrána, data zóny budou uložena v souboru, nikoli ve službě AD DS.

Dynamické aktualizace

Když vytvoříte zónu, budete také požádáni, abyste určili, zda má být podporována dynamická aktualizace. Dynamická aktualizace snižuje nároky na správu zón, protože klienti mohou přidávat, odstraňovat a aktualizovat vlastní nahrávky zdroje.

Dynamická aktualizace umožňuje možnost manipulace se záznamem prostředků. Některý počítač může například zaregistrovat položku s názvem „www“ a přesměrovat provoz z vašeho webu na nesprávnou adresu.

Aby se eliminovala možnost padělání, služba DNS servery Windows Server 2008 R2 podporuje zabezpečené dynamické aktualizace. Klient musí být před aktualizací záznamů prostředků ověřen, aby server DNS věděl, zda je klient počítačem, který má povoleno aktualizovat záznam prostředků.

Přenosy DNS zóny

Podnik by se měl snažit zajistit, aby zóna mohla být vynucena alespoň dvěma servery DNS.

Pokud je zóna integrována do Active Directory Domain Services, je to dostačující přidat roli serveru DNS do jiného řadiče domény ve stejné doméně, kde je umístěn první DNS server. Integrované zóny a replikace služby Active Directory DNS zóny pomocí AD DS jsou popsány v další lekci.

Pokud zóna není integrována se službou AD DS, musíte přidat další server DNS a nakonfigurovat jej tak, aby hostoval další zónu. Na to by se nemělo zapomínat přídavná zóna je kopie hlavní zóny pouze pro čtení.

Příspěvky od SRV

Záznam o prostředku lokátoru služeb (SRV) řeší požadavek na síťová služba, umožňující klientovi najít uzel, který poskytuje konkrétní službu.

Když řadič domény potřebuje replikovat změny od partnerů.
Když klientský počítač vyžaduje ověření pomocí služby AD DS.
Když si uživatel změní heslo.
Když server společnosti Microsoft Exchange provede hledání v adresáři.
Když správce otevře Active Directory Users and Computers.

Záznamy SRV používají následující syntaxi.

protocol.service.name životnost třída typ priorita váha port cílový_uzel

Příklad SRV záznamu je uveden níže.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Záznam se skládá z následujících složek:

Název služby protokolu, například služby LDAP, nabízené řadičem domény.
Životnost v sekundách.
Třída (všechny položky serveru DNS systému Windows budou „IN“ nebo „INternet“).
Typ: SRV;
Hodnoty priority a váhy, které klientům pomáhají určit preferovaný uzel.
Port, na kterém je služba nabízena serverem. Na řadiči domény Windows pro LDAP standardní port - 389.
Cílový objekt nebo servisní uzel, tj v tomto případě je řadič domény s názvem hqdc01.contoso.com.

Když klientský proces vyhledá řadič domény, může se dotazovat na službu LDAP z DNS. Požadavek vrátí záznam SRV i záznam A pro jeden nebo více serverů poskytujících požadovanou službu.

Instalace řadiče domény je důležitou součástí počítačová síť v podstatě kontroluje jeho práci. Jeho hlavním úkolem je provozovat důležitou službu Active Directory. Pracuje s autoritou pro distribuci klíčů - Kerberos.

Poskytuje také práci na systémech kompatibilních s Unixem. V nich softwarový balík Samba funguje jako ovladač.

K vytvoření slouží řadič domény místní síť, do kterého se uživatelé mohli přihlásit pod svým jménem a svými přihlašovacími údaji. Měli by to udělat na všech počítačích. Instalace řadiče domény také zajišťuje, že jsou určena přístupová práva k síti a je spravováno její zabezpečení. S jeho pomocí můžete centrálně spravovat celou síť, což je velmi důležité.

Řadiče domény mohou také běžet pod Windows Server 2003. Takto ukládají všechna data adresářů, spravují operace uživatelů a domén, řídí přihlášení uživatelů, ověřují pravost adresářů atd. Všechny je lze vytvořit pomocí instalačního programu Active Directory. Může fungovat i na Windows NT. Zde, aby to fungovalo spolehlivěji, je vytvořen přídavný ovladač. Bude připojen k hlavnímu ovladači.

V síti Windows NT byl jeden server. Může být použit k provozu primárního řadiče domény nebo PDC. Všechny ostatní servery fungovaly jako pomocné. Mohli například ověřovat všechny uživatele, ukládat a kontrolovat hesla a další důležité operace. Ale zároveň nemohli na server přidávat nové uživatele, nemohli měnit hesla a podobně, to znamená, že nastavení doménového řadiče bylo méně rozmanité. Tyto operace lze provádět pouze pomocí PDC. Změny v nich provedené by pak mohly být rozšířeny do všech záložních domén. Li hlavní server tehdy nebyl k dispozici záložní doménu nemohl být povýšen na základní úroveň.

Můžete však nastavit řadič domény, síť a zvýšit úroveň domény na jakémkoli počítači i doma. Tuto moudrost se snadno naučíte sami. Všechny nástroje potřebné k tomu jsou umístěny v Ovládacích panelech – Přidat nebo odebrat programy – Instalace systémových součástí. Pravda, budete s nimi muset pracovat tak, že si do počítače nejprve nainstalujete disk s OS. Roli svého počítače můžete zvýšit pomocí příkazového řádku zadáním příkazu dcpromo.

Kontrolu řadiče domény lze navíc snadno provést pomocí specializovaných nástrojů, které ve skutečnosti fungují v automatizovaném režimu, to znamená, že umožňují získat potřebné informace po spuštění programu a seřízení chodu regulátorů po provedení diagnostiky. Můžete například použít nástroj Ntdsutil.exe, který poskytuje možnost připojit se k nově nainstalovanému řadiči domény a otestovat jeho schopnost reagovat na požadavek LDAP. Pomocí tohoto softwaru je také možné určit, zda má řadič informace o umístění rolí FSMO ve své vlastní doméně.

Stále existuje několik jednoduchých způsobů, které vám umožní diagnostikovat správnou funkci regulátorů. Konkrétně můžete přejít na HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (klíč registru) a hledat tam podklíč NTDS, jehož přítomnost indikuje normální fungování řadiče domény. Existuje metoda pro zavedení čistých účtů příkazový řádek a tam, pokud je počítač řadičem domény, uvidíte v řádku Počítač význam role BACKUP nebo PRIMARY, další hodnoty jsou dostupné na jednoduchých počítačích.

Oblíbené v kategorii: