Domov › Služby › Funkce řadiče domény. Řadič domény v různých operačních systémech. Replikace služby Active Directory Domain Services

Funkce řadiče domény. Řadič domény v různých operačních systémech. Replikace služby Active Directory Domain Services

Lesní struktura v Active Directory Domain Services je nejvíce nejvyšší úroveň hierarchie logické struktury. Doménová struktura služby Active Directory představuje jeden jediný adresář. Les je bezpečnostní hranicí. To znamená, že správci doménové struktury mají úplnou kontrolu nad přístupem k informacím uloženým v doménové struktuře a přístupem k řadičům domény používaným k implementaci doménové struktury.

Organizace obvykle implementují jednu doménovou strukturu, pokud není specifická potřeba více doménových struktur. Například pokud pro různé části Organizace potřebuje vytvořit samostatné administrativní oblasti a musí být vytvořeno několik doménových struktur, které budou tyto oblasti reprezentovat.

Když v organizaci implementujete více doménových struktur, každá doménová struktura ve výchozím nastavení funguje odděleně od ostatních doménových struktur, jako by to byla jediná doménová struktura v organizaci.

Poznámka. Chcete-li integrovat více doménových struktur, můžete mezi nimi vytvořit bezpečnostní vztahy, nazývané externí nebo doménové vztahy důvěryhodnosti.

Provoz na úrovni lesa

Active Directory Domain Services je adresářová služba s více hlavními servery. To znamená, že většinu změn v adresáři lze provést na jakékoli zapisovatelné instanci adresáře, tedy na libovolném řadiči domény s možností zápisu. Některé změny jsou však exkluzivní. To znamená, že je lze provést pouze na jednom konkrétním řadiči domény v doménové struktuře nebo doméně, v závislosti na konkrétní změna. O řadičích domény, na kterých lze tyto výhradní změny provádět, se říká, že obsahují role hlavního operačního serveru. Existuje pět rolí hlavního operačního serveru, z nichž dvě jsou role na úrovni doménové struktury a další tři jsou role na úrovni domény.

Dvě role hlavního správce operací v celé doménové struktuře:

Master pojmenování domén.Úkolem hlavního pojmenování domén je zajistit, aby v celé doménové struktuře existovala jedinečná jména. Zaručuje, že v celém lese je pouze jeden kompletní název domény každý počítač.
Vlastník schématu. Hlavní server schémat monitoruje schéma doménové struktury a udržuje změny základní struktura lesy.

Protože tyto role jsou kritické role na úrovni doménové struktury, každá doménová struktura musí mít pouze jeden hlavní server schémat a hlavní server názvů domén.

Další materiály:

Schéma je komponentou domény Aktivní služby Adresář, který definuje všechny objekty a atributy, které služba Active Directory Domain Services používá k ukládání dat.

Active Directory Domain Services ukládá a získává informace z mnoha aplikací a služeb. Proto umožnit ukládání a replikaci dat z nich různé zdroje, Active Directory Domain Services definuje standard pro ukládání dat v adresáři. Standard pro ukládání dat umožňuje službě Active Directory Domain Services načítat, aktualizovat a replikovat data při zachování jejich integrity.

Služba Active Directory Domain Services používá objekty jako jednotky úložiště. Všechny objekty jsou definovány ve schématu. Pokaždé, když adresář zpracovává data, adresář se dotáže schématu na odpovídající definici objektu. Na základě definice objektu ve schématu adresář vytvoří objekt a uloží data.

Definice objektů určují typy dat, které mohou objekty ukládat, a také syntaxi dat. Na základě těchto informací schéma zajišťuje, že všechny objekty odpovídají jejich standardní definice. V důsledku toho může služba Active Directory Domain Services ukládat, načítat a ověřovat data, která spravuje, bez ohledu na aplikaci, která je hostí. původní zdroj data. Adresář může ukládat pouze data, která mají existující definici objektu ve schématu. Pokud chcete uložit nový typ dat, musíte nejprve vytvořit novou definici objektu ve schématu pro tato data.

Schéma v Active Directory Domain Services definuje:

objekty používané k ukládání dat v adresáři;
pravidla, která určují, jaké typy objektů lze vytvářet, jaké atributy musí být specifikovány při vytváření objektu a jaké atributy jsou volitelné;
strukturu a obsah samotného adresáře.

Schéma je jediným hlavním členem služby Active Directory Domain Services. To znamená, že změny schématu musí být provedeny na řadiči domény, který má roli hlavního operačního serveru schématu.

Schéma je replikováno mezi všechny řadiče domény v doménové struktuře. Veškeré změny provedené ve schématu jsou replikovány na všechny řadiče domény v doménové struktuře od vlastníka role hlavního operačního serveru schématu, což je obvykle první řadič domény v doménové struktuře.

Vzhledem k tomu, že schéma určuje, jak jsou informace ukládány, a jakékoli změny provedené ve schématu mají vliv na všechny řadiče domény, měly by být změny schématu prováděny pouze v případě potřeby (tvrdým řízený proces) po dokončení testování, aby nedošlo k nepříznivému dopadu na zbytek lesa.

Ačkoli nemůžete provádět žádné změny ve schématu přímo, některé aplikace provádějí změny schématu, aby podporovaly další funkce. Například kdy Instalace Microsoftu Exchange Server Instalační program 2010 Active Directory Domain Services Forest rozšiřuje schéma tak, aby podporovalo nové typy objektů a atributy.

Doplňkový materiál:

1.3 Co je doména.

Doména je administrativní hranice. Všechny domény mají účet správce, který má plné administrativní oprávnění ke všem objektům v doméně. Přestože správce může delegovat správu objektů v doméně, účet správce si ponechává plnou správu správy všech objektů v doméně.

V dřívější verze Windows Server věřilo se, že domény byly určeny k zajištění úplného administrativního oddělení; skutečně jedním z hlavních důvodů pro výběr topologie více domén bylo poskytnout takové oddělení. Nicméně v Active Domain Services Adresářový účetÚčet správce v kořenové doméně doménové struktury má plnou administrativní kontrolu nad všemi objekty v doménové struktuře, což činí toto administrativní oddělení na úrovni domény neplatným.

Doména je hranice replikace. Active Directory Domain Services se skládá ze tří prvků nebo sekcí, - schémata, konfigurační sekce A sekce domény. Obvykle se často mění pouze sekce domény.

Sekce domény obsahuje objekty, které je pravděpodobně třeba často aktualizovat; Tyto objekty jsou uživatelé, počítače, skupiny a oddělení. Proto replikace služby Active Directory Domain Services sestává především z aktualizací objektů definovaných v oddílu domény. Pouze řadiče domény v určité doméně přijímají aktualizace oddílu domény z jiných řadičů domény. Rozdělení dat umožňuje organizacím replikovat data pouze tam, kde je to potřeba. V důsledku toho se adresář může globálně škálovat přes síť s omezenou šířkou pásma.

Doména je autentizační hranice. Každý uživatelský účet v doméně může být ověřen řadiči dané domény. Domény v doménové struktuře si navzájem důvěřují, takže uživatel v jedné doméně může přistupovat k prostředkům umístěným v jiné doméně.

Operace na úrovni domény

V každé doméně jsou tři role hlavního operačního serveru. Tyto role, původně přiřazené k prvnímu řadiči domény v každé doméně, jsou uvedeny níže.

Vlastník relativního identifikátoru (RID). Pokaždé, když je objekt vytvořen ve službě Active Directory Domain Services, řadič domény, ve kterém je objekt vytvořen, mu přiřadí jedinečný identifikační číslo, nazývaný bezpečnostní identifikátor (SID). Chcete-li zabránit dvěma řadičům domény v přiřazení stejného SID dvěma různým objektům, hlavní server RID přiděluje bloky SID každému řadiči domény v doméně.
Emulátor primárního řadiče domény. Tato role je nejdůležitější, protože její dočasná ztráta se projeví mnohem rychleji než ztráta jakékoli jiné role hlavního operačního serveru. Je zodpovědný za řadu funkcí na úrovni domény, včetně:
aktualizovat stav uzamčení účtu;
vytvoření a replikace GPO jedním masterem;
synchronizace času pro doménu.
Vlastník infrastruktury. Tato role je zodpovědná za udržování odkazů na objekty napříč doménami. Pokud například skupina v jedné doméně zahrnuje člena z jiné domény, hlavní server infrastruktury je odpovědný za udržování integrity tohoto propojení.

Tyto tři role musí být jedinečné v každé doméně, takže každá doména může mít pouze jeden hlavní server RID, jeden emulátor primárního řadiče domény (PDC) a jeden hlavní server infrastruktury.

Další materiály:

Pokud služba Active Directory Domain Services obsahuje více než jednu doménu, musíte definovat vztahy mezi doménami. Pokud domény sdílejí společný kořenový a souvislý jmenný prostor, jsou logicky součástí stejného stromu Active Directory. Strom neslouží žádnému administrativnímu účelu. Jinými slovy, neexistuje žádný správce stromu, stejně jako existuje správce lesa nebo domény. Strom poskytuje logické hierarchické seskupení domén, které mají vztahy rodiče a potomka definované svými názvy. Strom služby Active Directory se mapuje na obor názvů Domain Name Service (DNS).

Stromy služby Active Directory se vytvářejí na základě vztahů mezi doménami doménové struktury. neexistuje vážné důvody, pro které je nebo není nutné vytvořit v lese několik stromů. Je však třeba mít na paměti, že jeden strom se svými nepřetržitý prostor názvy se snáze spravují a uživatelé je snáze vizualizují.

Pokud existuje více podporovaných oborů názvů, zvažte použití více stromů ve stejné doménové struktuře. Pokud má vaše organizace například několik různých produkčních oddělení s různými veřejnými identifikátory, můžete pro každé produkční oddělení vytvořit jiný strom. Mějte na paměti, že v tomto scénáři nedochází k oddělení správy, protože správce kořenové struktury má stále plnou kontrolu nad všemi objekty v doménové struktuře bez ohledu na to, ve kterém stromu se nacházejí.

1.5 Divize

Pododdělení je kontejnerový objekt v doméně, který lze použít k seskupení uživatelů, skupin, počítačů a dalších objektů. Existují dva důvody pro vytváření divizí.

Nakonfigurujte objekty obsažené v organizační jednotce. Objekty GPO můžete přiřadit organizační jednotce a použít nastavení na všechny objekty v této organizační jednotce.
Delegace administrativní řízení objektů v oddělení. Můžete přiřadit práva správy organizační jednotce, a tím delegovat kontrolu nad organizační jednotkou uživateli nebo skupině ve službě Active Directory Domain Services bez oprávnění správce.

Poznámka. Organizační jednotka je nejmenší oblast nebo jednotka, které můžete přiřadit nastavení zásad skupiny nebo delegovat práva správce.

K reprezentaci hierarchie lze použít dělení logické struktury v organizaci. Můžete například vytvořit obchodní jednotky, které představují oddělení v organizaci, geografické oblasti v organizaci a obchodní jednotky, které jsou kombinací oddělení a geografických oblastí. Poté můžete spravovat konfiguraci a používat účty uživatelů, skupin a počítačů na základě modelu organizace, který jste vytvořili.

Každá doména Active Directory Domain Services má standardní sada kontejnery a organizační jednotky, které se vytvoří při instalaci služby Active Directory Domain Services. Tyto kontejnery a jednotky jsou uvedeny níže.

Kontejner domény, který slouží jako kořenový kontejner hierarchie.
Vestavěný kontejner obsahující výchozí účty správce služeb.
Kontejner uživatele, který je výchozím umístěním pro nové uživatelské účty a skupiny vytvořené v doméně.
Kontejner počítače, který je výchozím umístěním pro nové účty počítačů vytvořené v doméně.
OU řadičů domény, což je výchozí umístění pro účty počítačů řadičů domény.

1.6 Vztahy založené na důvěře

Vztah důvěryhodnosti umožňuje jednomu objektu zabezpečení důvěřovat jinému objektu zabezpečení pro účely ověřování. V operačním systému Windows Server 2008 R2 je objektem zabezpečení doména Windows.

Hlavním účelem vztahu důvěryhodnosti je usnadnit uživateli v jedné doméně získat přístup k prostředku v jiné doméně, aniž by musel udržovat uživatelský účet v obou doménách.

Jakýkoli vztah důvěry zahrnuje dvě strany – důvěřující entitu a důvěryhodnou entitu. Důvěřující objekt je objekt, který vlastní zdroj, a důvěryhodný objekt je objekt s účtem. Pokud například někomu půjčíte notebook, důvěřujete mu. Vy jste objekt, který vlastní zdroj. Zdrojem je váš notebook; osoba, které je notebook zapůjčen, je důvěryhodným objektem s účtem.

Typy důvěryhodných vztahů

Důvěrné vztahy mohou být jednostranné nebo oboustranné.

Jednosměrná důvěra znamená, že ačkoli jedna entita důvěřuje druhé, opak není pravdou. Pokud například půjčíte Steveovi svůj notebook, neznamená to, že vám Steve nutně půjčí své auto.

V obousměrné důvěře si obě entity důvěřují.

Důvěrné vztahy mohou být tranzitivní nebo netranzitivní. Pokud v tranzitivní důvěře objekt A důvěřuje objektu B a objekt B objektu C, pak objekt A také implicitně důvěřuje objektu B. Pokud například půjčíte Steveovi svůj notebook a Steve půjčí své auto Mary, můžete dát Mary váš mobilní telefon pro dočasné použití.

Windows Server 2008 R2 podporuje řadu vztahů důvěryhodnosti navržených pro použití v různých situacích.

V jedné doménové struktuře si všechny domény navzájem důvěřují pomocí vnitřních obousměrných tranzitivních vztahů důvěryhodnosti. To v podstatě znamená, že všechny domény důvěřují všem ostatním doménám. Tyto důvěryhodné vztahy se rozprostírají mezi stromy v lese. Kromě těchto automaticky vytvořených vztahů důvěryhodnosti můžete nakonfigurovat další vztahy důvěryhodnosti mezi doménami doménové struktury, mezi touto doménovou strukturou a jinými doménovými strukturami a mezi touto doménovou strukturou a jinými entitami zabezpečení, jako jsou sféry Kerberos nebo domény operačního systému. Microsoft Windows NT® 4.0. Následující tabulka poskytuje další informace.

Typ důvěry	Tranzitivita	Směr	Popis
Externí	Intranzitivní		Externí vztahy důvěryhodnosti se používají k poskytování přístupu k prostředkům umístěným v doméně Windows NT Server 4.0 nebo doméně, která je v samostatné doménové struktuře, která není spojena důvěryhodnou doménovou strukturou.
Důvěra regionu	Tranzitivní nebo netranzitivní.	Jednostranné nebo oboustranné.	Vztahy důvěryhodnosti sfér se používají k vytvoření vztahu důvěryhodnosti mezi sférou Kerberos spravovanou operačním systémem jiného než Windows a operačním systémem Windows Server 2008 nebo doménou Windows Server 2008 R2.
Lesní důvěra	Tranzitivní	Jednostranné nebo oboustranné.	Ke sdílení prostředků mezi doménovými strukturami použijte vztahy důvěryhodnosti doménové struktury. Pokud jsou důvěryhodnosti doménové struktury obousměrné, požadavky na ověření provedené v kterékoli doménové struktuře mohou dosáhnout druhé doménové struktury.
Přímo založená důvěra	Tranzitivní	Jednostranné nebo oboustranné.	Přímo vytvořené vztahy důvěryhodnosti se používají ke zkrácení doby přihlášení uživatele mezi dvěma doménami v doménové struktuře Windows Server 2008 nebo Windows Server 2008 R2. To platí, když jsou dvě domény odděleny dvěma doménovými stromy.

2. Implementace Active Directory Domain Services

Chcete-li implementovat službu Active Directory Domain Services, musíte nasadit řadiče domény. Chcete-li optimalizovat služby Active Directory Domain Services, je důležité pochopit, kde a jak vytvořit řadiče domény pro optimalizaci vaší síťové infrastruktury.

2.1 Co je řadič domény?

Doména se vytvoří, když propagujete počítač Windows server Server 2008 R2 na řadič domény. Řadiče domény obsahují službu Active Directory Domain Services.

Spouštění zajišťují řadiče domény následující funkce online.

Poskytuje ověření. Řadiče domén obsahují databázi doménových účtů a poskytují služby ověřování.
Obsahuje role hlavního operačního serveru jako další příležitost. Tyto role se dříve nazývaly role FSMO (Flexible Single Master Operations). Existuje pět rolí hlavního operačního serveru – dvě role na úrovni doménové struktury a tři role na úrovni domény. Tyto role lze migrovat podle požadavků.
Obsahuje globální katalog jako volitelnou funkci. Jakýkoli řadič domény lze označit jako server globálního katalogu.

Poznámka. Globální katalog je distribuovaná databáze, která obsahuje prohledávatelnou reprezentaci každého objektu ze všech domén v doménové struktuře s více doménami. Globální katalog však neobsahuje všechny atributy pro každý objekt. Místo toho podporuje podmnožinu atributů, které budou s největší pravděpodobností užitečné při vyhledávání domén.

2.2 Co je řadič domény pouze pro čtení?

Řadič domény jen pro čtení je nový typřadič domény v systému Windows Server 2008 R2. Pomocí řadiče domény pouze pro čtení mohou organizace snadno nasadit řadič domény v místech, kde nelze zaručit fyzické zabezpečení. RODC je hostitelem repliky databáze Active Directory Domain Services pro danou doménu pouze pro čtení. Řadič domény jen pro čtení může také fungovat jako server globálního katalogu.

Počínaje systémem Windows Server 2008 může organizace nasadit řadič domény pouze pro čtení v případech, kdy šířku pásma kanály globální síť nebo nedostatečné fyzické zabezpečení počítačů. V důsledku toho mohou uživatelé v této situaci těžit z:

zvýšená bezpečnost;
více rychlé přihlášení do systému;
více efektivní přístup na síťové zdroje.

Funkce řadiče domény pouze pro čtení	Vysvětlení
Báze Data aktivní Adresář pouze pro čtení	S výjimkou hesel účtů obsahuje řadič domény jen pro čtení všechny objekty a atributy služby Active Directory, které jsou v řadiči domény s možností zápisu. Nemůžete však provádět změny v replice uložené na řadiči domény jen pro čtení. Změny je třeba provést na řadiči domény s možností zápisu a replikovat na řadič domény jen pro čtení.
Jednosměrná replikace	Protože se změny nezapisují přímo do řadiče domény jen pro čtení, neprovádějí se žádné změny v řadiči domény jen pro čtení. Proto by zapisovatelné řadiče domény, které jsou partnery pro replikaci, neměly přijímat změny z řadiče jen pro čtení. V důsledku toho se snižuje pracovní zátěž předmostí v rozbočovači a sledování replikace vyžaduje méně úsilí.
Ukládání přihlašovacích údajů do mezipaměti	Ukládání pověření do mezipaměti je ukládání pověření uživatele nebo počítače. Pověření se skládají z malé sady hesel (asi deset) spojených s principy zabezpečení. Ve výchozím nastavení řadič domény jen pro čtení neukládá pověření uživatele ani počítače. Výjimkou je účet počítače RODC a speciální účet krbtgt (účet Kerberos Key Distribution Service Center), který se nachází na každém RODC. Ukládání do mezipaměti všech ostatních pověření musí být na řadiči domény jen pro čtení povoleno.
Oddělení rolí správce	Role místní správceŘadič domény jen pro čtení lze delegovat na libovolného uživatele domény, aniž by tomuto uživateli udělil jakákoli práva k doméně nebo jiným řadičům domény. V tomto případě místní uživatel Pobočka se bude moci přihlásit k RODC a provádět na něm operace údržby, jako je aktualizace ovladače. Uživatel pobočky však nebude mít právo přihlásit se k jakémukoli jinému řadiči domény ani provádět žádné jiné administrativní úkoly v doméně.
Služba doménových jmen pouze pro čtení	Službu DNS Server lze nainstalovat na řadič domény pouze pro čtení. RODC může replikovat všechny oddíly adresáře aplikace, které používá server DNS, včetně oddílů ForestDNSZones a DomainDNSZones. Pokud je server DNS nainstalován na řadiči domény pouze pro čtení, mohou na něj klienti zadávat požadavky na překlad názvů stejně jako jakýkoli jiný server DNS.

Role řadiče domény jen pro čtení je shrnuta níže.

Na řadiči domény, který funguje jako hlavní operace emulátoru primárního řadiče domény pro doménu, musí být spuštěn operační systém Systémy Windows Server 2008. To je nutné k vytvoření nového účtu krbtgt pro doménový řadič pouze pro čtení a také pro probíhající operace tohoto řadiče.
RODC vyžaduje, aby byly požadavky na ověření předány na server globálního katalogu (pod Ovládání Windows Server 2008), umístěný na webu nejblíže webu s tímto ovladačem. Na tomto řadiči domény je nastavena zásada replikace hesel, která určuje, zda jsou pověření replikována do umístění pobočky pro přesměrovaný požadavek z řadiče domény jen pro čtení.
Chcete-li zpřístupnit omezené delegování Kerberos, musíte nastavit provozní režim doména Windows Omezené delegování serveru 2003 se používá pro bezpečnostní volání, která musí být zosobněna v kontextu volajícího.
Aby byla zajištěna dostupnost replikace přidružená hodnota musíte nastavit úroveň funkčnosti doménové struktury systému Windows Server 2003 To poskytuje více vysoká úroveň replikační kompatibilita.
Adprep /rodcprep musíte spustit jednou v doménové struktuře. Tím se aktualizují oprávnění ve všech oddílech adresáře aplikací DNS v doménové struktuře, aby se usnadnila replikace mezi řadiči domény jen pro čtení, které jsou také servery DNS.
RODC nemůže obsahovat role hlavního operačního serveru a nemůže fungovat jako replikační předmostí.
V systému lze nasadit řadič domény jen pro čtení Jádro serveru pro větší bezpečnost.

Stránka je logickou reprezentací geografické oblasti na internetu. Tato lokalita představuje vysokorychlostní síťovou hranici pro počítače se službou Active Directory Domain Services, tedy počítače, které mohou komunikovat s vysoká rychlost a nízkou latencí, lze kombinovat do stránky; Řadiče domény v rámci lokality replikují data služby Active Directory Domain Services způsobem optimalizovaným pro dané prostředí; Tato konfigurace replikace je z velké části automatická.

Poznámka. Weby používají klientské počítače k vyhledání služeb, jako jsou řadiče domény a servery globálního katalogu. Je důležité, aby každý web, který vytvoříte, obsahoval alespoň jeden řadič domény a server globálního katalogu.

2.4 Replikace Active Directory Domain Services

Replikace služby Active Directory Domain Services je přenos změn provedených v datech adresáře mezi řadiči domény v doménové struktuře služby Active Directory Domain Services. Model replikace služby Active Directory Domain Services definuje mechanismy, které umožňují automatické předávání aktualizací adresářů mezi řadiči domény, aby bylo zajištěno bezproblémové řešení replikace pro distribuovanou adresářovou službu Active Directory Domain Services.
Ve službě Active Directory Domain Services jsou tři oddíly. Oddíl domény obsahuje nejčastěji měněná data, a proto generuje velký tok dat replikace služby Active Directory Domain Services.

Odkazy na web služby Active Directory

Odkaz na lokalitu se používá ke zpracování replikace mezi skupinami webů. Můžete použít výchozí odkaz na web poskytnutý ve službě AD DS nebo podle potřeby vytvořit další odkazy na web. Můžete nakonfigurovat nastavení pro odkazy na lokality, abyste určili plán a dostupnost cesty replikace, aby se replikace snáze spravovala.
Pokud jsou dvě lokality propojeny prostřednictvím propojení lokality, replikační systém mezi nimi automaticky vytvoří spojení konkrétní ovladače domény na každém webu, které se nazývají servery předmostí.

2.5 Konfigurace DNS pro Active Directory Domain Services

Instalace DNS

Služba AD DS vyžaduje DNS. Role DNS Server není ve výchozím nastavení v systému Windows Server 2008 R2 nainstalována. Stejně jako ostatní funkčnost, tato funkce je přidána na základě role, když je server nakonfigurován pro provádění konkrétní role.

Roli serveru DNS můžete nainstalovat pomocí odkazu Přidat roli ve Správci serveru. Roli serveru DNS lze také přidat automaticky pomocí Průvodce instalací služby Active Directory Domain Services (dcpromo.exe). Stránka Nastavení řadiče domény v průvodci umožňuje přidat roli serveru DNS.

Nastavení DNS zón

Jakmile je server DNS nainstalován, můžete na server začít přidávat zóny. Pokud je server DNS řadičem domény, můžete nakonfigurovat službu AD DS tak, aby ukládala informace o zóně. Poté bude vytvořena integrovaná zóna Active Directory. Pokud tato možnost není vybrána, data zóny budou uložena v souboru, nikoli ve službě AD DS.

Dynamické aktualizace

Když vytvoříte zónu, budete také dotázáni, zda chcete podporovat dynamická aktualizace. Dynamická aktualizace snižuje nároky na správu zón, protože klienti mohou přidávat, odstraňovat a aktualizovat vlastní nahrávky zdroje.

Dynamická aktualizace umožňuje možnost manipulace se záznamem prostředků. Počítač může například zaregistrovat položku s názvem „www“ a přesměrovat provoz z vašeho webu na nesprávnou adresu.

Aby se eliminovala možnost padělání, služba DNS servery Windows Server 2008 R2 podporuje zabezpečené dynamické aktualizace. Klient musí být před aktualizací záznamů prostředků ověřen, aby server DNS věděl, zda je klientem počítač, který má povoleno aktualizovat záznam prostředků.

Přenosy DNS zóny

Podnik by se měl snažit zajistit, aby zóna mohla být vynucena alespoň dvěma servery DNS.

Pokud je zóna integrována do Active Directory Domain Services, je to dostačující přidat roli serveru DNS do jiného řadiče domény ve stejné doméně, kde je umístěn první DNS server. Integrované zóny a replikace služby Active Directory DNS zóny pomocí AD DS jsou popsány v další lekci.

Pokud zóna není integrována se službou AD DS, musíte přidat další server DNS a nakonfigurovat jej tak, aby hostoval další zónu. Na to by se nemělo zapomínat přídavná zóna je kopie hlavní zóny pouze pro čtení.

Příspěvky od SRV

Záznam o prostředku lokátoru služeb (SRV) řeší požadavek na síťová služba, umožňující klientovi najít uzel, který poskytuje konkrétní službu.

Když řadič domény potřebuje replikovat změny od partnerů.
Když klientský počítač vyžaduje ověření pomocí služby AD DS.
Když si uživatel změní heslo.
Když server Microsoft Exchange prohledá adresář.
Když správce otevře Active Directory Users and Computers.

Záznamy SRV používají následující syntaxi.

protocol.service.name životnost třída typ priorita váha port cílový_uzel

Příklad SRV záznamu je uveden níže.

Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Záznam se skládá z následujících složek:

Název služby protokolu, například služby LDAP, nabízené řadičem domény.
Životnost v sekundách.
Třída (všechny položky serveru DNS systému Windows budou „IN“ nebo „INternet“).
Typ: SRV;
Hodnoty priority a váhy, které klientům pomáhají určit preferovaný uzel.
Port, na kterém je služba nabízena serverem. Na řadiči domény Windows pro LDAP standardní port - 389.
Cílový objekt nebo servisní uzel, tj v tomto případě je řadič domény s názvem hqdc01.contoso.com.

Když klientský proces vyhledá řadič domény, může se dotazovat na službu LDAP z DNS. Požadavek vrátí záznam SRV i záznam A pro jeden nebo více serverů poskytujících požadovanou službu.

Řadiče domény jsou servery, které podporují Active Directory. Každý řadič domény má svou vlastní zapisovatelnou kopii databáze Active Directory. Řadiče domény fungují jako součást centrálního zabezpečení v doméně.

Veškeré operace zabezpečení a ověření účtu se provádějí na řadiči domény. Každá doména musí mít alespoň jeden řadič domény. Pro zajištění odolnosti proti chybám se doporučuje nainstalovat alespoň dva řadiče domény pro každou doménu.

V operačním systému Windows NT podporoval zápis databáze pouze jeden řadič domény, což znamená, že k vytvoření a změně nastavení uživatelského účtu bylo vyžadováno připojení k řadiči domény.

Tento ovladač byl tzv primární řadič domény (PDC). Počínaje operačním systémem Windows 2000 byla architektura řadičů domény přepracována tak, aby umožňovala aktualizaci databáze Active Directory na libovolném řadiči domény. Po aktualizaci databáze na jednom řadiči domény byly změny replikovány na všechny ostatní řadiče.

Přestože všechny řadiče domény podporují zápis do databáze, nejsou totožné. Domény a doménové struktury služby Active Directory mají úkoly, které provádějí konkrétní řadiče domény. Řadiče domény s dalšími odpovědnostmi jsou známé jako velitelé operací. V některých materiálech Microsoft takové systémy se nazývají Flexibilní operace jednoho hlavního zařízení (FSMO). Mnozí věří, že termín FSMO se používá tak dlouho jen proto, že zkratka zní tak legračně, když se vysloví.

Existuje pět rolí hlavního operačního serveru. Ve výchozím nastavení je všech pět rolí přiděleno prvnímu řadiči domény v les Aktivní Adresář. Tyto tři role hlavního operačního serveru se používají na úrovni domény a jsou přiřazeny k prvnímu řadiči domény ve vytvořené doméně. Obslužné programy služby Active Directory, o kterých bude řeč dále, vám umožňují přenášet role hlavního operačního serveru z jednoho řadiče domény na jiný řadič domény. Kromě toho můžete donutit řadič domény, aby převzal řízení určitou roli majitel provozu.

Existují dvě role hlavního operačního serveru, které fungují na úrovni doménové struktury.

Master pojmenování domén- Tyto hlavní operační servery je nutné kontaktovat vždy, když jsou v hierarchii domén doménové struktury provedeny změny názvů. Úkolem hlavního pojmenování domén je zajistit, aby názvy domén byly v rámci doménové struktury jedinečné. Tato role hlavního operačního serveru musí být k dispozici při vytváření nových domén, odstraňování domén nebo přejmenovávání domén
Mistr schématu- role hlavního serveru schémat patří jedinému řadiči domény v doménové struktuře, kde lze provádět změny schématu. Jakmile jsou změny provedeny, jsou replikovány do všech ostatních řadičů domény v doménové struktuře. Jako příklad potřeby provést změny v obvodu zvažte instalaci softwaru produkt společnosti Microsoft Exchange Server. Tím se změní schéma tak, aby správce mohl současně spravovat uživatelské účty a poštovní schránky

Každou roli na úrovni doménové struktury může vlastnit pouze jeden řadič domény v rámci doménové struktury. To znamená, že můžete použít jeden řadič jako hlavní server názvů domén a druhý řadič jako hlavní server schémat. Kromě toho lze obě role přiřadit stejnému řadiči domény. Toto je výchozí rozdělení rolí.

Každá doména v doménové struktuře má řadič domény, který vykonává každou z rolí na úrovni domény.

Relative Identifier Master (RID master)- Master relativních identifikátorů je zodpovědný za přiřazení relativních identifikátorů. Relativní identifikátory jsou jedinečnou částí ID zabezpečení (SID), která se používá k identifikaci objektu zabezpečení (uživatele, počítače, skupiny atd.) v rámci domény. Jedním z hlavních úkolů hlavního serveru relativních identifikátorů je při přesouvání objektů mezi doménami odebrat objekt z jedné domény a přidat objekt do jiné domény.
Master infrastruktury- úkolem vlastníka infrastruktury je synchronizovat členství ve skupině. Když jsou provedeny změny ve složení skupin, vlastník infrastruktury o změnách informuje všechny ostatní řadiče domény.
Emulátor primárního řadiče domény (emulátor PDC)- Tato role se používá k emulaci primárního řadiče domény Windows NT 4 pro podporu záložní řadiče Doména Windows NT 4 Dalším účelem emulátoru primárního řadiče domény je poskytnout centrální bod pro správu změn uživatelských hesel a zásad uzamčení uživatelů.

Slovo „zásady“ se v této části používá poměrně často k označení objektů skupinové zásady (skupinová politika objekty - GPO). Objekty zásad skupiny jsou jedním z hlavních užitečné funkce Active Directory a jsou popsány v odpovídajícím článku, jehož odkaz je uveden níže.

V této poznámce podrobně zvážíme proces implementace prvního řadiče domény v podniku. A budou celkem tři:

1) Primární řadič domény, OS - Windows Server 2012 R2 s GUI, název sítě: dc1.

Vyberte výchozí možnost a klepněte na tlačítko Další. Poté vyberte výchozí protokol IPv4 a znovu klikněte na Další.

Na další obrazovka nastavte ID sítě. V našem případě 192.168.0. V poli Název zóny zpětného vyhledávání uvidíme, jak se adresa zóny zpětného vyhledávání automaticky zadává. Klepněte na tlačítko Další.

Na obrazovce Dynamická aktualizace vyberte jednu ze tří možné možnosti dynamická aktualizace.

Povolit pouze zabezpečené dynamické aktualizace. Tato možnost je dostupná pouze v případě, že je zóna integrována do Active Directory.

Povolit nezabezpečené i zabezpečené dynamické aktualizace. Tento přepínač umožňuje libovolnému klientovi aktualizovat své záznamy prostředků DNS, když dojde ke změnám.

Nepovolovat dynamické aktualizace. Tato možnost zakáže dynamické aktualizace DNS. Mělo by se používat pouze v případě, že zóna není integrována se službou Active Directory.

Vyberte první možnost, klikněte na Další a dokončete nastavení kliknutím na Dokončit.

Ještě jeden užitečná možnost, který se obvykle konfiguruje v DNS, jsou servery pro předávání nebo přeposílání, jejichž hlavním účelem je ukládat do mezipaměti a přesměrovávat dotazy DNS z místního serveru DNS na externí server DNS na internetu, například na server umístěný u poskytovatele internetových služeb. Například chceme lokální počítače v našem doménová síť, V nastavení sítě kteří mají registrovaný DNS server (192.168.0.3) měli přístup k internetu, je nutné, aby byl náš lokální DNS server nakonfigurován pro řešení DNS požadavků z upstream serveru. Chcete-li nakonfigurovat servery pro předávání (Forwarders), přejděte do konzoly správce DNS. Poté ve vlastnostech serveru přejděte na kartu Forwarders a klikněte tam na Upravit.

Uvádíme alespoň jednu IP adresu. Nejlépe několik. Klepněte na tlačítko OK.

Nyní nakonfigurujeme službu DHCP. Spustíme zařízení.

Nejprve si nastavíme plný pracovní rozsah adres, ze kterých se budou brát adresy pro vydávání klientům. Vyberte Akce\Nový rozsah. Spustí se Průvodce přidáním oblasti. Nastavíme název oblasti.

Dále uvedeme počáteční a koncovou adresu rozsahu sítě.

Dále přidáme adresy, které chceme vyloučit z vydávání klientům. Klepněte na tlačítko Další.

Na obrazovce Doba trvání pronájmu v případě potřeby uvedeme jinou než výchozí dobu pronájmu. Klepněte na tlačítko Další.

Poté souhlasíme s tím, že tyto možnosti chceme nyní nakonfigurovat: Ano, chci tyto možnosti nyní nakonfigurovat.

Postupně uvedeme bránu, název domény, DNS adresy, přeskočíme WINS a na konci souhlasíme s aktivací oboru kliknutím: Ano, chci tento rozsah nyní aktivovat. Dokončit.

Pro bezpečná práce Služba DHCP vyžaduje nastavení speciálního účtu pro dynamickou aktualizaci DNS záznamy. To je nutné provést jednak proto, aby nedocházelo k dynamické registraci klientů v DNS pomocí účtu správce domény a jeho případnému zneužití, na druhé straně v případě rezervace služby DHCP a výpadku hlavního serveru, bude možné přenést záložní kopie zóny na druhý server a to bude vyžadovat účet prvního serveru. Pro splnění těchto podmínek vytvořte v modulu snap-in Uživatelé a počítače služby Active Directory účet s názvem dhcp a přiřaďte mu trvalé heslo výběrem možnosti: Heslo nikdy nevyprší.

Přiřadit uživateli silné heslo a přidejte DnsUpdateProxy do skupiny. Poté odebereme uživatele ze skupiny Domain Users, přičemž nejprve primárnímu uživateli přiřadíme skupinu „DnsUpdateProxy“. Tento účet bude výhradně odpovědný za dynamickou aktualizaci záznamů a nebude mít přístup k žádným dalším zdrojům, kde jsou dostatečná základní doménová práva.