Funciones del controlador de dominio. Controlador de dominio en diferentes sistemas operativos. Replicación de servicios de dominio de Active Directory

Funciones del controlador de dominio. Controlador de dominio en diferentes sistemas operativos. Replicación de servicios de dominio de Active Directory

El bosque en los servicios de dominio de Active Directory es el más nivel superior jerarquía de la estructura lógica. Un bosque de Active Directory representa un único directorio. El bosque es un límite de seguridad. Esto significa que los administradores del bosque tienen control total sobre el acceso a la información almacenada dentro del bosque y el acceso a los controladores de dominio utilizados para implementar el bosque.

Las organizaciones suelen implementar un único bosque, a menos que exista una necesidad específica de varios bosques. Por ejemplo, si para diferentes partes Una organización necesita crear áreas administrativas independientes y se deben crear varios bosques para representar estas áreas.

Cuando implementa varios bosques en una organización, cada bosque funciona de forma predeterminada por separado de los demás bosques, como si fuera el único bosque de la organización.

Nota. Para integrar varios bosques, puede crear relaciones de seguridad entre ellos, denominadas relaciones externas o de confianza de bosque.

Operaciones a nivel forestal

Active Directory Domain Services es un servicio de directorio multimaestro. Esto significa que la mayoría de los cambios en el directorio se pueden realizar en cualquier instancia grabable del directorio, es decir, en cualquier controlador de dominio grabable. Sin embargo, algunos cambios son exclusivos. Esto significa que sólo se pueden realizar en un controlador de dominio específico en un bosque o dominio, dependiendo de cambio específico. Se dice que los controladores de dominio en los que se pueden realizar estos cambios exclusivos contienen funciones de maestro de operaciones. Hay cinco roles de maestro de operaciones, dos de los cuales son roles a nivel de bosque y los otros tres son roles a nivel de dominio.

Dos roles de maestro de operaciones en todo el bosque:

  • Maestro de nombres de dominio. El trabajo del maestro de nombres de dominio es garantizar que haya nombres únicos en todo el bosque. Garantiza que en todo el bosque solo haya un completo nombre de dominio cada computadora.
  • El dueño del plan. El maestro de esquema monitorea el esquema del bosque y mantiene los cambios. estructura básica bosques.

Dado que estos roles son críticos a nivel de bosque, cada bosque debe tener solo un maestro de esquema y un maestro de nombres de dominio.

Materiales adicionales:

Un esquema es un componente de dominio. Servicios activos Directorio, que define todos los objetos y atributos que los Servicios de dominio de Active Directory utilizan para almacenar datos.

Los Servicios de dominio de Active Directory almacenan y recuperan información de muchas aplicaciones y servicios. Por lo tanto, para permitir el almacenamiento y la replicación de datos de estos diferentes fuentes, Active Directory Domain Services define el estándar para almacenar datos en un directorio. Tener un estándar de almacenamiento de datos permite a los Servicios de dominio de Active Directory recuperar, actualizar y replicar datos manteniendo su integridad.

Los Servicios de dominio de Active Directory utilizan objetos como unidades de almacenamiento. Todos los objetos están definidos en un esquema. Cada vez que un directorio procesa datos, el directorio consulta el esquema para la definición de objeto correspondiente. Según la definición de un objeto en el esquema, el directorio crea el objeto y almacena los datos.

Las definiciones de objetos determinan los tipos de datos que los objetos pueden almacenar, así como la sintaxis de los datos. Basándose en esta información, el esquema garantiza que todos los objetos coincidan con sus definiciones estándar. Como resultado, los Servicios de dominio de Active Directory pueden almacenar, recuperar y verificar los datos que administra, independientemente de la aplicación que los aloje. fuente original datos. El directorio solo puede almacenar datos que tengan una definición de objeto existente en el esquema. Si desea almacenar un nuevo tipo de datos, primero debe crear una nueva definición de objeto en el esquema para esos datos.

Un esquema en Active Directory Domain Services define:

  • objetos utilizados para almacenar datos en el directorio;
  • reglas que determinan qué tipos de objetos se pueden crear, qué atributos deben especificarse al crear un objeto y qué atributos son opcionales;
  • la estructura y el contenido del propio directorio.

El esquema es un miembro maestro único de los Servicios de dominio de Active Directory. Esto significa que los cambios en el esquema se deben realizar en el controlador de dominio que tiene la función de maestro de operaciones del esquema.

El esquema se replica entre todos los controladores de dominio del bosque. Cualquier cambio realizado en el esquema se replica en todos los controladores de dominio del bosque desde el propietario de la función de maestro de operaciones del esquema, que suele ser el primer controlador de dominio del bosque.

Debido a que el esquema determina cómo se almacena la información, y cualquier cambio realizado en el esquema afecta a todos los controladores de dominio, los cambios en el esquema sólo deben realizarse cuando sea necesario (por medios duros). proceso controlado) una vez finalizadas las pruebas para que no haya ningún impacto adverso en el resto del bosque.

Aunque no puede realizar ningún cambio en el esquema directamente, algunas aplicaciones realizan cambios en el esquema para admitir funciones adicionales. Por ejemplo, cuando instalación de microsoft Servidor de intercambio El programa de instalación del bosque de servicios de dominio de Active Directory 2010 amplía el esquema para admitir nuevos tipos de objetos y atributos.

Material adicional:

1.3 ¿Qué es un dominio?

Un dominio es un límite administrativo. Todos los dominios tienen cuenta administrador, que tiene plena autoridad administrativa sobre todos los objetos del dominio. Aunque un administrador puede delegar la administración de objetos en un dominio, la cuenta de administrador conserva el control administrativo total de todos los objetos en el dominio.

EN versiones anteriores Servidor Windows se creía que los dominios estaban destinados a proporcionar una separación administrativa completa; de hecho, una de las principales razones para elegir una topología multidominio fue proporcionar dicha separación. Sin embargo, en Active Domain Services cuenta de directorio La cuenta de administrador en el dominio raíz del bosque tiene control administrativo total de todos los objetos en el bosque, lo que invalida esta separación administrativa a nivel de dominio.

Un dominio es un límite de replicación. Los servicios de dominio de Active Directory constan de tres elementos o secciones: esquemas, sección de configuración Y sección de dominio. Normalmente, sólo la sección del dominio se cambia con frecuencia.

La sección de dominio contiene objetos que probablemente deban actualizarse con frecuencia.; Estos objetos son usuarios, computadoras, grupos y departamentos. Por lo tanto, la replicación de Servicios de dominio de Active Directory consiste principalmente en actualizaciones de objetos definidos en la partición del dominio. Sólo los controladores de dominio de un dominio concreto reciben actualizaciones de particiones de dominio de otros controladores de dominio. La partición de datos permite a las organizaciones replicar datos solo donde sea necesario. Como resultado, el directorio puede escalar globalmente en una red que tiene un ancho de banda limitado.

Un dominio es un límite de autenticación. Los controladores de ese dominio pueden verificar cada cuenta de usuario en un dominio. Los dominios de un bosque confían entre sí para que un usuario de un dominio pueda acceder a los recursos ubicados en otro dominio.

Operaciones a nivel de dominio

Hay tres roles de maestro de operaciones en cada dominio. Estas funciones, inicialmente asignadas al primer controlador de dominio de cada dominio, se enumeran a continuación.

  • El propietario del identificador relativo (RID). Cada vez que se crea un objeto en los Servicios de dominio de Active Directory, el controlador de dominio donde se crea el objeto le asigna un nombre único. número de identificación, llamado identificador de seguridad (SID). Para evitar que dos controladores de dominio asignen el mismo SID a dos objetos diferentes, el maestro RID asigna bloques SID a cada controlador de dominio en el dominio.
  • Emulador de controlador de dominio primario. Esta función es la más importante porque su pérdida temporal se nota mucho más rápido que la pérdida de cualquier otra función de maestro de operaciones. Es responsable de una serie de funciones a nivel de dominio, que incluyen:
  • actualizar el estado de bloqueo de la cuenta;
  • creación y replicación de un GPO por un solo maestro;
  • sincronización horaria para el dominio.
  • Propietario de la infraestructura. Esta función es responsable de mantener referencias de objetos entre dominios. Por ejemplo, cuando un grupo de un dominio incluye un miembro de otro dominio, el maestro de infraestructura es responsable de mantener la integridad de ese enlace.

Estas tres funciones deben ser únicas en cada dominio, por lo que cada dominio puede tener sólo un maestro RID, un emulador de controlador de dominio primario (PDC) y un maestro de infraestructura.

Materiales adicionales:

Si los Servicios de dominio de Active Directory contienen más de un dominio, debe definir las relaciones entre los dominios. Si los dominios comparten una raíz común y un espacio de nombres contiguo, lógicamente forman parte del mismo árbol de Active Directory. El árbol no tiene ningún propósito administrativo. En otras palabras, no existe un administrador de árbol, al igual que existe un administrador de bosque o de dominio. Un árbol proporciona una agrupación jerárquica lógica de dominios que tienen relaciones padre-hijo definidas por sus nombres. El árbol de Active Directory se asigna a un espacio de nombres del Sistema de nombres de dominio (DNS).

Los árboles de Active Directory se crean en función de las relaciones entre dominios de bosque. no existe razones serias, para lo cual se requiere o no crear varios árboles en el bosque. Sin embargo, hay que tener en cuenta que un árbol con su espacio continuo Los nombres son más fáciles de administrar y más fáciles de visualizar para los usuarios.

Si hay varios espacios de nombres compatibles, considere utilizar varios árboles en el mismo bosque. Por ejemplo, si su organización tiene varios departamentos de producción diferentes con identificadores públicos diferentes, puede crear un árbol diferente para cada departamento de producción. Tenga en cuenta que en este escenario no hay separación de la administración porque el administrador raíz del bosque aún tiene control total sobre todos los objetos del bosque, independientemente del árbol en el que se encuentren.

1.5 Divisiones

Subdivisión es un objeto contenedor en un dominio que se puede utilizar para agrupar usuarios, grupos, computadoras y otros objetos. Hay dos razones para crear divisiones.

  • Configurar los objetos contenidos en la unidad organizativa. Puede asignar GPO a una unidad organizativa y aplicar la configuración a todos los objetos de esa unidad organizativa.
  • Delegación gestión administrativa objetos en el departamento. Puede asignar derechos de administración a una unidad organizativa, delegando así el control de la unidad organizativa a un usuario o grupo no administrativo en los Servicios de dominio de Active Directory.

Nota. Una unidad organizativa es el área o unidad más pequeña a la que puede asignar configuraciones de política de grupo o delegar derechos administrativos.

Las divisiones se pueden utilizar para representar jerárquicas. estructuras lógicas en la organización. Por ejemplo, puede crear unidades de negocio que representen departamentos de una organización, regiones geográficas de una organización y unidades de negocio que sean una combinación de departamentos y regiones geográficas. Luego podrá administrar la configuración y utilizar cuentas de usuario, grupo y computadora según el modelo de organización que creó.

Cada dominio de Servicios de dominio de Active Directory tiene conjunto estándar contenedores y unidades organizativas que se crean al instalar Active Directory Domain Services. Estos contenedores y unidades se enumeran a continuación.

  • Un contenedor de dominio que sirve como contenedor raíz de una jerarquía.
  • Contenedor integrado que contiene cuentas de administrador de servicios predeterminadas.
  • Un contenedor de usuarios que es la ubicación predeterminada para las nuevas cuentas de usuarios y grupos creados en el dominio.
  • Un contenedor de computadora que es la ubicación predeterminada para las nuevas cuentas de computadora creadas en el dominio.
  • La unidad organizativa de los controladores de dominio, que es la ubicación predeterminada para las cuentas de computadora de los controladores de dominio.

1.6 Relaciones de confianza

Una relación de confianza permite que un objeto de seguridad confíe en otro objeto de seguridad con fines de autenticación. En el sistema operativo Windows Server 2008 R2, el objeto de seguridad es el dominio de Windows.

El objetivo principal de una relación de confianza es facilitar que un usuario de un dominio obtenga acceso a un recurso en otro dominio sin tener que mantener una cuenta de usuario en ambos dominios.

En cualquier relación de confianza, hay dos partes: la entidad que confía y la entidad de confianza. Un objeto de confianza es un objeto que posee un recurso y un objeto de confianza es un objeto con una cuenta. Por ejemplo, si le prestas una computadora portátil a alguien, confías en esa persona. Eres el objeto propietario del recurso. El recurso es tu computadora portátil; la persona a quien se le presta el portátil es un objeto de confianza con una cuenta.

Tipos de relaciones de confianza

Las relaciones de confianza pueden ser unilaterales o bilaterales.

La confianza unidireccional significa que aunque una entidad confía en otra, lo contrario no es cierto. Por ejemplo, si le presta a Steve su computadora portátil, esto no significa que Steve necesariamente le prestará su automóvil.

En la confianza bidireccional, ambas entidades confían entre sí.

Las relaciones de confianza pueden ser transitivas o intransitivas. Si en un fideicomiso transitivo, el objeto A confía en el objeto B y el objeto B confía en el objeto C, entonces el objeto A también confía implícitamente en el objeto B. Por ejemplo, si le presta a Steve su computadora portátil y Steve le presta su automóvil a Mary, puede darle a Mary su teléfono móvil para uso temporal.

Windows Server 2008 R2 admite una variedad de relaciones de confianza diseñadas para usarse en diferentes situaciones.

En un solo bosque, todos los dominios confían entre sí mediante relaciones de confianza transitivas bidireccionales internas. Básicamente, esto significa que todos los dominios confían en todos los demás dominios. Estas relaciones de confianza se extienden a través de los árboles del bosque. Además de estas confianzas creadas automáticamente, puede configurar confianzas adicionales entre dominios de bosque, entre este bosque y otros bosques, y entre este bosque y otras entidades de seguridad, como dominios de Kerberos o dominios de sistemas operativos. Windows NT® 4.0. La siguiente tabla proporciona información adicional.

Tipo de confianzaTransitividadDirecciónDescripción
ExternoIntransitivoLas confianzas externas se utilizan para proporcionar acceso a recursos ubicados en un dominio de Windows NT Server 4.0 o un dominio que se encuentra en un bosque independiente al que no está unido una confianza de bosque.
La confianza de la regiónTransitiva o intransitiva.Unilateral o bilateral.Las confianzas de dominio se utilizan para crear una confianza entre un dominio de Kerberos administrado por un sistema operativo que no sea Windows y un sistema operativo Windows Server 2008 o un dominio de Windows Server 2008 R2.
fideicomiso forestalTransitivoUnilateral o bilateral.Utilice fideicomisos forestales para compartir recursos entre bosques. Si las confianzas de los bosques son bidireccionales, las solicitudes de autenticación realizadas en cualquiera de los bosques pueden llegar al otro bosque.
Confianza directamente establecidaTransitivoUnilateral o bilateral.Las confianzas establecidas directamente se utilizan para reducir el tiempo de inicio de sesión del usuario entre dos dominios en un bosque de Windows Server 2008 o Windows Server 2008 R2. Esto se aplica cuando dos dominios están separados por dos árboles de dominio.

2. Implementación de servicios de dominio de Active Directory

Para implementar los Servicios de dominio de Active Directory, debe implementar controladores de dominio. Para optimizar los servicios de dominio de Active Directory, es importante comprender dónde y cómo crear controladores de dominio para optimizar su infraestructura de red.

2.1 ¿Qué es un controlador de dominio?

Se crea un dominio cuando promocionas una computadora servidor windows Server 2008 R2 al controlador de dominio. Los controladores de dominio contienen servicios de dominio de Active Directory.

Los controladores de dominio proporcionan ejecución siguientes funciones en línea.

  • Proporciona autenticación. Los controladores de dominio contienen una base de datos de cuentas de dominio y brindan servicios de autenticación.
  • Contiene funciones de maestro de operaciones como oportunidad adicional. Estas funciones se denominaban anteriormente funciones FSMO (Operaciones maestras únicas flexibles). Hay cinco roles de maestro de operaciones: dos roles a nivel de bosque y tres roles a nivel de dominio. Estos roles se pueden migrar según los requisitos.
  • Contiene un catálogo global como característica opcional. Cualquier controlador de dominio puede designarse como servidor de catálogo global.

    • Nota. Un catálogo global es una base de datos distribuida que contiene una representación con capacidad de búsqueda de cada objeto de todos los dominios en un bosque multidominio. Sin embargo, el catálogo global no contiene todos los atributos de cada objeto. En cambio, admite un subconjunto de atributos que probablemente sean más útiles en las búsquedas de dominios.

2.2 ¿Qué es un controlador de dominio de sólo lectura?

Un controlador de dominio de sólo lectura es nuevo tipo controlador de dominio en Windows Server 2008 R2. Al utilizar un controlador de dominio de solo lectura, las organizaciones pueden implementar fácilmente un controlador de dominio en ubicaciones donde no se puede garantizar la seguridad física. Un RODC aloja una réplica de solo lectura de la base de datos de Servicios de dominio de Active Directory para un dominio determinado. Un controlador de dominio de sólo lectura también puede funcionar como servidor de catálogo global.

A partir de Windows Server 2008, una organización puede implementar un controlador de dominio de solo lectura en los casos en que ancho de banda canales red mundial o seguridad física insuficiente de las computadoras. Como resultado, los usuarios en esta situación pueden beneficiarse de:

Función de controlador de dominio de sólo lecturaExplicación
Base Datos activos Directorio de solo lecturaCon la excepción de las contraseñas de las cuentas, un controlador de dominio de sólo lectura contiene todos los objetos y atributos de Active Directory que están presentes en un controlador de dominio grabable. Sin embargo, no puede realizar cambios en una réplica almacenada en un controlador de dominio de solo lectura. Los cambios deben realizarse en un controlador de dominio grabable y replicarse en un controlador de dominio de solo lectura.
Replicación unidireccionalComo los cambios no se escriben directamente en el RODC, no se realizan cambios en el RODC. Por lo tanto, los controladores de dominio grabables que son socios de replicación no deberían recibir cambios del controlador de solo lectura. Como resultado, disminuye carga de trabajo servidores cabeza de puente en el concentrador y se requiere menos esfuerzo para realizar un seguimiento de la replicación.
Credenciales de almacenamiento en cachéEl almacenamiento en caché de credenciales es el almacenamiento de credenciales de usuario o computadora. Las credenciales constan de un pequeño conjunto de contraseñas (unas diez) asociadas con principios de seguridad. De forma predeterminada, un controlador de dominio de solo lectura no almacena las credenciales de usuario ni de computadora. Las excepciones son la cuenta de computadora RODC y la cuenta especial krbtgt (cuenta del Centro de servicio de distribución de claves Kerberos) que se encuentra en cada RODC. El almacenamiento en caché de cualquier otra credencial debe habilitarse explícitamente en el controlador de dominio de solo lectura.
Separación de roles de administradorRole administrador local Un controlador de dominio de solo lectura se puede delegar a cualquier usuario del dominio sin otorgarle a ese usuario ningún derecho sobre el dominio u otros controladores de dominio. En este caso usuario local La sucursal podrá iniciar sesión en el RODC y realizar operaciones de mantenimiento en él, como actualizar un controlador. Sin embargo, el usuario de la sucursal no tendrá derecho a iniciar sesión en ningún otro controlador de dominio ni a realizar ninguna otra tarea administrativa en el dominio.
Servicio de nombres de dominio de solo lecturaEl servicio Servidor DNS se puede instalar en un controlador de dominio de solo lectura. El RODC puede replicar todas las particiones del directorio de aplicaciones que utiliza el servidor DNS, incluidas las particiones ForestDNSZones y DomainDNSZones. Si el servidor DNS está instalado en un controlador de dominio de solo lectura, los clientes pueden enviarle solicitudes de resolución de nombres como a cualquier otro servidor DNS.

La función de un controlador de dominio de sólo lectura se resume a continuación.

  • El controlador de dominio que actúa como maestro de las operaciones del emulador de PDC para el dominio debe estar ejecutando el sistema operativo. sistemas windows Server 2008. Esto es necesario para crear una nueva cuenta. krbtgt para un controlador de dominio de sólo lectura, así como para las operaciones en curso de ese controlador.
  • El RODC requiere que las solicitudes de autenticación se envíen al servidor de catálogo global (en control de ventanas Server 2008), ubicado en el sitio más cercano al sitio con este controlador. Se establece una política de replicación de contraseñas en este controlador de dominio para determinar si las credenciales se replican en la ubicación de la sucursal para una solicitud redirigida desde el RODC.
  • Para que la delegación restringida de Kerberos esté disponible, debe configurar el modo de funcionamiento Dominio de Windows La delegación restringida de Server 2003 se utiliza para llamadas de seguridad que deben suplantarse en el contexto de la persona que llama.
  • Para garantizar la disponibilidad de replicación valor asociado debe configurar el nivel funcional del bosque de Windows Server 2003. Esto proporciona más. alto nivel compatibilidad de replicación.
  • Debes ejecutar adprep /rodcprep una vez en el bosque. Esto actualizará los permisos en todas las particiones del directorio de aplicaciones DNS en el bosque para facilitar la replicación entre RODC que también son servidores DNS.
  • Un RODC no puede contener funciones de maestro de operaciones y no puede actuar como servidor cabeza de puente de replicación.
  • Se puede implementar un controlador de dominio de solo lectura en un sistema Núcleo del servidor para mayor seguridad.

Un sitio es una representación lógica de un área geográfica en Internet. El sitio representa el límite de la red de alta velocidad para las computadoras de Active Directory Domain Services, es decir, las computadoras que pueden comunicarse con alta velocidad y baja latencia, se pueden combinar en un sitio; Los controladores de dominio dentro de un sitio replican los datos de los Servicios de dominio de Active Directory de una manera optimizada para ese entorno; Esta configuración de replicación es en gran medida automática.

Nota. Los equipos cliente utilizan los sitios para buscar servicios como controladores de dominio y servidores de catálogo global. Es importante que cada sitio que cree contenga al menos un controlador de dominio y un servidor de catálogo global.

2.4 Replicación de servicios de dominio de Active Directory

  1. La replicación de Servicios de dominio de Active Directory es la transferencia de cambios realizados en los datos del directorio entre controladores de dominio en un bosque de Servicios de dominio de Active Directory. El modelo de replicación de Servicios de dominio de Active Directory define mecanismos que permiten que las actualizaciones de directorio se pasen automáticamente entre controladores de dominio para proporcionar una solución de replicación perfecta para el servicio de directorio distribuido de Servicios de dominio de Active Directory.
  2. Hay tres particiones en los Servicios de dominio de Active Directory. La partición del dominio contiene los datos que se modifican con más frecuencia y, por lo tanto, genera un gran flujo de datos de replicación de Servicios de dominio de Active Directory.

Enlaces a sitios de Active Directory

  1. Un vínculo de sitio se utiliza para manejar la replicación entre grupos de sitios. Puede utilizar el vínculo al sitio predeterminado proporcionado en AD DS o crear vínculos al sitio adicionales según sea necesario. Puede configurar los ajustes de los vínculos a sitios para determinar la programación y la disponibilidad de la ruta de replicación para facilitar la administración de la replicación.
  2. Si dos sitios están conectados a través de un vínculo de sitio, el sistema de replicación crea automáticamente conexiones entre controladores específicos dominios en cada sitio, que se denominan servidores cabeza de puente.

2.5 Configuración de DNS para servicios de dominio de Active Directory

instalación DNS

AD DS requiere DNS. La función de servidor DNS no está instalada de forma predeterminada en Windows Server 2008 R2. como otros funcionalidad, esta característica se agrega según la función cuando el servidor está configurado para realizar una función específica.

Puede instalar la función del servidor DNS utilizando el enlace Agregar función en el Administrador del servidor. La función del servidor DNS también se puede agregar automáticamente mediante el Asistente de instalación de servicios de dominio de Active Directory (dcpromo.exe). La página Configuración del controlador de dominio en el asistente le permite agregar la función del servidor DNS.

Configurar zonas DNS

Una vez que el servidor DNS esté instalado, puede comenzar a agregar zonas al servidor. Si el servidor DNS es un controlador de dominio, puede configurar AD DS para almacenar información de zona. Luego se creará una zona integrada de Active Directory. Si no se selecciona esta opción, los datos de la zona se almacenarán en un archivo en lugar de en AD DS.

Actualizaciones dinámicas

Cuando crea una zona, también se le preguntará si desea admitir actualización dinámica. La actualización dinámica reduce el esfuerzo de administración de zonas, ya que los clientes pueden agregar, eliminar y actualizar grabaciones propias recursos.

La actualización dinámica permite la posibilidad de alterar un registro de recursos. Por ejemplo, alguna computadora podría registrar una entrada llamada "www" y redirigir el tráfico desde su sitio web a la dirección incorrecta.

Para eliminar la posibilidad de falsificación, el servicio Servidores DNS de Windows Server 2008 R2 admite actualizaciones dinámicas seguras. El cliente debe autenticarse antes de actualizar los registros de recursos, para que el servidor DNS sepa si el cliente es la computadora a la que se le permite actualizar el registro de recursos.

Transferencias de zona DNS

Una empresa debe esforzarse por garantizar que al menos dos servidores DNS puedan aplicar una zona.

Si la zona está integrada en Active Directory Domain Services, es suficiente agregue la función del servidor DNS a otro controlador de dominio en el mismo dominio, donde se encuentra el primer servidor DNS. Zonas integradas de Active Directory y replicación zonas DNS El uso de AD DS se describe en la siguiente lección.

Si la zona no está integrada con AD DS, debe agregar otro servidor DNS y configurarlo para alojar la zona adicional. No se debe olvidar que zona adicional es una copia de sólo lectura de la zona principal.

Entradas de SRV

El registro de recursos del localizador de servicios (SRV) resuelve la solicitud de servicio de red, permitiendo a un cliente encontrar un nodo que proporcione un servicio específico.

  • Cuando un controlador de dominio necesita replicar cambios de socios.
  • Cuando computadora cliente requiere autenticación con AD DS.
  • Cuando un usuario cambia su contraseña.
  • cuando el servidor intercambio de microsoft busca en el directorio.
  • Cuando un administrador abre Usuarios y equipos de Active Directory.

Los registros SRV utilizan la siguiente sintaxis.

protocolo.servicio.nombre vida útil clase tipo prioridad peso puerto destino_nodo

A continuación se muestra un ejemplo de un registro SRV.

Ldap._tcp.contoso.com 600 EN SRV 0 100 389 hqdc01.contoso.com

Un registro consta de los siguientes componentes:

  • El nombre del servicio de protocolo, como el servicio LDAP, ofrecido por el controlador de dominio.
  • Vida útil en segundos.
  • Clase (todas las entradas del servidor DNS de Windows serán "IN" o "INternet").
  • Tipo: SRV;
  • Valores de prioridad y peso que ayudan a los clientes a determinar el nodo preferido.
  • El puerto en el que el servidor ofrece el servicio. En un controlador de dominio de Windows para LDAP puerto estándar - 389.
  • El objeto de destino, o nodo de servicio, que es en este caso es un controlador de dominio denominado hqdc01.contoso.com.

Cuando un proceso de cliente busca un controlador de dominio, puede consultar el servicio LDAP desde DNS. La solicitud devuelve un registro SRV y un registro A para uno o más servidores que brindan el servicio solicitado.

Los controladores de dominio son servidores que admiten Active Directory. Cada controlador de dominio tiene su propia copia grabable de la base de datos de Active Directory. Los controladores de dominio actúan como componente de seguridad central en un dominio.

Todas las operaciones de seguridad y verificación de cuenta se realizan en el controlador de dominio. Cada dominio debe tener al menos un controlador de dominio. Para garantizar la tolerancia a errores, se recomienda instalar al menos dos controladores de dominio para cada dominio.

En el sistema operativo Windows NT, sólo un controlador de dominio admitía la escritura de bases de datos, lo que significa que se requería una conexión a un controlador de dominio para crear y cambiar la configuración de la cuenta de usuario.

Este controlador se llamaba controlador de dominio principal (PDC). A partir del sistema operativo Windows 2000, la arquitectura de los controladores de dominio se rediseñó para brindar la capacidad de actualizar la base de datos de Active Directory en cualquier controlador de dominio. Después de actualizar la base de datos en un controlador de dominio, los cambios se replicaron en todos los demás controladores.

Aunque todos los controladores de dominio admiten la escritura de bases de datos, no son idénticos. Los dominios y bosques de Active Directory tienen tareas realizadas por controladores de dominio específicos. Los controladores de dominio con responsabilidades adicionales se conocen como maestros de operación. en algunos materiales microsoft tales sistemas se llaman Operaciones flexibles de un solo maestro (FSMO). Muchos creen que el término FSMO se ha utilizado durante tanto tiempo sólo porque el acrónimo suena muy gracioso cuando se pronuncia.

Hay cinco roles de maestro de operaciones. De forma predeterminada, los cinco roles se asignan al primer controlador de dominio en bosque activo Directorio. Las tres funciones de maestro de operaciones se utilizan a nivel de dominio y se asignan al primer controlador de dominio en el dominio creado. Las utilidades de Active Directory que se analizan a continuación le permiten transferir funciones de maestro de operaciones de un controlador de dominio a otro controlador de dominio. Además, puede obligar al controlador de dominio a tomar el control. un cierto papel propietario de la operación.

Hay dos roles de maestro de operaciones que operan a nivel de bosque.

  • Maestro de nombres de dominio- Se debe contactar a estos maestros de operaciones cada vez que se realicen cambios de nombre dentro de la jerarquía del dominio del bosque. El trabajo del maestro de nombres de dominio es garantizar que los nombres de dominio sean únicos dentro del bosque. Esta función de maestro de operaciones debe estar disponible al crear nuevos dominios, eliminar dominios o cambiarles el nombre.
  • Maestro de esquemas- la función de maestro de esquema pertenece al único controlador de dominio dentro del bosque donde se pueden realizar cambios en el esquema. Una vez realizados los cambios, se replican en todos los demás controladores de dominio dentro del bosque. Como ejemplo de la necesidad de realizar cambios en el circuito, considere instalar software Producto de Microsoft Servidor de intercambio. Esto cambia el esquema para permitir que el administrador administre simultáneamente cuentas de usuario y buzones de correo.

Cada función a nivel de bosque solo puede ser propiedad de un controlador de dominio dentro del bosque. Es decir, puede utilizar un controlador como maestro de nombres de dominio y un segundo controlador como maestro de esquema. Además, ambos roles se pueden asignar al mismo controlador de dominio. Esta es la distribución de roles predeterminada.

Cada dominio dentro del bosque tiene un controlador de dominio que realiza cada una de las funciones a nivel de dominio.

  • Maestro de identificadores relativos (maestro RID)- El maestro de identificadores relativos es responsable de asignar identificadores relativos. Los identificadores relativos son una parte única del ID de seguridad (SID) que se utiliza para identificar un objeto de seguridad (usuario, computadora, grupo, etc.) dentro de un dominio. Una de las tareas principales de un maestro de identificadores relativos es eliminar un objeto de un dominio y agregar un objeto a otro dominio al mover objetos entre dominios.
  • maestro de infraestructura- la tarea del propietario de la infraestructura es sincronizar la pertenencia al grupo. Cuando se realizan cambios en la composición de los grupos, el propietario de la infraestructura notifica a todos los demás controladores de dominio sobre los cambios.
  • Emulador de controlador de dominio principal (emulador de PDC)- Esta función se utiliza para emular un controlador de dominio primario de Windows NT 4 para admitir controladores de respaldo Dominio de Windows NT 4 Otro propósito del emulador de controlador de dominio principal es proporcionar un punto central de administración para los cambios en las contraseñas de los usuarios, así como las políticas de bloqueo de usuarios.

La palabra "políticas" se utiliza con bastante frecuencia en esta sección para referirse a objetos políticas de grupo (política de grupo objetos - GPO). Los objetos de política de grupo son uno de los principales características útiles Active Directory y se analizan en el artículo correspondiente, cuyo enlace se proporciona a continuación.

En esta nota, consideraremos en detalle el proceso de implementación del primer controlador de dominio en una empresa. Y habrá tres de ellos en total:

1) Controlador de dominio principal, sistema operativo: Windows Server 2012 R2 con GUI, nombre de la red: pa1.

Seleccione la opción predeterminada y haga clic en Siguiente. Luego seleccione el protocolo predeterminado IPv4 y haga clic en Siguiente nuevamente.

En siguiente pantalla establezca la identificación de la red. En nuestro caso, 192.168.0. En el campo Nombre de la zona de búsqueda inversa veremos como automáticamente se sustituye la dirección de la zona de búsqueda inversa. Haga clic en Siguiente.

En la pantalla Actualización dinámica, seleccione uno de los tres opciones posibles actualización dinámica.

Permitir solo actualizaciones dinámicas seguras. Esta opción sólo está disponible si la zona está integrada en Active Directory.

Permita actualizaciones dinámicas seguras y no seguras. Este modificador permite a cualquier cliente actualizar sus registros de recursos DNS cuando se producen cambios.

No permitir actualizaciones dinámicas. Esta opción deshabilita las actualizaciones dinámicas de DNS. Sólo debe usarse si la zona no está integrada con Active Directory.

Seleccione la primera opción, haga clic en Siguiente y complete la configuración haciendo clic en Finalizar.

Una vez más opción útil, que generalmente se configuran en DNS, son servidores de reenvío o Forwarders, cuyo objetivo principal es almacenar en caché y redirigir consultas DNS desde un servidor DNS local a un servidor DNS externo en Internet, por ejemplo el ubicado en el ISP. Por ejemplo, queremos computadoras locales en nuestro red de dominio, V. configuración de red quienes tienen un servidor DNS registrado (192.168.0.3) pudieron acceder a Internet, es necesario que nuestro servidor DNS local esté configurado para resolver las solicitudes de DNS del servidor ascendente. Para configurar servidores de reenvío (Reenviadores), vaya a la consola del administrador de DNS. Luego, en las propiedades del servidor, vaya a la pestaña Reenviadores y haga clic en Editar allí.

Especificamos al menos una dirección IP. Preferiblemente varios. Haga clic en Aceptar.

Ahora configuremos el servicio DHCP. Lanzamos el equipo.

Primero, configuremos el rango de trabajo completo de direcciones de las cuales se tomarán las direcciones para enviarlas a los clientes. Seleccione Acción\Nuevo alcance. Se iniciará el Asistente para agregar área. Establezcamos el nombre del área.

A continuación, indicamos las direcciones inicial y final del rango de red.

A continuación, agregaremos las direcciones que queremos excluir de la emisión a los clientes. Haga clic en Siguiente.

En la pantalla Duración del arrendamiento, indicaremos un tiempo de arrendamiento distinto al predeterminado, si es necesario. Haga clic en Siguiente.

Luego aceptamos que queremos configurar estas opciones ahora: Sí, quiero configurar estas opciones ahora.

Indicaremos secuencialmente la puerta de enlace, nombre de dominio, Direcciones DNS, nos saltamos WINS y al final aceptamos activar el alcance haciendo clic en: Sí, quiero activar este alcance ahora. Finalizar.


Para trabajo seguro Servicio DHCP, requiere configurar una cuenta especial para actualizaciones dinámicas Registros DNS. Esto debe hacerse, por un lado, para evitar el registro dinámico de clientes en DNS utilizando una cuenta administrativa de dominio y un posible abuso de la misma, por otro lado, en caso de reserva del servicio DHCP y falla del servidor principal, será posible transferir copia de reserva zonas al segundo servidor, y esto requerirá la cuenta del primer servidor. Para cumplir con estas condiciones, en el complemento Usuarios y computadoras de Active Directory, cree una cuenta llamada dhcp y asigne una contraseña perpetua seleccionando la opción: La contraseña nunca caduca.

Asignar al usuario contraseña segura y agregue DnsUpdateProxy al grupo. Luego eliminaremos al usuario del grupo Usuarios de dominio, habiendo asignado primero el grupo "DnsUpdateProxy" al usuario principal. Esta cuenta será la única responsable de actualizar dinámicamente los registros y no tendrá acceso a ningún otro recurso donde los derechos de dominio básicos sean suficientes.

Haga clic en Aplicar y luego en Aceptar. Abra la consola DHCP nuevamente. Vaya a las propiedades del protocolo IPv4 en la pestaña Avanzado.

Haga clic en Credenciales y especifique nuestro usuario DHCP allí.

Haga clic en Aceptar y reinicie el servicio.

Más tarde volveremos a configuración DHCP, cuando configuramos la reserva del servicio DHCP, pero para ello necesitamos levantar al menos controladores de dominio.



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba