Основной контроллер домена. Контроллер домена: что это и для чего? Настройка контроллера. Репликация доменных служб Active Directory
Мобильные устройства c операционной системой от Microsoft, в особенности Nokia Lumia, зарекомендовали себя как надежные девайсы. Однако и в их работе иногда происходит сбой. Именно ошибка в программном обеспечении не дает телефону включится. Не обязательно сразу нести свой телефон в сервисный центр. Если Windows Phone не включается, существуют способы для восстановления его работоспособности собственными силами, которыми можно воспользоваться в данной ситуации.
Восстановление работы смартфона
Итак, что делать если Windows Phone не включается ? Необходимо подключить девайс к зарядному устройству. Затем единовременно зажать кнопку снижения уровня звука и включения устройства. Удерживать клавиши нужно в течение 15 секунд.
После этого смартфон должен корректно заработать. Если этого не произошло и телефон Windows Phone не включается , стоит повторить процедуру, но предварительно подержав девайс на зарядке в течение 15-20 минут.
Крайние меры
Даже если и после повторной попытки восстановить работоспособность телефона, изменений в его работе не произошло, остается два последних способа:
- - аппаратный возврат к заводским настройкам;
- - обращение в сервисный центр для смены прошивки.
При аппаратном сбросе, все пользовательские данные и фалы будут удалены безвозвратно. Но и при смене прошивки произойдет тоже самое. Восстановить данные можно только в том случае, если заблаговременно было установлено автоматическое резервное копирование данных с устройства.
Чтобы произвести возврат к заводским настройкам нужно нажать кнопки устройства по следующему алгоритму:
- - одновременное удержание клавиши снижения уровня звука и разблокировки экрана;
- - после появления характерной вибрации, нужно еще раз нажать кнопку снижения уровня звука;
- - на экране должен появится знак восклицания, после чего следует нажать кнопку увеличения звука, уменьшения, клавишу отключения питания и снова снижения звука.
Возврат к заводским настройкам может занять некоторое время, в течение которого телефоном пользоваться нельзя.
И даже если проведение данной процедуры не помогло восстановить работоспособность девайса, то, к сожалению, без обращения в сервисный центр не обойтись. Специалист оценит ситуацию, установит причину неисправности и поможет ее устранить.
Неожиданное появление «Синего экрана смерти» или Blue Screen of Death (BSOD) нередко пугает пользователей Windows, если не сказать, что приводит их в ужас.
При синем экране происходит крах операционной системы, который обычно сопровождается абсолютным отказом большинства функций и остановкой наиважнейших процессов для ее функционирования.
В ранних версиях операционных систем от Microsoft BSOD выглядел сильно ужасающим и внешне представлял случайную последовательность символов на синем фоне.
Позднее последовательность символов стала информативным текстом, содержащим информацию о коде ошибки и имени системного файла, который стал причиной системного сбоя. В Windows 8 BSOD стал менее ужасающим, цвет фона поменялся на голубой вместо синего. В то же время информативность синего экрана заметно снизилась.
Фото: синий экран смерти в Windows 8
Если в операционных системах до Windows 8 синий экран содержал полнейшую информацию о причине сбоя, то BSODWindows 8 выводит на экран лишь грустный смайлик и информацию о необходимости перезагрузки компьютера. В нижней части экрана отображается код ошибки с описанием, а также может быть указано имя файла, из-за которого произошел сбой.
Настройка системы
После появления BSOD происходит автоматическая перезагрузка компьютера, которая стартует при достижении индикатора загрузки сбора информации 100%. Обычно это занимает очень небольшое время и в сочетании с тем, что информация о сбое на экране отображается довольно мелко, времени на чтение и запоминание наиважнейшей информации критически не хватает.
В Windows можно настроить параметры так, чтобы операционная система не перегружалась автоматически. В Windows 8 для этого необходимо:
- правой клавишей мыши нажать на значок “Компьютер” и затем из появившегося меню выбрать строку “Свойства” (можно использовать сочетание клавиш «Win»+«Pause»);
- в левом меню активного окна выбрать пункт “Дополнительные параметры системы”;
- кликнуть на раздел “Дополнительно”;
- в поле “Загрузка и восстановление” выбрать пункт “Параметры…”;
- в окне “Загрузка и восстановление” следует снять галочку напротив пункта “Выполнить автоматическую перезагрузку”;
- дополнительно необходимо изменить и сохранить опции сохранения отладочной информации. Для этого в окошке “Запись отладочной информации” рекомендуется выбрать значение “Малый дамп памяти (256 Kb)”. Каталог, в которой будут загружаться мини дампы, целесообразней не менять. По умолчанию — C:\WINDOWS\Minidump.
Фото: настройка операционной системы
Установив параметры таким образом в дальнейшем при возникновении критической ошибки в Windows на экране отображается синий экран смерти, дамп памяти сохраняется, и система ждет принудительной перезагрузки.
Причинами появления
Появление экрана смерти, как правило, всегда неожиданно. Возникнуть он может как при старте или выключении компьютера, так и процессе работы операционной системы. Что касается причин падения системы в BSOD, то их может быть множество.
Все причины, вызывающие сбой работы операционной системы делятся на аппаратные и программные.
К аппаратным проблемам относят ситуации связанные со сбоем в электропитании, перегревом отдельных комплектующих, нестабильным функционированием отдельных устройств, битыми секторами на жестком диске, некорректной работой драйвера устройства.
Программные проблемы заключаются в повреждении загрузочных областей, файлов операционной системы, последствиях от действий вирусов, некорректном функционировании некоторых программных продуктов.
Видео: Как исправить синий экран
Анализ дампа памяти
Любая операционная система семейства Windows при возникновении критической ошибки делает аварийный снимок RAM (дамп памяти) и сохраняет его на винчестере.
Различают 3 вида дампа памяти:
- мини-дамп памяти, содержащий ограниченное количество данных: код ошибки с опциями, перечень драйверов, находящихся в оперативной памяти в момент сбоя. Данной информации вполне достаточно для определения проблемного драйвера. Преимуществом данного типа дампа является компактность получаемых файлов;
- дамп памяти ядра, хранящий сведения о ядре. Пользовательская информация не сохраняется. Размер файла обусловлен величиной оперативной памяти;
- полный ламп памяти, в котором резервируются все данные оперативной памяти, при этом его размер равен размеру оперативной памяти, увеличенной на 1 Мегабайт. Полный снимок очень редко используется из-за своего существенного размера, особенно в системах со значительным объемом оперативной памяти.
После сохранения аварийного дампа памяти необходимо проанализировать информацию, содержащую в нем. Для этих целей существует множество программ, но наиболее удобная и простая в использовании – бесплатная утилита BlueScreenView. При ее инсталляции важно правильно указать расположение снимков памяти в системе.
Для анализа возникшей ситуации необходимо:
Коды ошибок синего экрана Windows 8
Выявив причину синего экрана, можно проанализировать таблицу описания кода ошибок. Ресурсов, содержавших полный перечень кодов ошибок с описанием и возможностью устранения проблемы, в интернете множество.
Рассмотрим наиболее распространенные ошибки, приводящие к BSOD:
Среди возможных путей устранения проблемы можно отметить обновление BIOS, выполнение сканирования диска с определенными параметрами, демонтаж «свежих» аппаратных средств, обновление драйвера SCSI-контролера;
Ошибки весьма разнообразные, и не существует единого алгоритма для их устранения. Их число исчисляется сотнями, и каждая из них может требовать сугубо индивидуального подхода.
Видео: Windows 8.1 🙁 CRITICAL_PROCESS_DIED
Решаем проблему
Появление синего экрана смерти не всегда критично для компьютера или операционной системы. Нередко это просто защитная реакция на некоторые процессы, затрудняющие штатные процессы в функционировании системы. Очень важно правильно выявить причину неполадки.
В отдельных случаях причина сбоя лежит на поверхности. Так бывает при установке нового программного обеспечения, модификации файлов конфигурации или подключении к системному блоку нового «железа». В этой ситуации определенная вина лежит на пользователе.
Решение проблемы заключается в деинсталляции проблемной программы или драйвера, возврате к раннему состоянию Windows 8, замене конфликтующего устройства.
Для более четкого определения последовательности действий по восстановлению работоспособности компьютера и операционной системы важно точно знать код ошибки BSOD, посмотреть который можно на 2-ой или 3-ей строке на синем экране.
Простейший способ определения характера ошибки (программная или аппаратная) состоит в использовании загрузочного диска. Если проблема BSOD по-прежнему актуальна, то причина наверняка кроется в аппаратных комплектующих компьютера.
В такой ситуации можно попробовать определить источник проблемы при помощи специализированных приложений для мониторинга «железа» персонального компьютера.
Зачастую компьютеры испытывают существенные проблемы, обусловленные программным или аппаратным обеспечением. В такой ситуации для предотвращения серьезного сбоя компьютера Windows 8 завершает работу или выполняет перезагрузку, а затем отображает BSOD - который содержит информацию об ошибке.
Поиск в базе данных Microsoft по коду ошибки поможет решить проблему и вернуть компьютер к штатному функционированию.
Наверное, ничего не пугает пользователя Windows так сильно, как внезапное появление BSOD или как еще принято говорить синего экрана смерти.
Падение операционной системы в BSOD сопровождается практически полным отказом всех функций и остановкой критически важных процессов, а также появлением синего фона с сообщением об ошибке. В самой первой версии Windows экран смерти выглядел довольно устрашающе и представлял собой темно-синий фон со случайным набором символов.
В более поздних версиях бессмысленная абракадабра была заменена информативным текстом, указывающим на код ошибки, а также на системный файл, некорректная работа которого стала её причиной. В Windows 8 и 8.1 экран смерти стал менее отталкивающим, но в то же время и менее информативным.
Вместо детальной технической информации, как это было в и более ранних версиях, пользователь видит грустный смайлик и сообщение о необходимости перезапуска компьютера. Чуть ниже приводится краткое описание ошибки с указанием её кода. Также может указываться проблемный системный файл. Цвет фона экрана смерти в Windows 8 и 8.1 также изменился и вместо ядовито-синего стал голубым.
Появление экрана смерти, как правило, всегда неожиданно. Возникнуть он может как при старте или выключении компьютера, так и процессе работы операционной системы. Что касается причин падения системы в BSOD, то их может быть множество.
Криво установленный драйвер, сбой в оперативной памяти, внезапная остановка критически важного процесса, перегрев материнской платы и центрального процессора, физические и логические ошибки магнитной дисковой поверхности - всё это может привести к внезапному прекращению работы Windows и появлению экрана смерти.
Что делать при появлении BSOD
Появление Screen of Death не обязательно указывает на «настоящую смерть» компьютера или Windows, это скорее защитная реакция на какую-то неполадку, мешающую нормальной работе системы. Поэтому первым делом нужно постараться установить источник этой неполадки.
В ряде случаев причина, приведшая к падению системы очевидна. Если экран смерти стал появляться после установки нового программного обеспечения, внесения каких-либо изменений в конфигурационные файлы или после подключения к компьютеру нового устройства, то, скорее всего источник проблем кроется в недавних действиях пользователя.
В таких случаях бывает достаточно удалить недавно установленные программы или драйвера, выполнить откат к раннему состоянию операционной системы или заменить неисправное устройство. Для установления точных причин падения в BSOD нужно знать код ошибки.
Найти его можно тут же на экране, во второй или третьей строке. Однако поскольку сразу после появления синего экрана смерти Windows перезапускается, чтобы переписать этот код вам потребуется отключить автоматику. Для этого в окошке Run выполняем команду sysdm.cpl, в открывшемся окошке переключаемся на вкладку «Дополнительно» и в параметрах снимаем птичку «Выполнить автоматическую перезагрузку».
Ошибки программные и аппаратные
Найти описание самих кодов BSOD можно на специализированных сайтах, например, таких как bsodstop.ru. Причины, приводящие к появлению BSOD можно условно разделить на две больших категории - программные и аппаратные. В первую категорию входят различные повреждения системных файлов, записей загрузочных секторов, действия вирусов, а также некорректно работающее программное обеспечение.
Ко второй категории относятся сбои в электропитании, перегрев важнейших аппаратных компонентов, неправильная работа подключенных к компьютеру устройств (флешек, USB-хабов, дисков, беспроводных модемов), модулей оперативной памяти, физические ошибки жесткого диска.
Самый простой способ определить является ли проблема аппаратной или программной - попробовать загрузиться с обычного Live-CD. Если экран смерти по-прежнему будет появляться, то, скорее всего причина неполадок кроется в самом «железе».
Как вариант можно попробовать выявить источник проблемы с помощью специальных утилит для тестирования аппаратной составляющей ПК. Для проверки жесткого диска, к примеру, можно использовать утилиту MHDD, для тестирования оперативной памяти утилиту Memtest.
Некоторые распространенные ошибки BSOD
Но как мы уже сказали, установить причину BSOD проще всего просмотрев расшифровку кода ошибки. Приведем несколько наиболее часто встречающихся примеров BSOD.
FILE SYSTEM или 0x00000024. Эта ошибка появляется в случае сбоя драйвера .sys. Ее причина заключается в наличие на жестком диске поврежденных секторов, драйверов SCSI или IDE, а также при повреждении данных на диске или непосредственно в памяти ПК.
В легких случаях ошибка лечится стандартной утилитой chkdsk. Если применение chkdsk не дало нужных результатов, следует тщательно проверить аппаратное обеспечение дисковой подсистемы. смерти могут вызывать некорректно работающие контроллеры и поврежденные кабели IDE и SCSI.
INACCESSIBLE BOOT DEVICE или 0x0000007B. Еще одна распространенная ошибка BSOD указывающая на проблемы доступа к системному логическому диску. Причиной ошибки могут служить вредоносное программное обеспечение, некорректная установка Windows, повреждение файловой системы, дискового контроллера, несовместимость аппаратного обеспечения, неверные настройки BIOSa, конфликты распределения памяти.
Устранить неполадку может обновление BIOSa, встроенного программного обеспечения контроллера SCSI, демонтаж недавно установленных аппаратных средств, выполнение Chkdsk с параметрами /f/r.
STATUS SYSTEM PROCESS TERMINATED или 0xC000021A. Это программная ошибка, указывающая на сбой драйвера, пользовательского приложения или сторонней службы. Решением может стать обновление драйверов (или, напротив, откат к ранней версии), удаление недавно установленных сторонних программ и служб.
DATA BUS ERROR или 0x0000002E. Ошибка, указывающая на проблемы с аппаратным обеспечением. Наиболее распространенными причинами, её вызывающими являются дефект оперативной памяти, сбои в работе видеопамяти и кэш-памяти 2 уровня RAM (L2). Ошибку 0x0000002E может вызывать повреждение магнитной поверхности жесткого диска, а также попытка драйвера оборудования получить доступ к несуществующему адресу в диапазоне 0x8xxxxxxx.
Лечится ошибка заменой «подозрительных» аппаратных компонентов, обновлением программного обеспечения , контроллера SCSI и сетевых плат, заменой или обновление драйверов устройств, выполнением Chkdsk с параметрами /f/r на системном разделе. Также не помешает проверить качество контактов всех компьютерных плат.
Вместо итога
Как видите, причины появления BSOD в Windows 8 и 8.1, равно как и в более ранних версиях ОС могут быть весьма разнообразны. К сожалению, на данный момент не существует единого алгоритма устранения ошибок Screen of Death. Их количество исчисляется несколькими сотнями и каждая из них может требовать сугубо индивидуального подхода.
Поэтому если вы не уверены в своих силах, не пытайтесь исправить ошибки BSOD самостоятельно, особенно когда дело касается аппаратных неполадок. Исключение составляют явно очевидные ошибки, вызываемые подключением к компьютеру внешних устройств, а также сбоем программного обеспечения. В остальных случаях устранение экрана смерти лучше доверить профессионалам.
На этом пожалуй я и закончу свой рассказ всем пока и до новых интересных встреч с вами дорогие мои друзья...
Лес в доменных службах Active Directory - самый верхний уровень иерархии логической структуры. Лес Active Directory представляет один отдельный каталог. Лес является границей безопасности. Это означает, что администраторы леса полностью управляют доступом к информации, хранящейся в пределах леса, и доступом к контроллерам домена, используемым для реализации леса.
В организациях, как правило, реализуется один лес, за исключением случаев, когда имеется конкретная потребность в нескольких лесах. Например, если для разных частей организации требуется создать отдельные административные области, для представления этих областей необходимо создать несколько лесов.
При реализации нескольких лесов в организации каждый лес по умолчанию работает отдельно от других лесов, как если бы он был единственным лесом в организации.
Примечание. Для интеграции нескольких лесов можно создать между ними отношения безопасности, которые называются внешними или доверительными отношениями лесов.
Операции на уровне леса
Доменные службы Active Directory - это служба каталогов с несколькими хозяевами. Это означает, что большинство изменений в каталог можно вносить на любом доступном для записи экземпляре каталога, т. е. на любом доступном для записи контроллере домена. Однако некоторые изменения являются монопольными. Это означает, что их можно вносить только на одном определенном контроллере домена в лесу или домене в зависимости от конкретного изменения. Говорят, что контроллеры домена, на которых можно вносить эти монопольные изменения, содержат роли хозяина операций. Существует пять ролей хозяина операций, две из которых являются ролями уровня леса, а остальные три - ролями уровня домена.
Две роли хозяина операций, назначаемые для всего леса:
- Хозяин именования доменов. Задача хозяина именования доменов - обеспечить наличие уникальных имен во всем лесу. Он гарантирует, что во всем лесу имеется только одно полное доменное имя каждого компьютера.
- Хозяин схемы. Хозяин схемы отслеживает схему леса и поддерживает изменения базовой структуры леса.
Поскольку эти роли являются ключевыми критическими ролями уровня леса, в каждом лесу должен быть только один хозяин схемы и хозяин именования доменов.
Дополнительные материалы:
Схема - это компонент доменных служб Active Directory, который определяет все объекты и атрибуты, используемые доменными службами Active Directory для хранения данных.
Доменные службы Active Directory хранят и получают сведения от множества приложений и служб. Поэтому для обеспечения возможности хранения и репликации данных от этих разных источников, доменные службы Active Directory определяют стандарт хранения данных в каталоге. Наличие стандарта хранения данных позволяет доменным службам Active Directory получать, обновлять и реплицировать данные с сохранением их целостности.
В качестве единиц хранения в доменных службах Active Directory используются объекты. Все объекты определяются в схеме. При каждой обработке данных каталогом каталог запрашивает схему в отношении соответствующего определения объекта. На основе определения объекта в схеме каталог создает объект и сохраняет данные.
От определений объектов зависят типы данных, которые объекты могут хранить, а также синтаксис данных. На основе этой информации схема обеспечивает соответствие всех объектов их стандартным определениям. В результате доменные службы Active Directory могут хранить, получать и проверять данные, которыми они управляют, независимо от приложения, являющегося исходным источником данных. В каталоге могут храниться только данные, имеющие существующее определение объекта в схеме. Если требуется сохранить данные нового типа, сначала необходимо создать в схеме новое определение объекта для этих данных.
Схема в доменных службах Active Directory определяет:
- объекты, используемые для хранения данных в каталоге;
- правила, определяющие, какие типы объектов можно создавать, какие атрибуты необходимо определить при создании объекта, и какие атрибуты являются необязательными;
- структуру и содержимое самого каталога.
Схема является элементом доменных служб Active Directory с единственным хозяином. Это означает, что вносить изменения в схему необходимо на контроллере домена, который содержит роль хозяина операций схемы.
Схема реплицируется среди всех контроллеров домена в лесу. Любое изменение, внесенное в схему, реплицируется на все контроллеры домена в лесу от владельца роли хозяина операций схемы, которым обычно является первый контроллер домена в лесу.
Поскольку схема определяет хранение информации и любые изменения, внесенные в схему, влияют на все контроллеры домена, изменения в схему следует вносить только при необходимости (посредством жестко контролируемого процесса) после выполнения тестирования, чтобы не было неблагоприятного воздействия на остальную часть леса.
Хотя в схему нельзя вносить никаких изменений непосредственно, некоторые приложения вносят изменения в схему для поддержки дополнительных возможностей. Например, при установке Microsoft Exchange Server 2010 в лес доменных служб Active Directory программа установки расширяет схему для поддержки новых типов объектов и атрибутов.
Дополнительные материал:
1.3 Что такое домен.
Домен - это административная граница. Во всех доменах есть учетная запись администратора, которая имеет все административные полномочия для всех объектов в домене. Хотя администратор может делегировать администрирование объектов в домене, его учетная запись сохраняет полное административное управление всеми объектами в домене.
В ранних версиях Windows Server считалось, что домены предназначены для обеспечения полного административного разделения; действительно, одной из основных причин выбора топологии с несколькими доменами было обеспечение такого разделения. Однако в доменных службах Active Directory учетная запись администратора в корневом домене леса имеет полное административное управление всеми объектами леса, в результате чего такое административное разделение на уровне доменов становится недействительным.
Домен - это граница репликации. Доменные службы Active Directory состоят из трех элементов, или разделов, - схемы , раздела конфигурации и раздела домена . Как правило, часто изменяется только раздел домена.
Раздел домена содержит объекты, которые, вероятно, должны часто обновляться ; такими объектами являются пользователи, компьютеры, группы и подразделения. Поэтому репликация доменных служб Active Directory состоит в основном из обновлений объектов, определенных в разделе домена. Только контроллеры домена в конкретном домене получают обновления раздела домена от других контроллеров домена. Разделение данных позволяет организациям реплицировать данные только туда, где они требуются. В результате каталог может глобально масштабироваться по сети, имеющей ограниченную пропускную способность.
Домен - это граница проверки подлинности. Подлинность каждой учетной записи пользователя в домене может проверяться контроллерами этого домена. Домены леса доверяют друг другу, благодаря чему пользователь из одного домена может получать доступ к ресурсам, расположенным в другом домене.
Операции на уровне домена
В каждом домене существует три роли хозяина операций. Эти роли, первоначально назначаемые первому контроллеру домена в каждом домене, перечислены ниже.
- Хозяин относительного идентификатора (RID). При каждом создании объекта в доменных службах Active Directory контроллер домена, где создается этот объект, назначает ему уникальный идентификационный номер, называемый идентификатором безопасности (SID). Чтобы два контроллера домена не могли назначить один и тот же SID двум разным объектам, хозяин RID выделяет блоки идентификаторов безопасности каждому контроллеру домена в домене.
- Эмулятор основного контроллера домена. Эта роль является самой важной, так как ее временная потеря становится заметной намного быстрее, чем потеря любой другой роли хозяина операций. Она отвечает за ряд функций уровня домена, включая:
- обновление состояния блокировки учетной записи;
- создание и репликацию объекта групповой политики единственным хозяином;
- синхронизацию времени для домена.
- Хозяин инфраструктуры. Эта роль отвечает за поддержание междоменных ссылок на объекты. Например, когда в группу одного домена входит член из другого домена, хозяин инфраструктуры отвечает за поддержание целостности этой ссылки.
Эти три роли должны быть уникальными в каждом домене, поэтому в каждом домене может быть только один хозяин RID, один эмулятор основного контроллера домена (PDC) и один хозяин инфраструктуры.
Дополнительные материалы:
Если доменные службы Active Directory содержат более одного домена, необходимо определить отношения между доменами. Если домены совместно используют общий корень и непрерывное пространство имен, они логически являются частью одного дерева Active Directory. Дерево не служит никакой административной цели. Другими словами, не существует администратора дерева, так как существует администратор леса или домена. Дерево обеспечивает логическое иерархическое группирование доменов, которые имеют родительско-дочерние отношения, определенные с помощью их имен. Дерево Active Directory сопоставляется с пространством имен службы доменных имен (DNS).
Деревья Active Directory создаются на основе отношений между доменами леса. Не существует серьезных причин, по которым требуется или не требуется создавать несколько деревьев в лесу. Однако следует иметь в виду, что одним деревом с его непрерывным пространством имен легче управлять и пользователям легче его визуализировать.
Если имеется несколько поддерживаемых пространств имен, рассмотрите вопрос использования нескольких деревьев в одном лесу. Например, если в организации существует несколько разных производственных отделов с разными публичными идентификаторами, можно создать свое дерево для каждого производственного отдела. Следует иметь в виду, что в таком сценарии нет разделения администрирования, поскольку корневой администратор леса по-прежнему полностью управляет всеми объектами леса независимо от того, в каком дереве они находятся.
1.5 Подразделения
Подразделение - это объект-контейнер в домене, который можно использовать для объединения пользователей, групп, компьютеров и других объектов. Есть две причины для создания подразделений.
- Настройка объектов, содержащихся в подразделении. Можно назначить объекты групповой политики подразделению и применить параметры ко всем объектам в этом подразделении.
- Делегирование административного управления объектами в подразделении. Можно назначить права управления подразделением, делегировав таким образом управление подразделением не являющемуся администратором пользователю или группе в доменных службах Active Directory.
Примечание. Подразделение - самая маленькая область или единица, которой можно назначить параметры групповой политики или делегировать права администратора.
Подразделения можно использовать для представления иерархических логических структур в организации. Например, можно создать подразделения, представляющие отделы в организации, географические регионы в организации, а также подразделения, являющиеся сочетанием отделов и географических регионов. После этого можно управлять конфигурацией и использовать учетные записи пользователей, групп и компьютеров на основе созданной модели организации.
В каждом домене доменных служб Active Directory имеется стандартный набор контейнеров и подразделений, которые создаются при установке доменных служб Active Directory. Эти контейнеры и подразделения перечислены ниже.
- Контейнер домена, служащий в качестве корневого контейнера иерархии.
- Встроенный контейнер, содержащий учетные записи администратора служб по умолчанию.
- Контейнер пользователей, являющийся расположением по умолчанию для новых учетных записей пользователей и групп, создаваемых в домене.
- Контейнер компьютеров, являющийся расположением по умолчанию для новых учетных записей компьютеров, создаваемых в домене.
- Подразделение контроллеров домена, являющееся расположением по умолчанию для учетных записей компьютеров контроллеров домена.
1.6 Отношения доверия
Отношение доверия позволяет одному объекту безопасности доверять другому объекту безопасности в целях проверки подлинности. В операционной системе Windows Server 2008 R2 объектом безопасности является домен Windows.
Основная цель отношения доверия - облегчить для пользователя в одном домене получение доступа к ресурсу в другом домене без необходимости поддержания учетной записи пользователя в обоих доменах.
В любом отношении доверия участвуют две стороны - доверяющий объект и доверенный объект. Доверяющий объект - это объект, владеющий ресурсом, а доверенный объект - это объект с учетной записью. Например, если вы отдаете кому-то во временное пользование ноутбук, вы доверяете этому человеку. Вы являетесь объектом, владеющим ресурсом. Ресурс - ваш ноутбук; тот, кому ноутбук отдается во временное пользование, является доверенным объектом с учетной записью.
Типы доверительных отношений
Доверительные отношения могут быть односторонними и двусторонними.
Одностороннее доверие означает, что, хотя один объект доверяет другому, обратное утверждение не соответствует истине. Например, если вы даете во временное пользование Steve свой ноутбук, это не значит, что Steve обязательно даст вам во временное пользование свой автомобиль.
При двустороннем доверии оба объекта доверяют друг другу.
Доверительные отношения могут быть транзитивными и нетранзитивными. Если при транзитивном доверии объект А доверяет объекту Б, а объект Б - объекту В, то объект А также неявно доверяет объекту В. Например, если вы даете во временное пользование Steve свой ноутбук, а Steve дает во временное пользование свой автомобиль Mary, вы можете дать во временное пользование Mary свой мобильной телефон.
Windows Server 2008 R2 поддерживает целый ряд доверительных отношений, предназначенных для использования в различных ситуациях.
В одном лесу все домены доверяют друг другу, используя внутренние двусторонние транзитивные доверительные отношения. По существу это означает, что все домены доверяют всем другим доменам. Эти доверительные отношения расширяются через деревья леса. Помимо таких автоматически создаваемых доверительных отношений, можно настраивать дополнительные доверительные отношения между доменами леса, между данным лесом и другими лесами и между данным лесом и другими объектами безопасности, например областями Kerberos или доменами операционной системы Microsoft Windows NT® 4.0. В следующей таблице приведены дополнительные сведения.
| Тип доверия | Транзитивность | Направление | Описание |
|---|---|---|---|
| Внешнее | Нетранзитивное | Внешние отношения доверия используются для предоставления доступа к ресурсам, расположенным в домене Windows NT Server 4.0 или домене, который находится в отдельном лесу, не присоединенном доверительным отношением леса. | |
| Доверие области | Транзитивное или нетранзитивное. | Одностороннее или двустороннее. | Доверительные отношения области используются для создания отношения доверия между областью Kerberos, управляемой операционной системой, отличной от Windows, и операционной системой Windows Server 2008 или доменом Windows Server 2008 R2. |
| Доверие леса | Транзитивное | Одностороннее или двустороннее. | Для разделения ресурсов между лесами используйте доверительные отношения лесов. Если доверительные отношения лесов являются двусторонними, запросы проверки подлинности, выполняемые в любом лесу, могут достигать другого леса. |
| Установленное напрямую доверие | Транзитивное | Одностороннее или двустороннее. | Установленные напрямую доверия используются для сокращения времени входа пользователей между двумя доменами в лесу Windows Server 2008 или Windows Server 2008 R2. Это применимо, когда два домена разделены двумя доменными деревьями. |
2. Реализация доменных служб Active Directory
Для реализации доменных служб Active Directory необходимо развернуть контроллеры домена. Для оптимизации доменных служб Active Directory важно понимать, где и как следует создать контроллеры домена, чтобы оптимизировать сетевую инфраструктуру.
2.1 Что такое контроллер домена?
Домен создается при повышении уровня компьютера сервера Windows Server 2008 R2 до контроллера домена. Контроллеры домена содержат доменные службы Active Directory.
Контроллеры домена обеспечивают выполнение следующих функций в сети.
- Обеспечивает проверку подлинности. Контроллеры домена содержат базу данных учетных записей домена и обеспечивают работу служб проверки подлинности.
- Содержит роли хозяина операций в качестве дополнительной возможности. Эти роли ранее назывались ролями FSMO (Flexible Single Master Operations). Существует пять ролей хозяина операций - две роли уровня леса и три роли уровня домена. Эти роли можно переносить в соответствии с требованиями.
- Содержит глобальный каталог в качестве дополнительной возможности. В качестве сервера глобального каталога можно назначить любой контроллер домена.
Примечание. Глобальный каталог - это распределенная база данных, которая содержит доступное для поиска представление каждого объекта из всех доменов в лесу с несколькими доменами. Однако глобальный каталог не содержит всех атрибутов для каждого объекта. Вместо этого он поддерживает подмножество атрибутов, которые скорее всего пригодятся при поисках в домене.
2.2 Что такое контроллер домена только для чтения?
Контроллер домена только для чтения - это новый тип контроллера домена в Windows Server 2008 R2. Используя контроллер домена только для чтения, организации могут легко развертывать контроллер домена в местах, где невозможно гарантировать физическую безопасность. В контроллере домена только для чтения размещается реплика базы данных только для чтения в доменных службах Active Directory для данного домена. Контроллер домена только для чтения может также функционировать в качестве сервера глобального каталога.
Начиная с Windows Server 2008, организация может развертывать контроллер домена только для чтения в случаях ограниченной пропускной способности каналов глобальной сети или недостаточной физической безопасности компьютеров. В результате пользователи в такой ситуации могут получить преимущества благодаря:
- повышенная безопасность;
- более быстрому входу в систему;
- более эффективному доступу к ресурсам сети.
| Функция контроллера домена только для чтения | Объяснение |
| База данных Active Directory только для чтения | За исключением паролей учетных записей, контроллер домена только для чтения содержит все объекты и атрибуты Active Directory, имеющиеся в контроллере домена, доступном для записи. Однако внесение изменений в реплику, хранящуюся в контроллере домена только для чтения, невозможно. Изменения необходимо вносить на контроллере домена, доступном для записи, и реплицировать в контроллер домена только для чтения. |
| Однонаправленная репликация | Поскольку изменения не записываются непосредственно в контроллер домена только для чтения, никакие изменения на таком контроллере не делаются. Поэтому контроллеры домена, доступные для записи, которые являются партнерами репликации, не должны получать изменения от контроллера только для чтения. В результате снижается рабочая нагрузка серверов-плацдармов в концентраторе и для отслеживания репликации требуется меньше усилий. |
| Кэширование учетных данных | Кэширование учетных данных - это сохранение учетных данных пользователей или компьютеров. Учетные данные состоят из небольшого набора паролей (около десяти), связанных с участниками безопасности. По умолчанию в контроллере домена только для чтения учетные данные пользователей и компьютеров не хранятся. Исключения составляют учетная запись компьютера контроллера домена только для чтения и особая учетная запись krbtgt (учетная запись центра службы распространения ключей Kerberos), имеющаяся в каждом контроллере домена только для чтения. Кэширование любых других учетных данных необходимо явно разрешить в контроллере домена только для чтения. |
| Разделение ролей администратора | Роль локального администратора контроллера домена только для чтения можно делегировать любому пользователю домена, не предоставляя ему никаких прав для домена или других контроллеров домена. В этом случае локальный пользователь филиала сможет входить в систему контроллера домена только для чтения и выполнять на нем операции обслуживания, например обновление драйвера. Однако пользователь филиала не будет иметь права входить в систему любого другого контроллера домена или выполнять любые другие задачи администрирования в домене. |
| Служба доменных имен только для чтения | Службу DNS-сервера можно установить на контроллере домена только для чтения. Контроллер домена только для чтения может реплицировать все разделы каталога приложений, которые используются DNS-сервером, включая разделы ForestDNSZones и DomainDNSZones. Если DNS-сервер установлен на контроллере домена только для чтения, клиенты могут направлять ему запросы на разрешение имен, как любому другому DNS-серверу. |
Ниже резюмирована роль контроллера домена только для чтения.
- Контроллер домена, выполняющий роль хозяина операций эмулятора PDC для домена, должен работать под управлением операционной системы Windows Server 2008. Это необходимо для создания новой учетной записи krbtgt для контроллера домена, доступного только для чтения, а также для текущих операций этого контроллера.
- Контроллер домена только для чтения требует перенаправления запросов проверки подлинности на сервер глобального каталога (под управлением Windows Server 2008), расположенный на сайте, ближайшем к сайту с данным контроллером. На этом контроллере домена устанавливается политика репликации паролей, чтобы определить, реплицируются ли учетные данные в расположение филиала для перенаправляемого запроса от контроллера домена только для чтения.
- Для обеспечения доступности ограниченного делегирования Kerberos необходимо установить режим работы домена Windows Server 2003. Ограниченное делегирование используется для вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
- Для обеспечения доступности репликации связанного значения необходимо установить режим работы леса Windows Server 2003. Это обеспечивает более высокий уровень совместимости репликации.
- Необходимо запустить adprep /rodcprep один раз в лесу. При этом обновятся разрешения для всех разделов каталога приложений DNS в лесу, чтобы облегчить репликацию между контроллерами домена только для чтения, которые являются также DNS-серверами.
- Контроллер домена только для чтения не может содержать роли хозяина операций и работать в качестве сервера-плацдарма репликации.
- Контроллер домена только для чтения можно развернуть в системе Server Core для дополнительной безопасности.
Сайт - это логическое представление географической области в сети. Сайт представляет границу высокоскоростной сети для компьютеров доменных служб Active Directory, т. е. компьютеры, которые могут взаимодействовать с высокой скоростью и низкой задержкой, можно объединить в сайт; контроллеры домена в пределах сайта реплицируют данные доменных служб Active Directory оптимизированным для этой среды способом; такая конфигурация репликации является в значительной степени автоматической.
Примечание. Сайты используются клиентскими компьютерами для поиска таких служб, как контроллеры домена и серверы глобального каталога. Важно, чтобы каждый создаваемый сайт содержал по крайней мере один контроллер домена и сервер глобального каталога.
2.4 Репликация доменных служб Active Directory
- Репликация доменных служб Active Directory - это передача изменений, внесенных в данные каталога, между контроллерами домена в лесу доменных служб Active Directory. Модель репликации доменных служб Active Directory определяет механизмы, позволяющие автоматически передавать обновления каталога между контроллерами домена, чтобы обеспечить решение по беспрепятственной репликации для службы распределенного каталога доменных служб Active Directory.
- В доменных службах Active Directory есть три раздела. Раздел домена содержит наиболее часто изменяемые данные и поэтому создает большой поток данных репликации доменных служб Active Directory.
Связи сайтов Active Directory
- Ссылка на сайт используется для обработки репликации между группами сайтов. Вы можете использовать предоставленную в AD DS ссылку на сайт по умолчанию или, при необходимости, создать дополнительные ссылки на сайт. Вы можете настроить параметры для ссылок на сайт, чтобы определить расписание и доступность пути репликации для упрощения управления репликацией.
- Если два сайта связаны посредством ссылки на сайт, система репликации автоматически создает подключения между конкретными контроллерами доменов на каждом сайте, которые называются серверами-плацдармами.
2.5 Настройка DNS для доменных служб Active Directory
Установка DNS
AD DS требует DNS. Роль DNS-сервера не устанавливается в Windows Server 2008 R2 по умолчанию. Как и другие функциональные возможности, эта функция добавляется на основе роли, когда сервер настраивается для выполнения определенной роли.
Роль DNS-сервера можно установить, воспользовавшись ссылкой "Добавить роль" в диспетчере сервера. Роль DNS-сервера также может быть добавлена автоматически с помощью мастера установки доменных служб Active Directory (dcpromo.exe). Страница параметров контроллера домена в мастере позволяет добавить роль DNS-сервера.
Настройка зон DNS
После установки DNS-сервера можно начать добавлять зоны на сервер. Если DNS-сервер является контроллером домена, можно настроить хранение данных о зонах в AD DS. Тогда будет создана интегрированная зона Active Directory. Если этот параметр не выбран, данные о зонах будут храниться в файле, а не в AD DS.
Динамические обновления
При создании зоны вам также будет предложено указать, должно ли поддерживаться динамическое обновление. Динамическое обновление позволяет сократить усилия по управлению зоной, так как клиенты могут добавлять, удалять и обновлять собственные записи ресурсов.
Динамическое обновление допускает возможность подделки записи ресурса. Например, какой-нибудь компьютер может зарегистрировать запись с именем "www" и перенаправлять трафик с вашего веб-сайта на неправильный адрес.
Чтобы исключить возможность подделки, служба DNS-сервера Windows Server 2008 R2 поддерживает безопасное динамическое обновление. Клиент должен пройти проверку подлинности, прежде чем обновлять записи ресурсов, поэтому DNS-серверу известно, является ли клиент тем компьютером, которому разрешено изменять запись ресурса.
Передачи зон DNS
Предприятие должно стремиться к тому, чтобы зона могла быть разрешена принудительно по крайней мере двумя DNS-серверами.
Если зона интегрирована в доменные службы Active Directory, достаточно добавить роль DNS-сервера в другой контроллер домена в том же домене , где находится первый DNS-сервер. Интегрированные зоны Active Directory и репликация зоны DNS с помощью AD DS описаны в следующем уроке.
Если зона не является интегрированной в AD DS, необходимо добавить другой DNS-сервер и настроить его для размещения дополнительной зоны. Не следует забывать, что дополнительная зона является доступной только для чтения копией основной зоны.
Записи SRV
Запись ресурса локатора служб (SRV) разрешает запрос для сетевой службы, позволяя клиенту находить узел, предоставляющий определенную службу.
- Когда контроллер домена должен выполнить репликацию изменений с партнеров.
- Когда клиентскому компьютеру требуется пройти проверку подлинности в AD DS.
- Когда пользователь изменяет свой пароль.
- Когда сервер Microsoft Exchange выполняет поиск в каталоге.
- Когда администратор открывает оснастку "Active Directory - пользователи и компьютеры".
В SRV-записях используется следующий синтаксис.
имя.службы.протокола срок_жизни класс тип приоритет вес порт целевой_узел
Пример SRV-записи приведен ниже.
Ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
Запись состоит из следующих компонентов:
- Имя службы протокола, например служба LDAP, предлагаемая контроллером домена.
- Срок жизни в секундах.
- Класс (все записи DNS-сервера Windows будут иметь значение "IN" или "INternet").
- Тип: SRV;
- Значения приоритета и веса, которые помогают клиентам определить предпочтительный узел.
- Порт, в котором служба предлагается сервером. На контроллере домена Windows для LDAP стандартный порт - 389.
- Целевой объект, или узел службы, которым в данном случае является контроллер домена с именем hqdc01.contoso.com.
Когда клиентский процесс ищет контроллер домена, он может запросить службу LDAP у DNS. Запрос возвращает как SRV-запись, так и A-запись для одного или нескольких серверов, предоставляющих запрошенную службу.
Установка контроллера домена – это важная часть для компьютерной сети, по сути, контролирующая ее работу. Его основная задача – запуск важной службы Active Directory. Он работает с центром распространения ключей – Kerberos.
Также предусматривает работу на Unix-совместимых системах. В них в качестве контроллера выступает комплект программного обеспечения Samba.
Контроллер домена служит для создания локальной сети, в которой могли бы авторизоваться пользователи под своим именем и со своими учетными данными. Они должны это делать на всех компьютерах. Также установка контроллера домена обеспечивает определение права доступа в сети и управления ее безопасностью. С его помощью можно централизованно управлять всей сетью, что очень важно.
Контроллеры домена также могут работать под Windows Server 2003. Так они обеспечивают хранение всех данных каталога, управлять работой пользователя и домена, контролировать вход пользователя в систему, проверять подлинность каталога и проч. Все их можно создать, используя установщик Active Directory. Также он может работать и в Windows NT. Здесь для того, чтобы он работал надежнее, создается дополнительный контроллер. Он будет связан с основным контроллером.
В сети Windows NT существовал один сервер. Он мог использоваться для работы основного доменного контроллера, или же PDC. Все остальные сервера работали как вспомогательные. Они, например, могли выполнять проверку всех пользователей, хранить и проверять пароли и другие важные операции. Но при этом они не могли добавлять новых пользователей на сервер, не могли также изменять пароли и подобное, то есть настройка контроллера домена являлась менее разнообразной. Эти операции могли быть сделаны только при помощи PDC. Произведенные на них изменения могли бы потом распространяться на все резервные домены. Если же основной сервер не был доступен, то резервный домен не мог быть повышен до уровня основного.
Впрочем, настроить контроллер домена, сеть и поднять уровень домена можно на любом компьютере и в домашних условиях. Этой премудрости легко обучиться самому. Все необходимые для этого инструменты находятся в Панели управления – Установка и удаление программ – Установка компонентов системы. Правда, работать с ними придется, установив предварительно в компьютер диск с ОС. Повысить же роль компьютера можно с помощью командной строки, введя в нее команду dcpromo.
Помимо этого, проверка контроллера домена вполне может выполняться при помощи специализированных утилит, которые работают фактически в автоматизированном режиме, то есть позволяют получить нужную информацию после запуска программы и наладить работу контроллеров после выполнения диагностики. К примеру, вы можете использовать утилиту Ntdsutil.exe, которая предоставляет возможность подключения к новоустановленному контроллеру домена для проверки возможности откликаться на запрос от LDAP. Равно при помощи данного программного обеспечения имеется возможность определить имеется ли в контроллере информация про расположение ролей FSMO в собственном домене.
Существуют еще некоторые простые способы, которые позволят вам диагностировать соответствующую работу контроллеров. В частности вы можете зайти в HKEY _LOCAL _MACHINE \SYSTEM \ CurrentControlSet \Services (раздел реестра) и там поискать подраздел NTDS , наличие которого свидетельствует о нормальном выполнении функций контроллера домена. Есть метод введения net accounts в командной строке и там, если компьютер является контроллером домена, вы увидите в строчке Computer role значение BACKUP или PRIMARY, другие значения имеются на простых компьютерах.
