Dobar dan, dragi čitatelji i pretplatnici, postoji nešto što vam dugo nisam rekao o Windows domenama, danas ću to ispraviti i pogledat ćemo tako temeljnu temu kao što je kako pravilno imenovati domenu aktivnog imenika, jer to će odrediti daljnje, ispravno funkcioniranje vaših usluga, a vi ćete smanjiti broj problema koji bi mogli nastati ako je naziv vaše usluge domene netočan.
Pogreške u odabiru naziva Active Directory
Ako već dugo čitate moj blog ili ste se tek pridružili, podsjetit ću vas na uvodni članak Uvod u Active Directory, gdje sam vam pokušao reći što je AD i kako radi, i što je najvažnije koje su komponente sastoji se od. Ako ste pažljivo čitali, znate da Active Directory ne može raditi bez DNS poslužitelja.
- Siguran sam da većina vas zna da su DNS imena na Internetu izgrađena prema određenom principu, sastoje se samo od brojeva, slova, točkica i crtica (ne govorim o različitim vrstama DNS zapisa)..com . Postoji standard iz dokumenta RFC 1123 o imenovanju domena, koji crno na bijelo navodi da sljedeći posebni znakovi ne bi trebali biti prisutni u nazivima: znak psa @, tilda ~, brojčani znak #, kosa crta / i \, podvlaka , ako niste svjesni Ako ste za naziv domene odabrali nešto što sadrži podvlaku, tada ćete na primjer imati velikih problema s poslužiteljem e-pošte MS Exchange. Da nema standarda, bio bi kaos.
- Ljudi biraju vanjske adrese, točnije nazive druge razine, kao imena lokalnog aktivnog imenika. Jednostavan primjer, recimo da imam tvrtku Pyatilistnik.inc i administrator je odlučio instalirati kontroler Active Directory i stvoriti strukturu domene, ali je uzeo pyatilistnik kao lokalni naziv za to. Zamislite kaos koji će započeti kada ljudi budu trebali doći do njega iz lokalna mreža, doći će do sukoba s imenom AD, da biste riješili problem morat ćete zadržati i vanjsku DNS zonu i unutarnju, što nije zgodno i dovest će do pogrešaka. U nastavku ću vam reći kako pravilno imenovati domenu aktivnog imenika
- Nazivi zona nisu uključeni u globalni službeni registar JA MOGU. Primjeri bi bili zones.local ili npr.nn, iako sam siguran da će i njih standard dostići jer je ovoj organizaciji isplativo zarađivati iz ničega prodajom imena kojih sada više nema u domenama , ali to nije ono o čemu danas govorimo. Nije ispravno koristiti ova imena u Activer direktoriju, jer se ne mogu koristiti izvan vašeg ureda i ne možete izdati ssl certifikat za domenu.
Iako ako ovo radite u testnom okruženju, onda možete
- Disjoint Namespace > Postoje situacije kada DNS naziv kontrolera domene ili računala ne odgovara njegovom NETBIOS imenu, na primjer, ako je moj kontroler imao NETBIOS naziv dc6 i domenu dc.site. Takvi su dizajni izvedivi i mogu se koristiti tijekom spajanja poduzeća, ali s Disjoint Namespaceom također može postojati rake s istim MS Exchengeom. Ispod je primjer podudaranja između NETBIOS i DNS naziva.
Kako pravilno imenovati domenu aktivnog imenika
Razumijemo i znamo kako to učiniti pogrešno, sada ćemo sve učiniti lijepo, odmah ću ponoviti da ako imate testno okruženje, nazovite ga AD, možete ga nazvati kako god želite, čak i microsoft.com. Ali ozbiljno, vratimo se našoj tvrtki Pyatilistnik.inc. Za zonu domene Active Directory odabrao bih zonu treće razine, ad.site. Web stranica tvrtke bila bi postavljena na logično mjesto. Zahvaljujući tome, ne bi bilo problema s MS Exchange poslužiteljem. Ako imate nekoliko podružnica, savjetujem vam da koristite jednu šumu, primjer su Nižnji Novgorod i Moskva, za Moskvu biram ad..ad.site. Nadam se da sada razumijete kako bolje i ispravnije imenovati Active Directory domenu.
Jučer smo u naš studio dobili pismo našeg stalnog čitatelja Andreja s pitanjem:
Sa zadovoljstvom čitam tvoj blog, naučio sam puno korisnih stvari za sebe, htio sam znati tvoje mišljenje o nazivu Active Directory domene, mnogi pišu da bi se trebala zvati *organization*.local, a netko piše da treba se zvati isto kao domena.
Pogledajmo na brzinu koji je naziv najbolji za korištenje pri imenovanju domene unutar organizacije.
Kao što praksa pokazuje, odabir imena domene može zbuniti čak i iskusnog Administrator sustava. Kada prvi put pokrenete uslužni program dcpromo Naziv domene će se generirati automatski i nasumično; ako u ovoj fazi naziv domene nije usklađen s potrebnim pravilima, tada će u budućnosti biti teže promijeniti naziv domene. Pogledajmo moguće opcije prema redoslijedu popularnosti.
1. Domena s nazivom example.local
Predvodnik naše hit parade je naziv domene koji završava sa lokalni. Postoje, na primjer, i druge varijacije na ovu temu test, firma, tvornica, nn, lok, i tako dalje. Sada se više i ne sjećate odakle takva ljubav, u svim vašim knjigama tvrtka Microsoft uvijek koristi vlastiti tip imenovanja contoso.com gdje jasno vidimo format naziva domene. Međutim, već gotovo 10 godina domena .lokalni zauzeo vodeće mjesto. Situacija se počela popravljati dolaskom servisa koji koriste SSL certifikati. Tamo gdje upotreba domena "bez brige" postaje nemoguća. Gledajte, recimo da vaša tvrtka koristi interno Exchange poslužitelj, koji zahtijeva SSL certifikat za šifriranje klijentskih veza. Prema vašem scenariju, potreban vam je certifikat za implementaciju ovog zadatka vanjsko certifikacijsko tijelo, u kojem morate navesti sva imena poslužitelja koji se koriste za vanjski priključak. Čini se da što nije u redu, zapisujemo sve nazive poslužitelja i podnosimo zahtjev za izdavanje certifikata, ali postoji jedna stvar. Uz naziv takve domene nećete moći proći provjeru valjanosti, budući da domena "bez brige" ne postoji i ako pokušate objasniti vanjskom tijelu za izdavanje certifikata da trebate staviti FQDN naziv nepostojeće domene u SAN, dobit ćete meko odbijenicu:
To nije moguće, mi izdajemo samo certifikate za stvarne nazive domena.
Ali postoji još jedan problem. Upotreba naziva domene nije tvoje u nazivu domene može dovesti do katastrofalnih posljedica. Zamislite situaciju ako zona lokalni imat će javni status. Kao zona com ili ru. Mislim da se ne isplati nastavljati dalje :)
2. Naziv domene je isti kao i naziv vanjske domene
Drugo mjesto u našoj hit paradi. Unatoč činjenici da je takav scenarij manje popularan, još uvijek ima pravo na život. Osim što ćete u bliskoj budućnosti još uvijek imati neugodnosti pri održavanju mreže, ništa drugo vam ne prijeti. Glavni problem u ovom scenariju je da ćete morati održavati dva DNS poslužitelja: unutarnji i vanjski. Pod ovim uvjetom, računala unutar mreže koristit će interni DNS poslužitelj za rješavanje imena, a računala izvan perimetra tvrtke koristit će vanjski server. Pretpostavimo da vaša domena ima ponosno ime primjer.com. U DMZ zona u kojoj se nalazite web stranica tvrtka pod nazivom primjer.com. U gore opisanom scenariju, računala su locirana iznutra organizacije neće moći pristupite mu zbog činjenice da je za njih example.com naziv domene i kada unesete ovu adresu u preglednik oni će ići na kontroler domene. Kao što sam gore napomenuo, osim neugodnosti, to neće dovesti ni do čega. Uvijek možete koristiti štake koje će vas preusmjeriti na vanjsku stranicu, ali složit ćete se da je to nepotreban dupli posao, ili unutar mreže koristiti naziv stranice koji počinje s www, ili izvana.
3. Naziv domene od jedne riječi
Možda najnetočnija opcija od gore navedenih. Domene s jednom razinom: Domena s jednom oznakom je domena koja sadrži samo jedna komponenta. Očito su se počeli koristiti u danima NT-a, kada je Microsoft usvojio uspješno iskustvo Novell-a. Tako se dogodilo da sam u početku bio administrator FreeBSD-a i velike flote NetWare poslužitelja počevši od verzije 4.11, pa je u ta davna vremena NetWare koristio Bindery u svom radu, što su upravo imena jednorazinski dijagram domene, koji je kasnije usvojio Microsoft.
Najbolje prakse
Vrijeme je da to sumiramo. Koji naziv domene trebam koristiti? Samo domena treće razine u domeni koju posjedujete. Ne biste trebali koristiti tuđa ljepša imena domena :-). U nastavku možete vidjeti primjer takve domene.
U rijetkim slučajevima, administrator usluga domene može se suočiti sa zadatkom preimenovanja trenutne domene. Razlozi mogu biti različiti, ali takva je situacija sasvim moguća. Unatoč činjenici da se ovaj zadatak ne može nazvati trivijalnim, ali povremeno se morate nositi s njim, izuzetno je važno učiniti sve ispravno, jer inače ishod događaja može biti kritično opasan, sve do potpuno nefunkcionalne korporativne infrastrukture. Dakle, kasnije u ovom članku naučit ćete o preduvjetima za ovu operaciju, nekim ograničenjima i kako možete preimenovati svoju domenu. Prije nego što počnemo, snažan zahtjev: nemojte izvoditi ove korake u svom proizvodnom okruženju dok uspješno ne preimenujete svoju testnu domenu u svom laboratorijskom okruženju. Započnimo.
Preduvjeti
Prije nego počnete preimenovati svoju domenu, svakako razmotrite sljedeće informacije:
- Funkcionalna razina šume Active Directory. Zadatke preimenovanja domene možete izvršiti samo ako su sve domene u šumi opremljene barem operativnim sustavom Windows poslužitelj 2003. (u ovom slučaju nema ograničenja izdanja). Štoviše, funkcionalna razina mora biti podignuta barem na razinu Windows Servera 2003. To jest, ako imate odabranu funkcionalnu razinu Windows Server 2000 u svojoj šumi, tada će sljedeća operacija jednostavno postati nemoguća;
- Lokacija domene. U šumi Active Directory može postojati drugačija razina domene. To jest, može postojati zasebna domena ili šuma može uključivati podređene domene. Ako promijenite lokaciju kontrolera domene unutar šume, morat ćete stvoriti odnos povjerenja;
- DNS zona. Čak i prije izvođenja operacije preimenovanja domene, morate stvoriti novu DNS zonu;
- Administrativne vjerodajnice. Da biste izvršili operaciju preimenovanja domene, morate biti prijavljeni s administrativnim računom koji je član grupe Enterprise Admins;
- Poslužitelji distribuiranog datotečnog sustava (DFS).. Ako ste postavili DFS usluge ili konfigurirali roaming profile u svom poslovnom okruženju, imajte na umu da DFS korijenski poslužitelji moraju pokretati najmanje Windows Server 2000 SP3 ili novije operativne sustave;
- Nekompatibilnost s poslužiteljima Microsoft Exchange . Najgori dio je ako imate poštanski sandučić raspoređen u svojoj šumi Active Directory Microsoft poslužitelj Exchange Server 2003 Service Pack 1, tada će se preimenovanje domene izvršiti bez problema, ali korisnički račun pod kojim će se izvršiti sam proces preimenovanja domene mora biti član Full Exchange Administrator grupe. Sve moderniji poslužitelji pošte(uključujući Exchange Server 2016) nisu kompatibilni s operacijama preimenovanja domene.
Također imajte na umu da dok mijenjate naziv domene, morate zamrznuti sve nadolazeće aktivnosti konfiguracije šume Active Directory. Drugim riječima, morate osigurati da se konfiguracija vaše šume ne promijeni dok se operacija preimenovanja domene u potpunosti ne završi ( detaljne informacije U nastavku ćete vidjeti kako izvršiti ovu radnju). Ove operacije uključuju: stvaranje ili brisanje domena unutar vaše šume Active Directory, stvaranje ili brisanje particija direktorija aplikacija, dodavanje ili brisanje kontrolera domene u šumi, stvaranje ili brisanje izravno uspostavljenog povjerenja i dodavanje ili brisanje atributa koji će se replicirati na globalnu katalog.
Za svaki slučaj, također bih vam savjetovao da napravite punu sigurnosnu kopiju stanja sustava na svakom kontroleru domene u šumi aktivnog imenika. Ako se ovaj zadatak obavi, ova mjera opreza sigurno neće biti suvišna.
Ako vaša infrastruktura ispunjava gore navedene zahtjeve i sve što je potrebno sigurnosne kopije, možete započeti proces preimenovanja domene.
Proces preimenovanja domene Active Directory
Prvo, da biste provjerili originalni naziv svoje domene, možete otvoriti prozor svojstava sustava. Kao što možete vidjeti na odgovarajućoj ilustraciji, moja se domena zove “Biopharmaceutic.local”:
Riža. 1. Provjera izvornog naziva domene Active Directory
Sada biste trebali izraditi novu DNS zonu “biopharm.local” tako da se nakon uspješnog preimenovanja domene vaši članovi poslužitelji i klijenti mogu pridružiti novoj bez ikakvih problema naziv domene. Da biste to učinili, otvorite " DNS upravitelj» ( DNS upravitelj) i biti u " Zona izravnog gledanja» ( Zona pretraživanja unaprijed) odaberite opciju za stvaranje nove zone. U biti, zona se kreira kao i obično: na prvoj stranici New Zone Wizarda pročitajte uvodne informacije i prijeđite na drugu stranicu. Na stranici vrste zone odaberite primarnu zonu ( Primarna zona) i provjerite je li aktivirana opcija spremanja zone u Active Directory. Na stranici opsega replikacije zone trebali biste ostaviti odabranu zadanu opciju - " Za sve DNS poslužitelje koji rade na kontrolerima domene u ovoj domeni: Biopharmaceutic.local» ( Svim DNS poslužiteljima koji rade na kontrolerima domene u ovoj domeni: Biopharmaceutic.local). Na stranici naziva zone trebate navesti novi naziv domene (biopharm.local), a na stranici dinamičkog ažuriranja također ostaviti opciju " Dopusti samo sigurna dinamička ažuriranja (preporučeno za Active Directory)» ( Dopusti samo sigurna dinamička ažuriranja (preporučeno za Active Directory)), koji je odabran prema zadanim postavkama. U nastavku možete vidjeti nekoliko faza stvaranja nove zone:
Riža. 2. Stvorite novu DNS zonu
Sljedeći korak u preimenovanju domene je generiranje opisa trenutnog stanja šume. Zapravo, ovo je prva operacija preimenovanja domene u kojoj će se koristiti uslužni program naredbeni redak Rendom. Ovaj će uslužni program generirati tekstualni opis vaše trenutne strukture šume u obliku XML datoteke pod nazivom Domainlist.xml. Ova datoteka sadrži popis svih particija imenika domene kao i particija direktorija aplikacija koje se nalaze u vašoj šumi aktivnog imenika. Svaki unos za svaku domenu i particiju direktorija aplikacije odijeljen je XML oznakama
Da biste stvorili takvu datoteku, otvorite naredbeni redak pod odgovarajućim računom i pokrenite naredbu “ nasumično/popis" Generirana datoteka bit će spremljena u korijenskom direktoriju vašeg korisničkog računa. Zatim ćete morati otvoriti ovu datoteku pomoću bilo kojeg uređivača teksta.
Unutar ove datoteke morate promijeniti naziv domene unutar odjeljka koji je ograničen oznakama
Na sljedećoj ilustraciji vidjet ćete postupak izvršavanja gornje naredbe, lokaciju datoteke Domainlist.xml i promjene u prvom odjeljku te datoteke. U mom slučaju naziv domene u ovoj konfiguraciji bit će promijenjen 4 puta:
Riža. 3. Generiranje i mijenjanje datoteke Domainlist.xml
Kako biste bili sigurni da ste izvršili potrebne promjene u odgovarajućoj datoteci, možete pokrenuti naredbu " rendom/showforest" Kao što možete vidjeti na sljedećoj ilustraciji, svi moji unosi su promijenjeni u "Bopharm":
Riža. 4. Pregledajte potencijalne promjene
Prilikom izvršavanja sljedeće naredbe ( random/upload) uslužni program Rendom prevodi novu strukturu šume navedenu u uređenoj datoteci u niz uputa za ažuriranje direktorija koji će se izvoditi lokalno i udaljeno na svakom kontroleru domene u šumi. Općenito govoreći, u ovom trenutku će se izvršiti promjene u odjeljku imenika konfiguracije čarobnjaka za imenovanje domene kako bi se preimenovala domena aktivnog imenika. Osim toga, kreirat će se datoteka Dclist.xml koja se koristi za praćenje napretka i statusa svakog kontrolera domene u šumi za operaciju preimenovanja domene. Usput, u ovom trenutku uslužni program Rendom zamrzava vašu šumu aktivnog imenika od bilo kakvih promjena u konfiguraciji. Proces izvršavanja ove naredbe vidljiv je ispod:
Riža. 5. Izvršavanje naredbe rendom /upload
Sljedeća naredba izvodi se za provjeru spremnosti kontrolera domene prije operacije preimenovanja domene. Tijekom ovog koraka morate pokrenuti naredbu pripremne provjere svaki kontroler domene u šumi. Ovo je kako bi se osiguralo da je baza podataka Active Directory na svakom kontroleru domene u šumi u ispravnom stanju i spremna za izmjene koje će vam omogućiti preimenovanje domene. Stoga pokrenite naredbu " random/pripremiti", kao što je prikazano na sljedećoj slici:
Riža. 6. Priprema domene za preimenovanje
Najodlučniji trenutak. Izvršavanje naredbe " rendom /izvršiti" Kada se ova naredba izvodi na domeni, izvršavaju se upute za preimenovanje domene. U biti, u ovom trenutku, svaki kontroler domene u šumi kontaktira se pojedinačno, uzrokujući da svaki kontroler domene izvrši instrukcije za preimenovanje domene. Po završetku ove operacije, svaki kontroler domene će se ponovno pokrenuti. Pogledajte sljedeću ilustraciju za postupak preimenovanja domene:
Riža. 7. Proces preimenovanja domene
Ali to nije sve. Iako je vaša domena u biti već preimenovana, još uvijek imate zadatak popraviti GPO-ove i njihove veze nakon završetka operacije preimenovanja domene. Koristite pomoćni program naredbenog retka za vraćanje objekata pravila grupe kao i GPO veza u svakoj preimenovanoj domeni Gpfixup.exe. Ovaj postupak ne treba zanemariti zbog činjenice da bez njegove upotrebe, nakon završetka operacije preimenovanja domene u novoj šumi, grupne politike Jednostavno neću funkcionirati kako treba. Imajte na umu da se ova naredba mora pokrenuti jednom na svakoj preimenovanoj domeni. Stoga, pokrenite naredbu jednom gpfixup s parametrima /olddns:Biopharmaceutic.local(stari naziv domene koju ste preimenovali) i /newdns:Biopharm.local(novo ime preimenovane domene), a zatim naredbu gpfixup s parametrima /oldnb: Biofarmaceutski I /newb: Biofarm(staro i novo NETBIOS ime vaše domene). Ovaj postupak je vidljiv ispod:
Riža. 8. Popravljanje objekata pravila grupe
Preostale su samo dvije naredbe za izvršenje: naredba “ rendom/očistiti", koja vam omogućuje uklanjanje svih referenci na stare nazive domena unutar vašeg aktivnog imenika, kao i naredbu " rendom/kraj", u biti odmrzava šumu Active Directory od unošenja promjena u svoju konfiguraciju. Na sljedećoj ilustraciji možete vidjeti proces izvršavanja ovih naredbi:
Riža. 9. Dovršite preimenovanje domene Active Directory
Da bi se promjene primijenile na poslužitelje članove i krajnje klijente, morat ćete dvaput ponovno pokrenuti njihova računala. Međutim, morat ćete ručno preimenovati kontrolere domene. Kao što možete vidjeti na sljedećoj ilustraciji, naziv mog kontrolera domene ostaje isti.
Što je kontroler domene
Kontroler domene pruža centralizirano upravljanje mrežni uređaji, odnosno domene. Upravljač pohranjuje sve podatke s računa i parametre korisnika mreže. Ovo su sigurnosne postavke, lokalna politika i mnogi drugi. Ovo je vrsta poslužitelja koji u potpunosti kontrolira određenu mrežu ili mrežnu grupu. Kontroler domene je vrsta skupa posebnog softvera koji pokreće razne usluge Active Directory. Kontroleri pokreću određene operativne sustave, kao što je Windows poslužitelj 2003. Čarobnjak za postavljanje aktivnog pogona omogućuje vam stvaranje kontrolera domene.
U operacijskoj sali Windows sustav NT, kao glavni poslužitelj, koristi primarni kontroler domene. Ostali poslužitelji koji se koriste koriste se kao pomoćni kontroleri. Osnovni PDC kontroleri mogu rješavati različite zadatke vezane uz članstvo korisnika u grupama, kreiranje i promjenu lozinki, dodavanje korisnika i mnoge druge. Nakon čega se podaci prenose na dodatne BDC kontrolere.
Može se koristiti kao kontroler domene softver Samba 4, ako je operativni sustav instaliran Unix sustav. Ovaj softver također podržava druge operativne sustave kao što su Windows 2003, 2008, 2003 R2 i 2008 R2. Svaki od operativnih sustava po potrebi se može proširiti, ovisno o specifičnim zahtjevima i parametrima.
Korištenje kontrolera domene
Kontrolere domene koriste mnoge organizacije u kojima se nalaze računala koja su povezana međusobno i na mrežu. Kontrolori pohranjuju podatke imenika i kontroliraju način na koji se korisnici prijavljuju i odjavljuju sa sustava, kao i upravljaju međusobnim interakcijama.
Organizacije koje koriste kontroler domene moraju odlučiti koliko će se koristiti, planirati arhiviranje podataka, fizičku sigurnost, nadogradnju poslužitelja i druge potrebne zadatke.
Ako je tvrtka ili organizacija mala i koristi samo jednu domensku mrežu, tada je dovoljno koristiti dva kontrolera koji mogu pružiti visoku stabilnost, toleranciju na greške i visoka razina dostupnost mreže. U mrežama koje su podijeljene na određeni broj mjesta, na svakom od njih je instaliran po jedan kontroler, što omogućuje postizanje potrebnih performansi i pouzdanosti. Korištenjem kontrolera na svakom mjestu prijava korisnika može biti mnogo lakša i brža.
Mrežni promet može se optimizirati; da biste to učinili, trebate postaviti vrijeme za ažuriranje replikacije kada je opterećenje mreže minimalno. Postavljanje replikacije znatno će pojednostaviti vaš rad i učiniti ga produktivnijim.
Postići maksimalne performanse u radu kontrolera, moguće je ako je domena globalni katalog, koji će vam omogućiti da zatražite bilo koji objekt za određenu težinu. Važno je zapamtiti da omogućavanje globalnog kataloga podrazumijeva značajno povećanje prometa replikacije.
Najbolje je ne omogućiti kontroler domene domaćina ako se koristi više od jednog kontrolera domene. Kod korištenja kontrolera domene vrlo je važno voditi računa o sigurnosti, jer on postaje prilično dostupan napadačima koji žele doći u posjed podataka potrebnih za prijevaru.
Značajke instaliranja dodatnih kontrolera domene
Kako bi se postigla veća pouzdanost u radu potrebnih mrežnih usluga, potrebno je instalirati dodatne kontrolere domene. Kao rezultat, možete postići značajno veću stabilnost, pouzdanost i sigurnost u radu. U tom će slučaju performanse mreže postati znatno veće, što je vrlo važan parametar za organizacije koje koriste kontroler domene.
Kako bi kontroler domene ispravno radio, potrebno je izvršiti neke pripremni rad. Prvo što trebate učiniti je provjeriti TCP/IP postavke, one moraju biti ispravno postavljene za poslužitelj. Najvažnije je provjeriti DNS nazive za preslikavanja.
Za siguran rad kontroler domene, morate koristiti datotečni sustav NTFS, koji pruža veću sigurnost u usporedbi s datotečnim sustavom FAT 32. Za instalaciju na poslužitelju trebate stvoriti jednu particiju u sustav datoteka NTFS na kojem će se nalaziti sistemski volumen. Također je potreban pristup DNS poslužitelju s poslužitelja. DNS usluga instalirana je na ovom ili dodatnom poslužitelju, koji mora podržavati evidenciju resursa.
Da biste ispravno konfigurirali kontroler domene, možete koristiti čarobnjak za konfiguraciju koji vam omogućuje dodavanje određenih uloga. Da biste to učinili, morat ćete otići na odjeljak za administraciju putem upravljačke ploče. Morate navesti kontroler domene kao ulogu poslužitelja.
Danas je kontroler domene nezamjenjiv za mreže i stranice koje koriste razne organizacije, institucije i tvrtke u svim područjima ljudskog djelovanja. Zahvaljujući njemu, osigurana je visoka produktivnost i sigurnost, što računalne mreže ima posebno značenje. Uloga kontrolera domene vrlo je važna jer vam omogućuje upravljanje područjima domene izgrađenim na računalnim mrežama. U svakom operacijski sustav Postoje određene nijanse povezane s radom kontrolera domene, ali princip i njegova svrha svugdje su isti, tako da razumijevanje postavki nije tako teško kao što se može činiti na samom početku. Međutim, vrlo je važno da kontrolere domene konfiguriraju stručnjaci kako bi se u konačnici osigurale visoke performanse i sigurnost tijekom rada.
Došlo je proljeće, a s njim i pojačana želja da se rodi temeljni materijal koji odgovara na pitanje koje se čini očiglednim, ali je u isto vrijeme kritično važno pri dizajniranju: koje ime dati domeni Active Directory da ne bude nesnosno bolno kasnije?
U ovom ću vas članku pokušati odvesti od najgorih opcija imena domene Active Directory do onih za koje vjerujem da su najbolje. najbolja opcija, istodobno ukazujući na grablje koje treba prevladati.
Domena s single-label nazivom nije prikladna za korištenje u produkcijskom okruženju i jedini ispravan način je riješiti je se što prije.
Nevažeći znakovi u nazivu domene
Na primjer, podvlaka. Iako su prethodne verzije Windows Servera dopuštale ovaj znak pri odabiru naziva DNS domene, on nije u skladu sa standardom RFC 1123 za DNS. Novi Windows verzije Server više ne dopušta imenovanje domena suprotno standardu. Ako je naslijeđena domena s imenom koje sadrži donju crtu, očekuju vas velike nevolje. Na primjer, ne možete instalirati Exchange 2007 i noviji. Postoji samo jedno rješenje - riješiti se nevažećih znakova u nazivu domene prelaskom na drugu domenu (poželjno) ili preimenovanjem domene (nesigurno).
Disjunktni imenski prostor
Jedan od posebnih slučajeva Disjoint namespacea je situacija kada se Netbios ime domene razlikuje od krajnjeg lijevog dijela DNS imena domene.
Netbios naziv = TEST
DNS naziv = lab.site
S gledišta funkcionalnosti, ova je konfiguracija u potpunosti podržana. Ali ipak preporučam da ga izbjegavate kako ne biste stvarali zabunu i dvosmislenost.
.lokalni ili ICANN
U mnogim tutorijalima možete vidjeti nazive domena kao što je company.local. Doista, nema zločina u korištenju takvih naziva u svrhu obuke i testiranja. Još je gore kada su prave domene imenovane istom shemom:
- Naziv je u suprotnosti s ideologijom globalnog DNS-a: ne jamči nepostojanje kolizija s drugim sličnim domenama (kada dođe vrijeme za uspostavljanje odnosa povjerenja)
- Ovo ime nije moguće koristiti za pristup s globalne mreže (kada je vrijeme za objavu)
- Javni SSL certifikat nije moguće dobiti za domenu čije vlasništvo nije moguće provjeriti. Ovo je ograničenje posebno relevantno s razvojem usluge u oblaku, kada su granice između lokalnih i usluga u oblaku zamagljene. Samo primjer: da bi Single Sign On radio s uslugama Office 365, potrebne su AD Federation Services s javnim certifikatom
Stoga preporučujem da prilikom imenovanja domene uvijek koristite službeno registrirano globalno ime u hijerarhiji ICANN-a (Internet Corporation for Assigned Names and Numbers), koje će zajamčeno ukloniti gore opisane nedostatke.
web stranica
argon.com.ru
irom.info
Odaberite ili spojite
Zamislimo da dizajniramo strukturu domene za tvrtku Argon, koja ima web stranicu na adresnoj stranici, a također koristi adrese e-pošte u istoj domeni.? Ali bolje je ne činiti to iz sljedećih razloga:
- Ako unutar mreže takve organizacije unesemo adresu http://site/ u preglednik, tada nećemo doći do web stranice tvrtke, već do prvog kontrolera domene na koji naiđemo.
- Administracija javnih i internih DNS zapisa je teška: svi javni DNS zapisi u zoni stranice koji se koriste iz interne mreže moraju se duplicirati u internoj DNS zoni. Također je potrebno nekako osigurati sinkronizaciju tih zapisa.
Na primjer, na Internetu postoji web stranica www.site. Kako bi mu korisnici iz interne mreže mogli pristupiti, potrebno je napraviti sličan unos u internoj DNS zoni
- Postoji mogućnost kolizije između internih i eksternih naziva resursa.
Na primjer, poslužitelj ftp.site naširoko se koristi na internoj mreži. Odjednom se pojavila potreba da se korisnicima interneta omogući datotečni servis na istoj adresi ftp.site. Što se dogodilo? Unutarnji korisnici ne mogu se spojiti na vanjsku uslugu koristeći navedeni naziv...
Stoga je bolje da domena Active Directory ima namjenski prostor imena koji se razlikuje od prostora imena na Internetu (web stranica tvrtke i slično). I ovdje postoji izbor:
- Koristite potpuno drugačiji naziv za AD (site za web mjesto, argon.com.ru za AD)
- Koristite podređeni naziv za AD (site za site, lab.site za AD)
Obje opcije zadovoljavaju DNS ideologiju i nemaju gore navedene nedostatke, ali druga opcija s podređenom domenom može biti prikladnija sa sljedećih točki gledišta:
- podrška za registrirane nazive domena (plaćanje registracije i DNS hosting samo jedne domene)
- dostupnost lijepih imena za registraciju (nema potrebe za registracijom)
- dobivanje javnih SSL certifikata (samo jedan zamjenski certifikat može se koristiti i za web stranicu tvrtke i pri objavljivanju resursa interne mreže)
Dakle, predlažem odabir namjenske domene za AD, ali domene koja je dijete web stranice organizacije.
lab.site
corp.microsoft.com
Split-mozak
Split-brain DNS znači korištenje jednog naziva domene za objavljivanje resursa i na internoj mreži i na Internetu. U ovom slučaju, DNS poslužitelji na internoj mreži razlučuju adrese poput portal.lab.site u interne IP adrese, a javni DNS poslužitelji na Internetu u vanjske IP adrese. Primjer:
| DNS ime | Na internoj mreži | Na internetu |
|---|---|---|
| portal.lab.site | 10.18.0.20 | 77.37.182.47 |
| smtp.lab.site | 10.18.0.40 | 78.107.236.18 |
Zahvaljujući podijeljenom mozgu, postižu se korisne stvari kao što su, jedinstvene adrese za pristup resursima i s interne mreže i s Interneta. Korisnik treba znati samo jednu adresu portal.lab.site, preko koje može doći do svojih dokumenata, a nije bitno gdje se nalazi: u uredu tvrtke ili u hotelu.
Iz perspektive infrastrukture, prikladno je imati istu adresu za CRL ili OCSP u SSL certifikatima koje izdaju interni CA-ovi.
U nedostatku podijeljenog mozga, možda će biti potrebno stvoriti takozvane pinpoint zone interni poslužitelji DNS, takve “spot” zone će sadržavati samo one zapise za koje je potrebno “javne” vrijednosti zamijeniti “privatnim” karakterističnim za internu mrežu (situacija je slična onoj opisanoj pod naslovom “Odaberi ili kombiniraj” ”).
Primjer pinpoint zone:
| DNS ime | Na internoj mreži | Na internetu |
|---|---|---|
| _sipinternaltls._tcp.lab.site | sip.lab.site | lync.argon.com.ru |
Pojasnite ili sažmite
U literaturi možete pronaći savjete da domene (osobito korijen) imenujete generičkom riječi, poput Banka, Company ili Corp. Postoje razlozi za to, budući da današnje tvrtke mogu redovito doživjeti spajanja i akvizicije te promjene brendova. A kao što znate, promijeniti naziv domene vrlo je teško.
S druge strane, kod istih spajanja i akvizicija tvrtki vrlo je vjerojatna migracija korisnika s jedne domene na drugu. U praksi sam se susreo sa situacijom da sam trebao migrirati korisnike sa desetak domena sa istim nazivom Banka. Kao što znate, uspostavljanje odnosa povjerenja između domena s istim imenima (bilo DNS ili Netbios) nije moguće. Morat ćete ili preimenovati ove domene ili migrirati podatke u dvije faze, kroz treću domenu.
Sklon sam vjerovati da je bolje imenovati domenu posebno i zadržati staro ime nakon promjene imena tvrtke, nego je imenovati generički i završiti s ozbiljnim tehničkim problemima kada je u pitanju migracija ili uspostavljanje odnosa povjerenja.
Posljednji detalji na putu do savršenstva
- globalno registriran
- namjenski (dijete domene web stranice tvrtke)
- specifično
- koristiti split-brain
lab.site
corp.microsoft.com
Uz to, bilo bi bolje koristiti kraće adrese user@site za e-mail i SIP adrese u Lyncu. Ništa nas ne sprječava u tome, ali bit će neugodnosti.
Adresa e-pošte korisnika = user@site, login login = lab\user, glavno ime korisnika = [email protected]. Ovdje se lako zbuniti ne samo za korisnika, već i za programe kao što su Outlook i Lync.
Nakon manjih izmjena računa, korisnici će imati glavno korisničko ime jednako njihovoj adresi e-pošte. Bit će manje zabune, a programi poput Lynca i Outlooka prestat će tražiti prijavu korisnika, bit će dovoljno da znaju e-mail ili SIP adresu.
Moji temeljni radovi:
Članci na drugim izvorima:
- Razmatranja imenovanja domene Active Directory - dolazi suhi vodič od Microsofta
- Konvencije imenovanja u Active Directory za računala, domene, stranice i OU - pogledajte pododjeljak Šume koje su spojene na Internet
- Zašto ne biste trebali koristiti .local u nazivu svoje domene Active Directory - sličan članak od strane kolege
| Naslov | |
|---|---|
| Oznake | |
| Objavljeno |