Контроллер домена сети интернет
В последнее время всё чаще на форумах стали появляться вопросы об организации маршрутизатора на контроллере домена или решения сложностей в работе контроллера домена с несколькими сетевыми интерфейсами. В своих статьях я уже обращал внимание на рекомендации Microsoft для настройки таких контроллеров домена. В данной статье я подробнее опишу настройку и контроллера домена и маршрутизатора, который будет настроен в режиме NAT с помощью RRAS. Если предоставление доступа к интернету осуществляется другими приложениями, то алгоритм по настройке идентичный. Аналогичная настройка производится и в операционной системе Windows Server 2012 R2. Исходные данные:
— виртуальный сервер под управлением Windows Server 2012 SE. CPU i7-2600, RAM 2 GB, две сетевые карты
— виртуальный клиент под управлением Windows 8 EE. CPU i7-2600, RAM 2 GB
Настройки сетевых интерфейсов сервера и настройка внешнего сетевого интерфейса WAN для работы в домене.
Установка и настройка NAT, используя роль Remote Access описана в данной статье. Устанавливаем роль контроллера домена. Кроме стандартных настроек (сеть в сайте, обратная зона ДНС, порядок ДНС в сетевой карте) необходимо отключить принимать запросы с внешнего интерфейса. Для IPv6 тоже. Именно эта настройка влияет на работу служб Active Directory, и мультисетях внешние сетевые интерфейсы должны быть исключены!
Если вы сделали всё правильно, то в ДНС в прямой зоне (везде, где выделено красным) будут следующие записи и больше никаких. После любых перезагрузок сервера мы будем получать стандартное сообщение от ДНС сервера под номером 4013.
Проверим трассировку до exonix.ru — всё работает. Второй узел не ответил, т.к. это внешний адрес NAT. Об этом я напишу ниже.
Что будет если включить регистрацию сетевого интерфейса в ДНС и разрешить отвечать на запросы с внешнего интерфейса? Тогда в ДНС появятся лишние записи, из-за которых и случаются сбои, решаемые на форумах. А так как эта запись является внешним адресом NAT, то ни один клиент из внутренней сети никогда не получит доступ к нему (некоторые специально настроенные Linux-маршрутизаторы позволяют это сделать). Это подобено попытке открыть дверь с внешней стороны, находясь внутри комнаты. По этому компьютеры теряют связь с доменом, так обращаются на недоступный адрес контроллера домена. Для решения неприятных ситуаций с AD Microsoft рекомендует отключить регистрацию внешнего интерфейса в ДНС и удалить лишние А записи в ДНС зоне. Если у вас несколько контроллеров домена помимо установленного с RRAS, то ещё рекомендуется отключить Round-robin для ДНС.
В рекомендации ни слова о ДНС настройках в свойствах внешнего сетевого интерфейса. По этой причине лично я оставляю там ДНС провайдера, как и в любом маршрутизаторе. Например Dlink Dir-400, Zyxel Keenetic, Cisco 7204. Список можно продолжать — это стандарт для маршрутизаторов. Правда для Cisco здесь не указывается интерфейс.
А теперь попытаемся ввести клиентскую машину в наш домен. Так как в нашей тестовой среде нет DHCP сервера, и DNS-суффикс не определён, то необходимо ввести полное имя домена:
Что такое контроллер домена?
Контроллер домена – это сервер, контролирующий компьютерную сеть Вашей организации. Чтобы разобраться, как он работает, рассмотрим основные способы управления большим количеством компьютеров.
- Основанная на рабочей группе (одноранговая).
- Доменная (сеть на основе управляющего сервера).
В первом случае каждый компьютер одновременно является и клиентом, и сервером. То есть, каждый пользователь может самостоятельно решать, доступ к каким файлам ему открывать и для кого именно. С одной стороны, эту сеть создать достаточно просто, но с другой, управлять ею (администрировать) бывает достаточно сложно, особенно если в сети 5 компьютеров и больше.
Также, если Вам необходимо выполнить какие-либо изменения в программном обеспечении (установить систему безопасности, создать нового пользователя, инсталлировать программу или приписать сетевой принтер), придется каждый компьютер настраивать по отдельности. Одноранговая сеть может сгодиться для управления не более чем десятью устройствами.
Что касается домена, в этой сети есть единый сервер (единый аппарат, в “руках” которого сосредоточена вся власть), а основные машины являются клиентами. Взаимодействие в сети между компьютерами осуществляется через контроллер домена, то есть он определяет кому, когда и куда давать доступ. Таким образом, имея доступ к одному лишь контроллеру домена, Вы можете выполнять 95% задач в удаленном режиме, так как сервер имеет полные права на любом компьютере в сети.
При помощи групповых политик Вы можете за несколько минут настроить все устройства в сети (установить программы, добавить/заблокировать пользователя и т.д.), не бегая от одного устройства к другому. Число подконтрольных компьютеров неограниченно.
Что нужно для добавления контроллера домена?
Работа начинается с того, что на функциональное оборудование ставится специальный серверный софт – Windows Server 2008, 2012, 2016, 2019. После установки софта администратор определяет роль сервера — то, за что сервер будет отвечать:
- за хранение данных – файловый сервер;
- за открытие и работу программ для сотрудников – терминальный;
- за почту – почтовый;
- за управление доступами и прочим – контроллер домена.
Важно! Понятие «контроллер домена» применимо только для серверов с операционной системой Windows.
Если Ваш текущий домен контроллер устаревший, стоит обновить его до более современной версии, которая предусматривает широкие возможности и оптимизированный функционал. Например, под управлением Server 2003 можно настраивать функции Windows XP, а новые функции, появившиеся в Windows 7 – нет.
- Server 2003 – Windows XP и более старые
- Server 2008 – Windows XP, Vista
- Server 2008 R2 – Windows XP, Vista, 7
- Server 2012 – Windows XP, Vista, 7, 8
- Server 2012 R2 – Windows XP, Vista, 7, 8, 8.1
- Server 2016 – Windows XP, Vista, 7, 8, 8.1, 10
Серверный механизм способен выполнять очень широкий спектр ролей. Поэтому после инсталляции серверной ОС, прежде чем она сможет выполнить организационную работу локальной сети, необходимо произвести некоторые настройки.
Служба DNS
Для функционирования доменной сети обязательно необходима «DNS» (Domain Name System) служба, а сам контроллер должен видеть устройство, на котором она работает. Эта служба может функционировать как на роутере, так и на другом компьютере. В случае если такой службы нет, то при установке контроллера домена система предложит Вам выбрать роль «DNS». За что же она отвечает?
Служба «DNS» считывает и отправляет информацию об именах устройств. По сути, она связывает названия доменов с IP-адресами компьютеров, соответствующих этим доменам. Приведем простой пример:
Одно имя соответствует одному IP-адресу устройства. Но ряд крупных компаний, таких как Яндекс или Гугл, в стремлении ускорить работу собственных сервисов создают дополнительные адреса. Также этот ход позволяет повысить надежность, бесперебойность работы. Порядок выдачи IP-адреса непосредственно зависит от настроек DHCP сервера (именно он позволяет сетевым аппаратам получать IP-адреса). В основном перенаправление имя-адрес осуществляется в случайном режиме. Узнать IP-адрес можно, набрав в командной строке «ping yandex.ru» .
Важно! Каждый раз при пуске «пинга» до Яндекса Вы можете получать разные или один и тот же IP-адрес. Это объясняется тем, что при большой нагрузки сервера один сервер перенаправляет Вас на другой, у которого другой IP.
IP-адрес
IP-адрес – это уникальный идентификатор устройства, находящегося в сети. Если приводить сторонний пример — это серия и номер паспорта человека, но для любого устройства, «общающегося» в сети – компьютер, роутер, принтер, сканер, МФУ, АТС и так далее. Адрес может присваиваться как в ручном режиме, так и в автоматическом. Для автоматического присвоения адресов устройствам, находящимся в сети необходим DHCP-сервер.
Важно! В сети не может быть устройств с одинаковым IP-адресом – точно так же, как нет людей с одинакововыми серией и номером паспорта.
Active Directory
Active Directory («Активный каталог») – это организованный каталог всех данных, необходимых для управления конкретной сетью. Под данными имеются в виду учетные записи, информация об устройствах в сети и многое другое. Active Directory позволяет централизованно управлять всем, что включено в сеть. Приведем простые и важные примеры, которые решаются с помощью этой службы:
1. Ограничение доступа сотрудников к информации. Например, менеджеры не имеют доступа ко всему, что касается бухгалтерской отчетности, а сотрудники бухгалтерии не имеют доступа к данным, которые ведут менеджеры. Это позволяет:
- упростить работу с информацией – сотрудник видит только те материалы, которые необходимы ему для работы;
- создать границы – каждый сотрудник в компании четко знает свою сферу влияния;
- сократить возможность утечки информации – менеджер не может «слить» кому-то Вашу бухгалтерию, или бухгалтер – всех Ваших клиентов.
О безопасности! Когда сфера доступа сотрудника ограничена определенными рамками, он понимает, что ответственность за утерянную информацию с его источника несет именно он! Таким образом, риск быть обнаруженным из-за узкого круга подозреваемых лиц остановит среднестатистического воришку.
2. Ограничения использования некоторых устройств. Добавление контроллера домена позволит Вам защитить конфиденциальную информацию. Например, ограничивайте использования USB-накопителей с целью обезопасить себя от утечки конфиденциальной информации или от проникновения вируса в общую сеть.
3. Ограничения использования программ. Сотрудник не сможет установить игру или другой сторонний софт. Это полезно, потому что:
- сторонний софт может быть пиратским, и компания попадает под риск получить штраф в случае проверки;
- можно установить вирус, который убьет всю информацию на компьютере, либо будет передавать данные с компьютера сторонним лицам;
- можно установить развлекательные игры и таким образом саботировать работу;
- можно открыть шифратор и зашифровать все данные о компании;
- можно наставить столько всего на компьютер, что он будет тормозить и работа станет невозможной и т.д.
4. Быстрая настройка рабочего стола для нового сотрудника. После приема на работу нового коллеги для него устанавливается индивидуальная учетная запись. После чего он определяется в свою рабочую группу, например, «менеджеры». Далее система автоматически и очень быстро устанавливает все необходимые программы, выводит необходимые значки на рабочий стол, настраивает принтеры и т. д. для работы этого человека. Кроме того, он получает доступ к закрытой информации, которой оперируют его коллеги по специальности.
5. Централизованное управление сетевыми устройствами. Вы можете с легкостью прописать (зафиксировать в системе), что для людей, сидящих в одном кабинете, все документы печатаются на один принтер, который находится в их кабинете, а для людей, сидящих в другом кабинете – на другой, который находится у них, и т.д.
Настройка контроллера домена с «Lan-Star»
Быстро открывать и блокировать доступ к данным, ставить нужной группе необходимый софт и решать широкий спектр управленческих задач с помощью системного администратора позволяет именно настройка контроллера домена. Это необходимый элемент IT-структуры, если Вы действительно беспокоитесь о сохранности корпоративных данных, думаете о централизованности управления, хотите создать рабочую и четкую структуру в своей организации, организовать удобную работу своих сотрудников с максимальным сокращением времени простоев, связанных с компьютерной техникой и сбоями в работе программ.
Закажите настройку и сопровождение централизованной системы управления рабочей сетью — контроллера домена. Возьмите все процессы, происходящие в компании, в свои руки! «Lan-Star» — надежный IT партнер. Наша специализация: обеспечение безопасности, организация стабильной работы, оптимизация деятельности компании. Чтобы получить более детальную информацию об услуге, обратитесь к нам по телефону (посмотреть) или закажите бесплатную консультацию.