Контроллер домена в компьютерных сетях

Лекция № 10 Контроллер домена в среде Windows.

Контроллер домена в компьютерных сетях — сервер, контролирующий область компьютерной сети , которую называют домен.

Существует два типа контроллера домена:

Контроллеры домена, работающие под управлением Windows Server 2003, хранят данные каталога и управляют взаимодействиями пользователя и домена, включая процессы входа пользователя в систему, проверку подлинности и поиски в каталоге. Контроллеры домена создаются при использовании мастера установки Active Directory.

Домены на базе Active Directory позволяют централизованно администрировать все ресурсы, включая пользователей, файлы, периферийные устройства, доступ к службам, сетевым ресурсам, веб-узлам, базам данных и так далее. AD поддерживает иерархическое пространство имён для учётной информации о пользователях, группах и компьютерах, а так же о других каталогах, что в конечном счёте позволяет снизить административные издержки, связанные с поддержкой нескольких пространств имён. Короче говоря, AD позволяет использовать единую точку администрирования для всех публикуемых ресурсов. В основе AD используется стандарт именования X.500, система доменных имён – Domain Name System (DNS) для определения местоположения, и в качестве основного протокола используется Lightweight Directory Access Protocol (LDAP).

AD объединяет логическую и физическую структуру сети. Логическая структура AD состоит из следующих элементов:

• организационное подразделение (organizational unit) – подгруппа компьютеров, как правило, отражающая структуру компании;
• домен (domain) – группа компьютеров, совместно использующих общую базу данных каталога;
• дерево доменов (domain tree) – один или несколько доменов, совместно использующих непрерывное пространство имен;
• лес доменов (domain forest) – одно или несколько деревьев, совместно использующих информацию каталога.

К физической структуре относятся следующие элементы:

• подсеть (subnet) – сетевая группа с заданной областью IP-адресов и сетевой маской;
• сайт (site) – одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. AD использует только контроллеры доменов. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена. Схема и данные конфигурации реплицируются во все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в глобальный каталог (GC). Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится GC, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (который реплицируется только между серверами GC), а также все объекты каталога и свойства для своего домена.

Контроллеры домена могут иметь разные роли хозяев операций. Хозяин операций решает задачи, которые неудобно выполнять в модели репликации с несколькими хозяевами.

Существует пять ролей хозяина операций, которые могут быть назначены одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, другие на уровне домена.

В каждом лесе AD существуют следующие роли:

• Хозяин схемы (schema master) – управляет обновлениями и изменениями схемы каталога. Для обновления схемы каталога необходим доступ к хозяину схемы. Чтобы определить, какой сервер в данное время является хозяином схемы в домене, нужно в окне командной строки набрать команду dsquery server -hasfsmo schema
• Хозяин именования доменов (domain naming master) – управляет добавлением и удалением доменов в лесу. Чтобы добавить или удалить домен требуется доступ к хозяину именования доменов. Чтобы определить, какой сервер в данное время является хозяином именования доменов, в окне командной строки введите dsquery server -hasismo name

Эти роли, общие для всего леса в целом и являются в нем уникальными.

В каждом домене AD обязательно существуют следующие роли:

• Хозяин относительных идентификаторов (relative ID master) – выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы, или компьютера, контроллеры назначают объекту уникальный идентификатор безопасности, состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином относительных идентификаторов. Чтобы определить, какой сервер в данное время является хозяином относительных идентификаторов домена, в командной строке введите dsquery server -hasfsmo rid
• Эмулятор PDC (PDC emulator) – в смешанном или промежуточном режиме домена действует как главный контроллер домена Windows NT. Он аутентифицирует вход в Windows, обрабатывает изменения пароля и реплицирует обновления на BDC, если они есть. Чтобы определить, какой сервер в данное время является эмулятором PDC домена, в командной строке введите dsquery server -hasfsmo pdc
• Хозяин инфраструктуры (infrastructure master) – обновляет ссылки объектов, сравнивая данные своего каталога с данными GC. Если данные устарели, он запрашивает из GC обновления и реплицирует их на остальные контроллеры домена. Чтобы определить, какой сервер в данное время является хозяином инфраструктуры домена, в командной строке введите dsquery server -hasfsmo infr

Эти роли, общие для всего домена и должны быть в нем уникальны.

Роли хозяев операций назначаются автоматически первому контроллеру в домене, но могут быть в дальнейшем переназначены вами. Если в домене только один контроллер, то он выполняет все роли хозяев операций сразу.

Источник

Выбираем сервер под контроллер домена

29 Марта 2021

Контроллер домена — это сервер, с помощью которого осуществляется контроль компьютерных сетей в различных организациях. Об основных принципах работы и критериях выбора контроллеров домена будет рассказано в нашей новой статье.

Что это за чертовщина и зачем она нужна?

Контроллеры доменов используются для управления локальными доменными сетями. Под доменной сетью понимается несколько компьютеров, объединенных в общую сеть через централизованный узел, которым и является сервер контроллера.

С их помощью осуществляется взаимодействие между компьютерами в общей сети. Серверы контроллеров управляют процессами авторизации пользователей, назначают им права доступа к информационным ресурсам предприятия (данным на файловых серверах, сетевым принтерам, почтовым серверам).

Также они задействуются в управлении учетными записями доменов, которые используются для входа в многопользовательскую среду Microsoft Windows Server. В базах серверов хранится информация, необходимая для идентификации каждого пользователя (сотрудника предприятия) в локальной сети. Чаще всего это имя и фамилия пользователя и пароль.

Сервер контроллера домена значительно упрощает хранение и изменение информации, необходимой для авторизации персонала, и позволяет сделать это централизованно, быстро и безопасно. Поскольку для выполнения его задач не требуется значительных вычислительных мощностей, для серверов контроллеров домена может использоваться оборудование начального уровня.

При этом сервер контроллера домена позволяет выполнять до 95% задач по настройке групповых политик на неограниченном количестве подконтрольных компьютеров.

С чего начать?

Работа по установке контроллера домена начинается с добавления к функциональному оборудованию специального серверного софта (Windows Server 2008, 2012, 2016, 2019) и с определения администратором роли сервера. Важно помнить, что понятие «контроллер домена» применяется только к серверам с операционной системой Windows. Устаревшие текущие домен-контроллеры необходимо обновлять до их более современных версий с расширенными возможностями и оптимизированным функционалом.

Механизмы контроллеров домена предназначены для исполнения нескольких ролей, для которых инсталлированная серверная ОС должна пройти специальные настройки:

• службы DNS (Domain Name System), которая считывает и отправляет информацию об именах устройств, связывая их с IP-адресами для повышения надежности и бесперебойности их работы;
• протоколов DHCP, необходимых для автоматического присвоения IP-адресов узлам в сети, а также проведения других сетевых настроек (установки адресов шлюзов по умолчанию, адресов службы DNS);
• Active Directory («Активный каталог») — организованного каталога всех данных, необходимых для управления конкретной сетью (ограничения доступа сотрудников к информации, ограничения использования некоторых устройств и программ, быстрой настройки новых рабочих столов, централизованного управления сетевыми устройствами).

Качество работы всех перечисленных механизмов и деятельности рабочих групп (и организации в целом) зависят от того, как построена структура контроллера домена, то есть какой сервер для него был выбран.

Как выбрать сервер под контроллера домена?

Выбор сервера для контроллера домена — это часть проекта по созданию единой базы данных, ориентированная на специфику и задачи IT-инфраструктуры, а также на уникальные требования, предъявляемые каждой компанией к аппаратной и программной платформе оборудования. Как правило, конфигурация сервера зависит от существующей СУБД.

Чтобы показатель производительности базы был высоким, сервер должен иметь мощный процессор и обеспечивать быстрый доступ к ячейкам памяти, то есть поддерживать требуемое число обращений к БД. Многоядерность процессоров повышает эффективность работы в средах со смешанными запросами.

Для более оперативных доступа к памяти, обработки запросов, чтения и перезаписи ячеек потребуется SSD-накопитель с интерфейсом NVMe, который позволяет большому числу пользователей совершать параллельные обращения к БД.

Оперативная память выбранного сервера для контроллера домена должна вмещать в себя полный объем базы данных и обеспечивать работоспособность операционной системы и приложений. Однако ускоренный доступ к содержимому SSD позволяет сократить требования к ОЗУ, а также сэкономить на объеме оперативной памяти.

Построить контроллер домена можно на одноюнитном, одно- или двухпроцессорном серверном оборудовании. Наша компания предлагает наиболее популярные платформы таких серверов:

• Dell R330 — от 27 360 руб.;
• Dell R430 — от 32 300 руб.;
• HPE DL120 Gen9 — от 33 060 руб.;
• HPE DL160 Gen9 — от 39 900 руб.;
• HPE ML30 Gen9 (в офис) — от 36 632 руб.

Представленные решения отличаются компактностью и высокой плотностью, поддерживают емкие модули ОЗУ и SSD-накопителей, позволяют консолидировать данные нескольких рабочих машин, обеспечивают быстрое развертывание и хорошую масштабируемость.

С помощью представленных серверов вы сможете быстро открывать и блокировать доступ к данным, ставить рабочим группам необходимый софт, решать широкий спектр управленческих задач, обеспечить сохранность конфиденциальной информации и оптимизировать все процессы, происходящие в компании.

Обращайтесь к специалистам нашей компании – мы поможем выбрать и ввести в эксплуатацию сервер контроллера домена для удобной работы в многопользовательском режиме. Подбор серверного оборудования осуществляется нами по необходимым параметрам (мощность, технические возможности, замена компонентов, необходимость возрастания нагрузки, «узкие места») и под конкретные требования и задачи, а также по приемлемой для заказчика стоимости.

Источник