Co to jest Active Directory?
Usługi domenowe w usłudze Active Directory to serwer katalogowy Microsoft. Zapewnia mechanizmy uwierzytelniania i autoryzacji, a także strukturę, w której można wdrażać inne powiązane usługi (usługi certyfikatów AD, usługi stowarzyszone AD itp.). Jest to baza danych zgodna z LDAP, która zawiera obiekty. Najczęściej używanymi obiektami są użytkownicy, komputery i grupy. Obiekty te mogą być organizowane w jednostki organizacyjne (OU) według dowolnej liczby potrzeb logicznych lub biznesowych. Obiekty zasad grupy (GPO) można następnie połączyć z jednostkami organizacyjnymi, aby scentralizować ustawienia dla różnych użytkowników lub komputerów w organizacji.
Kiedy ludzie mówią „Active Directory”, zwykle odnoszą się do „Active Directory Domain Services”. Należy zauważyć, że istnieją inne role / produkty usługi Active Directory, takie jak usługi certyfikatów, usługi federacyjne, lekkie usługi katalogowe, usługi zarządzania prawami itp. Ta odpowiedź dotyczy w szczególności usług domenowych w usłudze Active Directory.
Co to jest domena, a co las?
Las stanowi granicę bezpieczeństwa. Obiekty w oddzielnych lasach nie mogą ze sobą współdziałać, chyba że administratorzy każdego oddzielnego lasu utworzą między nimi zaufanie . Na przykład konto Enterprise Administrator domain1.com, które jest zwykle najbardziej uprzywilejowanym kontem lasu, nie będzie miało żadnych uprawnień w drugim lesie o nazwie domain2.com, nawet jeśli lasy te istnieją w tej samej sieci LAN, chyba że istnieje zaufanie .
Jeśli masz wiele rozłącznych jednostek biznesowych lub potrzebujesz osobnych granic bezpieczeństwa, potrzebujesz wielu lasów.
Domena jest granicą zarządzania. Domeny są częścią lasu. Pierwsza domena w lesie jest znana jako domena główna lasu. W wielu małych i średnich organizacjach (a nawet w niektórych dużych) znajdziesz tylko jedną domenę w jednym lesie. Domena główna lasu określa domyślną przestrzeń nazw dla lasu. Na przykład, jeśli nazywa się pierwsza domena w nowym lesie domain1.com, to jest to domena główna lasu. Jeśli potrzebujesz biznesowej domeny, na przykład - oddziału w Chicago, możesz nazwać domenę podrzędną chi. Nazwa FQDN domeny podrzędnej tochi.domain1.com. Widać, że nazwa domeny podrzędnej była poprzedzona nazwą domeny głównej lasu. Zwykle tak to działa. Możesz mieć rozłączne przestrzenie nazw w tym samym lesie, ale to osobna puszka robaków na inny czas.
W większości przypadków będziesz chciał spróbować i zrobić wszystko, co możliwe, aby mieć jedną domenę AD. Upraszcza zarządzanie, a nowoczesne wersje AD bardzo ułatwiają przekazanie kontroli opartej na jednostce organizacyjnej, co zmniejsza zapotrzebowanie na domeny potomne.
Mogę nazwać moją domenę, co chcę, prawda?
Nie całkiem. dcpromo.exe, narzędzie, które obsługuje promocję serwera na DC, nie jest odporne na idioty. Pozwala to na podejmowanie złych decyzji dotyczących nazewnictwa, więc jeśli nie jesteś pewien, zwróć uwagę na tę sekcję. (Edycja: dcpromo jest przestarzałe w Server 2012. Użyj polecenia Install-ADDSForestcmdlet programu PowerShell lub zainstaluj AD DS z Server Manager).
Przede wszystkim nie używaj wymyślonych TLD, takich jak .local, .lan, .corp lub jakikolwiek inny badziew. Te domeny TLD nie są zastrzeżone. ICANN sprzedaje TLD teraz, więc twój mycompany.corp, którego używasz dzisiaj, może faktycznie należeć do kogoś jutro. Jeśli jesteś właścicielem mycompany.com, mądrą rzeczą do zrobienia jest użycie czegoś takiego jak internal.mycompany.comlub ad.mycompany.comdla wewnętrznej nazwy AD. Jeśli używasz mycompany.comstrony internetowej z zewnętrznym rozwiązaniem, powinieneś unikać używania jej jako wewnętrznej nazwy AD, ponieważ skończysz na DNS z dzielonym mózgiem.
Kontrolery domen i katalogi globalne
Serwer, który odpowiada na żądania uwierzytelnienia lub autoryzacji, to kontroler domeny (DC). W większości przypadków kontroler domeny przechowuje kopię wykazu globalnego . Katalog globalny (GC) to częściowy zestaw obiektów we wszystkich domenach w lesie. Można go bezpośrednio przeszukiwać, co oznacza, że zapytania między domenami można zwykle wykonywać na GC bez potrzeby odwoływania się do kontrolera domeny w domenie docelowej. Jeśli kontroler domeny jest pytany na porcie 3268 (3269, jeśli używa się protokołu SSL), to następuje sprawdzenie kwerendy GC. W przypadku zapytania o port 389 (636, jeśli używany jest SSL), używane jest standardowe zapytanie LDAP, a obiekty istniejące w innych domenach mogą wymagać odwołania .
Gdy użytkownik próbuje zalogować się do komputera podłączonego do AD przy użyciu swoich poświadczeń AD, kombinacja nazwy użytkownika i hasła z solowaniem i hasłem jest wysyłana do kontrolera domeny zarówno dla konta użytkownika, jak i konta komputera, które się logują. Tak, komputer też się loguje. Jest to ważne, ponieważ jeśli coś się stanie z kontem komputera w AD, na przykład gdy ktoś zresetuje konto lub je usunie, może pojawić się błąd, który mówi, że relacja zaufania między komputerem a domeną nie istnieje. Mimo że dane logowania do sieci są prawidłowe, komputer nie jest już zaufany, aby zalogować się do domeny.
Obawy dotyczące dostępności kontrolera domeny
Słyszę „Mam główny kontroler domeny (PDC) i chcę instalować zapasowy kontroler domeny (BDC)” znacznie częściej, niż chciałbym w to wierzyć. Koncepcja PDC i BDC umarła wraz z Windows NT4. Ostatni bastion dla kontrolerów domeny był w AD z przejściowym trybem mieszanym dla systemu Windows 2000, gdy wciąż istniały DC NT4. Zasadniczo, o ile nie obsługujesz 15-letniej instalacji, która nigdy nie była aktualizowana, tak naprawdę nie masz PDC ani BDC, po prostu masz dwa kontrolery domeny.
Wiele DC może odpowiadać na żądania uwierzytelnienia od różnych użytkowników i komputerów jednocześnie. Jeśli jedno zawiedzie, pozostałe będą nadal oferować usługi uwierzytelniania bez konieczności ustawiania jednego „podstawowego”, tak jak to miało miejsce w NT4 dniach. Najlepszą praktyką jest posiadanie co najmniej dwóch kontrolerów domeny na domenę. Te kontrolery domeny powinny przechowywać zarówno kopię GC, jak i oba serwery DNS, które przechowują kopię stref DNS zintegrowanych z usługą Active Directory również dla Twojej domeny.
Role FSMO
„Więc jeśli nie ma PDC, dlaczego istnieje rola PDC, którą może pełnić tylko jeden DC?”
Często to słyszę. Istnieje rola emulatora PDC . Różni się od bycia PDC. W rzeczywistości istnieje 5 ról elastycznych operacji pojedynczego mistrza (FSMO) . Są one również nazywane rolami wzorca operacji. Te dwa terminy są wymienne. Czym oni są i co robią? Dobre pytanie! 5 ról i ich funkcja to:
Domain Naming Master - na las jest tylko jeden Master Naming Domain. Domain Naming Master upewnia się, że kiedy nowa domena jest dodawana do lasu, jest unikalna. Jeśli serwer pełniący tę rolę jest w trybie offline, nie będzie można wprowadzać zmian w przestrzeni nazw AD, w tym np. Dodawać nowe domeny potomne.
Schema Master - W lesie jest tylko jeden Master Schema Operations Master. Jest odpowiedzialny za aktualizację schematu Active Directory. Zadania, które tego wymagają, takie jak przygotowanie AD do nowej wersji Windows Server działającej jako DC lub instalacja Exchange, wymagają modyfikacji schematu. Te modyfikacje muszą być wykonane z poziomu mistrza schematu.
Wzorzec infrastruktury - na domenę przypada jeden wzorzec infrastruktury. Jeśli masz tylko jedną domenę w lesie, tak naprawdę nie musisz się tym martwić. Jeśli masz wiele lasów, upewnij się, że ta rola nie jest sprawowana przez serwer, który jest również posiadaczem GC, chyba że każdy kontroler domeny w lesie jest GC . Wzorzec infrastruktury jest odpowiedzialny za zapewnienie, że odwołania między domenami są obsługiwane poprawnie. Jeśli użytkownik w jednej domenie zostanie dodany do grupy w innej domenie, wzorzec infrastruktury dla tych domen upewni się, że jest obsługiwany poprawnie. Ta rola nie będzie działać poprawnie, jeśli znajduje się w katalogu globalnym.
RID Master - Relative ID Master (RID Master) odpowiada za wydawanie pul RID do DC. Na domenę przypada jeden wzorzec RID. Każdy obiekt w domenie AD ma unikalny identyfikator bezpieczeństwa (SID). Składa się z kombinacji identyfikatora domeny i identyfikatora względnego. Każdy obiekt w danej domenie ma ten sam identyfikator domeny, więc identyfikator względny czyni obiekty unikalnymi. Każdy DC ma pulę względnych identyfikatorów do użycia, więc gdy DC tworzy nowy obiekt, dołącza RID, którego jeszcze nie używał. Ponieważ kontrolerom domeny wydawane są nie nakładające się pule, każdy identyfikator RID powinien pozostać unikalny przez cały okres istnienia domeny. Gdy DC znajdzie się w ~ 100 RID pozostających w swojej puli, żąda nowej puli od wzorca RID. Jeśli wzorzec RID jest w trybie offline przez dłuższy czas, tworzenie obiektów może się nie powieść.
Emulator PDC - Wreszcie dochodzimy do najbardziej niezrozumianej roli emulatora PDC. Na domenę przypada jeden emulator PDC. W przypadku nieudanej próby uwierzytelnienia jest on przekazywany do emulatora PDC. Emulator PDC działa jako „wyłącznik remisu”, jeśli hasło zostało zaktualizowane na jednym kontrolerze domeny i nie zostało jeszcze powierzone innym. Emulator PDC jest także serwerem kontrolującym synchronizację czasu w domenie. Wszystkie inne DC synchronizują swój czas z emulatorem PDC. Wszyscy klienci synchronizują swój czas z kontrolerem domeny, do którego się zalogowali. Ważne jest, aby wszystko pozostało w odległości 5 minut od siebie, w przeciwnym razie Kerberos się zepsuje, a kiedy to się stanie, wszyscy płaczą.
Ważną rzeczą do zapamiętania jest to, że serwery, na których działają te role, nie są zepsute. Zwykle przenoszenie tych ról jest trywialne, więc chociaż niektóre DC robią nieco więcej niż inne, jeśli spadną na krótki czas, wszystko zwykle będzie działać normalnie. Jeśli nie działają przez długi czas, łatwo jest w przejrzysty sposób przenieść role. Jest o wiele ładniejszy niż dni NT4 PDC / BDC, więc proszę przestań dzwonić do swoich DC przez te stare nazwiska. :)
Więc, um ... w jaki sposób DC dzielą się informacjami, jeśli mogą funkcjonować niezależnie od siebie?
Oczywiście replikacja . Domyślnie kontrolery domeny należące do tej samej domeny w tej samej witrynie będą replikować swoje dane w odstępach 15 sekund. Dzięki temu wszystko jest stosunkowo aktualne.
Istnieje kilka „pilnych” zdarzeń, które powodują natychmiastową replikację. Te zdarzenia to: Konto jest zablokowane na zbyt wiele nieudanych prób logowania, wprowadzono zmianę hasła do domeny lub zasad blokowania, zmieniono klucz tajny LSA, zmieniono hasło na koncie komputera kontrolera domeny lub przeniesiono rolę RID Master do nowego DC. Każde z tych zdarzeń spowoduje natychmiastowe zdarzenie replikacji.
Zmiany haseł mieszczą się pomiędzy pilnymi i nie pilnymi i są obsługiwane w sposób wyjątkowy. Jeśli hasło użytkownika zostanie zmienione, DC01a użytkownik spróbuje zalogować się do komputera, na którym się uwierzytelnia, DC02zanim nastąpi replikacja, można oczekiwać, że to się nie powiedzie, prawda? Na szczęście tak się nie dzieje. Załóżmy, że jest tu także trzeci DC, DC03który pełni rolę emulatora PDC. Po DC01zaktualizowaniu o nowe hasło użytkownika zmiana ta jest natychmiast replikowana DC03również. Gdy próba uwierzytelnienia DC02nie powiedzie się, DC02następnie przesyła tę próbę uwierzytelnienia do DC03, co potwierdza, że jest ona rzeczywiście dobra, a logowanie jest dozwolone.
Porozmawiajmy o DNS
DNS ma kluczowe znaczenie dla prawidłowo działającej usługi AD. Oficjalna linia firm Microsoft mówi, że każdy serwer DNS może być używany, jeśli jest poprawnie skonfigurowany. Jeśli spróbujesz użyć BIND do hostowania swoich stref AD, jesteś na haju. Poważnie. Trzymaj się korzystania ze zintegrowanych stref DNS AD i korzystaj z warunkowych lub globalnych usług przesyłania dalej dla innych stref, jeśli musisz. Wszyscy klienci powinni być skonfigurowani do korzystania z serwerów AD DNS, dlatego ważne jest, aby mieć nadmiarowość. Jeśli masz dwa kontrolery domeny, poproś, aby uruchomili DNS i skonfigurowali klientów do używania obu z nich do rozpoznawania nazw.
Będziesz także chciał się upewnić, że jeśli masz więcej niż jeden kontroler domeny, że nie wymienią się jako pierwsi w celu rozpoznania DNS. Może to prowadzić do sytuacji, w której znajdują się na „wyspie replikacji”, gdzie są odłączeni od reszty topologii replikacji AD i nie mogą się odzyskać. Jeśli masz dwa serwery DC01 - 10.1.1.1i DC02 - 10.1.1.2, to ich lista serwerów DNS powinien być skonfigurowany tak:
Serwer: DC01 (10.1.1.1)
Podstawowy DNS - 10.1.1.2
Drugi DNS - 127.0.0.1
Serwer: DC02 (10.1.1.2)
Główny DNS - 10.1.1.1
Drugi DNS - 127.0.0.1
OK, wydaje się to skomplikowane. Dlaczego w ogóle chcę korzystać z AD?
Ponieważ kiedy wiesz, co robisz, życie staje się nieskończenie lepsze. AD pozwala na centralizację zarządzania użytkownikami i komputerem, a także centralizację dostępu do zasobów i użytkowania. Wyobraź sobie sytuację, w której masz 50 użytkowników w biurze. Jeśli chcesz, aby każdy użytkownik miał własny login do każdego komputera, musisz skonfigurować 50 lokalnych kont użytkowników na każdym komputerze. Dzięki AD wystarczy tylko raz utworzyć konto użytkownika i domyślnie można zalogować się na dowolnym komputerze w domenie. Jeśli chcesz wzmocnić bezpieczeństwo, musisz to zrobić 50 razy. Coś w rodzaju koszmaru, prawda? Wyobraź sobie również, że masz udział plików, do którego chcesz dostać tylko połowę tych osób. Jeśli nie korzystasz z usługi AD, musisz ręcznie replikować nazwę użytkownika i hasło ręcznie na serwerze, aby uzyskać niewiarygodny dostęp, albo „ d muszę utworzyć wspólne konto i podać każdemu użytkownikowi nazwę użytkownika i hasło. Jeden sposób oznacza, że znasz (i musisz stale aktualizować) hasła użytkowników. Drugi sposób oznacza, że nie masz ścieżki audytu. Nie dobrze, prawda?
Możesz także korzystać z zasad grupy, jeśli masz skonfigurowane AD. Zasady grupy to zestaw obiektów połączonych z jednostkami organizacyjnymi, które definiują ustawienia dla użytkowników i / lub komputerów w tych jednostkach organizacyjnych. Na przykład, jeśli chcesz, aby „Shutdown” nie pojawił się w menu Start dla 500 komputerów laboratoryjnych, możesz to zrobić w jednym ustawieniu w zasadach grupy. Zamiast spędzać godziny lub dni na ręcznym konfigurowaniu odpowiednich wpisów rejestru, raz tworzysz obiekt zasad grupy, łączysz go z odpowiednią jednostką organizacyjną lub jednostkami organizacyjnymi i nigdy więcej nie musisz o tym myśleć. Istnieją setki obiektów zasad grupy, które można skonfigurować, a elastyczność zasad grupy jest jednym z głównych powodów dominacji Microsoft na rynku przedsiębiorstw.