Dizüstü bilgisayarlar

Yerel alan adı. Active Directory etki alanları hakkında temel bilgiler. Windows XP Professional ve Windows'un sonraki sürümleri için etki alanı denetleyicisi bulucuyu yapılandırma

Bahar geldi ve onunla birlikte bariz görünen ama aynı zamanda tasarım sırasında kritik öneme sahip olan bir soruyu yanıtlayan temel materyali doğurma arzusu arttı: Active Directory etki alanına ne isim verilmeli ki bu da bir başkasının adı olmasın. sonradan dayanılmaz derecede acı verici mi?

Bu makalede, bir Active Directory alan adı için en kötü seçeneklerden, bana göre en iyi seçeneğe kadar, üstesinden gelinebilecek zorluklara dikkat çekerek, size rehberlik etmeye çalışacağım.

Tek etiketli bir alan adı, üretim ortamında kullanıma uygun değildir ve tek doğru yol, bundan bir an önce kurtulmaktır.

Alan adında geçersiz karakterler

Örneğin, bir alt çizgi. Windows Server'ın önceki sürümleri, DNS etki alanı adı seçerken bu karaktere izin vermesine rağmen, DNS için RFC 1123 standardıyla uyumlu değildir. Windows Server'ın yeni sürümleri artık standarda aykırı etki alanlarının adlandırılmasına izin vermiyor. Alt çizgi içeren bir alan adı devralındıysa, büyük sorunlar sizi bekliyor demektir. Örneğin Exchange 2007 ve üzerini yükleyemezsiniz. Tek bir çözüm var; başka bir alana geçerek (tercih edilir) veya alanı yeniden adlandırarak (güvenli değil) alan adındaki geçersiz karakterlerden kurtulmak.

Ayrık ad alanı

Disjoint ad alanının özel durumlarından biri, alan adının Netbios adının, alan adının DNS adının en sol kısmından farklı olması durumudur.

Netbios Adı = TEST
DNS Adı = lab.site

İşlevsellik açısından bakıldığında bu yapılandırma tamamen desteklenir. Ancak yine de kafa karışıklığı ve belirsizlik yaratmamak için bundan kaçınmanızı tavsiye ederim.

.yerel veya ICANN

Birçok eğitimde şirket.local gibi alan adlarını görebilirsiniz. Aslında bu isimlerin eğitim ve test amacıyla kullanılmasında herhangi bir suç yoktur. Gerçek alan adlarının aynı şema kullanılarak adlandırılması daha kötüdür:

  • İsim, küresel DNS ideolojisine aykırıdır: diğer benzer alanlarla çakışmaların olmadığını garanti etmez (güven ilişkileri kurma zamanı geldiğinde)
  • Bu adı küresel ağdan erişim için kullanmak mümkün değildir (yayınlama zamanı geldiğinde)
  • Sahipliği doğrulanamayan bir alan adı için genel SSL sertifikası alınamaz. Bu sınırlama özellikle şirket içi ve bulut hizmetleri arasındaki sınırların bulanık olduğu bulut hizmetlerinin geliştirilmesiyle ilgilidir. Sadece bir örnek: Tek Oturum Açmanın Office 365 hizmetleriyle çalışması için genel sertifikaya sahip AD Federasyon Hizmetleri gereklidir

Bu nedenle, bir alan adını adlandırırken, yukarıda açıklanan dezavantajları ortadan kaldıracağı garanti edilen ICANN (Internet Corporation for Assigned Names and Numbers) hiyerarşisinde her zaman resmi olarak kayıtlı bir küresel ad kullanmanızı öneririm.

İnternet sitesi
argon.com.ru
irom.info

Seç veya birleştir

Adres sitesinde web sitesi bulunan ve e-posta adreslerini de aynı domainde kullanan Argon firması için bir domain yapısı tasarladığımızı düşünelim. Ancak aşağıdaki nedenlerden dolayı bunu yapmamak daha iyidir:

  • Böyle bir kuruluşun ağında tarayıcıya http://site/ adresini girersek, şirketin web sitesine değil, karşımıza çıkan ilk etki alanı denetleyicisine ulaşacağız.
  • Genel ve dahili DNS kayıtlarının yönetimi zordur: Site bölgesindeki dahili ağdan kullanılan tüm genel DNS kayıtlarının dahili DNS bölgesinde kopyalanması gerekir. Bu kayıtların senkronizasyonunu da bir şekilde sağlamak gerekiyor.

Örneğin internette www.site adlı bir web sitesi var. Dahili ağdaki kullanıcıların buna erişebilmesi için dahili DNS bölgesinde benzer bir giriş oluşturmak gerekir.

  • Dahili ve harici kaynak adları arasında çakışma olasılığı vardır.

Örneğin, ftp.site sunucusu dahili ağda yaygın olarak kullanılmaktadır. Birdenbire İnternet kullanıcılarına ftp.site ile aynı adreste bir dosya hizmeti sunma ihtiyacı doğdu. Ne oldu? Dahili kullanıcılar belirtilen adı kullanarak harici hizmete bağlanamaz...

Bu nedenle, bir Active Directory etki alanı için İnternet'teki (şirket web sitesi ve benzeri) ad alanından farklı, özel bir ad alanına sahip olmak daha iyidir. Ve burada da bir seçenek var:

  • AD için tamamen farklı bir ad kullanın (site için site, AD için argon.com.ru)
  • AD için bir alt ad kullanın (site için site, AD için lab.site)

Her iki seçenek de DNS ideolojisini karşılar ve yukarıda listelenen dezavantajlardan muaftır, ancak alt alan adına sahip ikinci seçenek, aşağıdaki bakış açılarından daha uygun olabilir:

  • kayıtlı alan adları desteği (yalnızca bir alan adının kaydı ve DNS barındırma için ödeme)
  • kayıt için güzel isimlerin mevcudiyeti (kaydolmaya gerek yoktur)
  • herkese açık SSL sertifikaları alma (hem şirketin web sitesi için hem de dahili ağ kaynaklarını yayınlarken yalnızca bir joker karakter sertifikası kullanılabilir)

Bu nedenle, AD için özel bir alan adı seçmenizi öneririm, ancak bu, kuruluşun web sitesinin alt alanı olan bir alan adıdır.

laboratuvar sitesi
corp.microsoft.com

Bölünmüş beyin

Bölünmüş beyinli DNS, kaynakları hem dahili ağda hem de İnternette yayınlamak için tek bir alan adı kullanmak anlamına gelir. Bu durumda, iç ağdaki DNS sunucuları portal.lab.site gibi adresleri sırasıyla dahili IP adreslerine, İnternet'teki genel DNS sunucuları ise harici IP'lere dönüştürür. Örnek:

DNS adı Dahili ağda İnternette
portal.lab.site 10.18.0.20 77.37.182.47
smtp.lab.site 10.18.0.40 78.107.236.18

Bölünmüş beyin sayesinde, hem iç ağdan hem de İnternet'ten kaynaklara erişim için tek adresler gibi faydalı şeyler elde edilir. Kullanıcının belgelerine ulaşabileceği portal.lab.site adresini bilmesi yeterlidir ve nerede olduğu önemli değildir: şirketin ofisinde veya otelde.

Altyapı açısından bakıldığında, dahili CA'lar tarafından verilen SSL sertifikalarında CRL veya OCSP için aynı adresin bulunması uygundur.

Bölünmüş beynin yokluğunda, dahili DNS sunucularında sözde nokta belirleme bölgeleri oluşturmak gerekli olabilir; bu tür "kesin belirleme" bölgeleri yalnızca "genel" değerleri "özel" ile değiştirmenin gerekli olduğu kayıtları içerecektir ” dahili ağın bir özelliği (“Seç veya Birleştir” başlığı altında açıklanana benzer bir durum).

Kesin bölge örneği:

DNS adı Dahili ağda İnternette
_sipinternaltls._tcp.lab.site sip.lab.site lync.argon.com.ru

Açıklayın veya özetleyin

Literatürde etki alanlarını (özellikle kökünü) Bank, Company veya Corp gibi genel bir sözcükle adlandırma konusunda tavsiyeler bulabilirsiniz. Bunun nedenleri var, çünkü günümüzde şirketler düzenli olarak birleşme, satın alma ve marka değişiklikleri yaşayabiliyor. Ve bildiğiniz gibi alan adını değiştirmek çok zordur.

Öte yandan, aynı şirket birleşme ve satın almalarında, kullanıcıların bir alan adından diğerine geçişi çok muhtemeldir. Uygulamada, Bank ile aynı adı taşıyan bir düzine alan adından kullanıcıları taşımam gereken bir durumla karşılaştım. Bildiğiniz gibi aynı isimdeki (DNS veya Netbios) domainler arasında güven ilişkisi kurmak mümkün değildir. Bu alanları yeniden adlandırmanız veya verileri iki aşamada üçüncü bir alan üzerinden taşımanız gerekecektir.

Bir alanı özel olarak adlandırmanın ve şirket yeniden adlandırıldıktan sonra eski isme devam etmenin, genel olarak adlandırıp taşıma veya güven ilişkileri kurma söz konusu olduğunda ciddi teknik sorunlarla sonuçlanmak yerine daha iyi olduğuna inanma eğilimindeyim.

Mükemmelliğe giden yolda son dokunuşlar

  • dünya çapında kayıtlı
  • adanmış (şirket web sitesi alanının alt öğesi)
  • özel
  • bölünmüş beyin kullan

laboratuvar sitesi
corp.microsoft.com

Bununla birlikte Lync'te e-posta ve SIP adresleri için daha kısa user@site adreslerinin kullanılması daha iyi olacaktır. Bizi bunu yapmaktan alıkoyan hiçbir şey yok ama sıkıntılar olacak.

Kullanıcının e-posta adresi = kullanıcı@site, oturum açma girişi = laboratuvar\kullanıcı, kullanıcı asıl adı = kullanıcı@lab.site. Burada sadece kullanıcı için değil, Outlook ve Lync gibi programlar için de kafanın karışması kolaydır.

Küçük hesap değişikliklerinden sonra kullanıcılar, e-posta adreslerine eşit bir kullanıcı asıl adına sahip olacaktır. Karışıklık daha az olacak, Lync ve Outlook gibi programlar artık kullanıcının giriş bilgilerini istemeyecek, e-posta veya SIP adresini bilmeleri yeterli olacak.

Temel çalışmalarım:

Diğer kaynaklarla ilgili makaleler:

  • Active Directory Etki Alanı Adlandırmayla İlgili Hususlar - işte Microsoft'tan kuru bir kılavuz geliyor
  • Active Directory'de bilgisayarlar, etki alanları, siteler ve kuruluş birimleri için adlandırma kuralları - alt bölüme bakın İnternete bağlı ormanlar
  • Active Directory alan adınızda neden .local kullanmamalısınız - yabancı bir meslektaşımdan benzer makale
Başlık
Etiketler
Yayınlanan

Dün düzenli okuyucumuz Andrey'den stüdyomuza şu soruyu içeren bir mektup aldık:

Blogunuzu zevkle okudum, kendim için pek çok faydalı şey öğrendim, Active Directory alan adının adı hakkındaki fikrinizi bilmek istedim, birçok kişi bunun *organizasyon*.local olarak adlandırılması gerektiğini yazıyor ve birisi de bunu yazıyor alan adıyla aynı şekilde adlandırılmalıdır.

Bir kuruluş içindeki alan adını adlandırırken kullanılacak en iyi adın ne olduğuna hızlıca bir göz atalım.

Uygulamada görüldüğü gibi, bir alan adı seçmek deneyimli bir sistem yöneticisini bile şaşırtabilir. Yardımcı programı ilk kez başlattığınızda DCpromo Alan adı otomatik ve rastgele oluşturulacaktır; eğer bu aşamada alan adı gerekli kurallara uygun hale getirilmezse ileride alan adının değiştirilmesi daha zor olacaktır. Popülerlik sırasına göre olası seçeneklere bakalım.

1. example.local adlı alan adı

Hit geçit törenimizin lideri, ile biten alan adıdır. yerel. Bu temanın başka varyasyonları da var, örneğin Ölçek, firma, fabrika, nn, yer, ve benzeri. Bugünlerde bu sevginin nereden geldiğini bile hatırlamıyorsunuz; Microsoft tüm kitaplarında hep kendi isimlerini kullanıyor: contoso.com açıkça gördüğümüz yer etki alanı adlandırma biçimi. Ancak neredeyse 10 yıldır alan adı .yerel lider konumunu işgal etti. kullanan hizmetlerin gelmesiyle durum iyileşmeye başladı. SSL sertifikaları. "Umurumda değil" alan adlarının kullanımının imkansız hale geldiği yer. Bakın, diyelim ki şirketiniz dahili olarak kullanıyor Değişim sunucusu istemci bağlantılarını şifrelemek için bir SSL sertifikası gerektirir. Senaryonuza göre bu görevi uygulamak için bir sertifikaya ihtiyacınız var harici sertifika yetkilisi, harici bağlantılar için kullanılan sunucuların tüm adlarını belirtmeniz gerekir. Görünüşe göre sorun var, tüm sunucu adlarını yazıp sertifika verilmesi için başvuruyoruz, ancak bir şey var. Böyle bir alan adı ile doğrulamayı geçemeyeceksiniz, "umurumda değil" etki alanı mevcut olmadığından ve harici bir sertifika yetkilisine, var olmayan bir etki alanının FQDN adını SAN'a koymanız gerektiğini açıklamaya çalışırsanız, geçici bir ret alırsınız:

Bu mümkün değil, yalnızca gerçek alan adları için sertifika veriyoruz.

Ama bir sorun daha var. Alan Adı Kullanımı senin değil Bir alan adında feci sonuçlara yol açabilir. Bölgenin durumunu hayal edin yerel kamu statüsüne sahip olacak. Bir bölge gibi iletişim veya ru. Daha fazla uzatmaya gerek yok sanırım :)

2. Alan adı harici alan adı ile aynıdır

Hit geçit törenimizde ikinci sırayı aldık. Böyle bir senaryo daha az popüler olmasına rağmen hala yaşam hakkına sahiptir. Yakın gelecekte ağı korurken yine de bazı sıkıntılar yaşayacağınız gerçeğinin dışında, başka hiçbir şey sizi tehdit etmiyor. Bu senaryodaki ana sorun, iki DNS sunucusuna sahip olmanız gerekmesidir: dahili ve harici. Bu koşul altında, ağ içinde bulunan bilgisayarlar adları çözümlemek için dahili DNS sunucusunu kullanacak, şirket çevresi dışındaki bilgisayarlar ise harici bir sunucu kullanacaktır. Alan adınızın gurur duyulan bir isme sahip olduğunu varsayalım example.com. İÇİNDE DMZ bulunduğunuz bölge İnternet sitesişirket adı example.com. Yukarıda anlatılan senaryoda, bilgisayarlar içeri kuruluşlar yapamayacaklar example.com'un onlar için olması nedeniyle buna erişin alan adı ve tarayıcıya bu adresi girdiğinizde şuraya gidecekler: etki alanı denetleyicisi. Yukarıda da belirttiğim gibi, rahatsızlık dışında bu hiçbir şeye yol açmayacaktır. Sizi her zaman harici bir siteye yönlendirecek koltuk değneklerini kullanabilirsiniz, ancak bunun gereksiz bir çifte iş olduğunu veya ağ içinde ile başlayan site adını kullandığını kabul edeceksiniz. www veya dışarıda.

3. Tek kelimelik alan adı

Belki de yukarıdakilerin en yanlış seçeneği. Tek düzeyli alanlar: Tek etiketli alan adı yalnızca şunu içeren bir alandır: tek bileşen. Görünüşe göre Microsoft'un Novell'in başarılı deneyimini benimsediği NT günlerinde kullanılmaya başlandı. Öyle oldu ki, başlangıçta FreeBSD'nin ve 4.11 sürümünden itibaren geniş bir NetWare sunucu filosunun yöneticisiydim ve o eski zamanlarda NetWare, çalışmalarında Bindery'yi kullanıyordu; tek seviyeli alan diyagramı Daha sonra Microsoft tarafından benimsendi.

En iyi uygulamalar

Özetlemenin zamanı geldi. Hangi alan adını kullanmalıyım? Sahip olduğunuz alan adında yalnızca üçüncü düzey alan adı. Başkalarının daha güzel alan adlarını kullanmamalısınız :-). Aşağıda böyle bir alan adının örneğini görebilirsiniz.

Kısacası AD, yayınlanan tüm kaynaklarınız için tek bir yönetim noktasına sahip olmanızı sağlar. AD, X.500 adlandırma standardını temel alır, konumu belirlemek için Etki Alanı Adı Sistemini (DNS) kullanır ve birincil protokolü olarak Basit Dizin Erişim Protokolü'nü (LDAP) kullanır.

AD, bir ağın mantıksal ve fiziksel yapısını birleştirir. AD mantıksal yapısı aşağıdaki öğelerden oluşur:

  • kuruluş birimi – genellikle şirketin yapısını yansıtan bir bilgisayar alt grubu;
  • ihtisas – ortak bir dizin veritabanını paylaşan bir grup bilgisayar;
  • etki alanı ağacı – bitişik bir ad alanını paylaşan bir veya daha fazla alan adı;
  • etki alanı ormanı – dizin bilgilerini paylaşan bir veya daha fazla ağaç.

Fiziksel yapı aşağıdaki unsurları içerir:

  • alt ağ – belirli bir IP adresi alanına ve ağ maskesine sahip bir ağ grubu;
  • alan – bir veya daha fazla alt ağ. Site, dizine erişimi yapılandırmak ve çoğaltma için kullanılır.

Dizin üç tür bilgiyi depolar: etki alanı verileri, şema verileri ve yapılandırma verileri. AD yalnızca etki alanı denetleyicilerini kullanır. Etki alanı verileri tüm etki alanı denetleyicilerine çoğaltılır. Tüm etki alanı denetleyicileri eşit haklara sahiptir; herhangi bir etki alanı denetleyicisinde yapılan tüm değişiklikler diğer tüm etki alanı denetleyicilerine kopyalanacaktır. Şema ve yapılandırma verileri, ağacın veya ormanın tüm etki alanlarında çoğaltılır. Ayrıca, tüm bireysel etki alanı nesneleri ve bazı orman nesnesi özellikleri genel kataloğa (GC) çoğaltılır. Bu, etki alanı denetleyicisinin bir ağaç veya ormana ilişkin şemayı, ağaç veya ormandaki tüm etki alanlarına ilişkin yapılandırma bilgilerini ve kendi etki alanına ilişkin tüm dizin nesnelerini ve özelliklerini depolayıp çoğalttığı anlamına gelir.

GC'nin depolandığı etki alanı denetleyicisi, orman için şema bilgilerini, ormandaki tüm etki alanları için yapılandırma bilgilerini ve ormandaki tüm dizin nesneleri için sınırlı bir özellik kümesini (yalnızca GC sunucuları arasında çoğaltılır) içerir ve çoğaltır. ve alan adınız için tüm dizin nesneleri ve özellikleri.

Etki alanı denetleyicileri farklı işlem yöneticisi rollerine sahip olabilir. İşlem yöneticisi, çok yöneticili çoğaltma modelinde gerçekleştirilmesi uygun olmayan görevleri yönetir.

Bir veya daha fazla etki alanı denetleyicisine atanabilecek beş işlem yöneticisi rolü vardır. Bazı rollerin orman düzeyinde, diğerlerinin ise etki alanı düzeyinde benzersiz olması gerekir.

Her AD ormanında aşağıdaki roller bulunur:

  • Şema yöneticisi – Dizin şeması güncellemelerini ve değişikliklerini yönetir. Bir dizin şemasını güncellemek için şema yöneticisine erişiminizin olması gerekir. Etki alanındaki şemanın şu anda hangi sunucuya ait olduğunu belirlemek için komut satırı penceresine komutu yazmanız gerekir. dsquery sunucusu -hasfsmo şeması
  • Alan adı adlandırma ustası – ormandaki etki alanlarının eklenmesini ve kaldırılmasını yönetir. Bir alan adı eklemek veya kaldırmak için alan adı adlandırma yöneticisine erişmeniz gerekir. Şu anda hangi sunucunun etki alanı adlandırma yöneticisi olduğunu belirlemek için Komut İstemi penceresine dsquery sunucusu -hasismo adını girin

Bu roller bir bütün olarak ormanın tamamı için ortaktır ve ona özgüdür.

Her AD etki alanı aşağıdaki rollere sahip olmalıdır:

  • Göreli kimlik yöneticisi – göreceli tanımlayıcıları etki alanı denetleyicilerine tahsis eder. Bir kullanıcı, grup veya bilgisayar nesnesi her oluşturulduğunda, denetleyiciler nesneye, bir etki alanı güvenlik tanımlayıcısı ve ilgili tanımlayıcı yöneticisi tarafından tahsis edilen benzersiz bir tanımlayıcıdan oluşan benzersiz bir güvenlik tanımlayıcısı atar. Hangi sunucunun ilgili etki alanı kimliklerinin yöneticisi olduğunu belirlemek için komut istemine dsquery sunucusu -hasfsmo rid komutunu girin.
  • PDC emülatörü – Karma veya ara etki alanı modunda, Windows NT ana etki alanı denetleyicisi görevi görür. Windows oturum açma işlemlerini doğrular, parola değişikliklerini yönetir ve varsa güncellemeleri BDC'ye kopyalar. Şu anda hangi sunucunun etki alanının PDC öykünücüsü olduğunu belirlemek için komut istemine dsquery sunucusu -hasfsmo pdc girin
  • Altyapı yöneticisi – katalog verilerini GC verileriyle karşılaştırarak nesne bağlantılarını günceller. Veriler güncel değilse GC'den güncellemeler ister ve bunları kalan etki alanı denetleyicilerine kopyalar. Etki alanı altyapısının şu anda hangi sunucunun yöneticisi olduğunu belirlemek için komut istemine dsquery sunucusu -hasfsmo infr komutunu girin.

Bu roller tüm etki alanı için ortaktır ve kendi içinde benzersiz olmalıdır.

İşlem yöneticisi rolleri, etki alanındaki ilk denetleyiciye otomatik olarak atanır ancak daha sonra sizin tarafınızdan yeniden atanabilir. Bir etki alanında yalnızca bir denetleyici varsa, tüm işlem yöneticisi rollerini aynı anda gerçekleştirir.

Şema yöneticisi ve etki alanı adlandırma yöneticisi rollerinin ayrılması önerilmez. Mümkünse bunları aynı etki alanı denetleyicisine atayın. Maksimum verimlilik için, ilgili ID ana biriminin ve PDC öykünücüsünün de aynı denetleyici üzerinde olması arzu edilir, ancak bu roller gerekirse ayrılabilir. Ağır yüklerin performansı düşürdüğü büyük bir ağda, ilgili ID yöneticisi ve PDC öykünücüsü farklı denetleyicilere yerleştirilmelidir. Ayrıca, altyapı yöneticisinin genel kataloğun depolandığı etki alanı denetleyicisinde barındırılması önerilmez.

Active Directory Kurulum Sihirbazı'nı kullanarak Windows Server 2003 tabanlı etki alanı denetleyicisini (DC) yükleme

Etki alanı denetleyicisi, Active Directory Kurulum Sihirbazı kullanılarak yüklenir. Bir sunucuyu etki alanı denetleyicisine yükseltmek için gerekli tüm gereksinimlerin karşılandığından emin olmalısınız:

  1. Sunucunun, SYSVOL sistem birimini barındırabilmesi için en az bir NTFS bölümü olması gerekir.
  2. Sunucunun DNS sunucusuna erişimi olmalıdır. DNS hizmetinin aynı sunucuya kurulması tavsiye edilir. Ayrı bir sunucu kullanılıyorsa Hizmet Konumu kaynak kayıtlarını (RFC 2052) ve Dinamik Güncelleştirmeler protokolünü (RFC 2136) desteklediğinden emin olmalısınız.
  3. Sunucuda yerel yönetici haklarına sahip bir hesabınızın olması gerekir.

Bir sunucunun rolünü adım adım Active Directory etki alanı denetleyicisine yükseltmeye daha yakından bakalım:

Active Directory Etki Alanı Yönetimi Temelleri

Microsoft Yönetim Konsolu (MMC) ek bileşenindeki bir dizi araç, Active Directory ile çalışmayı kolaylaştırır.

Active Directory Kullanıcıları ve Bilgisayarları ek bileşeni, dizin bilgilerini yönetmek ve yayınlamak için kullanabileceğiniz bir MMC'dir. Active Directory'nin ana yönetim aracıdır ve kullanıcılar, gruplar ve bilgisayarlarla ilgili tüm görevleri gerçekleştirmek ve ayrıca kuruluş birimlerini yönetmek için kullanılır.

Ek bileşeni (Active Directory Kullanıcıları ve Bilgisayarları) başlatmak için Yönetimsel Araçlar menüsünde aynı adlı komutu seçin.

Varsayılan olarak Active Directory Kullanıcıları ve Bilgisayarları konsolu, bilgisayarınızın ait olduğu etki alanıyla çalışır. Bu etki alanındaki bilgisayar ve kullanıcı nesnelerine konsol ağacı aracılığıyla erişebilir veya başka bir etki alanına bağlanabilirsiniz. Aynı konsoldaki araçlar, ek nesne parametrelerini görüntülemenize ve bunları aramanıza olanak tanır.

Etki alanına erişim sağladıktan sonra standart bir klasör kümesi göreceksiniz:

  • Kayıtlı Sorgular (Kayıtlı sorgular) – Active Directory'de daha önce gerçekleştirilen bir aramayı hızlı bir şekilde tekrarlamanıza olanak tanıyan kayıtlı arama kriterleri;
  • yerleşik – yerleşik kullanıcı hesaplarının listesi;
  • Bilgisayarlar – bilgisayar hesapları için varsayılan kapsayıcı;
  • Etki Alanı Denetleyicileri – etki alanı denetleyicileri için varsayılan kapsayıcı;
  • Dış Güvenlik Müdürleri – güvenilir bir harici etki alanındaki nesneler hakkında bilgi içerir. Genellikle bu nesneler, harici bir etki alanından bir nesne geçerli etki alanı grubuna eklendiğinde oluşturulur;
  • Kullanıcılar – kullanıcılar için varsayılan kapsayıcı.

Bazı konsol klasörleri varsayılan olarak görüntülenmez. Bunları görüntülemek için Görünüm menüsünden Gelişmiş Özellikler'i seçin. Bunlar ek klasörlerdir:

  • Kayıp eşya bürosu – kayıp sahibi, katalog nesneleri;
  • NTDS Kotaları – rehber hizmeti kotalarına ilişkin veriler;
  • Program verisi – Microsoft uygulamalarına yönelik dizin hizmetinde saklanan veriler;
  • Sistem – yerleşik sistem parametreleri.

AD ağacına kuruluş birimlerine ilişkin klasörleri bağımsız olarak ekleyebilirsiniz.

Etki alanı kullanıcı hesabı oluşturma örneğine bakalım. Bir kullanıcı hesabı oluşturmak için, kullanıcı hesabını yerleştirmek istediğiniz kapsayıcıya sağ tıklayın, içerik menüsünden Yeni'yi ve ardından Kullanıcı'yı seçin. Yeni Nesne – Kullanıcı sihirbazı penceresi açılacaktır:

  1. Kullanıcının adını, adının baş harfini ve soyadını uygun alanlara girin. Kullanıcınızın görünen adını oluşturmak için bu bilgiye ihtiyacınız olacak.
  2. Tam adınızı düzenleyin. Alan adı içinde benzersiz olmalı ve 64 karakterden uzun olmamalıdır.
  3. Oturum açma adınızı girin. Hesabın ilişkilendirileceği alanı seçmek için açılır listeyi kullanın.
  4. Gerekirse, Windows NT 4.0 veya daha eskisini çalıştıran sistemlerde oturum açma kullanıcı adınızı değiştirin. Varsayılan olarak kullanıcının tam adının ilk 20 karakteri, Windows'un önceki sürümlerini çalıştıran sistemlerde oturum açma adı olarak kullanılır. Bu adın alan adı içinde de benzersiz olması gerekir.
  5. Tıklamak Sonraki. Kullanıcıya bir şifre verin. Ayarları şifre politikanıza uygun olmalıdır;
    Şifreyi Onayla – girilen şifrenin doğruluğunu onaylamak için kullanılan alan;
    Kullanıcı bir sonraki oturum açışında parolayı değiştirmeli(Sonraki oturum açmada parola değişikliğini zorunlu kıl) – bu onay kutusu seçilirse, kullanıcının bir sonraki oturum açmada parolayı değiştirmesi gerekecektir;
    Kullanıcı şifreyi değiştiremez – bu onay kutusu işaretlenirse kullanıcı şifreyi değiştiremez;
    Parolanın süresi hiçbir zaman dolmaz – Bu onay kutusu seçilirse, bu hesabın parolasının süresi hiçbir zaman dolmaz (bu ayar, etki alanı hesap ilkesini geçersiz kılar);
    Hesap devre dışı bırakıldı - Bu onay kutusu işaretlenirse hesap devre dışı bırakılır (bu seçenek, birisinin hesabı kullanmasını geçici olarak devre dışı bırakmak için kullanışlıdır).

Hesaplar, kullanıcı iletişim bilgilerinin yanı sıra çeşitli etki alanı gruplarına katılım, profil yolu, oturum açma komut dosyası, ana klasör yolu, kullanıcının etki alanında oturum açmasına izin verilen bilgisayarların listesi vb. hakkındaki bilgileri saklamanıza olanak tanır.

Oturum açma komut dosyaları, sistemde her oturum açtığınızda yürütülen komutları tanımlar. Sistem saatini, ağ yazıcılarını, ağ sürücülerine giden yolları vb. yapılandırmanıza olanak tanırlar. Komut dosyaları, komutları bir kez çalıştırmak için kullanılır ve komut dosyaları tarafından belirlenen ortam ayarları daha sonra kullanılmak üzere kaydedilmez. Oturum açma komut dosyaları, .VBS, .JS ve diğerleri uzantılı Windows komut dosyası sunucusu dosyaları, .BAT uzantılı toplu iş dosyaları, .CMD uzantılı toplu iş dosyaları, .EXE uzantılı programlar olabilir.

Kullanıcı dosyalarını depolamak ve geri yüklemek için her hesaba kendi ana klasörünü atayabilirsiniz. Çoğu uygulama, dosya açma ve kaydetme işlemleri için varsayılan olarak ana klasörü açarak kullanıcıların verilerini bulmasını kolaylaştırır. Komut satırında ana klasör, başlangıç ​​geçerli dizinidir. Ana klasör, kullanıcının yerel sabit sürücüsünde veya paylaşılan bir ağ sürücüsünde bulunabilir.

Grup ilkeleri etki alanı bilgisayarına ve kullanıcı hesaplarına uygulanabilir. Grup İlkesi, yöneticilere kullanıcıların ve bilgisayarların ayrıcalıkları, izinleri ve yetenekleri üzerinde merkezi kontrol sağlayarak yönetimi basitleştirir. Grup İlkesi şunları yapmanıza olanak tanır:

  • Belgelerim gibi merkezi olarak yönetilen özel klasörler oluşturun;
  • Windows bileşenlerine, sistem ve ağ kaynaklarına, kontrol paneli araçlarına, masaüstüne ve Başlat menüsüne erişimi kontrol etmek;
  • bir görevi belirli bir zamanda tamamlamak için kullanıcı ve bilgisayar komut dosyalarını yapılandırmak;
  • Parolalar ve hesap kilitlemeler, denetim, kullanıcı hakları atamaları ve güvenlik için ilkeleri yapılandırın.

Kullanıcı hesaplarını ve gruplarını yönetme görevlerine ek olarak başka birçok etki alanı yönetimi görevi de vardır. Diğer araçlar ve uygulamalar bu amaca hizmet eder.

Teçhizat Active Directory Etki Alanları ve Güvenleri(Active Directory - etki alanları ve güven), etki alanları, etki alanı ağaçları ve etki alanı ormanlarıyla çalışmak için kullanılır.

Teçhizat Active Directory Siteleri ve Hizmetleri(Active Directory - siteler ve hizmetler), siteleri ve alt ağları ve ayrıca siteler arası çoğaltmayı yönetmenize olanak tanır.

AD nesnelerini yönetmek için çok çeşitli yönetim görevlerini gerçekleştirmenize olanak tanıyan komut satırı araçları vardır:

  • Dsadd – Active Directory'ye bilgisayarlar, kişiler, gruplar, kuruluş birimleri ve kullanıcılar ekler. Yardım bilgisi için dsadd /? yazın. , örneğin dsadd bilgisayar/?
  • Dsmod – Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, kuruluş birimlerinin, kullanıcıların ve sunucuların özelliklerini değiştirir. Yardım bilgisi için dsmod /? yazın. , örneğin dsmod sunucusu /?
  • Dsmove – Tek bir nesneyi etki alanı içinde yeni bir konuma taşır veya nesneyi taşımadan yeniden adlandırır.
  • Dsget – Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, kuruluş birimlerinin, kullanıcıların, sitelerin, alt ağların ve sunucuların özelliklerini görüntüler. Yardım bilgisi için dsget /? yazın. , örneğin dsget alt ağı /?
  • Sorgulama – belirtilen kriterlere göre Active Directory'deki bilgisayarları, kişileri, grupları, kuruluş birimlerini, kullanıcıları, siteleri, alt ağları ve sunucuları arar.
  • Dsrm – Active Directory'den bir nesneyi siler.
  • Ntdsutil – bir site, etki alanı veya sunucu hakkındaki bilgileri görüntülemenize, işlem yöneticilerini yönetmenize ve Active Directory veritabanını korumanıza olanak tanır.

Ayrıca Active Directory destek araçları da vardır:

  • LDP – Active Directory Yönetimi'nde LDAP protokolünü kullanarak işlemleri gerçekleştirir.
  • Yanıt – Çoğaltmayı yönetir ve sonuçlarını grafiksel bir arayüzde görüntüler.
  • Dsacl'ler – Active Directory nesneleri için ACL'leri (erişim kontrol listeleri) yönetir.
  • Dfsutil – Dağıtılmış Dosya Sistemini (DFS) yönetir ve işleyişine ilişkin bilgileri görüntüler.
  • Dnscmd – Sunucuların, bölgelerin ve DNS kaynak kayıtlarının özelliklerini yönetir.
  • Taşı ağacı – Nesneleri bir alandan diğerine taşır.
  • Repadmin – Çoğaltmayı yönetir ve sonuçlarını komut satırı penceresinde görüntüler.
  • Sdcbeck – Erişim kontrol listelerinin dağıtımını, çoğaltılmasını ve devralınmasını analiz eder.
  • Kaldırımda yürüyen – Geçmişte taşınan, silinen veya sahipsiz kalan hesaplara ait olan nesneler için ACL'leri ayarlar.
  • Netdom – Etki alanlarını ve güven ilişkilerini komut satırından yönetmenize olanak tanır.

Bu makaleden de görebileceğiniz gibi, bilgisayar gruplarını Active Directory tabanlı etki alanlarında birleştirmek, etki alanı bilgisayarının ve kullanıcı hesaplarının yönetimini merkezileştirerek yönetim görevlerinin maliyetlerini önemli ölçüde azaltabilir ve ayrıca kullanıcı haklarını, güvenliği ve yönetimi esnek bir şekilde yönetmenize olanak tanır. diğer birçok parametre. Alanların organizasyonuna ilişkin daha ayrıntılı materyaller ilgili literatürde bulunabilir.

Bir alan adı seçmek zor bir iş değildir, ancak hayatın gösterdiği gibi, çoğu zaman dcpromo'yu çalıştırdıktan sonra alan adı rastgele oluşturulur. Görünüşe göre hiçbir sorun yok, alan adı çalışıyor, yazıcılar yazdırıyor, 1C açılıyor. Ancak ne yazık ki, rastgele bir isim oluşturmanın sizin için işe yaramaması durumunda kesinlikle sorun yaratacağı bazı durumlar vardır. Bu kısa yazıda alan adlarınıza ne isim vermemeniz gerektiğini ve neden bundan bahsetmeye çalışacağım. Bilgiler iyi bilinmesine rağmen gerçek hayat, isimlendirme hatalarının yaygın olduğunu göstermektedir. Ve bir alanı yeniden adlandırma prosedürü bir BT-sadomaso olduğundan, her şeyi baştan doğru yapmak daha iyidir.

1. Birinci durum. Alan adı – alan adı.local

Muhtemelen en yaygın seçenek, .local uzantısını veya IANA tarafından kullanılmayan herhangi bir üst düzey alan adını kullanmaktır. (la.msk veya.test veya.loc vb.) Artık nereden geldiğini söylemek zor, birkaç seçenek var. Biri, 2000 yılında AD'nin bir konferansta bir gösteride yer aldığında konuşmacının böyle bir alan oluşturduğunu söylüyor.
İnsanlar bunu bir eylem çağrısı olarak algıladılar. İkinci hipotez, birinciyi dışlamasa da, büyük olasılıkla MSFT'nin kendisinin literatürde açıkça bir öneri yazdığı ve ardından .local'in halka gittiği gerçeğine yöneliyor. Bu seçenek neden kötü?

Birkaç senaryo var ama ben size en acı olanları anlatacağım. Kuruluşunuza, istemci bağlantılarını şifrelemek için bir sertifika gerektiren Exchange Server'ı yüklediğinizi varsayalım. Bir ticaret merkezinden sertifika istiyorum, her şey insanlarda olduğu gibi. Doğal olarak sertifika, sunucuya erişilebilecek tüm sunucu adlarını belirtmelidir. Ve eğer harici etki alanı bize aitse ve doğrulamayı kolayca geçebiliyorsa, o zaman super-firma.moscow dahili etki alanı mevcut değildir ve sertifika yetkililerine FQDN'yi SAN değişimine doldurmanız gerektiğini açıklamaya çalıştığınızda .super-firma.moscow'da şu cevabı alacaksınız:

Bu mümkün değil, yalnızca gerçek alan adları için sertifika veriyoruz.

Şu anda Comodo Sertifika Yetkilisi, bir sertifikanın SAN'ına her türlü müstehcen kelimeyi doldurmanıza izin veriyor, bu da sertifika sağlayıcı seçimini önemli ölçüde daraltıyor ve gelecekte buna izin vereceklerinin garantisi yok.

2. İkinci durum. AD etki alanı adı, harici İnternet etki alanı adıyla aynıdır.

Bu da yaygın bir seçenektir ancak sertifikalarda sorun yaşanmayacaktır. Ancak isim çözümlemesinde sorunlar var. Bu, harici ve dahili DNS sunucularının birbirine bağlı olmadığı ancak aynı zamanda aynı adlara sahip ilgisiz bölgelere hizmet verdiği bir durumla sonuçlanır. Böyle bir durumda, her dahili sunucu mantıksal olarak kendisini bölge için yetkili kabul eder ve herhangi bir ana bilgisayar hakkında bilgisi yoksa yetkili olarak şunu beyan eder - HAYIR! Bazı dış kaynaklarınız, en yaygın web siteleriniz olduğundan, doğal olarak A tipi kayıtlar harici DNS sunucusundaki bölgeye eklenir. Artık dahili bir istemci, harici bir kaynağın adını çözmeye çalıştığında, isteği dahili DNS sunucusuna gidecek (tabii ki bu bir etki alanı istemcisi) ve "Bilmiyorum, öyle bir şey yok" şeklinde yanıt verecektir. şey ve onu aramanıza gerek yok” çünkü bu bölge için yetkili sunucu olduğunu görüyor.

Bu sorunu çözmek için harici kayıtları iki bölgeye kaydetmeniz gerekecek ve bu kaçınılmaz olarak kafa karışıklığına ve ek rutine yol açacaktır. Bu sizi rahatsız etmiyorsa bu senaryoda dahili kullanıcıların kurumsal web sitesini www öneki olmadan açmasına izin vermeyi deneyin. Genel olarak bu kötü bir seçenektir ve kullanılmamalıdır.

Kendi iç alanlarına başkalarının ünlü kamu alan adlarını veren yöneticilere özel selamlar. Bu durumda ne tür hemoroidiniz olduğunu açıklamaya gerek yok sanırım.

3. Durum üç. Tek kelimeden oluşan düz alan adı.

Eğer ilk iki seçenek hala geçerliyse, düz alan adları için idari cezalar uygulamanın zamanı gelmiştir. Tek etiketli alan adı (tek seviyeli alan adı, SLD), yalnızca bir nominal bileşen içeren bir alandır. Bunları kullanma çılgınlığının nereden geldiğini bilmiyorum ama SLD alan adlarının BT altyapıları oluşturulurken kullanılmaması gerektiği uzun süredir resmi olarak kabul ediliyor.

Aynı zamanda bu bilgi o kadar Kanada akordeonudur ki, SLD alan adlarının nereden geldiği ancak merak edilebilir. http://support.microsoft.com/kb/300684.

Tehdit nedir? Bu yapılandırma için Microsoft ürünlerinden destek eksikliği. Tazeden. Exchange 2010 SP1'i düz adlı bir etki alanına yüklemeyi deneyin ve bu yapılandırmanın artık desteklenmediğini belirten bir ileti alın.

Bir alan adını doğru şekilde nasıl adlandırabilirim?

Cevap basit. Tutarlı bir ad alanı oluşturun. Yani gerçek dünyada bir site etki alanına sahip olmak, Active Directory etki alanını corp.site gibi bir alt etki alanı haline getirir. Bu durumda tüm sorunlar ortadan kalkar. Ayrıca bir alt alan adının DNS'sini harici bir DNS sunucusuna devretmeye de gerek yoktur. Ancak bunu yaparsanız her iki yönde de ad çözümlemesi elde edebilirsiniz. (harici adların dahili ağından, dahili adların internetinden)

Başlangıçta "iyi" bir bağlantı olduğunu düşünmeyenler için: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Bu çalışmayı okuyarak iyi akşamlar dilerim.

MCP/MCT İlya Rud