Todo sobre sintonización de coches

Introducción Dominio de Active Directory: esas simples palabras, descripciones y revisiones, ¿qué significa Active Directory?

Cada usuario de computadora respetante tenía que conectar una impresora a una computadora al menos una vez en su vida, quizás no tenga a nadie, sino que le pida a esto hacer vecinos o amigos. Y estuvo de acuerdo, aunque nunca se enfrentó antes con este procedimiento. En el nivel físico, hiciste todo bien, pero al tratar de imprimir algo, el sistema emite el error "Active Directory Dominio Services ahora no está disponible". Qué hacer en esta situación, probablemente no lo sepas. Este artículo está diseñado para ayudarlo con esto.

Las razones para las que la impresora no funciona.

Una de las razones más probables: el servicio especial no se está ejecutando, lo que se aplica solo a la impresora "Active Directory", así como el despachador de la cola asociado. A veces, especialmente en dispositivos antiguos, este servicio debe lanzarse de forma independiente, manualmente. Otra razón es el controlador de la impresora, se pueden instalar incorrectas debido a que no se inician los servicios relevantes.

Es importante prestar atención al propio sistema operativo. Para los dispositivos conectados, tiene algún software que proporciona trabajo con dispositivos específicos, en nuestro caso con una impresora. Y también revise la propia computadora y sus puertos USB para el rendimiento.

Ajusta la impresora correctamente

Pocas personas leen las instrucciones, cómo conectar o instalar nuevos equipos correctamente, antes de hacerlo. Muchos están tratando de hacer frente a su intuición e autoconfianza innecesaria. Y a las instrucciones, generalmente recurren cuando aparece, por ejemplo, el error de Servicios de dominio de Active Directory no está disponible ahora. Aprendamos del proveedor de Windows - Microsoft, cómo agregar una impresora a los dispositivos del sistema operativo.


Eliminar el error "Los servicios de dominio no están disponibles" en la impresora

Antes de lidiar con el error de Active Directory, asegúrese de que los puertos en los que conecte la impresora, en condiciones de trabajo, así como el cable, con el que se conecta el dispositivo a la computadora. Debe asegurarse y en el rendimiento del propio dispositivo. Si tiene la oportunidad, conecte otra impresora a su computadora, prolonga de un vecino o amigos. En cualquier caso, debe estar 100% seguro de que los dispositivos de reparación no necesitan un problema al nivel del programa.


Incluir servicios de Active Directory

Para eliminar nuestro problema "Los servicios de dominio de Active Directory ahora no están disponibles" Es posible que deba habilitar o reiniciar ciertos servicios para que la impresora se haya ganado. Para esto:

  1. Abra el panel de control (presione el PCM en el icono de Inicio y seleccione entre la lista).
  2. A continuación, encuentre la sección "Administración". Seleccione de la lista "Servicios".
  3. Aquí se encuentran en la lista de Servicio " Ajuste automático Dispositivos de red. " Selecciónelo y si está deshabilitado, encienda, de lo contrario, reinicie haciendo clic en las propiedades "Deshabilitar", "Habilitar".
  4. Las mismas acciones deben realizarse para los siguientes servicios: "Administrador de conexiones automáticas acceso remoto"," Administrador de dispositivos local "," Gerente local de sesión ".

Al estar familiarizado con las pequeñas empresas desde adentro, siempre estuve interesado en las siguientes preguntas. Explique por qué el empleado debe usar el navegador en la computadora de trabajo que A Sysadmina le guste? O tomar cualquier otro software, por ejemplo, el mismo archivador, cliente de correo electrónico, mensajería instantánea del cliente ... Esto está insinuando suavemente por la estandarización, y no en los signos de simpatía personal del Sysadmin, sino en los signos de la adecuación de la Funcionalidad, el costo de mantenimiento y soporte de estos productos de software. Vamos a empezar a considerarlo ciencia precisaY no la artesanía cuando todos hacen la forma en que resulta. Nuevamente, con esto en una pequeña empresa, también hay muchos problemas. Imagina que la compañía en un momento difícil de crisis cambia a varios administradores, que en tal situación para hacer a los usuarios pobres? ¿Constantemente entrenando?

Veamos al otro lado. Cualquier líder debe entender que ahora ha estado ocurriendo en la compañía (incluyéndolo). Esto es necesario para rastrear la situación actual, para una pronta respuesta a la aparición de varios tipos de problemas. Pero esta comprensión es más importante para la planificación estratégica. Después de todo, tener una base sólida y confiable, podemos construir una casa para 3 pisos o 5, hacer un techo de diferentes formas, hacer balcones o un jardín de invierno. Además, en él, tenemos una base confiable: podemos usar más productos y tecnologías más complejos para resolver tareas comerciales.

En el primer artículo y se discutirá sobre tal Fundación - Servicios de Active Directory. Son ellos los que están diseñados para convertirse en una base sólida de la infraestructura de TI de la compañía de cualquier tamaño y cualquier actividad. ¿Lo que es? Aquí vamos a hablar de ello y hablar ...

Y la conversación comenzará con conceptos simples: servicios de dominio y activo.

Dominio - Esta es la principal unidad administrativa en la infraestructura de red de la empresa, que incluye todos los objetos de red, como usuarios, computadoras, impresoras, recursos compartidos y mucho más. Una combinación de tales dominios se llama bosque.

Servicios de Active Directory (Servicios de catálogo activos) Presente una base de datos distribuida que contenga todos los objetos de dominio. El entorno de dominio de Active Directory es un punto único de autenticación y autorización de usuarios y aplicaciones en toda la empresa. Es de la organización del dominio y la implementación de servicios Active Directory comienza a construir una infraestructura de TI de la empresa.

La base de datos de Active Directory se almacena en servidores dedicados: controladores de dominio. Los servicios de Active Directory son la función de los sistemas operativos del servidor Microsoft Windows Server. Los servicios de Active Directory tienen amplias opciones de escala. En el Forest Active Directory, se pueden crear más de 2 mil millones de instalaciones, lo que le permite implementar servicios de directorios en empresas con cientos de miles de computadoras y usuarios. La estructura jerárquica de los dominios le permite escalar de manera flexible la infraestructura de TI en todas las sucursales y las divisiones regionales de las empresas. Para cada sucursal o división de la empresa, se puede crear un dominio separado, con sus propios políticos, sus usuarios y grupos. La autoridad administrativa para los administradores de sistemas locales puede ser delegada para cada dominio subsidiario. Al mismo tiempo, los dominios de la hija son obedecidos por el padre.

Además, los servicios de Active Directory le permiten personalizar la relación fiduciaria entre los bosques de dominio. Cada compañía tiene su propio bosque de dominios, cada uno de los cuales tiene sus propios recursos. Pero a veces es necesario proporcionar acceso a sus recursos corporativos a los empleados de otra compañía, trabajar con documentos comunes y aplicaciones en el marco del proyecto conjunto. Con este fin, las relaciones de confianza se pueden configurar entre bosques de organizaciones, lo que permitirá a los empleados de una organización iniciar sesión en el dominio de otro.

Para garantizar la tolerancia a la falla de los servicios de Active Directory, debe implementar dos o más controladores de dominio en cada dominio. Existe una replicación automática de todos los cambios entre los controladores de dominio. En el caso de una falla de uno de los controladores de dominio, el rendimiento de la red no se rompe, porque el resto continúa funcionando. Un nivel adicional de tolerancia a fallas proporciona la ubicación de los servidores DNS en los controladores de dominio en Active Directory, lo que permite que cada dominio obtenga varios servidores DNS que sirven a la zona principal de dominio. Y en caso de un fracaso de uno de los servidores DNS, el resto continuará funcionando. Seguiremos hablando sobre el papel y la importancia de los servidores DNS en la infraestructura de TI en uno de los artículos del ciclo.

Pero estos son todos los aspectos técnicos de la implementación y el mantenimiento del desempeño de los servicios de Active Directory. Hablemos de las ventajas que recibe la compañía, rechazando una red de igual a igual utilizando grupos de trabajo.

1. Punto de autenticación individual

En el grupo de trabajo en cada computadora o servidor tendrá que agregar manualmente lista llena Usuarios que necesitan acceso a la red. Si de repente, uno de los empleados quiere cambiar su contraseña, deberá cambiarse en todas las computadoras y servidores. Bueno, si la red consta de 10 computadoras, pero si son más? Cuando se utiliza el dominio de Active Directory, todas las cuentas de usuario se almacenan en una sola base de datos, y todas las computadoras se dirigen a ella para la autorización. Todos los usuarios de dominio están incluidos en los grupos relevantes, como "contabilidad", "Departamento Financiero". Es suficiente hacer permisos una vez para ciertos grupos, y todos los usuarios recibirán el acceso adecuado a los documentos y aplicaciones. Si la empresa viene nuevo empleadoPara él, se crea una cuenta, que se incluye en el grupo apropiado, el empleado obtiene acceso a todos los recursos de la red, a la que se debe permitir el acceso. Si se descarta un empleado, es suficiente para bloquear, y perderá inmediatamente el acceso a todos los recursos (computadoras, documentos, aplicaciones).

2. PUNTOS DE GESTIÓN DE POLÍTICAS UNIFICADAS

En el grupo de trabajo, todas las computadoras son iguales. Ninguna de las computadoras puede administrar a otros, es imposible monitorear el cumplimiento de las políticas uniformes, las reglas de seguridad. Cuando se utiliza un único directorio de Active Directory, todos los usuarios y computadoras están distribuidos jerárquicamente por unidades organizativas, cada una de las cuales utiliza políticas de grupo uniformes. Los políticos le permiten establecer configuraciones de uniformes y configuraciones de seguridad para un grupo de computadoras y usuarios. Al agregar una nueva computadora o usuario al dominio, recibe automáticamente la configuración que coinciden con los estándares corporativos aceptados. Usando las políticas, puede asignar centralmente impresoras de red a los usuarios, configurar las aplicaciones necesarias, configurar la configuración de seguridad del navegador, configurar aplicaciones de Microsoft Office.

3. Mayor seguridad de la información.

El uso de los servicios de Active Directory mejora significativamente la seguridad de la red. Primero, este es un almacenamiento único y protegido de cuentas. En el entorno de dominio, todas las contraseñas de los usuarios de dominio se almacenan en servidores de controladores de dominio dedicados, que generalmente están protegidos contra el acceso externo. En segundo lugar, cuando se usa un entorno de dominio para la autenticación, se utiliza el protocolo Kerberos, que es significativamente más seguro que NTLM, utilizado en grupos de trabajo.

4. Integración con aplicaciones y equipos corporativos.

La gran ventaja de los servicios de Active Directory es el cumplimiento estándar LDAP, que es compatible con otros sistemas, como servidores de correo (Exchange Server), servidores proxy (servidor ISA, TMG). Y esto no es necesariamente productos de Microsoft. La ventaja de dicha integración es que el usuario no necesita recordar. un gran número de Inicio de sesión y contraseñas Para acceder a una u otra aplicación, en todas las aplicaciones, el usuario tiene las mismas credenciales: su autenticación se produce en el directorio de Active Directory unificado. El servidor de Windows para integrar con Active Directory proporciona un protocolo RADIUS, que es compatible con una gran cantidad de equipos de red. Por lo tanto, es posible, por ejemplo, garantizar la autenticación de los usuarios de dominios cuando se conecte a través de VPN desde el exterior, el uso de puntos de acceso Wi-Fi en la empresa.

5. Almacenamiento de configuración de aplicación unificada

Algunas aplicaciones almacenan su configuración en Active Directory, como Exchange Server. Implementar el servicio de directorio de Active Directory es un requisito previo para la operación de estas aplicaciones. Almacenamiento de la configuración de las aplicaciones en el servicio de directorio es ventajoso desde el punto de vista de la flexibilidad y la confiabilidad. Por ejemplo, en el caso de una falla completa del servidor de Exchange, toda su configuración permanecerá intacta. Para restaurar la salud del correo corporativo, será suficiente para reinstalar el servidor de Exchange en el modo de recuperación.

Summing Up, quiero enfocarme una vez más en el hecho de que los servicios de Active Directory son el corazón de la infraestructura de TI de la empresa. En caso de fallo, toda la red, todos los servidores, el trabajo de todos los usuarios estarán paralizados. Nadie puede ingresar a la computadora, acceder a sus documentos y aplicaciones. Por lo tanto, el servicio de directorio debe ser diseñado y desplegado cuidadosamente, teniendo en cuenta todos los matices posibles, por ejemplo, el ancho de banda de canal entre las sucursales u oficinas de la empresa (a partir de esto depende directamente la velocidad de inicio de sesión del usuario al sistema, así como el intercambio de datos entre los controladores de dominio).

Active Directory: Servicio de directorio de Microsoft Catalog para Windows NT Family.

Este servicio permite a los administradores usar políticas de grupo para garantizar la uniformidad de la configuración del entorno de trabajo de usuario, el software de instalación, las actualizaciones, etc.

¿Cuál es la esencia del trabajo de Active Directory y qué tareas decide ella? Sigue leyendo.

Principios de la organización de redes de igual a hombre y multipart.

Pero surge otro problema que si el usuario User2 en PC2 decide cambiar su contraseña? Luego, si el usuario de User1 cambiará la contraseña de la cuenta, el acceso a User2 al RS1 será imposible para el recurso.

Otro ejemplo: Tenemos 20 estaciones de trabajo con las 20º cuentas que queremos proporcionar acceso a alguien, ya que debemos crear 20 cuentas en el servidor de archivos y proporcionar acceso al recurso requerido.

¿Y si no hay 20 a 200?

A medida que entiende la administración de la red, con este enfoque, se convierte en una presión arterial de tono.

Por lo tanto, el enfoque que utiliza grupos de trabajo es adecuado para pequeñas redes de oficina con un número de PC de no más de 10 unidades.

Si hay más de 10 estaciones de trabajo en la cuadrícula, el enfoque se justifica racionalmente, en el que un nodo de la red delega los derechos de autenticación y autorización.

Este nodo es el controlador de dominio - Active Directory.

Controlador de dominio

El controlador almacena la base de datos de la cuenta, es decir,. Tiendas de cuenta y para PC1 y para PC2.

Eso es cuentas Estamos prescritos una vez en el controlador, y la necesidad de cuentas locales pierde su significado.

Ahora que el usuario ingresa a la PC, ingresando su nombre de usuario y contraseña, estos datos se transmiten en forma cerrada al controlador de dominio, que realiza procedimientos de autenticación y autorización.

Después de que el controlador emite al usuario que haya aportado, algo así como un pasaporte con el que funciona en el futuro y que coloca a solicitud de otras computadoras de la cuadrícula, servidores a cuyos recursos quiere conectarse.

¡Importante! El controlador de dominio es una computadora con un servicio de Active Directory recaudado, que administra el acceso del usuario a los recursos de la red. Almacena los recursos (por ejemplo, impresoras, carpetas compartidas), servicios (por ejemplo, correo electrónico), personas (cuentas de usuario y grupos de usuarios), computadoras (cuentas de computadoras).

El número de tales recursos guardados puede llegar a millones de objetos.

Las siguientes versiones de MS Windows se pueden reproducir como un controlador de dominio: Windows Server 2000/2003/2008/2012 Excepto la edición web.

El controlador de dominio está más allá de lo que es el centro de la autenticación de la red, también es un centro de control para todas las computadoras.

Inmediatamente después de encender la computadora, comienza a acceder al control de dominio, mucho antes de que aparezca la ventana de autenticación.

Por lo tanto, es posible autenticar no solo el usuario ingresando el nombre de usuario y la contraseña, sino también la autenticación de la computadora cliente.

Instalación de Active Directory.

Considere un ejemplo de la instalación de Active Directory en Windows Server 2008 R2. Entonces, para instalar la función de Active Directory, vaya al "Administrador de servidores":

Agregue el papel de "Agregar roles":

Seleccione la función de los Servicios de dominio de Active Directory:

Y proceder a la instalación:

Después de eso, obtenemos la ventana de notificación, sobre la función establecida:

Después de instalar la función del controlador de dominio, proceda a instalar el controlador en sí.

Haga clic en "Inicio" en el campo Búsqueda del programa Ingrese el nombre del asistente de DCPROMO, ejecute y ponga una garrapata para la configuración avanzada:

Hacemos clic en "Siguiente" de las opciones propuestas, elija la creación de un nuevo dominio y bosque.

Ingrese el nombre de dominio, por ejemplo, example.net.

Escribimos NetBIOS Nombre de dominio, sin zona:

Seleccione el nivel funcional de nuestro dominio:

En vista de las características del funcionamiento del controlador de dominio, también instala un servidor DNS.

Ubicación de la base de datos, archivo de registro, los volúmenes del sistema se dejan sin cambios:

Ingresamos la contraseña del administrador de dominio:

Compruebe la corrección del relleno y si todo está en orden con el "siguiente".

Después de eso, el proceso de instalación irá, al final del cual aparecerá la ventana, que informa sobre una instalación exitosa:

Introducción a Active Directory

El informe analiza dos tipos de redes informáticas que se pueden crear utilizando Microsoft Operating Systems: Workgroup y Dominio de Active Directory.

La configuración de Active Directory es un proceso bastante simple y se considera en un conjunto de recursos en Internet, incluido el funcionario. Sin embargo, en mi blog no puedo, sino que afecte este momento, ya que la mayoría de los artículos se basarán de alguna manera en el medio ambiente, cuyo lugar planeo hacerlo ahora.

Si está interesado en el tema de Windows Server, recomiendo contactar con la etiqueta en mi blog. También le recomiendo que se familiarice con el artículo principal en Active Directory -

Planeo implementar el rol de AD en dos servidores virtuales (futuros controladores de dominio) a su vez.

  1. En primer lugar, necesitas preguntar adecuado. nombres de servidores, Lo tengo será DC01 y DC02;
  2. Siguiente al registro configuración de red estática (En detalle este momento consideraré a continuación);
  3. Instalar en pc todas las actualizaciones del sistema, especialmente las actualizaciones de seguridad (para CD, es importante para cualquier otro rol).

En esta etapa es necesario decidir. que nombre de dominio tendrá. Esto es extremadamente importante porque entonces el cambio de un nombre de dominio será un problema muy importante para usted, aunque el escenario del cambio de nombre es oficialmente respaldado e implementado durante mucho tiempo.

Nota:nORTE. razonamiento adicional, así como muchos enlaces con material útil, puede encontrar en mi artículo. Recomiendo familiarizarme con él, así como con la lista de fuentes utilizadas.

Dado que seré utilizado por los controladores de dominio virtualizados, debe cambiar algunas de las configuraciones para máquinas virtuales, a saber deshabilitar la sincronización de tiempo con el hipervisor.. El tiempo en AD debe ser sincronizado exclusivamente de fuentes externas. La configuración de sincronización de tiempo incluida con un hipervisor puede resultar en una sincronización cíclica y como resultado de los problemas con el funcionamiento de todo el dominio.

Nota: Desactivar la sincronización con la host de virtualización es la opción más fácil y rápida. Sin embargo, esto no es una mejor práctica. Según las recomendaciones de Microsoft, es necesario deshabilitar la sincronización con el host solo parcialmente. Para entender el principio de trabajo, lea la documentación oficial que últimos años Saltó radicalmente el nivel de presentación de material. .

En general, el enfoque de la administración de controladores de dominio virtualizados es diferente en vista de algunas características de la función AD DS:

Los entornos virtuales son de particular dificultad para los flujos de trabajo distribuidos, dependiendo del esquema de replicación de tiempo lógico. Por ejemplo, la replicación AD DS utiliza un valor creciente uniformemente (que se llama USN, o un número de actualización en serie) asignado a las transacciones en cada controlador de dominio. Cada instancia de la base de datos del controlador de dominio también recibe un identificador llamado invocación. El controlador de dominio de invocación y su número de actualización en serie sirven como un identificador único asociado con cada transacción de grabación realizada en cada controlador de dominio, y debe ser único dentro del bosque.

En esto, se completan los pasos principales para preparar el entorno, vaya a la fase de instalación.

Instalación de Active Directory.

La instalación se realiza a través del Administrador de servidores y no hay nada complicado en él, en detalle todos los pasos de instalación que puede ver a continuación:


El proceso de instalación en sí ha sufrido algunos cambios en comparación con versiones anteriores del sistema operativo:

La implementación de servicios de dominio Active Directory (AD DS) en Windows Server 2012 se ha vuelto más fácil y más rápido que las versiones anteriores de Windows Server. Instalar AD DS ahora se basa en Windows PowerShell e integrado con el Administrador de servidores. El número de pasos necesarios para implementar controladores de dominio a un entorno de Active Directory existente se ha reducido.

Es necesario elegir solo el papel. Servicios de dominio Active DirectoryNo se deben instalar componentes adicionales. El proceso de instalación tarda un poco y puede ir de inmediato a la configuración.

Cuando se asigna un rol a la derecha en la parte superior del Administrador de servidores, verá una marca de exclamación: debe configurar después de la implementación. prensa Mejorar el papel de este servidor al controlador de dominio.

Mejorar la función del servidor al controlador de dominio

Las etapas del asistente se describen en detalle en la documentación. Sin embargo, caminaremos en los pasos principales.

A medida que desplegamos el anuncio desde cero, debe agregar un nuevo bosque. No se olvide de guardar de forma segura la contraseña para el modo de recuperación de servicios de directorio (DSRM). La ubicación de la base de datos AD DS se puede dejar de forma predeterminada (se recomienda así. Sin embargo, para una variedad en su entorno de prueba, especifiqué otro directorio).

Esperamos la instalación.

Después de eso, el servidor se reiniciará independientemente.

Creación de administradores de dominios / cuentas de empresa

Deberá iniciar sesión en la cuenta de administrador local, como antes. Ir al equipo Directorio activo de usuarios y computadoras, Cree las cuentas necesarias, en esta etapa, este es el administrador de dominio.

Configuración de DNS en el único DC en el dominio

Durante la instalación del anuncio, también se instaló el papel de AD DNS, ya que no había otros servidores DNS en mi infraestructura. Para el trabajo del servicio, debe cambiar algunas configuraciones. Primero, debe verificar los servidores DNS preferidos en la configuración del adaptador de red. Debe usar solo un servidor DNS con la dirección 127.0.0.1. Sí, es localhost. De forma predeterminada, debe registrarse de forma independiente.

Asegurarse de que la corrección de la configuración, abra el ajuste DNS. Haga clic con el botón derecho en el nombre del servidor y abra las propiedades de TI, vaya a la pestaña "Servidor de transferencia". La dirección del servidor DNS, que se especificó en la configuración de la red antes de instalar la función AD DS, recetada automáticamente como el único servidor de reenvío:

Es necesario eliminarlo y crear uno nuevo y extremadamente preferiblemente para que sea un servidor proveedor, pero no una dirección pública del tipo de conocido 8.8.8.8 y 8.8.4.4. Para la tolerancia de fallas, corte el mínimo de dos servidores. No elimine una garrapata para usar enlaces de raíz si no hay servidores de envío. Los enlaces de la raíz son el conocido grupo de servidores DNS de nivel superior.

Agregando un segundo DC al dominio

Dado que inicialmente dije que tendré dos controladores de dominio, es hora de hacer la segunda configuración. También pasamos el asistente de instalación, planteamos un papel antes del controlador de dominio, solo elija Agregar controlador de dominio a un dominio existente:

Tenga en cuenta que en la configuración de la red de este servidor la principal El servidor DNS debe seleccionarse previamente el primer controlador de dominio! Esto es necesario, de lo contrario obtendrá un error.

Después de la configuración requerida, inicie sesión en el servidor bajo la cuenta del administrador del dominio, que se creó anteriormente.

Configuración de DNS en múltiples DC en el dominio

Para advertir problemas con la replicación, debe cambiar la configuración de la red nuevamente y es necesario hacer esto en cada controlador de dominio (y en el existente anteriormente) y cada vez que agregue un nuevo DC:

Si tiene más de tres DC en el dominio, debe registrar servidores DNS a través de ajustes adicionales en este orden. Puedes leer más sobre DNS en mi artículo.

Ajuste de tiempo

Esta etapa debe realizarse necesariamente, especialmente si configura el entorno real en la producción. Como recuerda, antes, la sincronización de tiempo deshabilité a través de un hipervisor y ahora necesitas ajustarlo correctamente. Para la distribución del momento adecuado, el controlador es responsable de todo el dominio con el rol del emulador FSMO PDC (¡no se sabe qué tipo de función es? Lea el artículo). En mi caso, esto es, por supuesto, el primer controlador de dominio, que es el portador de todos los roles FSMO inicialmente.

Personalizar el tiempo en los controladores de dominio utilizará políticas de grupo. Le recuerdo que las cuentas de las computadoras del controlador de dominio se encuentran en un contenedor separado y tienen una política de políticas de múltiples predeterminadas. No es necesario realizar cambios en esta política, mejor crear una nueva.

Nombrelo, ya que lo considere necesario y cómo se creará el objeto, haga clic con el botón derecho. Cambio. Ir a B. Configuración de la computadora \\ Política \\ Plantillas administrativas \\ System \\ Windows Time Service \\ Time Proveeds. Activar las políticas Habilitar el cliente de Windows NTP y Habilitar el servidor de Windows NTPVe a la política Configure el cliente de Windows NTP y exhibe el tipo de protocolo - NTP., las configuraciones restantes no toquen:

Estamos esperando la aplicación del político (se lo tomó aproximadamente 5-8 minutos, a pesar de la ejecución de GPUPDATE / FORCE y un par de reinicios), entonces obtenemos:

En general, es necesario realizar tiempo de fuentes externas para sincronizar solo el emulador PDC, y no todos los controladores de dominio bajo una fila, y será el camino, ya que la política de grupo se aplica a todos los objetos en el contenedor. Es necesario transferirlo a un objeto específico del propietario de la computadora del rol del emulador PDC. También se realiza a través de las políticas de grupo, en la consola GPMC.MSC, presione la política correcta y el botón derecho y, a la derecha, aparecerá. En filtros de seguridad, debe agregar una cuenta del controlador de dominio deseado:

Lea más sobre el principio de operación y configuración del servicio de tiempo, lea en la documentación oficial.

En este momento, y con él, la configuración inicial de Active Directory se ha completado.

Anotación: Esta conferencia describe los conceptos básicos de Active Directory Directory Services. Ejemplos prácticos de gestión de la seguridad de la red. Se describe el mecanismo de política de grupo. Una idea de las tareas del administrador de la red al administrar la infraestructura de servicio de directorio.

Las redes modernas a menudo consisten en una variedad de diferentes plataformas de software, una amplia variedad de equipos y software. Los usuarios a menudo se ven obligados a memorizar una gran cantidad de contraseñas para acceder a varios recursos de red. Los derechos de acceso pueden ser diferentes para el mismo empleado, dependiendo de los recursos que funcione. Todo este conjunto de relaciones requiere un administrador y un usuario de una gran cantidad de tiempo para analizar, memorizar y aprender.

Resolviendo el problema de la administración, una red tan heterogénea se encontró con el desarrollo del servicio de directorio. Los Servicios de directorio brindan la capacidad de administrar cualquier Recursos y Servicios desde cualquier lugar, independientemente del tamaño de la red utilizada sistemas operativos y complejidad de equipos. La información del usuario se ingresa una vez al servicio de directorio, y después de eso, está disponible dentro de toda la red. Direcciones correo electrónico, Perteneciente a grupos, los derechos de acceso necesarios y las cuentas para trabajar con varios sistemas operativos, todo esto se crea y se mantiene actualizado automáticamente. Cualquier cambio registrado en el directorio del administrador se actualiza inmediatamente en la red. Los administradores ya no tienen que preocuparse por los empleados despedidos, simplemente eliminando la cuenta de usuario del servicio de directorio, podrá garantizar la eliminación automática de todos los derechos de acceso a los recursos de la red proporcionados anteriormente que este empleado.

Actualmente, la mayoría de los directorios de diferentes firmas se basan en el estándar. X.500. Para acceder a la información almacenada en los servicios de directorio, generalmente se usa el protocolo. (Ldap). Debido al rápido desarrollo de las redes TCP / IP, el protocolo LDAP se convierte en la norma para los servicios y aplicaciones de directorios enfocados en el uso del servicio de directorio.

Servicio de catálogo Active Directory es la base de la estructura lógica de las redes corporativas según el sistema de Windows. Término " Catalogar "En el sentido más amplio" Directorio ", pero servicio de catálogo La red corporativa es un directorio corporativo centralizado. Un directorio corporativo puede contener información sobre los objetos de varios tipos. Servicio de catálogo Active Directory contiene principalmente objetos en los que se basa el sistema de seguridad de Windows Network: cuentas de usuario, grupos y computadoras. Las cuentas están organizadas en estructuras lógicas: dominio, madera, bosque, unidades organizativas.

Desde el punto de vista de estudiar el material del curso "Red. administración"La siguiente opción es bastante posible. material educativo: Primero, para estudiar la primera parte de esta sección (desde conceptos básicos antes de instalar los controladores de dominio), vaya a "Archivo e impresión", y después de estudiar "Servicio de archivos e imprimir" volver al servicio "Active Directory" para explorar Catálogos de conceptos de servicio más complejos.

6.1 Términos y conceptos básicos (bosque, madera, dominio, división organizacional). Planificación del espacio de nombres de anuncios. Instalación de controladores de dominio.

Modelos de gestión de seguridad: modelo "Grupo de trabajo" y un modelo de dominio centralizado

Como se mencionó anteriormente, el objetivo principal de los servicios de directorio es administrar la seguridad de la red. Base de seguridad de la red: usuarios de la base de datos de cuentas (cuentas), grupos de usuarios y computadoras, con los que se administra el acceso a los recursos de la red. Antes de hablar sobre el servicio de directorio de Active Directory, comparamos dos modelos para la base de datos de servicios de directorio de directorios y la administración de recursos.

Modelo "Grupo de Trabajo"

Este modelo de gestión de seguridad de la red corporativa es la más primitiva. Está destinado a su uso en pequeños. redes de pares (3-10 computadoras) y se basa en el hecho de que cada computadora en la red con Windows NT / 2000 / XP / 2003 Sistemas operativos tiene su propia base de datos de cuenta local y utiliza este acceso local de la base de datos a los recursos de esta computadora. La base de datos local de cuentas se llama base de datos. Sam (Administrador de cuentas de seguridad) Y almacenados en el Registro del Sistema Operativo. Las bases de datos de computadoras individuales están completamente aisladas entre sí y no están interconectadas.

Un ejemplo de control de acceso que utiliza un modelo de este tipo se representa en la FIG. 6.1.


Higo. 6.1.

EN este ejemplo Se representan dos servidores (SRV-1 y SRV-2) y dos estaciones de trabajo (WS-1 y WS-2). Sus bases de datos SAM están indicadas por SAM-1, SAM-2, SAM-3 y SAM-4, respectivamente (en la figura base SAM, se representan en forma de óvalo). Cada base de datos tiene cuentas de usuario User1 y User2. El nombre de usuario completo de User1 en el servidor SRV-1 se verá como "SRV-1 \\ User1", y nombre completo El usuario de User1 en la estación de trabajo WS-1 se verá como "WS-1 \\ User1". Imagine que la carpeta de la carpeta se haya creado en el servidor SRV-1, al que los usuarios de User1 proporcionan la red1 para leer (R), User2, leer y escribir (RW). El punto principal de este modelo es que la computadora SRV-1 no sabe nada sobre las computadoras SRV-2, WS-1, WS-2, así como todas las demás computadoras de la red. Si el usuario llamado User1 se registra bloqueadamente en el sistema en una computadora, por ejemplo, WS-2 (o, como en cualquier otro lugar ", entrará en el sistema con el nombre de usuario local1 en la computadora WS-2), luego, cuando intentas acceder a La red en la red a la carpeta de la carpeta en el servidor SRV-1 Server le pedirá al usuario que ingrese el nombre y la contraseña (la excepción es el caso si los usuarios con el mismo nombre son las mismas contraseñas).

El modelo "Grupo de trabajo" es más simple para el estudio, no es necesario estudiar los conceptos complejos de Active Directory. Pero cuando se usa en una red con una gran cantidad de computadoras y recursos de red, se vuelve muy difícil administrar los nombres de los usuarios y sus contraseñas: es necesario en cada computadora (que proporciona sus recursos para compartir en la red) crear manualmente las mismas cuentas Con las mismas contraseñas que muy laboriosas, o hacen una cuenta en todos los usuarios con uno en toda la contraseña (o sin una contraseña), lo que reduce en gran medida el nivel de protección de la información. Por lo tanto, el modelo "Grupo de trabajo" se recomienda solo para redes con una serie de computadoras de 3 a 10 (e incluso mejor, no más de 5), siempre que entre todas las computadoras no haya un solo sistema de servidor de Windows.

Modelo dominante

En el modelo de dominio, hay una única base de datos de servicios de directorio disponible para toda la red de computadoras. Servidores especializados llamados la red instalada en la red. controladores de dominioEso almacena esta base de datos en sus discos duros. En la Fig. 6.2. Se representa el diagrama del modelo de dominio. Los servidores DC-1 y DC-2 son controladores de dominio, almacenan la base de datos de la base de datos de cuentas (cada controlador almacena su propia copia de la base de datos, pero todos los cambios realizados en la base de datos en uno de los servidores se replican a otros controladores).


Higo. 6.2.

En tal modelo, si, por ejemplo, el servidor SRV-1, que es miembro del dominio, proporciona el intercambio de la carpeta de la carpeta, los derechos de acceso a este recurso se pueden asignar no solo para las cuentas básicas locales del SAM de este servidor, pero, lo más importante, los registros de cuentas almacenados en la base de datos de dominios. La cifra para acceder a la carpeta de la carpeta recibe permisos para una cuenta local de la computadora SRV-1 y las cuentas de múltiples dominios (grupos de usuarios y usuarios). En el modelo de gestión de seguridad de dominio, el usuario está registrado en la computadora ("Entra en el sistema") con su cuenta de dominio Y, independientemente de la computadora en la que se completó el registro, acceda a los recursos de la red necesarios. Y no hay necesidad de que cada computadora cree una gran cantidad de cuentas locales, se crean todos los registros. single en la base de datos de dominio. Y con una base de datos de dominio se realiza control de acceso centralizado a los recursos de la red independientemente del número de computadoras en línea.

Asignación de Servicio de directorio de Active Directory

El directorio (directorio) puede almacenar diversas información relacionadas con usuarios, grupos, computadoras, impresoras de red, recursos de archivos compartidos, etc., lo llamaremos. El directorio también almacena información sobre el propio objeto, o sus propiedades, llamadas atributos. Por ejemplo, los atributos, almacenados en el directorio de usuarios, puede haber el nombre de su cabeza, número de teléfono, dirección, nombre para iniciar sesión, contraseña, grupos a los que ingresa, y mucho más. Para que el repositorio de directorios sea útil para los usuarios, debe haber servicios que interactúen con el catálogo. Por ejemplo, puede usar un directorio como un almacenamiento de información en la que puede autenticar al usuario, o como un lugar donde puede enviar una solicitud para encontrar información sobre el objeto.

Active Directory responde no solo para la creación y organización de estos pequeños objetos, sino también para objetos grandes, como dominios, OU (unidades organizativas) y sitios.

Acerca de los términos principales utilizados en el contexto del servicio de directorio de Active Directory, lee a continuación.

Servicio de catálogo Active Directory (abreviado - AD) proporciona trabajo efectivo Entorno corporativo complejo, proporcionando las siguientes características:

  • Registro unificado en línea ; Los usuarios pueden registrarse en una red con un nombre y una contraseña y recibir acceso a todos los recursos y servicios de la red (servicio de infraestructura de red, servicio de archivos e impresión, servidores de aplicaciones y bases de datos, etc.);
  • Seguridad de información. La autenticación de recursos y los controles de acceso incorporados en Active Directory, proporcionan protección centralizada de la red;
  • Gobernanza centralizada. Los administradores pueden administrar centralmente todos los recursos corporativos;
  • Administración utilizando políticas de grupo.. Al descargar una computadora o registrar a un usuario en el sistema, se realizan los requisitos de las políticas de grupo; Sus ajustes se almacenan en objetos de política de grupo (GPO) y solicite todas las cuentas para usuarios y computadoras ubicadas en sitios, dominios o unidades organizativas;
  • Integración con DNS.. El funcionamiento de los servicios de directorio depende completamente del servicio DNS. A su vez, los servidores DNS pueden almacenar información sobre zonas en la base de datos de Active Directory;
  • Catálogo de extensibilidad. Los administradores pueden agregar nuevas clases de objetos al esquema del catálogo o agregar nuevos atributos a las clases existentes;
  • Escalabilidad. El servicio de Active Directory puede cubrir tanto un dominio como muchos dominios combinados en el árbol de dominio, y se puede construir un bosque a partir de varios árboles de dominio;
  • Replicación de información. El servicio de Active Directory utiliza la replicación de la información de servicio en un esquema con muchos líderes ( multi-Master), que le permite modificar la base de datos de Active Directory en cualquier controlador de dominio. La presencia en el dominio de varios controladores proporciona tolerancia de fallas y la capacidad de distribuir la carga de red;
  • Flexibilidad de las solicitudes al catálogo.. La base de datos de Active Directory se puede usar para encontrar rápidamente cualquier objeto AD usando sus propiedades (por ejemplo, el nombre de usuario o la dirección de correo electrónico, el tipo de impresora o su ubicación, etc.);
  • Interfaces de programación estándar. Para los desarrolladores de software, el servicio de directorio proporciona acceso a todas las funciones (medios) del directorio y admite las interfaces de programación y estándares adoptados (API).

En Active Directory, se puede crear una amplia gama de objetos diferentes. El objeto es una entidad única dentro del catálogo y generalmente posee muchos atributos que ayudan a describirlo y reconocerlo. La cuenta de usuario es un ejemplo de un objeto. Este tipo de objeto puede tener múltiples atributos, como nombre, apellido, contraseña, número de teléfono, dirección y muchos otros. De la misma manera, la impresora común también puede ser un objeto en Active Directory y sus atributos son su nombre, ubicación, etc. Los atributos del objeto no solo ayudan a determinar el objeto, sino que también le permiten buscar objetos dentro del catálogo.

Terminología

Servicio de catálogo Los sistemas de Windows Server se basan en estándares tecnológicos generalmente aceptados. Inicialmente, se desarrolló un estándar para los servicios de directorio. X.500Lo que estaba destinado a construir libros de referencia escalables de árboles jerárquicos con la capacidad de ampliar las dos clases de objetos y conjuntos de atributos de cada clase individual. Sin embargo, la implementación práctica de esta norma resultó ser ineficaz en términos de desempeño. Luego, sobre la base del estándar X.500, se desarrolló una versión simplificada (liviana) del estándar de catálogos de construcción, llamado el nombre Ldap (Protocolo de acceso a directorios ligero). El protocolo LDAP conserva todas las propiedades básicas de X.500 ( sistema jerárquico Construyendo un libro de referencia escalabilidad, capacidad de expansión), pero al mismo tiempo le permite implementar efectivamente esta norma en la práctica. Término " ligero " (" ligero ") El nombre de la LDAP refleja el propósito principal de desarrollar el protocolo: cree un kit de herramientas para construir un servicio de directorio que tenga una potencia funcional suficiente para resolver tareas básicas, pero no se sobrecarga con tecnologías complejas que implementan los servicios de directorio ineficaces. Actualmente, LDAP es un método estándar para acceder a la información. Directorios de redes y desempeña el papel de la fundación en una variedad de productos, como sistemas de autenticación, programas postales y aplicaciones de comercio electrónico. Hoy en día, hay más de 60 servidores comerciales LDAP en el mercado, y aproximadamente el 90% de ellos son servidores de directorios LDAP independientes, y el resto se ofrecen como componentes de otras aplicaciones.

El protocolo LDAP define claramente el círculo de operaciones en los directorios que la aplicación del cliente puede realizar. Estas operaciones caen en cinco grupos:

  • establecer una comunicación con el catálogo;
  • buscar en la información de TI;
  • modificación de su contenido;
  • añadiendo un objeto;
  • retire el objeto.

Además del protocolo LDAP. servicio de catálogo Active Directory también utiliza el protocolo de autenticación Kerberos. y el servicio DNS para buscar el componente de la red de los servicios de directorio (controladores de dominio, servidores de catálogo global, Servicio de Kerberos, etc.).

Dominio

La unidad principal del sistema de seguridad Active Directory es dominio. El dominio forma un área de responsabilidad administrativa. La base de datos de dominio contiene cuentas usuarios, grupo y ordenadores. La mayoría de las funciones de administración de servicios de directorio funcionan en el nivel de dominio (autenticación de usuario, control de acceso de recursos, gestión de servicios, gestión de replicación, políticas de seguridad).

Los nombres de los dominios de Active Directory están formados por el mismo esquema que los nombres en el espacio de nombres DNS. Y no es por casualidad. El servicio DNS es un medio para buscar el componente de dominio: principalmente los controladores de dominio.

Controladores de dominio - Servidores especiales que almacenan la parte de dominio correspondiente de la base de datos de Active Directory. Funciones básicas de los controladores de dominio:

  • almacenamiento DB Active Directory (Organización de acceso a la información contenida en el catálogo, incluida la administración de esta información y su modificación);
  • sincronización de cambios en el anuncio. (Se pueden realizar cambios en la base de datos de anuncios en cualquiera de los controladores de dominio, cualquier cambio realizado en uno de los controladores se sincronizará con copias almacenadas en otros controladores);
  • autenticación de usuarios (cualquiera de los controladores de dominio verifica los poderes de los usuarios que se registran en los sistemas cliente).

Se recomienda encarecidamente en cada dominio para instalar al menos dos controladores de dominio, primero, para protegerse contra la pérdida de la base de datos de Active Directory en caso de falla de cualquier controlador, en segundo lugar, para distribuir la carga entre los controladores.it.company.ru hay Un subdominio dev.it.company.ru, creado para los desarrolladores de desarrolladores.

  • descentralizar la administración de los servicios de directorio (por ejemplo, en el caso de que la compañía tiene sucursales, geográficamente distantes entre sí, y la gestión centralizada es difícil por razones técnicas);
  • para aumentar la productividad (para empresas con un gran número de usuarios y servidores, es relevante el problema de mejorar el rendimiento de los controladores de dominio);
  • para una gestión de replicación más eficiente (si los controladores de dominio se eliminan entre sí, la replicación en uno puede requerir más tiempo y crear problemas utilizando datos incomunicados);
    • Dominio de la raíz del bosque ( dominio de la raíz del bosque.) Este dominio no se puede eliminar (almacena información sobre la configuración del bosque y los árboles de dominio, que lo forman).

Divisiones organizativas (OP).

Divisiones organizacionales (Unidades organizadas., UNED.) - Contenedores Dentro de AD, que se crean para combinar objetos con fines delegación de Derechos Administrativos. y aplicaciones de las políticas de grupo. en el dominio. OP existe solo dentro de dominios y puede combinar solo objetos de su dominio. Los operadores pueden estar incrustados entre sí, lo que le permite construir una jerarquía compleja en forma de árbol de contenedores dentro del dominio y ejercer un control administrativo más flexible. Además, OP se puede crear para reflejar la jerarquía administrativa y la estructura organizativa de la empresa.

Catálogo global

Catálogo global El es una lista todos los objetosEso existe en el bosque de Active Directory. De forma predeterminada, los controladores de dominio solo contienen información sobre los objetos de su dominio. Servidor de catálogo global Es un controlador de dominio, que contiene información sobre cada objeto (aunque no sobre todos los atributos de estos objetos), que se encuentran en este bosque.