Quels sont les services de domaine Active Directory Et comment fonctionnent-ils?

il
https://meta.serverfault.com/q/1986
À propos des services de domaine Active Directory (AD DS).

https://serverfault.com/q/402580#402581
https://serverfault.com/q/402580#570486
Je m'attrape que je fais presque tous les jours, j'explique une partie de ce que je le considère bien connu. Nous espérons que cette question servira de problème canonique et répondra à la plupart des principaux problèmes sur Active Directory. Si vous sentez que vous pouvez améliorer la réponse à cette question, modifiez-la.
Invité:

Catherine

Confirmation de:

Quoi Active Directory?

Services de domaine Active Directory - Ceci est le serveur d'annuaire Microsoft. Il fournit des mécanismes d'authentification et d'autorisation, ainsi qu'une structure dans laquelle d'autres services connexes peuvent être déployés. (Services de certification AD, Services fédérés AD etc.). il
http://tools.ietf.org/html/rfc4510
Base de données compatible contenant des objets. Objets les plus fréquemment utilisés - Ce sont des utilisateurs, des ordinateurs et des groupes. Ces objets peuvent être organisés dans des unités organisationnelles. (OU) Conformément à un nombre quelconque de besoins logiques ou commerciaux.
https://serverfault.com/q/406240/10472
Ensuite, vous pouvez associer aux unités pour centraliser les paramètres de divers utilisateurs ou ordinateurs de l'organisation.

Quand les gens disent «Active Directory», Ils signifient généralement "services de domaine Active Directory». Il est important de noter qu'il y a d'autres rôles. / Des produits Active Directory, Tels que les services de certification, les services de la fédération, l'accès léger aux catalogues, les services de gestion des droits, etc. Cette réponse s'applique spécifiquement aux services de domaine Active Directory.

Qu'est-ce qu'un domaine et quelle est la forêt?

forêt - Ceci est une frontière de sécurité. Les objets dans des forêts séparées ne peuvent pas interagir les uns avec les autres si des administrateurs de chaque forêt créent
(v=ws.10).aspx[/url]
Entre eux. Par exemple, un compte administrateur d'entreprise pour

domain1.com

, qui est généralement le compte le plus privilégié dans la forêt, n'aura aucune autorisation dans la deuxième forêt nommée

domain2.com

, Même si ces forêts existent dans un réseau local, s'il n'y a pas de confiance.

Si vous avez plusieurs unités commerciales non liées ou si vous avez besoin de frontières de sécurité séparées, vous aurez besoin de plusieurs forêts.

Domaine - C'est la frontière de la gestion. Les domaines font partie de la forêt. Le premier domaine de la forêt est connu comme domaine racine de la forêt. Dans de nombreuses petites et moyennes organisations (Et même dans un grand grand) Vous ne trouverez qu'un seul domaine dans une forêt. Le domaine racine de la forêt détermine l'espace de noms par défaut de la forêt. Par exemple, si le premier domaine est nommé dans la nouvelle forêt

domain1.com

, C'est le domaine racine de la forêt. Si vous avez besoin d'une entreprise pour un domaine subsidiaire, par exemple, dans une succursale à Chicago, vous pouvez appeler un domaine subsidiaire.

chi

. DANS
http://en.wikipedia.org/wiki/F ... _name
La filiale sera

chi.domain1.com

. Vous pouvez voir que le nom de la filiale a été ajouté au nom du domaine racine de la forêt. Généralement ça marche. Dans une forêt, il peut y avoir des espaces de noms non passagers, mais il s'agit d'une banque de vers séparée à des moments différents.

Dans la plupart des cas, vous voulez essayer de faire de notre mieux pour avoir un domaine AD. Il simplifie la gestion et les versions modernes AD rendre facile de déléguer la direction basée sur OU, Ce qui réduit le besoin de filiales.

Je peux appeler mon domaine comme je le veux, non?

Pas vraiment.

dcpromo.exe

, L'outil qui favorise le serveur dans DC, Non protégé des idiots. Cela vous permet vraiment de faire des solutions incorrectes lors de la nommage, alors faites attention à cette section si vous n'êtes pas sûr. (Éditer:
http://social.technet.microsof ... .aspx
dans Server 2012. Utilisation

Install-ADDSForest

Cmll PowerShell Ou installer AD DS À partir du gestionnaire de serveur.)

Tout d'abord, n'utilisez pas de fiction TLD, comme le .local, .lan, .corp, ou tout autre non-sens. Ces TLD

ne pas

réservé. ICANN Vend maintenant TLD, Donc le vôtre

mycompany.corp

Ce que vous utilisez aujourd'hui peut vraiment appartenir à quelqu'un demain. si tu as

mycompany.com

, alors le plus raisonnable d'utiliser quelque chose comme

internal.mycompany.com

ou

ad.mycompany.com

Pour votre nom national AD. Si vous utilisez

mycompany.com

Depuis le site Web avec une résolution externe, vous devez éviter d'utiliser ce nom comme nom interne. AD, parce que à la fin, vous serez divisé DNS.

Contrôleurs de domaine et catalogues globaux

Un serveur qui répond aux demandes d'authentification ou d'autorisation est un contrôleur de domaine. (DC). Dans la plupart des cas, le contrôleur de domaine stockera une copie.
(v=ws.10).aspx[/url]
. Catalogue global (GC) - Ceci est un ensemble partiel d'objets dans

tout

Domaines dans la forêt. Il est disponible pour une recherche directe, ce qui signifie que les requêtes interdomaines peuvent généralement être effectuées sur GC Sans la nécessité de faire appel à DC Dans le domaine cible. Si un DC Demandé par le port 3268 (3269 utilisant SSL), Qui est demandé GC. Si le port est demandé 389 (636 utilisant SSL), Ensuite, la requête standard est utilisée LDAP, et pour les objets existants dans d'autres domaines peuvent nécessiter
http://technet.microsoft.com/library/Cc978014
.

Lorsque l'utilisateur essaie d'entrer dans l'ordinateur, qui est attaché à AD, en utilisant vos identifiants AD, La combinaison combinée et hachée du nom d'utilisateur et de mot de passe se rend au contrôleur de domaine pour le compte d'utilisateur et le compte d'ordinateur sur lequel l'entrée est en cours d'exécution. Oui, l'ordinateur entre également dans le système. Ceci est important parce que si quelque chose se passe avec un compte informatique dans AD, Par exemple, une personne réinitialise le compte ou la supprime, vous pouvez obtenir un message d'erreur indiquant qu'il n'y a pas de relation de confiance entre l'ordinateur et le domaine. Malgré le fait que vos informations d'identification du réseau soient en ordre, l'ordinateur n'est plus confié à la saisie du domaine.

Problèmes d'accessibilité du contrôleur de domaine

J'entends "J'ai un contrôleur de domaine principal (PDC) Et je veux définir un contrôleur de domaine de sauvegarde (BDC)» Beaucoup plus souvent que je voudrais croire. Concept PDC et BDC S. S. Windows NT4. Le dernier bastion pour PDC était AD en mode de transition mixte Windows 2000, Lorsque vous avez toujours des contrôleurs de domaine NT4. En fait, si vous ne prenez pas en charge l'installation 15+ Summertime, qui n'a jamais été mis à jour, vous n'avez vraiment pas PDC ou BDC, Vous avez juste deux contrôleurs de domaine.

Plusieurs contrôleurs de domaine peuvent répondre simultanément aux demandes d'authentification à partir de différents utilisateurs et ordinateurs. Si l'on échoue, le reste continuera à offrir des services d'authentification sans avoir à faire un «primaire», comme vous l'avez à faire pendant NT4. Mieux avoir

au moins

deux DC sur le domaine. Ces contrôleurs de domaine doivent contenir une copie GC Et les deux doivent être des serveurs DNS, qui doivent également contenir une copie de zones DNS intégrées Active Directory Pour votre domaine.

Rôle FSMO

"Donc, s'il n'y a pas de contrôleurs de domaine principal, pourquoi le rôle du contrôleur de domaine principal est-il qu'un seul contrôleur de domaine peut fonctionner?"

Je l'entends souvent. Est

Émulateur PDC

rôle. Il est différent d'être PDC. En fait il y a
http://en.wikipedia.org/wiki/F ... ation
. Ils sont également appelés rôles du maître des opérations. Ces deux termes sont interchangeables. Qu'est-ce qu'ils imaginent et que font-ils? Bonne question! 5 rôles et leurs fonctions:

Master Naming Domaines

- Dans chaque forêt, il n'y a qu'un seul maître domicile de nommage. L'assistant de dénomination de domaine garantit que lors de l'ajout d'un nouveau domaine dans la forêt, il sera unique. Si le serveur effectue ce rôle est désactivé, vous ne pourrez pas modifier l'espace de noms. AD, y compris des choses comme l'ajout de nouvelles filiales.

Schéma de sorcier

- Il n'y a qu'un seul maître des opérations de circuit dans la forêt. Il est responsable de la mise à jour du régime Active Directory. Tâches pour lesquelles il est requis, tel que la préparation AD À la nouvelle version Windows Server, Travailler en tant que contrôleur de domaine ou installation Exchange, nécessite des systèmes de changement. Ces changements doivent être effectués par un système de système.

Infrastructure de l'assistant

- Chaque domaine représente un propriétaire d'une infrastructure. Si un seul domaine est dans votre forêt, vous n'avez rien à craindre. Si vous avez plusieurs forêts, assurez-vous que ce rôle

non tenu par le serveur, qui est aussi le titulaire GC, Si chacun DC Dans la forêt n'est pas GC

. Le propriétaire de l'infrastructure est responsable du traitement approprié des liens réticulés. Si l'utilisateur d'un domaine est ajouté au groupe dans un autre domaine, le propriétaire de l'infrastructure pour les domaines à l'étude vérifie si elle est traitée correctement. Ce rôle ne fonctionnera pas correctement si c'est dans le répertoire global.

RID Maître

- Maître de l'identifiant relatif (Maître RID) responsable de la délivrance de piscines RID Contrôleurs de domaine. Sur chaque compte de domaine pour un maître RID. N'importe quel objet dans le domaine AD Il a unique
http://en.wikipedia.org/wiki/Security_Identifier
. Il consiste en une combinaison d'un identifiant de domaine et d'un identifiant relatif. Chaque objet de ce domaine a le même identifiant de domaine. L'identificateur relatif rend ainsi des objets uniques. Chaque contrôleur de domaine comporte un pool d'identifiants relatifs à utiliser, de sorte que lorsque ce contrôleur de domaine crée un nouvel objet, il ajoute RID, qui n'a pas encore été utilisé. Puisque les contrôleurs de domaine sont émis piscines non raffinés, chacun RID Doit rester unique pendant toute la longueur du domaine. Lorsque le contrôleur de domaine reste dans la piscine ~ 100 RID, Il demande une nouvelle piscine au Maître RID. Si le maître RID Désactivé pendant une longue période, la création d'objets peut se terminer par une erreur.

Émulateur PDC

- Enfin, nous avons abordé le rôle le plus souvent mal compris à tort de tous - Émulateur de rôles PDC. Chaque domaine compte pour un émulateur PDC. S'il y a une tentative d'authentification infructueuse, elle est envoyée à l'émulateur PDC. L'émulateur principal du contrôleur de domaine principal fonctionne comme un "outil de résolution de conflit", si le mot de passe a été mis à jour sur un contrôleur de domaine et n'est pas encore répliqué à d'autres. Émulateur PDC C'est également un serveur qui contrôle la synchronisation de l'heure dans le domaine. Tous les autres contrôleurs de domaine synchronisent leur temps avec l'émulateur PDC. Tous les clients synchronisent leur temps avec le contrôleur de domaine dans lequel ils sont entrés. Il est important que tout reste dans 5 minutes de l'autre, sinon Kerberos Il se casse et quand cela se produit, tout le monde va payer.

Il est important de se rappeler que les serveurs sur lesquels fonctionnent ces rôles ne sont pas sculptés de la pierre. Déplacez généralement ces rôles de manière triviale, alors même que certains DC Faites un peu plus que d'autres s'ils échouent pendant de courtes périodes, tout va généralement fonctionner normalement. S'ils ne fonctionnent pas pendant une longue période, il est facile de transférer de manière transparente des rôles. C'est beaucoup mieux que dans les temps NT4 PDC / BDC, Par conséquent, veuillez cesser d'appeler vos contrôleurs de domaine avec ces anciens noms. :)

alors ... Comment les contrôleurs de domaine échangent-ils des informations s'ils peuvent travailler indépendamment les uns des autres?

(v=ws.10).aspx[/url]
. Par défaut, les contrôleurs de domaine appartenant à un domaine sur un site reproduiront leurs données l'une à l'autre avec un intervalle dans 15 secondes. Cela garantit que tout est relativement pertinent.

Il existe des événements «urgents» qui exécutent une réplication immédiate. Ce sont les événements suivants: le compte est bloqué en raison de tentatives d'intrants non réussies, de modifier le mot de passe de domaine ou la politique de blocage, changeant le secret LSA, Changer le mot de passe du contrôleur de contrôleur de domaine ou du transfert de rôle RID Master de nouveau DC. Toute de ces événements entraînera un événement de réplication immédiate.

Les changements dans le mot de passe sont quelque part entre urgent et incorrect et traité sans équivoque. Si le mot de passe de l'utilisateur est modifié sur

DC01

Et l'utilisateur tente d'entrer dans l'ordinateur authentifié contre

DC02

Avant que la réplication ne se produise, vous vous attendez à ce qu'il ne soit pas possible, non? Heureusement, cela ne se produit pas. Supposons qu'il y ait un autre tiers DC, appelé

DC03

qui sert d'émulateur PDC. lorsque

DC01

mis à jour par le nouveau mot de passe de l'utilisateur, ce changement est immédiatement répliqué à

DC03

également. En essayant d'authentification

DC02

échoue

DC02

Puis transmet cette tentative d'authentification sur

DC03

, qui confirme que c'est vraiment bien et que la connexion est autorisée.

Parlons de DNS

DNS est crucial pour le bon fonctionnement AD. Ligne officielle Microsoft C'est que tout serveur DNS peut être utilisé s'il est correctement configuré. Si vous essayez d'utiliser BIND Pour accueillir vos annonces, vous êtes sous le buzz. Blagues de côté. Coller pour utiliser des zones AD Integrated DNS Et si nécessaire, utilisez des serveurs de transfert conditionnels ou globaux pour d'autres zones. Tous vos clients doivent être configurés pour utiliser vos serveurs DNS. AD, Par conséquent, il est important d'avoir une redondance. Si vous avez deux contrôleurs de domaine, demandez-leur de courir DNS Et configurer les clients à utiliser les deux pour résoudre les noms.

De plus, vous voulez vous assurer que si vous avez plus d'un DC, Ils ne se distinguent pas d'abord pour la permission DNS. Cela peut conduire à une situation quand ils
(v=ws.10).aspx[/url]
où ils sont handicapés du reste de la topologie de réplication AD et ne peut pas être restauré. Si vous avez deux serveurs

DC01 - 10.1.1.1

et

DC02 - 10.1.1.2

, Leur liste de serveurs DNS doit être configurée comme suit:

Serveur: DC01 (10.1.1.1)

Primaire DNS - 10.1.1.2

Secondaire DNS - 127.0.0.1

Serveur: DC02 (10.1.1.2)

Primaire DNS - 10.1.1.1

Secondaire DNS - 127.0.0.1

Ok, ça semble difficile. Pourquoi je veux utiliser AD?

Parce que dès que vous savez ce que vous faites, votre vie devient infiniment meilleure. AD Vous permet de centraliser la gestion des utilisateurs et les ordinateurs, ainsi que de centraliser l'accès aux ressources et à leur utilisation. Imaginez la situation quand vous avez un bureau 50 utilisateurs. Si vous souhaitez que chaque utilisateur ait son propre compte sur chaque ordinateur, vous devrez configurer 50 Comptes locaux sur chaque PC. DANS AD Il vous suffit de créer un compte d'utilisateur une fois et par défaut, il peut entrer n'importe quel ordinateur dans le domaine. Si vous voulez renforcer la sécurité, vous devez le faire 50 temps. Quelque chose comme un cauchemar, non? Imaginez également que vous avez la ressource de fichiers auquel vous souhaitez accéder à la moitié de ces personnes. Si vous n'utilisez pas AD, Vous devrez soit reproduire manuellement leur nom d'utilisateur et leurs mots de passe sur le serveur pour obtenir un accès sans entrave, ou vous devez créer un compte commun et donner à chaque utilisateur d'utilisateur et mot de passe. Une solution signifie que vous savez (et doit constamment mettre à jour) Mots de passe des utilisateurs. Une autre façon signifie que vous n'avez pas de journal de contrôle. Pas bon, non?

Vous avez également la possibilité d'utiliser des stratégies de groupe lorsque vous avez configuré AD. Stratégie de groupe - Il s'agit d'un ensemble d'objets associés aux unités qui définissent des paramètres pour les utilisateurs et / ou des ordinateurs dans ces unités. Par exemple, si vous voulez le faire pour que le "arrêt" ne soit pas dans le menu "Démarrer" pour 500 PCS de laboratoire, vous pouvez le faire en utilisant un paramètre dans la stratégie de groupe. Au lieu de passer des heures ou des jours pour configurer manuellement les entrées de registre correctes, vous créez une fois l'objet de stratégie de groupe une fois, associez-le à droite. OU ou OU Et ne devrait jamais y penser à nouveau. Il existe des centaines d'objets de stratégie de groupe pouvant être configurés et que la flexibilité des politiques de groupe est l'une des principales raisons. Microsoft Donne donc le marché de l'entreprise.

Babette

Confirmation de:

Noter:

Cette réponse a été fusionnée avec cette question dans une autre question, qui interrogée sur les différences entre les forêts, les filiales, les arbres, les sites et OU. Initialement, il n'a pas été écrit comme la réponse à cette question particulière.

forêt

Vous voulez créer une nouvelle forêt lorsque vous avez besoin d'une frontière de sécurité. Par exemple, vous pouvez avoir un réseau de périmètre (DMZ), que vous voulez gérer avec AD, Mais vous ne voulez pas votre intérieur AD Il était disponible dans le réseau de périmètre pour des raisons de sécurité. Dans ce cas, vous devez créer une nouvelle forêt pour cette zone de sécurité. Vous pouvez également vouloir cette séparation si vous avez plusieurs organisations qui ne se font pas confiance. - Par exemple, une société shell qui combine des entreprises individuelles qui travaillent de manière indépendante. Dans ce cas, vous voulez que toutes les entités ont leur propre forêt.

Domaine subsidiaire

En fait, vous n'êtes plus nécessaire. Il y a quelques bons exemples lorsque vous avez besoin d'un domaine subsidiaire. La cause obsolète réside dans diverses exigences de la politique de mot de passe, mais elle n'est plus valide car Server 2008 Des stratégies de mot de passe détaillées sont disponibles. En fait, vous n'avez besoin que d'un domaine subsidiaire si vous avez des zones avec une connexion réseau incroyablement médiocre, et vous souhaitez réduire considérablement la réplication du trafic. - Un bon exemple est un navire de croisière avec des connexions satellites à un réseau mondial. Dans ce cas, chaque navire de croisière peut être sa propre filiale pour être relativement autonome, tout en étant capable d'utiliser les avantages d'être dans la même forêt que d'autres domaines de la même entreprise.

Bois

C'est une balle étrange. Les nouveaux arbres sont utilisés lorsque vous souhaitez économiser les avantages de la gestion d'une forêt, mais d'avoir un domaine dans un nouvel espace de noms. DNS. par exemple

corp.example.com

peut être la racine de la forêt, mais vous pouviez

ad.mdmarra.com

Dans la même forêt en utilisant un nouvel arbre. Voici les mêmes règles et recommandations pour les filiales. - Utilisez-les économiquement. En moderne AD Ils ne sont généralement pas nécessaires.

Site Internet

Le site doit représenter une bordure physique ou logique sur votre réseau. Par exemple, les branches. Les sites sont utilisés pour la sélection intelligente de partenaires de réplication pour les contrôleurs de domaine dans différents domaines. Sans identifier les sites, tous les contrôleurs de domaine seront traités comme s'ils étaient dans un lieu physique et répliqués dans la topologie du réseau cellulaire. En pratique, la plupart des organisations sont configurées logiquement sur le principe de "hub et faisceau", afin que les sites et les services soient personnalisés avec cela.

D'autres applications utilisent également des sites et des services. DFS Utilisez-le pour les références à l'espace de noms et à la sélection d'un partenaire de réplication. Exchange et Outlook Utilisez-le pour rechercher le répertoire global «le plus proche» pour la demande. Les ordinateurs attachés au domaine l'utilisent pour déterminer le contrôleur de domaine "le plus proche" (Ov) Pour l'authentification. Sans cela, votre trafic de réplication et d'authentification sera similaire à l'ouest sauvage.

Unité organisationnelle

Ils doivent être créés de manière à refléter la nécessité de votre organisation dans la délégation de pouvoirs et de l'application de la politique de groupe. Dans de nombreuses organisations, il y a une division sur le site car ils utilisent GPO Donc - C'est stupide parce que vous pouvez également postuler GPO Site des sites et des services. D'autres organisations partagent des divisions sur les ministères ou les fonctions. Cela a du sens pour beaucoup, mais réellement concevoir OU Doit répondre à vos besoins et être assez flexible. Il n'y a pas de "simple façon" de le faire.

La société multiethnique peut avoir des divisions de haut niveau

North America

,

Europe

,

Asia

,

South America

,

Africa

Afin qu'ils puissent déléguer des privilèges administratifs en fonction du continent. D'autres organisations peuvent avoir des unités de haut niveau

Human Resources

,

Accounting

,

Sales

etc., si cela a plus de signification pour eux. D'autres organisations ont des politiques et une utilisation minimales "plat" agencement,

Employee Users

et

Employee Computers

. Il n'y a vraiment pas de réponse correcte ici, c'est ce qui répond aux besoins de votre entreprise.

Pour répondre aux questions, connectez-vous ou registre