Вопрос: Что такое доменные службы Active Directory и как это работает?


Это Канонический вопрос о доменных службах Active Directory (AD DS).

Что такое Active Directory? Что он делает и как это работает?

Как организована Active Directory: лес, дочерний домен, дерево, сайт или подразделение


Я нахожу, что объясняю некоторые из того, что я предполагаю, это общее знание об этом почти ежедневно. Этот вопрос, надеюсь, послужит каноническим вопросом и ответом для большинства основных вопросов Active Directory. Если вы чувствуете, что можете улучшить ответ на этот вопрос, отредактируйте его.


132
2018-06-27 03:47


Источник


Я не хочу выглядеть так, как будто я ребята, но я думаю, что стоит ссылаться и на нетехническое описание AD, если вы столкнетесь с ситуацией, когда вам нужно описать ее менее технически: serverfault.com/q/18339/7200 - Evan Anderson
Возможные ссылки по этому вопросу: serverfault.com/questions/568606/... - serverfault.com/questions/472562/... - serverfault.com/questions/21780/... - serverfault.com/questions/72878/... Просто назвать несколько. Может быть, канонический - в порядке @MDMarra - TheCleaner


Ответы:


Что такое Active Directory?

Доменные службы Active Directory - это сервер каталогов Microsoft. Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развернуты другие связанные сервисы (службы сертификации AD, федеративные службы AD и т. Д.). Это LDAP совместимая база данных, содержащая объекты. Наиболее часто используемые объекты - пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) с помощью любого количества логических или бизнес-потребностей. Объекты групповой политики (GPO) затем можно связать с подразделениями, чтобы централизовать параметры для разных пользователей или компьютеров в организации.

Когда люди говорят «Active Directory», они обычно ссылаются на «Доменные службы Active Directory». Важно отметить, что существуют другие роли / продукты Active Directory, такие как службы сертификации, службы федерации, облегченные службы каталогов, службы управления правами и т. Д. Этот ответ относится конкретно к доменным службам Active Directory.

Что такое домен и что такое лес?

Лес - это граница безопасности. Объекты в отдельных лесах не могут взаимодействовать друг с другом, если администраторы каждого отдельного леса не создают доверять между ними. Например, учетная запись Enterprise Administrator для domain1.com, который обычно является самой привилегированной учетной записью леса, будет иметь никаких прав вообще во втором лесу, названном domain2.com, даже если эти леса существуют в одной и той же ЛВС, если нет доверия.

Если у вас несколько несвязанных бизнес-единиц или есть необходимость в отдельных границах безопасности, вам нужно несколько лесов.

Домен - это граница управления. Домены являются частью леса. Первый домен в лесу известен как корневой домен леса. Во многих малых и средних организациях (и даже некоторых крупных) вы найдете только один домен в одном лесу. Корневой домен леса определяет пространство имен по умолчанию для леса. Например, если первый домен в новом лесу назван domain1.com, то это корневой домен леса. Если у вас есть потребность в бизнесе для дочернего домена, например - филиал в Чикаго, вы можете назвать дочерний домен chi, Полное доменное имя дочернего домена будет chi.domain1.com, Вы можете видеть, что имя дочернего домена было добавлено именем корневого домена леса. Обычно это работает. Вы можете иметь непересекающиеся пространства имен в том же лесу, но это целая отдельная банка червей в другое время.

В большинстве случаев вам нужно попытаться сделать все возможное, чтобы иметь один домен AD. Это упрощает управление, а современные версии AD упрощают делегирование управления на основе OU, что уменьшает потребность в дочерних доменах.

Я могу назвать свой домен тем, что хочу, не так ли?

На самом деле, нет. dcpromo.exe, инструмент, который обрабатывает продвижение сервера в DC, не является идиотским. Это позволяет вам принимать плохие решения с вашим наименованием, поэтому обратите внимание на этот раздел, если вы не уверены. (Редактировать: dcpromo устарел в Server 2012. Используйте Install-ADDSForest PowerShell или установить AD DS из диспетчера сервера.)

Прежде всего, не используйте созданные TLD, такие как .local, .lan, .corp или любое другое дерьмо. Эти ДВУ не зарезервированный. Сейчас ICANN продает TLD, поэтому ваш mycompany.corp что вы используете сегодня, может на самом деле принадлежать кому-то завтра. Если вы владеете mycompany.com, тогда разумная вещь - это использовать что-то вроде internal.mycompany.com или ad.mycompany.com для вашего внутреннего имени AD. Если вы используете mycompany.com как веб-сайт, разрешающий внешний вид, вы должны избегать использования этого как своего внутреннего имени AD, так как вы получите DNS с разделенным мозгом.

Контроллеры доменов и глобальные каталоги

Сервер, который отвечает на запросы аутентификации или авторизации, является контроллером домена (DC). В большинстве случаев контроллер домена будет содержать копию Глобальный каталог, Глобальный каталог (GC) - это частичный набор объектов в все доменов в лесу. Он доступен для прямого поиска, что означает, что междоменные запросы обычно могут выполняться на GC без необходимости направления в DC в целевой домен. Если на порт 3268 (3269 при использовании SSL) запрашивается DC, тогда запрашивается GC. Если запрашивается порт 389 (636 при использовании SSL), тогда используется стандартный запрос LDAP, а для объектов, существующих в других доменах, может потребоваться направления,

Когда пользователь пытается войти на компьютер, подключенный к AD с использованием своих учетных данных AD, комбинация имени и пароля для соленой и хэшированной почты отправляется в DC для учетной записи пользователя и учетной записи компьютера, которые входят в систему. Да, компьютерные журналы тоже. Это важно, потому что, если что-то происходит с учетной записью компьютера в AD, например, кто-то сбрасывает учетную запись или удаляет ее, вы можете получить сообщение об ошибке, которое говорит о том, что отношения доверия между компьютером и доменом не существуют. Даже если ваши учетные данные сети прекрасны, компьютеру больше не доверяют для входа в домен.

Проблемы доступности контроллера домена

Я слышал: «У меня есть первичный контроллер домена (PDC) и вы хотите установить контроллер домена резервного копирования (BDC)» гораздо чаще, чем мне хотелось бы верить. Концепция PDC и BDC умерла с Windows NT4. Последний бастион для PDC был в промежуточном смешанном режиме Windows 2000, когда у вас все еще были DC NT. В принципе, если вы не поддерживаете 15+ летних установка, которая никогда не обновлялась, у вас действительно нет PDC или BDC, у вас есть только два контроллера домена.

Несколько контроллеров домена могут отвечать на запросы аутентификации от разных пользователей и компьютеров одновременно. Если кто-то терпит неудачу, то остальные будут продолжать предлагать услуги аутентификации, не делая одного «первичного», как вам пришлось бы делать в дни NT4. Лучше всего иметь как минимум двух контроллеров домена на домен. Эти контроллеры домена должны хранить копию GC и оба должны быть DNS-серверами, в которых также хранится копия зон Active Directory Integrated DNS для вашего домена.

Роли FSMO

«Итак, если нет PDC, почему существует роль PDC, которую может иметь только один DC?»

Я слышу это много. Eсть Эмулятор PDC роль. Это отличается от PDC. Фактически, есть 5 Гибкие роли Single Master Operations (FSMO), Их также называют ролими Operations Master. Эти два условия взаимозаменяемы. Что они и что они делают? Хороший вопрос! 5 ролей и их функции:

Мастер имен доменов - Существует только один мастер имен доменов в лесу. Мастер имен доменов гарантирует, что когда новый домен будет добавлен в лес, который является уникальным. Если сервер, занимающий эту роль, отключен, вы не сможете вносить изменения в пространство имен AD, которое включает такие вещи, как добавление новых дочерних доменов.

Мастер Схемы - В лесу работает только один Мастер операций с схемами. Он отвечает за обновление схемы Active Directory. Задачи, требующие этого, такие как подготовка AD для новой версии Windows Server, работающей как DC или установка Exchange, требуют модификации Схемы. Эти изменения должны быть сделаны с помощью мастера схем.

Мастер инфраструктуры - Существует один Мастер инфраструктуры для каждого домена. Если у вас только один домен в вашем лесу, вам не нужно беспокоиться об этом. Если у вас несколько лесов, вы должны убедиться, что эта роль не удерживается сервером, который также является держателем GC, если каждый DC в лесу не является GC, Мастер инфраструктуры отвечает за правильность обработки междоменных ссылок. Если пользователь в одном домене добавлен в группу в другом домене, мастер инфраструктуры для соответствующих доменов должен убедиться, что он обработан правильно. Эта роль будет работать неправильно, если она находится в глобальном каталоге.

Мастер RID - Мастер относительного идентификатора (RID Master) отвечает за выпуск пулов RID в DC. Существует один мастер RID для каждого домена. Любой объект в домене AD имеет уникальный Идентификатор безопасности (SID), Это состоит из комбинации идентификатора домена и относительного идентификатора. Каждый объект в данном домене имеет тот же идентификатор домена, поэтому относительный идентификатор - это то, что делает объекты уникальными. Каждый DC имеет пул относительных идентификаторов для использования, поэтому, когда этот DC создает новый объект, он добавляет RID, который он еще не использовал. Поскольку DC генерируются неперекрывающимися пулами, каждый RID должен оставаться уникальным для продолжительности жизни домена. Когда DC получает до ~ 100 RID, оставшихся в пуле, он запрашивает новый пул из основного RID. Если мастер RID отключен в течение длительного периода времени, создание объекта может завершиться неудачно.

Эмулятор PDC- Наконец, мы добираемся до самой широко непонятной роли их всех, роли Эмулятора PDC. Существует один эмулятор PDC для домена. Если произошла неудачная попытка аутентификации, она пересылается в эмулятор PDC. Эмулятор PDC функционирует как «тай-брейкер», если пароль был обновлен на одном контроллере постоянного тока и еще не реплицирован на другие. Эмулятор PDC также является сервером, который контролирует синхронизацию времени между доменами. Все остальные контроллеры домена синхронизируют свое время с эмулятором PDC. Все клиенты синхронизируют свое время с DC, в который они вошли. Важно, чтобы все оставалось в пределах 5 минут друг от друга, иначе Kerberos ломается, и когда это произойдет, все кричат.

Важно помнить, что серверы, на которых работают эти роли, не установлены в камне. Обычно тривиально перемещать эти роли вокруг, так что, в то время как некоторые DC работают немного больше, чем другие, если они заходят на короткие промежутки времени, все будет нормально функционировать нормально. Если они не работают долгое время, легко прозрачно передавать роли. Это намного лучше, чем дни NT4 PDC / BDC, поэтому, пожалуйста, прекратите звонить своим DC по тем старым именам. :)

Итак, гм ... как DC передают информацию, если они могут функционировать независимо друг от друга?

Репликация, конечно, По умолчанию DC, принадлежащие одному домену на одном и том же сайте, будут копировать свои данные друг другу с интервалом 15 секунд. Это гарантирует, что все относительно современно.

Есть некоторые «срочные» события, которые запускают немедленную репликацию. Эти события: Учетная запись заблокирована для слишком большого числа неудачных входов в систему, внесение изменений в политику домена или политики блокировки, секрет LSA изменен, пароль изменен на учетной записи компьютера DC или передана роль ведущего агента RID к новому DC. Любое из этих событий вызовет немедленное событие репликации.

Изменения пароля падают где-то между срочными и несрочными и обрабатываются однозначно. Если пароль пользователя изменен DC01 и пользователь пытается войти в компьютер, который проверяет подлинность DC02 до того, как произойдет репликация, вы ожидаете, что это потерпит неудачу, верно? К счастью, этого не происходит. Предположим, что здесь также имеется третий DC DC03 который содержит роль эмулятора PDC. когда DC01 обновляется с новым паролем пользователя, это изменение немедленно реплицируется на DC03 также. Когда попытка аутентификации DC02 выходит из строя, DC02 затем пересылает эту попытку аутентификации DC03, который проверяет, что он действительно хорош, и вход в систему разрешен.

Давайте поговорим о DNS

DNS имеет решающее значение для правильно функционирующего AD. Официальная партийная линия Microsoft заключается в том, что любой DNS-сервер можно использовать, если он настроен правильно. Если вы попытаетесь использовать BIND для размещения своих зон AD, вы высоко. Шутки в сторону. Придерживайтесь использования AD Integrated DNS зон и используйте условные или глобальные форвардеры для других зон, если это необходимо. Все ваши клиенты должны быть настроены на использование ваших DNS-серверов AD, поэтому важно иметь избыточность здесь. Если у вас есть два DC, попросите их запустить DNS и настроить своих клиентов на использование обоих из них для разрешения имен.

Кроме того, вы захотите убедиться, что если у вас есть несколько DC, они не перечисляют себя сначала для разрешения DNS. Это может привести к ситуации, когда они находятся на "остров репликации" где они отключены от остальной топологии репликации AD и не могут восстановиться. Если у вас есть два сервера DC01 - 10.1.1.1 а также DC02 - 10.1.1.2, то их список DNS-серверов должен быть сконфигурирован следующим образом:

Сервер: DC01 (10.1.1.1)
  Первичный DNS - 10.1.1.2
  Вторичный DNS - 127.0.0.1

Сервер: DC02 (10.1.1.2)
  Первичный DNS - 10.1.1.1
  Вторичный DNS - 127.0.0.1

Хорошо, это кажется сложным. Почему я вообще хочу использовать AD?

Потому что, как только вы знаете, что делаете, жизнь становится бесконечно лучше. AD позволяет централизовать управление пользователями и компьютером, а также централизовать доступ к ресурсам и их использование. Представьте ситуацию, когда у вас 50 пользователей в офисе. Если вы хотите, чтобы каждый пользователь имел свой логин на каждом компьютере, вам нужно настроить 50 локальных учетных записей пользователей на каждом ПК. С AD вы должны только сделать учетную запись пользователя один раз, и она может войти на любой компьютер в домене по умолчанию. Если вы хотите усилить безопасность, вам придется делать это 50 раз. Вид кошмара, не так ли? Также представьте, что у вас есть доля файлов, на которую вы хотите только половину этих людей. Если вы не используете AD, вам нужно либо скопировать свое имя пользователя и пароли вручную на сервере, чтобы дать бесспорный доступ, либо вам нужно будет создать общую учетную запись и дать каждому пользователю имя пользователя и пароль. Один из способов означает, что вы знаете (и должны постоянно обновлять) пароли пользователей. Другой способ означает, что у вас нет контрольного журнала. Нехорошо, да?

Вы также можете использовать групповую политику при настройке AD. Групповая политика - это набор объектов, которые связаны с подразделениями, которые определяют параметры для пользователей и / или компьютеров в этих подразделениях. Например, если вы хотите сделать так, чтобы «Shutdown» не находилось в стартовом меню для 500 лабораторных компьютеров, вы можете сделать это в одном параметре в групповой политике. Вместо того, чтобы проводить часы или дни, настраивая правильные записи в реестре вручную, вы создаете объект групповой политики один раз, связываете его с правильным подразделением или подразделениями и никогда больше не должны об этом думать. Есть сотни объектов групповой политики, которые можно настроить, а гибкость групповой политики является одной из основных причин того, что Microsoft настолько доминирует на корпоративном рынке.


143
2018-06-27 03:47



Молодец, Марк. Удивительный QA. - EEAA♦
@TheCleaner Согласен, но часть миссии Stack Exchange - это центральный репозиторий для всей полезной информации по определенной теме. Таким образом, хотя информация в Википедии, как правило, очень правильная и актуальная, здесь нет людей, а «здесь» должен быть универсальным магазином для всего, что связано с администрированием системы. - MDMarra
@RyanBolger Это все правда, но это Q & A ориентировано на новичка. Поддержка является большой проблемой, и Microsoft будет абсолютно не помогите разобраться в проблеме AD, которая может быть связана с DNS, если вы используете BIND (или что-то еще). Это расширенная конфигурация, которая не рекомендуется для тех, кто должен задать вопрос «Что такое AD и как он работает». Вдобавок ко всему, DNS - это роль с низкой нагрузкой. Если у вас уже есть контроллеры домена, очень сложно сделать дело не для запуска DNS на них и иметь глобальный переадресатор для остальной части вашей инфраструктуры DNS. - MDMarra
@RyanBolger - согласился с MDMarra. Если у Фреда уже есть хорошо функционирующая и сложная внутренняя инфраструктура DNS, то Фред не будет отправлять на SF запрос «Итак, я собираюсь установить эту вещь в Active Directory - расскажите мне все об этом, пожалуйста?» - mfinni
Ваш ответ просто напомнил мне проверить порядок поиска DNS-сервера на контроллерах домена сети, которую я унаследовал ... Да, они имели в виду самих себя! - myron-semack


Заметка: Этот ответ был объединен с этим вопросом из другого вопроса, который задавал вопрос о различиях между лесами, дочерними доменами, деревьями, сайтами и подразделениями. Это не было изначально написано как ответ на этот конкретный вопрос.


лес

Вы хотите создать новый лес, если вам нужна граница безопасности. Например, у вас может быть сеть периметра (DMZ), которой вы хотите управлять с помощью AD, но вы не хотите, чтобы ваш внутренний AD был доступен в периметрической сети по соображениям безопасности. В этом случае вам нужно создать новый лес для этой зоны безопасности. Вы также можете захотеть этого разделения, если у вас есть несколько объектов, которые не доверяют друг другу - например, корпорация-оболочка, которая охватывает отдельные предприятия, которые работают независимо. В этом случае вы хотите, чтобы у каждого объекта был свой лес.


Дочерний домен

На самом деле, вам это больше не нужно. Есть несколько хороших примеров того, когда вам нужен дочерний домен. Унаследованная причина связана с различными требованиями к политике паролей, но это уже недействительно, так как с сервера 2008 года доступны политики мелкозернистого пароля. Вам действительно нужен только дочерний домен, если у вас есть районы с невероятным плохим сетевым подключением, и вы хотите чтобы резко сократить трафик репликации - хороший пример круизного корабля со спутниковой связью WAN. В этом случае каждый круизный корабль может быть его собственным дочерним доменом, чтобы быть относительно автономным, хотя он все еще может использовать преимущества того, чтобы быть в том же лесу, что и другие домены от той же компании.


дерево

Это странный шар. Новые деревья используются, когда вы хотите сохранить преимущества управления одним лесом, но иметь домен в новом пространстве имен DNS. Например corp.example.com может быть корнем леса, но вы могли бы ad.mdmarra.com в том же лесу, используя новое дерево. Здесь применяются те же правила и рекомендации для дочерних доменов - используйте их экономно. Обычно они не нужны в современных АД.


сайт

Сайт должен представлять физическую или логическую границу в вашей сети. Например, филиалы. Сайты используются для интеллектуального выбора партнеров по репликации для контроллеров домена в разных областях. Без определения сайтов все контроллеры домена будут обрабатываться так, как если бы они находились в одном физическом местоположении и реплицировались в топологии сетки. На практике большинство организаций настроены логически в хабе и спике, поэтому сайты и службы должны быть настроены таким образом.

Другие приложения также используют сайты и службы. DFS использует его для реферирования пространства имен и выбора партнера репликации. Exchange и Outlook используют его для поиска «ближайшего» глобального каталога для запроса. Ваши компьютеры, подключенные к домену, используют его для поиска ближайших DC-адресов для проверки подлинности. Без этого ваш трафик репликации и аутентификации будет похож на Дикий Запад.


Организационная единица

Они должны быть созданы таким образом, чтобы отображать потребность вашей организации в деле делегирования разрешения и приложения групповой политики. У многих организаций есть одно подразделение на сайт, потому что они применяют GPO таким образом - это глупо, потому что вы можете применять GPO к сайту с сайтов и сервисов. Другие организации отделяют подразделения от отдела или функции. Это имеет смысл для многих людей, но дизайн OU должен удовлетворять вашим потребностям и является довольно гибким. Для этого нет «одного способа».

Многонациональная компания может иметь подразделения высшего уровня North America, Europe, Asia, South America, Africa чтобы они могли делегировать административные привилегии на континенте. Другие организации могут иметь подразделения высшего уровня Human Resources, Accounting, Sales, и т. д., если это имеет для них больше смысла. Другие организации имеют минимальные политические потребности и используют «плоский» макет только с Employee Users а также Employee Computers, Здесь нет правильного ответа, это то, что отвечает потребностям вашей компании.


16
2018-01-28 17:06



Кто-то знает его AD довольно подробно .. +1 - NickW
@NickW AD вопросы, где 72k моего 72.9k rep, вероятно, пришли из: D - MDMarra
И все же отличная статья Technet, которую можно прочитать после всего этого времени: technet.microsoft.com/en-us/library/bb727030.aspx - некоторые части были заменены, но определенно стоит прочитать. - TheCleaner