Διαμόρφωση ελεγκτών τομέα σε διαφορετικά υποδίκτυα. Διαχείριση στην υπηρεσία καταλόγου Active Directory. Εδραίωση εμπιστοσύνης

Το βασικό στοιχείο ενός αποτελεσματικού εταιρικού δικτύου είναι ο ελεγκτής τομέα Active Directory, ο οποίος διαχειρίζεται πολλές υπηρεσίες και παρέχει πολλά οφέλη.

Υπάρχουν δύο τρόποι για να δημιουργηθεί μια υποδομή πληροφορικής - τυπική και τυχαία, όταν καταβάλλονται ελάχιστες επαρκείς προσπάθειες για την επίλυση αναδυόμενων προβλημάτων, χωρίς να δημιουργηθεί μια σαφής και αξιόπιστη υποδομή. Για παράδειγμα, δημιουργία ενός δικτύου peer-to-peer σε όλο τον οργανισμό και άνοιγμα δημόσια πρόσβασησε όλους τα απαραίτητα αρχείακαι φακέλους, χωρίς τη δυνατότητα ελέγχου των ενεργειών του χρήστη.

Προφανώς, αυτό το μονοπάτι είναι ανεπιθύμητο, αφού στο τέλος θα πρέπει να αποσυναρμολογήσετε και να οργανώσετε σωστά ένα χαοτικό συνονθύλευμα συστημάτων, διαφορετικά δεν θα μπορέσει να λειτουργήσει - και μαζί του και η επιχείρησή σας. Επομένως, όσο πιο γρήγορα αποδεχτείς το μοναδικό σωστή λύσηχτίζω εταιρικό δίκτυομε έναν ελεγκτή τομέα - τόσο το καλύτερο για την επιχείρησή σας μακροπρόθεσμα. Και για αυτο.

«Ένας τομέας είναι μια βασική μονάδα υποδομής πληροφορικής που βασίζεται στο λειτουργικό σύστημα Windows, μια λογική και φυσική ένωση διακομιστών, υπολογιστών, εξοπλισμού και λογαριασμών χρηστών».

Ελεγκτής τομέα (DC) - ένας ξεχωριστός διακομιστής με λειτουργικό σύστημα Windows Server, το οποίο εκτελεί υπηρεσίες Active Directory που το κάνουν πιθανή δουλειάμια μεγάλη ποσότητα λογισμικού που απαιτεί CD για διαχείριση. Παραδείγματα τέτοιου λογισμικού είναι ο διακομιστής αλληλογραφίας Exchange, το cloud Πακέτο γραφείου 365 και άλλα περιβάλλοντα λογισμικούεταιρικό επίπεδο από τη Microsoft.

Εκτός από την παροχή σωστή λειτουργίαΑπό αυτές τις πλατφόρμες, το CD παρέχει σε επιχειρήσεις και οργανισμούς τα ακόλουθα πλεονεκτήματα:

Ανάπτυξη διακομιστή τερματικού . σας επιτρέπει να εξοικονομήσετε σημαντικά πόρους και προσπάθεια με την αντικατάσταση συνεχής ενημέρωσηυπολογιστές γραφείου με εφάπαξ επένδυση σε τοποθέτηση " thin clients” για να συνδεθείτε σε έναν ισχυρό διακομιστή cloud.
Αυξημένη ασφάλεια. Το CD σάς επιτρέπει να ορίζετε πολιτικές δημιουργίας κωδικού πρόσβασης και να αναγκάζετε τους χρήστες να χρησιμοποιούν πιο σύνθετους κωδικούς πρόσβασης από την ημερομηνία γέννησής τους, το qwerty ή το 12345.
Κεντρικός έλεγχος δικαιωμάτων πρόσβασης. Αντί μη αυτόματη ενημέρωσηκωδικούς πρόσβασης σε κάθε υπολογιστή ξεχωριστά, ο διαχειριστής του CD μπορεί να αλλάξει κεντρικά όλους τους κωδικούς πρόσβασης σε μία λειτουργία από έναν υπολογιστή.
Κεντρική διαχείριση πολιτικής ομάδας. Τα εργαλεία Active Directory σάς επιτρέπουν να δημιουργείτε πολιτικές ομάδας και να ορίζετε δικαιώματα πρόσβασης σε αρχεία, φακέλους και άλλους πόρους δικτύου για συγκεκριμένες ομάδες χρηστών. Αυτό απλοποιεί σημαντικά τη δημιουργία νέων λογαριασμών χρηστών ή την αλλαγή των ρυθμίσεων των υπαρχόντων προφίλ.
Είσοδος διέλευσης. Η υπηρεσία καταλόγου Active Directory υποστηρίζει τη σύνδεση μέσω διαβιβάσεων, όταν κατά την εισαγωγή του ονόματος χρήστη και του κωδικού πρόσβασης για έναν τομέα, ο χρήστης συνδέεται αυτόματα με όλες τις άλλες υπηρεσίες, όπως το mail και το Office 365.
Δημιουργία προτύπων εγκατάστασης υπολογιστή. Η διαμόρφωση κάθε μεμονωμένου υπολογιστή κατά την προσθήκη του στο εταιρικό δίκτυο μπορεί να αυτοματοποιηθεί χρησιμοποιώντας πρότυπα. Για παράδειγμα, χρησιμοποιώντας ειδικούς κανόνες, οι μονάδες CD ή οι θύρες USB μπορούν να απενεργοποιηθούν κεντρικά, ορισμένες θύρες δικτύου μπορούν να κλείσουν και ούτω καθεξής. Έτσι, αντί να ρυθμίσετε με μη αυτόματο τρόπο ένα νέο σταθμός εργασίας, ο διαχειριστής απλώς το περιλαμβάνει σε μια συγκεκριμένη ομάδα και όλοι οι κανόνες για αυτήν την ομάδα θα εφαρμοστούν αυτόματα.

Όπως μπορείτε να δείτε, η ρύθμιση ενός ελεγκτή τομέα Active Directory προσφέρει πολλές ανέσεις και οφέλη σε επιχειρήσεις και οργανισμούς όλων των μεγεθών.

Πότε να εφαρμόσετε έναν ελεγκτή τομέα Active Directory σε ένα εταιρικό δίκτυο;

Συνιστούμε να σκεφτείτε να ρυθμίσετε έναν ελεγκτή τομέα για την εταιρεία σας όταν έχετε περισσότερους από 10 υπολογιστές συνδεδεμένους στο δίκτυο, καθώς είναι πολύ πιο εύκολο να ορίσετε τις απαραίτητες πολιτικές για 10 μηχανήματα παρά για 50. Επιπλέον, καθώς αυτός ο διακομιστής δεν εκτελούν εργασίες που απαιτούν ιδιαίτερα πόρους, Ένας ισχυρός επιτραπέζιος υπολογιστής μπορεί κάλλιστα να είναι κατάλληλος για αυτόν τον ρόλο.

Ωστόσο, είναι σημαντικό να θυμάστε ότι αυτός ο διακομιστής θα αποθηκεύει κωδικούς πρόσβασης για πρόσβαση σε πόρους δικτύου και μια βάση δεδομένων χρηστών τομέα, ένα σύστημα δικαιωμάτων και πολιτικές ομάδαςχρήστες. Ανάγκη επέκτασης backup serverμε συνεχή αντιγραφή δεδομένων για τη διασφάλιση της συνέχειας της λειτουργίας του ελεγκτή τομέα, και αυτό μπορεί να γίνει πολύ πιο γρήγορα, ευκολότερα και πιο αξιόπιστα χρησιμοποιώντας εικονικοποίηση διακομιστή, που παρέχεται όταν το εταιρικό δίκτυο φιλοξενείται στο cloud. Αυτό αποφεύγει τα ακόλουθα προβλήματα:

Εσφαλμένες ρυθμίσεις διακομιστή DNS, το οποίο οδηγεί σε σφάλματα στη θέση των πόρων στο εταιρικό δίκτυο και στο Διαδίκτυο
Εσφαλμένα διαμορφωμένες ομάδες ασφαλείαςοδηγεί σε σφάλματα στα δικαιώματα πρόσβασης των χρηστών στους πόρους δικτύου
Λανθασμένες εκδόσεις λειτουργικού συστήματος. Καθε Ενεργή έκδοσηΟ κατάλογος υποστηρίζει ορισμένες εκδόσεις επιτραπέζιων λειτουργικών συστημάτων Windows για thin clients
Απουσίαή λανθασμένη ρύθμιση αυτόματη αντιγραφήδεδομέναστον ελεγκτή τομέα αντιγράφων ασφαλείας.

Είχα την ανάγκη να αναπτύξω την υπηρεσία Active Directory σε γεωγραφικά διαχωρισμένες τοποθεσίες, τα δίκτυα των οποίων συνδυάζονται με χρησιμοποιώντας VPN. Εκ πρώτης όψεως, το έργο φαίνεται απλό, αλλά προσωπικά, δεν έχω ασχοληθεί με τέτοια πράγματα στο παρελθόν και με μια γρήγορη αναζήτηση δεν μπόρεσα να βρω καμία φωτογραφία ή σχέδιο δράσης σε αυτή την περίπτωση. Έπρεπε να συλλέξω πληροφορίες από διαφορετικές πηγές και να καταλάβω τις ρυθμίσεις μόνος μου.

Από αυτό το άρθρο θα μάθετε:

Σχεδιασμός για εγκατάσταση Active Directory σε διαφορετικά υποδίκτυα

Άρα έχουμε δύο υποδίκτυα 10.1.3.0/24 Και 10.1.4.0/24 , καθένα από τα οποία έχει ορισμένο αριθμό υπολογιστών και κοινόχρηστο στοιχείο δικτύου. Πρέπει να τα συνδυάσουμε όλα αυτά σε έναν τομέα. Τα δίκτυα συνδέονται μεταξύ τους με μια σήραγγα VPN, οι υπολογιστές κάνουν ping μεταξύ τους και προς τις δύο κατευθύνσεις, δεν υπάρχουν προβλήματα με την πρόσβαση στο δίκτυο.

Για κανονική λειτουργίαΘα εγκαταστήσουμε υπηρεσίες Active Directory σε έναν ελεγκτή τομέα σε κάθε υποδίκτυο και θα διαμορφώσουμε την αναπαραγωγή μεταξύ τους. Θα χρησιμοποιήσουμε τον Windows Server 2012R2. Η σειρά των ενεργειών είναι η εξής:

Εγκαθιστούμε έναν ελεγκτή τομέα σε ένα υποδίκτυο, τον ανεβάζουμε σε αυτό νέο τομέαστο νέο δάσος
Εγκαταστήστε έναν ελεγκτή τομέα στο δεύτερο υποδίκτυο και προσθέστε τον στον τομέα
Ρύθμιση αναπαραγωγής μεταξύ τομέων

Θα κληθεί ο πρώτος ελεγκτής τομέα xs-winsrvμε διεύθυνση 10.1.3.4 , δεύτερο - xm-winsrv 10.1.4.6. Το domain που θα δημιουργήσουμε θα καλείται xs.τοπικό

Διαμόρφωση ελεγκτών τομέα ώστε να λειτουργούν σε διαφορετικά υποδίκτυα

Πρώτα απ 'όλα, εγκαταστήστε έναν ελεγκτή τομέα στο νέο σύμπλεγμα δομών στον πρώτο διακομιστή xs-winsrv. Δεν θα σταθώ σε αυτό λεπτομερώς, υπάρχουν πολλά σεμινάρια και οδηγίες για αυτό το θέμα στο Διαδίκτυο. Κάνουμε τα πάντα ως τυπικά, εγκαθιστούμε υπηρεσίες AD, DHCP και DNS. Καθορίζουμε την τοπική διεύθυνση IP ως πρώτο διακομιστή DNS και ως δεύτερο 127.0.0.1 :

Στη συνέχεια εγκαθιστούμε τον Windows Server 2012R2 στον δεύτερο διακομιστή xm-winsrv. Τώρα κάνουμε αρκετά σημαντικά βήματα, χωρίς τα οποία δεν θα είναι δυνατή η προσθήκη δεύτερου διακομιστή στον τομέα. Και οι δύο διακομιστές πρέπει να κάνουν ping μεταξύ τους με το όνομα. Για να το κάνετε αυτό, προσθέστε εγγραφές μεταξύ τους στα αρχεία C:\Windows\System32\drivers\etc\host.

ΣΕ xs-winsrvπροσθέστε τη γραμμή:

10.1.4.6 xm-winsrv

ΣΕ xm-winsrvΠροσθήκη:

10.1.3.4 xs-winsrv

Τώρα το δεύτερο σημαντικό σημείο. Σε διακομιστή xm-winsrvΚαθορίζουμε τον πρώτο ελεγκτή τομέα 10.1.3.4 ως τον πρώτο διακομιστή DNS:

Τώρα και οι δύο διακομιστές επιλύουν ο ένας τον άλλον. Ας το ελέγξουμε πρώτα στον διακομιστή xm-winsrv, το οποίο θα προσθέσουμε στον τομέα:

Μετά από αυτό ο διακομιστής xs-winsrvπρέπει να μεταφερθεί από τον ιστότοπο Προεπιλογή-First-Site-Nameστον νέο ιστότοπο που δημιουργήθηκε για αυτόν. Τώρα είστε έτοιμοι να προσθέσετε έναν δεύτερο διακομιστή στον τομέα.

Προσθήκη δεύτερου ελεγκτή τομέα από διαφορετικό υποδίκτυο

Πηγαίνουμε στον δεύτερο διακομιστή xm-winsrv, εκτελούμε τον Οδηγό προσθήκης ρόλων και προσθέτουμε 3 ρόλους με τον ίδιο τρόπο όπως στον πρώτο διακομιστή - AD, DNS, DHCP. Πότε θα ξεκινήσει ο Οδηγός εγκατάστασης υπηρεσίες τομέα Active Directory, επιλέξτε το πρώτο στοιχείο εκεί - Προσθήκη ελεγκτή τομέα σε υπάρχον τομέα , υποδεικνύουμε τον τομέα μας xs.τοπικό:

Στο επόμενο βήμα, στις παραμέτρους του ελεγκτή τομέα, καθορίζουμε το όνομα του ιστότοπου στον οποίο θα επισυνάψουμε τον ελεγκτή:

Να σας υπενθυμίσω ότι αυτός πρέπει να είναι ένας ιστότοπος στον οποίο είναι συνδεδεμένο το υποδίκτυο 10.1.4.0/24. Ο πρώτος και ο δεύτερος ελεγκτής καταλήγουν σε διαφορετικές τοποθεσίες. Μην ξεχάσετε να επιλέξετε το πλαίσιο Παγκόσμιος Κατάλογος (GC). Στη συνέχεια αφήνουμε όλες τις ρυθμίσεις στις προεπιλογές.

Μετά την επανεκκίνηση του διακομιστή, θα βρίσκεται στον τομέα xs.τοπικό. Δεν θα μπορείτε να συνδεθείτε ως τοπικός διαχειριστής, πρέπει να χρησιμοποιήσετε έναν διαχειριστή τομέα. λογαριασμός. Πάμε να ελέγξουμε αν έχει περάσει η αναπαραγωγή με τον κεντρικό ελεγκτή τομέα, αν έχουμε συγχρονίσει Εγγραφές DNS. Όλα αυτά πήγαν καλά για μένα ο δεύτερος ελεγκτής τομέα πήρε όλους τους χρήστες και τις εγγραφές DNS από τον πρώτο. Και στους δύο διακομιστές, στο συμπληρωματικό πρόγραμμα Active-Directory - Sites and Services, εμφανίζονται και οι δύο ελεγκτές, ο καθένας στον δικό του ιστότοπο:

Αυτό είναι όλο. Μπορείτε να προσθέσετε υπολογιστές και στα δύο γραφεία στον τομέα.

Θα προσθέσω ένα ακόμη σημαντικό σημείο για όσους θα ρυθμίσουν όλα αυτά σε εικονικές μηχανές. Είναι απαραίτητο να απενεργοποιήσετε το συγχρονισμό ώρας με τον hypervisor στα συστήματα φιλοξενούμενων. Εάν αυτό δεν γίνει, τότε κάποια στιγμή οι ελεγκτές τομέα μπορεί να αρρωστήσουν.

Ελπίζω να τα έκανα όλα σωστά. Βαθιά γνώση σε αναπαραγωγή ΕνεργόςΔεν έχω κατάλογο. Εάν κάποιος έχει σχόλια για το περιεχόμενο του άρθρου, γράψτε γι 'αυτό στα σχόλια. Συνέλεξα όλες τις πληροφορίες κυρίως από φόρουμ όπου τέθηκαν ερωτήσεις ή επιλύθηκαν προβλήματα σχετικά με παρόμοια θέματα λειτουργίας τομέα σε διαφορετικά υποδίκτυα.

Διαδικτυακό μάθημα "Linux Administrator"

Εάν επιθυμείτε να μάθετε πώς να κατασκευάζετε και να διατηρείτε εξαιρετικά διαθέσιμα και αξιόπιστα συστήματα, σας συνιστώ να εξοικειωθείτε με διαδικτυακό μάθημα" Διαχειριστής Linux» στο OTUS. Το μάθημα δεν είναι για αρχάριους για εισαγωγή ΒΑΣΙΚΕΣ ΓΝΩΣΕΙΣμέσω δικτύων και Εγκατάσταση Linuxστην εικονική μηχανή. Η εκπαίδευση διαρκεί 5 μήνες, μετά από τους οποίους οι επιτυχόντες απόφοιτοι θα μπορούν να υποβληθούν σε συνεντεύξεις με συνεργάτες. Δοκιμάστε τον εαυτό σας στο τεστ εισαγωγής και δείτε το πρόγραμμα για περισσότερες λεπτομέρειες.

Ένας τομέας είναι η βασική διοικητική μονάδα σε υποδομή δικτύουεπιχείρηση, η οποία περιλαμβάνει όλα τα αντικείμενα δικτύου όπως χρήστες, υπολογιστές, εκτυπωτές, κοινόχρηστα στοιχεία κ.λπ. Μια συλλογή (ιεραρχία) τομέων ονομάζεται δάσος. Κάθε εταιρεία μπορεί να έχει εξωτερικό και εσωτερικό τομέα.

Για παράδειγμα, ένας ιστότοπος είναι ένας εξωτερικός τομέας στο Διαδίκτυο που αγοράστηκε από έναν καταχωρητή ονομάτων. Αυτός ο τομέας φιλοξενεί τον ιστότοπό μας και τον διακομιστή αλληλογραφίας μας. Το lankey.local είναι ο εσωτερικός τομέας της υπηρεσίας καταλόγου Active Directory που φιλοξενεί λογαριασμούς χρηστών, υπολογιστή, εκτυπωτή, διακομιστή και εταιρικών εφαρμογών. Μερικές φορές τα εξωτερικά και εσωτερικά ονόματα τομέα γίνονται το ίδιο.

Η Microsoft Active Directory έχει γίνει το πρότυπο για συστήματα ενοποιημένων καταλόγων για επιχειρήσεις. Ένας τομέας που βασίζεται στην υπηρεσία καταλόγου Active Directory έχει εφαρμοστεί σχεδόν σε όλες τις εταιρείες στον κόσμο και η Microsoft δεν έχει ουσιαστικά κανέναν ανταγωνιστή σε αυτήν την αγορά, το μερίδιο της ίδιας υπηρεσίας καταλόγου Novell (NDS) είναι αμελητέο και οι υπόλοιπες εταιρείες σταδιακά μεταναστεύουν σε Ενεργό αρχείο.

Η υπηρεσία καταλόγου Active Directory (Υπηρεσία καταλόγου) είναι μια κατανεμημένη βάση δεδομένων που περιέχει όλα τα αντικείμενα σε έναν τομέα. Το περιβάλλον τομέα Active Directory παρέχει ένα ενιαίο σημείο ελέγχου ταυτότητας και εξουσιοδότησης για χρήστες και εφαρμογές σε όλη την επιχείρηση. Με την οργάνωση ενός domain και την ανάπτυξη της Active Directory ξεκινά η κατασκευή μιας εταιρικής υποδομής πληροφορικής. Η βάση δεδομένων Active Directory αποθηκεύεται σε αποκλειστικούς διακομιστές – ελεγκτές τομέα. Το Active Directory είναι ένας λειτουργικός ρόλος διακομιστή συστήματα της Microsoft Windows Server. Αυτή τη στιγμή, η εταιρεία LanKey υλοποιεί τομείς Active Directory με βάση λειτουργικό σύστημα Windows Server 2008 R2.

Η ανάπτυξη του Active Directory μέσω μιας ομάδας εργασίας παρέχει τα ακόλουθα πλεονεκτήματα:

Ενιαίο σημείο ελέγχου ταυτότητας. Όταν οι υπολογιστές λειτουργούν σε μια ομάδα εργασίας, δεν έχουν μια ενιαία βάση δεδομένων χρήστη. Επομένως, από προεπιλογή, κανένας χρήστης δεν έχει πρόσβαση δικτύου στον υπολογιστή ή στο διακομιστή άλλου χρήστη. Και, όπως γνωρίζετε, το σημείο του δικτύου είναι ακριβώς έτσι ώστε οι χρήστες να μπορούν να αλληλεπιδρούν. Οι εργαζόμενοι απαιτούν μοιρασιάσε έγγραφα ή αιτήσεις. Σε μια ομάδα εργασίας, σε κάθε υπολογιστή ή διακομιστή θα πρέπει να προσθέσετε μη αυτόματα πλήρης λίσταχρήστες που χρειάζονται πρόσβαση στο δίκτυο. Εάν ξαφνικά ένας από τους υπαλλήλους θέλει να αλλάξει τον κωδικό πρόσβασής του, τότε θα πρέπει να αλλάξει σε όλους τους υπολογιστές και τους διακομιστές. Είναι καλό αν το δίκτυο αποτελείται από 10 υπολογιστές, αλλά αν υπάρχουν 100 ή 1000 από αυτούς, τότε η χρήση μιας ομάδας εργασίας θα είναι απαράδεκτη. Όταν χρησιμοποιείτε έναν τομέα Active Directory, όλοι οι λογαριασμοί χρηστών αποθηκεύονται σε μία βάση δεδομένων και όλοι οι υπολογιστές αναζητούν εξουσιοδότηση. Όλοι οι χρήστες τομέα περιλαμβάνονται στις κατάλληλες ομάδες, για παράδειγμα, «Λογιστική», «Ανθρώπινοι πόροι», «Τμήμα Οικονομικών» κ.λπ. Αρκεί να ορίσετε δικαιώματα για ορισμένες ομάδες μία φορά και όλοι οι χρήστες θα έχουν την κατάλληλη πρόσβαση σε έγγραφα και εφαρμογές. Εάν ένας νέος υπάλληλος εγγραφεί στην εταιρεία, δημιουργείται ένας λογαριασμός για αυτόν, ο οποίος περιλαμβάνεται στην κατάλληλη ομάδα και τέλος! Μετά από μερικά λεπτά, ο νέος υπάλληλος αποκτά πρόσβαση σε όλους τους πόρους δικτύου στους οποίους θα πρέπει να του επιτρέπεται η πρόσβαση, σε όλους τους διακομιστές και τους υπολογιστές. Εάν ένας υπάλληλος αποχωρήσει, τότε αρκεί να μπλοκάρει ή να διαγράψει τον λογαριασμό του και θα χάσει αμέσως την πρόσβαση σε όλους τους υπολογιστές, τα έγγραφα και τις εφαρμογές.
Ενιαίο σημείο διαχείρισης πολιτικής. Σε ένα δίκτυο peer-to-peer (ομάδα εργασίας), όλοι οι υπολογιστές έχουν ίσα δικαιώματα. Κανένας από τους υπολογιστές δεν μπορεί να ελέγξει τον άλλον, όλοι οι υπολογιστές έχουν ρυθμιστεί διαφορετικά και είναι αδύνατο να παρακολουθηθεί η συμμόρφωση με ενιαίες πολιτικές ή κανόνες ασφαλείας. Όταν χρησιμοποιείτε ένα μονό Ενεργό αρχείοΚατάλογος, όλοι οι χρήστες και οι υπολογιστές κατανέμονται ιεραρχικά σε οργανωτικές μονάδες, σε καθεμία από τις οποίες εφαρμόζονται ενιαίες πολιτικές ομάδας. Οι πολιτικές σάς επιτρέπουν να ορίζετε ενιαίες ρυθμίσεις και ρυθμίσεις ασφαλείας για μια ομάδα υπολογιστών και χρηστών. Όταν ένας νέος υπολογιστής ή χρήστης προστίθεται σε έναν τομέα, λαμβάνει αυτόματα ρυθμίσεις που συμμορφώνονται με τα αποδεκτά εταιρικά πρότυπα. Επίσης, χρησιμοποιώντας πολιτικές, μπορείτε να εκχωρήσετε κεντρικά σε χρήστες εκτυπωτές δικτύου, εγκαταστήστε τις απαραίτητες εφαρμογές, ορίστε τις ρυθμίσεις ασφαλείας του προγράμματος περιήγησης στο Internet, διαμορφώστε τις εφαρμογές το γραφείο της Microsoftκαι τα λοιπά.
Ενσωματώσεις με εταιρικές εφαρμογέςκαι εξοπλισμός. Το μεγάλο πλεονέκτημα του Active Directory είναι η συμμόρφωσή του με το πρότυπο LDAP, το οποίο υποστηρίζεται από εκατοντάδες εφαρμογές, όπως διακομιστές αλληλογραφίας (Exchange, Lotus, Mdaemon), συστήματα ERP (Dynamics, CRM), διακομιστές μεσολάβησης (ISA Server, Squid) , κ.λπ. Επιπλέον, δεν πρόκειται μόνο για εφαρμογές υπό Microsoft Windows, αλλά και διακομιστές που βασίζονται σε Linux. Τα πλεονεκτήματα μιας τέτοιας ολοκλήρωσης είναι ότι ο χρήστης δεν χρειάζεται να θυμάται μεγάλο αριθμό συνδέσεων και κωδικών πρόσβασης για να έχει πρόσβαση σε μια συγκεκριμένη εφαρμογή σε όλες τις εφαρμογές ο χρήστης έχει τα ίδια διαπιστευτήρια ο έλεγχος ταυτότητας του πραγματοποιείται σε μια ενιαία υπηρεσία καταλόγου Active Directory. Επιπλέον, ο υπάλληλος δεν χρειάζεται να εισάγει το όνομα χρήστη και τον κωδικό πρόσβασής του πολλές φορές, αρκεί να συνδεθεί μία φορά κατά την εκκίνηση του υπολογιστή και στο μέλλον ο χρήστης θα πιστοποιείται αυτόματα σε όλες τις εφαρμογές. Ο Windows Server παρέχει το πρωτόκολλο RADIUS για ενοποίηση με την υπηρεσία καταλόγου Active Directory, το οποίο υποστηρίζεται από μεγάλο αριθμό εξοπλισμός δικτύου. Με αυτόν τον τρόπο, μπορείτε, για παράδειγμα, να παρέχετε έλεγχο ταυτότητας για χρήστες τομέα κατά τη σύνδεση Cisco routerμέσω VPN.
Ενιαίο αποθετήριο διαμόρφωσης εφαρμογής. Ορισμένες εφαρμογές αποθηκεύουν τις παραμέτρους τους στην υπηρεσία καταλόγου Active Directory, για παράδειγμα Exchange Serverή Office Communications Server. Η ανάπτυξη της υπηρεσίας καταλόγου Active Directory είναι προαπαιτούμενογια να λειτουργήσουν αυτές οι εφαρμογές. Μπορείτε επίσης να αποθηκεύσετε τη διαμόρφωση διακομιστή ονομάτων τομέα DNS στην υπηρεσία καταλόγου. Η αποθήκευση της διαμόρφωσης εφαρμογής σε μια υπηρεσία καταλόγου είναι επωφελής όσον αφορά την ευελιξία και την αξιοπιστία. Για παράδειγμα, σε περίπτωση πλήρους αποτυχίας του διακομιστή Exchange, ολόκληρη η διαμόρφωσή του θα παραμείνει ανέπαφη, επειδή αποθηκευμένο στην υπηρεσία καταλόγου Active Directory. Και για να επαναφέρετε τη λειτουργικότητα της εταιρικής αλληλογραφίας, αρκεί να εγκαταστήσετε ξανά τον διακομιστή Exchange σε λειτουργία ανάκτησης.
Αυξημένο επίπεδο ασφάλεια πληροφοριών. Η χρήση της υπηρεσίας καταλόγου Active Directory αυξάνει σημαντικά το επίπεδο ασφάλειας του δικτύου. Πρώτον, είναι ένας ενιαίος και ασφαλής χώρος αποθήκευσης λογαριασμού. Σε ένα δίκτυο peer-to-peer, τα διαπιστευτήρια χρήστη αποθηκεύονται σε μια βάση δεδομένων τοπικών λογαριασμών (SAM), η οποία μπορεί θεωρητικά να παραβιαστεί με την κατάληψη του υπολογιστή. Σε περιβάλλον τομέα, όλοι οι κωδικοί πρόσβασης χρήστες τομέααποθηκεύονται σε αποκλειστικούς διακομιστές ελεγκτή τομέα, από τους οποίους συνήθως προστατεύονται εξωτερική πρόσβαση. Δεύτερον, όταν χρησιμοποιείτε ένα περιβάλλον τομέα, το πρωτόκολλο Kerberos χρησιμοποιείται για έλεγχο ταυτότητας, το οποίο είναι πολύ πιο ασφαλές από το NTLM, το οποίο χρησιμοποιείται σε ομάδες εργασίας. Μπορείτε επίσης να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων χρησιμοποιώντας έξυπνες κάρτες για να συνδέσετε χρήστες στο σύστημα. Εκείνοι. Για να αποκτήσει πρόσβαση ένας υπάλληλος στον υπολογιστή, θα πρέπει να εισάγει το όνομα χρήστη και τον κωδικό πρόσβασής του, καθώς και την έξυπνη κάρτα του.

Επεκτασιμότητα και ανθεκτικότητα Active Directory

Η υπηρεσία καταλόγου Microsoft Active Directory διαθέτει άφθονες ευκαιρίεςαπολέπιση. Περισσότερα από 2 δισεκατομμύρια αντικείμενα μπορούν να δημιουργηθούν σε ένα δάσος Active Directory, το οποίο επιτρέπει την εφαρμογή της υπηρεσίας καταλόγου σε εταιρείες με εκατοντάδες χιλιάδες υπολογιστές και χρήστες. Η ιεραρχική δομή των τομέων σάς επιτρέπει να κλιμακώνετε ευέλικτα την υποδομή πληροφορικής σε όλα τα υποκαταστήματα και τα περιφερειακά τμήματα εταιρειών. Για κάθε υποκατάστημα ή τμήμα μιας εταιρείας, μπορεί να δημιουργηθεί ένας ξεχωριστός τομέας, με τις δικές του πολιτικές, τους δικούς του χρήστες και ομάδες. Για κάθε θυγατρικό τομέα, η διοικητική εξουσία μπορεί να ανατεθεί σε τοπικούς διαχειριστές συστήματος. Ταυτόχρονα, οι θυγατρικοί τομείς εξακολουθούν να υπόκεινται στους γονείς τους.

Επιπλέον, η υπηρεσία καταλόγου Active Directory σάς επιτρέπει να ρυθμίσετε τις σχέσεις εμπιστοσύνης μεταξύ των δασών τομέων. Κάθε εταιρεία έχει το δικό της δάσος τομέων, το καθένα με τους δικούς του πόρους. Αλλά μερικές φορές χρειάζεται να παρέχετε πρόσβαση στους εταιρικούς πόρους σας σε υπαλλήλους από συνεργαζόμενες εταιρείες. Για παράδειγμα, όταν συμμετέχουν σε κοινά έργα, εργαζόμενοι από συνεργαζόμενες εταιρείες μπορεί να χρειαστεί να συνεργαστούν γενικά έγγραφαή εφαρμογές. Για να γίνει αυτό, μπορούν να δημιουργηθούν σχέσεις εμπιστοσύνης μεταξύ οργανωτικών δασών, οι οποίες θα επιτρέψουν στους υπαλλήλους ενός οργανισμού να συνδεθούν στον τομέα ενός άλλου.

Η ανοχή σφαλμάτων της υπηρεσίας καταλόγου διασφαλίζεται με την ανάπτυξη 2 ή περισσότερων διακομιστών - ελεγκτών τομέα σε κάθε τομέα. Όλες οι αλλαγές αναπαράγονται αυτόματα μεταξύ ελεγκτών τομέα. Εάν ένας από τους ελεγκτές τομέα αποτύχει, η λειτουργικότητα του δικτύου δεν επηρεάζεται, επειδή τα υπόλοιπα συνεχίζουν να εργάζονται. Ένα επιπλέον επίπεδο ανοχής σφαλμάτων παρέχεται με την τοποθέτηση διακομιστών DNS σε ελεγκτές τομέα στην υπηρεσία καταλόγου Active Directory, που επιτρέπει σε κάθε τομέα να έχει πολλούς διακομιστές DNS που εξυπηρετούν την κύρια ζώνη τομέα. Και εάν ένας από τους διακομιστές DNS αποτύχει, οι υπόλοιποι θα συνεχίσουν να λειτουργούν και θα είναι προσβάσιμοι τόσο για ανάγνωση όσο και για γραφή, κάτι που δεν μπορεί να διασφαλιστεί χρησιμοποιώντας, για παράδειγμα, διακομιστές BIND DNS που βασίζονται σε Linux.

Οφέλη από την αναβάθμιση σε Windows Server 2008 R2

Ακόμα κι αν η εταιρεία σας διαθέτει ήδη μια υπηρεσία καταλόγου Active Directory που εκτελείται στον Windows Server 2003, μπορείτε να αποκομίσετε πολλά οφέλη κάνοντας αναβάθμιση σε Windows Server 2008 R2. Ο Windows Server 2008 R2 παρέχει τις ακόλουθες πρόσθετες δυνατότητες:

Ελεγκτής τομέα μόνο για ανάγνωση RODC (Ελεγκτής τομέα μόνο για ανάγνωση). Οι ελεγκτές τομέα αποθηκεύουν λογαριασμούς χρηστών, πιστοποιητικά και πολλά άλλα εμπιστευτικές πληροφορίες. Εάν οι διακομιστές βρίσκονται σε ασφαλή κέντρα δεδομένων, τότε μπορείτε να είστε ήρεμοι σχετικά με την ασφάλεια αυτών των πληροφοριών, αλλά τι να κάνετε εάν ο ελεγκτής τομέα βρίσκεται σε ένα υποκατάστημα σε προσβάσιμο από το κοινό μέρος. Σε αυτή την περίπτωση, υπάρχει πιθανότητα ο διακομιστής να κλαπεί από εισβολείς και να παραβιαστεί. Και στη συνέχεια χρησιμοποιούν αυτά τα δεδομένα για να οργανώσουν μια επίθεση στο εταιρικό σας δίκτυο προκειμένου να κλέψουν ή να καταστρέψουν πληροφορίες. Για την αποτροπή τέτοιων περιπτώσεων, τα υποκαταστήματα εγκαθιστούν ελεγκτές τομέα μόνο για ανάγνωση (RODC). Πρώτον, οι ελεγκτές RODC δεν αποθηκεύουν κωδικούς πρόσβασης χρηστών, αλλά τους αποθηκεύουν μόνο στην κρυφή μνήμη για να επιταχύνουν την πρόσβαση και, δεύτερον, χρησιμοποιούν μονόδρομη αναπαραγωγή, μόνο από τους κεντρικούς διακομιστές στον κλάδο, αλλά όχι πίσω. Και ακόμη κι αν οι εισβολείς αναλάβουν τον ελεγκτή τομέα RODC, δεν θα λαμβάνουν κωδικούς πρόσβασης χρήστη και δεν θα μπορούν να προκαλέσουν ζημιά στο κύριο δίκτυο.

Ανάκτηση διαγραμμένων αντικειμένων της υπηρεσίας καταλόγου Active Directory. Σχεδόν κάθε διαχειριστής συστήματος έχει αντιμετωπίσει την ανάγκη επαναφοράς ενός λογαριασμού χρήστη που διαγράφηκε κατά λάθος ή μιας ολόκληρης ομάδας χρηστών. Στα Windows 2003, αυτό απαιτούσε την επαναφορά της υπηρεσίας καταλόγου από Αντίγραφο ασφαλείας, που πολλές φορές δεν υπήρχε, αλλά ακόμα κι αν υπήρχε, η ανάκαμψη κράτησε αρκετά. Ο Windows Server 2008 R2 παρουσίασε τον Κάδο Ανακύκλωσης της Active Directory. Τώρα, όταν διαγράφετε έναν χρήστη ή έναν υπολογιστή, πηγαίνει στον κάδο ανακύκλωσης, από τον οποίο μπορεί να αποκατασταθεί σε λίγα λεπτά μέσα σε 180 ημέρες, διατηρώντας όλα τα αρχικά χαρακτηριστικά.

Απλοποιημένη διαχείριση. Ο Windows Server 2008 R2 περιλαμβάνει έναν αριθμό αλλαγών που μειώνουν σημαντικά το φόρτο διαχειριστές συστήματοςκαι διευκόλυνση της διαχείρισης της υποδομής πληροφορικής. Για παράδειγμα, εργαλεία όπως: Έλεγχος αλλαγές ΕνεργόςΚατάλογος που δείχνει ποιος άλλαξε τι και πότε. Οι πολιτικές πολυπλοκότητας κωδικού πρόσβασης μπορούν να διαμορφωθούν σε επίπεδο ομάδας χρηστών, στο παρελθόν αυτό ήταν δυνατό μόνο σε επίπεδο τομέα. νέα εργαλεία διαχείρισης χρηστών και υπολογιστών. πρότυπα πολιτικής· διαχείριση χρησιμοποιώντας τη γραμμή εντολών PowerShell, κ.λπ.

Υλοποίηση Active Directory

Η υπηρεσία καταλόγου Active Directory είναι η καρδιά της υποδομής πληροφορικής μιας επιχείρησης. Εάν αποτύχει, ολόκληρο το δίκτυο, όλοι οι διακομιστές και η εργασία όλων των χρηστών θα παραλύσουν. Κανείς δεν θα μπορεί να συνδεθεί στον υπολογιστή ή να έχει πρόσβαση στα έγγραφα και τις εφαρμογές του. Επομένως, η υπηρεσία καταλόγου πρέπει να σχεδιαστεί και να αναπτυχθεί προσεκτικά, λαμβάνοντας υπόψη όλες τις πιθανές αποχρώσεις. Για παράδειγμα, η δομή των τοποθεσιών θα πρέπει να βασίζεται σε φυσική τοπολογίαδίκτυα και εύρος ζώνηςκανάλια μεταξύ υποκαταστημάτων ή γραφείων της εταιρείας, επειδή Αυτό επηρεάζει άμεσα την ταχύτητα σύνδεσης των χρηστών, καθώς και την αναπαραγωγή μεταξύ των ελεγκτών τομέα. Επιπλέον, με βάση την τοπολογία τοποθεσίας, ο Exchange Server 2007/2010 εκτελεί δρομολόγηση αλληλογραφίας. Πρέπει επίσης να υπολογίσετε σωστά τον αριθμό και την τοποθέτηση των διακομιστών καθολικού καταλόγου που αποθηκεύουν καθολικές λίστες ομάδων και πολλά άλλα χαρακτηριστικά που χρησιμοποιούνται συνήθως σε όλους τους τομείς στο δάσος. Αυτός είναι ο λόγος για τον οποίο οι εταιρείες αναθέτουν την υλοποίηση, την αναδιοργάνωση ή τη μετεγκατάσταση της υπηρεσίας καταλόγου Active Directory σε ενοποιητές συστημάτων. Ωστόσο, δεν πρέπει να κάνετε λάθος κατά την επιλογή ενός ολοκληρωμένου συστήματος, θα πρέπει να βεβαιωθείτε ότι είναι πιστοποιημένος για να εκτελέσει αυτό το είδος εργασίας και έχει τις κατάλληλες ικανότητες.

Το LanKey είναι πιστοποιημένος ενοποιητής συστήματος και έχει την κατάσταση Microsoft Gold Certified Partner. Η LanKey έχει την αρμοδιότητα της πλατφόρμας Datacenter (Advanced Infrastructure Solutions), η οποία επιβεβαιώνει την εμπειρία και τα προσόντα μας σε θέματα που σχετίζονται με την ανάπτυξη του Active Directory και την υλοποίηση λύσεων διακομιστή από τη Microsoft.

Όλες οι εργασίες σε έργα εκτελούνται από πιστοποιημένους μηχανικούς της Microsoft MCSE, MCITP, οι οποίοι έχουν μεγάλη εμπειρία στη συμμετοχή σε μεγάλες και σύνθετα έργασχετικά με τη δημιουργία υποδομών πληροφορικής και την εφαρμογή τομέων Active Directory.

Η LanKey θα αναπτύξει την υποδομή πληροφορικής, θα αναπτύξει την υπηρεσία καταλόγου Active Directory και θα διασφαλίσει την ενοποίηση όλων των υπαρχόντων εταιρικών πόρων σε ένα ενιαίο χώρος πληροφοριών. Η εφαρμογή του Active Directory θα συμβάλει στη μείωση του συνολικού κόστους ιδιοκτησίας του πληροφοριακού συστήματος, καθώς και στην αύξηση της αποτελεσματικότητας μοιρασιάκοινόχρηστους πόρους. Η LanKey παρέχει επίσης υπηρεσίες για μετεγκατάσταση τομέα, ενοποίηση και διαχωρισμό υποδομών πληροφορικής κατά τη διάρκεια συγχωνεύσεων και εξαγορών, συντήρηση και υποστήριξη πληροφοριακών συστημάτων.

Παραδείγματα ορισμένων έργων υλοποίησης Active Directory που υλοποιήθηκαν από τη LanKey:

Πελάτης	Περιγραφή της λύσης
	Σε σχέση με τη συναλλαγή για την αγορά του 100% των μετοχών της εταιρείας OJSC "SIBUR-Minudobreniya" (αργότερα μετονομάστηκε OJSC "SDS-Azot") Holding Company "Siberian Business Union" τον Δεκέμβριο του 2011, προέκυψε η ανάγκη διαχωρισμού των Υποδομή πληροφορικής της OJSC "SDS" -Azot" από το δίκτυο SIBUR Holding. Η εταιρεία LanKey μετέφερε την υπηρεσία καταλόγου Active Directory του τμήματος SIBUR-Minudobreniya από το δίκτυο συμμετοχών SIBUR σε μια νέα υποδομή. Λογαριασμοί χρηστών, υπολογιστές και εφαρμογές επίσης μετεγκαταστάθηκαν. Με βάση τα αποτελέσματα του έργου, ελήφθη μια επιστολή ευγνωμοσύνης από τον πελάτη.
	Σε σχέση με την αναδιάρθρωση των επιχειρήσεων, η υπηρεσία καταλόγου Active Directory αναπτύχθηκε για το κεντρικό γραφείο και 50 καταστήματα της Μόσχας και της περιοχής. Η υπηρεσία καταλόγου παρείχε κεντρική διαχείριση όλων των εταιρικών πόρων, καθώς και έλεγχο ταυτότητας και εξουσιοδότηση όλων των χρηστών.
	Ως μέρος ενός ολοκληρωμένου έργου για τη δημιουργία μιας εταιρικής υποδομής πληροφορικής, η LanKey ανέπτυξε έναν τομέα Active Directory για την εταιρεία διαχείρισης και 3 περιφερειακά τμήματα. Μια ξεχωριστή τοποθεσία δημιουργήθηκε για κάθε κλάδο 2 ελεγκτές τομέα έχουν αναπτυχθεί σε κάθε τοποθεσία. Αναπτύχθηκαν επίσης υπηρεσίες πιστοποίησης. Όλες οι υπηρεσίες αναπτύχθηκαν σε εικονικές μηχανές που λειτουργούν Microsoft Hyper-V. Η ποιότητα της εργασίας της εταιρείας LanKey σημειώθηκε από την ανασκόπηση.
	Ως μέρος ενός ολοκληρωμένου έργου για τη δημιουργία μιας εταιρικής σύστημα πληροφορίων, η υπηρεσία καταλόγου Active Directory αναπτύχθηκε με βάση τον Windows Server 2008 R2. Το σύστημα αναπτύχθηκε χρησιμοποιώντας τεχνολογία εικονικοποίησης διακομιστή κάτω από διαχειρίζεται η Microsoft Hyper-V. Η υπηρεσία καταλόγου παρείχε ενοποιημένο έλεγχο ταυτότητας και εξουσιοδότηση για όλους τους υπαλλήλους του νοσοκομείου, ενώ εξασφάλιζε επίσης τη λειτουργία εφαρμογών όπως Exchange, TMG, SQL κ.λπ.
	Η υπηρεσία καταλόγου Active Directory αναπτύχθηκε στον Windows Server 2008 R2. Προκειμένου να μειωθεί το κόστος, η εγκατάσταση πραγματοποιήθηκε σε σύστημα εικονικοποίησης διακομιστή βασισμένο στο Microsoft Hyper-V.
	Ως μέρος ενός ολοκληρωμένου έργου για τη δημιουργία μιας εταιρικής υποδομής πληροφορικής, αναπτύχθηκε μια υπηρεσία καταλόγου που βασίζεται στον Windows Server 2008 R2. Όλοι οι ελεγκτές τομέα αναπτύχθηκαν χρησιμοποιώντας ένα σύστημα εικονικοποίησης Διακομιστές της Microsoft Hyper-V. Η ποιότητα της εργασίας επιβεβαιώνεται από τα σχόλια που λαμβάνονται από τον πελάτη.
	ΣΕ όσο το δυνατόν συντομότεραΗ λειτουργικότητα της υπηρεσίας καταλόγου Active Directory αποκαταστάθηκε σε μια κρίσιμη επιχειρηματική κατάσταση. Οι ειδικοί του LanKey αποκατέστησαν κυριολεκτικά τη λειτουργικότητα του ριζικού τομέα σε λίγες μόνο ώρες και έγραψαν οδηγίες για την αποκατάσταση της αναπαραγωγής 80 υποκαταστημάτων. Λάβαμε σχόλια από τον πελάτη για την αποτελεσματικότητα και την ποιότητα της εργασίας.
	Ως μέρος ενός ολοκληρωμένου έργου για τη δημιουργία μιας υποδομής πληροφορικής, αναπτύχθηκε ένας τομέας Active Directory με βάση τον Windows Server 2008 R2. Η λειτουργικότητα της υπηρεσίας καταλόγου εξασφαλίστηκε χρησιμοποιώντας 5 ελεγκτές τομέα που έχουν αναπτυχθεί σε ένα σύμπλεγμα εικονικών μηχανών. Αντιγράφων ασφαλείαςοι υπηρεσίες καταλόγου υλοποιήθηκαν με Βοήθεια της Microsoft Data Protection Manager 2010. Η ποιότητα της εργασίας επιβεβαιώνεται από την ανασκόπηση.
	Ως μέρος ενός ολοκληρωμένου έργου για τη δημιουργία ενός εταιρικού συστήματος πληροφοριών, η υπηρεσία ενοποιημένου καταλόγου Active Directory αναπτύχθηκε με βάση τον Windows Server 2008. Η υποδομή πληροφορικής δημιουργήθηκε χρησιμοποιώντας εικονικοποίηση Hyper-V. Μετά την ολοκλήρωση του έργου, συνήφθη συμφωνία για περαιτέρω συντήρηση του πληροφοριακού συστήματος. Η ποιότητα της εργασίας επιβεβαιώνεται από την ανασκόπηση.
Τεχνολογίες πετρελαίου και φυσικού αερίου	Ως μέρος ενός ολοκληρωμένου έργου για τη δημιουργία μιας υποδομής πληροφορικής, αναπτύχθηκε ένας ενιαίος κατάλογος Active Directory με βάση τον Windows Server 2008 R2. Το έργο ολοκληρώθηκε σε 1 μήνα. Μετά την ολοκλήρωση του έργου, συνήφθη συμφωνία για περαιτέρω συντήρηση του συστήματος. Η ποιότητα της εργασίας επιβεβαιώνεται από την ανασκόπηση.
	Η υπηρεσία καταλόγου Active Directory αναπτύχθηκε στον Windows Server 2008 ως μέρος του έργου υλοποίησης του Exchange Server 2007.
	Αναδιοργάνωσε την υπηρεσία καταλόγου Active Directory που βασίζεται στον Windows Server 2003 πριν από την εφαρμογή του Exchange Server 2007. Η ποιότητα της εργασίας επιβεβαιώθηκε με σχόλια.
	Η υπηρεσία καταλόγου Active Directory αναπτύχθηκε στον Windows Server 2003 R2. Μετά την ολοκλήρωση του έργου υπογράφηκε σύμβαση για περαιτέρω συντήρηση του συστήματος. Η ποιότητα της εργασίας επιβεβαιώνεται από την ανασκόπηση.
	Το Active Directory αναπτύχθηκε στον Windows Server 2003. Μετά την ολοκλήρωση του έργου, υπογράφηκε συμφωνία για περαιτέρω υποστήριξη του συστήματος.

Η εγκατάσταση του Active Directory είναι μια αρκετά απλή διαδικασία και συζητείται σε πολλούς πόρους στο Διαδίκτυο, συμπεριλαμβανομένων των επίσημων. Ωστόσο, στο blog μου δεν μπορώ να μην αγγίξω αυτό το σημείο, καθώς τα περισσότερα από τα μελλοντικά άρθρα θα βασίζονται με τον ένα ή τον άλλο τρόπο στο περιβάλλον, το οποίο σκοπεύω να δημιουργήσω αυτή τη στιγμή.

Εάν ενδιαφέρεστε για θέματα Windows Server, σας προτείνω να ελέγξετε την ετικέτα στο ιστολόγιό μου. Σας συνιστώ επίσης να διαβάσετε το κύριο άρθρο για την υπηρεσία καταλόγου Active Directory -

Σκοπεύω να αναπτύξω τον ρόλο AD σε δύο εικονικούς διακομιστές(μελλοντικοί ελεγκτές τομέα) ένας προς έναν.

Πρώτα απ 'όλα, πρέπει να ορίσετε το κατάλληλο ονόματα διακομιστών, για μένα θα είναι DC01 και DC02?
Στη συνέχεια, γράψτε στατικές ρυθμίσεις δικτύου(Θα συζητήσω αυτό το σημείο λεπτομερώς παρακάτω).
Εγκαθιστώ όλες τις ενημερώσεις συστήματος, ειδικά ενημερώσεις ασφαλείας (για CD αυτό είναι πιο σημαντικό από οποιονδήποτε άλλο ρόλο).

Σε αυτό το στάδιο πρέπει να αποφασίσετε τι όνομα τομέα θα έχετε;. Αυτό είναι εξαιρετικά σημαντικό, αφού τότε η αλλαγή του ονόματος τομέα θα είναι πολύ μεγάλη μεγάλο πρόβλημαγια εσάς, αν και το σενάριο μετονομασίας υποστηρίζεται και εφαρμόζεται επίσημα εδώ και πολύ καιρό.

Σημείωση: n κάποιες συζητήσεις, καθώς και πολλές αναφορές σε χρήσιμο υλικό, μπορείτε να βρείτε στο άρθρο μου. Σας συνιστώ να το διαβάσετε, καθώς και τη λίστα των πηγών που χρησιμοποιήθηκαν.

Δεδομένου ότι θα χρησιμοποιώ εικονικούς ελεγκτές τομέα, πρέπει να αλλάξω ορισμένες ρυθμίσεις των εικονικών μηχανών, συγκεκριμένα απενεργοποιήστε το συγχρονισμό ώρας με τον hypervisor. Ο χρόνος σε AD θα πρέπει να συγχρονίζεται αποκλειστικά από εξωτερικές πηγές. Οι ενεργοποιημένες ρυθμίσεις συγχρονισμού ώρας με τον hypervisor μπορεί να έχουν ως αποτέλεσμα κυκλικό συγχρονισμό και, ως εκ τούτου, προβλήματα με τη λειτουργία ολόκληρου του τομέα.

Σημείωση:Η απενεργοποίηση του συγχρονισμού με τον κεντρικό υπολογιστή εικονικοποίησης είναι η πιο εύκολη και γρήγορη επιλογή. Ωστόσο, αυτή δεν είναι η βέλτιστη πρακτική. Σύμφωνα με τις συστάσεις της Microsoft, θα πρέπει να απενεργοποιήσετε μόνο εν μέρει το συγχρονισμό με τον κεντρικό υπολογιστή. Για να κατανοήσετε την αρχή λειτουργίας, διαβάστε την επίσημη τεκμηρίωση, η οποία τα τελευταία χρόνια έχει ανέβει ριζικά ως προς το επίπεδο παρουσίασης του υλικού .

Γενικά, η προσέγγιση για τη διαχείριση εικονικών ελεγκτών τομέα διαφέρει λόγω ορισμένων χαρακτηριστικών της λειτουργίας του AD DS:

Τα εικονικά περιβάλλοντα είναι ιδιαίτερα απαιτητικά για κατανεμημένους φόρτους εργασίας που βασίζονται στη λογική αναπαραγωγής που βασίζεται στον χρόνο. Για παράδειγμα, η αναπαραγωγή AD DS χρησιμοποιεί μια ομοιόμορφα αυξανόμενη τιμή (που ονομάζεται USN ή σειριακός αριθμός ενημέρωσης) που εκχωρείται σε συναλλαγές σε κάθε ελεγκτή τομέα. Κάθε στιγμιότυπο βάσης δεδομένων ελεγκτή τομέα λαμβάνει επίσης ένα αναγνωριστικό που ονομάζεται InvocationID. Το InvocationID ενός ελεγκτή τομέα και ο αριθμός κυλιόμενης ενημέρωσης λειτουργούν ως μοναδικό αναγνωριστικό που συσχετίζεται με κάθε συναλλαγή εγγραφής που εκτελείται σε κάθε ελεγκτή τομέα και πρέπει να είναι μοναδικό μέσα στο σύμπλεγμα δομών.

Τώρα που ολοκληρώθηκαν τα βασικά βήματα για την προετοιμασία του περιβάλλοντος, περνάμε στο στάδιο της εγκατάστασης.

Εγκατάσταση της υπηρεσίας καταλόγου Active Directory

Η εγκατάσταση γίνεται μέσω του Server Manager και δεν υπάρχει τίποτα περίπλοκο σε αυτό, μπορείτε να δείτε όλα τα βήματα εγκατάστασης αναλυτικά παρακάτω:

Η ίδια η διαδικασία εγκατάστασης έχει υποστεί ορισμένες αλλαγές σε σύγκριση με προηγούμενες εκδόσεις του λειτουργικού συστήματος:

Η ανάπτυξη των υπηρεσιών τομέα Active Directory (AD DS) στον Windows Server 2012 είναι ευκολότερη και ταχύτερη από πριν εκδόσεις των WindowsΥπηρέτης. Η εγκατάσταση του AD DS εκτελείται τώρα Βασισμένο στα Windows PowerShell και ενσωματωμένο με το Server Manager. Ο αριθμός των βημάτων που απαιτούνται για την εφαρμογή ελεγκτών τομέα σε ένα υπάρχον περιβάλλον Active Directory έχει μειωθεί.

Χρειάζεται μόνο να επιλέξετε έναν ρόλο Υπηρεσίες τομέα Active Directory, δεν χρειάζεται να εγκατασταθούν πρόσθετα εξαρτήματα. Η διαδικασία εγκατάστασης απαιτεί λίγο χρόνο και μπορείτε να προχωρήσετε αμέσως στη διαμόρφωση.

Όταν εγκατασταθεί ο ρόλος, στην επάνω δεξιά γωνία του Server Manager θα δείτε Θαυμαστικό— απαιτείται διαμόρφωση μετά την ανάπτυξη. Κάντε κλικ Προωθήστε αυτόν τον διακομιστή σε έναν ελεγκτή τομέα.

Προωθήστε έναν διακομιστή σε έναν ελεγκτή τομέα

Τα βήματα εργασίας του οδηγού περιγράφονται λεπτομερώς στην τεκμηρίωση. Ωστόσο, ας περάσουμε από τα βασικά βήματα.

Εφόσον αναπτύσσουμε το AD από την αρχή, πρέπει να προσθέσουμε ένα νέο δάσος. Βεβαιωθείτε ότι έχετε αποθηκεύσει με ασφάλεια τον κωδικό πρόσβασης λειτουργίας επαναφοράς υπηρεσιών καταλόγου (DSRM). Μπορείτε να αφήσετε τη θέση της βάσης δεδομένων AD DS στην προεπιλογή (που είναι αυτό που συνιστάται. Ωστόσο, για ποικιλία, καθόρισα διαφορετικό κατάλογο στο περιβάλλον δοκιμής μου).

Περιμένουμε την εγκατάσταση.

Μετά από αυτό, ο διακομιστής θα επανεκκινήσει μόνος του.

Δημιουργία λογαριασμών διαχειριστή τομέα/επιχειρήσεων

Θα χρειαστεί να συνδεθείτε χρησιμοποιώντας έναν τοπικό λογαριασμό διαχειριστή, όπως πριν. Πηγαίνετε στο snap Χρήστες και υπολογιστές Active Directory, δημιουργήστε τους απαραίτητους λογαριασμούς - σε αυτό το στάδιο αυτός είναι ο διαχειριστής τομέα.

Ρύθμιση DNS σε ένα μόνο DC σε έναν τομέα

Κατά την εγκατάσταση του AD, εγκαταστάθηκε και ο ρόλος AD DNS, καθώς δεν είχα άλλους διακομιστές DNS στην υποδομή μου. Για να λειτουργήσει σωστά η υπηρεσία, πρέπει να αλλάξετε ορισμένες ρυθμίσεις. Πρώτα πρέπει να ελέγξετε τις προτιμήσεις σας διακομιστές DNSστις ρυθμίσεις του προσαρμογέα δικτύου. Χρειάζεται μόνο να χρησιμοποιήσετε έναν διακομιστή DNS με τη διεύθυνση 127.0.0.1. Ναι, ακριβώς localhost. Από προεπιλογή, θα πρέπει να εγγραφεί μόνο του.

Αφού βεβαιωθείτε ότι οι ρυθμίσεις είναι σωστές, ανοίξτε το συμπληρωματικό πρόγραμμα DNS. Κάντε δεξί κλικ στο όνομα του διακομιστή και ανοίξτε τις ιδιότητές του, μεταβείτε στην καρτέλα "Προώθηση διακομιστή". Η διεύθυνση διακομιστή DNS που καθορίστηκε στις ρυθμίσεις δικτύου πριν από την εγκατάσταση του ρόλου AD DS καταχωρήθηκε αυτόματα ως ο μοναδικός προωθητής:

Είναι απαραίτητο να το διαγράψετε και να δημιουργήσετε ένα νέο, και είναι πολύ επιθυμητό να είναι ο διακομιστής του παρόχου, αλλά όχι δημόσια διεύθυνσηόπως τα γνωστά 8.8.8.8 και 8.8.4.4. Για ανοχή σφαλμάτων, καταχωρήστε τουλάχιστον δύο διακομιστές. Αφήστε το πλαίσιο ελέγχου για να χρησιμοποιήσετε συνδέσμους root εάν όχι διαθέσιμους διακομιστέςπροώθηση. Οι σύνδεσμοι ρίζας είναι μια γνωστή δεξαμενή διακομιστών DNS ανώτατου επιπέδου.

Προσθήκη δεύτερου DC στον τομέα

Δεδομένου ότι αρχικά μίλησα για την ύπαρξη δύο ελεγκτών τομέα, ήρθε η ώρα να ξεκινήσετε τη ρύθμιση του δεύτερου. Περνάμε επίσης τον οδηγό εγκατάστασης, προωθούμε τον ρόλο στον ελεγκτή τομέα, απλώς επιλέγουμε Προσθέστε έναν ελεγκτή τομέα σε έναν υπάρχοντα τομέα:

Λάβετε υπόψη ότι στις ρυθμίσεις δικτύου αυτού του διακομιστή, το κύριο Ο πρώτος ελεγκτής τομέα που έχει ρυθμιστεί προηγουμένως πρέπει να επιλεγεί ως διακομιστής DNS! Αυτό απαιτείται, διαφορετικά θα εμφανιστεί ένα σφάλμα.

Μετά απαραίτητες ρυθμίσειςΣυνδεθείτε στο διακομιστή χρησιμοποιώντας τον λογαριασμό διαχειριστή τομέα που δημιουργήθηκε νωρίτερα.

Ρύθμιση DNS σε πολλαπλούς DC σε έναν τομέα

Για να αποφύγετε προβλήματα με την αναπαραγωγή, πρέπει να αλλάξετε ξανά τις ρυθμίσεις δικτύου και αυτό πρέπει να γίνεται σε κάθε ελεγκτή τομέα (και σε προϋπάρχοντες επίσης) και κάθε φορά που προσθέτετε ένα νέο DC:

Εάν έχετε περισσότερα από τρία DC σε έναν τομέα, πρέπει να καταχωρίσετε διακομιστές DNS μέσω πρόσθετων ρυθμίσεων με αυτή τη σειρά. Μπορείτε να διαβάσετε περισσότερα για το DNS στο άρθρο μου.

Ρύθμιση της ώρας

Αυτό το βήμα πρέπει να ολοκληρωθεί, ειδικά εάν δημιουργείτε ένα πραγματικό περιβάλλον στην παραγωγή. Όπως θυμάστε, είχα απενεργοποιήσει προηγουμένως τον συγχρονισμό χρόνου μέσω του hypervisor και τώρα πρέπει να τον ρυθμίσω σωστά. Ένας ελεγκτής με ρόλο εξομοιωτή FSMO PDC είναι υπεύθυνος για τη διανομή της σωστής ώρας σε ολόκληρο τον τομέα (Δεν ξέρετε ποιος είναι αυτός ο ρόλος; Διαβάστε το άρθρο). Στην περίπτωσή μου, αυτός είναι, φυσικά, ο πρώτος ελεγκτής τομέα, ο οποίος είναι ο φορέας όλων των ρόλων FSMO αρχικά.

Θα διαμορφώσουμε την ώρα στους ελεγκτές τομέα χρησιμοποιώντας πολιτικές ομάδας. Επιτρέψτε μου να σας υπενθυμίσω ότι οι λογαριασμοί υπολογιστή των ελεγκτών τομέα βρίσκονται σε ξεχωριστό κοντέινερ και έχουν μια ξεχωριστή προεπιλεγμένη πολιτική ομάδας. Δεν χρειάζεται να αλλάξετε αυτήν την πολιτική, αλλά να δημιουργήσετε μια νέα.

Ονομάστε το όπως σας ταιριάζει και πώς θα δημιουργηθεί το αντικείμενο, κάντε κλικ κάντε δεξί κλικ — Αλλαγή. Ας πάμε στο Computer Configuration\Policies\Administrative Templates\System\Windows Time Service\Time Providers. Ενεργοποίηση πολιτικών Ενεργοποιήστε το Windows NTP ClientΚαι Ενεργοποιήστε τον διακομιστή NTP των Windows, μεταβείτε στις ιδιότητες πολιτικής Διαμόρφωση προγράμματος-πελάτη NTP των Windowsκαι ορίστε τον τύπο πρωτοκόλλου - NTP, δεν αγγίζουμε τις υπόλοιπες ρυθμίσεις:

Περιμένουμε να εφαρμοστούν οι πολιτικές (μου πήρε περίπου 5-8 λεπτά, παρά την εκτέλεση του gpupdate /force και μερικές επανεκκινήσεις), μετά από τις οποίες παίρνουμε:

Γενικά, πρέπει να βεβαιωθείτε ότι μόνο ο εξομοιωτής PDC συγχρονίζει τον χρόνο από εξωτερικές πηγές και όχι όλους τους ελεγκτές τομέα στη σειρά, αλλά αυτό θα ισχύει, καθώς η πολιτική ομάδας ισχύει για όλα τα αντικείμενα στο κοντέινερ. Πρέπει να ανακατευθυνθεί σε ένα συγκεκριμένο αντικείμενο του λογαριασμού υπολογιστή που κατέχει τον ρόλο του εξομοιωτή PDC. Αυτό γίνεται επίσης μέσω πολιτικών ομάδας - στην κονσόλα gpmc.msc, κάντε αριστερό κλικ στην πολιτική που θέλετε και οι ρυθμίσεις της θα εμφανιστούν στα δεξιά. Πρέπει να προσθέσετε έναν λογαριασμό στα φίλτρα ασφαλείας τον επιθυμητό ελεγκτήτομέα:

Διαβάστε περισσότερα σχετικά με την αρχή λειτουργίας και τη διαμόρφωση της υπηρεσίας χρόνου στην επίσημη τεκμηρίωση.

Αυτό ολοκληρώνει τη ρύθμιση της ώρας και μαζί της αρχική εγκατάσταση Active Directory, ολοκληρωμένη.

Αυτό το άρθρο θα παρέχει αναλυτικά βήμα προς βήμα οδηγίεςσχετικά με την εγκατάσταση και τη διαμόρφωση από την αρχή του ρόλου της υπηρεσίας καταλόγου Active Directory που βασίζεται στον Windows Server 2012. Οι οδηγίες θα βασίζονται στην αγγλική έκδοση. Μερικές φορές δίνονται τα ονόματα των παραμέτρων και των εντολών, παρόμοια με τη ρωσική έκδοση του Windows Server 2012.

Παρασκευή

Πριν ρυθμίσετε τις παραμέτρους του ρόλου της υπηρεσίας καταλόγου Active Directory, πρέπει να ολοκληρώσετε Εγκατάσταση των WindowsΔιακομιστής 2012 - σετ στατική διεύθυνση IPΚαι μετονομάζωυπολογιστή.

Για να ορίσετε μια στατική διεύθυνση IP, πρέπει να κάνετε δεξί κλικ στο εικονίδιο Network στη γραμμή εργασιών και να επιλέξετε Ανοίξτε το Κέντρο κοινής χρήσης δικτύου -> Αλλάξτε τις ρυθμίσεις του προσαρμογέα. Επιλέξτε τον προσαρμογέα που βλέπει εσωτερικό δίκτυο. Ιδιότητες -> Πρωτόκολλο ΔιαδικτύουΈκδοση 4 (TCP/IPv4) και ορίστε μια διεύθυνση IP παρόμοια με αυτή που φαίνεται στην εικόνα.

192.168.0.11 - Διεύθυνση IP του τρέχοντος διακομιστή - ο πρώτος ελεγκτής τομέα.

192.168.0.254 — Διεύθυνση IP της πύλης.

Τώρα πρέπει να μετονομάσετε το όνομα του διακομιστή και να τον επανεκκινήσετε. Έναρξη -> Σύστημα -> Αλλαγή ρυθμίσεων -> Όνομα υπολογιστή -> Αλλαγή. Εισαγάγετε Όνομα υπολογιστή. Στο παράδειγμα, ο διακομιστής θα ονομάζεται DC1.

Εγκατάσταση του ρόλου Active Directory στον Windows Server 2012

Μετά λοιπόν προκαθορισμένοδιακομιστή, προχωρήστε στην εγκατάσταση του ρόλου υπηρεσίας καταλόγου.

Έναρξη -> Διαχειριστής διακομιστή(Έναρξη -> Διαχειριστής διακομιστή).

Προσθήκη ρόλων και δυνατοτήτων -> Επόμενο

Επιλέγω Εγκατάσταση βάσει ρόλων ή λειτουργιών(Εγκατάσταση ρόλων και δυνατοτήτων) -> Επόμενο

Επιλέξτε τον διακομιστή στον οποίο θα εγκαταστήσετε τον ρόλο AD και κάντε κλικ στο Επόμενο. Επιλέξτε έναν διακομιστή από την ομάδα διακομιστών-> Επόμενο

Επιλογή ρόλου Υπηρεσίες τομέα Active Directory(Υπηρεσίες τομέα Active Directory), μετά από το οποίο εμφανίζεται ένα παράθυρο που σας ζητά να προσθέσετε τους ρόλους και τις δυνατότητες που απαιτούνται για την εγκατάσταση του ρόλου AD. Κάντε κλικ στο κουμπί Προσθήκη δυνατοτήτων.

Μπορείτε επίσης να επιλέξετε το ρόλο του διακομιστή DNS. Εάν ξεχάσετε να επιλέξετε το πλαίσιο για να προσθέσετε το ρόλο του διακομιστή DNS, δεν χρειάζεται να ανησυχείτε πολύ, γιατί μπορεί να προστεθεί αργότερα στο στάδιο της ρύθμισης του ρόλου AD.

Μετά από αυτό, κάντε κλικ στο κουμπί Επόμενο κάθε φορά και εγκαταστήστε το ρόλο.

Διαμόρφωση υπηρεσιών τομέα Active Directory

Μετά την εγκατάσταση του ρόλου, κλείστε το παράθυρο - Κλείσιμο. Τώρα πρέπει να προχωρήσετε στη ρύθμιση του ρόλου AD.

Στο παράθυρο Διαχειριστής διακομιστή, κάντε κλικ στο εικονίδιο σημαίας ειδοποίησης και κάντε κλικ Προωθήστε αυτόν τον διακομιστή σε έναν ελεγκτή τομέα(Προωθήστε το ρόλο αυτού του διακομιστή σε επίπεδο ελεγκτή τομέα) στην καρτέλα Διαμόρφωση μετά την ανάπτυξη.

Επιλέγω Προσθέστε ένα νέο δάσος(Προσθέστε ένα νέο δάσος), πληκτρολογήστε το όνομα τομέα και κάντε κλικ στο Επόμενο.

Μπορείτε να επιλέξετε τη συμβατότητα του τρόπου λειτουργίας δάσους και του ριζικού τομέα. Ο Windows Server 2012 είναι εγκατεστημένος από προεπιλογή.

Σε αυτήν την καρτέλα μπορείτε να απενεργοποιήσετε τον ρόλο διακομιστή DNS. Αλλά, στην περίπτωσή μας, αφήνουμε το πλαίσιο ελέγχου.

Στο επόμενο βήμα, ο οδηγός σάς προειδοποιεί ότι δεν έχει δημιουργηθεί αντιπροσωπεία για αυτόν τον διακομιστή DNS ( Δεν είναι δυνατή η δημιουργία αντιπροσωπείας για αυτόν τον διακομιστή DNS, επειδή δεν μπορεί να βρεθεί η έγκυρη γονική ζώνη ή δεν εκτελεί διακομιστή DNS των Windows. Διαφορετικά, δεν απαιτείται καμία ενέργεια.).

Κάντε κλικ στο Επόμενο.

Στο επόμενο βήμα, μπορείτε να αλλάξετε το όνομα NetBIOS που εκχωρήθηκε στον τομέα. Δεν θα το κάνουμε αυτό. Απλώς κάντε κλικ στο Επόμενο.

Στο επόμενο βήμα, μπορείτε να αλλάξετε τις διαδρομές προς τους καταλόγους βάσης δεδομένων AD DS (Υπηρεσίες τομέα Active Directory), τα αρχεία καταγραφής και το φάκελο SYSVOL. Δεν θα αλλάξουμε τίποτα. Κάντε κλικ στο κουμπί Επόμενο.

Το επόμενο βήμα εμφανίζει μια περίληψη της ρύθμισης. Κάνοντας κλικ στο κουμπί Προβολή δέσμης ενεργειών, μπορείτε να προβάλετε μια δέσμη ενεργειών Powershell που θα διαμορφώσει τις υπηρεσίες τομέα Active Directory.

# Σενάριο Windows PowerShell για Ανάπτυξη AD DS

Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainMode "Win2012" ` -DomainName "site" ` -DomainNetbiosName "ITME1" `For InstallDns:$true ` -LogPath "C:\Windows\NTDS" ` -NoRebootOnCompletion:$false ` -SysvolPath "C:\Windows\SYSVOL" ` -Force:$true

Αφού βεβαιωθείτε ότι όλα είναι σωστά, κάντε κλικ στο κουμπί Επόμενο.

Το επόμενο βήμα είναι να ελέγξετε εάν πληρούνται όλες οι προϋποθέσεις. Μετά από αυτό θα μας δείξει την αναφορά. Ενας από υποχρεωτικές απαιτήσεις— αυτός είναι ο καθορισμένος κωδικός τοπικού διαχειριστή. Στο κάτω μέρος μπορείτε να διαβάσετε μια προειδοποίηση ότι αφού κάνετε κλικ στο κουμπί Εγκατάσταση, το επίπεδο διακομιστή θα αναβαθμιστεί σε ελεγκτή τομέα και θα πραγματοποιηθεί αυτόματη επανεκκίνηση.

Το μήνυμα πρέπει να εμφανιστεί Όλοι οι προαπαιτούμενοι έλεγχοι έχουν περάσει με επιτυχία. Κάντε κλικ στο «εγκατάσταση» για να ξεκινήσει η εγκατάσταση.

Κάντε κλικ στο κουμπί Εγκατάσταση.

Αφού ολοκληρωθούν όλες οι ρυθμίσεις, ο διακομιστής θα επανεκκινήσει και θα πραγματοποιήσετε την πρώτη είσοδο υπολογιστή στον τομέα σας. Για να το κάνετε αυτό, πρέπει να εισαγάγετε τα στοιχεία σύνδεσης και τον κωδικό πρόσβασης διαχειριστή τομέα.

Για το θέμα αυτό βασική ρύθμισηΟι υπηρεσίες καταλόγου Active Directory τερματίστηκαν. Φυσικά, υπάρχει ακόμη τεράστια δουλειά που πρέπει να γίνει για τη δημιουργία τμημάτων, τη δημιουργία νέων χρηστών, τη διαμόρφωση πολιτικών ασφάλειας ομάδας, ...

Πρόσθετες πληροφορίες για το άρθρο

Αντίο dcpromo, γεια σου Powershell

Από τις ανακοινώσεις, όλοι γνωρίζουν ήδη ότι το βοηθητικό πρόγραμμα dcpromo είναι ξεπερασμένο. Αν τρέξεις μέσα γραμμή εντολών dcpromo, θα εμφανιστεί ένα παράθυρο προειδοποίησης που θα σας ζητήσει να χρησιμοποιήσετε τη Διαχείριση Διακομιστών.

Ο Οδηγός εγκατάστασης υπηρεσιών καταλόγου Active Directory μεταφέρεται στη Διαχείριση διακομιστή.

Ωστόσο, αυτή η εντολή μπορεί να χρησιμοποιηθεί καθορίζοντας την παράμετρο αυτόματης διαμόρφωσης - dcpromo/unattend. Όταν ο διακομιστής εκτελείται σε λειτουργία πυρήνα, δεν θα υπάρχει προειδοποίηση και πληροφορίες σχετικά με τη χρήση του βοηθητικού προγράμματος dcpromo θα εμφανιστούν στη γραμμή εντολών.

Όλες αυτές οι αλλαγές οφείλονται στο γεγονός ότι ο Windows Server 2012 έδωσε έμφαση στη χρήση διαχείρισης Powershell.

Τα στοιχεία που σχετίζονται με την υπηρεσία καταλόγου Active Directory έχουν καταργηθεί από τον Windows Server 2012

Υπηρεσίες Ομοσπονδίας Active Directory (AD FS)

Οι εφαρμογές που χρησιμοποιούν πράκτορες Ιστού "σε λειτουργία διακριτικού NT" δεν υποστηρίζονται πλέον. Αυτές οι εφαρμογές πρέπει να μεταφερθούν σε πλατφόρμα Windows Identity Foundation και χρησιμοποιήστε την υπηρεσία Claims to Windows Token για να μετατρέψετε το UPN από το διακριτικό SAML σε ένα διακριτικό Windows για χρήση στην εφαρμογή.
Οι "Ομάδες πόρων" δεν υποστηρίζονται πλέον (για περιγραφή των ομάδων πόρων, ανατρέξτε στη διεύθυνση http://technet.microsoft.com/library/cc753670(WS.10).aspx)
Η δυνατότητα χρήσης Active Directory Lightweight Directory Services (AD LDS) ως αποθήκευσης αποτελεσμάτων ελέγχου ταυτότητας δεν υποστηρίζεται πλέον.
Πρέπει να κάνετε αναβάθμιση στην έκδοση του AD FS στον Windows Server 2012. Οι επιτόπιες αναβαθμίσεις από το AD FS 1.0 ή από την "τυπική" έκδοση του AD FS 2.0 δεν υποστηρίζονται.