На дворе 2015 год, интернет получил массовое распространение, у каждой уважающей себя компании давно есть свой веб-сайт. Не нужно далеко ходить — даже у каждой городской больницы есть свои веб-ресурсы. Но тем не менее все равно сисадмины не научились создавать нормальные имена для своих доменов.
Стоимость домена второго уровня (например, bissquit.com) составляет чуть больше 500 рублей в год. Это очень мало даже для обычных граждан, как мы с вами, и это сущие копейки для компаний тем более. Свой домен я приобрел ещё задолго до того, как появилась идея «запилить» этот бложик. Это просто удобно. Возьмем даже удаленное подключение по rdp — я ввожу имя своего домена, вместо унылого ip-адреса.
В интернете на запрос «active directory domain best practices» почти на каждом сайте написаны исчерпывающие рекомендации по именованию доменов AD и даны объяснения почему нужно сделать именно так. Давайте рассмотрим подробнее о каких рекомендациях идет речь:
- Для именования домена AD используйте поддомен вашего официально зарегистрированного домена организации.
Вы все поняли правильно, только один совет. Это все! Можно много рассуждать о деталях и мелких нюансах, но 80-90% рассуждений сводятся к одному единственному совету, озвученному выше. Все проблемы исходят из того, что человек знает, что так нужно делать, но не понимает почему нельзя или крайне не рекомендуется делать по-другому. С этого момента подробнее.
1. Почему нельзя использовать внутренние, неразрешаемые снаружи имена типа.local, .corp, .lan?
Можно. Ещё как можно. Большинство именно их и используют. У меня есть примеры среди знакомых, у которых в организациях 2000+ человек и используется домен.local. Все трудности начнутся, если вдруг станет нужен реальный домен AD. Такое может случиться при использовании гибридных облачных развертываний (яркий тому пример Exchange + Office365). «Почему бы просто не переименовать домен, ведь с определенной версии AD это вполне возможно?» — спросите вы. Да в принципе можно, однако вам предстоит столкнуться со сложностями миграции доменнозависимых сервисов. Среди них все тот же Exchange и др., но тут и одного Exchange более чем достаточно.
2. «Ок, покупаем реальное внешнее имя — my-company.com, также назовем и домен AD» — тоже не вариант. Возникнут проблемы с разрешением других ресурсов, расположенных на адресе my-company.com, например, веб-сайт компании. Да и к тому же ваши DNS-серверы не будут являться авторитативными для этого домена, хотя будут считать себя таковыми. Это тоже вызовет проблемы.
Есть и другие соображения касательно именований доменов, среди них создание аналогичного реальному домена но в другом TLD. Но мне кажется большого смысла так делать нет, ведь часть проблем все равно остается, а явных преимуществ в сравнении с использованием домена corp.my-company.com (имя взято для примера) просто нет.
Для любителей сделать все по-своему с недавнего времени добавятся ещё и проблемы с сертификатами, поэтому смысла использовать внутренние имена сейчас вообще нет.
Вопрос выбора имени домена технически упирается в строчку, в которой вы пропишите имя при создании домена AD и ни во что более. Однако последствия, которые повлечет за собой неправильный выбор имени, в будущем доставят вам немало проблем и потому на этапе планирования очень важно все сделать качественно. Лишний раз неплохо почитать статьи бывалых админов
Добрый день уважаемые читатели и подписчики, что то я вам давно не рассказывал про домены Windows, сегодня я это исправлю и мы разберем такую фундаментальную тему, как правильно назвать домен active directory, так как от этого будет дальнейшее, правильное функцианирование ваших сервисов, и вы уменьшите себе количество проблем, которые могли бы возникнуть при неправильном имени доменных служб.
Ошибки в выборе имени Active Directory
Если вы давно читаете мой блог или только присоединились, то я вам напомню про вводную статью введение в Active Directory , там я постарался рассказать, что такое AD и как она работает, а главное из каких компонентов она состоит. Если вы внимательно читали, то знаете, что Active Directory не может работать без DNS серверов.
- Я уверен, что большинство из вас знают, что DNS имена в интернете строятся по определенному принципу, оно состоит только из цифр, букв, точек и тире (про различные виды записей DNS я не говорю)..com. Есть стандарт из документа RFC 1123 об именовании доменов, где черным по белому прописано, что в названиях не должны присутствовать вот такие спецсимволы: знак собаки @, тильда ~, знак номера #, слэш / и \, нижнее подчеркивание, если вы по своему незнанию в качестве доменного имени выбрали, что то содержащее нижнее подчеркивание, то у вас например будут большие проблемы с почтовым сервером MS Exchange. Если бы не было стандартов, был бы хаос.
- В качестве локальных имен Active Directory, люди выбирают внешние адреса, точнее имена второго уровня. Простой пример, у меня допустим есть предприятие Pyatilistnik.inc и администратор решил установить контроллер Active Directory и создать доменную структуру, но в качестве локального имени для него он взял pyatilistnik.. Представьте какой хаос начнется, когда людям нужно будет до него достучаться из локальной сети, будет конфликт с именем AD, вам чтобы решить проблему придется держать и внешнюю зону DNS и внутреннюю, что не удобно и приведет к ошибкам. Ниже я расскажу как правильно назвать домен active directory
- Имена зон не входящие в глобальный официально зарегистрированный реестр ICANN. Примерами может служить зоны.local или например.nn, хотя я уверен, что и до них дойдет стандарт, так как данной организации выгодно делать деньги из воздуха, продавая имена, каких сейчас доменов уже не встретишь, но речь сегодня не об этом. Эти имена не правильно использовать в Activer Directory, так как их нельзя будет использовать за пределами вашей конторы, нельзя будет выпустить ssl сертификат на домен .
Хотя если вы делаете это в тестовой среде, то можно
- Disjoint Namespace > бывают ситуации, когда DNS имя контроллера домена или компьютера не совпадают с его NETBIOS именем, например если бы у меня контроллер имел NETBIOS имя dc6, а доменное dc.сайт. Такие конструкции работоспособны и могут быть при слиянии предприятий, но при Disjoint Namespace могут быть и грабли с тем же MS Exchenge. Ниже пример совпадения и NETBIOS и DNS имени.
Как правильно назвать домен active directory
Как неправильно делать мы поняли и знаем, сделаем теперь все красиво, сразу повторюсь, что если у вас тестовая среда называть AD вы можете как вам захочется, хоть microsoft.com. А если по серьезному, то вернемся к нашей компании Pyatilistnik.inc. Для доменной зоны Active Directory я бы выбрал зону третьего уровня, ad.сайт. Веб сайт компании повесил бы на логичный сайт. Благодаря этому не было бы проблем с MS Exchange сервером. Если у вас несколько филиалов, то я советую вам использовать один лес, пример есть Нижний Новгород и Москва, для Москвы я выбираю ad..ad.сайт. Надеюсь вы теперь поняли как лучше и правильнее называть домен Active Directory.
В редких случаях перед администратором доменных служб может встать задача, связанная с переименованием текущего домена. Причины могут быть разными, однако такая ситуация вполне возможна. Несмотря на то что эту задачу нельзя назвать тривиальной, но изредка приходится с ней сталкиваться, крайне важно сделать все правильно, так как в противном случае исход событий может быть критически опасным, вплоть до полностью нерабочей корпоративной инфраструктуры. Итак, далее в этой статье вы узнаете о предварительных требованиях для выполнения этой операции, о некоторых ограничениях, а также о том, как можно переименовать свой домен. Прежде чем начнем, настоятельная просьба: не выполняйте этих действий в производственной среде до тех пор, пока вы не переименуете удачно свой тестовый домен в лабораторной среде. Начнем.
Предварительные требования
Перед тем как начать переименовывать свой домен обязательно примите во внимание следующие сведения:
- Функциональный уровень леса Active Directory . Выполнять задачи по переименованию доменов можно лишь в том случае, если все домены в лесу оснащены как минимум операционной системой Windows Server 2003 (в этом случае по редакциям нет никаких ограничений). Более того, функциональный уровень должен быть повышен по меньшей мере до уровня Windows Server 2003. То есть, если у вас в лесу выбран функциональный уровень Windows Server 2000, то выполнение следующей операции попросту станет невозможным;
- Расположение домена . В лесу Active Directory может быть разный уровень доменов. То есть, могут быть либо отдельный домен, либо лес может включать дочерние домены. В том случае если вы будете менять расположение контроллера домена внутри леса, вам придется создать доверительные отношения;
- Зона DNS . Еще до выполнения операции переименования домена вам необходимо создать новую зону DNS;
- Административные учетные данные . Для выполнения операции переименования домена вы должны выполнить вход в систему под административной учетной записью, которая является членом группы администраторов предприятия (Enterprise Admins);
- Серверы распределенной файловой системы (DFS) . Если в вашей корпоративной среде развернуты службы DFS или настроены перемещаемые профили, то обратите внимание на то, что корневые DFS-серверы должны работать, как минимум, под управлением операционной системы Windows Server 2000 с пакетом обновления 3 или под более современными версиями операционных системам;
- Несовместимость с серверами Microsoft Exchange . Самый неприятный момент заключается в том, что если в вашем лесу Active Directory развернут почтовый сервер Microsoft Exchange Server 2003 Service Pack 1, то переименование домена будет выполнено без каких-либо проблем, но учетная запись пользователя, под которой будет выполняться сам процесс переименование домена должна быть членом группы Full Exchange Administrator. Все более современные почтовые серверы (включая Exchange Server 2016) несовместимы с операциями переименования доменов.
Также обратите внимание на тот факт, что на время переименования домена вы должны заморозить все предстоящие операции по конфигурации леса Active Directory. Другими словами, вы должны удостовериться в том, что конфигурация вашего леса не изменится до тех пор, пока операция по переименованию домена не будет полностью завершена (подробную информацию о выполнении этого действия вы увидите ниже). К таким операциям можно отнести: создание или удаление доменов внутри вашего леса Active Directory, создание или удаление разделов каталога приложений, добавление или удаление контроллеров домена в лесу, создание или удаление установленного напрямую доверия, а также добавление или удаление атрибутов, которые будут реплицированы в глобальный каталог.
На всякий случай я бы еще вам посоветовал сделать полную резервную копию состояния системы на каждом контроллере домена в лесу Active Directory. В случае выполнения этой задачи, данная предосторожность точно не будет лишней.
В том случае, если ваша инфраструктура соответствует выше упомянутым требованиям и сделаны все требуемые резервные копии, вы можете приступать к процессу переименования домена.
Процесс переименования домена Active Directory
Для начала, для того чтобы проверить первоначальное имя вашего домена, вы можете открыть окно свойств системы. Как видно на соответствующей иллюстрации, мой домен называется «Biopharmaceutic.local»:
Рис. 1. Проверка изначального имени домена Active Directory
Теперь следует создать новую зону DNS «biopharm.local» для того чтобы после успешного выполнения переименования домена ваши рядовые серверы и клиенты могли без проблем присоединиться к новому доменному имени. Для этого откройте «Диспетчер DNS » (DNS Manager ) и находясь в «Зоне прямого просмотра » (Forward Lookup Zone ) выберите опцию оп созданию новой зоны. По сути, зона создается как обычно: на первой странице мастера создания новой зоны следует прочитать вступительную информацию и перейти ко второй странице. На странице типа зоны выберите основную зону (Primary Zone ) и обратите внимание на то, чтобы была активирована опция сохранения зоны в Active Directory. На странице области репликации зоны следует оставить опцию, выбранную по умолчанию – «Для всех DNS-серверов, работающих на контроллерах домена в этом домене: Biopharmaceutic.local » (To all DNS servers running on domain controllers in this domain: Biopharmaceutic.local ). На странице имени зоны следует указать новое имя домена (biopharm.local), а на странице динамического обновления также оставьте опцию «Разрешить только безопасные динамические обновления (рекоменд. для Active Directory) » (Allow only secure dynamic updates (recommended for Active Directory) ), которая выбрана по умолчанию. Несколько этапов создания новой зоны вы можете увидеть ниже:
Рис. 2. Создание новой зоны DNS
Следующим этапом переименования домена будет генерация описания текущего состояния леса. По сути, это первая операция по переименованию домена, в которой будет использоваться утилита командной строки Rendom
. При помощи этой утилиты будет сгенерировано текстовое описания вашей текущей структуры леса в виде XML-файла с именем Domainlist.xml. Этот файл содержит список всех разделов каталога домена, а также разделов каталога приложений, которые находятся в вашем лесу Active Directory. Каждая запись для каждого раздела каталога домена и приложения ограничена тегами XML
Для создания такого файла следует под соответствующей учетной записью открыть командную строку и в ней выполнить команду «random /list ». Сгенерированный файл будет сохранен в корневом каталоге учетной записи вашего пользователя. Далее вам нужно будет открыть этот файл при помощи любого текстового редактора.
Внутри этого файла вам нужно изменить имя домена внутри секции, которая ограничена тегами
На следующей иллюстрации вы увидите процесс выполнения вышеупомянутой команды, расположение файла Domainlist.xml и изменения для первой секции этого файла. В моем случае имя домена в этом конфигурационном будет изменено 4 раза:
Рис. 3. Генерация и изменение файла Domainlist.xml
Для того чтобы удостовериться в том, что вы внесли в соответствующий файл требуемые изменения, вы можете выполнить команду «rendom /showforest ». Как видите на следующей иллюстрации, у меня все записи изменились на «Bopharm»:
Рис. 4. Просмотр потенциальных изменений
При выполнении следующей команды (rendom /upload ) утилита Rendom переводит новую структуру леса, указанную в отредактированном файле, в последовательность инструкций по обновлению каталога, которые будут запускаться локально и удаленно на каждом контроллере домена в лесу. Если говорить в общих чертах, то на этом этапе в разделе каталога конфигурации мастера именования доменов будут внесены изменения для переименования домена Active Directory. Помимо этого, будет создан файл Dclist.xml, который используется для отслеживания прогресса и состояния каждого контроллера домена в лесу для операции переименования домена. Между прочим, в этот момент утилита Rendom замораживает ваш лес Active Directory от внесения любых изменений в его конфигурацию. Процесс выполнения этой команды виден ниже:
Рис. 5. Выполнение команды rendom /upload
Следующая команда выполняется для проверки готовности контроллеров домена перед операцией по переименованию домена. Во время выполнения этого этапа вы должны запустить команду подготовительной проверки на каждом контроллере домена в лесу . Это необходимо для того, чтобы быть уверенным, что база данных Active Directory на каждом контроллере домена в лесу находится в правильном состоянии и готова выполнить изменения, которые позволят переименовать ваш домен. Следовательно, выполните команду «rendom /prepare », как это сделано на следующей иллюстрации:
Рис. 6. Подготовка домена к переименованию
Самый ответственный момент. Выполнение команды «rendom /execute ». Во время выполнения этой команды на домене выполняются инструкции по переименованию домена. По сути, в этот самый момент выполняется обращение к каждому контроллеру домена в лесу индивидуально, что заставляет каждый контроллер домена выполнять инструкции по переименованию домена. По выполнению этой операции каждый контроллер домена будет перезагружен. Процесс выполнения переименования домена смотрите на следующей иллюстрации:
Рис. 7. Процесс переименования домена
Но это еще не все. Несмотря на то, что ваш домен, по сути, уже переименован, вам еще предстоит задача по исправлению объектов групповой политики и их ссылок после завершения операции переименования домена. Для восстановления объектов групповой политики, а также ссылок GPO в каждом переименованном домене используется утилита командной строки Gpfixup.exe . Нельзя пренебрегать этой процедурой ввиду того, что без ее использования, после завершения операции переименования домена в новом лесу, групповые политики попросту не буду правильно функционировать. Учтите, что эта команда должна быть запущена единожды в каждом переименованном домене. Следовательно, один раз выполните команду gpfixup с параметрами /olddns:Biopharmaceutic.local (старое имя переименованного вами домена) и /newdns:Biopharm.local (новое имя переименованного домена), а затем команду gpfixup с параметрами /oldnb:Biopharmaceutic и /newnb:Biopharm (соответственно, старое и новое NETBIOS-имя вашего домена). Эта процедура видна ниже:
Рис. 8. Исправление объектов групповой политики
Осталось выполнить лишь две команды: команду «rendom /clean », которая позволяет удалить все ссылки на старые имена домена внутри вашей Active Directory, а также команду «rendom /end », по сути, размораживающую лес Active Directory от внесения изменений в его конфигурацию. Процесс выполнения этих команд вы можете увидеть на следующей иллюстрации:
Рис. 9. Завершение переименования домена Active Directory
Чтобы изменения применились на рядовые серверы и на конечных клиентов, вам придется дважды перезагрузить их компьютеры. Однако контроллеры домена вам придется переименовать вручную. Как видно на следующей иллюстрации, имя моего контроллера домена осталось старым.
Что такое контроллер домена
Контроллер домена обеспечивает централизованное управление сетевыми устройствами, то есть доменами. В контроллере хранится вся информация с учетных записей и параметров пользователей сети. Это параметры безопасности, локальной политики и многие другие. Это, своего рода, сервер, который полностью контролирует определенную сеть или сетевую группу. Контроллер домена - это, своего рода, набор специального программного обеспечения, которое осуществляет запуск различных служб Active Directory. Контроллеры работают под управлением определенных операционных систем, таких как Windows server 2003. Мастер установки Active Drive позволяет создавать контроллеры доменов.
В операционной системе Windows NT, как основной сервер, используется основной контроллер домена. Другие используемые серверы используются как резервные контроллеры. Основные контроллеры PDС могут решать различные задачи, связанные с членством пользователей в группах, создание и изменение паролей, добавление пользователей и многие другие. После чего данные передаются на дополнительные контроллеры BDC.
В качестве контроллера домена может использоваться программное обеспечение Samba 4, если установлена операционная система Unix. Это ПО также поддерживает и другие операционные системы, такие как windows 2003, 2008, 2003 R2 и 2008 R2. Каждая из операционных систем при необходимости может расширяться в зависимости от конкретных требований и параметров.
Применение контроллеров домена
Используются контроллеры доменов многими организациями, в которых расположены компьютеры, подключенные между собой и в сеть. В контроллерах хранятся данные каталогов и осуществляется контроль входа и выхода пользователей в систему, а также управление взаимодействием между ними.
Организациям, использующим контроллер домена, необходимо решить то, какое количество их будет использоваться, распланировать архивирование данных, физическую безопасность, обновление сервера и другие необходимые задачи.
Если компания или организация небольшая и в ней используется всего одна доменная сеть, то достаточно использовать два контролера, которые способны обеспечить высокую стабильность, отказоустойчивость и высокий уровень доступности сети. В сетях, которые делятся на определенное количество сайтов, на каждом из них устанавливается по одному контроллеру, что позволяет добиться необходимой работоспособности и надежности. Благодаря использованию контроллеров на каждом сайте, можно значительно упростить вход пользователей в систему и сделать его более быстрым.
Сетевой трафик можно оптимизировать, чтобы это сделать, необходимо установить время обновлений репликации тогда, когда нагрузка на сеть будет минимальной. Настройка репликации позволит значительно упростить работу и сделать ее более производительной.
Добиться максимальной производительности в работе контроллера можно в том случае, если домен будет являться глобальным каталогом, что позволит запрашивать любые объекты по конкретному весу. При этом важно помнить, что включение глобального каталога влечет за собой значительное увеличение трафика репликации.
Контроллер домена хозяина лучше не включать, если используется больше одного контроллера домена. При использовании контроллера домена очень важно заботиться о безопасности, потому как он становится достаточно доступным для злоумышленников, желающих завладеть необходимыми для обмана данными.
Особенности установки дополнительных контроллеров домена
Для того чтобы добиться более высокой надежности в работе необходимых сетевых служб, необходима установка дополнительных контроллеров домена. В результате, можно добиться значительно более высокой стабильности, надежности и безопасности в работе. Быстродействие сети в таком случае станет значительно выше, что является очень важным параметром для организаций, которые используют контроллер домена.
Для того чтобы контроллер домена работал правильно, необходимо произвести некоторые подготовительные работы. Первое, что нужно сделать, это проверить параметры TCP/IP, они должны быть правильно установлены для сервера. Важнее всего проверить DNS имена на сопоставления.
Для безопасной работы контроллера домена необходимо использовать файловую систему NTFS, обеспечивающую более высокую безопасность в сравнении с файловыми системами FAT 32. Для установки на сервере нужно создать один раздел в файловой системе NTFS, на котором будет находиться системный том. Также обязательно необходим доступ к DNS серверу с сервера. Служба DNS устанавливается на этом или дополнительном сервере, который должен поддерживать ресурсные записи.
Для того чтобы правильно настроить контроллер домена, можно использовать Мастер настройки, с помощью которого можно добавлять выполнение определенных ролей. Для этого нужно будет зайти в раздел администрирование через панель управления. В качестве роли сервера необходимо указать контроллер домена.
Контроллер доменов на сегодняшний день является незаменимым для сетей и сайтов, которыми пользуются различные организации, учреждения и компании во всех сферах деятельности человека. Благодаря ему, обеспечивается высокая производительность в работе и безопасность, которая в компьютерных сетях имеет особое значение. Роль контроллера домена очень важна, потому как он позволяет осуществлять управление областями домена, построенными на компьютерных сетях. В каждой операционной системе есть определенные нюансы, связанные с работой контроллеров домена, но принцип и его назначение везде одинаковое, поэтому разобраться с настройками не так сложно, как может показаться в самом начале. Тем не менее, очень важно, чтобы настройкой контроллеров домена занимались специалисты, чтобы в конечном итоге получить высокую производительность и безопасность во время работы.
