Es 2015, Internet se ha generalizado, cada empresa que se precie tiene desde hace mucho tiempo su propio sitio web. No tiene que ir muy lejos, incluso cada hospital de la ciudad tiene sus propios recursos web. Sin embargo, de todos modos, los administradores de sistemas no han aprendido a crear nombres normales para sus dominios.
El costo de un dominio de segundo nivel (por ejemplo, bissquit.com) es de poco más de 500 rublos por año. Esto es muy poco incluso para ciudadanos comunes como usted y como yo, y esto es un mero centavo para las empresas, incluso más. Adquirí mi dominio mucho antes de que apareciera la idea de "archivar" este blozhik. Es simplemente conveniente. Incluso tomemos una conexión remota a través de rdp: ingreso mi nombre de dominio en lugar de una dirección IP aburrida.
En Internet, para la consulta "mejores prácticas de dominio de directorio activo", casi todos los sitios contienen recomendaciones completas sobre cómo nombrar dominios de AD y explica por qué es necesario hacerlo. Echemos un vistazo más de cerca a las recomendaciones en cuestión:
- Utilice un subdominio del dominio registrado oficialmente de su organización para nombrar su dominio AD.
Lo hiciste bien, solo un consejo. Es todo! Puede hablar mucho sobre detalles y pequeños matices, pero el 80-90% del razonamiento se reduce a un solo consejo expresado anteriormente. Todos los problemas provienen del hecho de que una persona sabe que esto debe hacerse, pero no entiende por qué es imposible o muy desanimado hacerlo de otra manera. A partir de ahora, más detalles.
1. ¿Por qué no puede utilizar nombres internos y externos sin resolver como .local, .corp, .lan?
Poder. Cuanto más se pueda. La mayoría de ellos también los usan. Tengo ejemplos entre amigos que tienen más de 2000 personas en sus organizaciones y usan el dominio .local. Todas las dificultades comenzarán si de repente necesita un dominio AD real. Esto puede suceder cuando se utilizan implementaciones de nube híbrida (un excelente ejemplo de esto es Exchange + Office365). "¿Por qué no simplemente cambiar el nombre del dominio, ya que es bastante posible con una determinada versión de AD?" - usted pregunta. Sí, en principio, puede, pero debe enfrentar las dificultades de migrar servicios dependientes del dominio. Entre ellos se encuentran todos los mismos Exchange y otros, pero aquí un Exchange es más que suficiente.
2. "Ok, compramos un nombre externo real - my-company.com, también nombremos el dominio AD" - tampoco es una opción. Tendrá problemas para resolver otros recursos ubicados en my-company.com, por ejemplo, el sitio web de la empresa. Y además, sus servidores DNS no tendrán autoridad para este dominio, aunque se considerarán así. Esto también causará problemas.
Hay otras consideraciones para la asignación de nombres de dominio, como crear un dominio similar al real pero en un TLD diferente. Pero me parece que no tiene mucho sentido hacer esto, porque algunos de los problemas aún persisten, y simplemente no hay ventajas obvias en comparación con el uso del dominio corp.my-company.com (el nombre se toma como ejemplo).
Para aquellos a los que les gusta hacer todo a su manera, también se agregarán problemas con los certificados recientemente, por lo que no tiene sentido usar nombres internos ahora.
La cuestión de elegir un nombre de dominio técnicamente descansa en la línea en la que escribe el nombre al crear un dominio AD y nada más. Sin embargo, las consecuencias que conllevará la elección incorrecta del nombre te causarán muchos problemas en el futuro, y por eso es muy importante hacer todo de manera eficiente en la etapa de planificación. Una vez más, es una buena idea leer artículos de administradores experimentados.
Buenas tardes, queridos lectores y suscriptores, hace mucho que no les hablo de los dominios de Windows, hoy lo arreglaré y analizaremos un tema tan fundamental, cómo nombrar correctamente un dominio de directorio activo, ya que esto redundará en un mayor y correcto funcionamiento de sus servicios, y de usted Reduzca la cantidad de problemas que podrían surgir con el nombre de servicio de dominio incorrecto.
Errores de selección de nombre de Active Directory
Si ha estado leyendo mi blog durante mucho tiempo o se acaba de unir, entonces le recordaré el artículo introductorio Introducción a Active Directory, donde traté de decirle qué es AD y cómo funciona, y lo más importante en qué componentes consta. Si lee con atención, sabrá que Active Directory no puede funcionar sin servidores DNS.
- Estoy seguro de que la mayoría de ustedes saben que los nombres DNS en Internet se construyen de acuerdo con un cierto principio, consiste solo en números, letras, puntos y guiones (no estoy hablando de diferentes tipos de registros DNS) .. com. Existe un estándar de RFC 1123 sobre nombres de dominio, donde está escrito en blanco y negro que los siguientes caracteres especiales no deben estar presentes en los nombres: el signo de perro @, tilde ~, signo de número #, barra inclinada / y \\, guión bajo, si no lo sabe como nombre de dominio ha elegido algo que contiene un guión bajo, entonces, por ejemplo, tendrá grandes problemas con el servidor de correo de MS Exchange. Si no hubiera estándares, habría caos.
- Como nombres locales para Active Directory, las personas eligen direcciones externas, o más bien nombres de segundo nivel. Un ejemplo simple, digamos que tengo una empresa Pyatilistnik.inc y el administrador decidió instalar un controlador de Active Directory y crear una estructura de dominio, pero tomó pyatilistnik como el nombre local. Imagine qué caos comenzará cuando la gente necesite comunicarse con él desde la red local. , habrá un conflicto con el nombre de AD, para solucionar el problema tendrás que mantener tanto la zona DNS externa como la interna, lo cual es inconveniente y dará lugar a errores. A continuación, le diré cómo nombrar correctamente un dominio de directorio activo.
- Nombres de zona no incluidos en el registro mundial oficialmente registrado ICANN. Algunos ejemplos son las zonas .local o, por ejemplo, .nn, aunque estoy seguro de que el estándar las alcanzará, ya que es rentable para esta organización ganar dinero de la nada vendiendo nombres, dominios que no encontrará ahora, pero ese no es el problema hoy. No es correcto usar estos nombres en el Directorio de Activer, ya que no se pueden usar fuera de su oficina, no puede emitir un certificado ssl para un dominio.
Aunque si está haciendo esto en un entorno de prueba, puede
- Espacio de nombres disjunto\u003e hay situaciones en las que el nombre DNS de un controlador de dominio o computadora no coincide con su nombre NETBIOS, por ejemplo, si mi controlador tenía un nombre NETBIOS dc6 y un sitio de dominio dc. Tales construcciones son viables y pueden ser una fusión de empresas, pero con un espacio de nombres disjoint puede haber un rastrillo con el mismo MS Exchenge. A continuación se muestra un ejemplo de cómo hacer coincidir los nombres NETBIOS y DNS.
Cómo nombrar correctamente un dominio de Active Directory
Entendimos cómo hacerlo mal y lo sabemos, ahora lo haremos todo maravillosamente, repetiré de inmediato que si tiene un entorno de prueba, puede llamar a AD como quiera, incluso microsoft.com. Pero en serio, volvamos a nuestra empresa Pyatilistnik.inc. Para la zona de dominio de Active Directory, elegiría una zona de tercer nivel, ad.site. El sitio web de la empresa se colgaría en un sitio lógico. Gracias a esto, no habría problemas con el servidor de MS Exchange. Si tiene varias ramas, le aconsejo que utilice un bosque, por ejemplo, Nizhny Novgorod y Moscú, para Moscú elijo ad..ad.site. Espero que ahora comprenda cómo nombrar mejor y más correctamente el dominio de Active Directory.
En raras ocasiones, el administrador de servicios de dominio puede enfrentarse a la tarea de cambiar el nombre del dominio actual. Las razones pueden ser diferentes, pero tal situación es bastante posible. A pesar de que esta tarea no se puede llamar trivial, pero en ocasiones hay que afrontarla, es sumamente importante hacer todo correctamente, ya que de lo contrario el resultado de los eventos puede ser críticamente peligroso, hasta una infraestructura corporativa completamente inoperante. Entonces, más adelante en este artículo, conocerá los requisitos previos para realizar esta operación, algunas restricciones y cómo puede cambiar el nombre de su dominio. Antes de comenzar, no realice estos pasos en un entorno de producción hasta que haya cambiado correctamente el nombre de su dominio de prueba en un entorno de laboratorio. Empecemos.
Prerrequisitos
Antes de comenzar a cambiar el nombre de su dominio, asegúrese de considerar la siguiente información:
- Nivel funcional del bosque de Active Directory... Puede realizar tareas de cambio de nombre de dominio solo si todos los dominios del bosque están equipados con al menos Windows Server 2003 (en este caso, no hay restricciones de edición). Además, el nivel funcional debe elevarse al menos al nivel de Windows Server 2003. Es decir, si ha seleccionado el nivel funcional de Windows Server 2000 en su bosque, la siguiente operación simplemente se volverá imposible;
- Ubicación del dominio... Puede haber diferentes niveles de dominios en un bosque de Active Directory. Es decir, puede haber un dominio independiente o el bosque puede incluir dominios secundarios. En el caso de que cambie la ubicación del controlador de dominio dentro del bosque, deberá crear una relación de confianza;
- Zona DNS... Antes de realizar la operación de cambio de nombre de dominio, debe crear una nueva zona DNS;
- Credenciales administrativas... Para realizar la operación de cambio de nombre de dominio, debe iniciar sesión con una cuenta administrativa que sea miembro del grupo Administradores de empresa;
- Servidores de sistema de archivos distribuidos (DFS)... Si su entorno corporativo tiene DFS implementado o perfiles de itinerancia configurados, tenga en cuenta que los servidores raíz DFS deben ejecutar al menos Windows Server 2000 con Service Pack 3 o sistemas operativos superiores;
- Incompatibilidad con los servidores de Microsoft Exchange... El punto más desagradable es que si el servidor de correo Microsoft Exchange Server 2003 Service Pack 1 está implementado en su bosque de Active Directory, el cambio de nombre del dominio se realizará sin ningún problema, pero la cuenta de usuario bajo la cual se realizará el proceso de cambio de nombre del dominio debe ser miembro del grupo de administradores de Exchange completo. Todos los servidores de correo más nuevos (incluido Exchange Server 2016) son incompatibles con las operaciones de cambio de nombre de dominio.
También tenga en cuenta que debe congelar todas las siguientes configuraciones de bosque de Active Directory mientras se cambia el nombre del dominio. En otras palabras, debe asegurarse de que la configuración de su bosque no cambie hasta que se complete la operación de cambio de nombre del dominio (consulte a continuación para obtener detalles sobre cómo completar este paso). Estas operaciones incluyen: crear o eliminar dominios dentro de su bosque de Active Directory, crear o eliminar particiones de directorio de aplicaciones, agregar o eliminar controladores de dominio en el bosque, crear o eliminar una confianza establecida directamente y agregar o eliminar atributos que se replicarán en el catalogar.
Por si acaso, también le sugiero que haga una copia de seguridad completa del estado del sistema en cada controlador de dominio en su bosque de Active Directory. Si completa esta tarea, esta precaución definitivamente no será superflua.
En el caso de que su infraestructura cumpla con los requisitos mencionados anteriormente y se hayan realizado todas las copias de seguridad necesarias, puede continuar con el proceso de cambio de nombre del dominio.
Proceso de cambio de nombre de dominio de Active Directory
Primero, para verificar el nombre original de su dominio, puede abrir la ventana de propiedades del sistema. Como puede ver en la ilustración relacionada, mi dominio se llama "Biopharmaceutic.local":
Figura: 1. Comprobación del nombre de dominio de Active Directory original
Ahora debe crear una nueva zona DNS "biopharm.local" para que después de un cambio de nombre de dominio exitoso, sus servidores miembros y clientes puedan unirse fácilmente al nuevo nombre de dominio. Para hacer esto, abra " Administrador de DNS» ( Administrador de DNS) y estar en " Área de visualización en vivo» ( Zona de búsqueda directa) seleccione la opción para crear una nueva zona. Básicamente, la zona se crea como de costumbre: en la primera página del asistente para crear una nueva zona, lea la información introductoria y vaya a la segunda página. En la página de tipo de zona, seleccione la zona principal ( Zona primaria) y asegúrese de que la opción para guardar la zona en Active Directory esté habilitada. En la página de alcance de replicación de la zona, deje la opción predeterminada - " Para todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: Biopharmaceutic.local» ( A todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: Biopharmaceutic.local). En la página del nombre de la zona, especifique el nuevo nombre de dominio (biopharm.local), y en la página de actualización dinámica también deje la opción “ Permitir solo actualizaciones dinámicas seguras (recomendado para Active Directory)» ( Permitir solo actualizaciones dinámicas seguras (recomendado para Active Directory)) que está seleccionado de forma predeterminada. Puede ver varias etapas de la creación de una nueva zona a continuación:
Figura: 2. Crea una nueva zona DNS
El siguiente paso en el cambio de nombre de un dominio es generar una descripción del estado actual del bosque. Básicamente, esta es la primera operación de cambio de nombre de dominio que utilizará la utilidad de línea de comandos Rendom... Esta utilidad generará una descripción textual de la estructura actual de su bosque como un archivo XML llamado Domainlist.xml. Este archivo contiene una lista de todas las particiones de directorio de dominio, así como las particiones de directorio de aplicaciones que residen en su bosque de Active Directory. Cada entrada para cada partición de directorio de aplicación y dominio está delimitada por etiquetas XML
Para crear un archivo de este tipo, abra la línea de comando en la cuenta correspondiente y ejecute el comando " aleatorio / lista". El archivo generado se guardará en el directorio raíz de su cuenta de usuario. A continuación, deberá abrir este archivo con cualquier editor de texto.
Dentro de este archivo, debe cambiar el nombre de dominio dentro de la sección, que está delimitada por etiquetas
En la siguiente ilustración, verá el proceso de ejecución del comando anterior, la ubicación del archivo Domainlist.xml y los cambios para la primera sección de este archivo. En mi caso, el nombre de dominio en esta configuración se cambiará 4 veces:
Figura: 3. Generación y modificación del archivo Domainlist.xml
Para asegurarse de que ha realizado los cambios necesarios en el archivo correspondiente, puede ejecutar el comando " rendom / showforest". Como puede ver en la siguiente ilustración, todas mis entradas han cambiado a Bopharm:
Figura: 4. Ver posibles cambios
Cuando ejecuta el siguiente comando ( rendom / subir) La utilidad Rendom traduce la nueva estructura del bosque especificada en el archivo editado en una secuencia de instrucciones de actualización de directorio que se ejecutarán de forma local y remota en cada controlador de dominio del bosque. En términos generales, en este punto, se realizarán cambios en la sección del directorio de configuración del Asistente para nombrar dominios para cambiar el nombre del dominio de Active Directory. Además, se creará un archivo Dclist.xml y se utilizará para realizar un seguimiento del progreso y el estado de cada controlador de dominio en el bosque para la operación de cambio de nombre del dominio. Por cierto, en este punto, la utilidad Rendom congela el bosque de Active Directory para que no realice cambios en su configuración. El proceso de ejecución de este comando se ve a continuación:
Figura: 5. Ejecutando el comando rendom / upload
Se ejecuta el siguiente comando para comprobar la preparación de los controladores de dominio antes de la operación de cambio de nombre del dominio. Durante este paso, debe ejecutar el comando de verificación preparatoria en cada controlador de dominio en el bosque... Esto es para garantizar que la base de datos de Active Directory en cada controlador de dominio del bosque esté en el estado correcto y esté lista para realizar cambios que cambiarán el nombre de su dominio. Por lo tanto, ejecute el comando " rendom / preparar"Como se muestra en la siguiente ilustración:
Figura: 6. Preparar el dominio para cambiarle el nombre
El momento más crucial. Ejecutando el comando " rendom / ejecutar". Cuando ejecuta este comando, se siguen las instrucciones de cambio de nombre del dominio en el dominio. Esencialmente, en este mismo momento, se accede individualmente a cada controlador de dominio del bosque, lo que obliga a cada controlador de dominio a seguir las instrucciones para cambiar el nombre del dominio. Una vez completada esta operación, se reiniciará cada controlador de dominio. Consulte la siguiente ilustración para conocer el proceso de cambio de nombre de dominio:
Figura: 7. Proceso de cambio de nombre de dominio
Pero eso no es todo. Aunque su dominio esencialmente ya ha sido renombrado, aún tiene la tarea de arreglar los GPO y sus enlaces después de que se complete la operación de cambio de nombre del dominio. Use la utilidad de línea de comandos para restaurar GPO y GPO en cada dominio renombrado Gpfixup.exe... Este procedimiento no se puede descuidar debido al hecho de que sin su uso, después de la finalización de la operación de cambio de nombre de dominio en el nuevo bosque, la directiva de grupo simplemente no funcionará correctamente. Tenga en cuenta que este comando debe ejecutarse una vez en cada dominio renombrado. Por lo tanto, ejecute el comando una vez gpfixup con parámetros /olddns:Biopharmaceutic.local (el nombre antiguo del dominio que renombró) y /newdns:Biopharm.local (nuevo nombre de dominio renombrado) y luego comando gpfixup con parámetros / oldnb: Biofarmacéutica y / newnb: Biopharm (los nombres NETBIOS antiguo y nuevo de su dominio, respectivamente). Este procedimiento es visible a continuación:
Figura: 8. Corrección de objetos de política de grupo
Solo quedan dos comandos por ejecutar: el comando " rendom / limpio", Que le permite eliminar todas las referencias a nombres de dominio antiguos dentro de su Active Directory, así como el comando" rendom / fin", De hecho, descongelar el bosque de Active Directory para que no realice cambios en su configuración. Puede ver el proceso de ejecución de estos comandos en la siguiente ilustración:
Figura: 9. Finalización del cambio de nombre del dominio de Active Directory
Tendrá que reiniciar sus computadoras dos veces para que los cambios se apliquen a los servidores miembros y a los clientes finales. Sin embargo, tendrá que cambiar el nombre de los controladores de dominio manualmente. Como puede ver en la siguiente ilustración, el nombre de mi controlador de dominio sigue siendo el mismo.
Que es un controlador de dominio
Un controlador de dominio proporciona una administración centralizada de dispositivos de red, es decir, dominios. El controlador almacena toda la información de las cuentas y los parámetros de los usuarios de la red. Estas son configuraciones de seguridad, política local y muchas otras. Es un tipo de servidor que controla completamente una red o grupo de redes específico. Un controlador de dominio es una especie de conjunto de software especial que lanza varios servicios de Active Directory. Los controladores ejecutan sistemas operativos específicos, como Windows Server 2003. El asistente de instalación de Active Drive le permite crear controladores de dominio.
El sistema operativo Windows NT utiliza el controlador de dominio principal como servidor principal. Los otros servidores utilizados se utilizan como controladores de respaldo. Los controladores PDC básicos pueden resolver varias tareas relacionadas con la membresía de grupos de usuarios, crear y cambiar contraseñas, agregar usuarios y muchas otras. Luego, los datos se transfieren a controladores BDC adicionales.
El software Samba 4 se puede utilizar como controlador de dominio si el sistema operativo es Unix. Este software también es compatible con otros sistemas operativos, como Windows 2003, 2008, 2003 R2 y 2008 R2. Cada uno de los sistemas operativos se puede ampliar, si es necesario, en función de los requisitos y parámetros específicos.
Usando controladores de dominio
Los controladores de dominio son utilizados por muchas organizaciones en las que se encuentran las computadoras que están conectadas entre sí y a la red. Los controladores almacenan datos de directorio y controlan la entrada y salida de usuarios al sistema, así como también gestionan la interacción entre ellos.
Las organizaciones que utilizan un controlador de dominio deben decidir cuántos utilizar, planificar el archivo de datos, la seguridad física, las actualizaciones del servidor y otras tareas necesarias.
Si la empresa u organización es pequeña y solo se usa una red de dominio en ella, entonces es suficiente usar dos controladores, que pueden proporcionar alta estabilidad, tolerancia a fallas y alto nivel de disponibilidad de red. En las redes que están divididas en una cierta cantidad de sitios, se instala un controlador en cada uno de ellos, lo que permite lograr el rendimiento y la confiabilidad necesarios. Al usar controladores en cada sitio, es posible simplificar significativamente el inicio de sesión del usuario y hacerlo más rápido.
El tráfico de la red se puede optimizar, para hacer esto, necesita establecer el tiempo de actualización de la replicación cuando la carga en la red sea mínima. La configuración de la replicación simplificará enormemente su trabajo y lo hará más productivo.
Puede lograr el máximo rendimiento en el trabajo del controlador si el dominio es un catálogo global, lo que le permitirá consultar cualquier objeto por un peso específico. Sin embargo, es importante recordar que habilitar el catálogo global conlleva un aumento significativo en el tráfico de replicación.
Es mejor no habilitar el controlador de dominio maestro si se usa más de un controlador de dominio. Cuando se usa un controlador de dominio, es muy importante cuidar la seguridad, porque se vuelve lo suficientemente accesible para los atacantes que quieren apoderarse de los datos que necesitan para engañar.
Consideraciones para instalar controladores de dominio adicionales
Para lograr una mayor confiabilidad en el funcionamiento de los servicios de red necesarios, es necesario instalar controladores de dominio adicionales. Como resultado, se puede lograr una estabilidad, confiabilidad y seguridad operativa significativamente más altas. En este caso, el rendimiento de la red será mucho mayor, lo que es un parámetro muy importante para las organizaciones que utilizan un controlador de dominio.
Para que el controlador de dominio funcione correctamente, se requiere algún trabajo preparatorio. Lo primero que debe hacer es verificar los parámetros de TCP / IP, deben estar configurados correctamente para el servidor. Lo más importante es comprobar los nombres de DNS en busca de coincidencias.
Para el funcionamiento seguro del controlador de dominio, es necesario utilizar el sistema de archivos NTFS, que proporciona mayor seguridad en comparación con los sistemas de archivos FAT 32. Para la instalación en el servidor, debe crear una partición en el sistema de archivos NTFS, que contendrá el volumen del sistema. También necesita acceder al servidor DNS desde el servidor. El DNS está instalado en este servidor o en un servidor adicional que debe admitir registros de recursos.
Para configurar correctamente el controlador de dominio, puede utilizar el Asistente de configuración, con el que puede agregar la ejecución de roles específicos. Para hacer esto, deberá ir a la sección de administración a través del panel de control. Debe especificar un controlador de dominio como función del servidor.
El controlador de dominio hoy en día es indispensable para las redes y sitios utilizados por diversas organizaciones, instituciones y empresas en todas las áreas de la actividad humana. Gracias a él, se garantiza una alta productividad y seguridad, lo que es de particular importancia en las redes informáticas. La función de un controlador de dominio es muy importante porque le permite administrar ámbitos de dominio integrados en redes informáticas. Cada sistema operativo tiene ciertos matices asociados con el funcionamiento de los controladores de dominio, pero el principio y su propósito son los mismos en todas partes, por lo que comprender la configuración no es tan difícil como podría parecer al principio. Sin embargo, es muy importante que los expertos sintonicen los controladores de dominio para, en última instancia, lograr un alto rendimiento y seguridad durante el funcionamiento.
