Тип контроллера домена dc gc: Роли DC в лесу и доменах | Windows IT Pro/RE

Сервер глобального каталога

Кроме пяти ролей FSMO в Active Directory cуществует еще шестая роль контроллера домена – глобальный каталог (Global catalog, GC). В отличие от FSMO роль глобального каталога может иметь любой контроллер в домене, т.е. она не требует уникальности сервера в пределах домена или леса. Тем не менее, глобальный каталог — самая важная с практической точки зрения роль контроллера домена. И вот почему.

Глобальный каталог является контроллером домена, хранящим копии всех объектов Active Directory в лесу. В нем хранится полная копия всех объектов каталога своего домена и частичная копия всех объектов всех других доменов леса. Таким образом, глобальный каталог позволяет пользователям и приложениям находить объекты в любом домене текущего леса посредством поиска атрибутов, включенных в глобальный каталог.

Глобальный каталог содержит основной, но неполный набор атрибутов (Partial Attribute Set, PAT) для каждого объекта леса в каждом домене.

Данные GC получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы AD. Будет ли атрибут скопирован в глобальный каталог определяется схемой. При необходимости можно сконфигурировать дополнительные атрибуты, которые будут реплицироваться в GC, используя оснастку Схема Active Directory (Active Directory Schema). Чтобы добавить атрибут в глобальный каталог, надо выбрать опцию Копировать этот атрибут в глобальный каталог (Replicate This Attribute To The Global catalog) на самом атрибуте. В результате значение параметра атрибута isMemberOfPartialAttributeSet будет установлено на true (истина).

Как узнать, где находится глобальный каталог? Для текущего домена достаточно просто набрать в командной строке:

dsquery server –isgc

В результате мы получим список DN серверов глобаль­ного каталога, например: «CN=SRV1,CN=Servers, CN=Default-First-Site- Name, CN=Sites, CN=Configuration, DC=contoso, DC=com»

 

Команду dsquery server также можно использовать для поиска серверов GC в конкретном домене, лесе или сайте.  Например:

dsquery server –domain contoso.com –isgc — ищем серверы глобального каталога в домене contoso.com;
dsquery server –forest –isgc — поиск серверов GC во всем лесу;
dsquery server –site Default-First-Site-Name — поиск по сайту Default-First-Site-Name.

Имейте в виду, что для поиска глобального каталога по сайту нужно знать полное имя сайта и нельзя использовать символы подстановки.

Как происходит размещение глобального каталога? Первый сервер GC создается автоматически на первом контроллере домена в лесу при установке доменных служб Active Directory. В случае одного сайта, пусть даже и содержащего несколько доменов, одного сервера глобального каталога обычно достаточно для обработки запросов и входов в Active Directory. В среде с несколькими сайтами, для оптимизации производительность сети стоит рассмотреть возможность добавления серверов GC в для обеспечения быстрого ответа на поисковые запросы и быстрого входа в систему.  Также на каждом сайте AD, где предполагается установить Exchange, должен иметься в наличии хотя бы один сервер глобального каталога.

Дополнительные контроллеры домена можно назначить как GC, выбирая опцию Глобальный каталог (Global catalog) в оснастке администрирования Сайты и службы Active Directory (Active Directory Sites And Services).

 

Сервер глобального каталога используется в следующих ситуациях:

• Поиск объектов

Для доступа к объектам Active Directory использует протокол облегченного доступа к каталогам (Lightweight Directory Access Protocol, LDAP). Запросы поиска LDAP могут быть отправлены и получены службой каталогов AD по порту 389 (порт LDAP по умолчанию) и по порту 3268 (порт GC).

Когда запрос поиска отправляется на порт 389, поиск осуществляется в разделе каталога одного домена. Если объект не находится в текущем домене, контроллер домена пересылает запрос на контроллер домена в домене, указанный в различающемся имени объекта (distinguished name, DN).

Примечание. DN объекта — это атрибут каждого объекта, представляющий его имя и местоположение в лесу AD, например ″CN=Mike, OU=users, DC=contoso, DC=com″.

Если же запрос поиска отправляется на порт 3268, то опрашиваются все разделы каталога в лесу, то есть поиск обрабатывается сервером глобального каталога. Поскольку глобальный каталог содержит полный список всех объектов леса, сервер GC может ответить на любой запрос без необходимости передавать его другому контроллеру домена. Кстати, только серверы глобального каталога могут получать запросы LDAP через порт 3268.

Таким образом, если пользователь выполняет поиск какого-либо объекта, указав в запросе параметр «Весь каталог»,  данный запрос перенаправляется на порт 3268  и отправляется для разрешения на сервер GC. Если же по каким-либо причинам в домене  нет сервера GC, пользователи и приложения не смогут выполнять поиск в лесу. Также стоит отметить, что глобальный каталог содержит все права доступа для каждого объекта и атрибута, и если вы ищете объект, доступ к которому у вас нет доступа, вы его не увидите в списке результатов поиска. Соответственно, пользователи могут найти только те объекты, для которых им предоставлен доступ.

• Проверка подлинности

Кроме функции  поиска в мультидоменном лесу, сервер GC играет роль источника аутентификации во время входа пользователя в домен. Сервер глобального каталога разрешает имя пользователя в том случае, если контроллер домена, проверяющий подлинность, не имеет сведений об учетной записи этого пользователя. Другими словами, если учетная запись пользователя находится в одном домене, но сам пользователь входит в систему с компьютера, расположенного в другом домене, контроллер домена не cможет найти учетную запись пользователя и для того, чтобы завершить процесс входа в систему, он должен связаться с сервером глобального каталога.

• Проверка членства в универсальных группах в мультидоменной среде

В процессе проверки контроллер домена проверяет подлинность пользователя, после чего пользователь получает данные авторизации для доступа к ресурсам. Для предоставления этих данных контроллер домена извлекает идентификаторы безопасности (SID) для всех групп безопасности, членом которых является пользователь и добавляет эти идентификаторы в маркер доступа пользователя.

Поскольку универсальные группы могут содержать учетные записи пользователей и групп из любого домена в лесу, групповое членство в них может быть разрешено только тем контроллером домена, который имеет информацию каталога на уровне леса, т.е. сервером GC. Например, пользователь в лесу с несколькими доменами подключается к домену, в котором разрешены универсальные группы. В этом случае контроллер домена, для получения членства в универсальных группах, должен связаться с сервером глобального каталога. Если пользователь уже подключался к данному домену и сервер глобального каталога недоступен, то клиентский компьютер пользователя может использовать для входа кэшированные учетные данные. Но если сервер глобального каталога недоступен при входе пользователя в домен, в котором используются универсальные группы и пользователь ни разу не подключался к данному домену, войти в домен он не сможет (только локально в систему). Исключение составляет учетная запись доменного администратора, он всегда может входить в домен, даже если сервер GC недоступен.

Примечание. Если в составе леса находится только один домен, то при входе в систему нет необходимости получать в глобальном каталоге членство в универсальных группах. Это обусловлено тем, что AD обнаруживает отсутствие в лесу других доменов и предотвращает отправление глобальному каталогу запроса на эти сведения.

• Проверка ссылок на объекты внутри леса

Контроллеры домена используют глобальный каталог для подтверждения ссылок на объекты других доменов в лесу. То есть, если контроллер домена содержит объект с атрибутом, который содержит ссылку на объект в другом домене, то контроллер домена проверяет ссылку, устанавливая связь с сервером глобального каталога.

• Поиск в адресной книге Exchange

Когда пользователи в своем почтовом клиенте хотят найти человека в пределах своей организации, как правило они выполняют поиск через глобальную адресную книгу (global address list, GAL).   GAL — это список, который Exchange создает в результате выполнения запроса LDAP на поиск всех объектов, получающих почту — пользователей, контакты и группы. Когда пользователь пробует открыть в Microsoft Outlook адресную книгу, или пишет сообщение и вводит имя или адрес в поле «Кому», Outlook использует сервер глобального каталога, указанный сервером Exchange. Для поиска серверов глобального каталога, почтовые сервера Exchange используют Active Directory и DNS.

Подведем итог: При отсутствии доступа к серверу глобального каталога пользователи не смогут войти в систему, а почтовый сервер Exchange не сможет отправлять и принимать почту. Вот именно поэтому глобальный каталог и является самой важной ролью контролера домена, без которой функционирование Active Directory практически невозможно.

Восстановление леса AD — добавление сборки мусора

Twitter LinkedIn Facebook Адрес электронной почты

• Статья
• 09/29/2022
• Чтение занимает 2 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 и 2012 R2, Windows Server 2008 и 2008 R2

Чтобы добавить глобальный каталог в контроллер домена, используйте следующую процедуру.

Добавление глобального каталога

1. Нажмите кнопку «Пуск», выберите пункт » Все программы», выберите пункт » Администрирование» и выберите «Сайты и службы Active Directory«.
2. В дереве консоли разверните контейнер сайтов , а затем выберите соответствующий сайт, содержащий целевой сервер.
3. Разверните контейнер «Серверы» , а затем разверните объект сервера для контроллера домена, в который требуется добавить глобальный каталог.
4. Щелкните правой кнопкой мыши Параметры NTDS и выберите пункт «Свойства«.
5. Установите флажок «Глобальный каталог «.

Добавление глобального каталога с помощью Repadmin

• Откройте командную строку с повышенными привилегиями, введите следующую команду и нажмите клавишу ВВОД:

  repadmin.exe /options DC_NAME +IS_GC
  

Ниже приведены способы ускорения процесса добавления глобального каталога в контроллер домена в корневом домене.

• В идеале контроллер домена в корневом домене должен быть партнером репликации восстановленных контроллеров домена в доменах, не являющихся корневыми. Если да, убедитесь, что средство проверки согласованности знаний (KCC) создало соответствующий объект repsFrom для исходного контроллера домена и секции в корневом контроллере домена. Чтобы подтвердить это, выполните команду repadmin /showreps /v .

• Если не создан объект repsFrom , создайте этот объект для секции конфигурации. Таким образом, контроллер домена в корневом домене может определить, какие контроллеры домена в некорневом домене были удалены. Это можно сделать с помощью следующих команд:

  repadmin /add ConfigurationNamingContext DestinationDomainController SourceDomainControllerCNAME
  

  repadmin /options DSA -Disable_NTDSCONN_XLATE
  

  Формат sourceDomainControllerCNAME :

  sourceDCGuid._msdcs.root domain
  

  Например, команда repadmin /add для раздела конфигурации домена contoso. com может иметь следующий тип:

  repadmin /add cn=configuration,DC=contoso,DC=com DC01 937ef930-7356-43c8-88dc-8baaaa781cf6._msdcs.dDSP17A22.contoso.com
  

• Если объект repsFrom присутствует, попробуйте синхронизировать контроллер домена в корневом домене с контроллером домена в домене, отличном от корневого домена, следующим образом:

  Repadmin /sync DomainNamingContext DestinationDomainController SourceDomainControllerGUID
  

  Где DestinationDomainController — это контроллер домена в корневом домене, а SourceDomainController — восстановленный контроллер домена в домене, отличном от корневого домена.

• Dns-сервер корневого домена должен содержать записи ресурсов псевдонима (CNAME) для исходного контроллера домена. Убедитесь, что родительская зона DNS содержит записи ресурсов делегирования (NS) и записи ресурсов узла (A) для правильных контроллеров домена (контроллеров домена, восстановленных из резервной копии) в дочерней зоне.

• Убедитесь, что контроллер домена в корневом домене обращается к правильному центру распространения ключей (KDC) в домене, отличном от корневого домена. Чтобы проверить это, в командной строке введите следующую команду и нажмите клавишу ВВОД:

  nltest /dsgetdc:nonroot domain name /KDC /Force
  

Next Steps

• Руководство по восстановлению леса AD
• Восстановление леса AD — процедуры

Второй контроллер домена — Windows Server 2016

Pc360 – передача ролей контроллера домена на windows server 2021.

В предыдущих статьях:

— подключение и установка сервера;

— настройка контроллера домена.

Задача состоит в передаче ролей c основного контроллера домена Windows Server 2008 с Active Directory (AD) на резервный контроллер домена Windows Server 2021. Резервный контроллер домена (DCSERVER) должен стать основным, а тот, который сейчас основной (WIN-SRV-ST) должен стать резервным и в перспективе демонтироваться. Все действия выполняются на резервном сервере DCSERVER. Оба сервера работоспособны и «видят» друг друга.

Перед началом передачи ролей необходимо проверить, какой из серверов является хозяином ролей. Для этого вызываем командную строку Win R >> cmd и вводим команду:

netdom query fsmo – запрос на определение хозяина ролей FSMO

По результату выполнения команды видно, что хозяин всех ролей контроллер домена, который у нас называется Win-srv-st, он сейчас основной.

Краткая справка:

FSMO (англ. Flexible single-master operations — «операции с одним исполнителем») — типы выполняемых контроллерами домена AD операций, требующие обязательной уникальности сервера, выполняющего данные операции (wiki). Это значит, что данные роли могут быть только на одном контроллере домена.

Хозяин схемы (Schema Master) – отвечает за возможность изменения существующей схемы AD (например добавление Exchange и тп.)

Хозяин именования доменов (Domain Naming Master) – добавляет/убавляет домены (если их несколько в одном лесу).

PDC (Primary Domain Controller Emulator) — эмулятор основного контроллера домена. Отвечает за смену паролей их репликацию, изменение групповой политики, синхронизацию время и совместимость с ранними версиями Windows.

Диспетчер пула RID (Relative ID Master) – создает ID для каждого объекта AD.

Хозяин инфраструктуры (Infrastructure Master) – передает информацию об объектах AD между другими  контроллерами домена (например, когда пользователи из одного домена попали в соседний).

Есть еще одна очень важная роль – Global Catalog (GC) – хотя она не является FSMO т.к. её держателем могут быть несколько DC одновременно, без неё невозможно нормальное функционирование домена и его служб. GC хранит у себя копии всех объектов AD и частичные реплики других доменов леса. Он позволяет находить пользователям и приложениям объекты в любом домене существующего леса, отвечает за проверку подлинности имени пользователя, предоставляет сведения о членстве пользователя в универсальных группах, может общаться с другим доменным лесом.

Далее, смотрим в Active Directory (AD) >> Пользователи и компьютеры >> Наш домен >> Managed Service Accounts, чтоб учетная запись, под которой мы работаем, обладала всеми необходимыми правами.

Учетная запись должна как минимум входить в группы:

— администраторы домена;

— администраторы предприятия;

— администраторы схемы.

Передача ролей хозяина операций RID, PDC и Инфраструктуры.

Нажимаем правой кнопкой мыши на имя домена в каталоге и выбираем пункт – Хозяева операций…

В открывшемся окне видим, что хозяином во всех трех вкладках RID, PDC и Инфраструктура является Win-Srv-St.SCRB.local. Ниже написано: Чтоб передать роль хозяина операций следующему компьютеру, нажмите кнопку «Изменить». Убеждаемся что в самой нижней строчке имя сервера, которому мы хотим передать роль хозяина и жмем изменить. Делаем это же на всех трех вкладках.

В появившемся вопросе подтверждения жмем Да.

Роль хозяина успешно передана. ОК. Хозяином операций стал DCSERVER.SCRB.local.

Делаем то же самое на оставшихся двух вкладках PDC и Инфраструктура.

Передача роли «Хозяин именования доменов».

Выбираем в AD DS нашего сервера пункт Active Directory – домены и доверие.

Правой кнопкой мыши жмем по названию и выбираем, как и ранее, строчку Хозяин операций…

Проверяем имена серверов, нажимаем изменить.

Хозяином операций стал DCSERVER.

Передача роли «Хозяин схемы».

Первоначально зарегистрируем в системе библиотеку управления схемой AD с помощью команды regsvr32 schmmgmt.dll

Нажимаем WIN R >> cmd

Вводим команду и получаем ошибку: Модуль «schmmgmt.dll загружен, но не удалось выполнить вызов DLLRegisterServer, код ошибки: 0x80040201.

Ошибка, потому что командную строку нужно запускать от имени администратора. Сделать это можно, например из меню Пуск. Выбираем командную строку и нажимаем запуск от имени администратора.

Еще раз вводим команду regsvr32 schmmgmt.dll. Теперь всё прошло как нужно.

Нажимаем WIN R, пишем mmc

В открывшейся консоли выбираем Файл >> Добавить или удалить оснастку… (или жмем CTRL M)

Среди доступных оснасток выбираем Схема Active Directory, нажимаем добавить. ОК.

В корне консоли выбираем добавленную оснастку, нажимаем на неё правой кнопкой мыши и выбираем строчку «Хозяин операций…»

Текущим хозяином схемы значится Win-Srv-St.SCRB.local. В нижней строчке тоже его имя.

При нажатии кнопки «Сменить» появляется сообщение: Текущий контроллер домена Active Directory является хозяином операций. Чтоб передать роль хозяина другому DC, нужно нацелить на этот DC схему Active Directory.

Возвращаемся к оснастке и выбираем ПКМ Сменить контроллер домена Active Directory.

В открывшемся окне выбираем нужный сервер. В нашем случае DCSERVER.SCRB.local. ОК.

Консоль выдаст сообщение: Оснастка схемы Active Directory не подключена к хозяину операций схемы. Выполнение изменений невозможно. Изменения схемы могут быть сделаны только в схеме владельца FSMO.

При этом в названии оснастки появился нужный нам сервер.

Снова жмем на неё правой кнопкой мыши и переходим к хозяину операций. Проверяем названия серверов, жмем кнопку «Сменить».

Роль хозяина операций успешно передана. ОК.

Для того, чтоб убедиться в передаче ролей, введем еще раз в командной строке netdom query fsmo

Хозяином ролей теперь является DCSERVER.SCRB.local.

Глобальный каталог.

Чтоб уточнить, где расположен GC нужно пройти по пути: AD – Сайты и службы >> Sites >>Default-First-Site-Name >> Servers >> DCSERVER

В появившейся службе NTDS Settings жмем ПКМ и выбираем – Свойства.

Если стоит галочка напротив надписи Глобальный каталог, то значит что он на этом сервере. А вообще, в нашем случае GC расположен на обоих DC.

Настройка DNS.

В настройке DNS нового основного DC пишем вот что:

В первой строчке IP адрес бывшего основного DC (Win-Srv-St), который теперь стал резервным 192. 168.1.130.

Во второй строчке 127.0.0.1 т.е. самого себя (можно и свой IP написать, чтоб по конкретнее).

В том контроллере домена который у нас стал резервным записано так:

В первой строчке IP основного DC.

Во второй строчке свой IP. Все работает.

DHCP у нас в сети не работает по причине местных обстоятельств, по этому перенастраивать его не нужно. Зато нужно пройти 200 ПК и вручную прописать новый DNS. По этой причине решено пока что не демонтировать старый контроллер домена. За полгода планомерных обходов DNS у пользователей поменяются.

Восстановление состояния системы на целевом компьютере

Чтобы восстановить состояние системы на компьютере Windows Server 2003, который вы хотите сделать контроллером домена, перейдите на этот компьютер (он должен иметь доступ к файлу резервной копии, который вы создали на исходном компьютере). Запустите на этом компьютере Ntbackup.exe и выберите следующие опции в окнах мастера.

1. Выберите Restore Files and Settings (Восстановление файлов и настроек).
2. Укажите местоположение файла резервной копии.
3. Установите флажок System State.
4. Щелкните на кнопке Advanced (Дополнительно).
5. Выберите в раскрывающемся списке вариант Alternate Location (Другое место) и введите местоположение на локальном жестком диске (например, вы можете создать папку с именем ADRestore на диске C).
6. Выберите вариант Replace Existing Files (Заменить существующие файлы).
7. Установите флажки Restore Security Settings (Восстановить настройки безопасности) и Preserve Existing Volume Mount Points (Сохранить существующие точки монтирования томов).
8. Щелкните на кнопке Finish.

Ntbackup восстанавливает состояние системы в пяти подпапках в том месте, которое вы указали в мастере. Имена этих папок соответствуют следующим именам компонентов состояния системы:

Если вы запускаете программу DCPROMO с новым ключом /adv, то она ищет эти подпапки.

В диалоговом окне Run (Выполнить) введите dcpromo /adv, чтобы запустить мастер Active Directory Installation Wizard. Используйте следующие инструкции, чтобы сделать свой выбор в каждом окне этого мастера.

1. Выберите вариант Additional Domain Controller for Exiting Domain.
2. Выберите вариант From These Restored Backup Files (Из следующих восстановленных файлов резервной копии) и укажите местоположение на локальном диске, где вы хотите восстановить резервную копию. Это должно быть место, где находятся приведенные выше пять подпапок.
3. Если исходный DC содержит глобальный каталог, то появится окно мастера, где спрашивается, хотите ли вы поместить глобальный каталог на этот DC. Выберите ответ Yes или No в зависимости от ваших планов конфигурирования. Процесс создания DC будет проходить несколько быстрее, если выбрать ответ Yes, но вы можете решить, что глобальный каталог нужно держать только на одном DC.
4. Введите опознавательные данные, позволяющие выполнить эту работу (имя и пароль администратора).
5. Введите имя домена, в котором будет действовать этот DC. Это должен быть домен, членом которого является исходный DC.
6. Введите местоположения для базы данных Active Directory и журналов (лучше всего использовать местоположения, заданные по умолчанию).
7. Введите местоположение для SYSVOL (и здесь лучше всего использовать местоположение по умолчанию).
8. Введите пароль администратора, чтобы использовать его на тот случай, если придется загружать этот компьютер в режиме Directory Services Restore Mode.
9. Щелкните на кнопке Finish.

Dcpromo повысит статус этого сервера до контроллера домена, используя данные, содержащиеся в восстановленных файлах, а это означает, что вам не придется ждать, пока будет выполнена репликация каждого объекта Active Directory с существующего DC на этот новый DC.

По окончании этого процесса перезагрузите компьютер. После этого вы можете удалить папки, содержащие восстановленную резервную копию.

Синхронизация времени active directory с внешним источником

Синхронизация времени – важный и во многом достаточно критичный аспект работы Active Directory, особенно сегодня, когда широко используется взаимодействие с внешними системами и работа с сотрудниками, которые могут находиться в различных часовых поясах. Применение систем виртуализации вносит дополнительные особенности, которые также следует учитывать. Поэтому данный вопрос может оказаться не столь простым, как кажется, а синхронизация с внешним источником точного времени становится одной из актуальных задач.

Прежде всего вспомним, как происходит синхронизация времени в Active Directory. В качестве эталона времени выступает контроллер, владеющий ролью эмулятора PDC. Это FSMO-роль и эмулятором PDC может являться только один контроллер в каждом домене. С ним синхронизируют время остальные контроллеры домена. Доменные ПК и рядовые серверы сверяют часы с ближайшим контроллером домена.

Сам эмулятор PDC в качестве источника точного времени может использовать либо аппаратные часы материнской платы, либо внешний источник точного времени, при нахождении в виртуальной среде также может быть использовано время хоста виртуализации.

О последней поговорим более подробно. Раньше все было довольно просто, источником времени в домене обычно служили аппаратные часы эмулятора PDC, ну отстали или убежали на пару минут, в конце концов можно и подвести. Когда добавилось требование взаимодействия с внешними системами критичными к точному времени (например, использующих криптографию), то в качестве источника времени стал выступать внешний сервер. От него получал время эмулятор PDC, с ним синхронизировались контроллеры, а от них точное время расходилось на остальных участников домена.

С приходом виртуализации все изменилось, появился еще один источник времени – время хоста виртуализации. Многие гипервизоры по умолчанию имеют включенной настройку синхронизации времени гостевых систем и при попадании в виртуальную среду контроллера может возникнуть следующая коллизия: контроллер синхронизирует время с хостом, но сам хост, являясь членом домена, в свою очередь синхронизируется с контроллером.

Еще хуже, если в виртуальную среду попадает эмулятор PDC, в силу особенностей таймера виртуальных машин, время внутри может достаточно сильно плавать, поэтому виртуальный эмулятор PDC всегда должен синхронизировать время с внешним источником, а синхронизация времени с хостом должна быть отключена, последнее касается и всех остальных виртуальных членов домена.

Давайте перейдем от теории к практике. Начнем с того, что выясним кто из контроллеров является эмулятором PDC и эталоном времени для домена. Это можно сделать на любом контроллере домена командой:

 netdom query fsmo

В выводе будут показаны все хозяева операций, нас интересует только эмулятор PDC.

Затем перейдем на указанный контроллер и узнаем источник времени для него, для этого выполните команду:

w32tm /query /source

Если в выводе вы увидите:

Local CMOS Clock

то источником времени являются аппаратные часы. А если там будет:

VM IC Time Synchronization Provider

то вы имеете дело с виртуальной машиной, которая синхронизирует время с хостом.

Данную настройку следует исправить, это можно сделать в настройках виртуальной машины, отключив синхронизацию времени с хостом, либо в самой системе, для этого откройте ветвь реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider

и установите для параметра Enabled значение .

После данного изменения следует перезапустить Службу времени Windows или перезагрузить компьютер.

Следующим шагом будет настройка нашего эмулятора PDC на работу с внешними источниками точного времени. Все изменения также будут вноситься через реестр. Прежде всего изменим тип сервера на NTP, для этого откроем ветку

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

и для параметра Type укажем строковое значение NTP. А для параметра NtpServer зададим адреса серверов точного времени, после каждого из которых, через запятую укажем 0x8, если мы хотим работать как стандартный NTP-клиент или 0x1 если будем использовать собственные параметры, например:

0. ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

После чего в

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer

Параметр Enabled установим в значение1.

Затем перейдем в

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig

и установим для параметра AnnounceFlags значение A.

Следующие параметры будут работать, только если мы при указании серверов добавили 0x1, иначе будут использоваться настройки, предлагаемые сервером. Чтобы задать период синхронизации откройте ветку

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient

и для параметра SpecialPollInterval укажите десятичное значение в секундах.

Вернемся в

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig

и зададим максимальное время опережения и отставания часов, после которых синхронизация производиться не будет. Для этого используются параметры MaxPosPhaseCorrection (опережение) и MaxNegPhaseCorrection (отставание) для которых также следует задать десятичное значение в секундах. По умолчанию стоит 48 часов. Это значит, что если время на эмуляторе PDC уйдет от точного источника более чем на 48 часов в любую сторону, то синхронизация производиться не будет.

Если вы хотите, чтобы время синхронизировалось всегда, то установите в оба параметра шестнадцатеричное значение FFFFFFFF.

Выполнив настройки перезапустите Службу времени Windows, это также можно сделать в командной строке:

net stop w32time
net start w32time

После чего еще раз выполним

w32tm /query /source

и убедимся, что источником времени для эмулятора PDC является внешний сервер.

Затем выполним данную команду на рядовых контроллерах домена, в качестве источника времени там должен быть указан эмулятор PDC, и на обычных ПК, где в выводе будет присутствовать любой из контроллеров домена. Обязательно выполните контроль для виртуальных машин, чтобы быть уверенным, что они используют время домена, а не хоста виртуализации.

Удаляем неисправный домен контроллер из active directory в server 2008r2. | реальные заметки ubuntu & mikrotik

Прочитано: 4 882

Исходная система: dc1.polygon.local – первый домен контроллер.

Dc2.polygon.local – не исправный домен контроллер.

Учётная запись ekzorchik обладающая правами «Domain Admins» (Администратор домена).

Предположим у нас поломался, сервер, на котором поднят dc2 – второй домен контроллер. Причин может быть масса: посыпались диски, неисправное железо, затопило серверную.

Заходим на dc1 из-под учетной записи ekzorchik. Открываем командную строку с правами Администратора и набираем:

NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с Active Directory, в том числе процедур обслуживания,  управления и модификации Active Directory.

Ntdsutil для перехода в контекст:

C:Usersekzorchik>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: connections

Подключаемся к работоспособному домен контроллеру:

server connections: connect to server dc1

Binding to dc1 …

Connected to dc1 using credentials of locally logged on user.

server connections: quit

metadata cleanup: select operation target

select operation target: list sites

Found 1 site(s)

0 — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

select operation target: select site 0

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

No current domain

No current server

No current Naming Context

, где <> – где  – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта)

select operation target: list servers in site

Found 2 server(s)

0 — CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

1 — CN=DC2,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC=polygon,DC=local

Выбираем неисправный:

select operation target: select server 1

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

No current domain

Server — CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

DC=polygon,DC=local

DSA object — CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

DNS host name — DC2. polygon.local

Computer object — CN=DC2,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

select operation target: list domains

Found 1 domain(s)

0 — DC=polygon,DC=local

select operation target: select domain 0

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

Domain — DC=polygon,DC=local

Server — CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

DC=polygon,DC=local

DSA object — CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Na

me,CN=Sites,CN=Configuration,DC=polygon,DC=local

DNS host name — DC2.polygon.local

Computer object — CN=DC2,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

select operation target: quit

metadata cleanup: remove selected server

Transferring / Seizing FSMO roles off the selected server.

Removing FRS metadata for the selected server.

Searching for FRS members under «CN=DC2,OU=Domain Controllers,DC=polygon,DC=local».

Deleting subtree under «CN=DC2,OU=Domain Controllers,DC=polygon,DC=local».

The attempt to remove the FRS settings on CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local failed because «Element not

found.»;

metadata cleanup is continuing.

«CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local» removed from server «dc1»

Открываем оснастку Active Directory Sites and Services:

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Sites and Services».

Выбираем сайт, в котором находился неисправный домен контроллер (dc2) и открыв свойства – удаляем его.

Мастер уведомит ещё раз об выполняемых действиях:

Соглашаемся, нажав “Yes”

Далее открываемоснастку Active Directory Users and Computers:

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Users and Computers»

Разворачиваем  C:Usersekzorchik>dsquery ou -name «Domain Controllers»

«OU=Domain Controllers,DC=polygon,DC=local» и удаляемучётнуюзаписьсервераdc2.

Далее открываем оснастку DNS Manager:

«Start» – «Control Panel» – «Administrative Tools» – «DNS Manager».

Удаляем все оставшиеся записи DNS: HOST (A) или Pointer (PTR).

Ну вот собственно и все, так следует удалять из DNS и ActiveDirectory записи о удаляемой неисправном контроллере домена и всех его ресурсах. Удачи.

AD Forest Recovery — Добавление GC

Обратная связь Редактировать

Твиттер LinkedIn Фейсбук Эл. адрес

• Статья
• 29.07.2021
• 2 минуты на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 и 2012 R2, Windows Server 2008 и 2008 R2

Используйте следующую процедуру, чтобы добавить глобальный каталог на контроллер домена.

Чтобы добавить глобальный каталог

1. Щелкните Пуск , выберите Все программы , выберите Средства администрирования , а затем щелкните Сайты и службы Active Directory .
2. В дереве консоли разверните контейнер Sites и выберите соответствующий сайт, содержащий целевой сервер.
3. Расширение серверов , а затем разверните объект сервера для контроллера домена, к которому вы хотите добавить глобальный каталог.
4. Щелкните правой кнопкой мыши Параметры NTDS и выберите Свойства .
5. Установите флажок Глобального каталога .

Чтобы добавить глобальный каталог с помощью Repadmin

• Откройте командную строку с повышенными привилегиями, введите следующую команду и нажмите клавишу ВВОД:

   repadmin.exe /options DC_NAME +IS_GC
   

Ниже перечислены способы ускорения процесса добавления глобального каталога на контроллер домена в корневом домене:

• В идеале контроллер домена в корневом домене должен быть партнером по репликации восстановленных контроллеров домена в некорневом домене. домены. Если это так, убедитесь, что средство проверки согласованности знаний (KCC) создало соответствующий объект repsFrom для исходного контроллера домена и раздела в корневом контроллере домена. Вы можете убедиться в этом, выполнив команду repadmin /showreps /v .

• Если объект repsFrom не создан, создайте этот объект для раздела конфигурации. Таким образом, контроллер домена в корневом домене может определить, какие контроллеры домена в некорневом домене были удалены. Вы можете сделать это с помощью следующих команд:

   repadmin /add ConfigurationNamingContext DestinationDomainController SourceDomainControllerCNAME
   

   repadmin /options DSA -Disable_NTDSCONN_XLATE
   

  Формат SourceDomainControllerCNAME это:

  sourceDCGuid._msdcs.root домен
   

  Например, команда repadmin /add для раздела конфигурации домена contoso.com может иметь следующий вид:

   repadmin /add cn=configuration,DC=contoso,DC=com DC01 937ef930-7356-43c8-88dc-8baaaa781cf6. _msdcs.dDSP17A22.contoso.com
   

• Если присутствует объект repsFrom , попробуйте синхронизировать контроллер домена в корневом домене с контроллером домена в некорневом домене следующим образом:

   Repadmin /sync DomainNamingContext DestinationDomainController SourceDomainControllerGUID
   

  Где DestinationDomainController — это контроллер домена в корневом домене, а SourceDomainController — это восстановленный контроллер домена в некорневом домене.

• DNS-сервер корневого домена должен иметь записи ресурсов псевдонима (CNAME) для исходного контроллера домена. Убедитесь, что родительская зона DNS содержит записи ресурсов делегирования (записи ресурсов сервера имен (NS) и узла (A)) для правильных контроллеров домена (DC, которые были восстановлены из резервной копии) в дочерней зоне.

• Убедитесь, что контроллер домена в корневом домене связывается с правильным центром распространения ключей (KDC) в некорневом домене. Чтобы проверить это, в командной строке введите следующую команду и нажмите клавишу ВВОД:

  .

   nltest /dsgetdc: некорневое доменное имя /KDC /Force
   

Следующие шаги

• Руководство по восстановлению леса AD
• Восстановление леса AD — Процедуры

Обратная связь

Отправить и просмотреть отзыв для

Этот продукт Эта страница

Просмотреть все отзывы о странице

Понижение роли контроллера домена — Pyrolaptop

Перейти к содержимому

7 июля 2017 г. 13 октября 2017 г. Автор Matt Комментарий закрыт

Учетные данные администратора

Переместить все роли FSMO вошедший в систему пользователь должен быть членом группы администраторов предприятия. Это необходимо для передачи ролей хозяина схемы или хозяина именования доменов.

Остальные операции можно выполнять с пользователем, входящим в группу администраторов домена.

Важнее всего обратить внимание на следующие компоненты, которые либо запущены, либо зарегистрированы в системе:

• Глобальный каталог
• Роли FSMO
• Сервер-плацдарм
• Общие проверки сервера
• У вас есть учетные данные администратора предприятия

Глобальный каталог

Чтобы проверить, какие серверы работают в качестве контроллера домена в вашем домене, введите следующую команду:

dsquery server -domain #DomainName# | сервер dsget -isgc -dnsname

замените #DomainName# на домен контроллера домена, который вы понижаете в должности

Если у вас есть не только контроллер домена, который вы готовите к понижению, вам больше нечего делать, поскольку шаги DCPROMO удалят его автоматически. Если у вас их больше нет, следуйте статье MS 296882, чтобы сделать другой контроллер домена GC.

Статья MS 296882 (https://support.microsoft.com/en-gb/help/296882/how-to-promote-a-domain-controller-to-a-global-catalog-server) Шаги, указанные ниже

Чтобы повысить роль контроллера домена до сервера глобального каталога, выполните следующие действия:

1. На контроллере домена нажмите «Пуск», выберите «Программы», нажмите «Инструменты администрирования», а затем нажмите «Сайты и службы Active Directory».
2. В дереве консоли дважды щелкните «Сайты», дважды щелкните имя сайта, а затем дважды щелкните «Серверы».
3. Дважды щелкните целевой контроллер домена.
4. В области сведений щелкните правой кнопкой мыши Параметры NTDS и выберите Свойства.
5. На вкладке «Общие» нажмите, чтобы выбрать Глобальный каталог  флажок.
6. Перезапустите контроллер домена.

Роли FSMO

Чтобы убедиться, что текущий сервер не является держателем роли FSMO, просто выполните следующую команду:

netdom query fsmo

Если ни одно из имен серверов не соответствует тому, которое вы понижаете, вам больше нечего делать. Если да, следуйте статье базы знаний MS 324801

статьи базы знаний MS 324801 (https://support.microsoft.com/en-gb/help/324801/how-to-view-and-transfer-fsmo-roles- в-виндовс-сервер-2003)

Передача роли мастера схемы

Используйте оснастку мастера схемы Active Directory для передачи роли хозяина схемы. Прежде чем вы сможете использовать эту оснастку, вы должны зарегистрировать файл Schmmgmt.dll.

Зарегистрировать Schmmgmt.dll

1. Нажмите «Пуск», а затем нажмите «Выполнить».
2. Введите regsvr32 schmmgmt.dll в поле «Открыть» и нажмите «ОК».
3. Нажмите ОК, когда получите сообщение об успешном выполнении операции.

Передача роли мастера схемы

1. Нажмите «Пуск», нажмите «Выполнить», введите mmc в поле «Открыть» и нажмите «ОК».
2. В меню «Файл» нажмите  «Добавить/удалить оснастку» .
3. Нажмите Добавить.
4. Щелкните «Схема Active Directory», нажмите «Добавить», нажмите «Закрыть», а затем нажмите «ОК».
5. В дереве консоли щелкните правой кнопкой мыши Схему Active Directory и выберите Изменить контроллер домена.
6. Нажмите «Указать имя», введите имя контроллера домена, который будет владельцем новой роли, и нажмите «ОК».
7. В дереве консоли щелкните правой кнопкой мыши Схема Active Directory и выберите Мастер операций.
8. Нажмите Изменить.
9. Нажмите «ОК», чтобы подтвердить, что вы хотите передать роль, а затем нажмите «Закрыть».

Передача роли мастера именования доменов

1. Нажмите «Пуск», выберите «Инструменты администрирования», а затем нажмите « Домены и доверительные отношения Active Directory» .
2. Щелкните правой кнопкой мыши Active Directory Domains and Trusts и выберите Подключиться к контроллеру домена . ПРИМЕЧАНИЕ. Этот шаг необходимо выполнить, если вы не находитесь на контроллере домена, которому хотите передать роль. Вам не нужно выполнять этот шаг, если вы уже подключены к контроллеру домена, роль которого вы хотите передать.
3. Выполните одно из следующих действий:
   • В поле Введите имя другого контроллера домена введите имя контроллера домена, который будет владельцем новой роли, а затем нажмите OK.-или-
   • В  Или выберите доступный контроллер домена  , щелкните контроллер домена, который будет новым держателем роли, а затем нажмите «ОК».
4. В дереве консоли щелкните правой кнопкой мыши Домены Active Directory и доверительные отношения и выберите Мастер операций.
5. Нажмите Изменить.
6. Нажмите «ОК», чтобы подтвердить, что вы хотите передать роль, а затем нажмите «Закрыть».

Передача ролей хозяина RID, эмулятора PDC и хозяина инфраструктуры

1. Нажмите «Пуск», выберите «Инструменты администрирования», а затем нажмите « Пользователи и компьютеры Active Directory ».
2. Щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory , а затем выберите Подключиться к контроллеру домена . ПРИМЕЧАНИЕ. Вы должны выполнить этот шаг, если вы не находитесь на контроллере домена, которому вы хотите передать роль. Вам не нужно выполнять этот шаг, если вы уже подключены к контроллеру домена, роль которого вы хотите передать.
3. Выполните одно из следующих действий:
   • В поле Введите имя другого контроллера домена введите имя контроллера домена, который будет владельцем новой роли, а затем нажмите OK.-или-
   • В  Или выберите доступный контроллер домена  , щелкните контроллер домена, который будет новым держателем роли, а затем нажмите ОК.
4. В дереве консоли щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory , выберите Все задачи, а затем нажмите Мастер операций.
5. Щелкните соответствующую вкладку для роли, которую вы хотите передать (RID, PDC или Инфраструктура), а затем нажмите Изменить.
6. Нажмите «ОК», чтобы подтвердить, что вы хотите передать роль, а затем нажмите «Закрыть».

Сервер-плацдарм

Чтобы проверить, какие серверы работают в качестве контроллера домена в вашем домене, введите следующую команду:

repadmin /bridgeheads

На выходе должны быть все плацдармы, настроенные на этом сервере.

Общие проверки сервера

убедитесь, что он работоспособен перед запуском DCPromo

Отображает всю информацию о контроллере домена.

dcdiag.exe /V /C /D /E /s:#DomainControllerName# > c:\dcdiag.log

Предоставляет информацию о конкретной конфигурации сети для локального компьютера.

netdiag.exe /v > c:\netdiag.log

Помогает диагностировать проблемы репликации AD

repadmin.exe /showrepl dc* /verbose /all /intersite > c:\repl.txt

Помогает диагностировать распространенные проблемы с разрешением DNS-имен

dnslint /ad /s #IPAddressOfServer#

Чтобы понизить роль контроллера домена

1. Используйте диспетчер серверов для удаления роли доменных служб Active Directory.

   Запустите диспетчер серверов, выберите раскрывающееся меню  Управление , выберите Удалить роли и функции .

2. На странице Выберите тип установки убедитесь, что Установка на основе ролей или функций Выбрана круговая кнопка, нажмите «Далее».
3. На странице Выберите сервер назначения Выберите нужный сервер из пула серверов .
4. В мастере удаления ролей и компонентов щелкните поле Доменные службы Active Directory , чтобы снять флажок.
5. Появится диалоговое окно  Удалить роли и компоненты  Удалить компоненты   , для которых требуется доменная служба Active Directory , выберите Удалить элементы.
6. В диалоговом окне  Мастер удаления ролей и компонентов  появится окно  Результаты проверки . Прежде чем продолжить, контроллер домена должен быть понижен в должности. Нажмите Понизить уровень этого контроллера домена .
7. В мастере настройки доменных служб Active Directory введите необходимые учетные данные для понижения роли этого сервера, нажмите Далее. Примечание. Выберите «Принудительно удалить этот контроллер домена», только если контроллер домена не взаимодействует с остальными контроллерами домена.
8. В новом пароле администратора введите и подтвердите новый пароль учетной записи локального администратора, нажмите Далее .
9. В параметрах просмотра проверьте правильность информации и нажмите «Понизить».

КБ — Windows Server, база знаний

Что такое контроллеры домена? Обзор основного контроллера домена

Аутентификация — это важная функция компьютерной сети, помогающая обеспечить доступ к системе только авторизованным пользователям. Для поставщика управляемых услуг (MSP) аутентификация является ключевым элементом, помогающим обеспечить безопасность данных ваших клиентов и доступ только для соответствующих пользователей.

По этой причине поставщикам MSP следует уделить время изучению контроллеров домена, которые играют важную роль в современной проверке подлинности. Что такое контроллеры домена? В этой статье мы объясним их функции и рассмотрим различные типы контроллеров домена, включая Active Directory.

В чем разница между доменом и контроллером домена?

Каждая компьютерная рабочая станция имеет свои собственные учетные записи пользователей, называемые локальными учетными записями, которые используются для входа на конкретную машину. Однако эти учетные записи не предназначены для входа в сеть по двум причинам. Во-первых, сетевые учетные записи должны быть переносимыми — пользователь должен иметь доступ к сети с любой рабочей станции. Во-вторых, конфигурация учетной записи должна контролироваться из центрального места. В противном случае при изменении привилегий учетной записи системным администраторам потребуется отдельно настраивать учетные записи на каждом локальном устройстве.

Здесь на помощь приходит домен. Сетевой домен централизует учетные записи пользователей, что упрощает их администрирование и позволяет пользователям входить в сеть с любой заданной машины. Внутри домена контроллер домена используется для регулирования доступа учетных записей пользователей к сети.

Какова основная функция контроллера домена?

Контроллеры домена являются частью сетевой среды Microsoft. Контроллер домена Windows обрабатывает запросы проверки подлинности пользователей. Когда пользователь пытается получить доступ к сети, контроллер домена отвечает на этот запрос. Контроллер домена проверяет, разрешено ли пользователю войти, запускает процесс входа в систему и регулирует разрешения (контролируя, какие части сети могут видеть пользователи). Это критически важная функция безопасности. Контроллеры домена гарантируют, что только авторизованным пользователям разрешен доступ к сети, помогая предотвратить хакерские угрозы.

Проверка обычно выполняется с использованием комбинации имени пользователя и пароля, хотя для большей безопасности могут быть включены биометрические методы и многофакторная аутентификация (MFA). После проверки пользователя контроллер домена определяет, является ли он обычным пользователем или системным администратором с дополнительными привилегиями.

Контроллеры домена впервые появились в Windows NT. Они остаются ключевым инструментом в современных сетях, хотя в наши дни они иногда вытесняются, когда организации переходят на облачные сети.

В чем разница между контроллером домена и Active Directory?

Active Directory — это служба каталогов Microsoft для доменных сетей Windows. Когда Active Directory появилась в Windows 2000 Server, она использовалась исключительно для централизованного управления доменом. Однако с появлением Windows Server 2008 Active Directory превратилась в набор служб каталогов, одним из которых является контроллер домена. Другие функции Active Directory включают облегченные службы каталогов, службы сертификации (для инфраструктуры шифрования с открытым ключом), службы федерации (для единого входа) и службы управления правами (для управления правами на информацию, которые контролируют доступ к определенным данным).

В этой схеме сервер, на котором работает Active Directory, называется контроллером домена. Экземпляр Active Directory включает в себя как базу данных, так и исполняемый код (называемый системным агентом каталога) для запуска базы данных и обслуживания запросов пользователей. База данных структурирована с использованием объектов, которые организованы по трем уровням — лесам, деревьям и доменам.

Контроллеры домена Active Directory используют доверительные отношения для предоставления пользователям в одном домене доступа к другим. Доверительные отношения существуют в лесу базы данных, который автоматически создается при создании домена. Типы доверия включают одностороннее доверие (при котором пользователи одного домена имеют доступ к другому домену, но не наоборот), двустороннее доверие (когда двум доменам разрешен доступ друг к другу), транзитивное доверие ( которое может выходить за пределы двух доменов), явное доверие (созданное системным администратором), доверие леса (которое применяется ко всему лесу) и внешнее доверие (обеспечивающее подключение к доменам, не относящимся к Active Directory).

Контроллер домена Active Directory позволяет системным администраторам устанавливать политики, обеспечивающие достаточную сложность пароля. В целях безопасности пароль Active Directory не может содержать имя пользователя или полное имя пользователя. Кроме того, Microsoft позволяет вам требовать, чтобы пароль включал символы из определенных категорий, таких как прописные буквы, строчные буквы, цифры, символы (например, [email protected]#$%) и Unicode.

Active Directory также позволяет установить минимальную длину пароля: чем длиннее пароль, тем труднее его взломать методом грубой силы. По умолчанию Windows 10 Active Directory требует, чтобы пароль содержал символы не менее трех из ранее упомянутых категорий и имел длину не менее восьми символов. Эти спецификации дают 218 340 105 584,896 различных полных возможностей, которые хакерам нужно будет попробовать методами грубой силы. Чем более конфиденциальна информация, которую вы пытаетесь защитить, тем более надежными должны быть ваши требования к паролю.

Сколько контроллеров домена вам нужно?

В исходной реализации Windows контроллеры домена были разделены на две категории: основной контроллер домена и резервный контроллер домена (DC). Первичный контроллер домена — это контроллер домена первой линии, который обрабатывает запросы проверки подлинности пользователей. Можно назначить только один первичный контроллер домена. В соответствии с рекомендациями по обеспечению безопасности и надежности сервер, на котором размещается основной контроллер домена, должен быть предназначен исключительно для служб домена. Из-за своей центральной важности для сети основной сервер DC не должен запускать файлы, приложения или службы печати, которые могут замедлить его работу или привести к ее сбою.

Резервный контроллер домена существует как отказоустойчивый на случай выхода из строя основного контроллера домена. Может быть несколько резервных контроллеров домена для избыточности. Наличие выделенного резервного контроллера домена — разумная мера предосторожности. Если основной контроллер домена выйдет из строя, а резервного нет, пользователи не смогут получить доступ к сети. Когда пользователь пытается войти в систему, программное обеспечение связывается с основным контроллером домена. Если основной контроллер домена недоступен, он связывается с резервным контроллером домена. Резервная копия может быть повышена до основной роли в случае, если первичная постоянно выходит из строя. Обратите внимание, что обновления домена (такие как дополнительные пользователи, новые пароли или изменения в группах пользователей) могут выполняться только для основного контроллера домена. Затем они распространяются в резервные базы данных DC. Это форма структуры репликации ведущий-ведомый, где первичный контроллер домена является ведущим, а вторичные контроллеры домена — подчиненными.

Однако в настоящее время архитектура основного и резервного контроллера домена устарела. Когда Active Directory была представлена ​​в Windows 2000, она была разработана со структурой репликации с несколькими хозяевами.