Контроллер домена (Domain Controller) — это основной сервер на котором активирована роль Active Directory (ядро домена, основной сервер). Как минимум, на контроллере домена имеется копия локального раздела домена, раздела конфигурации и раздела схемы.
DC хранит копию базы AD. По сути контроллер домена — это БД. Контроллеров домена должно быть несколько.
Служба, объединяет различные объекты сети (компьютеры, сервера, принтера, различные сервисы) в единую систему. AD выступают в роли каталога (базы данных), в котором хранится информация о пользователях, ПК, серверах, сетевых и периферийных устройствах.
Контроллер домена позволяет пользователям посредством аутентификации подключаться к домену для получения доступа к сетевым ресурсам.
Основные функции
Контроллеры домена обеспечивают выполнение следующих функций в сети:
- Обеспечивает проверку подлинности пользователей и компьютеров домена.
Обеспечивает авторизацию клиентов, наличия у них нужных прав согласно БД AD.
По умолчанию используется протокол сетевой аутентификации Kerberos 5.
(Контроллеры домена содержат базу данных учетных записей домена и обеспечивают работу служб проверки подлинности.) - Содержит роли хозяина операций в качестве дополнительной возможности. Эти роли ранее назывались ролями FSMO (Flexible Single Master Operations). Существует пять ролей хозяина операций — две роли уровня леса и три роли уровня домена. Эти роли можно переносить в соответствии с требованиями.
- Содержит глобальный каталог в качестве дополнительной возможности. В качестве сервера глобального каталога можно назначить любой контроллер домена.
Глобальный каталог — это распределенная база данных, которая содержит доступное для поиска представление каждого объекта из всех доменов в лесу с несколькими доменами. Однако глобальный каталог не содержит всех атрибутов для каждого объекта. Вместо этого он поддерживает подмножество атрибутов, которые скорее всего пригодятся при поисках в домене. Таким образом рекомендуется все контроллеры домена делать глобальными каталогами - упрощает поиск объектов в разных доменах.
- Поддерживает групповые политики и системный том (SYSVOL — каталог sysvol, где хранятся групповые политики. Этот каталог реплицируется (синхронизируются) в реальном времени). Групповые политики состоят из контейнеров групповых политик, хранящихся в доменных службах Active Directory, и шаблонов групповых политик, расположенных в папке SYSVOL файловой системы всех контроллеров домена.
- Обеспечивает репликацию (дублирование, синхронизацию). Доменные службы Active Directory — это распределенная служба каталогов. Такие объекты, как пользователи, компьютеры, подразделения и службы, распределены по всем контроллерам домена леса, и их обновление можно выполнять на любом контроллере домена в лесу.
Контроллеры домена леса обладают общей схемой, общим глобальным каталогом и общим корневым доменом леса.
Контроллеры домена также используются приложениями для запроса информации доменных служб Active Directory. Например, Microsoft Exchange Server 2010 считывает сведения о конфигурации из доменных служб Active Directory.
Для поиска контроллеров домена используется DNS, обычно на том-же сервере, рекомендуется делать глобальным каталогом — упрощает поиск . Если служба DNS настроена неправильно, пользователи не смогут входить в систему или вход в систему будет очень медленным.
DC — должно быть несколько, равноправны, если не требуется другое (только чтение).
Сервер глобального каталога
Некоторые контроллеры домена также настраиваются как серверы глобального каталога. На сервере глобального каталога хранится подмножество доменной информации для всех доменов всего леса. Это удобно, когда приложениям требуется запрашивать информацию доменных служб Active Directory для всех доменов леса.
Развертывание контроллера домена
Чтобы развернуть контроллер домена, установите роль сервера доменных служб Active Directory. Затем следует повысить уровень сервера до контроллера домена и определить его особую функцию в среде леса доменных служб Active Directory; для выполнения этой задачи используйте файл dcpromo.exe.
dcpromo.exe можно запустить без предварительного развертывания необходимой роли сервера, поскольку при необходимости роль сервера будет автоматически развернута dcpromo.exe.
Контроллер домена только для чтения
Read-only domain controller (RODC) — это контроллер домена только для чтения, содержит репликацию базы данных доменных служб Active Directory для данного домена.
Оптимален для установки в удаленных филиалах и офисах, в которых сложно обеспечить физическую защиту сервера с полноценной ролью DC. Появился в Windows Server 2008. Он только принимает реплицируемые изменения в доменные службы Active Directory и никогда не инициируют репликацию. Контроллер домена только для чтения может также функционировать в качестве сервера глобального каталога.
- Не может содержать роли хозяина операций или настраиваться как серверы-плацдармы репликации;
- Может развертываться на серверах начиная с Windows Server 2008 R2 Server Core, для дополнительной безопасности.
Функции контроллера домена только для чтения
База данных Active Directory только для чтения
За исключением паролей учетных записей, контроллер домена только для чтения содержит все объекты и атрибуты Active Directory, имеющиеся в контроллере домена, доступном для записи. Однако внесение изменений в реплику, хранящуюся в контроллере домена только для чтения, невозможно. Изменения необходимо вносить на контроллере домена, доступном для записи, и реплицировать в контроллер домена только для чтения.
Однонаправленная репликация
Поскольку изменения не записываются непосредственно в контроллер домена только для чтения, никакие изменения на таком контроллере не делаются. Поэтому контроллеры домена, доступные для записи, которые являются партнерами репликации, не должны получать изменения от контроллера только для чтения. В результате снижается рабочая нагрузка серверов-плацдармов в концентраторе и для отслеживания репликации требуется меньше усилий.
Кэширование учетных данных
Кэширование учетных данных — это сохранение учетных данных пользователей или компьютеров. Учетные данные состоят из небольшого набора паролей (около десяти), связанных с участниками безопасности. По умолчанию в контроллере домена только для чтения учетные данные пользователей и компьютеров не хранятся. Исключения составляют учетная запись компьютера контроллера домена только для чтения и особая учетная запись krbtgt (учетная запись центра службы распространения ключей Kerberos), имеющаяся в каждом контроллере домена только для чтения. Кэширование любых других учетных данных необходимо явно разрешить в контроллере домена только для чтения.
Контроллер домена только для чтения требует перенаправления запросов проверки подлинности на сервер глобального каталога (начиная с Windows Server 2008), расположенный в подразделении, ближайшем к основному контроллеру домена. На этом контроллере домена устанавливается политика репликации паролей, чтобы определить, реплицируются ли учетные данные в расположение филиала для перенаправляемого запроса от контроллера домена только для чтения.
Контроллер домена, выполняющий роль хозяина операций эмулятора PDC для домена, должен работать под управлением операционной системы, не ниже Windows Server 2008. Это необходимо для создания новой учетной записи krbtgt для контроллера домена, доступного только для чтения, а также для текущих операций этого контроллера.
Разделение ролей администратора
Роль локального администратора контроллера домена только для чтения можно делегировать любому пользователю домена, не предоставляя ему никаких прав для домена или других контроллеров домена. В этом случае локальный пользователь филиала сможет входить в систему контроллера домена только для чтения и выполнять на нем операции обслуживания, например обновление драйвера. Однако пользователь филиала не будет иметь права входить в систему любого другого контроллера домена или выполнять любые другие задачи администрирования в домене.
Служба доменных имен только для чтения
Службу DNS-сервера можно установить на контроллере домена только для чтения. Контроллер домена только для чтения может реплицировать все разделы каталога приложений, которые используются DNS-сервером, включая разделы ForestDNSZones и DomainDNSZones. Если DNS-сервер установлен на контроллере домена только для чтения, клиенты могут направлять ему запросы на разрешение имен, как любому другому DNS-серверу.
Дополнительные сведения
Необходимо запустить adprep /rodcprep один раз в лесу. При этом обновятся разрешения для всех разделов каталога приложений DNS в лесу, чтобы облегчить репликацию между контроллерами домена только для чтения, которые являются также DNS-серверами.
Контроллер домена только для чтения можно развернуть в системе Server Core для дополнительной безопасности.
Репликация доменных служб Active Directory
Репликация доменных служб Active Directory — это передача изменений, внесенных в данные каталога, между контроллерами домена в лесу доменных служб Active Directory. Модель репликации доменных служб Active Directory определяет механизмы, позволяющие автоматически передавать обновления каталога между контроллерами домена, чтобы обеспечить решение по беспрепятственной репликации для службы распределенного каталога доменных служб Active Directory.
В доменных службах Active Directory есть три раздела. Раздел домена содержит наиболее часто изменяемые данные и поэтому создает большой поток данных репликации доменных служб Active Directory.
Сайты
Сайты в доменной службе — это понятие физической топологии, по сути это филиалы. Когда домен разнесен географически — часть организации находится в одном городе, другой — в другом (или стране), но используется один домен, лес. Логично, что в каждом филиале будет свой контроллер домена (возможно на чтение). Так как офисы будут связаны между собой внешней сетью интернет. Репликация доменных служб в таких случаях настраивается по расписанию.
Связи сайтов Active Directory
Связи сайтов (в понимании филиалов) используются для обработки репликации между группами сайтов. Можно использовать связи сайтов, предоставленные в доменных службах Active Directory по умолчанию, или, при необходимости, создать дополнительные связи сайтов. Можно настроить параметры связей сайтов, чтобы определить расписание и доступность пути репликации для упрощения управления репликацией.
Если два сайта соединены посредством связи сайтов, система репликации автоматически создает подключения между конкретными контроллерами доменов на каждом сайте, которые называются серверами-плацдармами.
Настройка DNS
Настройка DNS для доменных служб Active Directory описана в DNS.