În primul rând, eu nu rezista limba viperelor - configura un domeniu, sau pentru a ridica domeniu? Toate sunt încă Tuning și ridicarea - crearea de la zero - domeniu nu este departe de a fi unul și același lucru. Configurarea - aducerea în minte domeniu deja existent, în scopul de a face conforme cu nevoile utilizatorilor. Dar creșterea domeniului - locul de muncă speciale. Putem spune - o aventură în spiritul de exploratori de lumi necunoscute ...
Pentru a înțelege cum de a ridica domeniu, ar trebui să fie - care este evident - să ne imaginăm că un astfel de domeniu, ceea ce mănâncă (și mănâncă acolo) și dacă este nevoie, la toate. Aceste lucruri argument banal pare relevant pentru simplul motiv că este de multe ori se confruntă cu situații în care o persoană dorește să facă ceva ce nu are nici o idee, dar ce știe că e - lucru este cool și trendy. Personal, am auzit o dată o declarație în spiritul: „Avem aceeași companie serioasă! Avem nevoie doar de un domeniu!“. Între timp, în această companie, gravitatea pe care nu mă îndoiesc pentru un moment, a existat un total de zece calculatoare și sarcinile care le sunt atribuite cele mai primitive - mașina de scris și Internet. Pentru un astfel de domeniu de rețea - cu siguranță a cincea roată. Dar ce este un nume de domeniu?
Prin citirea knig1 inteligente se pare că domeniu - nu este un concept independent. Domeniul - este unul dintre principalele mijloace de formare a numelor din spațiu Active Directory. Alături de aceste domenii mijloace de formare sunt ierarhia administrativă și structura fizică a rețelei. Și toate cele trei instrumente pot fi folosite într-un stat independent, iar în complex. După cum sa menționat deja carte inteligent citit că sistemele de operare Windows au utilizat în mod tradițional termenul „domeniu“ pentru gruparea logică de calculatoare care partajează o politică comună de securitate. Și mai departe în text - domeniul tradițional acționează ca metodă principală de a crea zone de responsabilitate administrativă.
Pentru a muta mai departe de locul, cred, va conduce un fel de definiție a Active Directory în sine, în limita mijloacelor de trai conceptul de „domeniu“. Directory (aka - Active Directory pe limba foriegn) este un depozit la nivel mondial unificat de informații despre elementele de infrastructură de rețea. Elementele infrastructurii de rețea sunt utilizatorii, resursele (dosare comune, imprimante, etc.), servicii de rețea (servicii de e-mail, servicii web, baze de date, etc.), calculatoare și așa mai departe. De fapt, scopul directorului - pentru a oferi utilizatorului posibilitatea de a utiliza toate elementele infrastructurii de rețea fără a fi nevoie de a cunoaște locația exactă a fiecărui element și pentru a construi politica de cooperare cu acest element individual.
Și acum tot acest lucru se va traduce în limba română.
Deci, avem o rețea. Local, desigur, deși, în acest caz, Internetul nu este cu mult diferit de lokalki. În ea există o mulțime de utilizatori, unele foldere de rețea (în grade diferite de acces închise), imprimante, faxuri, scanere, calculatoare (pentru diferite destinații). În această rețea, filare baze de date cu abur pentru diverse scopuri. Utilizatorii rețelei sunt de mers pe jos pe World Wide Web (din nou, cu grade diferite de constrângeri). Ei bine, și încă o mulțime de toate diferite, ceea ce contribuie la activitatea rodnică a utilizatorilor de rețea și petrecere a timpului liber cel mai puțin productiv. Este evident că toate acestea diversitatea de rețea ar trebui să fie redusă la un numitor comun. Cel puțin pentru comoditatea de gestionare a economiei de rețea. În final, imaginați-vă necesitatea de a menține controlul asupra interconexiunilor cu toate cele de mai sus enumerate, toate la fel. Prezentat? Așa că nu am reușit.
Dar astfel de link-uri reciproce și un numitor comun furnizat de doar folosind Active Directory (pentru concizie să fie notate cu litere AD). Întreaga structură a relațiilor reciproce dintre elementele rețelei noastre și infrastructura de rețea și întreaga ierarhie sunt stocate și a reprezentat-o în tensiunii arteriale. Înainte ca un utilizator (sau un serviciu de rețea) va apela la orice resursă de rețea, el a întrebat tensiunii arteriale, deoarece este cu această resursă ar trebui să interacționeze.
Cât de multe și de ce avem nevoie de domenii?
Să presupunem că am fost convinși că avem nevoie de o tensiune arterială. Prin urmare, trebuie să implementați și să configurați-l. Acesta a fost atunci, și rândul său, domena.Delo vine în faptul că BP nu numai conține informații cu privire la toate elementele infrastructurii de rețea, dar, de asemenea, descrie ierarhia structurii. Dar, cu această ierarhie, și trebuie să decidă. În cele din urmă, pentru a face față cu o rețea de trei sute de milioane de calculatoare și servicii de rețea, ar trebui să fie împărțită în anumite completitudinea logică a pieselor și a face față acestor părți. Divida et impera! 2 Astfel, trebuie să decidem cum vom împărtăși rețeaua noastră și o vom împărtăși deloc.
Să presupunem, în compania noastră există cinci departamente, care lucrează îndeaproape și care nu conțin mai mult de patru angajați în cadrul departamentului. Conducerea, desigur, se simt singuri. foldere de rețea, 1C, schimb de documente și ca un serviciu de e-mail, o pereche de baze de date comune privind SQL. BP nevoie, dar cum să-l organizeze? Este evident că, în acest caz, ponderea angajaților (și resursele de rețea) la grupul în AD ilogic - acestea sunt puține și prea strâns în contact unele cu altele.
A doua opțiune - aceeași companie, dar două dintre cele cinci departamente sunt situate într-un birou separat pe de cealaltă parte a orașului. Comunicare - Internet (cum altfel?). Orice altceva - același lucru. Există deja mai dificil - trebuie să se facă într-un fel BP a fost împărțit în două părți (câte una pentru fiecare birou), dar combinate împreună.
A treia opțiune - treizeci de departamente într-o companie mare, fiecare dintre care este în mare măsură independent de celelalte. Este evident că în acest caz, fiecare departament al companiei trebuie să respecte propria lor tensiunii arteriale, care descrie pe deplin infrastructura de rețea. Cu toate acestea, toate acestea tensiunii arteriale ar trebui să fie agregate împreună în cadrul întreprinderii.
Aceste trei exemple de mai multe academice, dar este bine descris de metodele clasice de construire AD și de a crea un domeniu. Am menționat deja că domeniul este doar un mijloc de formare a spațiului de nume AD - AD mijloace prin care se dispune. De obicei, domeniile sunt create pe baza modelului administrativ al întreprinderii, care este deservită de rețeaua noastră, sau pe o bază teritorială - pe baza de comanda on-line teritoriale. Și ce vedem?
În primul exemplu de realizare, firma este un întreg, atât din punct de vedere administrativ și geografic. În plus, nu este atât de mare. Administrator de sistem Acest lucru înseamnă că, în timpul desfășurării AD va crea un singur domeniu, care servește toate companiei ca o rețea întreagă. Nici o diviziune în acest caz, nu va fi - nu este necesar.
În al doilea exemplu de realizare, agenția administrativ este integral viziune, dar separat spațial geografic. Este logic să împartă LAN companiei pe o bază teritorială - numărul de birouri. În acest caz, nu un singur domeniu se ridică în cadre disloca AD și domeniul forestier. În primul rând, domeniul cu sediul central. În al doilea rând, domeniul cu o sucursală. Și, în sfârșit, rădăcina pădurii - domeniul părinte, care va aparține domeniilor fiecăreia dintre birouri. Prin urmare, ar fi logic să se plaseze domeniul rădăcină pădure și sediul central în sediul central și ramura din domeniul - în ramura (ulei de unt, jur!). Prin urmare, sediul central al domeniului va fi în concordanță cu rădăcina pădurii (chiar numită Catalogul Global - CC scurt) pe liniile de sediul central LAN, o ramură a domeniului - Internet. În cazul în care Internetul din diverse motive dispar, domeniul sucursalei va continua să funcționeze normal și va aștepta pentru reluarea legăturilor pentru a se potrivi CC (o astfel de armonizare este adesea numit replicare). Dacă noi, în acest caz, nu a fost o pădure, și un domeniu separat (dar un astfel de sistem este, de asemenea, posibil), apoi deschideți Internet pentru a paraliza complet activitatea sucursalei, care nu este bun.
Și, în sfârșit, a treia opțiune. În acest caz, firma este unul geografic, dar administrativ - destul de greu pentru a împărți. Și pe aceeași bază are sens să împartă LAN. Apoi, în cadrul desfășurării AD, fiecare divizie a companiei a ridicat domeniul său și să le combine în pădure, a creat CC. În acest caz, activitatea de administrator de sistem pe un segment de un departament al companiei nu afectează performanța tuturor celorlalte departamente. Dimpotrivă, dacă am avut-o aici a fost un domeniu independent, căderea unui server critic ar putea paraliza activitatea întreprinderii, este greu de acceptat.
Desigur, toate modelele de mai sus pot fi combinate în funcție de structura unei anumite companii și voi, ca administrator de sistem pentru a decide ce fel de sistem de BP pentru a construi și ce părți va fi. Cu toate acestea, practica arată că cele mai multe LAN-uri de afaceri mici și mijlocii este construit pe modelul AD cu un domeniu separat. Și este pe acest model și vom vorbi mai târziu.
Pași pentru instalarea controlerului de domeniu
1. Creați un domeniu nou în pădure;
2. Crearea unui nou arbore de domeniu în domeniu existent în pădure;
3. Creați un domeniu nou sub copac domeniu existent;
4. Instalarea controler de domeniu suplimentar în domeniu existent.
A doua și a treia scheme sunt folosite în cazurile în care rețeaua are mai mult de un domeniu de organizare. Așa cum am convenit mai devreme, considerăm cazul instalării primului domeniu și, prin urmare, al doilea și al treilea schemele nu sunt adecvate. Al patrulea sistem este utilizat pentru instalarea unui controler de domeniu de backup și al ei, nu vom spune. Astfel, în această etapă ar trebui să fie selectat domeniu ridicarea primul scenariu. Expresia „domeniu de pădure“ nu ar trebui să sperie pe nimeni. În final, orice tip de lemn începe cu un singur - foarte primul - un copac, și numai depinde de noi dacă razrastotsya acest copac în pădure, sau vor rămâne în picioare singur.
Deci, alegeți primul script de instalare. Expertul vă cere să introduceți un nume de domeniu și viitorul controler de domeniu NetBIOS-nume de la noi. Care sunt aceste nume?
Ceea ce urmează este viitorul controler de domeniu NetBIOS-nume. Acest lucru - același nume, care este afișat în mediul de rețea. Pur și simplu pune, este - numele calculatorului. Cum pentru a denumi CD - administratorul de afaceri tuturor. Acesta poate fi numit PDC (Primary Domain Cotroller - Primul controler de domeniu). Eu, de exemplu, la momentul auzit următoarea schemă: un domeniu numit universe.local (univers - universul). Fiecare server din domeniu pentru a numi câteva stele. soare Pentru a eticheta, de exemplu, CD-ul numit (Sun). Și fiecare client mașină numit numele unei planete sau prin satelit sale - de exemplu, Pluto (Pluto). Nu există recomandări clare în plus față de normele de NetBIOS-nume. Mai mult decât atât, dacă nu fi leneș și de a face numele computerului o scurtă descriere (aceasta este o linie separată a calculatorului de denumire o altă fază de instalare OS), atunci utilizatorul care este conectat în mediul de rețea, și fără a fi nevoie să-și amintească numele calculatoarelor ușor și instantaneu acolo orient .
Menționăm în treacăt că, pe lângă numele NetBIOS-calculator și are numele complet. Se compune din numele NetBIOS-calculator și numele de domeniu căruia îi aparține acest computer. De exemplu, dacă domeniul universe.local CD-ul numit pluto, numele complet al CD-ului se va pluto.univere.local. În cazul în care computerul Pluton la orice domeniu nu face parte, este numele complet va apărea ca pluto. (Exact, cu punctul de la final).
Astfel, presupunem că numele de domeniu și numele viitorului CD-ului este selectat și a intrat.
Următoarea etapă este de a ridica domeniul pe care expertul vă solicită să alegeți o locație pentru fișierul depozit BP și reviste, precum și localizarea volumului sistemului. Pur și simplu pune, vi se va solicita să selectați dosarul în care pentru a instala AD. Ca o regulă, face cu greu sens să se schimbe implicit propus, expertul, dar în cazul în care viitorul CD-ului, există mai multe volume locale, poate doriți să aleagă cea mai potrivită pentru acest scop. De fapt, există mai multe cerințe:
1. Depozitarea BP, reviste, iar volumul de sistem (SYSVOL) pot fi introduse numai pe volume formatate cu sistemul de fișiere NTFS.4
2. Se face sens pentru a plasa magazia tensiunii arteriale, reviste și sistemul este cu adevărat protejat și fiabil hard disk sau RAID, în cazul în care computerul conține mai multe discuri fizice.
3. Este inutil să mai spunem că nici stocarea tensiunii arteriale, fără reviste, nici un sistem care nu poate fi localizat pe unități de rețea. La urma urmei, unitățile de rețea ele însele sunt elemente ale infrastructurii de rețea și poate conține abia la începutul tuturor acestei infrastructuri.
Următoarea etapă - comunicarea cu DNS-server. Setările de rețea ale viitorului CD trebuie să fie înregistrate preferat DNS-server. Cu aceste informații, expertul de configurare AD este capabil să trimită această cerere la server și testați-l pentru caracterul adecvat pentru desfășurarea de AD. Următoarele cerințe vor fi prezentate la server:
1. Prezența rețelei (disponibilitatea reală și serviceability).
2. Suport pentru resursa SRV-tip.
3. Abilitatea de a înregistra în mod dinamic nume.
Dacă serverul dvs. îndeplinește aceste cerințe, acesta va fi utilizat în construcția de BP. În caz contrar, expertul va oferi mai multe opțiuni:
· Testarea Re-DNS-server. Se presupune că administratorul de sistem a luat indiciu, a intervenit și fix toate problemele cu DNS-server existente. El este gata să-l testeze din nou, pentru a asigura caracterul adecvat.
· Instalarea și configurarea noului DNS-server de pe computer. Cea mai simplă opțiune - Windows nu devin disponibile pentru a face față cu serverele și creați-vă un nou, satisfăcând pe deplin cerințele sale și configurate în mod corespunzător, aliniindu-l cu KD.5 viitor
· Setările DNS-server după instalarea AD. Se presupune că administratorul de sistem a luat în considerare existența unei probleme cu DNS-server și fixați-o pe instalarea AD este completă.
Dacă apare o eroare, vă sugerez să utilizați a doua opțiune. Ei bine, în cazul în care a avut loc nici o eroare, puteți lăsa totul așa cum este, și de a folosi DNS-server existente.
Și, în sfârșit, etapa finală - pentru a determina nivelul de permisiuni pentru sistemul de securitate. Rețeaua dvs. poate fi alte servere care rulează Windows, precum și servere care rulează alte sisteme de operare. Există două opțiuni:
Menționăm în treacăt că a stabilit nivelul de permisiune de compatibilitate se aplică numai la serverele. Cu alte cuvinte, prezența unei stații de lucru client de domeniu care rulează versiunea în mod arbitrar vechi a oricărui sistem de operare pentru a alege nivelul de compatibilitate nu este afectată. Și invers - alegerea nivelului de compatibilitate nu afectează comportamentul stațiilor de client cu toate versiunile sistemului de operare în domeniu.
Etapa de selectare a nivelului de compatibilitate a fost ultimul. După finalizarea acestuia necesitatea de a reporni sistemul. Procesul bazat pe DNS în procesul de încărcare ulterioară va înregistra un nume de domeniu și administrator de domeniu de cont cont va fi creat pe CD-ul nostru. Mai precis, nu a fost creat.
Instalarea AD și ridicați CD-ul ar trebui să fie făcută în numele administratorului local al serverului nostru - în mod evident. Și contul său va fi convertit într-un cont de administrator și incluse în următoarele grupe:
· Administratorii. Built-in grup local.
· Administratorii de domeniu. BP grup ai cărui membri au dreptul de a gestiona domeniu.
· Utilizatorii de domeniu. BP Group, ai cărei membri sunt toate create de utilizatori din domeniu.
· Enterprise Admins. BP grup ai cărui membri au dreptul de a gestiona infrastructura de director.
· Proprietarii de Creator Politica de grup. AD Group, au dreptul de a modifica setările de politică de grup într-un domeniu dat.
· Schema Admins. BP grup ai cărui membri au dreptul de a modifica schema de director.
Prin urmare, la sfârșitul acestei faze, veți intra în domeniul dvs., toate computerele din LAN, și pentru a crea conturi pentru utilizatorii dvs. pe LAN. Iar domeniul este gata.
Desigur, ușor de instalat CD-ul nu va primi administratorul de sistem. La urma urmei, fiecare companie are propria sa politică de a utiliza LAN, resursele sale. La un nivel minim, un set de cele mai multe dintre aceste resurse și drepturile utilizatorilor lor la aceste resurse. Prin urmare, în ceea ce privește administrator datoria este de a crea grupuri de utilizatori din domeniu, alocarea de resurse pentru aceste grupuri. Adăugarea la aceste resurse în AD, deoarece aceeași imprimantă de rețea de la el însuși în catalog nu se prescrie. Dar toate acestea este - un subiect pentru o altă conversație.
2 divide și cucerește! (Lat.)
3 Desigur, există cazuri în care un site web este situat pe serverele LAN corporate. Cu toate acestea, cel mai adesea site-ul companiei este situat pe un plătit găzduit extern și nici o legătură cu rețeaua LAN a companiei nu.
4 Strict vorbind, această cerință poate părea inutilă, în măsura în care versiunile de server de Windows, formatul implicit volumul său la NTFS. Cu toate acestea, diferite cauze pot duce la ceea ce va apărea pe volumul server cu sistemul de fișiere FAT32. Astfel, pentru a urmări această cerință este încă necesară, deoarece BP nu poate fi instalat în altele decât sistemul de fișiere NTFS.
5 Am foarte recomanda incepand instalarea AD, după ce a terminat în rețea DNS-server sau nu angajarea în configurație disponibilă. Oricare ar fi spus despre creații Microsoft, dar este mai bine să lăsați Windows configurarea necesară DNS-server de la zero și în mod automat. Aceasta va face mai repede și mai bine decât un om, și la un cost mai mic.