Статьи

Windows Server 2008: нововведення в Active Directory

Служба Active Directory давно вже є невід'ємною частиною мереж під управлінням Microsoft Windows навіть в невеликих організаціях.

Andrey Birukov


Служба Active Directory давно вже є невід'ємною частиною мереж під управлінням Microsoft Windows навіть в невеликих організаціях. Причин тому безліч, перш за все це зручність централізованого управління доступом до різних ресурсів мережі, групові політики, що дозволяють управляти різними настройками користувачів і робочих станцій і багато іншого.

Новий продукт компанії Microsoft - Windows Server 2008 вносить зміни в структуру каталогу Active Directory. Перш за все, внесені зміни в рівні функціонування доменів і лісів. Нагадаю визначення основних елементів мережі Active Directory: доменів, дерев і лісів.

Домен (Domain) це група комп'ютерів, що мають спільну політику безпеки і базу даних призначених для користувача облікових записів [1]. Слід також зазначити, що домен Windows Server 2008 це не те ж саме, що і домен Інтернет.

Дерево (Tree) в Active Directory це ієрархічна структура об'єктів і контейнерів, де показано зв'язок об'єктів один з одним, тобто шлях одного об'єкта до іншого [1]. Кінцеві точки дерева зазвичай є об'єктами.

Ліс (Forest) в Active Directory - група з одного або декількох дерев Active Directory, які довіряють один одному за допомогою двосторонніх транзитивних довірчих відносин [1].

Розглянувши основні елементи Active Directory, повернемося до нововведень в Windows Server 2008.


функціональні рівні

Перш за все, хотілося б згадати про зміни в функціональних режимах роботи домену і ліси. Функціональний режим визначає, які контролери домену можуть працювати в даному домені Active Directory. Так, наприклад в Windows Server 2003 існувало кілька функціональних режимів для доменів: змішаний режим Windows 2000, власний режим Windows 2000, проміжний Windows 2003 і власний Windows Server 2003. Відповідно, для кожного режиму визначені підтримувані контролери доменів. Наприклад, в змішаному режимі Windows 2000 підтримуються Windows NT 4, Windows 2000, Windows Server 2003.

У Windows Server 2008 існують три функціональних рівня домену:

Функціональний рівень домену

Підтримувані контролером домену операційні системи

Windows 2000 native

: • Windows 2000

• Windows Server 2003

• Windows Server 2008

Windows Server 2003

• Windows Server 2003

• Windows Server 2008

Windows Server 2008

• Windows Server 2008


Функціональний рівень Windows Server 2008 має додаткові переваги і нововведеннями, серед яких підтримка реплікації DFS для Windows Server 2003 System Volume (SYSVOL), використання шифрування AES 128 і AES 256 для протоколу Kerberos.

Read Only Domain Controllers

Іншим цікавим нововведенням в Windows Server 2008 є наявність Read Only Domain Controllers (RODC). Як правило, корпоративна мережа в великих організаціях має географічно розподілену структуру, причому зазвичай в кожному з регіональних представництв є свої контролери домену Active Directory. Однак, найчастіше, не у всіх представництвах забезпечується належний рівень фізичної безпеки. Простіше кажучи, приміщення, в яких розміщуються сервера особливо в невеликих філіях, можуть погано охоронятися, бути не обладнані технічними засобами захисту та т. Д. Таким чином, навіть у разі, якщо у вас є потужні засоби програмного захисту контролерів доменів, це не завадить хакерам, отримавши фізичний доступ до контролера домену, потім заволодіти обліковими даними користувачів і адміністраторів домену. Як засіб, що мінімізує втрати від розкрадання контролера домену, Microsoft пропонує використовувати RODC для тих контролерів домену, фізична безпека яких погано забезпечується.

підключення RODC

Розглянемо більш докладно процес підключення RODC в існуючий домен. Нехай у нас є домен horn.local. є основний контролер домену. Потрібно підключити RODC в даний домен. Перш за все, необхідно підготувати інфраструктуру Active Directory до підключення нового контролера домену. Ці дії обов'язково потрібно виконати ДО підключення нового контролера домену.

Отже, заходимо в консоль Active Directory Users And Computers, основного контролера домену. Вибираємо контейнер Domain Controllers, далі Action. Натискаємо Pre-create Read-only Domain Controller account.

Запуститься майстер, якому потрібно вказати ім'я майбутнього RODC. І інші ідентифікаційні дані. Особливо хотілося б звернути увагу на розділ Password Replication Policy.

Тут ви можете вказати реплікація паролів яких груп і користувачів дозволена або заборонена
Тут ви можете вказати реплікація паролів яких груп і користувачів дозволена або заборонена. Зверніть увагу на те, що тепер в Active Directory з'явилися нові групи Denied RODC Password Replication і Allowed RODC Password Replication. У ці групи можна поміщати користувачів, яким будуть відповідно дозволені і заборонені реплікації паролів. Дана можливість дозволить уникнути розкрадання паролів користувачів, що володіють високими привілеями в домені.

У розділі Delegation of RODC Installation and Administration необхідно вказати ім'я користувача або групу, з якими буде пов'язаний даний контролер домену. Microsoft рекомендує вказувати групу користувачів. Відповідно, користувачі, що входять в дану групу, матимуть права локального адміністратора, на даному сервері. Якщо, на цьому кроці ви не вкажете ніяких облікових записів, то доступ до даного RODC матимуть тільки члени груп Enterprise Admins і Domain Admins.

На цьому настройка на основному контролері домену завершується.

Тепер переходимо на сервер, який повинен стати RODC. Заходимо під обліковим записом локального адміністратора. У командному рядку вводимо таке:

dcpromo / UseExistingAccount: Attach

Далі, запускається майстер установки Active Directory. На сторінці Network Credentials вказуємо ім'я існуючого домену, в який ми плануємо встановити додатковий контролер домену (в нашому випадку horn.local). Потім в поле Specify the account credentials to use to perform the installation вибираємо Alternate Credentials і вказуємо облікової дані тієї облікового запису, яка була раніше делегована для адміністрування даного RODC. На наступному кроці підтверджуємо облікові дані нашого RODC. Потім все аналогічно установці зазвичай контролера домену. Вказуємо розташування бази Active Directory, Log Files і SYSVOL. Потім пароль Directory Services Restore Mode Administrator Password. Після завершення установки необхідно перезавантажити створений RODC.

Отже, ми отримали контролер домену, який можна розміщувати в місцях, фізична безпека яких залишає бажати кращого. Але Active Directory також можуть використовувати багато програм для аутентифікації доменних користувачів. У зв'язку з цим нам необхідно визначитися з тим, які програми, по завіреннях Microsoft, знають про існування RODC і відповідно, вміють з ними працювати.

Це Internet Security Accelerator (ISA), Microsoft Office Live Communications Server, Microsoft Systems Management Server (SMS), Microsoft Office Outlook, Microsoft Operations Manager (MOM), Windows SharePoint Services, Microsoft SQL Server.

Також з RODC вміють працювати наступні служби Windows Server: Active Directory Certificate Services (AD CS), Active Directory Rights Management Services (AD RMS), Distributed File System (DFS), DNS, DHCP, Group Policy, Internet Authentication Service, Internet Information Services (IIS), Network Access Protection (NAP), Terminal Services (Users and Computers snap-in), Terminal Services Licensing server.

Таким чином, при впровадженні read Only Domain Controllers в Active Directory, адміністратор може заздалегідь спланувати які програми зможуть працювати з даними контролером домену.

Робота над помилками

Наведу невеликий список проблем, виникнення яких можливе при роботі RODC. По-перше, це невдалі операції читання. Справа в тому, що багато ADSI зі стандартними програмами вимагають наявності прав на запис в каталозі LDAP. Кращим рішенням є налагодження даних додатків на роботу з LDAP в режимі читання.

Другий можливий тип проблем, це операції на запис. За замовчуванням RODC при спробі провести операцію Write, перенаправляє запит на основний контролер домену. Але багато ADSI програми не вміють працювати з такими перенаправлення, для вирішення проблеми необхідно в додатку визначити LDAP_Write_Referral.

І, нарешті, третій тип проблем, це невдалі операції зворотного читання-запису. Такі проблеми виникають, коли програма зберігає дані на одному контролері домену, а вважати їх намагається з іншого (RODC). Зазвичай причиною цього те, що дані, збережені на основному контролері, не встигають реплицироваться на RODC. У такій ситуації вендор рекомендує використовувати основний контролер домену і для запису і для читання.

висновок

Сподіваюся інформація, викладена в статті буде корисна адміністраторам при розгортанні Active Directory за допомогою Windows Server 2008. Більш докладно дізнатися про роботу з Active Directory в Windows Server 2008 можна в статті Microsoft TechNet [2].

Використані джерела:

1. Ч. Рассел "Windows Server 2003. Довідник адміністратора".

2. http://technet2.microsoft.com/windowsserver2008/en/library/f349e1e7-c3ce-4850-9e50-d8886c866b521033.mspx?mfr=true - сторінка, присвячена службам Active Directory в Windows Server 2008.

521033.mspx?

Новости