Знакомство с active directory

Знакомство с ADAM | Windows IT Pro/RE | Издательство «Открытые системы»

знакомство с active directory

Знакомство с виртуализацией службы (AD DS) домена Active Directory Виртуализация сред доменных служб Active Directory (AD DS). Интеграция AD RMS с Exchange Server Одной из замечательных функций в Exchange является. Знакомство с Active Directory. Средства Active Directory позволят вам спроектировать структуру каталога так, как это нужно вашей.

В ADAM используется та же модель репликации с несколькими основными репликами, что и в AD, и поддерживается межсайтовая репликация по расписанию. В данной статье речь пойдет о том, как установить службу ADAM, заполнить ее информацией о пользователях и интегрировать с AD. При запуске пакета на экране отображается вопрос, в какую папку следует записать установочные файлы.

На следующем этапе мастер спрашивает, нужно ли развернуть уникальный экземпляр ADAM или копию другого локального или удаленного экземпляра. Имя и прослушиваемые порты должны быть уникальными для сервера.

Знакомство с виртуализацией службы (AD DS) домена Active Directory (уровень ) | Microsoft Docs

При создании уникального экземпляра ADAM мастер спрашивает, нужно ли создать раздел приложения. Если создается не уникальный экземпляр ADAM копия существующего экземпляра, которая используется как основа для репликационного наборато мастер просит ввести имя хоста и номер порта существующего экземпляра, конфигурация и данные которого будут реплицированы экран 1.

На следующих этапах вводятся данные учетной записи с административными полномочиями в отношении реплицируемого экземпляра и копируемые разделы экран 2. Указание экземпляра для репликации Затем мастер просит указать местоположение данных каталога и файлов восстановления. ADAM может работать в контексте учетной записи Network Service или именованной пользовательской учетной записи — мастер позволяет выбрать любой вариант.

На компьютере, который не входит в состав домена, необходимо использовать именованную учетную запись пользователя в том случае, если экземпляр представляет собой копию, или предполагается создать его копии впоследствии; для успешной репликации имя пользователя и пароль должны быть одинаковыми во всех экземплярах.

Необходимо убедиться, что любая учетная запись, используемая как служебная для ADAM, имеет достаточные полномочия для регистрации в качестве службы. На следующем этапе работы мастера необходимо выбрать адмнистраторов ADAM.

Можно назначить как зарегистрированного в данный момент пользователя, так и любого другого пользователя или группу пользователей. Этот стандартный объектный класс используется в большинстве современных каталогов LDAP. Класс реализован в Windows и в качестве расширения для схемы AD Windows В отсутствие приложения, которое может создать схему, необходимо импортировать один или несколько таких классов. После завершения работы мастера процесс установки создает экземпляр ADAM и заполняет каталог схемой из LDIF-файлов, указанных администратором, или схемой и объектами реплицированного экземпляра.

В файле подсказки приведена подробная информация по использованию инструментов командной строки. Имя экземпляра приведено среди имен других утилит в списке установленных программ. При удалении экземпляра ADAM утилита удаляет из системы его данные и файлы восстановления.

Объект в объект прокси превращает именно вспомогательный класс msDS-BindProxy, поэтому даже в случае пользовательского класса можно добавить вспомогательный класс msDS-BindProxy и использовать пользовательские объекты для проверки подлинности прокси. Этот атрибут может быть заполнен лишь при создании объекта. Его нельзя изменить без удаления объекта и воссоздания. Как в действительности выполняется проверка подлинности Чтобы по-настоящему понять, что происходит за кулисами, необходимо немного более подробно рассмотреть механизм проверки подлинности.

Я разберу две трассировки сети, которые помогут показать, как работает проверка подлинности прокси. В данной записи Люси выполняет привязку с помощью своего объекта пользователя прокси, используя LDP. EXE со своей рабочей станции. Пакет 1 — это запрос на привязку от рабочей станции А пакет 3 — это подтверждение от рабочей станции серверу LDS Active Directory, указывающее принятие запроса на привязку.

Запрос на привязку и ответ Если подробнее рассмотреть пакет 1 см. Пароль, предоставленный Люси, P ssw0rdотображен в записи открытым текстом.

В реальности это один из недостатков использования простой привязки LDAP для проверки подлинности. Если привязка не обернута в шифрование SSL, пароль пользователя будет выдан всем, кто прослушивает сеть.

  • Знакомство с ADAM
  • Знакомство со службой федерации Active Directory
  • Введение в Active Directory

Необходимо приложить особые усилия, чтобы отключить его, и именно это я сделал в данном упражнении, чтобы сделать трассировку сети читаемой.

Кроме того, я не утруждал себя назначением сертификата серверу LDS Active Directory, однако в практической реализации совершенно необходимо убедиться в наличии у сервера LDS Active Directory действительного сертификата, который можно использовать для SSL. Эта трассировка несколько больше предыдущей, так что я разобью ее на части.

Первые девять пакетов этой трассировки показаны на рис. Это входящий запрос на привязку от рабочей станции. Опять же, этот пакет содержит различенное имя и пароль Люси открытым текстом. Это состоит из нескольких сообщений протокола разрешения адресов ARPза которыми следует подключение к контроллеру домена через удаленный вызов процедуры RPC. В пакете 16 запрос билета службы проверки подлинности получает отказ, поскольку контроллер домена ожидает некоторые предпроверочные данные, которые сервер LDS AD не предоставил.

В данном случае контроллер домена требует метку времени, чтобы ее можно было использовать для проверки удостоверения. Сеанс Kerberos заканчивается, и дается запрос на сброс пакеты 17— Пакеты устанавливают новый сеанс Kerberos, и новый запрос службы проверки подлинности отправляется от сервера LDS AD на контроллер домена в пакете Этот новый запрос содержит необходимые предпроверочные данные, указанные успешным ответом от контроллера домена в пакете У сервера LDS AD теперь есть билет службы проверки подлинности, и он может отправлять запросы службе выдачи билетов, чтобы проверить подлинность учетных данных Люси.

Успешная проверка подлинности Запрос и ответ службы выдачи билетов фиксируются в пакетах 33 и А что бы произошло, введи Люси неверный пароль?

В нашем примере запрос службы проверки подлинности потерпел бы сбой в пакете Вместо направления запроса службе выдачи билетов серверу LDS AD пришлось бы выдать запрос привязки обратно к рабочей станции, указывая, что учетные данные были неверны.

Вот воспроизведение того, что произошло в успешном обмене. Затем, от сервера LDS AD к контроллеру домена, Kerberos используется для безопасной проверки подлинности пользователя. Установка лаборатории проверки подлинности прокси Теперь, когда читатели знают, как работает проверка подлинности прокси, давайте посмотрим, как ее можно организовать в лабораторной среде.

Обратите внимание на то, что в этом упражнении я буду отключать требование SSL в проверке подлинности прокси. Виртуальной машины VM облегчает администраторам гипервизора откат домена контроллера номеров последовательного обновления его логических часов благодаря, например, применению снимка за пределами информированности контроллера домена.

знакомство с active directory

Дополнительные сведения о номера последовательного обновления и ЕГО откате, включая другую иллюстрацию, демонстрирующую невыявленные экземпляры отката номера последовательного обновления в разделе USN и откат USN. Начиная с Windows Serverконтроллеры виртуального домена AD DS, размещенные на платформах гипервизоров, которые предоставляют идентификатор ИД VM-Generation можно определять и применять необходимые меры безопасности для защиты среды AD DS, если виртуальная машина выполняется откат времени путем применения снимка виртуальной Машины.

Beginning with Windows ServerAD DS virtual domain controllers hosted on hypervisor platforms that expose an identifier called VM-Generation ID can detect and employ necessary safety measures to protect the AD DS environment if the virtual machine is rolled back in time by the application of a VM snapshot.

Знакомство с Active Directory :: РУССКИЕ ДОКУМЕНТЫ

Структура VM-GenerationID использует независимый механизм поставщика гипервизора для предоставления этого идентификатора в пространстве адресов гостевой виртуальной машины, поэтому безопасная виртуализация обеспечивается любым гипервизором, который поддерживает VM-GenerationID. The VM-GenerationID design uses a hypervisor-vendor independent mechanism to expose this identifier in the address space of the guest virtual machine, so the safe virtualization experience is consistently available of any hypervisor that supports VM-GenerationID.

Этот идентификатор можно выборочные службами и приложениями, которые выполняются на виртуальной машине для обнаружения, если виртуальная машина был выполнен откат времени. This identifier can be sampled by services and applications running inside the virtual machine to detect if a virtual machine has been rolled back in time. Принцип работы мер безопасности виртуализацииHow do these virtualization safeguards work? ИД создания виртуальной Машины независимо отслеживается драйвером Windows на виртуальной машине.

Когда администратор восстанавливает машину из предыдущего снимка, текущее значение ИД создания виртуальной Машины из драйвера виртуальной машины сравнивается со значением в DIT.

When an administrator restores the virtual machine from a previous snapshot, the current value of the VM GenerationID from the virtual machine driver is compared against a value in the DIT. Если значения отличаются, invocationID сбрасывается, а пул относительного идентификатора отклоняется, чтобы предотвратить использование номера последовательного обновления повторно. Если значения совпадают, транзакция проводится в обычном режиме.

If the values are the same, the transaction is committed as normal. AD DS также сравнивают текущее значение ИД создания виртуальной Машины из виртуальной машины со значением в DIT при каждом контроллере домена после перезагрузки и, если отличаются, службы сбрасывают invocationID, отклоняют пул относительного идентификатора и записывают в DIT новое значение.

знакомство с active directory

Это позволяет мерам безопасности расширить применение снимков на отключенных виртуальных машинах. This enables the safeguards to extend to the application of snapshots on VMs that were shutdown. Эти меры безопасности, появившиеся в Windows Server позволяют администраторам AD DS, чтобы воспользоваться преимуществами уникальные преимущества развертывания и управления контроллерами доменов в виртуализованной среде.

These safeguards introduced in Windows Server enable AD DS administrators to benefit from the unique advantages of deploying and managing domain controllers in a virtualized environment.

На следующем рисунке показано, как применяются меры безопасности виртуализации при обнаружении отката того же номера последовательного обновления на виртуализованном контроллере домена под управлением Windows Server на гипервизоре, поддерживающем VM-GenerationID. The following illustration shows how virtualization safeguards are applied when the same USN rollback is detected on a virtualized domain controller that runs Windows Server on a hypervisor that supports VM-GenerationID.

В этом случае когда гипервизор обнаруживает изменение VM-GenerationID, срабатывают средства безопасности виртуализации, включая сброс InvocationID виртуализованного контроллера домена с A на B в предыдущем примере и обновление VM-GenerationID, сохраненного на виртуальной Машине, для соответствия новому значению G2которое хранит гипервизор.

Меры безопасности обеспечивают выполнение репликации на обоих контроллерах доменов. The safeguards ensure that replication converges for both domain controllers.

С Windows Server AD DS применяют меры безопасности на контроллерах домена, размещенных на гипервизорах VM-GenerationID и гарантирует, что случайном применении снимков или других гипервизором механизмов, которые могут отката состояние виртуальной машины не нарушит среды AD DS путем предотвращения проблем репликации, таких как номера последовательного обновления или замедление объектов.

Однако восстановление контроллера домена путем применения снимка виртуальной машины не рекомендуется в качестве альтернативного механизма архивации контроллера домена.

However, restoring a domain controller by applying a virtual machine snapshot is not recommended as an alternative mechanism to backing up a domain controller. Рекомендуется продолжать использовать архивации данных Windows Server или другие решения на основе записи VSS для архивации.

Если контроллер домена в рабочей среде был случайно восстановлен с помощью снимка, рекомендуется что проконсультироваться с поставщиками приложений и служб, размещенных на этой виртуальной машине, руководство по проверке состояния этих программ после моментальный снимок восстановления.

For more information, see Virtualized domain controller safe restore architecture. Клонирование виртуализированного контроллера доменаVirtualized domain controller cloning Начиная с Windows Serverадминистраторы могут легко и безопасно развертывать реплики контроллеров доменов путем копирования существующего виртуального контроллера домена. Beginning with Windows Serveradministrators can easily and safely deploy replica domain controllers by copying an existing virtual domain controller.

В виртуальной среде администраторам больше не нужно постоянно развертывать образ сервера, подготовленного с помощью sysprep.

Знакомство с Active Directory

In a virtual environment, administrators no longer have to repeatedly deploy a server image prepared by using sysprep. Примечание Необходимо следовать процедурам развертывание первого контроллера домена в домене, в частности использовать sysprep. Administrators need to follow existing processes to deploy the first domain controller in a domain, such as using a sysprep.

В сценарии аварийного восстановления используйте последнюю версию архивации сервера для восстановления первого контроллера домена в домене. In a disaster recovery scenario, use the latest server backup to restore the first domain controller in a domain. When rapidly deploying a large number of domain controllers, continue to follow your existing procedures for validating the health of each domain controller after installation finishes.

Развертывайте контроллеры доменов партиями разумного, чтобы вы могли проверить работоспособность после завершения каждого пакета установки. Deploy domain controllers in reasonably sized batches so you can validate their health after each batch of installations is complete.