Что такое лес доменов

Что такое лес доменов

Высший уровень логической иерархии AD — это лес. Лесом называют полностью самостоятельную организацию Active Directory, которая имеет определенный набор атрибутов и является периметром безопасности организации.

В состав леса могут входить как один, так и несколько доменов. Все объекты, создаваемые внутри леса, имеют общий набор атрибутов. Например, объект «пользователь» содержит имя, фамилию, адрес, телефон, сведения о членстве в группах и другие параметры. Меняя этот набор, мы меняем его для всех объектов леса. Такой набор называется схемой AD. Она описывает все объекты, которые мы можем создать, и их структуру.

По умолчанию первый домен, который создан в лесу, считается его корневым доменом. Под доменом понимается логическая группа пользователей и компьютеров, которые поддерживают централизованное администрирование и настройки безопасности. Домен также служит единицей для репликации — все контроллеры домена, которые входят в один домен, должны участвовать в репликации друг с другом.

Домены принято именовать, используя пространство имен DNS. Доверие, в свою очередь, — это связь между двумя доменами, при которой устанавливаются разрешения на доступ к тем или иным объектам другого домена. Дерево — не что иное, как набор доменов, которые используют связанные пространства имен. К примеру, если домен называется xakep.ru, то дочерний домен test будет выглядеть как test.xakep.ru. Резюмируя, можно условно нарисовать такую схему: «Лес — дерево — домен».

Общая структура

Xakep #251. Укрепляем VeraCrypt

Чаще всего в организациях используют самую простую структуру. Один лес и в нем корневой домен, который содержит различные объекты, такие как пользователи и компьютеры. Развитая структура встречается в основном в крупных компаниях, с большим штатом ИТ-специалистов и разными уровнями ответственности. Зачастую полные права есть лишь у архитекторов, а рядовые администраторы имеют права только в своих доменах.

С первоначальной терминологией все. В одном из следующих выпусков расскажу о типах доверительных отношений.

Active Directory позволяет администраторам использовать групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать ПО на множестве компьютеров (через групповые политики или устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

Доменом называется отдельная область безопасности в компьютерной сети. Служба каталогов Active Directory может охватывать один или нескольких доменов. На автономной рабочей станции доменом является сам компьютер. С физической точки зрения домен может включать в себя компьютеры, расположенные в разных местах.

Дерево доменов (дерево) состоит из нескольких доменов, имеющих общие схему и конфигурацию и тем самым образующих общее пространство имен. Домены одного дерева также связаны между собой доверительными отношениями. Служба каталогов Active Directory представляет собой множество, состоящее из одного или нескольких деревьев.

Лесом называется набор, состоящий из одного или нескольких деревьев, которые не образуют непрерывного пространства имен. Все деревья леса имеют одни и те же схему, конфигурацию и глобальный каталог. Все деревья леса связаны доверительными отношениями посредством транзитивных доверительных отношений по протоколу Kerberos. Лес, в отличие от дерева, не должен иметь отличающее его имя. Лес существует как набор объектов перекрестных ссылок и доверительных отношений по протоколу Kerberos, известных деревьям, составляющим этот лес. Деревья леса образуют иерархию доверия по протоколу Kerberos; имя дерева, находящегося в корне дерева доверия, может быть использовано для ссылки на указанный лес.

35. Контроллер доменов ad

Серверы винды, на которых функционирует экземпляр службы каталогов — контроллеры домена. Они являются носителями полнофункциональной копии каталогов. Они выполняют следующую задачу:

1) Доступ и управление информацией, хранящейся в каталоге.т

2) Синхронизация копий каталогов.

3) Централизованное тиражирование польз. и системных файлов.

4) Аутентификация пользователя.

Используется модель репликации с множеством равноправных участников. Неважно какой из контроллеров осуществляет изменения в каталогах. Однако существует определенный класс операций, которые должны выполняться только одним контроллером домена — операции с одним исполнителем или с одним хозяином. При привлечении к данным операциям более одного контроллера возможность компа. Операцию с одним исполнителем так же называют ролями доменов компьютеров. Примером таких ролей являются хозяева схема, которая ослеживает изменения каталогов.

Хозяин доменов — отслеживает изменения в структуре домена, гарантирует целостность пространства имен и уникальность его компонентов.

Хозяин относительных идентификаторово (РИД) осуществляет генерацию уникальных идентификаторов. По умолчанию все специализированные роли возгается на новые домены в новом лесу.

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Первый домен, развертываемый в Active Directory лесу, называется корневым доменом леса. The first domain that you deploy in an Active Directory forest is called the forest root domain. Этот домен остается корневым доменом леса для жизненного цикла развертывания AD DS. This domain remains the forest root domain for the life cycle of the AD DS deployment.

Корневой домен леса содержит группы "Администраторы предприятия" и "Администраторы схемы". The forest root domain contains the Enterprise Admins and Schema Admins groups. Эти группы администраторов служб используются для управления операциями на уровне леса, такими как добавление и удаление доменов и реализация изменений в схеме. These service administrator groups are used to manage forest-level operations such as the addition and removal of domains and the implementation of changes to the schema.

Читайте также:  Можно ли закалить китайский нож

Выбор корневого домена леса подразумевает определение того, может ли один из доменов Active Directory в структуре домена работать в качестве корневого домена леса или же если требуется развернуть выделенный корневой домен леса. Selecting the forest root domain involves determining if one of the Active Directory domains in your domain design can function as the forest root domain or if you need to deploy a dedicated forest root domain.

Сведения о развертывании корневого домена леса см. в разделе Развертывание корневого домена леса Windows Server 2008. For information about deploying a forest root domain, see Deploying a Windows Server 2008 Forest Root Domain.

Выбор регионального или выделенного корневого домена леса Choosing a regional or dedicated forest root domain

Если применяется одна модель домена, то один домен работает в качестве корневого домена леса. If you are applying a single domain model, the single domain functions as the forest root domain. Если применяется модель с несколькими доменами, можно развернуть выделенный корневой домен леса или выбрать региональный домен для работы в качестве корневого домена леса. If you are applying a multiple domain model, you can choose to deploy a dedicated forest root domain or select a regional domain to function as the forest root domain.

Выделенный корневой домен леса Dedicated forest root domain

Выделенный корневой домен леса — это домен, который создается специально для работы в качестве корня леса. A dedicated forest root domain is a domain that is created specifically to function as the forest root. Он не содержит ни одной учетной записи пользователя, отличной от учетной записи администратора службы для корневого домена леса. It does not contain any user accounts other than the service administrator accounts for the forest root domain. Кроме того, он не представляет ни одного географического региона в структуре домена. Also, it does not represent any geographical region in your domain structure. Все остальные домены в лесу являются дочерними для выделенного корневого домена леса. All other domains in the forest are children of the dedicated forest root domain.

Использование выделенного корня леса обеспечивает следующие преимущества. Using a dedicated forest root provides the following advantages:

  • Операционное разделение администраторов служб леса от администраторов служб домена. Operational separation of forest service administrators from domain service administrators. В среде с одним доменом члены групп "Администраторы домена" и "встроенные Администраторы" могут использовать стандартные средства и процедуры, чтобы сделать себя членами групп "Администраторы предприятия" и "Администраторы схемы". In a single domain environment, members of the Domain Admins and built-in Administrators groups can use standard tools and procedures to make themselves members of the Enterprise Admins and Schema Admins groups. В лесу, использующем выделенный корневой домен леса, члены групп "Администраторы домена" и "встроенные Администраторы" в региональных доменах не могут сами быть членами групп администраторов служб на уровне леса с помощью стандартных средств и процедур. In a forest that uses a dedicated forest root domain, members of the Domain Admins and built-in Administrators groups in the regional domains cannot make themselves members of the forest-level service administrator groups by using standard tools and procedures.
  • Защита от операционных изменений в других доменах. Protection from operational changes in other domains. Выделенный корневой домен леса не представляет определенный географический регион в структуре домена. A dedicated forest root domain does not represent a particular geographical region in your domain structure. По этой причине на него не влияют реорганизации и другие изменения, которые приводят к переименованию или реструктуризации доменов. For this reason, it is not affected by reorganizations or other changes that result in the renaming or restructuring of domains.
  • Служит нейтральным корнем, чтобы ни одна страна или регион не были подчинены другому региону. Serves as a neutral root so that no country or region appears to be subordinate to another region. Некоторые организации могут предпочесть избежать внешнего вида, чтобы одна страна или регион были подчинены другой стране или региону в пространстве имен. Some organizations might prefer to avoid the appearance that one country or region is subordinate to another country or region in the namespace. При использовании выделенного корневого домена леса все региональные домены могут быть равноправными в иерархии доменов. When you use a dedicated forest root domain, all regional domains can be peers in the domain hierarchy.

В многорегиональной среде домена, в которой используется выделенный корень леса, репликация корневого домена леса оказывает минимальное влияние на сетевую инфраструктуру. In a multiple-regional-domain environment in which a dedicated forest root is used, the replication of the forest root domain has minimal impact on the network infrastructure. Это связано с тем, что корневой лес леса содержит только учетные записи администратора службы. This is because the forest root only hosts the service administrator accounts. Большинство учетных записей пользователей в лесу и других данных, зависящих от домена, хранятся в региональных доменах. The majority of the user accounts in the forest and other domain-specific data are stored in the regional domains.

Читайте также:  Как поменять стрелки на wasd

Одним из недостатков использования выделенного корневого домена леса является то, что он создает дополнительные дополнительные затраты на управление для поддержки дополнительного домена. One disadvantage to using a dedicated forest root domain is that it creates additional management overhead to support the additional domain.

Региональный домен в качестве корневого домена леса Regional domain as a forest root domain

Если вы решили не развертывать выделенный корневой домен леса, необходимо выбрать региональный домен для работы в качестве корневого домена леса. If you choose not to deploy a dedicated forest root domain, you must select a regional domain to function as the forest root domain. Этот домен является родительским доменом всех других региональных доменов и будет первым развертываемым доменом. This domain is the parent domain of all of the other regional domains and will be the first domain that you deploy. Корневой домен леса содержит учетные записи пользователей и управляется так же, как и другие региональные домены. The forest root domain contains user accounts and is managed in the same way that the other regional domains are managed. Основное отличие состоит в том, что она также включает в себя группы «Администраторы предприятия» и «Администраторы схемы». The primary difference is that it also includes the Enterprise Admins and Schema Admins groups.

Преимуществом выбора регионального домена для работы в качестве корневого домена леса является то, что он не создает дополнительные затраты на управление, которые могут поддерживать дополнительный домен. The advantage of selecting a regional domain to function as the forest root domain is that it does not create the additional management overhead that maintaining an additional domain creates. Выберите соответствующий региональный домен в качестве корня леса, например домен, представляющий Центральный офис или регион с быстрыми сетевыми подключениями. Select an appropriate regional domain to be the forest root, such as the domain that represents your headquarters or the region that has the fastest network connections. Если в Организации сложно выбрать региональный домен в качестве корневого домена леса, вместо этого можно использовать выделенную корневую модель леса. If it is difficult for your organization to select a regional domain to be the forest root domain, you can choose to use a dedicated forest root model instead.

Назначение имени корневого домена леса Assigning the forest root domain name

Имя корневого домена леса также является именем леса. The forest root domain name is also the name of the forest. Имя корня леса — это DNS-имя, состоящее из префикса и суффикса в виде префикса. суффикс. The forest root name is a Domain Name System (DNS) name that consists of a prefix and a suffix in the form of prefix.suffix. Например, Организация может иметь имя корня леса corp.contoso.com. For example, an organization might have the forest root name corp.contoso.com. В этом примере используется префикс Corp, а contoso.com — суффикс. In this example, corp is the prefix and contoso.com is the suffix.

Выберите суффикс из списка существующих имен в сети. Select the suffix from a list of existing names on your network. В качестве префикса выберите новое имя, которое ранее не использовалось в вашей сети. For the prefix, select a new name that has not been used on your network previously. Присоединив новый префикс к существующему суффиксу, вы создадите уникальное пространство имен. By attaching a new prefix to an existing suffix, you create a unique namespace. Создание нового пространства имен для служб домен Active Directory Services (AD DS) гарантирует, что любую существующую инфраструктуру DNS не нужно будет изменять в соответствии с AD DS. Creating a new namespace for Active Directory Domain Services (AD DS) ensures that any existing DNS infrastructure does not need to be modified to accommodate AD DS.

Выбор суффикса Selecting a suffix

Чтобы выбрать суффикс для корневого домена леса, сделайте следующее: To select a suffix for the forest root domain:

Обратитесь к владельцу DNS организации за списком зарегистрированных DNS-суффиксов, которые используются в сети, в которой будет размещаться AD DS. Contact the DNS owner for the organization for a list of registered DNS suffixes that are in use on the network that will host AD DS. Обратите внимание, что суффиксы, используемые во внутренней сети, могут отличаться от суффиксов, используемых извне. Note that the suffixes used on the internal network might be different than the suffixes used externally. Например, Организация может использовать contosopharma.com в Интернете и contoso.com во внутренней корпоративной сети. For example, an organization might use contosopharma.com on the Internet and contoso.com on the internal corporate network.

Обратитесь к владельцу DNS, чтобы выбрать суффикс для использования с AD DS. Consult the DNS owner to select a suffix for use with AD DS. Если подходящих суффиксов не существует, зарегистрируйте новое имя в центре именования Интернета. If no suitable suffixes exist, register a new name with an Internet naming authority.

Читайте также:  Ремонт каблука мужских туфель

Рекомендуется использовать DNS-имена, зарегистрированные в центре Интернета, в пространстве имен Active Directory. We recommend that you use DNS names that are registered with an Internet authority in the Active Directory namespace. Только зарегистрированные имена гарантированно являются глобально уникальными. Only registered names are guaranteed to be globally unique. Если в другой организации впоследствии регистрируется то же доменное имя DNS (или если ваша организация выполняет слияние с другой компанией, которая использует то же DNS-имя), то две инфраструктуры не могут взаимодействовать друг с другом. If another organization later registers the same DNS domain name (or if your organization merges with, acquires, or is acquired by another company that uses the same DNS name), the two infrastructures cannot interact with one another.

Не используйте имена DNS с одной меткой. Do not use single-label DNS names. Дополнительные сведения см. в разделе сведения о настройке Windows для доменов с именами DNS с одной меткой (https://go.microsoft.com/fwlink/?LinkId=106631). For more information, see Information about configuring Windows for domains with single-label DNS names (https://go.microsoft.com/fwlink/?LinkId=106631). Кроме того, не рекомендуется использовать незарегистрированные суффиксы, такие как. local. Also, we do not recommend using unregistered suffixes, such as .local.

Выбор префикса Selecting a prefix

Если вы выбрали зарегистрированный суффикс, который уже используется в сети, выберите префикс для имени корневого домена леса, используя правила префикса, приведенные в таблице ниже. If you chose a registered suffix that is already in use on the network, select a prefix for the forest root domain name by using the prefix rules in the table below. Добавьте префикс, который в настоящее время не используется для создания нового подчиненного имени. Add a prefix that is not currently in use to create a new subordinate name. Например, если корневое имя DNS — contoso.com, можно создать Active Directory имя корневого домена леса concorp.contoso.com, если пространство имен concorp.contoso.com еще не используется в сети. For example, if your DNS root name is contoso.com, you can create the Active Directory forest root domain name concorp.contoso.com if the namespace concorp.contoso.com is not already in use on the network. Эта новая ветвь пространства имен будет выделена для AD DS и может быть легко интегрирована с существующей реализацией DNS. This new branch of the namespace will be dedicated to AD DS and can be integrated easily with the existing DNS implementation.

Если вы выбрали региональный домен для работы в качестве корневого домена леса, может потребоваться выбрать новый префикс для домена. If you selected a regional domain to function as a forest root domain, you might need to select a new prefix for the domain. Так как имя корневого домена леса влияет на все другие доменные имена в лесу, имя на основе региона может быть неприемлемым. Because the forest root domain name affects all of the other domain names in the forest, a regionally based name might not be appropriate. Если используется новый суффикс, который в настоящее время не используется в сети, его можно использовать как имя корневого домена леса без выбора дополнительного префикса. If you are using a new suffix that is not currently in use on the network, you can use it as the forest root domain name without choosing an additional prefix.

В следующей таблице перечислены правила выбора префикса для зарегистрированного DNS-имени. The following table lists the rules for selecting a prefix for a registered DNS name.

Правило Rule Объяснение Explanation
Выберите префикс, который, скорее всего, станет устаревшим. Select a prefix that is not likely to become outdated. Избегайте таких имен, как линейка продуктов или операционная система, которые могут измениться в будущем. Avoid names such as a product line or operating system that might change in the future. Рекомендуется использовать универсальные имена, например Corp или DS. We recommend using generic names such as corp or ds.
Выберите префикс, включающий только стандартные символы Интернета. Select a prefix that includes Internet standard characters only. A – Z, a – z, 0-9 и (-), но не полностью числовое. A-Z, a-z, 0-9, and (-), but not entirely numerical.
В префиксе должно быть не более 15 символов. Include 15 characters or less in the prefix. Если выбрана длина префикса не более 15 символов, NetBIOS-имя совпадает с префиксом. If you choose a prefix length of 15 characters or less, the NetBIOS name is the same as the prefix.

Важно, чтобы владелец Active Directory DNS работал с владельцем DNS, чтобы Организация получала право на владение именем, которое будет использоваться для пространства имен Active Directory. It is important for the Active Directory DNS owner to work with the DNS owner for the organization to obtain ownership of the name that will be used for the Active Directory namespace. Дополнительные сведения о проектировании инфраструктуры DNS для поддержки AD DS см. в разделе Создание структуры инфраструктуры DNS. For more information about designing a DNS infrastructure to support AD DS, see Creating a DNS Infrastructure Design.

Ссылка на основную публикацию
Что делать если отключился звук на компьютере
Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы,...
Фотографии купе в поезде
Интересный фотоотчет о поездке на одном из первых рейсов двухэтажных поездов. Смотрим далее, как все устроено внутри таких двухэтажных вагонов...
Фотография с самым большим разрешением в мире
Представляем вашему вниманию нашу подборку самых больших фотографий в мире. Для их просмотра вам будет необходим FlashPlayer. Его можно скачать...
Что делать если полетели драйвера видеокарты
Распространенная ошибка в Windows 7 и реже в Windows 10 и 8 — сообщение «Видеодрайвер перестал отвечать и был успешно...
Adblock detector