Správa pokročilých funkcí služby AD DS

Vytvoření vztahů důvěryhodnosti

Doménová struktura SLUŽBY AD DS představuje hranici zabezpečení, která poskytuje zabezpečené ověřování a autorizaci pro uživatele, počítače a aplikace. Někdy může být nutné tuto hranici rozšířit tak, aby zahrnovala další domény a doménové struktury služby AD DS. To může například vést k fúzím a akvizicím mezi organizacemi nebo z iniciativ konsolidace, jak je tomu u společnosti Contoso.

Co je vztah důvěryhodnosti?

Vztahy důvěryhodnosti služby AD DS umožňují přístup k prostředkům v prostředí AD DS s více doménami a více doménovými strukturami. V doménové struktuře s jednou doménou sdílejí všichni uživatelé a prostředky, jako jsou sdílené složky, tiskárny nebo aplikace, stejnou doménu, takže správa přístupu je jednoduchá a snadno dostupná. Pokud máte více domén nebo doménových struktur, potřebujete vztahy důvěryhodnosti, abyste uživatelům v jedné doméně poskytli zabezpečený přístup k prostředkům v jiné doméně.

V doménové struktuře AD DS s více doménami ve výchozím nastavení tvoří doménová struktura podobná stromové struktuře s obousměrným přenositelným vztahem důvěryhodnosti mezi přímo sousedícími doménami. Přenosnost důvěryhodnosti znamená, že cesta důvěryhodnosti existuje mezi všemi doménami služby AD DS ve stejné doménové struktuře. Kromě toho můžete vytvořit další typy vztahů důvěryhodnosti. Následující tabulka popisuje hlavní typy důvěryhodnosti.

Typ důvěryhodnosti

Popis

Směr

Popis

Externí

Nepřenositelné

Jednosměrné nebo dvoucestné

Povolte přístup k prostředkům s každou doménou služby AD DS v jiné doménové struktuře.

Sféra

Tranzitivní nebo netransitivní

Jednosměrné nebo dvoucestné

Vytvořte cestu ověřování mezi doménou služby AD DS systému Windows Server a sférou protokolu Kerberos verze 5 (v5), která se implementuje pomocí jiné adresářové služby než AD DS.

Doménová struktura (úplná nebo selektivní)

Tranzitivní

Jednosměrné nebo dvoucestné

Povolit sdílení prostředků dvěma doménových strukturám

Zástupce

Nepřenositelné

Jednosměrné nebo dvoucestné

Zkraťte dobu potřebnou k ověření mezi dvěma, ne přímo sousedícími doménami ve stejné doménové struktuře AD DS s více doménami.

Vztah důvěryhodnosti zástupce mezi dvěma podřízenými doménami v doménové struktuře adatum.com AD DS.Obousměrný vztah důvěryhodnosti doménové struktury mezi doménovými strukturami Tailspintoys.com a Wideworldimporters.com doménovými strukturami služby AD DS.

 Poznámka

Vztahy důvěryhodnosti doménové struktury poskytují největší flexibilitu z hlediska ověřování. Jsou také jednodušší vytvářet, udržovat a spravovat než samostatné vztahy důvěryhodnosti mezi externími vztahy důvěryhodnosti na úrovni domény a jednotlivými doménami napříč těmito dvěma doménovými strukturami.

Vytvoření a konfigurace vztahů důvěryhodnosti doménové struktury

Pokud prostředí SLUŽBY AD DS obsahuje více doménových struktur, je možné nastavit jednosměrné nebo obousměrné vztahy důvěryhodnosti mezi libovolnou dvojicí doménových struktur. S jednosměrným vztahem důvěryhodnosti doménové struktury můžete uživatelům v důvěryhodné doménové struktuře udělit přístup k prostředkům v důvěryhodné doménové struktuře. S obousměrným vztahem důvěryhodnosti doménové struktury je možné uživatelům na každé straně vztahu důvěryhodnosti udělit přístup k prostředkům v druhé doménové struktuře.

Při vytváření vztahu důvěryhodnosti zadáte kořenovou doménu každé doménové struktury. Vzhledem k tomu, že vztahy důvěryhodnosti doménové struktury jsou tranzitivní pro všechny domény v každé doménové struktuře, efektivně vytvoříte vztah důvěryhodnosti mezi jednotlivými dvojicemi doménových struktur v obou doménových strukturách. Na rozdíl od vztahů důvěryhodnosti mezi několika doménami ve stejné doménové struktuře ale vztahy důvěryhodnosti doménové struktury nepřecházejí mezi několika doménovými strukturami. Vztahy důvěryhodnosti doménové struktury je možné vytvořit pouze mezi dvěma doménovými strukturami a není možné je implicitně rozšířit na třetí doménovou strukturu. To znamená, že pokud mezi doménovou strukturou 1 a Doménovou strukturou 2 vytvoříte vztah důvěryhodnosti doménové struktury mezi Doménovou strukturou 2 a Doménovou strukturou 3, doménová struktura 1 implicitně nedůvěřuje doménové struktuře 3.

Vztahy důvěryhodnosti doménové struktury jsou užitečné ve scénářích, které zahrnují spolupráci mezi organizacemi, fúze a akvizice nebo v rámci jedné organizace, která má více než jednu doménovou strukturu, ve které se izolují data a služby Active Directory. Vztahy důvěryhodnosti doménové struktury jsou také užitečné pro poskytovatele aplikačních služeb, pro obchodní extranety pro spolupráci a pro organizace, které chtějí řešení pro autonomii správy.

Než budete moct implementovat vztah důvěryhodnosti doménové struktury, musíte zajistit, aby mezi doménovými strukturami existoval překlad názvů DNS. K implementaci takového překladu názvů můžete použít několik různých technik překladu DNS, jako jsou sekundární zóny, zóny zástupných procedur nebo podmíněné předávání.

Konfigurace upřesňujícího nastavení důvěryhodnosti služby AD DS

V některých případech můžete chtít omezit rozsah vztahů důvěryhodnosti, abyste minimalizovali možnost neoprávněného přístupu k prostředkům ve vaší doménové struktuře. Tento cíl vám může pomoct několik technologií.

Filtrování identifikátorů SID

Když vytvoříte doménovou strukturu nebo vztah důvěryhodnosti domény, můžete ve výchozím nastavení povolit karanténu domény, která se označuje také jako filtrování identifikátorů SID. Když se uživatel ověří v důvěryhodné doméně, zobrazí uživatel žádost o autorizaci, která zahrnuje atributy SID všech skupin, do kterých uživatel patří. Kromě toho autorizační požadavek uživatele zahrnuje atribut SID-History uživatele a skupiny uživatele. Filtrování identifikátorů SID blokuje použití identifikátorů SID v historii identifikátorů SID, které nepocházejí z důvěryhodné domény. Tím zabráníte potenciálnímu zneužití, které zahrnuje zmírnění atributu SID-History za účelem získání neoprávněného přístupu k prostředkům v důvěryhodné doméně.

Selektivní ověřování

Při vytváření vztahu důvěryhodnosti doménové struktury můžete spravovat rozsah ověřování důvěryhodných objektů zabezpečení. Pro vztah důvěryhodnosti externí nebo doménové struktury existují dva režimy ověřování:

  • Ověřování pro celou doménovou strukturu
  • Selektivní ověřování.

Volba ověřování pro celou doménovou strukturu umožňuje všem uživatelům v důvěryhodné doménové struktuře ověřovat služby a přístup na všech počítačích v důvěryhodné doménové struktuře. Proto je možné správcům prostředků v důvěryhodné doménové struktuře udělit uživatelům z důvěryhodných doménových struktur oprávnění k prostředkům v místní doménové struktuře. Kromě toho se všichni uživatelé z důvěryhodné doménové struktury považují za ověřené uživatele v důvěryhodné doménové struktuře. Každý prostředek, který uděluje oprávnění ověřeným uživatelům, se stane přístupným uživatelům v důvěryhodné doménové struktuře.

Pokud zvolíte selektivní ověřování, uživatelé v důvěryhodné doménové struktuře se nepovažují za ověřené uživatele v důvěryhodné doménové struktuře. Místo toho musíte explicitně určit počítače, u kterých je možné je ověřit tím, že jim udělíte oprávnění Povoleno k ověření v těchto počítačích. Představte si například, že máte vztah důvěryhodnosti doménové struktury s doménovou strukturou partnerské organizace. Chcete zajistit, aby ke sdíleným složkám na konkrétním souborovém serveru měli přístup jenom uživatelé z marketingové skupiny partnerské organizace. Můžete tak nakonfigurovat selektivní ověřování pro vztah důvěryhodnosti a pak udělit důvěryhodným uživatelům právo ověřovat pouze na daném souborovém serveru.

 Poznámka

Při použití selektivního ověřování kromě práva k ověření potřebují uživatelé z důvěryhodné doménové struktury i nadále oprávnění systému souborů a složek ke sdíleným složkám pro přístup ke svému obsahu.

Implementace doménových struktur ESAE

Vzhledem k tomu, že it prostředí se rozšiřují nad hranicemi interních sítí, je role identity v rámci hraniční sítě stále důležitější. Jedním ze způsobů, jak vylepšit své možnosti zabezpečení, je implementovat model doménové struktury ESAE, což společnost Contoso plánuje v nadcházejících měsících.

Co je doménová struktura ESAE?

Doménové struktury ESAE představují přístup architektury, ve kterém vyhrazená doménová struktura služby Active Directory hostuje privilegované účty, privilegované skupiny a pracovní stanice s privilegovaným přístupem. Tato doménová struktura ESAE je nakonfigurovaná s jednosměrným vztahem důvěryhodnosti s produkční doménovou strukturou. Jednosměrný vztah důvěryhodnosti znamená, že účty z doménové struktury ESAE je možné použít v produkční doménové struktuře, ale účty v produkční doménové struktuře se nedají použít v doménové struktuře ESAE. Produkční doménová struktura je doménová struktura, ve které správci provádějí každodenní aktivity organizace. Produkční doménová struktura se pak nakonfiguruje tak, aby úlohy správy v produkční doménové struktuře bylo možné provádět pouze pomocí účtů, které jsou hostiteli doménové struktury ESAE.

Architektura doménové struktury ESAE s příchozím jednosměrným vztahem důvěryhodnosti s produkční doménovou strukturou.

Doménové struktury ESAE mají následující výhody:

  • Uzamčené účty Standardní neprivilegované uživatelské účty v doménové struktuře ESAE je možné nakonfigurovat jako vysoce privilegované v produkční doménové struktuře. Například standardní uživatelský účet v doménové struktuře ESAE je členem skupiny Domain Admins v doméně v produkční doménové struktuře. Standardní uživatelský účet hostovaný v doménové struktuře ESAE je možné uzamknout, aby se nemohl přihlásit k hostitelům v doménové struktuře ESAE a dá se použít jenom k přihlášení k hostitelům v produkční doménové struktuře. Tento návrh je bezpečnější, pokud dojde k ohrožení zabezpečení účtu v produkční doménové struktuře, protože hacker se zlými úmysly nemůže tento účet použít k provádění úloh správy v doménové struktuře ESAE.
  • Selektivní ověřování. Návrh doménové struktury ESAE umožňuje organizacím využívat funkci selektivního ověřování vztahu důvěryhodnosti. Například přihlášení z doménové struktury ESAE se omezí na konkrétní hostitele v produkční doménové struktuře. Toto je další metoda, která pomáhá omezit vystavení přihlašovacích údajů. Můžete například omezit vystavení přihlašovacích údajů při konfiguraci selektivního ověřování tak, aby se privilegované účty v produkční doménové struktuře mohly používat jenom na pracovních stanicích s privilegovaným přístupem nebo na jump serverech.
  • Jednoduchý způsob, jak zlepšit zabezpečení. Návrh doménové struktury ESAE poskytuje podstatné zlepšení zabezpečení stávajících produkčních doménových struktur bez nutnosti kompletního opětovného sestavení produkčního prostředí. Přístup k doménové struktuře ESAE má malé nároky na hardware a software a ovlivňuje pouze uživatele it provozního týmu. V tomto návrhu zůstanou standardní uživatelské účty hostované v produkční doménové struktuře. V doménové struktuře ESAE se hostují jenom privilegované účty pro správu. Vzhledem k tomu, že jsou hostované v samostatné doménové struktuře, privilegované účty pro správu můžou podléhat přísnějším požadavkům na zabezpečení než standardní uživatelské účty v produkční doménové struktuře.

Co je princip čistého zdroje?

Princip čistého zdroje určuje, že všechny závislosti zabezpečení jsou stejně důvěryhodné jako zabezpečené položky. V kontextu doménových struktur ESAE se princip čistého zdroje týká zajištění důvěryhodnosti všech účtů zabezpečení a pracovních stanic, které se používají k provádění úloh správy.

Princip čistého zdroje je důležitým aspektem zabezpečení, protože pokud hacker se zlými úmysly může řídit závislost zabezpečení, hacker může také řídit položku, která je zabezpečená. Jedním z důvodů použití přístupu k návrhu doménové struktury ESAE je to, že pomáhá zabezpečit privilegované účty, které spravují produkční prostředí.

Při zabezpečení doménové struktury ESAE se ujistěte, že řadiče domény ESAE běží na zabezpečené virtualizační prostředcích infrastruktury a že se používají technologie zabezpečení, jako je ochrana zařízení, ochrana přihlašovacích údajů a BitLocker. Princip čistého zdroje platí také pro instalační médium. Pokud je instalační médium napadené, jsou všechny softwarové a operační systémy nasazené z instalačního média nedůvěryhodné a ohrožené pro kontrolu hackerem. Software získaný od dodavatelů prostřednictvím fyzických médií je potřeba ověřit. Software stažený z internetu by měl být zkontrolován proti hodnotám hash souborů od dodavatele, aby se zajistilo, že s ním neoprávněně manipulovali třetí strany.

 Tip

Pomocí příkazu certutil.exe, který je integrovaný do operačního systému Windows, můžete porovnat stažený soubor se souborem hash, který poskytl dodavatel.

Implementace doménových struktur ESAE

Při implementaci doménové struktury ESAE byste měli zvážit několik faktorů. Doménová struktura ESAE by měla mít následující vlastnosti:

  • Omezte funkci doménové struktury ESAE na hostování účtů správců pro produkční doménovou strukturu. Aby byl hacker minimalizovaný, nenasazujte aplikace ani další prostředky v doménové struktuře ESAE.
  • Doménová struktura ESAE by měla být doménová struktura služby Active Directory s jednou doménou. V doménové struktuře ESAE není potřeba používat více domén. Doménová struktura ESAE hostuje pouze několik účtů, na které se musí použít přísné zásady zabezpečení.
  • Používejte jenom jednosměrné vztahy důvěryhodnosti. Měli byste nakonfigurovat jenom jednosměrný vztah důvěryhodnosti, kdy produkční doménová struktura důvěřuje doménové struktuře ESAE. To znamená, že účty z doménové struktury ESAE je možné použít v produkční doménové struktuře, ale účty z produkční doménové struktury se nedají použít v doménové struktuře ESAE. Účty používané pro úlohy správy v produkční doménové struktuře by měly být standardními uživatelskými účty v doménové struktuře ESAE. Pokud dojde k ohrožení zabezpečení účtu v produkční doménové struktuře, nejde ho použít ke zvýšení oprávnění v doménové struktuře ESAE.

Servery doménové struktury ESAE je potřeba nakonfigurovat následujícími způsoby:

  • Instalační médium by mělo být ověřeno.
  • Servery by měly používat nejnovější verzi operačního systému Windows Server.
  • Servery by se měly automaticky aktualizovat o aktualizace zabezpečení.
  • Standardní hodnoty Správce dodržování předpisů zabezpečení by se měly používat jako výchozí bod pro konfiguraci serveru.
  • Servery by měly být nakonfigurované se zabezpečeným spouštěním, šifrováním svazků BitLockeru, sadou Credential Guard a Device Guard.
  • Servery by měly být nakonfigurované tak, aby blokovaly úložiště USB.
  • Servery by měly být v izolovaných sítích. Příchozí a odchozí internetová připojení by měla být blokovaná.

 

Monitorování a řešení potíží se službou AD DS

Problémy s výkonem a provozem jsou běžné v reálných prostředích. K analýze, vyhodnocení a nápravě takových problémů, které ovlivňují řadič domény služby AD DS, je základní dovedností všech IT odborníků zodpovědných za zajištění stability a dostupnosti prostředí SLUŽBY AD DS.

Monitorování provozního stavu služby AD DS

Nedostatek systémových prostředků může vést k nízkému výkonu systému řadiče domény. Čtyři klíčové systémové prostředky jsou jednotka centrálního zpracování (CPU), subsystém disku, paměť a síť. Identifikace a náprava kritických bodů zahrnuje úzkou kontrolu systémových protokolů a čítačů výkonu, abyste zjistili, který prostředek je aktuálně omezený. Po rozšíření prostředku se výkon zlepší, ale pokud dojde k novému kritickému bodu v jiném systémovém prostředku, může dojít k poklesu výkonu.

Pro různé typy monitorování můžete ve Windows Serveru použít několik nástrojů. Většina těchto nástrojů je ve výchozím nastavení dostupná jako součásti systému Windows Server a můžete je použít k monitorování služby AD DS a dalších služeb v reálném čase. Nejčastěji používané nástroje jsou Správce úloh, Monitorování prostředků, Prohlížeč událostí a Sledování výkonu. Pomocí Sledování výkonu můžete zkontrolovat aktuální statistiky výkonu nebo historická data shromážděná pomocí sad kolektoru dat.

Existuje mnoho čítačů, které můžete zkontrolovat a analyzovat, abyste vyřešili konkrétní požadavky, včetně čítačů specifických pro procesor, paměť, disk a síť. Na řadiči domény byste také měli monitorovat čítače objektů NT Directory Service (NTDS).

  • Statistika pro celý systém zabezpečení\Ověřování protokolem Kerberos/s. Tento čítač sleduje počet ověřování Kerberos za sekundu.
  • Statistika pro celý systém zabezpečení\Ověřování NTLM. Tento čítač sleduje počet zpracovaných ověřování Windows Network LAN Manager (NTLM) za sekundu.

Pokud ve svém prostředí používáte System Center Operations Manager, máte také možnost nasadit sadu Management Pack Doména služby Active Directory Services Pro Operations Manager k monitorování a analýze operací řadičů domény. Tato sada Management Pack obsahuje mnoho výstrah, zobrazení, úloh a sestav pro různé funkce služby AD DS.

Nástroje pro monitorování a řešení potíží s replikací

V jakémkoli doménovém prostředí služby AD DS obsahujícím více řadičů domény je nezbytné monitorovat replikaci služby AD DS a v případě jakýchkoli problémů je řešit a řešit. Monitorování výkonu umožňuje zachytit a analyzovat čítače agenta replikace adresáře (DRA), včetně:

  • NTDS\DRA Příchozí bajty Celkem/s. Tento čítač znázorňuje celkový počet bajtů replikovaných do databáze služby AD DS.
  • NtDS\DRA – příchozí objekt. Tento čítač znázorňuje počet objektů služby Active Directory přijatých od sousedů prostřednictvím příchozí replikace.
  • NTDS\DRA Odchozí bajty Celkem/s. Tento čítač znázorňuje celkový počet bajtů replikovaných.
  • Synchronizace čekající replikace NTDS\DRA Jedná se o počet synchronizací adresářů, které jsou ve frontě tohoto serveru a čekají na zpracování.

Pro vytváření sestav a analýzu replikace jsou užitečné dva další nástroje: Nástroj pro diagnostiku replikace (Repadmin.exe) a nástroj pro diagnostiku řadiče domény (Dcdiag.exe).

Repadmin.exe

Repadmin.exe je nástroj příkazového řádku, který umožňuje hlásit stav replikace na každém řadiči domény. Informace, které Repadmin.exe produkují, vám můžou pomoct odhalit potenciální problém replikace v doménové struktuře. Úrovně podrobností najdete v metadatech replikace pro konkrétní objekty a atributy, abyste zjistili, kde a kdy byla v AD DS provedena problematická změna. Můžete dokonce použít Repadmin.exe ke správě topologie replikace a vynucení replikace mezi řadiči domény.

Repadmin.exe podporuje několik příkazů, které provádějí konkrétní úlohy. O každém příkazu se můžete dozvědět spuštěním repadmin /? z příkazového řádku. Většina příkazů používá parametr DC_LIST, což je jednoduše síťový popisek (DNS, název NetBIOS nebo IP adresa) řadiče domény. Mezi úlohy monitorování replikace, které můžete provádět pomocí Repadmin.exe patří:

  • Zobrazení partnerů replikace pro řadič domény Chcete-li zobrazit připojení replikace řadiče domény, zadejte repadmin /showrepl DC_LIST . Ve výchozím nastavení Repadmin.exe seznam připojení mezi lokalitami. Přidejte také argument /repsto pro výpis připojení mezi lokalitami.
  • Zobrazení objektů připojení pro řadič domény Zadejte repadmin /showconn DC_LIST seznam objektů připojení pro řadič domény.
  • Zobrazení metadat o objektu, jeho atributech a replikaci O replikaci se můžete dozvědět hodně tím, že prozkoumáte objekt na dvou různých řadičích domény a zjistíte, které atributy mají nebo se nereplikovaly. Zadejte repadmin /showobjmeta DC_LIST Object, kde DC_LIST označuje řadič domény nebo řadiče k dotazování. Hvězdičku můžete použít k označení všech řadičů domény. Objekt představuje identifikátor GUID objektu, což je jeho jedinečný identifikátor.

Dcdiag.exe

Dcdiag.exe provádí několik testů a hlásí celkový stav replikace a provozního stavu služby AD DS. Spustit samostatně, Dcdiag.exe provádět souhrnné testy a poté hlásí výsledky. V opačném extrémním případě Dcdiag.exe /c spustí komplexní seznam testů. Výstup můžete přesměrovat na soubory různých typů, včetně XML. Pomocí parametru /test:Test Name můžete také zadat jeden nebo více testů, které se mají provést. Mezi testy, které se vztahují přímo k replikaci, patří:

  • DFSREvent. Hlásí všechny chyby operací v systému souborů DFS (Distributed File System).
  • Mezi lokalitami. Kontroluje chyby, které by zabránily replikaci uvnitř lokalit nebo zpozdily.
  • KccEvent. Identifikuje chyby v nástroji Pro kontrolu konzistence znalostí.
  • Replikace. Kontroluje včasnou replikaci mezi řadiči domény.
  • Topologie. Zkontroluje, jestli je topologie replikace plně připojená pro všechny řadiče domény.
  • VerifyReplicas. Ověřuje, že všechny oddíly adresáře aplikací jsou plně vytvořena na všech řadičích domény, které hostují repliky.

Monitorování replikace pomocí nástroje Microsoft System Center Operations Manager

sada Management Pack služby Doména služby Active Directory Services pro Operations Manager zahrnuje funkce monitorování replikace, které shromažďují výstrahy replikace služby AD DS spolu s daty o výkonu představujícími latenci replikace a objem příchozích i odchozích přenosů replikace. Sada Management Pack nabízí řídicí panely topologie replikace, které zobrazují propojení lokality, objekty připojení a poškozené objekty připojení. Umožňuje také generovat sestavy o objektech připojení replikace, propojeních lokality replikace, šířce pásma replikace a latenci replikace.

Rutiny replikace služby AD DS prostředí Windows PowerShell

Windows Server podporuje rutiny Windows PowerShellu, které usnadňují monitorování replikace služby AD DS a kontrolu jeho konfigurace. Některé z nich jsou popsané v následujícím seznamu.

  • Get-ADReplicationConnection. Poskytuje konkrétní připojení replikace služby AD DS nebo sadu objektů připojení replikace služby AD DS na základě zadaného filtru.
  • Get-ADReplicationFailure. Obsahuje popis selhání replikace služby AD DS.
  • Get-ADReplicationPartnerMetadata. Poskytuje metadata replikace pro sadu jednoho nebo více partnerů replikace.
  • Get-ADReplicationSite. Poskytuje konkrétní lokalitu replikace služby AD DS nebo sadu objektů replikační lokality na základě zadaného filtru.
  • Get-ADReplicationSiteLink. Poskytuje konkrétní odkaz na lokalitu služby Active Directory nebo sadu odkazů lokalit na základě zadaného filtru.
  • Get-ADReplicationSiteLinkBridge. Poskytuje konkrétní most propojení lokality služby Active Directory nebo sadu objektů mostu propojení lokality na základě zadaného filtru.
  • Get-ADReplicationSubnet. Poskytuje podsíť služby Active Directory nebo sadu podsítí služby Active Directory na základě zadaného filtru.

 

Vytvoření vlastních oddílů služby AD DS

Vlastní aplikace můžou potřebovat ukládat data do databáze služby AD DS. Některé z nich jsou pro tento účel závislé na rozšíření schématu, ale existují i jiné, které vyžadují vytvoření vlastních oddílů SLUŽBY AD DS. Stává se to u nové interní sady aplikací, které potřebujete k nasazení, vyvinutou interní sadou aplikací společnosti Contoso.

Co jsou oddíly služby AD DS?

Oddíl neboli kontext pojmenování je část databáze SLUŽBY AD DS. Přestože je databáze jedním souborem s názvem NTDS.dit, různé oddíly obsahují různá data. Každý oddíl je jednotka replikace a každý oddíl má vlastní topologii replikace. Mezi výchozí oddíly patří:

  • Oddíl konfigurace. Konfigurační oddíl se vytvoří automaticky při vytváření prvního řadiče domény v doménové struktuře. Konfigurační oddíl obsahuje informace o struktuře služby AD DS pro celou doménovou strukturu, včetně domén a lokalit a toho, které řadiče domény existují v každé doméně. Tento oddíl se replikuje do všech řadičů domény v doménové struktuře.
  • Oddíl schématu Oddíl schématu obsahuje definice všech objektů a atributů, které můžete vytvořit v úložišti dat, a pravidla pro jejich vytváření a manipulaci s nimi. Informace o schématu se replikují do všech řadičů domény v doménové struktuře.
  • Oddíl domény. Když vytvoříte novou doménu, služba AD DS automaticky vytvoří instanci oddílu domény. Tento oddíl se následně automaticky replikuje do každého nového řadiče domény ve stejné doméně. Oddíl domény obsahuje informace o všechobjektch
  • Oddíl aplikace Oddíl aplikace ukládá nedoménu, informace související s aplikacemi, které se obvykle aktualizují s vyšší frekvencí nebo mají přizpůsobitelnou životnost, například oddíl DNS (Domain Name System), když je povolená služba ACTIVE Directory integrovaná služba DNS. Obvykle máte flexibilitu určit rozsah replikace oddílů aplikace tak, že určíte, které řadiče domény v doménové struktuře budou hostovat jeho kopie.

 Poznámka

Když ve výchozím nastavení nakonfigurujete řadič domény pro hostování integrovaných zón DNS služby Active Directory, vytvoří se dva samostatné oddíly aplikace, domainDnsZones a forestDnsZones. Oddíl domainDnsZones obsahuje záznamy DNS specifické pro doménu a jeho rozsah replikace se skládá z jiných řadičů domény služby AD DS, které hostují roli serveru DNS.

Vytvoření oddílů služby AD DS

Oddíly služby AD DS můžete vytvářet a spravovat pomocí nástroje příkazového řádku NtdsUtil.exe. NtdsUtil.exe také umožňuje provádět několik dalších úloh správy souvisejících se službou AD DS, například:

  • Údržba databáze NTDS, včetně vytváření snímků, přemístění databáze, souborů a defragmentace offline
  • Vyčištění metadat řadiče domény po neopravitelném selhání.
  • Resetování hesla použitého k přihlášení do režimu obnovení adresářových služeb (DSRM).

 

 

Předchozí článek Další článek