HackWare.ru
6. Канальный уровень передачи данных
7. Маршрутизация данных
8. Служебный протокол ICMP
10. Настройка сетевых подключений в командной строке Linux
11. Определение проблем работы сети
12. Туннелизация
Как присоединить компьютер к домену
Присоединить компьютер к домену можно тремя различными способами, давайте рассмотрим, как это сделать на практике.
Присоединение к домену с помощью графического интерфейса
Для того чтобы присоединить Windows server к AD, выполните следующие действия:
Нажмите кнопку Пуск или одновременно нажмите кнопку Пуск на клавиатуре и клавишу X и выберите пункт System. Прокрутите вниз до самого низа и нажмите на » System Info «. После этого нажмите на » Change settings» рядом с именем компьютера, а в появившемся окне нажмите Change…
В окне » Member of Domain » введите имя домена в поле » Member of Domain» и нажмите OK. Введите учетные данные администратора домена и трижды нажмите OK.
Нажмите Close, а затем Restart Now. Поздравляем, ваша рабочая станция присоединилась к домену!
Присоединение к домену с помощью Windows PowerShell
Самый простой способ добавить устройство на базе Windows в Active Directory — это Powershell и команда Add-Computer:
Add-Computer -DomainName office.com -Credential OFFICEAdministrator
Restart-Computer
Группы
На имена групп нет таких строгих ограничений, как на логины, но есть смысл придерживаться схожих правил:
- избегать не латинских символов и пробелов
- стремиться к кратким названиям
В дополнение к вышеперечисленному, удобно, чтобы имена групп соответствовали следующим характеристикам:
- чем-то явно отличались от логинов
- отражали назначение группы (например, из имен Техподдержка и «Бухгалтерия» не понять, что есть группа безопасности, а что — группа рассылки)
- признаки, содержащиеся в имени, следовали в порядке значимости (например, ExchangeAdmins и ExchangeHelpdesk , а не Администраторы Exchange и Техническая поддержка Exchange )
При этом, включать в имя группы признак её области действия (локальная, глобальная, универсальная) нет необходимости по следующим причинам:
- часто область действия группы можно безболезненно конвертировать
- практически во всех отображениях имеется столбец области действия
Итак, я предлагаю следующую схему именования групп:
- g — признак отличия имени группы от логина
- p — назначение группы, принимает значения:
- f — функциональная
- r — ресурсная
- d — распространения
- a — административная
- GlobHelpdesk
- MscPrinters
Пример имён групп:
- gf-Operators
- gr-ProjectDocs
- gd-AllCompany
- ga-Helpdesk
Примечание
- пользователи включаются в глобальные группы (функциональные), в соответствии с выполняемыми ролями
- разрешения на ресурсы назначаются локальным группам (ресурсным)
- в состав ресурсных групп включаются ролевые группы
- при необходимости, на более высоком иерархическом уровне используются универсальные группы, в которые включают глобальные группы
- отдельно выделяются административные группы и группы рассылки
Как узнать доменное имя компьютера
Если машина входит в локальную сеть, имя выбирает системный администратор. Чтобы узнать такое доменное имя компьютера, выполняют несложные действия:
- Находят значок «Компьютер».
- Нажав на правую кнопку мыши, в меню выбирают обозначение «Свойства».
- Домен будет записан в разделе «Полное имя».
У системного администратора есть возможность получить название каждого устройства, входящего в сеть, просматривая Active Directory. В этом параметре отображаются все машины рабочей группы и их имена.
Соглашение об именовании
Каждый объект в Active Directory является экземпляром класса, определенного в схеме Active Directory . У каждого класса имеются атрибуты, обеспечивающие уникальную идентификацию каждого объекта каталога.
Чтобы это реализовать, в Active Directory действует соглашение об именовании, которое должны соблюдать и пользователи, и приложения. Данное соглашение позволяет логически упорядочить хранение объектов и предоставить клиентам стандартизированные методы доступа к объектам, — например, чтобы найти сетевой ресурс , необходимо знать имя объекта или одно из его свойств. Служба каталогов Active Directory , использующая и поддерживающая LDAP ( стандартный протокол для поиска информации в каталоге), индексирует все атрибуты всех объектов, хранящихся в каталоге, и публикует их [ 6 ] . Клиенты, поддерживающие LDAP , могут выполнять всевозможные запросы к серверу.
Active Directory следует соглашению об именовании, принятому в DNS . Active Directory поддерживает несколько типов имен, поэтому при работе с Active Directory можно использовать разные форматы имен [ 3 ] :
- относительные составные имена;
- составные имена;
- канонические имена;
- основные имена пользователей.
Относительные составные имена
Относительное составное имя (RDN) объекта уникально идентифицирует объект, но только в его родительском контейнере. Таким образом, оно уникально идентифицирует объект относительно других объектов в том же самом контейнере. Например: CN=wjglenn, OU=Users, DC=kd, DC=ru.
Здесь относительным составным именем объекта является CN=wjglenn. RDN родительской организационной единицы (OU) — Users. У большинства объектов RDN — это тоже самое, что и атрибут Common Name.
Active Directory автоматически создает RDN по информации, указываемой при создании объекта, и не допускает, чтобы в одном и том же родительском контейнере существовали два объекта с одинаковыми RDN.
В нотации относительных составных имен применяются специальные обозначения, называемые тэгами LDAP-атрибутов и идентифицирующие каждую часть имени:
- DC — тэг Domain Component, который идентифицирует часть DNS-имени домена вроде СОМ или ORG;
- OU — тэг Organizational Unit, который идентифицирует организационную единицу, являющуюся контейнером;
- CN — тэг Common Name, который идентифицирует простое имя, присвоенное объекту Active Directory.
Составные имена
У каждого объекта в каталоге имеется составное имя ( DN ), которое уникально на глобальном уровне и идентифицирует не только сам объект, но и место, занимаемое объектом в общей иерархии объектов. DN можно рассматривать как относительное DN объекта, объединенное с относительными DN всех родительских контейнеров, образующих путь к объекту.
Вот типичный пример составного имени: CN=wjglenn, OU=Users, DC=kd, DC=ru.
Это DN означает, что объект пользователя wjglenn содержится в контейнере Users, в свою очередь содержащемся в домене kd.ru. Если объект wjglenn переместят в другой контейнер, его DN изменится и будет отражать новое местоположение в иерархии. DN гарантированно уникальны в лесу, существование двух объектов с одинаковыми DN невозможно.
Канонические имена
Каноническое имя объекта используется во многом так же, как и составное. Просто у него другой синтаксис. Составному имени, приведенному в предыдущем подразделе, соответствовало бы следующее каноническое имя: kd.ru/Users/wjglenn.
Таким образом, в синтаксисе составных и канонических имен — два основных отличия. Первое — каноническое имя формируется от корня к объекту, а второе — в каноническом имени не используются тэги LDAP-атрибутов (например, CN и DC).
Основные имена пользователей
Основное имя пользователя (UPN), генерируемое для каждого объекта пользователя, имеет вид имя_пользователя@имя_домена. Пользователи могут входить в сеть под своими основными именами, а администратор при желании может определить для этих имен суффиксы. Основные имена пользователей должны быть уникальными, но Active Directory не проверяет соблюдение этого требования. Лучше всего принять соглашение об именовании, не допускающее дублирования основных имен пользователей.
Структура доменного имени
Вместо обычных имен компьютеров, которые состоят из одного слова в системе DNS используются доменные имена. Имя компьютера состоит из нескольких частей, которые отделены друг от друга точками. Например, веб-сервер сайта о Мобильной связи и Технологиях имеет следующие имя www.zvondozvon.ru. Имя состоит из следующих частей ru это домен верхнего уровня, следующий домен отделён от него точкой zvondozvon домен второго уровня, и последний компонент www это имя компьютера в домене второго уровня.
p, blockquote 17,0,0,0,0 —>
Корневой домен
Важным элементом доменного имени, которое обычно не пишут, является корневой домен, он указывается точкой в конце. Если вы не укажете точку, то ничего страшного не произойдет, она подразумевается в конце каждого доменного имени.
p, blockquote 18,1,0,0,0 —>
p, blockquote 19,0,0,0,0 —>
Дерево доменных имен
Доменные имена образуют дерево. Корнем дерева является корневой домен, который представлен точкой. Затем идут домены верхнего уровня, которые бывают трех типов:
p, blockquote 20,0,0,0,0 —>
- Домены для различных типов организаций, которые используются, как правило внутри США (org, com, net). Домен org для некоммерческих организаций, com для коммерческих организаций, net для организации связанных с компьютерными сетями, есть также и другие домены.
- Тип доменов верхнего уровня, домены для стран. Каждая страна имеет свой домен. Домен Россия ru, домен Великобритании uk, и относительно недавно появились новые типы доменов верхнего уровня в которых можно использовать не только символы английского алфавита. Для России это домен рф.
- Затем идут домены второго уровня, например cisco.com, yandex.ru или яндекс.рф русскими буквами.
- На третьем уровне могут находиться, как домены следующего уровня их называют поддомены или адреса компьютера в домене второго уровня. Например, в домене yandex.ru есть компьютеры с адресами www.yandex.ru веб-сервер компании yandex, maps.yandex.ru сервер яндекс карт, такси.yandex.ru сервер яндекс такси и большое количество других серверов.
Доменная зона
Важным понятием в системе DNS является доменная зона. Это запись адресов всех компьютеров и всех поддоменов в некотором домене.
p, blockquote 22,0,0,0,0 —>
p, blockquote 23,0,0,0,0 —>
Корневая доменная зона содержит записи всех поддоменов первого уровня (org com net ru uk рф). Зона ru содержит записи всех доменов второго уровня (yandex urfu), зона urfu.ru записи всех поддоменов и всех компьютеров в домене urfu, и вот здесь еще показаны две отдельные зоны для разных институтов urfu, институт естественных наук (ins) и институт математики и компьютерных наук (imkn). Эти зоны содержат DNS-записи, о компьютерах соответствующих институтов.
p, blockquote 24,0,0,0,0 —>
Доменная зона является некоторым аналогом файла itc/hosts только в ней содержится не вся информация об именах компьютерах в сети, а некоторый ее фрагмент. Доменные зоны распределены по серверам DNS. Одну и ту же доменную зону может обслуживать несколько серверов DNS.
p, blockquote 25,0,0,0,0 —>
Например, корневую зону обслуживают больше всего серверов, так как к ним больше всего запросов. Все корневые серверы DNS содержат одинаковые записи. Зону ru также обслуживает несколько серверов DNS, у которых одна и та же база данных записи и доменов второго уровня.
p, blockquote 26,0,0,0,0 —>
Необязательно иметь выделенные DNS сервер для каждой доменной зоны, например DNS-сервер urfu может обслуживать зоны urfu.ru и ins.urfu.ru, а институт математики и компьютерных наук может иметь свой выделенный DNS сервер, который будет обслуживать зону imkn.urfu.ru.
p, blockquote 27,0,0,1,0 —>
Важным понятием в системе DNS является делегирование. Например DNS-сервер urfu отвечает за зону urfu.ru, но только часть информации об этой зоне хранится непосредственно на этом сервере, то что относится к urfu.ru и ins.urfu.ru. А для зоны imkn.urfu.ru создан отдельный сервер, таким образом сервер urfu.ru делегирует полномочия управления под доменом imkn.urfu.ru другому серверу. Чтобы было возможно делегирование на DNS сервере urfu.ru делаются соответствующие конфигурационные записи, которые указывают на DNS-сервер ответственный за зон, в нашем случае imkn.urfu.ru.
p, blockquote 28,0,0,0,0 —>
Инфраструктура DNS
Инфраструктура системы доменных имен состоит из следующих компонентов.
p, blockquote 29,0,0,0,0 —>
p, blockquote 30,0,0,0,0 —>
Дерево серверов DNS, которые мы рассмотрели выше, клиент DNS это как правило наш компьютер, и сервер разрешения имен DNS по-английски его называют DNS resolver, он получает запрос от клиента и выполняет поиск необходимого ip-адреса в дереве доменных имен.
p, blockquote 31,0,0,0,0 —>
Администрирование учетной записи компьютеров в Active Directory.
Переименование компьютера в AD.
Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:
Netdom renamecomputer /Newname:
Пример: Netdom renamecomputer COMP01 /Newname: COMP02
Удаление учетных записей компьютера.
1 Удалить учетную запись компьютера с помощью оснастки «Active Directory – пользователи и компьютеры«. Запускаете оснастку «Active Directory – пользователи и компьютеры» находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете «Удалить«, подтверждаете удаление
2 Удалить компьютер можно с помощью команды DSRM:
DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.Устранение ошибки «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом».
Иногда при попыдке войти в компьютер пользователь получает сообщение «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом«. Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:
1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать «Переустановить учетную запись» (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.
2 С помощью команды Netdom:
Netdom reset /domain /User0 /Password0 без кавычек <>
Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password *****
Перезагрузка компьютера не нужна.3 С помощью команды Nltest:
Пример:Nltest /server:Comp01 /sc_reset:pk-help.comad1
Перезагрузка компьютера не нужна.Автоматизируем
Чтобы не вводить всю команду каждый раз, когда необходимо переименовать компьютер, можно использовать специальный BAT-файл:
В этом скрипте необходимо указать логин и пароль пользователя, обладающего соответствующими полномочиями и тогда после запуска скрипта достаточно будет указать старое имя компьютера и новое.