การเปลี่ยนชื่อโดเมน Active Directory ทำความเข้าใจชื่อโดเมนภายในของ Active Directory Domains

ในบางกรณี ผู้ดูแลระบบบริการโดเมนอาจต้องเผชิญกับงานในการเปลี่ยนชื่อโดเมนปัจจุบัน เหตุผลอาจแตกต่างกัน แต่สถานการณ์นี้ค่อนข้างเป็นไปได้ แม้ว่างานนี้ไม่สามารถเรียกว่าเล็กน้อยได้ แต่บางครั้งคุณต้องจัดการกับมัน สิ่งสำคัญอย่างยิ่งคือต้องทำทุกอย่างให้ถูกต้อง เพราะไม่เช่นนั้นผลลัพธ์ของเหตุการณ์อาจเป็นอันตรายร้ายแรงจนถึงโครงสร้างพื้นฐานขององค์กรที่ไม่ทำงานโดยสิ้นเชิง ดังนั้น ในบทความนี้ คุณจะได้เรียนรู้เกี่ยวกับข้อกำหนดเบื้องต้นสำหรับการดำเนินการนี้ ข้อจำกัดบางประการ และวิธีการเปลี่ยนชื่อโดเมนของคุณ ก่อนที่เราจะเริ่มต้น เราขอร้องให้คุณอย่าทำตามขั้นตอนเหล่านี้ในสภาพแวดล้อมที่ใช้งานจริง จนกว่าคุณจะเปลี่ยนชื่อโดเมนทดสอบของคุณในสภาพแวดล้อมของห้องปฏิบัติการได้สำเร็จ เริ่มกันเลย.

ข้อกำหนดเบื้องต้น

ก่อนที่คุณจะเริ่มเปลี่ยนชื่อโดเมน อย่าลืมคำนึงถึงข้อมูลต่อไปนี้:

• ระดับการทำงานของ Active Directory Forest. คุณสามารถดำเนินการเปลี่ยนชื่อโดเมนได้ก็ต่อเมื่อโดเมนทั้งหมดในฟอเรสต์กำลังเรียกใช้ Windows Server 2003 เป็นอย่างน้อย (ไม่มีข้อจำกัดด้านรุ่นในกรณีนี้) นอกจากนี้ ระดับการทำงานจะต้องเพิ่มขึ้นเป็นระดับ Windows Server 2003 เป็นอย่างน้อย นั่นคือ หากคุณเลือกระดับการทำงานของ Windows Server 2000 ไว้ในฟอเรสต์ การดำเนินการต่อไปนี้จะเป็นไปไม่ได้
• ที่ตั้งโดเมน. อาจมีโดเมนหลายระดับในฟอเรสต์ Active Directory นั่นคือ สามารถมีได้ทั้งโดเมนเดียว หรือฟอเรสต์สามารถรวมโดเมนย่อยได้ ในกรณีที่คุณเปลี่ยนตำแหน่งของตัวควบคุมโดเมนภายในฟอเรสต์ คุณจะต้องสร้างความสัมพันธ์ที่ไว้วางใจได้
• โซน DNS. แม้กระทั่งก่อนที่จะดำเนินการเปลี่ยนชื่อโดเมน คุณต้องสร้างโซน DNS ใหม่
• ข้อมูลประจำตัวของผู้ดูแลระบบ. ในการดำเนินการเปลี่ยนชื่อโดเมน คุณต้องเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบที่เป็นสมาชิกของกลุ่ม Enterprise Admins
• เซิร์ฟเวอร์ Distributed File System (DFS). หากสภาพแวดล้อมองค์กรของคุณมีการปรับใช้ DFS หรือกำหนดค่าโปรไฟล์ข้ามเขต โปรดทราบว่าเซิร์ฟเวอร์รูท DFS จะต้องทำงานอย่างน้อย ระบบปฏิบัติการ Windows Server 2000 Service Pack 3 หรือสูงกว่า รุ่นที่ทันสมัยระบบปฏิบัติการ;
• ความเข้ากันไม่ได้กับเซิร์ฟเวอร์ Microsoft Exchange. สิ่งที่น่ารำคาญที่สุดคือหากมีการปรับใช้เมลเซิร์ฟเวอร์ Microsoft Exchange Server 2003 Service Pack 1 ในฟอเรสต์ Active Directory ของคุณ การเปลี่ยนชื่อโดเมนจะเสร็จสมบูรณ์โดยไม่มีปัญหาใดๆ แต่บัญชีผู้ใช้ที่จะดำเนินการเปลี่ยนชื่อโดเมนจะต้อง เป็นสมาชิกของกลุ่มผู้ดูแลการแลกเปลี่ยนแบบเต็ม เมลเซิร์ฟเวอร์รุ่นใหม่ทั้งหมด (รวมถึง Exchange Server 2016) เข้ากันไม่ได้กับการดำเนินการเปลี่ยนชื่อโดเมน

นอกจากนี้ โปรดทราบว่าคุณต้องตรึงการดำเนินการกำหนดค่าฟอเรสต์ Active Directory ที่รอดำเนินการทั้งหมดในขณะที่กำลังเปลี่ยนชื่อโดเมน กล่าวอีกนัยหนึ่ง คุณต้องแน่ใจว่าการกำหนดค่าฟอเรสต์ของคุณไม่เปลี่ยนแปลงจนกว่าการดำเนินการเปลี่ยนชื่อโดเมนจะเสร็จสมบูรณ์ (ดูรายละเอียดด้านล่างเกี่ยวกับวิธีการดำเนินการนี้) การดำเนินการเหล่านี้รวมถึง: การสร้างหรือลบโดเมนภายในฟอเรสต์ Active Directory ของคุณ การสร้างหรือลบพาร์ติชันไดเรกทอรีของแอปพลิเคชัน การเพิ่มหรือการลบตัวควบคุมโดเมนในฟอเรสต์ แคตตาล็อก

ในกรณีนี้ ฉันขอแนะนำให้คุณทำการสำรองข้อมูลสถานะระบบทั้งหมดบนตัวควบคุมโดเมนแต่ละตัวในฟอเรสต์ Active Directory หากงานนี้เสร็จสิ้น ข้อควรระวังนี้จะไม่ฟุ่มเฟือยอย่างแน่นอน

ในกรณีที่โครงสร้างพื้นฐานของคุณตรงตามข้อกำหนดข้างต้นและจำเป็นทั้งหมด การสำรองข้อมูลคุณสามารถดำเนินการตามขั้นตอนการเปลี่ยนชื่อโดเมนได้

กระบวนการเปลี่ยนชื่อโดเมน Active Directory

ในการเริ่มต้น เพื่อตรวจสอบชื่อเดิมของโดเมนของคุณ คุณสามารถเปิดหน้าต่างคุณสมบัติของระบบ ดังที่คุณเห็นในภาพประกอบที่เกี่ยวข้อง ชื่อโดเมนของฉันคือ "Biopharmaceutic.local":

ข้าว. 1. ตรวจสอบชื่อโดเมน Active Directory เดิม

ตอนนี้คุณต้องสร้างโซน DNS ใหม่ "biopharm.local" เพื่อให้หลังจากการเปลี่ยนชื่อโดเมนสำเร็จ เซิร์ฟเวอร์สมาชิกและไคลเอนต์ของคุณสามารถเข้าร่วมชื่อโดเมนใหม่ได้อย่างง่ายดาย ในการทำเช่นนี้ให้เปิด ตัวจัดการ DNS» ( ตัวจัดการ DNS) และอยู่ใน " โซนการค้นหาไปข้างหน้า» ( โซนการค้นหาไปข้างหน้า) เลือกตัวเลือกเพื่อสร้างโซนใหม่ โดยพื้นฐานแล้ว โซนจะถูกสร้างขึ้นตามปกติ: ในหน้าแรกของตัวช่วยสร้างโซนใหม่ ให้อ่านข้อมูลเบื้องต้นและดำเนินการต่อไปยังหน้าที่สอง ในหน้าประเภทโซน เลือกโซนหลัก ( โซนประถมศึกษา) และตรวจสอบให้แน่ใจว่าได้เปิดใช้งานตัวเลือกในการบันทึกโซนไปยัง Active Directory ในหน้าขอบเขตการจำลองแบบโซน ปล่อยให้ตัวเลือกถูกเลือกไว้โดยค่าเริ่มต้น - " สำหรับเซิร์ฟเวอร์ DNS ทั้งหมดที่ทำงานบนตัวควบคุมโดเมนในโดเมนนี้: Biopharmaceutic.local» ( ถึงเซิร์ฟเวอร์ DNS ทั้งหมดที่ทำงานบนตัวควบคุมโดเมนในโดเมนนี้: Biopharmaceutic.local). ในหน้าชื่อโซน คุณควรระบุชื่อโดเมนใหม่ (biopharm.local) และในหน้าอัปเดตแบบไดนามิก ให้ปล่อยตัวเลือก " อนุญาตเฉพาะการอัปเดตไดนามิกที่ปลอดภัย (แนะนำสำหรับ Active Directory)» ( อนุญาตเฉพาะการอัปเดตไดนามิกที่ปลอดภัย (แนะนำสำหรับ Active Directory)) ซึ่งถูกเลือกโดยค่าเริ่มต้น คุณสามารถดูขั้นตอนต่าง ๆ ของการสร้างโซนใหม่ด้านล่าง:

ข้าว. 2. สร้างโซน DNS ใหม่

ขั้นตอนต่อไปในการเปลี่ยนชื่อโดเมนคือการสร้างคำอธิบายสถานะปัจจุบันของฟอเรสต์ นี่เป็นการดำเนินการเปลี่ยนชื่อโดเมนครั้งแรกที่จะใช้ยูทิลิตีบรรทัดคำสั่ง สุ่ม. ยูทิลิตีนี้จะสร้างคำอธิบายที่เป็นข้อความของโครงสร้างฟอเรสต์ปัจจุบันของคุณเป็นไฟล์ XML ชื่อ Domainlist.xml ไฟล์นี้มีรายการพาร์ติชันไดเร็กทอรีของโดเมนทั้งหมด รวมถึงพาร์ติชันไดเร็กทอรีแอปพลิเคชันที่อยู่ในฟอเรสต์ Active Directory ของคุณ แต่ละรายการสำหรับแต่ละโดเมนและพาร์ติชันไดเรกทอรีของแอปพลิเคชันจะถูกคั่นด้วยแท็ก XML และ. นอกจากนี้ แต่ละรายการประกอบด้วยข้อมูลที่มี globally unique object identifier (GUID) ของอ็อบเจ็กต์รูทของพาร์ติชัน ชื่อ DNS ของโดเมนหรือไดเร็กทอรีแอปพลิเคชัน และชื่อ NetBIOS ของโดเมน

หากต้องการสร้างไฟล์ดังกล่าว ให้เปิดภายใต้บัญชีที่เหมาะสม บรรทัดคำสั่งและในนั้นรันคำสั่ง " สุ่ม/รายการ". ไฟล์ที่สร้างขึ้นจะถูกบันทึกไว้ในไดเรกทอรีรากของบัญชีผู้ใช้ของคุณ ถัดไป คุณจะต้องเปิดไฟล์นี้ด้วยโปรแกรมแก้ไขข้อความใดๆ

ภายในไฟล์นี้ คุณต้องเปลี่ยนชื่อโดเมนในส่วนที่คั่นด้วยแท็ก และและชื่อ NetBIOS ภายในแท็ก และ). โปรดทราบว่าคุณต้องไม่เปลี่ยน GUID ภายในแท็กที่เกี่ยวข้อง

ในภาพประกอบต่อไปนี้ คุณจะเห็นกระบวนการดำเนินการคำสั่งด้านบน ตำแหน่งของไฟล์ Domainlist.xml และการเปลี่ยนแปลงในส่วนแรกของไฟล์นี้ ในกรณีของฉัน ชื่อโดเมนในการกำหนดค่านี้จะถูกเปลี่ยน 4 ครั้ง:

ข้าว. 3. การสร้างและการแก้ไขไฟล์ Domainlist.xml

เพื่อให้แน่ใจว่าคุณได้ทำการเปลี่ยนแปลงที่จำเป็นกับไฟล์ที่เกี่ยวข้อง คุณสามารถเรียกใช้คำสั่ง " สุ่ม / โชว์ฟอเรสต์". ดังที่คุณเห็นในภาพประกอบต่อไปนี้ รายการทั้งหมดของฉันเปลี่ยนเป็น "Bopharm":

ข้าว. 4. ดูการเปลี่ยนแปลงที่อาจเกิดขึ้น

เมื่อรันคำสั่งต่อไปนี้ ( สุ่ม/อัพโหลด) โปรแกรมอรรถประโยชน์ Rendom แปลโครงสร้างฟอเรสต์ใหม่ที่ระบุในไฟล์ที่แก้ไขเป็นลำดับของคำแนะนำในการอัปเดตแคตตาล็อกที่จะรันแบบโลคัลและรีโมตบนตัวควบคุมโดเมนทุกตัวในฟอเรสต์ โดยทั่วไป ขั้นตอนนี้จะทำการเปลี่ยนแปลงในส่วนไดเรกทอรีการกำหนดค่าของตัวช่วยสร้างการตั้งชื่อโดเมนเพื่อเปลี่ยนชื่อโดเมน Active Directory นอกจากนี้ ไฟล์ Dclist.xml จะถูกสร้างขึ้นเพื่อใช้ติดตามความคืบหน้าและสถานะของตัวควบคุมโดเมนแต่ละตัวในฟอเรสต์สำหรับการดำเนินการเปลี่ยนชื่อโดเมน อนึ่ง ณ จุดนี้ ยูทิลิตี Rendom จะหยุดฟอเรสต์ Active Directory ของคุณไม่ให้เปลี่ยนแปลงการกำหนดค่า ขั้นตอนการดำเนินการคำสั่งนี้มีดังต่อไปนี้:

ข้าว. 5. รันคำสั่ง rendom /upload

รันคำสั่งต่อไปนี้เพื่อตรวจสอบความพร้อมของตัวควบคุมโดเมนก่อนการดำเนินการเปลี่ยนชื่อโดเมน ในระหว่างขั้นตอนนี้ คุณต้องรันคำสั่งตรวจสอบการเตรียมการ ตัวควบคุมโดเมนทุกตัวในฟอเรสต์. นี่คือเพื่อให้แน่ใจว่าฐานข้อมูล Active Directory บนตัวควบคุมโดเมนแต่ละตัวในฟอเรสต์อยู่ในสถานะที่ถูกต้องและพร้อมที่จะทำการเปลี่ยนแปลงที่จะอนุญาตให้คุณเปลี่ยนชื่อโดเมนของคุณ ดังนั้นให้รันคำสั่ง " สุ่ม/เตรียม" ตามที่ทำในภาพประกอบต่อไปนี้:

ข้าว. 6. การเตรียมโดเมนสำหรับการเปลี่ยนชื่อ

ช่วงเวลาที่สำคัญที่สุด การดำเนินการคำสั่ง " สุ่ม / ดำเนินการ". เมื่อรันคำสั่งนี้บนโดเมน คำสั่งในการเปลี่ยนชื่อโดเมนจะถูกดำเนินการ โดยพื้นฐานแล้ว ในขณะนี้ ตัวควบคุมโดเมนแต่ละตัวในฟอเรสต์กำลังได้รับการติดต่อแยกกัน ซึ่งทำให้ตัวควบคุมโดเมนแต่ละตัวดำเนินการตามคำสั่งเพื่อเปลี่ยนชื่อโดเมน เมื่อเสร็จสิ้นการดำเนินการนี้ ตัวควบคุมโดเมนแต่ละตัวจะถูกรีบูต ดูภาพประกอบต่อไปนี้สำหรับขั้นตอนการเปลี่ยนชื่อโดเมน:

ข้าว. 7. ขั้นตอนการเปลี่ยนชื่อโดเมน

แต่นั่นไม่ใช่ทั้งหมด แม้ว่าในความเป็นจริงแล้วโดเมนของคุณจะถูกเปลี่ยนชื่อแล้ว แต่คุณยังคงมีหน้าที่ในการแก้ไข GPO และการอ้างอิงหลังจากการดำเนินการเปลี่ยนชื่อโดเมนเสร็จสิ้น ยูทิลิตีบรรทัดคำสั่งใช้เพื่อกู้คืน GPO และลิงก์ GPO ในแต่ละโดเมนที่เปลี่ยนชื่อ gpfixup.exe. ขั้นตอนนี้ไม่สามารถละเลยได้เนื่องจากไม่มีขั้นตอนนี้ หลังจากการดำเนินการเปลี่ยนชื่อโดเมนเสร็จสิ้นในฟอเรสต์ใหม่ นโยบายกลุ่มก็จะทำงานไม่ถูกต้อง โปรดทราบว่าต้องเรียกใช้คำสั่งนี้หนึ่งครั้งในแต่ละโดเมนที่เปลี่ยนชื่อ ดังนั้นให้รันคำสั่งหนึ่งครั้ง gpfixupด้วยพารามิเตอร์ /olddns:Biopharmaceutic.local(ชื่อเดิมของโดเมนที่คุณเปลี่ยนชื่อ) และ /newdns:Bipharm.local(ชื่อใหม่ของโดเมนที่เปลี่ยนชื่อ) แล้วตามด้วยคำสั่ง gpfixupด้วยพารามิเตอร์ /oldnb:ชีวเภสัชภัณฑ์และ /newnb:ไบโอฟาร์ม(ตามลำดับ ชื่อ NETBIOS เก่าและใหม่ของโดเมนของคุณ) ขั้นตอนนี้ปรากฏอยู่ด้านล่าง:

ข้าว. 8. แก้ไข GPO

มีเพียงสองคำสั่งที่เหลือในการดำเนินการ: คำสั่ง " สุ่ม / สะอาด" ซึ่งช่วยให้คุณสามารถลบการอ้างอิงทั้งหมดไปยังชื่อโดเมนเก่าภายใน Active Directory ของคุณ เช่นเดียวกับคำสั่ง " สุ่ม/จบ” อันที่จริง การยกเลิกการตรึงฟอเรสต์ Active Directory จากการเปลี่ยนแปลงการกำหนดค่า คุณสามารถดูขั้นตอนการดำเนินการคำสั่งเหล่านี้ได้ในภาพประกอบต่อไปนี้:

ข้าว. 9. ดำเนินการเปลี่ยนชื่อโดเมน Active Directory

เพื่อให้การเปลี่ยนแปลงมีผลกับเซิร์ฟเวอร์สมาชิกและไคลเอ็นต์ปลายทาง คุณจะต้องรีสตาร์ทคอมพิวเตอร์สองครั้ง อย่างไรก็ตาม คุณจะต้องเปลี่ยนชื่อตัวควบคุมโดเมนด้วยตนเอง ดังที่คุณเห็นในภาพประกอบต่อไปนี้ ชื่อตัวควบคุมโดเมนของฉันยังคงเหมือนเดิม

กล่าวโดยย่อ AD อนุญาตให้คุณใช้จุดเดียวของการจัดการสำหรับทรัพยากรที่เผยแพร่ทั้งหมด AD เป็นไปตามมาตรฐานการตั้งชื่อ X.500 ระบบชื่อโดเมน (DNS) ใช้สำหรับการกำหนดตำแหน่ง และ Lightweight Directory Access Protocol (LDAP) ใช้เป็นโปรโตคอลพื้นฐาน

AD รวมโครงสร้างทางตรรกะและทางกายภาพของเครือข่าย โครงสร้างเชิงตรรกะ AD ประกอบด้วยองค์ประกอบต่อไปนี้:

• หน่วยองค์กร - ตามกฎแล้วกลุ่มย่อยของคอมพิวเตอร์สะท้อนถึงโครงสร้างของ บริษัท
• โดเมน – กลุ่มของคอมพิวเตอร์ที่ใช้ฐานข้อมูลไดเร็กทอรีร่วมกัน
• ต้นไม้โดเมน – หนึ่งโดเมนขึ้นไปใช้เนมสเปซที่อยู่ติดกันร่วมกัน
• ฟอเรสต์โดเมน – ต้นไม้หนึ่งต้นหรือมากกว่าแบ่งปันข้อมูลไดเร็กทอรี

โครงสร้างทางกายภาพประกอบด้วยองค์ประกอบต่อไปนี้:

• เครือข่ายย่อย – กลุ่มเน็ตที่มีช่วงของที่อยู่ IP และเน็ตมาสก์ที่ระบุ
• เว็บไซต์ เครือข่ายย่อยตั้งแต่หนึ่งเครือข่ายขึ้นไป ไซต์นี้ใช้เพื่อกำหนดค่าการเข้าถึงไดเร็กทอรีและการจำลองแบบ

ไดเรกทอรีเก็บข้อมูลสามประเภท: ข้อมูลโดเมน ข้อมูลสคีมา และข้อมูลการกำหนดค่า AD ใช้ตัวควบคุมโดเมนเท่านั้น ข้อมูลโดเมนถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมด ตัวควบคุมโดเมนทั้งหมดมีค่าเท่ากัน เช่น การเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นจากตัวควบคุมโดเมนใด ๆ จะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่น ๆ ทั้งหมด ข้อมูลสคีมาและการกำหนดค่าถูกจำลองแบบไปยังโดเมนทั้งหมดในแผนผังหรือฟอเรสต์ นอกจากนี้ วัตถุโดเมนแต่ละรายการและคุณสมบัติของวัตถุฟอเรสต์บางส่วนจะถูกจำลองแบบไปยังแค็ตตาล็อกส่วนกลาง (GC) ซึ่งหมายความว่าตัวควบคุมโดเมนจัดเก็บและจำลองแบบแผนสำหรับทรีหรือฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในทรีหรือฟอเรสต์ และวัตถุไดเร็กทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของตนเอง

ตัวควบคุมโดเมนที่โฮสต์ GC จะเก็บและจำลองข้อมูลสคีมาสำหรับฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในฟอเรสต์ และชุดคุณสมบัติที่จำกัดสำหรับอ็อบเจ็กต์ไดเร็กทอรีทั้งหมดในฟอเรสต์ (ซึ่งจำลองระหว่างเซิร์ฟเวอร์ GC เท่านั้น) และวัตถุไดเร็กทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของคุณ

ตัวควบคุมโดเมนสามารถมีบทบาทหลักของการดำเนินงานที่แตกต่างกัน ต้นแบบการดำเนินการดำเนินการงานที่ไม่สะดวกในแบบจำลองการจำลองแบบหลายหลัก

มีบทบาทหลักในการดำเนินงานห้ารายการที่สามารถกำหนดให้กับตัวควบคุมโดเมนตั้งแต่หนึ่งตัวขึ้นไป บางบทบาทต้องไม่ซ้ำกันในระดับฟอเรสต์ ส่วนบทบาทอื่นๆ ในระดับโดเมน

มีบทบาทต่อไปนี้ในแต่ละฟอเรสต์ AD:

• ต้นแบบสคีมา – จัดการการอัปเดตและการเปลี่ยนแปลงไดเร็กทอรีสคีมา การอัปเดตสคีมาของแคตตาล็อกจำเป็นต้องเข้าถึงต้นแบบสคีมา ในการตรวจสอบว่าเซิร์ฟเวอร์ใดเป็น schema master ในโดเมน คุณต้องพิมพ์คำสั่งในหน้าต่างบรรทัดคำสั่ง เซิร์ฟเวอร์ dsquery -hasfsmo schema
• ต้นแบบการตั้งชื่อโดเมน - จัดการการเพิ่มและลบโดเมนในฟอเรสต์ การเพิ่มหรือลบโดเมนจำเป็นต้องเข้าถึงต้นแบบการตั้งชื่อโดเมน ในการตรวจสอบว่าเซิร์ฟเวอร์ใดเป็นเซิร์ฟเวอร์หลักในการตั้งชื่อโดเมน ในหน้าต่างพรอมต์คำสั่ง ให้พิมพ์ dsquery server -hasismo name

บทบาทเหล่านี้มีอยู่ทั่วไปในป่าโดยรวมและมีเอกลักษณ์เฉพาะตัว

แต่ละโดเมน AD มีบทบาทต่อไปนี้:

• ต้นแบบ ID ญาติ - จัดสรรตัวระบุสัมพัทธ์ให้กับตัวควบคุมโดเมน แต่ละครั้งที่มีการสร้างวัตถุผู้ใช้ กลุ่ม หรือคอมพิวเตอร์ ตัวควบคุมจะกำหนด SID เฉพาะให้กับวัตถุ ซึ่งประกอบด้วย SID ของโดเมนและตัวระบุเฉพาะที่จัดสรรโดยต้นแบบตัวระบุที่เกี่ยวข้อง ในการระบุว่าเซิร์ฟเวอร์ใดเป็นเซิร์ฟเวอร์หลักของตัวระบุโดเมนแบบสัมพัทธ์ ที่พรอมต์คำสั่ง ให้พิมพ์ dsquery server -hasfsmo rid
• โปรแกรมจำลอง PDC (โปรแกรมจำลอง PDC) - ทำหน้าที่เป็นตัวควบคุมโดเมนหลักของ Windows NT ในโหมดโดเมนแบบผสมหรือแบบชั่วคราว ตรวจสอบสิทธิ์การเข้าสู่ระบบ Windows จัดการการเปลี่ยนแปลงรหัสผ่าน และทำซ้ำการอัปเดตเป็น BDC หากมี ในการตรวจสอบว่าเซิร์ฟเวอร์ใดเป็นโปรแกรมจำลอง PDC ของโดเมนในปัจจุบัน ให้พิมพ์ dsquery server -hasfsmo pdc ที่พรอมต์คำสั่ง
• ต้นแบบโครงสร้างพื้นฐาน - อัปเดตการอ้างอิงวัตถุโดยการเปรียบเทียบข้อมูลไดเรกทอรีกับข้อมูล GC หากข้อมูลล้าสมัย ระบบจะขอการอัปเดตจาก GC และจำลองข้อมูลเหล่านั้นไปยังตัวควบคุมโดเมนที่เหลือ หากต้องการตรวจสอบว่าเซิร์ฟเวอร์ใดเป็นโครงสร้างพื้นฐานหลักของโดเมน ให้พิมพ์ dsquery server -hasfsmo infr ที่พรอมต์คำสั่ง

บทบาทเหล่านี้เป็นบทบาททั่วไปสำหรับทั้งโดเมนและต้องไม่ซ้ำกันในโดเมนนั้น

บทบาทหลักของการดำเนินงานถูกกำหนดให้กับตัวควบคุมแรกในโดเมนโดยอัตโนมัติ แต่คุณสามารถกำหนดใหม่ได้ในภายหลัง หากมีตัวควบคุมเพียงตัวเดียวในโดเมน ก็จะดำเนินการตามบทบาททั้งหมดของการดำเนินการหลักพร้อมกัน

เราไม่แนะนำให้แยกบทบาทหลักของสคีมาและหลักในการตั้งชื่อโดเมน ถ้าเป็นไปได้ ให้กำหนดให้กับตัวควบคุมโดเมนเดียวกัน เพื่อประสิทธิภาพสูงสุด เป็นที่พึงปรารถนาว่าต้นแบบตัวระบุสัมพัทธ์และตัวจำลอง PDC ยังอยู่บนตัวควบคุมเดียวกัน แม้ว่าบทบาทเหล่านี้สามารถแยกออกได้หากจำเป็น ในเครือข่ายขนาดใหญ่ที่ บรรทุกหนักลดประสิทธิภาพ ID หลักที่เกี่ยวข้องและตัวจำลอง PDC จะต้องวางบนตัวควบคุมที่แตกต่างกัน นอกจากนี้ เราไม่แนะนำให้โฮสต์โครงสร้างพื้นฐานหลักบนตัวควบคุมโดเมนที่เก็บแค็ตตาล็อกส่วนกลาง

การติดตั้งตัวควบคุมโดเมน Windows Server 2003 (DC) โดยใช้ตัวช่วยสร้างการติดตั้ง Active Directory

มีการติดตั้งตัวควบคุมโดเมนโดยใช้ตัวช่วยสร้างการติดตั้ง Active Directory ในการเลื่อนระดับเซิร์ฟเวอร์เป็นตัวควบคุมโดเมน คุณต้องตรวจสอบให้แน่ใจว่าตรงตามข้อกำหนดที่จำเป็นทั้งหมดสำหรับสิ่งนี้:

1. เซิร์ฟเวอร์ต้องมีพาร์ติชัน NTFS อย่างน้อยหนึ่งพาร์ติชันเพื่อโฮสต์ไดรฟ์ข้อมูลระบบ SYSVOL
2. เซิร์ฟเวอร์ต้องมีการเข้าถึง เซิร์ฟเวอร์ DNSย. ขอแนะนำให้ติดตั้งบริการ DNS บนเซิร์ฟเวอร์เดียวกัน หากใช้เซิร์ฟเวอร์แบบสแตนด์อโลน จะต้องแน่ใจว่ารองรับ Service Location Resource Records (RFC 2052) และ Dynamic Updates Protocol (RFC 2136)
3. คุณต้องมีบัญชีที่มีสิทธิ์ของผู้ดูแลระบบบนเซิร์ฟเวอร์

เรามาพิจารณารายละเอียดเกี่ยวกับการส่งเสริมบทบาทของเซิร์ฟเวอร์ไปยังตัวควบคุมโดเมน Active Directory ในขั้นตอน:

พื้นฐานการจัดการโดเมน Active Directory

เครื่องมือจำนวนหนึ่งในสแน็ปอิน Microsoft Management Console (MMC) ช่วยให้ทำงานกับ Active Directory ได้ง่าย

สแนปอิน (ผู้ใช้ Active Directory และคอมพิวเตอร์) คือคอนโซลการจัดการ MMC ที่คุณสามารถใช้เพื่อจัดการและเผยแพร่ข้อมูลไปยังไดเร็กทอรี เป็นเครื่องมือการดูแลระบบหลักสำหรับ Active Directory และใช้เพื่อดำเนินการทั้งหมดที่เกี่ยวข้องกับผู้ใช้ กลุ่ม และคอมพิวเตอร์ ตลอดจนจัดการหน่วยขององค์กร

ในการเปิดใช้งานสแน็ปอิน (ผู้ใช้ Active Directory และคอมพิวเตอร์) ให้เลือกคำสั่งที่มีชื่อเดียวกันจากเมนูเครื่องมือการดูแลระบบ

ตามค่าเริ่มต้น คอนโซลผู้ใช้ Active Directory และคอมพิวเตอร์จะทำงานร่วมกับโดเมนที่คอมพิวเตอร์ของคุณเป็นเจ้าของ คุณสามารถเข้าถึงคอมพิวเตอร์และวัตถุผู้ใช้ในโดเมนนี้ผ่านโครงสร้างคอนโซลหรือเชื่อมต่อกับโดเมนอื่น เครื่องมือของคอนโซลเดียวกันช่วยให้คุณดูพารามิเตอร์เพิ่มเติมของวัตถุและค้นหาได้

เมื่อได้รับสิทธิ์เข้าถึงโดเมนแล้ว คุณจะเห็นชุดโฟลเดอร์มาตรฐาน:

• ข้อความค้นหาที่บันทึกไว้ (ข้อความค้นหาที่บันทึกไว้) - เกณฑ์การค้นหาที่บันทึกไว้ซึ่งช่วยให้คุณสามารถทำซ้ำการค้นหาที่ดำเนินการก่อนหน้านี้ได้อย่างรวดเร็วใน Active Directory
• สร้างขึ้นใน – รายการบัญชีผู้ใช้ในตัว;
• คอมพิวเตอร์ – คอนเทนเนอร์เริ่มต้นสำหรับบัญชีคอมพิวเตอร์
• ตัวควบคุมโดเมน – คอนเทนเนอร์เริ่มต้นสำหรับตัวควบคุมโดเมน
• ป.ป.ช.ต่างประเทศ – มีข้อมูลเกี่ยวกับวัตถุจากโดเมนภายนอกที่เชื่อถือได้ โดยทั่วไปแล้ว วัตถุเหล่านี้ถูกสร้างขึ้นเมื่อมีการเพิ่มวัตถุจากโดเมนภายนอกลงในกลุ่มโดเมนปัจจุบัน
• ผู้ใช้ เป็นคอนเทนเนอร์เริ่มต้นสำหรับผู้ใช้

โฟลเดอร์คอนโซลบางโฟลเดอร์จะไม่แสดงตามค่าเริ่มต้น ในการแสดงให้เลือกคำสั่งคุณสมบัติขั้นสูงจากเมนูมุมมอง โฟลเดอร์เพิ่มเติมเหล่านี้คือ:

• สูญหายและพบ - เจ้าของสูญหาย วัตถุไดเร็กทอรี
• โควต้า NTDS – ข้อมูลเกี่ยวกับโควต้าบริการไดเร็กทอรี
• ข้อมูลโปรแกรม – ข้อมูลที่จัดเก็บไว้ในบริการไดเร็กทอรีสำหรับแอปพลิเคชัน Microsoft
• ระบบ – พารามิเตอร์ระบบในตัว

คุณสามารถเพิ่มโฟลเดอร์สำหรับหน่วยขององค์กรในแผนผัง AD ได้ด้วยตัวเอง

พิจารณาตัวอย่างการสร้างบัญชีผู้ใช้โดเมน หากต้องการสร้างบัญชีผู้ใช้ ให้คลิกขวาที่คอนเทนเนอร์ที่คุณต้องการวางบัญชีผู้ใช้ เลือก ใหม่ จากเมนูบริบท จากนั้นเลือก ผู้ใช้ หน้าต่างตัวช่วยสร้างวัตถุใหม่ – ผู้ใช้จะเปิดขึ้น:

1. ป้อนชื่อ ชื่อย่อ และนามสกุลของผู้ใช้ในช่องที่เหมาะสม ข้อมูลนี้จำเป็นสำหรับการสร้างชื่อที่แสดงของผู้ใช้
2. แก้ไขชื่อเต็ม จะต้องไม่ซ้ำกันภายในโดเมนและมีความยาวไม่เกิน 64 อักขระ
3. ใส่ชื่อเข้าสู่ระบบของคุณ ใช้รายการแบบเลื่อนลงเพื่อเลือกโดเมนที่จะเชื่อมโยงกับบัญชี
4. หากจำเป็น ให้เปลี่ยนชื่อผู้ใช้ล็อกอินสำหรับระบบที่ใช้ Windows NT 4.0 หรือรุ่นก่อนหน้า เริ่มต้นเป็นชื่อเข้าสู่ระบบกับก่อนหน้า รุ่นของ Windowsใช้อักขระ 20 ตัวแรกของชื่อเต็มของผู้ใช้ ชื่อนี้จะต้องไม่ซ้ำกันภายในโดเมนด้วย
5. คลิก ถัดไป (ถัดไป). ระบุรหัสผ่านสำหรับผู้ใช้ การตั้งค่าต้องตรงกับนโยบายรหัสผ่านของคุณ
   ยืนยันรหัสผ่าน - ฟิลด์ที่ใช้เพื่อยืนยันความถูกต้องของรหัสผ่านที่ป้อน
   ผู้ใช้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งต่อไป(กำหนดให้เปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป) - หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป
   ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน - หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะไม่สามารถเปลี่ยนรหัสผ่านได้
   รหัสผ่านไม่มีวันหมดอายุ - หากเลือกช่องนี้ รหัสผ่านสำหรับบัญชีนี้จะไม่มีวันหมดอายุ (การตั้งค่านี้ลบล้างนโยบายบัญชีโดเมน)
   บัญชีถูกปิดใช้งาน - หากเลือก บัญชีจะถูกปิดใช้งาน (มีประโยชน์ในการป้องกันไม่ให้ผู้อื่นใช้บัญชีชั่วคราว)

บัญชีอนุญาตให้คุณจัดเก็บข้อมูลติดต่อของผู้ใช้ ตลอดจนข้อมูลเกี่ยวกับการมีส่วนร่วมในกลุ่มโดเมนต่างๆ เส้นทางโปรไฟล์ สคริปต์การเข้าสู่ระบบ เส้นทางโฟลเดอร์เริ่มต้น รายชื่อคอมพิวเตอร์ที่ผู้ใช้ได้รับอนุญาตให้เข้าสู่โดเมน เป็นต้น

สคริปต์การเข้าสู่ระบบกำหนดคำสั่งที่ดำเนินการในการเข้าสู่ระบบแต่ละครั้ง ช่วยให้คุณสามารถกำหนดค่าเวลาของระบบ เครื่องพิมพ์เครือข่าย เส้นทางไดรฟ์เครือข่าย ฯลฯ สคริปต์ใช้เพื่อเรียกใช้คำสั่งเพียงครั้งเดียว และการตั้งค่าสภาพแวดล้อมที่กำหนดโดยสคริปต์จะไม่ถูกบันทึกเพื่อใช้ในภายหลัง สคริปต์การเข้าสู่ระบบสามารถเป็นไฟล์ Windows Script Server ที่มีนามสกุล .VBS, .JS และอื่นๆ, ไฟล์แบตช์ที่มีนามสกุล .BAT, ไฟล์คำสั่งที่มีนามสกุล .CMD, โปรแกรมที่มีนามสกุล .EXE

คุณสามารถกำหนดให้แต่ละบัญชีมีโฮมโฟลเดอร์สำหรับจัดเก็บและกู้คืนไฟล์ของผู้ใช้ แอปพลิเคชันส่วนใหญ่เปิดโฮมโฟลเดอร์ตามค่าเริ่มต้นสำหรับการดำเนินการเปิดไฟล์และบันทึก ทำให้ผู้ใช้สามารถค้นหาข้อมูลได้ง่าย ในบรรทัดรับคำสั่ง โฮมโฟลเดอร์คือไดเร็กทอรีปัจจุบันเริ่มต้น โฟลเดอร์เริ่มต้นสามารถอยู่ในฮาร์ดไดรฟ์ในเครื่องของผู้ใช้หรือในไดรฟ์เครือข่ายที่ใช้ร่วมกัน

ไปยังโดเมน บัญชีคอมพิวเตอร์และผู้ใช้สามารถใช้นโยบายกลุ่มได้ นโยบายกลุ่มทำให้การดูแลระบบง่ายขึ้นโดยให้ผู้ดูแลระบบรวมศูนย์ควบคุมสิทธิ์ สิทธิ์ และความสามารถของผู้ใช้และคอมพิวเตอร์ นโยบายกลุ่มช่วยให้คุณ:

• สร้างโฟลเดอร์พิเศษที่จัดการจากส่วนกลาง เช่น My Documents (เอกสารของฉัน);
• จัดการการเข้าถึงส่วนประกอบ Windows ทรัพยากรระบบและเครือข่าย เครื่องมือแผงควบคุม เดสก์ท็อป และเมนูเริ่ม
• กำหนดค่าผู้ใช้และสคริปต์คอมพิวเตอร์เพื่อเรียกใช้งานตามเวลาที่กำหนด
• กำหนดนโยบายสำหรับรหัสผ่านและการล็อคบัญชี การตรวจสอบ การกำหนดสิทธิ์ผู้ใช้ และการรักษาความปลอดภัย

นอกเหนือจากการจัดการผู้ใช้ บัญชีและกลุ่มมีงานการจัดการโดเมนอื่น ๆ อีกมากมาย มีเครื่องมือและแอปพลิเคชันอื่นสำหรับสิ่งนี้

เสื้อผ้า โดเมน Active Directory และความน่าเชื่อถือ(Active Directory - Domains and Trusts) ใช้เพื่อทำงานกับโดเมน ต้นไม้โดเมน และฟอเรสต์โดเมน

เสื้อผ้า ไซต์และบริการของ Active Directory(Active Directory - ไซต์และบริการ) ช่วยให้คุณสามารถจัดการไซต์และเครือข่ายย่อย รวมถึงการจำลองแบบระหว่างไซต์

ในการจัดการวัตถุ AD มีเครื่องมือบรรทัดคำสั่งที่ช่วยให้คุณทำงานด้านการดูแลระบบได้หลากหลาย:

• ดีสอาด - เพิ่มคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร และผู้ใช้ใน Active Directory หากต้องการความช่วยเหลือ ให้พิมพ์ dsadd /? เช่น dsadd คอมพิวเตอร์/?
• dsmod - แก้ไขคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการความช่วยเหลือ ให้พิมพ์ dsmod /? เช่น เซิร์ฟเวอร์ dsmod /?
• ดีสมูฟ – ย้ายวัตถุเดียวไปยังตำแหน่งใหม่ภายในโดเมน หรือเปลี่ยนชื่อวัตถุโดยไม่ต้องย้าย
• ดีสเก็ท - แสดงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ เครือข่ายย่อย และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการความช่วยเหลือ ให้พิมพ์ dsget /? ตัวอย่างเช่น ซับเน็ต dsget /?
• dsquery – ค้นหาคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ เครือข่ายย่อย และเซิร์ฟเวอร์ใน Active Directory ตามเกณฑ์ที่กำหนด
• ดีเอสอาร์เอ็ม – ลบวัตถุออกจาก Active Directory
• ปิด - อนุญาตให้คุณดูไซต์ โดเมน หรือข้อมูลเซิร์ฟเวอร์ จัดการต้นแบบการดำเนินงาน และบำรุงรักษาฐานข้อมูล Active Directory

นอกจากนี้ยังมีเครื่องมือสนับสนุน Active Directory:

• แอลดีพี – ดำเนินการใน Active Directory Administration โดยใช้โปรโตคอล LDAP
• เรพมอน – จัดการการจำลองแบบและแสดงผลในส่วนติดต่อแบบกราฟิก
• Dsacls – จัดการ ACLs (รายการควบคุมการเข้าถึง) สำหรับวัตถุ Active Directory
• ดีซูทิล - จัดการการกระจาย ระบบไฟล์(Distributed File System, DFS) และแสดงข้อมูลเกี่ยวกับการทำงานของมัน
• dnscmd – จัดการคุณสมบัติของเซิร์ฟเวอร์ โซน และระเบียนทรัพยากร DNS
• มูฟทรี – ย้ายวัตถุจากโดเมนหนึ่งไปยังอีกโดเมนหนึ่ง
• รีแพดมิน – จัดการการจำลองแบบและแสดงผลในหน้าต่างบรรทัดคำสั่ง
• เอสดีเบค – วิเคราะห์การแจกจ่าย การจำลองแบบ และการสืบทอดรายการควบคุมการเข้าถึง
• ไซด์วอล์คเกอร์ – ระบุรายการควบคุมการเข้าถึงสำหรับออบเจกต์เดิมเป็นของบัญชีที่ถูกย้าย ลบ หรือถูกละเลย
• ตาข่าย – ให้คุณจัดการโดเมนและความสัมพันธ์ที่เชื่อถือได้จากบรรทัดคำสั่ง

ดังที่เห็นได้จากบทความนี้ การรวมกลุ่มคอมพิวเตอร์เป็นโดเมนตาม Active Directory ช่วยให้คุณลดต้นทุนของงานการดูแลระบบได้อย่างมากโดยการรวมศูนย์การจัดการบัญชีโดเมนสำหรับคอมพิวเตอร์และผู้ใช้ และยังช่วยให้คุณจัดการสิทธิ์ของผู้ใช้ได้อย่างยืดหยุ่น ความปลอดภัยและโฮสต์ของพารามิเตอร์อื่นๆ เอกสารที่มีรายละเอียดเพิ่มเติมเกี่ยวกับการจัดระเบียบโดเมนสามารถพบได้ในเอกสารที่เกี่ยวข้อง

ขั้นตอนนี้ซับซ้อนกว่าการเปลี่ยนชื่อเซิร์ฟเวอร์สมาชิกที่เป็นสมาชิกทั่วไปของโดเมน สำหรับงานนี้ เราต้องการยูทิลิตี้ " NETDOM" ซึ่งเริ่มต้นจาก วินโดวส์ 2008เป็นส่วนหนึ่งของ ระบบปฏิบัติการ, และสำหรับ วินโดวส์ 2003ต้องติดตั้ง" เครื่องมือสนับสนุน ".

หากต้องการเปลี่ยนชื่อตัวควบคุมโดเมน ให้ดำเนินการดังนี้:
1. ขั้นแรก ตรวจสอบให้แน่ใจว่าระดับการทำงานของโดเมนไม่ต่ำกว่า วินโดวส์ 2003และตรวจสอบสิทธิ์ ผู้ดูแลระบบโดเมน " ("ผู้ดูแลระบบโดเมน ").
2. เปิดพรอมต์คำสั่งที่ยกระดับและเพิ่มชื่อเพิ่มเติมสำหรับคอนโทรลเลอร์ที่เราจะเปลี่ยนชื่อ (ในตัวอย่างของเรา SRV-DC1-OLD.TEST.LOCAL เปลี่ยนชื่อเป็น SRV-DC1.TEST.LOCAL ):

ชื่อคอมพิวเตอร์ NETDOM SRV-DC1-OLD.TEST.LOCAL /add:SRV-DC1.TEST.LOCAL

3. การใช้ตัวแก้ไข " ADSIEDIT.msc" ตรวจสอบให้แน่ใจว่าได้เพิ่มชื่ออย่างถูกต้อง ในโปรแกรมแก้ไข ให้ค้นหาวัตถุตัวควบคุมโดเมนและตรวจสอบค่าของคุณสมบัติ " msDS-AdditionalDnsHostName" ซึ่งควรจะเท่ากับ " SRV-DC1.TEST.LOCAL ".

ชื่อคอมพิวเตอร์ NETDOM SRV-DC1-OLD.TEST.LOCAL /makeprimary:SRV-DC1.TEST.LOCAL

ชื่อคอมพิวเตอร์ NETDOM SRV-DC1.TEST.LOCAL /remove:SRV-DC1-OLD.TEST.LOCAL

ในตอนท้ายของขั้นตอน เมื่อขั้นตอนข้างต้นเสร็จสิ้น เราจะตรวจสอบบันทึกอย่างระมัดระวัง ไดเรกทอรีที่ใช้งานอยู่บนตัวควบคุมโดเมนทั้งหมดสำหรับข้อผิดพลาดและใช้ " DCDIAG"เราตรวจสอบให้แน่ใจว่าป่าทำงานอย่างถูกต้อง

ปี 2558 อินเทอร์เน็ตแพร่หลาย บริษัทที่เคารพตนเองทุกแห่งมีเว็บไซต์ของตัวเองมาเป็นเวลานาน ไม่ต้องไปไหนไกล แม้แต่โรงพยาบาลในเมืองทุกแห่งก็มีแหล่งข้อมูลบนเว็บเป็นของตัวเอง แต่ถึงกระนั้นผู้ดูแลระบบก็ยังไม่ได้เรียนรู้วิธีสร้างชื่อปกติสำหรับโดเมนของตน

ค่าใช้จ่ายของโดเมนระดับที่สอง (เช่น bissquit.com) อยู่ที่ 500 รูเบิลต่อปีเล็กน้อย นี่เป็นเพียงเล็กน้อยสำหรับประชาชนทั่วไปเช่นคุณและฉัน และนี่เป็นเพียงเพนนีสำหรับบริษัท ยิ่งไปกว่านั้น ฉันซื้อโดเมนมานานก่อนที่ความคิดจะเริ่มบล็อกนี้จะปรากฏขึ้น มันสะดวก ลองใช้การเชื่อมต่อระยะไกลผ่าน rdp - ฉันป้อนชื่อโดเมนของฉันแทนที่จะเป็นที่อยู่ IP ที่น่าเบื่อ

บนอินเทอร์เน็ต เพื่อตอบสนองคำขอ "แนวทางปฏิบัติที่ดีที่สุดของโดเมน Active Directory" เกือบทุกไซต์ได้เขียนคำแนะนำที่ครอบคลุมสำหรับการตั้งชื่อโดเมน AD และอธิบายว่าเหตุใดจึงควรทำเช่นนั้น มาดูกันดีกว่าว่าคำแนะนำใดที่เรากำลังพูดถึง:

• หากต้องการตั้งชื่อโดเมน AD ให้ใช้โดเมนย่อยของโดเมนที่จดทะเบียนอย่างเป็นทางการขององค์กร

คุณเข้าใจถูกแล้ว คำแนะนำเพียงข้อเดียว มันคือทั้งหมด! คุณสามารถพูดคุยได้มากมายเกี่ยวกับรายละเอียดและความแตกต่างเล็กๆ น้อยๆ แต่ 80-90% ของการให้เหตุผลจะจบลงที่คำแนะนำเพียงข้อเดียว ดังที่กล่าวไว้ข้างต้น ปัญหาทั้งหมดมาจากความจริงที่ว่าคน ๆ หนึ่งรู้ว่าจำเป็นต้องทำเช่นนี้ แต่ไม่เข้าใจว่าทำไมจึงเป็นไปไม่ได้หรือขอแนะนำไม่ให้ทำอย่างอื่น รายละเอียดเพิ่มเติมต่อจากนี้

1. เหตุใดคุณจึงใช้ชื่อภายในและภายนอกที่ไม่สามารถแก้ไขได้ เช่น .local, .corp, .lan

สามารถ. มากที่สุดเท่าที่จะเป็นไปได้ ส่วนใหญ่ใช้พวกเขา ฉันมีตัวอย่างในกลุ่มเพื่อนที่มีพนักงานมากกว่า 2,000 คนในองค์กรและใช้โดเมน .local ความยุ่งยากทั้งหมดจะเริ่มต้นขึ้นหากคุณต้องการโดเมน AD จริงในทันที สิ่งนี้สามารถเกิดขึ้นได้เมื่อใช้การปรับใช้คลาวด์แบบไฮบริด (Exchange + Office365 เป็นตัวอย่างที่สำคัญ) “ทำไมไม่แค่เปลี่ยนชื่อโดเมน เพราะด้วย AD บางเวอร์ชัน มันค่อนข้างเป็นไปได้” - คุณถาม. ใช่ โดยหลักการแล้วเป็นไปได้ แต่คุณจะต้องประสบปัญหาในการย้ายบริการที่ขึ้นกับโดเมน ในหมู่พวกเขามี Exchange เดียวกันและอื่น ๆ แต่ที่นี่ Exchange เดียวก็เกินพอ

2. “ตกลง เราซื้อชื่อจริงภายนอก - my-company.com เราจะเรียกโดเมน AD ด้วย” ซึ่งไม่ใช่ตัวเลือกเช่นกัน จะมีปัญหาเรื่องการอนุญาตกับทรัพยากรอื่นๆ ที่อยู่ใน my-company.com เช่น เว็บไซต์ของบริษัท นอกจากนี้ เซิร์ฟเวอร์ DNS ของคุณจะไม่มีสิทธิ์สำหรับโดเมนนี้ แม้ว่าพวกเขาจะพิจารณาตัวเองว่าเป็นเช่นนั้นก็ตาม สิ่งนี้จะทำให้เกิดปัญหา

มีข้อควรพิจารณาอื่นๆ สำหรับการตั้งชื่อโดเมน ได้แก่ การสร้างโดเมนจริงที่คล้ายกันแต่ใช้ TLD ต่างกัน แต่สำหรับฉันแล้วดูเหมือนว่าไม่มีประโยชน์มากนักในการทำเช่นนี้ เนื่องจากปัญหาบางอย่างยังคงอยู่ และไม่มีข้อดีที่ชัดเจนเมื่อเทียบกับการใช้โดเมน corp.my-company.com (ชื่อนี้นำมาเป็นตัวอย่าง ).

สำหรับผู้ที่ต้องการทำทุกอย่างด้วยตัวเอง ปัญหาล่าสุดเกี่ยวกับใบรับรองจะถูกเพิ่มเข้ามาด้วย ดังนั้นจึงไม่มีประโยชน์ที่จะใช้ชื่อภายในในขณะนี้

ปัญหาของการเลือกชื่อโดเมนในทางเทคนิคนั้นอยู่ที่บรรทัดที่คุณเขียนชื่อเมื่อสร้างโดเมน AD และไม่มีอะไรเพิ่มเติม อย่างไรก็ตาม ผลที่ตามมาจากการเลือกชื่อที่ไม่ถูกต้องจะทำให้คุณมีปัญหามากมายในอนาคต ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องทำทุกอย่างอย่างมีคุณภาพในขั้นตอนการวางแผน อีกครั้ง เป็นเรื่องดีที่จะอ่านบทความโดยผู้ดูแลระบบที่มีประสบการณ์

เมื่อวานนี้สตูดิโอของเราได้รับจดหมายจากผู้อ่านประจำของเรา Andrey พร้อมคำถาม:

ฉันสนุกกับการอ่านบล็อกของคุณ ฉันได้เรียนรู้สิ่งที่มีประโยชน์มากมายสำหรับตัวเอง ฉันอยากทราบความคิดเห็นของคุณเกี่ยวกับชื่อโดเมน Active Directory หลายคนเขียนว่าควรเรียกว่า *organization*.local และบางคนเขียนว่าควรเรียกว่าชื่อนี้ เช่นเดียวกับโดเมน

มาดูกันอย่างรวดเร็วว่าชื่อใดดีที่สุดที่จะใช้เมื่อตั้งชื่อโดเมนภายในองค์กร

ตามแนวทางปฏิบัติ การเลือกชื่อโดเมนอาจทำให้ผู้ดูแลระบบที่มีประสบการณ์สับสนได้ เมื่อคุณเริ่มยูทิลิตี้ครั้งแรก ดีซีโปรโมชื่อโดเมนจะถูกสร้างขึ้นโดยอัตโนมัติและสุ่ม หากชื่อโดเมนไม่เป็นไปตามกฎที่จำเป็นในขั้นตอนนี้ การเปลี่ยนชื่อโดเมนในอนาคตจะยากขึ้น ลองพิจารณา ตัวเลือกที่เป็นไปได้ตามลำดับความนิยม

1. โดเมนชื่อ example.local

ผู้นำขบวนพาเหรดยอดนิยมของเราคือชื่อโดเมนที่ลงท้ายด้วย ท้องถิ่น.มีรูปแบบอื่น ๆ ในหัวข้อนี้เช่น ทดสอบ, บริษัท, โรงงาน, nn, ที่ตั้งและอื่น ๆ ตอนนี้คุณจำไม่ได้ด้วยซ้ำว่าความรักนั้นมาจากไหน ในหนังสือทุกเล่ม Microsoft มักจะใช้ชื่อแบบฟอร์มของตัวเองเสมอ contoso.คอมที่เรามองเห็นได้ชัดเจน รูปแบบการตั้งชื่อโดเมน. อย่างไรก็ตาม เป็นเวลาเกือบ 10 ปีแล้วที่โดเมน .ท้องถิ่นครองตำแหน่งผู้นำ สถานการณ์เริ่มคลี่คลายด้วยการเข้ามาใช้บริการในงานของตน ใบรับรอง SSL. ในกรณีที่การใช้โดเมน "ไม่สนใจและจะทำ" กลายเป็นไปไม่ได้ ดูสิ สมมติว่าบริษัทของคุณใช้เป็นการภายใน แลกเปลี่ยนเซิร์ฟเวอร์ซึ่งต้องการใบรับรอง ssl เพื่อเข้ารหัสการเชื่อมต่อไคลเอ็นต์ ตามสถานการณ์ของคุณ คุณต้องมีใบรับรองเพื่อทำงานนี้ให้สำเร็จ CA ภายนอกซึ่งคุณต้องระบุชื่อทั้งหมดของเซิร์ฟเวอร์ที่ใช้สำหรับการเชื่อมต่อภายนอก ดูเหมือนว่าเราจะจดชื่อเซิร์ฟเวอร์ทั้งหมดและสมัครขอใบรับรอง แต่มีสิ่งหนึ่ง ด้วยชื่อโดเมนดังกล่าว คุณจะไม่สามารถตรวจสอบได้เนื่องจากไม่มีโดเมน "ไม่สนใจและจะทำอย่างนั้น" และคุณจะได้รับการปฏิเสธอย่างนุ่มนวลที่จะพยายามอธิบายกับหน่วยงานออกใบรับรองภายนอกว่าคุณต้องใส่ชื่อ FQDN ของโดเมนที่ไม่มีอยู่จริงลงใน SAN :

เป็นไปไม่ได้ เราจะออกใบรับรองสำหรับชื่อโดเมนจริงเท่านั้น

แต่ยังมีอีกหนึ่งปัญหา โดยใช้ชื่อโดเมน ไม่ใช่ของคุณในชื่อโดเมนสามารถนำไปสู่ผลร้ายได้ ลองนึกภาพสถานการณ์ถ้าโซน ท้องถิ่นจะเป็นสาธารณะ เหมือนโซน คอมหรือ th. ฉันไม่คิดว่ามันคุ้มค่าที่จะทำต่อไป

2. ชื่อโดเมนเหมือนกับชื่อโดเมนภายนอก

อันดับสองของขบวนพาเหรดยอดฮิตของเรา แม้ว่าสถานการณ์ดังกล่าวจะได้รับความนิยมน้อยกว่า แต่ก็ยังมีสิทธิ์ที่จะมีชีวิต นอกเหนือจากข้อเท็จจริงที่ว่าในอนาคตอันใกล้นี้ คุณจะยังคงได้รับความไม่สะดวกเมื่อทำการบำรุงรักษาเครือข่าย ไม่มีอะไรคุกคามคุณอีกแล้ว ปัญหาหลักในสถานการณ์นี้คือคุณจะต้องดูแลเซิร์ฟเวอร์ DNS สองตัว: ภายในและภายนอก. ภายใต้เงื่อนไขนี้ คอมพิวเตอร์ภายในเครือข่ายจะใช้เซิร์ฟเวอร์ DNS ภายในสำหรับการจำแนกชื่อ และคอมพิวเตอร์ที่อยู่นอกขอบเขตของบริษัทจะใช้เซิร์ฟเวอร์ภายนอก สมมติว่าโดเมนของคุณมีชื่อที่น่าภาคภูมิใจ ตัวอย่าง.คอม. ที่ เขตปลอดทหารโซนที่คุณมี เว็บไซต์บริษัทที่ชื่อ ตัวอย่าง.คอม. ในสถานการณ์ที่อธิบายข้างต้น คอมพิวเตอร์ที่อยู่ ข้างในองค์กร ไม่สามารถเข้าถึงได้เพราะสำหรับพวกเขาคือ example.com ชื่อโดเมนและเมื่อคุณป้อนที่อยู่นี้ในเบราว์เซอร์ พวกเขาจะไปที่ ตัวควบคุมโดเมน. ดังที่ฉันได้กล่าวไว้ข้างต้น นอกจากความไม่สะดวกแล้ว สิ่งนี้จะไม่นำไปสู่สิ่งใดเลย คุณสามารถใช้ไม้ค้ำที่จะนำคุณไปยังไซต์ภายนอกได้ตลอดเวลา แต่ยอมรับว่านี่ไม่ใช่การทำงานซ้ำซ้อนที่จำเป็น หรือใช้ชื่อไซต์ที่ขึ้นต้นด้วย wwwหรือภายนอก.

3. ชื่อโดเมนคำเดียว

อาจเป็นตัวเลือกที่ไม่ถูกต้องที่สุดจากด้านบน โดเมนระดับเดียว: โดเมนป้ายกำกับเดียวเป็นโดเมนที่มีเฉพาะ ส่วนประกอบหนึ่ง. เห็นได้ชัดว่าพวกเขาเริ่มใช้ในสมัยของ NT เมื่อ Microsoft นำประสบการณ์ที่ประสบความสำเร็จของ Novell มาใช้ มันเกิดขึ้นว่าในตอนแรกฉันเป็นผู้ดูแลระบบของ FreeBSD และเซิร์ฟเวอร์ NetWare จำนวนมากที่เริ่มต้นจากเวอร์ชัน 4.11 และในสมัยโบราณนั้น NetWare ใช้ Bindery ในการทำงานซึ่งเป็นเพียงชื่อ สคีมาโดเมนระดับเดียวซึ่งภายหลังถูกยึดครองโดยไมโครซอฟต์

ปฏิบัติที่ดีที่สุด

ถึงเวลาสรุปแล้ว ใช้ชื่อโดเมนอะไร โดเมนระดับที่สามในโดเมนที่คุณเป็นเจ้าของเท่านั้น. อย่าใช้ชื่อโดเมนที่สวยงามกว่าของคนอื่น :-) คุณสามารถดูตัวอย่างโดเมนดังกล่าวได้ด้านล่าง