Рекомендации по внедрению Active Directory для улучшения UX и снижения затрат

Опубликовано: 18 Марта, 2023
Рекомендации по внедрению Active Directory для улучшения UX и снижения затрат

Active Directory — одна из самых важных служб в вашей сети Windows, которая необходима для большинства продуктов Microsoft, таких как Exchange, Skype для бизнеса, System Center и других связанных служб.

В Active Directory есть несколько компонентов, которые стоит изучить, поэтому давайте рассмотрим некоторые из этих компонентов и дадим некоторые рекомендации о том, как простые изменения могут улучшить работу администратора. В то же время эти изменения снизят эксплуатационные расходы на обслуживание Active Directory за счет обеспечения согласованности между всеми серверами в одном домене.

Мы будем работать над некоторыми настройками и функциями, которые по умолчанию не настроены. Мы рассмотрим следующие сервисы и компоненты:

  • DNS
  • Время Windows
  • Режим восстановления служб каталогов
  • Групповые политики
  • Корзина
  • Анализатор передового опыта

Управление DNS

DNS является основной службой Active Directory и требует особого внимания со стороны сетевого администратора. Лучше всего убедиться, что все ваши конечные устройства (рабочие станции, мобильные устройства, ноутбуки, сетевые устройства и т. д.) используют локальные контроллеры домена в своей конфигурации DNS-клиента (на уровне адаптера).

Контроллеры домена отвечают за разрешение имен в Интернете для клиентов. Есть несколько способов настроить их, чтобы помочь в разрешении DNS, и они заключаются в следующем:

  • Используйте корневые подсказки Интернета, и контроллеры домена будут кэшировать запросы и нести ответственность за все рекурсивные запросы.
  • Используйте преобразователи DNS в Интернете, чтобы ускорить разрешение имен. Это может быть Google DNS (8.8.8.8 или 8.8.4.4) или даже DNS-резольверы вашего интернет-провайдера.
  • Используйте платные резолверы DNS, которые могут помочь с точки зрения безопасности (например, они не позволяют клиентам переходить на подозрительные сайты).

Любой метод требует, чтобы администратор настроил вкладку в свойствах сервера при использовании диспетчера DNS на новых контроллерах домена. По умолчанию все новые контроллеры домена будут иметь еще один контроллер домена, добавленный на вкладку .

Если вы используете корневые ссылки, просто удалите все перечисленные записи, а если вы хотите использовать Google DNS или платные преобразователи DNS, добавьте их в список.

Управление временем Windows

Active Directory зависит от времени, и все клиенты, серверы и контроллеры домена должны синхронизировать свое время с точностью до секунды. Рекомендуется использовать физический контроллер домена, расположенный на основном сайте домена/леса, для синхронизации его часов с атомными часами в Интернете по протоколу NTP, и этот сервер должен выполнять роль PDC (первичный контроллер домена).

Перед применением приведенных ниже изменений обязательно поговорите с администратором брандмауэра и откройте порт 123 (TCP/UDP) от контроллера домена к Интернету.

Первым шагом является создание организационной единицы (OU) под контроллерами домена и перемещение контроллера домена, который будет выполнять роль PDC FSMO (Flexible Single Master Operation). На изображении ниже показано новое подразделение PDC для управления временем Windows до роли эмулятора PDC.

Второй шаг — создать групповую политику («Конфигурация компьютера» > «Политики» > «Административные шаблоны» > «Система» > «Служба времени Windows» > «Поставщики времени») и настроить параметры, как показано на изображении ниже. В этой статье мы используем NTP-сервер в Канаде (time.nrc.ca), но ищите подходящий NTP-сервер в вашей стране/регионе.

Хороший способ протестировать после применения групповой политики на контроллере домена, принадлежащем организационной единице PDC, — использовать w32tm /query /status. Ожидаемый результат — увидеть NTP-сервер, указанный в строке «Источник:», как показано на рисунке ниже.

Управление паролем режима восстановления служб каталогов (DSRM)

В процессе развертывания контроллера домена администратор должен вручную определить пароль DSRM. Тем не менее, мы хотим сохранить согласованность, и это становится ключевым, когда у вас есть несколько сайтов повсюду. Кроме того, вы не хотите делиться этим паролем с другими членами команды, когда развертывание децентрализовано.

Хороший способ добиться этого — создать учетную запись в Active Directory и задать надежный пароль. В нашем сценарии мы создадим одну учетную запись с именем svc.dsrm. Это простая учетная запись без какой-либо специальной настройки.

Чтобы сохранить согласованность и в то же время сохранить пароль безопасным, для каждого нового контроллера домена в вашей среде добавьте следующие шаги, и у вас будет согласованный пароль на всех контроллерах домена.

Примечание. Если вы хотите позже изменить пароль DSRM, правильный метод — изменить пароль учетной записи Active Directory и снова выполнить ту же процедуру на всех серверах.

Нтдсутил
Установить пароль дсрм
Синхронизация из доменной учетной записи svc.dsrm

Управление групповыми политиками

С помощью групповых политик администратор может централизованно управлять параметрами пользователей и компьютерных объектов в Active Directory.

По умолчанию все определения политик (все параметры, доступные при использовании редактора управления групповыми политиками, поступают из файлов ADMX) расположены на локальном компьютере, что означает, что согласованность не является правилом, особенно если администратор добавляет новые файлы ADMX на любой заданный компьютер. контроллер домена.

Когда мы редактируем любую групповую политику и расширяем Административные шаблоны, сообщит вам, откуда берутся настройки. На изображении ниже мы видим, что это происходит с локального компьютера.

Чтобы обеспечить согласованность между всеми контроллерами домена, мы можем настроить центральный репозиторий, который будет автоматически реплицироваться в домене Active Directory. Процесс прост. Первый шаг — создать папку с именем PolicyDefinitions в папке \patricio.caSYSVOLpatricio.caPolicies (замените patricio.ca на ваше доменное имя), как показано на рисунке ниже.

Последним шагом является копирование локальных файлов (C:WindowsPolicyDefinitions) с контроллера домена в новое место. С этого момента у администратора есть только папка PolicyDefinitions для управления обновлениями, а новые файлы ADMX будут автоматически доступны на всех контроллерах домена.

Чтобы подтвердить изменение, закройте все экземпляры редактора управления групповыми политиками, а затем отредактируйте любую существующую групповую политику. В это время, когда расширяются, сообщение должно представлять собой определения политик (файлы ADMX), извлеченные из центрального хранилища.

Управление корзиной

По умолчанию функция корзины отключена в новых средах Active Directory, и для нее требуется как минимум функциональный уровень леса Windows Server 2008 R2. Однако функция корзины очень помогает, поскольку администратор может восстанавливать пользователей и членство в группах, а также имеет чрезвычайно простой в использовании графический пользовательский интерфейс.

Чтобы включить эту функцию, откройте Центр администрирования Active Directory, выберите домен слева и нажмите «Включить корзину». Появится диалоговое окно подтверждения. Подтвердите, нажав OK, после чего появится другое диалоговое окно с запросом на обновление; нажмите ОК.

После выполнения обновления в Центре администрирования Active Directory станет доступен новый контейнер под названием «Удаленные объекты». Нажмите на нее, и все удаленные объекты будут доступны (однако обратите внимание, что по умолчанию существует мягкое ограничение в 20 000 объектов). Процесс выполнения восстановления прост. Просто щелкните правой кнопкой мыши нужный объект и нажмите «Восстановить».

Анализатор передового опыта (BPA)

Анализатор соответствия рекомендациям давно существует во вселенной Exchange, он был представлен в Active Directory в выпуске Windows Server 2008 и остался в Windows Server 2012 R2.

Чтобы проверить свою среду, откройте Диспетчер серверов, щелкните AD DS (элемент 1) и прокрутите вниз до раздела (элемент 2), щелкните Задачи (элемент 3), а затем Запустите сканирование BPA и подождите, пока процесс завершить. Результаты для Active Directory будут перечислены в том же разделе (пункт 4).

Так как вам офигенная конфигурация Windows Active Directory? Мы тоже так думали. Внеся незначительные изменения, мы работали над несколькими компонентами Active Directory, которые сохранят согласованность между несколькими контроллерами домена и в то же время уменьшат сложность при управлении контроллерами домена Active Directory.