Mahalliy domen nomi.

topshirish

Golovna

Domen nomini tanlash oson emas, lekin hayot shuni ko'rsatadiki, ko'pincha dcpromo-ni ishga tushirgandan so'ng, domen nomi tasodifiy tarzda yaratiladi.
Yaxshi, domen ishlayapti, printerlar ishlayapti, 1C ishga tushmoqda.

Ammo, afsuski, bir qator vaziyatlar mavjud, agar tasodifiy ismni yaratish, agar u siz uchun ishlamasa, u albatta muammoga olib keladi.

Ushbu kichik eslatmadan men sizning domenlaringizni nima deb atash noto'g'ri va nima uchun ekanligini aytib berishga harakat qilaman.

Ma'lumotlar aniq, lekin haqiqiy hayot nomidagi tuzatishlar shunchaki keng tarqalganligini ko'rsatadi.

Domen nomini o'zgartirish tartibiga kelsak, bu sado-maso, hamma narsani boshidan to'g'ri qilish yaxshiroqdir.

Bu kam uchraydigan variant emas, lekin aks holda sertifikatlar bilan bog'liq muammolar bo'lmaydi.

Afsuski, muammolar yuqori nomlardan kelib chiqadi.

Vaziyat tashqi va ichki DNS-serverlar bir-biriga ulanmagan va o'rniga bir xil nomdagi ulanmagan zonalarga xizmat qilganda yuzaga keladi.

Bunday vaziyatda, ichki server mantiqan o'zini zona uchun vakolatli deb hisoblaydi va agar biron bir xost haqida ma'lumot yo'q bo'lsa, vakolatli ravishda e'lon qiladi - YO'Q!

Tashqi manbalardan, oddiy veb-saytlardan olingan parchalar va shuning uchun A tipidagi yozuvlar tashqi DNS serveridagi zonaga qo'shiladi.

Endi, agar ichki mijoz tashqi resursga ruxsat berishga harakat qilsa, uni ichki DNS serveriga (albatta, domen mijoziga) yuborish so'raladi va javob "Bilmayman, bunday narsa yo'q". va siz hazil qila olmaysiz”, shuning uchun Bachit bu zona uchun obro'li serverdir.

Ushbu muammoni hal qilish uchun siz ikkita zonada yangi yozuvlarni ro'yxatdan o'tkazishingiz kerak bo'ladi va bu muqarrar ravishda chalkashlik va qo'shimcha tartibni keltirib chiqaradi.

Agar bu sizni bezovta qilmasa, ichki akkauntlarga korporativ veb-saytga www prefiksisiz kirishga ruxsat berish uchun ushbu stsenariydan foydalanib ko'ring.

Javob oddiy.

Keng doiradagi ismlarning afzalliklari.

Haqiqiy dunyodagi domen veb-sayti kabi, Active Directory domeni corp.site kabi sub-domen sifatida ishlaydi.

Bunday stsenariyda barcha muammolar yo'qoladi.

DNS-ni tashqi DNS-serverdagi sub-domenga topshirish umuman shart emas.

Agar siz pul ishlamoqchi bo'lsangiz, boshqa tomondan nomlar uchun ruxsat olishingiz mumkin.

(Ichki tashqi nomlardan, Internet tashqi nomlaridan)

O'ylamasdan, boshidanoq "yaxshi" xabar bo'lganlar uchun: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx O'qish uchun xayrli oqshom. uning ishi.

1. MCP/MCT Illya Rud

Bu mumkin, ehtimol.

2. Hali ham mumkin.

Ularning aksariyati vikoristlardir.

Men 2000+ kishiga ega tashkilotlarga ega bo'lgan va .local domenidan foydalanadigan ko'p odamlarni bilmayman.

Barcha muammolar AD domeni zarur bo'lganda boshlanadi.

Bir nechta holatlarda domen xizmatlari ma'muri oqim domenining nomini o'zgartirish bilan bog'liq muammoga duch kelishi mumkin.

Sabablari boshqacha bo'lishi mumkin, ammo bunday vaziyat butunlay mumkin.

Ushbu vazifani ahamiyatsiz deb atash mumkin emasligidan qat'i nazar, agar siz ba'zida u bilan shug'ullanishingiz kerak bo'lsa, hamma narsani to'g'ri bajarish muhimdir, chunki boshqa holatda natija juda xavfli bo'lishi mumkin, hatto umuman ishlamaydigan korporativ infratuzilmagacha.

Shuningdek, ushbu maqolada siz ushbu operatsiyani bajarish bo'yicha ilg'or qadamlar, almashish tartibi, shuningdek, domeningizni qanday o'zgartirishingiz mumkinligi haqida bilib olasiz. Avvalo, ehtiyot bo'ling: laboratoriya muhitidan sinov domenini o'zgartirmaguningizcha, bu harakatlarni laboratoriya muhitidan o'zgartirmang.
Ko'raylikchi. Oldindan foyda
Domeningiz nomini o'zgartirishni boshlashdan oldin, quyidagilarni tekshiring: Active Directory o'rmonining funktsional darajasi
. Domenlarni o'chirish yoki nomini o'zgartirish faqat o'rmondagi barcha domenlar kamida Windows Server 2003 operatsion tizimi bilan jihozlangan bo'lsa (nashrda hech qanday cheklovlar yo'q) mumkin.
Bundan tashqari, funktsional daraja kamida Windows Server 2003 darajasiga ko'tarilishi mumkin. Agar siz Windows Server 2000 funktsional darajasini tanlagan bo'lsangiz, keyingi operatsiyani amalga oshirish imkonsiz bo'ladi; Domenni joylashtirish
..

Eng muhimi shundaki, agar sizda Active Directory tarmog'ingizda Microsoft Exchange Server 2003 Service Pack 1 ishlayotgan bo'lsa, u holda domen nomini o'zgartirish hech qanday muammosiz yakunlanadi, hisob menejerining hisob qaydnomasi bundan mustasno, keyin esa domen nomi o'zgartiriladi. jarayon siz Full Exchange Administrator guruhining a'zosisiz.

Barcha asosiy zamonaviy pochta serverlari (jumladan, Exchange Server 2016) domen nomini o'zgartirish operatsiyalariga mos kelmaydi.

Domen nomini o'zgartirish soatiga siz Active Directory o'rmonining konfiguratsiyasi bilan barcha keyingi operatsiyalarni muzlatish uchun javobgar ekanligingizga ham e'tibor bering.

Boshqacha qilib aytganda, domen nomini o'zgartirish operatsiyasi to'liq tugamaguncha o'rmoningiz konfiguratsiyasi o'zgarmasligini ta'minlash sizning javobgarligingizdir (domen nomini o'zgartirish haqida qo'shimcha ma'lumot olish uchun pastga qarang).

Bunday operatsiyalar quyidagilarni o'z ichiga olishi mumkin: Active Directory o'rmonida domenlarni yaratish yoki olib tashlash, qo'shimcha katalogga bo'limlarni yaratish yoki o'chirish, o'rmondagi domenga domen kontrollerlarini qo'shish yoki olib tashlash, o'rnatilgan ishonchlarni yaratish yoki olib tashlash va hokazo. g global katalogdan takrorlanadigan atributlarni qo'shish yoki olib tashlash.

Har qanday voqea sodir bo'lgan taqdirda, Active Directory o'rmonidagi har bir domen boshqaruvchisida tizimning yangi zaxira nusxasini yaratishingizni tavsiya qilaman.

Bir vaqtlar bu xazinaga g'amxo'rlik qilingan, albatta, olib ketilmaydi. Agar sizning infratuzilmangiz eng muhim afzalliklarni qo'llab-quvvatlasa va sizda barcha kerakli zaxiralar mavjud bo'lsa, siz domen nomini o'zgartirish jarayonini boshlashingiz mumkin.» ( Active Directory domenini qayta nomlash jarayoni Domeningiz nomini tekshirish uchun tizim organlari oynasini ochishingiz mumkin. Oldingi rasmda ko'rib turganingizdek, mening domenim "Biopharmaceutic.local" deb nomlangan:» ( Guruch. 1. Active Directory domeni bilan boshlang'ich nomni tekshirish Endi siz domen nomini muvaffaqiyatli o'zgartirgandan so'ng, sizning oddiy serverlaringiz va mijozlaringiz yangi domen nomiga osongina ulanishi uchun "biopharm.local" yangi DNS zonasini yaratishingiz kerak. Kim uchun ochiq ") Active Directory-da zonani saqlash opsiyasi yoqilganligiga ishonch hosil qiling. Kuzatuv zonasining replikatsiya maydoni tomonida sozlamalar uchun tanlangan variantni bekor qiling - "» ( Ushbu domendagi domen kontrollerlarida ishlaydigan barcha DNS serverlari uchun: Biopharmaceutic.local Barcha DNS serverlari uchun ushbu domendagi uy boshqaruvchilariga murojaat qiling: Biopharmaceutic.local ).» ( Hudud nomi tomonida yangi domen nomini (biopharm.local) kiriting va dinamik yangilanish sahifasida “ ni ham tanlang. Kamroq xavfsiz dinamik yangilanishlarga ruxsat bering (Active Directory uchun tavsiyalar)

Faqat xavfsiz dinamik yangilanishlarga ruxsat bering (Active Directory uchun tavsiya etiladi)

), yonoq yuvish uchun yig'iladi. Quyida yangi zona yaratish bosqichlari sonini kamaytirishingiz mumkin: Guruch. 2. Yangi DNS zonasini yaratish і Domen nomini o'zgartirishning keyingi bosqichida ishlab chiqarish liniyasining tavsifi yaratiladi.

Asosan, birinchi operatsiya buyruq qatori yordam dasturini o'z ichiga olgan domen nomini o'zgartirishni o'z ichiga oladi Rendom.

Ushbu yordamchi dastur yordamida o'rmonning oqim tuzilishining matnli tavsifi Domainlist.xml nomli XML faylida yaratiladi. і Ushbu faylda domen katalogining barcha bo'limlari ro'yxati, shuningdek, Active Directorydagi dastur katalogining bo'limlari mavjud. і XML teglari bilan teri bo'limi katalogi domeni va dastur belgilari uchun teri yozuvi

Bundan tashqari, har bir yozuv bo'limning asosiy ob'ektining global noyob ob'ekt identifikatorini (GUID), DNS domeni yoki ilova katalogining nomini va domenning NetBIOS nomini o'z ichiga olgan ma'lumotlarni o'z ichiga oladi.

Bunday faylni yaratish uchun buyruq qatorini oching va buyruqni kiriting " tasodifiy/roʻyxat"

Keyingi rasmda ko'rib turganingizdek, mening barcha yozuvlarim Bopharmga o'zgartirildi:

Guruch. 4. Potentsial o'zgarishlarni ko'rib chiqish Viconn hujum qo'mondonligi paytida ( takrorlash/yuklash

) Rendom yordam dasturi tahrirlangan faylda ko'rsatilgan o'rmonning yangi strukturasini o'rmondagi har bir domen boshqaruvchisida mahalliy va masofadan ishga tushiriladigan katalogni yangilash bo'yicha ko'rsatmalar ketma-ketligiga o'tkazadi.

Ochig'ini aytganda, ushbu bosqichda Active Directory domenini qayta nomlash uchun domen nomlash asosiy konfiguratsiya katalogi bo'limiga o'zgartirishlar kiritiladi. Bundan tashqari, Dclist.xml fayli yaratiladi, u domen nomini o'zgartirish operatsiyasi uchun o'rmondagi domen boshqaruvchisining rivojlanishini tezlashtirish uchun ishlatiladi. Shu bilan bir qatorda, bu vaqtda Rendom yordam dasturi konfiguratsiyangizga o'zgartirishlar kiritilgunga qadar Active Directory o'rmoningizni muzlatib qo'yadi. Ushbu buyruqni bajarish jarayonini quyida ko'rish mumkin: Guruch. 5. Vikonanny buyrug'i qayta ishlash/yuklash

Domen nomini o'zgartirishdan oldin domen kontrollerlarining tayyorligini tekshirish uchun yangi buyruq chiqariladi.

Ushbu bosqichning oxirida siz oldindan tekshirish buyrug'ini ishga tushirishingiz kerak o'rmondagi teri domeni boshqaruvchisi.

Bu o'rmondagi har bir domen kontrolleridagi Active Directory ma'lumotlar bazasi to'g'ri holatda bo'lishini va domeningiz nomini o'zgartirishga imkon beruvchi o'zgartirishlar kiritishga tayyorligini ta'minlash uchun zarur.

Ozhe, jamoaga ro'yxatdan o'ting " takrorlash/tayyorlash. Yangi o'rmonda domen nomini o'zgartirish operatsiyasi tugagandan so'ng, ushbu protsedurani unsizlar orqali o'tkazib yuborishning iloji yo'q, guruh siyosati shunchaki to'g'ri ishlamaydi. Shuni esda tutingki, ushbu buyruq qayta nomlangan domen uchun faqat bir marta bajarilishi mumkin. Ozhe, jamoaga bir marta imzo cheking gpfixup parametrlari bilan/olddns:Biopharmaceutic.local Yangi o'rmonda domen nomini o'zgartirish operatsiyasi tugagandan so'ng, ushbu protsedurani unsizlar orqali o'tkazib yuborishning iloji yo'q, guruh siyosati shunchaki to'g'ri ishlamaydi. Shuni esda tutingki, ushbu buyruq qayta nomlangan domen uchun faqat bir marta bajarilishi mumkin. (siz qayta nomlagan domenning eski nomi)і /newdns:Biofarm.local(qayta nomlangan domenning yangi nomi), keyin esa buyruq

/oldnb:Biofarmatsevtika

/ newb: Biofarm (aniq, domeningizning NETBIOS nomi eski va yangi). Jarayonni quyida ko'rish mumkin: Guruch. 8. Guruh siyosati obyektlarini boshqarish Ikki jamoa bo'sh o'rnini yo'qotdi: jamoa "

qayta ishlash/tozalash

", bu sizga Active Directory o'rtasida eski domen nomlariga yuborilgan barcha xabarlarni, shuningdek " buyrug'ini ko'rish imkonini beradi.

tasodifiy/oxiri

", bu, aslida, Active Directory o'rmonini uning konfiguratsiyasiga o'zgartirishlar kiritish orqali muzlatib qo'yadi.

Ushbu buyruqlarni kiritish jarayonini quyidagi rasmda ko'rish mumkin:

Unix operatsion tizimi o'rnatilgan bo'lsa, domen boshqaruvchisi sifatida Samba 4 xavfsizlik dasturidan foydalanishingiz mumkin.

Ushbu dastur Windows 2003, 2008, 2003 R2 va 2008 R2 kabi boshqa operatsion tizimlarni ham qo'llab-quvvatlaydi.

Operatsion tizimlarning terisi muayyan imkoniyatlar va parametrlarga qarab kengaytirilishi mumkin.

Domen kontrollerlarini kuchaytirish

Domen kontrollerlari kompyuterlar o'sib chiqqan, bir-biriga ulangan va o'zaro bog'langan keng doiradagi tashkilotlar tomonidan qo'llaniladi.

Kontrollerlar katalog ma'lumotlarini saqlaydi va mijozlarning tizimga kirishi va chiqishini nazorat qiladi, shuningdek ular o'rtasidagi o'zaro aloqani boshqaradi.

Domen kontrollerlarini boshqaradigan tashkilotlar kiberxavfsizlik, ma'lumotlarni arxivlashni rejalashtirish, jismoniy xavfsizlik, serverni yangilash va boshqa muhim vazifalarni bajarishini ta'minlashi kerak.

Agar kompaniya yoki tashkilot kichik bo'lsa va faqat bitta domen boshqaruviga ega bo'lsa, yuqori barqarorlik, moslashuvchanlik va tarmoq mavjudligining yuqori darajasini ta'minlash uchun ikkita kontrollerdan foydalanish kifoya.

Ko'p sonli saytlarga bo'lingan saytlarda ularning har biriga bittadan boshqaruvchi o'rnatilgan bo'lib, bu zarur samaradorlik va ishonchlilikka erishish imkonini beradi.

Muhim chekka xizmatlarining ishlashida yuqori ishonchlilikka erishish uchun qo'shimcha domen kontrollerlarini o'rnatish kerak.

Natijada siz o'zingizning ishingizda sezilarli darajada barqarorlik, ishonchlilik va xavfsizlikka erishishingiz mumkin.

Bunday vaziyatda tezlik chegarasi domen kontrollerlari kabi tashkilotlar uchun muhim aktiv va undan ham muhimroq parametrga aylanadi.

Domen boshqaruvchisi to'g'ri ishlashi uchun bir nechta tayyorgarlik bosqichlarini bajarish kerak.

Siz qilishingiz kerak bo'lgan birinchi narsa - server uchun to'g'ri sozlangan bo'lishi mumkin bo'lgan TCP/IP parametrlarini tekshirish.

Sabablari boshqacha bo'lishi mumkin, ammo bunday vaziyat butunlay mumkin.

Boshqacha qilib aytganda, domen nomini o'zgartirish operatsiyasi to'liq tugamaguncha o'rmoningiz konfiguratsiyasi o'zgarmasligini ta'minlash sizning javobgarligingizdir (domen nomini o'zgartirish haqida qo'shimcha ma'lumot olish uchun pastga qarang).

O'rnatilgan DNS nomlarini tekshirish eng muhimi.