Что такое контроллер домена, зачем он нужен и как его создать и удалить

Контроллер домена — это один из важнейших компонентов сети Windows. Он отвечает за хранение и управление информацией об использующих устройства сотрудниках, компьютерах и других сетевых ресурсах, а также за аутентификацию пользователей при входе в сеть. Без контроллеров домена, работающая под управлением Windows Server система не сможет функционировать должным образом, и вы просто не сможете обеспечить безопасный многоуровневый доступ к данным, которые должны быть доступны разным сотрудникам. Поговорим о том, что делает контроллер домена, и каким образом выполнить базовую настройку этой системы.

Определение и назначение

Контроллер домена — понятие, используемое применительно к операционной системе Microsoft Server. Если звучит этот термин, значит, речь идет о серверной операционной системе от Microsoft, потому что это их собственное решение. Так называют сервер, управляющий определенной областью компьютерной сети, которая также называется доменом. Основная задача этого серверного компьютера — отвечать на запросы аутентификации безопасности, такие как вход в систему или запрос тех или иных данных.

Ранее в Microsoft Server можно было сделать несколько контроллеров доменов, которые находились бы в одной сети, при этом один все равно был главным. Обычно его обозначали как «первый» (PDC, Primary Domain Controller), а остальные представляли собой резервные контроллеры (BDC, backup domain controller). Зачем нужны были резервные контроллеры домена? Чтобы перехватить управление на случай поломки основного. Однако с появлением концепции Активной Директории схема с основным и резервным контроллером стала менее востребована.

Сейчас распространен принцип построения сети, при котором несколько контроллеров работают параллельно и распределяют задачи между собой. Он используется в высоконагруженных системах, чтобы обеспечить одновременную авторизацию большого количества пользователей.

Изначально технология создавалась, чтобы упростить настройку доступа к ряду ресурсов и завязать ее на использование комбинации имени пользователя и пароля. Сейчас она реализована с помощью собственно контроллера домена и его служб, включая Active Directory, о которой мы уже писали.

Основные функции и задачи

Базовая роль контроллера домена — обеспечение централизованного управления доступом к сетевым ресурсам.

Перечислим основные типы сетевых ресурсов:

1. Общие папки — это наиболее распространенный тип сетевых ресурсов. Они представляют собой каталоги на диске сервера, к которым могут обращаться пользователи и приложения в сети. Общие папки могут использоваться для хранения файлов, совместного использования данных, печати документов и т.д.
2. Устройства печати, сканирования — это сетевые принтеры, которые подключены к серверу. Пользователи могут подключаться к этим принтерам и печатать документы или получать изображение со сканера из любых компьютеров в сети.
3. Именованные каналы — это сетевые ресурсы, которые предоставляют доступ к программам или функциям, работающим на сервере. Например, именованный канал может использоваться для доступа к веб-серверу или базе данных.

Но обеспечение организации доступности имеющихся сетевых ресурсов — не единственное, зачем нужен контроллер домена. Подобная система может решать следующие задачи:

Можно с уверенностью сказать, что контроллеры домена являются одним из важнейщих компонентов сетей, администрируемых средствами Windows Server. Они обеспечивают простое управление из одной точки, безопасностью и простое разграничение доступа к ресурсам сети.

Реализация контроллера домена

Стандартный способ реализации контроллера домена — установка специализированных ролей и компонентов на ОС Windows Server, установленную на отдельный компьютер или виртуальную машину. После чего в серверной операционной системе настраиваются службы Active Directory и производится одновременное создание контроллера домена. Однако сейчас существуют КД, работающие на виртуальной машине и в облаке. Такой подход обеспечивает возможность предоставлять использование КД в виде сервиса.

Как добавить и настроить контроллер домена

Для добавления контроллера домена необходимо использовать сервер с установленной операционной системой Windows Server. Перед началом установки убедитесь, что сервер соответствует системным требованиям для установки Active Directory. А именно:

1. 1,4 ГГц 64-разрядный процессор с поддержкой набора инструкций для архитектуры x64;
2. 2 ГБ ОЗУ;
3. 32 ГБ места на жестком диске;
4. современный сетевой адаптер.

Эти требования для компьютера, который будет контроллером домена, являются минимальными и могут быть увеличены в зависимости от потребностей организации. Например, если в организации планируется хранить большое количество данных в Active Directory, может потребоваться увеличить количество ОЗУ и дискового пространства. Кроме того, разные версии Windows Server предполагают различные минимальные требования. Изучите рекомендации разработчиков ОС для той версии, которую вы приобрели.

Настройка Active Directory

Прежде чем создавать КД, необходимо настроить функции Active Directory. Для этого в установленной операционной системе откройте утилиту «Диспетчер серверов» (обычно она запускается автоматически, но, если нет, то найдите ее в меню пуск) и на первой вкладке нажмите строчку «Добавить роли и компоненты».

Ссылка добавления ролей и компонентов в панели мониторинга

Настройки при добавлении:

• тип установки — добавление ролей и компонентов;
• выбор сервера — из пула серверов тот, на котором вы сейчас работаете;
• роли сервера — доменные службы, все компоненты из всплывающего окна добавить.

Больше настройки не требуются, просто установите AD и подождите, пока установка не будет завершена.

Выбор контроллера домена

После установки Active Directory у вас должен появиться новый пункт в Панели мониторинга — AD DS. Он находится слева сбоку. Переключитесь на него. Обратите внимание, что все дальнейшие действия вы должны выполнять исключительно

Раздел AD DS, который появляется после настройки ролей

Вверху на вкладке видно оповещение с флажком. Нажмите на него и выберите ссылку «Повысить роль этого сервера до уровня контроллера». Здесь на первой вкладке есть три варианта:

• добавить КД в существующий лес;
• добавить новый домен в существующий лес;
• добавить новый лес.

Оповещение, где находится ссылка для повышения сервера до уровня КД

Как узнать, куда добавлять контроллер домена? Если вы еще не создавали лес, то нужно выбрать последний пункт и ввести в поле имя корневого домена. Имя домена должно иметь минимум два компонента, написанных через точку, например, «company.com». Второй вариант вообще не назначает контроллера, он добавляет только домен в лес. Первый предполагает добавление еще одного КД в уже имеющуюся структуру.

После ввода имени переключитесь на следующую вкладку и введите пароль для восстановления служб каталогов, а после — удобное имя NetBIOS. В разделе «Пути» введите пути до базы данных. В итоге, оказавшись на вкладке проверки предварительных требований, вы должны их пройти. Если что-то в настройках указано некорректно, появится ошибка и придется вносить информацию снова. Если же проверка пройдена, то вы сможете установить контроллер домена.

Одно из окон настройки конфигурации будущего КД

Удаление контроллера домена

Несмотря на то, что у КД в разделе AD DS есть возможность принудительно удалить устройство через пункт Delete в контекстном меню, использовать его для стандартного удаления контроллера домена нельзя. Это действие применяется только к вышедшим из строя устройствам, которые вы не планируете восстанавливать. 

Правильный алгоритм удаления следующий:

1. убедитесь, что на КД не запущены никакие роли (DHCP, FSMO), если они запущены, перенесите их на другие сервера;
2. убедитесь, что КД не будет выдавать клиентам IP-адреса. Проверьте и автоматическую выдачу, и настроенные вручную клиенты. Дождитесь окончания времени аренды IP, чтобы все клиенты точно получили новые настройки DNS;
3. мигрируйте на другой сервер центр сертификации, а также проверьте зависимости, которые могут вызвать проблемы.

Далее нужно в разделе «Создать роли и компоненты» запустить мастера удаления компонентов (ссылка находится на первой странице) и там снять флажок напротив роли Active Directory. Так вы сможете отключить контроллер домена и перевести сервер из режима КД в обычный. После отключения необходимо убедиться, что все мета-данные удалены и проверить статус сервера.

Процесс удаления контроллера домена

Многие действия с контроллером домена производятся с помощью специальных команд в консоли или PowerShell. Например, команда Uninstall-ADDSDomainController позволяет понизить КД в роли и удалить его. Однако для управления сервером через консоль может быть довольно сложной задачей для новичка. Рекомендуем предварительно тщательно изучить справку и документацию для вашей версии Windows Server.

Заключение

Контроллер домена — это важный компонент любой сети Windows. Он обеспечивает централизованное управление пользователями, безопасностью и ресурсами сети. Однако настройка и управление контроллером домена требует определенных знаний и навыков. Некорректные значения могут привести к тому, что вся система будет работать медленно, а данные окажутся недостаточно защищены.

Если вы не уверены в своих силах, лучше обратиться за помощью к специалистам. Компания «Роксис» предлагает услуги по настройке и обслуживанию контроллеров домена. Опытные специалисты нашей фирмы помогут вам настроить контроллер домена в соответствии с вашими потребностями и обеспечить его надежную работу. Мы выстроим локальную сеть в вашей компании с нуля и выполним все необходимые настройки. Нужны подробности? Позвоните нам, чтобы обсудить детали!