Чем рабочие группы отличаются от доменов
Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.
Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.
Рабочие группы использовались для общего доступа к домашним файлам и принтерам в предыдущих версиях Windows. Теперь вы можете использовать домашнюю группу чтобы легко обмениваться файлами и принтерами между домашними ПК. Рабочие группы теперь переведены в фоновый режим, поэтому вам не нужно о них беспокоиться — просто оставьте имя рабочей группы по умолчанию WORKGROUP и настройте общий доступ к файлам домашней группы.
Есть несколько различий между доменами и рабочими группами:
- В доменах, в отличие от рабочих групп, могут размещаться компьютеры из разных локальных сетей.
- Домены могут использоваться для размещения гораздо большего числа компьютеров, чем рабочие группы. Домены могут включать тысячи компьютеров, в отличие от рабочих групп, у которых обычно есть верхний предел, близкий к 20.
- В доменах имеется по крайней мере один сервер — это компьютер, который используется для управления разрешениями и функциями безопасности для каждого компьютера в домене. В рабочих группах нет сервера, и все компьютеры равноправны.
- Пользователям домена обычно требуются идентификаторы безопасности, такие как логины и пароли, в отличие от рабочих групп.
Корзина Active Directory: рекомендации по использованию +12
- 20.03.17 08:36
•
polarowl
•
#324246
•
Хабрахабр
•
Перевод
•
•
4300
Виртуализация, Резервное копирование, Серверное администрирование, Восстановление данных, Блог компании «Veeam Software»
Рекомендация: подборка платных и бесплатных курсов создания сайтов — https://katalog-kursov.ru/
Продолжаем публиковать серию статей, посвященных восстановлению объектов Active Directory и применяемым для этого инструментам.
В предыдущей статье мы разбирали случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен функциональный режим работы леса Windows Server 2003 или Windows Server 2008. Как вы помните, мы подробно рассмотрели шаги, необходимые для восстановления tombstone-объектов с помощью утилиты LDP и инструмента Veeam Explorer для Microsoft Active Directory.
Сегодня перейдем к более современным системам, которые позволяют использовать функцию корзины Active Directory. За подробностями прошу под кат.
Как работает корзина Active Directory
Сразу после удаления объект перемещается в контейнер удаленных объектов, где он и находится до окончания времени существования удаленного объекта (по умолчанию это время равняется времени существования recycled-объекта)
Важно! Все связанные и несвязанные атрибуты объекта сохраняются в системе в течение того же времени. Это означает, что в течение указанного периода объект можно восстановить вместе со всеми атрибутами.
После окончания времени существования объекта система меняет его состояние на recycled и сбрасывает большинство атрибутов
Объект становится аналогичен удаленному (tombstone) в Windows Server 2003 и Windows Server 2008. Единственная разница заключается в том, что теперь его невозможно восстановить.
По истечении времени существования recycled-объекта (по умолчанию 180 дней) его автоматически удаляет сборщик мусора.
Включение корзины Active Directory
Полезно: виртуальной лаборатории Veeam
- При включении корзины Active Directory все tombstone-объекты превратятся в recycled-объекты, и восстановить их после этого будет уже невозможно.
- Восстановление нескольких зависимых объектов может вызвать затруднения, поскольку его необходимо выполнять в строго определенном порядке, начиная с верхних уровней иерархии.
- В Windows Server 2008 R2 все операции с корзиной выполняются с помощью командлетов PowerShell. В Windows Server 2012 все действия с корзиной можно выполнить через пользовательский интерфейс, используя Центр администрирования Active Directory (ADAC).
- Корзина не имеет ничего общего с бэкапом Active Directory и не позволит восстановить контроллер домена целиком, если он поврежден.
Типы утверждений
AD FS в Windows Server 2012 R2 предоставляет сведения о контексте запроса, используя следующие типы утверждений:
X-MS-Forwarded-Client-IP
Тип утверждения:
это утверждение AD FS представляет собой «лучшую попытку» при поиске IP-адреса пользователя (например, Outlook клиента), выполняющего запрос. Это утверждение может содержать несколько IP-адресов, включая адрес каждого прокси-сервера, который перенаправлял запрос. Это утверждение заполняется по протоколу HTTP. Значение утверждения может быть одним из следующих:
Один IP-адрес — IP-адрес клиента, подключенного непосредственно к Exchange Online
Примечание
IP-адрес клиента в корпоративной сети будет отображаться как IP-адрес внешнего интерфейса исходящего прокси-сервера или шлюза Организации.
-
Один или несколько IP-адресов
-
если Exchange Online не может определить IP-адрес подключающегося клиента, он установит значение на основе значения заголовка x-forwardd-for, нестандартного заголовка, который может быть включен в HTTP-запросы и поддерживается многими клиентами, подсистемами балансировки нагрузки и прокси на рынке.
-
Если IP-адрес клиента и адрес каждого прокси-сервера, который продавал запрос, будут разделяться запятыми, будет использоваться несколько IP-адресов.
-
Примечание
IP-адреса, связанные с инфраструктурой Exchange Online, не будут присутствовать в списке.
Предупреждение
Exchange Online в настоящее время поддерживает только IPV4-адреса; Он не поддерживает IPV6-адреса.
X-MS-Client-Application
Тип утверждения:
Это утверждение AD FS представляет протокол, используемый конечным клиентом, который неплотно соответствует используемому приложению. это утверждение заполняется из заголовка HTTP, который в настоящее время задается только Exchange Online, который заполняет заголовок при передаче запроса на проверку подлинности AD FS. В зависимости от приложения значение этого утверждения будет одним из следующих:
-
в случае с устройствами, использующими Exchange Active Sync, значение равно Microsoft. Exchange. Программ.
-
использование клиента Microsoft Outlook может привести к любому из следующих значений:
-
NNTP. Exchange. Ошибоч
-
NNTP. Exchange. оффлинеаддрессбук
-
NNTP. Exchange. Рпкмикрософт. Exchange. WebServices
-
NNTP. Exchange. Рпкмикрософт. Exchange. WebServices
-
-
К другим возможным значениям этого заголовка относятся следующие.
-
NNTP. Exchange. Оболочк
-
NNTP. Exchange. SMTP-
-
NNTP. Exchange. Рор
-
NNTP. Exchange. Ошибоч
-
X-MS-Client-User-Agent
Тип утверждения:
Это утверждение AD FS предоставляет строку для представления типа устройства, который используется клиентом для доступа к службе. Это можно использовать, когда клиенты хотели бы запретить доступ к определенным устройствам (например, к определенным типам смартфонов). Примеры значений для этого утверждения: (но не ограничиваются ими) значениями ниже.
Ниже приведены примеры того, что может содержать значение x-MS-User-Agent для клиента, x-MS-Client-Application — Microsoft. Exchange. Программ
-
Вортекс/1.0
-
Apple-iPad1C1/812.1
-
Apple-iPhone3C1/811.2
-
Apple-iPhone/704,11
-
Мото-DROID2/4.5.1
-
SAMSUNGSPHD700/100.202
-
Android/0,3
Также возможно, что это значение пустое.
X-MS-Proxy
Тип утверждения:
Это утверждение AD FS указывает, что запрос прошел через прокси веб-приложения. Это утверждение заполняется прокси-службой, которая заполняет заголовок при передаче запроса на проверку подлинности в служба федерации серверной части. AD FS преобразует его в утверждение.
Значение утверждения — это DNS-имя прокси-сервера, который передал запрос.
инсидекорпоратенетворк
Тип утверждения:
Аналогично приведенному выше типу утверждения x-MS-Proxy этот тип утверждения указывает, прошел ли запрос через прокси веб-приложения. В отличие от x-MS-Proxy, инсидекорпоратенетворк — это логическое значение со значением true, которое указывает на запрос непосредственно к службе Федерации в корпоративной сети.
X-MS-Endpoint-абсолютный путь (Активный vs passive)
Тип утверждения:
Этот тип утверждения можно использовать для определения запросов, исходящих от «активных» (насыщенных) клиентов, а также от «пассивных» (на основе веб-браузеров). это позволяет выполнять внешние запросы из приложений на основе браузера, таких как Outlook Веб-доступ, SharePoint в сети или Office 365 портал, чтобы разрешить запросы, поступающие от многофункциональных клиентов, таких как Microsoft Outlook, заблокированы.
Значение утверждения — это имя службы AD FS, которая получила запрос.
Я всё прочитал и поменял все параметры. Что теперь?
Теперь, если всё продолжает работать, можно измерить производительность того, что мы наделали. Не наоборот. Т.е. после тюнинга LDAP-политик в первую очередь всё должно продолжить функционировать, а во вторую – улучшить какие-либо характеристики.
Надеюсь, что данный материал поможет Вам эффективнее работать с инфраструктурой на базе Active Directory, а также покажет, что в данном сервисе есть достаточно много такого, что гораздо интереснее, чем унылые инструкции про “Next->Next->Finish->вроде-кое-как-заработало”.
Техники атаки и защиты LDAP-хранилищ достаточно оригинальны и разнообразны (например, неавторизованный пользователь может заказать априори огромный по количеству результатов запрос, притом запросить, чтобы он (результат запроса) ещё и был отсортирован по неиндексированному атрибуту), поэтому грамотный инженер должен хорошо понимать возможности Active Directory по тюнингу такого функционала.
Удач!
Нововведения в службах сертификации Active Directory
Я полагаю, что не стоит объяснять, для чего необходима служба сертификации Active Directory, которая позволяет создавать центр сертификации для выдачи цифровых сертификатов, привязывающих объект идентификации пользователя, службы или устройства к соответствующему частному ключу. В службах сертификации Active Directory операционной системы Windows Server 2008 R2 изменений не много. В новой версии службы сертификации появились веб-служба регистрации сертификатов и веб-служба политик регистрации сертификатов, разрешающих основанную на политике регистрацию сертификатов, используя протокол HTTP. Так как развертывание такой службы значительно повышает угрозу атак, целесообразно использовать данную службу для принятия только обновленных запросов, подписанных существующими сертификатами. Те администраторы, которые работали со службой сертификации, знают, что в Windows Server 2008 не было возможности выдавать сертификаты членам разных лесов и, соответственно, каждый лес должен был иметь свою инфраструктуру PKI. Теперь, в службах сертификации Windows Server 2008 R2 при помощи дополнительной поддержке ссылок LDAP вы можете выдавать сертификаты в лесах, между которыми есть доверительные соглашения. И последнее, что было изменено в данной серверной роли – была улучшена поддержка центров массовой сертификации.
4 Steps total
Step 1: Enabling Recycle Bin (Windows Server 2008R2)
To enable recycle bin:
— Open Powershell on the PDC (Primary Domain Controller). To confirm which server is the primary DC, run the below command:
Get-ADForest | fl
— Make sure that the server you are using is the SchemaMaster or else the command will not work. Check that the ForestMode shows up as Windows2008R2Forest. If not, run Import-Module ActiveDirectory, then run following command:
Set-ADForestMode –Identity contoso.com -ForestMode Windows2008R2Forest
(contoso.com needs to be replaced with your domain name)
— Or else enable it using Active Directory Domains and Trusts by right-clicking on the top level item and selecting Raise forest functional level. Please note that this option needs replication if one or more DCs exist, therefore running the PowerShell command yields faster results.
— Once enabled run the following command in PowerShell:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’
(contoso.com needs to be replaced with your domain name)
By default, the deleted object lifetime and tombstone lifetime in AD are set to 60 days (hardcoded in the system). If this is not enough, you can modify the value by running the below commands (below example sets them to 1 year):
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“tombstoneLifetime” = 365}
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 365}
(contoso.com needs to be replaced with your domain name)
Step 2: How to restore an object (Windows Server 2008/2008R2)
First, search for the object using one of the following commands using PowerShell. Don’t forget to run the command:
Import-Module ActiveDirectory
Search for all objects:
get-adobject -filter ‘IsDeleted -eq $True’ -IncludeDeletedObjects -properties IsDeleted,LastKnownParent | Format-List Name,IsDeleted,LastKnownParent,DistinguishedName
Search for a particular user:
Get-ADObject -Filter {displayName -eq «John Doe»} -IncludeDeletedObjects
(where John Doe is the display name of the user)
Once the user or object is found, restore it using the following command:
Get-ADObject -Filter {displayName -eq «John Doe»} -IncludeDeletedObjects | Restore-ADObject
This will restore it to its last OU location
Step 3: Enabling Recycle Bin (Windows Server 2012/2012R2/2016)
It is much easier to enable and use Active Directory Recycle Bin in Windows Server 2012 (or higher). First confirm that the forest functional level is at least Windows2008R2Forest by following the previous steps. Once completed:
— Open Active Directory Administrative Center
— Right-click on the domain name and select Enable Active Directory Recycle Bin
— Being that this option changes the collection structure for AD, a prompt will show that this action is irreversible. Press Ok
— Wait for the change to apply
— Done
Install Active Directory on Windows Server 2012
Last updated on: 2018-09-27
Authored by: Rackspace Support
This article walks you through the process of setting up the Active
Directory role on a Microsoft Windows Server 2012 server.
This article is intended for users who don’t have existing Active Directory
forests. It does not cover how to configure a server to act as a domain
controller for an existing Active Directory forest.
Note: For information about setting up the Active Directory Domain
Services (AD DS) role on Microsoft Windows Server 2008 R2 Enterprise 64-bit
(W2K8), see Install Active Directory Domain Services on Windows Server 2008
R2 Enterprise
64-bit.
Install Active Directory
Use the following steps to install Active Directory on the server:
-
Open the Server Manager from the task bar.
-
From the Server Manager dashboard, select Add roles and features.
The Roles and Features Wizard launches. This wizard enables you to
make modifications to the Windows Server 2012 instance. -
On the Installation Type screen, select Role-based or
features-based and click Next.Note: Roles represent the major feature sets of the server, such as
Internet Information Services (IIS). Features provide additional
functionality for a given role. -
By default, the current server is selected. Click Next.
-
On the Server Roles screen, select the check box next to Active
Directory Domain Services.A notice displays that explains that you must also install additional
roles, services, or features in order to install Domain Services. These
additional capabilities include certificate services, federation services,
lightweight directory services, and rights management.To select additional capabilities, click Add Features.
-
On the Select features screen, select the check boxes next to the
features that you want to install during the AD DS installation process and
click Next. -
Review the information on the AD DS tab, then click Next.
-
Review the information on the Confirm installation selections screen,
then click Install.Note: Information on the progress of the installation displays.
After the installation is complete, the AD DS role displays on the Server
Manager landing page.
Start the remote registry service
Before you can promote the server to domain controller, you must start the
remote registry service by using the following steps:
-
Click Start > Control Panel.
-
Under Services, right-click Remote Registry and open the
Properties menu. -
From the Startup type: drop-down menu, select Automatic.
-
Under Service Status, select Start.
The remote registry service starts.
Configure Active Directory
After you have installed the AD DS role, you must configure the server
for your domain by using the following steps:
-
From the task bar, click Open the Server Manager.
-
Select the yellow notifications icon in the top navigation bar of the
Server Manager window.The Notifications Pane opens and displays a Post-deployment
Configuration notification. Click the Promote this server to a domain
controller link that appears in the notification. -
From the Deployment Configuration tab, select Radial options > Add a
new forest. Enter your root domain name in the Root domain name field
and click Next. -
Select a Domain and a Forest functional level.
Note: These selections affect features and server domain controller
eligibility. For further information on domains and forest functional
levels, see the official Microsoft documentation.Enter a password for Directory Services Restore Mode (DSRM) in the
Password field.Note: The DSRM password is used when booting the Domain Controller
into recovery mode. -
Review the warning on the DNS Options tab and select Next.
-
Confirm or enter a NetBIOS name and click Next.
-
Specify the locations of the Database, Log files, and SYSVOL
folders, then click Next. -
Review the configuration options and click Next.
-
The system checks if all of the necessary prerequisites are installed on
the system. If the system passes these checks, click Install.Note: The server automatically reboots after the installation is
complete. -
After the server reboots, reconnect to it by using Microsoft Remote Desktop
Protocol (RDP).
Восстановление удаленных объектов Active Directory из корзины
Давайте продемонстрируем, как работает технология корзины Active Directory. Попробуем удалить из AD нескольких пользователей домена, потом попробуем их восстановить. Давайте выберем несколько пользователей в тестовой организационной единице и удалим их.
Затем в консоли ADAC перейдите к ранее созданным удаленным объектам OU и в нем должны появиться все удаленные нами пользователи. Выберите все объекты, которые необходимо восстановить, и на правой панели нажмите кнопку «Восстановить». Если вам нужно восстановить объекты в подразделении, отличном от того, из которого они были удалены, используйте кнопку «Восстановить в.
Затем вы можете убедиться, что все удаленные элементы отображаются в исходном контейнере.
Не все атрибуты удаленного объекта отображаются через графический интерфейс (только имя удаленного объекта, последний известный родительский элемент и GUID). Если вам нужна более полная информация об элементе, вам необходимо сначала восстановить его, а если окажется, что это не тот элемент, удалите его. В качестве опции для выбора элементов с определенными параметрами можно использовать фильтры. Например, выбрав фильтр в атрибуте Город и указав Сыктывкар, мы выберем все удаленные объекты, у которых есть этот город в поле Город.
Также стоит отметить, что можно восстанавливать не только отдельные объекты AD, но и целые контейнеры со всеми организационными подразделениями и другими типами объектов внутри них. Для этого вам нужно будет выбрать в корзине как объекты, так и их удаленные основные организационные единицы, а затем нажать кнопку «Восстановить». В то же время удаленные элементы можно выбрать, отсортировав их в корзине покупок с помощью фильтра в столбце При удалении.
Отдельная статья посвящена восстановлению удаленных объектов AD с помощью PowerShell.
Источник изображения: winitpro.ru
Параметры, существующие с Windows Server 2008 R2
Параметр Query Policy – MaxResultSetsPerConn
Что делает
Устанавливает максимальное число хранимых со стороны сервера результатов поисковых запросов клиента. Модифицируем в случае, если у нас очень много параллельных запросов. Фактически, в хостинговых сценариях (например, хостинг Exchange). Кстати, в случае, если Ваш домен был установлен не сразу как Windows 2008 R2, параметр будет равен нулю (что по факту опять-таки превратит его на поддерживающих этот параметр контроллерах в 10).
Что делает
Задаёт минимальное число параллельных запросов для включения режима оптимизации paged-запросов, доступного в NT 6.1. Модифицируем просто – если поставить единицу, тогда режим оптимизации будет инициироваться всегда, и отработка запросов ускорится.
Повышение сервера до контроллера домена
После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:
* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.
В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:
В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:
В окне Параметры DNS нажимаем Далее.
В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:
В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.
Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.
Создаём новую Query Policy
Это достаточно тривиальная задача – откроем ADSI, подцепимся к разделу Configuration, откроем последовательно CN=Services, потом CN=Windows NT, потом CN=Directory Service, потом CN=Query-Policies, и, увидев одинокую политику по умолчанию, создадим новый объект queryPolicy:
Создаём новую LDAP Query Policy для леса Active Directory на базе Windows Server 2016(кликните для увеличения до 740 px на 592 px)Учебный центр Advanced [email protected]://www.atraining.ru/
У объекта надо будет только задать CN – остальные параметры правятся уже просто, редактированием соответствующего атрибута. Так как он один и в начале статьи приведён, дублировать тут не буду.
Установка Distributed File System (DFS) в Windows Server 2008
Аббревиатура DFS расшифровывается как Distributed File System (распределенная файловая система), данная служба реализовывает достаточно важные функции для крупных организаций, распределенных территориально и состоящих из нескольких сетей WAN или сайтов, предоставляя услуги простого хранения, репликации и поиска файлов по всей сети предприятия.
Первое преимущество службы DFS — предоставление единого сетевого пространства имен (Namespace), которое все пользователи сети могут использовать для доступа к общим файлам и папкам, в не зависимости от своего местонахождения.
Вторая важная функция DFS – возможность настройки службы репликации, которая осуществляет синхронизацию папок и файлов по всей организации, предоставляя пользователям доступ к последним и актуальным версиям файлов.
Давайте подробнее рассмотрим эти две функции DFS.
DFS NameSpace – каждое пространство имен (namespace) представляет собой сетевую папку с подпапками внутри нее. Главное преимущество использования такого пространства имен заключается в том, что пользователи могут обращаться к своим общим папкам и файлам через корень пространства имен, не задумываясь, на каком сервер в действительности они хранятся. Т.е. namespace это своеобразная логическая структура, упрощающая доступом к файлам.
DFS Replication – служба репликации DFS позволяет иметь множество синхронизованных копий одного и того же файла или папки. Репликация позволяет внутри каждой подсети или сайта организации иметь копию файлов, например, центрального офиса. Т.е. когда пользователи обращаются к некой общей папке, они попадают не на сам сервер центрального офиса, а на ближайшую реплику DFS, тем самым существенно уменьшая загрузку слабого меж-сайтового канала передачи. И в том случае, если пользователь вносит изменения в любой из файлов, изменения реплицируются по всему пространству DFS, в результате все пользователи сети получают доступ к актуальной и свежей копии файла.
В Windows Server 2008 служба Distributed File System получила ряд усовершенствований, и стала более стабильной, были решены многие проблемы, наблюдающиеся в ранних версиях службы DFS.
Для того, чтобы воспользоваться всеми преимуществами новой DFS на Windows Server 2008, необходимо соблюсти ряд требований: все сервера участники DFS должны быть не ниже Windows Server 2008, и уровень домена AD должен быть не ниже Windows 2008.
В DFS появились следующие изменения:
Access-based Enumeration – пользователям разрешено видеть только те файлы и папки, которые разрешено. По умолчанию данная функция отключена, чтобы включить ее, нужно набрать следующую команду: dfsutil property abde enable \‹namespace_root›
Улучшенные инструменты командной строки – в Windows Server 2008 DFS NameSpaces появилась новая версия утилиты dfsUtil, кроме того, для диагностики и поиска неисправностей в службах DFS можно воспользоваться командой dfsdiag.
Поиск внутри пространства имен DFS– в Windows Server 2008 появилась возможность поиска внутри всего пространство имен DFS по всем файлам и папкам.
Улучшения в службе репликации Replication
Улучшение производительности– значительно улучшена репликация больших и маленьких файлов, синхронизация теперь выполняется быстрее, а нагрузка на сеть меньше.
Улучшена служба обработки неожиданных перезагрузок серверов – в ранних версиях DFS, при неожиданной перезагрузке сервера часто возникало повреждение базы NameSpace или нарушение процесса репликации. В результате запускался длительный процесс ребилда базы и репликации, вызывающий большую нагрузку на сервера и сеть. DFS в Windows Server 2008 выполняется лишь частичный ребилд базы данных в случаях перезагрузки сервера, в результате процесс восстановления выполняется заметно быстрее.
Принудительная репликация– администратор теперь может вручную запустить процесс немедленной репликации, игнорируя настроенное расписание.
Поддержка Read Only Domain Controllers (RODC) – любые изменения на контроллере домена RODC могут быть отменены службой репликации DFS Replication.
Репликация SYSVOL– в Windows Server 2008 репликация Active Directory посредством FRS (File Replication Service) заменена на репликацию DFS.
Отчеты– теперь можно создавать диагностические отчеты о работе DFS