Преимущества Active Directory
Плюсы Active Directory следующие:
- Использование одного ресурса для аутентификации. При таком раскладе вам нужно на каждом ПК добавить все учётные записи, требующие доступ к общей информации. Чем больше юзеров и техники, тем сложнее синхронизировать между ними эти данные.
Далее, чтобы изменить пароль на одной учётной записи, для этого необходимо менять его на остальных ПК и серверах. Логично, что при большем количестве пользователей требуется более продуманное решение.
И вот, при использовании служб с базой данных учётные записи хранятся в одной точке, а изменения вступают в силу сразу же на всех компьютерах.
Как это работает? Каждый сотрудник, приходя в офис, запускает систему и выполняет вход в свою учётную запись. Запрос на вход будет автоматически подаваться к серверу, и аутентификация будет происходить через него.
Что касается определённого порядка в ведении записей, вы всегда можете поделить юзеров на группы — «Отдел кадров» или «Бухгалтерия».
Ещё проще в таком случае предоставлять доступ к информации — если нужно открыть папку для работников из одного отдела, вы делаете это через базу данных. Они вместе получают доступ к требуемой папке с данными, при этом для остальных документы так и остаются закрытыми.
- Контроль над каждым участником базы данных.
Если в локальной группе каждый участник независим, его трудно контролировать с другого компьютера, то в доменах можно установить определённые правила, соответствующие политике компании.
Вы как системный администратор можете задать настройки доступа и параметры безопасности, а после применить их для каждой группы пользователей. Естественно, в зависимости от иерархии, одним группам можно определить более жёсткие настройки, другим предоставить доступ к иным файлам и действиям в системе.
Кроме того, когда в компанию попадает новый человек, его компьютер сразу же получит нужный набор настроек, где включены компоненты для работы.
- Универсальность в установке программного обеспечения.
Кстати, о компонентах — при помощи Active Directory вы можете назначать принтеры, устанавливать необходимые программы сразу же всем сотрудникам, задавать параметры конфиденциальности. В общем, создание базы данных позволит существенно оптимизировать работу, следить за безопасностью и объединить юзеров для максимальной эффективности работы.
А если на фирме эксплуатируется отдельная утилита или специальные службы, их можно синхронизировать с доменами и упростить к ним доступ. Каким образом? Если объединить все продукты, использующиеся в компании, сотруднику не нужно будет вводить разные логины и пароли для входа в каждую программу — эти сведения будут общими.
Теперь, когда становятся понятными преимущества и смысл использования Active Directory, давайте рассмотрим процесс установки указанных служб.
Шаг за шагом: Миграция Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2 +10
- 07.04.15 11:44
•
m_berzin
•
#255169
•
Хабрахабр
•
•
7095
Системное администрирование, ИТ-инфраструктура, Блог компании Microsoft
Рекомендация: подборка платных и бесплатных курсов системных администраторов — https://katalog-kursov.ru/
Как вы уже должны знать, поддержка Windows Server 2003 и Windows Server 2003 R2 заканчивается 14 июля 2015 года. Зная это, ИТ профессионалы либо уже провели миграцию, либо этот процесс должен находиться в самом разгаре. В этой статье будут описаны шаги, необходимые для миграции Active Directory Certificate Service с Windows Server 2003 на Windows Server 2012 R2.
Для демонстрации будут использованы следующие установки:
Имя сервера | Операционная система | Роли сервера |
---|---|---|
canitpro-casrv.canitpro.local | Windows Server 2003 R2 Enterprise x86 |
AD CS (Enterprise Certificate Authority ) |
CANITPRO-DC2K12.canitpro.local | Windows Server 2012 R2 x64 |
Шаг 1. Резервная копия конфигурации и базы данных центра сертификации Windows Server 2003
Start – Administrative Tools – Certificate AuthorityAll TasksBack up CA“Certification Authority Backup Wizard”“Next”“Browse”“Next”“Next”“Finish”
Шаг 2. Резервирование параметров реестра центра сертификации
StartRunregeditОКHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc“Configuration”“Export”“Save”
Шаг 3. Удаление службы центра сертификации с Windows Server 2003
Start > Control Panel > Add or Remove Programs“Add/Remove Windows Components”уберите“CertificateServices”“Next”“Finish”
Шаг 4. Установка служб сертификации на Windows Server 2012 R2
Server Manager > Add roles and features“Add roles and features”“Next”“Role-based or Feature-based installation”“Next”“Next”“Next”“Next”Certificate AuthorityCertification Authority Web Enrollment“Next”Certification Authority Web EnrollmentIIS“Next”“Install”
Шаг 5. Настройка AD CS
EnterpriseAdministratorServer Manager > AD CS“More”Configure Active Directory Certification Service…”Enterprise Administrator“Next”Certificate AuthorityCertification Authority Web Enrollment“Next”EnterpriseCAEnterpriseCA“Next”“Root CA”“Next”“Next”“Import”OK“Next”“Next”“Configuration”
Шаг 6. Восстановление зарезервированного CA
Server Manager > Tools > Certification AuthorityAllTasks > RestoreCAОКCertification Authority Restore Wizard“Next”“Next”“Next”“Finish”
Дополнительная информация по статье
Прощай dcpromo, привет Powershell
Из анонсов все уже знают, что утилита dcpromo устарела. Если запустить в командной строке dcpromo, то появится окно с предупреждением, предлагающее вам воспользоваться Диспетчером сервера.
The Active Directory Services installation Wizard is relocated in Server Manager.
Тем не менее, данной командой можно воспользоваться c указанием параметра автоматической настройки — dcpromo /unattend. При работе сервера в режиме Core, предупреждения не будет, а в командной строке появится информация по использованию утилиты dcpromo.
Все эти изменения связаны с тем, что в Windows Server 2012 сделали акцент на администрирование с помощью Powershell.
Службы федерации Active Directory (AD FS)
- Больше не поддерживаются приложения, использующие веб-агенты «в режиме маркеров NT». Эти приложения должны переноситься на платформу Windows Identity Foundation и использовать службу Claims to Windows Token для преобразования имени участника-пользователя из маркера SAML в маркер Windows для использования в приложении.
- Больше не поддерживаются «Группы ресурсов» (описание групп ресурсов см. по адресу http://technet.microsoft.com/library/cc753670(WS.10).aspx)
- Больше не поддерживается возможность использования служб Active Directory облегченного доступа к каталогам (AD LDS) в качестве хранилища результатов проверки подлинности.
- Необходим переход к версии AD FS в Windows Server 2012. Не поддерживается обновление «на месте» с AD FS 1.0 или со «стандартной» версии AD FS 2.0.
Поставщики WMI
Устарел поставщик WMI для Active Directory. Для управления Active Directory рекомендуется использовать командлеты PowerShell.
Настройка Hyper-V Server 2012 R2
Через консоль задаем необходимые настройки:
1. Указываем рабочую группу. Я рассматриваю вариант настройки отдельно стоящего сервера, не входящего в доменную сеть. В домене настройки будут другие.
2. Указываем имя сервера.
3. Создаем дополнительного пользователя. Можно работать от administrator, который создается по-умолчанию, но лучше создать для управления отдельного пользователя. Позже будет понятно, зачем.
4. Включаем удаленное управление.
5. Включаем автоматическое обновление.
6. Скачиваем и инсталлируем обновления.
7. Разрешаем подключаться по rdp всем клиентам, с любой версией протокола.
8. Задаем сетевые настройки.
9. Устанавливаем время и дату.
На этом первоначальная настройка закончена. Пока все понятно и логично.
А вот что делать дальше я не совсем понял. Я работал со всеми современными гипервизорами: xen, esxi, kvm и всегда все было более ли менее понятно, что делать дальше, но не в этом случае.
Пользоваться командной строкой в windows, по-моему мнению, очень неудобно. Команды длинные, неочевидные, настроить гипервизор и создать виртуальные машины через командную строку невероятно долго и нудно. К тому же копи-паст часто глючит, длиннющие команды приходится набирать вручную. Пришлось гуглить, чтобы хотя бы понять, как мне загрузить образ системы на сервер, чтобы хоть как-то начать установку виртуальной машины.
Установка и настройка ADRMS на Windows Server 2012 R2
В этой статье мы покажем как развернуть и задействовать для защиты контента службу Active Directory Right Management Services (ADRMS) на базе Windows Server 2012 R2 в организация масштаба small и middle-size.
В первую очередь кратко напомним о том, что такое служба AD RMS и зачем она нужна. Служба Active Directory Right Management Services – одна из стандартных ролей Windows Server, позволяющая организовать защиту пользовательских данных от несанкционированного использования. Защита информации реализуется за счет шифрования и подписывания документов, причем владелец документа или файла может сам определить, каким пользователям можно открывать, редактировать, распечатывать, пересылать и выполнять другие операции с защищенной информацией. Нужно понимать, что защита документов с помощью ADRMS возможно только в приложениях, разработанных с учетом этой службы (AD RMS-enabled applications). Благодаря AD RMS можно обеспечить защиту конфиденциальных данных как внутри, так и за пределами корпоративной сети.
Несколько важных требования, которые нужно учесть при планировании и развертывании решения AD RMS:
- Желательно использовать выделенный сервер AD RMS. Не рекомендуется совмещать роль AD RMS с ролью контроллера домена, сервера Exchange, SharePoint Server или центра сертификации (CA)
- У пользователей AD должен быть заполнен атрибут email
- На компьютерах пользователей RMS сервер должен быть добавлен в зону доверенных сайтов IE (Trusted Sites). Проще всего это сделать с помощью групповой политики.
Прежде чем приступить непосредственно к развертыванию ADRMS, нужно выполнить ряд подготовительных шагов. В первую очередь необходимо создать в Active Directory отдельную сервисную запись для ADRMS с бессрочным паролем, например с именем svc-adrms (для службы ADRMS можно создать и особую управляемую учетную запись AD — типа gMSA).
В DNS-зоне создадим отдельную ресурсную запись, указывающую на AD RMS сервер. Допустим его имя будет – adrms.
Приступим к установке роли ADRMS на сервере с Windows Server 2012 R2. Откройте консоль Serve Manager и установите роль Active Directory Rights Management Service (здесь все просто – просто соглашайтесь с настройками и зависимостями по-умолчанию).
В мастере настройки выберем, что мы создаем новый корневой кластер AD RMS (Create a new AD RMS root cluster).
В качестве базы данных RMS будем использовать внутреннюю базу данных Windows (Use Windows Internal Database on this server).
Затем укажем созданную ранее сервисную учетную запись (svc-adrms), используемый криптографический алгоритм, метод хранения ключа кластера RMS и его пароль.
Осталось задать веб-адрес кластера AD RMS, к которому будут обращаться RMS-клиенты (рекомендуется использовать защищенное SSL соединение).
Не закрывайте мастер настройки AD RMS!
Сгенерируйте новый сертификат с помощью мастера и привяжите его к серверу IIS.
Вернитесь в окно настройки роли AD RMS и выберите сертификат, который планируется использовать для шифрования трафика AD RMS.
Отметьте, что точку SCP нужно зарегистрировать в AD немедленно (Register the SCP now).
На этом процесс установки роли AD RMS закончен. Завершите текущий сеанс (logoff), и перезалогиньтесь на сервер.
Запустите консоль ADRMS.
Для примера создадим новый шаблон политики RMS. Предположим мы хотим создать шаблон RMS, позволяющий владельцу документа разрешить всем просмотр защищенных этим шаблоном писем без прав редактирования/пересылки. Для этого перейдем в раздел Rights Policy Templates и щелкнем по кнопке Create Distributed Rights Policy Template.
Нажав кнопку Add, добавим языки, поддерживаемые этим шаблоном и имя политики для каждого из языков.
Далее укажем, что все (Anyone) могут просматривать (View) содержимое защищенного автором документа.
Далее укажем, что срок окончания действия политики защиты не ограничен (Never expires).
На следующем шаге укажем, что защищенное содержимое можно просматривать в браузере с помощью расширений IE (Enable users to view protected content using a browser add-on).
Отправим письмо, защищенное RMS, другому пользователю.
Теперь посмотрим как выглядит защищенное письмо в ящике получателя.
Как мы видим, кнопки Ответить и Переслать недоступны, а в информационной панели указан используемый шаблон защиты документа и его владелец.
Итак, в этой статье мы описали, как быстро развернуть и задействовать службу AD RMS в рамках небольшой организации. Отметим, что к планированию развертыванию RMS в компаниях среднего и крупного размера нужно подойти более тщательно, т.к. непродуманная структура этой системы может в будущем вызвать ряд неразрешимых проблем.
Источник
Настройка доменных служб Active Directory
После установки роли, закрыть окно — Close. Теперь необходимо перейти к настройке роли AD.
В окне Server Manager нажать пиктограмму флага с уведомлением и нажать Promote this server to a domain controller (Повысить роль этого сервера до уровня контроллера домена) на плашке Post-deploiment Configuration.
Выбрать Add a new forest (Добавить новый лес), ввести название домена и нажать Далее.
Можете выбрать совместимость режима работы леса и корневого домена. По умолчанию устанавливается Windows Server 2012.
На этой вкладке можно будет отключить роль DNS Server. Но, в нашем случае, галочку оставляем.
Далее ввести пароль для DSRM (Directory Service Restore Mode — режим восстановления службы каталога) и нажимаем Далее.
На следующем шаге мастер предупреждает о том, что делегирование для этого DNS-сервера создано не было (A delegation for this DNS server cannot be created because the authoritative parent zone cannot be found or it does not run Windows DNS server. If you are integrating with an existing DNS infrastructure, you should manually create a delegation to this DNS server in the parent zone to ensure reliable name resolution from outside the domain «ithz.ru». Otherwise, no action is required.).
Нажимаем Next.
На следующем шаге можно изменить NetBIOS имя, которое было присвоено домену. Мы этого делать не будем. Просто нажимаем Далее.
На следующем шаге можно изменить пути к каталогам базы данных AD DS (Active Directory Domain Services – доменная служба Active Directory), файлам журнала, а так же папке SYSVOL. Мы менять ничего не будем. Нажимаем кнопку Далее.
На следующем шаге отображается сводная информация по настройке. Нажав кнопку View Script, можно посмотреть Powershell скрипт, который произведет настройку доменных служб Active Directory.
# Windows PowerShell script for AD DS Deployment
Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath "C:\Windows\NTDS" ` -DomainMode "Win2012" ` -DomainName "ithz.ru" ` -DomainNetbiosName "ITME" ` -ForestMode "Win2012" ` -InstallDns:$true ` -LogPath "C:\Windows\NTDS" ` -NoRebootOnCompletion:$false ` -SysvolPath "C:\Windows\SYSVOL" ` -Force:$true
Убедившись, что все указано верно, нажимаем на кнопку Next.
На следующем шаге производится проверка, все ли предварительные требования соблюдены. После чего покажет нам отчёт. Одно из обязательных требований — это установленный пароль локального администратора. В самом низу можно прочитать предупреждение о том, что после того, как будет нажата кнопка Install уровень сервера будет повышен до контроллера домена и будет произведена автоматическая перезагрузка.
Должна появиться надпись All prerequisite checks are passed successfully. Click «install» to begin installation.
Нажимаем кнопку Install.
После завершения всех настроек, сервер перезагрузится, и вы совершите первый ввод компьютера в ваш домен. Для этого необходимо ввести логин и пароль администратора домена.
На этом базовая настройка служб каталога Active Directory завершена. Конечно же еще предстоит проделать огромный объем работы по созданию подразделений, созданию новых пользователей, настройке групповых политик безопасности, …
Включение функции перенаправления папок в GPO#
Произведем настройку на примере каталога AppData. В редакторе политики конфигурация пользователя — настройки windows — перенаправляемые папки выбираем папку AppData и заходим в её свойства.
На вкладке конечная папка нам дается на выбор два варианта настройки:
- Перенаправлять папки всех пользователей в одно расположение— это простой режим, как понятно из названия, все каталоги пользователей будут размещаться в одной сетевой шаре
- Указать различные расположения для разных групп пользователей— это сложный режим. Он позволяет задать несколько сетевых шар в одной политике. Этот режим использовать не рекомендуется.
Выберем простой режим и зададим значение Создать папку для каждого пользователя на корневом пути. Для файлового сервера лучше создать CNAME-запись на DNS-сервере, например, smb.domain.ru, корневой путь в таком случае будет выглядеть \smb.domain.ru\redirection.
На вкладке параметры есть три условия:
- Предоставить права монопольного доступа. Мы уже настроили доступ и данное ограничение не требуется. Если применить это условие, то у группы администраторов не будет доступа к каталогам пользователей.
- Перенести содержимое «AppData» в новое расположение. Лучше эту опцию не использовать, или использовать только один раз и потом выключить. Иначе конфликты обеспечены.
- Применить политику перенаправления к ОС старее Vista. Если в домене есть старые ОС, то опцию нужно включить.
Также предлагается действие, которое будет произведено, если политика будет удалена. Это уже зависит от ситуации.
Настройки на вкладке параметры лучше произвести заранее, т.к. их дальнейшее редактирование выльется в проблемы.
Пару слов о AppData (перемещаемая): перенаправляется только каталог Roaming, а Local и LocalLow остаются на месте. Может получится так, что некоторое ПО будет очень активно использовать эту папку или определённое ПО вообще не умеет работать с перенаправляемой AppData, например, на данный момент это DropBox. Так или иначе проблемы могут возникнуть. С этой папкой надо проводить эксперименты в вашем окружении и принимать решение, быть или не быть.
Остальные папки настраиваются по аналогии.
Конфигурация DNS для регистрации устройств
Вход контроллера домена или административной рабочей станции с эквивалентными учетными данными администратора домена. Вам потребуется имя службы федерации для выполнения этой задачи. Имя службы федерации можно просмотреть, щелкнув Изменить свойства службы федерации в области Действие консоли управления AD FS или с помощью команды (PowerShell) на сервере AD FS.
- Откройте консоль Управление DNS.
- В области навигации разверните узел с именем контроллера домена и Зоны прямого просмотра.
- В области навигации выберите узел, имя которого соответствует внутреннему имени вашего домена Active Directory.
- В области навигации щелкните правой кнопкой мыши узел с именем домена и выберите Создать узел (A или AAAA).
- В текстовом поле Имя введите имя службы федерации. В поле IP-адрес укажите IP-адрес сервера федерации. Нажмите кнопку Добавить узел.
- Щелкните правой кнопкой мыши узел и выберите New Alias (CNAME).
- В диалоговом окне New Resource Record введите «корпоративную регистрацию» в поле имя Alias.
- В полностью квалифицированном доменном имени (FQDN) целевого хост-окна введите и нажмите кнопку ОК.
- Выйдите из консоли Управление DNS.
Примечание
Если в лесу имеется несколько суффиксов upN, убедитесь, что он присутствует для каждого суффикса.
Подключение консоли ADUC к домену из рабочей группы
Как подсоединиться к контроллеру со своего ПК:
вызвать Командную строчку;
- выполнить команду запуска оснастки от имени другого пользователя;
- ввести: «runas / netonly / user:winitpro \ aaivanov mmc»;
- появится окошко «MMC»;
- открыть в окошке «File»;
- выбрать «Add / Remove Snap In»;
- откроется окошко «Add or Remove Snap In»;
- в левом списке «Snap in» этого окошка отыскать «Active Directory Users and Computers»;
- перенести найденный инструмент в правый список «Console Root»;
- после перенесения кликнуть по «Active Directory Users and Computers»;
- появится всплывающее меню;
- выбрать «Change domain»;
- указать название своего домена;
- подключить ADUC к доменному контроллеру.
Установка роли AD DS
Открываем Диспетчер серверов
Нажимаем Управление — Добавить роли и компоненты:
Если откроется окно с приветствием, просто нажимаем Далее. В следующем окне оставляем Установка ролей и компонентов и нажимаем Далее:
Выбираем сервер, на который будет установлена роль контроллера домена (по умолчанию выбран локальный сервер) и нажимаем Далее:
Среди всех ролей выбираем следующие:
- DNS-сервер.
- Доменные службы Active Directory.
- DHCP-сервер (чаще всего используется, но не обязательно).
* на самом деле, для работы роли контроллера домена не обязательна установка первых двух. Они могут быть настроены на других серверах.
В следующем окне Выбор компонентов просто нажимаем Далее.
Досчелкиваем Далее до конца и нажимаем Установить:
Те же действия можно выполнить командой Powershell:
Install-WindowsFeature -Name DNS, DHCP, AD-Domain-Services -IncludeManagementTools
Первоначальная настройка
После создания леса и домена, а также после добавления одного или нескольких контроллером домена я обычно, как минимум делаю две вещи:
1. Конфигурирую зону (или зоны) обратного просмотра в DNS.
2. Конфигурирую привязки подсетей в настройках топологии сайтов Active Directory.
Настройка DNS зоны обратного просмотра
Зона обратного просмотра необходима для того, чтобы можно было найти имя компьютера по его IP-адресу.
Для настойки зоны обратного просмотра необходимо:
1. Запустить оснастку управления DNS.
2. В контекстном меню узла “Reverse Lookup Zone” выбрать пункт “New zone”.
3. На странице приветствия мастера настройки зоны обратного просмотра нажмите “Next”.
4. На странице выбора типа зоны выберите основной тип зоны (Primary zone) и укажите, что необходимо хранить зону в Active Directory (Store the zone in Active Directory). Нажмите “Next”.
5. Теперь укажем область репликации зоны. Мы будем реплицировать зону на все контроллеры домена в пределах нашего домена. Нажмите “Next”.
6. Мы будем создавать зону обратного просмотра только для протокола IPv4. Нажмите “Next“.
7. Один из ключевых шагов – правильно указать ID вашей подсети. Например, в моем случае базовый адрес сети следующий – 10.10.10.0/24. На соответствующей странице мастера мы указываем адрес сети в прямой последовательности, как показано ниже. Мастер автоматически преобразуем этот адрес в адрес зоны обратного просмотра. Нажмите “Next:.
8. На странице настройки динамического обновления нажмите “Next”.
9. На последней странице мастера нажмите “Finish”.
Привязка подсетей в настройках сайтов Active Directory
Для того, чтобы компьютер или сервер мог определить к какому сайту Active Directory он принадлежит необходимо выполнить настройки подсетей в соответствующей оснастке.
Настройка подсетей – важный шаг, если у вас географически распределенная инфраструктура. При неверном сопоставлении IP-подсетей и сайтов (или отсутствии сопоставления) компьютеры и серверы могут бегать, например, за данными через весь континент, вместо того, что отправить запрос серверу в соседнем кабинете.
С тем, что такой сайты Active Directory можно ознакомиться в документации Microsoft.
Настроим привязку нашей подсети 10.10.10.0/24 к нашему единственному сайту Active Directory:
1. Запустим оснастку “Active Directory Sites and Services”.
2. В контекстном меню узла “Subnets” выберите пункт “New Subnet…”.
3. В появившемся диалоговом окне в поле “Prefix” укажите базовый адрес сети (в нашем случае 10.10.10.0/24) и выберите в какому сайту Active Directory необходимо привязать подсеть (в нашем случае всего один сайт). Нажмите “ОК”.
4. В свойствах конкретного сайта вы можете посмотреть список IP-подсетей, которые к нему привязаны:
Подготовка
Прежде, чем настраивать роль Active Directory необходимо произвести настройку Windows Server 2012 — задать статический IP адрес и переименовать компьютер.
Чтобы установить статический IP адрес, необходимо щелкнуть правой кнопкой мышки по иконке Network в панели задач и выбрать Open Network ang Sharing Center -> Change adapter settings. Выбрать адаптер, который смотрит во внутреннюю сеть. Properties -> Internet Protocol Version 4 (TCP/IPv4) и задать IP адрес по подобию, как приведено на картинке.
192.168.0.11 — IP адрес текущего сервера — первого контроллера домена.
192.168.0.254 — IP адрес шлюза.
Теперь необходимо переименовать имя сервера и перезагрузить его. Start -> System -> Change Settings -> Computer Name -> Change. Ввести Computer Name. В примере сервер будет называться DC1.
Установка подчиненного центра сертификации Microsoft CA на MS Windows Server 2012 R2
При установке подчиненного центра сертификации будет считать, что домен уже имеется, DNS-сервер и доменная служба Active Directory установлены. Порядок установки будет следующим:
- Установить подчиненный Центр сертификации уровня ЦС предприятия (со службой сертификации и службой регистрации в центре сертификации через Интернет) MS Windows Server 2012 R2, задать имя центра сертификации, подразделение, организацию, город и страну для сертификата, отправить запрос на сертификат в корневой центр сертификации.
- Установить сертификат корневого центра сертификации и актуальный список отозванных сертификатов.
- Настроить службу на автоматический выпуск сертификатов.
- Включить аудит работы службы, сделать настройки безопасности.
- Добавить ссылки на точку распространения отозванных сертификатов и корневого сертификата центра сертификации, которые будут добавляться в каждый выпущенный сертификат.
- Выпустить внеочередной список отозванных сертификатов.
Установка роли Active Directory на Windows Server 2012
Итак, после предварительной настройки сервера, переходим к установки роли службы каталогов.
Start -> Server Manager (Пуск -> Диспетчер сервера).
Add roles and features -> Next
Выбрать Role-based or feature-based Installation (Установка ролей и компонентов) -> Next
Выбрать сервер, на который устанавливается роль AD и нажать Далее. Select a server from the server pool -> Next
Выбираем роль Active Directory Domain Services (Доменные службы Active Directory), после чего появляется окно с предложением добавить роли и компоненты, необходимые для установки роли AD. Нажимаем кнопку Add Features.
Можно также выбрать роль DNS Server. Если вы забудете установить галочку для добавления роли DNS Server, можно особо не переживать, т.к. её можно будет добавить позже на стадии настройки роли AD.
После этого жмем каждый раз кнопку Next и устанавливаем роль.
Установка AD через сервер менеджеров
Разберу для начала классический метод установки службы Active Directory. Открываем диспетчер серверов и в пункте «Управление» нажмите «Добавить роли и компоненты».
Тип установки оставьте «Установка ролей и компонентов».
Далее если у вас в пуле более одного сервера, то вы их можете добавить на этом шаге.
Находим в списке ролей «Доменные службы Active Directory» и нажимаем далее.
Дополнительных компонентов вам не потребуется, так что данное окно вы можете смело пропускать.
Теперь у вас откроется окно мастера установки AD DS. Тут вам напомнят, что в каждом домене желательно иметь, как минимум два контроллера домена, рабочий DNS-сервер. Тут же вы можете произвести синхронизацию с Azure Active Directory.
Подтверждаем установку компонентов AD DS. Вы списке вы увидите все устанавливаемые модули:
- Средства удаленного администрирования сервера
- Средства администрирования ролей
- Средства AD DS и AD LDS
- Модуль Active Directory для PowerShell
- Центр администрирования Active Directory
- Оснастки и программы командной строки AD DS
- Управление групповой политикой
Нажимаем «Установить»
Обратите внимание, что тут можно выгрузить конфигурацию установки службы Active Directory
Выгруженная конфигурация, это XML файл с таким вот содержанием.
Нужный каркас AD DS установлен, можно приступать к настройке домена Active Directory.
Тут у вас в окне сразу будет ссылка «Повысить роль этого сервера до уровня контроллера домена».
То же самое есть в самом верху уведомлений «Диспетчера серверов», у вас тут будет предупреждающий знак.
Вот теперь по сути и начинается установка и настройка службы Active Directory. Так как у нас, еще нет окружения AD, то мы выбираем пункт «Добавить новый лес», если у вас он уже есть, то вам нужно либо добавлять контроллер домена в существующий лес или добавить новый домен в существующий лес. В соответствующем поле указываем имя корневого домена, в моем примере, это partner.pyatilistnik.info.
На следующем окне вы должны выбрать параметры:
- Режим работы леса Active Directory, определяет какие функции и возможности есть на уровне леса.
- Режим работы домена, так же определяет какие функции будут доступны на уровне домена.
Хочу обратить внимание, что режимы работы леса и домена напрямую влияют на то, какие операционные системы могут быть на контроллерах домена, простой пример, если у вас режим работы домена Windows Server 2016, то вы в него уже не добавите контроллеры на ОС Windows Server 2012 R2
Задаем короткое имя (NetBIOS), обычно оставляют то, что предлагается мастером установки домена Active Directory.
Далее вы должны указать расположение базы данных AD DS, файлов журналов и папки SYSVOL.По умолчанию все будет лежать по пути:
- Папка базы данных — C:\Windows\NTDS
- Папка файлов журналов — C:\Windows\NTDS
- Папка SYSVOL — C:\Windows\SYSVOL
Если у вас контроллер домена на виртуальной машине и ее виртуальные диски лежат на одном СХД, то смысл переносить на разные диски базу и папку SYSVOL нет
Теперь вам мастер AD DS покажет сводные параметры, которые вы кстати можете выгрузить в сценарий PowerShell.
Выглядит сценарий вот так:
Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation:$false ` -DatabasePath «C:\Windows\NTDS» ` -DomainMode «WinThreshold» ` -DomainName «partner.pyatilistnik.info» ` -DomainNetbiosName «PARTNER» ` -ForestMode «WinThreshold» ` -InstallDns:$true ` -LogPath «C:\Windows\NTDS» ` -NoRebootOnCompletion:$false ` -SysvolPath «C:\Windows\SYSVOL» ` -Force:$true
Еще одна проверка предварительных требования, по результатам которой вам сообщат, можно ли на данную систему произвести инсталляцию роли AD DS и поднять ее до контроллера домена.
В момент установки будут созданы соответствующие разделы, такие как конфигурация и др.
После установки вам сообщат:
Ваш сеанс будет завершен. Выполняется перезагрузка этого компьютера, так как были установлены или удалены доменные службы Active Directory
Просматриваем логи Windows на предмет ошибок, так их можно посмотреть в диспетчере сервером, откуда можно запустить оснастку ADUC.
Еще маленький нюанс, когда вы загрузитесь, то обратите внимание, что у вас сетевой интерфейс может быть обозначен, как неизвестный, это проблема связана с тем, что в DNS-адрес подставился адрес петлевого интерфейса 127.0.0.1. Советую его поменять на основной ip адрес сервера DNS,
В итоге выключите и заново включите сетевой интерфейс или перезагрузитесь, после чего получите правильное отображение.
Определения
При общении с администраторами, и уж тем более — с пользователями, часто выясняется, что использовать сертификаты они уже научились, но на вопрос, что это такое, можно часто услышать неуверенный ответ «ну, это… ну, для аутентификации». Поэтому позволю себе начать статью с определений; те, кто с ними знаком, могут сразу переходить к следующему разделу.
Сертификат — это файл или объект, хранящийся в базе данных, который содержит следующие поля: номер, открытый ключ, информацию о владельце ключа и вариантах его использования, информацию об УЦ, выдавшем сертификат, и срок действия. Кроме перечисленных полей сертификат может содержать и другие данные. Формат сертификата определяется стандартом X.509, на данный момент действует третья версия стандарта. Вся информация, содержащаяся в сертификате, заверена подписью УЦ.
Инфраструктура открытых ключей (Public Key Infrastructure (PKI)) — это набор взаимосвязанных программных и аппаратных компонентов, а также административных и организационных мер для работы с криптографическими системами, использующими ассиметричные алгоритмы.
Приложения, относящиеся к PKI, можно разделить на две категории:
- приложения для работы только с сертификатами — центры регистрации, центры сертификации, каталоги сертификатов;
- пользовательские приложения — почтовые клиенты, браузеры, системы защищенного документооборота и др.
Кроме технической составляющей важную роль играют и «бюрократические» компоненты PKI, особенно когда существует потребность реализовать юридически значимый электронный документооборот. Политики сертификации (Certificate Policy) и регламент УЦ (Certificate Practice Statements) позволяют определить уровень доверия к издаваемым сертификатам.
Если политики и регламенты, состав и производители пользовательских приложений могут меняться от организации к организации, то наличие центра сертификации, пусть и от разных вендоров, остается неизменным. Удостоверяющий центр — это основа инфраструктуры открытых ключей, которая объединяет программные модули и аппаратные компоненты (например, HSM — Hardware Security Module). Прежде чем описывать функции УЦ, посмотрим на жизненный цикл ключей и сертификатов, показанный на схеме (см ниже). Не все приведенные на схеме пункты обязательно встречаются для каждого ключа или сертификата.
После этого сертификат должен быть помещен в хранилище, доступное тем, кто будет использовать этот сертификат — это может быть служба каталогов или веб-сервер. Далее сертификат используется в рабочем порядке до тех пор, пока не истечет срок действия ключа или сертификат не будут отозван. Причины отзыва могут быть связаны с изменением данных о владельце (смена фамилии или должности, изменение название сайта) или компрометацией закрытого ключа. Важная задача УЦ — поддержание актуальной информации о статусе сертификата.
Необходимо избежать ситуаций, когда злоумышленник с помощью украденного закрытого ключа подписывает договор, который впоследствии признается действительным, так как на момент подписания сертификат не был отозван. УЦ должен регулярно и максимально часто обновлять информацию о статусе сертификата, а владелец сертификата должен как можно раньше сообщать о необходимости отзыва или перевыпуска сертификата. Для предоставления информации о статусе сертификата используются списки отзыва, которые содержат информацию обо всех отозванных сертификатах, или изменениях по сравнению с предыдущим списком отзыва, или протокол OCPS (Online Certificate Status Protocol).
Списки отзыва генерируются с заданным на УЦ интервалом, в то время как с использованием компонента OCSP responder можно получить информацию о статусе сертификата в реальном времени. В том случае, если закончился срок действия закрытого ключа, то центр сертификации занимается выпуском нового сертификата для нового ключа или для этого же ключа, но с другим сроком действия (использование того же ключа оправдано, например, для сертификатов агентов восстановления ключей, чтобы избежать процедуры экспорта-перешифрования-импорта заархивированных ключей).