Дополнения
Терминальный сервер под управлением Windows Server 2008 R2 позволяет вносить на клиентских компьютерах дополнительные настройки. Чтобы подключить принтер из локальной сети к сессии, нужно установить на сервере и пользовательском терминале его драйверы. После этого установите флаг «Принтеры» в окне «Локальные устройства и ресурсы».
СОВЕТ. Если на конечных компьютерах стоит Windows XP SP3 (как минимум), то в «Мастер добавления ролей» (Add roles wizard) — «Мастер проверки подлинности» лучше указать «Требовать проверку подлинности…» (Require authentication). Если нет — противоположный пункт.
Если есть возможность — используйте Windows Server 2012 R2 или более новый Виндовс Сервер. Такое решение проще в настройке и лучше поддаётся масштабированию.
Определения
При общении с администраторами, и уж тем более — с пользователями, часто выясняется, что использовать сертификаты они уже научились, но на вопрос, что это такое, можно часто услышать неуверенный ответ «ну, это… ну, для аутентификации». Поэтому позволю себе начать статью с определений; те, кто с ними знаком, могут сразу переходить к следующему разделу.
Сертификат — это файл или объект, хранящийся в базе данных, который содержит следующие поля: номер, открытый ключ, информацию о владельце ключа и вариантах его использования, информацию об УЦ, выдавшем сертификат, и срок действия. Кроме перечисленных полей сертификат может содержать и другие данные. Формат сертификата определяется стандартом X.509, на данный момент действует третья версия стандарта. Вся информация, содержащаяся в сертификате, заверена подписью УЦ.
Инфраструктура открытых ключей (Public Key Infrastructure (PKI)) — это набор взаимосвязанных программных и аппаратных компонентов, а также административных и организационных мер для работы с криптографическими системами, использующими ассиметричные алгоритмы.
Приложения, относящиеся к PKI, можно разделить на две категории:
- приложения для работы только с сертификатами — центры регистрации, центры сертификации, каталоги сертификатов;
- пользовательские приложения — почтовые клиенты, браузеры, системы защищенного документооборота и др.
Кроме технической составляющей важную роль играют и «бюрократические» компоненты PKI, особенно когда существует потребность реализовать юридически значимый электронный документооборот. Политики сертификации (Certificate Policy) и регламент УЦ (Certificate Practice Statements) позволяют определить уровень доверия к издаваемым сертификатам.
Если политики и регламенты, состав и производители пользовательских приложений могут меняться от организации к организации, то наличие центра сертификации, пусть и от разных вендоров, остается неизменным. Удостоверяющий центр — это основа инфраструктуры открытых ключей, которая объединяет программные модули и аппаратные компоненты (например, HSM — Hardware Security Module). Прежде чем описывать функции УЦ, посмотрим на жизненный цикл ключей и сертификатов, показанный на схеме (см ниже). Не все приведенные на схеме пункты обязательно встречаются для каждого ключа или сертификата.
После этого сертификат должен быть помещен в хранилище, доступное тем, кто будет использовать этот сертификат — это может быть служба каталогов или веб-сервер. Далее сертификат используется в рабочем порядке до тех пор, пока не истечет срок действия ключа или сертификат не будут отозван. Причины отзыва могут быть связаны с изменением данных о владельце (смена фамилии или должности, изменение название сайта) или компрометацией закрытого ключа. Важная задача УЦ — поддержание актуальной информации о статусе сертификата.
Необходимо избежать ситуаций, когда злоумышленник с помощью украденного закрытого ключа подписывает договор, который впоследствии признается действительным, так как на момент подписания сертификат не был отозван. УЦ должен регулярно и максимально часто обновлять информацию о статусе сертификата, а владелец сертификата должен как можно раньше сообщать о необходимости отзыва или перевыпуска сертификата. Для предоставления информации о статусе сертификата используются списки отзыва, которые содержат информацию обо всех отозванных сертификатах, или изменениях по сравнению с предыдущим списком отзыва, или протокол OCPS (Online Certificate Status Protocol).
Списки отзыва генерируются с заданным на УЦ интервалом, в то время как с использованием компонента OCSP responder можно получить информацию о статусе сертификата в реальном времени. В том случае, если закончился срок действия закрытого ключа, то центр сертификации занимается выпуском нового сертификата для нового ключа или для этого же ключа, но с другим сроком действия (использование того же ключа оправдано, например, для сертификатов агентов восстановления ключей, чтобы избежать процедуры экспорта-перешифрования-импорта заархивированных ключей).
Установка серверной версии Windows
Отметим, что существует несколько версий этого обеспечения — 2003, 2008 и 2012 года. Исходя из того, что последние версии всегда в большем приоритете, мы рассмотрим, как происходит установка Windows Server 2012. Даже если вас интересует, как установить Windows Server 2008 R2, не переживайте — оба процесса практически совпадают, поэтому вы легко сориентируетесь по нижеизложенной инструкции.
Итак, установка Windows Server 2012 R2 делается следующим образом:
- Зайдите в BIOS компьютера и установите загрузку с CD-ROM.
- Вставьте диск с образом системы, запустите свой ПК, чтобы он начал загрузку с внешнего носителя.
- После загрузки появится окно, где нужно указать язык, раскладку клавиатуры, и часовой пояс — сделайте это, следуйте далее.
- Нажмите «Установить».
- Перед вами появится запрос на выбор системы — есть несколько версий серверного обеспечения. Выберите необходимую версию, жмите «Далее».
- Примите условия лицензии.
- Выберите тип установки — если вы ставите Server с нуля, следует выбирать только вариант «Выборочная».
- Укажите накопитель, куда будет поставлена система, при необходимости разбейте диск на несколько разделов. При делении вам нужно согласиться на создание разделов для системных файлов.
- Кстати, обычно выбирается раздел «Основной» жёсткого диска.
- Нажимаем «Далее», и ждём, пока обеспечение загрузится на ПК.
- После перезагрузки вам предстоит создать пароль для входа в учётную запись — выбирайте надёжную и сложную комбинацию, при желании измените имя пользователя.
- Далее, перед вами появится стартовое окно системы, где будет написано, что нужно нажать Ctrl+Alt+Del — сделайте это, и введите созданный только что пароль.
- На этом установка Windows Server завершена — как видите, в процессе нет ничего сложного, почти все действия выполняются автоматически под вашим руководством.
Blog of Khlebalin Dmitriy
Terminal Server на Windows 2016. RemoteApp (часть 4).
В целом, терминальный сервер настроен, на нем благополучно крутится 1С и работают пользователи.
Но настроить RemoteApp пришлось не просто так. У нас на сервере крутятся 2 платформы: 1с83 и 1с82. В 1с83 проблем нет, а вот в 1с82, люди жалуются на невозможность изменения масштаба в 1с и мелкий шрифт в ней же. Именно по этому было принято решение прокинуть 1с через RemoteApp.
Еще раз коротко о ролях терминального сервера:
1. Посредник подключения к удаленному рабочему столу. Он занимается подключением клиентского устройства к удаленным приложениям «RemoteApp», а также рабочим столам на базе сеансов, либо к виртуальным рабочим столам, зависит от того на базе какой технологии мы RDS построили.
2. Роль, которая обеспечивает веб-доступ к удаленным рабочим столам. Ее задача – предоставление ресурсов через веб-браузер.
3. Узел сеансов удаленных рабочих столов – данная роль позволяет размещать на сервере удаленные приложения, или основанные на сеансах рабочие столы.
4. Узел виртуализации удаленных рабочих столов. На данном узле, это у нас сервер Hyper-V, на котором у нас разворачиваются все виртуальные машины, доступ к которым получат все пользователи, что использую технологию VDI.
5. Шлюз удаленных рабочих столов, это посредник между клиентами из внешней сети и коллекции сеансов во внутренней сети и приложений. Шлюз – это безопасность, сервис у нас абсолютно безопасный. И благодаря тому, что RDS в 2012/2016 и 2012R2/201 становится более гибким, проработаны абсолютно все недочеты, которые были раньше. Сейчас этот сервис легко реализуем для огромных, масштабных проектов, для больших корпораций. Раньше возникали некоторые вопросы.
Преимущества «RemoteApp» над обычным «Сервером терминалов» :
- Пользователь не путается между удаленным рабочим столом и своим локальным.
- Программа 1С запускается сразу при клике по ярлыку, и выглядит как локально установленная.
- Пользователь не видит всего рабочего стола и работает лишь с теми программами, которые назначил администратор.
- Безопасность выше, чем на обычном сервере терминалов.
- Скорость передачи изображения с сервера, выше, чем в сравнении с обычным сервером терминалов. (Оптимизация за счет, передачи не всей картинки, а лишь нужной программы).
Для начала необходимо создать коллекции, ранее мы их уже создали, я об этом уже писал, поэтому здесь пропущу.
Далее публикуем сами приложения RemoteApp (Публикация удаленных приложений).
Выбираем необходимое нам приложение (в моем случае это соответственно 1С):
Вроде благополучно все опубликовалось.
Теперь со своего компьютера набираю в браузере: https://your_server_ip/RDWeb/Pages/ru-RU/login.aspx (ругнется на сертификат, так как его нет, но это не страшно)
Далее предлагается локально скачать файлик:
Здесь сразу запускается 1С.
Все достаточно быстро и без проблем. Но, к сожалению, нашу текущую проблему с масштабированием 1С82 RemoteApp не решает. Но все работает.
На этом настройка закончена.
Всем хорошей работы.
P.S.
Думали опубликовать еще 1с82 через IIS WEB, но с платформой 1с82 это оказалось достаточно проблематично.
По публикации платформы 1с83 почитать можно здесь:
Обновление от 01.10.2020.
Ранее никогда не сталкивался с развертыванием терминального сервера без домена. И тут столкнулся, оказалось, что поставить его можно, а вот управлять через GUI не получится, только через PS.
Или вариант управлять через GUI с другого компа, описан здесь.
Share this:
Sorry, the comment form is closed at this time.
В этом блоге, я пишу заметки о своей, как повседневной жизни, так и жизни и работе в сфере IT технологий. Собираю интересные ссылки, выражаю свои мысли и прочее… В основном посты посвящены, Управленческим моментам и решениям, различным продуктам Microsoft и VMWare, которые я эксплуатирую многие годы, Nix, MacOS, сетке, и другим интересным вопросам и задачам, с которыми приходится ежедневно сталкиваться и иметь дело. Здесь приведены не только мои посты, но и посты, которые были найдены мною на безграничных просторах интернета. Все написанное здесь, было проделано мною или моими коллегами при моем непосредственном участии на виртуальных машинах или в продакшин среде, о чем свидетельствуют комментарии в текстах. Всем удачи в работе.
Importing into Glance
The following steps outline how you would import the previously created Windows XP image into Glance to be used as a instance type within OpenStack
Upload into Glance
You can also import this completed virtual machine into Glance so that it may be used for instance deployment within OpenStack
Note: The following is done with the assumption that you used the RackSpace Private Cloud distribution and AlamoController is the controller.
If another method was used then you will have to download the ‘OpenStack RC File’ which can be obtain from Horizon e.g. https://Horizon/settings/project/
-
Copy the image over to AlamoController
Note: you will have to enter the admin credentials
-
Log in to AlamoController
Note: you will have to enter the admin credentials
-
Change to root
-
Load the OpenStack credentials
-
Navigate back to the admin home directory since that is where you just scp’d the image to
-
Upload image into Glance
Security Rules
If you haven’t already, prior to launching the Windows Instance you will need to ensure the remote desktop port is allowed.
-
Create ‘Security Group’
-
Add firewall rule for the remote desktop port
- Ensure you enable this group for your instance otherwise remote desktop won’t work.
Associate Floating IP
- Within the Instances screen, locate the Windows XP instance
- At the end of the row click the drop down arrow and click Associate floating IP
- At the Manage Floating IP Associations window click the drop down Select an IP Address
- Select an appropriate and available IP and click Associate
Настройка netfilter (iptables) для NTP сервера
Настроив работу сервера, неплохо было бы его защитить. Мы знаем, что сервер работает на 123/udp порту, при этом запросы так же отправляются с порта 123/udp. Ознакомившись со статьей, что такое netfilter и правила iptables и ознакомившись с практическими примерами iptables, можно создать правила фильтрации сетевого трафика:
ntp ~ # iptables-save # типовые правила iptables для DNS *filter :INPUT DROP :FORWARD DROP :OUTPUT DROP -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -m conntrack --ctstate INVALID -j DROP # разрешить доступ локальной сети к NTP серверу: -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack --ctstate NEW -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -p udp -m udp --sport 32768:61000 -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 32768:61000 -j ACCEPT -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # разрешить доступ NTP серверу совершать исходящие запросы -A OUTPUT -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate NEW -j ACCEPT COMMIT
Это типовой пример! Для задания правил iptables под Ваши задачи и конфигурацию сети, необходимо понимать принцип работы netfilter в Linux, почитав вышеуказанные статьи.
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
-
Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены
. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны. -
Для корневого PDC синхронизация с внешним источником должна быть настроена всегда
. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с «Эмулятор PDC
», а контролер PDC синхронизирует свое время с неким . В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org
. В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Базовая настройка терминального сервера
Сначала проверим имя рабочей группы и описание компьютера.
- Открываем «Панель управления», переходим в раздел «Система».
- Нажимаем «Изменить параметры».
- На вкладке «Имя компьютера» смотрим, как он идентифицируется в сети. Если имя компьютера или рабочей группы слишком сложное, нажимаем «Изменить» и задаем другие идентификаторы. Для применения нужно перезагрузить систему.
После проверки имени смотрим и при необходимости меняем сетевые настройки. В «Панели управления» открываем раздел «Сетевые подключения».
Переходим в свойства используемого подключения, открываем свойства «IP версии 4». Указываем настройки своей сети. IP, маска и шлюз должны быть статичными.
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Подписаться
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:
FrequencyCorrectRate: 4 (Локально) PollAdjustFactor: 5 (Локально) LargePhaseOffset: 50000000 (Локально) SpikeWatchPeriod: 900 (Локально) LocalClockDispersion: 10 (Локально) HoldPeriod: 5 (Локально) PhaseCorrectRate: 7 (Локально) UpdateInterval: 100 (Локально)
NtpClient (Локально) DllName: C:\Windows\system32\w32time.dll (Локально) Enabled: 1 (Локально) InputProvider: 1 (Локально) CrossSiteSyncFlags: 2 (Локально) AllowNonstandardModeCombinations: 1 (Локально) ResolvePeerBackoffMinutes: 15 (Локально) ResolvePeerBackoffMaxTimes: 7 (Локально) CompatibilityFlags: 2147483648 (Локально) EventLogFlags: 1 (Локально) LargeSampleSkew: 3 (Локально) SpecialPollInterval: 3600 (Локально) Type: NT5DS (Локально)
NtpServer (Локально) DllName: C:\Windows\system32\w32time.dll (Локально) Enabled: 1 (Локально) InputProvider: 0 (Локально) AllowNonstandardModeCombinations: 1 (Локально)
VMICTimeProvider (Локально) DllName: C:\Windows\System32\vmictimeprovider.dll (Локально) Enabled: 1 (Локально) InputProvider: 1 (Локально)
Включение синхронизации внутренних часов с внешним источником
Объявление NTP-сервера в качестве надежного
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
Задание списка внешних источников для синхронизации
Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.
Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.
Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
«MaxPosPhaseCorrection»=dword:FFFFFFFF «MaxNegPhaseCorrection»=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update
Шаг 2. Установка Windows Server и базовая настройка системы
Установка системы
Во время установки системы важно учесть только один нюанс — дисковую систему необходимо разбить на два логических раздела. Первый (малый, 70 – 120 Гб) выделить для системных файлов, второй — под пользовательские данные
На это есть две основные причины:
- Системный диск малого размера быстрее работает и обслуживается (проверка, дефрагментация, антивирусное сканирование и так далее)
- Пользователи не должны иметь возможность хранить свою информацию на системном разделе. В противно случае, возможно переполнение диска и, как результат, медленная и нестабильная работа сервера.
Базовая настройка Windows Server
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Настраиваем статический IP-адрес;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Лицензирование (активация)
После перезагрузки Windows Server 2008 R2 вы увидите сообщение — «Не настроен сервер лицензирования…».
- Перейдите в Start — Administrative Tools — Remote Desktop Services — RDS Host Configuration.
- В основном окне вы должны увидеть надпись Not Specified напротив RD licence servers. Сделайте двойной клик по надписи.
- Выберите Per device — Add. В новом окне введите название вашего сервера, затем Add и нажмите OK. Теперь в Windows Server 2008 R2 указан источник лицензирования, но активация ещё не окончена.
- Start — «Administrative…» — RD Services («Сервисы удалённого рабочего стола») — Remote Desktop LM.
- В контекстном меню свойств вашего терминального сервера выберите Activate Server.
- Запустится «Мастер активации…» (AS Wizard). В первом окне оставьте Automatic connection.
- В следующих формах введите свои данные во все свободные поля. В Activate Server Wizard поля можно оставить пустыми.
- Вы увидите окно завершения. Напротив Start Install LW now должен стоять флаг.
- Выберите License Program — Enterprise Agreement. Если у вас другой тип лицензии, найдите его в списке.
- На следующем шаге «Мастера» введите в свободное поле один из номеров справа.
- В Product version and license type выберите версию ОС (в нашем случае Windows Server 2008 R2) и тип активации (лицензии) — Per device CAL или другой. Quantity («Количество») — желательно «9999».
Чтобы проверить правильность работы активации, перейдите в RD Session Host (в папке меню «Пуск», с которой мы работали ранее) и изучите все внесённые настройки.
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS
– синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers
и включите политику Configure Windows NTP Client
.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.сайт,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Совет
. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.
Операционные системы семейства Windows содержат службу времени W32Time
. Эта служба предназначена для синхронизации времени в пределах организации. W32Time
отвечает за работу как клиентской, так и серверной части службы времени, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP
(NTP — Network Time Protocol).
По умолчанию служба времени в Windows сконфигурирована следующим образом:
При установке операционной системы Windows запускает клиента NTP, который синхронизируется с внешним источником времени;
При добавлении компьютера в домен тип синхронизации меняется. Все клиентские компьютеры и рядовые сервера в домене используют для синхронизации времени контроллер домена, проверяющий их подлинность;
При повышении рядового сервера до контроллера домена на нем запускается NTP-сервер, который в качестве источника времени использует контроллер с ролью PDC-эмулятор;
PDC-эмулятор, расположенный в корневом домене леса, является основным сервером времени для всей организации. При этом сам он также синхронизируется с внешним источником времени.
Такая схема работает в большинстве случаев и не требует вмешательства. Однако структура сервиса времени в Windows может и не следовать доменной иерархии и надежным источником времени можно назначить любой компьютер.
В качестве примера приведем настройку NTP-сервера в Windows Server 2008 R2, по аналогии можно настроить NTP сервер и в Windows 7.
Контроллеры домена и рядовые серверы
При установке Windows Server 2003 систему можно конфигурировать как рядовой сервер, контроллер домена или изолированный сервер. Различия между этими типами серверов чрезвычайно важны. Рядовые серверы являются частью домена, но не хранят информацию каталога. Контроллеры домена хранят данные каталога и выполняют службы аутентификации и каталога в рамках домена. Изолированные серверы не являются частью домена и имеют собственную БД пользователей, поэтому изолированный сервер также аутентифицирует запросы на вход.
Windows Server 2003 не различает основные и резервные контроллеры домена, так как поддерживает модель репликации с несколькими хозяевами. В этой модели любой контроллер домена может обрабатывать изменения каталога и затем автоматически реплицирует их на другие контроллеры домема. В модели репликации с одним хозяином в Windows NT все происходит не так: основной контроллер домена хранит главную копию каталога, а резервные — ее копии. Кроме того, Windows NT распространяет только БД диспетчера учетных записей безопасности (security access manager, SAM), a Windows Server 2003 — весь каталог информации, называемый хранилищем данных (datastore). В нем есть наборы объектов, представляющие учетные записи пользователей, групп и компьютеров, а также общие ресурсы, например серверы, файлы и принтеры.
Домены, в которых применяются службы Active Directory, называют доменами Active Directory, чтобы отличать их от доменов Windows NT. Хотя Active Directory работает только с одним контроллером домена, в домене можно и нужно создать дополнительные контроллеры. Если ОДИН контроллер выходит из строя, для выполнения аутентификации и других важных задач можно задействовать другие.
В домене Active Directory любой рядовой сервер разрешается повысить до уровня контроллера домена без переустановки ОС, как того требовала Windows NT. Для превращения рядового сервера в контроллер следует лишь установить на него компонент Active Directory. Возможно и обратное действие: понижение контроллера домена до рядового сервера, если он не является последним контроллером домена в сети. Вот как повысить или понизить уровень сервера посредством мастера установки Active Directory.