Ini adalah Pertanyaan Canonical tentang Layanan Domain Direktori Aktif (AD DS).
Apa itu Active Directory? Apa fungsinya dan bagaimana cara kerjanya?
Bagaimana Active Directory dikelola: Hutan, Domain Anak, Pohon, Situs, atau OU
Saya mendapati diri saya menjelaskan beberapa hal yang saya anggap sebagai pengetahuan umum hampir setiap hari. Pertanyaan ini, semoga, berfungsi sebagai pertanyaan dan jawaban kanonik untuk sebagian besar pertanyaan Direktori Aktif dasar. Jika Anda merasa dapat meningkatkan jawaban untuk pertanyaan ini, harap sunting.
windows
active-directory
MDMarra
sumber
sumber
Jawaban:
Apa itu Active Directory?
Layanan Domain Direktori Aktif adalah Server Direktori Microsoft. Ini menyediakan mekanisme otentikasi dan otorisasi serta kerangka kerja di mana layanan terkait lainnya dapat digunakan (Layanan Sertifikat AD, Layanan Federasi AD, dll). Ini adalah database yang sesuai dengan LDAP yang berisi objek. Objek yang paling umum digunakan adalah pengguna, komputer, dan grup. Objek-objek ini dapat diatur ke dalam unit organisasi (OU) dengan sejumlah kebutuhan logis atau bisnis. Objek Kebijakan Grup (GPO) kemudian dapat ditautkan ke OU untuk memusatkan pengaturan untuk berbagai pengguna atau komputer di seluruh organisasi.
Ketika orang mengatakan "Active Directory", mereka biasanya merujuk ke "Layanan Domain Direktori Aktif." Penting untuk dicatat bahwa ada peran / produk Direktori Aktif lainnya seperti Layanan Sertifikat, Layanan Federasi, Layanan Direktori Ringan, Layanan Manajemen Hak, dll. Jawaban ini merujuk secara khusus ke Layanan Domain Direktori Aktif.
Apa itu domain dan apa itu hutan?
Hutan adalah batas keamanan. Benda-benda di hutan terpisah tidak dapat berinteraksi satu sama lain, kecuali para administrator dari masing-masing hutan yang terpisah membuat kepercayaan di antara mereka. Misalnya, akun Administrator Perusahaan untuk
domain1.com
, yang biasanya merupakan akun paling istimewa dari hutan, tidak akan memiliki izin sama sekali di hutan kedua yang dinamaidomain2.com
, bahkan jika hutan itu ada dalam LAN yang sama, kecuali ada kepercayaan di tempat. .Jika Anda memiliki beberapa unit bisnis yang terpisah atau memiliki kebutuhan akan batas keamanan yang terpisah, Anda memerlukan banyak hutan.
Domain adalah batas manajemen. Domain adalah bagian dari hutan. Domain pertama di hutan dikenal sebagai domain root hutan. Di banyak organisasi kecil dan menengah (dan bahkan beberapa yang besar), Anda hanya akan menemukan satu domain di satu hutan. Domain root hutan mendefinisikan namespace default untuk hutan. Misalnya, jika domain pertama di hutan baru dinamai
domain1.com
, maka itu adalah domain root hutan. Jika Anda memiliki kebutuhan bisnis untuk domain anak, misalnya - kantor cabang di Chicago, Anda mungkin memberi nama domain anakchi
. The FQDN dari domain anak akanchi.domain1.com
. Anda dapat melihat bahwa nama domain anak adalah nama domain root hutan yang sudah ditulis sebelumnya. Ini biasanya cara kerjanya. Anda dapat memiliki ruang nama yang terpisah di hutan yang sama, tetapi itu adalah kaleng cacing yang terpisah untuk waktu yang berbeda.Dalam kebanyakan kasus, Anda ingin mencoba dan melakukan segala yang mungkin untuk memiliki domain AD tunggal. Ini menyederhanakan manajemen, dan versi AD modern membuatnya sangat mudah untuk mendelegasikan kontrol berdasarkan OU, yang mengurangi kebutuhan untuk domain anak.
Saya dapat memberi nama domain saya apa pun yang saya inginkan, bukan?
Tidak juga.
dcpromo.exe
, alat yang menangani promosi server ke DC tidak bodoh. Itu membuat Anda membuat keputusan buruk dengan penamaan Anda, jadi perhatikan bagian ini jika Anda tidak yakin. (Sunting: dcpromo sudah tidak digunakan lagi di Server 2012. GunakanInstall-ADDSForest
cmdlet PowerShell atau instal AD DS dari Server Manager.)Pertama-tama, jangan gunakan TLD yang dibuat seperti .local, .lan, .corp, atau omong kosong lainnya. TLD itu tidak dicadangkan. ICANN menjual TLD sekarang, sehingga Anda
mycompany.corp
yang Anda gunakan hari ini sebenarnya milik seseorang besok. Jika Anda memilikimycompany.com
, maka hal yang cerdas untuk dilakukan adalah menggunakan sesuatu sepertiinternal.mycompany.com
atauad.mycompany.com
untuk nama AD internal Anda. Jika Anda menggunakanmycompany.com
situs web yang dapat diselesaikan secara eksternal, Anda harus menghindari menggunakannya sebagai nama AD internal Anda, karena Anda akan berakhir dengan DNS otak-terpisah.Pengontrol Domain dan Katalog Global
Server yang merespons permintaan otentikasi atau otorisasi adalah Pengontrol Domain (DC). Dalam kebanyakan kasus, Pengontrol Domain akan menyimpan salinan Katalog Global . Katalog Global (GC) adalah seperangkat objek parsial di semua domain di hutan. Ini dapat dicari secara langsung, yang berarti bahwa kueri lintas-domain biasanya dapat dilakukan pada GC tanpa perlu rujukan ke DC di domain target. Jika DC dipertanyakan pada port 3268 (3269 jika menggunakan SSL), maka GC sedang ditanyai. Jika port 389 (636 jika menggunakan SSL) ditanya, maka kueri LDAP standar sedang digunakan dan objek yang ada di domain lain mungkin memerlukan rujukan .
Ketika pengguna mencoba masuk ke komputer yang bergabung dengan AD menggunakan kredensial AD mereka, kombinasi nama pengguna dan kata sandi yang diasinkan dan di-hash dikirim ke DC untuk akun pengguna dan akun komputer yang sedang login. Ya, komputer masuk juga. Ini penting, karena jika sesuatu terjadi pada akun komputer dalam AD, seperti seseorang me-reset akun atau menghapusnya, Anda mungkin mendapatkan kesalahan yang mengatakan bahwa hubungan kepercayaan tidak ada antara komputer dan domain. Meskipun kredensial jaringan Anda baik-baik saja, komputer tidak lagi dipercaya untuk masuk ke domain.
Masalah Ketersediaan Pengontrol Domain
Saya mendengar "Saya memiliki Pengontrol Domain Utama (PDC) dan ingin menginstal Pengendali Domain Cadangan (BDC)" jauh lebih sering yang ingin saya percayai. Konsep PDC dan BDC mati dengan Windows NT4. Benteng terakhir untuk PDC adalah dalam AD mode transisi transisi Windows 2000 ketika Anda masih memiliki NT4 DC. Pada dasarnya, kecuali Anda mendukung pemasangan berusia 15+ tahun yang belum pernah ditingkatkan, Anda benar-benar tidak memiliki PDC atau BDC, Anda hanya memiliki dua pengontrol domain.
Beberapa DC mampu menjawab permintaan otentikasi dari berbagai pengguna dan komputer secara bersamaan. Jika salah satu gagal, maka yang lain akan terus menawarkan layanan otentikasi tanpa harus membuat satu "primer" seperti yang harus Anda lakukan di hari-hari NT4. Ini adalah praktik terbaik untuk memiliki setidaknya dua DC per domain. DC ini harus memiliki salinan GC dan keduanya harus merupakan server DNS yang menyimpan salinan zona DNS Terpadu Direktori Aktif untuk domain Anda.
Peran FSMO
Saya sering mendengar ini. Ada peran PDC Emulator . Ini berbeda dari menjadi PDC. Bahkan, ada 5 peran Operasi Master Tunggal Fleksibel (FSMO) . Ini juga disebut peran Master Operasi. Kedua istilah tersebut dapat dipertukarkan. Apa yang mereka dan apa yang mereka lakukan? Pertanyaan bagus! 5 peran dan fungsinya adalah:
Master Penamaan Domain - Hanya ada satu Master Penamaan Domain per hutan. Master Penamaan Domain memastikan bahwa ketika domain baru ditambahkan ke hutan, itu unik. Jika server yang memegang peran ini sedang luring, Anda tidak akan dapat membuat perubahan pada namespace AD, yang mencakup hal-hal seperti menambahkan domain anak baru.
Master Skema - Hanya ada satu Master Skema Operasi di hutan. Bertanggung jawab untuk memperbarui Skema Direktori Aktif. Tugas yang memerlukan ini, seperti menyiapkan AD untuk versi baru Windows Server yang berfungsi sebagai DC atau instalasi Exchange, memerlukan modifikasi Skema. Modifikasi ini harus dilakukan dari Master Skema.
Master Infrastruktur - Ada satu Master Infrastruktur per domain. Jika Anda hanya memiliki satu domain di hutan Anda, Anda tidak perlu khawatir tentang hal itu. Jika Anda memiliki banyak hutan, maka Anda harus memastikan bahwa peran ini tidak dipegang oleh server yang juga merupakan pemegang GC kecuali setiap DC di dalam hutan adalah GC . Master infrastruktur bertanggung jawab untuk memastikan bahwa referensi lintas-domain ditangani dengan benar. Jika pengguna dalam satu domain ditambahkan ke grup di domain lain, master infrastruktur untuk domain tersebut memastikan bahwa itu ditangani dengan benar. Peran ini tidak akan berfungsi dengan benar jika ada di katalog global.
Master RID - Master ID Relatif (Master RID) bertanggung jawab untuk mengeluarkan kumpulan RID ke DC. Ada satu master RID per domain. Objek apa pun dalam domain AD memiliki Pengidentifikasi Keamanan (SID) yang unik. Ini terdiri dari kombinasi pengidentifikasi domain dan pengidentifikasi relatif. Setiap objek dalam domain yang diberikan memiliki pengidentifikasi domain yang sama, jadi pengidentifikasi relatif adalah apa yang membuat objek unik. Setiap DC memiliki kumpulan ID relatif untuk digunakan, jadi ketika DC itu membuat objek baru, itu menambahkan RID yang belum digunakan. Karena DC diberikan kumpulan yang tidak tumpang tindih, masing-masing RID harus tetap unik selama masa berlaku domain. Ketika DC sampai ~ 100 RID tersisa di kumpulannya, ia meminta kumpulan baru dari master RID. Jika master RID sedang offline untuk jangka waktu yang lama, pembuatan objek mungkin gagal.
Emulator PDC - Akhirnya, kita sampai pada peran yang paling banyak disalahpahami dari semuanya, peran Emulator PDC. Ada satu Emulator PDC per domain. Jika ada upaya otentikasi yang gagal, itu diteruskan ke Emulator PDC. PDC Emulator berfungsi sebagai "tie-breaker" jika kata sandi diperbarui pada satu DC dan belum direplikasi ke yang lain. Emulator PDC juga merupakan server yang mengontrol sinkronisasi waktu di seluruh domain. Semua DC lain menyinkronkan waktu mereka dari Emulator PDC. Semua klien menyinkronkan waktu mereka dari DC yang mereka masuki. Sangat penting bahwa semuanya tetap dalam 5 menit satu sama lain, jika tidak Kerberos istirahat dan ketika itu terjadi, semua orang menangis.
Yang penting untuk diingat adalah bahwa server yang menjalankan peran ini tidak diatur dalam batu. Biasanya sepele untuk memindahkan peran ini, jadi sementara beberapa DC melakukan sedikit lebih banyak daripada yang lain, jika mereka turun untuk waktu yang singkat, semuanya biasanya akan berfungsi secara normal. Jika mereka down untuk waktu yang lama, mudah untuk mentransfer peran secara transparan. Ini jauh lebih bagus daripada NT4 PDC / BDC hari, jadi tolong berhenti memanggil DC Anda dengan nama-nama lama. :)
Jadi, um ... bagaimana DC membagi informasi jika mereka dapat berfungsi secara independen satu sama lain?
Replikasi, tentu saja . Secara default, DC milik domain yang sama di situs yang sama akan mereplikasi data mereka satu sama lain pada interval 15 detik. Ini memastikan bahwa semuanya relatif terbaru.
Ada beberapa peristiwa "mendesak" yang memicu replikasi langsung. Kejadian ini adalah: Akun dikunci karena terlalu banyak login gagal, perubahan dilakukan pada kata sandi domain atau kebijakan penguncian, rahasia LSA diubah, kata sandi diubah pada akun komputer DC, atau peran RID Master ditransfer ke DC baru. Salah satu dari peristiwa ini akan memicu peristiwa replikasi langsung.
Perubahan kata sandi berada di antara mendesak dan tidak mendesak dan ditangani secara unik. Jika kata sandi pengguna diubah
DC01
dan pengguna mencoba masuk ke komputer yang diautentikasiDC02
sebelum replikasi terjadi, Anda akan berharap ini gagal, kan? Untungnya itu tidak terjadi. Asumsikan ada DC ketiga di sini yang disebutDC03
memegang peran PDC Emulator. KetikaDC01
diperbarui dengan kata sandi baru pengguna, perubahan itu segera direplikasiDC03
juga. Ketika upaya otentikasiDC02
gagal,DC02
maka upaya otentikasi akan dilanjutkanDC03
, yang memverifikasi bahwa memang, baik, dan masuk diizinkan.Mari kita bicara tentang DNS
DNS sangat penting untuk AD yang berfungsi dengan baik. Baris pihak Microsoft yang resmi adalah bahwa server DNS apa pun dapat digunakan jika sudah diatur dengan benar. Jika Anda mencoba dan menggunakan BIND untuk meng-host zona AD Anda, Anda tinggi. Serius. Tetap menggunakan zona DNS Terpadu AD dan gunakan forwarder bersyarat atau global untuk zona lain jika Anda harus. Semua klien Anda harus dikonfigurasi untuk menggunakan server DNS AD Anda, jadi penting untuk memiliki redundansi di sini. Jika Anda memiliki dua DC, minta keduanya menjalankan DNS dan konfigurasikan klien Anda untuk menggunakan keduanya untuk resolusi nama.
Juga, Anda akan ingin memastikan bahwa jika Anda memiliki lebih dari satu DC, bahwa mereka tidak mendaftar sendiri terlebih dahulu untuk resolusi DNS. Ini dapat menyebabkan situasi di mana mereka berada di "pulau replikasi" di mana mereka terputus dari sisa topologi replikasi AD dan tidak dapat pulih. Jika Anda memiliki dua server
DC01 - 10.1.1.1
danDC02 - 10.1.1.2
, maka daftar server DNS mereka harus dikonfigurasi seperti ini:Oke, ini sepertinya rumit. Mengapa saya ingin menggunakan AD sama sekali?
Karena begitu Anda tahu apa yang Anda lakukan, hidup Anda menjadi jauh lebih baik. AD memungkinkan sentralisasi manajemen pengguna dan komputer, serta sentralisasi akses dan penggunaan sumber daya. Bayangkan situasi di mana Anda memiliki 50 pengguna di kantor. Jika Anda ingin setiap pengguna memiliki login sendiri ke setiap komputer, Anda harus mengonfigurasi 50 akun pengguna lokal di setiap PC. Dengan AD, Anda hanya perlu membuat akun pengguna satu kali dan dapat masuk ke PC mana pun di domain secara default. Jika Anda ingin memperkeras keamanan, Anda harus melakukannya 50 kali. Semacam mimpi buruk, kan? Bayangkan juga Anda memiliki file yang hanya Anda inginkan separuh dari orang-orang itu. Jika Anda tidak menggunakan AD, Anda harus mereplikasi nama pengguna dan kata sandi mereka secara langsung di server untuk memberikan akses yang tidak terlihat, atau Anda Saya harus membuat akun bersama dan memberikan setiap pengguna nama pengguna dan kata sandi. Satu cara berarti Anda tahu (dan harus terus memperbarui) kata sandi pengguna. Cara lain berarti Anda tidak memiliki jejak audit. Tidak bagus kan?
Anda juga mendapatkan kemampuan untuk menggunakan Kebijakan Grup saat Anda menyiapkan AD. Kebijakan Grup adalah seperangkat objek yang ditautkan ke OU yang menentukan pengaturan untuk pengguna dan / atau komputer di OU tersebut. Misalnya, jika Anda ingin membuatnya sehingga "Shutdown" tidak ada di menu mulai untuk 500 PC lab, Anda bisa melakukannya dalam satu pengaturan di Kebijakan Grup. Alih-alih menghabiskan berjam-jam atau berhari-hari mengkonfigurasi entri registri yang tepat dengan tangan, Anda membuat Objek Kebijakan Grup sekali, menautkannya ke OU atau OU yang benar, dan tidak perlu memikirkannya lagi. Ada ratusan GPO yang dapat dikonfigurasi, dan fleksibilitas Kebijakan Grup adalah salah satu alasan utama mengapa Microsoft begitu dominan di pasar perusahaan.
sumber
Catatan: Jawaban ini digabungkan ke dalam pertanyaan ini dari pertanyaan berbeda yang menanyakan tentang perbedaan antara hutan, domain anak, pohon, situs, dan OU. Ini pada awalnya tidak ditulis sebagai jawaban untuk pertanyaan khusus ini.
Hutan
Anda ingin membuat hutan baru ketika Anda membutuhkan batas keamanan. Misalnya, Anda mungkin memiliki jaringan perimeter (DMZ) yang ingin Anda kelola dengan AD, tetapi Anda tidak ingin AD internal Anda tersedia di jaringan perimeter karena alasan keamanan. Dalam hal ini, Anda ingin membuat hutan baru untuk zona keamanan itu. Anda juga mungkin menginginkan pemisahan ini jika Anda memiliki banyak entitas yang tidak saling mempercayai - misalnya perusahaan shell yang meliputi bisnis individu yang beroperasi secara independen. Dalam hal ini, Anda ingin setiap entitas memiliki hutannya sendiri.
Domain Anak
Sungguh, Anda tidak membutuhkan ini lagi. Ada beberapa contoh bagus kapan Anda ingin domain anak. Alasan sebelumnya adalah karena persyaratan kebijakan kata sandi yang berbeda, tetapi ini tidak lagi berlaku, karena ada Kebijakan Kata Sandi Butir-Butir yang tersedia sejak Server 2008. Anda benar-benar hanya memerlukan domain anak jika Anda memiliki area dengan konektivitas jaringan yang buruk dan Anda ingin untuk secara drastis mengurangi lalu lintas replikasi - kapal pesiar dengan konektivitas WAN satelit adalah contoh yang baik. Dalam hal ini, setiap kapal pesiar mungkin merupakan domain anak mereka sendiri, sehingga relatif mandiri sementara masih dapat memanfaatkan manfaat berada di hutan yang sama dengan domain lain dari perusahaan yang sama.
Pohon
Ini adalah bola yang aneh. Pohon baru digunakan ketika Anda ingin mempertahankan manfaat pengelolaan satu hutan tetapi memiliki domain di ruang nama DNS baru. Sebagai contoh
corp.example.com
mungkin adalah akar hutan, tetapi Anda dapat memilikiad.mdmarra.com
di hutan yang sama menggunakan pohon baru. Aturan dan rekomendasi yang sama untuk domain anak berlaku di sini - gunakan dengan hemat. Biasanya tidak diperlukan dalam iklan modern.Situs
Situs harus mewakili batas fisik atau logis di jaringan Anda. Misalnya, kantor cabang. Situs digunakan untuk secara cerdas memilih mitra replikasi untuk pengontrol domain di berbagai bidang. Tanpa menentukan lokasi, semua DC akan diperlakukan seolah-olah mereka berada di lokasi fisik yang sama dan mereplikasi dalam topologi mesh. Dalam praktiknya, sebagian besar organisasi dikonfigurasikan dalam hub-and-spoke secara logis, sehingga situs dan layanan harus dikonfigurasi untuk mencerminkan hal ini.
Aplikasi lain juga menggunakan Situs dan Layanan. DFS menggunakannya untuk referensi namespace dan pemilihan mitra replikasi. Exchange dan Outlook menggunakannya untuk menemukan katalog global "terdekat" untuk ditanyakan. Komputer yang bergabung dengan domain Anda menggunakannya untuk mencari DC "terdekat" yang akan diautentikasi. Tanpa ini, lalu lintas replikasi dan otentikasi Anda seperti Wild West.
Unit organisasi
Ini harus dibuat dengan cara yang mencerminkan kebutuhan organisasi Anda untuk pendelegasian izin dan aplikasi kebijakan grup. Banyak organisasi memiliki satu OU per situs, karena mereka menerapkan GPO seperti itu - ini konyol, karena Anda dapat menerapkan GPO ke situs dari Situs dan Layanan juga. Organisasi lain memisahkan OU berdasarkan departemen atau fungsi. Ini masuk akal bagi banyak orang, tetapi sebenarnya desain OU harus memenuhi kebutuhan Anda dan agak fleksibel. Tidak ada "satu cara" untuk melakukannya.
Sebuah perusahaan multinasional mungkin memiliki tingkat atas OU dari
North America
,Europe
,Asia
,South America
,Africa
sehingga mereka dapat mendelegasikan hak administratif berdasarkan benua. Organisasi lain mungkin memiliki tingkat atas OU dariHuman Resources
,Accounting
,Sales
, dll jika itu lebih masuk akal bagi mereka. Organisasi lain memiliki kebutuhan kebijakan minimal dan menggunakan tata letak "datar" dengan adilEmployee Users
danEmployee Computers
. Benar-benar tidak ada jawaban yang benar di sini, apa pun yang memenuhi kebutuhan perusahaan Anda.sumber