Для чего нужны домены в windows

Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.

Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.

Что такое домен?

Домены Windows предоставляют сетевым администраторам возможность управлять большим количеством компьютеров и контролировать их из одного места. Один или несколько серверов, известных как контроллеры домена, контролируют домен и компьютеры на нём.

Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.

Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена. Это означает, что вы можете войти в систему с одним и тем же именем пользователя и паролем на любом компьютере, присоединённом к домену.

Сетевые администраторы могут изменять параметры групповой политики на контроллере домена. Каждый компьютер в домене получит эти настройки от контроллера домена, и они переопределят любые локальные настройки, указанные пользователями на своих компьютерах. Все настройки контролируются из одного места. Это также «блокирует» компьютеры. Вероятно, вам не будет разрешено изменять многие системные настройки на компьютере, присоединённом к домену.

Смотрите также: Что такое «групповая политика» в Windows?

Другими словами, когда компьютер является частью домена, организация, предоставляющая этот компьютер, управляет и настраивает его удалённо. Они контролируют ПК, а не тот, кто им пользуется.

Поскольку домены не предназначены для домашних пользователей, к домену можно присоединить только компьютер с версией Windows Professional или Enterprise. Устройства под управлением Windows RT также не могут присоединяться к доменам.

Является ли мой компьютер частью домена?

Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.

Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте приложение «Параметры» (Win+x).

Нажмите «Система».

Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:

Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединён к домену.

Если вы видите «Рабочая группа»: за которым следует имя рабочей группы, ваш компьютер присоединён к рабочей группе, а не к домену.

В англоязычной версии это соответственно «Settings» → «System» → «About» → «Rename this PC (advanced)».

Подробности смотрите в статье: Как в PowerShell узнать, прикреплён ли компьютер к домену или к рабочей группе

Чем рабочие группы отличаются от доменов

Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.

Как присоединиться к домену или выйти из домена

Если ваш компьютер является частью домена, присоединение к домену или выход из него обычно не является вашей работой. Если ваш компьютер должен быть в домене, он уже будет присоединён к домену, когда он будет передан вам. Обычно для выхода из домена требуется разрешение администратора домена, поэтому люди, которые садятся за использование компьютера, присоединённого к домену, не могут просто покинуть домен. Однако вы можете покинуть домен, если у вас есть права локального администратора на вашем ПК. Конечно, у вас не будет доступа администратора, если вы используете заблокированный компьютер.

Если вы хотите присоединиться к домену или выйти из домена, то откройте приложение «Параметры» (Win+x) → нажмите «Система» → перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)».

Вы увидите две кнопки:

• Идентификация
• Изменить

Если вы нажмёте кнопку «Идентификация», то откроется мастер присоединения к домену.

Для присоединения к домену вам нужно будет ответить на несколько вопросов и потребуется имя домена и учётные данные пользователя на этом домене.

Если вы нажмёте кнопку «Изменить», то откроется окно изменения имени рабочей группы или домена.

Если у вас есть старый компьютер, подключенный к домену, и у вас больше нет доступа к домену, вы всегда можете получить доступ к компьютеру, переустановив Windows. Настройки домена привязаны к вашей установленной операционной системе, и переустановка Windows даст вам новую систему. Вы, конечно, не должны делать это с рабочим или школьным компьютером, который не является вашей собственностью!

Домены ограничивают то, что вы можете делать на своём компьютере. Когда ваш компьютер является частью домена, контроллер домена отвечает за ваши действия. Вот почему они используются в крупных корпоративных и образовательных сетях — они позволяют учреждению, которое предоставляет компьютеры, заблокировать их и централизованно управлять ими.

Смотрите также: Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 1: Введение в Active Directory (понятия, применение, отличие от Workgroup)

Если вы используете компьютер на работе или в школе, он почти наверняка является частью домена Windows. Но что это на самом деле означает? Что делает домен, и каковы преимущества присоединения к нему компьютера?

Давайте посмотрим, что такое домен Windows, как они работают и почему компании используют их.

Что такое домен Windows?

Домен Windows по сути представляет собой сеть управляемых компьютеров, используемых в бизнес-среде. По крайней мере один сервер, называемый контроллером домена , отвечает за другие устройства. Это позволяет сетевым администраторам (обычно ИТ-персоналу) управлять компьютерами в домене с помощью пользователей, настроек и многого другого.

В очередном «конспекте админа» остановимся на еще одной фундаментальной вещи – механизме разрешения имен в IP-сетях. Кстати, знаете почему в доменной сети nslookup на все запросы может отвечать одним адресом? И это при том, что сайты исправно открываются. Если задумались – добро пожаловать под кат..

Для преобразования имени в IP-адрес в операционных системах Windows традиционно используются две технологии – NetBIOS и более известная DNS.

Дедушка NetBIOS

NetBIOS (Network Basic Input/Output System) – технология, пришедшая к нам в 1983 году. Она обеспечивает такие возможности как:

• регистрация и проверка сетевых имен;

• установление и разрыв соединений;

• связь с гарантированной доставкой информации;

• связь с негарантированной доставкой информации;

• поддержка управления и мониторинга драйвера и сетевой карты.

В рамках этого материала нас интересует только первый пункт. При использовании NetBIOS имя ограниченно 16 байтами – 15 символов и спец-символ, обозначающий тип узла. Процедура преобразования имени в адрес реализована широковещательными запросами.

Интересная особенность в том, что можно привязывать имя не к хосту, а к сервису. Например, к имени пользователя для отправки сообщений через net send.

Естественно, постоянно рассылать широковещательные запросы не эффективно, поэтому существует кэш NetBIOS – временная таблица соответствий имен и IP-адреса. Таблица находится в оперативной памяти, по умолчанию количество записей ограничено шестнадцатью, а срок жизни каждой – десять минут. Посмотреть его содержимое можно с помощью команды nbtstat -c, а очистить – nbtstat -R.

Пример работы кэша для разрешения имени узла «хр».

Что происходило при этом с точки зрения сниффера.

В крупных сетях из-за ограничения на количество записей и срока их жизни кэш уже не спасает. Да и большое количество широковещательных запросов запросто может замедлить быстродействие сети. Для того чтобы этого избежать, используется сервер WINS (Windows Internet Name Service). Адрес сервера администратор может прописать сам либо его назначит DHCP сервер. Компьютеры при включении регистрируют NetBIOS имена на сервере, к нему же обращаются и для разрешения имен.

В сетях с *nix серверами можно использовать пакет программ Samba в качестве замены WINS. Для этого достаточно добавить в конфигурационный файл строку «wins support = yes». Подробнее – в документации.

В отсутствие службы WINS можно использовать файл lmhosts, в который система будет «заглядывать» при невозможности разрешить имя другими способами. В современных системах по умолчанию он отсутствует. Есть только файл-пример-документация по адресу %systemroot%System32driversetclmhost.sam. Если lmhosts понадобится, его можно создать рядом с lmhosts.sam.

Сейчас технология NetBIOS не на слуху, но по умолчанию она включена. Стоит иметь это ввиду при диагностике проблем.

Стандарт наших дней – DNS

DNS (Domain Name System) – распределенная иерархическая система для получения информации о доменах. Пожалуй, самая известная из перечисленных. Механизм работы предельно простой, рассмотрим его на примере определения IP адреса хоста www.google.com:

• если в кэше резолвера адреса нет, система запрашивает указанный в сетевых настройках интерфейса сервер DNS;

• сервер DNS смотрит запись у себя, и если у него нет информации даже о домене google.com – отправляет запрос на вышестоящие сервера DNS, например, провайдерские. Если вышестоящих серверов нет, запрос отправляется сразу на один из 13 (не считая реплик) корневых серверов, на которых есть информация о тех, кто держит верхнюю зону. В нашем случае – com.

• после этого наш сервер спрашивает об имени www.google.com сервер, который держит зону com;

• затем сервер, который держит зону google.com уже выдает ответ.

Наглядная схема прохождения запроса DNS.

Разумеется, DNS не ограничивается просто соответствием «имя – адрес»: здесь поддерживаются разные виды записей, описанные стандартами RFC. Оставлю их список соответствующим статьям.

Сам сервис DNS работает на UDP порту 53, в редких случаях используя TCP.

DNS переключается на TCP с тем же 53 портом для переноса DNS-зоны и для запросов размером более 512 байт. Последнее встречается довольно редко, но на собеседованиях потенциальные работодатели любят задавать вопрос про порт DNS с хитрым прищуром.

Также как и у NetBIOS, у DNS существует кэш, чтобы не обращаться к серверу при каждом запросе, и файл, где можно вручную сопоставить адрес и имя – известный многим %Systemroot%System32driversetchosts.

В отличие от кэша NetBIOS в кэш DNS сразу считывается содержимое файла hosts. Помимо этого, интересное отличие заключается в том, что в кэше DNS хранятся не только соответствия доменов и адресов, но и неудачные попытки разрешения имен. Посмотреть содержимое кэша можно в командной строке с помощью команды ipconfig /displaydns, а очистить – ipconfig /flushdns. За работу кэша отвечает служба dnscache.

На скриншоте видно, что сразу после чистки кэша в него добавляется содержимое файла hosts, и иллюстрировано наличие в кэше неудачных попыток распознавания имени.

При попытке разрешения имени обычно используются сервера DNS, настроенные на сетевом адаптере. Но в ряде случаев, например, при подключении к корпоративному VPN, нужно отправлять запросы разрешения определенных имен на другие DNS. Для этого в системах Windows, начиная с 72008 R2, появилась таблица политик разрешения имен (Name Resolution Policy Table, NRPT). Настраивается она через реестр, в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTDnsClientDnsPolicyConfig или групповыми политиками.

Настройка политики разрешения имен через GPO.

При наличии в одной сети нескольких технологий, где еще и каждая – со своим кэшем, важен порядок их использования.

Порядок разрешения имен

Операционная система Windows пытается разрешить имена в следующем порядке:

• проверяет, не совпадает ли имя с локальным именем хоста;

• смотрит в кэш DNS распознавателя;

• если в кэше соответствие не найдено, идет запрос к серверу DNS;

• если имя хоста «плоское», например, «servername», система обращается к кэшу NetBIOS. Имена более 16 символов или составные, например «servername.domainname.ru» – NetBIOS не используется;

• если не получилось разрешить имя на этом этапе – происходит запрос на сервер WINS;

• если постигла неудача, то система пытается получить имя широковещательным запросом, но не более трех попыток;

• последняя попытка – система ищет записи в локальном файле lmhosts.

Для удобства проиллюстрирую алгоритм блок-схемой:

Алгоритм разрешения имен в Windows.

То есть, при запуске команды ping server.domain.com NetBIOS и его широковещательные запросы использоваться не будут, отработает только DNS, а вот с коротким именем процедура пойдет по длинному пути. В этом легко убедиться, запустив простейший скрипт:

@echo off
echo %time%
ping hjfskhfjkshjfkshjkhfdsjk.com
echo %time%
ping xyz
echo %time%
pause

Выполнение второго пинга происходит на несколько секунд дольше, а сниффер покажет широковещательные запросы.

Сниффер показывает запросы DNS для длинного имени и широковещательные запросы NetBIOS для короткого.

Отдельного упоминания заслуживают доменные сети – в них запрос с коротким именем отработает чуть по-другому.

Active Directory и суффиксы

Active Directory тесно интегрирована с DNS и не функционирует без него. Каждому компьютеру домена создается запись в DNS, и компьютер получает полное имя (FQDN — fully qualified domain name) вида name.subdomain.domain.com.

Для того чтоб при работе не нужно было вводить FQDN, система автоматически добавляет часть имени домена к хосту при различных операциях – будь то регистрация в DNS или получение IP адреса по имени. Сначала добавляется имя домена целиком, потом следующая часть до точки.

При попытке запуска команды ping servername система проделает следующее:

• если в кэше DNS имя не существует, система спросит у DNS сервера о хосте servername.subdomain.domain.com;

• если ответ будет отрицательный – система запросит servername.domain.com, на случай, если мы обращаемся к хосту родительского домена.

При этом к составным именам типа www.google.com суффиксы по умолчанию не добавляются. Это поведение настраивается групповыми политиками.

Настройка добавления суффиксов DNS через групповые политики.

Настраивать DNS суффиксы можно также групповыми политиками или на вкладке DNS дополнительных свойств TCPIP сетевого адаптера. Просмотреть текущие настройки удобно командой ipconfig /all.

Суффиксы DNS и их порядок в выводе ipconfig /all.

Однако утилита nslookup работает немного по-другому: она добавляет суффиксы в том числе и к длинным именам. Посмотреть, что именно происходит внутри nslookup можно, включив диагностический режим директивой debug или расширенный диагностический режим директивой dc2. Для примера приведу вывод команды для разрешения имени ya.ru:

nslookup -dc2 ya.ru

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 1, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        4.4.8.8.in-addr.arpa, type = PTR, class = IN

    ANSWERS:
    ->  4.4.8.8.in-addr.arpa
        name = google-public-dns-b.google.com
        ttl = 86399 (23 hours 59 mins 59 secs)

------------
╤хЁтхЁ:  google-public-dns-b.google.com
Address:  8.8.4.4

------------
Got answer:

    HEADER:
        opcode = QUERY, id = 2, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 0,  additional = 0

    QUESTIONS:
        ya.ru.subdomain.domain.com, type = A, class = IN

    ANSWERS:
    ->  ya.ru.subdomain.domain.com
        internet address = 66.96.162.92
        ttl = 599 (9 mins 59 secs)

------------
Не заслуживающий доверия ответ:

------------
Got answer:

    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        ya.ru.subdomain.domain.com, type = AAAA, class = IN

    AUTHORITY RECORDS:
    ->  domain.com
        ttl = 19 (19 secs)
        primary name server = ns-2022.awsdns-60.co.uk
        responsible mail addr = awsdns-hostmaster.amazon.com
        serial  = 1
        refresh = 7200 (2 hours)
        retry   = 900 (15 mins)
        expire  = 1209600 (14 days)
        default TTL = 86400 (1 day)

------------
╚ь :     ya.ru.subdomain.domain.com
Address:  66.96.162.92

Из-за суффиксов утилита nslookup выдала совсем не тот результат, который выдаст например пинг:

ping ya.ru -n 1
Обмен пакетами с ya.ru [87.250.250.242] с 32 байтами данных:
Ответ от 87.250.250.242: число байт=32 время=170мс TTL=52

Это поведение иногда приводит в замешательство начинающих системных администраторов.

Лично сталкивался с такой проблемой: в домене nslookup выдавал всегда один и тот же адрес в ответ на любой запрос. Как оказалось, при создании домена кто-то выбрал имя domain.com.ru, не принадлежащее организации в «большом интернете». Nslookup добавляла ко всем запросам имя домена, затем родительский суффикс – com.ru. Домен com.ru в интернете имеет wildcard запись, то есть любой запрос вида XXX.com.ru будет успешно разрешен. Поэтому nslookup и выдавал на все вопросы один ответ. Чтобы избежать подобных проблем, не рекомендуется использовать для именования не принадлежащие вам домены.

При диагностике стоит помнить, что утилита nslookup работает напрямую с сервером DNS, в отличие от обычного распознавателя имен. Если вывести компьютер из домена и расположить его в другой подсети, nslookup будет показывать, что всё в порядке, но без настройки суффиксов DNS система не сможет обращаться к серверам по коротким именам.

Отсюда частые вопросы – почему ping не работает, а nslookup работает.

В плане поиска и устранения ошибок разрешения имен могу порекомендовать не бояться использовать инструмент для анализа трафика – сниффер. С ним весь трафик как на ладони, и если добавляются лишние суффиксы, то это отразится в запросах DNS. Если запросов DNS и NetBIOS нет, некорректный ответ берется из кэша.

Если же нет возможности запустить сниффер, рекомендую сравнить вывод ping и nslookup, очистить кэши, проверить работу с другим сервером DNS.

Кстати, если вспомните любопытные DNS-курьезы из собственной практики – поделитесь в комментариях.

Премущества и возможности доменной сети

Опубликовано 29.07.2022

Доменная сеть

Компьютеры для удобства объединяют в сети, созданные по принципу рабочих групп или доменов. Первый вариант служит для администрирования одноранговых устройств. Здесь нет компьютера, который выполняет роль сервера. Отдельный пользователь сам определяет уровень своего взаимодействия с другими элементами сети. Но и сисадмину придется постараться, прежде чем он настроит все ПК по отдельности. Управлять рабочей группой и вносить коррективы в ПО достаточно сложно, когда в сеть входит более 5 компьютеров.

Выход есть. Это — доменная сеть, где один ПК выполняет роль сервера (хранящего все пользовательские учетные данные), а остальные являются клиентами. Пользователи взаимодействуют между собой в пределах, установленных контроллером домена. Именно он отвечает за применение групповых политик и позволяет настроить все компьютеры в сети одновременно. Количество устройств при этом не ограничено.

Зачем нужна доменная локальная сеть

Доменная сеть широко применяется на предприятиях. Ведь с ее помощью гораздо легче:

• управлять доступом сотрудников;
• контролировать интернет-серфинг;
• выполнять работу системного администратора, имея доступ ко всем компьютерам;
• обеспечивать безопасность рабочих мест и конфиденциальной информации;
• рассредоточивать ресурсы между сотрудниками;
• подключать периферийные устройства общего пользования и т. д.

Рабочие группы так контролировать невозможно. Но и создавать доменную сеть из 2 — 3 компьютеров экономически невыгодно.

Как создать доменную сеть в «Виндовс»

Вкратце рассмотрим основные моменты формирования локальной вычислительной сети на Windows. После установки и подключения оборудования необходимо сделать следующее:

• Инсталлировать ОС на сервер, выполнить начальные настройки, определить роли server.
• Присвоить имя и статический айпи серверу, выполняющему роль контроллера домена.
• Перезагрузить server и инсталлировать Active Directory.
• Сформировать учетные записи пользователей, объединить их в группы согласно организационной политике.
• Подготовить рабочие места — установить и настроить операционную систему каждому клиенту.
• Инсталлировать и настроить DHCP-сервер для получения сетевыми устройствами айпи-адресов.
• Включить в доменную сеть все компьютеры-клиенты.
• Активировать Windows и назначить с помощью групповых политик локального администратора для всех ПК-клиентов.
• Сформировать обратную зону в DNS (чтобы преобразовывать IP в доменное имя).
• Сделать так, чтобы пользователи не могли самостоятельно добавлять девайсы в домен.
• Наладить механизм восстановления.
• Инсталлировать принтер при помощи групповых политик.

Это основные этапы создания доменной сети. Далее объясним некоторые термины, упомянутые в алгоритме.

Служба DNS

DNS — Domain Name System — система, отвечающая за считывание сведений об именах устройств и обмен этими данными. Ее задача заключается в связи доменных имен с IP-адресами устройств. У одного девайса в сети есть только одно доменное имя и один айпи.

Большие компании (Yandex, Google и др.) создают по несколько IP. Это обеспечивает надежную бесперебойную работу серверов. Действует это так. Обычно пользователю присваивают один и тот же айпи. Но, если привычный сервер сильно загружен, пользователь перенаправляется на другой. При этом, соответственно, меняется и IP.

IP-адрес

IP-адрес идентифицирует сетевое устройство (компьютер, маршрутизатор, МФУ и т. д.). Он уникален, как серия и номер паспорта гражданина. IP присваивают вручную или автоматически (с помощью DHCP-сервера).

Active Directory

Active Directory — систематизированный каталог информации, которая помогает управлять созданной ЛВС. К таким сведениям относятся данные учетных записей юзеров, сетевых устройств и т. д. На Windows Server служба называется AD Active Directory, на Linux — LDAP Lightweght Directory Access Protocol.

Доменные имена в сети интернет

В состав сайта входит одна или несколько веб-страниц с содержимым, которые размещены на физическом веб-сервере. Доменное имя выступает в роли адреса в интернете, показывающего, где лежит конкретный сайт. Вводя в строку поиска эту информацию, мы даем понятное указание браузеру на путь к нужному серверу. Ранее для определения адреса применяли цифры — IP. В связи со сложностью запоминания этой информации людьми айпи заменили на понятные человеку доменные имена. Например, вместо 139.15.246.68 мы вводим mail.ru. Функция доменного имени состоит в упрощении запоминания адреса интернет-ресурса. Поэтому, когда выбирают домен, используют короткие памятные слова или словосочетания.

Как применяют доменное имя

Домен используют для:

• Настройки e-mail. В качестве домена часто применяют название своей компании. Это повышает уровень доверия клиентов. Например, ФИсотрудника@имякомпании.ru.
• Паркинга. Ваш сайт еще не готов, но удобный адрес можно приобрести заранее, чтобы никто не успел занять его. Купите домен и повесьте баннер, который уведомляет посетителей о запуске портала в скором времени.
• Переадресации. Функция перенаправляет посетителей сайта на новый портал. Это применяют при изменении домена интернет-ресурса, чтобы не потерять пользователей. Последние вводят старый адрес, а веб-обозреватель самостоятельно открывает новый.

Доменное имя — состав

В состав доменного имени входит минимум 2 уровня, разделенных точками. Они размещены по иерархии, начиная с правой части — домены I, II, III уровня. Благодаря такому порядку браузер быстро находит нужный сервер и сайт.

I уровень

Самый правый элемент — домен I или верхнего уровня. Среди них выделяют 2 типа:

• Географические, или национальные. Представляют собой 2 литеры, связанные с международным кодом конкретного государства — .ru, .eu, .ua и т. д. Для экономии средств пользователи приобретают дешевый домен какой-либо маленькой страны.
• Тематические, или общие. Например, военный .military, коммерческий .com, правительственный .gov. На практике (за некоторыми исключениями) пользователь может купить любое имя, не соблюдая требования по соответствию сайта определенной тематике.

Есть еще и домен 0 уровня — «.» справа от домена I уровня. Но ее обычно не указывают.

II уровень

Слева от домена I уровня находится домен II уровня (материнский, основной). Выглядит как имя сайта, состоящее из уникального сочетания цифр и букв. Например, в названии mail.ru слово mail является доменом II уровня. Установленное наименование должно быть уникальным и зарегистрированным специальной компанией — регистратором доменов, также продлевающим действующие имена.

III уровень

Еще левее размещен домен III уровня (субдомен, поддомен). Он служит для разбиения интернет-ресурса на разделы. К примеру, набрав pogoda.mail.ru, пользователь сразу переходит на страницу с прогнозом погоды, не посещая при этом главную страницу сайта. Таким образом, pogoda — это субдомен. К задачам последних относится:

• Формирование понятной и удобной структуры сайта.
• Устранение необходимости создания доп. адресов для разделов интернет-ресурса.
• Возможность отдельной индексации страниц сайта поисковыми системами — каждый из блоков продвигается в выдаче отдельно друг от друга.

Собственник материнского домена может создавать неограниченное количество поддоменов.

Слева от субдомена размещен домен IV уровня (суб-субдомен).

Как подключить компьютер к доменной сети

Рассмотрим 3 способа подключения компьютера к доменной сети.

С помощью графического интерфейса

Кликаем ПКМ по «Этот компьютер» в проводнике и открываем свойства. Пролистываем системные характеристики и останавливаемся на блоке «Имя компьютера, имя домена…». Щелкаем «Изменить параметры».

В новом окне кликаем «Изменить».

В строке вводим имя домена и после OK следуем подсказкам системы.

Через командную строку

Используем командную строку с админскими правами. Вводим

> netdom join %имякомпьютера% /domain:sarta.local /userd:sartaадмин /passwordd:пароль, где:

• имя компьютера — найдете в системном интерфейсе (описано в блоке чуть выше);
• sarta.local — имя домена;
• админ — логин учетной записи;
• пароль — пароль аккаунта администратора.

Обязательно перезагружаем ПК, и при следующем включении он присоединяется к домену.

При помощи PowerShell

Запускаем PowerShell с админскими правами и применяем командлет

> Add-Computer -DomainName sarta.local -Credential sartakdo (данные взяты из предыдущего примера). Нажимаем «Энтер» и вводим данные учетной записи администратора. По окончании операции перезагружаем компьютер.

Компьютер выпал из домена — что делать

Если компьютер не видит домен, то необходимо воспользоваться графическим интерфейсом системы и:

• сначала указать, что ПК является членом рабочей группы;

• перезагрузить устройство;
• снова ввести компьютер в домен.

После перезагрузки ситуация должна нормализоваться.

Заключение

Домен позволяет организации наладить централизованное управление компьютерами сотрудников, ограничивая их действия на рабочих местах. Если у вас возникли вопросы по созданию доменной сети, обратитесь к сотрудникам «АйТи Спектр». Они помогут разрешить сложные ситуации с настройкой доменов и подключением компьютеров и окажут другие меры ИТ-поддержки.

Лекция 3 Домены. Иерархия
доменов

Лекция 3 

Тема: Домены. Иерархия доменов

Операционные системы Windows традиционно
использовали понятие «домена» для
логического объединения компьютеров,
совместно использующих единую политику
безопасности. Домен традиционно выступает
в качестве основного способа создания
областей административной ответственности.
Как правило, каждым доменом управляет
отдельная группа администраторов. В
Active Directory понятие домена было расширено.
Перечислим задачи, которые могут быть
решены путем формирования доменной
структуры. 

• Создание областей административной
ответственности. Используя доменную
структуру, администратор может поделить
корпоративную сеть на области (домены),
управляемые отдельно друг от друга.
Каждый домен управляется своей группой
администраторов (администраторы домена).
Однако хотелось бы еще раз отметить,
что существуют и другие способы
формирования административной иерархии
(организация подразделений), речь о
которых пойдет дальше. С другой стороны,
построение доменной иерархии является
отличным способом реализации
децентрализованной модели управления
сетью, когда каждый домен управляется
независимо от других. Для этого каждую
административную единицу необходимо
выделить в отдельный домен.

• Создание областей действия политики
учетных записей. Политика учетных
записей определяет правила применения
пользователями учетных записей и
сопоставленных им паролей. В частности
задается длина пароля, количество
неудачных попыток ввода пароля до
блокировки учетной записи, а также
продолжительность подобной блокировки.
Поскольку эти вопросы решаются
организационно на уровне всего домена,
данный комплекс мер принято называть
политикой учетных записей. (Эти политики
нельзя определять на уровне подразделений!)

• Разграничение доступа к объектам.
Каждый домен реализует собственные
настройки безопасности (включая
идентификаторы безопасности и списки
контроля доступа). Разнесение пользователей
в различные домены позволяет эффективно
управлять доступом к важным ресурсам.
С другой стороны, применение доверительных
отношений (trust relationships) позволяет
обеспечить пользователям одного домена
доступ к ресурсам других доменов.

• Создание отдельного контекста имен
для национальных филиалов. В случае,
если компания имеет филиалы, расположенные
в других странах, может потребоваться
создать отдельный контекст имен для
каждого такого филиала. Можно отразить
в имени домена географическое либо
национальное местоположение филиала.

• Изоляция трафика репликации. Для
размещения информации об объектах
корпоративной сети используются доменные
разделы каталога. Каждому домену
соответствует свой раздел каталога,
называемый доменным. Все объекты,
относящиеся к некоторому домену,
помещаются в соответствующий раздел
каталога. Изменения, произведенные в
доменном разделе, реплицируются
исключительно в пределах домена.
Соответственно, выделение удаленных
филиалов в отдельные домены может
позволить существенно сократить трафик,
вызванный репликацией изменений
содержимого каталога. Необходимо
отметить, однако, что домены являются
не единственным (и даже не основным)
способом формирования физической
структуры каталога. Того же самого
результата администратор может добиться
за счет использования механизма сайтов.

• Ограничение размера копии кaталога.
Каждый домен Active Directory может содержать
до миллиона различных объектов. Тем не
менее, реально использовать домены
такого размера непрактично. Следствием
большого размера домена является большой
размер копии каталога. Соответственно,
огромной оказывается нагрузка на
серверы, являющиеся носителями подобной
копии. Администратор может использовать
домены как средство регулирования
размера копии каталога.

 Иерархия доменов

Для
именования доменов используется
соглашение о доменных именах. Имя домена
записывается в форме полного доменного
имени (Fully Qualified Domain Name, FQDN), которое
определяет положение домена относительно
корня пространства имен. Полное доменное
имя образуется из имени домена, к которому
добавляется имя родительского домена.
Так, например, для домена kit, являющегося
дочерним по отношению к домену khsu.ru,
полное доменное имя будет записано в
форме kit. khsu.ru.

Выбор подобной схемы именования позволил
формировать доменное пространство
имен, аналогичное пространству имен
службы DNS. Отображение доменов Active
Directory на домены DNS позволило упростить
процессы поиска серверов служб и
разрешения имен, осуществляемые серверами
DNS в ответ на запросы клиентов службы
каталога. 

Следует заметить, что каждому домену
Active Directory помимо DNS имени сопоставлено
уникальное NetBIOS-имя. Это имя используется
для идентификации домена клиентами
Windows 9x/NT.

Совокупность доменов, использующих
единую схему каталога, называется лесом
доменов (forest). Строго говоря, входящие
в лес домены могут не образовывать
«непрерывного» пространства смежных
имен. Тем не менее, так же как и в случае
пространства имен DNS, домены Active Directory
могут образовывать непрерывное
пространство имен. В этом случае они
связываются между собой отношениями
«родитель-потомок». При этом имя
дочернего домена обязательно включает
в себя имя родительского домена.
Совокупность доменов, образующих
непрерывное пространство смежных имен,
называют деревом доменов (domain tree) (рис.
1). Лес может состоять из произвольного
количества деревьев домена.

Рис. 1. Дерево и лес доменов

Первое созданное в лесу доменов дерево
является корневым деревом.

Корневое дерево используется для ссылки
на лес доменов. Первый созданный в дереве
домен называется корневым доменом
дерева (tree root domain), который используется
для ссылки на данное дерево. Совершенно
очевидно, что корневой домен является
определяющим для всего дерева.

Соответственно, первый домен, созданный
в лесу доменов, называется корневым
доменом леса (forest root domain). Корневой домен
леса играет очень важную роль, связывая
деревья, образующие лес доменов, воедино
и поэтому не может быть удален. В
частности, он хранит информацию о
конфигурации леса и деревьях доменов,
его образующих.

Особое внимание необходимо уделить
вопросу именования доменов и, в частности,
корневого домена. Для корневого домена
лучше всего использовать доменное имя
второго уровня. 

Контроллеры домена

Серверы Windows Server,  на которых
функционирует экземпляр службы каталога
Active Directory, называются контроллерами
домена (domain controller, DC). Контроллеры домена
являются носителями полнофункциональных
копий каталога. Применительно к Windows
Server  контроллеры домена выполняют
задачи, перечисленные ниже. 

• Организация доступа к информации,
содержащейся в каталоге, включая
управление этой информацией и ее
модификацию. Контроллер домена может
рассматриваться как LDAP-сервер,
осуществляющий доступ пользователя к
LDAP-каталогу.

• Синхронизация копий каталога. Каждый
контроллер домена является субъектом
подсистемы репликации каталога. Любые
изменения, осуществляемые в некоторой
копии каталога, будут синхронизированы
с другими копиями.

• Централизованное тиражирование
файлов. Служба репликации файлов,
функционирующая на каждом контроллере
домена, позволяет организовать в
корпоративной сети централизованное
тиражирование необходимых системных
и пользовательских файлов (включая
шаблоны групповой политики).

• Аутентификация пользователей.
Контроллер домена осуществляет проверку
полномочий пользователей, регистрирующихся
на клиентских системах. Каждый контроллер
домена Windows Server  может рассматриваться
как Центр распределения ключей (KDC)
Kerberos.

Особенно следует отметить тот факт, что
все контроллеры домена обладают
возможностью внесения изменений в
собственную копию каталога. Это позволяет
рассматривать любой контроллер домена
как точку административного воздействия
на корпоративную сеть. Практически все
административные утилиты работают в
контексте какого-либо контроллера
домена. Это означает, что администратор
может осуществлять конфигурирование
службы каталога и сети, подключившись
к любому контроллеру домена Active Directory.