Лес AD
Лес Active Directory (AD Forest)
1. Определение
Лес (Forest) в Active Directory — это высший уровень логической структуры, который содержит один или несколько связанных доменов. Все домены в лесу разделяют:
- Общую схему (Schema)
- Общий каталог конфигураций (Configuration)
- Общий глобальный каталог (Global Catalog)
- Общие политики безопасности
- Единую инфраструктуру доверия (Trusts)
Лес является границей безопасности в Active Directory, и объекты из одного леса не могут напрямую взаимодействовать с объектами другого леса без явного настройки доверительных отношений.
2. Основные компоненты леса
| Компонент | Описание |
|---|---|
| Схема (Schema) | Определяет типы объектов и атрибутов, которые можно создавать в лесу |
| Конфигурационный контейнер (Configuration Container) | Хранит информацию о топологии леса, сайтах, службах и репликации |
| Домены (Domains) | Логические подразделения внутри леса, имеющие собственные пользователей, групп и политики |
| Глобальный каталог (Global Catalog, GC) | Сервер, содержащий частичную копию всех объектов во всех доменах леса для ускорения поиска |
| FSMO-роли уровня леса | Роли управления: Schema Master и Domain Naming Master |
3. Типы лесов
| Тип леса | Описание |
|---|---|
| Единый лес (Single Forest) | Содержит один домен, используется в небольших компаниях |
| Многоуровневый лес (Multi-Domain Forest) | Включает несколько доменов, объединённых общими политиками и доверием |
| Распределённый лес (Distributed Forest) | Используется в крупных организациях для разделения доменов по географическим или функциональным признакам |
| Гибридный лес (Hybrid Forest) | Интегрирован с Azure AD через Azure AD Connect для работы в облаке и локально |
4. Создание леса Active Directory
Этапы создания:
- Установка роли AD DS
- На Windows Server откройте "Server Manager"
- Перейдите в "Add Roles and Features"
-
Выберите "Active Directory Domain Services"
-
Промоушен сервера в контроллер домена
-
Запустите мастер повышения привилегий (dcpromo.exe) или PowerShell:
powershell Install-ADDSForest -DomainName "corp.example.com" -
Выбор режима
-
Укажите, что вы создаёте новый лес
-
Настройка параметров леса
- Уровень функциональности леса и домена (например, Windows Server 2019)
-
Пароль режима восстановления директории (DSRM)
-
Завершение установки
- Сервер перезагрузится и станет первым контроллером домена в новом лесу
5. Функциональные уровни леса
Функциональные уровни определяют доступные функции и совместимость с версиями Windows Server.
| Уровень | Поддерживаемые версии сервера | Возможности |
|---|---|---|
| Windows 2003 | Windows Server 2003 и выше | Устаревший |
| Windows 2008 | Windows Server 2008 и выше | Добавлены улучшения в GPO и управление паролями |
| Windows 2008 R2 | Windows Server 2008 R2 и выше | Поддержка RODC, Fine-Grained Password Policies |
| Windows 2012 | Windows Server 2012 и выше | Клонирование контроллеров, Kerberos Armoring |
| Windows 2012 R2 | Windows Server 2012 R2 и выше | Managed Service Accounts, Privileged Access Management |
| Windows 2016 / 2019 / 2022 | Современные версии | Защита от Pass-the-Hash, Credential Guard, Cloud Integration |
После повышения функционального уровня его нельзя понизить!
6. FSMO-роли на уровне леса
| Роль | Описание |
|---|---|
| Schema Master | Только один контроллер может изменять схему леса |
| Domain Naming Master | Отвечает за добавление и удаление доменов в лесу |
Эти роли должны быть корректно распределены между контроллерами домена для обеспечения отказоустойчивости.
7. Глобальный каталог (Global Catalog, GC)
GC — это сервер, хранящий частичную копию всех объектов из всех доменов леса. Он помогает:
- Быстро находить объекты вне текущего домена
- Повышать производительность поиска
- Обрабатывать вход пользователей в многоуровневых лесах
Как работает GC:
- По умолчанию первый контроллер домена в лесу становится GC
- Можно назначить дополнительные GC-серверы через "Active Directory Sites and Services"
Порт GC:
- TCP 3268 — LDAP
- TCP 3269 — LDAPS (защищённое соединение)
8. Доверительные отношения между лесами
Если требуется интеграция с внешними лесами, используются доверительные отношения (Trusts):
| Тип доверия | Описание |
|---|---|
| Внутрилесовое доверие (Implicit Trust) | Автоматически созданное между доменами одного леса |
| Явное доверие (Explicit Trust) | Создаётся вручную между доменами разных лесов |
| Двустороннее/Одностороннее | Направление передачи доверия |
| Транзитивное/Нетранзитивное | Распространяется ли доверие на другие домены |
| Краткосрочные/Долгосрочные | Для временной или постоянной интеграции |
9. Преимущества использования нескольких лесов
| Причина | Преимущество |
|---|---|
| Изоляция данных | Полная логическая изоляция между бизнес-подразделениями |
| Разделение администрирования | Разные команды управляют разными лесами |
| Поглощение компаний | Удобство при слияниях и поглощениях |
| Разделение политик безопасности | Разные требования к безопасности |
| Облачная интеграция | Разные лесы могут иметь разную степень интеграции с Azure AD |
10. Примеры использования леса в реальной жизни
| Сценарий | Реализация |
|---|---|
| Крупная корпорация с филиалами | Много доменов в одном лесу с централизованной политикой |
| Многопрофильная группа компаний | Разные леса для каждого юридического лица |
| IT-аутсорсинговая компания | Отдельный лес для клиентов с безопасной интеграцией |
| Гибридное облако | Лес интегрирован с Azure AD через Azure AD Connect |
| Безопасная среда разработки | Тестовый лес, полностью изолированный от рабочего |
11. Диагностика и мониторинг леса
| Инструмент | Назначение |
|---|---|
| forestinfo | Анализ состояния леса |
| repadmin | Проверка репликации между доменами |
| dcdiag | Диагностика здоровья контроллеров |
| Event Viewer | Логи событий безопасности и ошибок |
| PowerShell (Get-ADForest) | Получение информации о лесу |
| Azure AD Connect Health | Для гибридных лесов |
12. Лучшие практики при работе с лесом
| Практика | Описание |
|---|---|
| Не использовать больше одного леса без необходимости | Это усложняет управление и синхронизацию |
| Регулярно проверять репликацию | Чтобы избежать рассинхронизации и потерь данных |
| Резервировать FSMO-роли | Не допускать их потерю при выходе из строя сервера |
| Интегрировать с Azure AD при необходимости | Использовать Azure AD Connect |
| Резервное копирование системного состояния | Важно для восстановления леса после сбоев |
| Контроль доступа к FSMO-ролям | Ограничивать права администраторов |
| Использовать минимальные привилегии | Избегать наделения пользователями избыточных прав |