Skip to content

Контроллер домена AD

Контроллер домена в Active Directory

1. Определение

Контроллер домена (Domain Controller, DC) — это сервер, на котором установлена роль Active Directory Domain Services (AD DS) и который отвечает за управление безопасностью и информацией о пользователях, компьютерах, группах и других объектах в пределах домена Active Directory.

Контроллер домена является центральным элементом инфраструктуры Active Directory и обеспечивает:

  • Аутентификацию пользователей и компьютеров
  • Авторизацию доступа к ресурсам
  • Хранение и синхронизацию каталога AD
  • Реализацию политик безопасности

2. Роль контроллера домена в Active Directory

Функция Описание
Аутентификация Проверяет учетные данные при входе пользователя или компьютера в домен
Хранение данных каталога Содержит полную или частичную копию базы Active Directory
Репликация Обменивается данными с другими контроллерами домена для поддержания целостности каталога
Политики групп (GPO) Применяет настройки безопасности и конфигурации ко всем членам домена
DNS-служба Может одновременно быть DNS-сервером, что необходимо для поиска служб AD
Управление объектами Управляет пользователями, группами, компьютерами и OU через Active Directory Users and Computers (ADUC)

3. Типы контроллеров домена

Тип контроллера Описание
Основной контроллер домена (PDC Emulator FSMO Role Owner) Отвечает за обратную совместимость с NT4, обработку изменений паролей
Инфраструктурный контроллер (Infrastructure Master FSMO Role Owner) Отслеживает изменения ссылок между объектами разных доменов
Роль RID Master (Relative Identifier Master) Выделяет пулы RID для создания уникальных SID
Доменный хранитель схемы (Schema Master FSMO Role Owner) Единственный контроллер, который может вносить изменения в схему AD
Хранитель именования (Domain Naming Master FSMO Role Owner) Управляет добавлением/удалением доменов в лесу

В каждом лесу и домене только один сервер может занимать каждую из этих ролей FSMO (Flexible Single Master Operation).

4. Как работает контроллер домена?

Этапы работы:

  1. Запрос аутентификации
  2. Пользователь вводит логин и пароль.

  3. Запрос отправляется на ближайший контроллер домена.

  4. Проверка учетных данных

  5. DC сверяет данные с базой Active Directory.

  6. Если данные верны, генерируется тикет Kerberos.

  7. Выдача прав

  8. Пользователь получает доступ к разрешённым ресурсам.

  9. Политики групп применяются автоматически.

  10. Репликация изменений

  11. Все изменения (например, новый пользователь) реплицируются на другие DC в домене.

  12. Синхронизация времени

  13. Все контроллеры домена синхронизируют время с PDC Emulator.

5. Настройка контроллера домена

Шаги установки:

  1. Подготовка сервера
  2. Установить Windows Server (2012 R2 и выше)
  3. Назначить статический IP-адрес

  4. Настроить корректное имя хоста и DNS

  5. Добавление роли AD DS

  6. Открыть "Server Manager"
  7. Перейти в "Add Roles and Features"

  8. Выбрать "Active Directory Domain Services"

  9. Промоушен сервера в контроллер домена

  10. Использовать мастер повышения привилегий (dcpromo.exe) или PowerShell: powershell Install-ADDSForest -DomainName "corp.example.com" -InstallDns

  11. Выбор режима

  12. Создание нового леса или домена

  13. Добавление к существующему лесу как дополнительного контроллера

  14. Настройка DNS

  15. Интеграция с AD-integrated DNS

  16. Проверка SRV-записей после установки

  17. Тестирование

  18. Проверить доступность контроллера через dcdiag, repadmin, nltest

6. Архитектура и размещение контроллеров домена

Фактор Рекомендации
Минимум два контроллера Для отказоустойчивости и репликации
Географическое расположение Размещение в каждом филиале или офисе
Физические vs виртуальные машины Поддерживаются оба варианта, но требуется соблюдение особенностей виртуализации
Резервное копирование Регулярное создание бэкапов системного состояния
Обновления Регулярное обновление ОС и компонентов AD

7. Безопасность контроллера домена

Контроллер домена — самый важный и уязвимый элемент в инфраструктуре. Его компрометация может привести к полному контролю над всей сетью.

Меры безопасности:

Мера Описание
Ограниченный доступ Только администраторы могут входить на контроллер
Отсутствие сторонних приложений Не устанавливать ненужные программы
Шифрование дисков Использовать BitLocker
Мониторинг активности Логировать все события аутентификации и изменений
Резервное копирование Бэкап системного состояния и AD
Обновления безопасности Регулярно применять обновления Windows
Защита от DCSync-атак Ограничить права высокопривилегированных аккаунтов

8. Восстановление контроллера домена

Возможные сценарии восстановления:

Сценарий Описание
Восстановление системного состояния Из бэкапа восстанавливаются данные AD, SYSVOL, реестр
Автономное восстановление AD (IFM) Используется предварительно подготовленный образ
Нонавтономное восстановление Восстановление с работающего контроллера
Переустановка контроллера При потере данных используется метадата-очистка и повторный dcpromo

9. Диагностика и мониторинг контроллеров домена

Инструмент Назначение
dcdiag Диагностика здоровья контроллера
repadmin Проверка и принудительная репликация
Event Viewer Просмотр событий безопасности и ошибок
nltest Диагностика связи между клиентами и контроллерами
Active Directory Replication Status Tool (ADReplStatus) Графический интерфейс для анализа репликации
Performance Monitor (PerfMon) Анализ производительности контроллера

10. Лучшие практики управления контроллерами домена

Практика Описание
Не использовать DC как универсальный сервер Не устанавливать на него приложения, почту, веб-сервисы
Использовать минимальный набор ролей Только AD DS, DNS (при необходимости), DHCP (редко)
Разделение ролей FSMO Распределять их между несколькими контроллерами
Регулярное тестирование резервного копирования Проверять возможность восстановления
Контроль версии ОС Держать актуальной версию Windows Server
Интеграция с Azure AD Для гибридных сред использовать Azure AD Connect
Мониторинг доступа Использовать SIEM-системы для анализа событий безопасности