Настройка контроллеров домена в разных подсетях

Zerox Обновлено: 07.06.2015 Windows 42 комментария 61,738 Просмотры

Проверка действующего контроллера домена

На старом сервере запускаем утилиты dcdiag и netdiag и убеждаемся что никаких ошибок они не находят. Эти утилиты входят в состав Support Tools и если при запуске одной из утилит выскакивает сообщение

‘название утилиты’ is not recognized as an internal or external command, operable program or batch file.

, то их необходимо установить. Либо с установочного диска Windows 2003, либо с официального сайта. Если никаких ошибок не обнаружено, то идем дальше, если же появляются ошибки, то исправляем их. В принципе достаточно воспользоваться поиском по каждой из ошибок и найти решение.

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

  • Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
  • Устанавливаем контроллер домена во второй подсети и добавляем его в домен
  • Настраиваем между доменами репликацию
Читайте также:  4 эффективных способа включить Windows Defender

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться

Настройки политики

Каждая политика доступна для настройки. Открывается окно редактирования параметров по двойному щелчку на определенную строку. Вид окон может отличаться, все зависит от выбранной политики.

Стандартное простое окно имеет три различных состояния, которые настраиваются пользователем. Если точка стоит напротив «Не задано», то политика не действует. «Включить» – она будет работать и активируются настройки. «Отключить» – находится в рабочем состоянии, однако параметры не применяются.

Рекомендуем обратить внимание на строку «Поддерживается» в окне, она показывает, на какие версии Windows распространяется политика.

Восстановить настройки редактора локальной групповой политики

  • Чтобы восстановить параметры групповой политики, все что нужно сделать это скопировать содержимое резервной копии и вставить их в исходную папку по пути C: \ Windows \ System32 \ GroupPolicy.
  • Перезагрузите вашу систему и изменения настроек групповой политики вступят в силу.

Восстановить настройки редактора локальной групповой политики

Смотрите еще:

  • Как сделать полную резервную копию Windows 10 и Windows 8.1
  • Как Сделать Резервную Копию Драйверов Windows 10
  • Резервное копирование и восстановление реестра Windows
  • Как создать диск восстановления Windows 10
  • Как изменить имя профиля сети в Windows 

Основы групповой политики

Чтобы лучше понять, как технология Group Policy функционирует в среде Active Directory, необходимо разобраться с тем, каким образом она работает «за кулисами». Если вы только начали знакомство с групповой политикой, то довольно быстро увидите, что многие премагаемые ею средства обладают преимуществами по срав­ нению со старыми технологиями, такими как системные политики.

Репликация групповой политики является встроенной

Объекты GPO реплицируют себя автоматически, не требуя какой-либо работы с вашей стороны. Среда Active Directory реплицируется с использованием репликаuии АО Rep\ication (управляемой средством проверки целостности знаний (Knowledge Consistency Checker) и генератором межсайтовой топологии (lntersite Topology Generator)) и управляется службой репликации файлов (File Replication Service) или службой распределенной репликации файлов (Distributed File Replication Service).

Объекты GPO самостоятельно выполняют очистку при удалении

Все настройки административных шаблонов G PO записывают свою информа­ цию в определенные части реестра и самостоятельно производят очистку, когда на­стройка политики или объект GPO удаляется. Это исправляет давнюю проблему, присущую технологии управления политика­ ми при первом ее появлении. Например, предположим, что вы создали в унасле­ дованной системе системную политику, которая устанавливает для всех пользова­телей цвет фона в какой-то раздражающий оттенок и также настроили политику,препятствующую им изменять этот uвет. Такие настройки записываются в реестр. Ранее после удаления политики записи в реестре не уничтожались, следовательно, раздражающий цвет фона оставался в системе. Часто это называли «татуировкой». Вам пришлось бы настроить вторую политику, чтобы исправить настройки в реест­ре. В случае объектов GPO в этом нет необходимости. Удаление политики устраняет все ее влияние.

для применения настроек СРО вход не требуется

Реальную славу групповой политике приносит фоновое обновление. Поскольку все компьютеры в домене проверяют наличие изменений каждые 90 минут или около того, настройки политики применяются непрерывно. Это означает, что на­ стройка, которую вы сделали в понедельник в 6:00, предназначенная для управле­ния какой-то настройкой безопасности на каждом рабочем столе, не требует, чтобы все компьютеры находились в функционирующем состоянии. Взамен к компьютеру будет применено фоновое обновление, когда пользователь в 8:00 прибудет на свое рабочее место. Машины Windows 2000 Server и более поздних версий с Active Directory получают свои настройки политики из домена, членами которого являются, после включения электропитания (вспомните, что машины также входят в домен), а пользователи по­лучают политики из своего домена, когда входят в него.