Active Directory Domain Controllerni o'rnatish, sozlash va boshqarish usullari. Reja:
Operatsion tizimni o'rnatish.
VMWare Tools Integration Tools.
Sconfig yordam dasturi.
VMWare infratuzilmasi, vSphere 6.7 xuddi shu gipervisor versiyasi bilan virtualizatsiya platformasi sifatida ishlatiladi. Virtual mashinaning o'zi quyidagi minimal texnik xususiyatlarga ega bo'lishi kerak - 1 yadro, 2 operativ xotira, 30 GB SSD. Infratuzilmani loyihalashda ham virtual mashinalarni, ham xostlarni nomlash masalasi tug'iladi. Bu masalada mening pozitsiyam nomlash to'g'risidagi konventsiyaga qat'iy rioya qilishdir. Masalan, virtual mashina quyidagi nomga ega bo'ladi: kv-dc01.corp.norvato.pp.ua, bu erda Majburiy geografik xususiyat, masalan, kv - Kiev; Dc qisqartmasi domen boshqaruvchisiga tegishli; 01, server seriya raqami. Agar siz o'rnatilgan xizmat bilan bir nechta serverlarni rejalashtirmoqchi bo'lsangiz, raqam kerak; corp.norvato.pp.ua - tashkilotning ichki DNS zonasi. Ta'riflangan usul aniq bir xil talqin tufayli qulaydir. Qanday xizmat turini va qaerda joylashganligini tushunish xavfsizdir. Operatsion tizim Windows Server 2019 Standard Core bo'ladi. Virtual mashinaning konfiguratsiyasida UEFI va Secure Boot yoqilgan bo'lishi kerak. Server standart sifatida o'rnatildi va jarayon tugallangandan so'ng siz o'rnatilgan Administrator hisobi uchun parolni o'rnatishingiz kerak:
Ta'riflangan bosqichlardan so'ng, birinchi domen tekshirgichini o'rnatishdan oldin server oldindan konfiguratsiyaga tayyor. Bu shuni anglatadiki, birinchi zarur qadam VMWare Tools integratsiya vositalarini o'rnatishdir. O'rnatish ushbu harakatni VMRC konsolidan yoki veb-mijozdan chaqirish orqali amalga oshiriladi
VMWare Tools Integration VMRC-ga o'rnatish
ISO fayli virtual mashinaga o'rnatilgandan so'ng, siz D: \ setup64.exe dasturini bajarishingiz kerak va shu bilan integratsiya vositalarini o'rnatishni boshlaysiz. Amaliyot oxirida sehrgar qayta ishga tushirishni so'raydi:
Qayta ishga tushirgandan so'ng, sconfig yordam dasturi serverni keyingi sozlash uchun ishlatiladi. Windows Server 2019 da tezda dastlabki sozlash uchun standart yordamchi dastur sifatida paydo bo'ldi. Siz cmd oynasida sconfig-ni ishga tushirish orqali chaqirib olishingiz mumkin:
Uning yordami bilan biz quyidagi sozlashni amalga oshiramiz:
Server nomi;
Barcha kerakli yangilanishlarni o'rnating;
Biz tarmoq sozlamalarini o'rnatish. Statik IP manzilini o'rnatish;
Tarmoq interfeysining standart holatida, mahalliy IPv6 manzili avtomatik ravishda konfiguratsiya qilinadi. Interfeys dinamik manzilni beradigan IPv6 yo'riqnoma tomonidan biron bir e'lonni kutadi. Agar sizning tarmoq infratuzilmangiz IPv6-dan foydalanmasa, men IPv6-ni qo'llab-quvvatlamaslikni maslahat beraman. Bu quyidagicha amalga oshiriladi:
Get-NetAdapterBinding -InterfaceAlias Ethernet | Select-Object Name,DisplayName,ComponentID Disable-NetAdapterBinding -InterfaceAlias Ethernet -ComponentID ms_tcpip6
Bulutli echimlar IT dunyosida ko'payib borar ekan, foydalanuvchi identifikatorini boshqarish qobiliyati yanada muhim ahamiyat kasb etmoqda. Qattiq so'z bilan aytganda, endi bizga tegishli bo'lmagan dasturlarga kirish uchun korporativ ma'lumotlarini qanday ishlatish haqida o'ylashimiz kerak. Shuningdek, biz boshqa tashkilotlarga bizning dasturlarimizga yuqori darajadagi xavfsizlik va kuchli boshqaruvga ega, ammo foydalanuvchilarni boshqarishdagi murakkab jarayonlarsiz kirish huquqini qanday berishimiz haqida ham g'amxo'rlik qilishimiz kerak. Ushbu imkoniyatni Active Directory xizmatlari (AD FS) taqdim etadi. Ular sizga mahalliy yoki bulutli ilovalarda ulanishlarni o'rnatishga imkon beradi. (Platforma xizmat sifatida [PaaS] yoki dastur sifatida [SaaS]) korporativ identifikatsiyadan foydalangan holda. AD FS uzoq vaqtdan beri mavjud va Windows Server 2019 keyingi darajaga erishish uchun texnologiyaga bir qator yaxshilanishlarni amalga oshirdi. bulutli texnologiyalardan foydalanuvchi tashkilotlarning ehtiyojlari. Quyida AD FS-ning asosiy yaxshilanishlari ro'yxati keltirilgan:
Ko'p faktorli autentifikatsiya. Windows Server 2019 jarayonni soddalashtirish uchun o'rnatilgan Azure MFA adapterini o'z ichiga oladi
asosiy identifikator provayderingiz sifatida Azure Multi-Factor Authentication (MFA) -dan foydalanish. Siz endi MFA serverini mahalliy ravishda joylashtirishingiz shart emas.
Gibrid shartli kirish uchun qurilmani ro'yxatdan o'tkazish.
Endi AD FS-ni qurilmalarning holatini aniqlash uchun sozlashingiz mumkin. Bu siz qurilmalarni boshqarishingiz va kerak bo'lganda qoidalarni qo'llashingiz mumkin degan ma'noni anglatadi. Bu qurilmalar har doim korporativ siyosatlarga muvofiq bo'lishini va korporativ resurslar uchun mumkin bo'lgan xavfni kamaytirishni ta'minlaydi.
Windows 10 va Microsoft Passportning integratsiyasi. Biz Windows 10 foydalanuvchilari uchun qulay autentifikatsiya tajribasini ta'minlash uchun Microsoft Passport va AD FS-larni birlashtirish imkoniyatini yaratdik.
Active Directory-dan foydalanmasdan xavfsiz kataloglarga LDAP integratsiyasi. Ko'pgina tashkilotlar identifikatsiyani boshqarish uchun Active Directory-dan foydalanmaydi. Bunday hollarda AD FS LDAP 3-versiyasini qo'llab-quvvatlaydigan boshqa katalog xizmatlari bilan birlashtirilishi mumkin. Ushbu identifikator provayderlaridan foydalangan holda bulutli integratsiya, Active Directory-dan foydalanish bilan bir xil imkoniyatlardan foydalanishda.