Домен Active Directory
При переходе на доменную сеть схема несколько меняется. В нашей сети появляется еще один игрок – контроллер домена Active Directory. Это сервер под управлением одной из серверных операционных систем начиная от Windows Server 2000 и заканчивая Windows Server 2012 за исключением Web-редакций.
Контроллер домена хранит все учетные записи для пользователей и компьютеров входящих в его домен. Если в рабочей группе для аутентификации создавались учетные записи для каждого пользователя, то в домене Active Directory вместе с пользовательскими учетными записями создаются учетные записи для компьютеров. Это обязательно. Если на одном компьютере будет работать 3 человека, будут созданы три учетных записи пользователя и одна учетная запись компьютера. В отличие от рабочей группы учетные записи создаются на контроллере домена, там же они и хранятся. Соответственно каждая учетная запись создается только один раз. Сердцем контроллера домена является файл ntds.dit, который и содержит учетные записи для вашего домена (и не только записи).
Теперь при загрузке компьютера человек вводит ту учетную запись и пароль которые были прописаны на контроллере домена. Эти данные пересылаются на контроллер домена и сравниваются с тем, что было задано администратором сети при создании учетной записи. Если имя и пароль были введены правильно, контроллер домена аутентифицирует учётную запись. Учетная запись получает, что-то вроде паспорта, который дает право находиться в сети, но не гарантирует получения доступа к ресурсам, т.к. был пройден только первый этап (аутентификация). В дальнейшем, когда пользователь захочет обратиться к ресурсам файлового сервера, учётная запись снова обратится к контроллеру домена и предоставит ему свой “паспорт”, контроллер, убедившись, что учётная запись аутентифицирована, выдаст “визу” с помощью которой можно будет установить соединение с файловым сервером. Причем данная “виза” (более правильно Билет сеанса) даст право подключиться только к данному серверу и только в течении определенного времени. Это и есть процесс авторизации.
Для нормальной работы в сети ваш контроллер домена должен быть постоянно доступен и быть готов отвечать на запросы клиентов 24 часа в сутки. И если вдруг контроллер выйдет из строя, то клиенты сети не смогут аутентифицироваться и войти в домен, что повлечет за собой невозможность подключиться к ресурсам домена.
Контроллер домена и dns сервер
Как клиент узнает IP-адрес контроллера что бы передать ему данные, введенные пользователем? Ведь ни имя, ни тем более IP-адрес контроллера домена не задается на клиентах.
Ответ скрывается в базовом правиле Active Directory, говорящем о том что Active Directory не функционирует без системы разрешения имен DNS. Когда вы только настраиваете первый контроллер, служба DNS в вашей сети уже должна быть поднята. Если вдруг мастер установки Active Directory не обнаружит работающей службы DNS, она будет установлена на этот же сервер вместе со службой AD и должным образом сконфигурирована. В DNS будет автоматически создана зона с именем вашего домена и в этой зоне появятся записи специального типа SRV, которые будут указывать на ваш контроллер. Следовательно, клиент который работает в этом домене должен быть настроен на использование этого dns-сервера в качестве предпочитаемого. И перед обращением к контроллеру домена, клиент осуществит запрос к DNS-серверу с просьбой сообщить ему SRV-запись для домена в котором он работает. Таким образом, он в результате получит IP-адрес нужного контроллера и сможет переслать данные.
Важно: На практике все контроллеры домена по совместительству несут на себе службу DNS. И причин разделять на разных серверах DNS и контроллеры домена внутри вашей сети нет. (единственный случай где имеет смысл разделение это вынос DNS сервера за пределы вашей сети в демилитаризованную зону).
