Жүйелерді қорғаудың ең жақсы тәсілдерінің бірі - Active Directory (AD) домен контроллері Windows Server бағдарламасының соңғы нұсқасын іске қосуды қамтамасыз ету. Домен контроллерлері маңызды инфрақұрылым болып табылады, себебі олар қауіпсіздікті және барлық АТ ресурстарыңызға қол жеткізуді қамтамасыз етеді. Егер тұрақты ток бұзылса, бүкіл желіңіз бұзылған деп болжауыңыз керек. Домен контроллерлері хакерлер үшін маңызды мақсаттар болып табылады және оларды қорғау үшін барлық ақылға қонымды қадамдарды жасау керек.

Көптеген ұйымдар әлі де Windows Server 2012 R2 жүйесінде тұрақты токтарды пайдаланады. ОЖ-ға 10/10/2023 жылға дейін Microsoft кеңейтілген қолдауы арқылы қолдау көрсетілсе де, Windows Server жүйесінің кейінгі нұсқалары жергілікті және қашықтағы ақпаратты қорғау үшін Windows Defender, Credential Guard түріндегі кірістірілген зиянды бағдарламадан қорғау сияқты мүмкіндіктерді ұсынатын айтарлықтай қауіпсіз. бұзылған серверлердегі домен тіркелгі деректері, сондай-ақ көптеген қосымша қауіпсіздік жақсартулары, бұл Windows жүйесінің жаңа нұсқаларын қауіпсіз етеді.

Көбінесе ұйымдардың Windows Server бағдарламасының соңғы нұсқасына жаңартуға лицензиясы бар, бірақ мұны жасамайды, себебі олар өндірістік инфрақұрылымына әсер еткісі келмейді. Бірақ AD сипатына байланысты ескі домен контроллерін жаңасымен ауыстыру салыстырмалы түрде оңай. Және маңызды АТ қызметтерін үзбей.

Active Directory қызметінде қандай жаңалықтар бар?

AD DS жақсартулары оның доменінің функционалды деңгейлеріне қатысты. Амалдық жүйені жаңарту немесе Windows Server 2022 іске қосылған домен контроллерлерін бар AD инфрақұрылымыңызға қосу домен функционалдық деңгейлерін автоматты түрде жаңартпайды. Ескі домен контроллері қолданыстан шығарылғаннан кейін оны қолмен жаңартуымыз керек.

Active Directory домен қызметтері әлемге алғаш рет Windows Server 2000 жүйесімен келді. AD DS 21 жылдан астам уақыт бойы ұйымдарға цифрлық сәйкестіктерін басқаруға көмектесіп келеді. Дегенмен, бүгінгі қол жеткізуді басқару талаптары күрделі. Қазіргі уақытта кәсіпорындар бұлтты қызметтерді көбірек пайдаланады. Қызметкерлердің көпшілігі үйден жұмыс істеуді жалғастырады және қорғалмаған желілер арқылы құпия корпоративтік деректерге қол жеткізеді. Көптеген бағдарламалық қамтамасыз ету провайдерлері SaaS үлгісіне көшуде. Киберқылмыс көбейіп, жеке өмірге қауіп төніп тұр. Бұл талаптарды қанағаттандыру үшін бізге бұрынғы қол жеткізуді басқарудан шығу керек. Azure Active Directory – әлемдік деңгейдегі қауіпсіздікті, күшті аутентификацияны және үздіксіз ынтымақтастықты қамтамасыз ете алатын бұлтқа негізделген басқарылатын қызмет ретінде сәйкестендіру (IDaaS) провайдері.

Windows Server 2022 негізгі тақырыптарының бірі – «қауіпсіздік». Windows Server 2022 жүйесіндегі жақсартылған көп деңгейлі қауіпсіздік кеңейтілген қауіптерден жан-жақты қорғауды қамтамасыз етеді. Ол сонымен қатар Windows Server 2022 жүйесінде, соның ішінде Active Directory жүйесінде жұмыс істейтін рөлдерге қауіпсіздіктің қосымша деңгейін қосады.

Active Directory тасымалдауды тексеру тізімі

FSMO рөлдерін жаңа серверге көшіру және доменнің функционалдық деңгейлерін жаңарту бірнеше минуттан аспайды, бірақ тасымалдауға келгенде, біз ескеруіміз керек тағы бірнеше нәрсе бар.

  1. Active Directory көшіру үшін бизнес талаптарыңызды бағалаңыз.
  2. Денсаулығын тексеру үшін бар Active Directory инфрақұрылымын тексеріңіз.
  3. Егжей-тегжейлі іске асыру жоспарын жасаңыз.
  4. Домен контроллері үшін физикалық/виртуалды ресурстарды дайындаңыз
  5. Windows Server 2022 Standard/Data Center орнатыңыз
  6. Серверлеріңізге соңғы Windows жаңартуларын орнатыңыз
  7. Домен контроллеріне арнайы IP мекенжайын тағайындаңыз
  8. AD DS рөлін орнатыңыз
  9. Қолданба мен сервер рөлдерін бар домен контроллерлерінен тасымалдаңыз
  10. FSMO рөлдерін жаңа домен контроллерлеріне көшіріңіз
  11. Қолданыстағы бақылау жүйесіне жаңа домен контроллерлерін қосыңыз
  12. Бар DR шешіміне жаңа домен контроллерлерін қосыңыз
  13. Ескі домен контроллерлерін өшіріңіз
  14. Доменнің функционалдық деңгейін көтеру
  15. Күнделікті техникалық қызмет көрсетуді орындау (топтық саясатты қарау, жаңа мүмкіндіктерді енгізу, Active Directory инфрақұрылымының мәселелерін анықтау және түзету және т.б.)

Домен контроллерін тасымалдау қадамдары

1. Windows Server арқылы жаңа серверді орнатыңыз

Бірінші қадам - жаңа Windows серверін физикалық құрылғыға немесе виртуалды машинаға орнату. Windows серверімен техникалық тәжірибеңіз көбірек болса, Server Core орнатуды таңдап, PowerShell арқылы немесе Сервер реттеушісі немесе Windows басқару орталығы арқылы жаңа серверге қашықтан қосылу арқылы қажетті қадамдарды орындауға болады. Әйтпесе, Windows серверін Desktop Experience рөлі қосылған күйде орнатыңыз.

2. Жаңа серверді бұрыннан бар Active Directory доменіне қосыңыз

Жаңа сервер іске қосылғаннан кейін оны бар AD доменіне қосыңыз. Процесті Сервер менеджеріндегі «Жергілікті сервер» қойындысынан «Сипаттар» бөліміндегі «Жұмыс тобы» түймесін басу арқылы бастауға болады. Процесті аяқтау үшін серверді қайта іске қосу қажет.

 3. Active Directory Domain Services рөлін орнатыңыз

Сервер қайта іске қосылғанша күтіңіз, содан кейін домен әкімшісі ретінде жүйеге кіріңіз. Содан кейін Басқару мәзіріндегі Сервер реттеушісі мен Рөлдер мен мүмкіндіктерді қосу шеберін пайдалану арқылы Active Directory Domain Services (AD DS) сервер рөлін орнатуға болады.

4. Жаңа серверді домен контроллеріне қосыңыз

AD DS серверінің рөлі орнатылған кезде, серверді домен контроллеріне тағайындауды сұрайтын Сервер менеджерінде хабарландыру аласыз. Сары леп белгісі белгішесін басу AD DS орнату шеберін іске қосады. «Бар доменге домен контроллерін қосу» опциясын таңдап, экрандағы нұсқауларды орындауыңыз керек.

5. FSMO рөлдерін жаңа серверге тасымалдаңыз

Келесі қадам ескі домен контроллеріне кіру және FSMO домен рөлдерін жаңа домен контроллеріне жылжыту болып табылады. Мұны істеудің ең оңай жолы - PowerShell пайдалану.

Бұл мақалада тек бір домен контроллері бар домен бар деп болжанады. Іс жүзінде сізде бірнеше домен контроллері болуы мүмкін, сондықтан FSMO рөлдерінің қалай жұмыс істейтінін және олар доменіңізде қандай домен контроллерлерінде тұратынын түсінгеніңізге көз жеткізіңіз.

Жаңа домен контроллерінде FSMO рөлдерінің жылжытылғанын растаңыз. Доменіңіздің FSMO рөлдерін тексеруден бастаңыз.

6. Ескі домен контроллерін төмендетіңіз

Енді сіз FSMO рөлдерін жаңа тұрақты токқа жылжытқан болсаңыз, ескі Windows Server домен контроллерін қауіпсіз төмендете аласыз. Сервер реттеушісі арқылы домен контроллерін төмендетуге болады.

7. Домен функционалдық деңгейлерін көтеру

Соңында, доменнің функционалдық деңгейлерін арттыруға болады.

Қорытынды

Әрине, кез келген көші-қон жобасы тәуекелдерді қамтиды және көптеген тұзақтарға ие. Сондықтан әлемдік деңгейдегі қызметтерді ұсынатын жеткізушіні іздеңіз Fanetech, біз Қазақстанда және ТМД елдерінде жұмыс істейміз. Бұл асқынуларды болдырмайды, көші-қон процесін жеңілдетеді және табысты қамтамасыз етеді.

 

kkҚазақ тілі