Бізбен байланысыңыз

Домен контроллерін тасымалдау

бойынша | | Active Directory

Один из лучших способов обезопасить ваши системы — убедиться, что на контроллерах домена Active Directory (AD) установлена последняя версия Windows Server. Контроллеры домена являются критически важной инфраструктурой, поскольку они обеспечивают безопасность и доступ ко всем вашим ИТ-ресурсам. Если DC скомпрометирован, то вам следует считать, что вся ваша сеть скомпрометирована. Контроллеры домена являются важными целями для хакеров, и вы должны предпринять все разумные шаги для их защиты.

Көптеген ұйымдар әлі де Windows Server 2012 R2 жүйесінде тұрақты токтарды пайдаланады. ОЖ-ға 10/10/2023 жылға дейін Microsoft кеңейтілген қолдауы арқылы қолдау көрсетілсе де, Windows Server жүйесінің кейінгі нұсқалары жергілікті және қашықтағы ақпаратты қорғау үшін Windows Defender, Credential Guard түріндегі кірістірілген зиянды бағдарламадан қорғау сияқты мүмкіндіктерді ұсынатын айтарлықтай қауіпсіз. бұзылған серверлердегі домен тіркелгі деректері, сондай-ақ көптеген қосымша қауіпсіздік жақсартулары, бұл Windows жүйесінің жаңа нұсқаларын қауіпсіз етеді.

Көбінесе ұйымдардың Windows Server бағдарламасының соңғы нұсқасына жаңартуға лицензиясы бар, бірақ мұны жасамайды, себебі олар өндірістік инфрақұрылымына әсер еткісі келмейді. Бірақ AD сипатына байланысты ескі домен контроллерін жаңасымен ауыстыру салыстырмалы түрде оңай. Және маңызды АТ қызметтерін үзбей.

Active Directory қызметінде қандай жаңалықтар бар?

AD DS жақсартулары оның доменінің функционалды деңгейлеріне қатысты. Амалдық жүйені жаңарту немесе Windows Server 2022 іске қосылған домен контроллерлерін бар AD инфрақұрылымыңызға қосу домен функционалдық деңгейлерін автоматты түрде жаңартпайды. Ескі домен контроллері қолданыстан шығарылғаннан кейін оны қолмен жаңартуымыз керек.

Доменные службы Active Directory впервые появились в мире с Windows Server 2000. Уже более 21 года AD DS помогает организациям управлять цифровыми идентификационными данными. Однако современные требования к управлению доступом сложны. Сейчас предприятия используют все больше и больше облачных сервисов. Большая часть сотрудников по-прежнему работает из дома и получает доступ к конфиденциальным корпоративным данным через незащищенные сети. Большинство поставщиков программного обеспечения переходят на модель SaaS. Число киберпреступлений стремительно растет, и на карту поставлена защита личных данных. Чтобы удовлетворить эти требования, нам необходимо выйти за рамки устаревшего управления доступом. Azure Active Directory — это облачный управляемый поставщик услуг идентификации как услуги (IDaaS), который может обеспечить безопасность мирового класса, надежную аутентификацию и бесперебойную совместную работу.

Windows Server 2022 негізгі тақырыптарының бірі – «қауіпсіздік». Windows Server 2022 жүйесіндегі жақсартылған көп деңгейлі қауіпсіздік кеңейтілген қауіптерден жан-жақты қорғауды қамтамасыз етеді. Ол сонымен қатар Windows Server 2022 жүйесінде, соның ішінде Active Directory жүйесінде жұмыс істейтін рөлдерге қауіпсіздіктің қосымша деңгейін қосады.

Active Directory тасымалдауды тексеру тізімі

FSMO рөлдерін жаңа серверге көшіру және доменнің функционалдық деңгейлерін жаңарту бірнеше минуттан аспайды, бірақ тасымалдауға келгенде, біз ескеруіміз керек тағы бірнеше нәрсе бар.

  1. Active Directory көшіру үшін бизнес талаптарыңызды бағалаңыз.
  2. Денсаулығын тексеру үшін бар Active Directory инфрақұрылымын тексеріңіз.
  3. Егжей-тегжейлі іске асыру жоспарын жасаңыз.
  4. Домен контроллері үшін физикалық/виртуалды ресурстарды дайындаңыз
  5. Windows Server 2022 Standard/Data Center орнатыңыз
  6. Серверлеріңізге соңғы Windows жаңартуларын орнатыңыз
  7. Домен контроллеріне арнайы IP мекенжайын тағайындаңыз
  8. AD DS рөлін орнатыңыз
  9. Қолданба мен сервер рөлдерін бар домен контроллерлерінен тасымалдаңыз
  10. FSMO рөлдерін жаңа домен контроллерлеріне көшіріңіз
  11. Қолданыстағы бақылау жүйесіне жаңа домен контроллерлерін қосыңыз
  12. Бар DR шешіміне жаңа домен контроллерлерін қосыңыз
  13. Ескі домен контроллерлерін өшіріңіз
  14. Доменнің функционалдық деңгейін көтеру
  15. Күнделікті техникалық қызмет көрсетуді орындау (топтық саясатты қарау, жаңа мүмкіндіктерді енгізу, Active Directory инфрақұрылымының мәселелерін анықтау және түзету және т.б.)

Домен контроллерін тасымалдау қадамдары

1. Windows Server арқылы жаңа серверді орнатыңыз

Бірінші қадам - жаңа Windows серверін физикалық құрылғыға немесе виртуалды машинаға орнату. Windows серверімен техникалық тәжірибеңіз көбірек болса, Server Core орнатуды таңдап, PowerShell арқылы немесе Сервер реттеушісі немесе Windows басқару орталығы арқылы жаңа серверге қашықтан қосылу арқылы қажетті қадамдарды орындауға болады. Әйтпесе, Windows серверін Desktop Experience рөлі қосылған күйде орнатыңыз.

2. Жаңа серверді бұрыннан бар Active Directory доменіне қосыңыз

Как только новый сервер будет запущен, присоедините его к вашему существующему домену AD. Вы можете запустить процесс на вкладке «Локальный сервер» в диспетчере серверов, нажав «Рабочая группа» в разделе «Свойства». Вам нужно будет перезагрузить сервер, чтобы завершить процесс.

 3. Active Directory Domain Services рөлін орнатыңыз

Сервер қайта іске қосылғанша күтіңіз, содан кейін домен әкімшісі ретінде жүйеге кіріңіз. Содан кейін Басқару мәзіріндегі Сервер реттеушісі мен Рөлдер мен мүмкіндіктерді қосу шеберін пайдалану арқылы Active Directory Domain Services (AD DS) сервер рөлін орнатуға болады.

4. Жаңа серверді домен контроллеріне қосыңыз

Когда роль сервера AD DS будет установлена, вы получите уведомление в диспетчере серверов с предложением назначить сервер контроллеру домена. Щелчок по значку с желтым восклицательным знаком запустит мастер настройки AD DS. Вы должны выбрать «Добавить контроллер домена к существующему домену» и следовать инструкциям на экране.

5. FSMO рөлдерін жаңа серверге тасымалдаңыз

Следующим шагом является вход на старый контроллер домена и перемещение ролей FSMO домена на новый контроллер домена. Самый простой способ сделать это — использовать PowerShell.

Бұл мақалада тек бір домен контроллері бар домен бар деп болжанады. Іс жүзінде сізде бірнеше домен контроллері болуы мүмкін, сондықтан FSMO рөлдерінің қалай жұмыс істейтінін және олар доменіңізде қандай домен контроллерлерінде тұратынын түсінгеніңізге көз жеткізіңіз.

Жаңа домен контроллерінде FSMO рөлдерінің жылжытылғанын растаңыз. Доменіңіздің FSMO рөлдерін тексеруден бастаңыз.

6. Ескі домен контроллерін төмендетіңіз

Енді сіз FSMO рөлдерін жаңа тұрақты токқа жылжытқан болсаңыз, ескі Windows Server домен контроллерін қауіпсіз төмендете аласыз. Сервер реттеушісі арқылы домен контроллерін төмендетуге болады.

7. Домен функционалдық деңгейлерін көтеру

Соңында, доменнің функционалдық деңгейлерін арттыруға болады.

Қорытынды

Әрине, кез келген көші-қон жобасы тәуекелдерді қамтиды және көптеген тұзақтарға ие. Сондықтан әлемдік деңгейдегі қызметтерді ұсынатын жеткізушіні іздеңіз Fanetech, біз Қазақстанда және ТМД елдерінде жұмыс істейміз. Бұл асқынуларды болдырмайды, көші-қон процесін жеңілдетеді және табысты қамтамасыз етеді.

 

kkҚазақ тілі
ru_RUРусский en_GBEnglish (UK) kirКыргызча uz_UZO‘zbekcha kkҚазақ тілі