Системаларыңыздын коопсуздугун камсыз кылуунун эң жакшы жолдорунун бири - Active Directory (AD) домен контроллерлору Windows Server'дун эң акыркы версиясын иштетип жаткандыгына кепилдик берүү. Домен контроллерлору маанилүү инфраструктура болуп саналат, анткени алар коопсуздукту жана бардык IT ресурстарыңызга кирүү мүмкүнчүлүгүн камсыз кылат. Эгерде DC бузулуп калса, анда сиздин бүт тармагыңыз бузулган деп ойлошуңуз керек. Домен контроллерлору хакерлер үчүн маанилүү максаттар болуп саналат жана аларды коргоо үчүн бардык акылга сыярлык кадамдарды жасашыңыз керек.

Көптөгөн уюмдар дагы деле Windows Server 2012 R2де DCлерди колдонушат. Ал эми OS 10/10/2023-жылга чейин Microsoft кеңейтилген колдоосу аркылуу колдоого алынган, бирок Windows Server'дун кийинки версиялары кыйла коопсуз болуп, жергиликтүү жана алыскы программаларды коргоо үчүн Windows Defender, Credential Guard түрүндөгү зыяндуу программалардан коргоо сыяктуу функцияларды сунуштайт. бузулган серверлердеги домендин эсептик дайындары, ошондой эле көптөгөн кошумча коопсуздук жакшыртуулары, бул Windowsтун жаңы версияларын коопсуз кылат.

Көбүнчө уюмдар Windows Server'дун эң акыркы версиясына жаңыртууга лицензия алышкан, бирок алар өндүрүш инфраструктурасына таасир этүүнү каалабагандыктан андай кылышпайт. Бирок AD табиятынан улам эски домен контроллерин жаңысына алмаштыруу салыштырмалуу оңой. Жана маанилүү IT кызматтарын үзгүлтүксүз.

Active Directoryде кандай жаңылыктар бар?

AD DS өркүндөтүүлөрү анын доменинин функционалдык деңгээлдерине байланыштуу. Иштөө тутумун жаңыртуу же Windows Server 2022 иштеткен домен контроллерлорун учурдагы AD инфраструктураңызга кошуу домениңиздин функционалдык деңгээлдериңизди автоматтык түрдө жаңыртпайт. Эски домен контроллерлору иштен чыгарылгандан кийин аны кол менен жаңыртышыбыз керек.

Active Directory Domain Services дүйнөгө биринчи жолу Windows Server 2000 менен келген. AD DS 21 жылдан ашык убакыттан бери уюмдарга санариптик иденттүүлүктөрүн башкарууга жардам берип келет. Бирок, бүгүнкү күндө кирүүнү көзөмөлдөө талаптары татаал. Бүгүнкү күндө ишканалар булут кызматтарын көбүрөөк колдонуп жатышат. Көпчүлүк кызматкерлер үйдөн иштөөнү улантып, корголбогон тармактар аркылуу купуя корпоративдик маалыматтарга кирүү. Көпчүлүк программалык камсыздоочулар SaaS моделине өтүп жатышат. Киберкылмыштуулук өсүүдө жана жеке жашоо коркунучта. Бул талаптарды канааттандыруу үчүн, биз эски мүмкүндүк башкаруунун чегинен чыгышыбыз керек. Azure Active Directory – бул дүйнөлүк деңгээлдеги коопсуздукту, күчтүү аутентификацияны жана үзгүлтүксүз кызматташууну камсыз кыла ала турган кызмат катары башкарылган идентификация (IDaaS) провайдери.

Windows Server 2022 негизги темаларынын бири "коопсуздук" болуп саналат. Windows Server 2022де өркүндөтүлгөн көп катмарлуу коопсуздук өнүккөн коркунучтардан ар тараптуу коргоону камсыз кылат. Ал ошондой эле Windows Server 2022де иштеген ролдорго коопсуздуктун кошумча катмарын кошот, анын ичинде Active Directory.

Active Directory миграциясынын текшерүү тизмеси

FSMO ролдорун жаңы серверге көчүрүү жана домендин функционалдык деңгээлин жаңыртуу бир нече мүнөттөн ашпайт, бирок миграцияга келгенде дагы бир нече нерселерди эске алышыбыз керек.

  1. Active Directory көчүрүү үчүн бизнес талаптарыңызды баалаңыз.
  2. Ден соолугун текшерүү үчүн учурдагы Active Directory инфраструктураңызды текшериңиз.
  3. деталдуу ишке ашыруу планын түзүү.
  4. Домен контроллери үчүн физикалык/виртуалдык ресурстарды даярдаңыз
  5. Windows Server 2022 Standard/Data Center орнотуңуз
  6. Серверлериңизге эң акыркы Windows жаңыртууларын орнотуңуз
  7. Домен контроллерине атайын IP дарегин дайындоо
  8. AD DS ролун орнотуу
  9. Колдонмонун жана сервердин ролдорун учурдагы домен контроллерлорунан көчүрүңүз
  10. FSMO ролдорун жаңы домен контроллерлоруна көчүрүңүз
  11. Учурдагы мониторинг тутумуңузга жаңы домен контроллерлорун кошуңуз
  12. Учурдагы DR чечимиңизге жаңы домен контроллерин кошуңуз
  13. Эски домен контроллерлорунан
  14. Домендин функционалдык деңгээлин көтөрүү
  15. Күнүмдүк тейлөөнү аткаруу (топтук саясатты карап чыгуу, жаңы функцияларды ишке ашыруу, Active Directory инфраструктурасынын көйгөйлөрүн аныктоо жана оңдоо жана башкалар)

Домен контроллерин көчүрүү кадамдары

1. Windows Server аркылуу жаңы серверди орнотуңуз

Биринчи кадам физикалык түзүлүшкө же виртуалдык машинага жаңы Windows Server орнотуу болуп саналат. Эгерде сизде Windows Server менен көбүрөөк техникалык тажрыйбаңыз болсо, анда Server Core орнотуп, андан кийин PowerShell аркылуу же Server Manager же Windows Admin Center аркылуу жаңы серверге алыстан туташуу аркылуу керектүү кадамдарды аткара аласыз. Болбосо, иштетилген Иш столунун тажрыйбасы ролу менен Windows Server орнотуңуз.

2. Жаңы серверге учурдагы Active Directory домениңизге кошулуңуз

Жаңы сервер иштеп баштагандан кийин, аны учурдагы AD домениңизге кошуңуз. Процессти сервер менеджериндеги "Жергиликтүү сервер" өтмөгүнөн "Касиеттер" бөлүмүндөгү "Жумушчу топ" баскычын чыкылдатуу менен баштасаңыз болот. Процессти аяктоо үчүн серверди өчүрүп күйгүзүшүңүз керек болот.

 3. Active Directory Domain Services ролун орнотуңуз

Сервер кайра күйгүчө күтө туруңуз, анан домен администратору катары кириңиз. Андан кийин Active Directory Domain Services (AD DS) серверинин ролун Сервер менеджери жана Башкаруу менюсундагы Ролдорду жана Функцияларды кошуу устасын колдонуу менен орното аласыз.

4. Жаңы серверди домен контроллерине туташтырыңыз

AD DS серверинин ролу орнотулганда, сиз серверди домен контроллерине дайындоону суранган Сервер Менеджеринде эскертме аласыз. Сары илеп белгисинин сөлөкөтүн чыкылдатуу AD DS орнотуу устасын ишке киргизет. Сиз "Учурдагы доменге домен контроллерин кошуу" тандап, экрандагы нускамаларды аткарышыңыз керек.

5. FSMO ролдорун жаңы серверге өткөрүңүз

Кийинки кадам - эски домен контроллерине кирүү жана FSMO доменинин ролдорун жаңы домен контроллерине жылдыруу. Муну жасоонун эң оңой жолу - PowerShell колдонуу.

Бул макалада сизде бир гана домен контроллери бар домен бар деп болжолдойт. Иш жүзүндө, сизде бир нече домен контроллери болушу мүмкүн, андыктан FSMO ролдору кантип иштээрин жана алар сиздин домениңизде кайсы домен контроллерлорунда жашашарын түшүнгөнүңүздү текшериңиз.

Жаңы домен контроллерунда FSMO ролдору жылдырылганын ырастаңыз. Домениңиздин FSMO ролдорун текшерүү менен баштаңыз.

6. Эски домен контроллериңизди төмөндөтүңүз

Эми сиз FSMO ролдорун жаңы DC ге жылдырганыңыздан кийин, эски Windows Server домен контроллерин аман-эсен төмөндөтө аласыз. Сиз Server Manager аркылуу домен контроллерин төмөндөтсөңүз болот.

7. Домендин функционалдык деңгээлин көтөрүү

Акыр-аягы, сиз домендин функционалдык деңгээлин жогорулата аласыз.

Корутунду

Албетте, ар кандай миграциялык долбоор тобокелдиктерди камтыйт жана көптөгөн тузактары бар. Ошондуктан, мисалы, дүйнөлүк класстагы кызматты сунуш кылган жеткирүүчү издеп Fanetech, Казакстанда жана КМШ мамлекеттеринде иштейбиз. Бул кыйынчылыктарды болтурбай, миграция процессин жөнөкөйлөтүп, ийгиликти камсыз кылат.

 

kirКыргызча