This article is about a type of computer network. For other uses of domain in Microsoft Windows, see Domain § Information technology.
A Windows domain is a form of a computer network in which all user accounts, computers, printers and other security principals, are registered with a central database located on one or more clusters of central computers known as domain controllers. Authentication takes place on domain controllers. Each person who uses computers within a domain receives a unique user account that can then be assigned access to resources within the domain. Starting with Windows Server 2000, Active Directory is the Windows component in charge of maintaining that central database.[1] The concept of Windows domain is in contrast with that of a workgroup in which each computer maintains its own database of security principals.
Computers can connect to a domain via LAN, WAN or using a VPN connection. Users of a domain are able to use enhanced security for their VPN connection due to the support for a certification authority which is gained when a domain is added to a network, and as a result, smart cards and digital certificates can be used to confirm identities and protect stored information.
In a Windows domain, the directory resides on computers that are configured as domain controllers. A domain controller is a Windows or Samba server that manages all security-related aspects between user and domain interactions, centralizing security and administration. A domain controller is generally suitable for networks with more than 10 PCs. A domain is a logical grouping of computers. The computers in a domain can share physical proximity on a small LAN or they can be located in different parts of the world. As long as they can communicate, their physical location is irrelevant.
Where PCs running a Windows operating system must be integrated into a domain that includes non-Windows PCs, the free software package Samba is a suitable alternative. Whichever package is used to control it, the database contains the user accounts and security information for the resources in that domain.
Computers inside an Active Directory domain can be assigned into organizational units according to location, organizational structure, or other factors. In the original Windows Server Domain system (shipped with Windows NT 3.x/4), machines could only be viewed in two states from the administration tools; computers detected (on the network), and computers that actually belonged to the domain. Active Directory makes it easier for administrators to manage and deploy network changes and policies (see Group Policy) to all of the machines connected to the domain.
Windows Workgroups, by contrast, is the other model for grouping computers running Windows in a networking environment which ships with Windows. Workgroup computers are considered to be ‘standalone’ — i.e. there is no formal membership or authentication process formed by the workgroup. A workgroup does not have servers and clients, and hence represents the peer-to-peer (or client-to-client) networking paradigm, rather than the centralized architecture constituted by Server-Client. Workgroups are considered difficult to manage beyond a dozen clients, and lack single sign on, scalability, resilience/disaster recovery functionality, and many security features. Windows Workgroups are more suitable for small or home-office networks.
- Active Directory
- Security Accounts Manager (SAM)
- ^ Northrup, Tony. Introducing Microsoft Windows 2000 Server, Microsoft Press, 1999. ISBN 1-57231-875-9
Quick Links
-
Is My Computer Part of a Domain?
-
Joining or Leaving a Domain
Windows domains are typically used on large networks — corporate networks, school networks, and government networks. They aren’t something you’ll encounter at home unless you have a laptop provided by your employer or school.
A typical home computer is an isolated entity. You control the settings and user accounts on the computer. A computer joined to a domain is different — these settings are controlled on a domain controller.
What is a Domain?
Windows domains provide network administrators with a way to manage a large number of PCs and control them from one place. One or more servers — known as domain controllers — have control over the domain and the computers on it.
Domains are generally made up of computers on the same local network. However, computers joined to a domain can continue communicating with their domain controller over VPN or Internet connection. This allows businesses and schools to remotely manage laptops they provide to their employees and students.
When a computer is joined to a domain, it doesn’t use its own local user accounts. User accounts and passwords are managed on the domain controller. When you log into a computer on that domain, the computer authenticates your user account name and password with the domain controller. This means you can log in with the same username and password on any computer joined to the domain.
Network administrators can change group policy settings on the domain controller. Each computer on the domain will get these settings from the domain controller and they’ll override any local settings users specify on their PCs. All the settings are controlled from a single place. This also «locks down» the computers. You probably won’t be allowed to change many system settings on a computer joined to a domain.
In other words, when a computer is part of a domain, the organization providing that computer is managing and configuring it remotely. They have control over the PC, not whoever is using it.
Because domains aren’t intended for home users, only a computer running a Professional or Enterprise version of Windows can be joined to a domain. Devices running Windows RT also can’t join domains.
Is My Computer Part of a Domain?
If you have a home computer, it’s almost certainly not part of a domain. You could set up a a domain controller at home, but there’s no reason to do this unless you really want the experience. If you use a computer at work or school, there’s a good chance your computer is part of a domain. If you have a laptop provided to you by your work or school, it may also be part of a domain.
You can quickly check whether your computer is part of a domain or not. Open the Control Panel, click the System and Security category, and click System. Look under «Computer name, domain and workgroup settings» here. If you see «Domain»: followed by the name of a domain, your computer is joined to a domain.
If you see «Workgroup»: followed by the name of a workgroup, your computer is joined to a workgroup instead of a domain.
Workgroups vs. Domains
Every Windows computer not joined to a domain is part of a workgroup. A workgroup is a group of computers on the same local network. Unlike on a domain, no computer on a workgroup has control over any other computer — they’re all joined together as equals. A workgroup doesn’t require a password, either.
Workgroups were previously used for home file and printer sharing on previous versions of Windows. You can now use a homegroup to easily share files and printers between PCs at home. Workgroups have now been pushed to the background, so you shouldn’t need to worry about them — just leave the default workgroup name of WORKGROUP and set up homegroup file sharing.
Joining or Leaving a Domain
If your computer is part of a domain, joining or leaving the domain won’t generally be your job. If your computer needs to be on a domain, it will already be on a domain when it’s handed to you. You’ll usually need the domain administrator’s permission to leave a domain, so people who sit down to use a domain-joined PC can’t just leave the domain. However, you can leave a domain if you have local administrator access on your PC. You won’t have administrator access if you’re using a locked-down PC, of course.
Click the Change Settings link next to «Computer name, domain and workgroup settings» in the System information window to access the System Properties window, which allows you to join or leave a domain.
If you have an old computer that’s joined to a domain and you no longer have access to the domain, you can always gain access to the PC by reinstalling Windows. The domain settings are tied to your installed operating system, and reinstalling Windows will give you a fresh system. You shouldn’t do this to a work or school PC you don’t own, of course!
Domains limit what you can do on your PC. When your computer is part of a domain, the domain controller is in charge of what you can do. This is why they’re used on large corporate and educational networks — they provide a way for the institution that provides the computers to lock them down and centrally administer them.
That’s the core concept, although much more can be done with domains. For example, group policy can be used to remotely install software on computers joined to a domain.
Image Credit: Phil Manker on Flickr, Jeffrey Beall on Flickr
Преимущества использования доменной сети
Доменная сеть – способ взаимодействия компьютеров между собой. Такая сеть позволяет управлять компьютерами централизованно.
В доменной сети всегда есть главный компьютер – Контроллер Домена. В специальной программе на контроллере домена создаются учетные записи пользователей– имя пользователя и пароль. Например, для сотрудника Ивана Петрова создана учетная запись i.petrov. С её помощью Иван может выполнить вход в свой рабочий компьютер, работать с общими файлами и печатать на сетевом принтере.
Контроллер домена отвечает ещё и за права доступа к файлам и ресурсам. Например, Иван Петров может иметь доступ только к определенным принтерам и общим папкам, а директор – к любым.
Нужна ли Вам доменная сеть
Вам стоит задуматься о доменной сети, если хотя бы одно утверждение для Вас верно:
- В Вашем офисе больше 15 компьютеров и их количество будет расти
- В Вашей сети есть файловый сервер или сервер 1С
- Необходимо единообразие в настройках компьютеров – одинаковые программы, используемые принтеры и параметры безопасности
- Вы нанимаете или увольняете сотрудников раз в два-три месяца или чаще
- Ваши сотрудники работают за одним компьютером посменно
- Один и тот же сотрудник работает за несколькими компьютерами
- Вы хотите знать, кто и когда работал с общими файлами. Кто мог удалить важный документ или занести вирус
- Нужно управлять доступом в Интернет – запретить социальные сети или разрешить доступ только к Вашему сайту и CRM
Как изменится работа в офисе с введением доменной сети?
Доменная сеть требует выполнения правил безопасности и единообразия.
Учетные записи сотрудников уникальны. Учетная запись сотрудника в доменной сети – универсальный пропуск к рабочему пространству компании. При входе в систему пользователь получает доступ к сетевым принтерам, общим файлам, серверу 1С, почте или общему чату.
Пароли сотрудников уникальны и периодически меняются. Никто кроме самого сотрудника не должен знать его пароль. Ответственность за секретность пароля лежит на самом сотруднике, он отвечает за все действия, совершенные с помощью его учетной записи. Это правило упрощает разбирательства внутри компании, например когда были удалены важные данные.
Учетные записи сотрудников не имеют прав администратора на компьютере. Пользователи не могут самостоятельно устанавливать программы и вносить изменения в системные настройки. Благодаря этому пользователь не сможет случайно запустить вирус или удалить настройки принтера. Для установки программ лучше обратиться к системному администратору.
Управление пользователями в доменной сети
Учетные записи в доменной сети создаются только на Контроллере Домена. Контроллер домена сообщает всем компьютерам сети об имеющихся учетных записях сотрудников. Сотрудник Иван может использовать свою учетную запись i.petrov для работы за любым компьютером доменной сети. Файлы других сотрудников на этом компьютере Иван не увидит.
Единая точка создания учетных записей помогает избежать беспорядка. На компьютерах нет лишних учетных записей, а права администратора есть только у администраторов доменной сети.
Доменная сеть объединяет все ресурсы компании в единое рабочее пространство. В домен можно ввести хранилище файлов, сервер 1С или сервер для удаленной работы. Войдя в систему своего компьютера, сотрудник автоматически получит доступ к ресурсам сети. Вводить пароль для сервера 1С не придется – сервер уже знаком с учетной записью сотрудника.
Если сотрудник уволится, его учетную запись придется заблокировать только на контроллере домена, все компьютеры узнают об этом запрете моментально.
Безопасность доменной сети
К уязвимым частям информационной структуры доступ имеют только квалифицированные сотрудники. Доступ к важным документам разграничен, обычно ни один сотрудник не может повредить все данные. Разграничение доступа усложняет работу вирусов и снижает вероятность диверсии со стороны сотрудников.
Даже если документы были удалены или повреждены, все действия пользователей записываются в специальный журнал. Найти источник проблемы и избежать её в будущем не составляет труда.
Контроллер домена знает какие компьютеры должны быть в сети. В доменной сети можно установить правило запрещать всю активность «незнакомых» компьютеров или даже оповещать службу безопасности об их появлении.
Автоматизация в доменной сети
Групповые политики – набор настроек операционной системы. Эти настройки определяют отображение элементов Windows – окно входа, панели инструментов. Групповые политики позволяют запретить запуск определенных программ или автоматическую установку программ для новых пользователей. Можно даже запретить работать с внешними накопителями флешками или съемными дисками.
В доменной сети групповыми политиками компьютеров централизованно управляет контроллер домена. Благодаря доменной сети и групповым политикам новый компьютер настроится автоматически: будут установлены все необходимые программы, параметры безопасности, подключены принтеры и папки с общими документами. Сотруднику нужно будет только зайти в систему с помощью своих учетных данных – и можно работать.
А можно без доменной сети?
Использование доменной сети не обязательно, но значительно упрощает администрирование больших или сложных ИТ-инфраструктур. Если Вы хотите, чтобы Ваши компьютеры были настроены единообразно и администрирование было максимально автоматизировано, а безопасность сохранялась на современном уровне – без доменной организации сети Вам не обойтись.
Статью подготовил менеджер отдела проектов Заболотский Андрей.
Хотите получить более подробную консультацию по доменной сети?
Оставить заявку
В очередном «конспекте админа» остановимся на еще одной фундаментальной вещи – механизме разрешения имен в IP-сетях. Кстати, знаете почему в доменной сети nslookup на все запросы может отвечать одним адресом? И это при том, что сайты исправно открываются. Если задумались – добро пожаловать под кат..
Для преобразования имени в IP-адрес в операционных системах Windows традиционно используются две технологии – NetBIOS и более известная DNS.
Дедушка NetBIOS
NetBIOS (Network Basic Input/Output System) – технология, пришедшая к нам в 1983 году. Она обеспечивает такие возможности как:
-
регистрация и проверка сетевых имен;
-
установление и разрыв соединений;
-
связь с гарантированной доставкой информации;
-
связь с негарантированной доставкой информации;
- поддержка управления и мониторинга драйвера и сетевой карты.
В рамках этого материала нас интересует только первый пункт. При использовании NetBIOS имя ограниченно 16 байтами – 15 символов и спец-символ, обозначающий тип узла. Процедура преобразования имени в адрес реализована широковещательными запросами.
Небольшая памятка о сути широковещательных запросов.
Широковещательным называют такой запрос, который предназначен для получения всеми компьютерами сети. Для этого запрос посылается на специальный IP или MAC-адрес для работы на третьем или втором уровне модели OSI.
Для работы на втором уровне используется MAC-адрес FF:FF:FF:FF:FF:FF, для третьего уровня в IP-сетях адрес, являющимся последним адресом в подсети. Например, в подсети 192.168.0.0/24 этим адресом будет 192.168.0.255
Интересная особенность в том, что можно привязывать имя не к хосту, а к сервису. Например, к имени пользователя для отправки сообщений через net send.
Естественно, постоянно рассылать широковещательные запросы не эффективно, поэтому существует кэш NetBIOS – временная таблица соответствий имен и IP-адреса. Таблица находится в оперативной памяти, по умолчанию количество записей ограничено шестнадцатью, а срок жизни каждой – десять минут. Посмотреть его содержимое можно с помощью команды nbtstat -c, а очистить – nbtstat -R.
Пример работы кэша для разрешения имени узла «хр».
Что происходило при этом с точки зрения сниффера.
В крупных сетях из-за ограничения на количество записей и срока их жизни кэш уже не спасает. Да и большое количество широковещательных запросов запросто может замедлить быстродействие сети. Для того чтобы этого избежать, используется сервер WINS (Windows Internet Name Service). Адрес сервера администратор может прописать сам либо его назначит DHCP сервер. Компьютеры при включении регистрируют NetBIOS имена на сервере, к нему же обращаются и для разрешения имен.
В сетях с *nix серверами можно использовать пакет программ Samba в качестве замены WINS. Для этого достаточно добавить в конфигурационный файл строку «wins support = yes». Подробнее – в документации.
В отсутствие службы WINS можно использовать файл lmhosts, в который система будет «заглядывать» при невозможности разрешить имя другими способами. В современных системах по умолчанию он отсутствует. Есть только файл-пример-документация по адресу %systemroot%\System32\drivers\etc\lmhost.sam. Если lmhosts понадобится, его можно создать рядом с lmhosts.sam.
Сейчас технология NetBIOS не на слуху, но по умолчанию она включена. Стоит иметь это ввиду при диагностике проблем.
Стандарт наших дней – DNS
DNS (Domain Name System) – распределенная иерархическая система для получения информации о доменах. Пожалуй, самая известная из перечисленных. Механизм работы предельно простой, рассмотрим его на примере определения IP адреса хоста www.google.com:
-
если в кэше резолвера адреса нет, система запрашивает указанный в сетевых настройках интерфейса сервер DNS;
-
сервер DNS смотрит запись у себя, и если у него нет информации даже о домене google.com – отправляет запрос на вышестоящие сервера DNS, например, провайдерские. Если вышестоящих серверов нет, запрос отправляется сразу на один из 13 (не считая реплик) корневых серверов, на которых есть информация о тех, кто держит верхнюю зону. В нашем случае – com.
-
после этого наш сервер спрашивает об имени www.google.com сервер, который держит зону com;
- затем сервер, который держит зону google.com уже выдает ответ.
Наглядная схема прохождения запроса DNS.
Разумеется, DNS не ограничивается просто соответствием «имя – адрес»: здесь поддерживаются разные виды записей, описанные стандартами RFC. Оставлю их список соответствующим статьям.
Сам сервис DNS работает на UDP порту 53, в редких случаях используя TCP.
DNS переключается на TCP с тем же 53 портом для переноса DNS-зоны и для запросов размером более 512 байт. Последнее встречается довольно редко, но на собеседованиях потенциальные работодатели любят задавать вопрос про порт DNS с хитрым прищуром.
Также как и у NetBIOS, у DNS существует кэш, чтобы не обращаться к серверу при каждом запросе, и файл, где можно вручную сопоставить адрес и имя – известный многим %Systemroot%\System32\drivers\etc\hosts.
В отличие от кэша NetBIOS в кэш DNS сразу считывается содержимое файла hosts. Помимо этого, интересное отличие заключается в том, что в кэше DNS хранятся не только соответствия доменов и адресов, но и неудачные попытки разрешения имен. Посмотреть содержимое кэша можно в командной строке с помощью команды ipconfig /displaydns, а очистить – ipconfig /flushdns. За работу кэша отвечает служба dnscache.
На скриншоте видно, что сразу после чистки кэша в него добавляется содержимое файла hosts, и иллюстрировано наличие в кэше неудачных попыток распознавания имени.
При попытке разрешения имени обычно используются сервера DNS, настроенные на сетевом адаптере. Но в ряде случаев, например, при подключении к корпоративному VPN, нужно отправлять запросы разрешения определенных имен на другие DNS. Для этого в системах Windows, начиная с 7\2008 R2, появилась таблица политик разрешения имен (Name Resolution Policy Table, NRPT). Настраивается она через реестр, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\DnsPolicyConfig или групповыми политиками.
Настройка политики разрешения имен через GPO.
При наличии в одной сети нескольких технологий, где еще и каждая – со своим кэшем, важен порядок их использования.
Порядок разрешения имен
Операционная система Windows пытается разрешить имена в следующем порядке:
-
проверяет, не совпадает ли имя с локальным именем хоста;
-
смотрит в кэш DNS распознавателя;
-
если в кэше соответствие не найдено, идет запрос к серверу DNS;
-
если имя хоста «плоское», например, «servername», система обращается к кэшу NetBIOS. Имена более 16 символов или составные, например «servername.domainname.ru» – NetBIOS не используется;
-
если не получилось разрешить имя на этом этапе – происходит запрос на сервер WINS;
-
если постигла неудача, то система пытается получить имя широковещательным запросом, но не более трех попыток;
- последняя попытка – система ищет записи в локальном файле lmhosts.
Для удобства проиллюстрирую алгоритм блок-схемой:
Алгоритм разрешения имен в Windows.
То есть, при запуске команды ping server.domain.com NetBIOS и его широковещательные запросы использоваться не будут, отработает только DNS, а вот с коротким именем процедура пойдет по длинному пути. В этом легко убедиться, запустив простейший скрипт:
@echo off
echo %time%
ping hjfskhfjkshjfkshjkhfdsjk.com
echo %time%
ping xyz
echo %time%
pauseВыполнение второго пинга происходит на несколько секунд дольше, а сниффер покажет широковещательные запросы.
Сниффер показывает запросы DNS для длинного имени и широковещательные запросы NetBIOS для короткого.
Отдельного упоминания заслуживают доменные сети – в них запрос с коротким именем отработает чуть по-другому.
Active Directory и суффиксы
Active Directory тесно интегрирована с DNS и не функционирует без него. Каждому компьютеру домена создается запись в DNS, и компьютер получает полное имя (FQDN — fully qualified domain name) вида name.subdomain.domain.com.
Для того чтоб при работе не нужно было вводить FQDN, система автоматически добавляет часть имени домена к хосту при различных операциях – будь то регистрация в DNS или получение IP адреса по имени. Сначала добавляется имя домена целиком, потом следующая часть до точки.
При попытке запуска команды ping servername система проделает следующее:
-
если в кэше DNS имя не существует, система спросит у DNS сервера о хосте servername.subdomain.domain.com;
- если ответ будет отрицательный – система запросит servername.domain.com, на случай, если мы обращаемся к хосту родительского домена.
При этом к составным именам типа www.google.com суффиксы по умолчанию не добавляются. Это поведение настраивается групповыми политиками.
Настройка добавления суффиксов DNS через групповые политики.
Настраивать DNS суффиксы можно также групповыми политиками или на вкладке DNS дополнительных свойств TCP\IP сетевого адаптера. Просмотреть текущие настройки удобно командой ipconfig /all.
Суффиксы DNS и их порядок в выводе ipconfig /all.
Однако утилита nslookup работает немного по-другому: она добавляет суффиксы в том числе и к длинным именам. Посмотреть, что именно происходит внутри nslookup можно, включив диагностический режим директивой debug или расширенный диагностический режим директивой dc2. Для примера приведу вывод команды для разрешения имени ya.ru:
nslookup -dc2 ya.ru
------------
Got answer:
HEADER:
opcode = QUERY, id = 1, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
4.4.8.8.in-addr.arpa, type = PTR, class = IN
ANSWERS:
-> 4.4.8.8.in-addr.arpa
name = google-public-dns-b.google.com
ttl = 86399 (23 hours 59 mins 59 secs)
------------
╤хЁтхЁ: google-public-dns-b.google.com
Address: 8.8.4.4
------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
ya.ru.subdomain.domain.com, type = A, class = IN
ANSWERS:
-> ya.ru.subdomain.domain.com
internet address = 66.96.162.92
ttl = 599 (9 mins 59 secs)
------------
Не заслуживающий доверия ответ:
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
ya.ru.subdomain.domain.com, type = AAAA, class = IN
AUTHORITY RECORDS:
-> domain.com
ttl = 19 (19 secs)
primary name server = ns-2022.awsdns-60.co.uk
responsible mail addr = awsdns-hostmaster.amazon.com
serial = 1
refresh = 7200 (2 hours)
retry = 900 (15 mins)
expire = 1209600 (14 days)
default TTL = 86400 (1 day)
------------
╚ь : ya.ru.subdomain.domain.com
Address: 66.96.162.92Из-за суффиксов утилита nslookup выдала совсем не тот результат, который выдаст например пинг:
ping ya.ru -n 1
Обмен пакетами с ya.ru [87.250.250.242] с 32 байтами данных:
Ответ от 87.250.250.242: число байт=32 время=170мс TTL=52Это поведение иногда приводит в замешательство начинающих системных администраторов.
Лично сталкивался с такой проблемой: в домене nslookup выдавал всегда один и тот же адрес в ответ на любой запрос. Как оказалось, при создании домена кто-то выбрал имя domain.com.ru, не принадлежащее организации в «большом интернете». Nslookup добавляла ко всем запросам имя домена, затем родительский суффикс – com.ru. Домен com.ru в интернете имеет wildcard запись, то есть любой запрос вида XXX.com.ru будет успешно разрешен. Поэтому nslookup и выдавал на все вопросы один ответ. Чтобы избежать подобных проблем, не рекомендуется использовать для именования не принадлежащие вам домены.
При диагностике стоит помнить, что утилита nslookup работает напрямую с сервером DNS, в отличие от обычного распознавателя имен. Если вывести компьютер из домена и расположить его в другой подсети, nslookup будет показывать, что всё в порядке, но без настройки суффиксов DNS система не сможет обращаться к серверам по коротким именам.
Отсюда частые вопросы – почему ping не работает, а nslookup работает.
В плане поиска и устранения ошибок разрешения имен могу порекомендовать не бояться использовать инструмент для анализа трафика – сниффер. С ним весь трафик как на ладони, и если добавляются лишние суффиксы, то это отразится в запросах DNS. Если запросов DNS и NetBIOS нет, некорректный ответ берется из кэша.
Если же нет возможности запустить сниффер, рекомендую сравнить вывод ping и nslookup, очистить кэши, проверить работу с другим сервером DNS.
Кстати, если вспомните любопытные DNS-курьезы из собственной практики – поделитесь в комментариях.
|
Если отвечать на этот вопрос с технической точки зрения, то ответ будет такой:
Но на практике в небольшой фирме (до 20 компьютеров) большинство из этого не используется или от всего этого можно легко отказаться и сэкономить более 20 000 руб. на лицензиях. И тогда ответ на вопрос звучит так:
Уважаемые директора и собственники, нравятся Вам такие ответы? В сети Вашей организации есть домен? Что говорит по этому поводу системный администратор? |
||||