Името на локалния домейн. Как да не именувате домейни на Active Directory
В редки случаи администратор на домейн услуги може да се изправи пред задачата да преименува текущия домейн. Причините може да са различни, но тази ситуация е напълно възможна. Въпреки факта, че тази задача не може да се нарече тривиална, но понякога трябва да се справите с нея, изключително важно е да направите всичко правилно, защото в противен случай резултатът от събитията може да бъде критично опасен, до напълно неработеща корпоративна инфраструктура. И така, по-късно в тази статия ще научите за предпоставките за извършване на тази операция, някои ограничения и как можете да преименувате вашия домейн. Преди да започнем, учтиво ви молим да не извършвате тези стъпки в производствена среда, докато не преименувате успешно своя тестов домейн в лабораторна среда. Да започваме.
Предпоставки
Преди да започнете да преименувате вашия домейн, не забравяйте да вземете предвид следната информация:
- Функционално ниво на гората на Active Directory. Можете да изпълнявате задачи за преименуване на домейн само ако всички домейни в гората работят поне с Windows Server 2003 (в този случай няма ограничения за изданието). Освен това функционалното ниво трябва да бъде повишено поне до нивото на Windows Server 2003. Ниво на Windows Server 2000, тогава следващата операция просто ще стане невъзможна;
- Местоположение на домейна. Може да има различни нива на домейни в гората на Active Directory. Тоест може да има или един домейн, или гората може да включва дъщерни домейни. В случай, че промените местоположението на домейн контролера в гората, ще трябва да създадете доверителна връзка;
- DNS зона. Дори преди да извършите операцията по преименуване на домейн, трябва да създадете нова DNS зона;
- Административни пълномощия. За да извършите операция по преименуване на домейн, трябва да сте влезли с административен акаунт, който е член на групата Enterprise Admins;
- Сървъри на разпределена файлова система (DFS).. Ако във вашата корпоративна среда има внедрен DFS или конфигурирани роуминг профили, моля, имайте предвид, че главните сървъри на DFS трябва да работят поне с Windows Server 2000 Service Pack 3 или по-нови операционни системи;
- Несъвместимост с Microsoft Exchange Servers. Най-досадното нещо е, че ако във вашата гора на Active Directory е инсталиран пощенски сървър Microsoft Exchange Server 2003 Service Pack 1, тогава преименуването на домейна ще бъде завършено без никакви проблеми, но потребителският акаунт, под който ще се извърши процесът на преименуване на домейн, трябва бъдете член на групата Full Exchange Administrator. Все по-модерен пощенски сървъри(включително Exchange Server 2016) са несъвместими с операциите за преименуване на домейн.
Също така имайте предвид, че трябва да замразите всички чакащи операции за конфигуриране на гората на Active Directory, докато домейнът се преименува. С други думи, трябва да се уверите, че конфигурацията на вашата гора не се променя, докато операцията по преименуване на домейн не бъде напълно завършена ( подробна информациявижте по-долу за подробности как да направите това). Тези операции включват: създаване или премахване на домейни във вашата гора на Active Directory, създаване или премахване на дялове на директория на приложения, добавяне или премахване на домейн контролери в гората, създаване или премахване на директно установено доверие и добавяне или премахване на атрибути, които ще бъдат копирани в глобалната каталог.
За всеки случай бих ви посъветвал да направите пълно архивиране на състоянието на системата на всеки домейн контролер в гората на Active Directory. Ако тази задача бъде изпълнена, тази предпазна мярка определено няма да е излишна.
В случай, че вашата инфраструктура отговаря на горните изисквания и всички необходими резервни копия, можете да продължите с процеса на преименуване на домейна.
Процес на преименуване на домейн на Active Directory
Като начало, за да проверите оригиналното име на вашия домейн, можете да отворите прозореца със свойства на системата. Както можете да видите на съответната илюстрация, моето име на домейн е „Biopharmaceutic.local“:
Ориз. 1. Проверка на оригиналното име на домейн в Active Directory
Сега трябва да създадете нова DNS зона "biopharm.local", така че след успешното завършване на преименуването на домейна вашите членски сървъри и клиенти да могат да се присъединят към новата без никакви проблеми. име на домейн. За да направите това, отворете DNS мениджър» ( DNS мениджър) и да бъдеш в " Зона за търсене напред» ( Зона за търсене напред) изберете опцията за създаване на нова зона. По същество зоната се създава както обикновено: на първата страница на съветника за нова зона прочетете уводната информация и продължете към втората страница. На страницата тип зона изберете основната зона ( Първична зона) и се уверете, че опцията за запазване на зоната в Active Directory е активирана. На страницата на зоната за репликация на зона оставете опцията избрана по подразбиране - " За всички DNS сървъри, работещи на домейн контролери в този домейн: Biopharmaceutic.local» ( Към всички DNS сървъри, работещи на домейн контролери в този домейн: Biopharmaceutic.local). На страницата с името на зоната трябва да посочите новото име на домейн (biopharm.local), а на страницата за динамична актуализация също оставете опцията " Разрешаване само на защитени динамични актуализации (препоръчва се за Active Directory)» ( Разрешаване само на защитени динамични актуализации (препоръчва се за Active Directory)), който е избран по подразбиране. По-долу можете да видите няколко етапа на създаване на нова зона:
Ориз. 2. Създайте нов DNS зони
Следващата стъпка в преименуването на домейна е генерирането на описание на текущото състояние на гората. Всъщност това е първата операция за преименуване на домейн, която ще използва помощната програма за командния ред Rendom. Тази помощна програма ще генерира текстово описание на текущата ви горска структура като XML файл с име Domainlist.xml. Този файл съдържа списък на всички дялове на директория на домейн, както и дялове на директория на приложения, които са във вашата гора на Active Directory. Всеки запис за всеки дял на домейн и директория на приложение е ограничен XML тагове
За да създадете такъв файл, отворете под съответния акаунт командна линияи в него изпълнете командата " случаен /списък". Генерираният файл ще бъде записан в основната директория сметкавашият потребител. След това ще трябва да отворите този файл с произволен текстов редактор.
Вътре в този файл трябва да промените името на домейна в секцията, която е разделена с тагове
На следващата илюстрация ще видите процеса на изпълнение на горната команда, местоположението на файла Domainlist.xml и промените за първата секция на този файл. В моя случай името на домейна в тази конфигурация ще бъде променено 4 пъти:
Ориз. 3. Генериране и модифициране на файла Domainlist.xml
За да сте сигурни, че сте направили необходимите промени в съответния файл, можете да изпълните командата " случаен /showforest". Както можете да видите на следващата илюстрация, всички мои записи са променени на „Bopharm“:
Ориз. 4. Вижте потенциални промени
При изпълнение на следната команда ( произволно /качване), помощната програма Rendom преобразува новата структура на гората, посочена в редактирания файл, в последователност от инструкции за актуализиране на каталог, които ще се изпълняват локално и отдалечено на всеки домейн контролер в гората. Най-общо казано, тази стъпка ще направи промени в раздела на конфигурационната директория на съветника за именуване на домейни, за да преименува домейна на Active Directory. Освен това ще бъде генериран файл Dclist.xml, който се използва за проследяване на напредъка и състоянието на всеки домейн контролер в гората за операцията за преименуване на домейн. Между другото, в този момент помощната програма Rendom замразява вашата гора на Active Directory от извършване на промени в нейната конфигурация. Процесът на изпълнение на тази команда се вижда по-долу:
Ориз. 5. Изпълнете командата rendom /upload
Следната команда се изпълнява, за да провери готовността на домейн контролерите преди операцията по преименуване на домейн. По време на тази стъпка трябва да изпълните командата за подготвителна проверка на всеки домейн контролер в гората. Това е, за да се гарантира, че базата данни на Active Directory на всеки домейн контролер в гората е в правилното състояние и е готова да направи промени, които ще ви позволят да преименувате вашия домейн. Затова изпълнете командата " случаен /подг“, както е направено на следната илюстрация:
Ориз. 6. Подготовка на домейна за преименуване
Най-важният момент. Изпълнение на командата " случайно /изпълни". Когато тази команда се изпълнява в домейна, се изпълняват инструкции за преименуване на домейна. По същество точно в този момент всеки домейн контролер в гората се свързва индивидуално, което кара всеки домейн контролер да изпълни инструкции за преименуване на домейна. След приключване на тази операция всеки домейн контролер ще бъде рестартиран. Вижте следната илюстрация за процеса на преименуване на домейн:
Ориз. 7. Процес на преименуване на домейн
Но това не е всичко. Въпреки че вашият домейн всъщност вече е преименуван, вие все още имате задачата да коригирате GPO и техните препратки, след като операцията по преименуване на домейна приключи. Помощна програма от командния ред се използва за възстановяване на GPO и GPO връзки във всеки преименуван домейн. gpfixup.exe. Не можете да пренебрегнете тази процедура, защото без нея, след приключване на операцията по преименуване на домейна в новата гора, групови политикиПросто няма да функционирам правилно. Обърнете внимание, че тази команда трябва да се изпълни веднъж на всеки преименуван домейн. Затова изпълнете командата веднъж gpfixupс параметри /olddns:Biopharmaceutic.local(старото име на домейна, който сте преименували) и /newdns:Biopharm.local(новото име на преименувания домейн) и след това командата gpfixupс параметри /oldnb:БиофармацевтикаИ /newb:Биофарм(съответно старото и новото NETBIOS име на вашия домейн). Тази процедура е видима по-долу:
Ориз. 8. Коригиране на GPO
Остават само две команди за изпълнение: командата " случаен / чист", което ви позволява да премахнете всички препратки към стари имена на домейни във вашата Active Directory, както и командата " случаен /край”, всъщност размразява гората на Active Directory от извършване на промени в нейната конфигурация. Можете да видите процеса на изпълнение на тези команди на следната илюстрация:
Ориз. 9. Завършете преименуването на домейна на Active Directory
За да влязат в сила промените на членските сървъри и на крайните клиенти, ще трябва да рестартирате компютрите им два пъти. Ще трябва обаче ръчно да преименувате домейн контролерите. Както можете да видите на следващата илюстрация, името на моя домейн контролер е все същото.
Тази процедура е много по-сложна от преименуването на членски сървър, който е редовен член на домейн. За тази задача се нуждаем от помощната програма " NETDOM“, който, започвайки от Windows 2008е част от операционна система, и за Windows 2003трябва да инсталирам " Инструменти за поддръжка ".
За да преименувате домейн контролер, продължете както следва:
1. Първо се уверете, че функционалното ниво на домейна не е по-ниско от Windows 2003и проверете за разрешения Администратори на домейни
" ("Администратори на домейни
").
2. Отворете команден ред с повишени права и добавете допълнително име за контролера, на който ще преименуваме (в нашия пример SRV-DC1-СТАР.ТЕСТ.ЛОКАЛ
преименувайте на SRV-DC1.ТЕСТ.ЛОКАЛ
):
NETDOM име на компютър SRV-DC1-OLD.TEST.LOCAL /добавяне:SRV-DC1.TEST.LOCAL
3. Използване на редактора " ADSIEDIT.msc" уверете се, че името е добавено правилно. В редактора намерете обекта на домейн контролера и проверете стойността на свойството " msDS-AdditionalDnsHostName", което трябва да е равно на " SRV-DC1.ТЕСТ.ЛОКАЛ
".
4. Сега трябва да се уверите, че актуализираният SPNатрибутите са напълно копирани към други домейн контролери в гората. Помощната програма ще ни помогне с това " REPADMIN" или " REPLMON" За Windows 2003.
За да се ускори процесът, репликацията може да бъде принудена в " DSSITE.msc". Просто щракнете Кликнете с десния бутонщракнете върху връзката и изберете " Повторете сега".
5. Сега правим новото име на домейн контролера основно:
NETDOM име на компютър SRV-DC1-OLD.TEST.LOCAL /makeprimary:SRV-DC1.TEST.LOCAL
6. Претоварваме сървъра.
7. Отново проверяваме дали актуализираният SPNатрибути и записи в DNSуспя да се репликира напълно към други домейн контролери и сървъри DNSв гората и стойността на имота " msDS-AdditionalDnsHostName" вече е равно на старото име на сървъра.
Когато има остър недостиг на време, можете да принудите репликацията отново и да претоварите зоните DNSна други контролери, ако показват предишното име на нашия сървър.
8. Сега премахнете старото име на контролера, което вече не е задължително:
NETDOM име на компютър SRV-DC1.TEST.LOCAL /премахване:SRV-DC1-OLD.TEST.LOCAL
9. Принуждаваме или изчакваме пълна репликация и накрая презареждаме и проверяваме напред и назад домейн зоните DNSза записи със старо име. Ако открием такива, изтриваме или коригираме, ако е необходимо, с ново име. Също така си струва да проверите стойността на атрибута " msDS-AdditionalDnsHostName“, който трябва да е празен.
В края на процедурата, когато горните стъпки са изпълнени, внимателно проверяваме регистрационните файлове Активна директорияна всички домейн контролери за грешки и използване на " DCDIAG„ние се уверяваме, че гората работи правилно.
Годината е 2015, Интернет стана широко разпространен, всяка уважаваща себе си компания отдавна има собствен уебсайт. Няма нужда да ходите далеч - дори всяка градска болница има свои собствени уеб ресурси. Но въпреки това системните администратори не са се научили как да създават нормални имена за своите домейни.
Цената на домейн от второ ниво (например bissquit.com) е малко над 500 рубли годишно. Това е много малко дори за обикновените граждани, като вас и мен, а за фирмите са си пари, още повече. Закупих домейна си много преди да се появи идеята да започна този блог. Просто е удобно. Да вземем дори дистанционна връзкаот rdp - въвеждам името на моя домейн, вместо тъп ip-адрес.
В интернет, в отговор на запитването „най-добри практики за домейни на активна директория“, почти всеки сайт е написал изчерпателни препоръки за именуване на домейни на AD и обяснява защо трябва да се прави по този начин. Нека да разгледаме по-подробно за какви препоръки говорим:
- За да наименувате AD домейн, използвайте поддомейн на официално регистрирания домейн на вашата организация.
Правилно си разбрал, само един съвет. Това е всичко! Можете да говорите много за подробностите и малките нюанси, но 80-90% от разсъжденията се свеждат до един-единствен съвет, изразен по-горе. Всички проблеми идват от факта, че човек знае, че е необходимо да направи това, но не разбира защо е невъзможно или е силно препоръчително да не го прави по друг начин. Повече подробности от сега.
1. Защо не можете да използвате вътрешни, външни неразрешими имена като .local, .corp, .lan?
Мога. Колкото е възможно повече. Повечето от тях ги използват. Имам примери сред приятели, които имат 2000+ души в организации и използват домейна .local. Всички трудности ще започнат, ако изведнъж се нуждаете от истински AD домейн. Това може да се случи при използване на хибридни облачни внедрявания (Exchange + Office365 е отличен пример). „Защо просто не преименувате домейна, защото с определена версия AD напълно ли е възможно?“ - ти питаш. Да, по принцип е възможно, но ще трябва да се сблъскате с трудностите при мигрирането на зависещи от домейна услуги. Сред тях са същата борса и други, но тук една борса е повече от достатъчна.
2. „Добре, купуваме истинско външно име - my-company.com, ще извикаме и AD домейна“ - също не е опция. Ще има проблеми с разрешенията с други ресурси, разположени на my-company.com, като например уебсайта на компанията. И освен това вашите DNS сървъри няма да бъдат авторитетни за този домейн, въпреки че ще се считат за такива. Това също ще създаде проблеми.
Има и други съображения за именуване на домейн, сред които създаване на подобен реален домейн, но в различен TLD. Но ми се струва, че няма много смисъл да се прави това, защото някои от проблемите все още остават и просто няма очевидни предимства в сравнение с използването на домейна corp.my-company.com (името е взето като пример ).
За тези, които обичат да правят всичко по свой начин, наскоро ще бъдат добавени и проблеми със сертификати, така че няма смисъл да използвате вътрешни имена сега.
Проблемът с избора на име на домейн технически опира до реда, в който пишете името, когато създавате AD домейна и нищо повече. Последствията, до които ще доведе неправилният избор на име, обаче ще ви създадат много проблеми в бъдеще и затова е много важно да направите всичко качествено на етапа на планиране. Още веднъж, добре е да четете статии от опитни администратори
Вчера студиото ни получи писмо от редовния ни читател Андрей с въпроса:
С удоволствие чета вашия блог, научих много полезни неща за себе си, исках да знам вашето мнение за името на домейна на Active Directory, мнозина пишат, че трябва да се казва *organization*.local, а някой пише, че трябва да се нарича същото като домейна.
Нека да разгледаме набързо кое е най-доброто име, което да използвате, когато именувате домейн в организация.
Както показва практиката, изборът на име на домейн може да обърка дори опитен системен администратор. Когато за първи път стартирате помощната програма dcpromoимето на домейна ще се генерира автоматично и на случаен принцип, ако името на домейна не е приведено в съответствие с необходимите правила още на този етап, ще бъде по-трудно да промените името на домейна в бъдеще. Нека да разгледаме опциите по реда на тяхната популярност.
1. Домейн с име example.local
Лидерът на нашия хит парад е име на домейн, завършващо на местен.Има и други вариации на тази тема, например тест, фирма, фабрика, nn, лок, и така нататък. Сега дори не си спомняте откъде идва такава любов; във всичките си книги Microsoft винаги използва собствено име на формата contoso.comкъдето можем ясно да видим формат за име на домейн. Въпреки това, в продължение на почти 10 години, домейнът .местензаемаше водеща позиция. Ситуацията започна да се изравнява с появата на услуги, които използват в работата си SSL сертификати. Където използването на домейни "не ме интересува и така ще стане" става невъзможно. Вижте, да предположим, че вашата компания използва вътрешно Exchange сървър, който се нуждае от ssl сертификат за криптиране на клиентски връзки. Според вашия сценарий ви е необходим сертификат, за да изпълните тази задача външен CA, в който трябва да посочите всички имена на сървърите, използвани за външна връзка. Изглежда, че такова нещо, записваме всички имена на сървърите и кандидатстваме за издаване на сертификати, но има едно нещо. С името на такъв домейн няма да можете да валидирате, тъй като домейнът „не ме интересува и така ще стане“ не съществува и ще получите мек отказ да се опитате да обясните на външен сертифициращ орган, че трябва да поставите FQDN името на несъществуващ домейн в SAN :
Не е възможно, ние издаваме само сертификати за реални домейн имена.
Но има още една беда. Използване на име на домейн не е ваша собственоств име на домейн може да доведе до катастрофални последици. Представете си ситуацията, ако зоната местенще бъдат публични. Като зона comили en. Не мисля, че си струва да продължавам.
2. Името на домейна е същото като името на външния домейн
Второто място в нашия хит парад. Въпреки факта, че такъв сценарий е по-малко популярен, той все още има право на живот. В допълнение към факта, че в близко бъдеще все още ще получите някои неудобства при поддръжката на мрежата, нищо друго не ви заплашва. Основният проблем в този сценарий е, че ще трябва да поддържате два DNS сървъра: вътрешен и външен. При това условие компютрите в мрежата ще използват вътрешния DNS сървър за разрешаване на имена, а компютрите извън периметъра на компанията ще използват външен такъв. Да предположим, че вашият домейн има гордо име example.com. IN DMZзона, която имате уебсайтнаименувани компании example.com. В сценария, описан по-горе, компютрите са локализирани вътреорганизации не могадостъп до него, защото за тях example.com е име на домейни когато въведете този адрес в браузъра, те ще отидат на домейн контролер. Както отбелязах по-горе, освен неудобство, това няма да доведе до нищо. Винаги можете да използвате патерици, които ще ви пренасочат към външен сайт, но съгласете се, че това не е необходима двойна работа, или използвайте име на сайт, започващо с wwwили навън.
3. Име на домейн от една дума
Може би най-неправилната опция от горното. Домейни на едно ниво: Домейн с един етикете домейн, който съдържа само един компонент. Очевидно те са започнали да се използват в дните на NT, когато Microsoft възприема успешния опит на Novell. Случи се така, че първоначално бях администратор на FreeBSD и голям набор от сървъри на NetWare, започвайки от версия 4.11, и така в онези древни времена NetWare използва Bindery в работата си, което е само имената домейн схема на едно ниво, която по-късно беше поета от Microsoft.
най-добри практики
Време е да обобщим. Какво име на домейн да използвам? Само домейн от трето ниво в домейна, който притежавате. Не използвайте по-красиви имена на домейни на други хора :-). Можете да видите пример за такъв домейн по-долу.
Какво е домейн контролер
Домейн контролерът осигурява централизирано управление мрежови устройства, тоест домейни. Контролерът съхранява цялата информация от акаунтите и настройките на потребителите на мрежата. Това са настройките за сигурност местна политикаи много други. Това е вид сървър, който има пълен контрол върху конкретна мрежа или мрежова група. Домейн контролерът е вид набор от специален софтуер, който изпълнява различни услуги на Active Directory. Контролерите работят с определени операционни системи, като напр windows сървър 2003. Съветникът за настройка на Active Drive ви позволява да създавате домейн контролери.
В операционната Windows система NT, като основен сървър, използва основния домейн контролер. Други използвани сървъри се използват като резервни контролери. Основните PDC контролери могат да изпълняват различни задачи, свързани с членство в потребителска група, създаване и промяна на пароли, добавяне на потребители и много други. След това данните се предават на допълнителни BDC контролери.
Може да се използва като домейн контролер софтуер Samba 4, ако е инсталирана операционна система Unix. Този софтуер поддържа и други операционни системи като windows 2003, 2008, 2003 R2 и 2008 R2. Всяка от операционните системи при необходимост може да бъде разширена в зависимост от конкретните изисквания и параметри.
Прилагане на домейн контролери
Домейн контролерите се използват от много организации, които хостват компютри, свързани помежду си и към мрежата. Контролерите съхраняват данни от директорията и контролират как потребителите влизат, излизат и взаимодействат помежду си.
Организациите, използващи домейн контролер, трябва да решат колко домейн контролери ще бъдат използвани, да планират архивиране на данни, физическа сигурност, сървърни надстройки и други необходими задачи.
Ако една компания или организация е малка и използва само една домейн мрежа, тогава е достатъчно да се използват два контролера, които могат да осигурят висока стабилност, толерантност към грешки и високо ниво на достъпност на мрежата. В мрежи, които са разделени на определено количество отобекти, на всеки от тях е инсталиран по един контролер, което позволява да се постигне необходимата производителност и надеждност. Чрез използването на контролери във всеки сайт, влизането на потребителите може да стане много по-лесно и по-бързо.
Мрежовият трафик може да бъде оптимизиран, за да направите това, трябва да зададете времето за актуализации на репликация, когато натоварването на мрежата е минимално. Настройването на репликация значително ще опрости работата ви и ще я направи по-продуктивна.
Можете да постигнете максимална производителност в работата на контролера, ако домейнът е глобален каталог, който ще ви позволи да заявите всякакви обекти с определено тегло. Важно е обаче да запомните, че активирането на глобален каталог води до значително увеличение на трафика на репликация.
Хост домейн контролерът е най-добре да се остави неактивиран, ако се използва повече от един домейн контролер. Когато използвате домейн контролер, е много важно да се грижите за сигурността, тъй като става доста достъпен за нападателите, които искат да завладеят данните, необходими за измама.
Съображения за инсталиране на допълнителни домейн контролери
За постигане на по-висока надеждност при експлоатация на необходимото мрежови услуги, трябва да инсталирате допълнителни домейн контролери. В резултат на това може да се постигне значително по-висока стабилност, надеждност и безопасност при работа. Производителността на мрежата в този случай ще стане много по-висока, което е много важен параметър за организации, които използват домейн контролер.
За да може домейн контролерът да работи правилно, трябва да се извърши известна подготвителна работа. Първото нещо, което трябва да направите, е да проверите TCP/IP настройките, те трябва да са зададени правилно за сървъра. Най-важното е да проверите DNS имената за съпоставяне.
За безопасна работадомейн контролерът трябва да използва файловата система NTFS, която е по-сигурна от файловата система FAT 32. NTFS система, който ще съдържа системния том. Необходим е и достъп до DNS сървъра от сървъра. DNS услугаинсталиран на този или допълнителен сървър, който трябва да поддържа записи на ресурси.
За да конфигурирате правилно домейн контролер, можете да използвате съветника за конфигуриране, който ви позволява да добавите изпълнението на конкретни роли. За да направите това, ще трябва да отидете в раздела за администриране през контролния панел. Трябва да посочите контролер на домейн като сървърна роля.
Домейн контролерът днес е незаменим за мрежи и сайтове, използвани от различни организации, институции и компании във всички области на човешката дейност. Благодарение на него се осигуряват висока производителност в работата и безопасност, което в компютърни мрежие от особено значение. Ролята на домейн контролера е много важна, тъй като ви позволява да управлявате области на домейн, изградени в компютърни мрежи. Всяка операционна система има определени нюанси, свързани с работата на домейн контролерите, но принципът и нейната цел са еднакви навсякъде, така че справянето с настройките не е толкова трудно, колкото може да изглежда в самото начало. Въпреки това е много важно домейн контролерите да бъдат конфигурирани от експерти, за да се постигне в крайна сметка висока производителност и сигурност по време на работа.