Как устроен домен Windows: связь Active Directory, DNS и DHCP

Домен Windows держится на трёх службах, которые работают в связке. Active Directory хранит учётные записи пользователей, компьютеров и правила доступа - это сердце домена. DNS превращает имена в адреса и помогает компьютерам найти контроллер домена; без рабочего DNS домен просто не работает. DHCP раздаёт компьютерам IP-адреса и заодно сообщает им, какой DNS использовать. Вместе они дают то, ради чего домен и затевается: единый вход, централизованное управление и порядок в сети. Разберём, кто за что отвечает и как они связаны - без пошаговой настройки, на уровне «как это устроено».

Зачем вообще нужен домен

Пока компьютеров несколько, ими управляют поодиночке: на каждом свои учётки, свои настройки. Это рабочая группа. Когда машин больше десятка, такой подход превращается в каторгу: завести сотрудника - обойти все компьютеры, сменить политику паролей - то же самое.

Домен переворачивает логику: учётные записи и правила хранятся централизованно, на контроллере домена. Сотрудник логинится своим единым аккаунтом на любом компьютере, права и политики применяются автоматически. Как из рабочей группы перейти к домену - в материале как превратить рабочую группу в домен.

Active Directory - сердце домена

Active Directory (AD) - это служба каталога: база данных, где хранятся пользователи, компьютеры, группы и правила. Сервер, на котором она работает, называется контроллером домена. Именно он проверяет логины и пароли, выдаёт доступ к ресурсам и раздаёт групповые политики (GPO) - настройки, которые централизованно применяются к компьютерам и пользователям.

Контроллеров домена обычно делают два или больше: если один выйдет из строя, вход в систему и доступ к ресурсам продолжат работать. Подробнее о возможностях - в материале Active Directory на полную катушку.

DNS - как домен находит сам себя

Вот ключевая связка, на которой спотыкаются новички: Active Directory не работает без DNS. Причина в том, что имя домена - это DNS-имя (например, company.local), и компьютеры находят контроллер домена через специальные записи в DNS (SRV-записи). Клиент спрашивает у DNS «где здесь контроллер домена?» - и DNS отвечает адресом.

Поэтому DNS почти всегда поднимают на самом контроллере домена, и AD сама ведёт нужные записи. Если клиент смотрит на чужой DNS, который ничего не знает про домен, он просто не найдёт контроллер - и не войдёт, даже когда сеть физически в порядке. Большинство «загадочных» проблем с доменом - это проблемы с DNS.

DHCP - чтобы всё нашлось автоматически

DHCP раздаёт компьютерам сетевые настройки: IP-адрес, шлюз и - что важно для домена - адрес правильного DNS-сервера. Без DHCP каждой машине прописывали бы адреса вручную.

В домене это замыкает цепочку: DHCP выдаёт клиенту IP и говорит «твой DNS - вот этот» (тот, что на контроллере домена). Клиент идёт в этот DNS, находит через него контроллер и проходит аутентификацию в AD. Если DHCP раздаёт неправильный DNS, клиенты не находят домен - частая причина того, что «компьютеры не входят в домен».

Как три службы работают вместе

Соберём цепочку, что происходит, когда сотрудник включает компьютер:

Частые источники проблем

Раз службы связаны, то и ломается обычно стык между ними:

• Неправильный DNS на клиенте. Компьютер смотрит на публичный DNS (например, провайдерский), а не на контроллер домена - и не находит домен. Лечится правильной раздачей DNS через DHCP.
• Разъехавшееся время. Аутентификация в домене чувствительна к расхождению часов. Если время на клиенте и контроллере сильно разное, вход не проходит.
• Один контроллер домена. Он падает - и в домен никто не может войти. Поэтому контроллеров делают минимум два.
• Чужой DHCP в сети. Посторонний DHCP-сервер (например, в роутере) раздаёт свои настройки и уводит клиентов от домена.

Коротко

Домен Windows - это связка трёх служб. Active Directory хранит учётки и правила (на контроллере домена), DNS помогает компьютерам найти контроллер (без DNS домен не работает), DHCP раздаёт адреса и указывает правильный DNS. Цепочка входа: DHCP дал адрес и DNS → DNS нашёл контроллер → Active Directory проверила и выдала права. Большинство проблем с доменом - на стыке этих служб, чаще всего в DNS.

Частые вопросы

Что такое контроллер домена?

Это сервер, на котором работает Active Directory. Он хранит учётные записи и правила, проверяет логины и пароли при входе и раздаёт групповые политики. Контроллеров обычно делают несколько для отказоустойчивости.

Почему Active Directory не работает без DNS?

Потому что имя домена - это DNS-имя, и компьютеры находят контроллер домена через DNS (по SRV-записям). Если DNS недоступен или клиент смотрит на чужой DNS, он не найдёт контроллер и не войдёт в домен.

Зачем в домене нужен DHCP?

DHCP раздаёт компьютерам IP-адреса и, что критично, адрес правильного DNS-сервера. Так клиент автоматически получает настройки, через которые находит контроллер домена. Без этого адреса пришлось бы прописывать вручную.

Почему компьютер не входит в домен?

Чаще всего из-за DNS: клиент смотрит на неправильный DNS-сервер и не находит контроллер. Другие частые причины - сильно разошедшееся время между клиентом и контроллером или посторонний DHCP в сети.

По теме: Active Directory на полную катушку и как установить домен на сервер.