«NETLOGON и SYSVOL — это не просто папки на диске, а несущая конструкция домена Active Directory. Их работа настолько отлажена, что становится невидимой, пока что-то не ломается. Но именно в их взаимодействии скрываются тонкости, которые определяют безопасность и управляемость всей сети.»
NETLOGON и SYSVOL
Фундаментальные компоненты доменной инфраструктуры Windows
Синхронная работа критических служб
NETLOGON и SYSVOL — это два взаимосвязанных механизма, которые обеспечивают базовые функции домена: безопасный вход пользователей и централизованное распространение политик. Они разворачиваются автоматически при установке контроллера домена и образуют его операционную основу.
Архитектурная значимость этих систем в том, что они реализуют ключевые принципы домена: единую точку аутентификации и единое пространство политик. Без их слаженной работы домен Active Directory теряет смысл.
NETLOGON — служба аутентификации домена
Служба NETLOGON — это шлюз в домен. Она обрабатывает все запросы на вход от пользователей и компьютеров, проверяя их учетные данные и решая, предоставить ли доступ. Именно через NETLOGON клиентский компьютер «представляется» домену и получает от него свои первые инструкции.
Безопасность аутентификации
Основной протокол, который использует NETLOGON — Kerberos. Он обеспечивает взаимную аутентификацию (клиент и сервер подтверждают личности друг друга), защищает от перехвата и повторного использования билетов. Для совместимости со старыми системами поддерживается и менее безопасный протокол NTLM, но его использование сегодня считается признаком устаревшей или неверно сконфигурированной инфраструктуры.
Папка NETLOGON и сценарии входа
Физически служба связана с общей сетевой папкой `NETLOGON` (обычно `\domain.comNETLOGON`). Её ключевой подкаталог — `SCRIPTS`. Сюда администраторы помещают сценарии входа (логин-скрипты), которые автоматически выполняются при успешной аутентификации пользователя. Эти скрипты, часто написанные на командном языке или PowerShell, используются для настройки рабочего окружения: подключения сетевых дисков, установки принтеров, обновления переменных среды или запуска специфичного корпоративного ПО.
Основная функция: Аутентификация пользователей и компьютеров в домене.
Протоколы: Kerberos, NTLM (для обратной совместимости).
SYSVOL — системный том распространения политик
SYSVOL (System Volume) — это общее хранилище данных, которое должно быть идентичным на всех контроллерах домена. Если NETLOGON — это дверь в домен, то SYSVOL — это его внутренние правила и инструкции, обязательные для всех.
Репликация и согласованность
Главная техническая задача SYSVOL — обеспечить полную идентичность своего содержимого на всех контроллерах домена. Для этого используется механизм репликации. Исторически это была служба FRS (File Replication Service), но в современных доменах её заменил более надежный и эффективный DFS-R (Distributed File System Replication). Сбой репликации SYSVOL ведет к рассогласованию политик в сети — одни компьютеры получают одни настройки, другие — иные.
Политика группы (Group Policy)
Основное содержимое SYSVOL — это объекты групповых политик (GPO). Все настройки безопасности, конфигурации рабочего стола, параметры реестра и сценарии, которые администратор определяет в консоли управления групповыми политиками, в конечном итоге сохраняются здесь, в виде набора файлов.
Структура папок
По умолчанию путь к SYSVOL — `%SYSTEMROOT%SYSVOLsysvol`. Внутри находятся ключевые каталоги:
- Policies: Хранит все объекты групповых политик. Каждый GPO представлен папкой с именем в виде его уникального GUID, внутри которой находятся файлы настроек (`GPT.INI`) и шаблоны (`Registry.pol`).
- Scripts: Здесь также могут храниться скрипты, но уже связанные с политиками (скрипты запуска/завершения работы, входа/выхода), а не только логин-скрипты из NETLOGON. Фактически, папка `NETLOGONSCRIPTS` часто является ссылкой на `SYSVOLdomainSCRIPTS`.
- Домен: Папка с именем домена, содержащая подпапки `Policies` и `Scripts`.
Назначение: Централизованное распространение политик и системных файлов.
Репликация: DFS-R (в современных доменах) или FRS (в устаревших).
Путь: `%SYSTEMROOT%SYSVOLsysvol`.
Сравнение NETLOGON и SYSVOL
| Параметр | NETLOGON | SYSVOL |
|---|---|---|
| Основная функция | Аутентификация и авторизация в домене | Распространение групповых политик и системных файлов |
| Ключевые компоненты | Служба Netlogon, общая папка NETLOGON (с подпапкой Scripts) | Общая папка SYSVOL (с подпапками Policies, Scripts, структура домена) |
| Используемые протоколы | Kerberos, NTLM (для аутентификации) | SMB (для доступа клиентов), RPC/DFS-R (для репликации между DC) |
| Репликация содержимого | Не требуется для службы; содержимое папки NETLOGON реплицируется как часть SYSVOL | Обязательная репликация между всеми контроллерами домена через DFS-R/FRS |
| Взаимосвязь | Папка `NETLOGONSCRIPTS` обычно является точкой монтирования или ссылкой на `SYSVOLdomainSCRIPTS`. SYSVOL предоставляет данные (скрипты, политики), а NETLOGON обеспечивает безопасный механизм их доставки клиенту после аутентификации. | |
Понимание различий и связей между NETLOGON и SYSVOL критически важно для диагностики проблем в домене. Ошибка аутентификации у пользователя? Смотрим службу NETLOGON, политики Kerberos, время на серверах. Политика не применяется на части компьютеров? Проверяем репликацию SYSVOL, целостность файлов в папке Policies. Эти два компонента, работая в тандеме, держат на себе всю логику управления Windows-доменом.