Как подменить контроллер домена и не сломать текущую инфраструктуру / Хабр

Введение

В жизни каждого системного администратора наступает момент, когда ему приходится лихорадочно вспоминать, какая роль на каком контроллере домена развернута, а главное, какая за что отвечает. Как правило, это сценарии обновления, миграции или аварийного восстановления.

По долгу службы регулярно приходится сталкиваться с большим разнообразием фантазий и суеверий на тему равноправности контроллеров домена (“начиная с Windows 2000”), интересных предположений о работе, например, роли Infrastructure Master, поэтому прояснить ситуацию раз и навсегда крайне желательно.

Итак. Все мы знаем, что ролей FSMO (Flexible Single Master Operation) в Active Directory встречается аж пять штук. Это:

Schema Master
Domain Naming Master
Infrastructure Master
RID Master
PDC Emulator

Каждая из них сейчас будет рассмотрена подробнее. Поехали!

Назначение Samba в интерактивном режиме

# Останавливаем ненужные службыsudo systemctl stop winbind smbd nmbd krb5-kdcsudo systemctl mask winbind smbd nmbd krb5-kdcsudo rm /etc/samba/smb.conf

# Назначениеsudo samba-tool domain provision —use-rfc2307 —interactive

# Настройка автоматического запуска доменной службы Samba sudo systemctl unmask samba-ad-dcsudo systemctl enable samba-ad-dc

# Запуск доменной службы Samba sudo systemctl start samba-ad-dc

Нажмите, чтобы развернуть

# Запрашивается имя области KerberosRealm : SAMDOM.EXAMPLE.COM

# Запрашивается имя доменаDomain : SAMDOM

# Запрашивается роль сервера Server Role (dc, member, standalone) : dc

# Выбирается служба DNSDNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) : BIND9_DLZ

# Выбирается IP-адрес для перенаправления запросов DNSDNS forwarder IP address (write ‘none’ to disable forwarding) : 8.8.8.8

# Ввод и подтверждение пароля администратораAdministrator password: Passw0rdRetype password: Passw0rd

Интерактивный режим настройки поддерживает различные параметры команды samba-tool domain provision, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.

Командлет Get-ADDomainController

При запуске без параметров командлет выводит информацию о текущем контроллере домена (LogonServer), который используется данным компьютером для аутентификации (DC выбирается при загрузке в соответствии с топологией сайтов AD).

Командлет вернул все поля с информацией о контроллере домена, доступной в AD.

ComputerObjectDN : CN=mskDC01,OU=Domain Controllers,DC=corp,DC=winitpro,DC=ru
DefaultPartition : DC=corp,DC=winitpro,DC=ru
Domain : corp.winitpro.ru
Enabled : True
Forest : winitpro.ru
HostName : mskDC01.corp.winitpro.ru
InvocationId : 96234a-7fc6-4a32-9e62-3b32343ab4ad
IPv4Address : 10.1.10.6
IPv6Address :
IsGlobalCatalog : True
IsReadOnly : False
LdapPort : 389
Name : mskDC01
NTDSSettingsObjectDN : CN=NTDS Settings,CN=mskDC01,CN=Servers,CN=MskCenter,CN=Sites,CN=Configuration,DC=winitpro,DC =ru
OperatingSystem : Windows Server 2008 R2 Standard
OperatingSystemHotfix :
OperatingSystemServicePack : Service Pack 1
OperatingSystemVersion : 6.1 (7601)
OperationMasterRoles : {}
Partitions : {DC=ForestDnsZones,DC=winitpro,DC=ru, DC=DomainDnsZones,DC=corp,DC=winitpro,DC=ru, CN=Schema,CN=Configuration,DC=winitpro,DC=ru...}
ServerObjectDN : CN=mskDC01,CN=Servers,CN=MskCenter,CN=Sites,CN=Configuration,DC=winitpro,DC=ru
ServerObjectGuid : 8052323-e294-4430-a326-9553234431d6
Site : MskCenter
SslPort : 636

Также вы можете найти контроллер домена, к которому должен относится ваш компьютер через механизм DCLocator:

Вы можете найти ближайший доступный DC с активной ролью AD Web Services:

Параметр Service можно использовать, чтобы найти PDC в домене:

Если ваш контроллер домена не найден или не отвечает, вы можете найти контроллер домена в ближайшем сайте AD (определяется по весу межсайтовых связей):

Чтобы вывести список все контроллеров домена в текущем домене, выполните:

Посчитать количество контроллеров домена в AD можно с помощью команды:

Выведем более удобную таблицу, в которой указаны все контроллеры домена с их именем, IP адресом, версией ОС и именем сайта AD:

Если вам нужно получить информацию о DC из другого домена, нужно указать имя любого доступного DC в стороннем домене с помощью параметра –Server (возможно при наличии доверительных отношений между доменами).

Передача FSMO ролей из графических оснасток Active Directory

Для переноса FSMO ролей можно использовать стандартные графические оснастки Active Directory. Операцию переноса желательно выполнять на DC с FSMO ролью. Если же консоль сервера не доступна, необходимо выполнить команду Change Domain Controller и выбрать контроллер домена в mmc-оснастке.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

Для передачи ролей уровня домена (RID, PDC, Infrastructure Master) используется стандартная консоль Active Directory Users and Computers (DSA.msc)

Откройте консоль Active Directory Users and Computers;
Щелкните правой кнопкой мыши по имени вашего домена и выберите пункт Operations Master;
Перед вами появится окно с тремя вкладками (RID, PDC, Infrastructure), на каждой из которых можно передать соответствующую роль, указав нового владельца FSMO роли и нажав кнопку Change.

Передача роли Schema Master

Для переноса FSMO уровня леса Schema Master используется оснастка Active Directory Schema.

Перед запуском оснастки нужно зарегистрировать библиотеку schmmgmt.dll, выполнив в командной строке команду: regsvr32 schmmgmt.dll 2. Откройте консоль MMC, набрав MMC в командной строке; 3. В меню выберите пункт File -> Add/Remove snap-in и добавьте консоль Active Directory Schema; 4. Щелкните правой кнопкой по корню консоли (Active Directory Schema) и выберите пункт Operations Master;5. Введите имя контроллера, которому передается роль хозяина схемы, нажмите кнопку Change и OK. Если кнопка недоступна, проверьте что ваша учетная запись входит в группу Schema admins.

Передача FSMO роли Domain naming master

Для передачи FSMO роли хозяина именования домена, откройте консоль управления доменами и доверием Active Directory Domains and Trusts;
Щелкните правой кнопкой по имени вашего домена и выберите опцию Operations Master;
Нажмите кнопку Change, укажите имя контроллера домена и нажмите OK.

Добавление второго контроллера домена из другой подсети

Идем на второй сервер xm-winsrv, запускаем мастер добавления ролей и добавляем так же как и на первом сервере 3 роли — AD, DNS, DHCP. Когда будет запущен Мастер настройки доменных служб Active Directory, выбираем там первый пункт — Добавить контроллер домена в существующий домен, указываем наш домен xs.local:

На следующем шаге в параметрах контроллера домена указываем имя сайта, к которому мы присоединим контроллер:

Напомню, что это должен быть сайт, к которому привязана подсеть 10.1.4.0/24. Первый и второй контроллеры оказываются в разных сайтах. Не забываем поставить галочку Глобальный каталог (GC). Дальше все настройки оставляем по-умолчанию.

После перезагрузки сервера, он окажется в домене xs.local. Зайти под локальным администратором не получится, нужно использовать доменную учетную запись. Заходим, проверяем прошла ли репликация с основным контроллером домена, синхронизировались ли записи DNS. У меня все это прошло благополучно, всех пользователей и записи DNS второй контроллер домена забрал с первого. На обоих серверах в оснастке Active-Directory — сайты и службы отображаются оба контроллера, каждый в своем сайте:

На этом все. Можно добавлять компьютеры в обоих офисах в домен.

Добавлю еще один важный момент для тех, кто будет все это настраивать на виртуальных машинах. Нужно обязательно на гостевых системах отключить синхронизацию времени с гипервизором. Если этого не сделать, то в какой-то момент контроллерам домена может стать плохо.

Резервное копирование Active Directory с помощью PowerShell

Попробуем создать бэкап контроллера домена с помощью PowerShell. Для хранения нескольких уровней копий AD мы будем хранить каждый бэкап в отдельном каталоге с датой создания копии в качестве имени папки.

Запустите данный скрипт. Должна появится консоль wbadmin с информацией о процессе создании резервной (теневой) копии диска:

The backup operation to \\srvbak1\backup\dc1\2019-10-10 is starting.
Creating a shadow copy of the volumes specified for backup...

У меня первая попытка создать бэкап DC завершилась с ошибкой (контролер домена — это виртуальная машина VMWare):

Detailed error: The filename, directory name, or volume label syntax is incorrect.
The backup of the system state failed .

Я открыл журнал ошибок WSB — C:\Windows\Logs\WindowsServerBackup\Backup_Error-10-10-2019_08-30-24.log.

В файле содержится одна ошибка:

Error in backup of C:\windows\\systemroot\ during enumerate: Error  The filename, directory name, or volume label syntax is incorrect.

Забегая вперед, скажу, что проблема оказалась в некорректном пути в одном из драйверов VMWware Tools.

Чтобы исправить эту ошибку, откройте командную строку с правами администратора и выполните:

После формирование списка наберите quit и откройте файл «C:\Windows\System32\writers.txt». Найдите в нем строку, содержащую “windows\\”.

В моем случае найденная строка выглядит так:

File List: Path = c:\windows\\systemroot\system32\drivers, Filespec = vsock.sys

Как вы видите, используется неверный путь к драйверу VSOCK.SYS.

Чтобы исправить путь, откройте редактор реестра и перейдите в раздел HKLM\SYSTEM\CurrentControlSet\Services\vsock.

Измените значение ImagePath сна

Запустите скрипт бэкапа еще раз.

Если бэкап выполнен успешно, в логе появятся сообщения:

The backup operation successfully completed.
The backup of volume (C:) completed successfully.
The backup of the system state successfully completed .

Проверим даты последнего бэкапа на DC:

Теперь тут указано, что последний раз бэкап контроллера домена выполнялся сегодня.

На сервере резевного копирования размер каталога с резервной копией контроллера домена занимает около 9 Гб. По сути на выходе вы получили vhdx файл, который можно использовать для восстановления ОС через WSB, или вы можете вручную смонтировать vhdx файл и скопировать из него нужные файлы или папки.

Если на площадке имеется несколько DC, то не обязательно бэкапить их все. Для экономии места достаточно периодически бэкапить базу данных AD — файл ntds.dit. Для этого используйте следующие команды:

Размер такого бэкапа будет составлять всего 50-500 Мб в зависимости от размера базы AD.

Для автоматического выполнения бэкапа, нужно на DC создать скрипт c:\ps\backup_ad.ps1. Этот скрипт нужно запускать по расписанию через Task Sheduler. Вы можете создать задание планировщика из графического интерфейса или из PowerShell. Главное требование — задание должно запускать от имени SYSTEM с включенной опцией Run with highest privileges. Для ежедневного бэкапа контролера домена AD создайте следующее задание:

Итак, мы настроили резевное копирование состояния AD, а в следующей статье мы поговорим о способах восстановления AD из имеющейся резервной копии контроллера домена.

Установка Microsoft DNS Server

Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете главный контроллер домена Windows NT 4.0 — вы уже зарегистрированы.
В меню Start выберите пункт Settings, а затем — пункт Control Panel.
Дважды щелкните по значку Add/Remove Programs.
Нажмите кнопку Add/Remove Windows Components.
Будет запущена программа-мастер Windows Components Wizard.
Выберите пункт Networking Services и нажмите кнопку Details.

Замечание: Не устанавливайте флажок Networking Services во включенное положение. В этом случае будут установлены все сетевые службы. Просто выберите пункт Networking Services.

Установите во включенное положение флажок рядом с пунктом Dynamic Name Service (DNS).
Нажмите кнопку OK, чтобы закрыть диалоговое окно.
Нажмите кнопку Next для установки программного обеспечения сервера DNS. Если диск Windows 2000 Beta 3 еще не вставлен в дисковод CD-ROM, программа предложит вам сделать это.
Если появится запрос с предложением указать статический IP адрес, нажмите кнопку OK и проделайте следующее:

В диалоговом окне Local Area Connection Properties, которое должно появиться после этого, выберите пункт Internet Protocol (TCP/IP) и нажмите кнопку Properties.

Установите переключатель в положение Use the following IP address и укажите значения в полях IP address, Subnet mask и Default Gateway. Если вы не знаете, какие значения использовать, обратитесь к администратору сети. Если вы работаете в собственной сети, вы можете использовать значения из зарезервированного диапазона 10.x.x.x адресов класса A. Например, установите IP адрес компьютера равным 10.0.0.1, используйте предложенное по умолчанию значение маски подсети и оставьте поле адреса шлюза пустым. Каждый компьютер должен иметь свой уникальный IP адрес.

Если в вашей сети имеются другие серверы DNS, установите переключатель в положение Use the following DNS server addresses и введите IP адрес сервера DNS в поле Primary DNS Server. Если у вас в сети нет других серверов DNS, оставьте переключатель в положении Obtain DNS server address automatically или оставьте поле Primary DNS Server пустым.

Нажмите кнопку OK, чтобы закрыть диалоговое окно Internet Protocol (TCP/IP) Properties.
Нажмите кнопку OK, чтобы закрыть панель Connection configuration.
Нажмите кнопку Finish для завершения установки DNS.
Закройте окно Add/Remove Programs. Сервер DNS установлен.

Если вы указали в пункте «с» существовавший ранее сервер DNS, вам придется настроить его так, чтобы он делегировал обслуживание имен в домене Active Directory серверу DNS, который вы только что установили. Это делается путем добавления ресурсных записей Name Server в файл зоны, ответственной за обслуживание имен вашего домена Active Directory. О том, как это осуществить, вы можете узнать из документации к своему DNS серверу. Сделайте это после того, как работа мастера установки Active Directory будет завершена.

Если вы не указывали существующего сервера DNS, компьютер будет автоматически настроен для использования установленного на нем сервера DNS.

Замечание: В отличие от предыдущих версий Windows 2000, вам больше не нужно вручную настраивать DNS перед повышением статуса сервера. Теперь это делается автоматически в процессе повышения статуса, если на компьютере установлен DNS сервер. В последующих версиях сервер DNS будет устанавливаться автоматически, и выполнять эти действия не потребуется.

Как можно определить, какой контроллер домена обладает ролью FSMO

Определение обладателей ролей мастеров операций средствами GUI

Выполните вход на контроллер домена под учётной записью, обладающей правами администратора;
Откройте диалоговое окно «Выполнить» и зарегистрируйте динамическую библиотеку оснастки «Схема Active Directory» при помощи команды regsvr32.exe schmmgmt;
Затем откройте окно консоли управления MMC и вызовите диалог добавления новой оснастки. В списке оснасток выберите «Схема Active Directory», как показано на следующей иллюстрации:Рис. 1. Добавление оснастки «Схема Active Directory»
В открытой оснастке «Схема Active Directory» нажмите правой кнопкой мыши на корневом узле оснастки и из контекстного меню выберите команду «Хозяин операций», как показано ниже:Рис. 2. Мастер операций схемы

Открыть окно оснастки «Active Directory – домены и доверие»;
Щёлкнуть правой кнопкой мыши на корневом узле оснастки и из контекстного меню выбрать команду «Хозяин операций», как изображено на следующей иллюстрации:Рис. 3. Мастер операций именования доменов

«Active Directory – пользователи и компьютеры»«Хозяева операций»«Хозяева операций»Рис. 4. Хозяева операций для уровня домена

Определение обладателей ролей мастеров операций средствами командной строки

Ntdsutil

Откройте окно командной строки;
Выполните команду Ntdsutil;
Перейдите к маркерам владельца управления ролью NTDS при помощи ввода команды roles;
На этом шаге вам нужно подключить определённый контроллер домена Active Dirctory. Для этого выполните команду connections;
В строке «server connections» введите connect to server, укажите в этой же строке имя сервера и нажмите на клавишу «Enter»;
Перейдите обратно к fsmo management, используя команду quit;
Выполните команду «Select operation target», предназначенную для выбора сайтов, серверов, доменов, ролей или контекстов именования;
Теперь вы можете просмотреть список ролей, известных подключённому серверу при помощи команды List roles for connected server, как показано на следующей иллюстрации:Рис. 5. Определение мастеров операций средствами командной строки

Dcdiag/test:Knowsofroleholders /vРис. 6. Определение FSMO-ролей средствами утилиты Dcdiag

Добавление дерева в лес

Для создания новых деревьев в существующем лесу используется программа-мастер Active Directory Installation Wizard.

Замечание: Перед запуском DCpromo вы должны присоединить компьютер к корневому (root) домену леса. Корневой домен — это первый из созданных вами доменов. Следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дерево в лес через администратора

Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 — вы уже зарегистрированы.
Нажмите кнопку Start и выберите в меню пункт Run.
Введите dcpromo и нажмите кнопку OK.
Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
Выберите пункт New domain и нажмите кнопку Next.
Выберите пункт Create new domain tree и нажмите кнопку Next.
Выберите пункт Put this domain in an existing forest и нажмите кнопку Next.
Введите полное DNS-имя корневого домена леса, например «nttest.microsoft.com.»
Введите полное DNS-имя нового дерева, например «ntdev.microsoft.com». Это имя не может быть подчиненным (subordinate) или главенствующим (superior) по отношению к какому-либо из существующих в лесу деревьев. Например, если в вашем лесу существует одно дерево с именем «nttest.microsoft.com», вы не можете создать новое дерево с именем «microsoft.com» (главенствующее), а также новое дерево с именем «redmond.nttest.microsoft.com» (подчиненное).
Нажмите кнопку Next. DCpromo проверит, не существует ли уже такого имени.
DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next.
Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в корневом домене леса, и нажмите кнопку Next.
Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дереве.

PDC Emulator

Третья и последняя FSMO-роль уровня домена – Primary Domain Controller (PDC) Emulator. Пожалуй, самая нагруженная обязанностями.

ДОМЕН ACTIVE DIRECTORY

Сервер с ролью PDC Emulator служит великой задаче обеспечения совместимости с предыдущими версиями Windows. Но не только, и, в последнее время, не столько. Для начала неплохо бы вспомнить, чем занимался PDC в Windows NT 4.0 и 3.51:

Обработка операции “смена пароля” для пользователей и компьютеров

Репликация обновлений на BDC (Backup Domain Controller)

Обозреватель сети (Domain Master Browser)

В смешанной среде, в которой встречаются клиенты Windows NT4.0, Windows 95 и Windows 98 (без установленного клиента Active Directory) и контроллеры домена pre-Windows2000, всем вышеперечисленным занимается как раз PDC Emulator. Только он и только для них.

Когда же все клиенты обновляются до Windows 2000 и выше (либо когда на Windows NT4/95/98 ставится клиент Active Directory), наступает счастье:

Клиенты меняют пароли при помощи первого попавшегося контроллера домена

Запросы на репликацию от BDC перестают отнимать время в силу полного своего отсутствия

Клиенты ищут сетевые ресурсы в AD, и не зависят более от обозревателя сети (эх, как всё хорошо в technet)

После перехода всей инфраструктуры на Windows 2000 и старше, контроллер домена с ролью PDC Emulator причиняет пользу так:

Пароль, измененный любым другим контроллером домена, отправляется на PDC Emulator высокоприоритетной репликацией

Если аутентификация на любом другом контроллере домена не была успешной с признаком “неверный пароль”, запрос повторяется на эмуляторе PDC. Понятно, что, в случае только что произошедшей смены пароля, уж этот-то запрос будет успешным

При успешной аутентификации учетной записи сразу после неудачной попытки, эмулятор PDC о ней уведомляется и сбрасывает счетчик неудачных попыток в ноль. Сущий позитив для пользователя, часто забывающего свой пароль

Здесь важно заметить, что, даже в случае недоступности эмулятора PDC, информация об изменении пароля всё равно расползется по домену. Да, возможны некоторые сложности, пока идет репликация, но, в принципе, ничего страшного

WELL KNOWN SECURITY PRINCIPALS

В Active Directory есть такая замечательная штука, как Well Known Security Principals. Это всяческие Local Service, Network Service, Digest Authentication, и т.п. Несложно догадаться, что управление ими всеми (начиная с Windows 2003) осуществляется как раз контроллером домена с ролью PDC Emulator. Конкретно, эмулятор PDC после апгрейда (или переноса данной роли) на более новую версию Windows обновляет содержимое контейнера “CN=WellKnown Security Principals,CN=Configuration,DC=”. В этот же момент происходит создание недостающих well-known и built-in групп, а также обновление членства в них.

ADMINSDHOLDER

Следующая нужная фича – AdminSDHolder, владелец административных дескрипторов безопасности. AdminSDHolder защищает административные группы от изменений. Если дескриптор безопасности в какой-либо административной учетной записи не соответствует представлениям AdminSDHolder’а, этот дескриптор будет обновлен в соответствии с его (AdminSDHolder’а) понятиями. К примеру, если исключить well-known пользователя Administrator из группы Builtin\Administrators, AdminSDHolder вернет его на место.

Да, AdminSDHolder, как понятно, выполняется именно на контроллере домена с ролью эмулятора PDC.

DNS

Только для PDC Emulator в DNS регистрируется SRV-запись вида _ldap._tcp.pdc._msdcs.DnsDomainName, она позволяет клиентам быстренько найти сервер эмуляции PDC.

DFS

Изменения, вносимые в пространство имен Distributed File System (DFS), вносятся на контроллере домена с ролью PDC Emulator. Корневые серверы DFS периодически запрашивают с эмулятора PDC обновленные метаданные, сохраняя их у себя в памяти. Очевидно, что недоступность эмулятора PDC влечет за собой неверную работу DFS.

ГРУППОВЫЕ ПОЛИТИКИ

Редактор групповых политик по умолчанию соединяется с сервером PDC Emulator, и изменения политик происходят на нем же. Если PDC Emulator недоступен, тогда редактор ГП не постесняется спросить у администратора, к какому контроллеру домена подключиться.

ВРЕМЯ

Да, по умолчанию именно сервер PDC Emulator является для клиентов сервером точного времени в домене. А эмулятор PDC корневого домена в лесу является по умолчанию сервером точного времени для эмуляторов PDC в дочерних доменах.

Настройка защищённого соединения

Чтобы обезопасить данные, передаваемые между браузером пользователя и сайтом, включите опцию Защищённое соединение (SSL). Для защищённой передачи и шифрования данных используется протокол SSL. При этом требуется наличие сертификата для сайта.

Пояснения

В конфигурационном файле Nginx для WWW-домена создаётся вторая секция server. В ней добавляются строки вида:

Конфигурационный файл Nginx

ssl_certificate "/var/www/httpd-cert/www-root/.crt";
ssl_certificate_key "/var/www/httpd-cert/www-root/.key";
ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_dhparam /etc/ssl/certs/dhparam4096.pem

listen []: ssl http2;

В конфигурационном файле Apache для WWW-домена создаётся вторая секция server. В ней добавляются строки вида:

Конфигурационный файл Apache

SSLEngine on
SSLCertificateFile "/var/www/httpd-cert/www-root/.crt"
SSLCertificateKeyFile "/var/www/httpd-cert/www-root/.key"
SSLHonorCipherOrder on
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4

Настройте параметры защищённого соединения:

Включите опцию HSTS, чтобы при открыть сайт по незащищённому соединению принудительно открывалось защищённое соединение. Перенаправление срабатывает, только если браузер пользователя уже подключался к сайту по защищённому соединению и запомнил это. При перенаправлении сервер возвращает код ответа «301 Moved Permanently».
Пояснения

В конфигурационном файле Nginx для WWW-домена добавляется строка:

Конфигурационный файл Nginx
```
add_header Strict-Transport-Security "max-age=31536000;"
```
В конфигурационном файле Apache для WWW-домена добавляются строки:

Конфигурационный файл Apache
```
	Header always set Strict-Transport-Security "max-age=31536000; preload"
```
Включите опцию Перенаправлять HTTP-запросы в HTTPS, чтобы при попытке открыть сайт по незащищённому соединению принудительно открывалось защищённое соединение. Перенаправление срабатывает всегда. При перенаправлении сервер возвращает код ответа «301 Moved Permanently».
Пояснения

В конфигурационном файле Nginx для WWW-домена добавляется строка:

Конфигурационный файл Nginx
```
return 301 https://$host:443$request_uri
```
В конфигурационном файле Apache для WWW-домена добавляются строки:

Конфигурационный файл Apache
```
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
```
Если нужно, измените SSL-порт. Он используется для открытия защищённого соединения. По умолчанию — «443».
Пояснения

Порт указывается в конфигурационном файле Nginx для WWW-домена в строке:

Конфигурационный файл Nginx
```
listen []: ssl http2;
```
и в конфигурационном файле Apache для WWW-домена в строке:

Конфигурационный файл Apache
```
:>
```
Выберите способ создания SSL-сертификата. Он используется для шифрования данных между браузером пользователя и сайтом:
1. Новый самоподписанный — бесплатный недоверенный сертикат. Если его использовать для публичных сайтов, то соединение не будет считаться безопасным.
2. Новый Let’s Encrypt сертификат — бесплатный доверенный сертификат.
Подробнее о сертификатах см. в статье SSL сертификаты.