Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
Малкер
Active Directory для Windows Server 2003. Справочник администратора/Пер, с англ. — М.: «СП
ЭКОМ», 2004.— 512 с: ил.
Оглавление
Введение.
Структура книги.
Соглашения, используемые в этой книге.
Часть I. Краткий обзор службы каталога Active Directory Windows Server 2003.
Глава 1. Концепции Active Directory.
Глава 2. Компоненты службы каталога Active Directory.
Глава 3. Active Directory и доменная система имен.
Глава 4. Репликация Active Directory и сайты.
Часть III. Администрирование службы каталога Active Directory Windows Server 2003.
Глава 8. Защита Active Directory.
Глава 9. Делегирование администрирования службы Active Directory.
Глава 10. Управление объектами Active Directory.
Глава 11. Введение в групповые политики.
Глава 12. Использование групповых политик для управления программным
обеспечением.
Глава 13. Использование групповых политик для управления компьютерами.
www.kodges.ru
Введение
Добро пожаловать в технический справочник по Active Directory для Microsoft Windows Server
2003, являющийся источником информации, которая потребуется вам для проектирования и
реализации службы каталога Active Directory в системе Windows Server 2003. Служба каталога
Active Directory первоначально была выпущена с системой Microsoft Windows 2000. Большинство
концепций Active Directory, реализованных в системе Windows 2000, сохранились и в системе
Windows Server 2003, кроме того, появилось много усовершенствований. Эта книга содержит все,
что вы должны знать об Active Directory, включая детальную техническую информацию и
руководство, предназначенное для планирования, реализации и управления службой Active
Directory в вашей организации. Другими словами, эта книга является универсальным
справочником, содержащим все, чтобы заставить Active Directory работать на вас.
Структура книги
Технический справочник по Active Directory для Microsoft Windows Server 2003 составлен так, чтобы
наиболее понятно описать и объяснить технологии Active Directory. Многие компании не
реализовали Active Directory в системе Windows 2000, поэтому книга не предполагает наличие
глубоких знаний Active Directory у читателей. Книга начинается с описания основ службы
каталога и объяснения того, как служба каталога реализована в Active Directory. Затем
рассказывается, как работает Active Directory, как ее использовать и как управлять ею в вашей
среде.
Книга разделена на четыре части, усложняющиеся по мере накопления вами знаний. В части I
дается краткий обзор терминов Active Directory и концепций. В части II объясняется планирование
и проектирование, необходимые для развертывания Active Directory в вашей среде. После
развертывания службы Active Directory ей нужно управлять, поэтому в части III уточняются
детали, касающиеся управления службой Active Directory, и делается сильный акцент на
безопасность Active Directory и групповых политик. Часть IV, заключительный раздел книги,
посвящена обслуживанию Active Directory.
Часть I, «Краткий обзор службы каталога Active Directory Windows 2003», содержит введение в
концепции и компоненты Active Directory системы Windows Server 2003. Эта версия Active
Directory является последним вариантом службы каталога, поставляемой компанией Microsoft.
Active Directory обеспечивает мощную службу каталога, предназначенную для управления
пользователями, группами и компьютерами, и пред-
лагает безопасный доступ к сетевым ресурсам. Чтобы использовать ее наиболее эффективно, вы
должны понять концепцию Active Directory и принципы ее работы. Эти основы изложены в части
I, которая включает следующие главы.
• В главе 1, «Концепции Active Directory», предлагается краткая история служб каталога,
которые компания Microsoft поставляла как часть операционных систем Windows 2000 и
Windows NT. Далее подробно обсуждаются преимущества Active Directory по сравнению с
предыдущими службами каталога. В этой главе вы найдете также краткий обзор
нововведений, появившихся в системе Windows Server 2003 в дополнение к тем, которая
имелись в Windows 2000.
• В главе 2, «Компоненты Active Directory», дается детальное описание концепций и
компонентов, составляющих Active Directory. В этой главе вы найдете описание
физических компонентов Active Directory, таких как контроллеры домена и схема Active
Directory, и логических компонентов Active Directory, таких как домены, деревья и леса.
• В главе 3, «Active Directory и система доменных имен», приводится описание принципов
функционирования Active Directory. Служба Active Directory глубоко интегрирована с
доменной системой имен (DNS - Domain Name System), и если вы неправильно реализуете
www.kodges.ru
свою инфраструктуру службы DNS, вы никогда не сможете создать устойчиво
функционирующую службу Active Directory. Глава начинается с краткого обзора
концепций DNS, затем описывается интеграция между Active Directory и DNS, далее
объясняется, как лучше всего реализовать DNS, чтобы обеспечить функционирование
службы разрешения имен, необходимой для работы Active Directory.
• В главе 4, «Репликация Active Directory и сайты», продолжается описание принципов
работы Active Directory. Чтобы понять, как работает Active Directory, нужно знать, как
контроллеры домена Active Directory реплицируют информацию друг у друга. По
умолчанию Active Directory создает устойчивую и избыточную топологию репликации,
также имеются опции, предназначенные для создания оптимальной конфигурации
репликации для вашей компании.
Как только вы изучите основные концепции и компоненты Active Directory, ваш
следующий шаг будет состоять в реализации службы Active Directory в вашей
организации. Часть II, «Реализация Active Directory Windows Server 2003», обеспечит вас
необходимой информацией. Первый шаг в реализации Active Directory состоит в создании
проекта структуры для вашей организации. Такие структурные элементы, как лес, домен,
сайт и организационная единица (OU - Organizational Unit), уникальны для каждой
компании, поэтому создание правильного проекта службы для вашей среды требует
существенных знаний и усилий. Как только проект Active Directory для Windows Server
2003 будет создан, вы можете приступать к установке Active Directory. Многие компании,
реализующие Active Directory для Windows Server 2003, переносят ее с предыдущей версии
службы каталога, особенно часто с версии Microsoft Windows NT 4. Поскольку Active
Directory для Windows Server 2003 отличается от службы каталога Windows NT, то это
перемещение может вызвать сложности. В части II эти темы представлены в следующих
главах.
• В главе 5, «Проектирование структуры Active Directory», дается краткий обзор процесса
проектирования, подготавливающего вашу реализацию Active Directory. Эта глава ведет
вас через весь процесс создания собственного проекта: от нисходящего проектирования к
разработке структуры службы Active Directory. В этой главе обсуждаются все компоненты
вашего проекта, начиная с того, сколько лесов вам следует развертывать, заканчивая тем,
как создавать свою структуру OU.
• В главе 6, «Установка Active Directory», описаны процедуры, необходимые для
инсталляции Active Directory. Она посвящена установке контроллеров домена Active
Directory и включает обсуждение некоторых новых опций, предназначенных для
осуществления этой инсталляции.
• В главе 7, «Переход к Active Directory», приводится информация, необходимая для
модернизации предыдущей службы каталога от Microsoft к Active Directory для Windows
Server 2003. Обновление происходит сложнее, если модернизируется служба каталога
Windows NT, нежели Active Directory системы Windows 2000. Поэтому в данной главе
содержатся, главным образом, вопросы обновления службы каталога от Windows NT к
Active Directory Windows Server 2003, а также модернизации Active Directory Windows
2000.
После развертывания Active Directory вы должны управлять ею так, чтобы обеспечить
максимальную выгоду своей компании. В части III, «Администрирование службы каталога
Active Directory Windows Server 2003», описываются многие административные процессы,
которые вы будете использовать. В части III имеются две основных темы: безопасность и
управление доменом с помощью групповых политик. Вы узнаете, как работает защита в
Active Directory, как можно воспользоваться инфраструктурой безопасности для
делегирования административного управления в пределах вашей структуры Active
Directory. Далее следует обсуждение групповых политик. Одно из основных преимуществ
Active Directory по сравнению с предыдущими службами каталога состоит в том, что она
содержит мощные инструментальные средства для управления рабочими станциями вашей
компании. Централизованное администрирование рабочих станций может сильно
упростить управление сетью и привести к существенному уменьшению затрат на
обслуживание сети. Групповые политики - это основные инструментальные средства,
которые вы будете использовать для управления рабочими станциями вашей сети. Часть III
включает следующие главы.
www.kodges.ru
• Глава 8, «Защита Active Directory», начинается с описания концепций, лежащих в основе
безопасности Active Directory Windows Server 2003. Основное внимание в этой главе
уделено протоколу Kerberos, который является заданным по умолчанию опознавательным
протоколом в Active Directory.
• В главе 9, «Делегирование администрирования Active Directory», более широко
обсуждается система безопасности Active Directory, подробно описываются способы
делегирования административных разрешений в пределах своего домена. Active Directory
обеспечивает администраторов многими уровнями административных разрешений, а
также позволяет предоставлять административные разрешения только в определенной
части домена. В главе описывается, как реализовать эту функциональность в Active
Directory.
• В главе 10, «Управление объектами Active Directory», вы познакомитесь с управлением
объектами Active Directory: учетными записями пользователей и групп, которые всегда
были частью службы каталога. Active Directory Windows Server 2003 содержит и другие
объекты, такие как inetOrgPerson, универсальные группы, принтеры и общие папки.
• В главе 11, «Введение в групповые политики», дается краткий обзор групповых политик.
Рассказывается о создании и конфигурировании групповых политик, об их применении в
рамках Active Directory, дается основная информация, которая требуется для понимания
следующих двух глав, содержащих конкретные примеры того, что можно делать с
помощью групповых политик.
• В главе 12, «Использование групповых политик для управления программным
обеспечением», уточняется один из способов использования групповых политик. С
помощью групповых политик вы можете инсталлировать программное обеспечение на
компьютерах клиентов и управлять им. Во многих компаниях управление программным
обеспечением представляет собой сложную, отнимающую много времени задачу.
Групповые политики могут использоваться для автоматизации этой задачи, и в данной
главе показано, как это сделать.
• Глава 13, «Использование групповых политик для управления компьютерами»,
посвящается вопросам использования групповых политик для управления компьютерами
клиентов. Групповые политики имеют много опций, предназначенных для управления
рабочими столами, включая блокирование некоторых компонентов рабочих столов,
конфигурирование защиты рабочих станций и ограничение типов приложений, которые
может выполнять пользователь. В главе показывается, как реализовать все эти
возможности.
Последняя часть книги содержит информацию, необходимую для обслуживания
инфраструктуры Active Directory после ее развертывания. Для этого нужно
профилактически отслеживать состояние компонентов Active Directory. Часто в процессе
мониторинга вы можете увидеть первые предупреждения о том, что что-то идет не так, как
надо. Поскольку это происходит независимо от того, как тщательно вы управляете средой,
необходимо иметь план восстановления Active Directory на случай ее отказа. Часть IV,
«Обслуживание службы каталога Active Directory Windows Server 2003», включает
следующие главы.
• В главе 14, «Мониторинг и обслуживание Active Directory», содержится подробная
информация о том, как осуществлять мониторинг Active Directory, включая вопросы
контроля функционирования службы каталога Active Directory и ее репликации. В этой
главе также имеется информация, касающаяся вопросов обслуживания базы данных Active
Directory.
• В главе 15, «Восстановление системы в случае сбоя», содержится информация,
необходимая для создания резервной копии и восстановления Active Directory. Active
Directory является критической службой вашей сети, и вы должны уметь восстановить ее
после любой поломки, которая может влиять на вашу реализацию службы каталога.
Все разделы этой книги посвящены процессу проектирования, развертывания, управления и
обслуживания Active Directory. Однако технический справочник по Active Directory Microsoft
Windows Server 2003 - это, прежде всего, справочник. Если вам надо познакомиться с
определенной темой, вы можете сразу читать соответствующую главу без необходимости читать
предыдущие главы. В некоторых случаях для понимания темы может потребоваться базовая
www.kodges.ru
информация. Например, обсуждение в главе 5 лесов, доменов, организационных единиц и сайтов
предполагает, что вы понимаете эти концепции так, как они представлены в главе 2. Чтобы
понять, как используются групповые политики для развертывания программного обеспечения (см.
главу 12), вы должны понимать компоненты групповой политики, которые обсуждаются в главе
11.
www.kodges.ru
Часть I. Краткий обзор службы
каталога Active Directory Windows
Server 2003
Active Directory Microsoft Windows Server 2003 является последней версией службы каталога,
разработанной в компании Microsoft. Служба Active Directory обеспечивает мощный сервис для
управления пользователями, группами и компьютерами, а также предлагает безопасный доступ к
сетевым ресурсам. Чтобы использовать эту службу наиболее эффективно, вы должны понять
основные концепции Active Directory и то, как она работает. Это является целью первой части
данной книги. В главе 1, «Концепции службы каталога Active Directory», вы познакомитесь с тем,
что может делать для вас Active Directory Windows Server 2003. Главы 1 и 2 дают детальное
описание концепций и компонентов, которые составляют Active Directory. Active Directory тесно
интегрирована с доменной системой имен (DNS - Domain Name System), поэтому в главе 3
объясняется эта интеграция и то, почему так важно правильно спроектировать вашу DNS перед
началом реализации службы Active Directory. И в заключение, чтобы понять, как работает Active
Directory, вы должны знать, как контроллеры домена Active Directory реплицируют информацию
друг у друга. Глава 4 объясняет, как работает репликация и как ее можно оптимизировать.
www.kodges.ru
среде компьютеров Microsoft выросла в результате быстрого распространения персональных
компьютеров на рабочих местах. По мере увеличения количества компьютеров, входящих в
рабочую среду корпораций, растет потребность в том, чтобы связать их для совместного
использования ресурсов и дать возможность пользователям взаимодействовать в почти реальном
времени. Но когда компания совместно использует ре-
сурсы, доступные в сети, требуется также каталог (или справочник) пользователей и системы,
предназначенный для назначения ресурсам пользовательских разрешений.
Windows NT и SAM
Войдите в Microsoft Windows NT 3.1 Advanced Server. Платформа Windows NT Server предлагает
устойчивую 32-битную вычислительную среду с привычным внешним видом и «ощущением»
популярной операционной системы Microsoft Windows for Workgroups, предназначенной для
настольных компьютеров. Сердцем Windows NT NOS (Network Operating System — сетевая
операционная система) является база данных SAM (Security Accounts Management - управление
безопасными учетными записями). Она представляет центральную базу данных учетных записей,
включающую все учетные записи пользователей и групп в домене. Эти учетные записи
используются для управления доступом к совместным ресурсам, принадлежащим любому серверу
в домене Windows NT.
База данных SAM оставалась главной службой каталога для нескольких вариантов систем
Microsoft Windows NT NOS, включая систему Windows NT 3.5 и систему Windows NT Server 4.
База данных SAM масштабировалась намного лучше, чем предыдущая архитектура службы
каталога из-за введения междоменных доверительных отношений. Доверительные отношения в
Windows NT были важны для преодоления других ограничений службы каталога Windows NT.
Однако база данных SAM имела несколько ограничений, включающих недостаток объема и
плохие возможности доступа. База данных SAM имела практическое ограничение размера в 40
Мб. В терминах пользователя, группы и компьютерных объектов это ограничение проявлялось в
том, что количество объектов учетных записей не могло превышать 40000. Чтобы масштабировать
вычислительную среду за пределы этого
ограничения, сетевые администраторы должны были добавить больше доменов к своим средам.
Организации также разбивались на несколько доменов, чтобы достигнуть административной
автономии, чтобы каждый администратор мог иметь полный контроль над своим собственным
доменом. Поскольку все администраторы домена Windows NT 4 имеют, по существу,
неограниченные административные привилегии, создание отдельных доменов было единственным
методом установления границ администрирования. Однако в пределах домена все
администраторы имели полный контроль над серверами и службами, которые на них
выполнялись. Создание дополнительных доменов не было привлекательным методом, поскольку
каждый новый домен требовал дополнительных серверных аппаратных средств, что приводило к
увеличению административных накладных расходов. По мере роста количества доменов в
организации обеспечение уверенности относительно доверительных отношений, которые делали
возможным пользовательскую идентификацию для доступа к ресурсам внешних доменов, также
приводило к росту накладных расходов. Чтобы справиться с этой растущей сложностью доменов и
доверительных отношений, сетевые администраторы реализовывали одну из четырех доменных
моделей: отдельный домен (single domain), домен с одним хозяином (master domain), домен с
несколькими хозяевами (multiple master domain, или multimaster) и отношения полного доверия
(complete trust). Эти доменные модели показаны на рисунке 1-1.
www.kodges.ru
Рис. 1 -1. Четыре доменные модели, используемые в Windows NT 4
При поддержке этих доменных моделей самые большие административные хлопоты состояли в
необходимости создания и сопровождения большого количества доверительных отношений. Это
было не просто, потому что все доверительные отношения между доменами Windows NT 4
должны были создаваться с двух сторон, т.е. в обоих доменах на концах доверительных
отношений. В сценариях, предполагающих нескольких администраторов домена, это требовало
координации и взаимодействия, что не является характерной чертой работы сетевых
администраторов. Кроме того, доверительные отношения в домене Windows NT были не особенно
устойчивы. Из-за применения метода однозначно определяемой аутентификации между парой
компьютеров, который использовался для поддержания доверительных отношений в Windows NT,
эти доверительные отношения часто были недоступны.
Второе ограничение на базу данных SAM состояло в возможностях доступа. Единственным
методом доступа, применявшимся при взаимодействии с базой данных SAM, была сама NOS. Этот
метод ограничивал программируемый доступ и не обеспечивал конечным пользователям легкого
доступа для поиска объектов. Все запросы на чтение, создание или изменение объектов SAM
должны были инициироваться с использованием одного из нескольких инструментальных
средств, включенных в интерфейс пользователя (UI - User Interface) Windows NT 4, таких как User
Manager For Domains (Администрирование доменов) или Server Manager (Администрирование
серверов). Это ограничило полезность базы данных SAM в качестве службы каталога и внесло
вклад в потребность найти замену службе каталога Windows NT в будущих версиях систем
Windows-NOS. Такая служба каталога начала обретать форму на рабочих столах команды
разработчиков Microsoft Exchange Server.
www.kodges.ru
Exchange Server. Эта цель была достигнута с выпуском Windows 2000.
Устойчивая служба каталога Active Directory, которая скромно начиналась как служба каталога
Exchange Server версии 4, была в итоге выпущена с Windows 2000. Служба Active Directory
заменила базу данных SAM в качестве службы каталога для сетевых сред от Microsoft. Эта новая
реализация службы каталога была направлена на преодоление ограничений службы Windows NT 4
SAM и обеспечивала дополнительные выгоды сетевым администраторам. Главная выгода Active
Directory в реализации Windows 2000 состоит в том, что она масштабируема. Новый файл базы
данных учетных записей может достигать 70 Тб, что является весомым усовершенствованием по
сравнению с лимитом SAM в 40 Мб. Число объектов, которые могут быть сохранены в Active
Directory, превышает один миллион.
Фактически Active Directory была реализована в испытательной среде в модели отдельного
домена, содержащей более ста миллионов объектов. В качестве демонстрации масштабируемости
корпорация Compaq Computer Corporation, теперь входящая в состав корпорации Hewlett-Packard,
успешно объединила в модели отдельного домена сводные каталоги домашних телефонных
номеров для всех пятидесяти штатов Соединенных Штатов Америки. Списки, представляющие
два самых больших штата, были загружены дважды, чтобы увеличить объем до размера,
превышающего сто миллионов объектов. Если Active Directory может хранить, управлять и быстро
отвечать на запросы для каждого домашнего номера телефона в Соединенных Штатах, то она
может также масштабироваться до размеров организаций больших предприятий.
Такой огромный прогресс в допустимом объеме означает, что сетевые администраторы больше не
должны делить свои среды на несколько доменов, чтобы обойти ограничения размеров службы
каталога. Результат состоит в уменьшении количества доменов, серверных аппаратных средств и
уменьшении объема сетевого администрирования, то есть появляются три неотразимых причины
для реализации службы Active Directory. Сложные доменные модели, которые преобладали в
Windows NT 4, теперь могут быть объединены в меньшее количество доменов с помощью
организационных единиц (OU - organizational unit), предназначенных для группировки
содержимого ресурсного или регионального домена Windows NT 4. На рисунке 1-2 показана
типичная модель отдельного домена системы Windows 2000.
Другое важное преимущество службы Active Directory состоит в ее доступности.
Архитектура Active Directory разработана на открытых стандартах интернета, таких как LDAP и
пространство имен Х.500. Active Directory
также доступна этим открытым стандартам программно. Администраторы могут управлять
своими реализациями службы Active Directory, используя LDAP-совместимые инструментальные
средства, такие как Active Directory Service Interface (ADSI) Edit и Ldp.exe (LDAP-совмес-тимый
инструмент администрирования службы Active Directory). Так как служба Active Directory открыта
для LDAP, она может управляться программно. В результате сетевые администраторы могут
писать сценарии задач управления типа пакетного импорта пользовательских объектов, которые
требуют много времени, если выполняются через графический интерфейс пользователя (GUI).
www.kodges.ru
Домены Windows Server 2003 и Active Directory
Самая последняя, улучшенная и усовершенствованная, версия Active Directory, представленной в
Windows 2000, является компонентом всех членов семейства Windows Server 2003 за исключением
Web Edition, которая не нуждается в компоненте Active Directory и не реализует его. Служба
Active Directory семейства Windows Server 2003 предлагает сетевым администраторам
масштабируемость, возможности доступа и функциональность, необходимые для управления
инфраструктурой службы каталога вычислительной среды современных предприятий. Наши
представления о том, что должна выполнять служба каталога, значительно расширились со
времени компьютеров с MS-DOS, связанных сетью под управлением LAN Manager, и Active
Directory является идеальным инструментом, удовлетворяющим этим представлениям. Далее в
этой главе объясняется, каким образом Active Directory выполняет свою роль в центре среды
Windows Server 2003, и какие новые функции появились в этом выпуске.
Иерархии Х.500
Стандарт пространства имен Х.500 (namespace) определяет то, как объекты сохраняются в Active
Directory. Пространство имен Х.500 представляет собой иерархическую структуру имен, которая
идентифицирует уникальный путь к контейнеру службы каталога. Он обеспечивает также
уникальный идентификатор для каждого объекта в этом контейнере. Используя имя в стандарте
Х.500 или идентификатор объекта (OID -Object Identifier), все объекты во всех структурах службы
каталога могут быть уникально идентифицированы. Служба каталога Active Directory основана на
стандарте Х.500, и Microsoft включил в нее все основные (или оригинальные) заданные
стандартом классы.
Этот пространство имен можно представлять или в точечной (dotted), т.е. числовой нотации, или в
строковой (string). Например, идентификатор Х.500 OID, равный 2.5.4.10, является эквивалентом
атрибута Organization-Name (Название организации) (с отображаемым LDAP-именем - «о»).
Числовое представление класса этого объекта уникально
идентифицирует его в пределах иерархии Х.500, и таким образом объект становится уникальным.
Объекты Active Directory могут быть также уникально идентифицированы с помощью строковой
нотации Х.500, известной также как каталог взаимодействия открытых систем (OSI - Open Systems
Interconnection). В строковой нотации пользовательский объект может быть представлен как:
cn=Karen Friske, cn=Users, dc=Contoso, dc=com
Чтобы удовлетворить требованию уникальности в пространстве имен Х.500, в контейнере Users
(Пользователи) в домене Contoso.com может быть только одно имя Karen Friske. Однако могут
существовать другие учетные записи пользователя Карен Фриск в организации Contoso. Имя
Х.500 включает название контейнера, в котором найдена учетная запись пользователя (типа OU), и
www.kodges.ru
дает возможность названию учетной записи пользователя быть уникальной. Строковое
представление пространства имен Х.500 определено в документе Request for Comments (RFC)
1779, который доступен на сайте http://www.faqs.org/rfcs/rfcl779.html.
Чтобы посмотреть идентификатор Х.500 OID, можно использовать или оснастку (snap-in) Active
Directory Schema (Схема Active Directory), или оснастку ADSI Edit (Редактор ADSI). Чтобы
посмотреть идентификатор Х.500 OID для атрибута Organization-Name, откройте контейнер схемы
с помощью ADSI Edit и прокрутите вниз до названия атрибута: CN=Organization-Name. На
рисунке 1-3 показан идентификатор attributelD (имя Х.500) атрибута http://Organization-Name.
www.kodges.ru
(firewall/proxy) или сервер NAT (Network Address Translation - преобразование сетевых
адресов), выполняющийся на серверных аппаратных средствах RISC. Некоторые (или все)
виды обеспечения интернет-взаимодействий на предприятии могут поддерживаться UNIX-
серверами. Так как службы интернета выполнены в открытом стандарте, то нет никакого
основания требовать, чтобы службы, поддерживающие доступ к интернету, имели
определенный тип;
• файлы под Linux или прикладной сервер, выполняющийся на сервере с младшей моделью
Intel или RISC. Среда Linux, часто развертываемая в объеме, нужном для разработки или
тестирования, предлагает возможный маршрут для обеспечения сетевых услуг, не
являющихся критически важными и ответственными. Такая Linux-среда была бы доступна
тем, кто использует Windows-приложения через протокол SMB (Server Message Block -
блок серверных сообщений). Конечный пользователь не осознавал бы, что эти ресурсы
находятся не на Windows-сервере.
www.kodges.ru
Рис. 1-4. Учетная запись пользователя Karen Friske, отображаемая в Ldp.exe
Централизованный каталог
Active Directory является единственной централизованной службой каталога, которая может быть
реализована в пределах предприятия. Это упрощает сетевое администрирование, поскольку
администраторы не должны соединяться с несколькими каталогами, чтобы выполнять управление
учетными записями. Другая выгода от использования централизованного каталога состоит в том,
что он может также использоваться другими приложениями, такими как Exchange Server 2000. Это
упрощает полное сетевое администрирование, так как используется единая служба каталога для
всех приложений.
Единая регистрация
В определенном месте леса (forest - логический компонент реализации Active Directory) Windows
Server 2003 пользователи могут войти в сеть с помощью идентификации основных
пользовательских имен (UPN -User Principal Name), например, mike@contoso.com. После
успешной идентификации им будет предоставлен доступ ко всем сетевым ресурсам, для которых
им было дано разрешение, без необходимости регистрироваться снова на различных серверах или
доменах. Имя UPN является обязательным атрибутом объекта учетной записи пользователя в
Active Directory, и оно устанавливается по умолчанию в Active Directory, когда создается новая
учетная запись пользователя.
Делегированное администрирование
Одно из ограничений базы данных Windows NT 4 SAM состояло в том, что административные
права были доступны только в виде «все или ничего». Чтобы дать пользователю любую степень
административных прав требовалось, чтобы вы сделали пользователя членом группы Domain
Admins. Этот уровень административных прав давал пользователю, по существу, безграничную
власть в пределах домена, включая право удалять других пользователей из группы Domain
Admins. Такой метод делегирования административных функций не был безопасным. С другой
стороны, Active Directory предоставляет администраторам возможность делегировать
www.kodges.ru
административные права. Используя мастер Delegation Of Control Wizard (Делегирование
управления) или устанавливая определенные разрешения на объекты Active Directory,
администраторы могут предлагать тонко настроенные административные права. Например, вы
можете назначить определенной учетной записи пользователя административное право
сбрасывать пароли в домене, но не создавать, удалять или как-либо изменять пользовательский
объект.
Интегрированная безопасность
Служба Active Directory работает рука об руку с подсистемой безопасности Windows Server 2003
при аутентификации безопасных пользователей и обеспечении защиты общедоступных сетевых
ресурсов. Сетевая защита в сети Windows Server 2003 начинается с аутентификации во время
регистрации. Операционная система Windows Server 2003 поддерживает два протокола для
сетевой идентификации внутри и между доменами Windows Server 2003: протокол Kerberos v5 и
протокол NT LAN Manager (NTLM). Протокол Kerberos является заданным по умолчанию
аутентификационным протоколом для клиентов, вошедших в систему с клиентских компьютеров,
работающих под управлением операционных систем Windows 2000 Professional или Microsoft
Windows XP Professional. Пользователи, вошедшие в систему с клиентских компьютеров низкого
уровня (Windows NT 4, Microsoft Windows 98 или более ранних операционных систем)
используют для сетевой аутентификации протокол NTLM. Протокол NTLM также используется
клиентами систем Windows XP Professional и Windows 2000, когда они входят на сервера,
работающие под управлением Windows NT 4, или на автономные компьютеры с системами
Windows 2000 или Windows Server 2003.
Служба Active Directory также является важной составляющей частью в модели управления
доступом Windows Server 2003. Когда безопасный пользователь входит в домен Windows Server
2003, подсистема защиты вместе с Active Directory создает лексему доступа, которая содержит
идентификатор защиты (SID - Security Identifier) учетной записи пользователя, а также
идентификаторы SID всех групп, членом которых является данный пользователь. Идентификатор
SID является атрибутом пользовательского объекта в Active Directory. Затем лексема доступа
сравнивается с дескриптором защиты на ресурсе, и, если устанавливается соответствие, то
пользователю предоставляется требуемый уровень доступа.
Масштабируемость
Поскольку организация постепенно растет в процессе бизнеса, либо это происходит быстро, через
ряд слияний с другими компаниями и в результате приобретений, служба Active Directory
спроектирована масштабируемой, для того чтобы справляться с этим ростом. Вы можете
расширить размер доменной модели или просто добавить больше серверов, чтобы приспособиться
к потребностям увеличения объема.
Любые изменения в инфраструктуре Active Directory должны быть тщательно реализованы в
соответствии с проектом Active Directory, который предусматривает такой рост. Отдельный домен,
представляющий самый маленький раздел инфраструктуры Active Directory, который может
реплицироваться на единственный контроллер домена, может поддерживать более одного
миллиона объектов, так что модель отдельного домена подходит даже для больших организаций.
www.kodges.ru
Нововведения в службе Active Directory
Windows Server 2003
В дополнение к ключевым функциям Active Directory, упомянутым выше, имеются несколько
новых функций, которые добавлены к службе Active Directory в Windows Server 2003. В
следующем разделе дается краткий обзор нововведений операционной системы Windows Server
2003. Более полно они рассматриваются в следующих главах.
Функциональные уровни
Active Directory Windows Server 2003 вводит функциональные уровни домена и леса, которые
обеспечивают обратную совместимость для доменов, содержащих низкоуровневые контроллеры
домена. Имейте в
виду, что вы должны будете поднять функциональный уровень домена или леса, чтобы
реализовать многие другие изменения в Active Directory для Windows Server 2003. Многие из
новых функций требуют сетевой среды, в которой все контроллеры домена имеют операционную
систему Windows Server 2003.
Примечание. Низкоуровневым контроллером домена является любой контроллер домена в домене
Windows Server 2003, который имеет любую более раннюю версию NOS, например, Windows NT 4
или Windows 2000.
Функциональный уровень домена и леса, заданный по умолчанию, — «Windows 2000» (для
домена — «Windows 2000 mixed»). Это означает, что при установке Active Directory
конфигурируется так, чтобы использовались только те новые функции, которые могут
поддерживаться комбинацией контроллеров домена с Windows Server 2003 и Windows Server 2000.
Чтобы воспользоваться преимуществами новых функций службы Active Directory, уровень
функциональных возможностей должен быть поднят к уровню контроллеров домена Windows
Server 2003 как можно скорее, т.е. в домене не должно остаться ни одного контроллера домена, на
котором выполняются системы Windows 2000 или Windows NT 4.
Примечание. Функциональные уровни Active Directory в Windows Server 2003 тесно связаны с
настройками mixed-mode (смешанный режим) и native-mode (основной режим) домена в Windows
2000. С выпуском операционной системы Windows Server 2003 появилась возможность иметь на
предприятии другую платформу службы каталога Microsoft Active Directory, поэтому настройки
домена вобрали в себя новые дополнительные свойства Active Directory. Концепции
функциональных возможностей домена и режима домена по существу одинаковы. Для получения
дополнительной информации об уровнях функциональных возможностей см. табл. 2-1 и 2-2.
Переименование домена
Active Directory теперь поддерживает переименование существующих доменов в пределах леса
при сохранении глобально уникального идентификатора (GUID — Globally Unique Identifier) и
www.kodges.ru
идентификатора защиты (SID - Security Identifier) домена. Есть несколько сценариев, в которых
это свойство полезно, включая слияние двух организаций, имеющих отдельные инфраструктуры
Active Directory, которые хотят объединиться под одним именем домена, отражающим их внешнее
зарегистрированное пространство имен. Переименование доменов не является тривиальной IT-
процедурой. Это действие разрушительно с точки
зрения доступа к сети, для завершения операции каждый контроллер домена и каждый сервер
домена должны быть перезагружены.
www.kodges.ru
контроллера домена, которые обрабатывают сжатие и распаковку. Поскольку теперь сжатие
трафика репликации можно выключать (только между различными сайтами), администраторы
могут уменьшать нагрузку на процессор. Это происходит за счет увеличения нагрузки на
пропускную способность сети, но в средах с высокой сетевой пропускной способностью эта
альтернатива может заслуживать внимания.
www.kodges.ru
производительность процесса репликации. Это также означало, что на разных контроллерах
домена существовали несогласованные копии разделов каталога.
Резюме
В этой главе вы узнали, как за эти годы развивалась служба каталога Microsoft по мере развития
сетевой среды обработки данных, на которую она опирается. Начиная с выпуска системы Windows
2000, в качестве службы каталога в ядре NOS Windows использовалась Active Directory. В этой
главе было дано краткое введение в платформу службы каталога и объяснено, как ее конструкция
удовлетворяет запросам современной сетевой среды обработки данных. Были обсуждены
ключевые функции, показывающие выгоды от использования Active Directory, и в заключение дан
краткий обзор ее новых функций.
www.kodges.ru
Глава 2. Компоненты службы каталога Active
Directory
Служба каталога Active Directory Microsoft Windows Server 2003 существует на двух уровнях:
физическом и логическом. В терминах физической структуры Active Directory представляет собой
файл, расположенный на жестком диске сервера и на жестком диске каждого контроллера домена,
который содержит эту службу. Логическая структура Active Directory представляет собой
контейнеры, которые используются для хранения объектов службы каталога (разделов каталога,
доменов и лесов) на предприятии. Разделы каталога, домены и леса в виде байтов информации
хранятся в физических компонентах службы каталога. В этой главе вы узнаете о физическом
проявлении службы каталога Active Directory. Затем вы познакомитесь с логической структурой
реализации службы Active Directory. Хорошее понимание физической структуры службы каталога
важно, но знание логической структуры является непременным условием успешной реализации и
управления инфраструктурой вашей службы. Именно с логической структурой службы каталога
вы будете ежедневно взаимодействовать.
Контроллеры домена
По определению любой компьютер, на котором выполняется Windows Server 2003, и который
поддерживает копию базы данных службы Active Directory, является контроллером домена. Все
контроллеры домена создаются равными за несколькими исключениями, которые будут
рассмотрены далее в этой главе. При использовании процесса репликации с несколькими
хозяевами домена (multimaster), описанного в гл. 4, каждый контроллер домена в домене
поддерживает новейшую копию базы данных домена и способен создавать изменения в ней.
В дополнение к контроллерам домена, которые содержат службу Active Directory, имеется
несколько контроллеров домена специального назначения, которые требуются службе Active
www.kodges.ru
Directory для выполнения определенных функций. Они являются серверами глобального каталога
(GC) и хозяевами операций (operations masters).
www.kodges.ru
требуется обращения к GC-каталогу. Чтобы включить опцию универсального группового
членства на сайте, откройте оснастку Active Directory: Sites And Services (Сайты и службы
Active Directory) и выберите нужный сайт в дереве консоли. Щелкните правой кнопкой мыши на
панели деталей NTDS Site Settings (Параметры настройки сайта NTDS), затем выберите
Properties (Свойства). На вкладке Properties выберите опцию Enable Universal Group Membership
Caching (Разрешить кэширование универсального группового членства), а затем укажите сайт, с
которого будет обновляться кэш. По умолчанию сайт обновит информацию с самого близкого
сайта, который имеет глобальный каталог GC.
Функциональные уровни
В Windows Server 2003 каждому лесу и каждому домену в пределах леса может быть назначен
определенный функциональный уровень. Функциональные уровни используются для того, чтобы
разрешать функции, которые реализованы на комбинациях операционных систем. Когда для
домена устанавливается функциональный уровень, то он применяется только к данному домену.
Если не определено иначе, домены создаются на функциональном уровне mixed (смешанный)
системы Windows 2000; леса создаются на функциональном уровне Windows 2000.
В таблице 2-1 показаны функциональные уровни доменов и операционные системы,
поддерживаемые на контроллерах домена.
Прежде чем повышать функциональный уровень леса до уровня Windows Server 2003, проверьте,
всем ли доменам леса установлен функциональный уровень Windows 2000 native или Windows
Server 2003. Домены, функциональный уровень которых установлен на Windows 2000 native, будут
автоматически подняты до функционального уровня Windows Server 2003, а уровень леса - до
уровня Windows Server 2003. После того как это произойдет, к данному домену (лесу) могут быть
добавлены только контроллеры домена, работающие на том же функциональном уровне
операционной системы. Поднятый функциональный уровень домена или леса нельзя понизить.
Итак, глобальный каталог (GC) используется для того, чтобы облегчить пользовательский вход в
систему, допуская использование основ-
ных имен пользователя (например, usernarae@contoso.com). Каталог GC понимает основные имена
www.kodges.ru
пользователя (UPN - User Principal Names), потому что он содержит информацию о каждом
пользователе в каждом домене леса. Контроллеры домена, не имеющие каталога GC, не обладают
этими данными, они не способны подтвердить подлинность пользовательского входа в систему,
если он задается в таком формате.
Хозяева операций
Active Directory разработана как система репликации с несколькими хозяевами. Для этого
требуется, чтобы все контроллеры домена имели разрешения делать запись в базу данных
каталога. Эта система удовлетворительно работает для большинства операций каталога, но для
некоторых операций требуется наличие единственного официального (authoritative) сервера.
Контроллеры домена, выполняющие определенные роли, известны как хозяева операций; все они
выполняют роли FSMO (Flexible Single Master Operations — гибкие операции с одним хозяином).
Существует пять ролей хозяев операций в Active Directory:
• хозяин схемы;
• хозяин именования доменов;
• хозяин относительных идентификаторов RID;
• хозяин эмулятора PDC (Primary Domain Controller — основной контроллер домена);
• хозяин инфраструктуры.
Первые две роли устанавливаются для леса в целом. Это означает, что задается только один
хозяин схемы и один хозяин именования доменов для каждого леса. Следующие три роли
функционируют в пределах домена, т.е. задается только одна из этих ролей для каждого домена
леса. Когда вы установите Active Directory и создадите первый контроллер домена в лесу, ему
будут назначены все эти пять ролей. Если вы добавите домены к лесу, то первый контроллер
домена в каждом новом домене возьмет на себя свои прошлые три роли хозяина операций. По
мере добавления контроллеров домена вы передадите некоторые из этих ролей другим
контроллерам домена. Как передавать роли другим контроллерам домена, описано далее в этой
главе.
Хозяин схемы
Хозяин схемы является единственным контроллером домена, который имеет разрешение делать
записи в схему каталога. Чтобы сделать любое изменение в схеме каталога, администратор (он
должен быть членом группы безопасности Schema Admins — Администраторы схемы) должен
связаться с хозяином схемы. Если модификация схемы предпринята на контроллере домена, не
являющемся хозяином схемы, она окончится неудачей. После того как было сделано изменение,
модификации схемы копируются на остальные контроллеры домена в лесу.
По умолчанию первый контроллер домена, установленный в лесу (контроллер домена для
корневого домена леса) принимает роль хозяина схемы. Эта роль может быть передана другому
контроллеру в любое время с помощью оснастки Active Directory Schema (Схема Active Directory)
или с помощью утилиты командной строки Ntdsutil. Хозяин схемы идентифицирован значением
атрибута fSMORoleOwner в контейнере схемы.
www.kodges.ru
реплицируется на все контроллеры домена в лесу. Далее создание домена можно выполнять с
помощью Dcpromo.exe без необходимости входить в контакт с хозяином именования доменов.
Хозяин инфраструктуры
Хозяин инфраструктуры ответственен за обновление справочников групповой принадлежности
пользователей в пределах домена. Роль хозяина операций гарантирует, что изменения, сделанные
в названиях учетной записи пользователя, будут отражены в информации группового членства для
групп, расположенных на различных доменах. Хозяин инфраструктуры поддерживает новейший
список этих справочников и реплицирует эту информацию на все другие контроллеры домена в
домене. Если хозяин инфраструктуры недоступен, справочники групповой принадлежности
пользователей в пределах домена устаревают.
www.kodges.ru
инструментальные средства для передачи ролей хозяина операций:
• хозяин схемы - оснастка Active Directory Schema;
• хозяин именования доменов — инструмент администрирования Active Directory Domains
And Trusts (Домены и доверительные отношения Active Directory);
• хозяин RID, эмулятора PDC и инфраструктуры — инструмент администрирования Active
Directory Users And Computers (Пользователи и компьютеры Active Directory).
Для передачи роли хозяина операций должна функционировать связь с обоими контроллерами
домена: текущим и предлагаемым держателем роли. В случае отказа сервера текущий держатель
роли может быть недоступен для осуществления передачи роли. В этом случае роль может быть
захвачена. Захватывать роль хозяина операций следует только в случае крайней необходимости,
если указано, что контроллер домена, держатель этой роли, будет недоступен в течение
длительного периода времени. Подробнее о захвате ролей хозяина операций см. гл. 15.
Схема
Схема определяет каждый тип объекта, который можно сохранять в Active Directory. Прежде чем
создавать объект в Active Directory, его надо сначала определить в схеме. Схема предписывает
правила, касающиеся создания объектов в базе данных. Эти правила определяют информацию,
которая может быть сохранена с каждым объектом, и тип данных, соответствующих этой
информации.
Компоненты схемы
Схема состоит из объектов классов и атрибутов. Объект класса определяет то, какие новые
объекты могут быть созданы в каталоге. Для каждого создаваемого в каталоге объекта сначала
должен быть определен класс. Пример объекта класса — класс User (Пользователь). Все новые
пользовательские объекты, созданные в Active Directory, являются экземплярами класса User.
Схема определяет и то, какая информация может сохраняться для каждого класса объекта. Эта
информация определяется в схеме как атрибут объекта. Объект некоторого класса может
содержать значения для всех атрибутов, определенных для этого класса, а также для всех
родительских классов этого класса. Например, учетная запись пользователя может иметь
определенные значения атрибутов для всех объектов в классе User, так же как и для класса
organizationalPerson, являющегося родительским классом класса User. При создании нового
пользовательского объекта вы можете включать информацию, касающуюся этого пользователя и
определяемую в схеме, в качестве атрибута всех классов, к которым этот новый пользовательский объект
будет принадлежать.
Тип данных, которые могут храниться в Active Directory для каждого атрибута, определен в схеме как
синтаксис атрибута. Если пользовательский класс содержит атрибут, названный display Name, синтаксис
для этого атрибута определяется как строковое значение, которое может быть любым алфавитно-цифровым
символом. Значение каждого атрибута должно удовлетворять требованиям синтаксиса этого атрибута.
Схема Active Directory поддерживает наследование объектов класса. Все объекты схемы организованы в
иерархическом порядке в контексте именования. Благодаря этому любой объект класса способен
унаследовать все характеристики объекта своего родительского класса. Например, класс Computer
(Компьютер) фактически является дочерним классом от класса User (Пользователь), и поэтому класс
Computer наследует все атрибуты, связанные с классом User. В этом случае класс Computer ассоциируется с
атрибутами, специфическими для этого класса. С помощью оснастки Active Directory Schema вы можете
увидеть организацию наследования объектов класса и иерархию объектов класса. На рисунке 2-1 показан
класс Computer (Компьютер). Обратите внимание, что он является дочерним по отношению к классу User,
который является дочерним классом класса organizationalPerson, и т.д. Эта система наследования
значительно облегчает администраторам создание новых классов объектов, потому что они не должны
определять каждый атрибут, связанный с новым классом, а могут просто унаследовать все объединения
атрибутов подходящего родительского класса.
www.kodges.ru
Рис. 2-1. Объект класса Computer (Компьютер), отображаемый оснасткой Active Directory Schema
Модификация схемы
Схема Active Directory содержит большинство постоянно используемых классов и атрибутов,
необходимых для реализации службы каталога предприятия. Эти атрибуты и классы определяются
как объекты Category 1 (Категория 1), или основные объекты схемы. Для поддержки классов и
атрибутов, определяемых клиентом, при разработке схемы Active Directory закладывались
возможности ее расширения. Другими словами, она может быть изменена для включения новых
объектов классов и атрибутов, в которых, возможно, нуждается организация. Объекты схемы,
которые создаются позднее, определяются как объекты Category 2 (Категория 2). Схему обычно
расширяют для того, чтобы она удовлетворяла потребностям приложений, пользующихся
поддержкой Active Directory. Хорошим примером такого приложения является Microsoft Exchange
Server 2000, для поддержки которого при конфигурировании Active Directory было сделано более
тысячи дополнений к схеме.
Кроме использования приложений, пользующихся поддержкой Active Directory, администраторы
могут расширять схему другими методами. Это можно сделать в пакетном режиме с помощью
средств администрирования с командной строкой, включая инструменты LDAP Data Interchange
Format Directory Exchange (LDIFDE) и Comma Separated Value Directory Exchange (CSVDE). Схема
может быть расширена программно, используя Active Directory Service Interfaces (ADSI) и
сценарии Microsoft Visual Basic.
Дополнительная информация. Для получения дополнительной информации об
инструментах LDIFDE или CSVDE напечатайте название команды в командной строке для
вызова онлайновой подсказки. Для получения дополнительной информации об ADSI и ADSI
Edit обратитесь к комплекту разработки программного обеспечения Microsoft Windows
Platform (SDK), который можно загрузить или заказать на компакт-диске на сайте http://
www.microsoft.com/msdownload/platformsdk/sdkupdate.Чacть ADSI Platform SDK можно
просмотреть интерактивно на сайте http://msdn.microsoft.com/library/default.asp?url=/library/
en-us/netdir/adsi/directory_services.asp.
Схема может быть изменена через интерфейс пользователя Windows Server 2003 с помощью
оснастки Active Directory Schema. Сначала нужно зарегистрировать оснастку, выполнив команду
Regsvr32 Schmmgmt.dll из командной строки. Для изменения схемы вы должны быть членом
глобальной группы Schema Admins (Администраторы схемы). Чтобы понять, как работает
изменение схемы, представьте себе, что организации необходимо сохранять записи о датах, когда
служащие приступили к работе, т.е. сохранять дату начала работы служащего как ат-
рибут пользовательского объекта в Active Directory. Чтобы этот атрибут был доступен при
создании каждого нового пользовательского объекта, он сначала должен быть определен в схеме.
С помощью оснастки Active Directory Schema вы можете добавить новый атрибут к схеме и
связать его с объектом класса User. Для этого выполните следующие шаги.
1. Откройте оснастку Active Directory Schema (Схема Active Directory).
2. Выберите папку Attributes (Атрибуты) на панели дерева.
3. В меню Action (Действие) щелкните на Create Attribute (Создать атрибут).
www.kodges.ru
4. В окне предупреждения Schema Object Creation (Создание объекта схемы) щелкните на
Continue (Продолжить).
5. В диалоговом окне Create New Attribute (Создание нового атрибута) введите информацию
в раздел Identification (Идентификация):
• Common Name (обычное имя);
• LDAP Display Name (отображаемое LDAP-имя);
• Unique X500 Object ID (уникальный идентификатор объекта Х500);
• Description (описание).
6. В разделе Syntax And Range (Синтаксис и диапазон) внесите информацию в поля:
• Syntax (синтаксис);
• Minimum (минимум);
• Maximum (максимум).
7. Выберите, будет ли новый атрибут многозначным (Multi-Valued) атрибутом.
Подробная информация, касающаяся содержания каждого поля, становится доступной при выборе
соответствующего текстового поля и нажатии клавиши F1.
www.kodges.ru
Рис. 2-2. Создание нового атрибута схемы
www.kodges.ru
Рис. 2-3. Использование оснастки Active Directory Schema (Схема Active Directory) для дезактивации
атрибута схемы
www.kodges.ru
Рис. 2-4. Просмотр разделов Active Directory с помощью инструмента ADSI Edit
www.kodges.ru
Раздел глобального каталога
Раздел глобального каталога GC не является разделом в полном смысле. Он хранится в базе
данных подобно другому разделу, но администраторы не могут вводить информацию в него
напрямую. Раздел GC предназначен только для чтения на всех GC-серверах, он построен из
содержимого баз данных домена. Каждый атрибут в схеме имеет булевое значение с именем
isMemberOf Partial Attributes et. Если оно установлено на true (истина), атрибут копируется в
каталог GC.
www.kodges.ru
дескрипторы защиты.
Совет. Обычно разделы приложений каталога создаются в процессе инсталляции приложения,
для которого требуется использование раздела каталога. Инсталляционная процедура
приложения должна разрешать создание дополнительных реплик на других контроллерах домена.
Вы можете создать каталог приложений с помощью утилиты Ntdsutil, но в среде предприятия
это обычно не используется. Процедуры управления разделами приложений каталога описаны в
справке Windows Server 2003 Help And Support Center (Центр справки и поддержки Windows Server
2003). Для получения детальной информации о разделах приложений каталога, о том, как
обращаться к ним программно, сделайте поиск фразы «Using application directory partitions» на
сайте msdn.microsoft.com.
Как только раздел приложений каталога с несколькими репликами создан, управление
репликацией раздела осуществляется так же, как для других разделов. Дополнительную
информацию о репликации Active Directory см. в гл. 4.
Домены
Домен является основным строительным блоком в модели службы Active Directory. Устанавливая
Active Directory на своем компьютере, работающем под управлением Windows Server 2003, вы
создаете домен. Домен служит в качестве административной границы, он определяет и грани-
цу политик безопасности. Каждый домен имеет, по крайней мере, один контроллер домена
(оптимально иметь два или более).
Домены Active Directory организованы в иерархическом порядке. Первый домен на предприятии
становится корневым доменом леса, обычно он называется корневым доменом или доменом леса.
Корневой домен является отправной точкой для пространства имен Active Directory. Например,
первый домен в организации Contoso — Contoso.com. Первый домен может быть назначенным
(dedicated) или неназначенным (non-dedicated) корневым доменом. Назначенный корневой домен,
называемый пустым корнем, является пустым доменом-заменителем, предназначенным для
запуска Active Directory. Этот домен не будет содержать никаких реальных учетных записей
пользователя (группы) и использоваться для назначения доступа к ресурсам. Единственные
учетные записи, которые содержатся в назначенном корневом домене — это учетные записи
пользователей и групп, заданных по умолчанию, таких как учетная запись Administrator
(Администратор) и глобальная группа Domain Admins (Администраторы домена). Неназначенный
корневой домен - это домен, в котором создаются учетные записи фактических пользователей и
групп. Причины выбора назначенного или неназначен-ного корневого домена леса обсуждаются в
гл. 5.
Остальные домены на предприятии существуют или как равные по положению (peers) по
отношению к корневому домену, или как дочерние домены. Равные по положению домены
находятся на том же иерархическом уровне, что и корневой домен. На рисунке 2-5 показана
модель доменов, равных по положению.
www.kodges.ru
Рис. 2-6. Родительско-дочерняя модель домена для корпорации Contoso
Деревья доменов
Домены, которые создаются в инфраструктуре Active Directory после создания корневого домена,
могут использовать существующее пространство имен Active Directory совместно или иметь
отдельное пространство имен. Чтобы выделить отдельное пространство имен для нового домена,
нужно создать новое дерево домена. Независимо от того, используется ли единственное
пространство имен или несколько, дополнительные домены в том же самом лесу функционируют
совершенно одинаково. Создание дополнительных деревьев доменов связано исключительно с
организационными проблемами и проблемами именования, оно никак не затрагивает
функциональные возможности. Дерево доменов содержит, по крайней мере, один домен. Даже
организация с единственным доменом имеет дерево доменов. Использование нескольких деревьев
вместо дочерних доменов влияет на конфигурацию DNS, об этом вы узнаете в гл. 3.
Дерево доменов образуется в том случае, когда организация создает домен вслед за созданием
корневого домена леса (forest root domain), но не хочет использовать существующее пространство
имен. В случае Contoso, если существующее дерево доменов использует пространство имен
Contoso.com, может быть создан новый домен, который использует совершенно другое
пространство имен, например, Fabrikam.com. Если в дальнейшем потребуется создание доменов,
чтобы удовлетворить потребностям единицы Fabrikam, они могут создаваться как дочерние от
дерева доменов Fabrikam. На рисунке 2-7 показана схема организации Contoso с несколькими
доменными деревьями.
www.kodges.ru
Леса
Лес представляет самую дальнюю репликацию и является границей безопасности для
предприятия. Все домены и доменные деревья существуют в пределах одного или несколько лесов
Active Directory. Лес является общим для всех контроллеров домена в лесу. Общими
компонентами могут быть:
• Общая схема. У всех контроллеров домена в лесу имеется одна и та же схема.
Единственный способ развертывания двух различных схем в одной организации состоит в
том, чтобы развертывать два отдельных леса.
• Общий раздел конфигурации каталога. Все контроллеры домена в лесу имеют один и
тот же конфигурационный контейнер, который используется для репликации в пределах
леса. Раздел конфигурации каталога интенсивно используется приложениями,
поддерживающими службу Active Directory (Echange Server 2000 и ISA).
• Общий глобальный каталог GC. Он содержит информацию обо всех объектах в лесу.
Это делает поиск любого объекта более эффективным и дает возможность пользователям
входить на любой домен леса, используя свои имена UPN.
• Общий набор администраторов в пределах леса. В корневом домене для леса создаются
две группы безопасности (security groups). Им предоставляются такие разрешения,
которыми не обладают никакие другие пользователи. Группа Schema Admins является
единственной группой, которая имеет право изменять схему, а группа Enterprise Admins
(Администраторы предприятия) является единственной группой, которая имеет право
выполнять действия на уровне леса, такие как добавление или удаление доменов из леса.
Группа Enterprise Admins автоматически добавляется к каждой местной группе
Administrators (Администраторы) на контроллерах домена в каждом домене леса.
• Общая конфигурация доверительных отношений. Все домены в лесу автоматически
сконфигурированы так, чтобы доверять всем другим доменам леса. Более подробно о
доверительных отношениях рассказано в следующем разделе.
На рисунке 2-8 показан лес Contoso.
Доверительные отношения
По умолчанию домен является границей доступа к ресурсам в организации. Имея
соответствующие разрешения, любой участник безопасности (например, учетная запись
пользователя или группы) может обращаться к любому общедоступному ресурсу в том же самом
домене. Для получения доступа к ресурсам, которые находятся за пределами домена,
используются доверительные отношения службы Active Directory. Доверительные отношения
представляют собой опознавательную связь между двумя доменами, с помощью которой
участники безопасности могут получать полномочия на доступ к ресурсам, расположенным на
другом домене. Есть несколько типов доверительных отношений, включающих:
• транзитивные доверительные отношения;
• односторонние доверительные отношения;
• доверительные отношения леса;
www.kodges.ru
• доверительные отношения области.
www.kodges.ru
Если группа безопасности в домене Sales.Europe.Contoso.com часто обращается к общему ресурсу
в домене Research.NAmerica.Contoso.com, то при наличии только транзитивных доверительных
отношения между доменами пользователи в домене Sales.Europe.Contoso.com должны
подтверждать подлинность в каждом домене дерева, расположенном между ними и доменом,
который содержит ресурс. Такая организация работы неэффективна, если часто возникает
потребность доступа к этим ресурсам. Укороченные доверительные отношения являются прямыми
односторонними доверительными отношениями, которые дадут возможность пользователям в
домене Sales.Europe.Contoso.com эффективно подтверждать подлинность в домене
Research.NAmerica.Contoso.com без необходимости пересекать все дерево каталога, чтобы туда
добраться. На рисунке 2-10 показаны эти прямые доверительные отношения. Если возникает
потребность установить такие же доверительные отношения в другом направлении, можно создать
прямые доверительные отношения между этими двумя доменами, взаимно изменив их роли.
(Такие двойные прямые доверительные отношения кажутся транзитивными
отношениями, но эти исключительные доверительные отношения не простираются за пределы
этих двух доменов).
www.kodges.ru
Рис. 2-11. Доверительные отношения леса компании Contoso соединяют домены Contoso.com и
NWTraders.com, находящиеся в разных лесах
Сайты
Все логические компоненты Active Directory, обсуждаемые до сих пор, практически не зависят от
физической инфраструктуры сети. Например, при проектировании структуры домена для
корпорации вопрос о том, где расположены пользователи, является не самым важным. Все
пользователи в домене могут находиться в единственном офисном строении или в офисах,
расположенных по всему миру. Независимость логических компонентов от сетевой
инфраструктуры возникает вследствие использования сайтов в Active Directory.
Сайты обеспечивают соединение между логическими компонентами Active Directory и физической
сетевой инфраструктурой. Сайт представляет область сети, где все контроллеры домена связаны
быстрым, недорогим и надежным сетевым подключением. В большинстве случаев сайт содержит
одну или более подсетей с протоколом интернета (IP), связанных локальной сетью (LAN) или
быстродействующей глобальной сетью (WAN), подключенных к остальной части сети через более
медленные WAN-подключения.
Основная причина для создания сайтов состоит в том, чтобы иметь возможность управлять любым
сетевым трафиком, который должен использовать медленные сетевые подключения. Сайты
используются для управления сетевым трафиком в пределах сети Windows Server 2003 тремя
различными способами.
• Репликация. Одним из важнейших способов, которым сайты пользуются для
оптимизации сетевого трафика, является управление трафиком репликации между
контроллерами доменов и GC-серверами. В пределах сайта любое изменение, сделанное в
каталоге, будет копироваться в течение приблизительно пяти минут. Графиком
репликации между сайтами можно управлять так, чтобы репликация происходила во время
нерабочих часов. По умолчанию трафик репликации между сайтами сжат для сохранения
пропускной способности сети, в пределах сайта трафик репликации не сжимается. (В главе
4 представлена более детальная информации относительно различий между
внутрисайтовой и межсайтовой репликациями.)
www.kodges.ru
• Идентификация. Когда пользователь входит в домен Windows Server 2003 с клиента, на
котором работает система Windows 2000 или Microsoft Windows XP Professional,
компьютер клиента пробует подключить контроллер домена, находящийся в том же самом
сайте, где находится клиент. В главе 3 будет обсуждаться, как каждый контроллер домена
регистрирует записи указателя служб (SRV), специфические для сайта. Когда компьютер
клиента пытается найти контроллер домена, он всегда запрашивает записи сайтов у DNS-
серверов. Это означает, что трафик входа клиента в систему останется в пределах сайта.
Если домен работает на функциональном уровне Windows 2000 native (основной) или
Windows Server 2003, то клиент будет пытаться найти каталог GC во время входа в
систему. Если на сайте имеется GC-сервер, клиент соединится с этим сервером. (Роль
сайтов в поиске контроллеров домена подробно обсуждается в гл. 3.)
Примечание. Клиентские компьютеры, на которых работает система Windows NT 4 SP6a,
могут регистрироваться на контроллерах домена Active Directory, если они установили службу
Directory Services Client (Клиент служб каталога), которая доступна для загрузки на сайте
http://www.microsoft.com/ windows2000/server/evaluation/news/bulletins/ adextension.asp. Для тех
клиентов, которые не были модернизированы с Windows 95 или Windows 98, программное
обеспечение Directory Services Client доступно на компакт-диске Windows Server 2000.
• Сетевые службы, учитывающие наличие сайтов. Третий способ, который позволяет
сайтам сохранять высокую пропускную способность, состоит в ограничении клиентских
подключений к сайту только теми приложениями и службами, которые учитывают
наличие сайтов. Например, используя распределенную файловую систему (DFS -
Distributed File System), вы можете создавать несколько реплик папки на различных сайтах
в сети. Поскольку система DFS спроектирована так, что она учитывает конфигурацию
сайта, компьютеры клиента всегда пробуют обратиться к DFS-реплике на своем
собственном сайте, прежде чем использовать связи WAN-сети, чтобы получить доступ к
информации на другом сайте.
Каждый компьютер в сети Windows Server 2003 будет назначен сайту. Когда служба Active
Directory устанавливается в среде Windows Server 2003, создается заданный по умолчанию сайт,
называемый Default First Site Name (заданное по умолчанию имя первого сайта), и все компьютеры
леса будут назначены этому сайту, если не создается дополнительных сайтов. Когда создаются
дополнительные сайты, они связываются с подсетями IP. Когда сервер, на котором выполняется
система Windows Server 2003, становится контроллером домена, то он автоматически назначается
тому сайту, который назначен IP-адресу компьютера. При необходимости контроллеры домена
можно перемещать между сайтами с помощью инструмента администрирования Active Directory
Sites And Services (Active Directory: Сайты и службы).
Клиентские компьютеры определяют свои сайты в первый раз, когда они запускаются и входят в
домен. Поскольку компьютер клиента не знает, какому сайту он принадлежит, то он соединяется с
любым контроллером домена в домене. В процессе входа в систему контроллер домена сообщит
клиенту, какому сайту он принадлежит, и клиент будет кэши-ровать эту информацию для
следующего входа в систему.
Примечание. Если контроллер домена или компьютер клиента имеют IP-адрес, который не
связан с определенным сайтом, то этот компьютер будет приписан в сайт Default First Site
Name. Каждый компьютер, который является частью домена Windows Server 2003, должен
принадлежать сайту.
Как уже было сказано выше, нет прямой связи между сайтами и другими логическими
концепциями Active Directory. Один сайт может содержать более одного домена, и один домен
может принадлежать нескольким сайтам. На рисунке 2-12 показано, что сайт Seattle содержит два
домена: Contoso.com и NAmerica.Contoso.com. Домен NWTraders.com распределен между
несколькими сайтами.
www.kodges.ru
Примечания. Сайты подробно обсуждаются в других главах. В главе 3 детализируется роль DNS
и сайтов для клиентских входов в систему. Глава 4 посвящена роли сайтов в репликации и тому,
как создавать и конфигурировать сайты. В главе 5 дается детальная информация по
проектированию оптимальной конфигурации сайта для леса Active Directory.
Организационные единицы
Путем реализации нескольких доменов в лесу в виде одного или нескольких деревьев служба
Active Directory Windows Server 2003 может масштабироваться так, чтобы обеспечить услуги
каталога для сети любого размера. Многие из компонентов Active Directory, такие как глобальный
каталог и автоматические транзитивные доверительные отношения, предназначены для того,
чтобы сделать использование и управление каталогом предприятия эффективным, независимо от
того, насколько большим становится каталог.
Организационные единицы (OU - Organizational Unit) предназначены для того, чтобы облегчить
управление службой Active Directory. OU используются для того, чтобы сделать более
эффективным управление единственным доменом, вместо того чтобы иметь дело с управлением
несколькими доменами службы Active Directory. OU служат для создания иерархической
структуры в пределах домена. Домен может содержать сотни тысяч объектов. Управление таким
количеством объектов без использования определенных средств организации объектов в
логические группы затруднено. Организационные единицы выполняют именно эти функции. На
рисунке 2-13 показан пример структуры OU в корпорации Contoso.
www.kodges.ru
• группы;
• inetOrgPerson;
• принтеры;
• пользователи;
• общедоступные папки;
• организационные единицы.
Организационные единицы используются для группировки объектов в административных целях.
Они могут делегировать административные права и управлять группой объектов как отдельным
подразделением.
www.kodges.ru
Табл. 2-3. Типы параметров настройки групповой политики
Типы параметров Пояснение
настройки
Administrative Используется для управления параметрами,
templates связанными с системным реестром, для
(Административные конфигурирования параметров настройки
шаблоны) приложений и пользовательского рабочего стола,
включая доступ к компонентам операционной
системы, к панели управления и конфигурацию
автономных файлов.
Security Используется для управления локальным
(Безопасность) компьютером, доменом и параметрами настройки
сетевой защиты, включая управление
пользовательским доступом к сети,
конфигурирование политик учетных записей и
управление правами пользователей.
Software installation Используется для централизованного управления
(Установка установкой программного обеспечения.
программного
обеспечения)
Scripts (Сценарии) Используется для определения сценариев,
которые могут выполняться при запуске или
выключении компьютера, при входе пользователя
в систему и выходе из нее.
Folder redirection Используется для хранения некоторых папок
(Перенаправление пользовательского профиля на сетевом сервере.
папки) Папки My Documents (Мои документы) выглядят
так, будто они хранятся локально, но фактически
они хранятся на сервере, где к ним можно
обращаться с любого компьютера в сети.
Групповые политики чаще назначаются на уровне OU. Это облегчает задачу управления
пользователями, так как можно назначить один объект групповой политики (GPO — Group Policy
Object), например, политику инсталляции программного обеспечения организационной единице,
которая затем распространится на всех пользователей или компьютеры в OU.
Предостережение. Организационные единицы не являются участниками безопасности. Их нельзя
использовать для назначения разрешений на ресурс так, чтобы затем пользователи всей OU
автоматически наследовали эти разрешения. OU используются для административных целей. Для
предоставления доступа к ресурсам необходимо использовать группы.
Резюме
В этой главе вы рассмотрели основные физические и логические компоненты службы Active
Directory Windows Server 2003. Валено иметь представление о физических компонентах, особенно
управляя базами данных и схемой, размещая контроллеры домена. Но все-таки большая часть
работы в Active Directory будет связана с логическими компонентами. Далее вы познакомитесь с
логической структурой службы Active Directory.
www.kodges.ru
Глава 3. Active Directory и доменная система
имен
Служба каталога Active Directory Microsoft Windows Server 2003 при поиске ресурсов в сети
полностью полагается на доменную систему имен (DNS). Без надежной инфраструктуры DNS
контроллеры домена в сети не смогут делать реплики друг с друга, клиенты Microsoft Windows
2000 и Microsoft Windows XP Professional не смогут входить в сеть, а серверы, на которых
выполняется приложение Microsoft Exchange Server 2000, не смогут посылать электронную почту.
По существу, если ваша реализация службы DNS нестабильна, то сеть Windows Server 2003 не
будет работать. Это значит, что для управления средой Active Directory вы должны иметь глубокое
знание концепций DNS и ее реализации в Windows Server 2003.
Данная глава начинается с краткого обзора DNS как службы. Далее подробно рассказывается,
почему Active Directory зависит от DNS, и как работает процесс разрешения имен. Затем речь идет
о службе DNS в системах Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise
Edition; Windows Server 2003, Datacenter Edition. В операционной системе Windows Server 2003
доменная система имен имеет свойства, которые делают весьма привлекательным развертывание
Active Directory.
Примечание. Версия Windows Server 2003, Web Edition не требует и не поддерживает службу
Active Directory.
www.kodges.ru
Под доменами верхнего уровня расположены домены второго уровня, которые обычно относятся
к названиям компаний и должны быть зарегистрированы властями интернета. Ниже доменов
второго уровня располагаются поддомены. Поддомены обычно относятся к отделам или
подразделениям в пределах компании. Эти поддомены регистрируются и управляются с DNS-
серверов, которые содержат информацию о доменах второго уровня.
Другим способом представления иерархического пространства имен является полностью
определенное имя домена (FQDN — Fully Qualified Domain Name), например,
www.NAmerica.Contoso.com. FQDN представ-
ляет собой полное имя, которое можно использовать для идентификации определенного
компьютера в пределах всего пространство имен DNS. Чтобы понять, как FQDN идентифицирует
компьютер в пространстве имен DNS, прочтите его справа налево. Справа находится точка («.»),
которая идентифицирует корневой домен, она предшествует имени домена первого уровня. За ней
следуют домен com первого уровня, домен Contoso второго уровня и поддомен NAmerica. Слева в
имени FQDN находится www - имя определенного компьютера.
www.kodges.ru
интернета). Рекурсивный запрос может иметь только два возможных ответа: IP-адрес,
запрашиваемый клиентом, или сообщение об ошибках, указывающее, что информация не
может быть найдена.
2. Если DNS-сервер провайдера имеет необходимую информацию в своем кэше, то он
возвращает IP-адрес пользователю. Если нужной информации нет, то он пробует найти
информацию, посылая итерационный запрос на другой сервер. Ответом на итерационный
запрос может быть или разрешенное имя, запрашиваемое клиентом, или переадресация на
другой DNS-сервер, который сможет выполнить запрос. В нашем примере DNS-сервер
провайдера посылает итерационный запрос корневому серверу об IP-адресе, который
соответствует www.NAmerica.Contoso.com.
3. Корневой сервер не может ответить на запрос, но в ответ он присылает список серверов,
ответственных за домен высшего уровня сот. Этот процесс предоставления списка
альтернативных DNS-серверов для дальнейшего контакта называется направлением
(referral). DNS-сервер интернет-провайдера посылает итерационный запрос одному из этих
серверов с просьбой об IP-адресе.
4. Сервер сот дает в ответ список серверов, которые являются ответственными за домен
Contoso.com. Далее DNS-сервер провайдера посылает запрос DNS-серверу Contoso.com,
который дает в ответ имена DNS-серверов, управляющих доменом NAmerica.Contoso.com.
5. DNS-сервер NAmerica.Contoso.com содержит всю информацию об этом домене, и он
посылает DNS-серверу провайдера IP-адрес нужного хоста.
6. DNS-сервер провайдера отвечает на рекурсивный запрос, который он получил от клиента-
преобразователя, и посылает IP-адрес запрошенного Web-сервера.
7. Компьютер клиента соединяется с www.NAmerica.Contoso.com.
8. Этот процесс происходит очень быстро и может не включать некоторые шаги. Когда DNS-
сервер разрешает любой тип имени, он сохраняет эту информацию в кэше в течение
определенного периода. Если кто-то искал этот же сайт раньше в этот день и DNS-сервер
провайдера разрешил это имя, то он просмотрит свой кэш и даст ответ немедленно.
9.
Записи ресурсов
Текущие записи, хранящиеся в зонных файлах DNS, называются записями ресурсов (RR —
Resource Records). Записи ресурсов содержат текущую информацию о домене. Вы можете создать
двадцать два различных типа записей ресурсов на DNS-сервере системы Windows Server 2003.
Наиболее распространенные записи ресурсов перечислены в таблице 3-1.
Табл. 3-1. Наиболее распространенные записи ресурсов в доменной системе имен Windows Server
2003
Название Пояснение
Start of Authority Идентифицирует основной сервер имен для
(SOA) - начало зоны, устанавливает параметры, заданные по
полномочий умолчанию для зонной передачи, параметры
длительности хранения зонной информации и
время жизни (TTL — Time to Live) (см. рис. 3-2).
Host (A) - хост Идентифицирует IP-адрес для определенного
имени хоста. Это та запись, которую DNS-cep-
вер возвращает в процессе разрешения имен.
Mail Exchanger (MX) - Идентифицирует серверы передачи интернет-
коммутатор сообщений. Используется другими серверами
электронной почты передачи интернет-сообщений для поиска
аналогичных серверов в домене.
Name Server (NX) - Идентифицирует все серверы имен для домена.
сервер имен
Pointer (PTR) - Идентифицирует имена хостов, отображаемых на
указатель определенных IP-адресах. Хранится в зоне
обратного просмотра.
www.kodges.ru
Canonical Name Идентифицирует псевдоним другого хоста в
(CNAME) - домене. Применяется в том случае, когда
каноническое имя несколько имен хоста используют один и тот же
Service Locator (SRV) IP-адрес.
- указатель служб Идентифицирует службу, которая имеется в
домене. Active Directory широко использует
записи SRV для поиска контроллеров домена.
Совет. На рисунке 3-2 показана запись SOA в инструменте администрирования DNS. Записи DNS
могут быть сохранены в стандартном текстовом формате. Например, стандартная запись хоста для
сервера по имени Webl.Contoso.com может быть записана как Webl.Contoso.com IN A
192.168.1.100.
www.kodges.ru
хоста, но он обеспечивает ответ для обратного поиска. Для получения дополнительной
информации о записях см. табл. 3-1.
Имя зоны прямого просмотра является именем домена. Имя зоны обратного просмотра определить
более трудно, потому что она использует IP-адрес подсети, а не имя домена, в качестве границы
зоны. Когда вы создаете зону обратного просмотра, вы должны дать ей имя, основанное на IP-
адресе подсети. Например, если вы создаете зону обратного просмотра для подсети 192.168.1.0, то
зонное имя будет L168.192.in-addr.arpa. Имя in-addr.arpa специально зарезервировано в DNS для
ссылок на зоны обратного просмотра. Первая часть зонного имени является сетевым адресом,
записанным в обратном порядке. Если вы создаете зону обратного просмотра для подсети класса
В (150.38.0.0), имя зоны обратного просмотра будет 38.150.in-addr.arpa.
Зоны полномочий
Чтобы полностью понимать DNS, вы должны познакомиться с зонами полномочий (zones of
authority) и полномочными (authoritative) серверами имен. Каждый основной и дополнительный
www.kodges.ru
серверы имен являются полномочными для своего домена. Например, если DNS-сервер содержит
зонные файлы для домена Contoso.com, то этот сервер является
полномочным сервером имен для этого домена. Как полномочный сервер имен он не будет
отправлять никаких запросов о хостах этой зоны другим DNS-серверам. Многие компании
устанавливают конфигурацию DNS-сервера так, как показано на рисунке 3-3. В этом сценарии
имеются два основных DNS-сервера, сконфигурированные для домена Contoso.com. DNS1
содержит запись хоста для сервера по имени Webl.Contoso.com, a DNS2-cepBep этой записи не
имеет. Когда клиент соединяется с DNS1, он сможет разрешить IP-адрес для Webl. Когда клиент
соединяется с DNS2 и запрашивает IP-адрес для Webl, сервер ответит, что хост не может быть
найден. Поскольку DNS2 сервер является полномочным для домена Contoso.com, он не будет
отправлять запросы серверу DNS1. Его поведение заложено в проекте и, как показывает
обсуждение примера в разделе «Практический опыт», это дает определенное преимущество в
безопасности.
www.kodges.ru
Делегированные зоны
Поскольку система DNS использует иерархическое пространство имен, должен существовать
механизм соединения разных уровней иерархии. Например, если клиент соединяется с сервером,
который является полномочным для домена первого уровня сот, и запрашивает сервер в домене
Contoso.com, corn-сервер должен уметь определять, какой сервер имен является полномочным для
домена Contoso.com. Это возможно при помощи записей делегирования (delegation records).
Запись делегирования представляет собой указатель на домен низшего уровня, который
идентифицирует сервер имен для домена низшего уровня. Например, на рисунке 3-4 показано, что
DNSl.Contoso.com является полномочным сервером имен для домена Contoso.com. DNS2 и DNS3
являются полномочными серверами имен для домена NAmerica.Contoso.com. Сервер DNS1
считается полномочным для домена NAmerica.Contoso.com, но он не имеет всех записей ресурса
дочерних доменов. Однако сервер DNS1 использует запись делегирования, указывающую на
DNS2 и DNS3 как на серверы имен для дочернего домена. Когда клиент соединяется с сервером
DNS1, запрашивая информацию об NAmerica.Contoso.com, сервер перешлет клиента на сервера
имен дочернего домена.
www.kodges.ru
рисунке 3-5. Все внутренние DNS-серверы отправляют любой запрос для неполномочной зоны на
один DNS-сервер, который разрешает интернет-адреса. Если DNS-сервер сконфигурирован с
несколькими ретрансляторами, то он будет отправлять запросы всем ретрансляторам по порядку,
прежде чем попытается использовать любой другой способ разрешения IP-адресов.
Второй метод, который может применить DNS-сервер при ответе на запросы для тех зон, для
которых он не является полномочным, состоит в использовании корневых ссылок. Когда вы
устанавливаете DNS-сервер Windows Server 2003, имеющий доступ к интернету, он автоматически
конфигурируется со стандартным списком корневых серверов. Корневые серверы - это серверы,
которые являются полномочными для корня в пространстве имен интернета. Если DNS-сервер
получает запрос о зоне DNS, для которой он не является полномочным, сервер посылает
итерационный запрос одному из корневых серверов. Итерационные запросы будет
инициироваться до тех пор, пока нужное имя не будет разрешено или пока сервер не подтвердит,
что оно не может быть разрешено.
Примечание. Корневые серверы, которые автоматически указываются на DNS-сервере при его
конфигурировании, копируются из файла Cache.dns, который поставляется с файлами установки
DNS-сервера.
Вы можете добавлять дополнительные DNS-серверы к списку корневых ссылок, включая в него
DNS-серверы, имеющиеся в вашей внутренней сети.
По умолчанию DNS-серверы Windows Server 2003 используют ретрансляторы и корневые ссылки,
когда они пытаются разрешать имена. Если сервер конфигурирован с ретрансляторами, он сначала
отправит рекурсивные запросы всем ретрансляторам. Если ни один из ретрансляторов не может
обеспечить необходимую информацию, то DNS-cep-вер начнет посылать повторяющиеся запросы
серверам, сконфигурированным как корневые ссылки. В некоторых случаях необходим DNS-
сервер, использующий только ретрансляторы и не использующий корневые ссылки. Чтобы
сконфигурировать такой сервер, выберите опцию Do Not Use Recursion For This Domain (He
использовать рекурсию для этого домена) на вкладке Forwarders (Передатчики) в окне Properties
(Свойства) DNS-сервера. После этого DNS-сервер сначала будет пытаться разрешить любые
запросы с помощью своей местной зонной или кэ-шированной информации, посылая рекурсивные
запросы каждому из своих ретрансляторов. Если ретрансляторы не смогут обеспечить
необходимую информацию, DNS-сервер не будет использовать другие средства, чтобы найти эту
информацию. Он сообщит клиенту, что хост не может быть найден.
Примечание. В системе DNS Windows Server 2003 возможности традиционных ретрансляторов
расширены за счет реализации условных ретрансляторов. Эта тема подробно рассматривается в
разделе «Условная ретрансляция» далее в этой главе.
www.kodges.ru
Динамическая система DNS
В прошлом сложность работы с DNS состояла в том, что вся зонная информация должна была
вводиться вручную. До выхода документа RFC 2136 не существовало никакого способа
автоматического обновления зонной информации DNS-сервера. В документе RFC 2136 описано,
как DNS-серверы должны быть сконфигурированы, чтобы автоматически принимать обновления к
записям ресурсов в зонных файлах. Эта опция называется динамической службой DNS (DDNS).
DNS-серверы Windows Server 2003 поддерживают динамическую службу DNS. По умолчанию все
клиенты Windows 2000 и Windows XP Professional, а также Windows 2000 Server; Windows 2000
Advanced Server; Windows 2000 Datacenter Server; Windows Server 2003, Standard Edition; Windows
Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition автоматически обновляют
свои записи ресурсов в DNS. Windows 2000 и контроллеры домена Windows Server 2003
автоматически регистрируют SRV-записи на DNS-серверах, которые используются для поиска
контроллеров домена. DNS-серверы Windows Server 2003 будут
также принимать динамическую регистрацию записей с серверов динамической конфигурации хостов
(DHCP). DHCP-сервер Windows Server 2003 может конфигурироваться для автоматического обновления
DNS-записей для любого из его клиентов, включая Microsoft Windows 95, Microsoft Windows 98, Microsoft
Windows Me или Microsoft Windows NT.
Одна из проблем динамической системы DNS связана с безопасностью. Без какого-либо контроля над тем,
кому позволено обновлять записи ресурсов DNS, любой, имеющий доступ к вашей сети, потенциально
может создать запись ресурса в ваших зонных файлах DNS, а затем использовать эту запись для
переадресации сетевого трафика. Чтобы решить эту проблему в системе DNS Windows Server 2003
существуют безопасные обновления. Безопасные обновления имеются только в интегрированных зонах
Active Directory. С помощью безопасных обновлений вы можете управлять тем, кому дается право
регистрировать и обновлять DNS-записи. По умолчанию члены группы Authenticated Users
(Уполномоченные пользователи) имеют право обновлять свои записи в системе DNS. Вы можете изменить
это, изменяя список управления доступом ACL (ACL - Access Control List) для DNS-зоны.
Динамическая система DNS уменьшает объем работы, который должен делать администратор DNS. Далее
вы узнаете, что Active Directory Windows Server 2003 требует присутствия SRV-записи каждого контроллера
домена в зонной информации, поэтому поддержка динамических обновлений является важным свойством
DNS-системы Windows Server 2003.
www.kodges.ru
Windows 2000 и Windows XP Professional. Без записей SRV эти клиенты не смогут войти на домен
Windows Server 2003.
По сути, информация в этой записи говорит, что если клиент ищет сервер облегченного протокола
службы каталогов (LDAP) в домене Contoso.com, он должен соединиться с dc2.contoso.com.
Контроллеры домена в домене Windows Server 2003 регистрируют много SRV-записей в системе
DNS. Следующий список включает все записи, зарегистрированные первым сервером леса.
contoso.com. 600 IN A 192.168.1.201
_ldap._tcp.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
_ldap._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRV 0 100 389
dc2.contoso.com.
_ldap._tcp.pdc._msdcs.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
_ldap._tcp.gc._msdcs.contoso.com. 600 IN SRVO 100 3268 dc2.contoso.com.
_ldap._tcp. Default-First-Site-Name._sites._gc._msdcs.contoso.com. 600 IN SRV 0
www.kodges.ru
100 3268 dc2.contoso.com.
_ldap._tcp.64c228cd-5f07-4606-b843-d4fd114264b7.domains._msdcs.contoso.com.
600 IN SRV 0 100 389 dc2.contoso.com.
gc._msdcs.contoso.com. 600 IN A 192.168.1.201
175170ad-0263-439f-bb4c-89eacc410ab1._msdcs.contoso.com. 600 IN CNAME
dc2.contoso.com.
_kerberos._tcp.dc._msdcs.contoso.com. 600 IN SRVO 100 88 dc2.contoso.com.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com. 600 IN
SRV 0 100 88 dc2.contoso.com.
_ldap._tcp.dc._msdcs.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.contoso.com. 600 IN SRV 0
100 389 dc2.contoso.com.
_kerberos._tcp.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com.
_kerberos._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRV 0 100 88
dc2.contoso.com.
_gc._tcp.contoso.com. 600 IN SRV 0 100 3268 dc2.contoso.com.
_gc._tcp.Default-First-Site-Name._sites.contoso.com. 600 IN SRVO 100 3268
dl2.contoso.com.
_kerberos._udp.contoso.com. 600 IN SRV 0 100 88 dc2.contoso.com.
_kpasswd._tcp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com.
_kpasswd._udp.contoso.com. 600 IN SRV 0 100 464 dc2.contoso.com.
DomainDnsZones.contoso.com. 600 IN A 192.168.1.201
_ldap._tcp.DomainDnsZones.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
_ldap._lcp.Default-First-Site-Name._sites.DomainDnsZones.contoso.com. 600 IN
SRV 0 100 389 dc2.contoso.com.
ForestDnsZones.contoso.com. 600 IN A 192.168.1.201
_ldap._tcp.ForestDnsZones.contoso.com. 600 IN SRV 0 100 389 dc2.contoso.com.
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.contoso.com. 600 IN
SRV 0 100 389 dc2.contoso.com.
Примечание. Если на котроллере домена установлена система Windows Server 2003, все эти
записи записываются в файл по имени Netlogon.dns, расположенный в папке %systemroot%\
system32\config. Если вы не хотите допускать динамические обновления на DNS-серверах, вы
можете импортировать эти записи в зонные файлы DNS.
Первая часть SRV-записи идентифицирует службу, на которую указывает запись SRV.
Существуют следующие службы:
• _ldap Active Directory является службой каталога, совместимой с LDAP-протоколом, с
контроллерами домена, функционирующими как LDAP-серверы. Записи _ldap SRV
идентифицирует LDAP серверы, имеющиеся в сети. Эти серверы могут быть
контроллерами домена Windows Server 2003 или другими LDAP-серверами;
• _kerberos - основной опознавательный протокол для всех клиентов Windows 2000 и
Windows XP Professional. SRV-записи _kerberos идентифицируют все ключевые центры
распределения (KDC - Key Distribution Centers) в сети. Они могут быть контроллерами
домена с Windows Server 2003 или другими KDC-серверами;
• _kpassword — идентифицирует серверы изменения паролей kerberos в сети (это или
контроллеры домена с Windows Server 2003 или с другими системами изменения пароля
kerberos);
• _gc - специфическая запись, относящаяся к функции глобального каталога в Active
Directory. Сервер глобального каталога выполняет множество важных функций в Active
Directory.
Многие из SRV-записей содержат идентификатор сайта в дополнение к компонентам,
перечисленным в таблице 3-2. Сайт используется в Active Directory для идентификации одной или
более IP-подсетей, которые связаны через высокоскоростные сетевые подключения. Одно из
преимуществ использования сайтов состоит в том, что сетевые клиенты всегда будут пробовать
войти на контроллер домена, который находится на том же самом сайте, что и клиент. Записи
сайта нужны компьютерам для поиска контроллеров домена, расположенных в том же самом
сайте, где находится клиент. Подробности механизма, который используется клиентом для поиска
информации, касающейся сайта, обсуждаются в следующем разделе.
Другим необходимым компонентом SRV-записей является значение _msdcs, которое имеется во
многих записях. Некоторые службы, предусмотренные записями SRV, не относятся к службам,
разработанным компанией Microsoft. Например, могут встретиться LDAP или kerberos-cep-веры в
реализациях, не принадлежащих Microsoft. Эти серверы также могут регистрировать записи SRV
на сервере DNS. Контроллеры домена с Windows Server 2003 регистрируют как основные (generic)
www.kodges.ru
записи (например, _ldap._tcp.contoso.com), так и записи, содержащие ссылку на _msdcs. Они
ссылаются только на роли, определенные продуктами Microsoft, т.е. на Windows Server 2003 или
на контроллеры домена Windows 2000. Записи идентифицируют основную функцию каждого
сервера: gc (глобальный каталог), dc (контроллер домена) или pdc (основной эмулятор
контроллера домена).
Другая зарегистрированная запись содержит глобальный уникальный идентификатор (GUID -
globally unique identifier) домена. Запись GUID домена используется для поиска контроллеров
домена в случае его переименования.
Примечание. Имеются записи, расположенные ниже поддоме-нов ForestDnsZones и
DomainDnsZones. О них более подробно вы узнаете в разделе «Раздел приложений каталога»
этой главы.
DS_PDC_REQUIRED _ldap._tcp.pdc._msdcs.domainname
DS_GC_SERVER_REQUIRED _ldap._tcp.sitename._sites.gc.
_msdcs.Forestrootdomainname
DS_KDC_REQUIRED _kdc._tcp.sitename._sites.dc
._msdcs.domainname
DS_ONLY_LDAP_NEEDED _ldap._tcp.sitename._sites._
msdcs.domainname
Примечание. Почти всегда функция DsGetDcName включает параметр sitename. Для всех
запросов, кроме запроса DS_PDC_REQUIRED, клиент делает начальный запрос, используя
параметр сайта. Если DNS-сервер не отвечает на запрос, клиент пошлет тот же самый запрос
без параметра сайта. Например, если запрос DS_KDC_REQUIRED не выполнен, клиент пошлет
запрос на запись _kdc._tcp.dc._msdcs.forestrootdomain. Это может случиться, если клиент
находится на сайте, который не распознан серверами DNS. Клиент может также передать
параметр DomainGUID вместо имени домена с помощью функции DsGetDcName (). В этом
случае клиент запрашивает запись _ldap._tcp.domainGUID.domains._msdcs.forestname. Это
случится только в том случае, если домен был переименован.
3. DNS сервер возвращает запрошенный список серверов, рассортированный согласно
приоритету и весу. Затем клиент посылает LDAP запрос, используя UDP-порт 389 по
каждому из адресов записи в том порядке, как они были возвращены. После отсылки
каждого пакета клиент ждет в течение 0,1 с, если никакого ответа не получено, он
посылает пакет следующему контроллеру домена. Клиент продолжает этот процесс до тех
пор, пока не получит допустимый ответ или не перепробует все контроллеры домена.
4. Когда контроллер домена ответит клиенту, клиент проверяет ответ, чтобы удостовериться,
что он содержит запрошенную информацию. Если информация имеется, клиент начинает
процесс входа в систему с контроллера домена.
Клиент кэширует информацию контроллера домена, чтобы в следующий раз, когда ему
потребуется обратиться к Active Directory, не нужно было снова проходить процесс обнаружения.
www.kodges.ru
Как клиент определяет, какому сайту он принадлежит
Наличие специфических для сайта записей важно для эффективной работы Active Directory,
потому что поле деятельности клиента ограничено определенным сайтом. Например, в процессе
входа в систему клиент всегда пробует соединиться с контроллером домена, расположенном в
своем сайте, прежде чем соединяться с любыми другими сайтами. Как же клиент узнает, какому
сайту он принадлежит?
Информация сайта для леса хранится в разделе конфигурации ката-, лога в Active Directory, она
копируется на все контроллеры домена в лесу. Список IP-подсетей, которые связаны с
определенным сайтом, включается в конфигурационную информацию. Когда клиент впервые
входит в Active Directory, первый ответивший контроллер домена сравнивает IP-адрес клиента с
IP-адресом сайта. Часть ответа контроллера домена клиенту составляет информация сайта,
которую клиент затем кэширует. Любые последующие попытки входа в систему будут включать
информацию сайта клиента.
Если клиент переместился между сайтами (например, портативный компьютер может быть
подсоединен к сети в другом городе), он все еще посылает информацию сайта как часть входа в
систему. DNS-сервер ответит с записью контроллера домена, который находится в запрашиваемом
сайте. Однако если на основе нового IP-адреса клиента контроллер домена решит, что клиент не
находится на первоначальном сайте, он пошлет новую информацию сайта клиенту. Затем клиент
выполнит кэширование новой информации и попытается найти контроллер домена в правильной
подсети.
Если клиент не находится ни в одном из сайтов, которые определены в Active Directory, то он не
сможет выполнять запросы на специфическую для сайта информацию о контроллерах домена.
www.kodges.ru
дополнительный сервер будет принимать зонные передачи от интегрированной зоны Active
Directory.
Когда зона сконфигурирована как интегрированная зона Active Directory, вы может просматривать
информацию DNS в Active Directory
(см. рис. 3-6). Для этого запустите консоль управления Microsoft (MMC -Microsoft Management
Console) и убедитесь, что оснастка Active Directory Users And Computers (Пользователи и
компьютеры Active Directory) была добавлена к консоли. Выберите папку Active Directory Users
And Computers (Пользователи и компьютеры Active Directory) из меню View (Вид), выберите
Advanced Features (Дополнительные свойства). Откройте папку с именем домена, затем откройте
папку System (Система), затем - папку Microsof tDNS. Зонная информация для всех
интегрированных зон Active Directory перечислена в каждой зонной папке.
www.kodges.ru
полномочным сервером для домена Fabrikam, он должен был разрешить имя,
используя корневую ссылку или ретранслятор. Если DNS-сервер Contoso был
сконфигурирован с ретранслятором на DNS-сервер в домене Fabrikam, имя могло
быть разрешено. Однако эта запись ретранслятора не могла использоваться для
разрешения компьютерных имен в домене TailspinToys.com или во внутренней сети.
Использование системы DNS Windows 2000 предложило несколько путей решения
этой проблемы (см. ниже), но ни один из них не был достаточно
удовлетворительным.
• Создание дополнительной зоны на каждом сервере DNS для каждого из
других доменов привело бы к возрастанию трафика зонной передачи.
• Создание дополнительной зоны для каждого домена компании на серверах
DNS в корневом домене и конфигурирование всех DNS-серве-ров домена
так, чтобы они направляли запросы к серверам DNS корневого домена,
создало бы существенную нагрузку на серверах DNS корневого домена.
Кроме того, поскольку все серверы DNS корневого домена были
расположены в одном центре данных, разрешение имен привело бы к
возрастанию сетевого трафика из других офисов.
Ни одно из этих решений не идеально. Операционная система Windows Server 2003
предлагает три варианта решения. В них используются условная переадресация,
сокращенные зоны (stub zones) и разделы приложений каталога.
Совершенствование DNS
Большинство опций DNS, которые обсуждались до этого, доступны в Windows 2000. В
операционной системе Windows Server 2003 имеется, по крайней мере, три существенных
улучшения DNS. Описание практического опыта (см. выше) иллюстрирует одну из типичнейших
трудностей в конфигурировании DNS большой корпорации, с которой сталкивались
администраторы до выхода операционной системы Windows Server 2003.
Условная переадресация
Условная переадресация (conditional forwarding) значительно увеличивает возможности процесса
переадресации. До выхода Windows Server 2003 в процессе переадресации нельзя было делать
различий, основанных на именах домена. Когда клиент-преобразователь делал запрос, на который
сервер не мог ответить с помощью своего кэша или зонных файлов, сервер посылал рекурсивный
запрос по своему списку конфигурированных ретрансляторов. Не было возможности
сконфигурировать ретранслятор так, чтобы он был чувствителен к специфике домена. Условная
переадресация обеспечивает как раз такой тип осмысления: DNS-cep-вер может теперь передавать
запросы домена на различные серверы DNS, учитывая имя домена.
Например, компания, о которой шла речь выше, имеет пять деревьев в единственном лесу. При
репликации контроллеры домена должны суметь найти контроллеры домена в других доменах.
Пользователи также часто путешествуют между компаниями. Они должны иметь возможность
входить на свой домашний домен независимо от того, с какой сетью они связаны физически.
Существует также значительное количество ресурсов, сконфигурированных для совместного
использования между компаниями. Эти требования подразумевают, что информация DNS должна
быть общедоступной для разных доменов.
С помощью Windows Server 2003 серверы DNS в каждом домене могут быть сконфигурированы с
условным ретранслятором, переадресующим запросы на один или более серверов DNS в других
доменах. Когда один из серверов DNS разрешает имя из другого домена, он может использовать
только тот ретранслятор, который сконфигурирован для этого домена. Например, когда клиент в
домене Contoso.com должен найти ресурс в домене Fabrikam.com, он делает запрос DNS-серверу
домена Contoso.com. DNS-сервер проверяет свои зонные файлы, чтобы определить, является ли он
полномочным сервером для этого домена, а затем проверяет свой кэш. Если он не сможет
разрешить имя с помощью этих источников, он проверит список ретрансляторов. Один из
ретрансляторов определен для домена Fabrikam.com, так что DNS-сервер Contoso.com пошлет
рекурсивный запрос только этому серверу DNS. Если нет никаких условных ретрансляторов для
домена Fabrikam.com, сконфигурированных на сервере DNS Contoso.com, то он отправит запрос
любому ретранслятору, который сконфигурирован без каких-либо определенных параметров
www.kodges.ru
настройки домена, а затем попробует использовать корневые ссылки.
Предостережение. Обратите внимание, что DNS-сервер проверяет свои собственные зонные
файлы, прежде чем использовать ретрансляторы. Если DNS-сервер является полномочным
для данного домена, он не будет отправлять запрос условному ретранслятору.
Условная переадресация конфигурируется в окне Properties (Свойства) сервера в
административном инструменте DNS (см. рис. 3-8). С его помощью вы можете сконфигурировать
один или более контроллеров домена в качестве ретрансляторов для каждого имени домена. Если
вы конфигурируете несколько серверов DNS для имени домена, то DNS-сервер будет пытаться
использовать первый DNS-сервер в списке. Если этот сервер не отвечает в течение заданного
значения интервала тайма -ута, которое устанавливается на вкладке Forwarders (Ретрансляторы),
то сервер будет пробовать использовать следующий DNS-сервер из списка, пока не будут
запрошены все имеющиеся в списке DNS-серверы. Если никаких условных ретрансляторов,
сконфигурированных для имени домена, в списке нет, то сервер будет запрашивать серверы DNS,
определенные в опции All Other DNS Domains (Другие домены DNS).
Сокращенные зоны
Сокращенные зоны (stub zones) - это второе улучшение к службе DNS в Windows Server 2003. Они
предназначены для упрощения конфигурирования разрешения имен между несколькими
пространствами имен. Сокращенная зона подобна дополнительной зоне. При установлении
сокращенной зоны вы должны определить IP-адрес основного сервера имен для зоны. Тогда
сервер, владеющий сокращенной зоной, запрашивает зонную передачу у основного сервера имен.
Однако сокращенная зона отличается от дополнительной тем, что она содержит только записи
SOA, NS и записи хоста (А) для сервера имен домена, а не все записи зоны.
Это улучшает процесс разрешения имен без необходимости использовать дополнительные
серверы. Когда DNS-сервер сконфигурирован с сокращенной зоной, он не является полномочным
для домена. Он эффективен при поиске полномочного сервера имен для указанной зоны. С
помощью дополнительных зон DNS-сервер может найти полномочный сервер имен для зоны без
необходимости контактировать с серверами корневых ссылок. Обратите внимание, как
дополнительная зона может работать в лесу с одним деревом, т.е. с непрерывным пространством
имен (см. рис. 3-9). Без дополнительных зон в случае запроса клиента из NAmerica.Contoso.com IP-
адреса хоста в домене SAmerica.Contoso.com DNS сервер в NAmerica. Contoso.com проверяет свои
зонные файлы, кэш и ретрансляторы. Если ни один из этих источников не обеспечивает нужную
www.kodges.ru
информацию, он посылает итерационный запрос серверу корневых ссылок. В этом случае DNS
сервер в корневом домене Contoso.com должен быть сконфигурирован как корневой сервер, чтобы
DNS-сервер домена NAmerica. Contoso.com послал запрос ему. Корневой сервер проверяет свои
записи делегирования и передает IP-адрес полномочного сервера имен домена
SAmerica.Contoso.com серверу имен NAmerica. Contoso.com. Затем сервер имен NAmerica.
Contoso.com запрашивает у одного из серверов DNS домена SAmerica. Contoso.com IP-адрес
сервера, который требуется клиенту.
Если имеется сокращенная зона, DNS-сервер домена NAmerica. Contoso.com не должен
соединяться с сервером DNS корневого домена. Ему не нужно использовать свои корневые
ссылки, чтобы найти сервер имен для домена SAmerica.Contoso.com. Когда клиент делает запрос,
сервер проверяет свои зонные файлы, находит сокращенную зону и посылает итерационный
запрос любому из серверов имен домена SAmerica. Contoso.com.
Использование сокращенной зоны особенно эффективно при наличии нескольких деревьев.
Возьмем предыдущий пример, в котором лес состоит из пяти деревьев. Использование записей
делегирования в корневой зоне в этом случае не работает, потому что домены не используют
общего пространства имен. Вы можете сконфигурировать сокращенную зону для каждого домена
на серверах DNS в других доменах. Если в этом случае какой-либо запрос DNS нуждается в
информации из другого домена, DNS-сервер может использовать информацию сокращенной зоны,
чтобы немедленно соединиться с сервером имен в другом домене.
Рис. 3-9. Конфигурация DNS с одним лесом без использования сокращенной зоны
Сокращенная зона поддерживает список серверов имен для делегированных зон. Когда вы
устанавливаете делегированный поддомен, вы должны ввести IP-адреса всех серверов имен в
делегированный домен. Если этот список серверов имен изменяется, например, один из серверов
имен удален из сети, вам придется вручную обновить запись делегирования. Вы можете
использовать сокращенную зону, чтобы автоматизировать процесс обновления списка серверов
имен. Чтобы сделать это в домене Contoso.com, вы можете сконфигурировать сокращенную зону
для домена NAmerica.Contoso.com на серверах DNS домена Contoso.com. Вы также можете
сконфигурировать запись делегирования в зоне Contoso.com, указывающую на сокращенную зону.
Когда записи сервера имен изменятся в дочернем домене, они будут автоматически обновлены в
сокращенной зоне. Когда серверы DNS Contoso.com будут использовать запись делегирования,
они получат ссылку на сокращенную зону, так что у них всегда будет доступ к обновленной
информации сервера имен.
Чтобы сконфигурировать сокращенную зону, используйте New Zone Wizard (Мастер новой зоны)
в инструменте администрирования DNS. Щелкните правой кнопкой мыши на Forward Lookup
Zones (Прямая зона просмотра) или на Reverse Lookup Zones (Обратная зона просмотра)) и
выберите New Zone (Новая зона). Появится опция создания сокращенной зоны (см. рис. 3-10).
www.kodges.ru
Рис. 3-10. Создание новой сокращенной зоны
• То All DNS Servers In The Active Directory Domain domainname (Ha все серверы DNS в
домене Active Directory). Информация хранится в разделе DomamDnsZones, откуда
копируется на все серверы DNS, выполняющиеся на контроллерах домена. Это
конфигурация, принятая по умолчанию для интегрированной зоны Active Directory,
созданной в процессе обновления контроллера домена.
• То All Domain Controllers In The Active Directory Domain domainname (На все
контроллеры домена в домене Active Directory). Информация хранится в разделе домена
www.kodges.ru
каталога, откуда копируется на все контроллеры домена. Различие между этой опцией и
предыдущей состоит в том, что в этом случае все контроллеры домена получат
информацию, в то время как раздел DomamDnsZones реплицируется только на
контроллеры домена, являющиеся серверами DNS.
• То All Domain Controllers Specified In The Scope Of The Following Application Directory
Partition (На все контроллеры домена в пределах следующего раздела приложений
каталога). Эта опция доступна только в том случае, если вы создаете дополнительный
раздел приложений каталога с его собственной конфигурацией репликации. Информация
DNS будет копироваться на все контроллеры домена, которые имеют реплику этого
раздела.
Примечание. Раздел приложений каталога для DNS создается только в том случае, если выбрана
установка DNS при назначении первого контроллера домена или леса. Если вы хотите
воспользоваться преимуществами раздела приложений каталога для DNS после того, как
обновили контроллер домена, необходимо вручную создать раздел перед его использованием. Для
создания раздела применяется инструмент администрирования DNS или инструмент командной
строки DNSCMD. При использовании инструмента администрирования DNS щелкните правой
кнопкой мыши на имени сервера DNS и выберите Create Default Application Directory Partitions
(Создание заданных по умолчанию разделов приложений каталога). При использовании
инструмента DNSCMD откройте командную строку и напечатайте dnscmd DN S
servername/CreateBuiltin-DirectoryPartitions /forest. В результате будет создан раздел
ForestDnsZones. Чтобы создать раздел DomainDnsZones, используйте «/domain» в качестве
последнего параметра в команде. Поскольку эта команда изменяет раздел конфигурации
каталога в Active Directory, вы должны входить в систему как член группы Enterprise Admins
(Администраторы предприятия).
Резюме
Служба DNS является необходимой сетевой службой для сетей Windows Server 2003. Без нее
практически любой вход в систему и усилия по поиску расположения ресурсов потерпят неудачу в
Windows Server 2003. Как сетевой администратор вы должны стать экспертом по службе DNS. В
данной главе был дан краткий обзор того, как работает DNS в качестве сетевой службы в любой
среде, показана специфика интеграции DNS с Active Directory. Наиболее важным компонентом
интеграции является процесс поиска контроллера домена, при котором контроллеры домена в
Active Directory регистрируют записи SRV в DNS, а затем клиенты используют эти записи для
поиска контроллеров домена. Кроме того, было приведено описание некоторых улучшений DNS в
Windows Server 2003.
www.kodges.ru
Глава 4. Репликация Active Directory и сайты
Каждая компания, реализующая службу каталога Active Directory Microsoft Windows Server 2003,
развертывает несколько контроллеров домена. Они могут располагаться в одном центре обработки
данных в главном офисе компании и связываться высокоскоростными сетевыми соединениями.
Они могут быть распределены по всему миру и использовать для связи глобальные сети (WAN).
Некоторые компании имеют единственный домен в лесу, другие компании - много доменов в
нескольких доменных деревьях в общем лесу.
Независимо от того, сколько контроллеров домена имеет компания и где они расположены,
контроллеры домена должны реплицировать информацию друг у друга. Если они не будут делать
этого, каталоги на контроллерах станут противоречивыми. Например, если на одном контроллере
домена будет создан пользователь и эта информация не скопируется на все другие контроллеры
домена, то этот пользователь сможет входить только на один контроллер домена.
Служба Active Directory использует модель репликации с несколькими хозяевами, в которой
изменения в каталоге могут быть сделаны на любом контроллере домена и скопированы на другие
контроллеры. В данной главе описывается процесс репликации в Active Directory. Глава
рассказывает о том, как работает репликация, как создается топология репликации, и как
контроллеры домена копируют информацию друг у друга.
www.kodges.ru
контроллеры домена, содержащие реплику раздела, не всегда имеют идентичную информацию.
Например, если новый пользователь создан на одном из контроллеров домена, другие
контроллеры домена не получат эту информацию до следующего цикла репликации. Процесс
репликации всегда сходится, т.е. если система поддерживается в стационарном состоянии, без
внесения новых изменений к каталогу в течение некоторого времени, то все
контроллеры домена достигнут единообразного состояния и будут иметь идентичную информацию.
При репликации используется также процесс хранения и ретрансляции (store and forward). Это означает, что
контроллер домена может получать изменение к каталогу, а затем отправлять его на другие контроллеры
домена. Это выгодно в тех случаях, когда несколько контроллеров домена, находящихся в разных офисах
компании, соединены медленными WAN-соединениями. Изменение к каталогу может реплицироваться с
контроллера домена одного из сайтов на единственный контроллер домена второго сайта. Контроллер
домена, который получает обновление, может затем переправить изменения на другие контроллеры домена
во втором сайте. Контроллер домена, на котором были сделаны изменения каталога, не должен копировать
изменения непосредственно на все контроллеры домена, как это имеет место в модели репликации с
единственным хозяином.
www.kodges.ru
выключить сжатие, установите значение атрибута Options (Опции) равным четырем; чтобы
включить уведомления, установите это значение равным единице.
• Улучшенная генерация топологии между сайтами. В системе Windows 2000 размер организации
имел ограничение в 100 сайтов в лесу. Это ограничение связано со временем, которое требуется
службе КСС (Knowledge Consistency Checker — модуль проверки целостности сведений), для того
чтобы вычислить топологию маршрутизации для такого количества сайтов. Это ограничение в
Active Directory Windows Server 2003 снято.
www.kodges.ru
начальное уведомление партнера по репликации) через системный реестр (обратитесь к
соответствующим разделам документа Resource Kits за подробностями) или через объект
Partition (Раздел), если ваш лес работает на функциональном уровне Windows Server 2003.
Но в большинстве случаев этого делать не придется.
•
Репликация между сайтами
Основная цель репликации между сайтами состоит в том, чтобы уменьшить нагрузку на сеть,
которая происходит из-за трафика репликации. Трафик репликации между сайтами
характеризуется следующим.
• Репликация инициируется согласно графику, а не тогда, когда сделаны изменения. Чтобы
управлять репликацией между сайтами, нужно сконфигурировать канал связи,
соединяющий эти сайты. Одной из опций является время, когда будут происходить
репликации. Другая опция устанавливает интервал, показывающий то, как часто будут
происходить репликации в течение намеченного времени. Если пропускная способность
сети, соединяющей офисы компании, ограничена, репликации может быть намечена на
нерабочие часы.
• Трафик репликации сжимается приблизительно на 10 - 15 процентов от первоначального
размера, если он составляет свыше 32 Кб. Чтобы сохранить пропускную способность сети,
серверы-плацдармы каждого сайта сжимают трафик за счет дополнительного
использования процессора.
• Для предупреждения контроллеров домена другого сайта об изменениях каталога
уведомления не используются. Вместо этого время репликации определяется по
расписанию.
• Подключения, которые выполняют репликацию между сайтами, могут использовать
протокол интернета (IP) или протокол электронной почты (SMTP). Протокол, который
используется при подключении, определяется пропускной способностью и надежностью
сети, которая связывает разные офисы компании.
• Трафик репликации посылается не партнерам по репликации, а через серверы-плацдармы.
Изменения каталога сайта реплицируются на единственный сервер-плацдарм (один на
каждый раздел каталога) этого сайта, а затем — на сервер-плацдарм другого сайта. Далее
изменения реплицируются с сервера-плацдарма второго сайта на все контроллеры домена
этого сайта.
• Вы можете легко изменять поток репликации между сайтами, изменяя практически
каждый компонент репликации.
Планирование. Ключевым моментом в проектировании Active Directory является планирование
количества сайтов и их месторасположения, конфигурирование подключений между сайтами,
которые должны оптимизировать пропускную способность сети при уменьшении времени
ожидания репликации. Опции конфигурирования подключений между сайтами обсуждаются
далее в этой главе, а проблемы, связанные с проектированием структуры сайта, — в главе 5.
www.kodges.ru
которое потребуется для копирования изменений, сделанных на контроллере домена сайта-
источника, на сервер-плацдарм того же сайта. Как только информация достигнет сервера-
плацдарма сайта-источника, время, которое потребуется информации для попадания на сайт
адресата, определяется расписанием связи этого сайта и интервалом между репликациями. По
умолчанию репликации выполняются каждые 3 часа в течение дня. Если это значение не
изменено, то эти 3 часа можно добавить ко времени ожидания репликации. Когда информация
достигает сервера-плацдарма на сайте адресата, то к общему времени ожидания нужно добавить
еще и время ожидания репликации внутри сайта для сайта адресата. В некоторых случаях
полученное время ожидания может быть достаточно велико. Чтобы уменьшить его, необходимо
сократить интервал репликаций между сайтами до 15 минут (минимальное значение).
Управление временем ожидания репликаций предполагает балансирование между потребностью в
коротком времени ожидания и ограничением пропускной способности сети. Если требуется очень
короткое время ожидания, все контроллеры домена должны быть помещены в один и тот же сайт,
в этом случае оно будет равняться примерно 45 с для всех контроллеров домена. Однако если
офисы вашей компании соединены WAN-связями с ограниченной пропускной способностью, вам
потребуется несколько сайтов, и время ожидания репликаций увеличится.
Срочная репликация
Иногда время ожидания репликации может оказаться слишком большим, например, когда в
каталоге меняется атрибут, связанный с защитой. Для этих ситуаций Active Directory использует
срочную репликацию (urgent replication), при которой контроллер домена передает изменения
своим партнерам по репликации немедленно. Любой контроллер домена, получивший срочное
обновление, отправит изменение немедленно. Таким образом, все контроллеры домена в сайте
обновят информацию в течение нескольких секунд. Срочные репликации могут быть вызваны
следующими типами изменений.
• Изменение политики блокировки учетных записей для домена.
• Изменение политики паролей домена.
• Перемещение роли хозяина относительного идентификатора (RID) на новый контроллер
домена.
• Изменение безопасности локальных средств защиты (LSA - Local Security Authority),
например, когда изменяется пароль компьютера контроллера домена.
По умолчанию срочные обновления применяются только к внутренней репликации и не
применяются к репликации между сайтами. Политика применения срочных обновлений может
быть изменена путем разрешения уведомлений для репликации между сайтами.
Пользовательские изменения пароля реплицируются по другой модели. Когда пользователь
изменяет пароль на контроллере домена, это
изменение немедленно копируется прямо в PDC-эмулятор. Эта репликация пересекает границы
сайта и не использует серверы-плацдармы сайтов. Вместо этого контроллер домена, на котором
было сделано изменение, для обновления пароля использует RPC-подключение к PDC-эму-лятору.
Затем PDC-эмулятор обновляет все другие контроллеры домена через нормальный процесс
репликации. Если пользователь попытается войти на контроллер домена, который еще не получил
новый пароль, контроллер домена, прежде чем отклонить вход в систему, проверит PDC-эмулятор,
на предмет наличия обновлений, касающихся изменения пароля этого пользователя.
www.kodges.ru
начинает создавать топологию репликации, которая является и эффективной, и терпимой к
ошибкам. По мере добавления к сайту других контроллеров домена или новых сайтов КСС
использует информацию о серверах, сайтах, связях сайта и расписаниях для создания оптимальной
топологии репликации. Служба КСС динамически анализирует изменения или отказы,
возникающие в пределах топологии репликации. Если один из контроллеров домена временно
находится в автономном режиме, то КСС пересматривает топологию репликации, чтобы обойти
неработающий контроллер домена. По умолчанию КСС каждого контроллера домена повторно
вычисляет топологию репликации каждые 15 минут. Имеется возможность в любое время
повторно вычислить топологию репликации с помощью инструмента администрирования Active
Directory Sites And Services (Сайты и службы Active Directory). Найдя сервер, на котором вы
хотите проверить топологию репликации, и щелкнув правой кнопкой мыши на NTDS Settings
(Параметры настройки NTDS) в контейнере сервера, выберите опцию All Tasks (Все задачи), затем
выберите Check Replication Topology (Проверить топологию репликации).
Объекты связи
При создании топологии репликации служба КСС создает ряд объектов связи (connection object),
которые хранятся в разделе конфигурации каталога Active Directory. Объекты связи являются
прямыми логическими соединениями между контроллерами домена, которые используются для
репликации информации каталога. Как уже говорилось, КСС создает топологию репликации,
которая является эффективной и терпимой к ошибкам. КСС строит столько объектов связи,
сколько для этого требуется.
Объекты связи всегда создаются как односторонние pull («тянущие») соединения между двумя
контроллерами домена, потому что нормальный процесс репликации является pull-операцией, в
которой контроллер-адресат запрашивает данные у контроллера-отправителя информации. В
большинстве случаев КСС строит два односторонних соединения между контроллерами домена
так, чтобы информация могла реплицироваться в обоих направлениях.
Примечание. С помощью инструмента Replication Monitor (Монитор репликации) вы можете
создать push («толкающую») репликацию для раздела каталога. Нормальный процесс репликации
всегда является pull-операцией. (Смотрите детали, касающиеся установки и использования
монитора репликации в разделе «Мониторинг и поиск неисправностей при репликации» далее в
этой главе.)
В большинстве случаев объекты связи, автоматически созданные КСС, оптимизированы, и вам не
нужно делать никаких изменений. Однако, в некоторых случаях вы, возможно, захотите их
изменить. Например, вы пожелаете, чтобы контроллеры домена хозяев операций всегда были
прямыми партнерами по репликации тех контроллеров домена, которых вы назначили резервными
хозяевами операций на случай отказа основного хозяина. Создавая соглашение о подключении, вы
можете гарантировать оптимальную топологию репликации для некоторого определенного набора
контроллеров домена.
Вы можете изменить заданные по умолчанию объекты связи двумя способами: изменяя некоторые
параметры настройки на объектах связи, созданных КСС, и добавляя новые объекты связи.
www.kodges.ru
Рис. 4-1. Конфигурирование существующего объекта связи
www.kodges.ru
Рис. 4-2. Простое кольцо репликации
КСС создает кольцо репликации (см. рис. 4-2), в котором каждый контроллер домена
сконфигурирован с двумя входящими связями репликации. Если одна из связей недоступна, то
обновление может передаваться по другой связи. Кроме того, каждый контроллер домена
сконфигурирован как контроллер-источник для двух других контроллеров домена. Это создает
избыточное кольцо для каждого контроллера домена.
По мере увеличения количества контроллеров домена с репликой определенного раздела
становится важным второй принцип создания свя-
зей. Служба КСС всегда создает топологию репликации, в которой каждый контроллер домена в
сайте удален от любого другого контроллера домена не более чем на три ретрансляции (hop).
Когда количество контроллеров домена в сайте становится больше семи, создаются
дополнительные объекты связи для уменьшения потенциального числа ретрансляций до трех или
меньшего количества. Например, сайт на рисунке 4-3 имеет девять контроллеров домена. Он будет
иметь топологию репликации, включающую, по крайней мере, одну дополнительную связь.
Кольца репликации основываются на разделах каталога. Это означает, что КСС вычисляет кольцо
репликации для каждого раздела каталога. Например, организация имеет несколько доменов в
единственном сайте и раздел приложений каталога, который копируется на несколько
контроллеров домена в сайте. В этом случае конфигурация могла быть задана так, как показано на
рисунке 4-4. В предложенном сценарии (см. рис. 4-4) возможно создание колец репликации,
представленных в табл. 4-1.
www.kodges.ru
Раздел каталога домена DC5.Fabrikam.com, DC6.Fabrikam.com.
Fabrikam.com
Глобальный каталог (GC) DCl.Contoso.com, DC4.Contoso.com,
DC5.Fabrikam.com.
Раздел приложений каталога DC2.Contoso.com, DC6. Fabrikam.com.1.
AppPartitionl
www.kodges.ru
Рис. 4-5. Использование монитора репликации для просмотра раздела репликации
www.kodges.ru
Рис. 4-6. Отдельный объект связи, использующийся для репликации нескольких разделов
каталога
На рисунке 4-8 показан более сложный пример создания GC и его репликации. В этом случае
сконфигурирован объект связи, направленный от контроллера домена каждого домена на каждый
GC-сервер. DCl.Contoso.com имеет входящий объект связи от контроллеров DC2.Contoso.com,
DC4.Fabrikam.com и DC6.NWTraders.com. Этот объект связи используется для создания
глобального каталога на DCl.Contoso.com. Все другие GC-серверы имеют подобный набор
www.kodges.ru
объектов связи. Кроме того, создано также отдельное кольцо для репликации раздела GC между
всеми GC серверами.
Подобный подход используется также при определении топологии репликации между сайтами, за
исключением того, что один контроллер домена в каждом сайте ответственен за разработку
топологии между сайтами. КСС одного из контроллеров домена в сайте обозначается как
генератор межсайтовой топологии (ISTG - Inter-Site Topology Generator) для сайта. Имеется
только один ISTG-контроллер на сайте, независимо от того, сколько доменов или других разделов
каталога находится в сайте. Контроллер ISTG ответственен за вычисление идеальной топологии
репликации для всего сайта. Этот процесс состоит из двух частей.
• Идентификация серверов-плацдармов (bridgehead server) для каждого раздела каталога,
имеющегося в сайте. При репликации между сайтами информация всегда посылается с
сервера-плацдарма одного сайта на сервер-плацдарм другого. Это означает, что по сетевой
связи между сайтами информация реплицируется только однажды.
• Создание объектов связи между серверами-плацдармами для гарантии репликации между
сайтами. Поскольку репликация конфигурируется между серверами-плацдармами, то в
пределах сайта отсутствуют избыточные объекты связи.
При добавлении к лесу нового сайта ISTG в каждом сайте определяет, какой раздел каталога в нем
имеется. Затем ISTG вычисляет новые объекты связи, которые потребуются для репликации
нужной информации с нового сайта. Кроме того, ISTG назначает один контроллер домена
сервером-плацдармом для каждого раздела каталога. ISTG создает необходимое соглашение связи
в своем каталоге, и эта информация копируется на сервер-плацдарм. Затем сервер-плацдарм
www.kodges.ru
создает подключение для репликации с сервером-плацдармом удаленного сайта, и начинается
репликация.
На рисунке 4-9 показан пример топологии репликации, созданной между сайтами. В этом примере
лес содержит два сайта и два домена с несколькими контроллерами домена в каждом сайте.
Имеется также, по крайней мере, один GC-сервер в каждом сайте. Это означает, что каждый сайт
содержит раздел каталога для каждого из доменов, раздел GC, а также разделы схемы каталога и
конфигурации каталога. В каждом сайте требуется назначить по два сервера-плацдарма, потому
что каждый из этих разделов должен копироваться между сайтами. Один из серверов-плацдармов
в обоих сайтах должен быть контроллером домена в домене Contoso.com. Другой сервер-плацдарм
обоих сайтов должен быть контроллером домена в домене Fabrikam.com. В примере, показанном
на рисунке 4-9, контроллеры DCl.Contoso.com и DC6.Fabrikam.com являются также GC-серверами.
Это означает, что они станут серверами-плацдармами при репликации GC-информации между
сайтами. Поскольку раздел схемы и раздел конфигурации каталога являются общими для всех
контроллеров домена, то для репликации этих разделов может использоваться один из
существующих объектов связи.
Примечание. Приведенное обсуждение топологии репликации основано на заданном по
умолчанию поведении для контроллеров домена Active Directory. Администраторы могут
изменять это поведение, особенно для репликации между сайтами. Эти вопросы будут
обсуждаться далее в этой главе.
Процесс репликации
Выше обсуждались детали создания топологии репликации в Active Directory. В данном разделе
рассмотрим репликацию с другой точки зрения. Обратим внимание на то, как на самом деле
передается модифицированная информация между двумя контроллерами домена, как контроллеры
домена узнают о том, какую информацию они должны копировать партнерам по репликации,
настроенным службой КСС.
Типы обновлений
Существуют два типа обновлений информации Active Directory, касающейся определенного
контроллера домена. Первый тип обновлений - исходное обновление (originating update). Исходное
обновление выполняется при добавлении, изменении или удалении объекта на контроллере
домена. Второй тип обновлений - реплицируемое обновление (replicated update). Репликация
выполняется тогда, когда изменение, сделанное на одном контроллере домена, копируется на
другой контроллер домена. По определению исходное обновление, касающееся любого
конкретного изменения, только одно, оно выполняется на том контроллере домена, где было
www.kodges.ru
сделано. Затем исходное обновление копируется на все контроллеры домена, которые имеют
реплику раздела Active Directory, затронутого обновлением.
Исходные обновления Active Directory происходят в следующих случаях:
• к Active Directory добавлен новый объект;
• из Active Directory удален существующий объект;
• атрибуты существующего объекта изменены. Эта модификация может включать
добавление нового значения атрибуту, удаление значения атрибута или изменение
существующего значения;
• объект Active Directory перемещен в новый родительский контейнер. Если изменяется имя
родительского контейнера, то каждый объект контейнера перемещается в
переименованный контейнер.
Все исходные обновления Active Directory являются элементарными операциями. Это означает,
что в процессе передачи модификация должна быть передана полностью, как целая транзакция, и
никакая ее часть не передается отдельно от других частей.
Репликация изменений
После передачи исходного обновления изменение должно реплицироваться на другие
контроллеры домена, которые содержат реплику этого раздела. В пределах сайта контроллер
домена, на котором произошло исходное обновление, ждет 15 с перед началом копирования
изменений своим прямым партнерам по репликации. Это ожидание предназначено для того, чтобы
несколько модификаций к базе данных можно было реплицировать одновременно, что
увеличивает эффективность репликации. Между сайтами исходное обновление будет
копироваться партнерам по репликации в соответствии с графиком, сконфигурированным на
связях сайта.
Для репликации изменений информации каталога контроллерам домена требуется механизм для
управления потоком репликации. Для оптимизации репликации Active Directory следует
пересылать только те изменения, которые должны реплицироваться между двумя контроллерами
домена. Контроллеры домена должны уметь определять эти изменения, если таковые вообще
имеются, а затем копировать только ту часть изменений, которая требуется. Для управления
репликацией каталога в Active Directory используются порядковые номера обновлений (USN -
update sequence number), значения уровня (high-watermark value), векторы новизны (up-to-dateness
vectors) и отметки об изменениях (change stamps). Эти компоненты обсуждаются далее.
www.kodges.ru
контроллеры домена как часть репликации атрибутов. Когда на сервере изменяется номер
телефона пользователя, то USN этого изменения назначается равным исходному значению USN.
Когда измененный номер телефона копируется на другой контроллер домена, исходный USN
посылается вместе с модификацией, и это значение не изменяется на контроллере домена
адресата. Локальный USN и атрибут uSNChanged будут изменены на контроллере домена
адресата, но исходный USN не изменится до тех пор, пока сам атрибут не будет снова
модифицирован. Исходный USN используется для демпфирования распространения, которое
рассматривается далее в этой главе.
Значения уровней
Значения уровней (high-watermark values) используются для управления тем, какая информация
реплицируется между контроллерами домена. Каждый контроллер домена поддерживает свой
собственный набор уровней для каждого из своих прямых партнеров по репликации. Уровень -это
последнее значение uSNChanged, которое контроллер домена получил от определенного партнера
по репликации. Когда контроллер домена посылает модификацию партнеру по репликации,
значение uSNChanged посылается вместе с модификацией. Контроллер домена адресата сохраняет
его как значение уровня для партнера по репликации.
Значения уровней используются во время процесса репликации. Когда один контроллер домена
запрашивает обновление у другого контроллера домена, то контроллер-адресат посылает свое
значение уровня контроллеру-отправителю. Контроллер-отправитель использует значение уровня
контроллера-адресата для фильтрации всех потенциальных обновлений и посылает только те
изменения, которые имеют более высокое значение uSNChanged.
Примечание. Значение уровня поддерживается отдельно для каждого раздела каталога на
контроллере домена и для каждого прямого партнера по репликации.
www.kodges.ru
устраняет такую возможность.
www.kodges.ru
конфликта репликации. Отметка об изменениях состоит из трех компонентов.
• Номер версии. Он используется для отслеживания количества изменений, которые были
сделаны к атрибуту объекта. Когда объект создается, номер версии у всех атрибутов
устанавливается на 1, даже если поле атрибута оставлено пустым. Когда происходит
назначение «пустого» атрибута, значение номера версии остается равным 1. Однако когда
атрибут обновляется после начального изменения, номер версии каждый раз
увеличивается на единицу.
• Время последней записи. Оно используется для отслеживания времени, когда произошла
последняя модификация атрибута. Значение времени регистрируется на том сервере, где
атрибут был модифицирован, и копируется вместе с объектом на другие контроллеры
домена.
• Исходный сервер (Originating server). Этот компонент представляет собой GUID сервера, на
котором была применена последняя исходная модификация атрибута.
Эти три компонента формируют отметку об изменениях для каждой модификации атрибута. Когда атрибут
копируется на другой контроллер домена, эта информация копируется вместе с атрибутом. Если один и тот
же атрибут изменен на двух различных контроллерах домена одновременно, то отметка об изменениях
используется для определения того, какой атрибут будет принят в качестве заключительного изменения. В
случае конфликта решение относительно заключительного изменения делается в следующем порядке.
1. Номер версии. Всегда принимается изменение с самым высоким номером версии. Если изменение
на одном контроллере домена имеет номер версии 3, а изменение на другом контроллере домена -
номер версии 4, будет всегда приниматься изменение с номером версии 4.
2. Время последней записи. Если номера версий идентичны, то будет принято изменение с самым
недавним временем последней записи.
3. GXJID сервера. Если номера версий и времена последней записи идентичны, то используется
GUID базы данных сервера для определения того, какое изменение должно быть принято. Будет
принято изменение, прибывающее с сервера, имеющего более высокий GUID. Идентификаторы
GUID назначаются при добавлении контроллера домена к домену, a GUID назначается произвольно.
Практический опыт. Конфликты репликации
Некоторые сетевые администраторы, похоже, очень озабочены возможностью
возникновения конфликтов репликации и потенциальной потерей или перезаписью
данных. В большинстве компаний вероятность их возникновения невелика. Во-
первых, конфликты репликации касаются отдельных атрибутов. (Если номер
телефона пользователя изменяется на одном контроллере домена в то же самое
время, когда адрес пользователя изменяется на другом контроллере домена,
никакой конфликт не возникает.) Во-вторых, большинство компаний имеют
централизованный отдел, где делаются все изменения к учетным записям
пользователя, так что вероятность того, что два человека сделают различные
изменения к одному и тому же атрибуту одновременно, очень мала. Если
администрирование учетных записей пользователя делегировано на уровень
отдела, то каждый отдел делает изменения только к учетным записям пользователя
своего отдела. Таким образом, в большинстве компаний, использующих
структурированный способ работы с объектами Active Directory, конфликты
репликации происходят очень редко.
Служба Active Directory способна разрешать конфликты, которые создаются, когда один и тот же
атрибут объекта изменяется одновременно на двух контроллерах домена. Имеются два других
типа конфликтов, которые могут возникать.
• Добавление или изменение объекта на одном контроллере домена в то же самое
время, когда контейнерный объект этого объекта удаляется на другом контроллере
домена. Рассмотрим пример, в котором на одном контроллере домена был добавлен новый
пользователь к организационной единице (OU) Accounting (Бухгалтерия). В это же время
на другом контроллере домена другой администратор удаляет OU Accounting. В этом
случае объект, который был добавлен к удаленному контейнеру, будет перемещен в
контейнер Active Directory с именем LostAndFound.
• Добавление объектов с одним и тем же относительным отличительным именем
(relative distinguished name) в один и тот же контейнер. Такой конфликт возникает,
когда администратор на одном контроллере домена создает пользовательский объект с
относительным отличительным именем BDiaz в OU Accounting, в то же самое время на
другом контроллере домена пользователь, имеющий такое же относительное
www.kodges.ru
отличительное имя, перемещается в ту же самую OU или создается в той же самой OU. В
этом случае для определения того, какой объект будет сохранен, а какой переименован, в
модели разрешения конфликтов будет использоваться GUID, назначенный
модифицируемому каталогу. Объект, имеющий более высокий GUID, будет сохранен, а
объект с более низким GUID переименован на BDiaz#CNF:userGUID, где значок номера
(#) является символом дублирования. Если второй пользовательский объект потребуется,
то его можно будет переименовать.
www.kodges.ru
Создание дополнительных сайтов
Когда устанавливается Active Directory, создается единственный сайт с именем Default-First-Site-
Name (в дальнейшем сайт можно переименовать). Если не создается дополнительных сайтов, то
все последующие контроллеры домена будут добавляться к этому сайту по мере их установки.
Однако если ваша компания расположена в нескольких местах с ограниченной пропускной
способностью между ними, то вы наверняка захотите создать дополнительные сайты.
Дополнительные сайты создаются с помощью инструмента администрирования Active Directory
Sites And Services (Сайты и службы Active Directory). Чтобы создать новый сайт, щелкните правой
кнопкой мыши на контейнере Sites (Сайты), затем выберите New Site (Новый сайт). В списке Link
Name (Имя связи) вы должны выбрать ту связь сайта, которая будет использоваться для
соединения этого сайта с другими сайтами. Каждый сайт связан с одной или более подсетями IP в
Active Directory. Создайте дополнительные подсети в контейнере Subnets (Подсети) в инструменте
Active Directory Sites And Services и свяжите подсети с новым сайтом. Каждый сайт должен иметь,
по крайней мере, один контроллер домена и GC-сервер. Чтобы переместить существующий
контроллер домена в сайт, вы можете щелкнуть правой кнопкой мыши на объекте контроллера
домена в его текущем контейнере Servers (Серверы) и выбрать Move (Переместить). Затем вам
будет предложен выбор сайта, в который вы хотите переместить контроллер домена. Если вы
устанавливаете новый контроллер домена, то он будет автоматически расположен в том сайте, в
котором подсеть IP соответствует IP-адресу контроллера домена. Возможно создание сайта без
контроллеров домена, но этого делать не следует.
Связи сайта
Соединения Active Directory, которые связывают сайты вместе, называются связями сайта (Site
Links). При инсталляции Active Directory создается единственная связь сайта с именем
DEFAULTIPSITELINK. Если вы не создадите никаких дополнительных связей сайта прежде, чем
создадите дополнительные сайты, то каждый сайт включается в эту заданную по умолчанию связь
сайта. Если WAN-связи между офисами вашей компании одинаковы по пропускной способности и
стоимости, вы можете просто принять это заданное по умолчанию поведение. Если все сайты
соединены одной связью, трафик репликации между ними будет иметь одинаковые свойства. При
изменениях в связи сайта конфигурация репликации для всех сайтов будет изменена. Если вы
хотите иметь возможность по-разному управлять репликацией между сайтами, вы должны создать
дополнительные связи сайта и назначить им соответствующие сайты.
Создание связей сайта не заменяет работу ISTG. При этом происходит лишь создание
возможностей для работы ISTG. Как только связь сайта установлена, ISTG будет использовать ее
для создания необходимых объектов связи, предназначенных для репликации всех разделов Active
Directory между всеми сайтами.
Ниже приведены опции конфигурации для всех связей сайта.
• Стоимость (Cost) - это назначенное администратором значение, которое определяет
относительную стоимость связи сайта. Стоимость обычно отражает скорость сетевой
передачи и расходы, связанные с ее использованием. Стоимость становится важным
параметром, если в организации имеются избыточные связи сайта, т.е. более одного пути
для репликации между двумя сайтами. Во всех случаях в качестве пути репликации
выбирается маршрут самой низкой стоимости.
• График репликации (Replication schedule) — определяет, в какое время в течение дня
связь сайта доступна для репликации. Заданный по умолчанию график репликации
разрешает репликации в течение 24 часов в день. Однако если пропускная способность
пути к сайту ограничена, репликация может происходить только в нерабочие часы.
• Интервал репликации (Replication interval) - определяет интервалы времени, через
которые серверы-плацдармы проверяют появление модификаций каталога на серверах-
плацдармах других сайтов. По умолчанию интервал репликации для связей сайта
установлен на 180 минут. Интервал репликации применяется только в соответствии с
графиком репликации. Если график репликации сконфигурирован так, чтобы позволять
репликации с 22:00 до 5:00 по умолчанию, то серверы-плацдармы проверяют модификации
через каждые 3 часа в этом промежутке времени.
• Транспортные протоколы репликации (Replication transports). Для передачи
репликации связь сайта может использовать или RPC по IP, или SMTP. Дополнительную
www.kodges.ru
информацию смотрите в разделе «Протоколы транспортировки репликации» далее в этой
главе. Эти опции обеспечивают существенную гибкость в конфигурировании репликации
между сайтами. Однако существуют также некоторые ошибки, которых следует избегать.
Чтобы понять, как эти опции работают вместе, рассмотрите сеть компании, показанную на
рисунке 4-11.
В Active Directory Windows Server 2003 все связи сайта считаются транзитивными (transitive) по
умолчанию. Как показано на рисунке 4-11, Sitel имеет связи с сайтами Site2 и Site4, a Site2 имеет
связь с сайтами Site3 и Site5. Из-за транзитивной природы связей сайта это означает, что Sitel
может также реплицировать информацию напрямую с сайтами Site3 и Site5.
Стоимость связей сайта определяет путь, по которому будет происходить трафик репликации по
сети. Когда КСС создает топологию маршрутизации, он использует накопленную информацию о
стоимости всех связей сайта для вычисления оптимальной маршрутизации. В примере,
показанном на рисунке 4-11, есть два возможных маршрута между сайтами Sitel и Site5: первый
маршрут — через Site2, второй маршрут — через Site4. Стоимость передачи через Site2 - 300 (100
+ 200), стоимость передачи через Site4 — 700 (500 + 200). Это означает, что весь трафик
репликации будет направляться через Site 2, если это подключение функционирует.
Когда трафик репликации проходит по нескольким связям сайта, графики связей сайта и
интервалы репликации объединяются для определения эффективного окна репликации и
интервала. Например, эффективная репликация между сайтами Site1 и Site3 будет происходить
только с 24:00 до 4:00 (это время перекрытия графиков) каждые 60 минут (интервал репликации
для связи Site2-Site3).
Примечание. Если графики связей сайта не перекрываются, то между несколькими сайтами
репликация все-таки возможна. Например, если связь Sitel-Site2 доступна с 2:00 до 6:00, а связь
Site2-Site3 доступна от 22:00 до 1:00, изменения каталога от сайта Sitel к сайту Site3 смогут
передаваться. Изменения будут посланы от сайта Sitel к Site2, а затем от сайта Site2 к сайту
Site3. Однако в этом случае время ожидания репликации составило бы почти целый день, потому
что изменения, реплицированные на Site2 в 2:00, не будут реплицироваться на Site3 до 22:00.
www.kodges.ru
связанных с высокоскоростной базовой сетью, и несколько меньших сайтов, которые соединяются
с каждым крупным центром через медленные соединения. В этих случаях мосты связей сайта
можно использовать для более эффективного управления потоком трафика репликации.
Дополнительная информация. В главе 5 приводится подробная информация о том, когда и
как следует использовать мосты связей сайта.
При создании моста связей вы должны определить, какая связь сайта является частью моста.
Любые связи сайта, которые вы добавляете к мосту связей сайта, рассматриваются по отношению
друг к другу как транзитивные; связи сайта, не включенные в мост связей сайта, транзитивными
не являются. В примере, рассмотренном выше, мост связей сайта можно создать для связей,
соединяющих Site1, Site2, Site4 и Site5. Тогда все эти связи сайтов считались бы транзитивными,
что означает, что сервер-плацдарм сайта Sitel мог бы напрямую обмениваться репликами с
сервером-плацдармом сайта Site5. Но так как связь от сайта Site2 к сайту Site3 не включена в мост
связей, она не является транзитивной. Трафик репликации от сайта Site3 направляется к сайту
Site2, а оттуда к другим сайтам.
Чтобы выключить транзитивные связи сайта, очистите опцию Bridge All Site Links (Все сетевые
связи объединены в мост) на вкладке General (Общие) окна IP-Properties (Свойства IP). Объект IP
расположен в контейнере Inter-Site Transports (Средства передачи между сайтами) в инструменте
администрирования Active Directory Sites And Services. Будьте осторожны, выполняя это действие,
поскольку теперь вы должны будете сконфигурировать мосты связей сайта для всех сайтов, если
захотите установить транзитивные связи сайта.
www.kodges.ru
Конфигурирование серверов-плацдармов
Как уже говорилось выше, репликация между сайтами выполняется через серверы-плацдармы. По
умолчанию генератор межсайтовой топологии (ISTG - Inter-Site Topology Generator)
автоматически идентифицирует сервер-плацдарм при вычислении топологии репликации между
сайтами. Чтобы узнать, какие контроллеры домена используются в качестве серверов-плацдармов,
можно использовать Replication Monitor
(Монитор репликации). Щелкните правой кнопкой мыши на имени сервера, который
контролируется монитором репликации, и выберите Show Bridgehead Servers (Показать серверы-
плацдармы). Вы можете выбрать серверы-плацдармы: только для сайта, которому принадлежит
данный сервер, или для всего предприятия. Вы можете также просмотреть серверы-плацдармы
через инструмент Repadmin. Откройте окно с командной строкой и напечатайте repadmin
/bridgeheads.
В некоторых случаях необходимо управлять тем, какие контроллеры домена будут использоваться
в качестве серверов-плацдармов. Работа сервера-плацдарма может добавлять существенную
нагрузку на контроллер домена, если имеется много изменений информации каталога и
установлено частое проведение репликации. Для конфигурирования серверов-плацдармов нужно
получить доступ к объектам в инструменте администрирования Active Directory Sites And Services,
щелкнуть правой кнопкой мыши на имени сервера, а затем выбрать Properties (Свойства) (см. рис.
4-12). Вы получите доступ к опции конфигурирования сервера как привилегированного (preferred)
сервера-плацдарма для передачи данных по SMTP или по IP.
www.kodges.ru
привилегированный сервер-плацдарм.
Предостережение. Если привилегированный сервер-плацдарм не работает, и вы решите его
переконфигурировать, то изменения нужно делать в обоих сайтах. Поскольку серверы-
плацдармы не функционируют, то никакая информация не будет реплицироваться между
сайтами до тех пор, пока конфигурационные изменения не будут сделаны в обоих сайтах.
Резюме
Ключевым аспектом управления службой Active Directory Windows Server 2003 является
понимание того, как работает репликация. Устойчивая среда репликации необходима для
поддержания новейших копий всей информации каталога на всех контроллерах домена в лесу, что
необходимо для гарантии согласованного входа пользователей в систему и функционирования
поиска в каталоге. В этой главе было дано описание работы репликации каталога: создание
www.kodges.ru
топологии репликации между контроллерами домена Active Directory в одном сайте и между
контроллерами домена, расположенными в разных сайтах, описание самого процесса репликации,
принципов ее оптимизации для уменьшения объема сетевого трафика.
www.kodges.ru
Часть II. Реализация службы Active
Directory Windows Server 2003
Задача авторов при написании части I данной книги состояла в том, чтобы помочь вам понять
работу службы каталога Active Directory Microsoft Windows Server 2003. Часть II поможет вам
реализовать Active Directory. Первый шаг в этом направлении состоит в создании архитектуры
Active Directory для вашей организации. Структуры леса, домена, сайта и организационной
единицы (OU) уникальны для каждой компании, поэтому разработка правильного проекта для
вашей среды потребует знаний и усилий. В главе 5 приводится краткий обзор процесса
проектирования. Как только вы создадите свою модель Active Directory, можно начать ее
установку. Глава 6 содержит описание процедур, необходимых для развертывания Active
Directory. Многие компании, реализующие Active Directory Windows Server 2003, переходят к ней
от Microsoft Windows NT 4. Поскольку Active Directory Windows Server 2003 сильно отличается от
службы каталога Windows NT, этот переход достаточно сложен и является главной темой главы 7.
www.kodges.ru
и изолированного управление частями структуры каталога.
Практический опыт. Участие бизнес-заказчиков в проектировании Active
Directory
Когда вы проектируете Active Directory для корпорации, важно вовлечь управление
компании в этот процесс. Пользователи-бизнесмены являются основными
потребителями услуг, которые обеспечивает инфраструктура информационных
технологий (IT), поэтому необходимо, чтобы ваш проект удовлетворял их
требованиям и имел поддержку со стороны руководства.
Степень участия деловых подразделений в проектировании сильно зависит от
компаний. Практически в каждой организации она выражается, по крайней мере, в
одобрении высокоуровневых задач проекта. Эти задачи касаются вопросов
доступности информации, безопасности, простоты управления и практичности.
Менеджеры обычно включаются в принятие решений, которые не могут быть
изменены сразу после развертывания. Среди этих решений — вопрос о том, сколько
лесов и доменов требуется сети и сколько должно быть развернуто доменных
пространств имен.
www.kodges.ru
• Централизованное управление. Развертывание единственного леса означает, что
некоторые компоненты сетевого управления должны быть централизованы. Например,
единственная группа, обладающая правом изменять схему, — это группа Schema Admins
(Администраторы схемы). Единственная группа, обладающая правом добавлять и удалять
домены из леса, - это группа Enterprise Admins (Администраторы предприятия). Группа
Enterprise Admins автоматически добавляется к домену локальной группы Administrators
(Администраторы) на каждом контроллере домена в лесу. Для некоторых компаний этот
тип централизованной администрации неприемлем. Это относится к компаниям,
осуществляющим переход от Windows NT 4, которая не предписывают централизованное
управление между несколькими доменами.
• Политика управления изменениями. Поскольку изменения леса могут затрагивать
каждый домен и должны выполняться только централизованно, требуется четкая политика
управления изменениями.
• Доверенные администраторы. Развертывание одного леса требует определенной степени
доверия администраторам всех доменов. Любой администратор, обладающий правами
управления контроллером домена, может сделать такие изменения, которые затронут весь
лес. Это означает, что все администраторы доменов должны быть высоко доверенными
людьми.
Обдумывая вопрос, касающийся количества развертываемых лесов, вы должны оценить каждый
из этих факторов для определения своих собственных потребностей.
www.kodges.ru
доверительных отношений между всеми доменами, вы должны использовать несколько
лесов.
Практический опыт. Вовлечение пользователей в проектирование леса
Немногие компании имеют технические причины для развертывания более одного
леса. Лес может содержать несколько доменов, в каждом из которых имеются сотни
тысяч объектов. Домены могут быть развернуты с несколькими пространствами
имен и с различным администрированием для каждого домена.
Однако как только вы представите сотрудникам, ответственным за принятие
решения в вашей организации, список требований для леса, например,
централизованное управление, общая схема или доверенные администраторы, вы
наверняка встретите сопротивление. Единственная серьезная причина, по которой
компании развертывают несколько лесов, — это политика компании или
неспособность различных отделов и подразделений выработать способ обращения
к централизованным компонентам управления лесом. В некоторых случаях
компания не может договориться о модификации леса или схемы. В других случаях
тот факт, что администратор одного домена может влиять на все другие домены
леса, означает, что один лес неприемлем. Это справедливо, когда множество
прежде независимых компаний должны теперь работать вместе из-за поглощения
или слияния компаний.
Отдельные леса могли бы быть хорошим выходом для некоторых из этих компаний,
но вы должны предупреждать ответственных за принятие решений о том, что они
потеряют, если будут настаивать на развертывании нескольких лесов.
Использование нескольких лесов означает, что каждый получает полную
автономию, а значит, будет гораздо труднее совместно пользоваться информацией
между деловыми подразделениями.
Для некоторых компаний развертывание нескольких лесов является привлекательным вариантом.
Однако это придает значительную сложность сетевой инфраструктуре. Возникает ряд проблем.
• Увеличение административных усилий, необходимых для управления сетью. По крайней
мере, один домен, а также конфигурация уровня леса должны управляться отдельно в
каждом лесу.
• Уменьшение способности пользователей к сотрудничеству. Один из примеров этого -
поиск ресурсов в сети. Пользователи не смогут искать GC-ресурсы в другом лесу и
должны быть обучены тому, как искать ресурсы, расположенные вне каталога GC.
• Дополнительные административные усилия, которые требуются для того, чтобы
пользователи могли обратиться к ресурсам другого леса. Администраторы должны
сконфигурировать доверительные отношения вместо использования встроенных. Если
какая-либо информация должна быть синхронизована между лесами, то это также надо
сконфигурировать.
Практический опыт. Административная автономия и административная
изоляция - за и против
Для некоторых компаний выбор между развертыванием одного или нескольких
лесов сведется к тому, нужна ли компании административная автономия или
административная изоляция между подразделениями. В Active Directory есть много
типов административной деятельности, включая конфигурирование служб каталога
(леса, размещения контроллеров домена, доменной системы имен) и управление
данными в службе каталога (объектами пользователей или групп, групповыми
политиками и т.д.)
Административная автономия означает, что вы имеете полный административный
контроль над некоторыми компонентами леса на уровне леса, домена или OU.
Однако это не подразумевает эксклюзивного управления. Например, вы имеете
возможность полностью управлять своим доменом, но группа Enterprise Admins
(Администраторы предприятия) также имеет административные разрешения на
управление вашим доменом.
Административная изоляция, с другой стороны, означает, что вы имеете
исключительный контроль над компонентом каталога. Если у вас административная
изоляция, то никто не сможет контролировать вашу часть леса, изменять
конфигурацию службы каталога или данные.
www.kodges.ru
Служба Active Directory обеспечивает много способов достичь административной
автономии. Администраторы домена могут делать в нем все, что захотят.
Администраторам OU можно давать полные права создавать и управлять любыми
типами объектов в OU. Один лес в Active Directory проектируется для делегирования
администрирования и автономии.
Однако если вам требуется административная изоляция, единственный способ
достичь этого состоит в создании отдельных лесов. Причина этого частично связана
с тем, как разработана Active Directory. Группа Enterprise Admins автоматически
добавляется к местной группе Administrators каждого домена. Группа Domain Admins
(Администраторы домена) имеет полный административный контроль над каждым
объектом в домене и автоматически добавляется к группе Administrators на каждом
компьютере в домене. В то время как заданная по умолчанию конфигурация может
быть модифицирована, а группы могут быть удалены из административных групп
низшего уровня, администраторы более высокого уровня всегда могут
восстанавливать управление объектами низшего уровня. Это означает, что никакая
часть леса не является административно изолированной.
Другая причина того, что отдельный лес может быть необходим для
административной изоляции, состоит в возможности злонамеренных действий со
стороны администраторов в домене. Любой человек с административным доступом
к контроллеру домена может нарушить административную изоляцию любого другого
раздела в лесу. Администратор может устанавливать программное обеспечение на
контроллере домена, которое изменяет информацию каталога для всех доменов в
лесу. Администратор может изменять сёой собственный идентификатор защиты
(SID) так, чтобы казалось, что он является членом группы Enterprise Admins, а затем
использовать этот доступ, чтобы сделать изменения, касающиеся всего леса.
Аналогично, если пользователь может выключить и перезапустить контроллер
домена в режиме Directory Services Restore (Восстановление службы каталога), то
он сможет изменить информацию в Active Directory так, что это затронет весь лес.
Все контроллеры домена и разделы леса тесно связаны, и любое изменение,
сделанное на одном контроллере домена, будет реплицироваться на остальные
контроллеры домена. Нет никакой проверки законности реплицируемой
информации, есть только проверка при создании изменений к информации
каталога. Поэтому если злонамеренный администратор сумеет сделать изменение к
информации каталога, то все другие контроллеры домена получат реплицируемое
изменение без вопросов.
По этим причинам вы должны создать отдельные леса, если требуется
административная изоляция. В некоторых случаях вам может потребоваться полная
гарантия изоляции раздела каталога. В этом случае вы должны пойти на
увеличение административной работы и потерю простоты в сотрудничестве,
которые влечет за собой развертывание нескольких лесов.
Многие компании, однако, требуют административной автономии наряду с разумной
гарантией того, что администраторы из другого раздела леса не будут действовать
злонамеренно. Эта разумная гарантия может быть достигнута путем выполнения
следующих действий.
• Помещение только администраторов с высоким уровнем доверия в группы,
которые имеют административный контроль над контроллерами домена. Эти
группы включают группу Domain Admins (Администраторы домена), а также
локальные группы Administrators (Администраторы), Server Operators
(Операторы сервера) и Backup Operators (Операторы резервного
копирования). Административные задачи, которые не требуют доступа к
контроллерам домена, должны быть делегированы другим группам.
• Физическая защита контроллеров домена путем разрешения доступа к
серверам только администраторам, имеющим высокий уровень доверия.
• Аудит всех действий, выполняемых администраторами высокого уровня.
Администраторы высокого уровня должны входить в систему, используя
административную учетную запись, только при необходимости. Они должны иметь
обычные учетные записи пользователя для ежедневной работы.
www.kodges.ru
Определение владельцев леса
Независимо от того, сколько развертывается лесов, для каждого леса вы должны
идентифицировать его владельцев. В технических терминах просто определить, кто является
владельцем леса. Группы Schema Admins (Администраторы схемы), Enterprise Admins
(Администраторы предприятия) и Domain Admins (Администраторы домена) в корневом домене
могут быть определены как владельцы леса, потому что они управляют теми изменениями,
которые могут быть сделаны в лесу. Это роли чисто технические, и люди в этих группах почти не
имеют окончательных полномочий на то, будут ли на самом деле сделаны модификации к лесу.
Например, группа Schema Admins может изменять схему, но член группы Schema Admins обычно
не имеет полномочий для принятия заключительного решения относительно того, будет ли запрос
на изменение схемы одобрен.
Владельцы леса должны обладать комбинацией технической компетенции и понимания бизнеса.
Они должны быть людьми, которые знают общие деловые требования организации и в то же
время понимают техническое значение выполнения всех этих требований. Владельцы леса могут
решить, что будет развернуто приложение, изменяющее схему, потому что оно принесет
значительную деловую пользу компании, а затем администратору схемы дают задание изменить
схему так, как это требуется.
В компании с несколькими деловыми подразделениями группа владельцев леса должна состоять
из представителей всех подразделений. Это важно для эффективного функционирования, т.е.
представители группы должны находиться на рабочем месте, чтобы группа могла быстро принять
решение о реализации изменений уровня леса. Если реализация глобальных изменений будет
занимать много времени, то отдельные подразделения могут пожалеть, что они вообще
согласились на развертывание единственного леса.
www.kodges.ru
Домены и проект Active Directory
Домены используются для разделения большого леса на более мелкие компоненты для целей
репликации или администрирования. Следующие характеристики домена крайне важны при
проектировании Active Directory.
• Граница репликации. Границы домена являются границами репликации для раздела
домена каталога и для информации домена, хранящейся в папке Sysvol на всех
контроллерах домена. В то время как другие разделы каталога (раздел схемы,
конфигурации и GC) реплицируются по всему лесу, раздел каталога домена реплицируется
только в пределах одного домена.
• Граница доступа к ресурсам. Границы домена являются также границами для доступа к
ресурсам. По умолчанию пользователи одного домена не могут обращаться к ресурсам,
расположенным в другом домене, если только им не будут явно даны соответствующие
разрешения.
• Границы политики безопасности. Некоторые политики безопасности могут быть
установлены только на уровне домена. Эти политики, такие как политика паролей,
политика блокировки учетных записей и политика билетов Kerberos, применяются ко всем
учетным записям домена.
www.kodges.ru
сценарии обновления текущей среды. Очень вероятно, что ваша окончательная
модель окажется где-нибудь посередине.
Взаимодействие между идеальным и реальным проектом иллюстрирует другой
важный аспект проектирования Active Directory: проектирование почти всегда
представляет собой итерационный процесс. Вы можете начать проектирование,
имея в голове одну модель, и по мере сбора дополнительной информации, вам,
возможно, потребуется ее изменить. Когда вы начнете тестировать реализацию или
сценарии перехода, вероятно, проект Active Directory опять изменится.
Однако важно, чтобы некоторые части вашего проекта приняли окончательные
формы прежде, чем вы начнете развертывание. Реализацию
сильно затрагивает решение о количестве лесов и доменов, а также
проектирование доменного пространства имен. Эти решения трудно изменить после
того, как развертывание началось. Другие решения типа финального проекта OU и
проекта сайтов легко изменить после развертывания.
Ограничения на размер базы данных в значительной степени были сняты в Active Directory, теперь
она может содержать несколько сотен тысяч объектов. Для всех, кроме самых больших, компаний
общее количество объектов в Active Directory не будет превышать возможное количество объектов
в домене.
Одна из причин создания дополнительных доменов в Windows NT состояла в том, чтобы
ограничивать или делегировать административный доступ. В Active Directory структура OU
создает иерархию в пределах домена, которая облегчает делегирование администрирования
определенным частям каталога и ограничивает административный доступ.
Если ваша компания часто реорганизуется, и пользователи передвигаются между деловыми
подразделениями, то перемещать их между OU в домене достаточно легко. Труднее перемещать
пользователей между доменами.
Управлять одним доменом легче в том отношении, что надо заботиться только об одном наборе
администраторов доменного уровня и одном наборе политик доменного уровня. Кроме того, вы
должны управлять только одним набором контроллеров домена.
Самый легкий сценарий для управления групповыми политиками — это среда отдельного домена.
Некоторые компоненты групповой политики хранятся в папке Sysvol на каждом контроллере
домена. Если вы имеете только один домен, групповая политика автоматически копируется на все
контроллеры домена.
Единственный домен является самой легкой средой для планирования аутентификации и доступа
к ресурсам. Имея единственный домен, вам не нужно беспокоиться о доверительных отношениях
или о назначении доступа к ресурсам для пользователей из других доменов.
www.kodges.ru
разрешения, вы захотите развернуть дополнительные домены. Для некоторых компаний
могут существовать юридические причины для создания отдельных
административных подразделений.
• В некоторых случаях дополнительные домены создаются потому, что лучший путь
перехода для организации состоит в модернизации нескольких уже имеющихся доменов.
Существуют серьезные основания для создания дополнительных доменов. Однако каждый
дополнительный домен увеличивает административные и финансовые издержки. Каждый
дополнительный домен требует дополнительных аппаратных средств и дополнительных
администраторов. Пользователи будут обращаться к ресурсам через доверительные отношения,
что означает большую сложность и потенциально большее количество мест возможного отказа.
Пользователи, путешествующие между доменами, должны подтверждать свои права доступа на
контроллер домена в своем домашнем домене. Из-за этих дополнительных затрат общее
количество доменов должно оставаться настолько малым, насколько это возможно.
Назначенным корневым доменом управлять легче, чем корневым доменом, содержащим много
объектов. Поскольку база данных каталога будет мала, достаточно просто поддерживать и
восстанавливать контроллеры корневого домена. Между контроллерами корневого домена
практически нет трафика репликации, так что не сложно расположить контроллеры домена в
нескольких офисах компании для гарантии избыточности. Это облегчит также перемещение
корневого домена в другое место. Использование назначенного корневого домена облегчает
www.kodges.ru
ограничение членства в административных группах уровня леса. Назначенный корневой домен
никогда не устаревает, особенно если домену дают групповое (generic) имя.
По этим причинам большинство компаний, выбирающие несколько доменов, должны
развертывать назначенный корневой домен. Даже компании, планирующие только один домен,
должны рассмотреть преимущества, связанные с развертыванием назначенного корневого домена.
Назначенный корневой домен требует конфигурирования, которое не применяется к другим
доменам леса. Поскольку корневой домен содержит хозяина операций леса, контроллеры домена
для корневого домена должны быть защищены в максимально возможной степени. Домен леса
также содержит группы, которые могут изменять лес и схему. Члены административных групп в
корневом домене должны иметь более высокий уровень доверия, чем в случае с любым другим
доменом. Вы, вероятно, захотите использовать опцию Restricted Group (Ограниченная группа) в
политике Domain Security Policy (Политика безопасности домена) для управления членством этих
групп. Конфигурация DNS корневого домена должна быть настолько безопасной, насколько это
возможно. Поскольку установка в корневом домене какого-либо дополнительного компьютера
маловероятна, вы должны включить безопасные динамические обновления для корневого домена
зоны DNS на время инсталляции контроллеров домена, а затем динамические обновления для этой
зоны следует отключить.
www.kodges.ru
Рис. 5-2. Типичная модель с несколькими хозяевами для доменов учетных записей и
ресурсов в системе Windows NT
При планировании дополнительных доменов в лесу границы домена обычно определяются или
географическим местом расположения корпорации, или деловыми подразделениями. В
большинстве случаев предпочтительны домены, основанные на географии. Доменную
конфигурацию трудно изменять после развертывания, а домены, основанные на географии, вряд
ли будут требовать модификации. Кроме того, в большинстве случаев сетевая топология
соответствует географической конфигурации, так что если вы будете создавать дополнительные
домены для управления трафиком репликации, то домены, основанные на географии, вероятно,
будут наилучшим вариантом. Доменный проект, основанный на деловых подразделениях,
выбирается только в том случае, если эти подразделения достаточно автономны. Если каждое
деловое подразделение управляет своей собственной службой каталога, то домены, основанные на
деловых подразделениях, имеют смысл.
Рис. 5-3. Обновление доменов Windows NT 4 до Active Directory Windows Server 2003
www.kodges.ru
подразделения известны под одним именем. Однако если корпорация имеет несколько деловых
подразделений со своеобразными отличительными чертами, то может возникнуть значительное
сопротивление к использованию пространства имен другого делового подразделения. В этих
случаях вы должны добавлять домены в отдельные деревья, создавая, таким образом, несколько
пространств имен.
С функциональной точки зрения между развертыванием единственного дерева или нескольких
деревьев нет почти никакого различия. В
любом случае все домены совместно используют транзитивные доверительные отношения с
другими доменами, GC и конфигурационный контейнер. Главная сложность в использовании
нескольких деревьев состоит в разработке пространства имен DNS и конфигурации серверов DNS.
Но с появлением условных ретрансляторов (conditional forwarders) и сокращенных зон (stub zones)
эта процедура в Windows Server 2003 упростилась.
Если вы развертываете несколько доменов, и пользователи часто обращаются к ресурсам,
расположенным в других доменах или входят на них, вы, возможно, захотите добавить прямые
доверительные отношения (shortcut trusts) к проекту своего домена. Прямые доверительные
отношения используются для улучшения производительности при доступе к ресурсам или при
входе в систему с разных доменов. По умолчанию дове- • рительные отношения между доменами
в Active Directory являются или родительско-дочерними, или доверительными отношениями корня
дерева. Каждая родительско-дочерняя пара совместно использует двухсторонние доверительные
отношения, так же как и корни каждого дерева. Поскольку доверительные отношения
транзитивны, это означает, что все домены в лесу доверяют друг другу. Однако когда
пользователь входит в домен, не являющийся его домашним доменом, возможно, что процессу
входа в систему придется пересекать весь путь доверительных отношений. Например, корпорация
имеет структуру домена, показанную на рисунке 5-4. Если пользователь с учетной записью в
домене Asia.Fab-rikam.com входит в домен Canada.NAmerica.Contoso.com Contoso.com, то
начальный запрос входа в систему пойдет на контроллер домена в канадском домене. Запрос на
вход в систему должен ссылаться на доверительные отношения с доменом NAmerica, затем с
доменом Contoso, далее с доменом Fabrikam и, наконец, с доменом Asia. Прямые доверительные
отношения могут сокращать путь доверительных отношений. Например, если прямые
доверительные отношения сконфигурированы между доменами Canada и Asia, запрос на вход в
систему может быть отправлен контроллеру домена в домене Asia напрямую.
Совет. Поскольку прямые доверительные отношения добавляют дополнительные
административные накладные расходы, их нужно реализовывать только при необходимости.
Они будут нужны только в том случае, если путь взаимных доверительных отношений включает
более четырех или пяти доменов, если пользователи часто входят в систему или пользуются
ресурсами в других доменах, не являющихся их собственными.
www.kodges.ru
Рис. 5-4. Прямые доверительные отношения могут использоваться для оптимизации
доступа к ресурсам разных доменов
www.kodges.ru
• Проектирование конфигурации Group Policy (Групповая политика) уровня домена.
Владелец домена может проектировать групповую политику для всего домена и
делегировать право связывать групповую политику с администратором уровня OU.
• Создание в домене OU-структуры высокого уровня. После создания OU-структуры
высокого уровня задача создания подчиненных OU может быть передана администраторам
уровня OU.
• Делегирование административных прав в пределах домена. Владелец домена должен
установить административную политику уровня домена (включая политики схем
именования, проекта групп и т.д.), а затем делегировать права администраторам уровня
OU.
• Управление административными группами уровня домена. Как уже говорилось,
администраторы в каждом домене должны иметь высокую степень доверия, потому что их
действия могут вызывать последствия на уровне леса. Роль владельца домена состоит в
ограничении членства административной группы уровня домена и в делегировании
административных прав низшего уровня всегда, когда это возможно.
www.kodges.ru
Внутреннее и внешнее пространства имен DNS
Один из первых вопросов, на который вы должны ответить перед началом проектирования
пространства имен, является вопрос о том, хотите ли вы иметь одно и то же пространство имен
DNS как в качестве внутреннего, так и в качестве внешнего пространства имен. Этот вопрос имеет
отношение к тому, действительно ли вы хотите выставить внутреннее пространство имен в
интернет.
www.kodges.ru
усложнить этот процесс.
www.kodges.ru
Рис. 5-7. Проект пространства имен DNS в отсутствие инфраструктуры DNS
www.kodges.ru
На рисунке 5-7 показано, как серверы DNS сконфигурированы по этому сценарию. DNS-сервер
Contoso.com является официальным (authoritative) для своего домена и содержит записи
делегирования на NAmerica.Contoso.com и Europe.Contoso.com, а также условные ретрансляторы и
сокращенные зоны для домена Fabrikam.com. DNS-сервер Fabrikam.com является официальным
для своей зоны и содержит условные ретрансляторы и сокращенные зоны для Contoso.com. Чтобы
разрешать адреса интернета, серверы корня дерева должны быть сконфигурированы с
ретранслятором, указывающим на сервер в интернете, или с корневыми ссылками интернета.
Проектирование DNS усложнится, если у вас есть внутренняя инфраструктура DNS. В этом случае
существуют три варианта для объединения с текущей инфраструктурой. Первый вариант состоит в
использовании только текущей инфраструктуры DNS для Active Directory, включая имя домена.
Например, Contoso может использовать Contoso.net как свое внутреннее пространство имен, а
DNS-серверы BIND — для обеспечения службы DNS. Компания может взять Contoso.net как имя
домена Active Directory и продолжать использовать текущие серверы DNS (при условии, что они
поддерживают SRV-записи указателей служб). В качестве альтернативы компания может
использовать то же имя домена, но переместить службу DNS на DNS-сервера, на которых
выполняется Windows Server 2003. В любом случае требуется очень небольшая реконфигурация
DNS-серверов. Серверы DNS могут продолжать использовать те же самые ретрансляторы или
корневые ссылки для разрешения имен в интернете.
Совет. При конфигурировании DNS серверов для разрешения имен интернета вы можете
использовать ретрансляторы или корневые ссылки. Использование ретрансляторов более
безопасно, так как можно сконфигурировать внутренний DNS-сервер на ретрансляцию к одному
или двум внешним DNS-серверам. Это может упростить конфигурацию брандмауэра.
Использование корневых ссылок приводит к лучшей избыточности, потому что вы удаляете
единственную точку возможного отказа. Если сервер из корневых ссылок не отвечает, DNS-
сервер просто войдет в контакт с другим.
Второй вариант при наличии инфраструктуры DNS состоит в выборе различных DNS-имен для
доменов Active Directory. Например, Contoso может использовать Contoso.net как текущее
внутреннее пространство имен DNS и развернуть домены Active Directory, использующие
AD.Contoso.net как имя домена (см. рис. 5-8).
В этом случае DNS-сервер разворачивается как основной сервер имен для AD.Contoso.net с
записями делегирования для NAmerica.AD. Contoso.net и Europe.AD.Contoso.net. Этот DNS-сервер
может быть тем же самым DNS-сервером, который является официальным сервером для
Contoso.net, или можно развернуть дополнительный DNS-сервер. Если вы развертываете
дополнительный DNS-сервер для домена Active Directory, необходимо сконфигурировать
ретрансляторы и корневые ссылки для него.
В третьем варианте при наличии инфраструктуры DNS домен Active Directory является дочерним
доменом от внутреннего пространства имен. Например, Contoso мог бы создавать поддомен
AD.Contoso.net как домен Active Directory (см. рис. 5-9). В этом случае DNS-сервер для Contoso.net
может быть сконфигурирован с записью делегирования для домена AD.Contoso.net. DNS-сервер
AD.Contoso.net может быть сконфигурирован с записью ретранслятора, указывающего на DNS-
сервер Contoso.net.
Наиболее сложный проект DNS, с которым вы когда-либо столкнетесь, возникнет в случае, если
компания решит скомбинировать все способы объединения DNS с внутренним пространством
имен. Например, на рисунке 5-10 показано, что компания, возможно, уже использует Contoso.net и
Fabrikam.net как внутренние пространства имен. Решив развернуть Active Directory, компания
может добавить дочерние домены под существующие, а также создать новое дерево доменов
NWTraders.net. С помощью сконфигурированных ретрансляторов и корневых ссылок DNS-
серверы могут разрешать любые имена DNS в организации.
www.kodges.ru
Рис. 5-8. Конфигурирование DNS для использования отличающегося внутреннего
пространства имен
www.kodges.ru
Рис. 5-9. Конфигурирование DNS путем добавления поддомена к существующему
внутреннему пространству имен
Однако это пространство имен DNS не определяет иерархию Active Directory. В примере на
рисунке 5-10 домен AD.Contoso.net может быть корневым доменом Active Directory с дочерними
доменами NAmerica.AD.Contoso.net и Europe.AD.Contoso.net и доменами AD.Fabrikam.net и
NWTraders.net, использующимися в качестве корневых доменов для дополнительных деревьев в
лесу Active Directory.
www.kodges.ru
Рис. 5-10. Конфигурирование DNS путем добавления дочерних доменов к существующим
доменам
www.kodges.ru
DNS) и дополнительные (incremental) зонные передачи. Если текущая инфраструктура использует
BIND серверы DNS, серверы BIND 8.1.2 поддерживают записи SRV и динамические обновления.
Сервер BIND 8.2.1 поддерживает дополнительные зонные передачи. Если вы используете одну из
этих версий BIND, то вы можете продолжать использование DNS-серверов BIND. (Если вы
используете DNS-серверы Lucent VitalQIP, то версии 5.2 и более поздние совместимы с BIND
8.2.2.)
Практический опыт. Выбор сервера DNS
Вопрос о том, использовать ли DNS-серверы системы Windows Server 2003 или
DNS-серверы не от компании Microsoft, может вызвать горячую дискуссию и не
привести к удовлетворительному результату. Большие компании в течение многих
лет пользовались DNS-серверами BIND, DNS-администраторы грамотны, опытны и
не хотят переходить к службе DNS на платформе Microsoft. Они выражают
беспокойство по поводу стабильности, надежности и безопасности службы DNS на
серверах Microsoft.
Один из подходов к решению этого вопроса состоит в следующем: на самом деле не
имеет значения, чем обеспечивается DNS-служба. Пока DNS-серверы
поддерживают записи SRV, Active Directory Windows Server 2003 может работать с
любым сервером DNS. Критичным является то, что служба DNS всегда должна быть
доступной. Если она перестанет работать в рабочее время, клиенты или серверы не
смогут найти контроллера домена Active Directory. Поэтому вопрос можно поставить
так: «Какой DNS-сервер обеспечит надежность, необходимую для работы Active
Directory?».
Длинные дискуссии относительно надежности различных серверов, похоже, не
отражают сути дела. Никакой сервер в единственном числе никогда не может быть
полностью надежен, поэтому вопрос надо переформулировать так: «Какой DNS-
сервер обеспечит наилучшие варианты для устранения выделенных точек отказа и
распределения доступных служб между несколькими серверами?». Серверы
Windows Server 2003 реализуют превосходные варианты для обеспечения
надежности за счет нескольких серверов, особенно если используются
интегрированные зоны Active Directory. С помощью этих зон каждый DNS-сервер
может иметь перезаписываемую копию информации DNS. Интегрированные зоны
Active Directory также реализуют безопасные обновления.
Многие компании решили оставаться с DNS-серверами BIND, и эти серверы
обеспечили требуемые функциональные возможности без каких-либо проблем.
Некоторые компании решили переместить основной DNS в DNS-серверы Microsoft и
сохранить DNS-серверы BIND как дополнительные серверы имен. Любая из этих
конфигураций будет работать до тех пор, пока DNS-серверы доступны, и не имеет
значения, какой вариант использует компания.
Второй вариант объединения DNS Windows Server 2003 с BIND состоит в развертывании обоих
типов DNS. Многие компании используют DNS-серверы BIND как основной сервер имен для
внутреннего пространства имен. Например, компания Contoso может использовать BIND при
разрешении имен для Contoso.com. Если она решит развертывать Active Directory и использовать
DNS-сервер на базе Windows Server 2003, существует множество вариантов. Если компания
Contoso захочет использовать Contoso.com как DNS-имя Active Directory, она может переместить
основную зону на DNS-сервер на базе Windows Server 2003 и поддерживать DNS сервер BIND в
качестве дополнительного сервера имен. Или DNS-сервер на базе Windows Server 2003 мог бы
стать дополнительным сервером имен к DNS-серверу BIND.
Примечание. Вы можете использовать DNS-серверы BIND и DNS-серверы на базе Windows
Server 2003 для одного и того же пространства имен. Оба DNS-сервера могут работать как
основной или дополнительный сервер имен, содержащие зонную информацию друг для друга.
Однако если вы планируете использовать интегрированные зоны Active Directory, то DNS-зона
BIND должна быть сконфигурирована как дополнительная зона. Интегрированная зона Active
Directory не может быть дополнительной зоной.
Компания Contoso может развертывать Active Directory, используя доменные имена, отличные от
тех, которые уже используются на DNS-серверах BIND. Например, имя Contoso.net может
использоваться как DNS-имя Active Directory. В этом случае DNS-серверы на базе Windows Server
2003 могут быть сконфигурированы как официальные серверы для Contoso.net, а серверы BIND -
www.kodges.ru
как официальные серверы для Contoso.com. DNS-серверы на базе Windows Server 2003 могут быть
сконфигурированы с условным ретранслятором на DNS-сервер BIND для Contoso.com. Домен
Active Directory можно развернуть также с использованием AD.Contoso.com в качестве имени
домена. В этом случае DNS-серверы BIND Contoso.com будут сконфигурированы с записью
делегирования, направляющей любой поиск для домена AD.Contoso.com на DNS Windows Server
2003. Серверы DNS системы Windows Server 2003 могут быть сконфигурированы с
ретранслятором, указывающим на DNS-сервер BIND.
Совет. В разделе этой главы, посвященном планированию пространства имен DNS, было
показано множество сценариев для развертывания пространства имен DNS. DNS-серверы, по
существу, взаимозаменяемы: любой из них может быть сервером BIND или сервером Windows
Server 2003. Теоретически возможно использование службы DNS Windows Server 2003 как хозяина
внешнего имени DNS, а службы DNS BIND — для доменов Active Directory.
www.kodges.ru
сводится к щелчку правой кнопкой мыши на объекте и выбору Move (Переместить) из
контекстного меню.
Проектирование структуры OU
В большинстве компаний модель OU имеет большую гибкость. При этом следует учесть
множество факторов.
Практический опыт. Структура компании и проектирование OU
Первой мыслью при создании структуры организационных единиц становится
подражание организационной схеме компании. В некоторых случаях это работает, в
некоторых — нет. Организационная схема компании обычно основана на деловых
подразделениях без учета того, где фактически располагаются пользователи.
Возможно, что члены деловых подразделений рассеяны по всему миру.
Группировка этих пользователей в единственную OU может быть весьма
неэффективной. Исследование структуры компании и ее организационной модели -
это хорошая отправная точка для проектирования OU. Если компания
централизована и иерархична, то структура OU, вероятно, отразит эту модель. Если
компания представляет большую автономию деловым подразделениям или
географическим местам, то проект OU должен отразить этот подход. При
исследовании структуры компании исследуйте также структуру управления
информационными технологиями (IT). В некоторых компаниях отдельным деловым
подразделениям дается большая автономия для управления бизнесом по их
собственному усмотрению, но ГГ-управле-ние может оставаться централизованным.
В этом случае необходимо проектировать структуру OU, базируясь на структуре 1Т-
управления, а не на структуре управления бизнесом.
www.kodges.ru
рабочего стола, включая автоматическую инсталляцию набора приложений. Групповая политика
может управлять изменениями, которые пользователи выполняют на своих компьютерах, и
конфигурировать параметры настройки защиты. Почти все групповые политики в Active Directory
назначаются на уровне OU, так что развертывание групповых политик будет играть важную роль в
проекте OU. При планировании структуры OU вы группируете вместе объекты, которые требуют
одинаковых параметров настройки групповой политики. Например, если всем пользователям
одного отдела требуется одинаковый набор приложений, их можно установить, используя
групповую политику. Пользователи могут нуждаться в стандартном наборе отображаемых дисков
(mapped drives). Сценарии входа в систему для пользователей можно назначить, также используя
групповую политику. Возможно, что вы захотите применить шаблон защиты ко всем файловым
серверам вашей организации. Чтобы сделать это, сгруппируйте все файловые серверы в OU и
назначьте шаблон защиты, используя групповую политику.
В большинстве компаний низкие требования к уровню проекта OU будут определяться, прежде
всего, потребностью применения групповой политики. По умолчанию все групповые политики
наследуются от родительских OU. Это означает, что вы можете применить групповую политику на
высоком уровне в структуре OU, а затем применить специфичную групповую политику на более
низком уровне. Если нужно изменить заданное по умолчанию наследование групповой политики,
это можно сделать, создав OU и заблокировав любое наследование групповой политики
на уровне OU. Такая зависимость проекта OU от групповых политик означает, что вы должны
понять функциональные возможности групповых политик и требования вашей организации. В
главах 11, 12, 13 подробно обсуждается, что можно делать с помощью групповых политик.
Создание проекта OU
Начните разрабатывать проект OU с организационных единиц высшего уровня. Их труднее
модифицировать после развертывания из-за OU, расположенных ниже. OU высшего уровня
должны основываться на чем-то неизменном: на географических регионах или деловых
подразделениях.
Проект OU, основанный на географии компании, вероятно, будет наиболее устойчив к
изменениям. Некоторые компании часто реорганизуются, но редко изменяют географическую
конфигурацию. Структура OU, основанная на географии компании, хорошо работает, если
компания использует децентрализованную административную модель, основанную также на
географии. Если каждое географическое место (один офис или центральный офис с несколькими
филиалами) имеет свой собственный набор сетевых администраторов, то географические OU
могут использоваться для делегирования административных задач этим администраторам.
Основной недостаток структуры OU, основанной на географии, проявляется тогда, когда
возникает несколько деловых подразделений в каждом географическом месте. Например, если
каждый отдел представлен в каждом офисе компании, более эффективно на высшем уровне
использовать структуру OU, основанную на деловых подразделениях.
Вторая структура OU высшего уровня основывается на деловых подразделениях. В этой модели
OU высшего уровня создается для каждого делового подразделения в пределах корпорации. Этот
тип конфигурации является наиболее подходящим, если компания находится в одном месте или
если многие административные задачи делегируются на уровень делового подразделения.
Проблема, которая может возникнуть, заключается в том, что OU высшего уровня изменятся в
случае реорганизации компании.
Большинство крупных корпораций фактически будут использовать комбинацию единиц,
основанных на географии и на деловых подразделениях. Обычная конфигурация - это OU высшего
уровня, основанные на географических регионах, со следующим уровнем OU в пределах каждого
региона, основанных на деловых подразделениях. Некоторые компании могут выбрать OU
высшего уровня, основанные на деловых подразделениях, а затем создавать под высшим уровнем
структуру OU, основанную на географии.
На рисунке 5-11 показан проект OU для крупной компании. OU высшего уровня включает Domain
Controllers OU (OU контроллеров домена) (все контроллеры домена расположены в этой OU) и OU
администраторов уровня домена. OU высшего уровня могут включать OU службы
учетных записей для всех служебных учетных записей (Service Account), используемых в домене.
Создание на высшем уровне OU для специальных учетных записей пользователей, таких как
служебные учетные записи, упрощает их администрирование. OU высшего уровня могут включать
OU серверов, если все серверы управляются централизованно. В дополнение к этим
www.kodges.ru
административным OU могут быть также OU высшего уровня, основанные на географии
корпорации. Организационные единицы высшего уровня, основанные на географии, могут
использоваться для делегирования административных задач.
www.kodges.ru
включать диаграмму структуры OU, список всех организационных единиц OU и цели каждого OU.
Если вы используете OU для делегирования административных задач, задокументируйте права,
делегированные каждому уровню OU. Развертывая групповую политику, связанную с каждым OU,
задокументируйте конфигурацию групповых политик.
www.kodges.ru
других офисов компании или трафик репликации между контроллерами домена? Для тяжелого
трафика нужно рассмотреть другие факторы. Если вы не поместите контроллер домена в данное
место, то следует рассмотреть возможность прерывания работы пользователей в случае отказа
сетевого подключения, потому что пользователи не смогут войти в домен. Если вы все равно
развертываете Windows Server 2003 в данном месте, то не может ли он быть также и контроллером
домена сайта?
Совет. Общее правило при проектировании Active Directory для компании состоит в том, что во
всем, кроме планирования сайтов, надо придерживаться максимально возможной простоты.
При планировании леса, домена или структуры OU простота должна быть одной из ваших
основных целей. Однако создание дополнительных сайтов для офисов компании, связанных
медленными WAN-подключениями, обеспечивает значительную выгоду без существенного
увеличения объема администрирования. Возможно, это единственный момент в проектировании
Active Directory, когда самое простое решение не может быть самым лучшим.
После определения количества сайтов для Active Directory создается проект каждого сайта.
Каждый сайт в Active Directory связан с одной или более подсетями IP, поэтому нужно
определить, какие подсети будут включены в каждый сайт. Если вы решите не развертывать
контроллер домена в каком-нибудь офисе компании, нужно определить, к какому сайту будет
принадлежать этот офис, и добавить эту подсеть IP к соответствующему сайту. В этом случае
клиенты, находящиеся в удаленном офисе, соединятся с ближайшими контроллерами домена.
После создания сайтов нужно сформировать топологию репликации для сайтов. Для этого
сконфигурируйте связи сайта между офисами компании. Для каждой связи сайта спланируйте
график и интервал репликации, а также стоимость связи сайта. Если вы хотите назначить серверы-
плацдармы (bridgehead servers) для репликации каждого сайта, идентифицируйте все разделы
Active Directory, которые будет расположены в сайте, и назначьте сервер-плацдарм для каждого
раздела.
Определение стоимости каждой из связей сайта усложнится, если имеется несколько возможных
маршрутов между офисами компании. В этом случае нужно назначить затраты для связей сайта
так, чтобы для репликации Active Directory использовался оптимальный маршрут. Один из
способов определения стоимости каждой связи сайта состоит в создании таблицы,
сопоставляющей сетевую пропускную способность связи со стоимостью связи. Пример показан в
таблице 5-1.
www.kodges.ru
подключения между центральными сайтами недостаточно быстры или большая часть полосы
пропускания используется для других приложений, вы, возможно, не захотите иметь
транзитивные подключения.
На рисунке 5-12 сетевое подключение между центральными сайтами-концентраторами А и В
может иметь ограниченную доступную пропускную способность. Если заданная по умолчанию
функция наведения
мостов между связями сайта не изменена, то сервер-плацдарм центрального сайта А будет
реплицироваться с сервером-плацдармом сайта В и с серверами-плацдармами других сайтов,
связанных с центральным сайтом В. Это значит, что один и тот же трафик репликации может
пересылаться по сетевым подключениям пять раз. Чтобы изменить это, нужно отключить
возможность наведения мостов между связями сайта, а затем создать мосты связей сайта вручную.
Чтобы отключить наведение мостов между связями сайта, откройте инструмент
администрирования Active Directory Sites And Services (Сайты и службы Active Directory) и
найдите IP-свойства объекта в контейнере Inter-Site Transports (Передача между сайтами). На
вкладке General (Общее) окна IP-Properties (Свойства IP) очистите опцию Bridge All Site Links
(Мосты между всеми связями сайта). Затем вы можете создать мосты связей сайта для всех связей,
соединяющих центральные сайты с меньшими сайтами. Как только это будет выполнено, весь
трафик репликации от сайта А направится к центральному сайту В, а затем будет распределен ко
всем сайтам, связанным с сайтом В.
Размещение DNS-серверов
Как вы уже знаете, служба DNS - это критическая служба для Active Directory Windows Server
2003. Без DNS клиенты не смогут находить контроллеры домена Active Directory, а контроллеры
www.kodges.ru
домена не смогут находить друг друга для репликации. DNS должна быть развернута в каждом
офисе вашей организации, исключая только очень маленькие офисы с несколькими
пользователями.
Служба DNS Windows Server 2003 обеспечивает несколько вариантов развертывания. Вы можете
помещать DNS-серверы в офисе там, где нет контроллера домена. Например, контроллер домена
нежелательно располагать в маленьком офисе с медленным сетевым подключением к
центральному офису из-за большого трафика репликации, направленного на контроллер домена.
Однако DNS-сервер в этот офис поместить можно, так как он может быть сконфигурирован так,
чтобы трафик репликации был очень мал или вообще отсутствовал. Если вы сконфигурируете
DNS-сервер как сервер, предназначенный только для кэширования, он будет оптимизировать
поиски клиента, но не создаст трафика зонной передачи. Можно сконфигурировать DNS-сервер с
сокращенными зонами для доменов Active Directory. Поскольку сокращенные зоны содержат
только несколько записей, к удаленному офису будет направляться очень небольшой трафик
репликации.
Практический опыт. Проектирование сайтов для филиалов
Специальным образом проектируется сайт для компании, которая имеет несколько
сотен маленьких офисов с контроллерами домена в каждом из них. Это усложняет
проектирование и развертывание Active
Directory во многих отношениях. Каждый дополнительный сайт увеличивает время,
которое требуется службе проверки целостности сведений (КСС) на вычисление
топологии репликации. Во время работы служба КСС может занимать 100
процентов времени процессора сервера. С большим количеством сайтов
контроллер домена, являющийся ISTG (генератор межсайтовой топологии) в
центральном офисе, может занять все время процессора и, тем не менее, никогда
не завершить вычисление. Если подключение сайта сконфигурировано с графиком,
разрешающим репликацию только в течение 6 часов каждую ночь, вы можете
обнаружить, что требуется развернуть несколько серверов-плацдармов для
еженощного выполнения репликации ко всем удаленным местам. Усложняется даже
установка контроллеров домена для каждого сайта. Если сетевое подключение
очень медленное, и вы просто устанавливаете контроллер домена в сайт, а затем
заполняете каталог путем репликации, начальная репликация для большого
каталога может занимать часы.
Windows Server 2003 имеет несколько нововведений, которые делают
развертывание Active Directory в этом сценарии более легким, чем в Windows 2000.
Усовершенствование алгоритма вычислений, который используется процессом
ISTG, значительно уменьшает время, необходимое для вычисления топологии
межсайтовой репликации. При создании контроллера домена и заполнении Active
Directory из резервных средств хранения информации в удаленном офисе не
возникнет большого трафика репликации.
Несмотря на это, планирование и развертывание сайтов Active Directory в компании
с сотнями сайтов все еще является сложным случаем. Если вы имеете дело с таким
типом среды, то лучшим ресурсом для вас является Active Directory Branch Office
Planning Guide (Руководство планирования Active Directory для филиалов),
имеющееся на сайте Microsoft по адресу http://www.microsoft.com/windows2000/
techinfо/planning/activedirectory/branchofficе/default.asp. Хотя это руководство
подготовлено для Windows 2000, многие из концепций применимы к Windows Server
2003.
www.kodges.ru
компании. Если трафик репликации на контроллер домена, расположенный в данном месте, выше,
чем трафик входа клиентов в систему, можно разработать такую конфигурацию, чтобы клиенты
входили на смежный контроллер. Если данное место размещения не имеет никаких средств
физической защиты серверов, возможно, не следует размещать здесь контроллер домена. Если
принято решение не развертывать контроллер домена в данном месте компании, существует два
способа управлять регистрацией клиентов. Во-первых, вы можете сконфигурировать сайт для
офиса, а затем сконфигурировать связи сайта к одному из существующих сайтов. Во-вторых, вы
можете добавить подсеть IP для данного офиса к существующему сайту.
Если вы развертываете несколько доменов, то очень важно определить место размещения
контроллера корневого домена леса. Он требуется всякий раз, когда пользователь обращается к
ресурсу, расположенному в другом дереве домена, или когда пользователь входит в домен,
расположенный в другом дереве домена, не в его собственном дереве. Из-за этого нужно
размещать контроллеры корневого домена леса в любых офисах с большим количеством
пользователей или там, где на контроллеры корневого домена будет направлен значительный
трафик. Если сетевая топология вашей компании включает централизованные региональные
офисы, необходимо развернуть контроллер корневого домена в каждом из центральных офисов.
Предостережение. Из-за важности корневого домена и влияния на лес его отсутствия
контроллеры корневого домена леса должно быть распределены по географическому
принципу. Даже если нет важных причин помещать контроллер корневого домена в офисы,
расположенные за пределами головного офиса, можно сделать это просто для обеспечения
географической избыточности. Однако контроллеры корневого домена никогда не должны
располагаться в офисе, где они не могут быть защищены физически.
www.kodges.ru
Рис. 5-13. Конфигурирование кэширования универсального группового членства
Совет. Развертывание Exchange Server 2000 создает большую нагрузку на GC-серверах. Exchange
Server 2000 не имеет своей собственной службы каталога, так что он зависит от GC. Когда клиент
просматривает GAL, он видит всех получателей почты, перечисленных в GC. Когда Exchange
Server 2000 надо найти адрес пользователя, чтобы доставить электронную почту, он делает запрос
каталогу GC. Если вы развертываете Exchange Server 2000, вы должны расположить GC в каждом
месте, где выполняется Exchange Server 2000, и увеличить общее количество GC серверов.
www.kodges.ru
домена. Роль хозяина инфраструктуры состоит в обновлении ссылок на отображаемые
имена пользователей между доменами. Например, если учетная запись пользователя
переименована, и пользователь является членом универсальной группы, хозяин
инфраструктуры обновляет имя пользователя. Если хозяин инфраструктуры расположен на
GC-сервере, он не будет функционировать, потому что GC постоянно обновляется самой
современной глобальной информацией. В результате хозяин инфраструктуры не
обнаружит никакой устаревшей информации и, таким образом, никогда не обновит
перекрестную междоменную информацию.
• Если организация имеет центральный офис, где располагается большинство
пользователей, всех хозяев операций следует помещать в этот сайт.
Резюме
Проектирование Active Directory - это тема отдельной книги. В этой главе говорилось, что
проектирование Active Directory начинается с компонентов высшего уровня, а затем
проектируются компоненты низших уровней. Это означает, что первый шаг состоит в создании
проекта леса, затем следует проект доменов, проект DNS и, наконец, проект OU. Для компаний,
расположенных в нескольких местах, проектирование сайтов — это еще один компонент проекта
Active Directory.
www.kodges.ru
Глава 6. Установка Active Directory
Процесс установки службы каталога Active Directory на компьютере, выполняющем Microsoft
Windows Server 2003, несложен. Простота обеспечивается за счет прекрасного мастера
инсталляции Active Directory. Когда служба Active Directory устанавливается на сервер с Windows
Server 2003, компьютер фактически становится контроллером домена. Если это первый
контроллер домена в новом домене и лесу, то создается чистая база данных каталога, ожидающая
поступления объектов службы каталога. Если это дополнительный контроллер домена в уже
существующем домене, процесс репликации скоро размножит на этот новый контроллер домена
все объекты службы каталога данного домена. Если это контроллер домена, имеющий
модернизированную систему Microsoft Windows NT4, база данных учетных записей будет
автоматически обновлена до Active Directory после того, как на этом контроллере домена будет
установлен Windows Server 2003.
В этой главе приведена информация, необходимая для успешного выполнения Active Directory
Installation Wizard (Мастер инсталляции Active Directory), а также обсуждаются два других метода
установки Active Directory: инсталляция без помощи мастера и установка из восстановленных
резервных файлов. В конце главы обсуждается процесс удаления Active Directory с контроллера
домена.
Жесткий диск
Размер пространства на жестком диске, необходимого для хранения службы Active Directory,
будет зависеть от количества объектов в домене и от того, является ли данный контроллер домена
сервером глобального каталога (GC). Чтобы установить Active Directory на сервер, на котором
выполняется система Windows Server 2003, жесткий диск должен удовлетворять следующим
минимальным требованиям:
• 15 Мб свободного пространства - на раздел установки системы;
• 250 Мб свободного пространства - для базы данных Active Directory Ntds.dit;
• 50 Мб свободного пространства - для файлов регистрационного журнала транзакций
процессора наращивания памяти (ESENT). ESENT представляет собой систему
www.kodges.ru
взаимодействия базы данных, которая использует файлы регистрационных журналов для
поддержки семантики откатов (rollback), чтобы гарантировать передачу транзакций базе
данных.
В дополнение к перечисленным требованиям для поддержки установки папки Sysvol по крайней
мере один логический диск должен быть отформатирован под файловую систему NTFS v.5 (версия
NTFS, которая используется в системах Microsoft Windows 2000 и Windows Server 2003).
Дополнительная информация. Размер необходимого свободного пространства на жестком
диске для установки службы Active Directory будет зависеть от количества объектов в вашем
домене и лесу. Чтобы больше узнать о планировании дискового пространства для Active
Directory, смотрите статью «Planning Domain Controller Capacity (Планирование вместимости
контроллера домена)» на сайте www.microsoft.com/technet/
prodtechnol/windowsserver2003/evaluate/cpp/reskit/adsec/ parti /rkpdscap. asp.
DNS
Как говорилось в предыдущих главах, Active Directory требуется служба DNS в качестве указателя
ресурсов. Клиентские компьютеры полагаются на DNS при поиске контроллеров домена, чтобы
они могли аутен-тифицировать себя и пользователей, которые входят в сеть, а также делать
запросы к каталогу для поиска опубликованных ресурсов. Кроме того, служба DNS должна
поддерживать записи службы указателя ресурсов (SRV) и динамические модификации. Если
служба DNS не была установлена предварительно, то мастер инсталляции Active Directory
www.kodges.ru
установит и сконфигурирует DNS одновременно с Active Directory.
Если DNS уже установлена в сети, проверьте ее конфигурацию, чтобы она могла поддерживать
Active Directory. Для этой проверки можно использовать команду Dcdiag (доступна как часть
набора инструментальных средств, созданного при установке файла \Support\Tools\ Support.msi с
компакт-диска Windows Server 2003). Наберите команду:
dcdiag/test:dcpromo/dnsdomain:domainname/newforest
Теперь вы сможете удостовериться, что DNS-сервер является официальным для домена
domainname и может принимать динамические обновления для новых контроллеров домена. Для
получения дополнительной информации об использовании инструмента dcdiag напечатайте
dcdiag/? в командной строке.
Если служба DNS в сети отсутствует, вас попросят установить службу сервера DNS в процессе
инсталляции Active Directory. Если контроллер домена, который вы устанавливаете, будет также
сервером DNS, то проведите тщательное планирование пространства имен DNS, которое вы
будете использовать (см. гл. 5 для получения дополнительной информации о проектировании
пространства имен DNS).
Если вы будете устанавливать службу сервера DNS одновременно с Active Directory,
сконфигурируйте установки сервера DNS на компьютере, чтобы указать себя перед установкой
Active Directory. Откройте окно Internet Protocol (TCP/IP) Properties (Свойства протокола интер-
нета) и установите адрес сервера Preferred DNS Server (Привилегированный сервер DNS) на IP-
адрес локального компьютера (см. рис. 6-1).
Административные разрешения
Чтобы устанавливать или удалять Active Directory, ваша учетная запись должна иметь
соответствующие административные разрешения. Тип разрешений учетной записи зависит от типа
создаваемого домена. Мастер инсталляции Active Directory проверяет разрешения учетной записи
перед установкой службы каталога. Если вы войдете в систему с учетной записью, не имеющей
административных разрешений, мастер запросит вас о соответствующих сертификатах учетной
записи.
Чтобы создать новый корневой домен леса, вы должны войти в систему с правами локального
администратора, но сетевые сертификаты для этого не нужны. Если вы собираетесь создать новый
корневой домен дерева или новый дочерний домен в существующем дереве, необходим сетевой
сертификат для установки домена. Чтобы создать новый корневой домен дерева, вы должны
предъявить сертификат учетной записи члена группы Enterprise Admins (Администраторы
предприятия). Чтобы установить дополнительный контроллер домена в существующий домен, вы
должны предъявить сертификаты, которые имеют разрешения присоединять компьютер к домену
и создавать объект NTDS Setting (Параметры настройки NTDS) в разделе конфигурации каталога.
Глобальная группа Domain Admins (Администраторы домена) имеет такой уровень разрешений.
www.kodges.ru
Варианты инсталляции Active Directory
Чтобы начать инсталляцию Active Directory, можете использовать один из графических
интерфейсов или запустить ее из командной строки. С помощью графических интерфейсов можно
установить и сконфигурировать службу каталога, а также создать и инициализировать хранилище
данных каталога. Так как Active Directory требует, чтобы реализация DNS была официальной для
запланированного домена, то в процессе инсталляции будет установлен и сконфигурирован сервер
службы DNS, если официальный DNS-сервер еще не установлен.
Существует несколько способов запуска процесса инсталляции Active Directory:
• Configure Your Server Wizard (Мастер конфигурирования сервера);
• Active Directory Installation Wizard (Мастер инсталляции Active Directory);
• инсталляция без сопровождения.
•
Мастер конфигурирования сервера
Окно Manage Your Server (Управление сервером) появляется автоматически после того, как
закончится инсталляция или обновление Windows Server 2003. Оно отображает список всех
сетевых услуг, которые установлены на сервере, и позволяет установить дополнительные услуги
(см. рис. 6-2).
Из окна Manage Your Server вы можете добавить серверу роль контроллера домена. Это можно
сделать, выбрав опцию Typical Settings for a First Server (Типичные параметры настройки первого
сервера) с предварительно разработанными настройками или роль контроллера домена. Если
выбраны типичные установки первого сервера, то автоматизированный процесс добавит службы
сервера DNS и DHCP. Программа инсталляции автоматически установит Active Directory с
заданными по умолчанию вариантами для многих опций, используя Active Directory Installation
Wizard (Мастер инсталляции Active Directory). Если вы планируете установить Active Directory со
всеми заданными по умолчанию опциями, то программа Configure Your Server Wizard (Мастер
конфигурирования сервера) обеспечит защищенную от ошибок установку этой службы.
www.kodges.ru
содержит всю информацию, необходимую для выполнения инсталляции;
• параметр /adv используется для запуска мастера инсталляции Active Directory в том случае,
когда контроллер домена будет создан из восстановленных резервных файлов. Когда вы
добавляете параметр /adv, то в процессе инсталляции нужно указать путь к
восстановленным резервным файлам.
Детальная информация о ключевых пунктах ответов дана в разделе этой главы «Использование
мастера инсталляции Active Directory».
www.kodges.ru
4. В окне Server Role (Роль сервера) выберите Domain Controller (Контроллер домена), затем
щелкните на кнопке Next (см. рис. 6-4).
5. В окне Summary Of Selections (Резюме выбранных опций) подтвердите выбор роли сервера
и щелкните на кнопке Next. Для конфигурирования выбранных услуг появится окно
Applying Selections (Применение выбранных опций).
6. При создании роли контроллера домена появляется окно Welcome (Приветствие) мастера
инсталляции Active Directory (см. рис. 6-5). После этого будет выполняться тот же процесс,
как если бы вы запустили мастера инсталляции Active Directory из командной строки или
командой Run (Выполнить). Подробное описание ответов на вопросы мастера инсталляции
Active Directory дано в следующем разделе. Завершите мастера инсталляции Active
Directory, а затем щелкните на кнопке Finish (Готово). После того как служба Active
Directory установлена и сконфигурирована, появится напоминание о том, что нужно
перезапустить ваш сервер.
www.kodges.ru
Использование мастера инсталляции Active
Directory
Мастер инсталляции Active Directory работает просто. Все опции мастера хорошо объяснены и
представлены в логическом порядке. Вместо того чтобы проводить вас через этот достаточно
очевидный процесс, обсудим ключевые моменты ответов, с которыми вы столкнетесь при
установке Active Directory.
Чтобы запустить мастера инсталляции Active Directory, напечатайте dcpromo в диалоговом окне
Run (Выполнить) или в командной строке. Появится стартовое окно мастера инсталляции Active
Directory.
Табл. 6-1. Предоставление клиентским операционным системам возможности входа в Active Directory
Клиент ОС Действие
Windows for Workgroups Модернизируйте операционную систему.
Windows 95/Windows 98 Модернизируйте операционную систему
(рекомендуется) или установите Directory
Services Client (Клиент служб каталога).
Windows NT 4 Модернизируйте операционную систему
(рекомендуется) или установите Service Pack
4 (или более поздний).
Directory Services Client (Клиент служб каталога) — это компонент клиентской стороны, который
дает возможность низкоуровневым клиентским операционным системам (Microsoft Windows 95,
Windows 98 и Windows NT 4) воспользоваться преимуществами Active Directory. (Это
использование распределенной файловой системы (DFS) и поиска). Посмотрите страницу
дополнений клиента Active Directory на сайте http:/
/www.microsoft.corn/windows2000/server/evaluation/news/bulletins/ adextension.asp для получения
информации относительно загрузки и использования службы Directory Services Client в системе
Windows NT 4 SP6a. Обратите внимание, что предыдущее название службы Directory Services
Client было Active Directory Client Extension, с этим именем вы будете сталкиваться во многих
статьях веб-сайта Microsoft.
На рисунке 6-6 показано окно Operating System Compatibility (Совместимость операционных
систем).
www.kodges.ru
Типы доменов и контроллеров домена
Первое решение, которое вы должны принять в процессе инсталляции, -какой контроллер домена
должен быть создан. Это может быть первый контроллер домена в новом домене или
дополнительный контроллер домена для существующего домена (см. рис. 6-7). По умолчанию
создается новый домен и новый контроллер домена. Если вы выберете создание
дополнительного контроллера домена в существующем домене, то имейте в виду, что все
локальные учетные записи, которые существуют на сервере, будут удалены наряду со всеми
криптографическими ключами, которые хранились на компьютере. Вас попросят также
расшифровать все зашифрованные данные, потому что после установки Active Directory это будет
недоступно.
Если вы выберете создание нового домена, то далее нужно будет указать, создавать ли корневой
домен в новом лесу, дочерний домен в существующем домене или в новом дереве домена в
существующем лесу (см. рис. 6-8). Проконсультируйтесь с проектной документацией своей
службы Active Directory (см. гл. 5), чтобы определить природу создаваемого домена. Чтобы
создать дочерний домен в существующем домене или в новом дереве домена в существующем
лесу, вы должны представить соответствующие сетевые сертификаты для продолжения
инсталляционного процесса. Для создания корневого домена нового леса сетевые сертификаты не
требуются.
www.kodges.ru
Рис. 6-8. Окно Create New Domain (Создание нового домена)
Именование домена
При создании нового контроллера домена для нового домена нужно задать полное имя DNS и имя
NetBIOS (см. рис. 6-9). При создании этих имен нужно соблюдать определенные правила.
Полное имя DNS должно содержать уникальное имя для нового домена, а при создании дочернего
домена должен существовать родительский домен, и его имя должно быть включено в имя DNS.
Например, если вы создаете новый домен NAmerica в дереве домена Contoso.com, то полное имя
DNS, которое вы должны ввести, будет NAmerica.Contoso.com. При именовании домена
доступные символы включают независимые от регистра буквы от А до Z, цифры от 0 до 9 и дефис
(-). Каждый компонент DNS имени домена (секции, отделенные точкой [.]) не может быть длиннее
63-х байтов.
После того как вы указали имя DNS для домена, необходимо задать имя NetBIOS (см. рис. 6-10).
Имя NetBIOS используется более ранними версиями системы Windows для идентификации имени
домена. Лучше всего принять автоматическое имя NetBIOS, полученное из ранее введенного
имени DNS. Единственное ограничение на имя NetBIOS состоит в том, что оно не должно
превышать четырнадцать символов. Кроме того, имя NetBIOS должно быть уникальным.
www.kodges.ru
Рис. 6-10. Окно NetBIOS Domain Name (Имя NetBIOS домена)
Рис. 6-11. Окно Database And Log Folders (Папки базы данных и регистрационных журналов)
Заданное по умолчанию место для базы данных каталога и журналов — папка %systemroot
%\system32. Однако для обеспечения лучшей производительности нужно сконфигурировать Active
Directory так, чтобы хранить файл базы данных и журналы на отдельных жестких дисках.
Заданное по умолчанию место общей папки Sysvol - %systemdrive %\Windows. Единственное
ограничение на выбор места для общей папки Sysvol состоит в том, что она должна храниться в
разделе с файловой системой NTFS v5. В папке Sysvol хранятся все файлы, которые должны быть
доступны клиентам домена Active Directory, например, сценарии входа в систему (см. рис. 6-12).
www.kodges.ru
Рис. 6-12. Окно Shared System Volume (Общедоступный системный том)
Рис, 6-13. Окно DNS Registration Diagnostics (Диагностика регистрации DNS) мастера
инсталляции Active Directory
www.kodges.ru
Дополнительная информация. Когда служба DNS сервера устанавливается мастером инсталляции
Active Directory, то зона DNS создается как интегрированная зона Active Directory. Для получения
дополнительной информации о конфигурировании интегрированной зоны Active Directory см. гл.
3.
Какую опцию выбрать? Если ваша сетевая среда будет включать серверы Windows NT, а также
службы или приложения, которые требуют защиты Windows NT для пользователей и групп, вы
должны принять заданную по умолчанию: Permissions Compatible With Pre-Windows 2000 Server
Operating Systems. Если ваша сетевая среда включает только Windows 2000 или Windows Server
2003, если в ней не будут выполняться программы, разработанные для более ранних, чем Windows
2000, систем, выберите Permissions Compatible Only With Windows 2000 Or Windows Server 2003
Operating Systems. Имейте в виду, что с заданной по умолчанию опцией анонимные пользователи
будут способны обращаться к данным Active Directory, нарушая защиту.
После того как вы модернизируете все серверы в домене до Windows 2000 или Windows Server
2003, нужно заново установить разрешения Windows Server 2003 для групповых и
пользовательских объектов. Для этого просто удалите всех членов локальной группы Pre-Windows
2000 Compatible Access (Доступ, совместимый с системами, разработанными до Windows 2000). В
домене Windows Server 2003 членами будут идентификаторы SID групп Everyone (Все) и
www.kodges.ru
Anonymous Logon (Анонимный вход в систему).
Чтобы удалить членов этой группы с помощью инструмента администрирования Active Directory
Users And Computers (Пользователи и компьютеры Active Directory), откройте контейнер Builtin
(Встроенные объекты), а затем дважды щелкните на группе Pre-Windows 2000 Compatible Access
(раскройте столбец Name (Имя) в случае необходимости). На вкладке Members (Члены) окна
групповых свойств выберите оба идентификатора SID и щелкните на кнопке Remove (Удалить).
Для удаления членов этой группы из командной строки напечатайте следующую команду:
net localgroup "Pre-Windows 2000 Compatible Access" Everyone "Anonymous Logon"
/delete
Рис. 6-15. Окно Directory Services Restore Mode Administrator Password (Пароль
администратора режима восстановления службы каталога)
Первичная репликация данных раздела каталога может занимать много времени, особенно по
медленным сетевым подключениям, поэтому в Active Directory Windows Server 2003 предлагается
новая функция установки дополнительного контроллера домена из восстановленных резервных
файлов, которая обсуждается далее в этой главе.
Наилучшая практика. После установки службы Active Directory вы должны открыть инструмент
администрирования Active Directory Users And Computers и проверить, что созданы все
встроенные участники безопасности, такие как учетная запись пользователя Administrator и
группы безопасности Domain Admins, Enterprise Admins. Вы должны также проверить создание
«специализированных тождеств» Authenticated Users (Удостоверенные пользователи) и Interactive
(Интерактивный). «Специализированные тождества» обычно известны как группы, но вы не
можете видеть их членство. Пользователи автоматически включаются в эти группы, когда они
обращаются к специфическим ресурсам. «Специализированные тождества» по умолчанию не
отображаются в инструменте администрирования Active Directory Users And Computers. Чтобы
рассмотреть эти объек-
ты, выберите View (Вид), а затем выберите Advanced Features (Дополнительные функции).
В результате отобразятся дополнительные компоненты инструмента. Откройте контейнер Foreign
Security Principals (Внешние участники безопасности). Там вы найдете объекты S-1-5-11 и S-1-5-4,
которые являются идентификаторами Authenticated Users SID и Interactive SID, соответственно.
Дважды щелкните на этих объектах, чтобы просмотреть их свойства и заданные по умолчанию
разрешения.
www.kodges.ru
Выполнение инсталляции «без сопровождения»
Чтобы установить Active Directory без пользовательского участия, можно использовать параметр
/answer [:filename] с командой Dcpromo. В этот параметр нужно включить имя файла ответов.
Файл ответов содержит все данные, который обычно требуются в процессе инсталляции. Можно
также устанавливать Active Directory при установке Windows Server 2003 в автоматическом
режиме. В этом случае используется команда E:\I386\winnt32/unattend[:unattend.txt], где
unattend.txt - имя файла ответов, используемого для полной инсталляции Windows Server 2003.
(Предполагается, что дисководом CD-ROM является диск Е, и вы вставили в дисковод диск.) Файл
Unattend.txt должен содержать раздел [Deinstall], чтобы можно было установить Active Directory.
Чтобы выполнить автоматическую установку Active Directory после установки операционной
системы Windows Server 2003, создайте файл ответов, который содержит раздел [Deinstall]. Для
этого напечатайте в командной строке или в диалоговом окне Run dcpromo/ answer:answerfile (где
answerfile - имя файла ответов). Файл ответов представляет собой текстовый ASCII-файл, который
содержит всю информацию, необходимую для заполнения страниц мастера инсталляции Active
Directory. Для создания нового домена в новом дереве нового леса так, чтобы служба DNS сервера
была сконфигурирована автоматически, содержание файла ответов выглядит следующим образом:
[Deinstall]
UserName=admin_ username
Password=admin_password
UserDomain=acmin_domain
DatabasePath=
LogPath=
SYSVOLPath=
SafeModeAdminPassword=password
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=DNSdomainname
DNSOnNetwork
DomainNetbiosName=NetBIOSdomainname
AutoConfigDNS=yes
AllowAnonymousAccess=yes
CriticalReplicationOnly=yes
SiteName=
RebootOnSuccess=yes
Для ключей, не имеющих значений, или для отсутствующих ключей будут использоваться
значения, заданные по умолчанию. Ключи, необходимые для файла ответов, изменяются в
зависимости от типа домена, который будет создан (новый или уже существующий лес, новое или
уже существующее дерево). Для получения дополнительной информации относительно ключей и
соответствующих значений смотрите< документ
http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b223757.
Ключ ReplicationSourcePath — это дополнительный ключ, который можно использовать для
создания контроллера домена с помощью информации, восстановленной из резервных средств.
Чтобы использовать его, укажите местоположение восстановленных резервных файлов, которые
будут использоваться для заполнения базы данных каталога в первый раз. (Это тот же самый путь,
который выбирается при использовании мастера инсталляции Active Directory.) Смотрите
следующий раздел «Установка Active Directory из восстановленных резервных файлов» для
получения дополнительной информации.
Примечание. Чтобы получить информацию по созданию файла ответов для установки Active
Directory, щелкните правой кнопкой мыши на файле Deploy.cab в папке Support\Tools компакт-
диска Windows Server 2003, выберите Explore (Найти) из всплывающего меню. Затем щелкните
правой кнопкой мыши на файле Ref.chm, выберите Extract (Извлечь), а затем дважды щелкните
на Ref.chm в месте извлечения файла. Файл Deploy.cab также включает Setupmgr.exe, утилиту
Setup Manager (Менеджер установки), то есть GUI, который используется для создания файла
Unattend.txt, предназначенного для установки Windows Server 2003 (создает раздел [Deinstall]). Он
также включает «Microsoft Windows Corporate Deployment Tools User's Guide» (Руководство
пользователя по развертыванию инструментальных средств Microsoft Windows), в котором
описываются заголовки разделов файла ответов, ключи и значения каждого ключа в разделах
[Unattended] и [Deinstall] файла Unattend.txt.
www.kodges.ru
Установка Active Directory из восстановленных
резервных файлов
В Windows Server 2003 имеется возможность установить дополнительный контроллер домена,
используя мастер инсталляции Active Directory, 'причем начальное заполнение трех разделов
каталога выполняется путем восстановления предварительно созданного резервного набора
данных вместо использования нормального процесса репликации по сети. Выгода состоит в том,
что новые контроллеры домена будут синхронизированы значительно быстрее. В противном
случае создание разделов домена с помощью нормального процесса репликации может занимать
часы или дни. Этот метод, скорее всего, будет использоваться в среде с низкой пропускной
способностью сети или с большими разделами каталога.
Процесс установки из резервной копии не предназначен для восстановления существующих
контроллеров домена в случае их отказов. Для выполнения этой задачи используется метод
восстановления состояния системы. После того как контроллер домена будет синхронизирован с
помощью восстановленных резервных данных, произойдет репликация, обновляющая новый
контроллер домена всеми изменениями, которые произошли с момента создания резервного
набора данных. Чтобы уменьшить время репликации, всегда используйте недавнюю копию
резервных данных Active Directory. Резервный набор не может быть старше, чем время жизни
объектов-памятников домена, который имеет заданное по умолчанию значение 60 дней. Резервная
копия состояния системы должна быть взята с контроллера домена Windows Server 2003 в
пределах того же самого домена, в котором создается новый контроллер домена; резервные копии
с контроллера домена Windows 2000 несовместимы. Последнее ограничение состоит в том, что
резервный файл должен быть восстановлен на локальный диск, и обращаться к нему нужно как к
диску, обозначенному буквой логического имени (пути UNC и отображаемые диски (mapped
drives) недопустимы в качестве части параметра /adv). Для получения дополнительной
информации о создании резервной копии разделов Active Directory см. гл. 15.
Чтобы создать дополнительный контроллер домена из восстановленных резервных файлов,
выполните следующие действия.
1. Создайте и проверьте резервную копию System State (Состояние системы) на контроллере
домена в домене. Восстановите эту резервную копию на локальный диск или в другое
место в сети, где к ней можно обращаться (через букву — имя диска) с сервера, на котором
выполняется Windows Server 2003 и который должен быть назначен контроллером домена.
2. На сервере запустите мастер инсталляции Active Directory из командной строки или
диалогового окна Run, используя параметр /adv — напечатайте dcpromo / adv.
3. В окне Domain Controller Type (Тип контроллера домена) выберите Additional Domain
Controller For An Existing Domain (Дополнительный контроллер домена для
существующего домена).
4. В окне Copying Domain Files (Копирование файлов домена) выберите место расположения
восстановленных резервных файлов.
5. В окне Copy Domain Information (Копирование информации домена) выберите место
расположения восстановленных резервных файлов для этого домена.
6. Заполните остальные пункты мастера инсталляции Active Directory так, как описано в
предыдущих разделах.
Создание дополнительного контроллера домена из восстановленных резервных файлов требует
наличия сетевой связи и доступного контроллера домена в том же самом домене. Содержание
общедоступного ресурса Sysvol, например, копируется на новый контроллер домена вне этого
процесса. Репликация будет выполняться между контроллером, содержащим свежие данные, и
недавно созданным контроллером домена для всех объектов, созданных после того, как был
создан резервный набор данных.
Дополнительная информация. Для организаций со множеством маленьких отдаленных
сайтов, связанных медленными связями с центральным сайтом или центром данных,
развертывающих Active Directory, смотрите документ «Active Directory Branch Office Guide»
(Руководство по созданию Active Directory для филиалов) по адресу
http://www.microsoft.com/windows2000/
techinfо/planning/activedirectory/branchoffice/default.asp. Этот документ включает
руководства по планированию и развертыванию, предназначенные помочь вам в
проектировании стратегии развертывания Active Directory в сценарии с несколькими
www.kodges.ru
филиалами. В руководствах содержатся также пошаговые инструкции реализации этой
стратегии.
Затем мастер инсталляции Active Directory отобразит список всех разделов приложений каталога,
найденных на контроллере домена. Если этот контроллер домена - последний в домене, то он
является последним источником этих данных приложений. Возможно, что вы захотите защитить
эти данные, прежде чем продолжать использование мастера, который удалит эти разделы. Если
контроллер домена, из которого вы удаляете Active Directory, является также сервером DNS, то
там будут находиться, по крайней мере, два раздела приложений каталога, в которых хранятся
зонные данные. На рисунке 6-17 смотрите пример разделов приложений DNS каталога, найденных
при деинсталляции Active Directory.
После того как вы подтвердите удаление прикладного раздела каталога, вас попросят ввести
новый пароль для локальной учетной записи администратора. Затем появится окно Summary
(Резюме), и удаление
Active Directory завершится. Для окончания этого процесса вы должны перезапустить компьютер.
После перезапуска компьютера он будет играть роль сервера-члена домена или автономного
сервера.
www.kodges.ru
Рис. 6-17. Удаление разделов приложений DNS в каталоге
www.kodges.ru
дочернем домене или в корневом домене дерева предполагают, что вы должны войти в систему
как член группы Enterprise Admins (Администраторы предприятия) или предъявить сертификаты
администратора предприятия в процессе выполнения мастера инсталляции Active Directory. Если
вы удаляете Active Directory из последнего контроллера домена в лесу, вы должны войти в
систему или как Administrator (Администратор), или как член группы Domain Admins
(Администраторы домена).
Резюме
В этой главе обсуждались решения, которые вы должны принять в процессе инсталляции Active
Directory Windows Server 2003. В то время как механизм установки Active Directory достаточно
прост, решения должны быть тщательно спланированы и согласованы с проектом Active Directory.
Удаление Active Directory — тоже простая процедура, но необходимо рассмотреть воздействие
удаления данного контроллера домена на остальную часть вашей инфраструктуры службы
каталога. В главе был также рассмотрен новый способ инсталляции Active Directory — установка
дополнительного или содержащего реплику контроллера домена из восстановленных резервных
файлов. Этот способ значительно уменьшает время, необходимое для установки дополнительного
контроллера домена, за счет уменьшения времени на синхронизацию разделов каталога.
www.kodges.ru
Глава 7. Переход к Active Directory
В Главе 6 рассказывалось, какие ключевые решения вы должны были принять при установке
службы каталога Active Directory на компьютере серверного класса. Для простоты понимания
предполагалось, что ваша среда представляла «чистое поле», т.е. в ней ранее не существовало
инфраструктуры службы каталога. В главе б подчеркивалась важность пространства имен Active
Directory и пространства имен DNS. На самом деле «чистая» среда будет встречаться не очень
часто. Скорее всего, организация, которая переходит к Active Directory Microsoft Windows Server
2003, уже имеет некоторые службы каталога. В этой главе показан переход к Active Directory
Windows Server 2003 от существующей службы каталога Microsoft, точнее, переход от управления
безопасными учетными записями (SAM) системы Microsoft Windows NT 4 или от Active Directory
Microsoft Windows 2000. Сценарии перехода с технологий службы каталога, не принадлежащих
Microsoft, типа Novell Directory Services (NDS) или NetWare 3 Bindery, или реализаций службы
каталога на платформе UNIX, в данную главу не вошли.
Дополнительная информация. Веб-сайт компании Microsoft содержит много информации,
касающейся перехода на Windows Server с других платформ. Для получения дополнительной
информации о переходе из сред UNIX или Linux смотрите раздел веб-сайта Windows «Migrating to
Windows from UNIX and Linux (Переход к Windows от UNIX и Linux)» по адресу http://
www.microsoft.com/windows2000/migrate/unix/default.asp. Для получения дополнительной
информации о переходе от Novell системы Netware смотрите раздел «NetWare to Windows 2000
Server Migration Planning Guide (Руководство по планированию перехода с NetWare на Windows
2000 Server)» по адресу http:// www.microsoft.com/windows2000/techinfo/planning/
incremental/netmigrate.asp. Для получения полной информации о переходе к Windows Server 2000, а
также по технологии серверов Windows, смотрите документ «Переход к Windows» по адресу
http://www.microsoft.com/windows2000/migrate/.
В начале главы обсуждаются различные варианты путей перехода к Active Directory Windows
Server 2003. Затем уточняются ключевые моменты каждого способа и процедуры, необходимые
для этого.
Примечание. Основное внимание в главе уделено процессу перехода от Windows NT 4. Этот
сценарий предполагает большие изменения в технологии и, как следствие, является более
сложным. Поскольку Active Directory Windows Server 2003 несущественно отличается от Active
Directory Windows 2000, то в этом случае переход не очень сложен. Ключевые моменты сценариев
перехода с Windows 2000 описаны в соответствующих разделах далее в этой главе. Поэтому, если
не указано другого, процессы, описанные в главе, касаются перехода от службы каталога Windows
NT 4 к Windows Server 2003.
Обратите внимание, что если нет специального ограничения, то ссылки на Windows 2000 Server
включают Windows 2000 Server, Windows 2000 Advanced Server и Windows 2000 Datacenter Server.
Пути перехода
Если обновление службы каталога представить как переход из пункта А в пункт Б, то пунктом А
является инфраструктура вашей текущей службы каталога, а пунктом Б - желаемая структура
Active Directory Windows Server 2003. Первое решение, которое вы должны сделать при
планировании перехода, - это то, как добраться в пункт Б. Для этого существует несколько
способов, которые называются путями перехода. Ваш путь перехода будет главным звеном в
общей стратегии обновления. Эта стратегия будет включать описание того, какие объекты службы
каталога и в каком порядке вы будете перемещать. Наилучший способ любого проекта
перемещения службы каталога состоит в документировании каждой детали в рабочий документ,
называемый планом перехода.
Существует три пути перехода:
• обновление домена;
• реструктуризация домена;
• обновление с последующей реструктуризацией.
Обновление домена достигается модернизацией операционной системы до Windows Server 2003 на
контроллере домена низкого уровня. В случае Windows NT 4 служба каталога обновляется от базы
www.kodges.ru
данных SAM к Active Directory Windows Server 2003. Другими словами, пункт А обновляется от
Windows NT 4 или Windows 2000 к Windows Server 2003 и становится пунктом Б. После
завершения обновления пункт А прекращает существование. Обновление домена является
наименее сложным методом перехода, который может считаться заданным по умолчанию.
Второй вариант — это реструктуризация домена. В процессе реструктуризации объекты службы
каталога копируются из существующей платформы службы каталога (пункт А) в Active Directory
Windows Server 2003 (пункт Б). Этот процесс называется также клонированием. При
реструктуризации домена пункт А и пункт Б сосуществуют. Когда все объекты службы каталога
перенесены из А в Б, а все клиенты и компьютеры сконфигурированы так, чтобы использовать
новую службу каталога, пункт А можно просто выключить. Если специфика вашей компании
такова, что реструктуризация домена является подходящим путем перехода, то примите во
внимание несколько дополнительных соображений для сравнения этого пути с обновлением
домена. Они обсуждаются в последующих разделах.
Третий путь перехода — обновление с последующей реструктуризацией - известен как переход с
двумя стадиями, или гибридный переход. Этот метод выполняется обновлением доменов,
имеющих систему Windows NT 4, и последующим перемещением учетных записей в новый или
уже существующий домен Windows Server 2003. Он объединяет преимущества первого и второго
пути, которые будут рассмотрены далее. В последующих разделах объясняются достоинства и
недостатки каждого из трех путей.
Обновление Windows NT 4
Наиболее часто встречающийся сценарий — это переход от службы каталога Windows NT 4 к
Active Directory Windows Server 2003. Несмотря на свой возраст, система Windows NT 4 Server
является оплотом рынка сетевых операционных систем (NOS) для предприятий. На момент
выхода книги компания Microsoft объявила о планах «отставки» системы Windows NT 4 Server и
постепенного «свертывания» поддержки этого продукта в течение следующих нескольких
месяцев. С выпуском Windows Server 2003 многие организации, которые не хотели переходить к
Windows 2000, будут обновляться до Active Directory Windows Server 2003.
www.kodges.ru
реструктуризацию домена вместо обновления домена? Да, по тем же самым причинам, по которым клиенты
Windows NT 4 Server выбирают реструктуризацию домена, - инфраструктура службы каталога больше
соответствует потребностям бизнеса в организации. Клиент Windows 2000 Server, вероятнее всего,
модернизирует NOS, a затем реструктуризирует ее, чем выполнит чистую реструктуризацию домена.
Перед модернизацией Windows 2000 Server до Windows Server 2003 нужно выполнить два действия:
подготовить лес и домен Active Directory для Windows Server 2003. В папке \I386 на компакт-диске Windows
Server 2003 находятся два инструмента для решения этих задач: ForestPrep и DomainPrep. Процедуры
подготовки леса и домена описываются далее в этой главе.
Практический опыт. Переименование домена
При обновлении Windows NT 4 или Windows 2000 до Windows Server 2003 Active
Directory не изменяет имя домена. Новой функцией в Active Directory является
инструмент Domain Rename (Переименование домена). После того как домены
модернизированы, и уровень леса поднят до Windows Server 2003, можно изменить
имя модернизированного домена в соответствии с текущими потребностями вашей
организации. Инструменты переименования домена обеспечивают следующее:
• переименование домена без необходимости изменять положение какого-
нибудь домена леса;
• создание структуры нового дерева доменов путем изменения положения
доменов в пределах дерева;
• создание новых деревьев доменов.
Инструменты переименования доменов могут использоваться для изменения имени
корневого домена леса, но с их помощью нельзя назначить корневым доменом леса
другой домен, добавлять или удалять домены из леса. Для переименования
доменов Windows Server 2003 нужно установить инструмент Domain Rename
(Переименование доменов). Файлы Rendom.exe и Gpfixup.exe находятся на компакт-
диске Windows Server 2003 в папке \VALUEADD\MSFT\MGMT\DOMREN. Инструмент
Domain Rename доступен также на веб-сайте Microsoft по адресу http://
www.microsoft.com/windowsserver2003/downloads/ domainrename.mspx. Domain
Rename работает только в Windows Server 2003 и не поддерживает Windows 2000.
Для получения дополнительной информации об использовании Domain Rename
смотрите статью «Understanding How Domain Rename Works (Как работают
инструменты переименования доменов)» по адресу http: / /www.
microsoft.com/windowsserver2003 /docs /Domain-Rename- Intro.doc. Подробно
процедура развертывания Domain Rename описана в статье «Step-by-Step Guide to
Implementing Domain Rename (Пошаговое руководство по применению средства
Domain Rename)» no адресу
http://www.microsoft.com/windowsserver2003/docs/Domain-Rename- Procedure, doc.
www.kodges.ru
Active Directory. Это обновление выполняется двумя способами: учетные записи могут быть или
перемещены, или клонированы. При перемещении объекта первоначальный участник
безопасности в исходном домене удаляется. Перемещение объекта - это деструктивный процесс,
исходные объекты домена, необходимые для восстановления в случае сбоя, не сохраняются.
Клонирование — это процесс создания нового, идентичного участника безопасности в целевом
домене, основанном на объекте исходного домена. Предпочтительным методом передачи
участников безопасности в чистый лес Windows Server 2003 является клонирование. Перемещение
участников безопасности, как правило, производится при переходе между двумя лесами Windows
Server 2003 или между лесом Windows 2000 и лесом Windows Server 2003.
Сценарий перехода, связанный с обновлением и последующей реструктуризацией, приведен в
разделе «Обновление и реструктуризация» в этой главе.
Практический опыт. Понимание атрибута SID-History
Как учетные записи пользователей поддерживают доступ к принтерам и общим
папкам, когда вы переносите учетные записи пользователя из одного домена в
другой?
Рассмотрим пример. Во время реструктуризации домена вы переносите пакет
учетных записей пользователей из домена Windows NT 4 в домен Windows Server
2003. После завершения переноса вы инструктируете пользователей, как входить в
новый домен и сбрасывать свои пароли. Допустим, пользователь X успешно входит
на целевой домен, а затем пытается обратиться к существующей ранее общей
папке файлового сервера, на котором выполняется система Windows NT 4 Server, с
которой он работал в течение нескольких месяцев. Сможет ли пользователь X
обратиться к этой папке?
Да, и это возможно благодаря атрибуту SID-History.
SID-History является атрибутом участников безопасности Active Directory, который
используется для хранения старых идентификаторов защиты (SID) объекта. Если
пользователь X имел в домене Windows NT 4 идентификатор SID, равный S-1-5-21-
2127521184-1604012920-18879275 27-324294, то такое же значение появится в поле
атрибута SID-History для созданного объекта учетной записи Windows Server 2003.
При перемещении группы из домена Windows NT 4 в домен Active Directory SID
домена Windows NT 4 сохраняется в атрибуте SID-History данной группы. При
перемещении пользователей и групп учетные записи пользователя автоматически
назначаются членами групп, перенесенных в домен Windows Server 2003. Это
значит, что права доступа, назначенные для группы в домене Windows NT 4,
сохраняются в процессе перехода. Новый SID, сгенерированный целевым
контроллером домена, помещается в атрибут SID перемещенной учетной записи.
Каким образом сохраняется доступ к ресурсам? Когда пользователь X пытается
обратиться к общей папке, расположенной на файловом сервере Windows NT 4,
подсистема защиты проверяет его лексему доступа, чтобы удостовериться в
наличии необходимых разрешений на доступ к папке. Лексема доступа содержит не
только SID пользователя X и SID всех групп, к которым он принадлежит, но и все
входы SID-History самого пользователя и учетных записей его групп. Если найдено
соответствие между дискреционным списком управления доступом (DACL -
discretionary access control list) на дескрипторе защиты папки и предыдущим SID
(теперь включенным в лексему доступа с помощью атрибута SID-History), то
выдается разрешение на доступ к папке.
Как много из всего этого должен знать конечный пользователь? Ничего. Как много
должны знать вы, как системный администратор? Вам следует знать все. Доступ к
ресурсам — это наиболее проблемная область переноса учетных записей
пользователя. Понимая то, как поддерживаются разрешения после перехода, вы как
администратор можете эффективно решать проблемы, возникающие при доступе к
ресурсам. В процессе перехода вам, возможно, придется дополнительно
поработать для гарантии того, что поле SID-History заполнено. Вы узнаете больше
при исследовании утилиты Active Directory Migration Tool (Инструмент перехода к
Active Directory, ADMT).
Как работает атрибут SID-History в сценарии обновления домена? Ответ: он не
работает. При обновлении домена поддерживаются SID учетных записей групп и
www.kodges.ru
пользователей. Пользователь X сможет нормально обращаться к ресурсам. Как SID-
History работает в сценарии обновления с последующей реструктуризацией? Ответ:
так же, как в сценарии с простым обновлением домена, т.е. доступ к ресурсам
сохраняется за счет поддержки первоначального SID объекта в атрибуте SID-
History. Единственное различие состоит в том, что Active Directory требует, чтобы
идентификаторы SID появлялись в лесу только один раз, включая оба поля: SID и
SID-History. В результате в сценарии обновления с последующей реструктуризацией
участники безопасности должны быть перенесены, а не клонированы.
www.kodges.ru
самом высоком. Для пути перехода, связанного с обновлением и последующей реструктуризацией
вы, вероятно, увидите комбинацию деловых требований на каждой стороне спектра или
посередине (см. рис. 7-1).
www.kodges.ru
выберет путь перехода, связанный с обновлением домена, должна быть готова к простою службы
каталога.
www.kodges.ru
удовлетворять вашим деловым и организационным потребностям. Учитывая время и усилия,
которые потребуются для развертывания Active Directory в пределах вашего предприятия,
начинать с проекта имеет смысл только в том случае, если он упростит вашу жизнь настолько,
насколько это возможно.
www.kodges.ru
модернизировать контроллер домена, после того как приложение или служба будут перемещены
на сервер-член домена, или после того как вы будете иметь версию приложения, совместимую с
Windows Server 2003.
www.kodges.ru
Кроме того, вы должны запланировать время на обслуживание и поддержку, которые следуют за
развертыванием. Однако этот этап не является обязательным для проекта перехода службы
каталога и в этом разделе не обсуждается.
Дополнительная информация. Для получения дополнительной информации об обновлении
службы каталога Windows NT 4 до Windows Server 2003 смотрите статью «Upgrading
Windows NT 4.0 Domains to Windows Server 2003 (Обновление доменов Windows NT 4.0 до
Windows Server 2003) по адресу http://
www.microsoft.com/technet/prodtechnol/windowsserver2003/ evaluate/cpp/reskit/ad. Имеется
также статья «Domain Migration Cookbook (Кухня обновления доменов)» по адресу
http://www.microsoft.co7n/technet/prodtechnol/windows2000serv/deploy/cookbook/cookintr. Хотя
эти статьи написаны для Windows Server 2000, они дают критический анализ техники
перехода от Windows NT 4 и включают процедуры и наилучшие методы реализации
обновления и реструктуризации. Эти процедуры и методы уместны и в среде Windows
Server 2003.
Планирование модернизации
Чтобы гарантировать успешный переход к Windows Server 2003 и Active Directory, затратьте
достаточно усилий на его планирование, будь то оперативное обновление контроллеров домена
или полная реструктуризация доменной модели. Конечным результатом будет полное описание
всех задач, которые нужно выполнить в процессе модернизации. После проверки этот план будет
служить сценарием, по которому вы выполните многочисленные и разнообразные задачи
модернизации своего домена.
www.kodges.ru
o серверы службы удаленного доступа (RAS) (см. примечание ниже);
o файловые серверы и сервера печати.
Предостережение. RAS-серверы системы Windows NT 4 используют NULL-сеансы для
определения разрешений модема и других параметров его настройки, типа номеров
телефона повторного вызова (call-back) для удаленных пользователей. По умолчанию Active
Directory не принимает запросы к атрибутам объектов при использовании NULL-сеансов.
Без надлежащего планирования взаимодействие служб удаленного доступа в смешанной
среде может вызвать отказ в сетевом удаленном доступе для законных пользователей,
связывающихся с системой через модем. Чтобы избегать RAS-конфликтов в процессе
модернизации, нужно как можно раньше обновить RAS-серверы Windows NT 4. Если в
процессе модернизации вы будете поддерживать смешанную среду, нужно понизить
заданную по умолчанию защиту Active Directory, выбирая опцию Permissions Compatible
With Pre-Windows 2000 Server Operating Systems (Разрешения, совместимые с
операционными системами, предшествующими Windows 2000 Server) при выполнении
мастера инсталляции Active Directory.
• Аппаратные средства сервера с Windows NT 4 Server и конфигурации программного
обеспечения. Это особенно важно для обновления, при котором вы планируете
продолжать использование имеющихся аппаратных средств сервера в модернизированной
среде домена. Должна быть уверенность в том, что любой сервер, который снова будет
использоваться в том же качестве, удовлетворяет требованиям, предъявляемым к
аппаратным средствам Windows Server 2003. Важно также задокументировать
программную конфигурацию каждого сервера для гарантии того, что все приложения и
службы будут учтены в новой среде. Для контроллеров домена и серверов-членов домена,
этот список должен включать следующее:
o количество процессоров и их скорость;
o оперативная память;
o системы хранения информации;
o NOS, выполняющаяся на каждом сервере. (Вы можете обнаружить, что у вас
имеется совокупность разных NOS, которые имеют различные пути
обновления.);
o операционная система, выполняющаяся на рабочих станциях. (Это определит то,
как вы реализуете системные политики и сценарии входа в систему.);
o все приложения, связанные с бизнесом, выполняющиеся на контроллере домена
с системой Windows NT 4. (Вы должны задокументировать, совместимы ли они с
Windows Server 2003 и следует ли их проверять на новой платформе.)
Данный список - это только основа. Вы должны тщательно исследовать вашу сеть для выявления
проблем, которые могут помешать осуществлению ваших планов. Теперь, когда вы имеете ясное
представление о той точке, где вы находитесь, т.е. о пункте А, пришло время планировать ваше
путешествие в пункт Б.
www.kodges.ru
правильности.
Чтобы выполнить модернизацию системы путем обновления домена, необходимы
следующие шаги.
1. Установите самый последний пакет обновлений к системе Windows NT 4 Server
на всех контроллерах домена Contoso.
2. Синхронизируйте все контроллеры домена в домене Contoso.
3. Сделайте резервную копию контроллера BDC по имени DC7 на магнитной ленте.
Выполните контрольное восстановление образа, чтобы проверить набор данных.
Спрячьте ленту в надежное место и пометьте ее как образ DC7, сделанный
перед обновлением.
4. Переведите DC7 в автономный режим и обеспечьте его безопасность. Теперь он
будет резервным сервером для отката.
5. С помощью Server Manager (Менеджер сервера) пошлите сетевое сообщение
пользователям, связанным с PDC по имени DC1 за один час до начала
обновления NOS.
6. Запустите обновление NOS контроллера DC1, после того как все пользователи
отключатся. (Этот процесс включает установку Active Directory и может занимать
несколько часов.)
7. После окончания процесса обновления и последующей перезагрузки
контроллера DC1 выполните следующие действия по проверке правильности
перехода.
• Проверьте журнал регистрации событий, чтобы убедиться в отсутствии
ошибок, которые могут возникнуть при запуске служб (контроллер домена,
DNS, WINS, RAS).
• Откройте оснастку Active Directory Users And Computers (Пользователи и
компьютеры Active Directory). Проверьте, что учетные записи
пользователя были модернизированы должным образом.
• Войдите в систему как тестирующий обновление пользователь с именем
Upgradel, пароль = P@sswOrd. Задокументируйте результаты входа в
систему в тестовом документе в папке проекта. Доложите менеджеру
проекта, если вход не был успешным.
• Обратитесь к общей папке \\ ITStaff\Policies\ и откройте файл
PersonalSoftware.doc. Сделайте изменения и сохраните этот файл.
Открылась ли эта папка? Открылся ли этот файл? Возникли какие-либо
ошибки?
И так далее. Ваша процедура должна быть достаточно детализирована, чтобы ее можно было
легко выполнять, не полагаясь на память. Полагаться на свою память, когда под угрозой
находится сетевой доступ всех пользователей домена — это плохая идея.
Наилучшая практика. В процедуре, описанной в разделе «Практический опыт»,
дана инструкция входить в систему с учетной записью тестера Upgradel. Хорошей
практикой является создание такого количества учетных записей тестера, сколько
вам потребуется для проверки доступа к сети после обновления или
реструктуризации. Учетная запись тестера может быть сконфигурирована без
необходимости полагаться на правильную установку разрешений для реальной
учетной записи или на вашу собственную административную учетную запись, у
которой не будет проблем со входом в систему, с которыми может столкнуться
учетная запись, не имеющая административных разрешений. Возможно, что вы
захотите иметь одну учетную запись для тестирования входа в локальную сеть
(LAN), другую - для входа в систему с удаленного сайта, и еще одну - для
тестирования удаленного доступа.
Теперь, когда вы уточнили все, что будете делать при успешном ходе событий, пришло время
задокументировать, какие действия вы будете выполнять, если процесс пойдет неправильно, т.е.
план восстановления системы при сбое
www.kodges.ru
проверке правильности модернизации окончились неудачей. Определите в вашем плане
модернизации не только то, что вы будете делать для проверки правильности шагов, выполняемых
в процессе перехода, но и то, что вы сможете сделать для восстановления домена до последнего
работоспособного состояния. Так вы сможете поддерживать доступ к ресурсам для ваших
пользователей, найти ошибки в плане модернизации и попробовать все снова. В следующем
разделе рассмотрено планирование восстановления системы после сбоя в процессе перехода к
Active Directory.
Восстановление системы после неудавшегося обновления домена
Чтобы приготовиться к восстановлению системы в случае неудавшегося обновления домена,
выполните следующее.
1. Добавьте BDC ко всем доменам Windows NT 4 с одним контроллером домена. Это будет
гарантировать путь восстановления в случае сбоя при обновлении единственного
контроллера домена в домене.
2. Синхронизируйте все контроллеры BDC с PDC. Это будет гарантией того, что база данных
SAM содержит самые свежие данные.
3. Сделайте резервную копию контроллера PDC. Выполните контрольное восстановление
резервного набора данных, чтобы проверить, что резервирование прошло успешно.
4. Переведите полностью синхронизированный BDC в автономный режим и обеспечьте его
безопасность. Тем самым вы сохраните копию базы данных SAM, которую в случае
необходимости можно использовать для восстановления домена без необходимости
повторно устанавливать сервер и восстанавливать резервную копию.
5. Периодически подключайте этот защищенный BDC контроллер назад к сети и
перезагружайте его. Это сохранит актуальность базы данных SAM. Делайте это
обязательно, когда домен все еще находится на смешанном уровне Windows 2000 или на
временном (interim) уровне Windows Server 2003 (если нет контроллеров домена с
системой Windows 2000 Server). После того как функциональный уровень домена будет
поднят, вы не сможете реплицировать между контроллерами домена Windows Server 2003
и BDC более низкого уровня.
Чтобы восстановить систему PDC контроллера после неудавшегося обновления домена,
выполните следующие действия.
1. Выключите обновленный контроллер домена. Он считается PDC контроллером в домене
Windows NT 4 и будет мешать успешному выполнению следующего шага.
2. Подключите автономный BDC назад в сеть и назначьте его на роль PDC контроллера. Это
действие запустит репликацию сохраненной базы данных SAM на все оставшиеся в сети
BDC контроллеры с системой Windows NT 4.
Выполняя эту процедуру, вы восстановите свою сеть, основанную на Windows NT 4, до рабочего
состояния. Оставшиеся задачи восстановления состоят в том, чтобы расследовать причины
неудавшегося обновления, соответствующим образом откорректировать свой план развертывания
и начать сначала.
Восстановление системы после неудавшейся реструктуризации домена
Так как вы переносите учетные записи из домена Windows NT 4 в Active Directory Windows Server
2003, то ваш план восстановления в случае сбоя будет относительно прост. Процесс
реструктуризации домена - это не-разрушающий процесс, среда Windows NT 4 будет полностью
функционировать в процессе перехода. Если перемещение учетных записей окончится неудачей,
это вызовет определенные неудобства, но не затронет возможностей функционирования
пользователей в сети Windows NT 4.
Чтобы гарантировать возможность восстановления системы после неудавшейся реструктуризации
домена, выполните следующие действия.
1. Добавьте BDC ко всем доменам Windows NT 4, которые имеют только один контроллер
домена. Это будет гарантировать путь восстановления в том случае, если произойдет сбой
при обновлении единственного контроллера домена в домене.
2. Синхронизируйте все контроллеры BDC с PDC. Это будет гарантировать актуальность
базы данных SAM.
3. Сделайте резервную копию контроллера PDC. Выполните контрольное восстановление
резервного набора данных, чтобы проверить, что резервирование прошло успешно.
Если реструктуризация домена окончится неудачей, план восстановления состоит в том, чтобы
продолжить работу в среде Windows NT 4, расследовать причины неудачи, проверить план
www.kodges.ru
развертывания и пробовать снова. Если база данных SAM системы Windows NT 4 разрушена в
процессе перемещения учетных записей, используйте резервную копию для восстановления базы
данных учетных записей. Разрушение данных проявит себя тем, что не все объекты появятся в
User Manager (Менеджер пользователей), или пользователи не смогут войти в систему.
Обновление домена
Обновление домена - это вторая стадия процесса перехода к Windows Server 2003. (Первая стадия
- обновление NOS.) При обновлении контроллера домена, на котором выполняются системы
Windows NT 4 Server или Windows 2000 Server, после модернизации NOS и перезапуска
компьютера мастер инсталляции Active Directory запускается автоматически. По окончании
работы мастера служба каталога будет модифицирована до Active Directory Windows Server 2003.
Дополнительная информация. Для получения дополнительной информации о
проектировании структуры Active Directory см. гл. 5. Для получения дополнительной
информации об использовании мастера инсталляции Active Directory см. гл. 6.
В зависимости от версии Windows в процессе обновления выполняются различные действия.
Первая часть этого раздела описывает процессы обновления домена с системой Windows NT 4
Server, вторая — домена с системой Windows 2000 Server.
www.kodges.ru
Примечание. Если у вас установлена более ранняя версия системы, чем Windows NT 4, вы не
можете обновить ее сразу до Windows Server 2003. Сначала модернизируйте ее до Windows NT 4
и примените комплект обновлений Service Pack 5 (или более поздний) перед обновлением
операционной системы.
www.kodges.ru
Server 2003, и что сервер не будет иметь истории модификаций, которые могут
предотвратить чистое обновление.
После окончания этого процесса и проверки на повреждения сети и службы каталога вы можете
добавлять другие контроллеры домена, инсталлируя новые или модернизируя существующие
BDC. Пока вы находитесь на смешанном функциональном уровне Windows 2000 или пока вы не
поднимете его до временного (interim) уровня Windows Server 2003, вы сможете поддерживать
контроллеры домена Windows Server 2003 и резервные контроллеры домена с системой Windows
NT 4. Когда и как быстро вы будете модернизировать контроллеры BDC, зависит от вас.
Когда все контроллеры домена модернизированы до Windows Server 2003, можно поднять
функциональные уровни домена и леса. Для получения дополнительной информации о
функциональных уровнях смотрите раздел «Представление о функциональных уровнях» далее в
этой главе.
Чтобы модернизировать контроллеры PDC, выполните следующие действия.
Вставьте компакт-диск с Windows Server 2003 в CD-ROM. Если ваш CD-ROM разрешает
Autorun (Автоматическое выполнение), автоматически запустится программа Setup
(Установка). Вы можете также запустить файл Setup.exe из корневой папки компакт-диска
вручную.
При запуске программы Setup выберите опцию Install Windows Server 2003 (Установка
Windows Server 2003).
После того как программа Setup соберет информацию о вашей текущей операционной системе,
выберите опцию Upgrading To Windows Server 2003 (Обновление до Windows Server 2003).
Введите информацию, необходимую для завершения программы Setup.
Когда обновление системы до Windows Server 2003 закончится, компьютер будет
перезагружен, после чего автоматически начнет работать мастер инсталляции Active
Directory.
Выполните мастера инсталляции Active Directory в соответствии с вашим проектом Active
Directory. После того как инсталляция закончится, ваш компьютер будет перезагружен, и
обновление до Active Directory завершится.
www.kodges.ru
системой Windows NT 4 обработал запрос входа в систему.
Средства диагностики Active Directory расположены в комплекте Support Tools (Средства
поддержки) на компакт-диске Windows Server 2003. Вы можете установить эти средства на
обновленном контроллере домена с Windows Server 2003, выполняя файл Suptools.msi из папки
\SUPPORT\TOOLS, расположенной на компакт-диске Windows Server 2003. Нужно выполнить
следующие действия по диагностической проверке.
Чтобы проверить способность к взаимодействию и функциональность Active Directory,
запустите инструмент Domain Controller Diagnostic (Диагностика контроллера домена) (в
командной строке напечатайте dcdiag). В результате успешного испытания возвращается
ряд сообщений «passed» (пройдено).
Дополнительная информация. Компонент Dcdiag инструмента Support Tool Windows
Server 2003 анализирует состояние контроллеров домена в лесу и дает детальную
информацию о том, как идентифицировать неправильное поведение в системе. Контроллеры
домена идентифицируются и проверяются согласно директивам, которые пользователь
вводит в командную строку. Для получения дополнительной информации об инструменте
Dcdiag напечатайте dcdiag/? в командной строке.
Если это не первый домен Active Directory в лесу, напечатайте repadmin/showreps в командной
строке, чтобы проверить успешность репликации между контроллерами домена Active
Directory. В результате успешного испытания возвращается соответствующее сообщение о
каждом событии репликации с входящими и исходящими партнерами по репликации.
Чтобы проверить успешность репликации на контроллеры BDC, напечатайте
nltest/bdc_query:domainname, где domainname — имя реп-лицируемого домена. В
результате успешного испытания возвращается сообщение «status = success (статус =
успех)» для каждого BDC контроллера в домене.
После проверки обновления PDC вы можете модернизировать контроллеры BDC.
www.kodges.ru
выполнения любых действий, требующих контакта с контроллером домена, будут
взаимодействовать только с контроллерами домена, на которых установлена система Windows
2000 Server или Windows Server 2003. Если у вас есть обновленные клиентские компьютеры или
новые, на которых выполняются вышеупомянутые операционные системы, вы должны
предпринять некоторые шаги для устранения риска, связанного с появлением единственной точки
возможного отказа (модернизированный PDC).
Предотвратить перезагрузку контроллера домена можно, если быстро добавить в сеть
контроллеры домена с Windows Server 2003. Если не предполагается немедленного обновления
всех BDC с системой Windows NT 4 Server или добавления новых контроллеров домена с Windows
Server 2003, можно изменить системный реестр на модернизированном PDC таким образом, чтобы
контроллер домена Windows Server 2003 эмулировал поведение контроллера домена с системой
Windows NT 4 для всех клиентов, на которых выполняются Windows 2000 Professional и Windows
ХР Professional. Чтобы включить режим эмуляции Windows NT 4, выполните следующие действия
на PDC с модернизированной системой Windows NT 4.
1. После того как компьютер был модернизирован от Windows NT 4 до Windows Server 2003,
до начала установки Active Directory откройте редактор системного реестра (напечатайте
regedit в диалоговом окне Run).
2. Создайте значение NT4EMULATOR в ключе системного реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Services\ Netlogon\Parameters.
3. Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение DWORD).
Замените имя New Value #1 именем NT 4Emulator и нажмите Enter.
4. В меню Edit щелкните на Modify(Изменить). В диалоговом окне Edit DWORD Value
(Правка значения DWORD) напечатайте 1 в текстовом поле Value Data (Данные), а затем
щелкните на ОК.
5. Сохраните изменения и закройте редактор системного реестра.
6. Запустите мастер инсталляции Active Directory, напечатав dcpromo в диалоговом окне Run.
Повторите этот процесс на каждом из недавно установленных контроллеров домена с Windows
Server 2003 или на каждом контроллере домена с модернизированной системой Windows NT 4,
пока не будет введено достаточное количество контроллеров домена с Windows Server 2003, чтобы
возможность перегрузки была устранена.
Имейте в виду, что это временное решение временной проблемы. После того как все
запланированные контроллеры домена с Windows NT 4 будут модернизированы до Windows
Server 2003, вы должны или установить значение NT 4Emulator на 0x0, или удалить ключ
системного реестра для каждого из модифицированных компьютеров.
Практический опыт. Нейтрализация эмуляции NT 4
Для некоторых компьютеров нужно будет изменить системный реестр так, чтобы
они игнорировали установку NT 4EMULATOR. Это компьютеры с Windows Server
2003 или Windows 2000, которые будут назначены контроллерами домена, и
компьютеры с Windows 2000 Professional или Windows XP Professional, которые
будут использоваться для управления доменом Active Directory. Имеется способ
дать им возможность входить в контакт с контроллерами домена Windows Server
2003 как обычно.
Чтобы нейтрализовать установку NT 4EMULATOR, выполните следующие действия.
Запустите редактор системного реестра (напечатайте regedit в диалоговом окне
Run).
Создайте значение NeutralizeNT4Emulator в ключе
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\
Netlogon\Parameters.
Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение
DWORD). Замените имя New Value #1 именем NeutralizeNT4Emulator и
нажмите Enter.
В меню Edit (Правка) щелкните на Modify (Изменить). В диалоговом окне Edit
DWORD Value (Правка значения DWORD) напечатайте 1 в текстовом поле Value
Data (Данные), а затем щелкните на ОК.
После того как все BDC с Windows NT 4 будут установлены или модернизированы до Windows
Server 2003, обновление можно считать почти законченным. Заключительный шаг состоит в
поднятии функционального уровня домена и леса с уровня mixed Windows 2000 (значение по
www.kodges.ru
умолчанию) к уровню Windows Server 2003.
www.kodges.ru
Windows Server 2003. Чтобы задействовать все функции Active Directory после того, как все
домены леса будут работать на функциональном уровне native Windows 2000 или выше, нужно
поднять функциональный уровень леса до уровня Windows Server 2003.
Предостережение. Не поднимайте функциональный уровень леса до уровня Windows Server 2003,
если у вас есть контроллеры домена, на которых выполняется система Windows NT 4 Server или
Windows 2000 Server. Как только функциональный уровень леса будет поднят до уровня Windows
Server 2003, его нельзя вернуть назад на уровень mixed или native Windows 2000, и вы не сможете
поддерживать контроллеры домена низкого уровня вашего леса.
Подготовка леса
Чтобы подготовить лес Active Directory для обновления, используйте инструмент
администрирования Adprep.exe, чтобы сделать необходимые изменения к схеме Active Directory.
Помните, что этот процесс нужно выполнить прежде, чем будет начато обновление до Windows
Server 2003.
Чтобы подготовить лес к обновлению первого контроллера домена с Windows 2000 Server до
Windows Server 2003, выполните следующие действия.
Найдите сервер, который является хозяином схемы. Для этого откройте оснастку Active
Directory Schema Microsoft Management Console (Консоль управления схемой), щелкните
правой кнопкой мыши на узле Active Directory Schema (Схема Active Directory), а затем
щелкните на Operations Master (Хозяин операций). В диалоговом окне Change Schema
Master (Изменение хозяина схемы) найдите имя текущего хозяина схемы.
Сделайте резервную копию хозяина схемы. Возможно, вам потребуется восстановить этот
образ, если подготовка леса не будет успешной.
Отсоедините хозяина схемы от сети. Не восстанавливайте подключение до шага 8 в этой
процедуре.
Вставьте компакт-диск Windows Server 2003 в дисковод CD-ROM.
Откройте командную строку, перейдите на дисковод CD-ROM и откройте папку \I386.
Напечатайте adprep/forestprep. Вы должны быть членом групп Enterprise Admins
(Администраторы предприятия) и Schema Admins (Администраторы схемы) в Active
Directory, или вам должны быть делегированы соответствующие полномочия.
Чтобы проверить выполнение команды, откройте Event Viewer (Средство просмотра событий)
и проверьте системный журнал на предмет ошибок или неожиданных событий. Если вы
найдете сообщения об ошибках, связанные с процессом подготовки леса, займитесь этими
ошибками, прежде чем выполнять следующий шаг. Если вы не можете расследовать
ошибки, используйте инструмент диагностики Active Directory (напечатав dcdiag в
диалоговом окне Run), чтобы проверить функциональность контроллера домена. Если вы
не можете разобраться с этими ошибками, восстановите хозяина схемы из резервной
копии, исследуйте скорректированные действия и добейтесь, чтобы подготовка леса была
закончена успешно.
Если инструмент adprep/forestprep выполнился без ошибок, повторно подключите хозяина
www.kodges.ru
схемы к сети.
На этом завершится подготовка леса к обновлению домена с Windows 2000 Server до Windows
Server 2003. Следующий шаг состоит в подготовке домена.
Совет. Перед началом подготовки домена подождите, пока изменения, сделанные в хозяине
схемы, будут реплицированы хозяину инфраструктуры. Помните, что если серверы находятся в
различных сайтах, вы должны ждать дольше, чтобы завершить репликацию. Если вы попробуете
выполнить процесс подготов-
ки домена, прежде чем изменения будет реплицированы, сообщение об ошибках уведомит вам,
что необходимо еще подождать.
Подготовка домена
Подготовка домена очень похожа на подготовку леса. Для этого нужно найти и подготовить
держателя роли хозяина инфраструктуры вместо хозяина схемы.
Чтобы подготовить каждый домен для обновления первого контроллера домена с Windows 2000
Server до Windows Server 2003, выполните следующие действия.
Найдите сервер, который является хозяином инфраструктуры. Для этого откройте инструмент
администрирования Active Directory Users And Computers, щелкните правой кнопкой мыши
на узле домена, а затем щелкните на Operations Masters (Хозяева операций). На вкладке
Infrastructure (Инфраструктура) окна Operations Masters узнайте имя текущего хозяина
инфраструктуры.
На сервере, функционирующем как хозяин инфраструктуры, вставьте компакт-диск Windows
Server 2003 в дисковод CD-ROM.
Откройте командную строку, перейдите на дисковод CD-ROM и откройте папку \I386.
Напечатайте adprep/domainprep. Вы должны быть членом групп Domain Admins
(Администраторы домена) или Enterprise Admins (Администраторы предприятия) в Active
Directory, или вам должны быть делег