Служба Active Directory сердце Microsoft Windows Server 2003. С ней так или иначе связаны практически все административные задачи - korshu.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Служба Active Directory сердце Microsoft Windows Server 2003. С ней так или иначе - страница №1/1


Лекция № 10.

Служба Active Directory
Знакомство с Active Directory

Служба Active Directory — сердце Microsoft Windows Server 2003. С ней так или иначе связаны практически все административные задачи. Технология Active Directory основана на стандартных Интернет-про­токолах и помогает четко определять структуру сети.


Active Directory и DNS

В Active Directory используется доменная система имен (Domain Name System, DNS) — стандартная служба Интернета, организу­ющая группы компьютеров в домены. В отличие от одноуровне­вой структуры доменов Windows NT 4.0, домены DNS имеют иерархическую структуру, которая составляет основу Интернета. Разные уровни этой иерархии идентифицируют компьютеры, до­мены организаций и домены верхнего уровня. DNS также служит для преобразования имен узлов, например zeta.webatwork.com, в численные IP-адреса, например 192.168.19.2. Средствами DNS -иерархию доменов Active Directory можно вписать в пространст­во Интернета или оставить самостоятельной и изолированной от внешнего доступа.

Для доступа к ресурсам в домене применяется полное имя узла, например st01oi001.samara.cbr.ru. Здесь st01oi001 — имя индивидуального компьютера, samara — домен организации, a cbr.ru — домен верх­него уровня. Домены верхнего уровня составляют фундамент ие­рархии DNS и потому называются корневыми доменами (root do­mains). Они организованы географически, с названиями на основе двухбуквенных кодов стран (ru для России), по типу организации (сот для коммерческих организаций) и по назначению (mil для во­енных организаций США).

Обычные домены, например microsoft.com, называются роди­тельскими (parent domain), поскольку они образуют основу орга­низационной структуры. Родительские домены можно разделить на поддомены разных отделов или удаленных филиалов. Напри­мер, полное имя компьютера в офисе Microsoft в Сиэтле может быть jacob.seattle.microsoft.com, где Jacob — имя компьютера, Seattle — поддомен, а microsoft.com — родительский домен. Дру­гое название поддомена — дочерний домен (child domain).

Итак, DNS — неотъемлемая часть технологии Active Directory, причем настолько, что перед установкой Active Directory вы обя­заны настроить DNS в сети, если еще не сделали этого. Сконфигурировав DNS, уста­новите Active Directory с помощью мастера: в меню Пуск (Start) выберите команду Выполнить (Run), в поле Открыть (Open) введите dcpromo и щелкните ОК. Если в сети нет доменов, мас­тер поможет создать домен и сконфигурировать в нем Active Directory. Мастер также помогает добавлять дочерние домены в существующие структуры.
Примечание Далее Active Directory и домены Active Directory мы будем называть просто каталогом и доменами, кроме тех случаев, когда надо отличать структуры Active Directory от структур DNS или Windows NT.

Компоненты Active Directory

Active Directory объединяет логическую и физическую структу­ру для компонентов сети. К логической структуре относятся сле­дующие элементы:



  • организационное подразделение (organizational unit) — под­группа компьютеров, как правило, отражающая структуру компании;

  • домен (domain) — группа компьютеров, совместно использу­ющих общую БД каталога;

  • дерево доменов (domain tree) — один или несколько доменов, совместно использующих непрерывное пространство имен;

  • лес доменов (domain forest) — Одно или несколько деревьев, совместно использующих информацию каталога.

К физическим структурам относятся следующие элементы:

подсеть (subnet) — сетевая группа с заданной областью IP-адресов и сетевой маской;

сайт (site) — одна или несколько подсетей. Сайт использует­ся для настройки доступа к каталогу и для репликации.


Работа с компонентами Active Directory
Логические структуры Active Directory помогают организовывать объекты каталога и управлять сетевыми учетными записями и общими ресурсами. К логическим структурам относятся леса доменов, деревья доменов, сами домены и ОП. Сайты и подсети, с другой стороны, являются физическими элементами, которые помогают планировать реальную структуру сети. На основании физических структур формируются сетевые связи и физические границы сетевых ресурсов.
Понятие домена

Домен Active Directory — это просто группа компьютеров, совме­стно использующих общую БД. Имена доменов Active Directory должны быть уникальными. Например, у вас не может быть двух доменов microsoft.com, но может быть родительский домен microsoft.com с дочерними доменами seattle.microsoft.com и ny.microsoft.com. Если домен является частью закрытой сети, имя, при­своенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен — часть глобальной сети Интернет, то его имя не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительско­го домена необходимо зарегистрировать через любую полномоч­ную регистрационную организацию. Список действующих пол­номочных регистрационных организаций имеется в InterNIC (http://www.intemic.net).

В каждом домене действуют собственные политики безопас­ности и доверительные отношения с другими доменами. Зачас­тую домены распределяются по нескольким физическим распо­ложениям, т. е. состоят из нескольких сайтов, а сайты — объе­диняют несколько подсетей, В БД каталога домена хранятся объекты, определяющие учетные записи для пользователей, групп и компьютеров, а также общие ресурсы, например принтеры и папки
Примечание Об учетных записях пользователей и групп рассказано в лекции 12. Об учетных записях компьютеров и разных типах компьютеров, используемых доменами Windows Server 2003, — в разделе «Работа с доменами Active Directory» этой лекции.
Функции домена ограничиваются и регулируются режимом его функционирования. Существует четыре функциональных ре­жима доменов:


  • смешанный режим Windows 2000 (mixed mode) — поддержива­ет контроллеры доменов, работающие под управлением Win­dows NT 4.0, Windows 2000 и Windows Server 2003;

  • основной режим Windows 2000 (native mode) — поддерживает контроллеры доменов, работающие под управлением Windows 2000 и Windows Server 2003;

  • промежуточный режим Windows Server 2003 (interim mode) - поддерживает контроллеры доменов, работающие под управ­лением Windows NT 4.0 и Windows Server 2003;

  • режим Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

Подробнее функциональные режимы доменов рассмотрены в разделе «Использование доменов Windows NT и Windows 2000 с Active Directory».
Леса и деревья

Каждый домен Active Directory обладает DNS-именем типа microsoft.com. Домены, совместно использующие данные катало­га, образуют лес (forest). Имена доменов леса в иерархии имен DNS бывают несмежными (discontiguous) или смежными (con­tiguous).

Домены, обладающие смежной структурой имен, называют деревом доменов (рис. 10-1). На рисунке у корневого домена msnbc.com имеются два дочерних — seattle.msnbc.com и ny.msnbc.com. У них в свою очередь тоже есть поддомены. Все они яв­ляются частью одного дерева, так как у них один и тот же корне­вой домен.

Рис. 10-1. Домены в одном дереве совместно используют смежную структуру имен

Если у доменов леса несмежные DNS-имена, они образуют от­дельные деревья доменов в лесу. В лес можно включить одно или несколько деревьев (рис. 10-2). На рисунке домены msnbc.com и microsoft.com образуют корни отдельных деревьев доменов в од­ном лесу.

Рис. 10-2. Разные деревья в лесу обладают несмежными структурами имен


Для доступа к доменным структурам предназначена консоль Active Directory — домены и доверие (Active Directory Domains and Trusts), показанная на рис. 10-3. Для каждого корневого до­мена отображаются отдельные записи. На рисунке показан до­мен npdom.samara.cbr.ru.

Рис. 10-3. Консоль Active Directory — домены и доверие (Active Directory Domains and Trusts) служит для работы с доменами, деревьями и лесами

Функции лесов ограничиваются и регулируются функцио­нальным режимом леса. Таких режимов три:


  • Windows 2000 — поддерживает контроллеры доменов, работа­ющие под управлением Windows NT 4.0, Windows 2000 и Win­dows Server 2003;

  • промежуточный (interim) Windows Server 2003 — поддержива­ет контроллеры доменов, работающие под управлением Win­dows NT 4.0 и Windows Server 2003;

  • Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

Самые современные функции Active Directory доступны в ре­жиме Windows Server 2003. Если все домены леса работают в этом режиме, вы сможете пользоваться улучшенной репликацией гло­бальных каталогов и более эффективной репликацией данных Active Directory. Также вы получите возможность отключать классы и атрибуты схемы, использовать динамические вспомо­гательные классы, переименовывать домены и создавать в лесу односторонние, двухсторонние и транзитивные доверительные отношения.


Организационные подразделения

Организационные подразделения (ОП) — это подгруппы в доме­нах, которые часто отражают функциональную структуру орга­низации. ОП представляют собой своего рода логические кон­тейнеры, в которых размещаются учетные записи, общие ресур­сы и другие ОП. Например, вы вправе создать в домене microsoft.com подразделения HumanResourses, IT, Marketing. Потом эту схему можно расширить, чтобы она содержала дочерние под­разделения.

В ОП разрешается помещать объекты только из родительско­го домена. Например, ОП из домена seattle.microsoft.com содер­жат объекты только этого домена. Добавлять туда объекты из ny.microsoft.com нельзя. ОП очень удобны при формировании функциональной или бизнес-структуры организации. Но это не единственная причина их применения.


  • ОП позволяют определять групповую политику для небольшого набора ресурсов в домене, не применяя ее ко всему домену.

  • С помощью ОП создаются компактные и более управляемые представления объектов каталога в домене, что помогает эф­фективнее управлять ресурсами.

  • ОП позволяют делегировать полномочия и контролировать административный доступ к ресурсам домена, что помогает задавать пределы полномочий администраторов в домене. Вы можете передать пользователю А административные полно­мочия только для одного ОП и в то же время»передать поль­зователю В административные полномочия для всех ОП в до­мене.

ОП представлены в виде папок в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers), показанной на рис. 10-4.



Рис. 10-4. Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет управлять пользователями, группами, компьютерами и ОП



Сайты и подсети

Сайт — это группа компьютеров в одной или нескольких IP-под­сетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логичес­кой структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Также нет связи между диапазоном IP-адре­сов сайта и пространством имен домена.

В отличие от сайтов, способных охватывать множество об­ластей IP-адресов, подсети обладают заданной областью IP-ад­ресов и сетевой маской. Имена подсетей указываются в формате сеть/битовая маска, например 192.168.19.0/24, где сетевой адрес 192.168.19.0 и сетевая маска 255.255.255.0 скомбинированы в имя подсети 192.168.19.0/24.

Примечание Вам не нужно знать, как создается имя подсети. Чаще всего достаточно ввести сетевой адрес и сетевую маску, а ОС Windows Server 2003 сама сгенерирует имя подсети.
Компьютеры приписываются к сайтам в зависимости от ме­стоположения в подсети или в наборе подсетей. Если компьюте­ры в подсетях способны взаимодействовать на достаточно вы­соких скоростях, их называют хорошо связанными (well connec­ted). В идеале сайты состоят из хорошо связанных подсетей и компьютеров. Если скорость обмена между подсетями и ком­пьютерами низка, может потребоваться создать несколько сай­тов. Хорошая связь дает сайтам некоторые преимущества.


  • Когда клиент входит в домен, в процессе аутентификации сначала производится поиск локального контроллера доме­на в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры, что ограничивает сетевой тра­фик и ускоряет аутентификацию.

  • Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вы­званный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию. Вы можете настроить порядок репликации данных каталога, используя связи сайтов (site links). Например, определить сер­вер-плацдарм (bridgehead) для репликации между сайтами.
    Основная часть нагрузки от репликации между сайтами ляжет на этот специализированный сервер, а не на любой до­ступный сервер сайта.

Сайты и подсети настраиваются в консоли Active Directory — сайты и службы (Active Directory Sites and Services), показан­ной на рис. 6-5.

Рис. 6-5. Консоль Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями


Работа с доменами Active Directory
В сети Windows Server 2003 служба Active Directory настраива­ется одновременно с DNS. Тем не менее у доменов Active Directory и доменов DNS разное назначение. Домены Active Directory по­могают управлять учетными записями, ресурсами и защитой. Иерархия доменов DNS предназначена, главным образом, для разрешения имен.

Active Directory спроектирована для работы не только с Mic­rosoft Windows Server 2003, но и с Windows 95/98/NT/XP/2000. При установленном клиентском ПО системы Windows 95/98/ ХР/2000 работают в сети как клиенты Active Directory. Систе­мы Windows NT и другие версии Windows без клиентского ПО Active Directory работают в сети, как если бы они располагались в домене Windows NT, если этот домен настроен и его использование допускается функциональным режимом домена Active Di­rectory.



Использование Windows Server 2003, Windows XP и Windows 2000 с Active Directory
В полной мере воспользоваться преимуществами Active Directory способны компьютеры, работающие под управлением Windows XP Professional и Windows 2000. Они работают в сети как кли­енты Active Directory и им доступны транзитивные доверитель­ные отношения, существующие в дереве или лесу доменов. Тран­зитивное доверие устанавливается автоматически в соответствии со структурой леса и системой разрешений, определенных в нем. Эти отношения позволяют авторизованным пользователям по­лучать доступ к ресурсам в любом домене леса.

Система Windows Server 2003 функционирует как контрол­лер домена или как рядовой сервер. Рядовые серверы становятся контроллерами после установки Active Directory; контроллеры понижаются до рядовых серверов после удаления Active Direc­tory. Оба процесса выполняет мастер установки Active Directory.

В домене может быть несколько контроллеров. Они репли­цируют между собой данные каталога по модели репликации с несколькими хозяевами, которая позволяет каждому контрол­леру обрабатывать изменения каталога, а затем передавать их на другие контроллеры. Благодаря структуре с несколькими хозяе­вами все контроллеры по умолчанию обладают равной ответст­венностью. Впрочем, вы вправе предоставить некоторым контроллерам домена приоритет над другими в определенных зада­чах, например создать сервер-плацдарм, который обладает при­оритетом при репликации данных каталога на другие сайты. Кроме того, некоторые задачи лучше выполнять на выделенном сервере. Сервер, обрабатывающий специфический тип задач, на­зывается хозяином операций (operations master). Существует пять различных операций, которые назначают разным контроллерам домена (см. далее в этой главе).

Для всех компьютеров с Windows 2000, Windows XP Professional и Windows Server 2003, присоединенных к домену, создаются учет­ные записи, хранящиеся, подобно другим ресурсам, в виде объ­ектов Active Directory. Учетные записи компьютеров служат для управления доступом к сети и ее ресурсам. Прежде чем компью­тер получает доступ к домену по своей учетной записи, он в обя­зательном порядке проходит процедуру аутентификации.



Примечание В Windows Server 2003 для аутентификации пользователей и компьютеров используется глобальный каталог Active Directory. Если глобальный каталог недоступен, войти в домен могут только члены группы администраторов доме­на. Чтобы избежать подобной проблемы, воспользуйтесь воз­можностью локального кэширования членства в универсальных группах (см. далее в этой лекции).

Active Directory и Windows 9x
Компьютеры с Windows 95/98 работают с Active Directory дву­мя способами. В зависимости от конфигурации сети они полу­чают доступ к сети как часть домена Windows NT или как часть домена Active Directory.

Вход в сеть через домен Windows NT
Если в сети используются системы Windows 9x, но клиент Active Directory на них не установлен, эти системы получают доступ к сети как часть существующего домена Windows NT.

  • Если Active Directory работает в смешанном режиме, в сети для осуществления входа в систему необходим эмулятор главного контроллера домена (primary domain controller, PDC) или ре­зервный контроллер домена (backup domain controller, BDC).

  • Если, Active Directory работаете основном .режиме, для осу­ществления входа в систему требуется резервный контроллер домена.

• В рамках эмуляции домена Windows NT системы Windows 9x: могут обращаться только к ресурсам, доступным по односто­ронним доверительным отношениям Windows NT, которые должны быть явно заданы администратором. Это справедли­во для доступа и через контроллер Windows Server 2003, и че­рез резервный контроллер Windows NT.
Вход в сеть в качестве клиента Active Directory
Если Active Directory работает в основном режиме, системы Win­dows 9x могут получить доступ к сети как часть домена Active Directory. После установки клиентского ПО эти системы в пол­ной мере воспользуются особенностями Active Directory и транзитивными доверительными отношениями по всему дереву или лесу.

Установка клиента Active Directory

  1. Войдите в систему на компьютере Windows 9x, который хо­тите настроить в качестве клиентами вставьте установочный компакт-диск Windows 2000 Server или Windows Server 2003.

  2. Щелкните кнопку Пуск (Start) и выберите Выполнить (Run).

  3. Введите E:\Clients\Win9X\Dsclient.exe, где Е — обозначение дисковода для компакт-дисков, и щелкните ОК.

  4. В ходе выполнения программа записывает несколько файлов на компьютер клиента и запускает Мастер установки клиен­тов службы каталогов (Directory Service Client Setup Wizard). Прочтите текст в окне приветствия и щелкните Далее (Next).

  5. Щелкните Далее (Next). Мастер определит конфигурацию системы и установит нужные файлы.

  6. Щелкните Готово (Finish) и перезагрузите компьютер.

  7. В панели управления дважды щелкните значок Сеть (Net­work).

  8. На вкладке Конфигурация (Configuration), выделите прото­кол TCP/IP и щелкните кнопку Свойства (Properties). Убе­дитесь, что параметры TCP/IP позволяют подключиться к до­мену Active Directory.

  9. На вкладке Идентификация (Identification) проверьте све­дения об имени компьютера и рабочей группе.

  10. Если вы изменили параметры, компьютер, возможно, придет­ся перезагрузиться. После перезагрузки войдите в систему по учетной записи с правами доступа в домен Active Directory. Вы должны получить доступ к ресурсам домена.

Примечание Системы Windows 9x в роли клиентов не имеют учетных записей компьютеров и не отображаются в окне Се­тевое окружение (Network Neighborhood), но вы можете про­смотреть информацию об их сеансе связи. Запустите консоль Управление компьютером (Computer Management), раскройте узлы Служебные программы (System Tools), Общие папки (Shared Folders) и выберите Сеансы (Sessions) — отобразятся текущие сеансы связи пользователей и компьютеров.

Использование доменов Windows NT и Windows 2000 с Active Directory
Прежде чем компьютер с Windows NT и Windows 2000 станет частью домена, для него следует завести учетную запись. Под­держка доменов Windows NT и Windows 2000 возможна в не­скольких функциональных режимах Active Directory.

  • Смешанный режим Windows 2000 (mixed mode) — поддержи­вает домены Windows Server 2003, Windows 2000 и Windows NT. Доменам, работающим в этом режиме, недоступны мно­гие функции Active Directory, например универсальные груп­пы, вложение групп, преобразование типов групп, простое переименование контроллера домена, штампы времени входа в систему и номера версий ключей центра распределения клю­чей Kerberos.

  • Основной режим Windows 2000 (native mode) — поддерживает только домены Windows Server 2003 и Windows 2000. Доме­ны Windows NT не поддерживаются. Домены, работающие в этом режиме, не могут использовать простое переименова­ние контроллера домена, штампы времени входа в систему и номера версий ключей центра распределения ключей Kerberos.

  • Промежуточный режим Windows Server 2003 (interim mode)

поддерживает только домены Windows Server 2003 и Windows NT. Домены Windows 2000 не поддерживаются. Этот режим позволяет обновить домен Windows NT сразу до домена Windows Server 2003, минуя промежуточную стадию Windows 2000. Он аналогичен смешанному режиму Windows 2000, но поддерживает только серверы с Windows NT и Windows Server 2003.

Режим Windows Server 2003 — поддерживает только домены Windows Server 2003. Домены Windows NT и Windows 2000 не поддерживаются. Домену в режиме Windows Server 2003 доступны все функции Active Directory.


Смешанный режим Windows 2000
Функциональный режим домена Windows Server 2003 задается при установке Active Directory на первый контроллер в данном домене. Если в этом домене используются системы Windows NT 4.0 Server, Windows 2000 Server и Windows Server 2003, вам необ­ходим смешанный режим работы (по крайней мере на началь­ном этапе).

В этом режиме компьютеры, настроенные на работу в домене Windows NT, получают доступ к сети, как если бы они по-преж­нему работали в домене Windows NT. Это могут быть компьюте­ры с Windows 9x, на которых не запущен клиент Active Directory, рабочие станции и серверы Windows NT. Роль рабочих станций Windows NT неизменна, а вот серверы Windows NT восприни­маются несколько иначе: они способны действовать лишь как резервные контроллеры домена (backup domain controller, BDC) или рядовые серверы. Основного контроллера с Windows NT в до­мене быть не может. Домен Windows NT подчиняется контрол­леру Windows Server 2003, который играет роль контроллера PDC для репликации на резервные контроллеры данных службы ка­талогов Active Directory (на резервных контроллерах они ока­жутся доступными только для чтения) и для синхронизации из­менений параметров безопасности.

Контроллер домена Windows Server 2003, действующий в ка­честве контроллера PDC, конфигурируется как хозяин операций эмулятора PDC. Вы можете в любой момент назначить эту роль другому контроллеру домена Windows Server 2003. Контроллер, действующий как эмулятор PDC, поддерживает два протокола аутентификации:

Kerberos — стандартный Интернет-протокол для аутентификации пользователей и систем; главный механизм аутенти­фикации в доменах Windows Server 2003;

диспетчер локальной сети NT (NT Local Area Network Manager, NTLM) — главный протокол аутентификации Windows NT; используется для аутентификации компьютеров в домене Windows NT.
Перевод домена в основной режим Windows 2000

Обновив PDC и другие системы Windows NT до Windows 2000, можно сменить рабочий режим на основной и задействовать в до­мене только ресурсы Windows 2000 и Windows Server 2003. Од­нако, перейдя в основной режим Windows 2000, вы уже не сможете вернуться к смешанному. Поэтому переходите на основной режим, только если вы уверены, что вам не понадобятся преж­няя структура домена Windows NT или резервные контроллеры домена Windows NT.

После перехода на основной режим Windows 2000 вы обна­ружите, что:

• репликация NTLM более не поддерживается;



  • эмулятор PDC более не способен синхронизировать данные с резервными контроллерами Windows NT (если они имеют­ся);

  • вы не можете добавлять в этот домен контроллеры Windows NT.

Промежуточный режим Windows Server 2003

Если вы обновляете домен Windows NT до Windows Server 2003, вам не нужно прибегать к смешанному режиму. Воспользуйтесь вместо этого промежуточным режимом Windows Server 2003, который доступен только при первом обновлении контроллера домена Windows NT до Windows Server 2003. Запустите обнов­ление PDC Windows NT 4.0. В ходе его выполнения вам будет предложено выбрать функциональный режим леса: укажите промежуточный режим Windows Server 2003. Работа домена в про­межуточном режиме Windows Server 2003 очень похожа на рабо­ту в смешанном режиме Windows 2000. Единственное исключе­ние — не поддерживаются контроллеры домена Windows 2000.

После обновления PDC вы сможете обновить оставшиеся резервные контроллеры. Microsoft рекомендует настроить авто­номный резервный контроллер домена (backup BDC offline), что­бы переключаться на него в случае неполадок. Убедившись в том, что все работает нормально, повысьте функциональный режим домена и леса, чтобы в полной мере использовать преимущест­ва новых функций Active Directory.

Режим Windows Server 2003
Обновив домены Windows NT, стоит перейти к обновлению кон­троллеров доменов Windows 2000 до контроллеров доменов Windows Server 2003. Затем при желании измените режим, что­бы поддерживать только домены Windows Server 2003.

Прежде чем вы сможете обновить контроллеры домена Windows 2000, вам будет предложено подготовить домен к рабо­те с Windows Server 2003. Для этого потребуется обновить лес домена и его схему, чтобы они стали совместимыми с доменами Windows Server 2003. Для автоматического обновления предус­мотрена программа Adprep.exe. Запустите ее на хозяине операций схемы (schema operations master), а затем на хозяине операций инфраструктуры (infrastructure operations master) для каждого домена леса. Как всегда, предварительно проверьте процедуру в лабораторных условиях.

Вот как выполнить обновление.


  1. Проверьте возможность обновления на хозяине операций схемы и на хозяине операций инфраструктуры для каждого до­мена леса. Вставив в дисковод компакт-диск Windows Server 2003, щелкните Пуск (Start) и затем Выполнить (Run). В по­ле Открыть (Open) введите E:\i386\winnt32.exe /checkupgradeonly, где Е — дисковод для компакт-дисков, и щелкните ОК. Запустится программа Консультант по обновлению Microsoft Windows (Microsoft Windows Upgrade Advisor). Выберите Пропустить этот шаг (No, skip this step) и щелк­ните Далее (Next). Программа-консультант проведет анализ
    оборудования системы и определит возможность обновления до Windows Server 2003. Если обнаружены несоответствия, устраните их, прежде чем продолжить обновление.

  2. Все контроллеры доменов Windows 2000 в лесу должны пред­варительно пройти обновление до пакета обновления Service Pack 2 или более позднего. Чтобы проверить текущую версию сервисного пакета, в Панели управления (Control Panel) дважды щелкните Система (System). Сведения об установленном пакете обновления находятся на вкладке Общие (General).

  3. Войдите в систему с компьютера — хозяина операций схемы для первого домена леса, который вы хотите обновить, и вставьте в дисковод компакт-диск Windows Server 2003. Щелкните Пуск (Start) и затем Выполнить (Run). В поле Открыть (Open) введите E:\i386\adprep.exe /forestprep, где Е — дисковод для компакт-дисков, и щелкните ОК. Внима­тельно прочитайте инструкции и нажмите С, чтобы продол­жить, или любую другую букву, чтобы закрыть окно.

Примечание Чтобы определить, какой именно сервер является в данное время хозяином операций схемы в доме­не, введите в командной строке dsquery server -hasfsmo schema. Программа выведет строку пути службы катало­гов с указанием имени сервера, например: «CN=CORPSERVER01, CN=Servers, CN=Default-First-Site-Name, CN=Sites, CN=Configuration, DC=microsoft, DC=com». Из этой строки можно определить, что хозяин операций схемы — это CORPSERVER01 в домене microsoft.com.

4. Войдите в систему с компьютера — хозяина операций инфра­структуры для первого домена леса, который вы хотите обно­вить, и вставьте в дисковод компакт-диск Windows Server 2003. Щелкните Пуск (Start) и затем Выполнить (Run). В поле От­крыть (Open) введите E:\i386\adprep.exe /domainprep, где Е — дисковод для компакт-дисков, и щелкните ОК. Внимательно прочитайте инструкции и нажмите С, чтобы продолжить, или


любую другую букву, чтобы закрыть окно.
Примечание Чтобы определить, какой именно сервер является в данное время хозяином операций инфраструктуры, введите в командной строке dsquery server -hasfsmo infr.

5. При необходимости повторите действия 3 и 4 для других доменов в лесу.

После обновления всех контроллеров доменов Windows NT и Windows 2000 и рядовых серверов вы можете повысить функ­циональный режим доменов и леса, чтобы получить возможность использовать все новые функции Active Directory. Однако в этом случае вам будут доступны только ресурсы домена Windows Ser­ver 2003. Кроме того, перейдя в режим Windows Server 2003 для домена или леса, вы не сможете вернуться к любому другому режиму. Поэтому используйте режим Windows Server 2003, лишь если уверены, что вам не понадобятся старый домен Windows NT, резервные контроллеры домена Windows NT или домен Win­dows 2000.

Повышение функционального режима домена и леса
Домены, работающие в режиме Windows Server 2003, могут ис­пользовать самые современные функциональные возможности доменов Active Directory, в том числе универсальные группы, вложенность групп, преобразование типов групп, штампы времени входа в систему и номера версий ключей центра распреде­ления ключей Kerberos. Кроме того, в этом режиме администра­тор имеет возможность:


  • переименовать контроллеры домена без предварительного понижения;

  • переименовать домены, работающие под управлением кон­троллеров Windows Server 2003;

  • создавать расширенные двухсторонние доверительные отно­шения между двумя лесами;

  • изменять структуру доменной иерархии, переименовывая до­мены и перемещая их по уровням;

  • пользоваться расширенными возможностями репликации для отдельных членов группы и глобальных каталогов.

Лесам доменов, работающим в режиме Windows Server 2003, доступны все последние усовершенствования лесов Active Directory, а именно: усовершенствованная репликация глобаль­ных каталогов, более эффективная репликация в пределах одно­го сайта и между различными сайтами, а также возможность устанавливать односторонние, двухсторонние и транзитивные доверительные отношения.



Примечание Процесс обновления доменов и леса генерирует большой объем сетевого трафика, так как информация репли­цируется по сети. В некоторых случаях для завершения процес­са обновления требуется 15 минут и больше. В течение этого времени наблюдается замедление отклика при обмене с серве­рами и увеличение задержки при работе с сетью. Поэтому про­цесс обновления рекомендуется выполнять в нерабочее время. Полезно также предварительно провести всестороннюю проверку на совместимость с существующими приложениями (особенно с теми, которые не поддерживают Windows Server 2003), преж­де чем выполнять обновление.
Вот как повысить функциональный режим домена.

  1. Откройте консоль Active Directory — домены и доверие (Active Directory Domains and Trusts).

  2. В дереве консоли щелкните правой кнопкой домен, с которым хотите работать, и выберите Изменение режима работы доменов Active Directory, в том числе универсальные группы, вложенность групп, преобразование типов групп, штампы вре­мени входа в систему и номера версий ключей центра распреде­ления ключей Kerberos. Кроме того, в этом режиме администра­тор имеет возможность:

  • переименовать контроллеры домена без предварительного понижения;

  • переименовать домены, работающие под управлением кон­троллеров Windows Server 2003;

  • создавать расширенные двухсторонние доверительные отно­шения между двумя лесами;

  • изменять структуру доменной иерархии, переименовывая до­ мены и перемещая их по уровням;

  • пользоваться расширенными возможностями репликации для отдельных членов группы и глобальных каталогов.

  1. Откройте консоль Active Directory — домены и доверие (Active Directory Domains and Trusts).

  2. В дереве консоли щелкните правой кнопкой домен, с которым хотите работать, и выберите Изменение режима работы домена (Raise Domain Functional Level). В одноименном диалого­вом окне появится имя текущего домена.

  3. Выберите в списке новый режим и щелкните Изменить (Raise). Имейте в виду, что это необратимое действие. Преж­де чем выполнить его, тщательно продумайте возможные по­следствия.

  4. Щелкните ОК. Новый режим будет реплицирован на все кон­троллеры в этом домене. В большой сети на это требуется немало времени.

Вот как повысить уровень функциональности леса.



  1. Откройте консоль Active Directory — домены и доверие (Ac­tive Directory Domains and Trusts).

  2. В дереве консоли щелкните правой кнопкой узел Active Di­rectory — домены и доверие (Active Directory Domains and Trusts) и выберите Изменение режима работы леса (Raise Forest Functional Level). В одноименном диалоговом окне появится имя текущего леса.

  3. Выберите в списке новый режим и щелкните Изменить (Raise). Имейте в виду, что это необратимое действие. Преж­де чем выполнить его, тщательно обдумайте возможные последствия.

  4. Щелкните ОК. Новый режим леса будет реплицирован на все контроллеры всех доменов в этом лесу. В большой сети на это может потребоваться значительное время.


Структура каталога
Данные каталога предоставляются пользователям и компьюте­рам через хранилища данных (data stores) и глобальные каталоги (global catalogs). Хотя большинство функций Active Directory затрагивают хранилище данных, глобальные каталоги (ГК) не менее важны, поскольку используются для входа в систему и по­иска информации. Больше того, если ГК недоступен, обычные пользователи не смогут войти в домен. Единственный способ обойти это условие — локальное кэширование членства в универ­сальных группах. У него есть свои достоинства и недостатки, но об этом чуть позже.

Доступ и распространение данных Active Directory обеспечи­ваются средствами протоколов доступа к каталогу (directory access protocols) и репликации (replication). Протоколы позволяют клиентам связываться с компьютерами, на которых работает Active Directory. Репликация нужна для распространения обнов­ленных данных на контроллеры. Главный метод распростране­ния обновлений — репликация с несколькими хозяевами, но некоторые изменения обрабатываются только специализированны­ми контроллерами — хозяевами операций (operations masters).

Способ выполнения репликации с несколькими хозяевами в Windows Server 2003 также изменился благодаря появлению разделов каталога приложений (application directory partitions). Посредством их системные администраторы, входящие в груп­пу администраторов предприятия, могут создавать в лесу доме­нов разделы репликации, которые представляют собой логичес­кие структуры, используемые для управления репликацией в пре­делах леса доменов. Например, вы вправе создать раздел, кото­рый будет ведать репликацией информации DNS в пределах до­мена. Другим системам домена репликация информации DNS запрещена.

Разделы каталога приложений могут быть дочерним элемен­том домена, дочерним элементом другого прикладного раздела или новым деревом в лесу доменов. Реплики разделов разреша­ется размещать на любом контроллере домена Active Directory, включая глобальные каталоги. Хотя разделы каталога приложе­ний полезны в больших доменах и лесах, они увеличивают из­держки на планирование, администрирование и сопровождение.



Хранилище данных
Хранилище содержит сведения о важнейших объектах службы каталогов Active Directory — учетных записях, общих ресурсах, ОП и групповых политиках. Собственно, иногда хранилище дан­ных и называют просто каталогом (directory). На контроллере домена каталог хранится в файле NTDS.DIT, расположение ко­торого определяется при установке Active Directory (это обяза­тельно должен быть диск NTFS). Некоторые данные каталога можно хранить и отдельно от основного хранилища, например групповые политики, сценарии и другую информацию, записан­ную в общем системном ресурсе SYSVOL.

Предоставление информации каталога в совместное пользо­вание называют публикацией (publish). Например, открывая прин­тер для использования в сети, вы его публикуете; публикуется информация об общей папке и т. п.

Контроллеры доменов реплицируют большинство изменений в хранилище по схеме с несколькими хозяевами. Администратор небольшой или среднего размера организации редко управляет репликацией хранилища, поскольку она осуществляется автома­тически, но вы имеете право настроить ее согласно специфике сетевой архитектуры.

Реплицируются не все данные каталога, а только:

данные домена — информация об объектах в домене, включая объекты учетных записей, общих ресурсов, ОП и групповых политик;

данные конфигурации — сведения о топологии каталога: спи­сок всех доменов, деревьев и лесов, а также местоположения контроллеров и серверов ГК;

данные схемы — информация обо всех объектах и типах дан­ных, которые могут храниться в каталоге; стандартная схе­ма Windows Server 2003 описывает объекты учетных записей, объекты общих ресурсов и др.; вы вправе расширить ее, опре­делив новые объекты и атрибуты или добавив атрибуты для существующих объектов.
Глобальный каталог
Если локальное кэширование членства в универсальных группах не производится, вход в сеть осуществляется на основе инфор­мации о членстве в универсальной группе, предоставленной ГК. Он также обеспечивает поиск в каталоге по всем доменам леса. Контроллер, выполняющий роль сервера ГК, хранит полную реплику всех объектов каталога своего домена и частичную реп­лику объектов остальных доменов леса.
Примечание Для входа в систему и поиска нужны лишь некоторые свойства объектов, поэтому возможно использование частичных реплик. Для формирования частичной реплики при репликации нужно передать меньше данных, что снижает сетевой трафик.

По умолчанию сервером ГК становится первый контроллер домена. Поэтому, если в домене только один контроллер, то сервер ГК и контроллер домена — один и тот же сервер. Вы также вправе расположить ГК на другом контроллере, чтобы сократить время ожидания ответа при входе в систему и ускорить поиск. Рекомен­дуется создать по одному ГК в каждом сайте домена.

Контроллеры, хранящие ГК, должны иметь скоростную связь с контроллерами — хозяевами инфраструктуры. Хозяин инфра­структуры — одна из пяти ролей хозяина операций, которую можно назначить контроллеру домена. В домене хозяин инфраструктуры отвечает за обновление ссылок объектов. Он сравни­вает свои данные с данными ГК, находит устаревшие ссылки и запрашивает обновленные сведения из ГК. Затем он реплици­рует изменения на остальные контроллеры в домене. О ролях хозяина операций рассказано в разделе «Роли хозяина опера­ций».

Если в домене только один контроллер, вы можете назначить роль хозяина инфраструктуры и ГК одному контроллеру доме­на. Но если в домене два или более контроллеров, ГК и хозяин инфраструктуры должны быть на разных контроллерах. Иначе хозяин инфраструктуры не найдет устаревших данных и в итоге никогда не реплицирует изменения. Единственное исключение — когда ГК хранится на всех контроллерах домена. Тогда не важ­но, какой из них — хозяин инфраструктуры. Несколько ГК в до­мене нужны, главным образом, чтобы гарантировать, что ката­лог всегда доступен для обслуживания входа в сеть и запросов поиска.

Поиск в ГК очень эффективен, поскольку ГК содержит ин­формацию об объектах во всех доменах леса. Это позволяет об­служивать запросы на поиск в локальном домене, а не обращать­ся в домен в другой части сети. Локальное разрешение запросов снижает нагрузку на сеть и обычно ускоряет ответ.

Внимание! Если вход в систему замедлился или пользователи долго ждут ответа на запрос, создайте дополнительные ГК. Но помните, что большое количество ГК влечет переда­чу большего объема данных по сети.

Кэширование членства в универсальных группах
В крупной организации нерационально хранить ГК в каждом офисе. Однако в случае потери связи между удаленным офисом и офисом, в котором хранится ГК, возникнет проблема со вхо­дом в сеть: запросы на вход в систему должны направляться в ГК, а при отсутствии связи это невозможно. Если в данном офисе нет собственной копии ГК, обычные пользователи потеряют возможность входа в систему. Она останется только у админис­траторов домена.

Есть несколько способов решения этой проблемы. Разумеет­ся, можно создать сервер ГК на одном из контроллеров домена в удаленном офисе. Недостаток этого спо­соба — увеличение нагрузки на сервер ГК, что может потребовать дополнительных ресурсов и тщательного планирования време­ни работы этого сервера.

Другой способ решения проблемы — локальное кэширование членства в универсальных группах. При этом любой контроллер домена может обслуживать запросы на вход в систему локаль­но, не обращаясь к серверу ГК. Это ускоряет процедуру входа в систему и облегчает ситуацию в случае выхода сервера ГК из строя. Кроме того, при этом снижается трафик репликации. Вместо того, чтобы периодически обновлять весь ГК по всей сети, достаточно обновлять информацию в кэше о членстве в универ­сальной группе. По умолчанию обновление происходит каждые восемь часов на каждом контроллере домена, в котором использу­ется локальное кэширование членства в универсальной группе.

Членство в универсальной группе индивидуально для каждо­го сайта. Напомним, что сайт — это физическая структура, со­стоящая из одной или нескольких подсетей, имеющих инди­видуальный набор IP-адресов и сетевую маску. Контроллеры домена Windows Server 2003 и ГК, к которому они обращаются, должны находиться в одном сайте. Если у вас имеется несколь­ко сайтов, вам придется настроить локальное кэширование на каждом из них. Кроме того, пользователи, входящие в сайт, долж­ны быть частью домена Windows Server 2003, работающего в ре­жиме леса Windows Server 2003.



Репликация и Active Directory

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры отдельного домена. Схема и данные конфигура­ции реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигу­рации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится ГК, содержит и реп­лицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.

Чтобы понять суть репликации, рассмотрим такой сценарий настройки новой сети.



  1. Вы устанавливаете в домене А первый контроллер. Этот сер­вер — единственный контроллер домена. Он же является и сервером ГК. Репликация в такой сети не происходит, по­скольку нет других контроллеров.

  2. Вы устанавливаете в домене А второй контроллер, и начина­ется репликация. Можно назначить один контроллер хозяи­ном инфраструктуры, а другой — сервером ГК. Хозяин инфраструктуры следит за обновлениями ГК и запрашивает их для измененных объектов. Оба этих контроллера также реплици­руют данные схемы и конфигурации.

  3. Вы устанавливаете в домене А третий контроллер, на кото­ром нет ГК. Хозяин инфраструктуры следит за обновлениями ГК, запрашивает их для измененных объектов, а затем реплицирует изменения на третий контроллер домена. Все три
    контроллера также реплицируют данные схемы и конфигура­ции.

  4. Вы создаете новый домен Б и добавляете в него контролле­ры. Серверы ГК в домене А и домене Б реплицируют все дан­ные схемы и конфигурации, а также подмножество данных домена из каждого домена. Репликация в домене А продолжа­ется, как описано выше, плюс начинается репликация внут­ри домена Б.


Active Directory и LDAP

Упрощенный протокол доступа к каталогам (Lightweight Direc­tory Access Protocol, LDAP) — стандартный протокол Интернет-соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к службам каталогов с минимальными издержками. В LDAP также определены операции, используемые для запро­са и изменения информации каталога.

Клиенты Active Directory применяют LDAP для связи с ком­пьютерами, на которых работает Active Directory, при каждом входе в сеть или поиске общих ресурсов. LDAP можно исполь­зовать и для управления Active Directory.

LDAP — открытый стандарт, предназначенный и для других служб каталога. Он упрощает взаимосвязь каталогов и переход на Active Directory с других служб каталогов. Для повышения совместимости используйте интерфейсы служб Active Directory (Active Directory Service Interfaces, ADSI). ADSI поддерживает стандартные API-интерфейсы для LDAP, совместимые с Интер­нет-стандартом RFC 1823. Для управления объектами Active Directory из сценариев интерфейс ADSI применяется совместно с сервером сценариев Windows (Windows Script Host, WSH).


Роли хозяина операций

Хозяин операций решает задачи, которые неудобно выполнять в модели репликации с несколькими хозяевами. Существует пять ролей хозяина операций — вы можете назначить их одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, для других достаточно уровня доме­на. В каждом лесе Active Directory должны существовать сле­дующие роли.



  • Хозяин схемы (schema master) управляет обновлениями и изменениями схемы каталога. Для обновления схемы каталога вам необходим доступ к хозяину схемы. Чтобы определить, какой сервер в данное время является хозяином схемы в домене, откройте окно командной строки и введите dsquery server -hasfsmo schema.

Хозяин именования доменов (domain naming master) управляет добавлением и удалением доменов в лесу. Чтобы добавить или удалить домен, вам требуется доступ к хозяину именования доменов. Чтобы определить, какой сервер в данное время яв­ляется хозяином именования доменов, откройте окно команд­ной строки и введите dsquery server -hasfsmo name.

Эти роли, общие для всего леса в целом, должны быть в нем уникальными. Иными словами, вы можете настроить только один хозяин схемы и один хозяин именования доменов для леса.

В каждом домене Active Directory в обязательном порядке существуют следующие роли.

Хозяин относительных идентификаторов (relative ID master) выделяет относительные идентификаторы контроллерам до­менов. Каждый раз при создании объекта пользователя, груп­пы или компьютера контроллеры назначают объекту уникаль­ный идентификатор безопасности, состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином относительных идентифика­торов. Чтобы определить, какой сервер в данное время явля­ется хозяином относительных идентификаторов в домене, откройте окно командной строки и введите dsquery serverhasfsmo rid.



  • Эмулятор PDC (PDC emulator) в смешанном или промежуточном режиме домена действует как главный контроллер доме­ на Windows NT. Он аутентифицирует вход в Windows NT, обрабатывает изменения пароля и реплицирует обновления на
    BDC. Чтобы определить, какой сервер в данное время является эмулятором PDC в домене, откройте окно командной строки и введите dsquery server -hasfsmo pdc.

  • Хозяин инфраструктуры (infrastructure master) обновляет ссылки объектов, сравнивая данные своего каталога с дан­ными ГК. Если данные устарели, он запрашивает из ГК об­новления и реплицирует их на остальные контроллеры в до­мене. Чтобы определить, какой сервер в данное время являет­ся хозяином инфраструктуры в домене, откройте окно команд­ной строки и введите dsquery server -hasfsmo infr.

Эти роли, общие для всего домена, должны быть в нем уни­кальными. Иными словами, вы можете настроить только один хозяин относительных идентификаторов, один эмулятор PDC и один хозяин инфраструктуры для каждого домена.

Обычно роли хозяина операций назначаются автоматически, но вы вправе их переназначить. При установке новой сети все роли хозяев операций получает первый контроллер первого до­мена. Если вы позднее создаете новый дочерний домен или кор­невой домен в новом дереве, роли хозяина операций также авто­матически назначаются первому контроллеру домена. В новом лесу доменов контроллеру Домена назначаются все роли хозяи­на операций. Если новый домен создается в том же лесу, его контроллеру назначаются роли хозяина относительных иденти­фикаторов, эмулятора PDC и хозяина инфраструктуры. Роли хозяина схемы и хозяина именования доменов остаются у пер­вого домена леса.

Если в домене только один контроллер, он выполняет все роли хозяев операций. Если в вашей сети один сайт, стандартное рас­положение хозяев операций оптимально. Но по мере добавления контроллеров домена и доменов иногда требуется переместить роли хозяев операций на другие контроллеры доменов.

Если в домене два или более контроллеров, сконфигурируйте два контроллера домена для выполнения ролей хозяина опера­ций. Например, назначьте один контроллер домена основным хозяином операций, а другой — запасным, который понадобится при отказе основного. Убедитесь, что контроллеры доменов — прямые партнеры по репликации и соединены скоростным кана­лом связи.



По мере роста структуры доменов можно разнести роли хозя­ина операций по отдельным контроллерам. Это ускорит отклик хозяев на запросы. Всегда тщательно планируйте ролевые обя­занности будущего контроллера домена.

Примечание Две роли, которые не следует разбивать, — хозяин схемы и хозяин именования доменов. Всегда назначай­те их одному серверу. Для наибольшей эффективности жела­тельно, чтобы хозяин относительных идентификаторов и эму­лятор PDC также находились на одном сервере, хотя при не­обходимости эти роли можно разделить. Так, в большой сети, где большие нагрузки снижают быстродействие, хозяин отно­сительных идентификаторов и эмулятор PDC должны быть размещены на разных контроллерах. Кроме того, хозяин инфраструктуры не следует размещать на контроллере до­мена, хранящем ГК («Глобальный каталог»).