Задание 2: просмотрите домен с помощью Active Directory Users And Computers

1. Раскройте меню Start\Programs\Administrative Tools (Пуск\Прог-раммы\Администрирование) и щелкните Active Directory Users And Computers.

2. Откроется одноименная консоль.

3. В дереве консоли дважды щелкните microsoft.com (или имя ваше­го домена). Что содержит узел microsoft?

4. В дереве консоли щелкните Domain Controllers. Обратите внимание: на правой панели появится название появится DNS-имя сервера.

5. Закройте консоль Active Directory Users And Computers.

Задание 3: протестируйте службу dns с помощью консоли dns

1. Раскройте меню Start\Programs\Administrative Tools и щелкните DNS.

2. Откроется консоль DNS. В дереве консоли DNS щелкните правой кнопкой имя вашего сервера и выберите команду Properties (Свойства).

3. Откроется окно свойств вашего сервера.

4. Перейдите на вкладку Monitoring.

5. В списке Select A Test Type (Выберите тип теста) пометьте флажки A Simple Query Against This DNS Server (Простой запрос к этому DNS-серверу) и A Recursive Query To Other DNS Servers (Рекур­сивный запрос к другим DNS-серверам) и щелкните Test Now (Протестировать). В окне свойств сервера в списке результатов тестирования должна появиться надпись PASS (Пройден успешно) — в столбцах Simple Query (Простой запрос) и Recursive Query (Рекурсивный запрос).

6. Щелкните ОК.

7. Закройте консоль DNS.

Резюме

Мастер установки Active Directory можно запустить либо выполнив •команду Configure Your Server, либо введя команду DCPROMO в ко­мандной строке. Мастер установки Active Directory используется для добавления контроллера к существующему домену, для создания первого контроллера нового домена, для создания нового дочернего домена и нового дерева доменов, а также для удаления Active Directory из контроллера домена.

БД Active Directory — это каталог для нового домена. По умолчанию БД и журналы располагаются в папке systemroof\NTDS. Во время установки Active Directory создается общий системный том — структура папок, существующая на всех контроллерах доменов Windows 2000. В нем хранятся сценарии и некоторые объекты групповых политик для текущего домена и предприятия. По умолчанию он располагается в папке systemroof\SYSVOL.

Active Directory использует DNS в качестве службы поиска, позволяя компьютерам находить контроллеры доменов, поэтому нельзя . установить Active Directory, не имея в сети службы DNS. Можно сконфигурировать DNS-сервер автоматически, средствами мастера установки Active Directory. Если вы не используете отличный от Windows 2000 DNS-сервер и не собираетесь выполнять особую конфигурацию, нет необходимости конфигурировать DNS для поддержки Active Directory вручную.

Существуют смешанный и основной режимы работы домена. Смешанный режим допускает совместимость с предыдущими версиями Windows NT, а основной используется, только если все контроллеры в домене работают под управлением Windows 2000 Server.

Роли хозяина операций

Это специальные роли, назначаемые одному или нескольким кон­троллерам в домене Active Directory. Контроллеры доменов, которым назначены эти роли, выполняют репликацию с одним хозяином. Здесь рассказывается о ролях хозяина операций и задачах, связанных с их назначениями. Вы сможете:

• описать роли мастера операций в лесе и домене;

• спланировать расположение хозяина операций;

• просмотреть назначения роли хозяина операций;

• передать назначения роли хозяина операций.

Active Directory поддерживает репликацию БД с несколькими хозяе­вами между всеми контроллерами домена. Однако некоторые изме­нения не следует выполнять в этом режиме, поэтому один или более контроллеров доменов разрешается привлекать к выполнению опе­раций, которые должны выполняться с одним хозяином (они не мо­гут выполняться одновременно в разных местах сети). Роли хозяина операций (operations master roles) назначаются контроллерам доменов для выполнения операций с одним хозяином.

В любом лесе Active Directory одному или нескольким контролле­рам доменов разрешается назначать пять ролей хозяина операций. Необходимо, чтобы одни роли содержались в каждом лесе, другие — в каждом домене леса. Можно изменить назначение ролей хозяина операций после установки, но в большинстве случаев это не требует­ся. Вы должны знать, какие роли хозяина операций назначены кон­троллеру домена; это пригодится, если с контроллером возникнут проблемы или вы захотите исключить его из работы.

Роли хозяина операций на уровне леса

Каждый лес Active Directory должен содержать следующие роли:

• хозяин схемы;

• хозяин именования домена.

Это роли должны быть уникальны в лесе, то есть во всем лесе может быть только один хозяин схемы и один хозяин именования домена.

Хозяин схемы

Хозяин схемы управляет всеми обновлениями и изменениями схемы. Для обновления схемы леса необходимо иметь доступ к хозяину схемы. В любой момент времени может быть только один хозяин схемы в составе всего леса.

Хозяин именования домена

Контроллер домена, выполняющий роль хозяина именования доме­на, управляет операциями добавления или удаления доменов в соста­ве леса. В любой момент времени может быть только один хозяин именования домена в составе всего леса.

Роли хозяина операций на уровне домена

Каждый домен в лесе должен иметь следующие роли:

• хозяин относительных идентификаторов;

• эмулятор основного контроллера домена (primary domain controller, PDC);

• хозяин инфраструктуры.

Эти роли должны быть уникальны в каждом домене: каждому до­мену в лесе разрешается иметь только одного хозяина относительных идентификаторов, эмулятор PDC и хозяина инфраструктуры.

Хозяин относительных идентификаторов

Хозяин относительных идентификаторов назначает ряд относительных идентификаторов каждому контроллеру в своем домене. В любой мо­мент времени в каждом домене леса может быть только один контрол­лер домена, выполняющий роль хозяина относительных идентифика­торов.

Каждый раз при создании объекта пользователя, группы или ком­пьютера контроллер домена назначает данному объекту уникальный код безопасности. Он состоит из кода безопасности домена (который одинаков для всех кодов безопасности, созданных в этом домене) и относительного кода безопасности, уникального для каждого кода безопасности, созданного в домене.

Для перемещения объекта между доменами (с помощью служеб­ной программы Movetree.exe) необходимо произвести перемещение на контроллере, который выполняет роль хозяина относительных идентификаторов домена, содержащего в данный момент этот объект.

Эмулятор основного контролера домена

Если в домене есть компьютеры без установленного клиентского про­граммного обеспечения Windows 2000 или резервные контроллеры

домена Windows NT, эмулятор основного контроллера домена рабо­тает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резер­вные контроллеры домена. В любой момент времени в каждом доме­не леса может быть только один контроллер домена, выполняющий роль эмулятора основного контроллера домена.

При работе домена Windows 2000 в основном режиме эмулятор основного контроллера получает преимущественную репликацию изменений пароля, выполненных другими контроллерами в данном домене. При изменении пароля репликация этих изменений на каж­дый контроллер домена занимает некоторое время. Если проверка подлинности при входе в сеть заканчивается неудачно из-за неверно­го пароля на одном контроллере домена, он пересылает запрос на проверку подлинности на эмулятор основного контроллера домена, прежде чем отказать в доступе.

Хозяин инфраструктуры

Хозяин инфраструктуры отвечает за обновление ссылок «группа — пользователь» при переименовании или изменении членов группы. В любой момент времени в каждом домене может быть только один контроллер домена, выполняющий роль хозяина инфраструктуры.

При переименовании или перемещении члена группы (и разме­щении данного члена в другом домене, отличном от домена этой груп­пы) он может временно не отображаться в группе. Хозяин инфра­структуры домена, содержащего данную группу, отвечает за обновле­ние группы и обладает сведениями об имени и расположении данно­го члена. Хозяин инфраструктуры распространяет обновленные све­дения с помощью репликации с несколькими хозяевами.

Защита не подвергается опасности в период времени между пере­именованием члена группы и обновлением этой группы. Только ад­министратор, просматривающий участие в отдельной группе, может заметить временное несоответствие.

Планирование расположения хозяина операций

При использовании небольшого леса Active Directory с одним доме­ном и одним контроллером домена данный контроллер выполняет роли всех хозяев операций. При создании первого домена в составе нового леса все роли одиночного хозяина операций автоматически назначаются первому контроллеру в этом домене.

При создании нового дочернего домена или корневого домена нового дерева в составе существующего леса первому контроллеру в новом домене автоматически назначаются следующие роли:

• хозяин относительных идентификаторов;

• эмулятор основного контроллера домена;

• хозяин инфраструктуры.

Так как возможен только один хозяин схемы и один хозяин име­нования доменов в составе леса, данные роли остаются в домене, ко­торый был создан первым в данном лесе.

На рис. 4-9 показано принятое по умолчанию распределение ролей хозяина операций в лесе.

Рис. 4-9. Принятое по умолчанию распределение ролей хозяина операций в лесе

На рисунке Домен А был первым, созданным в составе леса (он также называется корневым доменом леса). Содержит обе роли хозя­ина операций на уровне всего леса. Первому контроллеру в осталь­ных доменах назначаются три роли, которые относятся только к оп­ределенному домену.

Расположение по умолчанию хозяев операций подходят для леса, развернутого на несколько контроллеров домена в одном сайте. В лесе, который содержит множество контроллеров или несколько сай­тов, иногда возникает необходимость переместить назначенные по умолчанию роли хозяев операций на другие контроллеры в составе домена или леса.

Планирование назначения ролей хозяев операций в домене

Если в домене только один контроллер, то ему принадлежат все роли в домене. В ином случае следует выбрать два контроллера, которые являются прямыми партнерами репликации и входят в состав хоро­шо организованной сети. Один из контроллеров домена следует сде­лать хозяином операций. Другой контроллер необходимо сделать за­пасным хозяином операций. Контроллер домена в роли запасного (standby) хозяина операций используется в случае отказа контроллер* домена, выполняющего роль хозяина операций.

В типичных доменах следует назначать роли хозяина относитель­ных идентификаторов и эмулятора основного контроллера домен* контроллеру домена, выполняющему роль хозяина операций. В до­мене очень большого размера вы уменьшите пиковую загрузку эму­лятора основного контроллера, разместив данные роли на разные контроллеры, каждый из которых является прямым партнером реп­ликации контроллера домена в роли запасного хозяина операций Следует сохранять эти роли на одном контроллере до тех пор, пок* загрузка хозяина операций не потребует разделения этих ролей.

Роль хозяина инфраструктуры следует назначить любому контрол­леру домена, который не является глобальным каталогом, но имеет с ним хорошую связь. Глобальный каталог может находиться в любом домене того же сайта, что и контроллер домена. Если контроллер до­мена в роли хозяина операций отвечает данным требованиям, его сле­дует использовать до тех пор, пока загрузка контроллера не потребует разделения ролей.

Планирование ролей хозяев операций для леса

После планирования всех ролей для каждого домена, следует рассмот­реть роли для леса. Роли хозяина схемы и хозяина именования доме­нов всегда назначаются одному контроллеру домена. Для повышения производительности эти роли следует назначать контроллеру домена, который имеет хорошую связь с компьютерами, используемыми ад­министратором или группой, ответственными за обновления схемы к создание новых доменов. Загрузка данных ролей хозяев операций очень мала, поэтому для облегчения управления следует помещать эта роли на контроллер одного из доменов леса.

Планирование развития

В общем случае при развитии леса не требуется изменять расположе­ние ролей хозяина операций. Но если планируется удаление контрол­лера домена, изменение статуса глобального каталога контроллера домена либо изменение порядка взаимодействия частей сети, следует пересмотреть план и соответственно скорректировать назначение ролей хозяина операций.

Определение назначений ролей хозяина операций

Прежде чем изменять назначения ролей хозяина операций, необходимо ознакомиться с текущими назначениями.