- •Лабораторная работа № 1
- •Раздел1. Консоль Microsoft Management Console (mmc)
- •Интерфейс пользователя консоли ммс
- •Введение в Active Directory
- •Знакомство с Active Directory
- •Компоненты Active Directory
- •Концепции работы Active Directory
- •Планирование внедрения Active Directory
- •Рис 4-1. Деление фирмы Microsoft по функциональному и географическому признакам
- •Планирование доменного пространства имен
- •Оптимизация трафика регистрации рабочей станции
- •Установка Active Directory
- •Режимы домена
- •Удаление Active Directory с контроллера домена
- •Задание 1: просмотрите домен из окна My Network Places
- •Задание 2: просмотрите домен с помощью Active Directory Users And Computers
- •Задание 3: протестируйте службу dns с помощью консоли dns
- •Роли хозяина операций
- •Определение хозяина относительных идентификаторов, эмулятора рос и хозяина инфраструктуры
- •Определение хозяина именования доменов
- •Определение хозяина схемы
- •Передача роли хозяина относительных идентификаторов, эмулятора pdc или хозяина инфраструктуры
- •Передача роли хозяина именования доменов
- •Передача роли хозяина схемы
- •Внедрение структуры оп
- •Создание оп
- •Настройка свойств оп
- •Задание 4: создайте оп
Задание 2: просмотрите домен с помощью Active Directory Users And Computers
Раскройте меню Start\Programs\Administrative Tools (Пуск\Прог-раммы\Администрирование) и щелкните Active Directory Users And Computers.
Откроется одноименная консоль.
В дереве консоли дважды щелкните microsoft.com (или имя вашего домена). Что содержит узел microsoft?
В дереве консоли щелкните Domain Controllers. Обратите внимание: на правой панели появится название появится DNS-имя сервера.
Закройте консоль Active Directory Users And Computers.
Задание 3: протестируйте службу dns с помощью консоли dns
Раскройте меню Start\Programs\Administrative Tools и щелкните DNS.
Откроется консоль DNS. В дереве консоли DNS щелкните правой кнопкой имя вашего сервера и выберите команду Properties (Свойства).
Откроется окно свойств вашего сервера.
Перейдите на вкладку Monitoring.
В списке Select A Test Type (Выберите тип теста) пометьте флажки A Simple Query Against This DNS Server (Простой запрос к этому DNS-серверу) и A Recursive Query To Other DNS Servers (Рекурсивный запрос к другим DNS-серверам) и щелкните Test Now (Протестировать). В окне свойств сервера в списке результатов тестирования должна появиться надпись PASS (Пройден успешно) — в столбцах Simple Query (Простой запрос) и Recursive Query (Рекурсивный запрос).
Щелкните ОК.
Закройте консоль DNS.
Резюме
Мастер установки Active Directory можно запустить либо выполнив •команду Configure Your Server, либо введя команду DCPROMO в командной строке. Мастер установки Active Directory используется для добавления контроллера к существующему домену, для создания первого контроллера нового домена, для создания нового дочернего домена и нового дерева доменов, а также для удаления Active Directory из контроллера домена.
БД Active Directory — это каталог для нового домена. По умолчанию БД и журналы располагаются в папке systemroof\NTDS. Во время установки Active Directory создается общий системный том — структура папок, существующая на всех контроллерах доменов Windows 2000. В нем хранятся сценарии и некоторые объекты групповых политик для текущего домена и предприятия. По умолчанию он располагается в папке systemroof\SYSVOL.
Active Directory использует DNS в качестве службы поиска, позволяя компьютерам находить контроллеры доменов, поэтому нельзя . установить Active Directory, не имея в сети службы DNS. Можно сконфигурировать DNS-сервер автоматически, средствами мастера установки Active Directory. Если вы не используете отличный от Windows 2000 DNS-сервер и не собираетесь выполнять особую конфигурацию, нет необходимости конфигурировать DNS для поддержки Active Directory вручную.
Существуют смешанный и основной режимы работы домена. Смешанный режим допускает совместимость с предыдущими версиями Windows NT, а основной используется, только если все контроллеры в домене работают под управлением Windows 2000 Server.
Роли хозяина операций
Это специальные роли, назначаемые одному или нескольким контроллерам в домене Active Directory. Контроллеры доменов, которым назначены эти роли, выполняют репликацию с одним хозяином. Здесь рассказывается о ролях хозяина операций и задачах, связанных с их назначениями. Вы сможете:
описать роли мастера операций в лесе и домене;
спланировать расположение хозяина операций;
просмотреть назначения роли хозяина операций;
передать назначения роли хозяина операций.
Active Directory поддерживает репликацию БД с несколькими хозяевами между всеми контроллерами домена. Однако некоторые изменения не следует выполнять в этом режиме, поэтому один или более контроллеров доменов разрешается привлекать к выполнению операций, которые должны выполняться с одним хозяином (они не могут выполняться одновременно в разных местах сети). Роли хозяина операций (operations master roles) назначаются контроллерам доменов для выполнения операций с одним хозяином.
В любом лесе Active Directory одному или нескольким контроллерам доменов разрешается назначать пять ролей хозяина операций. Необходимо, чтобы одни роли содержались в каждом лесе, другие — в каждом домене леса. Можно изменить назначение ролей хозяина операций после установки, но в большинстве случаев это не требуется. Вы должны знать, какие роли хозяина операций назначены контроллеру домена; это пригодится, если с контроллером возникнут проблемы или вы захотите исключить его из работы.
Роли хозяина операций на уровне леса
Каждый лес Active Directory должен содержать следующие роли:
хозяин схемы;
хозяин именования домена.
Это роли должны быть уникальны в лесе, то есть во всем лесе может быть только один хозяин схемы и один хозяин именования домена.
Хозяин схемы
Хозяин схемы управляет всеми обновлениями и изменениями схемы. Для обновления схемы леса необходимо иметь доступ к хозяину схемы. В любой момент времени может быть только один хозяин схемы в составе всего леса.
Хозяин именования домена
Контроллер домена, выполняющий роль хозяина именования домена, управляет операциями добавления или удаления доменов в составе леса. В любой момент времени может быть только один хозяин именования домена в составе всего леса.
Роли хозяина операций на уровне домена
Каждый домен в лесе должен иметь следующие роли:
хозяин относительных идентификаторов;
эмулятор основного контроллера домена (primary domain controller, PDC);
хозяин инфраструктуры.
Эти роли должны быть уникальны в каждом домене: каждому домену в лесе разрешается иметь только одного хозяина относительных идентификаторов, эмулятор PDC и хозяина инфраструктуры.
Хозяин относительных идентификаторов
Хозяин относительных идентификаторов назначает ряд относительных идентификаторов каждому контроллеру в своем домене. В любой момент времени в каждом домене леса может быть только один контроллер домена, выполняющий роль хозяина относительных идентификаторов.
Каждый раз при создании объекта пользователя, группы или компьютера контроллер домена назначает данному объекту уникальный код безопасности. Он состоит из кода безопасности домена (который одинаков для всех кодов безопасности, созданных в этом домене) и относительного кода безопасности, уникального для каждого кода безопасности, созданного в домене.
Для перемещения объекта между доменами (с помощью служебной программы Movetree.exe) необходимо произвести перемещение на контроллере, который выполняет роль хозяина относительных идентификаторов домена, содержащего в данный момент этот объект.
Эмулятор основного контролера домена
Если в домене есть компьютеры без установленного клиентского программного обеспечения Windows 2000 или резервные контроллеры
домена Windows NT, эмулятор основного контроллера домена работает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резервные контроллеры домена. В любой момент времени в каждом домене леса может быть только один контроллер домена, выполняющий роль эмулятора основного контроллера домена.
При работе домена Windows 2000 в основном режиме эмулятор основного контроллера получает преимущественную репликацию изменений пароля, выполненных другими контроллерами в данном домене. При изменении пароля репликация этих изменений на каждый контроллер домена занимает некоторое время. Если проверка подлинности при входе в сеть заканчивается неудачно из-за неверного пароля на одном контроллере домена, он пересылает запрос на проверку подлинности на эмулятор основного контроллера домена, прежде чем отказать в доступе.
Хозяин инфраструктуры
Хозяин инфраструктуры отвечает за обновление ссылок «группа — пользователь» при переименовании или изменении членов группы. В любой момент времени в каждом домене может быть только один контроллер домена, выполняющий роль хозяина инфраструктуры.
При переименовании или перемещении члена группы (и размещении данного члена в другом домене, отличном от домена этой группы) он может временно не отображаться в группе. Хозяин инфраструктуры домена, содержащего данную группу, отвечает за обновление группы и обладает сведениями об имени и расположении данного члена. Хозяин инфраструктуры распространяет обновленные сведения с помощью репликации с несколькими хозяевами.
Защита не подвергается опасности в период времени между переименованием члена группы и обновлением этой группы. Только администратор, просматривающий участие в отдельной группе, может заметить временное несоответствие.
Планирование расположения хозяина операций
При использовании небольшого леса Active Directory с одним доменом и одним контроллером домена данный контроллер выполняет роли всех хозяев операций. При создании первого домена в составе нового леса все роли одиночного хозяина операций автоматически назначаются первому контроллеру в этом домене.
При создании нового дочернего домена или корневого домена нового дерева в составе существующего леса первому контроллеру в новом домене автоматически назначаются следующие роли:
хозяин относительных идентификаторов;
эмулятор основного контроллера домена;
хозяин инфраструктуры.
Так как возможен только один хозяин схемы и один хозяин именования доменов в составе леса, данные роли остаются в домене, который был создан первым в данном лесе.
На рис. 4-9 показано принятое по умолчанию распределение ролей хозяина операций в лесе.
Рис. 4-9. Принятое по умолчанию распределение ролей хозяина операций в лесе
На рисунке Домен А был первым, созданным в составе леса (он также называется корневым доменом леса). Содержит обе роли хозяина операций на уровне всего леса. Первому контроллеру в остальных доменах назначаются три роли, которые относятся только к определенному домену.
Расположение по умолчанию хозяев операций подходят для леса, развернутого на несколько контроллеров домена в одном сайте. В лесе, который содержит множество контроллеров или несколько сайтов, иногда возникает необходимость переместить назначенные по умолчанию роли хозяев операций на другие контроллеры в составе домена или леса.
Планирование назначения ролей хозяев операций в домене
Если в домене только один контроллер, то ему принадлежат все роли в домене. В ином случае следует выбрать два контроллера, которые являются прямыми партнерами репликации и входят в состав хорошо организованной сети. Один из контроллеров домена следует сделать хозяином операций. Другой контроллер необходимо сделать запасным хозяином операций. Контроллер домена в роли запасного (standby) хозяина операций используется в случае отказа контроллер* домена, выполняющего роль хозяина операций.
В типичных доменах следует назначать роли хозяина относительных идентификаторов и эмулятора основного контроллера домен* контроллеру домена, выполняющему роль хозяина операций. В домене очень большого размера вы уменьшите пиковую загрузку эмулятора основного контроллера, разместив данные роли на разные контроллеры, каждый из которых является прямым партнером репликации контроллера домена в роли запасного хозяина операций Следует сохранять эти роли на одном контроллере до тех пор, пок* загрузка хозяина операций не потребует разделения этих ролей.
Роль хозяина инфраструктуры следует назначить любому контроллеру домена, который не является глобальным каталогом, но имеет с ним хорошую связь. Глобальный каталог может находиться в любом домене того же сайта, что и контроллер домена. Если контроллер домена в роли хозяина операций отвечает данным требованиям, его следует использовать до тех пор, пока загрузка контроллера не потребует разделения ролей.
Планирование ролей хозяев операций для леса
После планирования всех ролей для каждого домена, следует рассмотреть роли для леса. Роли хозяина схемы и хозяина именования доменов всегда назначаются одному контроллеру домена. Для повышения производительности эти роли следует назначать контроллеру домена, который имеет хорошую связь с компьютерами, используемыми администратором или группой, ответственными за обновления схемы к создание новых доменов. Загрузка данных ролей хозяев операций очень мала, поэтому для облегчения управления следует помещать эта роли на контроллер одного из доменов леса.
Планирование развития
В общем случае при развитии леса не требуется изменять расположение ролей хозяина операций. Но если планируется удаление контроллера домена, изменение статуса глобального каталога контроллера домена либо изменение порядка взаимодействия частей сети, следует пересмотреть план и соответственно скорректировать назначение ролей хозяина операций.
Определение назначений ролей хозяина операций
Прежде чем изменять назначения ролей хозяина операций, необходимо ознакомиться с текущими назначениями.