Книга Active directory
.pdfI 608 |
Домены и леса |
Глава 12 |
друг друга. Скорость получения пользователями доступа к ресурсам в своих доменах вполне приемлемая. Что нужно сделать для повышения скорости доступа этих пользователей?
A. Переустановить операционные системы на компьютерах пользователей.
Б.Заменить IP-адрес статическим адресом.
B.Отключить в DNS динамические обновления.
Г.Создать доверие между доменами в Европе и Азии.
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:
•ознакомиться с резюме главы;
•повторить используемые в главе основные термины;
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
•выполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
• Функциональные уровни домена и леса включают в Active Directory возможности, добавляемые каждой новой версией операционной системы Windows. Повышение функционального уровня домена или леса является необратимой операцией. После повышения функционального уровня больше нельзя добавлять контроллеры доменов с предыдущими версиями Windows.
•Доверительные отношения между доменами позволяют пользователям из доверенного домена проходить проверку подлинности на компьютерах в доверяющем домене. Доверенные пользователи и группы можно добавлять
влокальные группы доверенного домена и предоставлять им доступ к ресурсам в доверяющем домене.
•Внутри леса между каждым дочерним и родительским доменами, а также между каждым корневым доменом дерева и корневым доменом леса устанавливаются двухсторонние транзитивные доверительные отношения.
Врезультате каждый домен в лесу доверяет каждому другому домену в этом лесу. Для улучшения скорости и стабильности проверки подлинности внутри леса можно создавать прямые доверительные связи.
•Между доменом в лесу и еще одним доменом Windows создается внешнее
доверие. Для сферы Kerberos v5 также можно создать доверие.
•Доверие между лесами устанавливается между корневыми доменами двух
лесов AD DS. Таким образом доверие создается между всеми доменами
в двух лесах.
•В доверяющем домене можно применять выборочную проверку подлинности для управления компьютерами, на которых доверенные пользователи могут проходить проверку подлинности.
Практические задания |
6 0 9 |
•Фильтрация SID и л и карантин домена по умолчанию включен для всех внешних доверительных связей и доверительных отношений между лесами. Этот механизм запрещает пользователям в доверенном домене представлять SID-идентификаторы, которые были сгенерированы не в основном домене пользователей.
•Инструмент миграции Active Directory Migration Tool (ADMT) используется для перемещения и копирования пользователей, компьютеров и групп между доменами. П р и выполнении миграции учетной записи необходимо учесть, что н о в ы й объект получит новый SID-идентификатор, который может повлиять на доступ объекта к ресурсам и членство в группах. Для решения этой проблемы задействуется атрибут sIDHistory с миграцией пользователей и групп.
Сценарий. Управление множеством доменов и лесов
В этом сценарии предполагается применение полученных знаний о функциональных уровнях доменов и доверительных отношениях. Ответы содержатся в разделе «Ответы» в конце этой книги.
Вы как администратор компании Tailspin Toys, которая является партнером компании Wingtip Toys по разработке нового продукта, получили задание установить доверие, чтобы разрешить пользователям в домене tailspintoys.com проходить проверку подлинности в домене wingtiptoys.com и наоборот.
1. Вы обновляете к о н т р о л л е р ы доменов непосредственно с уровня Windows 2000 Server до Windows Server 2008. Что нужно сделать в оснастке Active Directory — домены и доверие (Active Directory Domains And Trusts), прежде чем создать доверие?
2. Какой тип ( т и п ы ) д о в е р и я можно создать в домене tailspintoys.com для выполнения этой задачи? Что должны сделать администраторы в домене wingtiptoys.com?
3. Вам нужно контролировать проверку подлинности, чтобы пользователи из домена wingtiptoys . com могли получать доступ к ресурсам только на четырех серверах в домене. Что нужно сделать для этого?
Практические задания
Для того чтобы подготовиться к сдаче сертификационного экзамена, выполните следующие упражнения .
Настройка леса или домена
Вы являетесь администратором в компании Contoso, Ltd, которая расширила свою деятельность в Европе и Азии. В этом упражнении предлагается решить ряд задач, касающихся управления доверием в лесу из множества доменов. Для выполнения упражнений требуется множество доменов и контроллеров доменов, а также два новых сервера — SERVEREU.contoso.com и SERVERAS. contoso.com — с полной установкой Windows Server 2008, каждый из которых является членом домена contoso.com.
• Упражнение 1 Повысьте ранг сервера SERVEREU.contoso.com до ранга контроллера В Н О В О М ДОМене europe.contoso.com существующего леса contoso.com.
Г Л А В А |
1 3 |
Непрерывность бизнес-процессов каталогов
|
Занятие 1. |
Поддержка каталогов и защита хранилища данных |
613 |
|
Занятие 2. |
Управление производительностью каталогов |
665 |
|
Непрерывность бизнес-процессов — одно из важнейших условий бесперебой- |
||
|
ного функционирования любой организации, особенно в последнее время, |
||
I |
когда участились стихийные бедствия. Цунами, землетрясения, ураганы могут |
||
|
уничтожить любую организацию, особенно небольшую или среднюю, если |
||
|
изначально не продумать план действий на случай природных катаклизмов. |
||
|
Масштаб причиняемого ущерба значения не имеет. Пользователь, чья учет- |
||
[ |
ная запись доменных служб Active Directory (AD DS) будет удалена по ошибке, |
||
tв полной мере ощутит последствия катастрофы. Поэтому нужно подготовиться
кнеприятностям, и прежде всего — обеспечить поддержку и защиту каталогов
ихранилища данных, а также организовать надлежащее управление производительностью каталогов.
Эти две задачи напрямую связаны с аспектами непрерывности бизнес-про- цессов. Доступность, которая является третьей задачей, связанной с обеспечением непрерывности бизнес-процессов, встроена в операционную модель AD DS. Все контроллеры доменов, кроме контроллеров RODC, могут поддерживать репликацию среди множества равноправных участников. Помещая два или несколько контроллеров в один домен, вы тем самым обеспечиваете высокую готовность службы. Процессом поддержки доступности служб каталогов управляют простые правила развертывания.
Темы экзамена:
•Поддержка среды Active Directory.
•Техническое обслуживание вне сети.
,• Настройка архивации и восстановления,
j |
• Мониторинг Active Directory. |
б 1 2 |
Непрерывность бизнес-процессов каталогов |
Глава 13 |
|
Прежде всего
Для того чтобы выполнить упражнения, предлагаемые в этой главе, потребуется следующее.
•физический или виртуальный компьютер Windows Server 2008 с именем
"SERVER10. Этот компьютер управляет ролыо DNS-сервера, а также ро-
лью доменных служб Active Directory (Active Directory Domain Services) и является контроллером корневого домена леса treyresearch.net. Добавьте
второй диск на этот сервер, сделайте его динамически расширяющимся диском, отформатируйте и присвойте имя Data.
•Физический или виртуальный компьютер Windows Server 2008 с именем SERVER11, являющийся независимым сервером. Этот компьютер будет управлять ролью DNS-сервера, а также ролыо доменных служб Active Directory (Active Directory Domain Services). Назначьте компьютеру IPv/i-адрес из частного диапазона, например 192.168.х.х, и в качестве адреса DNS-сер-
вера укажите адрес SERVER10.
•Нужно также выполнить упражнения, указанные в главе 9, и установить службу каталогов множества доменов с именем treyresearch.com. Этот лес содержит корневой домен, доменное дерево и дочерний домен. В упражнениях данной главы будет использоваться корневой домен леса, созданный в главе 9. Кроме того, строго рекомендуется использовать виртуальные машины. Роли
контроллера домена и DNS-сервера идеальны для виртуализации с помощью Microsoft Virtual Server 2005 R2 или Hyper-V.
История из жизни
Даниэль Реет и Нельсон Реет
В 2003 году нас попросили написать книгу «Windows Server 2003: Best Practices for Enterprise Deployments» — «карманное» руководство, посвященное администрированию (а не развертыванию) операционных систем. Мы собрали и сопоставили задачи, которые следует выполнять в инфраструктурах Windows Server 2003 в зависимости от развертываемых компонентов, распределили их в соответствии с ролью сервера и создали пять категорий, сосредоточившись лишь на ролях, доступных в установке Windows Server 2003 по умолчанию, а также систематизировали этот список в соответствии с регулярностью выполнения задач, выделив четыре категории: ежедневно, еженедельно, ежемесячно и иерегламентироваиное выполнение. Последняя категория включает редко выполняемые задачи. Задачи объединили в одной таблице.
Прежде чем приступить к работе, мы решили проверить список задач и попросили клиентов помочь. На нашу просьбу откликнулось двадцать пять человек, ™дому из которых мы отправили список задач для просмотра, оценки соответсия, подтверждения графика выполнения и перечисления отсутствующих задач,
ты не знали, сколько задач перечислено для каждой роли сервера.
вы^,ЫМ°ЛУЧаЛИ р а з н ы е ответы, однако комментарий был примерно одинакозадачи! "т" "е д о г а д ы в а л и с ь . что в Windows необходимо выполнять все эти п»™." * о л ь к о несколько клиентов самых крупных сетей знали о задачах, перечисленных в списке.
Занятие 1 |
Поддержка каталогов и защита хранилища данных |
6 1 5 |
•Смена паролей управляется отделом справки.
•Обеспечение доступности каталогов и службы DNS является одной из основных ф у н к ц и о н а л ь н ы х обязанностей системных администраторов — этому вопросу они д о л ж н ы уделять особое внимание. Прежде всего, системные администраторы управляют доступностью служб и содержащихся в каталогах данных, а не самими данными.
При планировании стратегии проактивного управления основное внимание следует уделить управлению операциями и делегированию управления данными, благодаря которому ответственность за управление объектами можно возложить на другого пользователя в организации.
Изучив материал этого занятия, вы сможете:
S Определять, какие административные задачи требуется выполнять для поддержки AD DS и DNS.
S Различать задачи поддержки, выполняемые в автономном и сетевом режимах.
•S Выполнять задачи поддержки в автономном режиме. . •S Восстанавливать данные в сетевом режиме.
S Восстанавливать данные в автономном режиме.
Продолжительность занятия — около 90 мин.
Двенадцать категорий администрирования AD DS
Администрирование, и л и управление, Active Directory заключается в выполнении двенадцати категорий задач. Все осуществляемые при этом операции, область их действия, задачи по управлению данными или содержимым, связанные с администрированием служб, описаны в табл. 13-1.
Табл. 13-1. Административная активность AD DS |
|
|
|
Задача |
Описание |
Сервис |
Данные |
Администриро- |
Смена пользовательских паролей, создание и деак- |
• |
0 |
вание учетных |
тивация пользователей, создание групп пользова- |
|
|
записей пользо- |
телей и управление членством. Эти задачи следует |
|
|
вателей и групп |
делегировать отделу справки |
|
|
Администриро- |
Все компьютеры в сетевой среде Windows должны |
• |
0 |
вание конечных |
располагать учетными записями компьютеров. |
|
|
устройств |
С помощью своих учетных записей компьютеры |
|
|
|
взаимодействуют с каталогом. Эти задачи следует |
|
|
|
делегировать техникам |
|
|
Администриро- |
Публикация общих сетевых файловых ресурсов, |
0 |
0 |
вание сетевых |
принтеров, распределенных файловых ресурсов |
|
|
служб |
DFS (Distributed File Share), разделов каталога |
|
|
приложений и т. д. Эти задачи нужно делегировать администраторам всех типов служб
(см. след. стр.)
