Книга Active directory
.pdf6 5 8 |
б12 Непрерывность бизнес-процессов каталогов |
Глава 13 |
|
Installation Wizard). Запустится мастер установки доменных служб Active |
|
|
Directory. |
|
15. Установите флажок Использовать р а с ш и р е н н ы й |
р е ж и м установки (Use |
|
Advanced Mode Installation) и щелкните Далее (Next) . О т к р о й т е страницу
сопцией установки с носителя.
16.Прочитайте информацию на странице Совместимость операционных систем
(Operating System Compatibility) и щ е л к н и т е Далее (Next) .
17. На странице Выбор конфигурации развертывания |
(Choose A Deployment |
Configuration) выберите параметр С у щ е с т в у ю щ и й |
лес (Existing Forest), |
опцию Добавить контроллер домена в с у щ е с т в у ю щ и й лес (Add A Domain Controller То An Existing Domain) и щелкните Д а л е е (Next).
18.На странице Сетевые учетные данные (Network Credentials) введите имя treyresearch.net.
Поскольку вы вошли на сервер как л о к а л ь н ы й администратор и учетная запись ие имеет прав доступа к домену treyresearch.net, необходимо указать альтернативные учетные данные.
19.Щелкните кнопку Задать (Set). Введите имя treyresearch.net\adMuuuanpamop
или аналогичное имя и пароль. Щ е л к н и т е О К, а затем Далее (Next) .
20.На странице Выберите домен (Select A D o m a i n ) щ е л к н и т е treyresearch.net (корневой домен леса), а затем Далее (Next) .
21. На странице Выберите сайт (Select A Site) п р и м и т е параметры по умолчанию и щелкните Далее (Next).
Эта страница отображается в расширенном р е ж и м е мастера.
22.На странице Дополнительные параметры контроллера домена (Additional Domain Controller Options) убедитесь, что установлены оба флажка — DNSсервер (DNS Server) и Глобальный каталог (Global Catalog), и щелкните Далее (Next).
Если вы не назначали статический IP-адрес, появится предупреждение об использовании динамического IP-адреса.
23.Щелкните параметр Да, компьютер будет использовать динамически назначаемый IP-адрес (не рекомендуется) (Yes, T h e Computer Will Use A Dynamically Assigned IP Address (Not Recommended)) .
Мастер установки доменных служб Active Directory предупредит о невозможности создать делегирование для домена.
24.Щелкните Да (Yes).
25.На странице Установка с носителя (Install From Media) щелкните Реплицировать данные с носителя в следующем расположении (Replicate Data
From Media At The Following Location), введите путь C : \ I F M или щелкните кнопку Обзор (Browse), чтобы локализовать папку I F M на диске С. Щелкните Далее (Next).
Отметим, что вы должны использовать носитель с пишущего контроллера домена, поскольку для него не выбран режим R O D C .
Занятие 1 |
|
|
|
|
Поддержка каталогов и защита хранилища данных |
6 5 9 |
||
Acta.* Oirertoiy Domain SejvueiimtanatKPV/'aa,* |
|
|
|
|||||
h u r t I r a n U n f a |
|
|
|
|
|
|
||
Sdect cue |
rflhefc*a*.fB e**fara.oacencoa<al .ЛМпегузи wart tofeoteele |
|
||||||
d: ™an dat. c v r r ? a r r t r r f " Кат |
аг |
и в ч 'lamaa. v r i p f c t v / ы wa-a |
- |
|
||||
^ « а а с о т м ! da!a (nynnwda erased ^ v n an е н я г д oamaai certrraer fnatel |
|
|||||||
In,* made) |
in M"— cans |
c a l l .3 aynan c a i n l a - w d ae «1 Iha ea-w dwnan |
|
|||||
aa (та т е * damer m a t l a |
|
|
|
|
|
|
||
> ?«*:aiBda<aove'B4an««c«fi3maoe4*r4dcmer'iertrater |
|
|
||||||
a |
|
d a a f r a n n e d a ai aw'ofoae^ b u t a n |
|
|
|
|||
'.•"'..a Ihaha^Ia |
aan Ina - - r e d a vouare л е ^ а |
э т а а Ы а |
wtnthelyde |
|
||||
d dmar caadafyco |
|
|
tveiifyej Wad t^ao^Kr. агпе Ящ |
|
||||
carted eve. ff* netacca |
|
|
|
|
|
|
||
ЬсаЕзг.- |
|
|
|
|
|
|
||
K J F H |
" ' |
* |
" |
' " |
; fbdaie .. ' ,j |
|
||
I |
|
The ineda уш I M : я к я have м а г a a ^ a d Fran a *ntade fcnan |
|
|||||
|
cva.nJec.r« a с п т й Г : i/l'nir |
|
|
|
||||
Wtae (fcod ' r A t i k - ' |
|
|
|
|
|
|
||
|
|
|
|
|
- Заек : |
Ч а й . |
Caniei |
|
26.На странице И с х о д н ы й контроллер домена (Source Domain Controller) примите параметры по умолчанию и щелкните Далее (Next).
27.На странице Расположение для базы данных, файлов журнала и SYSVOL (Location For Database, Log Files And SYSVOL) примите параметры по умолчанию и щелкните Далее (Next).
28.Введите строгий пароль с подтверждением и щелкните Далее (Next).
29.Проверьте выбранные параметры на странице Сводка (Summary) и щелкните Далее (Next) . Установите флажок Перезагрузка по завершении (Reboot On Completion) И подождите завершения операции.
Новый контроллер домена будет создан с локального носителя. Этот способ позволяет снизить объем репликации и обновить данные посредством репликации после создания контроллера домена.
У п р а ж н е н и е 3 . Т е х н и ч е с к а я п о д д е р ж к а базы данных
Теперь предлагается заняться интерактивным техническим обслуживанием с помощью перегружаемого режима доменных служб Active Directory (Active Directory Domain Services). Вы можете выполнить эту операцию, поскольку в домене treyresearch.net есть два контроллера.
1. Войдите на машину SERVER11 как администратор домена.
2.В проводнике Windows (Windows Explorer) создайте папки C:\Temp и С:\ OriginalNTDS.
Эти папки будут использоваться как временное размещение для сжатия исходной базы данных.
3.В Диспетчере сервера (Server Manager) разверните узел Конфигурация (Configuration) и щелкните элемент Службы (Services).
4.Найдите Доменные службы Active Directory (Active Directory Domain Services), щелкните правой кнопкой мыши и выполните команду Остановить (Stop).
Занятие 1 |
Поддержка каталогов и защита хранилища данных |
661 |
Вы удаляете файлы журнала, поскольку файл Ntds.dit будет заменен новым сжатым файлом, а существующие файлы журнала не будут работать с новой сжатой базой данных.
10.Теперь выполните архивацию файла Ntds.dit, чтобы защитить его от повреждений. Введите команду:
copy ntds . dit \originalntds
11.Скопируйте новую сжатую базу данных в исходную папку NTDS. Убедитесь, что вы по-прежнему находитесь в папке %SystemRpot%\NTDS, и введите такую команду:
сору c:\temp\ntds . dit
У
12.И наконец, проверьте целостность нового файла Ntds.dit.
После выполнения этих процедур вы можете произвести семантический анализ базы данных, чтобы проверить хранящуюся в ней информацию. Введите следующие команды:
ntdsutil
activate instance NTDS f i l e s
integrity quit
semantic database analysis go fixup
quit quit
Отметим, что в случае ошибки проверки целостности необходимо вновь скопировать исходный файл Ntds.dit в эту папку, поскольку новый сжатый файл поврежден. В противном случае контроллер домена не сможет функционировать.
13.Вернитесь к Диспетчеру сервера (Server Manager), разверните узел Конфигурация (Configuration) и щелкните элемент Службы (Services).
14.Найдите Доменные службы Active Directory (Active Directory Domain Services), щелкните правой кнопкой мыши и выполните команду Запустить (Start). Сервер вновь подключится к сети и будет готов предоставлять службы проверки подлинности. Д л я перезапуска зависимых служб может потребоваться несколько минут. Удалите файл Ntds.dit, локализованный в папке Original NTDS, поскольку он теперь недействителен.
Уп р а ж н е н и е 4. Автоматизация технической поддержки базы данных
Спомощью командной строки можно написать сценарий сжатия базы данных для автоматизации этого процесса. Однако все результаты выполнения операций следует сохранить в текстовом файле, чтобы при необходимости их можно было просмотреть.
1.Войдите на машину SERVER11 как администратор домена.
2.Удостоверьтесь, что на сервере имеются папки C:\Temp и C:\NTDS и что они пусты.
б12 |
Непрерывность бизнес-процессов каталогов |
Глава 13 |
Эти папки будут использованы как временный контейнер д л я сжатой базы данных. Теперь вы можете автоматизировать процесс сжатия .
3. Перейдите в папку C:\Temp, на панели сведений щелкните правой кнопкой мыши, выполните команду Создать (New) и выберите Текстовый документ (Text Document).
4.Задайте для текстового документа имя Compaction.cmd.
Если расширение файла .txt не отображается, в меню Сервис (Tools) про-
водника Windows щелкните опцию Свойства папки (Folder Options). На вкладке Вид (View) сбросьте флажок Скрывать расширения для зарегистрированных типов файлов (Hide Extensions For K n o w n File Types) и щелкните ОК. Удалите расширение .txt в и м е н и файла . Подтвердите удаление.
5. Щелкните правой кнопкой мыши ф а й л Compaction . cmd и выполните команду Изменить (Edit). Введите следующие команды:
del C:\tempV.dit
del C:\originalntds\».dit net stop ntds /у
ntdsutil "activate instance NTDS" files "compact to C:\temp" quit quit \cd \windows\ntds
del *.log
copy ntds.dit \originalntds del ntds.dit
copy c:\temp\ntds.dit
ntdsutil "activate instance NTDS" files integrity quit "semantic database analysis" "go fixup" quit quit
net start ntds
6.Сохраните и закройте файл Compaction.cmd.
Отметим, что вы можете добавить паузу после каждой команды в текстовом файле, чтобы проверить корректность в ы п о л н е н и я операций путем тестирования.
7 Протестируйте файл. Д л я этого запустите к о м а н д н у ю строку от имени администратора.
8.Введите команды: cd \temp
compaction
9. Если файл не работает, с помощью комбинации клавиш C t r l + C отмените выполнение командного файла и исправьте ошибки.
Файл, который работает нормально, можио использовать д л я автоматизации процесса.
10.Удалите в файле все инструкции по остановке выполнения и вновь сохраните его.
Этот командный файл можно использовать к а ж д ы й раз для сжатия систем, желательно интерактивно, чтобы устранять все ошибки и неполадкиАккуратно поместите данный ф а й л в запланированное задание. Сжатие никогда не следует запускать в автоматизированном режиме, поскольку ошибки могут повредить контроллер домена.
Занятие 1 |
Поддержка каталогов и защита хранилища данных |
6 6 3 |
11.Если контроллер домена не функционирует, его роль можно удалить с помощью следующей команды:
dcpromo /forceremoval
12.Вновь запустите Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard), чтобы воссоздать контроллер домена.
Выполняйте сжатие базы данных Ntds.dit минимум раз в месяц.
У п р а ж н е н и е 5 . З а щ и т а объектов групповой политики
В этом упражнении необходимо выполнить архивацию объектов GPO с помощью консоли управления групповой политикой GPMC .
1. Войдите на машину S E R V E R 1 1 как администратор домена. 2. Проверьте наличие папки Temp на диске С.
3.В программной группе Администрирование (Administrative Tools) запустите консоль Управление групповой политикой (Group Policy Management
Console, G P M C ) .
4. Разверните узел Лес\Домены\мл<я_дол<енв\Объекты групповой политики ( F o r e s t \ D o m a i n s \ ^ ^ _ 3 o j K e ! w \ G r o u p Policy Objects).
5. Щ е л к н и т е п р а в о й к н о п к о й мыши папку Объекты групповой политики (Group Policy Objects) и выполните команду Архивировать все (Back Up All).
6.Введите расположение C:\Temp или щелкните кнопку Обзор (Browse), чтобы указать расположение папки.
7.Введите описание (в данном случае Первый архив GPO) и щелкните кнопку Архивировать (Back Up) .
Средство архивации G P O отобразит ход выполнения архивации. 8. После завершения архивации щелкните ОК.
Теперь объекты G P O защищены.
9. Выполните архивацию папки Temp.
При желании используйте эту папку для копирования объектов GPO из одного домена в другой. Выполняйте данную операцию минимум раз в неделю.
СОВЕТ К ЭКЗАМЕНУ
Архивация и восстановление объектов G P O — важная тема сертификационного экзамена. Поэтому попрактикуйтесь в выполнении этих операций.
Резюме
• Д л я поддержки службы каталогов необходимо активно выполнять задачи технической поддержки, которые распределены по двенадцати категориям, причем многие из них можно делегировать. Администраторы домена отвечают за техническую поддержку службы AD DS и должны заниматься основными операциями с каталогами, такими как задачи администрирования базы данных.
6 6 4 |
б12 Непрерывность бизнес-процессов каталогов |
Глава 13 |
•Для администрирования AD DS используется несколько инструментов. Чаще всего применяются три основные консоли Active Directory: Active Directory — пользователи и компьютеры (Active Directory Users And Computers), Active
Directory — сайты и службы (Active Directory Sites And Services) и Active Directory — домены и доверие (Active Directory Domains And Trusts).
•В Windows Server 2008 служба AD DS, как и остальные службы, теперь является управляемой, то есть ее м о ж н о запускать и останавливать без необходимости перезапускать сервер в Р е ж и м е восстановления служб каталогов (Directory Services Restore Mode) .
•Удаленный объект в AD DS необходимо восстановить, чтобы воссоздать его свойства. Если просто воссоздать объект, его SID - идентификатор будет другим и, следовательно, все свойства удаленного объекта будут утеряны. При восстановлении объекта восстанавливается исходный SID - идентифи - катор и большая часть прав доступа, связанных с объектом.
• Существует несколько способов з а щ и т ы и н ф о р м а ц и и в каталоге:
озащита объектов от удаления;
о аудит изменений AD DS для п р о с м о т р а п р е д ы д у щ и х и и з м е н е н н ы х значений в AD DS;
о использование контейнера памятников д л я восстановления удаленных объектов;
• архивация и восстановление для возобновления утерянной информации.
•Для восстановления удаленных объектов AD DS с п о м о щ ь ю контейнера памятников необходимо средство, отображающее содержимое этого контейнера и позволяющее модифицировать состояние объекта. Такие операции могут выполнять два инструмента: Ldp.exe и Quest Object Restore for Active Directory. После восстановления объекта ему необходимо назначить новый пароль, членство в группах и другие и н ф о р м а ц и о н н ы е атрибуты, а затем включить его.
Закрепление материала
Приведенные далее вопросы предназначены для проверки знаний, полученных на занятии 1 (эти вопросы содержатся и на сопроводительном компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот и л и и н о й в а р и а н т является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Будучи системным администратором в домене contoso.com, вы должны сжать базу данных на одном из двух контроллеров корневого домена леса. Однако при попытке остановить службу AD DS обнаруживается, что остановить ее на сервере невозможно. В чем причина?
А. Вы не можете остановить службу AD DS на контроллере домена Windows Server 2008.
-Занятие 2 |
Управление производительностью каталогов |
583 |
Б. Кто-то еще работает на другом контроллере домена.
В.Сервер необходимо перезагрузить в режиме восстановления служб каталогов (Directory Services Restore Mode).
Г. Для остановки службы A D D S необходимо использовать команду net stop.
2. Вы являетесь сетевым администратором в крупной сети. Один из контроллеров домена недавно вышел из строя, и нужно привести контроллер домена в рабочее состояние. У вас есть несколько резервных копий сервера, созданных с помощью системы архивации данных Windows Server (Windows Server Backup). Какое из следующих действий следует выполнить? (Укажите все варианты.)
A.Перезагрузить сервер в режиме восстановления служб каталогов (Directory Services Restore Mode) .
Б. Выполнить полномочное восстановление с помощью команды NtdsutiLexe. B. Переустановить Windows Server 2008.
Г.Перезагрузить сервер в среде восстановления WinRE.
Д. Выполнить неполномочное восстановление, воспользовавшись коман-
дой Ntdsutil.exe.
Е.Выполнить полное восстановление сервера с помощью командной строю!.
Занятие 2. Управление производительностью каталогов
Следующая задача, которую необходимо активно выполнять для поддержки контроллеров доменов, состоит в управлении производительностью. При использовании корректных процедур установки и создания контроллеры домена должны корректно работать. Помните, что роль контроллера домена претерпела уже пять перерождений, начиная с Microsoft Window NT, и теперь включена в различные в ы п у с к и операционной системы сервера Microsoft. Теперь это весьма солидная и надежная служба.
Однако вопреки такой стабильности иногда все же возникают ошибки — как системные, так и обусловленные человеческим фактором. Поэтому необходимо быть готовым к быстрой идентификации неполадок и выполнению соответствующих действий, чтобы исправить ситуацию. В случае активного управления производительностью вы будете заранее знать о потенциальных ошибках. Это является основной темой данного занятия.
Изучив материал этого занятия, вы сможете:
S Использовать системные счетчики производительности.
S Применять инструменты для повышения производительности и стабильности Windows Server.
SИспользовать Монитор стабильности системы Windows (Windows System Resource Monitor).
S Генерировать и просматривать отчеты производительности.
Продолжительность занятия — около 45 мин.
Глава 13
Управление системными ресурсами
В Windows Server имеется несколько инструментов, позволяющих идентифицировать потенциальные неполадки системных ресурсов. Если системы отконфигурированы некорректно и не назначены соответствующие ресурсы, такие как процессор, память и дисковое пространство, мониторинг позволит определить критические параметры. При идентификации критических параметров системе назначаются дополнительные ресурсы. Если система является физическим компьютером, она выключается, на компьютере устанавливаются новые ресурсы, например дополнительная оперативная память, после чего система вновь запускается. Если же система является виртуальной, то новые ресурсы можно выделять для запущенной машины в зависимости от движка виртуализации. В противном случае выключите машину, выделите новые ресурсы (скажем, дополнительные процессоры и память), а затем перезапустите машину. После перезагрузки отследите производительность для идентификации других критических параметров.
Критические параметры (bottleneck) производительности в Windows Server 2008 определяются с помощью таких инструментов.
• |
Диспетчер задач (Task Manager) |
Отображает использование системных |
||
|
ресурсов в текущий момент. |
|
|
|
• |
Оснастка Просмотр событий (Event Viewer) |
Регистрирует конкретные |
||
|
события, включая события, связанные с быстродействием. |
|||
• |
Монитор стабильности (Reliability M o n i t o r ) |
Отслеживает изменения |
||
|
в системе, позволяя определить, является ли изменение новым критичес- |
|||
|
ким параметром. |
|
|
|
• |
Системный монитор (Performance M o n i t o r ) |
Собирает данные в реаль- |
||
|
ном времени или в течение определенных интервалов д л я идентификации |
|||
|
потенциальных неполадок. |
|
|
|
• |
Диспетчер |
системных ресурсов |
W S R M ( W i n d o w s S y s t e m Resource |
|
|
Manager) |
Применяется для профилирования конкретных приложений |
||
|
и определения ресурсов, необходимых этим приложениям в определенное |
|||
|
время. С помощью этого инструмента также можно управлять выделением |
|||
|
ресурсов на основе генерируемых профилей. |
|
||
Для постоянного мониторинга состояния систем и автоматического устранения известных неполадок вы можете использовать и другие инструменты, в частности Microsoft System Center Operations Manager. Д л я мониторинга конкретных приложений инструмент Operations Manager использует настраиваемые пакеты управления.
Диспетчер задач
Самым простым средством мониторинга является Диспетчер задач (Task Manager), который отображает информацию о состоянии системы в реальном
-Занятие 2 |
Управление производительностью каталогов |
583 |
времени и охватывает несколько ключевых аспектов производительности, включая следующие:
шзапущенные приложения;
•запущенные процессы;
шзапущенные службы;
•производительность, включая использование процессоров и памяти;
•сеть, включая использование сетевых интерфейсных плат NIC (Network Interface Card);
•текущие пользователи, вошедшие в систему.
Доступ к диспетчеру задач получают различными способами. Например, щелкните правой кнопкой мыши панель задач и выполните команду Диспетчер задач (Task Manager). Еще один распространенный метод состоит в использовании комбинации клавиш Ctrl+Alt+Delete и выборе диспетчера задач в открывающемся меню. Таким образом можно открыть диспетчер задач в системе с ядром сервера (Server Core), поскольку панель задач не включена в ядро сервера. Д л я запуска диспетчера задач в командной строке также можно ввести команду Taskm.gr.exe.
Информация о производительности содержится преимущественно на вкладке Быстродействие (Performance), где отображаются ключевые сведения об использовании системы, в том числе об использовании физической памяти и памяти ядра (рис. 13-7). На вкладке также имеется кнопка, щелчком которой запускается Монитор ресурсов (Resource Monitor).
Монитор ресурсов представляет собой супердиспетчер задач, поскольку в одном его представлении собраны графики использования процессоров, диска, памяти и сети (рис. 13-8). Кроме того, в нем предусмотрены развертываемые секции для каждого ресурса, отображающие детальные сведения об использовании каждого компонента, где можно идентифицировать процессы, являющиеся потенциальными источниками неполадок. Эти два инструмента идеальны для просмотра и анализа данных о применении ресурсов. С их помощью можно быстро определить неполадки на сервере.
Например, если система не располагает достаточным объемом памяти, с помощью этих средств можно сразу установить, что происходит интенсивное использование оперативной памяти. В таком случае система задействует виртуальную память на диске и будет постоянно выполнять подкачку содержимого между физической и виртуальной памятью. Необходимость постоянной подкачки страниц памяти — типичная проблема серверов с недостаточным объемом физической памяти, снижающая общее быстродействие системы. Одним из индикаторов нехватки памяти считается медленная работа Диспетчера сервера (Server Manager).