Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 9:

Контроллеры доменов

Аннотация: Предметом данной лекции являются типичные способы перевода контроллеров домена Windows Server 2003 в сеть. Рассматриваются на практических примерах параметры настройки Active Directory

Если вы переходите к Windows Server 2003 из Windows NT, то вам понравится то, как устанавливаются контроллеры домена и то, как они выполняют свою работу. Microsoft отделила процесс создания доменов и контроллеров домена от процесса установки операционной системы. В Windows NT вам приходилось решать во время установки ОС, будет ли компьютер контроллером домена, и затем вы не могли создать дополнительные (резервные) контроллеры домена (BDC), пока не заработал главный контроллер домена (PDC), чтобы новые компьютеры могли взаимодействовать с ним через сеть.

Теперь вы можете выполнять несложные установки Windows Server 2003 и затем, убедившись в том, что эти серверы загружаются должным образом и не имеют проблем, вы можете приступать к задачам создания контроллеров домена (DC) и других системных серверов. Более того, если вы модернизируете свое оборудование одновременно с модернизацией операционной системы, то можете заказать, чтобы ваш привычный поставщик оборудования заранее устанавливал Windows Server 2003 без необходимости именования и конфигурирования контроллеров домена.

В сети Windows Server 2003 уже нет главных и резервных контроллеров домена (PDC и BDC); теперь у вас есть просто контроллеры домена, и все они в определенном смысле равны (вы можете задавать для них роли, но, вообще говоря, контроллер домена - это просто контроллер домена). Это означает, что если вы отключаете какой-либо DC для обслуживания или DC просто выходит из строя, вам уже не нужно возиться со сложной задачей понижения и повышения статуса контроллеров PDC и BDC, чтобы ваша сеть продолжала работать.

В этой лекции описывается несколько типичных способов перевода контроллеров домена Windows Server 2003 в вашу сеть. Я не могу охватить все сценарии из-за слишком большого числа возможных комбинаций (новые домены, модернизация существующих доменов из Windows 2000 или Windows NT, домены в смешанном режиме, добавление доменов в существующие леса, добавление контроллеров домена в существующие домены и т.д.). Однако обзор, который приводится в этой лекции, все-таки дает достаточную информацию, чтобы вы могли планировать и реализовать ваше развертывание Windows Server 2003.

Создание нового домена

Если вы устанавливаете первый контроллер домена в своей организации, то можете также установить первый экземпляр иерархии своего предприятия.

  • Первый домен.Домен - это набор объектов (компьютеров, пользователей и групп), определенных администратором. Для всех этих объектов используется общая база данных службы каталога (Active Directory) и общие политики безопасности. Кроме того, домен может иметь отношения безопасности с другими доменами.
  • Первый лес.Лес - это один или несколько доменов, совместно использующих общую схему (определения классов и атрибутов), информацию о сайтах и репликации и доступные для поиска компоненты (глобальный каталог).Домены одного леса могут быть связаны доверительными отношениями.
  • Первый сайт.Сайт - это фактически подсеть TCP/IP. Вы можете задавать и другие сайты, доступ к которым может происходить локально или дистанционным образом (например, через глобальную сеть [WAN]).

В "Описание Active Directory" даются подробные пояснения и инструкции по работе с этими компонентами в иерархии вашего предприятия.

Планирование развертывания контроллеров домена (DC)

Количество контроллеров домена, которые вы создаете, зависит от размера вашего предприятия и ваших собственных представлений о скорости и переходах в случае отказа (failover). Конечно, в случае одной локальной сети (LAN) с одной подсетью ваша компания может работать с одним DC. Но это рискованно. Установка второго DC означает, что в случае отказа одного из DC аутентификация, доступ к сетевым ресурсам и другие услуги для пользователей не будут прерваны. Кроме того, если у вас очень много пользователей, то использование нескольких DC снижает нагрузку аутентификации, приходящуюся на один DC, особенно в ситуации, когда все пользователи завершают работу своих компьютеров вечером и затем загружают их и выполняют вход в сеть в 9 часов утра.

Если ваше предприятие охватывает несколько сайтов, то вам следует создать хотя бы один DC в каждом сайте (и еще лучше - второй DC на случай отказа). Для выполнения входа компьютерам и пользователям требуется какой-либо DC, и если этот DC находится в другом сайте, процесс входа может потребовать слишком много времени.

Поддерживайте физическую защиту своих контроллеров домена, по возможности держите их в запертых помещениях. Это не только защита от злоумышленников; это также мера защиты вашего предприятия от случайного повреждения вашими собственными пользователями.

Установка Active Directory

Контроллер домена отличается от других системных серверов тем, что он содержит Active Directory. Чтобы преобразовать любой компьютер Windows 2000 в контроллер домена, установите Active Directory. (На этом сервере должна действовать файловая система NTFS; если это не так, то прежде чем установить Active Directory, вы должны запустить convert.exe, чтобы заменить файловую систему FAT на NTFS.)

Все это выполняется с помощью мастеров, но подсказки и действия отличаются в зависимости от конкретной ситуации: это первый DC или один из добавляемых DC для данного домена и доступны ли службы DNS на момент установки этого DC. В следующих разделах дается описание типичных комбинаций.

Active Directory и DNS

Устанавливая первый DC в новом домене, вы сталкиваетесь с вечным вопросом: "Что первично - курица или яйцо?". Вы не можете установить Active Directory, если

у вас не запущена служба DNS, и вы не можете установить DNS, если у вас нет домена. Забавно, не правда ли?

Мастер установки Active Directory Installation Wizard автоматически пытается найти в своем списке сконфигурированных серверов DNS полномочный сервер DNS, который допускает обновление служебной (SRV) ресурсной записи. Если такой сервер найден, записи для этого DC будут автоматически регистрироваться этим сервером DNS после перезагрузки DC.

Но для первого сервера DC в новом домене, возможно, не найдется подходящего сервера DNS. В результате мастер автоматически добавит DNS в список ролей, устанавливаемых на этом компьютере. Предпочтительной настройкой DNS для этого сервера является конфигурирование самого себя в этой роли. Это вполне подходящее решение, так как после установки других серверов DNS вы можете удалить роль DNS с этого DC.

В качестве альтернативного решения вы можете создать сначала сервер DNS, но поскольку он не будет интегрирован с Active Directory (так как вы еще не установили Active Directory), данные для зоны DNS будут просто неструктурированным (плоским) файлом. Это не означает, что новый DC не сможет определить тот факт, что служба DNS установлена, но это повлияет на безопасность DNS. Зона DNS на основе "плоского" файла не задает никаких вопросов и не налагает никаких ограничений. Любому устройству, которое пытается зарегистрировать имя, разрешается сделать это, даже если оно заменяет такое же имя, зарегистрированное раньше. Никакие полномочия не проверяются и не налагаются на базу данных DNS, поэтому любой человек может не обращать на это никакого внимания. Но после того как вы создали свой домен и контроллеры домена, вы можете преобразовать зону на основе плоского файла в зону, интегрированную с Active Directory (информацию по установке и конфигурированию DNS см. в "Ознакомление с DNS" ).

Установка первого контроллера домена (DC) в новом домене

Чтобы установить Active Directory (AD), откройте Manage Your Server (Управление вашим сервером) из меню Start (Пуск) и щелкните на Add or Remove a Role (Добавление или удаление роли), чтобы запустить мастер Configure Your Server Wizard (Конфигурирование вашего сервера). В окне Server Role (Роль сервера) выберите Domain Controller (Active Directory), чтобы запустить мастер Active Directory Installation Wizard. Щелкните на кнопке Next, чтобы продолжить работу с мастером, используя следующие инструкции для установки вашего первого DC.

  1. В окне Domain Controller Type (Тип контроллера домена) выберите Domain Controller For A New Domain (Контроллер домена для нового домена).
  2. В окне Create New Domain (Создание нового домена) щелкните на Domain in a new forest (Домен в новом лесу).
  3. На странице New Domain Name (Имя нового домена) введите полностью уточненное доменное имя (FQDN) для этого нового домена. (То есть введите companyname.com, но не companyname.)
  4. В окне NetBIOS Domain Name (NetBIOS-имя домена) проверьте это NetBIOS-имя (но не FQDN).
  5. В окне Database and Log Folders (Папки для базы данных и журнала) согласитесь с местоположением для папок базы данных и журнала или щелкните на кнопке Browse (Обзор), чтобы выбрать другое место, если у вас есть причина для использования другой папки.
  6. В окне Shared System Volume (Разделяемый системный том) согласитесь с местоположением папки Sysvol или щелкните на кнопке Browse, чтобы выбрать другое место.
  7. В окне DNS Registration Diagnostics (Диагностика регистрации DNS), проверьте, будет ли существующий сервер DNS подходящим для этого леса, или, если нет никакого сервера DNS, выберите опцию установки и конфигурирования DNS на этом сервере.
  8. В окне Permissions (Полномочия) выберите один из следующих вариантов полномочий (в зависимости от версий Windows на клиентских компьютерах, которые будут выполнять доступ к этому DC).
    • Полномочия, совместимые с операционными системами до Windows 2000.
    • Полномочия, совместимые только с операционными системами Windows 2000 или Windows Server 2003.
  9. Просмотрите информацию окна Summary (Сводка), и если вам нужно что-то изменить, щелкните на кнопке Back (Назад), чтобы изменить свои опции. Если все в порядке, щелкните на кнопке Next, чтобы начать установку.

После копирования всех файлов на ваш жесткий диск перезагрузите компьютер.

Установка других контроллеров домена (DC) в новом домене

Вы можете добавить любое число других DC в своем домене. В случае преобразования существующего рядового сервера в DC помните, что многие опции конфигурации исчезнут. Например, в этом случае будут удалены локальные пользовательские учетные записи и криптографические ключи. Если на этом рядовом сервере хранение файлов происходило с помощью EFS, то вы должны отменить шифрование. На самом деле после отмены шифрования вам следует переместить эти файлы на другой компьютер.

Чтобы создать и сконфигурировать другие DC в вашем новом домене, запустите мастер Active Directory Installation Wizard, как это описано в предыдущем разделе. Затем выполните шаги этого мастера, используя следующие указания.

  1. В окне Domain Controller Type выберите Additional Domain Controller For An Existing Domain (Дополнительный контроллер домена для существующего домена).
  2. В окне Network Credentials (Сетевые опознавательные данные) введите пользовательское имя, пароль и домен, указывающие пользовательскую учетную запись, которую вы хотите использовать для этой работы.
  3. В окне Additional Domain Controller введите полное DNS-имя существующего домена, где данный сервер станет контроллером домена.
  4. В окне Database and Log Folders согласитесь с местоположением для папок базы данных и журнала или щелкните на кнопке Browse (Обзор), чтобы выбрать место, отличное от установки по умолчанию.
  5. В окне Shared System Volume согласитесь с местоположением папки Sysvol или щелкните на кнопке Browse, чтобы выбрать другое место.
  6. В окне Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления служб каталога) введите и подтвердите пароль, который вы хотите назначить учетной записи администратора этого сервера. (Эта учетная запись используется в случае загрузки компьютера в режиме Directory Services Restore Mode.)
  7. Просмотрите информацию окна Summary, и если все в порядке, щелкните на кнопке Next, чтобы начать установку. Щелкните на кнопке Back, если вы хотите изменить какие-либо настройки.

Конфигурация системы адаптируется к требованиям для контроллера домена, после чего инициируется первая репликация. После копирования данных (это может занять определенное время, и если ваш компьютер находится в защищенном месте, то вы можете сделать для себя перерыв) щелкните на кнопке Finish в последнем окне мастера и перезагрузите компьютер. После перезагрузки появится окно мастера Configure Your Server Wizard, где объявляется, что теперь ваш компьютер стал контроллером домена. Щелкните на кнопке Finish, чтобы завершить работу мастера, или щелкните на одной из ссылок в этом окне, чтобы получить дополнительные сведения о поддержке контроллеров домена.

Создание дополнительных контроллеров домена (DC) путем восстановления из резервной копии

Вы можете быстро создавать дополнительные DC Windows Server 2003 в том же домене, что и какой-либо существующий DC, путем восстановления из резервной копии работающего DC Windows Server 2003. Для этого требуются только три шага (которые подробно описываются в следующих разделах).

  1. Резервное копирование состояния системы существующего DC Windows Server 2003 (назовем его ServerOne) в том же домене.
  2. Восстановление состояния системы в другом месте, т.е. на компьютере Windows Server 2003, который вы хотите сделать контроллером домена (назовем его ServerTwo).
  3. Повышение статуса целевого сервера (в данном случае ServerTwo) до уровня DC с помощью команды DCPROMO /adv, введенной из командной строки.

Эту последовательность можно применять во всех сценариях: установка нового домена Windows Server 2003, модернизация домена Windows 2000 и модернизация домена Windows NT. После установки Windows Server 2003 на каком-либо компьютере, вы можете сделать этот компьютер контроллером домена (DC) с помощью данного способа.

Это особенно полезно, если ваш домен содержит несколько сайтов и ваши DC реплицируются через глобальную сеть (WAN), что намного медленнее, чем передача данных через кабель Ethernet. Когда происходит установка нового DC в удаленном сайте, первая репликация тянется очень долго. При данном способе отпадает необходимость в этой первой репликации, а в последующих репликациях копируются только изменения (что занимает намного меньше времени).

В следующих разделах приводятся инструкции по созданию DC этим способом.

Запустите Ntbackup.exe (из меню Administrative Tools или из диалогового окна Run) и выберите следующие опции в окнах мастера.

  1. Выберите Back Up Files and Settings (Резервное копирование файлов и настроек).
  2. Выберите Let Me Choose What To Back Up (Я выберу сам то, что нужно копировать).
  3. Установите флажок System State (Состояние системы).
  4. Выберите местоположение и имя для файла резервной копии. Я использовал разделяемую точку в сети и назвал файл DCmodel.bkf (файлы резервных копий имеют расширение имени .bkf ).
  5. Щелкните на кнопке Finish.

Ntbackup выполнит резервное копирование состояния системы в указанном вами месте. Вам потребуется доступ к этой резервной копии с целевых компьютеров, поэтому проще всего использовать разделяемый ресурс сети или записать файл резервной копии на диск CD-R.

Восстановление состояния системы на целевом компьютере

Чтобы восстановить состояние системы на компьютере Windows Server 2003, который вы хотите сделать контроллером домена, перейдите на этот компьютер (он должен иметь доступ к файлу резервной копии, который вы создали на исходном компьютере). Запустите на этом компьютере Ntbackup.exe и выберите следующие опции в окнах мастера.

  1. Выберите Restore Files and Settings (Восстановление файлов и настроек).
  2. Укажите местоположение файла резервной копии.
  3. Установите флажок System State.
  4. Щелкните на кнопке Advanced (Дополнительно).
  5. Выберите в раскрывающемся списке вариант Alternate Location (Другое место) и введите местоположение на локальном жестком диске (например, вы можете создать папку с именем ADRestore на диске C).
  6. Выберите вариант Replace Existing Files (Заменить существующие файлы).
  7. Установите флажки Restore Security Settings (Восстановить настройки безопасности) и Preserve Existing Volume Mount Points (Сохранить существующие точки монтирования томов).
  8. Щелкните на кнопке Finish.

Ntbackup восстанавливает состояние системы в пяти подпапках в том месте, которое вы указали в мастере. Имена этих папок соответствуют следующим именам компонентов состояния системы:

  • Active Directory (база данных и файлы журналов)
  • Sysvol (политики и скрипты)
  • Boot Files (Файлы загрузки)
  • Registry (Реестр)
  • COM+ Class Registration Database (База данных регистрации классов COM+)

Если вы запускаете программу DCPROMO с новым ключом /adv, то она ищет эти подпапки.

В диалоговом окне Run (Выполнить) введите dcpromo /adv, чтобы запустить мастер Active Directory Installation Wizard. Используйте следующие инструкции, чтобы сделать свой выбор в каждом окне этого мастера.

  1. Выберите вариант Additional Domain Controller for Exiting Domain.
  2. Выберите вариант From These Restored Backup Files (Из следующих восстановленных файлов резервной копии) и укажите местоположение на локальном диске, где вы хотите восстановить резервную копию. Это должно быть место, где находятся приведенные выше пять подпапок.
  3. Если исходный DC содержит глобальный каталог, то появится окно мастера, где спрашивается, хотите ли вы поместить глобальный каталог на этот DC. Выберите ответ Yes или No в зависимости от ваших планов конфигурирования. Процесс создания DC будет проходить несколько быстрее, если выбрать ответ Yes, но вы можете решить, что глобальный каталог нужно держать только на одном DC.
  4. Введите опознавательные данные, позволяющие выполнить эту работу (имя и пароль администратора).
  5. Введите имя домена, в котором будет действовать этот DC. Это должен быть домен, членом которого является исходный DC.
  6. Введите местоположения для базы данных Active Directory и журналов (лучше всего использовать местоположения, заданные по умолчанию).
  7. Введите местоположение для SYSVOL (и здесь лучше всего использовать местоположение по умолчанию).
  8. Введите пароль администратора, чтобы использовать его на тот случай, если придется загружать этот компьютер в режиме Directory Services Restore Mode.
  9. Щелкните на кнопке Finish.

Dcpromo повысит статус этого сервера до контроллера домена, используя данные, содержащиеся в восстановленных файлах, а это означает, что вам не придется ждать, пока будет выполнена репликация каждого объекта Active Directory с существующего DC на этот новый DC. Если какие-либо объекты будут изменены, добавлены или удалены после того, как вы начнете этот процесс, то при следующей репликации это будет вопросом нескольких секунд для нового DC.

По окончании этого процесса перезагрузите компьютер. После этого вы можете удалить папки, содержащие восстановленную резервную копию.