Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 9:

Контроллеры доменов

Модернизация доменов Windows 2000

Если вы модернизируете контроллеры домена (DC) Windows 2000 до Windows Server 2003 или добавляете контроллеры домена Windows Server 2003 в домен Windows 2000, то должны сначала подготовить доменлес, в котором он находится) из-за отличий в схеме между Active Directory Windows 2000 и Windows Server 2003. После этого установка и конфигурирование Active Directory Windows Server 2003 выполняется достаточно просто.

Внимание. Все ваши контроллеры домена Windows 2000 должны работать с Service Pack версии 2 или более поздней версии.
Примечание. Прежде чем начать модернизацию DC Windows 2000, вы должны проверить совместимость для этой модернизации и скопировать обновленные файлы установки (Setup), запустив winnt32 /checkupgradeonly с компакт-диска Windows Server 2003 или из разделяемой точки в сети.

Подготовка леса и домена

Чтобы подготовиться к модернизации Windows 2000 в Windows Server 2003, вы должны сначала подготовить Active Directory с помощью утилиты командной строки adprep.exe, которая находится в папке i386 CD Windows Server 2003. Для выполнения этой задачи вы должны установить CD Windows Server 2003 на контроллерах домена Windows Server 2003 или скопировать папку i386 в какую-либо разделяемую точку сети. Сначала нужно модернизировать лес, затем - домен(ы).

  • Модернизация леса выполняется на контроллере, который является хозяином схемы (schema master).
  • Модернизация домена выполняется на контроллере, который является хозяином инфраструктуры (infrastructure master).

В большинстве систем хозяин схемы и хозяин инфраструктуры - это один и тот же компьютер. (См. ниже раздел "Описание ролей контроллера домена (DC)".)

Поскольку модернизация Active Directory - это нисходящий процесс, начните с леса. Для этого выполните следующие шаги на компьютере, который является хозяином схемы.

  1. Выполните резервное копирование компьютера, который является хозяином схемы, включая состояние системы.
  2. Отсоедините этот компьютер от сети.
  3. Откройте окно командной строки и перейдите в то место, где находится папка i386 Windows Server 2003 (это CD или разделяемая точка сети).
  4. Введите adprep /forestprep.

По окончании adprep.exe выполните следующую проверку на ошибки.

Запишите ошибки, которые выводились во время выполнения adprep.exe. Это конкретные ошибки, и по ним легко определить, что нужно исправить. Часто в сообщении об ошибке указываются шаги, которые требуются для устранения данной проблемы. Выполните все необходимые шаги, прежде чем перейти к модернизации домена.

Проверьте журнал System в Event Viewer, чтобы увидеть, не появились ли ошибки, связанные с модернизацией, или запустите диагностическое средство такое, как Dcdiag. (Если вы увидите сообщения об ошибках репликации, когда этот DC отсоединен от сети, это нормальная ситуация, которая не связана с adprep.exe.) Если сообщения об ошибках указывают на существенную проблему, восстановите этот компьютер (хозяин схемы) из резервной копии и исправьте конфигурацию этого DC, чтобы можно было успешно выполнить adprep /forestprep.

Если не возникло никаких ошибок, снова подсоедините этот компьютер (хозяин схемы) к сети. Если компьютер с хозяином схемы отличается от компьютера с хозяином инфраструктуры, то вам нужно подождать, пока изменения, внесенные программой adprep.exe, реплицируются с хозяина схемы на другой компьютер. Если эти два компьютера находятся в одной локальной сети, подождите примерно полчаса. Вам придется подождать больше (полдня или день), если эти компьютеры находятся в разных сайтах.

Внимание. Если попытаться выполнить модернизацию домена на компьютере, который является хозяином инфраструктуры, до того, как будут реплицированы изменения, являющиеся результатом модернизации, то adprep.exe выведет сообщение об ошибке, что прошло недостаточно времени, чтобы можно было выполнить модернизацию домена.

После репликации изменений хозяина схемы на другие контроллеры домена вы можете модернизировать этот домен: откройте окно командной строки на компьютере, который является хозяином инфраструктуры, и введите adprep /domainprep. Проведите проверку на ошибки, как это описано в предыдущем разделе по модернизации леса, и выполните все необходимые шаги для их устранения.

Подождите, пока будет выполнена репликация этого DC на данном предприятии, что может занять несколько часов или даже целый день в зависимости от географической конфигурации вашей инфраструктуры.

Модернизация контроллеров домена (DC) Windows 2000

После подготовки домена и леса вам нужно выполнить две простые задачи для модернизации каждого DC Windows 2000 к Windows Server 2003.

  1. Запустите Setup.exe с CD Windows Server 2003 или из сетевой разделяемой точки, чтобы модернизировать эту операционную систему в Windows Server 2003.
  2. После установки операционной системы выполните вход на этот компьютер и запустите мастер Active Directory Installation Wizard (который появляется автоматически).

Если вам требуются другие DC после установки первого DC в данном домене, то вы можете использовать альтернативный метод - восстановление состояния системы существующего DC на другом компьютере Windows Server 2003. См. выше раздел "Создание дополнительных контроллеров домена (DC) путем восстановления из резервной копии".

Модернизация доменов Windows NT 4

Прежде чем приступить к преобразованию ваших DC Windows NT 4 в DC Windows Server 2003, вы должны запомнить некоторые базовые правила.

  • Требуется DNS (см. следующий раздел "Решения по установке DNS").
  • Функциональный уровень вашего Active Directory (как для леса, так и для домена) можно изменять до тех пор, пока не будет выполнена полная модернизация всего предприятия. (См. ниже раздел "Функциональные уровни домена и леса".)

Кроме того, вы должны, конечно, продумать и спланировать свою иерархию Active Directory, которая принципиально отличается от того, с чем вы работали в сети Windows NT

Решения по установке DNS

DNS является обязательным компонентом для Active Directory, и если в ваших сетях Windows NT 4 не было DNS, то у вас есть два способа установки этого недостающего компонента.

  • Сконфигурировать серверы DNS и установить службы DNS для вашей сети Windows NT 4 до модернизации.
  • Установить DNS на первом контроллере домена Windows Server 2003, который вы устанавливаете во время модернизации, и затем перераспределить службы DNS, как это описано выше в этой лекции.
Примечание. Если вы устанавливаете (или установили раньше) DNS в своей сети Windows NT, то вам следует знать, что DNS Windows NT не поддерживает динамические обновления (но их поддерживает DNS Windows 2003/2000).

Функциональные уровни домена и леса

Функциональные уровни домена и леса соответствуют уровням охвата средств Active Directory, доступных на вашем предприятии. Они зависят от версий Windows, используемых вашими DC. В случае крупных предприятий нереально думать, что за одну ночь (или даже за выходные дни) можно выполнить модернизацию сразу всех DC в систему Windows Server 2003, что эквивалентно новому предприятию для ваших администраторов и пользователей, когда они вернутся к работе.

Профессионалы ИТ называют также функциональные уровни "режимами", поскольку этот термин часто использовался, когда была выпущена версия Windows 2000. В то время использовали термин "смешанный режим" (mixed mode) для сетей с контроллерами домена, работающими под управлением Windows 2000, и резервными контроллерами домена (BDC) Windows NT 4, продолжающими работать в сети. Для сети, где все DC работают под управлением Windows 2000, использовался термин "собственный режим" (native mode). Предприятия, работающие в смешанном режиме, не могли использовать некоторые средства Active Directory, доступные только в собственном режиме. Например, использование универсальных групп, вложение групп и возможность перемещения субъектов безопасности (идентификаторов безопасности - SID) между доменами были только в собственном режиме.

Функциональные уровни, доступные при использовании Windows Server 2003, имеют более сложный характер, причем имеется разделение между функциональными уровнями домена и функциональными уровнями леса (что не имело смысла для режимов Windows 2000).

Примечание. Текущие уровни вашего домена Windows 2000 вы можете увидеть в оснастке Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory). Щелкните правой кнопкой на объекте-лесе или на объекте-домене в дереве консоли и выберите пункт Properties (Свойства). Текущий уровень представлен во вкладке General (Общие).

Функциональные уровни домена позволяют использовать определенные средства в конкретном домене. В зависимости от версий Windows ваших DC в домене могут использоваться четыре функциональных уровня домена.

Функциональный уровень домена Версии Windows на контроллерах домена
Windows 2000 mixed (Смешанный Windows 2000)
  • Windows NT 4
  • Windows 2000
  • Windows Server 2003
Windows 2000 native (Собственный Windows 2000)
  • Windows 2000
  • Windows Server 2003
Windows Server 2003 interim (Промежуточный Windows Server 2003)
  • Windows NT 4
  • Windows Server 2003
Windows Server 2003 (Собственный Windows Server 2003) Windows Server 2003

Важно понять, что функциональный уровень домена не является пассивным параметром, который задается самой операционной системой в зависимости от того, что она обнаруживает. Этот уровень задают администраторы (и изменяют его по мере модернизации контроллеров домена). Во время модернизации в систему Windows Server 2003 первого DC в вашем домене Windows NT 4 у вас запрашивается функциональный уровень домена (по умолчанию - Windows 2000 mixed).

Если вы изменяете (повышаете) функциональный уровень домена, то контроллеры домена, работающие с более ранними версиями Windows, уже не могут быть присоединены к этому домену. Например, если вы повышаете функциональный уровень домена до Windows 2000 native, то контроллеры домена, работающие под управлением Windows NT 4, уже не могут быть членами этого домена.

Функциональные уровни леса позволяют использовать возможности Active Directory для всех доменов внутри этого леса. Имеются три следующих функциональных уровня леса.

Функциональный уровень леса Версии Windows на контроллерах домена этого леса
Windows 2000
  • Windows 2000
  • Windows Server 2003
Windows Server 2003 interim (Промежуточный Windows Server 2003)
  • Windows NT 4
  • Windows Server 2003
Windows Server 2003 (Собственный Windows Server 2003) Windows Server 2003

Во время модернизации вашего первого домена Windows NT 4 в новый лес Windows Server 2003 для этого домена устанавливается функциональный уровень Windows Server 2003 interim. После повышения функционального уровня леса контроллеры домена, работающие под управлением Windows NT 4, уже не могут включаться в этот лес.

По моему опыту и опыту других известных мне администраторов модернизация из Windows NT 4 в Windows Server 2003 обычно проходит без проблем. Но прежде чем начать модернизацию, вы должны выполнить некоторые предварительные шаги.

  • Проследите, чтобы на всех DC домена был установлен SP5.
  • Выполните резервное копирование всех DC.
  • После репликации базы данных учетных записей на ваши резервные контроллеры домена (BDC) удалите один из этих BDC из локальной сети.

Первые два шага являются обязательными, тогда как третий шаг - это мой собственный способ для возврата к прежнему состоянию в случае какой-либо проблемы (в данном случае лучше быть пессимистом). Вам будет нетрудно повысить статус этого BDC до уровня PDC (главного контроллера домена), отключить от локальной сети прежний (теперь уже модернизированный) PDC и снова подключить кабель отключенного ранее BDC (теперь это PDC) к концентратору. Пользователи смогут выполнять вход и работать.

Начните с модернизации PDC. Это просто модернизация самой операционной системы, а установка Active Directory (в результате которой компьютер станет контроллером домена) происходит после этого. Используйте CD Windows Server 2003 или запустите Setup.exe из разделяемой точки сети. После установки операционной системы и последующей перезагрузки Windows Server 2003 запускается мастер установки Active Directory Installation Wizard, который сопровождает вас в процессе преобразования компьютера в контроллер домена.

Мастер требует, чтобы вы присоединились к существующему дереву доменов или лесу либо создали новое дерево доменов или новый лес. Если вы решили присоединиться к существующему дереву доменов, то ссылаетесь на нужный родительский домен во время процесса модернизации. Если вы создаете новый дочерний домен, то устанавливаются транзитивные доверительные отношения с этим родительским доменом. В конечном итоге контроллер родительского домена реплицирует всю информацию схемы и конфигурации на контроллер этого нового дочернего домена.

Существующий объект SAM (Security Accounts Manager) копируется из реестра в новое хранилище данных.

Во время процесса модернизации мастер создает необходимые объекты-контейнеры для учетных записей и групп из домена Windows NT. (Эти объекты-контейнеры получают имена Users, Computers и Builtin, и вы можете видеть их в оснастке Active Directory Users and Computers.)

Существующие группы Windows NT 4 находятся в других контейнерах в зависимости от вида группы. Встроенные (built-in) локальные группы Windows NT 4 (такие как Administrators и Server Operators) помещаются в контейнер Builtin. Глобальные группы Windows NT 4 (такие как Domain Admins) и любые созданные пользователями группы (как локальные, так и глобальные) помещаются в контейнер Users.

После модернизации главного контроллера домена (PDC) вы можете перейти к модернизации всех BDC (за исключением BDC, который вы удалили из сети для возврата в случае возникновения проблем). Выполнив модернизацию всех BDC и убедившись, что система работает должным образом, подсоедините к сети последний (ранее отключенный BDC) и выполните его модернизацию.