Există patru moduri de a instala Active Directory.
- Instalare prin mijloace Experti de instalare Active Directory(Expert de instalare Active Directory); potrivit în majoritatea cazurilor.
- Instalare fișier de răspuns, metodă de instalare nesupravegheată (vă permite să instalați AD de la distanță).
- Instalare folosind o sursă de rețea sau de arhivă (utilizată la instalarea Active Directory pe controlere de domeniu suplimentare).
- Instalare cu Experti de configurare a serverului(Configurați asistentul serverului dvs.). (Această metodă este aplicabilă numai la instalarea Active Directory pe primul controler de domeniu din rețea).
Toate cele patru căi vă permit să atribuiți un computer rolului de controler de domeniu, să instalați Active Directory și, opțional, să instalați și să configurați un server DNS.
Cu toate acestea, prima metodă este universală și o vom lua în considerare mai detaliat, folosind exemplul instalării Active Directory pe primul controler de domeniu din rețea ...
Instalarea Active Directory utilizând Expertul de instalare Active Directory.
- Pentru a deschide Expertul de instalare Active Directory, intrați Alerga comanda dcpromo.
- După ce pagina expertului apare sub nume Expertul de instalare Active Directory faceți clic pe butonul Mai departe.
- Pe pagina Verificarea compatibilității sistemului face de asemenea clic pe butonul Mai departe.
- Pe pagina Tip controler de domeniu alege Controler de domeniu în noul domeniu; apoi faceți clic pe Următorul.
- Odată ajuns pe pagină Creați un domeniu nou, selectați elementul Domeniu nou într-o pădure nouă apoi faceți clic pe butonul Următorul.
- În câmp Numele DNS complet calificat al noului domeniu Pe pagina Nume de domeniu nou introduceți numele domeniului și faceți clic pe butonul Mai departe.
- După o scurtă întârziere, apare pagina. Nume de domeniu NetBIOS... Nu este recomandat să schimbați numele NetBIOS implicit. Clic Mai departe.
- După deschiderea paginii Baze de date și foldere de jurnal specificați locația bazei de date Active Directory și conectați-vă în casetele de text Dosarul locației bazei de dateși Dosarul de locație a jurnalului respectiv. Nu uitați că este recomandat să plasați baza de date și fișierul jurnal pe hard disk-uri separate cu sistemul de fișiere NTFS. Faceți clic pe butonul Mai departe.
- În câmp Locația folderului pagini Partajarea unui volum de sistem trebuie să specificați locația folderului Sysvol... După cum vă puteți imagina, volumul sistemului trebuie să fie localizat pe o partiție sau volum cu sistemul de fișiere NTFS. După finalizarea setărilor, faceți clic pe butonul Mai departe.
- Când pagina apare pe ecran Diagnosticare înregistrare DNS, consultați instrucțiunile detaliate pentru testul de diagnosticare. Setați comutatorul pe una dintre cele trei poziții (în cazul nostru, DNS nu a fost încă configurat în rețea, așa că alegem a doua opțiune). Apăsăm Mai departe.
- Redați pe pagină Permisiuni, selectați toate permisiunile standard necesare pentru obiectele utilizator și grup, apoi faceți clic Mai departe.
- Într-o casetă de text Parola modului de recuperare pagini Servicii de director Restaurare parolă introduceți parola contului de administrator pentru situația în care computerul pornește în modul de recuperare a serviciului de director. După confirmare apăsați parola Mai departe.
- Pe pagina rezumat sunt listate toate setările făcute până în prezent. După ce le-ați examinat lista, faceți clic Mai departe... (Procesul de configurare Active Directory Components Wizard durează ceva timp. Dacă o adresă IP statică nu este setată pe computer în setări, vi se va solicita să faceți acest lucru.
- După finalizarea expertului, apare o pagină Finalizarea expertului de instalare Active Directory... Faceți clic pe butonul Gatași imediat după aceea - Restarteaza acum.
Pentru gestionarea centralizată a rețelei de facultate, trebuie să creați un domeniu bazat pe Microsoft Windows Server 2003.
Notă... În timpul instalării, poate fi necesar să introduceți CD-ul de instalare Windows Server 2003 în unitatea dvs. Puteți utiliza un CD fizic sau izo-imaginea discului de instalare a sistemului de operare.
Exercitiul 1. Instalați serviciul de director Active Directory pe server, creați domeniul mydomain.ru.
Instrucțiuni pentru implementare
1. Rulați Expertul de instalare Active Directory Start - Run - dcpromo.
2. Urmând pașii asistentului de instalare, selectați următoarele opțiuni de instalare:
În fereastra Tip controler de domeniu - butonul radio Controlerul de domeniu pentru un domeniu nou;
La fereastră Creați un domeniu nou (Creați un domeniu nou) - intrerupator Domeniu într-o pădure nouă (Domeniu într-o pădure nouă);
La fereastră Instalați sau configurați DNS (Instalarea sau configurarea DNS) - intrerupator Nu, instalați și configurați DNS pe acest computer (Nu, DNS este deja instalat și configurat pe acest computer) dacă DNS este deja instalat pe server sau Da, voi configura clientul DNS(Da, voi configura clientul DNS);
La fereastră Nume de domeniu nou (Nume de domeniu nou) tip mydomain.ru in linie Nume DNS complet pentru noul domeniu (Numele DNS complet calificat al noului domeniu);
La fereastră Nume de domeniu NetBIOS (Nume de domeniu NetBIOS) ar trebui să apară o intrare DOMENIU MEU;
Asigurați-vă că este aleasă calea pentru a găzdui baza de date și protocolul. C: \ WINDOWS \ NTDS, și pentru a plasa directorul SYSVOL calea indicată C: \ WINDOWS \ SYSVOL;
La fereastră Permisiuni (Permisiuni) Selectați Permisiuni compatibile numai cu sistemele de operare Windows 2000 sau Windows Server 2003 (Permisiuni compatibile numai cu sistemele de operare Windows 2000 sau Windows Server 2003);
La fereastră Servicii de director Parola de administrator pentru modul de restaurare (Parola de administrator pentru modul de recuperare) introduceți parola pe care doriți să o atribuiți acestui cont de server Administrator în cazul în care computerul pornește în modul Directory Services Restore;
În fereastra Rezumat, examinați lista celor selectați parametrii instalare și așteptați finalizarea procesului de instalare Active Directory.
3. În fereastra Completing The Active Directory Installation Wizard, faceți clic pe butonul Terminare și apoi pe butonul Restart Now.
Sarcina 2... Vizualizați domeniul creat într-unul din moduri.
Instrucțiuni pentru implementare
1a metoda.
Deschideți Locațiile mele din rețea - Întreaga rețea – Rețeaua Microsoft Windows (Locațiile mele de rețea - Toată rețeaua - Rețeaua Microsoft Windows). Asigurați-vă că apare o intrare pentru domeniul mydomain, care conține un computer, Server.
a 2-a cale.
1 Din meniul Start - Programe - Instrumente administrative, selectați Utilizatori și computere Active Directory. Se va deschide snap-in-ul cu același nume.
2 În arborele snap-in, faceți dublu clic pe mydomain.ru (sau numele domeniului dvs.) pentru a vedea conținutul nodului mydomain.ru.
3 În secțiunea Controlere de domeniu din arborele snap-in, vizualizați numele controlerului de domeniu și numele DNS complet calificat al acestuia (de exemplu, dacă numele serverului autonom a fost server, atunci după instalarea domeniului ar trebui să fie server. mydomain.ru).
4 În secțiunea Utilizatori, vizualizați lista conturilor de utilizator încorporate și a grupurilor de utilizatori pentru domeniu.
5 Activați contul de vizitator încorporat și încercați să vă conectați. Ai încercat să faci asta cu succes? Numai administratorii de domeniu au voie să se conecteze la controlorii de domeniu.
6 Închideți consola Active Directory Users And Computers.
Sarcina 3. Testați serviciul DNS folosind snap-in-ul DNS.
Instrucțiuni pentru implementare
1. Deschideți consola DNS utilizând comanda Start - Programs - Administrative Tools - DNS.
2. În arborele consolei DNS, faceți clic dreapta pe numele serverului și selectați Proprietăți. Se va deschide fereastra de proprietăți SERVER (dacă serverul are un alt nume, acesta va apărea în titlul ferestrei).
3. Faceţi clic pe fila Monitorizare.
4. În lista Selectați un tip de testare, bifați casetele O interogare simplă împotriva acestui server DNS și O interogare recursiva către alte servere DNS și faceți clic pe Testează acum. În fereastra Proprietăți server, lista rezultatelor testului ar trebui să afișeze PASS sau FAIL în coloanele Interogare simplă și Interogare recursiva. Explicați rezultatele obținute.
Sarcina 4. Eliminați serviciul Active Directory.
Instrucțiuni pentru implementare
Rulați Expertul de instalare și eliminare Active Directory Start - Run - dcpromo.
Muncă independentă
Conform misiunii proiectului, setați un domeniu numit faculty.ru, unde controlerul de domeniu este server.faculty.ru, a cărui adresă IP este 192.168.1.1.
Întrebări pentru autocontrol
1. Descrieți diferențele dintre un grup de lucru și un domeniu.
2. Care este principala diferență dintre Windows XP și Windows Server 2003?
3. Este posibil să creați un domeniu într-o rețea în care toate computerele din rețea rulează Windows XP?
4. Definiți un controler de domeniu.
5. Enumerați conturile de utilizator și grup de utilizatori încorporate ale domeniului cunoscut de dvs. și descrieți scopul acestora.
6. Ce înseamnă termenul de server autonom?
7. Descrieți diferențele dintre un grup de lucru și un domeniu.
8. De ce este de obicei dezactivat contul de vizitator încorporat?
Literatură
Lucrare de laborator nr 4
Subiect: Crearea și administrarea conturilor de utilizator și de grup
Exercitiul 1. Creați un cont decan de domeniu:
- are acces la toate resursele rețelei,
- se poate conecta la orice computer.
Instrucțiuni pentru implementare
1. Rulați comanda start–Toate programele–Instrumente administrative–Utilizatori și computere Active Directory (Start–Programe–Administrare–Utilizatori și computere Active Directory).
2. Extindeți folderul facultate.ru Utilizatori.
3. În meniu Acțiune (Acțiune) selectați comanda Nou–Utilizator (Creați–Utilizator).
4. Introduceți informațiile de utilizator necesare. În capitolul Nume de conectare utilizator (Autentificare nume de utilizator) introduce decan (decan)... Vă rugăm să rețineți că atunci când creați un cont de domeniu, spre deosebire de un cont local, numele domeniului este afișat după numele de utilizator, separat de ultimul printr-un caracter @ ... Astfel, numele complet al utilizatorului ( Nume de conectare utilizator)–[email protected] .
5. Când definiți o parolă de utilizator, asigurați-vă că ați verificat Utilizatorul trebuie să schimbe parola la următoarea conectare (Utilizatorul trebuie să schimbe parola la următoarea autentificare).
6. Finalizați crearea contului.
7. În panoul din dreapta, găsiți contul dvs. Faceți dublu clic pe el pentru a introduce informații suplimentare (adresă, organizație etc.).
8. Asigurați-vă că decanul se poate conecta în orice moment (fila Cont–Orele de conectare–Orele de intrare)).
9. Încercați să vă autentificați în domeniu folosind contul decanului. De ce a eșuat încercarea?
10. Conectați-vă la sistem ca administrator.
11. Vizualizați proprietatea contului decanului rulând din nou comanda start–Toate programele–Instrumente administrative-. În fereastra de proprietăți ale contului, selectați fila Membru al (Apartenența la grup) și adăugați contul decan la grupul global Administratorii domeniului cu următoarele comenzi Adăuga ...–Avansat...–Găsiți acum... Adăugați...–În plus…–Găsi…) din listă, selectați Administratorii domeniului (Administratorii domeniului).
12. Încercați din nou să vă conectați la domeniu folosind contul decanului.
13. După ce v-ați conectat cu contul de administrator, schimbați parola decanului și setați parola să se schimbe din nou data viitoare când vă conectați.
Sarcina 2.În conformitate cu cerințele politicii de securitate a rețelei, nu se recomandă includerea altor utilizatori de domeniu în grupul Administratori, cu excepția celor care îndeplinesc direct funcțiile de administrare. Eliminați contul decanului din grupul Administratori.
Instrucțiuni pentru implementare
1. Rulați comanda start–Toate programele–Instrumente administrative–Utilizatori și computere Active Directory.
2. Extindeți folderul facultate.ruîn panoul din stânga ferestrei. În subdosare selectați Utilizatori.
3. În panoul din dreapta, găsiți contul dvs. Faceți dublu clic pe el și accesați fila Membru al. Selectați din lista de grupuri Administratorii domeniuluiși apăsați Elimina.
Sarcina 3. Permiteți contului decanului să se conecteze la controlerul de domeniu fără a-l include în grupul Administratori.
Instrucțiuni pentru implementare
1. Adăugați contul decanului în grup Operatori de imprimare ai căror membri se pot conecta la controlerul de domeniu.
2. Conectați-vă la domeniu folosind contul decanului
3. Sugerați o altă metodă pentru a permite conectarea la controlerul de domeniu.
Sarcina 4. Creați un grup global Profesori (Profesori):
- tip grup - grup de securitate;
- profesorii se pot conecta la orice calculator din rețea, cu excepția serverului;
- fiecare dintre profesori are propriul cont și setări, care sunt configurate personal de către profesor.
Instrucțiuni pentru implementare
1. Rulați comanda start–Toate programele–Instrumente administrative–Utilizatori și computere Active Directory.
2. Extindeți folderul facultate.ruîn panoul din stânga ferestrei. În subdosare selectați Utilizatori.
3. În meniu Acțiune alege echipa Nou–Grup (Nou–Grup).
4. În câmp Numele Grupului (Numele Grupului) introduce Profesori.
5. În zonă Domeniul de aplicare al grupului (Domeniul de aplicare al grupului) faceți clic pe butonul radio Global, iar în zonă Tip de grup (Tip de grup) - intrerupator Securitate.
6. Faceți clic pe OK.
Sarcina 5. Adăugați la grup Profesori (Profesori) un membru al grupului - contul decanului.
Instrucțiuni pentru implementare
1. Asigurați-vă că clapeta este deschisă Utilizatori și computere Active Directory iar un container este selectat Utilizatori.
2. În fereastra de proprietăți ale grupului Profesori selectați fila Membrii (Membrii grupului), apoi succesiv butoane Adăuga ...–Avansat...–Gaseste acum ... din listă, selectați contul decanului.
3. În fereastra de proprietăți a contului decanului, găsiți informațiile despre apartenența la grup Profesori.
Sarcina 6. Listați grupurile de domenii locale, globale și locale încorporate și studiați descrierea fiecărui grup încorporat.
Sarcina 7. Populați tabelele care conțin informații despre membrii domeniului. Tabelele ar trebui să vă ajute să planificați și să creați conturi de domeniu.
Un exemplu de completare a tabelelor pentru un grup de utilizatori biroul lui Dean si cont Student Vezi mai jos.
Tabelul 8
Planificarea grupului
Tabelul 9
Program de conectare
Tabelul 10
Planificarea parolelor
@ Gândiți-vă la cel puțin trei utilizatori din fiecare grup și completați tabelele 8-10 conform cerințelor proiectului. Adăugați tabele la raportul dvs.
Sarcina 8. Creați conturi de utilizator și grupuri de utilizatori, conform cerințelor proiectului, conform opțiunilor dvs. din Tabelele 8–10.
Sarcina 9. Testează-ți conturile. De exemplu, modificați ora sistemului la 6:00 și încercați să vă conectați la domeniu ca student. Încercați să schimbați parola pentru acest cont.
Întrebări pentru autocontrol
1. Descrieți diferențele dintre conturile locale și cele de domeniu.
2. Care este scopul creării de grupuri de utilizatori?
3. Explicați scopul grupurilor locale, globale și universale.
4. Explicați scopul grupurilor de securitate și al grupurilor de distribuție.
5. Definiți și furnizați exemple pentru următorii termeni: „drepturi utilizator”, „privilegii utilizator”, „permisiuni de acces utilizator”.
6. Enumerați conturile de utilizator și grup de utilizatori încorporate ale domeniului cunoscut de dvs. și descrieți scopul acestora.
7. În ce grup de utilizatori încorporați, altul decât grupul Administratori, ar trebui inclus contul pentru ca utilizatorul să se conecteze la stația de lucru? Există și alte modalități de a face asta?
8. Cum să preveniți conectarea în weekend și după orele de program?
9. Cum limitez perioada de valabilitate a contului meu?
10. Cum să dezactivezi contul unui angajat, de exemplu, în timpul bolii acestuia?
12. Cum pot schimba parola utilizatorului?
13. Cum să împiedici utilizatorul să schimbe parola?
14. Care sunt consecințele ștergerii unui grup?
Literatură
Lucrare de laborator nr 5
Situația inițială - există un domeniu, companie de testare.local... Pentru simplitate, va avea un controler de domeniu Windows Server 2003 numit dc01... Serverul DNS este și el pe el, zona principală este integrată în Active Directory.
Setări de rețea controler:
Adresă IP - 192.168.1.11
Mască - 255.255.255.0
Gateway - 192.168.1.1
Server DNS - 192.168.1.11
Sarcină- instalați un controler de domeniu pe un alt server, în plus, rulând Windows Server 2008 R2, downgrade-ul vechiului controler la un server membru (și apoi eventual ștergeți-l cu totul) și transferați toate funcțiile controlerului vechi pe cel nou.
Munca pregatitoare
Ca lucru pregătitor, ar trebui să rulați comenzile netdiag(această comandă există doar în Server 2003, Instrumente de asistență) și dcdiag, asigurați-vă că nu există erori și, dacă există, corectați aceste erori.
În primul rând, determinăm deținătorul rolurilor FSMO în domeniu cu comanda:
Utilitate netdom.exe Windows Server 2003 nu este inclus în mod implicit, așa că trebuie să instalați Instrumente de asistență(http://support.microsoft.com/kb/926027). În acest caz, nu are sens, deoarece există un singur controler de domeniu și rolurile FSMO sunt încă pe el. Pentru cei care au mai mult de un controlere de domeniu, va fi util să știe ce roluri să transfere și de unde. Ieșirea comenzii va arăta cam așa:
Adresă IP - 192.168.1.12
Mască - 255.255.255.0
Gateway - 192.168.1.1
Server DNS - 192.168.1.11
și injectați-l într-un domeniu existent, companie de testare.localîn cazul nostru.
Actualizarea pădurii și a schemei de domeniu
Următorul pas este actualizarea schemei de pădure și de domeniu la Windows Server 2008 R2, lucru pe care îl vom face folosind utilitarul adprep... Introduceți discul de instalare cu Windows Server 2008 R2 în server dc01... Pe disc, ne interesează folderul X:\support\adprep (X: este litera unității DVD-ROM). Dacă aveți Windows Server 2003 pe 32 de biți, ar trebui să rulați adprep32.exe, în cazul pe 64 de biți - adprep.exe.
Nu există cerințe pentru modul funcțional forestier pentru a executa comanda. Pentru a executa comanda adprep / domainprep Necesită un domeniu pentru a utiliza un nivel funcțional al domeniului cel puțin Windows 2000 nativ.
Introducem comanda:
X: \ suport \ adprep> adprep32.exe / forestprep
După avertismentul că toate controlerele de domeniu Windows 2000 trebuie să fie cel puțin SP4, intrăm CUși apăsați Enter: 
Comanda rulează destul de mult timp, câteva minute și ar trebui să se încheie cu următoarea frază:
Adprep a actualizat cu succes informațiile la nivelul întregii păduri.
După aceea, introduceți comanda:
X: \ suport \ adprep> adprep32.exe / domainprep / gpprep
Care va funcționa mult mai repede:
De asemenea, merită să rulați comanda adprep / rodcprep... Chiar dacă nu veți utiliza controlere de domeniu numai pentru citire (RODC) în rețea, această comandă va elimina cel puțin mesajele de eroare inutile din jurnalul de evenimente.
După ce s-au finalizat comenzile de actualizare a schemei, puteți începe să promovați noul server la un controler de domeniu.
Pe server dc02 accesați Server Manager, adăugați un rol Servicii de domeniu Active Directory... După instalarea rolului, mergând la Server Manager> Roles> Active Directory Domain Services, vom vedea un mesaj galben „Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)”. Îl lansăm. Alternativ, puteți tasta în linia de comandă dcpromo, care va fi echivalent cu acțiunea de mai sus.
Deoarece acoperirea procesului de instalare a unui controler de domeniu nu este inclusă în acest articol, mă voi concentra doar pe câteva puncte cheie. Pe o treaptă Opțiuni suplimentare pentru controlerul de domeniu verificați ambele ghioce, Server DNSși Catalog global.
Dacă daw Catalog globalși Server DNS nu puneti, va trebui sa le transferati separat. Și când migrați din 2003 în 2003, va trebui să faceți acest lucru oricum, deoarece nu există o astfel de posibilitate în Windows 2003. Mutarea catalogului global și a serverului DNS va fi discutată mai jos.
Finalizarea instalării controlerului de domeniu, repornirea serverului. Acum avem două controlere de domeniu care lucrează în același timp.
Transferul rolului FSMO
Transfer de rol FSMO se poate face atât printr-o interfață grafică, cât și folosind un utilitar ntdsutil.exe... Acest articol va descrie o metodă folosind o interfață grafică, ca una mai vizuală, care sunt interesați de o altă metodă, urmați acest link: http://support.microsoft.com/kb/255504. Transferul rolurilor FSMO va consta în următorii pași:
Mergem la server dc02, celui căruia îi vom transfera rolurile. Pentru a accesa snap-ul Schema Active Directory, mai întâi trebuie să înregistrați biblioteca schmmgmt.dll... Acest lucru se face folosind comanda:
regsvr32 schmmgmt.dll
În arborele snap-in, faceți clic dreapta pe element Schema Active Directoryși selectați elementul Schimbați controlerul de domeniu... Acolo schimbăm controlerul în dc02.
Apoi, faceți clic dreapta pe element din nou. Schema Active Directoryși selectați elementul Maestru de operațiuni... Apare o fereastră ca aceasta:
Apăsați Schimbare > da > O.Kși închideți toate aceste ferestre.
Deschideți snap-in-ul, faceți clic dreapta pe element Domenii și trusturi Active Directoryși alegeți o echipă Schimbați controlerul de domeniu Active Directory... Acest pas este necesar dacă nu lucrați de la controlerul de domeniu către care este transferat rolul. Omite-l dacă conexiunea la controlerul de domeniu al cărui rol este transferat este deja stabilită. În fereastra care se deschide, selectați controlerul de domeniu căruia îi este atribuit rolul ( dc02în cazul nostru), în listă și apăsați butonul O.K.
În snap-in, faceți clic dreapta pe element Domenii și trusturi Active Directoryși selectați elementul Maestru de operațiuni... În fereastra care apare, apăsați butonul Schimbare.
Pentru a confirma transferul rolului, apăsați butonul O.K, și apoi - Închide.
Deschidem snap-ul. Faceți clic dreapta pe un articol Utilizatori și computere Active Directoryși alegeți o echipă Schimbați controlerul de domeniu... Omite-l dacă conexiunea la controlerul de domeniu al cărui rol este transferat este deja stabilită. În fereastra care se deschide, selectați controlerul de domeniu căruia îi este atribuit rolul ( dc02în cazul nostru), în listă și apăsați butonul OK.
În snap-in, faceți clic dreapta pe element Utilizatori și computere Active Directory, selectați elementul Toate sarcinile, și apoi Maestru de operațiuni.
Selectăm fila corespunzătoare rolului transferat ( SCĂPA, PDC sau Maestru de infrastructură), și apăsați butonul Schimbare.
Pentru a confirma transferul rolului, apăsați butonul O.K, și apoi - Închide.
Migrarea catalogului global
Dacă migrăm nu în 2008, ci în 2003, în care la adăugarea unui controler de domeniu suplimentar, catalogul global nu este setat, sau nu ați bifat caseta Catalog global la pasul 2, atunci trebuie să atribuiți manual rolul de catalog global noului controler de domeniu. Pentru a face acest lucru, mergeți la snap Site-uri și servicii Active Directory, deschide Site-uri> Default-First-Site-Name> Servers> DC02> faceți clic dreapta pe NTDS Settings> Properties. În fereastra care se deschide, puneți caseta de selectare Global Catalog> OK.
După aceea, în jurnalele serviciului de director va apărea un mesaj că promovarea controlorului în catalogul global va fi amânată cu 5 minute.
Tip eveniment: Informații
Sursa evenimentului: NTDS General
Categoria evenimentului: (18)
ID eveniment: 1110
Data: 12.07.2011
Ora: 22:49:31
Utilizator: TESTCOMPANY \ Administrator
Descriere:
Promovarea acestui controler de domeniu la un catalog global va fi amânată pentru următorul interval.Interval (minute):
5Această întârziere este necesară pentru ca partițiile de director necesare să poată fi pregătite înainte ca catalogul global să fie anunțat. În registru, puteți specifica numărul de secunde pe care agentul de sistem de directoare le va aștepta înainte de a promova controlerul de domeniu local într-un catalog global. Pentru mai multe informații despre valoarea de registru Global Catalog Delay Advertisement, consultați Resource Kit Distributed Systems Guide.
http://go.microsoft.com/fwlink/events.asp.
Așteptăm cinci minute și așteptăm evenimentul 1119 că acest controler a devenit un catalog global.
Tip eveniment: Informații
Sursa evenimentului: NTDS General
Categoria evenimentului: (18)
ID eveniment: 1119
Data: 12.07.2011
Ora: 22:54:31
Utilizator: NT AUTHORITY \ ANONYMOUS LOON
Computer: dc02.testcompany.local
Descriere:
Acest controler de domeniu este acum un catalog global.Pentru mai multe informații, consultați Centrul de ajutor și asistență la http://go.microsoft.com/fwlink/events.asp.
Reconfigurarea interfețelor, DNS și alte sarcini post-instalare
Mai mult, din moment ce serverul DNS este pornit dc02 am instalat, acum trebuie să vă specificați ca server DNS primar în proprietățile interfeței de rețea, de exemplu. adresa 192.168.1.12. Și pe dc01 se modifică în mod corespunzător la 192.168.1.12.
În proprietățile serverului DNS pornit dc02 verifica fila Expeditorii, pentru 2003, spre deosebire de 2008, nu este replicat. Apoi puteți retrograda controlerul de domeniu dc01 către un server membru.
Dacă trebuie să lăsați vechiul nume și adresa IP pe noul controler, atunci acest lucru se poate face și fără probleme. Numele este schimbat ca pentru un computer obișnuit sau cu o comandă similară netdom redenumește computerul.
După schimbarea adresei IP, executați comenzile ipconfig / registerdnsși dcdiag / fix.
După repornirea serverului, trebuie să vă asigurați că modul de permisiune principal (modul Windows Server 2003) stabilit. Pentru a face acest lucru, trebuie să deschideți snap-in "Activ Director- domains and trust ”,„ stați ”cu mouse-ul pe numele domeniului dvs. și selectați” Schimbați modul de operare al domeniului ”din meniu.
Dacă Modul de permisiuni nativ nu este instalat, trebuie să îl instalați.
Personalizare DNS
Pentru a configura un controler de domeniu care a fost creat automat în timpul instalării DNSar trebui să descărcați snap-ulDNS, faceți clic dreapta pe fila „Zone de căutare inversă” și selectați „Creați o zonă nouă” din meniul oferit.
Va fi lansat New Zone Wizard.
În fereastra „Tipul zonei”, trebuie să specificați ce zonă va fi creată. Din moment ce primul server este configurat DNSîn domeniu, trebuie să selectați elementul „Zona principală” și se recomandă să selectați „Pastrați zona în ActivDirector».
Selectând în „zona de aplicare a zonei de replicare integrată înActivDirector„Este recomandat să te oprești la punct” Pentru toțiDNS-servere din domeniu nume_domeniu_creat . local ". Acest lucru vă va permite să transferați zone numai într-un anumit domeniu dacă există o pădure.
Fereastra Nume zonă de căutare inversă specifică descrierea pentru care IP-adresele vor fi acumularea de informatii si furnizarea de nume la cererea clientilor. Pentru simplitate, este recomandat să introduceți exact codul de rețea, care este numărul de octeți semnificativi din adresele rețelei locale (De exemplu: 192.168.1).
În formularul „Actualizare dinamică” trebuie să alegeți modul în care sunt stocate informațiile DNS-Server. Pentru rețelele care includ cliențiWindows2000 și mai vechi, pot fi permise numai actualizări dinamice securizate. În general, vă recomandăm să selectați opțiunea „Permiteți orice actualizări dinamice”.
Aceasta completează crearea noii zone de căutare inversă și apare o fereastră de informații cu o scurtă descriere a zonei care este creată. Dacă este necesar, puteți reveni și face modificările necesare.
După ce zona de căutare inversă a fost creată, puteți vedea conținutul acesteia și denumirea corectă a zonei.
Apoi trebuie să configurați zona de vizualizare live. Pentru a face acest lucru, „după ce ați introdus” în ramura „Zone de vizualizare înainte” din zona cu numele domeniului creat, trebuie să deschideți meniul cu butonul din dreapta al mouse-ului și să selectați elementul „Proprietăți”.
În fila General, așa cum sa făcut la crearea ramurii de căutare inversă, se recomandă, de asemenea, să setați opțiunea Actualizare dinamică la Nesigur și sigur.
Aceasta completează configurarea serveruluiDNSse încheie, iar acum trebuie să creați intrări pentru dispozitivele de rețea și echipamentele de rețea active.
Crearea unei înregistrări se realizează după cum urmează: în zona cu numele domeniului, faceți clic dreapta și selectați elementul „Creare nod” din meniu. În formularul de introducere a informațiilor despre nodul care se creează, trebuie să introduceți numele nodului (numele complet al domeniului este completat automat) și acesta IP-adresă, apoi bifați elementul „Creați cel corespunzător PTR-record ".
Făcând clic pe butonul Adăugați site, înregistrarea va fi adăugată direct în zonele de căutare înainte și inversă. Dacă caseta de selectare nu este bifată, înregistrarea va trebui creată separat în zona de căutare inversă.
Este puternic descurajat să se creeze înregistrări pentru computere și servere de domeniu în DNSmanual. Pentru crearea corectă a unei intrări în meniul „Start - Run”, este mai bine să executați comanda ipconfig / înregistratdns, care se va înregistra peDNS-Server.
Toate sistemele de operare conectate la domeniu trebuie configurate pentru a utiliza servere DNS locale (de obicei controlere de domeniu) ca preferate și alternative. Dacă protocolul TCP/IP este configurat corect, sistemele de operare creează înregistrări în zonele de domeniu în modul automat (cu excepția Windows 9X).
Instalare și configurareDHCP
Aplicație de serviciuDHCPsimplifică administrarea rețelei și vă permite să asigurați unicitatea celor utilizate în domeniu IP-adrese. Pentru a instala serviciulDHCPmergeți la „Panou de control”, rulați „Adăugați sau eliminați programe” și selectați fila „Instalare componente Windows"," Stați "pe linie" Servicii de rețea ", și faceți clic pe" Compoziție ".
Trebuie să instalați componenta "DHCP».
(componenta " DNS„A fost adăugat automat în timpul instalăriiANUNȚși nu puteți elimina bifa de pe el).
După finalizarea instalării componenteiDHCPtrebuie să descărcați snap-in-ul "DHCP", Accesați intrarea care conține numele serverului instalat și, extinzând meniul cu butonul din dreapta al mouse-ului, selectați elementul" Creare zonă ". Va fi lansat Expertul Nouă Regiune.
În fereastra „Nume domeniul de aplicare”, trebuie să introduceți numele zonei create a adreselor distribuite și o descriere a acesteia. Aceste informații sunt introduse pentru comoditate, iar datele introduse nu contează în principiu.
În fereastra „Interval de adrese”, trebuie să introduceți adresele de început și de sfârșit ale intervalului care va fi disponibil pentru distribuția automată între computerele din domeniu și să specificați masca de subrețea pe care ați selectat-o în etapa de planificare a rețelei.
În caseta de dialog, este specificat un interval care include toate valorile posibile pentru adresele din rețea. Pentru a preveni emiterea de adrese utilizate (IP-adresele serverelor, echipamentelor de rețea active și a altor dispozitive cu adrese statice), trebuie să specificați intervalul de adrese care trebuie excluse din distribuție în formularul „Adăugați excluderi”. Puteți enumera adresele excluse de la distribuție, una câte una introducându-le în coloana „Inițială IP-adresa".
După ce ați specificat fiecare adresă sau interval exclus, trebuie să confirmați intrarea apăsând butonul „Adăugați”, după care intrarea va fi adăugată la lista de excluderi.
Fereastra „Adresă data expirării contractului de închiriere” este folosită pentru a indica perioada de timp după care serverul a emis IP-adresa poate fi dată unui alt destinatar de adrese dinamice. Pentru o rețea ale cărei modificări de arhitectură și compoziție sunt destul de rare, se recomandă stabilirea unei perioade de închiriere suficient de lungă.
Pentru a reduce timpul total de creare a domeniului, se recomandă să fiți de acord cu propunerea vrăjitorului de creare a domeniului de a configura parametrii DHCP .
Fereastra „Router (gateway implicit)” este completată dacă există unul în rețea.
Dacă nu există un astfel de dispozitiv, atunci fereastra trebuie lăsată goală. Adăugarea unui gateway implicit necesită, de asemenea, să faceți clic pe butonul „Adăugați”, după care adresa routerului introdusă va fi adăugată în listă.
Nume de domeniu șiDNS-servere ”necesită o atenție specială. În coloana „Domeniu părinte” trebuie să introduceți numele complet al domeniului creat fără abrevieri (de exemplu: „domeniu 1. local"). Introducerea incorect sau incomplet a numelui de domeniu va cauza probleme de rețea, cum ar fi dificultăți de conectare a computerului la domeniu.
Adresele sunt introduse imediatDNS- servere de retea. Nu este recomandat să introduceți o adresăDNS-server, si denumirea acestuia, atunci cand dai click pe butonul "Potrivire", adresa serverului va fi setata automat, dupa care este necesar si sa dai click pe butonul "Adaugare". Dacă nu a avut loc nicio potrivire de nume DNS-serverul a fost fie returnat incorectIP-adresă, aceasta poate indica o problemă cu oricare dintre serviciiDNS, sau la configurarea unei conexiuni la rețea.
Puteți introduce adresele mai multorDNS-servere, dacă mai multe servere sunt utilizate simultan în rețeaDNS-servere.
Dacă nu există servere în rețeaCÂȘTIGE, apoi fereastra " CÂȘTIGE-servere ”ar trebui lăsate necompletate.
Fereastra „Activare zonă” vă permite să amânați activarea zonei create pentru un timp arbitrar (de exemplu, atunci când serverul este configurat într-o altă rețea locală sau adresele sunt emise de o altă zonă, iar zona creată nu este încă folosit). Dacă serverul este configurat mai întâi, trebuie să selectați „Da, vreau să activez această zonă acum”.
Acest lucru completează munca expertului de creare a zonei, puteți, dacă este necesar, să reveniți și să efectuați modificările necesare în parametrii zonei create.
După finalizarea expertului de creare a zonei, trebuie să autorizați DHCP v ANUNȚ... Dacă acest lucru nu se face, adresele nu vor fi emise clienților.
Pentru asta într-o clipăDHCPtrebuie să te ridici pe numele serverului care se configurează, să extinzi meniul cu butonul din dreapta al mouse-ului și să selectezi elementul „Autorizare”.
Pentru astfel încât adresele emise de server să fie transmise automat către DNS, ar trebui să faceți o configurare suplimentară a serveruluiDHCP... Pentru asta într-o clipăDHCPtrebuie să „stai” pe numele serverului care se configurează, să extinzi meniul cu butonul din dreapta al mouse-ului și să selectezi elementul „Proprietăți”.
Pe fila ServiceDNS»Este recomandat să setați aceiași parametri care au fost utilizați anterior. Această setare va oferi transmiterea simultană a informațiilor către DNSdespre toate adresele emise, indiferent de tipul de client, și va șterge automat informațiile învechite atunci când contractul de închiriere a adresei expiră.
Clienții lucrează Windows9x în domeniu Windows Server 2003
În domeniu Windows Server2003, nivelul de securitate implicit a fost crescut, ceea ce a dus la apariția unor dificultăți în funcționarea sistemelor client vechi, precum Windows 95, 98, NT 4.0.
Pentru pentru a permite acestor sisteme de operare să funcționeze în domeniu, se recomandă instalarea pe mașinile client ActivDirectorDSCLIENT.EXE(situat pe distribuțiiWindows 2000 Serverîn folderul CLIENTS \ WIN9X) și faceți o serie de modificări ale politicii de securitate.
Pentru a efectua modificările, trebuie să rulați programul snap-in Politica de securitate a controlerului de domeniu,
apoi „Politica de securitate a domeniului” și dezactivați setările de securitate afișate.
Conform informațiilor Microsoft, este suficient să dezactivați „Serverul de rețeaMicrosoft: semnează digital (întotdeauna) „în politica de securitate a domeniului Windows 2003.
După ce ați terminat editarea acestor politici de securitate, este recomandat să reporniți serverul.
Acest articol se concentrează pe serviciul de director Active Directory, noile caracteristici și mecanisme pe care le-a câștigat odată cu apariția Windows Server 2003 și modul în care toate aceste îmbunătățiri sunt puse în practică.Tot materialul prezentat este împărțit în șase subiecte. Vom vorbi despre implementarea Active Directory și integrarea cu directoarele existente, administrarea serviciilor, replicarea, încrederea între păduri, managementul politicii de grup și restricția software.
Implementare și integrare
În acest capitol, vom analiza noile caracteristici ale Active Directory din mai multe puncte de vedere: implementarea acestui serviciu, integrarea lui cu alte directoare, migrarea de la o versiune anterioară (fie upgrade de la Windows NT 4.0, fie pur și simplu instalarea de la zero a Active Directory). ). În primul rând, trebuie remarcat faptul că noile caracteristici ale Active Directory bazate pe Windows 2003 sunt în mare parte incompatibile cu Active Directory bazat pe Windows 2000. De exemplu, capacitatea de a redenumi un domeniu sau de a restaura un obiect dezactivat anterior într-o schemă poate doar poate fi utilizat atunci când directorul este situat la cel mai înalt nivel funcțional posibil: nivelul de domeniu este Windows Server 2003 și nivelul pădurii este Windows Server 2003. Pentru a obține acces la aceste și alte caracteristici, trebuie să mutați pădurea la cel mai înalt nivel funcțional. Să luăm în considerare care sunt aceste niveluri funcționale.Niveluri funcționale
Administratorul crește manual nivelul funcțional
Rețineți că această clasificare a fost introdusă special pentru a asigura compatibilitatea la nivelul capabilităților incompatibile cu înapoi. Chiar dacă instalați Active Directory de la zero, fără a efectua actualizări și fără să vă pese de integrare, adică doar instalați un nou server și pe el - primul controler din pădure, veți obține un sistem care inițial se încadrează în Cel mai mic nivel. Cu alte cuvinte, nivelul de domeniu este Windows 2000 Mixed, iar nivelul pădurii este Windows 2000. Astfel, în acest mod, sistemul instalat se potrivește pe deplin cu toate caracteristicile disponibile în Windows 2000 Active Directory. Pentru a face upgrade la un nivel superior, trebuie îndeplinite anumite condiții, de exemplu, un domeniu poate fi actualizat la un nivel Windows Server 2003 numai după ce toate controlerele din acel domeniu au fost migrate la acest sistem de operare. Dacă vorbim despre tranziția de la Windows 2000, atunci, desigur, procesul de tranziție constă într-o actualizare treptată a controlerelor existente. Este imposibil să transferați toate controlerele simultan de la Windows 2000 la Windows 2003, se poate face doar unul câte unul. Până la finalizarea procesului de migrare a controlerului, nivelul funcțional al domeniului rămâne la nivelul Windows 2000 Mixt. De îndată ce toate controlerele sunt transferate, puteți trece la nivelul următor. Administratorul schimbă nivelul funcțional folosind o consolă dedicată Active Directory Domains Trusts. Administratorul nu poate face downgrade, îl poate transfera doar la un nivel superior, la care sistemul va rămâne. După ce un administrator a mutat un domeniu la un nou nivel funcțional, anumite funcții noi apar în Active Directory.
Să luăm în considerare aceste posibilități pentru simplitatea prezentării în modul pădure curată - Windows 2003 și toate domeniile - Windows 2003. Cu alte cuvinte, nivelurile maxime posibile și, în consecință, gama maximă de caracteristici noi. Primul lucru la care merită să insistăm este o funcție numită Application Partitions (în rusă - Application Partitions).
Secțiuni de aplicație
Cert este că Active Directory a fost conceput inițial ca un serviciu de director, nu doar pentru a oferi, de exemplu, serviciu de rețea clienților sau pentru a stoca conturile acestor clienți, ci și ca stocare pentru aplicațiile de rețea. Prin urmare, există o mulțime de informații în Active Directory care provin din aplicații. Astfel, pe Windows 2000, indiferent câte aplicații am instala în modul de filtrare cu Active Directory, toate informațiile despre acestea vor cădea într-un singur director și, în consecință, vor fi replicate în mod egal între toate controlerele.
Windows 2003 vă permite să diferențiați și să separați informațiile care aparțin aplicațiilor din rețea de restul directorului prin crearea de partiții pentru aplicații. De exemplu, este posibil ca informațiile stocate de serverul DNS să nu fie distribuite tuturor controlorilor din domeniu, ci doar celor care au fost specificate în mod explicit. De fapt, asta înseamnă crearea de partiții. În primul rând, puteți crea o secțiune „directoare”, ca și cum ar fi separat-o de structura generală, apoi specificați că această secțiune ar trebui să fie stocată ca o replică pe controlerele numite. Același lucru este valabil și pentru orice altă aplicație. Prin acest mecanism, administratorul care gestionează sistemul poate separa și stoca în mod optim informații despre director și aplicație. De exemplu, dacă se știe a priori că o aplicație va folosi directorul numai pe acest controler anume (nu va contacta alți controlere), atunci în acest fel este posibil să se reducă stocarea directorului doar la acest controler prin crearea unui control unic. secțiune pentru această aplicație.
Următoarea caracteristică este suportul pentru clasa de obiecte InetOrgPerson (RFC 2798). A apărut doar în Windows 2003, iar Windows 2000 nu acceptă această clasă de obiecte. InetOrgPerson este necesar pentru a se integra cu alte directoare LDAP (Novell, Netscape). Active Directory știe cum să lucreze cu această clasă, să creeze obiecte din această clasă, este posibilă și migrarea transparentă și lină a obiectelor de tip InetOrgPerson din alte directoare Active Directory. În consecință, devine posibilă portarea aplicațiilor scrise pentru alte directoare LDAP. Dacă aplicațiile folosesc această clasă, atunci pot fi portate fără durere și transparent în Active Directory, păstrând în același timp toate funcționalitățile.
Mai mult, a devenit posibilă redenumirea domeniilor. În acest caz, trebuie să se înțeleagă clar că redenumirea unui domeniu nu înseamnă doar o schimbare a numelui de domeniu (domeniul se numea „abcd”, dar acum se numește „xyz”). De fapt, structura de directoare este un arbore, există multe domenii în ea, iar domeniile în sine sunt organizate într-o ierarhie. Redenumirea domeniului este de fapt restructurare forestieră. Puteți redenumi un domeniu astfel încât să apară într-un arbore diferit.
Redenumirea domeniului. Utilitarul Rendom.exe
Luați în considerare domeniul Contoso subordonat domeniului Vânzări din arborele WorldWideImporters.com. Îl puteți redenumi și denumi Contoso.Fabrikam.com. Aceasta nu este doar o redenumire, este un transfer al unui domeniu de la un arbore la altul, adică o procedură destul de nebanală. Este logic să presupunem că redenumirea unui domeniu poate duce la crearea unui nou arbore. Puteți redenumi domeniul Contoso care era subordonat domeniului Vânzări în Contoso.com. Atunci domeniul va deveni strămoșul altui copac din aceeași pădure. De aceea, procesul de redenumire a domeniului poate fi considerat o procedură foarte complicată și nebanală.
În Windows 2000, nu exista o opțiune de redenumire a unui domeniu în contextul de mai sus. Dacă un domeniu este creat, atunci acesta va rămâne cu numele său pe viață. Singura modalitate de a schimba situația este să ștergeți domeniul și apoi să îl recreați cu un nume nou.
Windows 2003 vine cu un utilitar numit Rendom, literal din cuvintele Rename Domain. Utilitarul Rendom.exe este un utilitar de linie de comandă care poate fi folosit pentru a redenumi un domeniu. Adevărat, acest proces constă din șase etape. Pentru mai multe informații, consultați Ajutor Windows 2003, documente tehnice specifice Microsoft .NET și MSDN. Acesta descrie în detaliu cum să modelați, să proiectați și să desfășurați procesul de redenumire a domeniului folosind utilitarul random. În orice caz, acesta este un proces complex, în mai multe etape, care necesită o pregătire atentă: există prea multe legături și pointeri, nume și alte interdependențe care se formează atunci când sunt create domeniile. Este imposibil să iei totul dintr-o singură lovitură.
Planul de implementare Active Directory include acum un mod pentru instalarea unui controler de domeniu de pe un mediu amovibil. Ce înseamnă? O situație foarte comună este atunci când o întreprindere implementează Active Directory în birouri la distanță: comunicarea cu un birou la distanță este slabă, linii de comunicare slabe între sediul central și sucursalele. Cu toate acestea, trebuie să instalați un nou controler de domeniu în sucursala. Când un nou controler este creat într-un domeniu existent, utilitarul DCPromo comunică cu controlerele existente, care funcționează și descarcă în sine întreaga bază de date și replicile care pot fi colectate de la controlerul său de domeniu. Dacă această bază de date ocupă câteva zeci sau sute de kilobytes, adică este goală (ocupă câteva sute de kilobytes în mod implicit), atunci nu există nicio problemă. Dar dacă vorbim despre un sistem funcțional, în care baza de date poate ocupa zeci sau sute de megaocteți, atunci transferul acestuia se poate dovedi a fi pur și simplu o sarcină imposibilă. Prin urmare, în această situație, puteți rezolva problema într-un mod foarte simplu. Folosind Windows NT Back-up, faceți o arhivă în modul „stare sistem”, adică selectați opțiunea Back-up-> SystemState din consola Windows NT Back-up. După aceea, scrieți toate Back-up-ul creat pe un mediu, de exemplu, pe un CD sau DVD, luați acest disc și veniți cu el la un birou la distanță, acolo restaurați toate informațiile din arhivă folosind același Windows NT Back- sus. Trebuie doar să faceți recuperarea nu în mod implicit, ci într-un alt director, astfel încât fișierele în sine să fie pur și simplu așezate pe disc. Desigur, nu este nevoie să înlocuiți informațiile de sistem care se află pe computerul existent. Apoi, rulați utilitarul DCPromo cu cheia „/ adv” și specificați calea către depozitul în care se află fișierul dezambalat. După aceea, procesul de instalare a unui nou controler își va crea propria replică pe baza informațiilor din mediile amovibile. În acest caz, veți avea nevoie în continuare de o conexiune cu sediul central, deoarece pe lângă transferul unei replici, mai trebuie să stabiliți anumite relații cu domeniul existent. Prin urmare, ar trebui să existe o conexiune, dar cerințele pentru aceasta sunt reduse semnificativ: chiar și o linie foarte slabă va face. În scenariul de mai sus, 95% din informațiile care trebuiau transferate către noul controlor au fost transferate pe mediul de sistem, iar linia de comunicare dintre sediul central și sucursală nu a trebuit să fie supraîncărcată.
Este important de reținut că clienții continuă să folosească Windows NT 4.0 foarte des. Windows 2003 vă permite să migrați din directoarele existente (NT 4 sau Windows 2000) mai rapid, mai fără durere și mai eficient. Instrumentul de migrare Active Directory (ADMT) servește acestui scop. ADMT va ajuta la migrarea de la Windows NT la Windows 2003, precum și de la Windows 2000 la Windows 2003 în cazul în care este necesar un fel de restructurare a domeniului, transfer de cont etc.
Expertii Active Directory Migration Tool (ADMT) v.2
Instrumentul de migrare Active Directory este o colecție de vrăjitori. Fiecare maestru îndeplinește o sarcină specifică (vezi imaginea de mai sus). Este important ca majoritatea vrăjitorilor să aibă un mod numit „Testează setările de migrare și migrează mai târziu” – simulând procesul fără a efectua efectiv nicio operațiune. Cu alte cuvinte, procesul de migrare este emulat, iar administratorul poate vedea care va fi rezultatul și cum se va întâmpla totul. Acțiunile reale nu sunt efectuate în acest mod. Când rezultatele modului de testare sunt satisfăcătoare, puteți solicita Instrumentului de migrare Active Directory să efectueze o migrare completă.
Administrare
Acest capitol se concentrează pe administrarea instrumentală. În principiu, nu se poate spune că aici au apărut multe funcții noi foarte utile. Totuși, mai este ceva. De exemplu, suport Drag & Drop: înainte de lansarea Windows 2003, nu exista suport Drag & Drop. Acum puteți face clic pe obiectul „utilizator” și îl puteți trage cu mouse-ul în noul container. Este foarte confortabil. Este păcat că nu a existat un astfel de mecanism în versiunile anterioare.A apărut o consolă suplimentară pentru stocarea solicitărilor de director. Active Directory este cunoscut a fi un director LDAP. Aceasta înseamnă că interogările pot fi făcute către directoare LDAP utilizând limbajul standard de interogare. Dacă aceste solicitări sunt făcute și nu sunt memorate, atunci aceasta este o povară suplimentară pentru administrator: de fiecare dată trebuie să rescrie cererea sau să o copieze dintr-un document. Pentru a simplifica acest proces, există o secțiune numită Interogări salvate. De fapt, stochează acele solicitări pe care administratorul sau utilizatorul le-a introdus în consolă.
Consola de interogare a directorului salvat
Acum, când această solicitare este din nou necesară, trebuie doar să o selectați din listă. Mai mult, rezultatele interogării sunt afișate în partea dreaptă a consolei: în stânga, puteți selecta interogarea de interes și faceți clic pe ea, iar rezultatul procesării va apărea în dreapta.
Windows Server 2003 conține o mulțime de programe de linie de comandă. Acest lucru pare ciudat și chiar, poate, contradictoriu. S-ar părea că Microsoft a promovat o interfață grafică în toți acești ani, ușurința de gestionare folosind o interfață grafică, dar în același timp, se pare, lansează noi utilitare pentru linia de comandă. Iată doar șase dintre ele pentru Active Directory.
Utilitare de linie de comandă
De fapt, nu există nicio contradicție în asta. Faptul este că o mulțime de operațiuni pe care trebuie să le efectueze un administrator sunt mai convenabile de făcut sub formă de fișiere batch. De exemplu, când vine vorba de modificarea unui atribut pentru obiecte identice sau similare, este adesea mai convenabil să faceți acest lucru pe linia de comandă prin scrierea unui script adecvat. Dacă trebuie să modificați un parametru, de exemplu, telefoanele utilizatorilor care sunt înregistrați în cont (toată lumea din departament poate schimba telefonul), puteți merge la fiecare cont și schimba telefonul. Dacă faceți acest lucru prin interfața grafică, va trebui să efectuați cel puțin o sută de operații pentru a schimba obiectul „Cont”. De asemenea, puteți lua o comandă simplă numită DSMod (modificarea obiectului), puteți forma o linie pentru a scrie informații noi, apoi puteți scrie un script cu condiții de căutare și puteți executa totul ca o singură comandă. Pentru astfel de operațiuni (și există multe dintre ele în munca de zi cu zi a unui administrator), ar trebui folosite utilitare și scripturi de linie de comandă.
Replicare
Problemele de replicare sunt foarte relevante în implementarea Active Directory, proiectarea și planificarea infrastructurii.Windows 2000 are anumite restricții privind numărul de site-uri în care topologiile pot fi generate automat. Există un serviciu numit Inter-Site Topology Generator (ISTG). Când sunt create două sau trei, și de preferință cinci sau chiar zece, site-uri, serviciul ISTG generează automat o topologie de replicare între site-uri, selectează serverele gazdă și determină cum va fi executat scriptul de replicare. Totul este în regulă, dar dacă există vreo două sute de site-uri, atunci serviciul ISTG nu poate face față volumului de informații și se blochează într-o buclă. Prin urmare, pentru Windows 2000 există o recomandare foarte clară - numărul de site-uri nu trebuie să fie mai mare de două sute, dacă este necesar ca topologia de replicare între site-uri să fie generată automat. Dacă există mai multe site-uri, generarea automată trebuie dezactivată și toate acestea trebuie configurate manual.
Problema nu este aparent evidentă, dar oamenii se confruntă cu adevărat atunci când vine vorba de implementarea Active Directory pe sisteme cu mai multe site-uri. Windows Server 2003 elimină această problemă. Acest sistem implementează un generator de topologie inter-site complet nou, care funcționează într-un mod fundamental diferit și generează topologie folosind un nou algoritm. Numărul de site-uri care pot fi acum generate automat (a căror topologie poate fi generată automat folosind serviciul ISTG) a fost de doar câteva mii în teste. Nu se știe cine poate avea nevoie de atâtea site-uri, dar, cu toate acestea, se poate uita de orice limitare doar prin modificarea mecanismului ISTG.
În plus, puteți dezactiva comprimarea traficului între site-uri, dacă, desigur, are sens. Activarea compresiei crește sarcina pe procesoarele serverelor gazdă. Dacă rețeaua permite acest lucru, atunci ar putea avea sens să dezactivați compresia pentru a transfera mai multe date prin rețea, dar controlerele vor fi mai puțin încărcate. Puteți face opusul: dacă trebuie să economisiți traficul de rețea, este logic să activați compresia.
Există o altă limitare în modul în care Active Directory replic grupurile în Windows 2000. Este vorba despre un grup de securitate. Când vine vorba de atribuirea drepturilor de acces pentru anumite obiecte, este de obicei o bună practică administrativă să atribuiți drepturi grupurilor. Utilizatorii sunt fie incluși în grup, fie excluși. Un grup este exact același obiect în Active Directory ca orice alt obiect. Obiectul are atribute. Particularitatea grupului este că lista membrilor grupului nu este mai multe atribute, este un singur atribut cu un număr mare de valori, așa-numitul „Atribut cu mai multe valori” (de fapt, este un singur atribut cu multe valori). Mecanismul de replicare Active Directory este granular până la nivel de atribut. Dacă obiectul este modificat, sistemul va replica aceste modificări exact pentru acele atribute care s-au modificat, și nu pentru întregul obiect. Acum să revenim la un grup care are un atribut format din, de exemplu, o sută de valori. Dacă grupul include o sută de persoane, atunci acest atribut are o sută de valori. Și dacă 5 mii? Limitarea este următoarea: dacă apartenența la grup este de 5 mii de obiecte, atunci replicarea unui astfel de obiect devine imposibilă. De îndată ce apar 5001 de membri ai grupului, procesul de replicare a acestui grup pe Windows 2000 este imediat distrus. Există chiar și o metodă de atac documentată când un administrator, jignit pe cineva, poate distruge procesul de replicare în sistem, pur și simplu prin scrierea unui script care să-l plaseze ciclic în care -a grupă de 5 mii de membri. Apoi există probleme cu replicarea directoarelor. Windows Server 2003 Active Directory introduce un mecanism suplimentar numit „Replicare valori legate”.
În acest caz, mecanismul este destinat exclusiv să reproducă atribute care au multe valori. Adică, acum, când se folosește acest mecanism, apartenența la grup este replicată la nivelul membrilor individuali. Dacă includeți o persoană nouă în grup, atunci replicarea nu va fi efectuată pentru întreaga listă, ca atribut, ci numai pentru valorile datorate mecanismului de replicare a valorii legate.
O altă problemă de replicare legată de catalogul global. Dificultatea a fost modul în care se comportă catalogul global atunci când administratorul modifică așa-numitul set de atribute parțiale (PAS) - o listă de atribute care ar trebui plasate în catalogul global.
Poate că are sens să clarificăm. Fiecare atribut are o valoare de stare: dacă se pune în catalogul global sau nu. Catalogul global este un catalog suplimentar care conține informații despre toate obiectele care se află în catalog, dar nu complet, ci exact liste cu acele atribute care sunt marcate ca exportate în catalogul global. Astfel, de exemplu, despre fiecare utilizator din catalogul global este plasat numele lui, adresa sa de email, eventual un alt parametru suplimentar. Doar câțiva parametri, astfel încât să puteți găsi rapid acest utilizator în director.
Problema apare atunci când administratorul modifică schema și pentru un alt atribut schimbă starea, trecând-o în acest mod. A existat un atribut care nu a intrat în catalogul global, administratorul a mers și a schimbat schema, a inclus acest atribut în PAS, după care, pe lângă replicarea întregii scheme, pe Windows 2000 va avea loc o resincronizare completă a tuturor serverelor care stochează catalogul global. Acest lucru va cauza o încărcare foarte semnificativă a traficului de rețea și chiar un timp de nefuncționare intern al serviciului de director.
Windows Server 2003 remediază această problemă. Replicarea și sincronizarea globală a catalogului se va face numai în măsura atributului adăugat. Adică, atunci când se realizează operația de adăugare a unui atribut la PAS, informațiile sunt pur și simplu colectate de la acele obiecte care au acest atribut. Și apoi [atributul] este adăugat la catalogul global. Sincronizarea completă nu are loc.
O altă caracteristică suplimentară a catalogului global este mecanismul universal de stocare în cache a grupului. Permiteți-mi să vă reamintesc că există trei tipuri de grupuri în Active Directory: locale, globale și universale. Local și global sunt stocate cu replica pe controler, grupurile universale sunt stocate în catalogul global. Atunci când un angajat al biroului de la distanță dorește să intre în rețea, sistemul va înregistra utilizatorul în rețea și va crea contextul de securitate al acestuia. Pentru a face acest lucru, ea trebuie să afle la ce grupuri aparține utilizatorul. Windows 2000 poate afla despre grupurile locale și globale pe cel mai apropiat controler, dar pe baza designului rețelei, catalogul global este situat la sediul central. Puteți verifica apartenența la un grup universal a unui utilizator doar interogând catalogul global. Prin urmare, în momentul înregistrării, este necesar să trimiteți o cerere la sediul central. Dacă conexiunea este întreruptă și catalogul global nu este disponibil, atunci utilizatorului i se va refuza înregistrarea (în mod implicit în această situație). Setarea registrului pentru a ignora erorile legate de apartenența la un grup universal creează o gaură de securitate.
Windows Server 2003 oferă un mecanism universal de stocare în cache de grup. Acum o conexiune la catalogul global este necesară doar la prima înregistrare a utilizatorului. Aceste grupuri merg la controler și sunt salvate acolo. Fiecare înregistrare ulterioară a utilizatorului nu necesită accesare, deoarece apartenența la grup universal este deja cunoscută. În acest caz, stocarea în cache a informațiilor este actualizată într-un anumit mod: la intervale convenite, se solicită informații din catalogul global pentru a actualiza informații despre apartenența utilizatorilor la grupuri universale.
Încrederea între păduri
Încrederea între păduri permite integrarea unor organizații complet independente. Active Directory este o structură în care poate exista un arbore de domenii cu un domeniu rădăcină, sau poate exista o pădure formată din mai mulți arbori. O caracteristică a unei păduri este că pentru toate domeniile incluse în ea, pentru toți acei copaci, există trei entități identice - aceasta este o singură schemă, containere de configurare unică și un catalog global comun pentru pădure. Desigur, spațiul lor de nume este diferit, deși puteți numi întreaga pădure. Dacă acest lucru nu se face, atunci fiecare arbore va avea propria sa ierarhie de nume. Puteți face astfel încât toți copacii din pădure să fie aliniați în același sistem de denumire.
Încrederea între păduri
Când vine vorba de integrare și interoperabilitate între două păduri diferite, există de obicei două sisteme diferite construite independent unul de celălalt. Cu toate acestea, este necesar ca utilizatorii dintr-o pădure (definită într-o singură pădure) să poată accesa obiectele definite în cealaltă pădure. Pentru a face acest lucru, trebuie să stabiliți o relație de încredere.
Windows 2000 vă permite să faceți relații directe și tranzitive între domenii specifice din diferite păduri, dar acest lucru va funcționa numai pentru aceste domenii. Windows Server 2003 introduce un nou tip de încredere numit Cross-Forest Domain Relationship. Aceste relații sunt tranzitive pentru domeniile care sunt incluse în fiecare dintre păduri. Adică, atunci când două păduri sunt conectate printr-o relație de încredere, utilizatorii din orice domeniu dintr-o pădure pot vedea și accesa obiectele din cealaltă pădure complet transparent.
Puteți face un lanț, de exemplu, din trei păduri A, B, C. A are încredere în B și B în C. Nu rezultă de aici că s-a stabilit și o relație de încredere între pădurea A și C. Este ca Windows NT 4: relații netranzitive în sensul că nu sunt tranzitive prin păduri. Dar între domeniile care leagă cele două păduri, relația este tranzitivă.
Managementul politicii de grup
Politica de grup este instrumentul principal utilizat pentru a gestiona practic toate subsistemele și componentele din Windows. Fie că este vorba despre o stație de lucru și setările acesteia, fie că este vorba despre un server și serviciile sale de rețea, Active Directory, setări de securitate - toate acestea sunt configurate prin politici de grup.Motorul de politici de grup vă permite să atribuiți politici containerelor, adică unităților organizaționale, site-urilor și domeniilor. Politica de grup nu poate fi atribuită unui anumit utilizator. În același timp, deoarece structura containerelor din Active Directory este ierarhică, puteți atribui diferite politici de grup la diferite niveluri. Prin urmare, mecanismele de moștenire funcționează. Administratorul are anumite funcții pentru a bloca moștenirea sau, dimpotrivă, pentru a aplica politica de moștenire. Administratorul are capacitatea de a filtra aplicarea politicilor de grup prin drepturi de acces. În orice caz, un număr mare de sarcini sunt rezolvate folosind nu mai puține instrumente. Există un instrument specific pentru fiecare sarcină. Astfel, pentru a gestiona politica de grup în Windows 2000, trebuie să cunoașteți aproximativ șase instrumente și să le utilizați pentru diverse sarcini.
Windows Server 2003 ușurează viața unui administrator prin introducerea unui instrument special numit Consola de gestionare a politicilor de grup. Aceasta este o consolă integrată sau consolidată care include o interfață pentru efectuarea absolută a tuturor sarcinilor legate de Politica de grup. Nu mai trebuie să vă întrebați unde se face această operațiune - totul se află în Consola de gestionare a politicilor de grup, în timp ce consola grupează informațiile într-un mod foarte logic și intuitiv.
Pe lângă faptul că este un set de instrumente grafic consolidat, Consola de gestionare a politicilor de grup adaugă o serie de caracteristici noi la managementul politicii de grup. De exemplu, funcții de arhivare și restaurare a politicilor de grup, funcții de copiere a politicilor de grup între domenii din aceeași pădure și import/export de politici de grup.
Consola de gestionare a politicilor de grup, ca parte a Windows Server 2003, lipsește. Trebuie să fie descărcat de pe serverul web Microsoft ( http://www.microsoft.com/downloads). Puteți instala consola fie pe Windows Server 2003, fie pe Windows XP cu Service Pack 1 și .NET Framework. Astfel, folosind Consola de gestionare a politicilor de grup, puteți gestiona politica de grup fără a fi chiar direct pe controlerul de domeniu. Puteți instala consola direct pe o stație de lucru Windows XP și de la acea stație de lucru puteți gestiona central toate politicile de grup din pădure. În plus, Consola de gestionare a politicii de grup include doi vrăjitori care vă permit să analizați și să modelați procesul de aplicare a politicii de grup. Primul se numește „Asistentul pentru rezultatele aplicației politicii de grup” și arată ce politici au fost aplicate acestui computer anume, ce valori s-au schimbat și din ce politici au fost obținute aceste valori. Dacă ceva nu s-a aplicat, expertul arată de ce nu s-a aplicat.
Este clar că acest mecanism necesită conectarea la computerul analizat. Adică, în modul de conectare la distanță, administratorul, desigur, se poate conecta la orice stație de lucru și poate cere să analizeze modul în care politicile de grup au fost aplicate acestei mașini. O puteți face diferit: înainte de a implementa și implementa sistemul de politici de grup, puteți simula ce se va întâmpla cu utilizatorul sau cu computerul atunci când i se va aplica Politica de grup.
Procesul de astfel de modelare este efectuat folosind o consolă situată în Consola de management al politicii de grup numită Process Modeling. Simularea nu necesită o conexiune la computerul studiat. Funcționează numai cu informațiile stocate în Active Directory. Este destul de ușor să aveți acces la controlerul Windows Server 2003 Active Directory. Vă puteți imagina, de exemplu, ce se va întâmpla dacă utilizatorul intră într-un grup de securitate, îl puteți pune condiționat într-un container și puteți vedea ce se întâmplă.
Alte caracteristici noi ale Consolei de gestionare a politicilor de grup sunt copiile de rezervă și restaurările politicii de grup. Obiectele în sine pot fi salvate ca fișier într-un anumit director. Apoi pot fi restaurate înapoi în cazul unei probleme sau când se experimentează un domeniu, Active Directory sau politici de grup. Este important să puteți restaura o politică de grup numai în același domeniu în care a fost făcută o copie de rezervă. Numai GPO-ul este restaurat de la sine: orice i-a fost atașat suplimentar nu poate fi arhivat și, în consecință, poate fi și restaurat.
Să trecem la Windows Management Instrumentations (WMI). Este o tehnologie care este acum centrală pentru managementul sistemelor. WMI este folosit aproape peste tot: orice serviciu folosește WMI într-un fel sau altul.
Folosind WMI, puteți obține informații despre toate obiectele care există în sistem, fie că sunt dispozitive hardware sau un fel de componente software. Absolut orice informație poate fi obținută prin interogarea bazei de date WMI. Deoarece există un astfel de mecanism, Microsoft a dezvoltat funcționalități suplimentare pentru aplicarea politicii de grup. Acum puteți filtra aplicarea politicilor de grup pe baza accesului la baza de date WMI. Adică, puteți atribui literalmente un filtru în Politica de grup. De exemplu, dacă răspunsul la o interogare care este trimisă către WMI este da, atunci se aplică Politica de grup, iar dacă este negativ, Politica de grup nu este aplicată.
Politica de restricție a aplicațiilor
Este o politică centralizată care poate fi implementată în întreaga întreprindere. Cu ajutorul acestuia, administratorul are capacitatea de a limita lista de programe pe care utilizatorii le pot rula pe stațiile lor de lucru. Administratorul poate, dimpotrivă, să specifice o listă de programe pe care utilizatorii nu le pot rula pe mașinile lor sub nicio circumstanță.Pentru implementarea acestui mecanism se folosește principiul: linia de bază plus excluderea. În consecință, liniile de bază pot fi de două tipuri pentru scenarii diferite. Primul nivel de bază se numește „Disallowed”: toate programele sunt interzise implicit, cu excepția celor permise în excepții, în regulile suplimentare. Al doilea se numește Unrestricted: toate programele sunt permise, dar lista de reguli suplimentare conține excepții, adică o listă neagră de programe care nu pot fi lansate.
Regulile pot fi de patru tipuri (clasate după prioritate): Certificat (cel mai mare prioritate), Hash, Path și Zone. Prioritatea este relevantă atunci când există mai multe politici care definesc aceeași aplicație cu reguli diferite. De exemplu, o politică permite rularea tuturor programelor care se află în directorul „ABCD”, în timp ce o altă politică interzice rularea programelor care au un astfel de hash. Dacă se dovedește că acest program, care este interzis să ruleze, se află în directorul permis ABCD, atunci regula interzicerii va fi mai puternică, deoarece regula hash „câștigă” regula de-a lungul căii. Pentru asta este folosită prioritatea.
