Настройка домена windows 2000
Обновлено: 04.07.2024
Что делать, когда ваша сеть, сконфигурированная в качестве рабочей группы Windows, перестала удовлетворять требованиям управляемости и удобной масштабируемости? Ответ один – переходить на Active Directory! Однако прежде чем начинать подобный проект, необходимо хорошо знать все его нюансы.
Тенденция быстрого роста локальных сетей небольших компаний наблюдается в наши дни повсеместно. Сначала это два-три компьютера для бухгалтерии, затем еще по одному для директора, его заместителя, секретаря, нескольких менеджеров и т. д. Через какое-то время их количество опять увеличивается, так как штат сотрудников расширяется. Однако изначально все эти компьютеры являются членами рабочей группы, в которой каждый участник равноправен. Администрировать такую сеть становится неудобно, так как понятия «централизованное управление» и «рабочая группа» являются взаимоисключающими.
Именно в этот момент вам приходится принимать решение о переходе к доменной структуре (Active Directory).
С какими трудностями вам придется столкнуться в первую очередь? Что необходимо предусмотреть заранее, чтобы процесс перехода прошел без сучка и задоринки? Сегодня я попытаюсь обобщить свой опыт подобных внедрений, чтобы заранее облегчить вашу задачу.
План перехода к Active Directory
Для реализации подобного перехода необходимо заранее составить план своих действий. Наибольшей производительности своего труда вы достигнете, выполняя все настройки в нерабочее время. Оптимальным решением является использование выходных дней, так как при количестве рабочих станций более 5-7 за один вечер завершить перевод скорее всего не удастся. Необходимо помнить о том, что любые работы по глобальной перенастройке системы могут занять в несколько раз больше времени, чем планировалось. Поэтому вы должны быть уверены в том, что расчетное время завершения всех работ в два(!) раза меньше имеющегося в наличии. В противном случае вы рискуете получить неработоспособную систему в момент выхода пользователей на работу.
Роль контроллера домена (далее КД) лучше доверить выделенному для этих целей компьютеру (серверу). Понятие «выделенный» в данном случае означает, что никто не должен использовать его в качестве рабочей станции. Эта рекомендация известна всем, но тем не менее еще раз напоминаю об этом. Для несения роли КД для 10-30 рабочих станций и такого же количества пользователей подойдет любой компьютер, удовлетворяющий требованиям ОС Windows Server – нагрузка на него при таких условиях будет невелика. Вполне достаточно следующей конфигурации: Celeron-700, 256 RAM, 10 HDD. Однако не стоит забывать, что даже в небольших сетях должна обеспечиваться отказоустойчивость, поэтому КД в домене должно быть более одного.
Акцентирую ваше внимание на том, что данная статья не является технической инструкцией по настройке контроллера домена, введению в домен рабочих станций, заведению учетных записей пользователей и пр. Об этом вы можете прочитать в [1], где вы найдете советы по планированию перехода от рабочей группы к домену.
Следующий этап – подготовка сервера и клиентских рабочих мест. Для того чтобы сделать переход к доменной структуре абсолютно прозрачным для пользователей, необходимо создать и заполнить анкеты для каждого рабочего места локальной сети. Если за одним компьютером работают несколько пользователей, использующих различные учетные записи (или программное обеспечение), то такую анкету должен заполнить каждый из них. Форма может быть произвольной, главное, чтобы были заполнены требуемые поля. Это: имя компьютера в сети, ФИО пользователя, имя его учетной записи, пароль, используемые программы, расположение рабочих документов и пр. Пример заполненной анкеты приведен на рис. 1.
Рисунок 1. Подобную анкету должен заполнить каждый пользователь
Обяжите каждого пользователя сети заполнить подобную табличку перед началом модернизации. Эту процедуру полезно выполнять перед любыми действиями по переконфигурированию пользовательских компьютеров – после переустановки системы вы восстанавливаете все, что попросил пользователь. Если он об этом в данном отчете не упомянул – значит, вы тем более не могли знать, чем он пользуется. Главное провести правильную предварительную беседу, рассказав, для чего необходимо заполнять такую карточку и что вы не будете нести ответственности за те данные, которые не были описаны. Конечно, такой подход более применим к внедренческим фирмам и не всегда возможен для штатного сотрудника, однако он зарекомендовал себя с лучшей стороны. Иначе – в случае потери данных виноватым всегда окажется системный администратор, который должен был на астральном уровне догадаться, что пользователи хранят все документы в корзине! Поверьте – я не фантазирую – это реальная история из опыта нашей фирмы. Сотрудник, приехавший по заявке клиента о нехватке на диске свободного места, первым делом очистил корзину. Оказалось, что бухгалтер хранил в ней все документы. На вопрос: «Как же вы их сохраняли?!» последовал невозмутимый ответ: «Сохраняла на рабочем столе и перетаскивала».
Внимательно отнеситесь к бухгалтерским рабочим станциям – как правило именно они изобилуют «нестандартными» программами, такими как Банк-клиенты и специализированные программы налоговой отчетности. Заранее проконсультируйтесь с технической поддержкой производителей программ на предмет того, что именно вы должны архивировать. Некоторые такие программы защищены от копирования, поэтому после переустановки системы просто перестанут работать, что может явиться крайне критичным, так как невозможность осуществить срочный платеж через систему Банк-клиент – серьезная проблема для организации. Заранее договоритесь о вызове специалиста для переустановки подобных программ.
Полезные технические подробности
С технической точки зрения рекомендуется использовать на рабочих станциях операционные системы не ниже Windows 2000, так как более ранние версии систем (Windows9x/ME, Windows NT) не позволяют в полной мере распространять на них доменные политики и настройки. Поэтому при наличии возможности (технические характеристики компьютера и пр.) переустановите ОС там, где необходимо.
Помните, что перед любыми подобными работами необходимо создавать архивную копию всех данных, находящихся на перенастраиваемых серверах. Опыт показывает, что нелишним будет создать архивную копию даже тех дисковых разделов, которые вы не собираетесь затрагивать в процессе работы – лучше быть спокойным за то, что все продублировано, чем «случайно» установить новую систему не в тот раздел. Конечно, такое напоминание многим может показаться излишним – ведь это и «само собой разумеется». К сожалению, практика показывает, что даже опытные специалисты иногда игнорируют это правило, желая сэкономить время (действительно, процесс архивации данных – самый длительный и утомительный).
Перед основным этапом работ проверьте следующее:
- Должна быть сделана полная копия всех рабочих данных с сервера. Их необходимо хранить отдельно, на носителе, который вообще никак не участвует в рабочем процессе. После архивирования проведите процедуру контрольного восстановления – не всегда удается скопировать все по каким-либо причинам (права доступа и пр.) Хорошей проверкой на полноту архивации является перемещение, а не копирование файлов – тогда после завершения процедуры на источнике не должно остаться исходных данных. Если что-то осталось – проверьте, скопировалось ли на резервный носитель. Если есть возможность, сделайте две копии – одну на любую рабочую станцию в сети, имеющую необходимый объем дискового пространства, а вторую – на указанный носитель, который сразу уберите подальше.
- Наличие возле каждого рабочего места заполненных пользователями анкет, с указанием данных, которые необходимо сохранить/перенести со старой системы. Подразумевается, что вы сможете расшифровать записи пользователей, поэтому заранее проведите все уточнения. Также необходимо знать, где хранятся рабочие данные используемых пользователями программ и ОС. Будьте осторожны с такими программами, как Microsoft Outlook и Microsoft Outlook Express – их файлы данных располагаются в профилях пользователей, причем «закопаны» довольно глубоко:
- Данные Microsoft Outlook – %USERPROFILE%Local SettingsApplication DataMicrosoftOutlook*.pst.
- Данные Microsoft Outlook Express – %USERPROFILE%Local SettingsApplication DataIdentitiesКорпорация MicrosoftOutlook Express*.*.
- Адресная книга – %USERPROFILE%Application DataMicrosoftAddress Book*.wab.
- Избранное Internet Explorer – %USERPROFILE%Избранное (про него часто забывают, а у пользователя может быть сохранено огромное количество ссылок).
Не совсем рациональным хранением данных почтового ящика отличается и популярная почтовая программа The_BAT! – по умолчанию они хранятся в папке с самой программой. Кстати, не забывайте об использовании встроенных мастеров экспорта и импорта данных, но не вздумайте слепо им доверять – после экспорта данных всегда проверьте их импорт на «чистую» систему.
- Все необходимые драйвера для переустановки ОС на серверах и рабочих станциях. Крайне рекомендуется иметь несколько «универсальных» дисков с драйверами популярных материнских плат и устройств.
- Назначен день «X», в который никто из пользователей не будет работать. Оптимальны – два выходных дня – за один можно не успеть. При этом должен быть обеспечен пропускной режим на предприятие и доступ во все помещения с компьютерами.
Переход к Active Directory
Итак, назначенный день наступил и необходимо начинать работы по созданию домена. Еще раз убедитесь, что все данные с перенастраиваемого сервера сохранены в надежном месте.
Устанавливаем серверную операционную систему, обновления, проводим все первичные настройки. Создаем и настраиваем домен (подробно этот процесс многократно описан, в том числе в [1]). После проверки работоспособности домена вводим в него рабочие станции пользователей. Еще перед вводом в домен озаботьтесь их корректным именованием, применяя только латиницу, без пробелов. Русские имена не поддерживаются DNS, а от его работоспособности зависит вся работа Active Directory. Рекомендуется сразу создать в домене первую учетную запись пользователя, рабочую станцию которого мы будем вводить в домен первой. После ввода проверяем минимальную корректность настроек – вход в домен после перезагрузки должен осуществляться не дольше 1 минуты. Если очень продолжительное время вы наблюдаете табличку «Применение параметров безопасности» – какие-то из настроек некорректны (чаще всего неправильно настроен DNS-сервер, либо не он прописан в свойствах сетевого подключения клиента). Первый вход осуществляем с учетными данными пользователя, работающего за этой рабочей станцией. В этот момент создается его профиль, который будет соответствовать профилю данной системы по умолчанию. Все предыдущие настройки останутся в старом профиле пользователя. Если имя для входа в домен не отличается от предыдущего локального имени – новый профиль будет создан с префиксом <имя домена>. Это сделано для того, чтобы не повредить предыдущие настройки. Сразу после первого входа в систему завершаем сеанс пользователя и входим уже с учетной записью администратора домена для перенесения документов и настроек из старого профиля. Заходим в папку профилей (на системах Windows 2000 и выше это папка Documents and Settings) и копируем необходимые нам элементы в новый профиль (см. рис. 2). Обратите внимание – не переносим, а именно копируем, чтобы осталась возможность воспользоваться локальным входом в систему со старыми учетными данными. Таким образом, у вас будет возможность войти в систему локально и посмотреть необходимые настройки. Например, для баз «1С:Предприятие 7.7», в большом количестве присутствующих у сотрудников бухгалтерии, достаточно сохранить один раздел реестра (HKEY_CURRENT_USERSoftware1C1Cv77.7Titles) и затем внести информацию из него после входа в домен. Полностью копировать содержимое старого профиля не рекомендуется без особых оснований, чтобы не перетаскивать ненужный мусор – если что-то понадобится – всегда можно будет потом достать.
Рисунок 2. Копирование информации из старого профиля в новый
Проверив работоспособность первой рабочей станции домена, можно переходить к вводу в домен остальных, повторяя описанную процедуру.
Несмотря на то, что при входе пользователя в домен создается новый профиль, а старый остается невредимым – все равно крайне рекомендуется создавать архивную копию указанных данных в независимом месте. Если же на рабочей станции производилась переустановка ОС, то все пользовательские данные необходимо будет восстанавливать именно из упомянутого архива.
При переносе данных из одного профиля в другой помните, что если пользователь не будет являться локальным администратором компьютера, то может возникнуть необходимость принудительного делегирования ему необходимых разрешений NTFS. Например, на папку почтового ящика в программе The_Bat и пр. В противном случае вы можете столкнуться с ситуацией, когда пользователь будет видеть документ (ярлык, папку и пр.), а в доступе ему будет отказано. Это же касается настроек и данных программ – если какая-либо программа после переноса настроек отказывается работать, – прежде всего проверьте права доступа нового пользователя к рабочим папкам программы. В ситуациях, когда затруднительно понять, куда же именно не хватает прав доступа и в этом ли заключается проблема, можно на время делегировать пользователю права локального администратора и заново произвести вход в систему. Если проблема локализована и остается определить объекты доступа – можно воспользоваться любым системным монитором от стороннего производителя, позволяющим вести журнал обращения к объектам. Я использую для этих целей программу Filemon от Sysinternals. Она удобна тем, что не требует инсталляции и показывает не только файловую активность, но и результаты обращения к реестру, а также к Named Pipes. Акцентирую внимание на том, что делегируются права локального администратора на конкретной локальной станции, а не права администратора домена! В грамотно настроенной сети даже если пользователю оставить эти права для работы – кроме настроек своего компьютера он ничего испортить не сможет.
Начинаем работать с доменом AD
В первый день ввода в эксплуатацию новой системы вы должны появиться на предприятии раньше всех. Если вы позволите себе опоздать, реакция пользователей будет непредсказуемой – от недоумения до паники. Главное – не позволяйте пользователям сеять эту панику среди коллектива. ваши реплики при общении должны быть спокойными и уравновешенными: «Не волнуйтесь, сейчас все настройки восстановим. Мне понадобится ваша помощь» и т. д. Рекомендуется повесить на входе объявление о «Переходе на новую систему» с просьбой по всем вопросам обращаться к вам.
После перенастройки системы вы услышите множество возгласов в стиле: «Все мои документы пропали!». Главное не паниковать – если все было сделано грамотно и архивы созданы, – восстановить связи недолго. Не стоит метаться от одного пользователя к другому – по очереди подойдите к каждому и попросите при вас проверить работоспособность системы. Устраните самые срочные проблемы и перейдите к следующему пользователю. Если в процессе исследований какие-то настройки или документы пользователей были утрачены – немедленно просмотрите информацию, указанную пользователем в анкете компьютера. Если там ничего не говорится об этих данных – вы тоже не экстрасенс и догадываться на астральном уровне не могли. Поясните это пользователю. Именно поэтому очень важно несколько раз предупредить пользователей об ответственности при заполнении анкеты.
Практика показывает, что при адекватной психологической реакции администратора (профессионализм, спокойствие и невозмутимость) такие проекты осуществляются ровно и по плану. Разумеется, что речь идет именно о корректной реализации такого внедрения. Если перебои в работе предприятия или потеря данных была вызвана ошибками системного администратора – стоит задуматься о повышении квалификации и не браться за подобные проекты.
Автор статьи реализовал более 200 подобных и более сложных проектов системной интеграции и частично описал свой личный опыт работы.
Если вы модернизируете контроллеры домена (DC) Windows 2000 до Windows Server 2003 или добавляете контроллеры домена Windows Server 2003 в домен Windows 2000, то должны сначала подготовить домен (и лес , в котором он находится) из-за отличий в схеме между Active Directory Windows 2000 и Windows Server 2003. После этого установка и конфигурирование Active Directory Windows Server 2003 выполняется достаточно просто.
Внимание. Все ваши контроллеры домена Windows 2000 должны работать с Service Pack версии 2 или более поздней версии. Примечание. Прежде чем начать модернизацию DC Windows 2000, вы должны проверить совместимость для этой модернизации и скопировать обновленные файлы установки (Setup), запустив winnt32 /checkupgradeonly с компакт-диска Windows Server 2003 или из разделяемой точки в сети.Подготовка леса и домена
Чтобы подготовиться к модернизации Windows 2000 в Windows Server 2003, вы должны сначала подготовить Active Directory с помощью утилиты командной строки adprep.exe , которая находится в папке i386 CD Windows Server 2003. Для выполнения этой задачи вы должны установить CD Windows Server 2003 на контроллерах домена Windows Server 2003 или скопировать папку i386 в какую-либо разделяемую точку сети. Сначала нужно модернизировать лес, затем - домен(ы).
- Модернизация леса выполняется на контроллере, который является хозяином схемы (schema master).
- Модернизация домена выполняется на контроллере, который является хозяином инфраструктуры (infrastructure master).
В большинстве систем хозяин схемы и хозяин инфраструктуры - это один и тот же компьютер. (См. ниже раздел "Описание ролей контроллера домена (DC)".)
Поскольку модернизация Active Directory - это нисходящий процесс, начните с леса. Для этого выполните следующие шаги на компьютере, который является хозяином схемы .
- Выполните резервное копирование компьютера, который является хозяином схемы , включая состояние системы.
- Отсоедините этот компьютер от сети.
- Откройте окно командной строки и перейдите в то место, где находится папка i386 Windows Server 2003 (это CD или разделяемая точка сети).
- Введите adprep /forestprep .
По окончании adprep.exe выполните следующую проверку на ошибки.
Если не возникло никаких ошибок, снова подсоедините этот компьютер ( хозяин схемы ) к сети. Если компьютер с хозяином схемы отличается от компьютера с хозяином инфраструктуры , то вам нужно подождать, пока изменения, внесенные программой adprep.exe , реплицируются с хозяина схемы на другой компьютер. Если эти два компьютера находятся в одной локальной сети, подождите примерно полчаса. Вам придется подождать больше (полдня или день), если эти компьютеры находятся в разных сайтах.
После репликации изменений хозяина схемы на другие контроллеры домена вы можете модернизировать этот домен: откройте окно командной строки на компьютере, который является хозяином инфраструктуры , и введите adprep /domainprep . Проведите проверку на ошибки, как это описано в предыдущем разделе по модернизации леса, и выполните все необходимые шаги для их устранения.
Подождите, пока будет выполнена репликация этого DC на данном предприятии, что может занять несколько часов или даже целый день в зависимости от географической конфигурации вашей инфраструктуры.
Модернизация контроллеров домена (DC) Windows 2000
После подготовки домена и леса вам нужно выполнить две простые задачи для модернизации каждого DC Windows 2000 к Windows Server 2003.
- Запустите Setup.exe с CD Windows Server 2003 или из сетевой разделяемой точки, чтобы модернизировать эту операционную систему в Windows Server 2003.
- После установки операционной системы выполните вход на этот компьютер и запустите мастер Active Directory Installation Wizard (который появляется автоматически).
Если вам требуются другие DC после установки первого DC в данном домене, то вы можете использовать альтернативный метод - восстановление состояния системы существующего DC на другом компьютере Windows Server 2003. См. выше раздел "Создание дополнительных контроллеров домена (DC) путем восстановления из резервной копии".
Модернизация доменов Windows NT 4
Прежде чем приступить к преобразованию ваших DC Windows NT 4 в DC Windows Server 2003, вы должны запомнить некоторые базовые правила.
- Требуется DNS (см. следующий раздел "Решения по установке DNS").
- Функциональный уровень вашего Active Directory (как для леса, так и для домена) можно изменять до тех пор, пока не будет выполнена полная модернизация всего предприятия. (См. ниже раздел "Функциональные уровни домена и леса".)
Кроме того, вы должны, конечно, продумать и спланировать свою иерархию Active Directory , которая принципиально отличается от того, с чем вы работали в сети Windows NT
Решения по установке DNS
DNS является обязательным компонентом для Active Directory, и если в ваших сетях Windows NT 4 не было DNS, то у вас есть два способа установки этого недостающего компонента.
- Сконфигурировать серверы DNS и установить службы DNS для вашей сети Windows NT 4 до модернизации.
- Установить DNS на первом контроллере домена Windows Server 2003, который вы устанавливаете во время модернизации, и затем перераспределить службы DNS, как это описано выше в этой лекции.
Функциональные уровни домена и леса
Функциональные уровни домена и леса соответствуют уровням охвата средств Active Directory, доступных на вашем предприятии. Они зависят от версий Windows, используемых вашими DC. В случае крупных предприятий нереально думать, что за одну ночь (или даже за выходные дни) можно выполнить модернизацию сразу всех DC в систему Windows Server 2003, что эквивалентно новому предприятию для ваших администраторов и пользователей, когда они вернутся к работе.
Профессионалы ИТ называют также функциональные уровни "режимами", поскольку этот термин часто использовался, когда была выпущена версия Windows 2000. В то время использовали термин "смешанный режим" (mixed mode) для сетей с контроллерами домена, работающими под управлением Windows 2000, и резервными контроллерами домена ( BDC ) Windows NT 4, продолжающими работать в сети. Для сети, где все DC работают под управлением Windows 2000, использовался термин "собственный режим" (native mode). Предприятия, работающие в смешанном режиме, не могли использовать некоторые средства Active Directory, доступные только в собственном режиме. Например, использование универсальных групп, вложение групп и возможность перемещения субъектов безопасности (идентификаторов безопасности - SID) между доменами были только в собственном режиме.
Функциональные уровни, доступные при использовании Windows Server 2003, имеют более сложный характер, причем имеется разделение между функциональными уровнями домена и функциональными уровнями леса (что не имело смысла для режимов Windows 2000).
Примечание. Текущие уровни вашего домена Windows 2000 вы можете увидеть в оснастке Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory). Щелкните правой кнопкой на объекте-лесе или на объекте-домене в дереве консоли и выберите пункт Properties (Свойства). Текущий уровень представлен во вкладке General (Общие).Функциональные уровни домена позволяют использовать определенные средства в конкретном домене. В зависимости от версий Windows ваших DC в домене могут использоваться четыре функциональных уровня домена.
Важно понять, что функциональный уровень домена не является пассивным параметром, который задается самой операционной системой в зависимости от того, что она обнаруживает. Этот уровень задают администраторы (и изменяют его по мере модернизации контроллеров домена). Во время модернизации в систему Windows Server 2003 первого DC в вашем домене Windows NT 4 у вас запрашивается функциональный уровень домена (по умолчанию - Windows 2000 mixed).
Если вы изменяете (повышаете) функциональный уровень домена, то контроллеры домена, работающие с более ранними версиями Windows, уже не могут быть присоединены к этому домену. Например, если вы повышаете функциональный уровень домена до Windows 2000 native, то контроллеры домена, работающие под управлением Windows NT 4, уже не могут быть членами этого домена.
Функциональные уровни леса позволяют использовать возможности Active Directory для всех доменов внутри этого леса. Имеются три следующих функциональных уровня леса.
Во время модернизации вашего первого домена Windows NT 4 в новый лес Windows Server 2003 для этого домена устанавливается функциональный уровень Windows Server 2003 interim. После повышения функционального уровня леса контроллеры домена, работающие под управлением Windows NT 4, уже не могут включаться в этот лес.
По моему опыту и опыту других известных мне администраторов модернизация из Windows NT 4 в Windows Server 2003 обычно проходит без проблем. Но прежде чем начать модернизацию, вы должны выполнить некоторые предварительные шаги.
- Проследите, чтобы на всех DC домена был установлен SP5.
- Выполните резервное копирование всех DC.
- После репликации базы данных учетных записей на ваши резервные контроллеры домена ( BDC ) удалите один из этих BDC из локальной сети.
Первые два шага являются обязательными, тогда как третий шаг - это мой собственный способ для возврата к прежнему состоянию в случае какой-либо проблемы (в данном случае лучше быть пессимистом). Вам будет нетрудно повысить статус этого BDC до уровня PDC (главного контроллера домена), отключить от локальной сети прежний (теперь уже модернизированный) PDC и снова подключить кабель отключенного ранее BDC (теперь это PDC) к концентратору. Пользователи смогут выполнять вход и работать.
Начните с модернизации PDC. Это просто модернизация самой операционной системы, а установка Active Directory (в результате которой компьютер станет контроллером домена) происходит после этого. Используйте CD Windows Server 2003 или запустите Setup.exe из разделяемой точки сети. После установки операционной системы и последующей перезагрузки Windows Server 2003 запускается мастер установки Active Directory Installation Wizard , который сопровождает вас в процессе преобразования компьютера в контроллер домена.
Мастер требует, чтобы вы присоединились к существующему дереву доменов или лесу либо создали новое дерево доменов или новый лес. Если вы решили присоединиться к существующему дереву доменов, то ссылаетесь на нужный родительский домен во время процесса модернизации. Если вы создаете новый дочерний домен, то устанавливаются транзитивные доверительные отношения с этим родительским доменом. В конечном итоге контроллер родительского домена реплицирует всю информацию схемы и конфигурации на контроллер этого нового дочернего домена.
Существующий объект SAM (Security Accounts Manager) копируется из реестра в новое хранилище данных.
Во время процесса модернизации мастер создает необходимые объекты-контейнеры для учетных записей и групп из домена Windows NT. (Эти объекты-контейнеры получают имена Users, Computers и Builtin, и вы можете видеть их в оснастке Active Directory Users and Computers.)
Существующие группы Windows NT 4 находятся в других контейнерах в зависимости от вида группы. Встроенные (built-in) локальные группы Windows NT 4 (такие как Administrators и Server Operators) помещаются в контейнер Builtin. Глобальные группы Windows NT 4 (такие как Domain Admins) и любые созданные пользователями группы (как локальные, так и глобальные) помещаются в контейнер Users.
После модернизации главного контроллера домена (PDC) вы можете перейти к модернизации всех BDC (за исключением BDC , который вы удалили из сети для возврата в случае возникновения проблем). Выполнив модернизацию всех BDC и убедившись, что система работает должным образом, подсоедините к сети последний (ранее отключенный BDC ) и выполните его модернизацию.
Глобальный каталог создается службой Active Directory автоматически. В нем есть элементы для всех объектов и свойств, существующих в дереве или в лесу. Глобальный каталог – это не просто сборный вариант всех доменных разделов. Там не хранится каждое значение каждого свойства в дереве или в лесу. Вместо этого там содержатся те значения из набора свойств объекта, которые полезны для глобального сообщества.
Глобальный каталог выполняет две основные функции:
· разрешает войти в сеть путем предоставления контроллеру домена информации о членах универсальной группы;
· упрощает просмотр информации каталога независимо от того, какой домен леса содержит эти данные.
Организация доменной сети Windows 2000 обладают следующими преимуществами.
· Объединение объектов в домены позволяет сделать так, чтобы структура сети Windows 2000 отражала организацию объекта.
· Каждый домен – это часть сети, хранящая информацию только о тех объектах, которые в ней находятся. Разделяя сети таким образом, Active Directory позволяет вводить в нее столько дополнительных объектов, сколько необходимо, в отличие от NT 4.0, где размер домена ограничен.
· Каждый домен служит границей защиты в том смысле, что режим и параметры безопасности (такие как права администрирования, политика безопасности и списки доступа) не распространяются за пределы домена.
3.2.НАСТРОЙКА ЛОКАЛЬНОЙ СЕТИ WINDOWS 2000 SERVER С ДОМЕННОЙ АРХИТЕКТУРОЙ
При настройке сети Windows 2000 нужно выполнить следующие операции:
· Подключение к сети.
· Установка сетевых плат.
· Установка протоколов, которые Вы намерены использовать.
· Настройка средств защиты.
· Выбор часового пояса и перезапуск.
Подключение к сети.
Первое, что сделает программа установки Windows 2000 на этой стадии, - спросит Вас о том, каким образом будет осуществляться соединение. Если компьютер с Windows 2000 войдет в состав уже существующей сети, нужно сначала физически подключить его к этой сети.
Надо сообщить Windows 2000, каким образом компьютер будет участвовать в сети. Программа установки предложит Вам выбрать один из следующих вариантов:
Donotconnectthiscomputertoanetworkatthistime.
(Пока что не подключать компьютер к сети.)
This computer will participate on a network.
(Этот компьютер будет подключен к сети.)
Wired to the network.
Remote access to the network.
(Удаленный доступ к сети.)
Выберите this computer will participate on a network или wired to the network, и установка Windows 2000 продолжится. Затем программа предложит Вам установить Microsoft Internet Server. Чтобы излишне не усложнять установку, ответьте NO.
Установка сетевых плат.
Теперь нужно выбрать и установить сетевую плату. Windows 2000 очень хорошо умеет их обнаруживать и автоматически распознавать. Если плата не распознана автоматически, ее можно настроить вручную, выбрав один из предлагаемых вариантов. Для этого нужно установить переключатель в положение no, iwanttoselecthardwarefromalist. Откроется список устройств. Выберите пункт NetworkAdapters, а в нем – фирму-производителя вашего устройства. Если его там нет, щелкните на кнопке havedisk и установите драйвер для Windows 2000, поставляемый на диске вместе с платою.
Теперь, когда плата установлена, нужно указать используемые ею номер прерывания (IRQ) адреса портов ввода/вывода и оперативной памяти.
Теперь нужно сообщить программе установки, какие протоколы вы используете. По умолчанию подразумевается, что вам нужны NetBEUI, TCP/IP и IPX/SPX.
После этого программа установки предложит Вам установить службы сервера. По умолчанию устанавливается конфигурация RPC и интерфейс NetBIOS. Можно установить еще множество служб, но для начала ограничимся минимальным набором, достаточным для использования Windows 2000.
Windows 2000 Server – очень защищенная система. Ей требуется подтверждение всех машин в сети. Но здесь есть одно узкое место: подтверждаются только серверы и рабочие станции Windows 2000 или более ранних версий NT. Компьютеры, управляемые DOS, Windows или OS/2, не подтверждаются. Если у Вас есть действующие учетная запись и пароль, Вы можете использовать эти машины в сети, но только компьютеры Windows 2000 и NT будут централизовано управляться администратором. Если добавить в существующий домен новый компьютер с Windows 2000, нужно сообщить существующим машинам о присутствии новой с помощью Server Manager.
Выбор часового пояса и перезапуск.
Первый этап установки почти закончен. Последнее, что нужно указать инсталляционной программе, - часовой пояс, в котором Вы находитесь. Выберите, следуя ее подсказкам, временную зону. Затем Windows 2000 Setup перезагрузит компьютер. В результате у нас будет простейшая конфигурация ОС, которая загружается и работает.
3.3.ПОДКЛЮЧЕНИЕ КЛИЕНТСКОЙ РАБОЧЕЙ СТАНЦИИ WINDOWS 98 К ДОМЕНУ
В создаваемой нами локальной сети клиентские рабочие станции используют ОС Windows 98. Рассмотрим порядок подключения их к сети.
При установке клиента Windows 98 необходимо следующее.
· Программное обеспечение. Заранее установленная операционная система.
· Аппаратные средства. Рабочая станция с платой сетевого интерфейса.
· Протокол. Вы должны знать, какой протокол будете использовать для соединения – NetBEUI, IPX/SPX или TCP/IP.
· Имя пользователя и пароль. Нужно создать учетные записи для новых пользователей, чтобы после установки проверить соединение.
Опишем процедуру подключения клиента Windows 98 к сети.
1. Выберите из меню Startкоманду Settings – ControlPanel и дважды щелкните на пиктограмме Network.
2. Выберите вкладку Configuration и щелкните на кнопке Add. Появится окно Select Network Component Type.
3. Выберите Client for Microsoft Networks и щелкните на кнопке Properties. Откроется диалоговое окно Client for Microsoft Networks Properties.
4. В разделе Logon Validation выберите переключатель Log on to Windows 2000 Domain. Введите имя Вашего домена Windows 2000 и щелкните на кнопке OK, чтобы вернуться в диалоговое окно Network.
5. На вкладке Identification должна появиться информация, введенная Вами в процессе настройки. Исправьте ее, если она неверна. В любом случае, закройте все открытые окна, щелкая на кнопке OK, чтобы изменения вступили в силу.
6. Перезагрузите компьютер по запросу ОС.
Для того чтобы убедиться в подключении клиента Windows 98 к сети, предпримите следующие действия.
1. Щелкните на пиктограмме NetworkNeighborhood, расположенной на рабочем столе. Откроется окно с пиктограммами сетевых устройств, доступных с вашей рабочей станции.
2. Дважды щелкните на пиктограмме сервера Windows 2000. должен появиться список совместно используемых ресурсов сервера, доступных для данной рабочей станции. Если Вы его видите, значит, компьютер подключен к сети, и можно просмотреть файлы на жестком диске сервера.
Предполагается, что читатель уже знаком с основными понятиями и концепциями службы каталогов Active Directory, изложенными в главе 23. Теперь можно в общих чертах рассмотреть процесс развертывания службы каталогов и создания контроллеров доменов, на которых она функционирует.
Для краткости (тема планирования доменов и миграции из предыдущих версий заслуживает отдельной книги) мы не будем рассматривать многочисленные доменные модели Windows NT 4.0 и способы их преобразования в домены Windows 2000. Важно понять сам принцип создания и обновления контроллеров домена (запуск процесса повышения роли сервера, очередность обновления РОС и BDC и т. д.) и на его базе строить стратегию перевода существующих доменов в домены Windows 200D.
Рассмотрим лишь некоторые специфические требования и соображений, возникающие при создании доменной структуры на базе Windows 2600. В первую очередь эта специфика обусловлена появлением службы каталогов Active Directory и новой модели безопасности.
Даже если создается домен с единственным контроллером, необходимо учесть некоторые изложенные ниже соображения, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).
Планирование структуры доменов
Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.
Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.
Для создания нескольких доменов должны быть достаточно веские причины, например:
| Различные требования к безопасности для отдельных подразделений |
| Очень большое количество объектов |
| Различные Интернет-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать дерево доменов; если имена доменов уникальны, то возможно создание леса доменов |
| Дополнительные требования к репликации |
| Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках |
Разработка модели делегирования прав администрирования
Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.
После того как разработана структура подразделений и по ним распределены пользователи, можно продумать административную иерархию, т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).
Планирование организационных единиц (подразделений)
Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие
Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):
| Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы. |
| Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами). |
| Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации. |
| Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые. |
| Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже. |
Проектирование структуры сайтов
Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты. Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.
Использование нескольких сайтов дает следующие преимущества:
| Распределяется нагрузка по сети со стороны клиентов |
| Возможна оптимизация процесса получения данных из каталога |
| Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт |
| Возможна "тонкая" настройка репликации |
Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи. Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.
Установка контроллеров домена
Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, называющейся повышение роли сервера (promotion).
Категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: это приведет к уничтожению всего дерева!
Подготовка к созданию контроллера домена
Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server. Способы инсталляции системы описаны в главе 1. Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.
Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard).
Создание первого контроллера домена
Служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2),
DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную (см. также главу 17). , Для инсталляции DNS-сервера:
Для нормальной работы DNS-сервера нужно назначить компьютеру хотя бы один статический IP-адрес. Если компьютер такого адреса не имеет (скажем, выделен динамический адрес), то в процессе инсталляции DNS-сервера имеется возможность добавить нужный статический адрес. Для частной сети можно использовать зарезервированные значения, например, для сетей Class А можно выбрать адрес 10.0.0.1, принять маску подсети по умолчанию и оставить пустым поле шлюза.
Если в сети уже имеются DNS-серверы, установите переключатель Использовать следующие адреса DNS-серверов (Use the following DNS server addresses) и введите IP-адрес DNS-сервера в поле Основной DNS-сервер (Primary DNS Server). Если DNS-серверы в сети отсутствуют, установите переключатель Получить адрес DNS-сервера автоматически (Obtain DNS server address automatically) или оставьте пустым поле Основной DNS-сервер.
Запуск мастера установки Active Directory
Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.
Рис 24.1. Выбор типа контролера
Рис 24.2. Для работы Active Directory обязательно присутствие в сети службы DNS
Рис 24.3. Выбор разрешений, позволяющих службам более ранних версий взаимодействовать с создаваемым контроллером домена Windows 2000
Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!
Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.
После перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory.
Подключение рабочих станций и рядовых серверов
Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (серверы DHCP более подробно описаны в главе 17) или задаваться вручную.
Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на .клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.
Включение в домен дополнительных контроллеров
Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:
Добавление к дереву дочерних доменов
Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:
После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене.
Создание нового дерева в лесе
Понижение контроллера домена
Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.
Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.
Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:
В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.
Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.
Переключение домена в основной режим
Домены Windows 2000 могут находиться в двух режимах:
| Смешанный режим (mixed mode), позволяющий сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий. В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server. |
| Основной режим (native mode), где все контроллеры работают с программным обеспечением Windows 2000 Server. В этом режиме полностью доступны такие новые воамвжййейг, "М&с создание влбженньрс (nested) групп и междоменное членство в группах (универсальные группы). |
По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.
Миграция в Active Directory
Переход к Active Directory
Active Directory имеет множество достоинств, однако это весьма значительное изменение в существующих технологиях. Как же внедрить новое средство? С одной стороны, многие службы каталогов уже существуют, и имеются средства для их переноса в Active Directory. Для многих организаций самой важной из уже используемых каталогов является служба каталога Exchange, поэтому компания Microsoft предлагает утилиту Active Directory Connector (ADC) для Exchange 5.x, упрощающую миграцию.
PDC-контроллер, чтобы он смог загрузить в Active Directory имеющуюся учетную информацию (учетные записи пользователей, компьютеров и т. д.). Затем, по мере необходимости, можно обновить до Windows 2000 другие BDC-контроллеры, рядовые (member) серверы и клиентов.
В домене Windows 2000, в который входят BDC-контроллеры Windows NT 4.0, репликацию системного тома SYSVOL нужно настраивать дополнительными средствами/поскольку контроллеры домена на базе Windows 2000 не реплицируют эту информацию на BDC-контроллеры.
Наконец, имеет смысл потратить больше времени на проектирование доменов и пространств имен внутри каждого домена. В среде Windows NT Server 4.0 во многих организациях домены "размножались" без должного контроля, что приводило к запутанной системе имен и доверительных отношений. При использовании Active Directory создание эффективной структуры "с нуля" окупится в дальнейшем простотой администрирования сети.
Active Directory Migration Tool
Утилита ADMT позволяет переносить из одного домена в другой учетные записи пользователей и компьютеров, локальные и глобальные группы, доверительные отношения, обновлять списки управления доступом (ACL), создавать отчеты и выполнять другие задачи, связанные с процессом миграции. Для выполнения тех или иных функций используются мастера (wizards), вызываемые из контекстного меню оснастки,
Каждый мастер работает в двух режимах:
| Режим проверки параметров миграции |
| Режим выполнения операции миграции |
Миграция из Novell NetWare
Как уже говорилось, можно перейти к Active Directory из различных служб каталогов (Exchange, Windows NT Server 4.0 NTDS и др.). Кроме того, компания Microsoft предлагает средства для перехода от Novell NetWare к Windows 2000, что особенно актуально для смешанных сетевых сред. Такие средства уже существовали в предыдущих версиях Windows NT и позволяли переносить пользователей, группы, файлы и списки управления доступом к файлам из базы данных bindery в контроллер домена Windows NT Server.
Для системы Windows 2000 компания Microsoft выпустила два облегчающих миграцию инструмента, которые входят в отдельно приобретаемый продукт - Microsoft Services for NetWare v.5 (SFNW5):
| Microsoft Directory Synchronization Services (MSDSS) |
| File Migration Utility (MSFMU) |