Лабораторная работа №2 Развертывание ad ds. Перемещение ролей fsmo
Цель работы: Изучить процесс установки контроллеров домена AD DS.
Краткие теоретические сведения.
Служба каталогов операционной системы (Active Directory) хранит информацию об объектах системы и инфраструктуры и позволяет манипулировать ими. В домене информация находятся на компьютерах, сконфигурированных как контроллеры домена. В роли контроллеров домена могут выступать только компьютеры с Windows 2000 -2012 Server.
Схема Active Directory представляет собой набор экземпляров классов объектов, хранящихся в каталоге.
Хранилище Active Directory Domain Services (AD DS) реализуется на каждом контроллере домена. Хранилище AD представляет собой базу данных состоящую из файла %systemroot%\ntds\ntds.dit и транзакционных журналов, хранящихся в каталоге %systemroot%\ntds. При необходимости можно изменить путь по умолчанию
Global Catalog (Глобальный каталог) хранит частичный набор атрибутов PAS (Partial Attribute Set), набор PAS определяется в схеме AD, первый контроллер домена всегда GC
Мастер Операций (Operation Master) – особая роль DC, осуществляющего FSMO Flexible single-master operations (fizz-mo), в Windows 2008 реализованы:
Schema Master (мастер схемы)
Domain naming master (мастер именования доменов)
RID master (мастер RID)
PDC emulator (эмулятор PDC)
Infrastructure Master (мастер инфраструктуры) Domain Services
Перемещение мастеров операций производится следующими оснастками mmc:
Роль Мастера операций |
Административный инструмент
|
Мастер Схемы |
Active Directory Schema |
Мастер именования доменов |
Active Directory Domain and Trusts |
Мастер RID, эмулятор PDC, мастер инфраструктуры |
Active Directory Users and Computers |
Все оснастки устанавливаются на контроллер домена при установке DC. Их можно найти Их можно найти в меню Пуск – Администрирование. Для передачи роли Мастер Схемы необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory. Делается это с помощью команды regsvr32 schmmgmt.dll, введенной в окне Выполнить (Run). После этого в списке доступных оснасток появится Active Directory Schema.
Чтобы проверить, на каком DC находятся роли FSMО, можно использовать утилиту командной строки netdom query fsmo.
ntdsutil.exe – утилита командной строки, предназначенная для обслуживания каталога Active Directory. Она представляет из себя мощный инструмент управления, и в число ее возможностей входит передача и захват ролей FSMO.
Практические задания
Задание 1. Установка первого контроллера домена леса
Установить роль Active Directory Domain Controller.
Войдите в Диспетчер сервера (Server Manager) и перейдите в узел Роли (Roles) в левой панели консоли. Затем нажмите Добавить роли (Add Roles) в правой панели
далее откроется страница Before You Begin. Если вы впервые устанавливаете роли с помощью диспетчера сервера, то вам нужно прочитать информацию на этой странице
нажмите Далее.
Выберите Active Directory Domain Services, отмечая соответствующую опцию. Обратите внимание, что мастер отобразит вам ряд функций, которые будут установлены наряду с ролью Active Directory Server Role. Нажмите кнопку Добавить нужные функции (Add Required Features), чтобы установить эти функции во время установки роли Active Directory Server.
Обратите внимание, что во время установки роли Active Directory Domain Services также устанавливаются службы DFS пространства имен, DFS репликации, все эти службы используются службами Active Directory Domain Services, поэтому устанавливаются автоматически
Нажмите Установить для установки файлов, необходимых для запуска dcpromo.
После того, как установка прошла успешно, нажмите Закрыть.
Перейдите в меню Пуск и наберите dcpromo в текстовом поле. Нажмите Выполнить. Найдите в результирующем списке dcpromo и запустите.
После запуска мастера Welcome to the Active Directory Domain Service Installation Wizard нажмите Далее, не выбирая Расширенные опции инсталляции
На странице Совместимость операционной системы (Operating System Compatibility) мастер предупреждает о том, что NT и non-Microsoft SMB клиенты будут испытывать проблемы с некоторыми криптографическими алгоритмами, используемыми в Windows Server 2008 R2, нажмите Далее.
На странице Выбор конфигурации установки (Choose a Deployment Configuration) выбираем опцию Создание нового домена в лесу (Create a new domain in a new forest)
На странице Имя корневого домена в лесу (Name the Forest Root Domain) введите название домена в текстовое поле FQDN корневого домена в лесу fflab.net. Это сокращенно от Forefront Lab. Нажмите Далее.
На странице Определение функционального уровня леса (Set Forest Functional Level) выберите опцию Windows Server 2008 R2 (а не опцию Windows Server 2003, которая показана на рисунке ниже). Нажмите Далее.
На странице Дополнительные опции контроллера домена (Additional Domain Controller Options) есть единственный выбор: DNS сервер. Опция глобального каталога выбрана и не является опцией по выбору, так как пока что это единственный DC в этом домене, поэтому он должен быть сервером глобального каталога. Опция контроллера домена с разрешением только чтения (Read-only domain controller - RODC) не отмечена, поскольку необходимо иметь другой не-RODC в сети, чтобы включить эту опцию. Выберите опцию DNS сервер и нажимаем Далее.
Появится диалоговое окно, говорящее о том, что невозможно создать делегирование для этого сервера DNS, поскольку полномочная родительская зона не может быть найдена или не использует Windows DNS сервер. Причина в том, что это первый DC в сети. Нажмите Да, чтобы продолжить.
Оставьте без изменения пути, предложенные для папок Database, Log Files и SYSVOL на своих местах по умолчанию и нажимаем Далее.
На странице Directory Service Restore Mode Administrator Password введите надежный пароль, аналогичный паролю в операционную систему, в текстовые поля Пароль (Password) и Подтверждение (Confirm password).
Проверьте информацию на странице Summary и нажмите Далее.
В результате Ваших действий будет произведена установка Active Directory. Установка первого DC занимает немного времени. Отметьте опцию Перезагрузить по окончании (Reboot on completion), чтобы машина автоматически перезагрузилась после установки DC.
Машина автоматически перезагрузится, поскольку мы выбрали эту опцию. Установка будет завершена после того, как вы войдете в систему. Если я правильно помню, в Windows Server 2008 были дополнительные настройки, которые нужно было сделать после перезагрузки и входа в систему, но в Windows Server 2008 R2 этого уже нет.
Служба DNS была установлена во время установки Active Directory.
Какие данные необходимо собрать перед установкой первого домена в первом лесу? Запишите все сведения, которые Вам понадобились при установке первого контроллера домена нового леса.
Задание 2. Добавление второго контроллера домена к существующему домену
На второй виртуальной машине проделайте шаги из предыдущего задания.
На странице Выбор конфигурации установки (Choose a Deployment Configuration) выберите опцию Существующий лес – Добавить контроллер домена в существующий домен (Add a domain controller to an existing domain)
Запишите в тетрадь, какие необходимы права и сведения для установки дополнительно контроллера домена
Задание 3. Перемещение ролей FSMO с помощью инструментов консоли mmc
Для того, чтобы определить хозяев операций, выполните netdom query fsmo в командной строке, запущенной с привилегиями администратора.
По результатам заполните второй столбец в таблице1:
Роль Мастера операций |
Имя сервера
|
Название оснастки mmc для переноса роли |
Мастер Схемы |
|
|
Мастер именования доменов |
|
|
Мастер RID |
|
|
Эмулятор PDC |
|
|
Мастер инфраструктуры |
|
|
Таблица 1. Принадлежность мастеров операций.
Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) используйте оснастку Active Directory Пользователи и компьютеры (Users and Computers). Для этого зайдите на контроллер домена, которому хотим передать роли, запустите оснастку и щелкнув правой клавишей мыши на нужном домене, выберите пункт «Хозяева операций».
В открывшемся окне выберите нужную роль (в нашем примере RID Master) и нажмите кнопку «Изменить».
Далее подтвердите перенос роли
Проверьте результат с помощью утилиты netdom query fsmo командной строки, запущенной с привилегиями администратора. Запишите в тетрадь, какому серверу принадлежит роль RID Master после переноса.
Проделайте то же самое для ролей эмулятор PDC и Мастер инфраструктуры. После каждого переноса проверьте себя с помощью команды netdom query fsmo и запишите в тетрадь результат переноса
Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и доверие (Domains and Trust). Запустите оснастку, при необходимости подключитесь к нужному контроллеру домена, щелкните правой клавишей мыши в корне оснастки и выберите пункт меню «Хозяин операций».
Открывается знакомое окно, в котором надо нажать кнопку «Изменить», а затем подтвердить изменения так же, как и в предыдущем примере.
Запишите в тетрадь, какому серверу принадлежит роль Хозяин именования доменов после переноса.
Для передачи роли Schema Master необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory. Делается это с помощью команды regsvr32 schmmgmt.dll, введенной в окне Выполнить (Run).
Откройте консоль MMC и добавьте в нее оснастку Схема Active Directory .
Теперь зайдите в оснастку и аналогичным образом проделайте операции по передаче роли.
Запишите в тетрадь, какому серверу принадлежит роль Мастер схемы после переноса
Задание 4. Перемещение ролей FSMO с помощью утилиты ntdsutil.exe
Для передачи ролей зайдите на любой контролер домена, расположенный в том лесу, в котором следует выполнить передачу ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Запустите командную строку и введите команды в такой последовательности:
ntdsutil
roles
connections
connect to server <имя сервера>
q
После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли :
transfer naming master - передача роли хозяина доменных имен.
transfer infrastructure master — передача роли хозяина инфраструктуры;
transfer rid master — передача роли хозяина RID;
transfer schema master — передача роли хозяина схемы;
transfer pdc - передача роли эмулятора PDC.
Для завершения работы Ntdsutil введите команду q и нажмите Ввод.
По результатам проделанных операций заполните таблицу 2:
Роль Мастера операций |
Имя сервера
|
Мастер Схемы |
|
Мастер именования доменов |
|
Мастер RID |
|
Эмулятор PDC |
|
Мастер инфраструктуры |
|
Таблица 2. Принадлежность ролей FSMO.
Проанализируйте способы перемещения ролей FSMO между доменами и сделайте вывод о том, какой из них предпочтителен для Вас. Аргументируйте свою точку зрения.
Контрольные вопросы
Понятие Каталога. Понятие Службы каталогов, в чем отличие службы каталогов от каталога. Что собой представляет контроллер домена?
Понятие Схемы AD. Основные функции Схемы AD и консоль управления Schema Active Directory. Мастер Схемы.
Глобальный каталог. Функции глобального каталога. Как можно определить, является ли контроллер домена глобальным каталогом.
Роли FSMO. Перечислите роли FSMO и оснастки, необходимые для управления переносом ролей. Какие рекомендации по совмещению ролей Вам изввестны?
Какие средства администрирования AD DS Вы знаете? Опишите достоинства и недостатки каждого из способов администрирования.
Опишите физическую структуру AD DS. Назовите основные файлы и пути к ним.