- •Методология внедрения Microsoft Active Directory
- •Общая информация о курсе
- •Лекция 1. Введение в active directory
- •Определение каталога и службы каталогов
- •Назначение службы каталогов
- •Функции службы каталогов
- •Преимущества Active Directory
- •Краткие итоги
- •Лекция 2. Проектирование active directory
- •Основные понятия службы каталогов
- •Область действия
- •Пространство имен
- •Контейнер
- •Контексты имен (сегменты, разделы)
- •Доверительные отношения
- •Доменное дерево
- •Организационные единицы (подразделения)
- •Сайт (узел)
- •Сбор и анализ информации
- •План проектирования структуры Active Directory
- •Краткие итоги
- •Лекция 3. Архитектура active directory
- •Модель данных
- •Функциональная структура
- •Логическая структура
- •Физическая структура
- •Контроллеры доменов и их роли
- •Концепция сайтов
- •Краткие итоги
- •Лекция 4. Планирование развертывания active directory
- •План-график развертывания
- •Анализ существующей инфраструктуры
- •Планирование структуры Active Directory
- •Проектирование структуры леса
- •Проектирование доменной структуры
- •Применение одного домена
- •Использование нескольких доменов
- •Проектирование корневого домена леса
- •Краткие итоги
- •Лекция 5. Модели построения лесов и детализация доменной структуры
- •Варианты построения леса
- •Единый лес, каждый регион — отдельное дерево
- •Единый лес, административный корневой домен, каждый регион — домен
- •Единый лес, каждый регион — дочерний домен центрального домена
- •Применение нескольких лесов
- •Случаи реализации нескольких лесов
- •Недостатки структуры из нескольких лесов
- •Детализация доменной структуры
- •Повторение существующей доменной структуры
- •Несколько лесов, минимальное количество доменов
- •Единый лес
- •Назначение владельцев доменов
- •Краткие итоги
- •Лекция 6. Стратегия именования объектов
- •Соглашение об именовании
- •Относительные составные имена
- •Составные имена
- •Канонические имена
- •Основные имена пользователей
- •Краткий обзор dns
- •Служба dns Locator
- •Интегрированные зоны Active Directory
- •Определение стратегии именования
- •Идентификаторы защиты
- •Правила имен участников системы безопасности
- •Правила именования доменов
- •Краткие итоги
- •Лекция 7. Планирование инфраструктуры dns и структуры ou
- •Проектирование инфраструктуры dns
- •Исследование существующей инфраструктуры dns
- •Выбор доменных имен dns
- •Проектирование структуры ou
- •Планирование иерархии ou
- •Стандартные модели структуры ou
- •Модель структуры ou на основе местоположения
- •Модель структуры ou на основе структуры организации
- •Модель структуры ou на основе функций
- •Смешанная модель структуры ou — сначала по местоположению, затем по структуре организации
- •Смешанная модель структуры ou — сначала по структуре, затем по местоположению
- •Типовая конфигурация ou
- •Краткие итоги
- •Лекция 8. Стратегия управления учетными записями
- •Типы учетных записей
- •Планирование учетных записей компьютеров
- •Планирование учетных записей пользователей
- •Типы учетных записей пользователей
- •Правила именования учетных записей
- •Планирование политики сетевой безопасности
- •Планирование групп
- •Планирование групповой политики
- •Разрешение gpo из нескольких источников
- •Наследование групповой политики
- •Планирование структуры gpo
- •Связывание gpo с доменом
- •Связывание gpo с сайтом
- •Связывание gpo с ou
- •Краткие итоги
- •Лекция 9. Планирование топологии сайтов
- •Планирование структуры сайта
- •Инфраструктура топологии сети
- •Создание модели сайта
- •Проектирование размещения серверов
- •Размещение dns-серверов
- •Размещение контроллеров домена
- •Размещение серверов глобального каталога
- •Размещение серверов хозяев операций
- •Краткие итоги
- •Лекция 10. Репликация в active directory
- •Модель репликации Active Directory
- •Планирование стратегии репликации
- •Репликация внутри сайта
- •Репликация между сайтами
- •Виды реплицируемой информации
- •Протоколы репликации
- •Процесс репликации
- •Краткие итоги
- •Лекция 11. Внедрение active directory
- •Развертывание Active Directory
- •Установка службы каталога Active Directory
- •Предварительные условия установки Active Directory
- •Мастер установки
- •Конфигурирование dns для Active Directory
- •База данных и общий системный том
- •Режимы домена
- •Тестирование Active Directory
- •Краткие итоги
- •Лекция 12. Миграция данных
- •Общие положения модернизации доменной инфраструктуры
- •Варианты модернизации
- •Критерии выбора пути перехода
- •Переход к Active Directory
- •Планирование модернизации
- •Тестирование плана модернизации
- •Проведение экспериментальной модернизации
- •Резервное копирование данных
- •Типовые проблемы при проведении миграции
- •Краткие итоги
- •Лекция 13. Мониторинг active directory
- •Причины проведения мониторинга, реализуемые преимущества и сопутствующие затраты
- •Процесс мониторинга Active Directory
- •Элементы мониторинга
- •Мониторинг производительности
- •Мониторинг репликации
- •Мониторинг службы dns
- •Автоматизация мониторинга Active Directory
- •Краткие итоги
- •Лекция 14. Устранение неполадок с active directory
- •Типичные проблемы с Active Directory
- •Ошибки репликации
- •Устранение неполадок dns
- •Устранение неполадок схемы
- •Устранение неполадок в сведениях о доверии
- •Проблемы при задании разрешений
- •Краткие итоги
- •Лекция 15. Восстановление active directory
- •Подготовка к отказам
- •Хранение данных в Active Directory
- •Создание резервной копии Active Directory
- •Процесс восстановления
- •Краткие итоги
Развертывание Active Directory
При установке Active Directory выполняются следующие функции:
Добавление контроллера домена к существующему домену. Создается равноправный контроллер домена, обеспечивающий отказоустойчивость и уменьшение нагрузки на имеющиеся контроллеры доменов.
Создание первого контроллера домена в новом домене. Создается новый домен, необходимый для распределения информации, что позволит настроить Active Directory в соответствии с потребностями организации. При создании нового домена разрешается создать новый дочерний домен или новое дерево.
Создание нового дочернего домена.
Создание нового дерева домена.
Установка DNS-сервера.
Создание БД и журналов БД.
Создание общего системного тома.
Причины создания нескольких доменов: распределенное администрирование сети, управление репликацией, разные требования к паролям в разных организациях, большое число объектов, разные имена доменов Интернета, региональные требования и требования внутренней политики.
Установка службы каталога Active Directory
Процесс установки службы каталога Active Directory на компьютере с Microsoft Windows Server 2003 несложен: простота обеспечивается за счет мастера инсталляции Active Directory (Active Directory Installation Wizard).
Два других метода установки Active Directory [13] — инсталляция без помощи мастера и установка из восстановленных резервных файлов.
Предварительные условия установки Active Directory
Любой сервер, который удовлетворяет условиям, описанным далее, может содержать Active Directory и стать контроллером домена. Каждый новый контроллер домена фактически является автономным сервером, пока не завершится процесс инсталляции Active Directory. В ходе этого процесса решаются две важные задачи [13] — создается или заполняется база данных каталога и запускается Active Directory, чтобы сервер отвечал на попытки входа в систему домена и на запросы облегченного протокола службы каталога LDAP.
База данных каталога хранится на жестком диске контроллера домена в файле Ntds.dit. В процессе инсталляции Windows Server 2003 файл Ntds.dit сохраняется в папке %systemroot%\system32 на локальном диске. В процессе инсталляции Active Directory файл Ntds.dit копируется в место, идентифицированное во время инсталляции, или в заданную по умолчанию папку %systemroot%\NTDS, если не определено другое место. При наличии файла Ntds.dit, скопированного на жесткий диск в процессе инсталляции Windows Server 2003, Active Directory может быть установлена в любое время без необходимости обращаться к инсталляционной среде.
Далее приводятся условия, необходимые для того, чтобы Active Directory могла работать в Windows Server 2003 [13].
Жесткий диск. Размер пространства на жестком диске, необходимого для хранения службы Active Directory, будет зависеть от количества объектов в домене и от того, является ли данный контроллер домена сервером глобального каталога (GC). Для поддержки установки папки Sysvol по крайней мере один логический диск должен быть отформатирован под файловую систему NTFS v.5 (версия NTFS, которая используется в системах Microsoft Windows 2000 и Windows Server 2003).Чтобы установить Active Directory на сервер, на котором выполняется система Windows Server 2003, жесткий диск должен удовлетворять следующим минимальным требованиям:
15 Мб свободного пространства — на раздел установки системы;
250 Мб свободного пространства — для базы данных Active Directory (Ntds.dit);
50 Мб свободного пространства — для файлов регистрационного журнала транзакций процессора наращивания памяти (ESENT). ESENT представляет собой систему взаимодействия базы данных, которая использует файлы регистрационных журналов для поддержки семантики откатов (rollback), чтобы гарантировать передачу транзакций базе данных.
Обеспечение сетевой связи. После установки Windows Server 2003 и до начала установки Active Directory необходимо убедиться, что сервер должным образом сконфигурирован для обеспечения сетевой связи.
Служба DNS, необходимая Active Directory в качестве указателя ресурсов. Клиентские компьютеры полагаются на DNS при поиске контроллеров домена, чтобы они могли аутентифицировать себя и пользователей, которые входят в сеть, а также делать запросы к каталогу для поиска опубликованных ресурсов. Кроме того, служба DNS должна поддерживать записи службы указателя ресурсов (SRV) и динамические модификации. Если служба DNS не была установлена предварительно, то мастер инсталляции Active Directory установит и сконфигурирует DNS одновременно с Active Directory. Если DNS уже установлена в сети, необходимо проверить ее конфигурацию, чтобы она могла поддерживать Active Directory.
Административные разрешения, которые должна иметь учетная запись пользователя для возможности установки Active Directory.