- •Методология внедрения Microsoft Active Directory
- •Общая информация о курсе
- •Лекция 1. Введение в active directory
- •Определение каталога и службы каталогов
- •Назначение службы каталогов
- •Функции службы каталогов
- •Преимущества Active Directory
- •Краткие итоги
- •Лекция 2. Проектирование active directory
- •Основные понятия службы каталогов
- •Область действия
- •Пространство имен
- •Контейнер
- •Контексты имен (сегменты, разделы)
- •Доверительные отношения
- •Доменное дерево
- •Организационные единицы (подразделения)
- •Сайт (узел)
- •Сбор и анализ информации
- •План проектирования структуры Active Directory
- •Краткие итоги
- •Лекция 3. Архитектура active directory
- •Модель данных
- •Функциональная структура
- •Логическая структура
- •Физическая структура
- •Контроллеры доменов и их роли
- •Концепция сайтов
- •Краткие итоги
- •Лекция 4. Планирование развертывания active directory
- •План-график развертывания
- •Анализ существующей инфраструктуры
- •Планирование структуры Active Directory
- •Проектирование структуры леса
- •Проектирование доменной структуры
- •Применение одного домена
- •Использование нескольких доменов
- •Проектирование корневого домена леса
- •Краткие итоги
- •Лекция 5. Модели построения лесов и детализация доменной структуры
- •Варианты построения леса
- •Единый лес, каждый регион — отдельное дерево
- •Единый лес, административный корневой домен, каждый регион — домен
- •Единый лес, каждый регион — дочерний домен центрального домена
- •Применение нескольких лесов
- •Случаи реализации нескольких лесов
- •Недостатки структуры из нескольких лесов
- •Детализация доменной структуры
- •Повторение существующей доменной структуры
- •Несколько лесов, минимальное количество доменов
- •Единый лес
- •Назначение владельцев доменов
- •Краткие итоги
- •Лекция 6. Стратегия именования объектов
- •Соглашение об именовании
- •Относительные составные имена
- •Составные имена
- •Канонические имена
- •Основные имена пользователей
- •Краткий обзор dns
- •Служба dns Locator
- •Интегрированные зоны Active Directory
- •Определение стратегии именования
- •Идентификаторы защиты
- •Правила имен участников системы безопасности
- •Правила именования доменов
- •Краткие итоги
- •Лекция 7. Планирование инфраструктуры dns и структуры ou
- •Проектирование инфраструктуры dns
- •Исследование существующей инфраструктуры dns
- •Выбор доменных имен dns
- •Проектирование структуры ou
- •Планирование иерархии ou
- •Стандартные модели структуры ou
- •Модель структуры ou на основе местоположения
- •Модель структуры ou на основе структуры организации
- •Модель структуры ou на основе функций
- •Смешанная модель структуры ou — сначала по местоположению, затем по структуре организации
- •Смешанная модель структуры ou — сначала по структуре, затем по местоположению
- •Типовая конфигурация ou
- •Краткие итоги
- •Лекция 8. Стратегия управления учетными записями
- •Типы учетных записей
- •Планирование учетных записей компьютеров
- •Планирование учетных записей пользователей
- •Типы учетных записей пользователей
- •Правила именования учетных записей
- •Планирование политики сетевой безопасности
- •Планирование групп
- •Планирование групповой политики
- •Разрешение gpo из нескольких источников
- •Наследование групповой политики
- •Планирование структуры gpo
- •Связывание gpo с доменом
- •Связывание gpo с сайтом
- •Связывание gpo с ou
- •Краткие итоги
- •Лекция 9. Планирование топологии сайтов
- •Планирование структуры сайта
- •Инфраструктура топологии сети
- •Создание модели сайта
- •Проектирование размещения серверов
- •Размещение dns-серверов
- •Размещение контроллеров домена
- •Размещение серверов глобального каталога
- •Размещение серверов хозяев операций
- •Краткие итоги
- •Лекция 10. Репликация в active directory
- •Модель репликации Active Directory
- •Планирование стратегии репликации
- •Репликация внутри сайта
- •Репликация между сайтами
- •Виды реплицируемой информации
- •Протоколы репликации
- •Процесс репликации
- •Краткие итоги
- •Лекция 11. Внедрение active directory
- •Развертывание Active Directory
- •Установка службы каталога Active Directory
- •Предварительные условия установки Active Directory
- •Мастер установки
- •Конфигурирование dns для Active Directory
- •База данных и общий системный том
- •Режимы домена
- •Тестирование Active Directory
- •Краткие итоги
- •Лекция 12. Миграция данных
- •Общие положения модернизации доменной инфраструктуры
- •Варианты модернизации
- •Критерии выбора пути перехода
- •Переход к Active Directory
- •Планирование модернизации
- •Тестирование плана модернизации
- •Проведение экспериментальной модернизации
- •Резервное копирование данных
- •Типовые проблемы при проведении миграции
- •Краткие итоги
- •Лекция 13. Мониторинг active directory
- •Причины проведения мониторинга, реализуемые преимущества и сопутствующие затраты
- •Процесс мониторинга Active Directory
- •Элементы мониторинга
- •Мониторинг производительности
- •Мониторинг репликации
- •Мониторинг службы dns
- •Автоматизация мониторинга Active Directory
- •Краткие итоги
- •Лекция 14. Устранение неполадок с active directory
- •Типичные проблемы с Active Directory
- •Ошибки репликации
- •Устранение неполадок dns
- •Устранение неполадок схемы
- •Устранение неполадок в сведениях о доверии
- •Проблемы при задании разрешений
- •Краткие итоги
- •Лекция 15. Восстановление active directory
- •Подготовка к отказам
- •Хранение данных в Active Directory
- •Создание резервной копии Active Directory
- •Процесс восстановления
- •Краткие итоги
База данных и общий системный том
При установке Active Directory создается БД и ее журнал, а также общий системный том [4].
БД и ее журнал — это каталог для нового домена. По умолчанию БД и ее журнал располагаются в каталоге %systemroot%\NTDS, где %systemroot% — это каталог Windows. Для повышения производительности рекомендуется размещать БД и журнал на разных жестких дисках.
Общий системный том — это структура папки, существующая на всех контроллерах доменов Windows. Он хранит сценарии и некоторые объекты групповой политики для текущего домена и предприятия. По умолчанию общий системный том располагается в каталоге %systemroot%\SYSVOL. Общий системный том должен располагаться в разделе или томе, отформатированном под NTFS 5.0.
Репликация общего системного тома идет по тому же расписанию, что и репликация Active Directory, поэтому можно не заметить репликацию файлов вновь созданного общего системного тома, пока не пройдет два цикла репликации (обычно это занимает минут 10). Дело в том, что первый цикл репликации файла обновляет конфигурацию других системных томов, уведомляя их о добавлении нового системного тома.
Режимы домена
Существуют два режима домена — смешанный и основной [4].
Смешанный режим. При первой установке или обновлении контроллера домена до Windows 2000 Server контроллер запускается в смешанном режиме (mixed mode), что позволяет ему взаимодействовать с любыми контроллерами доменов под управлением предыдущих версий Windows NT.
Основной режим. Если на всех контроллерах домена установлен Windows 2000 Server и не планируется больше добавлять в этот домен контроллеры нижнего уровня, то рекомендуется перевести домен в основной режим (native mode).
При изменении режима со смешанного на основной происходит следующее:
прекращается поддержка репликации нижнего уровня, после чего в этом домене запрещается иметь контроллеры, не работающие под управлением Windows 2000/2003 Server;
запрещается добавление новых контроллеров нижнего уровня в данный домен;
сервер, исполнявший роль основного контроллера домена, перестает быть таковым, поэтому все контроллеры становятся равноправными.
Изменение режима домена возможно лишь в одном направлении — из смешанного в основной режим, но не наоборот.
Тестирование Active Directory
Согласно плану проведения развертывания, все решения должны предварительно тестироваться на стенде, развернутом на оборудовании в тестовой среде. В тестовой среде компании создается модель, идентичная модели промышленной среды либо ее фрагментам.
На тестовом стенде, который надлежащим образом сконфигурирован в зависимости от перечня необходимых для тестирования приложений, производятся предварительные работы по отладке работы данных приложений, связанных с Active Directory, а также тестовая миграция данных и проверка корректности ее проведения.
Тестирование проводится в соответствии с процедурами и сценариями тестирования (осуществляется функциональное и нагрузочное тестирование); одной из его целей является проверка отказоустойчивости решения с высоким показателем надежности.
Тестирование миграции доменов обычно начинается с работ по созданию односайтовой модели леса Active Directory, состоящей из корневого домена и разноуровневых дочерних доменов. Затем планируется реализовать поэтапную миграцию данных с созданных доменов, добавляя в них тестовые рабочие станции Windows, чтобы иметь возможность проверить вход пользователей и выполнение сценариев входа в новые домены.
На следующем этапе создания стенда необходимо протестировать:
распределение ролей между серверами;
работу сервиса DNS, установленного на серверах;
прохождение репликации между контроллерами доменов;
настройку соединения между контроллерами доменов;
добавление контроллера домена в Internet VLAN;
перенос баз WINS, DHCP;
аутентификацию пользователей на контроллере.
После этого необходимо выполнить следующую последовательность действий:
Установить в Internet VLAN standalone-сервер (сервер не должен быть установлен как контроллер домена или member-сервер), принадлежащий рабочей группе.
Настроить на standalone-сервере обмен данными по протоколу IPSec в туннельном режиме с остальными контроллерами доменов.
Добавить standalone-сервер в домен в качестве member-сервера, указать в свойствах TCP/IP адрес DNS-сервера.
Установить на сервер сервисы DHCP, WINS и перенести на него копированием базы, затем преобразовать их в формат Windows.
Обновить member-сервер Windows до статуса контроллера домена.
Авторизовать сервер DHCP в Active Directory.
Провести синхронизацию между standalone-сервером и контроллерами домена.
На контроллере домена установить DNS-сервис. В свойствах TCP/IP этого сервера указать адрес DNS-сервера, равный собственному адресу сервера.
Назначить функцию глобального каталога для standalone-сервера.
Проверить прохождение репликации между контроллерами домена.
Запустить тест проверки функционирования контроллеров домена.
Проверить вход пользователей в сеть и выполнение сценариев входа.
Создать имидж первого раздела контроллера домена и сохранить его на втором разделе.
Тестирование реструктуризации домена — протестировать перенос учетных записей пользователей и компьютеров из существующего домена в новый домен с помощью утилиты ADMT [4].
Настроить двухсторонние доверительные отношения между доменами.
Включить аудит успешных и неуспешных событий по управлению пользователями и группами в обоих доменах.
Перенести пользователей и группы из существующего домена в новый домен.
Проверить вход пользователей в домен.
Удалить доверительные отношения между новым доменом и существующим доменом.
Тестирование переноса баз DHCP, WINS — протестировать корректность переноса баз в процессе миграции.
Установить на сервере сервисы DHCP, WINS и перенести на него копированием базы с существующих серверов, затем преобразовать их в формат Windows.
Авторизовать сервер DHCP в Active Directory.
Тестирование многосайтовой конфигурации физической топологии Active Directory — создать дополнительный сайт для удаленной площадки, установить контроллер домена в этот сайт и проверить следующие характеристики:
Время репликации между контроллерами домена, расположенными в центральном офисе и на удаленной площадке.
Аутентификация пользователей.
Время прохождения репликации для «мгновенных событий» (изменение пароля).
После завершения тестовой эксплуатации (осуществляется деинсталляция установленного стенда), на основании выработанных документов о миграции, осуществляется перенос данных (приложений, пользователей, компьютеров) из существующей структуры промышленной среды компании в спроектированную структуру Active Directory.