3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf468 |
Интеграция DNS с AD DS |
Глава 9 |
||
• |
|
Упражнение 2 |
Поработайте с зонами, создав каждую из трех поддержи- |
|
|
|
ваемых типов зон. Используйте как можно больше параметров конфигу- |
||
|
рации. Затем создайте как можно больше различных типов записей, чтобы |
|||
|
ознакомиться с диалоговыми окнами и мастерами, используемыми для |
|||
|
настройки зон и записей. |
|
||
• |
|
Упражнение 3 Поработайте с инструментами командной строки и попы- |
||
|
тайтесь использовать различные переключатели команд каждого средства. |
|||
|
В темы экзамена, в частности, включена команда Dnscmd.exe, поэтому тща- |
|||
|
тельно изучите этот инструмент и все его переключатели. |
|
||
• |
Упражнение 4 |
Поработайте с журналом событий DNS и журналом трас- i |
||
|
сировки и проанализируйте их содержимое. Каждый оператор DNS должен |
|||
|
уметь вести журнал DNS. |
|
||
Пробный экзамен
На прилагаемом к книге компакт-диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 70-640, или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа на вопрос просматривать правильные ответы и пояснения.
ПРИМЕЧАНИЕ |
Пробный экзамен |
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А |
1 0 |
Контроллеры домена
Занятие 1. |
Установка контроллеров домена |
470 |
Занятие 2. |
Настройка хозяев операций |
488 |
Занятие 3. |
Настройка репликации DFS папки SYSVOL |
504 |
Контроллеры домена управляют службой каталогов и решают задачи, связанные с идентификацией и управлением доступом на предприятии Microsoft Windows. До сих пор в этой книге мы рассматривали поддержку компонентов управления логических компонентов и инфраструктуры доменных служб Active Directory (Active Directory Domain Services): пользователей, групп, компьютеров и групповой политики. Все эти компоненты содержатся в базе данных каталогов и в папке SYSVOL на контроллерах домена.
В данной главе мы рассмотрим компоненты Active Directory уровня служб, начав с самих контроллеров домена. Мы обсудим методы добавления контроллеров доменов Windows Server 2008 в лес или домен, подготовку леса или домена Windows Server 2003 к установке первого контроллера домена Windows Server 2008, вопросы управления ролями контроллера домена. Речь также пойдет о миграции репликации папки SYSVOL из службы репликации файлов FRS (File Replication Service), используемой в предыдущих версиях Windows, в механизм репликации файловой системы DFS-R (File System Replication), который обеспечивает более стабильную и управляемую репликацию.
Темы экзамена:
•Настройка леса или домена.
•Конфигурирование репликации Active Directory.
•Настройка хозяев операций.
Прежде всего
Для выполнения упражнений в этой главе нужно создать в домене contoso. com контроллер домена SERVER01 и присоединить к этому домену рядовой сервер с полной установкой Windows Server 2008. Инструкции по установке можно найти в главе 1.
'Занятие 1 |
|
Установка контроллеров домена |
473 |
|
• |
CreateDCAccount |
возвращает все параметры, которые можно использо- |
||
|
вать при создании предварительной учетной записи контроллера домена |
|||
|
только для |
чтения ( R O D C ) . |
|
|
• |
UseExistingAccount |
возвращает все параметры, которые можно исполь- |
||
|
зовать для прикрепления нового контроллера домена к предварительной |
|||
|
учетной записи R O D C . |
|
||
• |
Demotion |
возвращает все параметры, которые можно использовать при |
||
|
удалении контроллера домена. |
|
||
К СВЕДЕНИЮ |
Параметры Dcpromo и автоматизированная установка |
|
||
Полное описание параметров Dcpromo и автоматизированной установки можно найти по адресу http://go.microsoft.com/fwlink/7LinkID~101181.
ПРИМЕЧАНИЕ |
Создание файла ответов |
При использовании интерфейса Windows для создания контроллера домена мастер установки доменных служб Active Directory на странице Сводка (Resume) предоставляет опцию экспорта параметров в файл ответов. Если вам нужно создать файл ответов для использования в командной строке, например на компьютере с установленным ядром сервера (Server Core), эту опцию мастера можно использовать для генерирования файла ответов с корректными параметрами и значениями.
Установка нового леса Windows Server 2008
В главе 1 описана установка первого контроллера домена Windows Server 2008
вновом лесу с помощью интерфейса Windows. В упражнениях 3 и 4 занятия 1 этой главы детально описаны шаги при добавлении роли AD DS на сервер с помощью Диспетчера сервера (Server Manager) и последующем запуске Dcpromo. ехе, с тем чтобы превратить рядовой сервер в контроллер домена. При создании корневого домена нового леса нужно указать DNS-имя корневого домена леса, его имя NetBIOS, а также уровни леса и домена. Первый контроллер домена не может быть контроллером домена только для чтения и должен быть сервером глобального каталога GC (Global Catalog), Если мастер установки доменных служб Active Directory определит, что необходимо установить или отконфигурировать DNS, он автоматически выполнит эти операции.
Файл ответов можно указать с помощью команды dcpromo /unattend:"путь к файлу ответов". Следующий пример файла ответов содержит минимальный набор параметров автоматизированной установки нового контроллера домена Windows Server 2008 в новом лесу:
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=forest
NewDomainDNSName=fully qualified DNS name DomainNetBiosName=domain NetBIOS name ForestLevel={0=Windows 2000 Server Native:
2=Windows Server 2003 Native;
474 |
Контроллеры |
домена |
— |
" |
г--— |
|
— |
|
Глава 10 |
||
3=Windows Server 2008} Domainlevel={0=Windows Server 2000 Native;
2=Windows Server 2003 Native; 3=Windows Server 2008)
InstallDNS=yes
DatabasePath="nyrb к папке в локальном томе" LogPath="nyrb к папке в локальном томе"
SYSVOLPath="path to folder on a local volume" SafeModeAdminPassword=napanb RebootOnCompletion=yes
Один или несколько параметров и значений автоматизированной установки можно также ввести в командной строке. Например, если вы не хотите указывать пароль режима восстановления служб каталогов (Directory Services Restore Mode) в файле ответов, не вводите значение, а вместо этого при запуске
Dcpromo.exe укажите параметр /Sa/eModeAdminPassword:password.
В командную строку также можно включить все параметры. В следующем примере первый контроллер создается в новом лесу, где не планируется установка контроллеров домена Windows Server 2003:
dcpromo /unattend /installDNS:yes /dns0nNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:contoso. com /DomainNetbiosName:contoso
/databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath: "g:\sysvol" /safeModeAdminPassword: пароль /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes
Установка дополнительных контроллеров в домене
Если у вас имеется домен хотя бы с одним контроллером Windows 2000 Server, Windows Server 2003 или Windows Server 2008, вы можете создать дополнительные контроллеры домена для распределения проверки подлинности, повышения уровня отказоустойчивости на случай отказа одного из контроллеров домена или проверки подлинности в удаленных узлах.
Установка первого контроллера домена Windows Server 2008 в существующем лесу или домене
Если у вас имеется лес с контроллерами домена Windows Server 2003 или Windows 2000 Server, нужно подготовить их для создания первого контроллера домена Windows Server 2008. Дело в том, что Windows Server 2008 добавляет в каталог объекты и атрибуты, которые не поддерживают предыдущие версии Windows. Поэтому требуется обновление схемы. Схема представляет собой определение атрибутов и классов объектов, которые могут существовать в домене. Она аналогична каталогу в том, что ее можно создать в других разделах каталогов. Вот как можно подготовить схему леса для Windows Server 2008.
1. Войдите на компьютер, служащий мастером схемы, как член групп Администраторы предприятия (Enterprise Admins), Администраторы схемы (Schema Admins) и Администраторы домена (Domain Admins).
Занятие 1 |
Установка контроллеров домена 48"| |
На занятии 2 описаны хозяева операций и приведены инструкции для идентификации контроллера домена — мастера схемы.
2.Скопируйте содержимое папки \Sources\Adprep с установочного DVDдиска Windows Server 2008 в папку на мастере схемы.
3.Откройте окно командной строки и перейдите в папку Adprep.
4. Введите команду adprep /forestprep и нажмите клавишу Enter.
5.Если вы планируете установить контроллер RODC в любом домене леса, введите команду adprep /rodcprep и нажмите клавишу Enter.
ПРИМЕЧАНИЕ |
Команда Adprep/rodcprep |
В лесу Windows 2000 Server или Windows Server 2003 также можно использовать команду Adprep /rodcprep. Ее не нужно запускать вместе с параметром /forestprep, но перед установкой первого контроллера RODC вы должны запустить ее и разрешить внести изменения в репликацию уровня леса. Команду Adprep/rodcprep можно запустить с любого контроллера домена, если использовать учетные данные члена группы Администраторы предприятия (Enterprise Admins).
СОВЕТ К ЭКЗАМЕНУ
Команду Adprep /rodcprep необходимо запустить перед установкой RODC в любом домене существующего леса с контроллерами Windows Server 2003 и Windows 2000 Server. Если лес состоит только из контроллеров доменов Windows Server 2008, в запуске этой команды нет необходимости.
Для выполнения операции потребуется некоторое время. После репликации изменений во всем лесу можно продолжать подготовку доменов для Windows Server 2008. Чтобы подготовить домен Windows 2000 Server или Windows Server 2003 для включения Windows Server 2008, выполните следующие действия.
1.Войдите на хозяин операций доменной инфраструктуры как член группы Администраторы домена (Domain Admins).
В занятии 2 представлены инструкции для определения контроллера домена, который служит хозяином операций.
2.Скопируйте содержимое папки \Sources\Adprep с установочного DVD-диска Windows Server 2008 в папку мастера инфраструктуры.
3.Откройте окно командной строки и перейдите в папку Adprep.
4. Введите команду adprep /domainprep /gpprep и нажмите клавишу Enter. В Windows Server 2003 может появиться сообщение об ошибке, где говорится о необходимости в установке обновлений. Можете проигнорировать это сообщение.
Перед установкой контроллера домена Windows Server 2008 разрешите репликацию изменения во всем лесу.
'476 Контроллеры домена
Установка дополнительного контроллера домена
Дополнительные контроллеры домена можно добавлять, устанавливая роль AD DS и запуская Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). Вам потребуется выбрать конфигурацию развертывания, указать сетевые учетные данные, выбрать домен
исайт для нового контроллера домена и отконфигурировать дополнительные опции контроллера домена, как, например, DNS-сервер (DNS Server), Глобальный каталог (Global Catalog) или Контроллер домена только для чтения (Read-Only Domain Controller). Остальные шаги те же, как и для первого контроллера домена: настройка расположения файлов и пароль администратора режима восстановления служб каталогов (Directory Services Restore Mode Administrator).
Если в домене один контроллер и вы установите на странице Вас приветствует мастер установки доменных служб Active Directory (Welcome То The Active Directory Domain Services Installation Wizard) флажок Использовать расширенный режим установки (Use Advanced Mode Installation), то сможете отконфигурировать следующие дополнительные параметры.
• |
Установка с носителя (Install F r o m Media) По умолчанию во время вы- |
|
|
полнения мастера установки доменных служб Active Directory новый кон- |
|
|
троллер домена реплицирует с других контроллеров домена все данные |
|
|
для всех разделов каталогов, которыми будет управлять. Для ускорения |
|
|
установки, в частности при медленных подключениях, можно использо- |
|
|
вать установочные носители, создаваемые существующими контроллерами |
|
|
домена. Установочный носитель представляет собой тип резервной копии. |
|
|
Новый контроллер домена может напрямую читать данные с установочного |
|
|
носителя, а затем реплицировать с других контроллеров домена только об- |
|
|
новления. Опция установки с носителя I F M (Install From Media) описана |
|
|
в подразделе «Установка служб AD DS с носителя». |
|
• |
Исходный контроллер домеиа ( S o u r c e D o m a i n C o n t r o l l e r ) Чтобы указать |
|
|
контроллер домеиа, с которого новый контроллер будет реплицировать |
|
|
данные, выберите опцию Использовать этот контроллер домена (Use This |
|
|
Specific Domain Controller). |
|
ПРИМЕЧАНИЕ |
Поддержка команды Dcpromo/adv |
|
В Windows Server 2003 команда Dcpromo /adv использовалась для указания дополнительных параметров установки. Параметр /adv по-прежнему поддерживается. Просто нужно предварительно установить флажок Использовать расширенный режим установки (Use Advanced Mode Installation) на странице приветствия мастера.
Чтобы применить команду Dcpromo.exe с параметрами командной строки для указания опций автоматизированной установки, можно использовать минимальный набор параметров, как показано в следующем примере:
dcpromo /unattend /replicaOrNewDomain:replica
/replicaDomainDNSName: contoso. com /installDNS: yes /confi rmGC: yes
Занятие 1 |
|
Установка контроллеров домена 48"| |
/databasePath:"e-.\ntds" /logPath: "f:\ntdslogs" /sysvolpath:"g:\sysvor /safeModeAdminPassword:пароль /rebootOnCompletion:yes
Если вы вошли на сервер, не используя доменную учетную запись, укажите также параметры userdomain и username. Далее показано содержимое файла ответов с минимальным набором параметров для установки дополнительного контроллера домена.
[DCINSTALL]
ReplicaOrNewDomain=replica ReplicaDoraainDNSName=F(?DA/-H«3 присоединяемого домена
UserDomain=FO/W-HMfl домена с учетной записью пользователя \}5егКате=Д0МЕН\имя_пользователя (в группе Администраторы домена)
Password-пароль пользователя, указанного в параметре UserName (• для открытия окна ввода пароля)
InstallDNS=yes
ConfirmGC=yes
DatabasePath="nyrb к папке в локальном томе" LogPath="nyrb к папке в локальном томе" SYSVOLPath=" путь к папке в локальном томе"
SafeModeAdminPassword^пароль RebootOnCompletion=yes
Установка нового дочернего домена Windows Server 2008
Если у вас есть домен, вы можете создать новый, дочерний домен путем установки контроллера домена Windows Server 2008. Однако перед этим необходимо запустить команду Adprep /forestprep, как описано в подразделе «Установка первого контроллера Windows Server 2008 в существующем-лесу или домене».
Затем установите службы AD DS, запустите Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard) и на странице Выберите конфигурацию развертывания (Choose A Deployment Configuration) щелкните опцию Существующий лес (Existing Forest), а затем — опцию Создать новый домен в существующем лесу (Create A New Domain In An Existing Forest). Вы должны указать функциональный уровень домена.
Поскольку вы устанавливаете первый контроллер в домене, он не может быть контроллером R O D C и устанавливаться с носителя. Если на странице приветствия установить флажок Использовать расширенный режим установки (Use Advanced Mode Installation), мастер откроет страницу Исходный контроллер домеиа (Source Domain Controller), где можно указать контроллер домена, чтобы реплицировать с него разделы конфигурации и схемы.
С помощью команды Dcpromo.exe можно создать дочерний домен с минимальным набором параметров:
dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:child /ParentDomainDNSName:contoso.com
/newDomainDnsName:subsidiary.contoso.com /childName:subsidiary /DomainNetbiosName:subsidiary