3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf' 478 Контроллеры домена
/databasePath: "е:\ntds" /logPath:"f:\ntdslogs" /sysvolpath: "g:\sysvol" /safeModeAdminPassword:пароль /forestLevel:3 /domainl_evel:3 /rebootOnCompletion:yes
Следующий файл ответов содержит тот же минимальный набор параметров:
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=child
ParentDomainDNSName=FODA/-HMH родительского домена
UserDomain=FQDN-»fMH пользователя, указанного в параметре UserName UserName= ДОНЕН\имя_пользователя (в группе администраторов в домене,
указанного в параметре ParentDomainDNSName)
Password=nap£Wb пользователя, указанного в параметре UserName » открытия окна ввода пароля
ChildName=npe0n/cc домена |
|
|
|
|
(FODN-именем дочернего домена |
будет ChildName.ParentDomainDNSNaine) |
|
|
|
DomainNetBiosName=KMB NetBIOS домена |
|
|
|
|
0жаш1ече1=функциональный уровень домена (не |
ниже текущего уровня |
леса) |
|
|
InstallDNS=yes |
|
|
|
|
CreateDNSDelegation=yes |
пользователя |
с правом на создание |
делегирования |
DNS, |
DNSDelegationUserName=;?0Af£//\MMH |
||||
если оно отличается от имени в параметре UserName выше |
|
|
||
DNSDelegationPassword=napo;ib пользователя DNSDelegationUserName'.* для открытия |
окна |
|||
ввода пароля |
|
|
|
|
DatabasePath="nyn> к папке в локальном томе"
LogPath="nyrb к папке в локальном томе"
SYSVOLPath="nyTb к папке в локальном томе"
SafeModeAdminPassword=nap£Wb
RebootOnCompletion=yes
Установка нового доменного дерева
Как мы говорили в главе 1, в лесу Active Directory дерево состоит из одного или нескольких доменов, которые совместно используют непрерывное пространство имен DNS. Например, домены contoso.com и sudsidiary.contoso.com могут составлять одно дерево. Дополнительные деревья — это всего лишь дополнительные домены, расположенные в различных пространствах имен. Например, если компания Contoso, Ltd приобретет компанию Tailspin Toys, домен tailspintoys.com будет расположен в отдельном дереве домена. Функциональная разница между дочерним доменом и доменом в еще одном дереве Незначительна, поэтому создание нового дерева очень похоже на создание нового домена.
Во-первых, вы должны запустить команду Adprep /forestprep, как описано в подразделе «Установка первого контроллера домена Windows Server 2008 в существующем лесу или домеНе». Затем вы можете установить службы AD DS и запустить Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). На странице приветствия мастера необходимо установить флажок Использовать расширенный режим установки (Use Advanced Mode Installation). На странице Выберите конфигурацию развертыва-
домена с правом записи в неуправляемой и незащищенной среде. Довольно часто в филиалах нет персонала технической поддержки IT. Как тогда создать контроллер домена в филиале?
Для решения этой задачи в Windows Server 2008 можно создать промежуточную или делегированную установку RODC . Этот процесс состоит из двух стадий.
м |
Создание учетной записи для R O D C Член группы Администраторы до- |
|
мена (Domain Admins) создает учетную запись для R O D C в Active Direc- |
|
tory. В это время задаются параметры RODC: имя, сайт Active Directory, |
|
где будет создан RODC, и, опционально, пользователь или группа с правом |
|
завершения следующего этапа установки. |
• |
Прикрепление сервера к учетной записи R O D C После создания учетной |
|
записи выполняется установка служб AD DS и контроллер R O D C прикреп- |
|
ляется к домену. Эти операции могут выполнять пользователи или группы, |
|
указанные при создании учетной записи R O D C . Таким пользователям не |
|
требуется членство в привилегированных группах. Сервер также может |
|
прикрепить член группы Администраторы домена (Domain Admins) или |
|
Администраторы предприятия (Enterprise Admins), однако возможность |
|
делегировать эти задачи непривилегированному пользователю намного |
|
упрощает развертывание контроллеров R O D C в филиалах без поддержки |
|
IT. Контроллер домена будет реплицировать свои данные с еще одного |
|
пишущего контроллера в домене или вы можете использовать метод уста- |
|
новки с носителя IFM, описанный в подразделе «Установка служб AD DS |
|
с носителя». |
ПРИМЕЧАНИЕ Повышение ранга сервера из рабочей группы
При создании контроллера RODC с помощью промежуточной установки (прикрепления RODC к промежуточной учетной записи) сервер должен быть членом рабочей группы, а не домена, когда запускается команда Dcpromo.exe или мастер установки доменных служб Active Directory. Мастер выполнит в домене поиск существующей учетной записи с соответствующим именем и прикрепит к ней RODC.
Предварительное создание учетной записи для контроллера RODC
Чтобы создать учетную запись для контроллера R O D C , в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) щелкните правой кнопкой мыши подразделение Domain Controllers и примените команду Создать заранее учетную запись контроллера домена только для чтения (Pre-Create Read-Only Domain Controller Account). Запустится мастер, очень похожий на мастер установки доменных служб Active Directory. Вам понадобится указать имя контроллера R O D C и сайт. Вы также можете отконфигурировать политику репликации паролей, как описано в главе 8.
На странице Делегирование установки и администрирования RODC (Delegation Of RODC Installation And Administration) можно указать один принципал безопасности (пользователя или группу), который может прикрепить сервер
Занятие 1 |
|
Установка контроллеров домена |
48"| |
к учетной записи R O D C . После установки этот пользователь или группа также получит права локального администратора RODC. Рекомендуется делегировать установку и администрирование группе, а не пользователю. Если вы не укажете пользователя или группу, прикрепить сервер к учетной записи смогут только члены групп Администраторы домена (Domain Admins) или Администраторы предприятия (Enterprise Admins).
К СВЕДЕНИЮ |
Предварительное создание учетных записей RODC |
Учетные записи RODC можно предварительно создавать с помощью команды Dcpromo.exe с многочисленными параметрами или посредством файла ответов для команды Dcpromo.exe. Инструкции можно найти по адресу http://technet2.microsoft. com/windowsserver2008/en/library//349e1e7-c3ce-4850-9e50-d8886c866b521033. mspx?m/r=true.
Прикрепление сервера к учетной записи RODC
Кпредварительно созданной учетной записи можно прикрепить сервер. Вы не сможете просто запустить мастер установки доменных служб Active Directory, для этого необходимо ввести команду dcpromo /useexistingaccount:attach. Мастер потребует указать сетевые учетные данные, а затем выполнит в домене поиск учетной записи R O D C в соответствии с указанными учетными данными. Остальные шаги мастера практически не отличаются от стандартных операций повышения ранга сервера до уровня контроллера домена.
В файле ответов нужно указать следующие параметры и значения:
[DCINSTALL]
ReplicaDomainDNSName=FOOA/-«MH домена, к которому присоединяется сервер UserDomain=FODAl-KMH пользователя, указанного в параметре UserName UserName= Д0МЕН\имя пользователя (в группе администраторов домена) Passmrti=naponb пользователя, указанного в параметре UserName
InstallDNS=yes
ConfirmGC=yes
DatabasePath="nyrb к папке в локальном томе" LogPath="лугь к папке в локальном томе" SYSVOLPath="nyTb к папке в локальном томе"
SafeModeAdminPassword=napo.№
RebootOnCompletion=yes
Запустите команду Dcpromo с параметрами unattend:"nymb к файлу ответов"
и UseExistingAccount:Attach, как показано в следующем примере: dcpromo /useexistingaccount:attache /unattend:"с:\rodcanswer. txt"
Все параметры в приведенном выше файле ответов можно также указать или заменить прямо в командной строке. Достаточно ввести такую команду: dcpromo /unattend /UseExistingAccount:Attach /ReplicaDoinainDNSName:contoso.com
/UserDomain:contoso.com /UserName:contoso\dan /password:» /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g: \sysvol" /safeModeAdminPassword:пароль /rebootOnCompletion:yes
' 482 |
Контроллеры домена |
Глава ю |
|
|
Контрольный вопрос
•Вы администрируете домен, содержащий контроллеры Windows Server 2003. Вам необходимо разрешить менеджеру удаленного сайта повысить ранг рядового сервера в удаленном узле до уровня контроллера RODC. Вы не хотите предоставлять этому менеджеру привилегии администратора домена. Что следует предпринять вам и менеджеру?
Ответ на контрольный вопрос
•Чтобы подготовить домен к включению RODC, нужно запустить команду Adprep /rodcprep. Затем необходимо предварительно создать учетную запись RODC, делегировав менеджеру задачу прикрепления контроллера домена к этой учетной записи. Чтобы прикрепить сервер к учетной записи, менеджер запустит команду Dcpromo.exe с параметром UseExistingAccount, но перед этим сервер должен быть удален из домена и помещен в рабочую группу.
Установка служб AD DS с носителя
При добавлении контроллеров доменов в лес данные из существующих разделов каталога реплицируются на новый контроллер домена. В среде с большим каталогом или ограничением полосы пропускания'для репликации между новым контроллером домена и пишущим контроллером домена службы AD DS можно установить быстрее с помощью носителя. Чтобы выполнить установку с носителя (Installation From Media, IFM), необходимо создать этот носитель установки — специальную резервную копию Active Directory, которую мастер установки доменных служб Active Directory может использовать как источник данных для заполнения каталога нового контроллера домена. Затем новый контроллер домена реплицирует только обновления с еще одного пишущего контроллера домена, так что при использовании недавно созданного носителя установки можно свести к минимуму репликацию нового контроллера домена.
Помните, что на новый контроллер домена нужно реплицировать не только каталог, но и папку SYSVOL. Последнюю можно включить в создаваемый носитель установки.
Используя установки с носителя, можно контролировать по времени влияние репликации на пропускную способность сети. Например, вы можете создать установочный носитель и в нерабочее время переместить его в удаленный узел, а затем в рабочее время создать контроллер домена. Поскольку носитель установки находится в локальном узле, влияние репликации на сеть будет меньше, а через подключение к удаленному узлу будут реплицироваться только обновления.
Чтобы создать установочный носитель, откройте окно командной строки на пишущем контроллере домена Windows Server 2008. Установочный носитель обеспечивает межплатформенную совместимость. Запустите команду Ntdsutil. ехе, а затем в командной строке ntdsutil введите команду activate instance ntds
Занятие 1 |
Установка контроллеров домена 48"| |
и команду if т. |
В командной строке ifm: введите одну из' следующих команд |
в зависимости от типа установочного носителя, который хотите создать.
•create sysvolfull путь Создает установочный носитель с папкой SYSVOL для пишущего контроллера домена в папке по указанному пути.
•create full путь Создает установочный носитель без папки SYSVOL для пишущего контроллера домена или экземпляра служб облегченного доступа к службам каталогов (Active Directory Lightweight Directory Services, AD LDS) в папке по указанному пути.
•create sysvol rode путь Создает установочный носитель с папкой SYSVOL для контроллера домена лишь с правом чтения (RODC) в папке по указанному пути.
•create rode путь Создает установочный носитель без папки SYSVOL для контроллера домена лишь с правом чтения (RODC) в папке по указанному пути.
При запуске Мастера установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard) установите на странице приветствия флажок Использовать расширенный режим установки (Use Advanced Mode Installation), чтобы позже мастер открыл страницу Установка с носителя (Install From Media). Выберите параметр Реплицировать данные с носителя
вследующем расположении (Replicate Data From Media At The Following Location). Вы можете использовать параметр установки ReplicationSourcePath
вфайле ответов или команде Dcpromo.exe.
ПРИМЕЧАНИЕ
В упражнении 3 из подраздела практических упражнений в конце этого занятия пошагово описан процесс создания установочного носителя с помощью команды
Ntdsutil.exe.
Удаление контроллера домена
Контроллер домена можно удалить с помощью команды Dcpromo.exe, запускающей мастер установки AD DS, или путем указания параметров в командной строке или файле ответов. При удалении контроллера, подключенного к домену, метаданные леса дополняются информацией об удалении контроллера домена.
К СВЕДЕНИЮ |
Удаление контроллера домена |
Подробные инструкции по удалению контроллера домена можно найти по адресу http://technet2.microsoft.com/windowsserver2008/rn/library/9260bb40-a808-422f-b33b- c3d2330f5eb81033.mspx.
Если контроллер домена требуется удалить без подключения к домену, нужно использовать параметр принудительного удаления команды Dcpromo.exe. Введите команду dcpromo /forceremoval, после чего запустится мастер установки
• 484 |
Контроллеры домена |
Глава 10 |
AD DS для выполнения шагов процесса. Появятся предупреждения относительно ролей, управляемых контроллером домена. Прочитайте каждое предупреждение и щелкните кнопку Да (Yes). Предупреждения можно отключить с помощью параметра demotefsmoyes команды Dcpromo.exe. После удаления контроллера домена необходимо вручную очистить метаданные леса.
К СВЕДЕНИЮ Очистка метаданных
Информацию об очистке метаданных можно найти в статье 216498 базы знаний Microsoft по адресу http://go.microsoft.com/fzdink/?LinkId"80481.
Практические занятия. Установка контроллеров доменов
В предложенных далее упражнениях вы установите дополнительный контроллер в домене contoso.com. Вы установите службы AD DS и отконфигурируете дополнительный контроллер домеиа с помощью мастера установки доменных служб Active Directory. Вы не будете завершать установку, а вместо этого сохраните параметры в файле ответов. Затем вы используете эти параметры для автоматизированной установки, применив команду Dcpromo.exe с параметрами установки.
Для выполнения упражнений вам понадобится второй сервер с полной установкой Windows Server 2008. Следует присвоить этому серверу имя SERVER02 и присоединить его к домену contoso.com. Его конфигурация должна быть следующей:
•1Ру4-адрес: 10.0.0.12;
•маска подсети: 255.255.255.0;
•основной шлюз: 10.0.0.1;
•DNS-сервер: 10.0.0.11.
Упражнение 1. Создание дополнительного контроллера д о м е н а
спомощью мастера установки доменных с л у ж б Active Directory
Вэтом упражнении вы используете мастер установки доменных служб Active Directory (Dcpromo.exe) для создания дополнительного контроллера в домене contoso.com. Но вы не будете завершать установку, а сохраните параметры в файле ответов, который используете в следующем упражнении.
1. Войдите на машину SERVER02 как С ( Ж Т О З О \ А д м и н и с т р а т о р .
2.Щелкните кнопку Пуск (Start), затем команду Выполнить (Run), введите команду Dcpromo.exe и нажмите клавишу Enter.
3.Щелкните кнопку Далее (Next).
4.На странице Совместимость операционных систем (Operating System Compatibility) прочитайте предупреждение о параметрах безопасности контроллеров домена Windows Server 2008 по умолчанию, а затем щелкните кнопку Далее (Next).
5.На странице Выберите конфигурацию развертывания (Choose A Deployment Configuration) щелкните опцию Существующий лес (Existing Forest), затем
• 486 |
Контроллеры домена |
Глава 10 |
18.Щелкните ОК.
19.На странице Сводка (Resume) щелкните кнопку Отмена (Cancel).
20.Щелкните кнопку Да (Yes), чтобы подтвердить отмену установки контроллера домена.
Упражнение 2. Добавление контроллера домена в окне командной строки
В данном упражнении вы проанализируете файл ответов, созданный в упражнении 1. Вы используете параметры файла ответов для установки дополнительного контроллера домена с помощью команды Dcpromo.exe в командной строке.
1.Откройте файл AdditionalDC.txt, созданный в упражнении 1.
2.Проанализируйте ответы в файле. Можете ли вы сказать, что означают отдельные параметры?
Пояснение: строки, начинающиеся с точки с запятой, — это комментарии или неактивные строки, превращенные в комментарии.
3.Откройте окно командной строки.
Вы построите команду с помощью параметров в файле ответов. Разместите окна таким образом, чтобы видеть содержимое окна Блокнот (Notepad)
и окно командной строки, или распечатайте файл ответов.
4.В командной строке определите команду для установки контроллера домена с конфигурацией, содержащейся в файле ответов.
Параметры в командной строке указываются в формате /параметр:значение,
ав файле ответов — в формате параметр=значение:
5.Введите команду (укажите в этой команде сложный пароль): dcpromo /unattend /replicaornewdomain: replica /replicadomaindnsnaiiie:contoso. com /sitename:Default-First-Site-Name /installDNS:No /confirmGC:No /CreateDNSDelegation:No
/databasepath: "C:\Windows\NTDS" /logpath: "C:\Windows\NTDS" /sysvolpath: "C :\Windows\SYSV0L" /safemodeadminpassword': пароль /transferimroleifnecessary:no
и нажмите клавишу Enter. .
6.После завершения установки сервер перезагрузится.
Упражнение 3. Создание установочного носителя
Вы можете снизить объем репликации, необходимый для создания контроллера домена, установив контроллер домена с помощью носителя установки. Вам потребуется носитель установки, который содержит архив Active Directory.
Вэтом упражнении вы создадите носитель установки.
1.Войдите на машину SERVER01 как Администратор (Administrator).
2.Откройте окно командной строки.
3.Введите команду ntdsutil и нажмите клавишу Enter.
4.Введите команду activate instance ntds и нажмите клавишу Enter.