3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory

продолжительность отключения хозяина операций от сети. Если хозяина операций можно отключить от сети на достаточный период времени, подождите. Время ожидания зависит от влияния отказавшей роли на среду.

•Отказ хозяина R I D В результате такого отказа контроллеры домена не могут создавать новые SID-идентификаторы и поэтому не позволяют создавать новые учетные записи для пользователей, групп или компьютеров. Но контроллеры домена получают достаточно большой пул RID-идентифи- каторов от хозяина RID, так что если вы не генерируете множество новых учетных записей, то некоторое время сможете обойтись без хозяина RID, пока он будет восстанавливаться в автономном режиме. Отзыв этой роли на другой контроллер домена будет радикальным решением. После отзыва роли хозяина RID контроллер домена, ранее выполняющий эту роль, нельзя вновь подключить к сети.

Хотя эти роли можно переносить с помощью административных инструментов, для отзыва роли необходимо использовать утилиту Ntdsutil.exe. Для отзыва роли хозяина операций выполните следующие действия.

1.В окне командной строки введите команду ntdsutil и нажмите клавишу Enter.

2.В строку ntdsutil введите команду roles и нажмите Enter.

Вследующем шаге устанавливается подключение к контроллеру домена, который будет выполнять роль отдельного хозяина операций.

3.В строку fsmo maintenance введите команду connections и нажмите клавишу Enter.

4.В строку server connections введите команду connect to server FQDN_UMX_

контроллера_домена и нажмите Enter.

В команде нужно указать FQDN - имя контроллера домена, который будет играть эту роль.

Утилита Ntdsutil сообщит о подключении к серверу.

5.В строку server connections введите команду quit и нажмите клавишу Enter.

6.В строку fsmo maintenance введите команду seize роль и нажмите Enter. Укажите одну из следующих ролей.

A. Мастер схемы.

Б. Мастер именования доменов. B. Мастер RID.

Г.PDC .

Д. Мастер инфраструктуры.

7.В строку fsmo maintenance введите команду quit и нажмите клавишу Enter.

8.В строку ntdsutil введите команду quit и нажмите Enter.

Возврат роли прежнему владельцу

Чтобы обеспечить запланированное время простоя контроллера домена в случае переноса, а не отзыва роли, эту роль можно перенести обратно на исходный контроллер домена.

Если же роль была отозвана и прежнего хозяина можно вновь подключить к сети, эту операцию следует выполнять очень осторожно. Только роли хозяина •PDC-эмулятора и хозяина инфраструктуры можно вернуть обратно прежнему хозяину после их отзыва.

После отзыва ролей хозяев схемы, именования доменов и RID соответствующие контроллеры домена необходимо полностью вывести из среды.

I После отзыва на другие контроллеры домена ролей хозяев схемы, именования доменов и RID исходные контроллеры домеиа необходимо полностью вывести из эксплуатации. Это означает, что исходного владельца роли нужно физически отключить от сети и удалить службы AD DS с помощью команды Dcpromo /forceremoval. Кроме того, необходимо очистить метаданные для этого контроллера домена, как описано в статье, хранящейся по адресу http:// go.microsoft.com/fwlink/?Linkld"80481.

3.Щелкните правой кнопкой мыши домен contoso.com и примените команду Хозяева операций (Operations Masters).

4.Просмотрите вкладки каждого хозяина операций.

На этих вкладках указано, что контроллеры домена в настоящее время выполняет отдельные роли хозяев операций домена: PDC-эмулятора, хозяина RID и хозяина инфраструктуры (Infrastructure).

5.Щелкните кнопку Закрыть (Close).

6.Откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).

7.Щелкните правой кнопкой мыши корневой узел оснастки Active Directory — домены и доверие (Active Directory Domains And Trusts) и примените команду Хозяин операций (Operations Master).

В открывшемся диалоговом окне указан контроллер домена, играющий роль хозяина именования доменов.

8. Щелкните кнопку Закрыть (Close).

12.В меню Консоль (File) выберите команду Добавить или удалить оснастку (Add/Remove Snap-In).

13.В списке Доступные оснастки (Available snap-ins) выберите оснастку Схема Active Directory (Active Directory Schema), щелкните кнопку Добавить (Add), а затем щелкните ОК .

14.Щелкните правой кнопкой мыши корневой узел оснастки Схема Active Directory (Active Directory Schema) и примените команду Хозяин операций (Operations Master).

В открывшемся диалоговом окне указан контроллер домена, в настоящее время играющий роль хозяина схемы.

15.Щелкните кнопку Закрыть (Close).

16.Откройте командную строку, введите команду netdom query fsmo и нажмите клавишу Enter.

Будут перечислены все операции мастера.

Упражнение 2. Перенос роли хозяина операций

В этом упражнении вы подготовите отключение хозяина операций от сети, перенеся его роль на другой контроллер домена. Затем вы эмулируете отключение

| от сети, обратное подключение к сети и возврат роли хозяина операций.

•Роль можно перенести с помощью инструментов интерфейса Windows или утилиты Ntdsutil.exe. Перенос роли рекомендуется как метод управления хозяевами операций.

•Роль можно отозвать с помощью утилиты Ntdsutil.exe. Эту операцию следует выполнять, только если прежнего хозяина роли долго нельзя будет подключить к сети. Только роли PDC-эмулятора и хозяина инфраструкту-

ры можно перенести обратно после подключения прежнего хозяина роли к сети. Контроллеры'домена, управляющие схемой, RID или именованием доменов, после отзыва их ролей необходимо полностью переустановить.

Закрепление материала

Следующие вопросы можно использовать для проверки знаний, полученных на занятии 2. Эти же вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1.Вы работаете администратором в компании Contoso, Ltd. Домен contoso.com состоит из двух узлов. В главном офисе один контроллер домена SERVER01 служит сервером глобального каталога GC и выполняет все пять ролей хозяев операций. Второй контроллер домена в главном офисе, SERVER02, — не сервер GC и не выполняет роли хозяев операций. В филиале контроллер домена SERVER03 также служит сервером GC. Какое изменение нужно внести в размещение ролей хозяев операций?

A.Перенести роль хозяина инфраструктуры на SERVER03. Б. Перенести роль хозяина RID на SERVER02.

B.Перенести роль хозяина схемы на SERVER02,

Г.Перенести роль хозяина именования доменов на SERVER03.

Д.Перенести роль хозяина инфраструктуры на SERVER02.

2.Вы работаете администратором в компании Contoso, Ltd. Лес компании состоит из двух доменов — contoso.com и windows.contoso.com. В настоящее время компьютер SERVER02.windows.contoso.com выполняет все пять ролей хозяев операций. Вы собираетесь удалить домен windows.contoso.com

ипереместить ,зсе учетные записи в домен contoso.com. Вам необходимо перенести все роли хозяев операций на SERVER01.contoso.com. Какие роли хозяев операций следует перенести? (Укажите все варианты.)

A.Хозяин инфраструктуры.

Б.PDC-эмулятор. B. Хозяин RID.

Г. Хозяин схемы.

Д. Хозяин именования доменов.

3. Вы работаете администратором в компании Contoso, Ltd. Домен contoso. com содержит пять контроллеров. Вам нужно переместить роли хозяев операций домена на SERVER02.contoso.com. Какие хозяева должны быть перемещены? (Укажите все варианты.)

A.Хозяин инфраструктуры. Б. PDC-эмулятор.

B.Хозяин RID.

Г. Хозяин схемы.

Д. Хозяин именования доменов.

Занятие 3. Настройка репликации DFS папки SYSVOL

Папка SYSVOL по умолчанию размещена по адресу %SystemRoot%\SYSVOL и содержит сценарии входа, шаблоны групповой политики G P T (Group Policy Templates) и другие ресурсы, необходимые для поддержки работоспособности домена Active Directory и управления им. В идеале папка SYSVOL должна быть согласована на всех контроллерах домена. Но время от времени в объекты групповой политики и сценарии входа вносятся изменения, причем они должны эффективно реплицироваться на все контроллеры домена. В предыдущих версиях Windows для репликации содержимого SYSVOL среди контроллеров домена использовалась служба репликации файлов RFS. Репликация RFS имеет ограничения пропускной способности и производительности, которые могут привести к прерыванию работы службы. К сожалению, устранять неполадки RFS довольно сложно. В доменах Windows Server 2008 репликацию содержимого SYSVOL можно выполнять с помощью DFS-R. На этом занятии мы рассмотрим миграцию SYSVOL с FRS на DFS-R.

Изучив материал этого занятия, вы сможете:

^Повысить функциональный уровень домена.

^Осуществить миграцию репликации SYSVOL с FRS на DFS-R.

Продолжительность занятия — около 60 мин.

Повышение функционального уровня домена

В главе 12 мы рассмотрим функциональные уровни леса и домена. Функциональный уровень домена — это параметр, который, с одной стороны, ограничивает поддержку операционных систем как контроллеров домена, а с другой — добавляет в Active Directory дополнительную функциональность. Домен с контроллером Windows Server 2008 может работать на трех функциональных уровнях: Windows 2000, Windows 2003 и Windows 2008. На уровне домена Windows 2000 можно использовать контроллеры Windows 2000 и Windows 2003, на уровне Windows Server 2003 — контроллеры Windows 2003, а на уровне Windows Server 2008 — только контроллеры домена Windows Server 2008.

При повышении функционального уровня включаются новые возможности Active Directory. Например, на функциональном уровне Windows Server 2008 для репликации SYSVOL можно использовать DFS-R. Простого обновления

всех контроллеров до Windows Server 2008 недостаточно: вы должны повысить функциональный уровень домена. Для этого применяется оснастка Active Directory — домены и доверие (Active Directory Domain And Trusts). Щелкните домен правой кнопкой мыши и примените команду Изменение режима работы домена (Raise Domain Functional Level). Затем выберите функциональный уровень Windows Server 2008 и щелкните кнопку Повысить (Raise). После назначения функционального уровня Windows Server 2008 в домен нельзя добавлять контроллеры Windows Server 2003 и Windows 2000 Server. Но функциональный уровень связан только с операционными системами контроллеров домена, а на рядовых серверах и рабочих станциях можно использовать Windows Server 2003, Windows 2000 Server, Windows Vista, Windows XP

иWindows 2000 Workstation.

Контрольный вопрос

•Вы работаете администратором в компании Northwind Traders. Домен компании состоит из трех контроллеров. Вы обновили два из них до Windows Server 2008. Третий контроллер все еще использует систему Windows Server 2003. Вам нужно установить для папки SYSVOL репликацию DFS-R Что для этого нужно сделать?

Ответ на контрольный вопрос

•Вы должны обновить третий контроллер домена до Windows Server 2008, а затем повысить функциональный уровень домена до Windows Server 2008.

Стадии миграции

Поскольку папка SYSVOL играет ключевую роль в поддержке работоспособности и функциональности домена, Windows не предоставляет механизм для мгновенного преобразования репликации SYSVOL из FRS в DFS-R При миграции на DFS-R создается параллельная структура SYSVOL. После успешного размещения параллельной структуры клиенты перенаправляются в нее как в системный том домена, а после успешного выполнения этой операции можно исключить репликацию FRS.

Таким образом, миграция через механизм репликации DFS-R состоит из четырех стадий, или состояний.

Занятие 3 Настройка репликации DFS папки SYSVOL 507

Повторяйте это шаг, чтобы все контроллеры домена перешли в указанное состояние.

Данная операция может занять от 15 мин до нескольких часов. 8. Введите команду dfsrmig /setglobalstate 2.

9.Введите команду dfsrmig/getmigrationstate, чтобы запросить ход миграции контроллера домена в глобальное состояние Перенаправлено (Redirected). Повторяйте этот шаг, чтобы все контроллеры домеиа перешли в указанное состояние.

Этот процесс может занять от 15 мин до нескольких часов.

10.Введите команду dfsrmig /setglobalstate 3.

После начала миграции из состояния 2 (Подготовлено (Prepared)) в состояние 3 (Перенаправлено (Replicated)) все изменения, внесенные в папку SYSVOL, придется реплицировать вручную в папку SYSVOL_DFSR.

11.Введите команду dfsrmig /getmigrationstate для запроса хода миграции контроллера домена в глобальное состояние Удалено (Eliminated). Повторяйте это шаг, чтобы все контроллеры домена перешли в это состояние.

Этот процесс может занять от 15 мин до нескольких часов.

Чтобы получить более подробные сведения об утилите Dfsrmig.exe, введите команду dfsrmig.exe /?.

Практические занятия. Настройка репликации DFS папки SYSVOL

В предложенных далее упражнениях вы поэкспериментируете с репликацией SYSVOL и выполните миграцию с механизма репликации FRS на DFS-R. Затем вы проверите репликацию SYSVOL механизмом DFS-R.

В других упражнениях данного руководства необходим функциональный уровень леса Windows Server 2008. Для выполнения упражнений этого занятия необходим домен в режиме работы Windows Server 2003, так что вы должны создать новый лес на функциональном уровне Windows Server 2008, состоящий из одного домена в режиме Windows Server 2003 и содержащий два контроллера домена. Д л я подготовки к упражнениям выполните следующие задания.

•Установите сервер Windows Server 2008 (полная установка), присвойте ему имя SERVER01. Далее описана нужная конфигурация:

•членство в рабочей группе: WORKGROUP;

•1Ру4-адрес: 10.0.0.11;

•маска подсети: 255.255.255.0;

•основной шлюз: 10.0.0.1;

•DNS-сервер: 10.0.0.11.

•Для установки Windows Server 2008 можете использовать инструкции, приведенные на занятии 1 главы 1.

•Установите SERVER01 как контроллер домена в новом лесу contoso.com. Выберите функциональные уровни леса и домена Windows Server 2003. Разрешите Мастеру установки доменных служб Active Directory (Active