Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Книга Active directory

.pdf

Скачиваний:

235

Добавлен:

02.02.2021

Размер:

8.2 Mб

Скачать

☆

<<< < Предыдущая 42 43 44 45 46 47 48 49 50 51 52 5354 / 9654 55 56 57 58 59 60 61 62 63 64 65 66 > Следующая >>>

• 508

Контроллеры домена

Глава 10

Directory Domain Services Installation Wizard) установить DNS на контроллере домена.

•Для повышения уровня рядового сервера до ранга контроллера домена используйте инструкции из упражнения 1 занятия 1 в главе 1. Не забудьте вы-

брать для леса и домена функциональный уровень Windows Server 2003. I Установите второй сервер Windows Server 2008 (полная установка) и присвойте ему имя SERVER02. Далее описана требуемая конфигурация:

очленство в рабочей группе: W O R K G R O U P ;

о1Ру4-адрес: 10.0.0.12;

омаска подсети: 255.255.255.0;

оосновной шлюз: 10.0.0.1;

оDNS-сервер: 10.0.0.11.

•Для установки Windows Server 2008 можете воспользоваться инструкция-

ми, изложенными на занятии 1 главы 1.

•Установите SERVER02 как дополнительный контроллер в домене contoso.

com. Не устанавливайте на нем сервер каталогов GC или DNS-сервер.

•Для повышения уровня SERVER02 до ранга контроллера домена используйте инструкции из упражнения 1, выполняемого в главе 1 в рамках занятия 1.

Упражнение 1. Эксперименты с репликацией S Y S V O L

Вэтом упражнении вы поэкспериментируете с репликацией SYSVOL, добавив

вобщий ресурс NETLOGON сценарий входа и проверив его репликацию на другой контроллер домена.

1.Войдите на машину SERVER01 как Администратор (Administrator).

2.Откройте папку %SystemRoot%\Sysvol\Domain\Scripts.

3.Создайте новый текстовый файл Sample Logon Script.

4.Войдите на машину SERVER02 как администратор.

5.Откройте папку %SystemRoot%\Sysvol\Domain\Scripts.

6.Убедитесь, что этот текстовый файл реплицирован в папку Scripts на машине SERVER02.

Упражнение 2. Подготовка к миграции на репликацию DFS- R

Для миграции репликации SYSVOL на механизм DFS - R домен должен содержать лишь контроллеры Windows Server 2008 и работать на функциональном уровне Windows Server 2008. В этом упражнении вы убедитесь, что миграция на DFS-R не поддерживается на других функциональных уровнях домена. Вы также установите административные инструменты DFS.

1.На машине SERVER01 откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).

2.Щелкните правой кнопкой мыши домен contoso.com и примените команду Изменение режима работы домена (Raise Domain Functional Level).

Занятие 3

Настройка репликации DFS папки SYSVOL

509

3.Убедитесь, что текущий режим работы домена — Windows Server 2003.

4.Закройте диалоговое окно, не повышая функциональный уровень.

5.Откройте окно командной строки.

6.Введите команду dfsrmig /getglobalstate и нажмите клавишу Enter.

Появится сообщение о том, что команда Dfsrmig поддерживается только

в доменах на функциональном уровне Windows Server 2008.

7.Откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).

8.Щелкните правой кнопкой мыши домен contoso.com и примените команду Изменение режима работы домена (Raise Domain Functional Level).

9.Убедитесь, что в списке Выберите доступный режим домена (Select An Available Domain Functional Level) указан режим Windows Server 2008.

10.Щелкните кнопку Повысить (Raise). Щелкните OK, чтобы подтвердить повышение.

Появится сообщение об успешном повышении функционального уровня.

11.Щелкните О К .

12.В окно командной строки введите команду dfsrmig/getglobalstate и нажмите клавишу Enter.

Появится сообщение о том, что миграция DFS-R пока не инициализирована.

Упражнение 3. Миграция репликации SYSVOL на DFS-R

В данном упражнении вы осуществите миграцию репликации SYSVOL с механизма репликации FRS на DFS-R.

1.На машине SERVER01 откройте окно командной строки.

2.Введите команду dfsrmig /setglobalstate 0 и нажмите клавишу Enter. Появится следующее сообщение:

Текущее глобальное состояние DFSR: "Удалено" Новое глобальное состояние DFSR: "Пуск" Запрошено недопустимое изменение состояния

Состоянием по умолчанию уже будет 0 "Пуск" ('Start'), поэтому команда недействительна. Однако эта команда служит инициализатором миграции DFS-R.

3.Введите команду dfsrmig /getglobalstate и нажмите клавишу Enter. Появится следующее сообщение:

Текущее глобальное состояние DFSR: "Удалено" Успешно

4.Введите команду df srmig /getmigrationstate и нажмите клавишу Enter. Появится следующее сообщение:

Все контроллеры домена, успешно мигрировали а глобальное состояние ("Удалено") Состояние миграции согласовано на всех контроллерах домена.

Успешно

5.Введите команду dfsrmig /setglobalstate 1 и нажмите клавишу Enter.

• 5 1 0	Контроллеры домена	Глава 10
		Глава 10

Появится следующее сообщение:
Текущее глобальное состояние DFSR: "Удалено"
Новое	глобальное	состояние	DFSR: "Подготовлено"
Будет	выполнена	миграция в	состояние "Подготовлено". Служба		DFSR
скопирует содержимое SYSVOL в папку SYSV0L_DFSR.
Если один из контроллеров домена не может начать миграцию,
Попытайтесь выполнить опрос			вручную.
ИЛИ примените параметр /CreateGlobalObjects.
Миграция может выполняться			от 15 минут до 1	часа.
Успешно
6. Введите команду dfsrmig/getmigrationstate				и н а ж м и т е	к л а в и ш у Enter.

Появится сообщение с указанием состояния миграции каждого контроллера домена. Миграция может в ы п о л н я т ь с я до 15 мин . П о в т о р я й т е этот шаг, пока не получите следующее сообщение об у с п е ш н о й миграции в состояние "Подготовлено" ('Prepared'):

Все контроллеры домена успешно мигрировали в глобальное состояние ("Подготовлено").

Состояние миграции согласоаано на всех контроллерах домена. Успешно

При получении такого сообщения переходите к шагу 7.

Во время миграции в состояние "Подготовлено" вы можете получить одно из следующих сообщений:

Следующие контроллеры домена не синхронизированы с глобальным состоянием ("Удалено"):' Контроллер домена (состояние локальной миграции) - Тип ОС

SERVER01 ("Пуск") - Primary DC

SERVER02 ("Ожидание исходной синхронизации") - W r i t a b l e DC Состояние миграции еще не согласовано на всех контроллерах домена. Из-за задержек в AD сведения о состоянии могут быть неактуальными

или:

Следувщие контроллеры домена не синхронизированы с глобальным состоянием ("Подготовлено"):

Контроллер домена (состояние локальной миграции) - Тип, DC

SERVER01	("Пуск") -	Primary DC
SERVER02	("Ожидание	исходной синхронизации") - W r i t a b l e DC

Состояние миграции еще не согласовано на всех контроллерах домена. Из-за задержек в AD сведения о состоянии могут быть неактуальными

7.В программной группе Администрирование (Administrative Tools) откройте консоль Просмотр событий (Event Viewer) .

8.Разверните Журналы приложений и служб (Applications And Services Logs)

и выберите журнал репликация D F S ( D F S Replication).

9.Локализуйте событие с кодом 8014 и откройте его свойства. Вы увидите сведения (рис. 10-3).

Занятие 3

Настройка репликации DFS папки SYSVOL

5 11

Centra»]Detail*|

OfSRha»jucttMfOiyrwgraudthe.DcmiainControUerSERVER01tothe'PREPAREDit

TOCONTINUEMIGRATION:fyouchooietocontinuethei d ^ theREDIRECTED'лле.pleajenotethaartychange»migratiomadheproce»»nceforthandproceedtoi

locateat:C;\Windowi\SYSVO(v»+iichslunderNTTRS:hrenceforthplicatio*ffln)thenotSYSVOLbeupdated»h»re—i5 5YSVOL.DESRfolderlocatedatC;\W<ndow»\SYSVOl(whichDFSRч underDFSRreplication)

Toavoidthilpostioiiityfd»tiIon.pleasemakelurenofileJyrtemchange»ontheSYSVOL

logName.	DFSRepetition
	OFSft	logged: Ш7/2М8 5:55:1ЭРМ
EventЮ.	801*	TalkCategoiyNone
level;	Information	Keyword»:Ciaiuc
U»*n	N/A	Computer;SlRVEReLcontoio.com
OpCodt:

±1 J j

Рис. 10-3.		Событие DFS-R, указывающее успешную миграцию
в состояние "Подготовлено"
Введите		к о м а н д у		dfsrmig /setglobalstate 2	и	нажмите		клавишу	Enter.
Будет выведено с л е д у ю щ е е с о о б щ е н и е :
Текущее глобальное состояние OFSR: "Подготовлено"
Новое глобальное состояние DFSR: "Перенаправлено"
Будет выполнена миграция в состояние "Перенаправлено".							Общий ресурс SYSVOL share
будет заменен папкой SYSVOL_DFSR.
Если во	время		миграции из состояния "Подготовлено" в				состояние "Перенаправлено"
в общий	ресурс		SYSVOL	вносились изменения, с	помощью		команды robocopy скопируйте
изменения из папки SYSVOL в папку SYSVOL_DFSR на любом реплицируемом RWDC.
Успешно
10. Введите		к о м а н д у		dfsrmig /getmigrationstate	и	нажмите		клавишу	Enter.

Появится сообщение, отображающее состояние миграции каждого контроллера домена. М и г р а ц и я может занять до 15 мин. Повторяйте этот шаг, пока не получите с л е д у ю щ е е сообщение, где указано об успешной миграции в состояние "Перенаправлено" .

Все контроллеры домена успешно мигрировали в глобальное состояние ("Перенаправлено").

Состояние миграции согласоаано на всех контроллерах домена. Успешно

Когда вы п о л у ч и т е такое сообщение, переходите к шагу 12. Во время м и г р а ц и и вы можете получать такие сообщения:

Следующие контроллеры домена не синхронизированы с глобальным состоянием ("Перенаправлено"):

Контроллер домена (состояние локальной миграции) - Тип DC SERVER02 ("Перенаправлено") - Writable DC

11. Введите команду net share и нажмите клавишу Enter.

'512 Контроллеры домена

12.Убедитесь, что общий ресурс NETLOGON ссылается на папку %SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts.

13.Убедитесь, что общий ресурс SYSVOL ссылается на папку %SystemRoot%\ SYSVOL_DFSR\Sysvol.

14.В Проводнике Windows (Windows Explorer) откройте папку %SystemRoot%\ SYSVOL_DFSR\Sysvol\contoso.com\Scripts.

15.Убедитесь, что файл Sample Logon Script мигрировал в новую папку Scripts.

16.Создайте новый текстовый файл Sample Logon Script DFSR.

17.На машине SERVER02 убедитесь, что этот файл реплицирован в папку %SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts.

Резюме

•Репликацию папки SYSVOL нельзя выполнять с помощью механизма DFS-R, если домен не работает на функциональном уровне Windows Server 2008.

•Команда Dfsrmig.exe управляет миграцией из папки SYSVOL с репликацией RFS в папку SYSVOL_DFSR с репликацией DFS-R.

•Существует четыре состояния миграции: Пуск (Start), Подготовлено (Prepared), Перенаправлено (Redirected) и Удалено (Eliminated). Возврат в предыдущее состояние возможен до миграции в состояние Удалено (Eliminated).

Закрепление материала

Следующие вопросы можно использовать для проверки знаний, полученных на занятии 3. Эти же вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Вы работаете администратором в компании Trey Research. Ваш домен состоит из трех контроллеров, два из которых используют систему Windows Server 2008, а один — Windows Server 2003. Корневой домен леса содержит два контроллера Windows Server 2003. Вам нужно реплицировать содержимое папки SYSVOL в домене с помощью механизма DFS-R. Какие действия следует предпринять? (Укажите все варианты. Каждый правильный ответ — часть полного решения.)

A.Обновить контроллеры корневого домена леса до Windows Server 2008. Б. Повысить функциональный уровень леса до Windows Server 2008.

B.Обновить контроллер домена Windows Server 2003 до Windows Server 2008.

Г. Повысить функциональный уровень домена до Windows Server 2008.

Д.Повысить функциональный уровень корневого домена леса до Windows Server 2008.

Основные термины

5-13

2. Вам необходимо отконфигурировать Active Directory, чтобы репликация сценариев входа управлялась с помощью механизма DFS-R. Какую команду использовать?

A.Dfsrmig.exe.

Б.Repadmin.exe.

B.Dfsutil.exe.

Г.Dfscmd.exe.

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:

•ознакомиться с резюме главы;

•повторить используемые в главе основные термины;

•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;

•выполнить рекомендуемые упражнения;

•сдать пробный экзамен с помощью тестов.

Резюме главы

•Контроллеры домена Active Directory реплицируют изменения как равноправные участники, но определенные роли выполняет отдельный контроллер домена.

•При добавлении новых контроллеров в домен можно переносить роли хозяев операций, чтобы исключить единые точки сбоев, повысить производительность или обеспечить работу при запланированном простое.

•Перед добавлением первого контроллера домена Windows Server 2008 в лес

следует запустить команды Adprep /forestprep и Adprep/domainprep /gpprep.

•После установки Windows Server 2008 на всех контроллерах доменов можно повысить функциональный уровень леса до Windows Server 2008, что позволяет начать миграцию данных SYSVOL на более надежную технологию DFS-R.

Основные термины

Запомните указанный термин, чтобы лучше понять описываемые концепции.

• Хозяин (или мастер) операций Контроллер домена, который выполняет отдельную роль хозяина операций. Существует пять операций: схемы, именования домена, инфраструктуры, RID и PDC-эмулятора.

Сценарий. Обновление домена

Вы консультант, нанятый компанией Contoso, Ltd, чтобы проследить за обновлением контроллеров домена contoso.com до Windows Server 2008. Лес состоит из двух доменов — contoso.com и subsidiary.contoso.com. Оба домена содержат по три контроллера Windows Server 2003.

1. Что нужно сделать перед установкой контроллеров домена Windows Server 2008 в лесу contoso.com?

• 514

Контроллеры домена

Глава 10

2.Домен subsidiary.contoso.com состоит из трех филиалов, в каждом из которых установлен контроллер домена. Руководство Contoso требует, чтобы во всех трех филиалах использовались контроллеры домена только для чтения. Возможно ли это и как выполнить такое задание?

3.Вы планируете обновить в корневом домене леса сервер SERVER01, который выполняет все роли хозяев операций леса и домена. Что необходимо сделать перед обновлением сервера?

Практические задания

Чтобы успешно справиться с заданиями сертификационного экзамена, выполните следующие упражнения.

Обновление домена Windows Server 2003

В этих упражнениях вы обновите домен Windows Server 2003 до Windows Server 2008. Для выполнения упражнений требуются два доступных сервера.

•Упражнение 1 Установите сервер Windows Server 2003. Сделайте его контроллером домена в новом лесу. Укажите функциональный уровень домена и леса Windows Server 2003.

•Упражнение 2 Из папки \Sources\'Adprep установочного DVD-диска Windows Server 2008 запустите команды Adprep /forestprep и Adprep /domainprep /gpprep.

•Упражнение 3 Установите сервер Windows Server 2008 и присоедините его к домену. Повысьте ранг сервера до уровня контроллера домена, включая установку DNS и глобального каталога.

•Упражнение 4 Перенесите все роли хозяев операций на новый контроллер домена.

•	Упражнение 5 (по желанию)	Обновите первый контроллер домена до
	Windows Server 2008.
•	Упражнение 6 (пожеланию)	Понизьте ранг контроллера домена Windows

Server 2003 до уровня рядового сервера и удалите его из домена, переместив в рабочую группу. Отформатируйте диск. Установите Windows Server 2008 и присоедините сервер к домену. Сделайте этот сервер контроллером домена. Перенесите все роли хозяев операций обратно в систему.

Пробный экзамен

На прилагаемом к книге компакт-диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 70-640, или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа на вопрос просматривать правильные ответы и пояснения.

ПРИМЕЧАНИЕ

Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А

1 1

Сайты и репликация

Занятие 1.	Настройка сайтов и подсетей		516
Занятие 2. Настройка глобального каталога и разделов каталогов приложений			528
Занятие 3.	Настройка репликации	-	537

Итак, мы выяснили, что контроллеры домена Windows Server 2008 являются равноправными. Каждый из них поддерживает копию каталога, выполняет аналогичные службы для поддержки проверки подлинности Принципалов безопасности, а изменения, внесенные на какой-либо один контроллер, будут реплицированы на все остальные. Одна из задач администратора предприятия — обеспечить эффективную проверку подлинности и оптимизации репликации между контроллерами домена. Сайты доменных служб Active Directory (Active Directory Domain Services, AD DS) являются основным компонентом службы каталогов, поддерживающим локализацию и репликацию службы.

В этой главе речь пойдет о создании распределенной службы каталогов, которая поддерживает контроллеры домена в сегментах сети, разделенных дорогостоящими, медленными или нестабильными подключениями, о размещении контроллеров, а также об управлении репликацией и использованием служб. Кроме того, мы рассмотрим, как управлять репликацией данных на каждый контроллер путем настройки глобальных каталогов и разделов приложений.

Темы экзамена:

•Настройка инфраструктуры Active Directory.

•Настройка глобального каталога.

•Настройка сайтов.

•Настройка репликации Active Directory.

•Техническая поддержка среды ActiveDirectory.

•Мониторинг Active Directory.

Прежде всего

Для того чтобы выполнить упражнения, предлагаемые в этой главе, нужно создать два контроллера домена — SERVER01 и SERVER02 в домене contoso. com. Инструкции по выполнению этой задачи содержатся в главах 1 и 10.

516 Сайты и репликация Глава 11

История из жизни

Дэн Холме

Как мы говорили в предыдущей главе, в домене следует установить несколько контроллеров, чтобы обеспечить непрерывную работу службы в случае отказа одного из них. В одном домене требуется минимум два контроллера, причем все серверы и клиенты в среде должны быть подключены к контроллерам домена. Но что делать, если имеется несколько сетевых сегментов, разделенных подключениями, которые не обеспечивают такую скорость, как подключения LAN? Что делать, если эти внутриузловые подключения нестабильны? Нужно определиться с размещением контроллеров домена в удаленных местах и управлением репликацией каталога на эти контроллеры домена. На сертификационном экзамене 70-640 будут заданы вопросы по теме сайтов Active Directory й их роли в репликации, и в этой главе мы рассмотрим управление репликацией. Однако сайты также играют важную роль в средах с интенсивными подключениями, поскольку они позволяют управлять локализацией служб — то есть клиент выбирает среди множества серверов, на которых доступна служба, наиболее эффективный. Именно поэтому описываются связи между сайтами и локализация служб.

Занятие 1. Настройка сайтов и подсетей

В Active Directory люди представлены объектами пользователей в службе каталогов, компьютеры — в виде объектов компьютеров, сетевая топология — объектами, которые называются сайтами и подсетями. Объекты сайтов Active Directory используются для управления репликацией и локализации служб, причем во многих средах конфигурация сайтов и подсетей довольно проста. На этом занятии мы рассмотрим фундаментальные концепции и технологии, требуемые для настройки и управления сайтами и подсетями.

Изучив материал этого занятия, вы сможете:

У Идентифицировать роли сайтов и подсетей.

S Описать процесс локализации клиентом контроллера домена. S Конфигурировать сайты и подсети.

S Управлять объектами серверов контроллеров доменов в сайтах.

Продолжительность занятия — около 45 мин.

Сайты

При описании сетевой инфраструктуры нередко упоминается количество сайтов, составляющих сеть на предприятии. Для большинства администраторов сайт представляет физическое размещение — например, офис или город. Сайты соединены ссылками — сетевыми подключениями, основой которых могут быть как удаленные коммутируемые подключения, так и волоконно-оптичес- кие линии связи. Сетевые размещения и ссылки вместе составляют сетевую инфраструктуру.

Сетевая инфраструктура в Active Directory представлена'объектами, которые называются сайтами (узлами) и узловыми ссылками. Хотя названия похо-

'Занятие 1

Настройка сайтов и подсетей

517

жи, эти объекты не соответствуют терминам сайтов и ссылок, описываемым администраторами. На этом занятии описаны сайты, а на занятии 3 — узловые ссылки.

Нужно также знать свойства и роли сайтов в Active Directory, чтобы понимать едва уловимую разницу между сайтами Active Directory и сетевыми сайтами. Сайты Active Directory — это объекты в каталоге, в частности в контейнере Configuration (CN=Configuration,DC-корневой домен леса). Эти объекты используются для выполнения двух задач управления службами:

•управление трафиком репликации;

•локализация служб.

Трафик репликации

Репликация — это перенос изменений с одного контроллера домена на другой. Например, если добавляется новый пользователь или меняется пользовательский пароль, то сведения об этом направляются в каталог из одного контроллера и должны быть отправлены на все контроллеры в домене.

В Active Directory предполагается, что на предприятии используется два типа сетей: высокоскоростные и более медленные. Согласно концепции, изменение, внесенное в Active Directory, должно немедленно реплицироваться на другие контроллеры домена по высокоскоростной сети, в которой вносилось изменение. Однако изменение не обязательно сразу реплицировать через более медленную, дорогостоящую и нестабильную ссылку на еще один сайт. Вместо этого можно управлять репликацией через сетевые сегменты предприятия с менее быстрыми подключениями, чтобы оптимизировать производительность, снизить затраты на контроль пропускной способности.

Сайт (или узел) Active Directory представляет собой высокоскоростной сегмент сети на предприятии. В случае определения сайта контроллеры домена внутри узла реплицируют изменения практически мгновенно. Репликацию между сайтами можно выполнять по графику.

Локализация с л у ж б

Служба Active Directory является распределенной. Это означает, что в среде есть как минимум два контроллера домена, предоставляющие одни и те же службы проверки подлинности и доступа к каталогам. Если в среде есть несколько сетевых узлов, в каждом из которых размещен контроллер домена, клиенты могут проходить проверку подлинности на своем сайте. Это один из примеров локализации службы.

Сайты Active Directory помогают локализовать службы, включая службы контроллеров доменов. Во время входа клиенты Windows автоматически направляются на контроллер домена в своем узле, а если этот контроллер недоступен, — на контроллер домена в еще одном узле, который может выполнять проверку подлинности.

Другие службы также можно локализовать. Например, служба пространств имен распределенной файловой системы DFS Namespaces (Distributed File System Namespaces) является локализованной. Клиенты DFS будут получать

<<< < Предыдущая 42 43 44 45 46 47 48 49 50 51 52 5354 / 9654 55 56 57 58 59 60 61 62 63 64 65 66 > Следующая >>>

Соседние файлы в папке ЛБ

#
02.02.20218.2 Mб235Книга Active directory.pdf
#
02.02.2021368.32 Кб163Методичні вказівки з оформлення робіт.pdf
#
02.02.2021121.86 Кб159Шаблон звіту.doc