Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Книга Active directory

.pdf

Скачиваний:

267

Добавлен:

02.02.2021

Размер:

8.2 Mб

Скачать

☆

<<< < Предыдущая 47 48 49 50 51 52 53 54 55 56 57 5859 / 9659 60 61 62 63 64 65 66 67 68 69 70 71 > Следующая >>>

5 58

Сайты и репликация

Глава 11

Гв филиалах реплицировались прямо в Денвер. Опишите изменения связей сайтов, которые необходимы для выполнения этой задачи.

4. Для планирования восстановления после аварийного отказа вы хотите, чтобы контроллер домена в хранилище был готов взять на себя роди хозяев операций леса и домена, выполняемые контроллером S E R V E R 0 1 в сайте главного офиса. Какое изменение нужно внести в репликацию д л я выполнения этой задачи?

Практические задания

Для успешной сдачи сертификационного экзамена в ы п о л н и т е следующие упражнения.

Мониторинг и управление репликацией

Требуется выполнить задачи мониторинга и управления репликацией с помощью инструментов пользовательского интерфейса и командной строки (предполагается, что практические занятия этой главы уже пройдены).

• Упражнение 1 Проанализируйте р е п л и к а ц и ю между сайтами, открыв два экземпляра оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers) . В одном экземпляре щелкните правой кнопкой мыши домен contoso.com, выполните команду Сменить контроллер домена (Change Domain Controller) и выберите контроллер SERVER01. В другом экземпляре щелкните правой кнопкой мыши домен contoso.com, выполните команду Сменить контроллер домена и выберите контроллер SERVER02. В оснастке с SERVER01 создайте подразделение Кадры, если его еще нет. Создайте подразделение временные служащие

Пробный экзамен	5 5 9
в подразделении Кадры . В оснастке с S E R V E R 0 2 обновите представление
и проверьте у с п е ш н у ю р е п л и к а ц и ю объектов. В оснастке с SERVER02

создайте нового пользователя	с именем Проверка репликации. Проверьте
в оснастке с S E R V E R 0 1 р е п л	и к а ц и ю объекта пользователя.

•У п р а ж н е н и е 2 В оснастке Active Directory — сайты и службы (Active Directory Sites And Services) проанализируйте I C C и генератор ISTG. Разверните контейнеры B R A N C H 1 и Servers, а затем — контейнеры Headquarters и Servers. Перетащите S E R V E R 0 2 из контейнера HEADQUARTERS\ Servers в контейнер B R A N C H l \ S e r v e r s . В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) на контроллере S E R V E R 0 1 создайте новый объект пользователя Intersite Test 1. Проанализируйте оснастку Active Directory — пользователи и компьютеры на компьютере S E R V E R 0 2 . Возможно, объект реплицирован, поскольку объект подключения между S E R V E R 0 2 и SERVER01 по-прежнему интерпретируется как п о д к л ю ч е н и е репликации между сайтами. В оснастке Active Directory — сайты и с л у ж б ы разверните SERVER01, щелкните правой

кнопкой м ы ш и N T D S Settings, выполните команду Все задачи (All Tbsks) и выберите задачу П р о в е р к а топологии репликации (Check Replication Topology). Повторите процесс на контроллере SERVER02. Обновите вид оснастки Active Directory — сайты и службы. В контейнере SERVER01 выберите N T D S Settings. Объект подключения с SERVER02 должен указывать, что S E R V E R 0 2 теперь расположен в сайте BRANCH1.

•Упражнение 3 П р о а н а л и з и р у й т е репликацию между сайтами и репликацию вручную. В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) на контроллере SERVER01 добавьте еще одного п о л ь з о в а т е л я с именем Intersite Test 2. В оснастке на контроллере S E R V E R 0 2 этот объект не должен отображаться при обновлении вида оснастки. Серверы теперь выполняют репликацию с использованием топологии между сайтами. В оснастке Active Directory — сайты и службы (Active Directory Sites And Services) выберите NTDS Settings для объекта сервера S E R V E R 0 2 . На панели сведений щелкните правой кнопкой мыши объект подключения и выполните команду Реплицировать сейчас (Replicate Now).

Пробный экзамен

На прилагаемом к книге компакт - диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 70 - 640, или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа на вопрос просматривать правильные ответы и пояснения.

ПРИМЕЧАНИЕ

Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

I Г Л А В А

1 2

Домены и леса

Занятие 1.	Функциональные уровни домена и леса	561
Занятие 2.	Управление множеством доменов и доверительными связями	571

В главе 1 рассматривался принцип создания простой инфраструктуры AD DS, состоящей из одного леса с одним доменом, в последующих главах речь шла об управлении AD DS. Теперь самое время вернуться на верхний уровень инфраструктуры AD DS и заняться моделированием и функциональностью лесов и доменов. В этой главе речь пойдет о повышении ф у н к ц и о н а л ь н ы х уровней домена и леса на предприятии, проектировании оптимальной инфраструктуры AD DS, миграции объектов между доменами и лесами, а также о включении проверки подлинности и доступа к ресурсам во множестве доменов и лесов.

Темы экзамена:

•Настройка инфраструктуры Active Directory,

оНастройка леса или домена,

оНастройка доверия.

Прежде всего

Для выполнения упражнений необходимо создать два контроллера домеиа, SERVER01 и SERVER02, в домене contoso.com. Инструкции по выполнению этой задачи изложены в главах 1 и 10.

История из жизни

Дан Холме

В некоторых организациях полагают, что контроллеры доменов следует обновлять в последнюю очередь. На мой взгляд, контроллеры домена нужно обновлять

впервую очередь (естественно, после тестирования в лаборатории). Контроллеры доменов создают фундамент для идентификации и управления доступом

влесу AD DS предприятия. По этой причине контроллеры доменов нужно выделить только для роли AD DS и связанных основных служб, таких как DNS. Если контроллеры доменов являются выделенными, риск, связанный с их обновлением, минимален. Кроме того, после обновления контроллеров доменов можно повысить функциональный уровень леса.

Занятие 2	Управление множеством доменов и доверительными связя
	5 6 1

Функциональные уровни добавляют новые возможности Windows Server 2003 и Windows Server 2008. При включении дополнительной функциональности будет ограничена поддержка версий Microsoft Windows на контроллерах доменов. Рядовые серверы и рабочие станции могут использовать любую версию Windows. Некоторые функции, включая репликацию связанных значений, контроллеры домена только для чтения, гранулированные политики паролей и репликацию распределенной файловой системы DFS-R (Distributed File System Replication) системного тома SYSVOL (System Volume), затрагивают все аспекты безопасности, управления и гибкости AD DS. Поэтому я рекомендую обновить контроллеры доменов до Windows Server 2008, чтобы повысить функциональный уровень домена и леса для использования дополнительной функциональности.

Занятие 1. Функциональные уровни домена и леса

При добавлении контроллеров Windows Server 2008 в лес или домен можно применять н о в ы е в о з м о ж н о с т и с л у ж б ы каталогов Active Directory. Функциональные у р о в н и домена и леса, представляющие собой режимы работы соответственно доменов и лесов, определяют версии Windows, которые используются на контроллерах доменов, а также доступные компоненты Active Directory.

Изучив материал этого занятия, вы сможете:

S Понимать функциональные уровни домена и леса.

S Повышать функциональный уровень домена и леса.

S Идентифицировать возможности, добавляемые на каждом функциональном уровне.

Продолжительность занятия — около 45 мин.

Функциональные уровни

Функциональные уровни аналогичны переключателям, добавляющим новую функциональность каждой версии Windows. Несколько компонентов были добавлены в Active Directory версией Windows Server 2003, а в Windows Server 2008 появились еще новые компоненты. Эта функциональность не является обратно совместимой, так что если вы используете контроллер домеиа Windows 2000 Server, то не сможете включить функциональность новых версий Windows. Аналогичным образом нельзя реализовать функциональный уровень Windows Server 2008, пока не будут обновлены все контроллеры доменов до Windows Server 2008. Д л я того чтобы повысить функциональный уровень леса, необходимо выполнить две основные задачи:

•установить на всех контроллерах доменов корректную версию Windows;

•вручную повысить функциональный уровень, поскольку режим работы не переключается автоматически.

I 5 6 2	Домены и леса				Глава 12
ПРИМЕЧАНИЕ		Функциональные уровни, версии операционных систем
и контроллеры доменов
Помните,	что	только контроллеры	д о м е н а	о п р е д е л я ю т в о з м о ж н о с т ь назначения
функционального уровня. Рядовые серверы				и	рабочие с т а н ц и и в д о м е н е или лесу
используют любую версию W i n d o w s			на л ю б о м		ф у н к ц и о н а л ь н о м уровне .

Функциональные уровни домена

функциональный уровень домена влияет на к о м п о н е н т ы Active Directory, доступные в домене, и определяет версии Windows, поддерживаемые для контроллеров. В предыдущих версиях Windows функциональные уровни и режимы работы домена (так они назывались в Windows 2000 Server) поддерживались контроллерами домена Microsoft Windows NT 4.0. Н а ч и н а я с W i n d o w s Server 2008 эти версии больше не поддерживаются. Прежде чем добавить первый контроллер домена Windows Server 2008, на всех контроллерах домена необходимо установить версию не ниже Windows 2000 Server. В Active Directory версии Windows Server 2008 поддерживаются три ф у н к ц и о н а л ь н ы х уровня домена:

•Windows 2000;

•Windows Server 2003;

•Windows Server 2008.

Режим Windows 2000

Самым низким уровнем, поддерживаемым к о н т р о л л е р о м домена Windows Server 2008, является функциональный уровень домена W i n d o w s 2000. Д л я контроллеров домена поддерживаются следующие операционные системы:

•Windows 2000 Server;

•Windows Server 2003;

•Windows Server 2008.

Если у вас есть контроллеры домена Windows 2000 Server или Windows Server 2003 либо вы планируете добавить один или несколько контроллеров с этими более ранними версиями Windows, то следует установить функциональный уровень Windows 2000.

Режим Windows Server 2003

После удаления или обновления всех контроллеров домена Windows 2000 Server функциональный уровень можно повысить до Windows Server 2003, на котором домен больше не поддерживает контроллеры Windows 2000 Server, так что на всех контроллерах домена должны использоваться две следующие системы:

•Windows Server 2003;

•Windows Server 2008.

Занятие 2	Управление множеством доменов и доверительными связями
	5 6 3

Ф у н к ц и о н а л ь н ы й уровень домена Windows Server 2003 добавляет много новых компонентов к функциональному уровню Windows 2000. Далее описаны

эти	компоненты.
•	П е р е и м е н о в а н и е к о н т р о л л е р о в д о м е н а								Это средство управления доме-
	нами Netdom.exe используется для подготовки к операции переименования
	контроллера			домена.
•	Атрибут	lastLogonTimestamp					Когда пользователь			или компьютер входит
	в домен, время входа добавляется в атрибут lastLogonTimestamp, который
	реплицируется в пределах домена.
•	Атрибут	userPassword				П р и н ц и п а л а м и			безопасности в Active Directory
	являются пользователи, компьютеры и группы. Четвертый класс объектов
	inetOrgPerson аналогичен объекту пользователя и применяется для интег-
	рации с н е к о т о р ы м и службами							каталогов не на платформе Microsoft. На
	функциональном				уровне		W i n d o w s Server 2003 атрибут userPassword мож-
	но задействовать в качестве действующего пароля для обоих объектов
	inetOrgPerson			и user.
•	П е р е н а п р а в л е н и е				к о н т е й н е р о в			пользователей и компьютеров по умол-
	ч а н и ю	В	главе		5 мы	говорили, что д л я перенаправления контейнеров
	пользователей и компьютеров по умолчанию можно выполнять команды
	Redirusr.exe		и	Redircmp.exe.			П р и	использовании		перенаправления новые
	учетные записи создаются в конкретных подразделениях, а не в контейне-
	рах Users и Computers .
•	П о л и т и к и		д и с п е т ч е р а а в т о р и з а ц и и						Диспетчер	авторизации Authoriza-
	tion Manager, используемый для авторизации в приложениях, хранит свои
	политики авторизации в						AD DS .

•Ограниченное д е л е г и р о в а н и е Приложения могут использовать преимущества безопасного делегирования учетных данных пользователей с помощью протокола проверки подлинности Kerberos. Делегирование можно

отконфигурировать л и ш ь д л я конкретных конечных серверов.

• В ы б о р о ч н а я п р о в е р к а подлинности На занятии 2 мы обсудим создание доверительных связей между доменом и еще одним доменом или лесом. Выборочная п р о в е р к а подлинности позволяет указать пользователей и группы из доверенного домена или леса, которым разрешено проходить проверку подлинности на серверах в вашем лесу.

Р е ж и м W i n d o w s S e r v e r 2 0 0 8

Если на всех контроллерах домена используется Windows Server 2008 и вы не собираетесь добавлять контроллеры с предыдущими версиями Windows, то можете повысить ф у н к ц и о н а л ь н ы й уровень домена до Windows Server 2008. Режим работы домена Windows Server 2008 поддерживает контроллеры домена лишь с операционной системой Windows Server 2008.

Далее описаны к о м п о н е н т ы уровня домена, добавляемые в AD DS при повышении режима работы домена до Windows Server 2008.

I 564 Домены и леса Глава12

I •	Репликация D F S - R папки S Y S V O L	В главе 10 мы обсуждали, как от-
I	конфигурировать папку SYSVOL, чтобы использовать р е п л и к а ц и ю рас-
I	пределенной файловой системы D F S - R (Distributed			File System	Replica-
	tion) вместо службы репликации файлов		F R S (File	Replication	Service).
	Механизм DFS-R обеспечивает более стабильную и детальную репликацию
	содержимого SYSVOL.
•	Дополнительные службы ш и ф р о в а н и я		Безопасность проверки подлин-
	ности можно улучшить с помощью поддержки дополнительных служб шиф-
	рования (Advanced Encryption Services) AES-128 и AES-256 д л я протокола
	Kerberos. Шифрование AES заменяет алгоритм ш и ф р о в а н и я R C 4 - H M A C
	(Hash Message Authentication Code).
•	Данные последнего интерактивного	в х о д а Когда пользователь входит
	в домен, обновляются несколько атрибутов объекта пользователя, рабочей
	станции, на которую входит пользователь, и число неудачных попыток
	входа с момента последнего входа в домен.
•	Гранулированные политики паролей	В главе 8 мы описали гранулирован-

ные политики паролей, которые позволяют указать уникальные требования | паролей для пользователей или групп в домене.

Повышение функционального уровня д о м е н а

Когда все контроллеры домена будут использовать поддерживаемую версию Windows и в домен не будут добавляться контроллеры с неподдерживаемыми версиями Windows, можно повысить ф у н к ц и о н а л ь н ы й уровень домена. Откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts), щелкните домен правой кнопкой м ы ш и и в ы п о л н и т е команду Сменить режим работы домена (Raise Domain Functional Level). Откроется диалоговое окно (рис. 12-1), где можно выбрать более высокий функциональ - ный уровень.

Имя домека taiaprtoy» сот

ТекуииЛ режим работы домена Window» Stirrer 2003

Выберите режим работы домене

| Window* Server 2008

i Режим работы домена не может быть преобразован в иолдньй режим после его изменения Для получения дополчительнък сведений о режимах работы ломана нажмите кнопку "Справка".

j Изменить J

Отмена j

Справка 1

Рис. 12-1. Повышение функционального уровня домена

•Занятие 1

Функциональные уровни домена и леса

5 6 5

ВНИМАНИЕ! Необратимая операция

Повышение функционального уровня домена — необратимая операция. После повышения режима работы домена нельзя выполнить откат и вернуться к предыдущему режиму работы.

Ф у н к ц и о н а л ь н ы й уровень домена также можно повысить с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Щ е л к н и т е правой кнопкой мыши домен и выполните команду Изменение режима работы домена (Raise Domain Functional Level) или щелкните правой кнопкой м ы ш и корневой узел и выполните команду Изменение режима работы домена (Raise Domain Functional Level) из меню Все задачи (All Tasks).

Функциональные уровни леса

Точно таким же образом, как функциональные уровни домена включают определенную ф у н к ц и о н а л ь н о с т ь на уровне домена и версии Windows, поддерживаемые д л я контроллеров в домене, функциональные уровни леса включают функциональность на уровне леса и определяют операционные системы, поддерживаемые на контроллерах домена в лесу. В Active Directory версии Windows Server 2008 поддерживаются три функциональных уровня леса.

•Windows 2000;

•Windows Server 2003;

•Windows Server 2008.

В следующих подразделах описан каждый функциональный уровень.

Ре ж и м работы W i n d o w s 2 0 0 0

Функциональный уровень леса Windows 2000 является основным функциональным уровнем по умолчанию . В режиме работы леса Windows 2000 домены могут работать в любом поддерживаемом режиме:

•Windows 2000 (основной);

•Windows Server 2003;

•Windows Server 2008.

Функциональный уровень леса можно повысить после повышения режима работы всех доменов до соответствующего функционального уровня домена.

Р е ж и м работы W i n d o w s S e r v e r 2003

После повышения режима работы всех доменов до функционального уровня Windows Server 2003 можно повысить функциональный уровень леса до Windows Server 2003. На этом функциональном уровне домены могут работать в следующих режимах:

•Windows Server 2003;

•Windows Server 2008.

I 566

Домены и леса

Глава 12

На функциональном уровне леса Windows Server 2003 добавляется следующая функциональность.

•Доверие между лесами На занятии 2 мы обсудим создание доверительных связей между лесами.

•Переименование домеиов В лесу можно переименовать домен.

•Репликация связанных значений На функциональном уровне леса Windows 2000 при внесении изменения в членство группы выполняется полная репликация многозначного атрибута member группы. В результате повышается объем сетевого трафика репликации с возможной потерей обновлений при одновременном изменении членства группы на различных контроллерах доменов. Кроме того, число членов в любой группе ограничивается рекомендуемым максимумом в 5000 членов. В репликации связанных значений на функциональном уровне леса Windows Server 2003 реплицируется лишь отдельное изменение членства группы, а не весь атрибут member. Таким образом, объем трафика репликации повышается лишь незначительно без потерь обновлений членства группы, которые одновременно вносятся на различных контролерах домена.

• Поддержка контроллеров домеиа только для чтения В главе 8 описаны контроллеры домена только для чтения (RODC), которые поддерживаются на функциональном уровне леса Windows Server 2003. На контроллере RODC должна быть установлена система Windows Server 2008.

Контрольный вопрос

•Необходимо добавить контроллер RODC в домен с контроллерами Windows Server 2003. Домен работает в режиме Windows Server 2003 и уже содержит контроллер Windows Server 2008. Лес работает на функциональном уровне Windows Server 2000. Какие две операции необходимо выполнить, прежде чем добавить контроллер RODC?

Ответ на контрольный вопрос

•Нужно повысить функциональный уровень леса до Windows Server 2003

изапустить команду Adprep /rodcprep.

•Улучшенные алгоритмы и расширяемость процесса проверки целостнос-

ти КСС (Knowledge Consistency Checker) Генератор топологии между сайтами ISTG (Intersite Topology Generator) использует улучшенные алгоритмы, позволяющие службам AD DS поддерживать репликацию в лесах более чем со 100 сайтами. На функциональном уровне леса Windows 2000 необходимо вручную создавать топологию репликации для лесов с сотнями сайтов. Кроме того, генератор ISTG применяет более эффективный алгоритм, чем на функциональном уровне леса Windows Server 2000.

• Преобразование объектов inetOrgPerson в объекты user Экземпляр объекта inetOrgPerson, используемый для совместимости с определенными службами каталогов не на платформе Microsoft, можно преобразовать

Занятие 2	Управление множеством доменов и доверительными связям
	5 6 7

в экземпляр класса user. Объект user также можно преобразовать в объект inetOrgPerson.

• П о д д е р ж к а в с п о м о г а т е л ь н о г о к л а с с а dynamicObject Схема позволяет разделам каталогов домена использовать экземпляры динамического вспомогательного класса. Этот класс объектов может применяться определен-

н ы м и п р и л о ж е н и я м и	и разработчиками.
• П о д д е р ж к а о с н о в н ы х	групп п р и л о ж е н и й и групп запросов L D A P Для

поддержки авторизации на основе ролей в приложениях, использующих

диспетчер а в т о р и з а ц и и (Authorization Manager),	можно	применять два
новых типа групп: основные группы приложений и	группы	запросов LDAP.

и Д е а к т и в а ц и я и п е р е о п р е д е л е н и е атрибутов и классов объектов Несмотря на то что в схеме нельзя удалить атрибут или класс объектов, в режиме работы леса W i n d o w s Server 2003 можно деактивировать или переопределить атрибуты и классы объектов.

Р е ж и м р а б о т ы W i n d o w s S e r v e r 2 0 0 8

На ф у н к ц и о н а л ь н о м уровне леса Windows Server 2008 не добавляются новые возможности у р о в н я леса. О д н а к о после повышения режима работы леса до Windows Server 2008 новые добавляемые в лес домены по умолчанию будут оперировать на уровне W i n d o w s Server 2008. В этом режиме работы леса все домены д о л ж н ы работать на функциональном уровне домена Windows Server 2008, то есть на всех контроллерах доменов должна быть установлена система Windows Server 2008.

П о в ы ш е н и е ф у н к ц и о н а л ь н о г о у р о в н я л е с а

Для повышения режима работы леса используется оснастка Active Directory — домены и доверие (Active Directory Domains And Trusts). Щелкните правой кнопкой мыши корневой узел оснастки и выполните команду Изменение режима работы леса (Raise Forest Functional Level). В диалоговом окне (рис. 12-2) можно л и ш ь повысить ф у н к ц и о н а л ь н ы й уровень леса.

I.UHI'I")III|IJH|'|II.'||.Il...\m I ^ И И И М И Я Й Й i ii

Mi iiii'iiiN"~""i

Имя леса:

laihpirtoye.com

Текущий режим работы леса:

Window* 2000

Выбейте режим работы леса

| Windows Server 2008

Х„ Режим работы леса не может быть преобразован о исюямьй р е ж w после его изменения. Для получения лтогиительмьк сведений о режимах работы леса нажмите кнопку "Справка".

j Изменить j Отмена J Справка J

Рис. 12-2. Повышение функционального уровня леса

<<< < Предыдущая 47 48 49 50 51 52 53 54 55 56 57 5859 / 9659 60 61 62 63 64 65 66 67 68 69 70 71 > Следующая >>>

Соседние файлы в папке ЛБ

#
02.02.20218.2 Mб267Книга Active directory.pdf
#
02.02.2021368.32 Кб190Методичні вказівки з оформлення робіт.pdf
#
02.02.2021121.86 Кб186Шаблон звіту.doc