3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf6 8 8 б12 Непрерывность бизнес-процессов каталогов Глава 13
Резюме
ш |
В Windows Server 2008 для у п р а в л е н и я и с п о л ь з о в а н и е м ресурсов ком- |
||
|
пьютера и его мониторинга можно использовать р а з л и ч н ы е инструменты, |
||
|
включая Диспетчер задач (Task Manager), Ж у р н а л ы событий (Event Logs), |
||
|
Монитор стабильности |
(Reliability M o n i t o r ) и |
С и с т е м н ы й монитор (Per- |
|
formance Monitor). |
|
|
ш |
Монитор надежности |
(Performance M o n i t o r ) |
и н т е г р и р у е т инструменты |
|
из предыдущих версий Windows, в к л ю ч а я Ж у р н а л ы и оповещения произ- |
||
|
водительности (Performance Logs And Alerts), |
Server Performance Advisor |
|
и Системный монитор (System Monitor) .
•Диспетчер системных ресурсов Windows ( W i n d o w s System Resource Manager) применяется для управления ресурсами в соответствии с расписанием: он отслеживает использование ресурсов и активность ведения журналов. Кроме того, с его помощью можно управлять доступом к ресурсам на основе политик.
Закрепление материала
Следующие вопросы можно использовать д л я п р о в е р к и знаний, полученных на занятии 2. Эти вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вам как системному администратору домена contoso.com поручено проверить группы сборщиков данных на к о н т р о л л е р е домена (эти группы созданы не вами). В процессе проверки обнаружилось, что сборщики данных запущены постоянно, а выделенное д л я хранения пространство переполнено. В чем причина возникновения п р о б л е м ы ? (Укажите все варианты.)
A. Для групп сборщиков данных не задан срок действия .
Б. |
Для групп сборщиков данных не задано расписание. |
B. Для групп сборщиков данных не задано условие остановки. |
|
Г. |
Для групп сборщиков данных задано некорректное расписание. |
2. Вы |
работаете системным а д м и н и с т р а т о р о м в домене contoso.com. При |
входе на контроллер домена для выполнения технического обслуживания вы, обнаружив, что сервер реагирует очень медленно, хотите выяснить, что происходит. Какой инструмент следует использовать? (Укажите все варианты.)
A.Монитор стабильности (Reliability Monitor) . Б. Просмотр событий (Event Viewer).
B.Диспетчер задач (Task Manager).
Г.Системный монитор (Performance Monitor) .
Резюме главы |
6 8 9 |
Закрепление материала главы
Для-того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:
•ознакомиться с резюме главы;
•повторить используемые в главе основные термины;
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
•выполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
•Доменные службы Active Directory (Active Directory Domain Services) — это набор комплексных служб, которые взаимодействуют друге другом, обеспечивая решение задач идентификации и управления доступом с высокой степенью готовности. По этой причине существует несколько аспектов администрирования AD DS. Д л я управления средой в сети и в автономном режиме необходимо осуществлять двенадцать видов операций (активностей), хотя многие из этих типов технического обслуживания можно делегировать.
•Как и администраторы домена, операторы службы каталогов должны обес-
печивать постоянную доступность службы AD DS с оптимальной производительностью. Д л я этого в базе данных необходимо выполнять много ад- I министративных задач в автономном режиме. В Windows Server 2008 такие задачи в ы п о л н я ю т с я без отключения сервера, поскольку службу AD DS
теперь можно запускать и останавливать аналогично другим службам.
•В Windows Server 2008 предусмотрено несколько способов защиты данных AD DS и несколько методов восстановления этих данных. Один из относительно простых способов восстановления данных состоит в использовании контейнера удаленных объектов, однако при этом необходимо обновить, а затем включить восстановленный элемент.
• |
Архивацию данных каталогов в Windows Server 2008 можно выполнять |
|
с помощью двух средств. Утилита Ntdsutil.exe поддерживает создание авто- |
|
номного носителя установки и защиту данных состояния системы контрол- |
|
лера домена. Система архивации данных Windows Server (Windows Server |
|
Backup) обеспечивает защиту целых томов системы, а также поддерживает |
|
защиту и восстановление целой компьютерной системы. |
I • |
Поскольку роль контроллера домена идеально подходит для виртуализации, |
|
контроллеры доменов также можно защитить с помощью службы теневого |
|
копирования томов (Volume Shadow Copy Service) на хост-серверах. Эта |
I |
служба защищает виртуальные жесткие диски, составляющие виртуальную |
|
машину, в которой запущен контроллер домена. |
•При устранении неполадок производительности в Windows Server 2008 можно использовать набор инструментов для анализа и исправления ошибок.
б12 |
Непрерывность |
бизнес-процессов |
каталогов |
Глава 13 |
||
|
включая инструменты анализа в реальном времени и на основе расписания. |
|||||
|
Средством |
анализа в реальном |
времени |
я в л я е т с я |
Диспетчер задач (Task |
|
|
Manager), |
Монитор ресурсов (Resource |
M o n i t o r ) |
и С и с т е м н ы й монитор |
||
|
(Performance Monitor). Анализ |
на основе р а с п и с а н и я или отслеживания |
||||
|
можно выполнять с помощью ж у р н а л а событий |
( E v e n t Log), Монитора |
||||
|
стабильности (Reliability Monitor) и группы сборщиков данных на основе |
|||||
|
расписания в Мониторе стабильности, |
|
|
|||
ш |
В Windows Server 2008 также включен Диспетчер системных ресурсов Win- |
|||||
|
dows (Windows |
System Resource M a n a g e r ) , с п о м о щ ь ю которого можно |
||||
управлять рабочими процессами на основе политик .
Основные термины
Запомните указанные далее термины, чтобы л у ч ш е понять описываемые концепции.
• |
Сжатие Процесс освобождения пространства базы данных. При создании |
|
|
записей базы данных выделяется определенное пространство для хранения |
|
|
всех возможных значений записи. При удалении записи пространство не |
|
|
возвращается, пока не будет выполнена операция сжатия . |
|
• |
Группа сборщиков данных Коллекция значений, собранных на локальном |
|
|
компьютере, |
включая значения реестра, с ч е т ч и к и производительности, |
|
значения компонентов оборудования и другие данные, позволяющие вы- |
|
|
полнять диагностику поведения системы. |
|
ш |
Файл Ntds.dit Эта база данных, содержащая х р а н и л и щ е каталогов, име- |
|
|
ется на каждом контроллере домена, и в процессе р е п л и к а ц и и с равноправ- |
|
|
ными участниками постоянно обновляется всеми контроллерами доменов, |
|
|
за исключением контроллеров R O D C . |
|
ш |
Памятник |
Контейнер, в который автоматически перемещается каждый |
удаленный объект в каталоге. Этот контейнер хранит объекты в течение 180 дней, чтобы гарантировать выполнение всех в о з м о ж н ы х репликаций с участием данных объектов. В течение этих 180 дней объект можно восстановить из памятника.
Сценарий. Работа с утерянными данными
В этом сценарии предполагается п р и м е н е н и е п о л у ч е н н ы х знаний . Ответы содержатся в разделе «Ответы» в конце этой книги.
Являясь администратором домена в компании Contoso, Ltd, вы во время обычной проверки обнаружили исчезновение отдельных учетных записей, которые должны храниться в конкретном подразделении. Вы знаете, что для работы с этими учетными записями недавно назначен локальный техник. Кроме того, в этом подразделении нужно создать новые учетные записи. Д л я того чтобы добавить в каждую учетную запись такую информацию, как адрес пользователя, имя менеджера и расположение в офисе, был назначен отдельный сотрудник. Вы связались с ним и выяснили, что все необходимые модификации произведены.
Проанализировав журналы событий каталогов, вы выяснили, что в домене отконфигурирован центральный сервер, на который пересылаются события
Пробный экзамен |
591 |
AD DS с других контроллеров домена. Через некоторое время обнаружилось, что с тем же подразделением в то же время работал еще один администратор из удаленного офиса. Дополнительный анализ показал, что это он переместил подразделение из исходного расположения и переместил обратно в то же время, когда сотрудник работал с учетными записями подразделения. Где находятся утерянные учетные записи?
Практические задания
Д л я успешной подготовки к сертификационному экзамену выполните следующие упражнения .
Активная техническая поддержка каталогов
Работа с AD DS означает работу с центральным репозиторием, который предоставляет две ключевые службы: проверки подлинности пользователей и управления объектами, поэтому AD DS классифицируется как служба каталогов NOS . Чтобы лучше усвоить представленный в этой главе материал, выполните следующие дополнительные упражнения.
• У п р а ж н е н и е 1 Поработайте с различными инструментами архивации и восстановления Windows Server 2008. Вы можете произвести полную архивацию сервера, а затем полное восстановление. Воспользуйтесь диспетчером W S R M , попробуйте изменить пароль DSRM, а также выполните полномочное и неполномочное восстановление. Проанализируйте все доступные опции во всех возможных сценариях архивации и восстановления контроллеров доменов.
•У п р а ж н е н и е 2 Поработайте со средствами мониторинга контроллеров доменов. Используйте Диспетчер задач (Task Manager), Просмотр собы-
тий (Event Viewer), а также Монитор стабильности (Reliability Monitor)
иСистемный монитор (Performance Monitor). Примените различные опции
ипринципы управления журналом событий к контроллерам доменов.
•Упражнение 3 Запустите Диспетчер системных ресурсов Windows (Windows System Resource Manager). Диспетчер содержит много опций — проанализируйте и протестируйте их. Назначьте различные политики для контроллера доменов и проанализируйте их влияние на работу системы. Просмотрите журналы событий и поищите в них информацию WSRM о системе.
Пробный экзамен
На прилагаемом к книге компакт-диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 70-640, или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа на вопрос просматривать правильные ответы и пояснения.
ПРИМЕЧАНИЕ |
Пробный экзамен |
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А |
1 4 |
Службы облегченного доступа к каталогам
Занятие 1. |
Установка AD LDS |
696 |
Занятие 2. |
Настройка и использование AD LDS |
706 |
Из |
пяти различных технологий Active Directory в W i n d o w s Server 2008 служ- |
бы |
облегченного доступа к каталогам (Active Directory Lightweight Directory |
Services, AD LDS) больше всего похожи на д о м е н н ы е |
с л у ж б ы Active Direc- |
||
tory (Active Directory Domain Services, AD DS) . Д е л о в |
том, |
что |
службы AD |
LDS представляют собой всего лишь поднабор ф у н к ц и й AD |
DS. |
Обе службы |
|
используют один код ядра и предоставляют практически одинаковый набор компонентов.
Технология AD LDS, которая раньше называлась Active Directory Application Mode (ADAM), предназначена д л я поддержки п р и л о ж е н и й каталогов без необходимости в модификации схемы базы данных каталога сетевой операционной системы NOS (Network Operating System) в AD DS. Роль AD LDS предназначена для администраторов, которые хотят использовать приложения каталогов, не интегрируя их в свой каталог NOS .
Доменные службы Active Directory ( A D D S ) т а к ж е могут поддерживать использование приложений каталогов. Один из примеров таких приложений — Microsoft Exchange Server 2007. Вся пользовательская информация в Exchange Server предоставляется каталогом. При установке в сети Exchange Server начинает работу с расширения схемы AD DS, увеличивая ее размер примерно в два раза. Как вам должно быть известно, м о д и ф и к а ц и и в схемы не стоит вносить непродуманно, поскольку объект или атрибут, добавленный в схему AD DS, нельзя удалить. Вы можете деактивизировать или переименовать эти объекты и использовать их повторно, но кому нужны несуществующие объекты в ка-
Глава 14 |
|
Службы облегченного доступа к каталогам |
6 9 3 |
\
талоге N O S ? Расширение схемы для такого приложёния, как Exchange Server, выполняется корректно, поскольку Exchange Server обеспечивает ключевую сетевую службу — электронную почту.
К СВЕДЕНИЮ |
Рекомендации по проектированию Active Directory |
Инструкции и рекомендации по проектированию Active Directory и управлению схемой AD DS можно найти в главе 3 «Designing the Active Directory» книги «Windows Server 2003: Best Practices for Enterprise Deployments»; эту главу можно загрузить по адресу http://www.resonet.com/Documents/007222343X_Ch03.pdf.
Информацию о создании нового леса и миграции содержимого одного леса в другой можно найти в руководстве «Windows Server 2008: The Complete Reference», которое подготовили Даниэль Реет и Нельсон Реет (McGraw-Hill, Osborne, 2008). В этой книге описано, как создать инфраструктуру на основе Microsoft Windows Server и выполнить миграцию всего содержимого из одного места в другое.
Тем не менее другие приложения, в частности приложения сторонних производителей программного обеспечения, нужно очень осторожно интегрировать в каталог AD DS. Помните, что производственная структура AD DS будет существовать долго. Представьте, что вы установите программный продукт в каталог, а затем, спустя несколько лет после исчезновения с рынка производителя этого продукта, будете думать, что делать с расширениями, добавленными этим продуктом в структуру AD DS, увеличивающими время репликации и в н о с я щ и м и ненужное содержимое в каталог. Таких ситуаций следует избегать.
Поэтому и появилась роль AD LDS. Поскольку она поддерживает множество экземпляров AD LDS на одном сервере (в отличие от роли AD DS, которая может поддерживать только один экземпляр каталога на любом сервере), AD LDS может соответствовать требованиям любого приложения каталога и даже предоставлять экземпляры каталога для каждого приложения. Кроме того, для работы с AD LDS не нужно быть администратором предприятия или администратором схемы, как в случае с AD DS. Роль AD LDS запускается на рядовых или независимых серверах, и для управления ею необходимы лишь права локального администратора. По этой причине ее также можно использовать в периметре сети для веб-приложений и веб-служб проверки подлинности. Роль AD LDS — это одна из четырех технологий Active Directory, которые позволяют расширить структуру организации за пределы брандмауэра и в облако Интернета (рис. 14-1).
Т е мы э к з а м е н а :
•Настройка дополнительных ролей Active Directory.
•Настройка служб облегченного доступа к каталогам (AD LDS).
gg^ |
Службы облегченного доступа к каталогам |
Глава 14 |
|
|
Рис. 14-1. Роль АО LDS можно использовать для поддержки приложений
Прежде всего
Для выполнения упражнений в этой главе потребуется следующее,
нФизический или виртуальный компьютер W i n d o w s Server 2008 с именем
|
SERVER01, служащий контроллером домена contoso.com. Инструкции по |
j |
|
|
созданию контроллера домена приведены в главах 1 и 2. |
|
|
и |
Еще один физический или виртуальный компьютер Windows Server 2008 |
|
|
|
с именем SERVER03 — рядовой сервер домена contoso.com. Этот компьютер |
||
| |
будет управлять экземплярами AD LDS, которые вы будете у с т а н а в л и в а т ь |
||
|
и создавать в упражнениях этой главы. На компьютере также должен оы |
|
|
|
диск D для хранения данных экземпляров AD LDS. Рекомендуется исполь |
|
|
|
зоватъ диск размером |
10 Гбайт. |
|
| |
Третий физический |
или виртуальный к о м п ь ю т е р W i n d o w s Server 2008 |
|
|
с именем SERVER04 — рядовой сервер домена contoso.com. Этот компыо |
||
|
тер будет использоваться для настройки областей репликации AD Ь |
^ |
|
|
На нем также должен быть диск D для хранения данных э к з е м п л я р о в |
|
|
|
LDS. Рекомендуется назначить для этого диска размер 10 Гбайт. |
|
|
I 696 |
Службы облегченного доступа к каталогам |
Глава 14 |
Примерно через два месяца после публикации статьи компания Quest купила Aelita и преобразовала Enterprise Directory Manager (EDM) в следующую версию Active Roles. Исходная версия Active Roles была разработана небольшой компанией FastLane из Оттавы в Канаде (которая была приобретена компанией Quest), и трансформировалась в EDM. Новая версия Active Roles больше не требовала модифицировать схему и предоставляла богатый набор компонентов управления Active Directory. В нашей статье об этом ничего не было написано. Кто знал? Ясно одно: модификации схемы каталогов NOS нельзя выполнять необдуманно, как с помощью ADAM. Так что к вашим услугам технология AD LDS.
Занятие 1. Установка AD LDS
Хотя AD LDS использует тот же основной код, что и AD DS, технология AD LDS намного проще. Например, при установке AD LDS на сервере конфигурация сервера не изменяется, как в случае с установкой AD DS и созданием контроллера домена. Служба AD LDS представляет собой приложение и ничего более. При ее установке не нужно перезагружать сервер, поскольку в процессе установки лишь добавляется функциональность на сервер без изменения его свойств.
Тем не менее для начала мы рассмотрим экземпляры AD LDS, принципы использования этих экземпляров и их связи с каталогами AD DS. Затем мы перейдем к установке AD LDS.
Изучив материал этого занятия, вы сможете:
/Описать принципы использования AD LDS.
/Установить AD LDS на рядовом сервере.
S Найти и просмотреть хранилище каталогов AD LDS.
Продолжительность занятия — около 30 мин.
Принципы работы AD LDS
Аналогично AD DS, экземпляры AD LDS основаны на протоколе L D A P (Lightweight Directory Access Protocol) и предоставляют службы иерархической базы данных. В отличие от реляционных баз данных каталоги LDAP оптимизированы для конкретных целей и должны использоваться для быстрого просмотра информации, которую поддерживают эти приложения. В табл. 14-1 описаны основные отличия между каталогом LDAP и такой реляционной базой данных, как Microsoft SQL Server. Это сравнение поможет в выборе между каталогом LDAP и реляционной базой данных для поддержки приложения.
В табл. 14-1 приведены директивы выбора соответствующей базы данных для приложения.
Кроме того, технология AD LDS основана на AD DS, однако она включает не все компоненты AD DS. В табл. 14-2 перечислены отличия между компонентами AD LDS и AD DS.
