70 Установка и конфигурирование Active Directory Глава 2

Лабораторная работа № 2. Установка и удаление Active Directory

Установка Active Directory

Возможно четыре способа установки Active Directory.

• Установка средствами Мастера установки Active Directory (Active Directory Installation Wizard); этот метод подходит в большинстве случаев.

• Установка с помощью файла ответов методом необслуживаемой установки (позволяет провести удаленную инсталляцию Active Directory).

• Установка с применением сетевого или архивного носителя (помогает устанавливать Active Directory на дополнительные контроллеры домена сети за счет привлечения упомянутых носителей).

• Установка при помощи Мастера настройки сервера (Configure Your Server Wizard) (этот метод применим только к установке первого контроллера домена в сети).

Любой из вышеупомянутых методов позволяет назначить компьютер на роль контроллера домена, установить Active Directory, а при необходимости — установить и настроить DNS-сервер.

Установка Active Directory с помощью Мастера установки Active Directory.

Мастер установки Active Directory (Active Directory Installation Wizard) — это основной инструмент инсталляции рассматриваемой службы. Он состоит из нескольких страниц, позволяющих выставлять следующие настройки:

• тип контроллера домена (первый контроллер в новом домене или новый контроллер в существующем домене);

• тип домена (новый домен в новом лесу, дочерний домен в существующем дереве или новое дерево доменов в существующем лесу);

• доменное имя;

• NetBIOS-имя домена;

• местоположение папок базы данных и журнала Active Directory;

• местоположение папки общего системного тома;

• стандартные разрешения для объектов пользователей и групп;

• пароль администратора для работы в режиме восстановления службы каталогов. После ввода соответствующих данных мастер приступает к установке Active Directory — он создает полное доменное имя, присваивает домену имя NetBIOS, задает местоположение папок базы данных, журнала и общего системного тома, а затем, в слу­чае выбора автоматической установки службы DNS, инсталлирует ее вместе с основным DNS-сервером. С другой стороны, Мастер установки Active Directory (Active Directory Installation Wizard) не устанавливает протокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP), не устанавливает статический IP-адрес, не назначает маску подсети, не создает область DHCP и не настраивает контекст именования Active Directory для клиентских приложений на основе программного интер­фейса компьютерной телефонии (Telephony Application Programming Interface, TAPI).

В начале процесса инсталляции Active Directory с помощью Мастера установки Active Directory (Active Directory Installation Wizard) необходимо выбрать одну из двух альтернатив: создание первого контроллера в новом домене или введение нового контроллера в существующий домен. При принятии решения в данном случае нужно отталкиваться от структуры доменов.

Создание первого контроллера в новом домене

В случае создания первого контроллера в новом домене создается и контроллер, и домен. Как показано на рис. 1, впоследствии придется сделать выбор среди еще трех вариантов: создание нового домена в новом лесу, добавление дочернего домена в существующее дерево доменов или создание нового дерева доменов в существующем лесу.

При создании нового домена в новом лесу возможны два варианта: либо этот домен оказывается первым в компании, либо его предполагается сделать абсолютно независи­мым от остального леса. Если в существующее дерево доменов добавляется новый домен, он в любом случае оказывается дочерним по отношению к какому-то другому до­мену. Как вы помните, все домены дерева характеризуются общим непрерывным пространством имен и иерархической структурой именования. При создании нового дерева доменов в существующем лесу новый домен не попадает в состав существующих доме­нов. С одной стороны, все деревья в лесу придерживаются индивидуальных структур именования (которые, в свою очередь, зависят от доменов), а, с другой, лес помогает налаживать связь в масштабах целой компании.

Рис. 1. Роли контроллеров домена и варианты структуры доменов, предлагаемые в ходе установки Active Directory

Добавление в существующий домен нового контроллера

Как показано на рис. 1, при добавлении нового контроллера в существующий домен создается одноранговый (по отношению к другим контроллерам) контроллер домена. Наличие нескольких одноранговых контроллеров обеспечивает резервирование и способствует снижению нагрузки на существующие контроллеры домена. В целях минимизации трафика доступа к Active Directory одноранговые контроллеры домена зачастую рассредоточиваются по разным географическим точкам.

Как работает Мастер установки Active Directory

Для того чтобы открыть Мастер установки Active Directory (Active Directory Installation Wizard), введите в диалоговом окне Выполнить (Run) команду dcpromo.

Для того чтобы с помощью Мастера установки Active Directory (Active Directory Installation Wizard) провести установку Active Directory для нового домена, выполните следующие действия:

1. Выберите Пуск\Выполнить (Start\Run). Введите dcpromo в поле Открыть (Open) диалогового окна Запуск программы (Run) и щелкните кнопку ОК.

2. После появления страницы мастера под именем Мастер установки Active Directory (Welcome То the Active Directory Installation Wizard) щелкните кнопку Далее (Next).

3. На странице Проверка совместимости системы (Operating System Compatibility) также щелкните кнопку Далее (Next).

4. На странице Тип контроллера домена (Domain Controller Туре) выберите Контроллер домена в новом домене (Domain Controller For A New Domain); после этого щелкните кнопку Далее (Next).Укажите роль, на которую предназначается этот сервер.

5. Оказавшись на странице Создать новый домен (Create New Domain), выберите пункт Новый домен в новом лесу (Domain In A New Forest), после чего щелкните кнопку Далее (Next).

6. В поле Полное DNS-имя нового домена (Full DNS Name For New Domain) на странице Новое имя домена (New Domain Name) введите имя домена, и щелкните кнопку Далее (Next).

7. После небольшой задержки на экране появится страница NetBIOS-имя домена (NetBIOS Domain Name). Указанное по умолчанию имя NetBIOS менять не рекомендуется. Щелкните кнопку Далее (Next).

8. После открытия страницы Папки базы данных и журналов (Database and Log Folders) укажите местоположение базы данных и журнала Active Directory в тек­стовых окнах Папка расположения БД (Database Folder) и Папка расположения журнала (Log Folder) соответственно. Не забывайте о том, что и базу данных, и файл журнала рекомендуется размещать на отдельных жестких дисках с файловой системой NTFS. Щелкните кнопку Далее (Next). В поле Размещение папки (Folder Location) страницы Общий доступ к системному тому (Shared System Volume) нужно указать местоположение папки Sysvol. Общий системный том должен быть размещен в разделе или томе с фай­ловой системой NTFS. Выполнив указанные действия щелкните кнопку Далее (Next).

10. Когда на экране появится страница Диагностика регистрации DNS (DNS Registration Diagnostics), ознакомьтесь с подробными настройками диагностического теста. Установите переключатель в одно из трех положений.

• Если после конфигурации DNS оставалась проблема, которую вам впоследствии удалось устранить, выберите Проблема решена. Запустить диагностический тест DNS снова (I Have Corrected The Problem. Perform The DNS Diagnostic Test Again). Затем щелкните кнопку Далее (Next).

• Если к конфигурированию DNS вы еще не приступали и хотите поручить эту задачу мастеру, выберите пункт Установить и настроить DNS-сервер на этом компьютере (Install And Configure The DNS Server On This Computer), после чего щелкните кнопку Далее (Next).

• Если после конфигурации DNS появилась проблема, решение которой вы наме­рены отложить на более позднее время, выберите пункт Проблема будет решена позже ручной настройкой DNS (I Will Correct The Problem Later By Configuring DNS Manually), а затем щелкните кнопку Далее (Next).

10. Оказавшись на странице Разрешения (Permissions), выберите все необхо­димые стандартные разрешения для объектов пользователей и групп, после чего щелкните кнопку Далее (Next).

11. В текстовом поле Пароль режима восстановления (Restore Mode Password) страницы Пароль режима восстановления служб каталогов (Directory Services Restore Mode Administrator Password) введите пароль учетной записи администратора, предназначенный для ситуации запуска компьютера в режиме восстановления служ­бы каталогов. В поле Подтверждение (Confirm Password) введите его еще раз, затем щелкните кнопку Далее (Next).

12. На странице Сводка (Summary) перечислены все выполненные к настоящему моменту настройки. Ознакомившись с их списком, щелкните кнопку Далее (Next). Процесс настройки мастером компонентов Active Directory занимает несколько минут. Если статический IP-адрес сервера до сих пор не установлен, на этом этапе, при появлении соответствующего приглашения, необходимо это сделать.

13. Когда на экране появится страница Завершение работы мастера установки Active Directory (Completing The Active Directory Installation Wizard), щелкните кнопку Готово (Finish) и сразу после этого — Перезагрузить сейчас (Restart Now).

14. Дождавшись появления страницы Этот сервер теперь является контроллером домена (This Server Is Now A Domain Controller), щелкните кнопку Готово (Finish). На этом процесс установки Active Directory на сервере можно считать завершенным.

Установка Active Directory с помощью файла ответов

Файл ответов позволяет провести инсталляцию Active Directory средствами Мастера установки Active Directory (Active Directory Installation Wizard), не отвечая на подсказки. В файле ответов, как следует из его названия, содержатся ответы на вопросы, задаваемые в процессе установки; эти ответы подаются мастеру в автоматическом режиме. В файле ответов должны быть указаны все без исключения параметры, выставления которых требует Мастер установки Active Directory (Active Directory Installation Wizard). Ответы на вопросы, задаваемые при установке Active Directory, можно разместить в том же файле ответов, с помощью которого проходит инсталляция Windows Server 2003. Есть и другой вариант: создать файл ответов специально для установки Active Directory, и запустить его после инсталляции Windows Server 2003 и регистрации в системе.

Инструкции по созданию файла ответов самостоятельно и сформировать файл.

Для того чтобы установить Active Directory с помощью файла ответов, выполните следующие действия:

1. Перезагрузив компьютер, зарегистрируйтесь в роли администратора.

2. Выберите Пуск\Выполнить (Start\Run). Когда на экране появится диалоговое окно Запуск программы (Run), введите в поле Открыть (Open) команду dcpromo/answer: answer file, где answer file обозначает имя файла ответов. Щелкните кнопку ОК.

Установка Active Directory с сетевого или архивного носителя.

Для того чтобы назначить рядовой сервер на роль нового контроллера существующего домена, в системе Windows 2000 требовалось реплицировать на этот контроллер всю базу данных каталога. В условиях низкой пропускной способности сети и крупного объема базы данных на проведение репликации уходили часы, а иногда — даже дни. Для того чтобы назначить на роль контроллера сервер под управлением Windows Server 2003, можно обратиться к восстановленной резервной копии с другого контроллера Windows Server 2003. Сама резервная копия может храниться на любом архивном носителе (ленте, CD или DVD) или общем сетевом ресурсе.

При создании нового контроллера домена с привлечением архивного носителя снижается объем репликации данных в ходе копирования базы данных каталога по каналам локальной или глобальной сети. Соответственно, сокращается продолжительность процесса в целом — ведь Active Directory реплицирует только те изменения, которые были внесены после создания резервной копии. Остаточный объем репликации зависит от того, сколько времени прошло с момента резервирования. Возраст резервной копии не может превышать время жизни захоронения (tombstone lifetime) домена, который по умолчанию приравнивается к 60 дням. Таким образом, обращаться следует к наиболее свежей из всех резервных копий.

Если контроллер домена, с которого снята резервная копия, содержит прикладной раздел каталога, на новом контроллере он восстановлен не будет.

Несмотря даже на то, что рассматриваемый механизм установки значительно снижает требования по пропускной способности сети, по нижеследующим причинам без сетевых соединений не обойтись:

• на новый контроллер домена реплицируются все важнейшие объекты;

• на него также можно реплицировать некритические объекты и все прочие измене­ния, имевшие место после создания резервной копии;

• на новый контроллер домена реплицируются данные, хранящиеся в папке Sysvol.

Для того чтобы установить Active Directory с привлечением сетевого или архивного носителя, выполните следующие действия:

1. Выберите Пуск\Выполнить (Start >Run); введите в поле Открыть (Open) диалогового окна Запуск программы (Run) команду dcpromo /adv, и щелкните кнопку ОК.

2. Когда на экране появится страница Проверка совместимости системы (Operating System Compatibility), щелкните кнопку Далее (Next).

3. Оказавшись на странице Тип контроллера домена (Domain Controller Туре), выберите Добавочный контроллер домена в существующем домене (Additional Domain Controller For An Existing Domain), и щелкните кнопку Далее (Next).

4. На странице Копируется информация домена (Copying Domain Information) выполните одно из следующих действий:

• если вы намерены скопировать на сервер информацию домена через сетевое соединение, выберите пункт По сети (Over the Network);

• при желании скопировать информацию домена из архивных файлов, выберите Используя файлы из архива (FVom These Restored Backup Files) и введите путь к файлам резервной копии.

Примечание Прежде чем копировать на сервер информацию домена из архивных файлов, не забудьте зафиксировать состояние системы существующего контроллера домена, в котором предполагается создать новый контроллер. Впоследствии вам придется восстановить резервную копию состояния системы на том сервере, который вы намерены назначить на роль контроллера. Для того чтобы восстановить состоя­ние штатными средствами резервирования Windows Server 2003, выберите Восстановить файлы в: Альтернативное размещение (Restore Files То: Alternate Location).

Если контроллер домена, с которого заимствовано состояние системы, одновременно исполняет роль глобального каталога, Мастер установки Active Directory (Active Directory Installation Wizard) спросит вас, нужно ли назначить на эту роль новый контроллер домена.

5. Оказавшись на странице Сетевые учетные данные (Network Credentials), укажите в текстовых окнах Пользователь (User Name) и Пароль (Password) ваше имя пользова­теля и пароль, соответственно. В поле Домен (Domain) следует ввести имя домена, а затем щелкнуть кнопку Далее (Next).

6. Когда на экране появится страница Папки базы данных и журналов (Database and Log Folders), проверьте на предмет правильности пути к папкам базы данных и журнала, указанные в текстовых окнах Папка расположения БД (Database Folder) и Папка расположения журнала (Log Folder) соответственно. Щелкните кнопку Далее (Next).

7. На странице Общий доступ к системному тому (Shared System Volume) вам предстоит проверить, правильно ли в поле Размещение папки (Folder Location) указано местопо­ложение общего системного тома. Если все правильно, щелкните кнопку Далее (Next).

8. Оказавшись на странице Пароль режима восстановления служб каталогов (Directory Services Restore Mode Administrator Password), введите в поле Пароль режима восста­новления (Restore Mode Password) пароль для учетной записи администратора, который тот должен будет вводить в случае запуска системы в режиме восстановления службы каталогов. В поле Подтверждение (Confirm Password) введите его вновь. Щелкните кнопку Далее (Next).

9. На странице Сводка (Summary) перечислены все заданные к настоящему моменту настройки. Чтобы перейти непосредственно к процессу установки, щелкните кнопку Далее (Next). При появлении соответствующего приглашения перезагрузите компьютер.

Установка Active Directory с помощью Мастера настройки сервера.

Мастер настройки сервера (Configure Your Server Wizard) позволяет устанавливать на компьютерах под управлением Windows Server 2003 самые разные службы — в том числе и Active Directory. Запустить Мастер настройки сервера (Configure Your Server Wizard) можно с экрана Управление сервером (Manager Your Server), который открывается автоматически при первой регистрации на сервере пользователя с административными пол­номочиями. Возможность установки Active Directory с помощью Мастера настройки сервера (Configure Your Server Wizard) появляется лишь в том случае, если речь идет о первом контроллере домена в сети, который к тому же еще не настроен. Во всех осталь­ных случаях при запуске Мастера настройки сервера (Configure Your Server Wizard) с целью установки в сети дополнительных контроллеров домена он открывает Мастер установки Active Directory (Active Directory Installation Wizard), и весь дальнейший про­цесс происходит под управлением последнего.

Если мы имеем дело с первым сервером в сети, конфигурация которого еще не проведена, Мастер настройки сервера (Configure Your Server Wizard) открывается на страни­це Параметры настройки (Configuration Options), которая, в свою очередь, позволяет назначить сервера на роль контроллера домена и установить на нем Active Directory. Стра­ница Параметры настройки (Configuration Options) решает следующие задачи.

• Назначение компьютера на роль контроллера домена.

• Создание для сети полного доменного имени.

• Назначение статического IР-адреса.

• Установка Active Directory, DNS-сервера, DHCP-сервера и службы Маршрутизация и удаленный доступ (Routing and Remote Access).

• Назначение маски подсети (если таковая на данном сервере еще не задана). По умол­чанию, Мастер настройки сервера (Configure Your Server Wizard) устанавливает маску подсети 255.255.255.0.

• Назначение основного DNS-сервера (если таковой на данном сервере еще не настроен). По умолчанию, Мастер настройки сервера (Configure Your Server Wizard) назначает основному DNS-серверу тот же адрес, что установлен для рассматриваемого сервера.

• Назначение указанного пользователем сервера пересылок DNS.

• Настройка и активация области DHCP.

• Авторизация DHCP-сервера в Active Directory.

• Настройка контекста именования Active Directory в данном контроллере домена для клиентских приложений TAPI.