Файловый архив студентов. Файловый архив студентов.
1299 вузов, 5053 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белорусский государственный университет информатики и радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

Книга Active directory

.pdf
Скачиваний:
702
Добавлен:
16.03.2016
Размер:
8.2 Mб
Скачать

4 88

Контроллеры домена

 

"

RiiSiTo"

В. Запустить Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard).

Г.Запустить команду Adprep.exe /forestprep.

Д.Запустить команду Adprep.exe /rodcprep.

2.Вы работаете администратором в компании Contoso, Ltd. Домен компании был создан с использованием контроллеров Windows Server 2008. Вам нужно обеспечить локальную проверку подлинности в удаленном узле, повысив ранг рядового сервера до уровня контроллера домеиа только для чтения.

Вузле филиала нет персонала поддержки IT, поэтому вы намерены поручить выполнение этой операции менеджеру. Вы не хотите предоставлять менеджеру административные привилегии в домене. Что должны сделать вы и менеджер? (Укажите все варианты. Каждый правильный ответ — лишь часть полного решения.)

A. Запустить команду Adprep /rodcprep.

Б. Создать учетную запись R O D C

в подразделении Domain Controllers.

B. Запустить команду Dcpromo.exe

с параметром UseExistingAccount.

Г.Удалить сервер из домена.

3.Вам необходимо повысить уровень сервера до ранга контроллера домена, но вы озабочены трафиком репликации, которая будет происходить в это время, и ее влиянием на медленное подключение между узлом сервера и центром данных, где локализованы все контроллеры домена. Поэтому вы решили повысить ранг сервера, используя архив каталога с еще одного контроллера домена. Что нужно сделать для создания носителя установки?

A. Запустить команду Ntbackup.exe и выбрать параметр System State.

Б. Установить компонент Возможности системы архивации данных Windows Server (Windows Server Backup Features).

B. Запустить команду Ntdsutil.exe в режиме установки с носителя IFM

и использовать команду Create Sysvol Full.

Г.Скопировать файл ntds.dit и папку SYSVOL с контроллера домена в удаленный узел.

Занятие 2. Настройка хозяев операций

В домене Active Directory все контроллеры домена равноправны. Все они могут записывать изменения в базу данных и реплицировать их на другие контроллеры домена. Однако в любой топологии репликации со множеством равноправных участников (Multimaster) определенные операции должны выполняться одной и только одной системой. В домене Active Directory мастери, или хозяева операций, — это контроллеры домена, выполняющие особую роль. Другие контроллеры домена тоже могут играть эту роль, но она назначается лишь одному контроллеру. На этом занятии мы рассмотрим пять мастеров операций в лесах

идоменах Active Directory. Мы обсудим их назначение, способы идентифи-J кации хозяев операций на предприятии, а также нюансы администрирования

ипереноса ролей.

Настройка хозяев операций

489

Изучив материалы этого занятия, вы сможете:

У Определить назначение пяти отдельных мастеров операций в лесах Active Directory.

^Идентифицировать контроллеры домена, играющие роли мастеров операций.

SПланировать размещение ролей мастеров операций.

УПереносить и отзывать роли мастеров операций.

Продолжительность занятия — около 45 мин.

Мастеры операций

В любой реплицируемой базе данных некоторые изменения должны производиться одной и только одной репликой, поскольку выполнять их всем равноправным участникам непрактично. Среда Active Directory не исключение. Некий ограниченный набор операций нельзя выполнять в различных местах одновременно, а можно только на одном контроллере в домене или лесу. Для этих операций и контроллеров домена, которые их выполняют, используется множество терминов:

• мастеры, или хозяева операций",

• роли мастеров операций; и отдельные роли мастеров;

маркеры операций;

*роли мастеров операций FSMO (Flexible Single Master Operations).

Независимо от используемого термина суть не меняется. Один контроллер домена выполняет функцию, и в течение этого времени другие контроллеры домена не выполняют эту функцию.

Д е жа вк>

Если вы работали администратором во времена Microsoft Windows NT 4.0, то можете провести некоторую аналогию между мастерами операций и главными контроллерами домена (Primary Domain Controller) в Windows NT. Однако отдельные операции мастеров соответствуют характеристикам любой реплицируемой базы данных, и операции мастеров Active Directory значительно отличаются от контроллеров P D C в Windows NT 4.0.

Все контроллеры домена Active Directory могут выполнять отдельные операции мастеров. Контроллер домена, выполняющий операцию, является текущим владельцем маркера операции.

Маркер операции и соответственно роль можно без труда перенести на еще один контроллер домена без перезагрузки.

Чтобы уменьшить угрозу появления отдельных точек сбоев, маркеры операций можно распределить среди множества контроллеров домена.

17 3ак. 3399

• 490

Контроллеры домена

Глава 10

Доменные службы AD DS содержат пять ролей мастеров операций. Для целого леса предусмотрены две роли:

именование доменов;

схема.

В каждом домене предусмотрены три роли:

относительный идентификатор RID (Relative Identifier);

инфраструктура;

эмулятор PDC.

Впоследующих подразделах все эти роли детально описаны. Таким образом,

влесу с одним доменом есть пять мастеров операций. В лесу с двумя доменами есть восемь мастеров операций, поскольку три мастера операции реализуются отдельно в каждом из двух доменов.

СОВЕТ К ЭКЗАМЕНУ

Запомните список мастеров операций домеиа и леса. Вам наверняка попадутся вопросы, связанные с применением ролей к лесу и домену. Экзаменационные вопросы представляют собой сценарии, где можно запутаться с выбором ответа. Поэтому при прочтении экзаменационных вопросов всегда спрашивайте себя: какие знания на самом деле проверяются этим вопросом? Иногда в сценариях требуются более простые ответы, чем кажется на первый взгляд.

Роли мастеров операций уровня леса

Мастер схемы и мастер именования доменов должны быть уникальными в лесу. Каждую роль играет только один контроллер домена во всем лесу.

Роль мастера именования доменов

Роль именования доменов используется при добавлении и удалении доменов в лесу. При добавлении или удалении домена должен быть доступен мастер именования доменов, иначе при выполнении операции возникнет ошибка.

Роль мастера схемы

Контроллер домена, содержащий роль мастера схемы, отвечает за внесение всех изменений в схему леса. Все остальные контроллеры домена содержат реплики схемы только для чтения. Модификацию схемы или установку приложения, модифицирующего схему, рекомендуется выполнять на контроллере домена, управляющего ролью мастера схемы. В противном случае чтобы внести в схему изменения, их необходимо переслать мастеру схемы.

Роли мастеров операций уровня домена

Каждый домен поддерживает три отдельных мастера операций: RID, инфра-1 структуру и PDC-эмулятор. Каждую роль в домене играет только один кон-| троллер. I

Роль мастера RID

Мастер RID участвует в генерировании идентификаторов безопасности (SID) для таких принципалов безопасности, как пользователи, группы и компьютеры. Идентификатор SID принципала безопасности должен быть уникальным. Поскольку учетные записи, а следовательно, и SID-идентификаторы может создавать любой контроллер домена, необходим механизм, гарантирующий уникальность SID-идентификаторов, генерируемых контроллером домена. Контроллеры домена Active Directory генерируют SID-идентификаторы, назначая SID-идентификатору домена уникальный относительный RID-идентификатор. Мастер RID домена выделяет каждому контроллеру в домене пулы уникальных RID-идентификаторов. Таким образом, каждый контроллер домена может гарантировать уникальность SID-идентификаторов.

ПРИМЕЧАНИЕ

Аналогичность роли мастера RID и DHCP для SID-идентификаторов

Если вам знакома концепция выделения области IP-адресов серверу DHCP (Dynamic Host Configuration Protocol) для назначения адресов клиентов, вы можете провести параллель между этой концепцией и мастером RID, который выделяет пулы RIDидентификаторов контроллерам домена для создания SID-идентификаторов.

Роль мастера инфраструктуры

В среде из множества доменов объекты в одних доменах часто ссылаются на объекты в других. Например, в группу могут входить члены из другого домена. Ее многозначный атрибут member содержит отличительные имена каждого члена. При перемещении или переименовании члена из другого домена мастер инфраструктуры домена группы соответствующим образом обновляет атрибут member группы.

ПРИМЕЧАНИЕ

Мастер инфраструктуры

Мастер инфраструктуры — это что-то вроде устройства, отслеживающего членов группы из других доменов. При перемещении или переименовании этих членов в другом домене мастер инфраструктуры определяет изменения и вносит соответствующие поправки в членство в группах.

Фантомы каталога

Хотя на сертификационном экзамене вам не потребуется «препарировать внутренности» мастера инфраструктуры, такие знания помогут при работе в производственной среде. При добавлении члена из другого домена в группу вашего домена к атрибуту member группы прикрепляется отличительное имя нового члена. Однако ваш домен не всегда имеет доступ к контроллеру домена члена группы, поэтому Active Directory создает объект-фантом, представляющий члена группы. Объект-фантом содержит только SID-идентификатор члена, отличительное имя DN (Distinguished Name) и глобальный уникальный идентификатор (GUID). В случае перемещения или переименования члена группы в его домене GUID-идентнфикатор члена не меняется, зато меняется его имя DN.

(см. след. стр.)

• 492

Контроллеры домена

Глава 10

 

 

При перемещении объекта в другой домен меняется и его SID-идентификатор. Мастер инфраструктуры периодически (каждые два дня по умолчанию) связывается с глобальным каталогом GC (Global Catalog) или контроллером домена члена группы и выполняет поиск всех объектов-фантомов с текущим именем DN объекта. Затем все изменения вносятся в атрибут member групп.

Если просмотреть членство в группе с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers) после перемещения или переименования члена группы из другого домена и до обновления имен DN мастером инфраструктуры, в списке группы этого члена может не быть. Но несмотря на это член продолжает принадлежать к группе. Атрибут memberOf члена также связан с группой, поэтому атрибут memberOf и построенный атрибут tokenGroup не изменяются. Это не вредит безопасности: заметить временное несоответствие может лишь администратор, просматривающий членство в этой отдельной группе.

Роль PDC-эмулятора

Роль PDC-эмулятора выполняет для домена множество важных функций.

Эмуляция главного контроллера домена ( P D C ) д л я обратной совмести-

мости Во времена доменов Windows NT 4.0 только главные контроллеры домена PDC могли вносить изменения в каталог. Прежние инструменты, утилиты и клиенты, поддерживающие Windows NT 4.0, не рассчитаны на то, что все контроллеры домена Active Directory могут выполнять запись в каталог, и поэтому требуют подключения к PDC . Контроллер домена с ролью PDC-эмулятора регистрирует себя как главный контроллер домена PDC (Primary Domain Controller), чтобы низкоуровневые приложения могли локализовать пишущий контроллер домена. Такие приложения попадаются нечасто, поскольку Active Directory существует уже около 10 лет, так что если на вашем предприятии используется такое приложение, попробуйте обновить его для полной совместимости с Active Directory.

• Участие в репликации обновлений паролей домена При сбросе или изменении пароля пользователя контроллер домена, вносящий изменение, немедленно реплицирует это изменение на PDC - эмулятор . Эта особая репликация гарантирует, что контроллеры домена быстро узнают новый пароль. Если пользователь пытается войти в систему сразу же после изменения пароля, контроллер домена, отвечающий на запрос входа пользователя, может еще не знать новый пароль. Перед отклонением попытки входа этот контроллер домена направляет запрос проверки подлинности на PDC-эмулятор, который проверяет корректность нового пароля и указывает контроллеру домена принять запрос входа. Это означает, что каждый раз при вводе пользователем неправильного пароля проверка подлинности направляется на PDC-эмулятор для получения второго заключения. Поэтому PDC-эмулятор должен быть всегда доступен для всех клиентов в домене. Его нужно установить на высокопроизводительном контроллере домена с быстрыми подключениями.

Занятие 2

 

Настройка хозяев операций

4 д з

Управление обновлениями групповой политики в домеие Если объект

 

групповой политики G P O (Group Policy Object) модифицируется на двух

 

контроллерах домена примерно в одно и то же время, могут возникать

 

конфликты между двумя версиями, которые нельзя разрешить при репли-

 

кации GPO . Чтобы избежать таких конфликтов, PDC-эмулятор действует

 

как точка фокуса всех изменений групповой политики. При открытии GPO

 

редактор управления групповыми политиками GPME (Group Policy Mana-

 

gement Editor) привязывается к контроллеру домена, выполняющему роль

 

PDC-эмулятора. Поэтому все изменения объектов GPO по умолчанию

 

вносятся на PDC-эмулятор.

 

 

О б е с п е ч е н и е главного источника

времени домена Службы

Active

 

Directory, Kerberos, репликации файлов FRS (File Replication Service) и

 

DFS-R используют временные штампы, поэтому необходима синхрони-

 

зация времени во всех системах домена. По умолчанию PDC-эмулятор

 

в корневом домене леса служит ведущим источником времени для всего

 

леса. PDC - эмулятор в каждом домене синхронизирует свое время с PDC-

 

эмулятором корневого домена леса. Другие контроллеры домена синхро-

 

низируют время с PDC - эмулятором домена, а остальные члены домена —

 

с предпочтительным контроллером домена. Эта иерархическая структура

 

синхронизации реализована в службе Win32Time, гарантирующей времен-

 

ное соответствие. Синхронизируется универсальное глобальное время UTC

 

(Universal Time Coordinate), а время, отображаемое для пользователей,

 

меняется в соответствии с параметрами часового пояса компьютера.

К СВЕДЕНИЮ

Единственное изменение службы времени

 

Настоятельно рекомендуется позволить Windows по умолчанию поддерживать свои внутренние механизмы синхронизации времени. Единственное изменение, которое необходимо внести, заключается в настройке PDC-эмулятора корневого домена леса для синхронизации с внешним источником времени. Если не указать источник времени для PDC-эмулятора, журнал событий Система (System) будет содержать ошибки с соответствующими напоминаниями. Более подробную информацию о синхронизации времени можно найти по адресу http://go.microsoft.com/fwlink/?LinkId=91969.

• Выполнение функций центрального браузера домена При открытии окна Сеть (Network) в Windows отображается список рабочих групп и доменов, а при открытии рабочей группы или домена отображается список компьютеров. Эти два списка просмотра создаются службой обозревателя (Browser).

В каждом сетевом сегменте ведущий обозреватель создает список просмотра

срабочими группами, доменами и серверами этого сегмента. Центральный обозреватель домена объединяет списки всех ведущих обозревателей, чтобы клиенты могли извлечь полный список просмотра.

Размещение хозяев операций

При создании корневого домена леса с первым контроллером домена все пять ролей-хозяев операций выполняет этот контроллер. По мере добавления контроллеров в домен можно переносить роли хозяев операций на другие

• 494

Контроллеры домена

Глава 10

контроллеры, чтобы балансировать нагрузку среди контроллеров домена или оптимизировать размещение отдельных хозяев операций. Далее приведены рекомендации о размещении ролей хозяев операций.

• Совместная локализация хозяина схемы и хозяина именования доменов Хозяин схемы и хозяин именования доменов должны быть размещены на одном контроллере домена, который служит сервером глобального каталога GC (Global Catalog). Эти роли редко используются, и контроллер домена, управляющий ими, должен быть хорошо защищен. Хозяина именования доменов необходимо разместить на сервере GC потому, что при добавлении нового домена хозяин должен гарантировать, что в лесу нет объекта с тем же именем, что у добавляемого домена. Частичная реплика GC содержит j имя каждого объекта в лесу. Нагрузка этих ролей хозяев операций довольно мала, если в схему не вносятся модификации.

• Совместное размещение ролей х о з я и н а R I D и PDC - э м у л я т о р а Разместите роли RID и PDC-эмулятора на одном контроллере домена. Если из соображений балансировки нагрузки необходимо разместить эти роли на двух контроллерах домена, для этих двух систем нужно установить быстрое физическое подключение и создать в Active Directory явные объекты подключения, поскольку они — прямые партнеры по репликации. Они также должны быть прямыми партнерами по репликации с контроллерами домена, играющими роль резервных хозяев операций.

Размещение хозяина инфраструктуры на контроллере домена, который

ие служит сервером глобального каталога

Хозяина инфраструктуры

следует разместить на контроллере домена,

который не служит сервером

глобального каталога GC (Global Catalog), но физически подключен к сер-

 

веру GC. Хозяин инфраструктуры должен располагать в Active Directory

 

явными объектами подключения к этому серверу GC, то есть они прямые

I

партнеры по репликации.

Хозяина инфраструктуры можно разместить на контроллере домена, кото-

 

рый играет роль хозяина RID и PDC-эмулятора.

 

ПРИМЕЧАНИЕ

Все контроллеры домена служат серверами глобального каталога

 

Если все контроллеры домена будут серверами GC (в соответствии с рекомендациями в главе И), вам не понадобится определять, какой контроллер домена станет хозяином инфраструктуры. Если все контроллеры домена будут серверами глобального каталога, на них будет постоянно обновляться информация о каждом объекте в лесу, и роль хозяина инфраструктуры будет не нужна.

• Наличие плана обработки отказов В следующих подразделах мы рассмотрим перенос отдельных ролей хозяев операций с одних контроллеров домена на другие, что необходимо делать при долгих запланированных и незапланированных простоях хозяина операций. Определите план переноса операций на другие контроллеры домена на случай отключения одного хозяина операции от сети.

Занятие 2

Настройкахозяев операций

495

Идентификация хозяев операций

Для реализации плана размещения ролей нужно знать, какие контроллеры домена в настоящее время выполняют отдельные роли хозяев операций. Каждая роль отображается в административном инструменте Active Directory, а также в других средствах пользовательского интерфейса и командной строки. Для идентификации текущего хозяина каждой роли используйте следующие инструменты.

PDC - эмулятор: оснастка Active Directory — пользователи и компьютеры

(Active Directory Users and Computers) Щелкните домен правой кнопкой мыши и примените команду Хозяева операций (Operations Masters). Перейдите на вкладку PDC . На рис. 10-2 показан пример, где сервер SERVER01. contoso.com — хозяин операций PDC.

Jisi

Хозяин onepawrt >правляег размещегмем пупсе R10 для atr/rw. контроллер-* долена Эту роль еьлолнзет только од№ч сервер е домене

Хоээдн оперзшй ]5ERVEROt.coftoM.com

Дли п е р е д о porot хозаила операций дамнэму компьютеру нажми,? кмзлку "Изме^тъ"

jSERVER02cortow com

Рис. 10-2. Хозяин операций PDC

Хозяин R I D : оснастка Active Directory — пользователи и компьютеры

(Active Directory Users

and Computers) Щелкните домен правой кноп-

кой мыши и примените

команду Хозяева операций (Operations Masters).

Перейдите на вкладку RID.

Хозяин инфраструктуры: оснастка Active Directory — пользователи

и компьютеры (Active Directory Users and Computers) Щелкните домен правой кнопкой мыши и примените команду Хозяин операций (Operations Master). Перейдите на вкладку Инфраструктура (Infrastructure).

Хозяин именования доменов: Active Directory — домены и доверие (Ac-

tive Directory Domain And Trusts) Щелкните корневой узел правой кнопкой мыши и примените команду Хозяин операций (Operations Master).

496

Контроллеры домена

Глава 10

• Хозяин схемы: оснастка Схема Active Directory (Active Directory Schema) Щелкните правой кнопкой мыши корневой узел оснастки и примените команду Хозяин операций (Operations Master).

ПРИМЕЧАНИЕ

Регистрация оснастки Схема Active Directory

Оснастку Схема Active Directory (Active Directory Schema) следует зарегистрировать перед созданием настраиваемой консоли ММС (Microsoft Management Console) с этой оснасткой. Для этого в командную строку введите команду regsvr32 schmmgmt.dll.

Для идентификации хозяев операций можно использовать несколько средств, включая следующие команды:

ntdsutil roles connections

connect to server РООМ_иня_контроллера_донена:номер_порта quit

select operation target

list roles for connected server" quit

quit quit

dcdiag /test:knowsofroleholders /v

netdom query fsmo

ПРИМЕЧАНИЕ

В упражнении 1 в конце этого занятия пошагово описан процесс идентификациихозяев операций.

Перенос ролей хозяев операций

Отдельные роли хозяев операций можно без труда переносить. Перенос ролей осуществляется в следующих сценариях.

При установке леса все пять ролей выполняет первый установленный контроллер домена. При добавлении домена в лес все три роли уровня домена выполняет первый контроллер в этом домене. По мере добавления контроллеров домена роли можно распределить, чтобы исключать единые точки сбоев и повышать производительность.

Если вы планируете отключить от сети контроллер домена, выполняющий

роль хозяина операций, перенесите эту роль на другой контроллер домена.

Если вы выводите из эксплуатации контроллер домена, выполняющий роль хозяина операций, перенесите ее на другой контроллер домена. Мастер установки доменных служб Active Directory попытается выполнить это задание автоматически, но вы должны подготовиться к отключению контроллера домена, перенеся его роли.

Занятие 2

Настройка хозяев операций

з

Чтобы перенести роль хозяина операций, выполните следующие действия.

1.Откройте административный инструмент, определяющий текущего хозяина. Например, откройте Active Directory — пользователи и компьютеры (Active Directory Users And Computers) для переноса одной из трех ролей хозяев операций домена.

2.Подключитесь к контроллеру домена, иа который хотите перенести роль. Для этого щелкните правой кнопкой мыши корневой узел оснастки и примените команду Сменить контроллер домена (Change Domain Controller) или Сменить контроллер домена Active Directory (Change Active Directory Domain Controller) — в зависимости от используемой оснастки.

3.Откройте диалоговое окно Хозяин операций (Operations Master), где указан контроллер домена, управляющий маркером роли хозяина операций. Щелкните кнопку Изменить (Change), чтобы перенести роль на контроллер домена, к которому вы подключены.

ПРИМЕЧАНИЕ

В упражнении 2 в конце этого занятия пошагово описан перенос роли хозяина операций.

При переносе роли хозяина операций текущий и новый хозяева отключаются от сети. Переносится маркер, и новый хозяин немедленно начинает выполнять роль, а прежний хозяин сразу перестает выполнять ее. Для перемещения ролей хозяев операций рекомендуется использовать этот метод.

Перед переносом роли рекомендуется проверить состояние репликации новой роли со старого хозяина роли. Принудительное включение репликации между двумя системами описано в главе 11.

Ошибки распознавания хозяев операций

Некоторые роли хозяев операций могут на время быть недоступны, прежде чем их отсутствие начнет создавать проблемы,- Другие хозяева операций играют ключевую роль при ежедневных операциях на предприятии. Информацию о неполадках хозяев операций можно отыскать в журнале событий Служба каталогов (Directory Service).

Однако вы часто будете сталкиваться с отказами хозяина операций при попытках выполнить функцию, управляемую хозяином. Например, в случае отказа хозяина RID вы не сможете создавать новые принципалы безопасности.

Отзыв ролей хозяев операций

При отказе контроллера домена, выполняющего отдельную роль хозяина операций, и невозможности вернуть систему в рабочее состояние, можно отозвать маркер операций. При отзыве роли новый хозяин назначается без удаления роли отказавшего хозяина.

Отзыв* роли — это радикальная мера, поэтому перед отзывом убедитесь в том, что он действительно необходим. Определите причину и допустимую

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности