
Книга Active directory
.pdf
4 88 |
Контроллеры домена |
|
" |
RiiSiTo" |
В. Запустить Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard).
Г.Запустить команду Adprep.exe /forestprep.
Д.Запустить команду Adprep.exe /rodcprep.
2.Вы работаете администратором в компании Contoso, Ltd. Домен компании был создан с использованием контроллеров Windows Server 2008. Вам нужно обеспечить локальную проверку подлинности в удаленном узле, повысив ранг рядового сервера до уровня контроллера домеиа только для чтения.
Вузле филиала нет персонала поддержки IT, поэтому вы намерены поручить выполнение этой операции менеджеру. Вы не хотите предоставлять менеджеру административные привилегии в домене. Что должны сделать вы и менеджер? (Укажите все варианты. Каждый правильный ответ — лишь часть полного решения.)
A. Запустить команду Adprep /rodcprep.
Б. Создать учетную запись R O D C |
в подразделении Domain Controllers. |
B. Запустить команду Dcpromo.exe |
с параметром UseExistingAccount. |
Г.Удалить сервер из домена.
3.Вам необходимо повысить уровень сервера до ранга контроллера домена, но вы озабочены трафиком репликации, которая будет происходить в это время, и ее влиянием на медленное подключение между узлом сервера и центром данных, где локализованы все контроллеры домена. Поэтому вы решили повысить ранг сервера, используя архив каталога с еще одного контроллера домена. Что нужно сделать для создания носителя установки?
A. Запустить команду Ntbackup.exe и выбрать параметр System State.
Б. Установить компонент Возможности системы архивации данных Windows Server (Windows Server Backup Features).
B. Запустить команду Ntdsutil.exe в режиме установки с носителя IFM
и использовать команду Create Sysvol Full.
Г.Скопировать файл ntds.dit и папку SYSVOL с контроллера домена в удаленный узел.
Занятие 2. Настройка хозяев операций
В домене Active Directory все контроллеры домена равноправны. Все они могут записывать изменения в базу данных и реплицировать их на другие контроллеры домена. Однако в любой топологии репликации со множеством равноправных участников (Multimaster) определенные операции должны выполняться одной и только одной системой. В домене Active Directory мастери, или хозяева операций, — это контроллеры домена, выполняющие особую роль. Другие контроллеры домена тоже могут играть эту роль, но она назначается лишь одному контроллеру. На этом занятии мы рассмотрим пять мастеров операций в лесах
идоменах Active Directory. Мы обсудим их назначение, способы идентифи-J кации хозяев операций на предприятии, а также нюансы администрирования
ипереноса ролей.
• 492 |
Контроллеры домена |
Глава 10 |
|
|
При перемещении объекта в другой домен меняется и его SID-идентификатор. Мастер инфраструктуры периодически (каждые два дня по умолчанию) связывается с глобальным каталогом GC (Global Catalog) или контроллером домена члена группы и выполняет поиск всех объектов-фантомов с текущим именем DN объекта. Затем все изменения вносятся в атрибут member групп.
Если просмотреть членство в группе с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers) после перемещения или переименования члена группы из другого домена и до обновления имен DN мастером инфраструктуры, в списке группы этого члена может не быть. Но несмотря на это член продолжает принадлежать к группе. Атрибут memberOf члена также связан с группой, поэтому атрибут memberOf и построенный атрибут tokenGroup не изменяются. Это не вредит безопасности: заметить временное несоответствие может лишь администратор, просматривающий членство в этой отдельной группе.
Роль PDC-эмулятора
Роль PDC-эмулятора выполняет для домена множество важных функций.
•Эмуляция главного контроллера домена ( P D C ) д л я обратной совмести-
мости Во времена доменов Windows NT 4.0 только главные контроллеры домена PDC могли вносить изменения в каталог. Прежние инструменты, утилиты и клиенты, поддерживающие Windows NT 4.0, не рассчитаны на то, что все контроллеры домена Active Directory могут выполнять запись в каталог, и поэтому требуют подключения к PDC . Контроллер домена с ролью PDC-эмулятора регистрирует себя как главный контроллер домена PDC (Primary Domain Controller), чтобы низкоуровневые приложения могли локализовать пишущий контроллер домена. Такие приложения попадаются нечасто, поскольку Active Directory существует уже около 10 лет, так что если на вашем предприятии используется такое приложение, попробуйте обновить его для полной совместимости с Active Directory.
• Участие в репликации обновлений паролей домена При сбросе или изменении пароля пользователя контроллер домена, вносящий изменение, немедленно реплицирует это изменение на PDC - эмулятор . Эта особая репликация гарантирует, что контроллеры домена быстро узнают новый пароль. Если пользователь пытается войти в систему сразу же после изменения пароля, контроллер домена, отвечающий на запрос входа пользователя, может еще не знать новый пароль. Перед отклонением попытки входа этот контроллер домена направляет запрос проверки подлинности на PDC-эмулятор, который проверяет корректность нового пароля и указывает контроллеру домена принять запрос входа. Это означает, что каждый раз при вводе пользователем неправильного пароля проверка подлинности направляется на PDC-эмулятор для получения второго заключения. Поэтому PDC-эмулятор должен быть всегда доступен для всех клиентов в домене. Его нужно установить на высокопроизводительном контроллере домена с быстрыми подключениями.
• 494 |
Контроллеры домена |
Глава 10 |
контроллеры, чтобы балансировать нагрузку среди контроллеров домена или оптимизировать размещение отдельных хозяев операций. Далее приведены рекомендации о размещении ролей хозяев операций.
• Совместная локализация хозяина схемы и хозяина именования доменов Хозяин схемы и хозяин именования доменов должны быть размещены на одном контроллере домена, который служит сервером глобального каталога GC (Global Catalog). Эти роли редко используются, и контроллер домена, управляющий ими, должен быть хорошо защищен. Хозяина именования доменов необходимо разместить на сервере GC потому, что при добавлении нового домена хозяин должен гарантировать, что в лесу нет объекта с тем же именем, что у добавляемого домена. Частичная реплика GC содержит j имя каждого объекта в лесу. Нагрузка этих ролей хозяев операций довольно мала, если в схему не вносятся модификации.
• Совместное размещение ролей х о з я и н а R I D и PDC - э м у л я т о р а Разместите роли RID и PDC-эмулятора на одном контроллере домена. Если из соображений балансировки нагрузки необходимо разместить эти роли на двух контроллерах домена, для этих двух систем нужно установить быстрое физическое подключение и создать в Active Directory явные объекты подключения, поскольку они — прямые партнеры по репликации. Они также должны быть прямыми партнерами по репликации с контроллерами домена, играющими роль резервных хозяев операций.
•Размещение хозяина инфраструктуры на контроллере домена, который
ие служит сервером глобального каталога |
Хозяина инфраструктуры |
следует разместить на контроллере домена, |
который не служит сервером |
глобального каталога GC (Global Catalog), но физически подключен к сер- |
|
|
веру GC. Хозяин инфраструктуры должен располагать в Active Directory |
|
|
явными объектами подключения к этому серверу GC, то есть они прямые |
I |
|
партнеры по репликации. |
||
Хозяина инфраструктуры можно разместить на контроллере домена, кото- |
|
|
рый играет роль хозяина RID и PDC-эмулятора. |
|
|
ПРИМЕЧАНИЕ |
Все контроллеры домена служат серверами глобального каталога |
|
Если все контроллеры домена будут серверами GC (в соответствии с рекомендациями в главе И), вам не понадобится определять, какой контроллер домена станет хозяином инфраструктуры. Если все контроллеры домена будут серверами глобального каталога, на них будет постоянно обновляться информация о каждом объекте в лесу, и роль хозяина инфраструктуры будет не нужна.
• Наличие плана обработки отказов В следующих подразделах мы рассмотрим перенос отдельных ролей хозяев операций с одних контроллеров домена на другие, что необходимо делать при долгих запланированных и незапланированных простоях хозяина операций. Определите план переноса операций на другие контроллеры домена на случай отключения одного хозяина операции от сети.
• 496 |
Контроллеры домена |
Глава 10 |
• Хозяин схемы: оснастка Схема Active Directory (Active Directory Schema) Щелкните правой кнопкой мыши корневой узел оснастки и примените команду Хозяин операций (Operations Master).
ПРИМЕЧАНИЕ |
Регистрация оснастки Схема Active Directory |
Оснастку Схема Active Directory (Active Directory Schema) следует зарегистрировать перед созданием настраиваемой консоли ММС (Microsoft Management Console) с этой оснасткой. Для этого в командную строку введите команду regsvr32 schmmgmt.dll.
Для идентификации хозяев операций можно использовать несколько средств, включая следующие команды:
ntdsutil roles connections
connect to server РООМ_иня_контроллера_донена:номер_порта quit
select operation target
list roles for connected server" quit
quit quit
dcdiag /test:knowsofroleholders /v
netdom query fsmo
ПРИМЕЧАНИЕ
В упражнении 1 в конце этого занятия пошагово описан процесс идентификациихозяев операций.
Перенос ролей хозяев операций
Отдельные роли хозяев операций можно без труда переносить. Перенос ролей осуществляется в следующих сценариях.
•При установке леса все пять ролей выполняет первый установленный контроллер домена. При добавлении домена в лес все три роли уровня домена выполняет первый контроллер в этом домене. По мере добавления контроллеров домена роли можно распределить, чтобы исключать единые точки сбоев и повышать производительность.
•Если вы планируете отключить от сети контроллер домена, выполняющий
роль хозяина операций, перенесите эту роль на другой контроллер домена.
•Если вы выводите из эксплуатации контроллер домена, выполняющий роль хозяина операций, перенесите ее на другой контроллер домена. Мастер установки доменных служб Active Directory попытается выполнить это задание автоматически, но вы должны подготовиться к отключению контроллера домена, перенеся его роли.
Занятие 2 |
Настройка хозяев операций |
4дз |
Чтобы перенести роль хозяина операций, выполните следующие действия.
1.Откройте административный инструмент, определяющий текущего хозяина. Например, откройте Active Directory — пользователи и компьютеры (Active Directory Users And Computers) для переноса одной из трех ролей хозяев операций домена.
2.Подключитесь к контроллеру домена, иа который хотите перенести роль. Для этого щелкните правой кнопкой мыши корневой узел оснастки и примените команду Сменить контроллер домена (Change Domain Controller) или Сменить контроллер домена Active Directory (Change Active Directory Domain Controller) — в зависимости от используемой оснастки.
3.Откройте диалоговое окно Хозяин операций (Operations Master), где указан контроллер домена, управляющий маркером роли хозяина операций. Щелкните кнопку Изменить (Change), чтобы перенести роль на контроллер домена, к которому вы подключены.
ПРИМЕЧАНИЕ
В упражнении 2 в конце этого занятия пошагово описан перенос роли хозяина операций.
При переносе роли хозяина операций текущий и новый хозяева отключаются от сети. Переносится маркер, и новый хозяин немедленно начинает выполнять роль, а прежний хозяин сразу перестает выполнять ее. Для перемещения ролей хозяев операций рекомендуется использовать этот метод.
Перед переносом роли рекомендуется проверить состояние репликации новой роли со старого хозяина роли. Принудительное включение репликации между двумя системами описано в главе 11.
Ошибки распознавания хозяев операций
Некоторые роли хозяев операций могут на время быть недоступны, прежде чем их отсутствие начнет создавать проблемы,- Другие хозяева операций играют ключевую роль при ежедневных операциях на предприятии. Информацию о неполадках хозяев операций можно отыскать в журнале событий Служба каталогов (Directory Service).
Однако вы часто будете сталкиваться с отказами хозяина операций при попытках выполнить функцию, управляемую хозяином. Например, в случае отказа хозяина RID вы не сможете создавать новые принципалы безопасности.
Отзыв ролей хозяев операций
При отказе контроллера домена, выполняющего отдельную роль хозяина операций, и невозможности вернуть систему в рабочее состояние, можно отозвать маркер операций. При отзыве роли новый хозяин назначается без удаления роли отказавшего хозяина.
Отзыв* роли — это радикальная мера, поэтому перед отзывом убедитесь в том, что он действительно необходим. Определите причину и допустимую