WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 | 2 || 4 | 5 |   ...   | 8 |

«Л РУССКИ Федор Зубанов Active Directory подход профессионала Издание 2-е, исправленное Москва 2003 ...»

-- [ Страница 3 ] --

118 Active Directory: подход профессионала Как разрешаются имена NetBIOS Думаю, ни для кого не секрет, что в сетях Microsoft могут применять ся три механизма разрешения имен NetBIOS:

+ поиск в файле LMHOSTS;

• широковещательные рассылки;

• сервер WINS.

Первый механизм можно назвать архаичным и неудобным. Подобно тому, как в сервере DNS, имеющем только статические зоны, все за писи надо добавлять вручную, так и поддержание актуальной инфор мации в файле LMHOSTS — обязанность администратора. Я уж не говорю о проблемах, связанных с безопасностью, возникающих при работе с централизованными файлами LMHOSTS. Допустим, на каждом клиентском компьютере есть свой файл LMHOSTS такими строками;

10,1.1.3 SERVER »PRE ftlNCLUDE \\SEHVER\PUBLIC\LHHOSTS Очевидно, что первая определяет адрес сервера SERVER, а вторая по зволяет загрузить централизованный файл LMHOSTS, хранящийся на этом сервере. Знаете ли вы, что надо предпринять, чтобы это работа ло? Одно из условий — предоставить группе Everyone доступ Change к ресурсу \\Server\public! Просто лафа злоумышленникам!

Широковещательные рассылки, как показывает опыт, — довольно распространенный способ разрешения имен NetBIOS. Для маленьких сетей он еще приемлем, но для средних и больших совершенно не годится. Во-первых, генерируется значительный трафики сети. И чем больше компьютеров, тем больше трафик. Во-вторых, широковеща тельные рассылки, как правило, не передаются между сегментами сети.

Ну, и в-третьих, так как каждый компьютер должен откликнуться на каждую рассылку, это его дополнительно загружает.

Поэтому лучший способ разрешения NetBIOS-имен — применить сер вер WINS: вы избавитесь от.широковещательных рассылок, сможете использовать в больших сегментированных сетях и легко контроли ровать зарегистрированные имена и разрешать конфликты.

При этом есть 4 способа разрешения имен клиентскими компьюте рами: b-node, p-node, m-node и h-node. Первый предполагает только широковещательные рассылки, второй — только серверы имен WINS.

Третий и четвертый являются комбинацией первого и второго спо собов, но если в режиме m-node сначала рассылаются широковеща тельные сообщения, а потом идет обращение к серверу WINS, то в режиме h-node все выполняется с точностью до наоборот. С точки зрения нагрузки на сеть, более предпочтителен режим h-node.

Установка Active Directory Замечание Все эти режимы в случае неудачи обращаются сначала к файлу LMHOSTS (если это разрешено на клиенте), а потом -— к сер веру DNS.

Теперь выясните, как разрешаются NetBIOS-имена в вашей сети. Для этого выполните команду nbtstat -г. Не удивляйтесь, если вы исполь зуете 'WINS, а число имен, разрешенных с помощью широковещатель ных рассылок, весьма велико. Посмотрите на имена компьютеров, раз решенных таким способом. Скорее всего они просто не являются кли ентами WINS.

Так что приходим к выводу: уж коли используется NetBIOS, то без WINS не обойтись. Тогда зададимся другим вопросом.

А нужен ли NetBIOS?

В самом деле, может, ну его? Удалим, и дело с концом. И широковеща тельных рассылок не будет, и сервер WINS ставить не надо, а?

Из документации известно, что для работы Windows 2000 интерфейс NetBIOS больше не нужен, если используется только среда Windows 2000. То есть в сети нет больше других клиентов Windows (9.x или NT).

Проверим это, Советую провести простой опыт. Запретите на двух компьютерах с Windows 2000 (или Windows XP) NetBIOS, а потом на одном из них зайдите в Сетевое окружение и просмотрите содержи мое домена (или рабочей группы), в котором расположены данные компьютеры. Много увидели? Ага: НИЧЕГО. А все потому, что нет боль ше главного браузера и нет механизма, который бы позволил про смотреть содержимое домена. Помните, мы выписывали имена для них? Попробуйте выполнить команду nbtstat -n на любом из этих компьютеров. Никаких записей вы больше не увидите, Так что, все пропало и больше ничего не работает? Отнюдь нет. По шлите сообщение с одного компьютера на другой командой net send.

Сообщения передаются. В строке Run наберите \\имя_любого_ком пьютера\. Вы увидите, как в списке появятся все ресурсы данного компьютера, предоставленные в совместное пользование. Выполни те другие сетевые операции. Все они будут работать.

120 Active Directory: подход профессионала if LMH05T5 totwup it enabled, ii appeef la d> conriKlio'' lor which TCP/IP *erabi«d • Отключение поддержки NetBIOS Итак, отказываемся от NetBIOS!,. Постойте, а вы проверили приложе ния? Как они обойдутся без этого интерфейса? Помните, в начале этого раздела я сказал, что NetBIOS «используется приложениями для взаимодействия"? Так вот, составьте список ваших программ и проте стируйте их на работоспособность. Microsoft SMS 2.0 можно не тес тировать: он работать не будет.

Если окажется, что приложений, которые пока не могут обойтись без NetBIOS, у вас хватает (или даже одно, но очень важное, и заменить его нечем), придется оставить NetBIOS до лучших времен и заняться конфигурированием серверов WINS.

Краткие советы по установке серверов WINS Нет смысла подробно описывать конфигурирование серверов WINS — все это уже сделано в разных книгах, в первую очередь в [4]. Поэтому ограничусь только самыми главными советами.

Сервер WINS рассчитан на высокую нагрузочную способность и мо жет один обслуживать компанию с 10-15 тысячами компьютеров.

Однако из соображений надежности и постоянной доступности этой службы нужно иметь не менее 2 серверов WINS. Оба должны быть push-pull партнерами по репликации.

Установка Active Directory Внимание При настройке параметров TCP/IP на серверах WINS нельзя в качестве адреса сервера WINS указывать свой адрес. Это дол жны быть адреса партнеров по репликации.

Если ваша сеть разбита на несколько сайтов, то целесообразность размещения серверов WINS внутри сайта определяется количеством компьютеров в сайте, а также установленной на них ОС. Если на всех компьютерах Windows 2000 или Windows XP нет приложений, для работы которых требуется NetBIOS, его можно вообще не использо вать. В противном случае обращаем внимание как на количество ком пьютеров, так и на необходимость для пользователей обращаться по NetBIOS к ресурсам на других сайтах. Если компьютеров мало (10 20) и нет нужды просматривать ресурсы вне сайга, можно обойтись без сервера WINS и применять широковещательные рассылки для разрешения имен. Если же просмотр внешних для сайта ресурсов все таки нужен, то компьютеры конфигурируются как клиенты WINS в другом сайте, а маршрутизатор должен пересылать запросы к WINS.

т. е. выступать в роли WINS proxy. Если это невозможно, то на одной из машин с Windows 2QOO нужно сконфигурировать WINS proxy. Если в сайте много компьютеров, установите локальный сервер WINS и сконфигурируйте его в качестве партнера по репликации для серве ров WINS в родительском сайте.

Обычно серверы WINS можно размещать на контроллерах домена.

Например, если вы спланировали Active Directory так, что у вас име ется корневой домен, не содержащий пользователей и применяемый лишь как держатель имени домена и административных групп, то его контроллеры домена не очень загружены и могут выполнять допол нительные функции. Но будьте внимательны. Если топология Active Directory такова, что с центрхчьным сайтом связаны десятки (или даже сотни) других сайтов, то серверы-форпосты в центральном сайте будут чрезвычайно загружены, и размещать на них дополнительные службы, такие как WINS, категорически не рекомендуется.

И последнее. Вы, наверное, знаете, что сервер WINS можно задейство вать совместно с сервером DNS для разрешения имен NetBIOS. Для этого на сервере DNS используются записи типа WINS. В сетях на базе Windows NT 4.0 это было удобно, так как служба DNS в Windows NT не поддерживает динамических обновлений. Актуально ли это для Windows 2000/XP? Теоретически эту функцию можно использовать.

Особый смысл она имеет, когда клиенты (не Windows 2000/XP) не используют службу DHCP для получения адресов IP. В противном же случае лучше применять службу DHCP для регистрации клиентов в DNS. Вот мы и подошли к рассмотрению особенностей использова ния этой службы в Windows 2000.

122 Active Directory: подход профессионала Как правильно настроить DHCP Служба DHCP существует в Windows уже довольно давно и, казалось бы, не должна вызывать проблем или вопросов. Однако многие, даже довольно опытные администраторы порой не знают некоторых свойств DHCP, что приводит к возникновению проблем в сети, по крайней мере к недоумениям. Конечно, разобравшись в источнике проблем, так и хочется ударить себя по лбу и сказать что-то типа «Семен Семен ыч!..-, но лучше заранее побеспокоиться и предотвратить появление нежелательных ситуаций.

Среди тем, незнание или неполное понимание которых обычно при водит к нештатным ситуациям, отмечу такие:

ф авторизация сервера DHCP;

+ суперобласти и плоская сеть;

+ размещение сервера DHCP в сегментированной сети;

• параметры, определяемые для сервера, областей и исключений и порядок их назначения;

• работа с пользовательскими идентификаторами;

ф динамическая регистрация имен в DNS;

• разрешение конфликтных ситуаций.

Что дает авторизация Тот, кто работал с Windows NT, знает, что наличие двух серверов DHCP в сети может при определенных условиях привести к ее частичной и даже полной неработоспособности. Рассмотрим пример. В сегменте сети установлен сервер DHCP, на котором определена область с диа пазоном адресов 137.45-45.1 — 137.45-45.254. Некто в исследовательс ких целях устанавливает собственный сервер DHCP и активизирует на нем область с диапазоном 10.1.1.1 — 10.1.1.50. Ясно, что спустя некоторое время многие машины потеряют доступ к ресурсам сети.

(Кому это не ясно, обратитесь к [4].) Подобное было возможно из-за того, что практически любой мог активизировать свой сервер DHCP.

Появившаяся в Windows 2000 авторизация серверов в Active Directory вселила надежду, что с этим покончено. И правда, как написано в упомянутой выше книге, для того, чтобы служба DHCP стартовала и обслуживала пользователей, она должна быть авторизована в Active Directory. А такую операцию можно проделать, только имея.полномо чия Enterprise Admins. Но, увы, радость была преждевременна.

Во-первых, если в сети, где развернут домен Active Directory, устано вить сервер Windows NT 4.0, не входящий в указанный домен, то служ ба DHCP на нем может быть поднята без каких-либо помех, а значит, он окажет свое пагубное влияние на сеть.

Установка Active Directory Во-вторых, если в той же сети установить контроллер домена Windows 2000, не принадлежащего существующему лесу, и на этом контролле ре домена установить службу DHCP, ее можно будет активизировать, а значит, продолжить свою вредоносную деятельность.

И лишь только для тех серверов, которые входят в основной домен.

такая подрывная деятельность будет запрещена. При попытке запус тить службу DHCP происходит обращение к Active Directory, где про сматривается список адресов IP для всех авторизованных в домене серверов DHCP. Если адреса рассматриваемого сервера нет. то служ ба DHCP будет автоматически на нем терминирована.

Замечание До выхода Windows 2000 SP2 в Active Directory могло хранится не более 852 адресов авторизованных серверов DHCP.

Зачем нужны суперобласти Предположим, в сегменте сети используются мультисети, т. е. несколь ко логических подсетей. Пусть это 10.1.1.0/22, 10.1.2.0/22 и 10.1.3.0/22.

Чтобы один сервер DHCP мог обслуживать эти мультисети, на нем нуж но создать три соответствующие области и объединить их в супероб ласть.

А если этот сегмент сети обслуживается не одним, а тремя серь-ерами DHCP, каждый из которых отвечает только за одну область? Допустим, у клиентского компьютера был адрес 10.1.1.15. выданный первым сер вером DHCP. После перезагрузки клиент посылает запрос DHCPRE QUEST без указания идентификатора сервера. Если этот запрос пер вым получит сервер, на котором не определена нужная область, он ответит клиенту сигналом DHCPNACK, что переведет его в режим поиска нужного сервера DHCP. Клиент разошлет широковещательное сообщение DHCPDISCOVER. Пусть первым откликнется сервер, на котором определена область 10.1.2.0/22. Тогда клиент пошлет ему запрос DHCPREQUEST, на что тот ответит DHCPACK и предоставит адрес из своего диапазона. Таким образом, клиент окажется в другой мультисети. Но это не самое страшное — хуже, что выданные данно му клиенту адреса, заняты как на первом сервере DHCP, так и на вто ром. При следующей перезагрузке клиента он может получить адрес с третьего сервера. Если подобное поведение распространить на все оставшиеся клиенты, станет понятно, что очень скоро доступные ад реса в областях будут исчерпаны, так как каждый клиент зарезерви рует по 3 адреса. Такое возможно, когда серверы DHCP ничего не знают друг о друге.

124 Active Directory: подход профессионала Суперобласть / Область 10.1.1 1-10.1.1. Область 10.1.2 1-10.1.2. Область 10. 1.3 1-10.1.3. Сер ер Клиент Маршрутизатор DH :Р 10.1.3. / Клиент Клиент 10.1.1.15 10.1.2. Создание суперобласти для поддержки мулътисети Дабы исключить такую ситуацию:

+ на каждом сервере DHCP создадим области для каждой из подсетей;

ф эти области включим в суперобласть;

• на каждом из серверов определим по две области исключений.

Например, на первом сервере в нашем примере для областей 10.1.2. и 10.1.3.0 формируются исключения на весь диапазон их адресов. На втором — исключения формируются для областей 10.1.1.0 и 10.1.3.0, а на третьем —- для областей 10.1.1.0 и 10.1.2.0. Тогда второй сервер не откликнется на DHCPREQUEST сообщением DHCPNACK, так как уви дит, что за запрашиваемую область отвечает другой сервер.

Сулеробласть Областью. 1.1.I-10.1.1. Исключение 10.1.1.1-10.1.1. Область 10.1.2.1-10.1.2. Исключение 10-1.2.1-10.1.2. Область 10.Ш-10.1.12Я Исключение 10.1.3.1-10.1.3. Суперобласть Суперобласть Область 10.1,1.1-10.1.1.255 Область 10.1.1.1-10.1.1. Исключение 10.1.1.1-10.1.1.255 Исключение 10.1.1.1-10.1.1. Область 10.1.2.1-10.1.2 255 Область 10.1.2.1-10.1.2. Исключение 10.1.2.1-10.1.2.10 Исключение 10,1.2.1-10.1.3. DHCP Область 10.1.3.1-10.1.3.255 Область 10.1.3.1-10.1.3. 10.1.3. Исключение 10.1.3.1-10 1.3.255 Исключение 10.1,3.1-10.1.3. Конфигурирование суперобластей для недопущения неправильной выдачи адресов Установка Active Directory DHCP сервер в сегментированной сети Если сеть не является плоской, а сегментирована, то использование DHCP практически ничем не отличается от того, как это было в Windows NT. В связи с этим напомню два основных правила развер тывания серверов DHCP.

• Маршрутизатор между сегментами должен выполнять роль агента передачи ВООТР (ВООТР relay agent) или DHCP, когда один сер вер DHCP обслуживает несколько сегментов. В качестве агента передачи DHCP может выступать сервер Windows 2000, на кото ром сконфигурирована служба RRAS (Routing and Remote Access Server). При этом данный компьютер может заодно выполнять роль маршрутизатора.

+ Если в двух сегментах сети свой сервер DHCP, а маршрутизатор выполняет роль агента передачи ВООТР, то серверы DHCP можно сконфигурировать так, чтобы выступать в качестве резерва друг для друга. При этом руководствуются известным правилом 80/20: на каждом из серверов создаются области для каждой из подсетей, но так, что область, в которую входит сам сервер DHCP, содержит 80% доступных адресов, а зона для другого сегмента — только 20%, Тогда при отказе «своего» сервера DHCP клиенты смогут запросить адреса у резервного сервера в соседнем сегменте.

Рассмотрим типичный пример. Несколько филиалов компании (в каж дом от 50 до 200 чел.) связаны с центральным офисом (1 000 чел.) вы деленными линиями с относительно небольшой пропускной способ ностью. У каждого сотрудника свой компьютер. Сеть в центральном офисе разбита на 4 сегмента: 145.12.1.0/24, 145.12.2.0/24, 145.12.3.0/ и 145.12.4.0/24. Для филиалов выделены подсети 10,1.х.О/24. В централь ном офисе планируется установить два сервера DHCP, а в каждом фи лиале — по одному. Нетрудно сообразить, что для обеспечения отка зоустойчивости филиальные серверы должны содержать по 80% адре сов своей подсети, а остальные 20% — отдать серверам DHCP в центре.

Те в свою очередь должны поделить эти адреса между собой пополам.

Кроме того, они должны разделить пополам адреса для тех сегментов, к которым они не принадлежат, а адреса для «своих» сегментов — раз делить в соотношении 80/20.

Динамическая регистрация имен в DNS Теперь обсудим динамическую регистрацию имен клиентов в DNS че рез службу DHCP. Известно, что клиенты Windows 2000/XP могут ди намически регистрировать свое имя в DNS Windows 2000. Если отме чен соответствующий флажок в параметрах TCP/IP, то всякий раз при загрузке клиента в DNS будет обновляться запись типа А. Однако спра ведливости ради стоит отметить, что запись типа PTR при этом не об новляется.

126 Active Directory: подход профессионала Область 145.12.1.1 -145.12.1. Область 145.12.2.1 - 145.12.1. Область 145.12.3.201 - 145.12.3. Область 145.12.4.1 -145.12.4. Область 10.1.1.201-10.1.1. Область 10.1.2.201 -10.1.2. Область! 45.12.1.201 - 145.12.1. Область 145.12.2.128-145.12.1. ОбластЫ45.12.3.1 - 145.12.3. Область 145.12.4.128- 145.12.4. Областью.). 1.225- 10.1.1. Область 10.1.2-225-10.1.2. Область 10.1.1.1-10.1.1. Исключение 10.1.1.1 - 10.1.1. >,. Филиал Ч 10.1.1. Пример распределения областей по серверам DHCP в многосегментной сети С другой стороны, в корпоративной сети применяются и иные кли енты, например Windows 9x или NT, которые не умеют обновлять свои записи в DNS, а значит, компьютер становится недоступен по имени.

К счастью, сервер DHCP Windows 2000 снабжен функцией динами ческой регистрации записей в DNS от имени клиентов. Администра тор может выбрать несколько вариантов регистрации на вкладке DNS диалогового окна свойств области DHCP. Несмотря на простоту этих возможностей, администраторы порой теряются и на всякий случай отмечают все подряд. Хорошо, что это не приводит к неприятным по следствиям, но все же желательно понимать, для чего используется каждый флажок.

Итак, если флажок Automatically update DHCP client information in DNS снят, то DHCP не обновляет записи DNS. В случае с клиентами Установка Active Directory Windows 2000/XP это значит, что они обновляют только записи типа А, да и то если это установлено в их параметрах. Для всех остальных клиентов это означает, что информация о них не заносится в DNS.

Замечание Если клиенты DHCP являются одновременно клиента ми WINS, а сервер DNS сконфигурирован для разрешения имен через WINS, будет выполняться обновление записей типа А.

Если этот флажок установлен, то дальнейшее поведение зависит от положения переключателя. Если это Update DNS only if DHCP client requests, то обновления будут выполняться только для клиентов Win dows 2000/ХР, да и то, только если необходимость обновлений на них задана. В отличие от самостоятельного режима обновлений в режи ме обновлений через DHCP в DNS заносятся записи как типа А, так и PTR. Для всех остальных клиентов все остается без изменений.

Если переключатель в положении Always update DNS. то сервер DHCP будет обновлять записи как типа А, так и PTR абсолютно для всех сво их клиентов Windows 2000/ХР независимо от того, хотят они этого или нет.

.ёепюа! PNS | Advanced | You ';

rfi i-H up tlie DHCP ;

slvar to «Ji^nialice^ updeianafrte «m 'Hoimali • i_DNSi T^ gscard !aw»id [r>affi*-:o-ed(fws -,\ lookup;

йип tea :Г"- рявзй upisiBi la OfJS d-wiU riwi do ho 'еч( lo DMS sewers tonltgjefl in Управление режимами обновления записей в DNS посредством сервера DHCP Флажок Discard forward (name-to-address) lookups when lease expires задает удаление из DNS записей типа А о клиентах, для которых ис тек срок аренды адреса. Если флажок не установлен, удаляются толь ко записи типа PTR.

1_28 Active Directory: подход профессионала Флажок Enable updates for DNS clients that do not support dynamic update предписывает динамически обновлять информацию в DNS о любых клиентах DHCP, включая такие, как сетевые принтеры.

Внимание Если сетевой принтер является клиентом DHCP и прин теру не было присвоено имя, то в DNS для него будет зарегистриро ван его IP-адрес вместо имени. Причем октеты адреса будут интер претированы как субдомены. Так, для принтера с адресом 10.1.12. в домене mycorp.ru в DNS будет занесена запись типа А для хоста « 1 О* в зоне 1. 12.133.rnycorp.ru. Чтобы этого не случилось, надо присвоить принтеру имя согласно инструкции.

Какие параметры определять в сети Windows Неожиданно часто администраторы задумываются над тем, какие па раметры определять для сервера или областей. Обилие возможностей вносит смуту в умы и подталкивает к конфигурированию того, что клиентами Windows просто игнорируется. Вот параметры, восприни маемые клиентами Windows.

Параметр Назначение 003 Router Указывается адрес маршрутизатора, устанав ливаемый по умолчанию, а также адреса остальных маршрутизаторов, о которых надо знать клиенту 006 DNS Servers Перечисляются адреса серверов DNS, необхо димых для работы клиента 015 DN.S Domain Name Суффикс домена. Можно указать только суф фикс основного домена, но нельзя указать перечень возможных суффиксов для поиска.

Это ограничение протокола DHCP 044 WINS/NBNS Servers Адреса серверов WINS 046 WINS/NBT Node Type Способ разрешения NetBIOS-имен. Подробнее см, раздел, посвященный Дополнительно можно запретить использование NetBIOS для клиен тов Windows 2000/ХР: в диалоговом окне конфигурирования свойств области откройте вкладку Advanced, в списке Vendor Options щелкни те Microsoft, выберите параметр 001 и установите его в 1, Последовательность применения параметров Вы наверняка уже обратили внимание, что параметры можно опре делить для сервера DHCP в целом, для областей и для каждого исклю чения в отдельности. Кроме того, есть параметры, определяемые для клиентов различных производителей (отличаются идентификатором Vendor ID) и для клиентов с разными пользовательскими идентифи Установка Active Directory катерами (User class ID). Несомненно, должно быть правило приме нения всех этих параметров к клиентам. Вот оно:

+ первыми применяются параметры, определенные для сервера DHCP в целом;

ф затем применяются параметры для клиентов с раа>шчными Vendor ID и User Class ID, определенные для всего сервера;

• за ними применяются параметры, определенные для той области, в которой находится клиент;

ф далее, естественно, применяются параметры для клиентов с раз личными Vendor ID и User Class ID, определенные для области;

• наконец, если конкретный адрес подпадает под исключения, то к нему применяются параметры, определенные для этого исключе ния, а также соответствующие параметры для клиентов с различ ными Vendor ID и User Class ID.

Как использовать идентификатор пользовательского класса Как видим, возможностей немало. Но есть еще одно свойство, кото рое позволит сделать назначение параметров более целенаправлен ным. Рассмотрим сеть, в которой один из сайтов связан с централь ным сайтом медленным каналом так. что в нем используется та же самая подсеть, что и в центральном сайте. В этом филиале работает 5-7 человек, и у них нет своего сервера DHCP и WINS. Для аренды адресов IP они используют сервер DHCP в центральном сайте. Доступ к ресурсам центрального сайта им нужен крайне редко. Все клиенты работают под Windows 98. Ясно, конечно, что обращения к серверу WINS в центральном офисе, мягко говоря, неуместны — проще исполь зовать широковещательные рассылки.

Можно каждый из компьютеров сконфигурировать вручную и настро ить TCP/IP. Но лучше, однако, сделать иначе. На сервере DHCP в цен тральном офисе надо определить свой User Class ID и сконфигуриро вать для него параметр 046 равный 4 (M-node). Затем на всех клиен тах в удаленном сайте выполнить команду ipconfig /secclassid <<-имя сетевого интсрфейса*> <идентификатор пользовательского классах Теперь, получив запрос на аренду адреса от клиента из удаленного сайта, сервер DHCP обнаружит, что данному клиенту присвоен опре деленный User Class ID. Сравнив его со списком идентификаторов, определенных для сервера, и обнаружив идентичность, сервер пере даст на клиент параметр 046 равный 4, а не 8. как это имеет место цпя всех остальных клиентов.

J30 Active Directory подход профессионала Как проконтролировать работу DHCP Контролировать работу сервера DHCP особо не требуется. Если он не работает или работает не так, как это должно быть, вы сразу поймете.

Однако вот общие способы контроля.

1. Загрузите клиентский компьютер и с помощью команды ipconfig /all проверьте правильность параметров, полученных от сервера DHCP. Здесь же вы увидите, какой именно сервер выдал адрес в аренду. Если параметры не соответствуют ожидаемым, выясните причину, устраните ее и выполните подряд команды ipconfig /re lease и ipconfig /renew.

2. Запустите консоль сервера DHCP. Выберите нужную область и посмотрите, какие адреса и каким компьютерам выданы. Для каж дой области можно посмотреть статистику: каков процент свобод ных адресов в их распоряжении. Если адресов осталось мало, вы ясните причину их утечки. Возможно, имеет смысл сократить срок аренды адресов.

3. Если вы запустили административную консоль DHCP, а в ней нет команды Authorise, значит, вы используете учетную запись, не об ладающую правами Enterprise Admins.

Замечание Часто нужно авторизовать сервер DHCP, расположенный в удаленном филиале. Если этот филиал расположен в отдельном до мене, управляемом локальными администраторами, то по умолчанию они не смогут авторизовать сервер. Чтобы предоставить им соответ ствующее право, надо изменить права доступа к объекту CN=Dhcp Root,CN=NetServices,CN=Services,CN=Configuration, и к кон тейнеру CN=NetServices,CN=Services,CN=Configuration,.

4. Если сервер, исполнявший роль сервера DHCP, был некорректно удален из сети, используйте команду Netsh a dhcp a delete для уда ления его имени из Active Directory, 5. Регулярно просматривайте журнал регистрации системных событий.

DCPROMO т все, что с этим связано Как вы хорошо знаете, для перевода сервера в статус контроллера до мена служит программа DCPROMO, расположенная в каталоге %SYS TEMROOT%\System3 2. Вот что она делает.

• Изменяет функциональность сервера так, что он перестает исполь зовать хранимые в реестре учетные записи SAM и переключается на каталог, основанный на ESE (Extensible Storage Engine).

Установка Active Directory Замечание Если вы обновляете контроллер домена Windows NT 4.0.

то DCPROMO запустится автоматически и перенесет учетные записи из SAM в Active Directory.

• Если вы устанавливаете новый контроллер домена в новом лесу, то база Active Directory создается на основе шаблона NTDS.DIT, хранящегося в каталоге %SYSTEMRGOT%\System32. Если это допол нительный контроллер в домене, то в качестве шаблона использу ется информация, взятая с другого контроллера.

• Создается новая учетная запись администратора и ее идентифи катор безопасносги (SID). Старая учетная запись, равно как и ее SID, уничтожается. Кроме того, создается целый набор встроенных учетных записей пользователей и групп.

• На локальном диске создается иерархия каталогов SYSVOL, а так же общедоступные ресурсы SYSVOL и NETLOGON. При обновле нии контроллера домена Windows NT 4.0 вее содержимое ресурса NETLOGON (REPL\EXPORT\SCRIPTS) переносится в одноименный ресурс в иерархии SYSVOL • Изменяются стартовые параметры некоторых служб. Они перехо дят из разряда Manual к разряд Automatic.

• Служба Windows 2000 Win32 Time выполняет синхронизацию времени с внешним источником эталонного времени.

Как видим, перечень выполняемых действий обширен и затрагивает важнейшие функции Windows 2000. Если соблюсти все предваритель ные требования, то процесс превращения сервера в контроллер до мена проходит без сучка и задоринки. Рассмотрим эти требования.

Требования, предъявляемые DCPROMO Что нужно знать перед запуском DCPROMO? Главное — хорошо по нимать, что именно вы собираетесь сделать. Более того, если с одним и тем же компьютером вы экспериментируете не первый раз (без переустановки ОС), то надо знать, что вы сделали в прошлый раз не так и к чему это могло привести. Возможно, после некоторых ваших действий все попытки установить контроллер домена будут неудач ны. Но не будем о грустном — рассмотрим все по порядку.

Во-первых, надо четко понимать, где расположен данный контроллер домена в Active Directory. Если вы создаете самый первый контроллер домена в лесу, позаботьтесь, чтобы компьютер обладал высокой надеж ностью. Предусмотрите на нем средства резервного копирования, обес печьте его постоянную доступность в сети. Помните: первое время он 132 Activejiirectory: подход профессионала будет выполнять роли всех мастеров операций да плюс ко всему будет ГК Неожиданная утрата такого компьютера приведет фактически к неработоспособности всего леса доменов.

Во-вторых, убедитесь, что параметры TCP/IP заданы верно. Проверь те, что нужные серверы доступны (см. раздел «Что делать с DNS?»). Воз можно, придется проверить сеть на физическом уровне. Ведь если вы устанавливаете контроллер домена в удаленном филиале, должна су ществовать связь с компьютером, выполняющим роль мастера имен доменов (domain naming master), расположенным скорее всего в цен тральном офисе.

В-третьих, на компьютере должен иметься минимум один дисковый раздел, отформатированный как NTFS5, с необходимым объемом свободного места. И хотя этого достаточно для установки Active Directory, лучше последовать рекомендациям, приведенным далее при конфигурировании дисковой подсистемы.

В-четвертых, вам нужны соответствующие административные права.

Если вы создаете новый лес доменов, то достаточно быть админист ратором на сервере, переводимом в разряд контроллера. Если же вы включаете контроллер в существующий лес, то нужно либо знать учет ную запись и пароль с правами Enterprise Admins, либо вам должны быть делегированы права на включение контроллера домена в лес.

В-пятых, стоит понимать последствия выбора в одном из диалоговых окон DCPROMO одного из двух значений:

Permissions compatible with pre-Windows 2000 servers ИЛИ:

Permissions compatible only with Windows 2000 servers Когда Active Directory будет установлена, в списки контроля доступа ко всем объектам каталога будет добавлена встроенная группа Pre Windows 2000 Compatible Access. Если при установке контроллера вы указали первую возможность н рассматриваемом диалоговом окне (а она предлагается по умолчанию), то в группу Pre-Windows 2000 Com patible Access будет включена группа Everyone. Это значит, что не толь ко аутентифицироваиные в домене пользователи получат доступ к объектам Acticve Directory, но и анонимные пользователи. Но не спе шите переключать домен в режим Permissions compatible only with Windows 2000 servers. Возможно, в домене есть серверы Windows NT 4.0, на которых исполняются нужные вам приложения, требующие ано нимного доступа к каталогу. Тогда придется оставить значение, по умолчанию. В последующем вы всегда можете добавить в группу Pre Windows 2000 Compatible Access или исключить из нее группу Everyone.

Установка Active Directory Замечание Группу Even-one нельзя добавить (или исключить) в группу Pre-Windows 2000 Compatible Access через оснастку Active Directory Users and Computers. Используйте команду net localgroup «Pre Windows 2000 Compatible Access* everyone /add для добавления и net localgroup «Pre-Windows 2000 Compatible Access* everyone /remove для удаления.

Наконец, вы должны представлять, какими ограничениями обладает Active Directory. Например, полное имя домена не может превышать 64 символов UTF-8. Скажем, вы хотите создать домен с именем (не улыбайтесь — чудаков на свете полно):

Ust.urlpinsk.filial.vostok.refinery.oil.windows2000.Krasnoyarsk.mycorp,ru 12345678901234567890123456789012345678901234567B Для удобства снизу отмерено 64 символа. Понятно, что такое имя создать не удастся, Но само по себе имя может и не быть очень длинным, но его длины хватит, чтобы для какого-либо ресурса превысить значение МАХ_РАТН, установленное равным 260 символам. Например, для доступа к хра нилищу групповой политики используется путь:

\\имя _домена\зу8Уо1\<имя flOMena>\Poli.cies\\ Чувствуете? Тут есть где развернуться.

Файлы, создаваемые при работе DCPROMO Итак, как я уже говорил, при работе DCPROMO создается ряд файлов на локальных жестких дисках. Это файлы, обеспечивающие работу Active Directory, файлы и каталоги, обеспечивающие инфраструктуру и расположенные в иерархии SYSVOL, а также файлы журналов реги страции событий, возникающих при работе программы DCPROMO.

Файлы базы Active Directory Файлы Active Directory no умолчанию предлагается хранить в каталоге WINNT\NTDS. Прямо скажем, не очень удачное место, но об этом по том. Сейчас же нас больше интересует, какие файлы там размещаются.

Во-первых, это файл базы ActiveDirectory NTDS.DIT. Именно здесь хранится вся информация Active Directory. Если вы создаете новое дереао доменов, то его размер — 10 Мб. Обратите внимание и на фай лы resl.log и res2.log. Пусть вас не вводит в заблуждение их расшире ние. К файлам журналов регистрации они не имеют никакого отно шения. Они «оккупируют» место на жестком диске на тот случай, если файл Active Directory' увеличится, а на диске не окажется свободного места. Тогда один из «оккупантов* будет удален, a NTDS.DIT вырастет 134 Active Directory: подход профессионала на его величину. Кстати, в журнал регистрации событий будет зане сено соответствующее предупреждение. Размер этих двух файлов так же равен 10 Мб, что дает запас 20 Мб для роста базы Active Directory.

Замечание Если обновляется контроллер домена Windows NT 4.0, то файл NTDS.D1T будет в несколько раз больше файла SAM. Ориен тировочно можно полагать разницу в 10 раз.

Теперь займемся файлом edb.log. Это журнал транзакций Active Direc tory. Сюда заносятся все операции в базе. Его размер тоже 10 Мб. Если журнал переполняется, то он переименовывается в edbOQ001.log, а транзакции записываются в файл edb.log. Регистрация транзакций — весьма ответственный процесс. Очевидно, что выполнять запись в от ложенном режиме рискованно, так как в случае непредвиденного краха системы информация о транзакциях будет потеряна. Именно поэтому при старте контроллера домена принудительно отключает ся кэширование записи для того диска, на котором расположены журналы транзакций. Речь идет о физическом (а не логическом дис ке). Если ОС или пользовательские файлы хранятся на том же физи ческом диске, что и журналы транзакций Active Directory, то произво дительность заметно снизится.

Замечание Снижение производительности на современных серверных системах наблюдается лишь при значительном числе пользователей.

File Folder 22.11,200123: 8 KB Recovered File Flag. 17.03.200220: S3 edb.bg 10 240 KB Text Document 17,03,200220: ' edb00002.k.g 10 240 KB Text Document G8.12.2D01 16^ 10 2S6 t;

B D1T File 17.03.200220: 10240KB Text Document 06.02.2001 23: 10240KB Text Document 06.02.2001 23: Файлы, используемые при работе Active Directory И еще один файл — edb.chk. Сюда заносятся контрольные точки БД.

Они нужны для того, чтобы при необходимости повторно воспроиз водить транзакции, занесенные в журнал. Допустим, произошел сбой системы. После перезагрузки происходит обращение к файлу edb.chk за информацией о последней контрольной точке, т. е. о последней Установка Active Directory подтвержденной транзакции. Далее начинается повторение транзак ций записанных в журнал сразу за контрольной точкой. Если бы кон трольной точки не было, пришлось бы повторять все транзакции, сведения о которых занесены в журнал.

Обновление контрольной точки выполняется, если:

• накапливается необходимое количество изменений в базе, таких что не указывают назад на контрольную точку;

• завершается восстановление базы;

• выполняется корректный выход из системы.

Возможно, вы сталкивались с ситуацией, когда после аварийного за вершения работы контроллера домена последующая загрузка выпол няется гораздо дольше обычного. Это связано с тем, что система по вторяет все транзакции от последней контрольной точки.

SYSVOL Другой группой файлов, которые создаются в результате работы DCPROMO, является иерархическая структура SYSVOL Подробнее об этой структуре мы поговорим в главах, посвященных репликации и групповой политике, а пока лишь коротко опишем структуру, так как по правильности ее создания можно оценить корректность установ ки контроллера домена.

Итак, на втором уровне иерархии располагаются четыре папки.

• Domain — здесь хранится шаблон структуры Sysvol.

• Staging.

• Stagin areas — как и предыдущая, требуется механизму репликации FRS (о них см. главу «Active Directory и файловая система»).

ф Sysvol — предоставлена в совместное использование, содержит папку, соответствующую домену, которому принадлежит контрол лер. В последней находятся следующие папки.

• DO_NOT_REMOVE_NtFrs_PreInstall_Directory. (см. главу «Active Directory и файловая система*.) • Policies. Здесь хранятся объекты групповых политик. Каждая политика хранится в виде папки с именем своего GUID, напри мер {31B2F340-016D-11D2-945F-OOC04FB984F9}. Сразу после установки нового контроллера домена создаются минимум две папки политик: для домена и для контроллеров домена. Если выполняется подключение к домену, в котором определено несколько дополнительных политик, то для каждой из них бу дут созданы свои папки.

• Каждая папка политики содержит не менее двух папок. Обя зательными являются MACHINE и USER, что, как ясно из их 136 Active Directory;

подход профессионала названий, относится к правилам для компьютеров и пользовате лей. Дополнительно могут быть другие папки, например, Adm — место хранения административных шаблонов, используемых политиками.

• Scripts. Содержит файлы сценариев, используемых компьюте рами пользователей. Эта папка также предоставлена в совмес тное использование.

Приведенная на рисунке структура SYSVOL соответствует первому контроллеру в домене. Если же вы добавляете контроллер к существу ющему домену, то структура может отличаться, но обязательно соот ветствовать структуре на остальных контроллерах.

Замечание При добавлении контроллера в домен структура SYSVOL появится не сразу, а лишь по завершении репликации. Обычно на это нужно около 10 минут, однако может продлиться дольше. Подробнее об этом см. статью Q250545 в Microsoft Knowledge base.

Be;

wiwi nv*v™ Структура SYSVOL Журналы регистрации Последними после работы DCPROMO появляются файлы регистрации выполнения этой программы и связанных с ней служб:

Установка Active Directory • DCPromoUI.log;

• DCPromo.log;

• Netsetup.log;

• DCPromos.log.

Все они находятся в каталоге %systemroot%\Debug. См. о них раздел «Анализируем журналы*.

Служба синхронизации времени Синхронизация по времени чрезвычайно важна для работы протокола аутентификации Kerberos. По умолчанию разница во времени между клиентом и сервером, превышающая 5 минут, делает аутентификацию невозможной. Именно поэтому в Windows 2000 реализована служба синхронизации времени (W32Tlme). Она полностью совместима с протоколом Simple Network Time Protocol (SNTP). Работает она так.

Для каждого компьютера есть свой эталон, с которым он сравнивает локальное время.

• Если при загрузке клиент обнаруживает, что его локальное время «отстает» от времени на эталоне, то его часы синхронизируются с часами эталона. Если же локальное время на клиенте опережает время на эталоне менее, чем на 2 минуты, то в течение последую щих 20 минут локальные часы замедляются, а если опережение превышает 2 минуты, показания часов выравниваются сразу.

• Во время последующей работы выполняются периодические свер ки времени с эталоном. Начальный интервал сверки составляет часов. Если при сверке обнаруживается разница, превышающая секунды, продолжительность интервала сокращается вдвое. Про цесс повторяется при следующей сверке до тех пор, пока:

• разница локального и эталонного времени не станет меньше 2 секунд ИЛИ:

• интервал сверки не уменьшится до своего минимального зна чения в 45 минут.

Если измеренная разница во времени меньше 2 секунд, интервал свер ки увеличивается в двое. Максимальное значение интервала — 8 часов.

Такое поведение установлено по умолчанию, но вы можете изменить его, используя параметры ветви реестра HKLM\SYSTEM\Curre ntCont rolSet\Services\W32Time\Parameters. Например, величину интервала сверки определяет параметр Period. Он может быть одного из двух типов: REG_DWORD или REG^SZ. Строковые переменные способны принимать только следующие значения:

138 Active Directory: подход профессионала Устанавливаемые интервалы сверки времени Описание Число Строка Раз в день Раз в два дня 65535 BiDaily Раз в три дня 65534 Tridaily Weekly Раз в неделю SpecialSkew 65532 Каждые 45 минут до достижения 3 последова тельных удачных синхронизации, затем каждые 8 часов DailySpecialSkew Каждые 45 минут до достижения 1 удачной синхронизации, затем каждый день число Указанное число раз в день Описание других параметров, влияющих на работу службы синхро низации времени, см. в Microsoft Knowledge Base в статье Q223184.

В рамках Active Directory существует однозначная иерархия, в соот ветствии с которой все компьютеры синхронизируют время. На ниж ней ступени — все клиентские настольные компьютеры. Для синх ронизации своих часов они обращаются к тому контроллеру домена, на котором они авторизованы. Если в процессе работы выясняется, что данный контроллер домена больше недоступен, то выбирается новый контроллер. На этой же ступени в иерархии находятся и все серверы-члены домена.

Все контроллеры в домене синхронизируют свое время с тем контрол лером, который выполняет роль имитатора главного контроллера домена (РОС).

В рамках всего леса доменов каждый из контроллеров, выполняющих роль имитатора главного контроллера, сверяет свое время с тем ими татором РОС, что стоит выше него в иерархии доменов Active Directory.

Главный авторитет — имитатор РОС в корневом домене. Он может сверять свое время с какой-либо эталонной службой либо сам с со бой. Указать ему, с кем сверять время, позволяет команда:

Net time /setsntp:список серверов точного времени Можно, однако, установить имя сервера точного времени через ре естр: в приведенной выше ветви измените значение параметра NtpServer.

Не забудьте при этом в DNS указать запись для этого имени.

В качестве серверов точного времени можно использовать, напри мер, серверы: ntp2.usno.navy.mil (192.5.41.209) или tock.usno.navy.mil (192.5.41,41).

Автоматическая установка контроллера Не секрет, что контроллер домена можно установить, не только запу стив DCPROMO в интерактивном режиме, требующем ответа на все Установка Active Directory задаваемые вопросы, но и в автоматическом — когда ответы на все вопросы записаны в файле ответов. Этот способ удобен при установ ке большого числа контроллеров в домене, а также при выполнении автоматического обновления контроллеров домена Windows NT.

Иерархия службы синхронизации времени 140 Active Р1гес1огу^подходгрофессионала Запускает программу в таком режиме команда:

Dcpromo /answer:имя_файла_ответов В зависимости от типа контроллера домена [новое дерево в новом лесу, новый контроллер домена в существующем домене (или обнов ление контроллера Windows NT), новый дочерний домен, новое де рево в лесу], а также при понижении контроллера домена до статуса сервера в файле ответов используются различные параметры. Все они должны входить в секцию ф;

шла [DCINSTALL]. Рассмотрим эти пара метры для каждого из типов установки контроллера. Если какой-то па раметр не определен, то используются его значения по умолчанию (см. далее таблицу).

Новое дерево в новом лесу [DCINSTALL] RepLicaOrNewDomain=Doniain TreeOrChild=Tree CreateOrJoin=Create NewDomainDNSNaTie= DNSQnNetwork=y>9S DomainNetbiosName= AutoConfigDNS=yes SiteNafne=[nMH сайта Active Directory (факультативно)];

AllowAnonymousAccess=no DatabasePath=Ssystemroot/(\ntds {или иное место размещения файла NTDS.DIT) LogPath=JSsystemroot5!\ntds (или иное место размещения файла EDB.LOG) SYSVOLPath=?isysteinrootS;

\sysvol (или иное место размещения корня YSVOL) SafeModeAdminPassword= CriticalReplicationOnly=No RebootOnSuccessi=yes Дополнительный контроллер в домене [DCINSTALL] и8егМаше=<учетная запись администратора в домене> Password= UserDomain= DatabasePath=JSsystemroot!S\ntds (или иное место размещения файла NTDS.DIT) LogPath=3systemroot3>\ntds (или иное место размещения файла EDB.LOG) SYSVOLPath=!6systemroot*\sysvol (или иное место размещения корня SYSVOL) SafeModeAdminPassword= Установка Active Directory CriticalReplicationdnly=no ReplicaOrNewDomain=Replica ReplicaDomalnDNSName= ReplicationSourceDC= RebootOnSuccess=yes Новый дочерний домен [DCINSTALL] UserName Password UserDomain DatabasePath LogPath SYSVOLPath SafeModeAdlIlinPassword=<пapoль администратора для входа в режим восстановления Active Directory> CriticalReplicationOnly=no ReplicaOrNe«Domain=Domain TreeOrChtld=Child ParentDomainDNSName ChildName DomainNetbiosName AutoConfigDNS AllowAnonymousAccess RebootOnSuccess=yes Новое дерево в лесу [DCINSTALL] UserName Password UserDomain DatabasePath LogPath SYSVOLPath SiteName SafeModeAdminPassVllord= CriticalReplLcationOnly=no ReplicaOrNewDomain=Domain TreeOrChild=Tree NewDomainDNSName DomainNetbiosName AutoConfigDNS AllowAnonymousAccess RebootOnSuccess=yes 142 Active Directory: подход профессионала Понижение контроллера домена до уровня сервера [DCINSTALL] UserName Password User-Domain Administrator-Password isLastDCInDomain RebootOnSuccess=yes Описание параметров и значений умолчания В таблице описаны параметры используемые в файле ответов, и зна чения, присваиваемые им по умолчанию.

Возможные значения Параметр (умолчание выделено) Описание Разрешен ли анонимный AllowAnpnymousAccess Yes/No доступ к объектам Active Directory. См. «Требования, предъявляемые DCPromo» Пароль локального админи AdministratorPassword Нет умолчания стратора, устанавливаемый при понижении статуса кон троллера до сервера Yes/No Указывает, конфигуриро AutoConflgDNS вать ли сервер DNS на ло кальном компьютере Нет умолчания Имя дочернего домена, CbildName подключаемого к родитель скому. Укалывается только короткое имя (до точки) Create используется при CreateOrJoin Create/loin создании нового леса, Join — при создании нового дерева в существующем лесу Yes — репликация критич CriticalReplicationOnty Yes/ ных параметров выполня ется до перезагрузки ком пьютера. Если ничего не указано, она выполняется после перезагрузки DatabasePath %systemroot%\ntd$ Имя каталога, в котором размещается файл базы Active Directory. См. *Фай лы базы Active Directory*.

Имя должно быть полнос тью определенным не в стандарте UNC см. след. стр.

Установка Active Directory Возможные значения Описание Параметр (умолчание выделено) DomainNetbiosName Нет умолчания NetBIOS-имя домена, ис пользуемое клиентами пре жних версий Windows или DOS "Ves подразумевает, что кли Yes/No DNSOnNetwork ент DNS может быть скон фигурирован и допускается автоконфигурация.

Указывает, является ли дан IsLastDCInDomain Yes/No ный контроллер последним в домене при понижении статуса до сер вера LogPath Имя каталога, в котором %systemroot%\ntds размещаются файлы жур нала транзакций Active Directory. См. «Файлы базы Active Director}'». Имя долж но быть полностью опреде лено не в стандарте UNC Имя домена при создании NewDomainDNSName Нет умолчания нового леса или нового дерева Пароль учетной записи, Password Нет умолчания используемой для создания контроллера домена. Вся кий раз по завершении ра боты DCPROMO пароль удаляется из файла ответов Имя родительского домена ParentDomainDNSName Нет умолчания при создании дочернего.

Yes указывает на необходи RcbootOnSuccess Yes/No мость перезагрузки компь ютера в случае удачного завершения работы DCPROMO Имя домена, из которого ReplicaDomainDNSName Нет умолчания должна выполняться ре пликация при установке дополнительного контрол лера или обновлении доме на Windows NT Replica используется при ReplicaOrMember ReplicajMember обновлении контроллера домена Windows NT до Windows 2000, Member при понижении статуса контроллера до сервера см. след. стр.

6- 144 Active Directory: подход профессионала Возможные значения Параметр (умолчание выделено) Описание ReplicaOrMember ReplicajMember Replica используется при обновлении контроллера домена Windows NT до Windows 2000, Member при понижении статуса контроллера до сервера ReplicaOiNewDomain DomainjKeplica Domain используется при создании нового домена, Replica — при добавлении контроллера в существую щий домен ReplicationSourceDC Нет умолчания Указывается имя контрол лера домена, е которого должна тиражироваться реплика. Если ничего не указано, используется бли жайший контроллер в домене SafeModeAdminPassword Нет умолчания Устанавливает пароль адми нистратора для входа в режим восстановления Active Directory Default-First-Site SiteName Имя сайта, в который будеа включен контроллер доме на. Если ничего не указан9, сайт будет подобран, исхо дя из конфигурации сайтов и подсетей. Если же это новый лес, создается сайт с:

именем по умолчанию SYSVOLPath %systeinroot%\ SYSVOL Путь к каталогу SYSVOL.

См. «Файлы базы Active Directory». Путь должен быть полностью определен не в стандарте UNC TrceOrCbild Tree|Child Tree указывает на создание нового дерева. Child — па создание дочернего домена UserDomain См. описание Имя учетной записи для выполнения операции.

Если это создание леса, значений по умолчанию нет. Если это добавление новою дерева, по умолча нию используется имя леса.

Если это создание дочерне го домена или добавление см. след. стр.

Установка Active Directory Возможные значения Параметр (умолчание выделено) Описание контроллера в существую щий домен, это имя доме на, к которому присоединя ются UserName Нет умолчания Имя учетной записи, ис пользуемой для выполне ния операции Анализируем журналы Программа DCPROMO создает отчет о своей работе в виде целого набора журналов. Поскольку в случае нештатной ситуации при уста новке контроллера домена придется воспользоваться ими для выяв ления причин, ознакомимся с их содержанием.

DCPromo.log Файл DCPromo.log содержит информацию о параметрах, выбранных пользователем в процессе работы мастера, а также сведения о его работе. Взгляните на выдержку из этого файла:

03/22 13:25:55 [INFO] Promotion request for domain controller of new domain 03/22 13:25:55 [INFO] DnsDomainName msk.mycorp.ru 03/22 13:25:55 [INFO] FlatDomainName MSK 03/22 13:25:55 [INFO] SiteName (NULL) 03/22 13:25:55 [INFO] SystemVolumeRootPath C:\WINNT\SYSVOL 03/22 13:25:55 [INFO] DsDatabasePath C:\WINNT\NTDS, DsLogPath C:\WINNT\NTDS 03/22 13:25:55 [INFO] ParentDnsDomainName mycorp.ru 03/22 13:25:55 [INFO] ParentServer (NULL) 03/22 13:25:55 [INFO] Account mycorp.ru\administrator 03/22 13:25:55 [INFO] Options 03/22 13:25:55 [INFO] Validate supplied paths 03/22 13:25:55 [INFO] Validating path C:\WINNT\NTDS.

03/22 13:25:55 [INFO] Path is a directory 03/22 13:25:55 [INFO] Path is on a fixed disk drive, 03/22 13:25:55 [INFO] Validating path C:\WINNT\NTDS.

03/22 13:25:55 [INFO] Path is a directory 03/22 13:25:55 [INFO] Path is on a fixed disk drive.

03/22 13:25:55 [INFO] Validating path C:\WINNT\SYSVOL.

03/22 13:25:55 [INFO] Path is on a fixed disk drive.

03/22 13:25:55 [INFO] Path is on an NTFS volume 03/22 13:25:55 [INFO] Child domain creation - check the new domain name is child of parent domain name.

03/22 13:25:55 [INFO] Domain Creation - check that the flat name is unique.

03/22 13:26:03 [INFO] Start the worker task 146 Active Directory: подход профессионала 03/22 13:26:03 [INFO] Request for promotion returning 03/22 13:26:03 [INFO] No source DC or no site name specified. Searching for dc in domain mycorp.ru: { DS_REQUIRED | WRITABLE } 03/22 13:26:03 [INFO] Searching for a domain controller for the domain mycorp.ru 03/22 13:26:03 [INFO] Located domain controller mycorp.ru for domain (null) 03/22 13:26:03 [INFO] No user specified source DC 03/22 13:26:03 [INFO] No user specified site 03/22 13:26:03 [INFO] Using site Default-First-Site-Name for server mycorp.ru 03/22 13:26:03 [INFO] Forcing a time synch with \\ROOT1.mycorp.ru 03/22 13:26:05 [INFO] Reading domain policy from the domain controller \\ROOT1.mycorp.ru 03/22 13:26:05 [INFO] Stopping service NETLOGON 03/22 13:26:05 [INFO] Stopping service NETLOGON 03/22 13:26:05 [INFO] Configuring service NETLOGON to 1 returned 03/22 13:26:05 [INFO] Creating the System Volume C:\WINNT\SYSVOL 03/22 13:26:05 [INFO] Deleting current sysvol path C:\WINNT\SYSVOL 03/22 13:26:06 [INFO] Preparing for system volume replication using root C:\WINNT\SYSVOL 03/22 13:26:06 [INFO] Copying initial Directory Service database file C:.\WINNT\system32\ntds.dit to C:\WINNT\NTDS\ntds.dit 03/22 13:26:09 [INFO] Installing the Directory Service Записи предельно лаконичны. На мой взгляд, именно этот файл сле дует использовать в первую очередь при возникновении проблем.

Совет Если среди строк в этом журнале вы обнаружите что-то вро де [INFO] Ntdslnstall for msk.aiycorp.ru returned 1396, то дайте коман ду net helpmsg <номер> (к рассматриваемом примере 1396) для полу чения подробных сведений об ошибке.

Если приводимой в этом файле информации окажется недостаточно для выявления проблемы, можно обратиться к файлу DCPromoUI.log.

DCPromolll.log В файле DCPromoUI.log приведен подробнейший отчет обо всех дей ствиях пользователя н DCPROMO, а также все действия этой програм мы. Запись начинается сразу после старта мастера и заканчивается по завершении. Если работа мастера завершилась неудачей, дается под робное описание сообщений об ошибках, приведших к неудаче. О степени подробности регистрации вы можете судить по выдержкам из этого файла.

Вот так регистрируется начало работы программы:

Установка Active Directory dcpromoui t:Ox42C 00000 opening log file C:\WINNT\debug\dcpromoui.log dcpromoui t:Ox42C 00001 03/22/2002 13:24:14. dcpromoui t:Ox42C 00002 running Windows NT 5.0 build 2195 Service Pack dcpromoui t:Ox42C 00003 logging mask dcpromoui t:Ox42C 00004 no options specified dcpromoui t:Ox42C 00005 Enter Computer::Initialize MIDI dcpromoui t:Ox42C 00006 Enter MyDsRoleGetPrimaryDomainlnformation dcpromoui t:Ox42C 00007 Enter yDsRoleGetPrimaryDomainlnformationHelper dcpromoui t:Ox42C 00008 Calling DsRoleGetPrimaryDomainlnformation dcpromoui t:Ox42C 00009 IpServer : (null) dcpromoui t:Ox42C 00010 InfoLevel : 0x (DsRolePrimaryDomainlnfoBasic) dcpromoui t:Ox42C 00011 Error 0x0 (10 => error) dcpromoui t:Ox42C 00012 Exit MyDsRoleGetPrimaryDomainlnformationHelper dcpromoui Ox42C 00013 HachineRole : 0x dcpromoui Ox42C 00014 Flags : 0x dcpromoui Ox42C 00015 DomainNameFlat: WORKGROUP dcpromoui Ox42C 00016 DomainNameDns : (null) dcpromoui Ox42C 00017 DomainForestName: (null) dcpromoui Ox42C 00018 Exit MyDsRoleGetPrlmaryDomainlnformation Далее проверяется, сконфигурирован ли сервер DNS:

dcpromoui Ox42C 00241 Enter ConfigureDNSClientPage::OnSetActive dcpromoui Ox42C 00242 Enter DNS: ilsClientConfigured dcpromoui Ox42C 00243 Calling DnsQuery dcpromoui :Ox42C 00244 IpstrName : 1.0.0.127.in-addr.arpa dcpromoui Ox42C 00245 «Type : DNS_TYPE_PTR dcpromoui :Ox42C 00246 fOPtions : DNS_QUERY_BYPASS_CACHE dcpromoui Ox42C 00247 aipServers : dcpromoui Ox42C 00248 ppQueryResultsSet : Ox6F dcpromoui Ox42C 00249 pReserved : dcpromoui Ox42C 00250 Result 0x dcpromoui Ox42C 00251 ERROR.SUCCESS dcpromoui Ox42C 00252 DNS client is configured dcpromoui Ox42C 00253 Exit DNS::IsClientConfigured dcpromoui Ox42C 00254 planning to Skip Configure DNS Client page dcpromoui Ox42C 00255 Enter ConfigureDNSClientPage: Validate dcpromoui Ox42C 00256 Enter DNS::IsClientConfigured dcpromoui OX42C 00257 Calling DnsQuery dcpromoui Ox42C 00258 IpstrName : 1.0.0.127.in-addr.arpa dcpromoui Ox42C 00259 wType : DNS_TYPE_PTR dcpromoui OX42C 00260 fOPtions : DNS.QUERY BYPASS CACHE i dcpromoui t:Ox42C 00261 aipServers : 148 Active Directory: подход профессионала ppOueryResultsSet : Ox6F30C dcpromoui t:0>:42C pReserved : dcpromoui t:Ox.42C dcpromoui t:Ox42C 00264 Result 0x dcpromoui t:0*42C 00265 ERROtLSUCCESS dcpromoui t:Qx42C 00266 DNS client is configured Exit DNS: :IsClientConfigured dcpromoui t:Ox42C Теперь ищем корневой домен И:

Enter getForestName mycorp.ru Enter myDsGetDcName dcpromoui t:Ox42C dcpromoui t:Ox42C 00308 Calling DsGetDcName ComputerName : (null) dcpromoui t:Ox42C dcpromoui t:Ox42C 00310 DomainName : mycorp.ru dcpromoui t:Ox42C 00311 DomainGuid : (null) dcpromoui t:Ox42C 00312 SiteGuid : (null) dcpromoui t:Ox42C 00313 Flags : 0x DomainControllerName :

dcpromoui t;

Ox42C \\ROOT1.mycorp.ru dcpromoui t:Ox42C 00315 DomainControllerAddress :

\\10.1.2. dcpromoui t:Ox42C 00316 DomainGuid :

{72B484AC-F61D-4E7B-8A1E-E8CA284DDAE5} dcpromoui t:Ox42C 00317 DomainName : mycorp. ru DnsForestName : mycorp. ru dcpromoui t:Ox42C Проверяется, не используется ли уже имя домена, которое вы ввели в диалоговом окне:

dcpromoui t:Ox42C 00483 Enter DS;

:IsDomainNamelnUse dcpromoui t:Ox42C 00484 Enter myNetValidateName dcpromoui t:Ox42C 00485 Calling NetValidateName dcpromoui t:Ox42C 00486 IpServer ;

(null) dcpromoui t:Ox42C 00487 IpName : msk.mycorp.ru dcpromoui t:Ox42C 00488 IpAccount : (null) dcpromoui t:Ox42C 00489 IpPassword : (null) dcpromoui t:Ox42C 00490 NameType :

NetSetupNonExistentDomain dcpromoui t:Ox42C 00491 Error 0x0 (!0 => error) dcpromoui t:Ox42C 00492 Exit myNetValidateName dcpromoui t:Ox42C 00493 Trie domain name msk.mycorp.ru is NOT in use.

dcpromoui t:Ox42C 00494 Exit DS::IsDomainNamelnUse dcpromoui t:Ox42C 00495 Exit ValidateDomainDoesNotExist А вот сообщение об успешном завершении:

dcpromoui t:Ox42C 01269 Enter getCompletionHessage dcpromoui t:Ox42C 01270 Enter State::GetOperation CHILD Установка Active Directory dcpromoui t:Ox42C 01271 Exit State::GetOperation CHILD dcpromoui t:Ox42C 01272 Enter State::GetOperationResultsCode SUCCESS dcpromoui t:Ox42C 01273 Exit State::GetOperationResultsCode SUCCESS dcpromoul t:Ox42C 01274 Enter State::GetNewDomainDNSName msk.mycorp,ru dcpromoui t:Ox42C 01275 Exit State::GetNewDomainDNSName msk.mycorp.ru dcpromoui t:Ox42C 01276 Enter State::GetInstalledSite Default-First-Site-Name dcpromoui t:Ox42C 01277 Exit State::GetInstalledSite Default-First-Site-Name dcpromoui t:Ox42C 01278 Enter State::GetFinishMessages dcpromoui t:Ox42C 01279 Exit State:;

SetFinishHessages dcpromoui t:Ox42C 01280 Exit getCompletionHessage dcpromoui t:Ox42C 01281 Exit FinishPage::OnSetActive dcpromoui t:Ox42C 01282 Enter FinishPage::OnWizFinish dcpromoui t:Ox42C 01283 Exit FinishPage:;

OnWizFinish dcpromoui t:Ox42C 01284 Exit Wizard::ModalExecute dcpromoui t:Ox42C 01285 Enter Dialog::ModalExecute dcpromoui t:0*42C 01286 Exit Dialog::ModalExecute dcpromoui t:Ox42C 01287 Enter Reboot dcpromoui t:Ox42C 01288 OpenProcessToken dcpromoui t:Ox42C 01289 LookupPrivilegeValue dcpromoui t:Ox42C 01290 AdjustTokenPrivileges dcpromoui t:Ox42C 01291 ExitWindowsEx dcpromoui t:Ox42C 01292 Exit Reboot dcpromoui t:Ox42C 01293 Exit doWizard dcpromoui t:Ox42C 01294 Exit dolt dcpromoui t:0*42C 01295 closing log file Просмотрев весь этот файл, вы выясните имя контроллера домена — источника репликации, разделы каталога, реплицированные на сер вер, число элементов, реплицированных для каждого из разделов в ка талоге, имена сконфигурированных служб, списки контроля доступа к ресурсам сервера, модифицированные в процессе исполнения про граммы, каталоги SYSVOL, сообщения об ошибках. Короче, изучение этого файла дасг вам больше, чем чтение многих умных книг.

В начале файла вы увидите фразу Loggin mask. Эта маска устанавливает степень детализации файла. Она задается соответствующим парамет ром в реестре. Он находится в ветви HKLM\Software\Microsoft \Win dows\CurrenrVersion\AdrninDebug и называется DCPROMOUI. Значение маски устанавливается побитрво в соответствии со следующей таблицей:

150 Active Directory: подход профессионала Управление степенью подробности регистрации в журнале DCPromoUJ. log Старший байт 0x0002 Отслеживание вызовов конструкторов и деструкторов 0x0004 Отслеживание вызовов AdclRcf и Release 0x0008 Отслеживание входа и выхода в функции 0x0010 Выводить сообщения трассировки 0x0020 Выводить заголовок со временем создания 0x0040 Перехватывать обращения к стеку при вызове оператора New Младший байт 0x0001 Вывод в файл 0x0002 Вывод в отладчик Netsetup.log Файл NetsetupJog записывается во время работы программы Netsetup, вызываемой в данном случае для установки нужных сетевых компо нентов. В следующем фрагменте файла зарегистрировано включение компьютера DC01 в домен fyodor.home. Контроллер домена, на кото ром выполняются проверки, называется ЕТА.

03/17 20:53:53 NetpDoDomainJoln 03/17 20:53:53 NetpMachlneValidToJoin: 'ОСОТ 03/17 20:53:53 NetpGetLsaPrimaryDomain: status: 0x 03/17 20:53:53 NetpMachineValidToJoin: status;

0x 03/17 20:53:53 NetpJoinDomain 03/17 20:53:53 Machine: DC 03/1720:53:53 Domain: fyodor.home\ETA.fyodor.home 03/17 20:53:53 MachineAccountOU: (NULL) 03/17 20:53:53 Account: fyodor.home\administrator 03/17 20:53:53 Options: 0x 03/17 20:53:53 OS Version: 5. 03/17 20:53:53 Build number: 03/17 20:53:53 ServicePack: Service Pack 03/17 20:53:53 NetpValidateName: checking to see if 'fyodor.home' is valid as type 3 name 03/17 20:53:53 NetpCheckDomainNamelsValid [ Exists ] for 'fyodo r.home' returned 0x NetpValidateName: name 'fyodor.home1 is valid for type 03/17 20:53: 03/17 20:53:53 NetpJoinDomain: status of connecting to do '\\ETA.fyodor.home': 0x 03/17 20:53:53 NetpJoinDomain: Passed DC '\\ETA.fyodor.home' verified as DNS name '\\ETA.fyodor.home' 03/17 20:53:53 NetpGetLsaPrimaryDomain: status: 0x 03/17 20:53:53 NetpGetNt4RefusePasswordChangeStatus: trying to read Установка Active Directory from '\\ETA.fyodor.home' 03/17 20:53:54 NetpGetNt4RefusePasswordChangeStatus: failed but ignored the failure: 0x 03/17 20:53:54 NetpLsaOpenSecret: status: OxcOD 03/17 20:53:54 NetpGetLsaPrimaryDomain: status: 0x 03/17 20:53:54 NetpLsaOpenSecret: status: Oxc 03/17 20:53:57 NetpJoinDomain: status of creating account: 0x 03/17 20:53:57 NetpJoinDomain: status of setting netlogon cache: 0x 03/17 20:53:57 NetpGetLsaPrimaryDomain: status: 0x 03/17 20:53:57 NetpSetLsaPrimaryDomain: for TYODOR' status: 0x 03/17 20:53:57 NetpJoinOomain: status of setting LSA pri. domain: 0x 03/17 20:53:57 NetpJoinDomain: status of managing local groups: 0x 03/17 20:53:57 NetpJoinDomain: status of setting ComputerNamePhysicalDnsDomain to 'fyodor.home': 0x 03/17 20:53:57 NetpJoinDomain: status of starting Netlogon: 0x 03/17 20:53:57 NetpWaitForNetlogonSc: waiting for netlogon secure channel setup,..

03/17 20:53:58 NetpWaitForNetlogonSc: status: 0x0, sub-status: 0x 03/17 20:53:58 NetpJoinDomain: status of disconnecting from '\\ETA.fyodor,home': 0x 03/17 20:53:58 NetpDoDomainJoin: status: 0x DCPromos.log Файл DCPromos.log создается, только если выполняется обновление контроллера домена Windows NT до Windows 2000. Он содержит дан ные о работе графической части программы установки.

Как подобрать компьютер?

О выборе подходящей конфигурации спрашивают довольно часто.

Никому уже не надо говорить, что выбирать технику надо, посовето вавшись со списком совместимого оборудования (http://www.rnicro soft.com/hcl/). Это и так все знают. (Другое дело, что многие просто игнорируют этот список, так как используют не то. что нужно, а то, что у них есть, или то, что в состоянии купить). Большинство знако мо и с минимальными требованиями, предъявляемыми к серверной конфигурации Windows 2000.

Контроллер домена на базе Процессор: Pentium 133 и выше Windows 2000 Server Оперативная память;

160 Мб Объем жесткого диска: 1 Гб Думаю, никому, кто находится в здравом уме и ясной памяти, не придет в голову использовать минимальную конфигурацию в производствен ной системе. Но при всем том готового ответа на вопрос, какую конфи гурацию использовать, дать нельзя. Все зависит от массы условий.

152 Active Directory: подход про<|>ессионала Если вы не готовы' к самостоятельной оценке требуемых ресурсов, воспользуйтесь программой Active Directory Sizer, которая в первом приближении поможет оценить как количество компьютеров, так и их назначение и конфигурацию.

Совет Значения, полученные с помощью AD Sizer, довольно прибли зительны и могут как завышать, так и занижать конфигурацию, По этому используйте ее для первых прикидок, а точные расчеты делай те на основании рекомендаций, приведенных ниже.

Допустим, вы хотите рассчитать, сколько контроллеров домена и ка кой конфигурации вам понадобится для построения сети в организа ции, состоящей из головного офиса и 4 филиалов, Общее количество пользователей — 1 000, каждый работает на своем компьютере, В двух филиалах работает по 100 пользователей, а в оставшихся — по 10. На 50% компьютеров стоит Windows 2000, а на оставшихся — Windows 9x.

В центральном офисе есть 20 серверов Windows 2000, на которых ус тановлены приложения. В качестве почтовой системы используется Microsoft Exchange 5-5. Запустите программу и подсчитайте результат.

-= Эй ;

.ife Confirmation DefaJl-firrt-Slte Domain: MyDornaln _j :iomain Cent г ok •< Role;

Domain Controller a,^J Bridge Heads :

Machines;

•k У Вн MyDnnuIn M) К 3 Branchl * -jj Bridge Heads * Ц ВКЧуСстаГ' (*Г| •~ _| Bcdqe Hteds III Xeo'i Si 3 ВН.МуСвпаг bi) Processors;

= j Small Branch Memory;

256 Mbytes - *• •Ll BrkJgff Heads №-J ЙН.МуОагпеШ (xl) fr I Small Branth Disk Drives:

-4 «23 BrtOgt >1ss* * -^J:

System Oisl: i ч(] Disks: 2 (Pa Detebaie Disks: 3 (Ra Окно ^с/й'е Directory Sizer Думаю, он вас удивит, И удивление будет как приятным, так и непри ятным. Судите сами.

В центральном офисе надо установить 3 контроллера домена, один из которых будет выделенным сервером-форпостом и ГК. Если вы Установка Active Directory хорошо знакомы с тем. как работает генератор топологии межсайто вой репликации (ISTG), то поймете, что либо надо добавить еще один сервер-форпост, либо держать работу КСС под постоянным контролем.

Конфигурация этих серверов видна на рисунке. Это, конечно, уже и не минимальные требования, но объем оперативной памяти у меня вызывает сомнения. Маловато будет! Попробуем поменять начальные значения и посмотрим, как на это отреагирует программа. Допустим, работа с Active Directory ведется весьма интенсивно, а именно в час пик до 100 пользователей в секунду регистрируется в домене инте рактивно, по сети и как пакетные задания. Плюс к этому пусть каж дый день администратор добавляет, удаляет и модифицирует по учетных записей. Ну и, наконец, некоторые приложения, работающие с Active Directory, выполняют по 5 операций поиска, удаления, добав ления и модификаций в секунду. Результат будет неожидан. Вам будет предложено дополнительно установить в центральном офисе еще контроллера домена, 2 сервера ГК и 1 сервер-форпост (если вы дога даетесь добавить еще одну межсайтовую связь). И все эти серверы — в показанной конфигурации.

В двух малых офисах устанавливать контроллер домена нецелесооб разно, так как там всего 10 пользователей, однако программа настой чиво советует это сделать. Исключая соответствующие компьютеры из списка, вы немного скрасите горечь предстоящих затрат.

Как видите, на результат расчетов влияет множество факторов. Попро буем их рассмотреть.

Требования к процессору К процессору можно подойти с позиции «чем больше, тем лучше», однако следует всегда руководствоваться принципом разумной до статочности. Зачем гнаться за самым последним типом процессора с самой высокой тактовой частотой? Роль процессора зависит от степе ни загрузки контроллера домена, на которую в свою очередь влияют:

• наличие на контроллере мастеров операций, особенно имитато ра PDC;

• наличие на контроллере дополнительных сетевых служб, таких как DNS, DHCP, WINS;

• выполнение контроллером функции выделенного сервера-форпоста;

• интенсивность внесения изменений в Active Directory;

• интенсивность регистрации в пиковые часы.

Служба Microsoft Consulting Services опубликовала интересный доку мент, в котором на основании тестов оцениваются аппаратные требо вания к контроллерам доменов. В таблице приведены результаты из мерения количества пользователей, зарегистрировавшихся интерактив 154 Active Directory: подход профессионала но за разные периоды времени. Измерения проводились на машинах с разным числом процессоров PIII Хеоп 500 Мгц и объемом ОЗУ 512 Мб.

Количество пользователей, зарегистрировавшихся интерактивно 1 2 Количество процессоров 1 минута 1 200-1 800 1 800-3 000 2 400-4 5 минут 6 000-9 000 9 000-15 000 12 000-21 10 минут 12 000-18 000 18 000-30 000 24 000-42 10 минут — это разумное время регистрации пользователей. (Трудно представить, что 15 000 пользователей захотят зарегистрироваться в сети в течение 1 минуты). Поэтому, если в организации всего 2- тысячи пользователей, их регистрацию вполне может обслужить один контроллер с одним процессором указанного типа.

Следующий тест учитывал членство пользователей в группах. В таб лице показана зависимость скорости регистрации пользователей (ре гистрации в секунду) от числа процессоров и количества групп.

Количество регистрации в секунду при членстве пользователей в разном числе групп Количество процессоров 1 2 19-28 28-47 39- 10 групп 25- 17- 20 групп 36- 30 групп 23-40 34- 16- Таким образом, представленные таблицы позволяют оценить требо вания к количеству процессоров с точки зрения скорости регистра ции пользователей.

На количество процессоров ьлияет еще один фактор — выполнение компьютером функций сервера-форпоста- В нагруженных системах, когда на один форпост приходится несколько партнеров по реплика ции, большое значение имеет скорость выполнения репликаций. Дело в том, что, когда на всех партнерах произошли изменения в каталоге и они оповестили сервер-форпост об этом, он должен за отведенный пе риод времени опросить по очереди каждый из контроллеров-партнеров и принять сведения о репликации. Если он не успеет это сделать в отве денное время, то захватит следующий период, препятствуя тем самым репликации новых изменений, накопившихся на контроллерах-партне рах за данное время. Это приводит к росту очереди репликации. Поэто му надо либо увеличивать количество серверов-форпостов, либо увели чивать производительность имеющегося. Справедливости ради замечу, что производительность в такой ситуации может ограничиваться уже не количеством процессоров, а пропускной способностью сетевой платы.

Установка Active Directory Требования к оперативной памяти Объем оперативной памяти на контроллерах домена зависит от та ких факторов.

+ Объем базы Active Directory. В идеале при работе вся база должна размещаться в ОЗУ. Хотя начальный объем базы всего 10 Мб, пос ле добавления пользователей и интенсивной работы он может составить 250 Мб, и это не предел. Если зоны DNS интегрированы с Active Directory, то это дополнительный вклад в объем базы.

• Является ли контроллер сервером ГК. Хотя ГК занимает и не такое пространство, как база домена, но при большом числе доменов и пользователей он может вносить в них существенный вклад.

В упоминавшемся тестировании была измерена зависимость скорости выполнения LDAP-запросов к серверу ГК от количества объектов в нем и от объема оперативной памяти:

Количество обработанных LDAP-запросов (компьютер с 2 процессорами РШ-Хеоп) Скорость посылаемых запросов (в секунду) 130 260 390 520 650 Количество запросов, обработанных ГК (за пр./сек) 200 000 объектов, ОЗУ 512 Мб 130 260 390 520 613 400 000 объектов, ОЗУ 512 Мб 130 >60 380 375 377 400 000 объектов, ОЗУ 1 Гб 130 260 390 520 650 Хорошо видно, что при памяти 512 Мб и 400 000 объектов ГК дости гает насыщения производительности всего при 390 поступающих зап росах в секунду. Увеличение объема ОЗУ в два раза поднимает планку насыщения также вдвое.

• Выполняются ли на сервере такие службы, как WINS, DNS, DHCP.

Эти службы имеют собственные базы, хранимые в кэше. Объем баз опять-таки зависит от количества компьютеров в сети.

Например, в уже упоминавшемся выше тесте исследовался компью тер, игравший только роли контроллера домена и сервера DNS. С этой целью был взят компьютер Compaq Proliant 6500 с 4 процессорами Pentium III Xeon — 500, ОЗУ — 1 Гб, подтслюченный к сети Fast Ethernet 100 Мб в пол но дуплексном режиме. Результаты тестирования:

• максимальная скорость динамических регистрации (в секунду) — 199;

• максимальная скорость динамических удалений (в секунду) — 200;

• максимальное число обработанных запросов (в секунду) — 852.

При этом загруженность процессоров не превысила 25%.

jj6 Active Directory: подход профессионала Конфигурация жестких дисков О конфигурировании дисковой подсистемы написано много: назову хотя бы [8] и справку к Windows 2000. Поэтому я просто приведу ти повые конфигурации, прошедшие проверку в боевых условиях.

1. Тестовая конфигурация или небольшая организация (до 20 пользо вателей). Жестких дисков (как ЮЕ, так и SCSI) в компьютере мо жет быть не более двух. Если диск один, его желательно разбить на два раздела. Системный диск (раздел) имеет объем 3-4 Гб, вто рой диск (раздел) — от 3 Гб (в зависимости от того, какие допол нительные функции выполняет компьютер). Оба раздела — NTFS.

На системном диске размешаются система и журналы транзакций, на втором диске — файлы базы Active Directory, каталог SYSVOL, базы сетевых служб и, если надо, профили пользователей и их домашние каталоги.

2. Оптимальная конфигурация для организации малого и среднего размера. Жестких дисков — 6 штук типа SCSI объемом 18 Гб каж дый. Скорость вращения 10 000 об/мин. Все диски подключены к RAID-контроллер у. Конфигурация: диски попарно объединены в массивы RAID1. На первом массиве установлена система. Второй массив служит для размещения журналов транзакций. Третий мас сив служит для хранения базы Active Directory, каталога SYSVOL.

базы сетевых служб и при необходимости профилей пользовате лей и их домашних каталогов.

3. Оптимальная конфигурация для крупных организаций и очень на груженных контроллеров домена. Жестких дисков не менее 9. Тип UltraSCSI 160, от 10 000 до 15 000 об./мин. с возможностью замены в «горячем* режиме. Обязательное подключение к двухканальному RAID-контроллеру. К первому каналу подключено 6 дисков. Они попарно объединены в разделы RAID 1. Объем каждого раздела от 18 Гб. На первом — система, на втором — журналы транзакций, на третьем — база Active Directory: Раздел RAID 5 подключен ко второ му каналу. Здесь размещаются каталог SYSVOL, базы сетевых служб, серверные приложения мониторинга и диагностики и при необхо димости профили пользователей и их домашние каталоги.

Как проверить работоспособность контроллера домена Ну что ж, спроектировали систему, сконфигурировали сетевые служ бы, запустили DCPROMO, перегрузили компьютер... А дальше? Можно приступать к работе? Конфшурировать остальные контроллеры? Не спешите. Сначала убедитесь, что все работает именно так, как вы и задумали. Не хочу пугать, но в жизни полно неожиданностей. Вы могли просто отвлечься во время ответов на вопросы DCPROMO и выбрать что-то не так, или на Солнце произошла мощная вспышка, но резуль тат может быть любым. Поэтому выполните следующую проверку7.

Установка Active Directory Совет Установив контроллер домена, не торопитесь увидеть все ре зультаты установки сразу, особенно если вы устанавливаете не пер вый контроллер в лесу доменов. Подождите не менее 30 минут. За это время должна завершиться работа служб по конфигурированию DNS и Active Directory и выполнится внутрисайтовая репликация.

1. Просмотрите журналы событий в поисках предупреждений или сообщений об ошибках. Если они вам встретятся, выясните при чину их появления и постарайтесь ее устранить. Многие из этих ошибок уже были описаны выше.

2. Убедитесь, что запущены все нужные для установленного типа запуска службы. Должны быть запущены все службы с автомати ческим запуском.

Ъ- Запретите запуск ненужных служб. Понимаю, что для многих это больной вопрос. А что называть лишними службами? Ну, для кон троллеров домена это определенно P r i n t Spooler, Messenger и Alerter. Если вы были столь неразумны, что по умолчанию устано вили IIS, запретите и его запуск. А вообще список нужных служб надо продумывать на этапе проектирования групповых правил для контроллеров доменов. Но об этом — в главе «Групповая политика*.

- '''f М4Й Ьшы!f t-iis4v!rt: la LAH Оптимизация серверной службы 4, Выберите правильную роль для службы Server. Подумайте, будете ли вы исполнять дополнительные приложения на этом сервере. Не забудьте про ресурс SYSVOL. Используются ли сценарии, как много пользователей и как часто имеет к ним доступ, где хранятся про фили?

1_5_8 Active Directoty:jiOflxofl профессионала 5. Проверьте параметры протокола TCP/IP. Все имена должны нормаль но разрешаться, а параметры, установленные для WINS и DNS, — верны. Используйте утилиты ipconfig и nslookup.

6. С помощью Netdiag проверьте сетевые подключения и регистра цию в WINS/DNS. Эта мощная утилита позволяет проверить все сетевые параметры компьютера. Вы можете выполнить как отдель ные тесты, так и все сразу, Причем информацию о них можно выводить подробно или общо. Для примера разберем результат тестирования с выводом результатов без подробностей.

Для начала сообщаются общие сведения о компьютере.

Computer Name: DC DNS Host Name: dc01.fyodor.home System info : Windows 2000 Server (Build 2195) Processor : x86 Family 6 Model 8 Stepping 3, Genuinelntel List of installed hotfixes :

Q Далее тестируются сетевые платы. В данном случае вы видите пре дупреждение о том, что, возможно, плата не функционирует вслед ствие того, что это, например, единственный компьютер в сети:

Netcard queries test : Passed [WARNING] The net card 'Realtek RTL8l39(A)-based PCI Fast Ethernet Adapter' may not be working because it has not received any packets.

Вот результаты тестирования каждого из интерфейсов, В нашем примере один является реальным интерфейсом, а другой — вир туальным, и именно с ним связаны все ошибки Per interface results:

Adapter : Local Area Connection Netcard queries test.., : Passed Host Name : dc IP Address : 10.1.1. : 255.255.255. Subnet Mask Default Gateway :

Primary WINS Server.... : 10.1.1. Dns Servers : 10.1.1. AutoConfiguration results : Passed Default gateway test... : Skipped [WARNING] No gateways defined for this adapter.

NetBT name test : Passed WINS service test : Passed Adapter ;

VNware Virtual Ethernet Adapter (basic host-only support for VMnetO Установка Active Directory Netcard queries test Passed Host Name dcOl IP Address 192.168.30. Subnet Mask 255.255.255. Default Gateway.., Dns Servers IpConfig results.. Failed Pinging DHCP server - not reachable WARNING: DHCP server may be down.

AutoConftguration results : Passed Default gateway test... : Skipped [WARNING] No gateways defined for this adapter, NetBT name test : Passed No remote names have been found.

WINS service test : Skipped There are no WINS servers configured for this interface.

Теперь следуют глобальные параметры, не требующие дополни тельных разъяснений.

Global results:

Domain membership test ;

Passed NetBT transports test : Passed List of NetBt transports currently configured:

NetBT_TcpipJ6C40DF85-48A3-4D93-941C-1D914F8B0907} NetBT_TcpipJB48C7C30-72DE-494C-BDB9-D9391C986AEF' 2 NetBt transports currently configured.

Autonet address test : Passed IP loopback ping test : Passed Default gateway test : Failed [FATAL] NO GATEWAYS ARE REACHABLE.

You have no connectivity to other network segments.

If you configured the IP protocol manually then you need to add at least one valid gateway, NetBT name test : Passed Winsock test : Passed DNS test : Failed [FATAL]: The DNS registration for 'dc01.fyodor.home' is incorrect on all DNS servers.

PASS - All the DNS entries for DC are registered on DNS server '10.1.1.3* and other DCs also have some of the names registered.

Увиден такое предупреждение, запустите netdiag с ключом /v. Что бы сократить выводимую информацию, лучше всего указать кон кретный тест. У нас это тест DNS. Проанализировав результат в кон кретном примере, приходим к выводу, что виноват снова вирту 160 Active Directory: подход профессионала альный сетевой интерфейс, который, несмотря на свою виртуаль ность, зарегистрирован в DNS как адрес сервера DNS в несуществу ющей сети 192.168.30.0.

Redlr and Browser test : Passed List of NetBt transports currently bound to the Redir NetBT_TcpipJ6C40DFe5-48A3-4D93-941C-1D914F8B09Q7} NetBT_Tcpip_{B46C7C30-72DE-494C-BDB9-D9391C986AEF} The redlr is bound to 2 NetBt transports.

List of NetBt transports currently bound to the browser NetBT_TcpipJ6C40DF85-48A3-4D93-941C-1D914F8B09Q7} NetBT_Tcpip_{B48C7C3Q-72DE-494C-B[}B9-D9391C986AEF} The browser is bound to 2 NetBt transports.

Ну и. наконец, тесты самого контроллера домена. Для целей об щей диагностики этого вполне достаточно. Путь к подробностям откроет вам ключик /V у команды:

DC discovery test.... Passed DC list test Passed Skipped Trust relationship test.

Passed Kerberos test Passed LDAP test Bindings test Passed WAN configuration test. Skipped No active remote access connections.

Modem diagnostics test Passed IP Security test,.. Passed IPSec policy service is active, but no policy is assigned.

The command completed successfully Утилита Dcdiag (о ее возможностях см. справку Support Tools Help) поможет выявить некорректности в работе контроллера: ее дос таточно запустить без ключей. Выводимый результат предельно ясен и понятен. Если не все гладко, воспользуйтесь рекомендаци ями из главы «Поиск и устранение проблем».

Domain Controller Diagnosis Performing initial setup:

Done gathering initial info.

Doing initial required tests Testing server: Site-1\DC Starting test: Connectivity DC01 passed test Connectivity Doing primary tests УстановкаАсНуе Directory 1ji Testing server: Site-1\DC Starting test: Replications DC01 passed test Replications Starting test: NCSecDesc DC01 passed test NCSecDesc Starting test: NetLogons DC01 passed test NetLogons Starting test: Advertising DC01 passed test Advertising Starting test: KnowsOfRoleHolders DC01 passed test KnowsOfRoleHolders Starting test: RidManager DC01 passed test RidManager Starting test: MachineAccount DC01 passed test MachineAccount Starting test: Services DC01 passed test Services Starting test: ObjectsReplicated DC01 passed test ObjectsReplicated Starting test: frssysvol DC01 passed test frssysvol Starting test;

kccevent DC01 passed test kccevent Starting test: systemlog DC01 passed test systemlog Running enterprise tests on : fyodor.home Starting test: Interaite fyodor.home passed test Intersite Starting test: FstnoCheck fyodor.home passed test FsmoCheck Если приведенная последовательность тестов дает ясно понять, что все отлично и прекрасно работает, смело продолжаем установку дру гих контроллеров.

Замечание На этом этапе перейти к установке других контролле ров можно в небольших тестовых сетях, когда все контроллеры мож но сконфигурировать за несколько часов. Если же вы собираете ра бочую систему, см. раздел «Все работает. Что делать?».

А теперь обратимся к не самому радостному варианту. У вас пробле ма. Что-то не работает. Как правильнее поступить в такой ситуации?

Acliyg Directory^noflxofl профессионала А если он все-таки не работает?

Если контроллер домена не работает после установки (а симптомами являются, например, многочисленные сообщения об ошибках в жур налах, невозможность запуска средств контроля Active Director)' и т. п.), то общий алгоритм действий такой.

+ Выясняется причина неработоспособности. В 99% работоспособ ность можно восстановить. Если найдена причина, остальное уже дело техники.

+ Если при выявлении причин трагедии выясняется, что вы попали в тот 1%, когда уже ничто не поможет, надо подумать о переуста новке системы. Особо надо выделить ситуацию обновления кон троллера домена Windows NT до Windows 2000.

ф Наконец, когда вы занялись переустановкой системы на бывшем дефектном контроллере, нужно вычистить информацию о нем из Active Directory (конечно, только если вы не переустанавливаете первый и единственный контроллер в сети).

Попробуем выяснить причину Я полностью посвятил одну главу книги поиску и устранению про блем в Active Directory. Но там речь идет о системе, которая работала, работала и... перестала. Здесь же я хочу очень кратко остановиться на самых первых шагах системы, которые она попыталась сделать, да не смогла. Все причины неработоспособности контроллера домена мож но разбить на такие категории:

• некорректно заданные параметры TCP/IP или ошибки в сети;

• некорректная работа службы DNS;

ф проблемы с оборудованием, в первую очередь с дисковой под системой;

+ проблемы с репликацией Active Directory;

• проблемы с репликацией FRS.

Некорректные параметры TCP/IP или ошибки в сети Если до запуска DCPROMO или в процессе ее работы с сетью все было нормально (хотя бы не было предупреждений или сообщений об ошибках), а сейчас возникают ошибки связанные с сетью, то возмож но, что-то изменилось в параметрах протокола TCP/IP. Вы спросите:

что могло измениться, когда никто ничего не изменял? Ну, например, если сервер — клиент DHCP и получает от него постоянный адрес, то после перезагрузки он этого адреса не получит или получит другой, не соответствующий своей подсети. И произойдет это потому, что кто то очень «умный» в вашей сети запустит свой сервер DHCP «в тесто вых целях*.

Установка Active Directory Огедовательно, первое ваше действие — выполнить команду' ipconfig /all.

Если все правильно, проверяем, доступен ли с контроллера сервер DNS и другие контроллеры домена. Думаю, излишне напоминать, что этим занимается команда ping. Кстати, вероятность возникновения ошиб ки по вине сети наиболее вероятна, если:

• вы устанавливаете контроллер домена в удаленном офисе, связан ным с центральным сайтом неустойчивым каналом;

• вы- находитесь в отдельном сегменте сети, а маршрутизатор рабо тает с перебоями;

+ часть сети, в которой установлен контроллер домена, расположе на за межсетевым экраном, и за то время, пока шла установка кон троллера, другой администратор изменил параметры экрана.

Кстати, ping позволит выявить и не вовремя «упавший» сервер DNS.

Некорректная работа службы DNS Если же сервер DNS «жив», надо проверить его параметры. В первую очередь выполните nslookup. Устраните обнаруженные некорректно сти. Проверьте правильность делегирования зон, пересылки запросов, наличие необходимых зон, включая зону _тзс1сз.<имя леса>, а также ее доступность для контроллера. Короче, используйте все инструмен ты, о которых выше шла речь.

Здесь уместно описать фатальную ситуацию. Допустим, вы устанавли вали второй контроллер домена в лесу. При перезагрузке после окон чания работы DCPromo первый контроллер вышел из строя, и вос становить его невозможно (скажем, «умер*- жесткий диск, а резервную копию вы еще не успели сделать). Сожалею, но в этом случае придет ся переустановить не только первый контроллер, но и второй.

Частным случаем, но с более тяжелыми последствиями, является ус тановка контроллера домена в удаленном филиале. При перезагрузке происходит крупная авария у телекоммуникационного провайдера, на устранение которой потребуется несколько дней. Ждать вы не може те и бросаете все до «лучших времен». Ваша беспечность обойдется администратору предприятия хорошей чисткой Active Directory'.

Проблемы с оборудованием, в первую очередь с дисковой подсистемой Проблема настолько очевидна, что для ее диагностики не потребует ся много времени. Журнал регистрации системных событий и Active Directory будет заполнен взаимодополняющими сообщениями об ошибках.

Проблемы с репликацией Active Directory Проблемы с репликацией выявляются довольно быстро. Во-первых, надо подождать не менее 15 минут по окончании установки контрол Active Directory: подход профессионала лера и перезагрузки компьютера. Если записи в DNS были внесены сразу, компьютер с этого момента станет доступным для репликации.

Служба КСС перестроит топологию репликации так, что включит компьютер в общее кольцо, О том. что компьютер готов к репликации, можно судить по появле нию у него объектов связи с другими компьютерами. Эти объекты видны в оснастке Active Directory Sites and Services. Щелкнув объект связи правой кнопкой, выберите команду Replicate now. Если не бу дет выдано сообщений об ошибках, то скорее всего репликация ра ботает нормально. Удостовериться в этом поможет команда repadmin /showreps. Если ошибок нет и показаны все партнеры по репликации, то этот этап проверки можно считать завершенным.

Если в ответ на команду вы получите сообщение об ошибке, не пани куйте. Возможно, начальная репликация еще не завершилась. Минут через 5-10 повторите команду.

Совет Не забывайте периодически обновлять состояние параметров NTDS Settings, выполняя команду Refresh. Ее надо применять, щелкая правой кнопкой имя сервера.

Если и теперь наблюдаются ошибки, см. главу «Репликация Active Directory». Здесь же отмечу, что если в сообщении об ошибке указано, что доступ запрещен (Access denied), то скорее всего у вас нет полно мочий для административного доступа к тому контроллеру домена, на который вы хотите выполнить репликацию.

Проблемы с репликацией FRS Проблемы с репликацией FRS встречаются гораздо реже, чем пробле мы с репликацией Active Directory.

Чтобы убедиться, что репликация FRS завершилась, откройте каталог SYSVOL и сравните его содержимое с содержимым аналогичного ка талога на других контроллерах того же домена. Если каталоги иден тичны, можно считать, что репликация FRS работает. Для подстрахов ки положите в каталог Scripts какой-нибудь файл и, следуя топологии репликации, проверьте, как он будет последовательно появляться на всех контроллерах домена.

Если, однако, это не так и либо структуры каталогов SYSVOL на двух контроллерах домена не идентичны, либо файл в каталоге Scripts не тиражируется, откройте журнал регистрации FRS. В нем вы обнару жите сообщения, позволяющие выявить истоки проблемы. Это будет, например, сообщение о нехватке места в каталоге SYSVOL или об от казе в доступе к нему. Проверьте, не установлено ли у вас квотирова ние диска, не поменяли ли вы права доступа как к сетевым ресурсам Sysvol и Netlogon, так и списки контроля доступа NTFS к каталогам SYSVOL и Scripts.

Установка Active Directory Некорректная групповая политика Проблемы, связанные с некорректной работой'групповой политики на этом этапе вряд ли могут появиться. Дело в том, что для контрол леров домена определяется Default domain controllers group policy. Если вы устанавливаете первый контроллер в домене, то она еще просто не определена, и действуют значения по умолчанию, конфликтов с которыми нет.

Если же это не первый контроллер в домене, могут наблюдаться ошиб ки, определенные на уровне домена для общей политики безопасно сти. Характер таких ошибок может относиться скорее к казусам и невнимательности администратора.

А может, все переустановить?

Если поиск источника проблемы не дал желаемых результатов и все попытки заставить контроллер заработать не увенчались успехом, вы, может быть, и зададитесь этим вопросом.

Что ж, если это единственный контроллер в лесу, то, возможно, это наилучший выход. Главное, прежде чем все переустанавливать, поста райтесь все-таки докопаться до причины проблемы. Иначе никто не гарантирует, что вы не повторите той же ошибки.

Если это не первый контроллер домена, то идти на «мокруху» нужно крайне осмотрительно. Во-первых, попробуйте запустить DCPROMO и корректно понизьте статус контроллера до сервера в домене. Если это удалось, то на одном из оставшихся контроллеров откройте ос настку Active Directory Users and Computers и убедитесь, что данный объект переместился из контейнера Domain Controllers в контейнер Servers. После этого откройте оснастку Active Directory Sites and Servi ces, найдите имя сервера, статус которого вы только что понизили, и удалите его. Если остались объекты-связи с этим компьютером у дру гих контроллеров, удали!е их.

Если понижение статуса завершилось неудачно, придется удалить контроллер домена из Active Directory вручную. Для этого запустите на одном из нормально работающих контроллеров домена утилиту ntdsutii. Войдите в ней в режим Connections и подключитесь к тому контроллеру домена, на котором запущена утилита. Затем в режиме Metadata Cleanup войдите в режим Select Operations Target и, пооче редно просматривая списки сайтов, доменов в них и серверов в до менах, выберите сервер, который надо удалить из Active Directory.

Вернувшись в Metadata Cleanup, удалите выбранный сервер. Далее откройте оснастку Active Directory Users and Computers и убедитесь, что объект исчез из контейнера Domain Controllers. Затем откройте оснастку Active Directory Sites and Services, найдите имя сервера, ис ключенного из Active Directory, и удалите его, Удалите также объек ты-связи с ним у других контроллеров. Наконец, откройте оснастку Ш) ActiygDireclory: подход профессионала управления DNS и удалите все записи (если они, конечно, там появи лись), относящиеся к удаленному серверу.

Вот теперь повторно установите ОС и повысьте статус до сервера.

Вниманконтроллера в существуюие Описанная процедура может использоваться только в случае установки новых контроллеров доме нов Windows 2000. Если же обновляется контроллер домена Windows NT 4-0, см. ниже раздел «Обновление контроллера домена Windows NT 4.0 до Windows 2000*.

Все работает. Что делать?

Убедившись, что все работает, не торопитесь устанавливать остальные контроллеры или подключать клиенты. Сначала надо подумать о ре зервном копировании контроллера домена. Вы можете сказать: «А что тут думать-то? Надо значит надо!» И все же представьте, что вы уста новили первый контроллер н лесу. Сделали резервную копию. Затем вы устанавливаете второй контроллер и делаете его резервную копию.

Однако состояние Active Directory изменилось по сравнению с тем моментом, когда выполнялось резервное копирование первого кон троллера домена. Следовательно, надо сделать для него повторную резервную копию? А надо ли?

Допустим, вскоре после установки второго контроллера домена про изошел сбой первого. Переустановив его и восстановив содержимое резервной копии, вы добьетесь того, что состояние Active Directory будет соответствовать моменту времени, предшествовавшему тому, когда был установлен второй контроллер домена. Следовательно, USN восстановленных объектов будут меньше USN аналогичных объектов на втором контроллере. Это же справедливо и для вектора обновлен ности (updateness vector). (О репликации см. главу «Репликация Active Directory».) Поэтому начавшаяся репликация приведет к тому, что объекты с более высоким USN будут тиражированы на восстановлен ный контроллер и информация на нем станет актуальной. Вывод:

вовсе не обязательно выполнять резервное копирование Active Direc tory на всех контроллерах доменов всякий раз после добавления но вого контроллера. Достаточно сделать это сразу после установки кон троллера и его синхронизации с остальными. В дальнейшем резерв ное копирование надо проводить на регулярной основе.

Совет Выполнив резервное копирование системного состояния, не успокаивайтесь. Попробуйте в тестовой зоне восстановить AD из ре зервной копии. Вы не только будете уверенно себя чувствовать в слу чае реального восстановления рабочей системы, но и будете хорошо представлять длительность этого процесса, что просто необходимо при планировании.

Установка Active Directory „_^_ Обновление контроллера домена Windows NT 4. до Windows Рассмотренные выше вопросы установки контроллеров доменов в основном применимы при проектировании новых сетей. Однако ча сто встает вопрос о модернизации имеющейся сети, построенной на базе доменной структуры Windows NT, ее расширении или объеди нении нескольких сетей. Рассмотренные выше методики будут при менимы и тогда, и все же тут есть ряд особенностей.

Тот, кто хорошо знаком с сетями на базе Windows NT, знает, что су ществует несколько моделей связи между доменами. Это может быть простая сеть, состоящая из одного домена, или несколько доменов, связанных между собой по схеме с одним или несколькими мастер доменами и обеспечивающих полную централизацию управления, может быть и модель полностью доверительных отношений, предла гающая полную децентрализацию, а также — смесь нескольких раз личных моделей, соответствующая структуре организации (Подроб нее см. [9]). Понятно, что для каждой из этих моделей существует оптимальный способ миграции на новую систему, обеспечивающий эффективный и безопасный перенос учетной информации и мини мально воздействующий на конфигурацию клиентских рабочих мест.

Подробное описание различных вариантов перехода со старой сис темы на новую, а также способы обеспечения нормального сосуще ствования в одной сети как старых систем, так и новых, см. в [1].

Здесь же мы рассмотрим процесс миграции одного домена, обращая внимание на вопросы, связанные с обновлением ОС на PDC.

Кое-что о Windows NT 4. Перед рассмотрением миграции вспомним некоторые основы рабо ты сервера Windows NT 4.0 и доменов на его основе. Сервер может быть либо первичным контроллером домена (PDC), либо резервным контроллером (BDC), либо отдельно стоящим сервером. Роль, кото рую он будет играть в домене, определяется на этапе установки и не может быть изменена в дальнейшем. Так, в частности, контроллер домена нельзя сделать отдельно стоящим сервером, а сервер — кон троллером домена, не переустановив их полностью. Можно лишь повысить роль резервного контроллера до статуса первичного, а пер вичный — понизить до резервного. На резервном контроллере мож но остановить сервис регистрации, но это приведет только к тому, что он не будет использоваться для регистрации входящих в домен, од нако своей роли он не изменит.

Так как в домене на базе Windows NT 4.0 широко применяются иден тификаторы безопасности компьютеров, генерируемые при установ ке системы, и основанные на них доверительные отношения старого типа, то переместить контроллер из одного домена в другой, не при бегнув к полной переустановке системы, невозможно. Кроме того, вы не можете произвольно изменять имена контроллеров домена, не при бегая к полной их переустановке.

Вспомним также, что учетная информация в домене может изменять ся только на первичном контроллере, а резервные контроллеры слу жат для регистрации пользователей. База учетных записей на BDC — точная копия базы PDC. Достигается это за счет тиражирования с одним мастером (single master replication).

Репликацию файловой системы (Сетевой ресурс Netlogon) выполня ет служба Lmrepl, работа которой несовместима со службой реплика ции FRS в Windows 2000.

Контроллеры домена Windows NT 4.0 могут работать в домене Win dows 2000. При этом домен должен обязательно работать в смешан ном режиме (mixed mode) со всеми вытекающими из этого ограни чениями, контроллеры Windows NT выполняют роль только резерв ных контроллеров и аутентифицируют клиентов по протоколу KTLM.

Обеспечение безопасной миграции Вы уже поняли, сколько опасностей подстерегает на этапе установки контроллера домена. Но эфс]>ект от сбоев максимален при миграции сети, так как в этот процесс повлечены сотни пользователей. Эффек тивность их работы во многом зависит от состояния сетевой инфра структуры: бесперебойного доступа к файлам и принтерам, надежно сти электронной почты, работы приложений. Вторжение е отлажен ную доменную структуру чревато тяжелыми последствиями. Именно поэтому требуется самое серьезное планирование и тестирование.

Планирование включает в себя перечень организационных и адми нистративных мероприятий и тщательную проработку этапов мигра ции и отдельных ее операций.

Описание организационной стороны миграции выходит за рамки данной книги (см. об этом материалы Microsoft Solutions Framework:

Infrastructure deployment planning), но затронуть технические аспек ты безопасной миграции необходимо.

Две стратегии миграции Существует два принципиалы ю разных подхода к миграции. Выбор во многом зависит от того, в какой степени пользователи нуждаются в постоянной доступности, от того, как быстро вы можете сообщать пользователям об изменениях, и от ваших финансовых возможностей.

Первый подход подразумевает, что вы обновляете систему При этом тщательно прорабатываются этапы миграции, последовательность перехода на новую систему различных подразделений и территорий, процедура обновления и настройки клиентских рабочих мест. Для каждого шага предусматривается вариант отката в случае неудачи, для чего просчитывается длительность нормальной процедуры и разра батываются сценарии «что, если*.

Установка Active Directory ' Прежде чем начать миграцию, надо убедиться, что все обновляемые серверы соответствуют требованиям. Это относится как к типам уст ройств, используемых в компьютерах, так и объему ресурсов: частоте процессора, объему памяти, объему жесткого диска. Последнее имеет особое значение. Если вы выполняете обновление не с компакт-дис ка, а по сети, то на локальный диск будет скопировано практически полное содержимое компакта. Обратите внимание и на тип файло вой системы. Если в обновляемом контроллере домена нет разделов с NTFS, обновление не состоится.

Если вы понимаете, что текущая конфигурация оборудования первич ного контроллера домена не соответствует всем требованиям со сто роны контроллера Windows 2000 и, более того, не может быть изме нена, то существует два варианта развития событий. Первый: вы при обретаете более мощный сервер, спецификации которого соответ ствуют рассчитанным вами требованиям, устанавливаете на него Windows NT 4.0 Server в качестве резервного контроллера домена, а потом повышаете статус до PDC. Дальнейшая миграция этого серве ра пройдет без проблем. Второй: если существующий сервер в прин ципе способен выполнять роль контроллера домена Windows 2000 без нагрузки, вы выполняете его обновление до Windows 2000, затем на новый сервер устанавливаете Windows 2000 в качестве контроллера домена и передаете все функции мастеров операций с прежнего PDC на вновь установленный сервер. Преимущество данного способа в том, что новый контроллер домена «не знал» старой версии Windows NT и не несет в себе ее наследия.

Следующий шаг — полное резервное копирование всех данных на мигрирующем сервере. Это может оказаться весьма полезным, если обновление системы почему-либо не будет выполнено.

Совет Вместо резервного копирования можно установить в домен дополнительный контроллер домена и после его полной синхрони зации отключить от сети. Если при обновлении возникнут проблемы, то этот сервер можно будет использовать как источник информации.

«не замутненный процессом миграции».

Может случиться, что не все серверные приложения, используемые в вашей организации, будут готовы к работе в Windows 2000. Тогда они могут продолжить работу на старой версии, но в рамках обновлен ного домена.

Преимущества и недостатки данного метода миграции таковы:

Преимущества Недостатки Последовательность действий Необходимо выполнять работы в выходные дни Можно создать пилотные зоны Длительный процесс см. след. стр.

170 Active Directory: подход профессионала Недостатки Преимущества Необходимо проектировать боль Не требуется большое количество шое количество процедур отката дополнительного оборудования Необходимо обеспечить существо Влияет на небольшой круг вание «старой* и «новой» систем пользователей в переходный период Можно использовать существующее Необходимо проводить резервное копирование всех серверов оборудование Другой метод обеспечивает максимальную безопасность миграции, однако он и самый дорогой.

В лабораторной сети вы создаете новый домен на базе Windows Server. Полностью конфигурируете все контроллеры домена и серве ры приложений. Создаете структуру ОП.

Далее — подключение нового домена в существующую сеть. Пользо вателям вашего домена новый остается пока недоступным. Потом вы переносите учетные записи всех пользователей в новый домен. Пе ренос помогут выполнить либо сценарии cloncprincipal. либо Active Director^' Migration Tool (ADMT).

После распределяете учетные записи по подразделениям из оснаст ки Active Directory Users and Computers. Здесь же вы формируете груп повые и системные правила.

Следующий шаг — планомерное переключение пользователей на новую структуру. Переключение можно совместить с обновлением операционных систем на их компьютерах. С этого момента клиенты могут регистрироваться в новом домене. Если миграция прошла ус пешно, старый домен можно выключить.

Описанный способ пригоден, если у вас хватает компьютеров. Напри мер, вы делаете обновление своего парка машин.

Недостатки Преимущества Необходимо выполнять ряд работ Полная независимость тестовой сети от рабочей в выходные дни Возможность тщательного Требуется большое количество тестирования дополнительного оборудования Система создается *с нуля* Невозможно использовать существующее оборудование Оказывает влияние на небольшой Необходимо перенастраивать круг пользователей клиентские компьютеры Миграция пользователей выполняется в предельно сжатые сроки Процедура отката предельно проста.

Не требуется резервное копирование Второй метод миграции подразумевает, что установка контроллеров до мена выполняется на новой системе, т. е. без обновления существующей.

Установка Active Directory Мигрируем домен Windows NT Начиная миграцию домена Windows NT, вы должны четко представ лять доменную структуру Active Directory. Как это описано в предыду щей главе, для небольшого предприятия наиболее вероятной домен ной структурой может быть либо один домен, либо дерево из двух доменов. Корневой домен при этом пустой и играет роль носителя имени организации. Далее мы будем придерживаться этого предпо ложения.

Замечание Миграция домена Windows NT в дерево, состоящее из двух доменов, является частным случаем включения одиночного до мена Windows NT в лес Active Directory.

Обновление первичного контроллера домена Начинается миграция домена с обновления ОС на PDC. Обновление первичного контроллера домена преследует две цели:

• сразу включить существующий домен в дерево, даже несмотря на смешанную структуру домена;

+ использовать новые инструменты управления службой каталога и создания своих элементов в каталоге Active Directory.

Прежде чем начать обновление, убедитесь, что у вас есть сервер DNS, соответствующий требованиям Active Directory. Все, о чем написано в разделе, посвященном DNS, относится и к данному случаю.

Итак, если все предварительные условия выполнены, запускайте об новление ОС на первичном контроллере домена. Здесь предположим, что обновление самой системы прошло без осложнений. (В этом должна быть ваша заслуга, так как надо запастись драйверами обору дования, установленного в компьютере. Например, если это сервер Compaq, то нужен диск Smart Start с необходимыми драйверами. Имен но с него нужно запускать обновление ОС.) Сразу по завершении работы программы установки ОС запустится DCPROMO.

Внимание Если размер базы SAM велик (50-70 Мб), то на финаль ной стадии работы Winnt32 (это когда появляются сообщения «Perfor ming final tasks» и «Save Settings») может показаться, что компьютер завис. Продолжительность паузы может достигать 2,5 часов. Настоя тельно рекомендуется не прерывать работу компьютера и дать завер шить все операции. Вы можете исключить возникновение такой си туации, выполнив одно из следующих действий:

+ установив максимальный размер реестра в 200 Мб:

• установив объем файла подкачки на 20% выше объема ОЗУ;

+ повысив объем ОЗУ;

172 Active Directory: подход профессионала ф уменьшив объем SAM, последовательно применив утилиты REGBACK и REGREST;

• добавив в систему новый BDC, повысив его статус до PDC.

а потом обновив до Windows 2000.

Как и в процедуре установки, описанной для нового контроллера до мена, вам будет предложено указать имя дерева, к которому будет присоединен данный домен, или создать новое дерево. В первом слу чае надо указать ссылку на будущий родительский домен. Если же мигрирусмый домен единственный, то при установке надо указать, что это корневой домен нового дерева в новом лесу.

Может случиться, что вам понадобится изменить имя домена. Скажем, домен Windows NT имел NetBIOS имя CENTRAL;

а новое имя домена Windows 2000 должно быть mycorp.ru. Если бы вы устанавливали до мен с нуля, то его NetBIOS-имя по умолчанию было бы MYCORP. Так как вы выполняете обновление, NetBIOS-имя будет сохранено и оста нется CENTRAL. Такое сохранение важно с точки зрения пользовате лей домена: они по-прежнему будут регистрироваться в домене CENT RAL, и вам не придется оповещать их об изменениях.

Корневой домен Windows т / Windows 2000 \ Windows NT Миграция домена Windows NT в дерево доменов Windows Это соответствие между NetBIOS-именем домена и DNS-именем до мена поддерживается с помощью объектов класса CrossRef, располо женных в контейнере CN=Partitions,CN=ConfigurationXHMfl лесах По мере выполнения обновления системы DCPROMO перенесет в каталог Active Directory ооъектм из базы SAM: учетные записи пользо вателей, локальных и глобальных групп, а также машин. Каждый Установка Active Directory объект безопасности переносится в контейнер со своим именем. Не будучи организационными единицами, эти контейнеры являются объектами с общим именем (сп). Ниже показано соответствие учет ных записей и контейнеров, в которые они переносятся.

Учетные записи Контейнер Все пользователи Users Компьютеры Computers Встроенные локальные группы Builun Встроенные глобальные группы Users Все остальные группы Users После установки протокола Kerberos будут запущены службы аутен тификации и выдачи начального билета TGT, а вслед за этим устано вятся транзитивные двусторонние доверительные отношения с роди тельским доменом.

Контроллер родительского домена реплицирует данные в новый до черний домен, который в спою очередь будет добавлен в структуру сай та. Все контроллеры, домена получат уведомление о том, что к дереву подключен новый домен. Так как обновленный контроллер является первичным контроллером для остальных резервных контроллеров Windows NT, то все новые объекты будут тиражированы на них.

После обновления ОС на PDC до Windows 2000 компьютер становит ся виден как контроллер домена для всех серверов Windows 2000 и как первичный контроллер домена для серверов Windows NT 4.0.

Windows 2000 обладает обратной совместимостью с предыдущей версией. При этом данный компьютер по-прежнему можно применять для создания новых объектов безопасности (учетных записей пользо вателей, групп и машин), сведения о которых будут тиражироваться на другие BDC в домене. Рабочие станции будут распознавать компь ютер как PDC. Если выключить Windows 2000-компьютер, играющий роль PDC, то любой BDC может быть повышен до статуса PDC. Если же первичный контроллер домена с Windows 2000, выполняющий роль PDC. включен, то повышение статуса BDC невозможно.

Совет Обновив PDC, добавьте в домен новый контроллер Windows 2000, установленный на новую машину, и передайте ему все роли мастеров операций. Это не обязательное действие. Его цель — повысить устойчивость ОС, так как обновления не всегда работают стабильно.

Откат назад в случае сбоя А если при обновлении РОС произошел сбой? Во-первых, не пани куйте. В этой главе есть советы на все случаи вашей административ ной деятельности. Но так как эти советы касаются только на 100% «чи стой» среды Windows 2000, то ниже я расскажу, как сделать, чтобы домен NT 4 продолжил нормально функционировать.

174 Active Directory: подход профессионала Итак, во время обновления контроллера домена в процессе работы DCPROMO произошел фатальный сбой, и вы поняли, что восстанов лению система не подлежит. Дальнейшие ваши действия в домене Windows NT зависят от того, как именно вы подстраховались перед началом обновления.

1. Если вы выполнили резервную копию РОС, то восстановите ее на вновь установленный сервер Windows NT. В процессе репликации исходное состояние базы SAM будет тиражировано по всем BDC.

2. Если вы сохранили в отключенном состоянии BDC, то включите его в сеть, повысьте его статус до PDC, и предмиграционное со стояние будет восстановлено во всем домене.

Завершив репликацию, убедитесь, что информация на всех контрол лерах домена тождественна, а пользователи не испытывают проблем с регистрацией в сети и доступом к ресурсам.

Совместная работа контроллеров разных версий На последней стадии миграции можно обновить ОС на других кон троллерах домена и установить на них службу каталогов Active Direc tory Также можно просто добавить в домен новые контроллеры с установленной Windows 2000 Server. Но прежде чем вы это сделаете, система будет эксплуатироваться и переходном состоянии, когда у вас будут работать контроллеры домена разных версий. Ниже описаны некоторые особенности этого периода.

Так как контроллеры домена с гарого типа используют в своей работе последовательно возрастающие относительные идентификаторы (RID) из ряда всех идентификаторов безопасности (SID), то только первичный контроллер домена с Windows 2000 может служить для создания объектов системы безопасности. Объекты, не имеющие от ношения к системе безопасности, например организационные еди ницы, могут быть созданы на любом контроллере с установленной службой каталогов Active Directory.

На первичном контроллере домена используется два протокола ти ражирования: для систем на базе Windows NT 4-0 и ранних версий — с одним мастером и для партнеров на базе Windows 2000 — с несколь кими, Особо скажу о файловой репликации. Репликация FRS несовместима с механизмом репликации LMRepl. При работе в смешанной среде контроллеры Windows NT ничего не знают о файлах, реплицируемых контроллерами Windows 2000. Контроллер домена — имитатор PDC — не поддерживает работу LMRepl. В такой ситуации сценарии и файлы системной политики не тиражируются на контроллеры Windows NT.

Для разрешения этой проблемы рекомендуется сделать следующее.

• Перед обновлением ОС на PDC нужно сконфигурировать любой BDC в качестве источника для службы LMRepl.

1 /!.

Установка Active Directory • Использовать файл Lbridge.cmd из состава Windows 2000 Server Resource Kit. Этот командный файл, запускаемый на одном из кон троллеров Windows 2000, копирует файлы из каталога SYSVOL в каталог Export на том контроллере домена Windows NT, который вы сконфигурировали как источник для службы LMRepl.

Совет Файл Lbridge.cmd использует команду хсору для копирования файлов. Лучше ее заменить на утилиту robocopy из Windows Server Resource Kit.

Контролпер домена Windows Контроллер домена Резервный контроллер Windows 2000 домена Windows NT Организация моста для тиражирования файлов Различия между моделями хранения и использования политики бе зопасности Windows 2000 и Windows NT слишком велики, поэтому перенос правил в процессе миграции невозможен. При подсоедине нии к существующему дереву домен наследует объект политики толь ко от сайта родительского домена. При обновлении отдельного до мена в нем по умолчанию формируется новая политика и соответству ющий объект в каталоге.

После перевода всех контроллеров в домене на Windows 2000 домен может быть переведен из смешанного режима работы в естественный.

ПрИ ЭТОМ:

• в домене используется механизм тиражирования каталога Active Directory с несколькими мастерами;

этот механизм применяется и для тиражирования объектов безопасности;

7- 176 Active Directory: подход профессионала Установка операционной системы Форматирование диска Алгоритм установки нового контроллера домена Установка Active Directory : Восстановление FDC WinNT копирования РОС синхронизация с дои НОИ ' t,,,_ _ ^p.

fc ]|сгановить Э и сконфигурировать!

Нет с nyxrjyDNS 1 ** PING, NSLOOKIJP Выяснить причины Нет Обновлениес перацисн ной и устранить системы tfla WINNT ! Установка всех необходимых ;

драйверов и пакетов обслуживания Неустранимая э ошибка a Выяснить причины и yi транить Jla • г* Выяснить причины Запуск установки контроллера домена и устранить DCPHOMO Работа DCPROMO завершилась I без ошибок? _ DCPROMO.LOG DCPROMOU-LOQ Нет t Да 13 Перезагрузить компьютер * EFIOGON, Net Start NETLOGON 1• * 55 П NEROGON.DNS Н Это DNS С динамическим Импортировать _ обновлением?

Это первый контроллер в лесу?

1Щ i.

J ' ssr™ Репликация AD работает?

го ны REPADMIN Нет REPLMON Да п Репликация FRS работает? и 1 Выяснить причины SYS\OI Нет 1i j 24 Настроить репликацию LMBepl LBndge.cmd Удалите информацию NTDSUT1L, о контроллере из Active Directory Ш Sites S Services, J DNS К Выполнить резервное копирование LH MSBACKUP |(C:\, System state) j Установка завершена 2В |— ' Форматирование диска Алгоритм обновления контроллера домена Windows NT 178 Active Directory: подход профессионала 4 бывший первичный контроллер домена перестает поддерживать тиражирование с одним мастером;

т. е. в домен более нельзя доба вить контроллер под управлением Windows NT 4.0;

• все клиенты используют преимущества транзитивных доверитель ных отношений.

Решение о переводе домена в естественный режим принимает адми нистратор — оно не может быть выполнено автоматически.

Алгоритмы установки контроллера домена Это своего рода квинтэссенция содержимого главы: здесь приводят ся алгоритмы, отражающие последовательность действий при установ ке нового контроллера домена и обновлении существующего контрол лера Windows NT 4.0.

Алгоритм установки нового контроллера Алгоритм установки нового контроллера домена охватывает все эта пы: подготовки, установки, проверки работоспособности, резервного копирования и действий при возникновении неустранимых ошибок.

Алгоритм обновления контроллера Windows NT 4. Алгоритм обновления контроллера домена Windows NT также охва тывает все этапы: предварительной подготовки, установки, проверки работоспособности, резервного копирования и действий в случае возникновения неустранимых ошибок. Хотя последовательность ос новных операций сохранилась, есть и важные отличия.

Заключение Рассмотренные в данной главе вопросы относятся к категории тех, что наиболее часто возникают на этапе установки контроллера до мена. Конфигурирование DNS, DHCP, WINS, выполнение DCPROMO и поиск ошибок работы этой программы, обновление контроллера домена Windows NT 4.0 — все это перечень источников проблем, возникающих у корпоративных пользователей при миграции на плат форму Windows 2000. Но не надо думать, что здесь описаны все про блемные ситуации и способы их разрешения, Есть ряд вопросов, ко торые я оставил за рамками книги. Если у вас возникнут проблемы, описание которых здесь не приведено, то первым источником дол жен стать Microsoft Technet. Это могут быть как диски, распространя емые по подписке, так и ресурс Интернета (support.microsoft.com).

В этой главе практически не рассматриваются вопросы поиска и ус транения проблем с репликацией, ни слова не говорится о планиро вании доменной структуры и структуры подразделений, обойдены молчанием вопросы, связанные с групповой политикой. Их обсужде нию посвящены отдельные главы этой книги.

Репликация Active Directory Репликация — один из основных механизмов работы Active Directory-.

Как только речь заходит о том, что более двух компьютеров хранят одну и ту же информацию, встает вопрос о репликации, т. е. о тира жировании этих данных между серверами, обеспечивающем их иден тичность.

Репликацию используют во многих системах. Так, база SAM в Windows NT реплицируется с главного контроллера домена на резервные. Го ворят, что на главном контроллере домена имеется мастер-реплика, а на резервных — резервные. Изменения в БД можно вносить только в мастер-реплику — в Windows NT она единственная. Поэтому меха низм репликации Windows NT называется репликацией с одним мас тером.

Репликация Active Directory выполняется по топологии с нескольки ми мастерами. При этом также встает вопрос о слабой связанности между партнерами по репликации, что означает возможность нали чия неодинаковых данных на партнерах в конкретный момент вре мени. А раз так, должен существовать процесс конвергенции, призван ный уничтожить эти различия...

Как видите, терминов, характеризующих репликацию Active Directory, хватает, а сколько я еще не назвал! Словом, репликация — это слож ный процесс, описанный во многих книгах и достаточно подробно.

Увы, читать толстые книги и разбираться в премудростях процессов ОС любят не все. Возможно, они считают, что уж коль что-то там придумали, то оно будет работать бесперебойно. Многие прошедшие 180 Active Directory: подход профессионала школу Windows NT вообще не понимают, что может быть сложного в этом процессе, так как им он меньше всего доставлял неприятностей.

Однако в Windows 2000 репликация в корне изменилась. Главным ис точником всех потенциальных проблем стало то, что репликация вы полняется по модели с несколькими мастерами. Если вы не понима ете, как именно она работает, как строится топология репликации и работают обеспечивающие ее компоненты, выявить проблему и, тем более, устранить ее вам будет не по зубам.

Вот почему я рискну повториться и рассказать о некоторых краеуголь ные камнях репликации — это нужно для того, чтобы мы с вами го ворили на одном языке.

Немного о том, как работает репликация Итак, вспомним основные компоненты и механизмы репликации Active Director}'. В первую очередь — что тиражировать?

На каждом из контроллеров домена в лесу Active Director) имеется база, в которой хранится локальная реплика трех контекстов имен:

• схемы;

• конфигурации;

+ домена.

Контексты схемы и конфигурации едины для всего леса, тогда как доменный контекст имен хранится только на контроллерах «своего» домена. Эта реплика является полной, т. е. содержит все атрибуты всех объектов в домене. Полные реплики доменного контекста имен ти ражируются между контроллерами домена. Реплики схемы и конфи гурации тиражируются между всеми контроллерами доменов в лесу.

Если контроллер является сервером Глобального каталога (ГК), то на нем, кроме контекста схемы и конфигурации, хранятся:

• полная реплика базы объектов того домена, контроллером кото рого он является;

• частичная реплика всех объектов из других доменов в лесу;

час тичная реплика содержит только те атрибуты, для которых в схе ме определен атрибут isMemberOfPartialAttributeSet, значение ко торого равно True.

Частичные реплики тиражируются только между ГК.

Как уже упоминалось, репликация Active Directory выполняется по схеме с несколькими мастерами. Я бы уточнил, что не просто с «не сколькими*, а только со всеми мастерами.

Репликация Active Directory Замечание Некоторые службы каталогов допускают наличие под чиненных партнеров по репликации наряду с мастерами. Однако в Active Directory такой подход не используется.

Все контроллеры домена выступают равноправными партнерами, т. е, изменение можно внести в каталог на любом из контроллеров доме на и он обязан выполнить тиражирование на все остальные контрол леры в домене.

Замечание Тиражирование схемы выполняется с одним мастером.

Тиражирование неотложных изменений также использует несколько отличную топологию.

Репликация выполняется не хаотично, а в соответствии с определен ной топологией. Топология определяет последовательность передачи изменений в Active Directory между контроллерами. Причем правила обновления исключают появление рассогласования в информации на разных контроллерах. Наличие правил позволяет говорить о предска зуемости внесения изменений, что значительно упрощает поиск про блем репликации.

• Первое правило Режим «получил — сохранил — передал». По ясню его суть на примере: изменения, происшедшие на контрол лере домена в Москве, не будут сразу переданы на все контролле ры домена в Санкт-Петербурге. В соответствии с топологией реп ликации они будут приняты тем контроллером в Москве, через ;

который проводится репликация с Питером (сервер-форпост). На нем они будут храниться до открытия окна репликации, а потом переданы на питерский сервер-форпост и уж только с него тира жируются по питерским контроллерам. Такое поведение суще ственно освобождает каналы связи.

• Второе правило Механизм «вытягивания» информации: узнав, что на каком-то из партнеров по репликации произошли измене ния, контроллер домена обращается к нему и скачивает изменен ную информацию к себе. Мы еще рассмотрим этот процесс под робно, а пока ограничимся тем, что сравним его с «проталкивани ем» информации. Это прямо противоположный механизм тиражи рования данных и подразумевает, что при изменении информа ции на одном из партнеров по репликации он рассылает измене ния по остальным партнерам. При этом его не интересует, готов ли партнер к приему и нужны ли ему эти данные. Механизм «про талкивания» в репликации Active Directory не применяется.

182 Active Directory: подход профессионала • Третье правило Репликация Active Director}' использует статус объектов для определения необходимости их обновления. Когда контроллер домена получает оповещение об изменении реплики у партнера, он сравнивает полученную информацию о статусе из мененных объектов с хранящейся у него. Если, с точки зрения дан ного контроллера, статус объекта не изменился, то надобности в репликации нет. Если же это не так, контроллер запросит у парт нера измененные объекты. Статус служит также и средством раз решения конфликтов, так как позволяет решить, какое из измене ний является более «свежим», и запросить именно его.

Обновления в Active Directory Представим, что на одном из контроллеров домена произошло из менение атрибутов объекта Active Directory. Обозначим этот момент Т0 (см. рисунок). Контроллер выдерживает после этого «паузу после изменения* и в момент Т, сообщает об изменении своему первому партнеру по репликации внутри сайта, затем, выдержав «паузу опове щения», в момент Т, оповещает второго партнера. Спустя очередную «паузу оповещения» информируется третий партнер и т. д., пока все партнеры по репликации не будут оповещены. Получив оповещение, партнеры запрашивают изменения. Пауза в оповещении позволяет предотвратить одновременное обращение всех контроллеров к свое му партнеру.

Длительность «паузы после изменения* по умолчанию — 5 минут, «паузы оповещения» — 30 секунд. Еще раз подчеркну, что описанный процесс относится только к внутрисайтовой репликации. Межсайто вая репликация выполняется по расписанию.

Т, Т2 Тз 1., Паузы оповещения Пауза после изменения К» Временная диаграмма оповещения партнеров по внутрисайтовой репликации Паузы можно изменить: откройте ветвь HKLM\System\ CurrentControl Set\Services\NTDS\Paramel:ers. Параметр Replicator/Notify pause after Репликация Active Directory modify (sec) устанавливает длительность паузы после изменения и по умолчанию равен 300. Параметр Replicator notify pause between DSAs (sec) устанавливает длительность паузы оповещения и равен 30.

Замечание Уменьшение этих параметров вряд ли приведет к сколь нибудь заметным результатам. Дело в том, что все срочные измене ния (типа паролей) тиражируются по иной схеме, а 5-минутного интервала вполне хватает для распространения изменений внутри сайта в течение 15 минут (почему это так, см. ниже). Если же вам нужно срочно реплицировать изменения на какой-то контроллер, то это можно сделать через оснастку Active Directory Sites and Services.

Посмотрим теперь, что происходит после того, как партнеры по реп ликации оповещены. Для этого надо напомнить о таких понятиях, как исходные обновления и последовательные номера обновлений, ис пользуемые для разрешения конфликтов.

Pages:     | 1 | 2 || 4 | 5 |   ...   | 8 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.