Смекни!
smekni.com

«Информатика» (стр. 4 из 6)

Выполнение установки


В ходе использования мастера установки Active Directory возможны четыре сценария (рис. 19.3):

создание нового леса доменов; создание нового дерева доменов в рамках существующего леса доменов; создание нового домена в рамках существующего дерева доменов; установка дополнительного контроллера домена в уже существующем домене.



Рис. 19.3. Сценарии создания контроллера домена

Администратор осуществляет выбор одного из этих сценариев на первых страницах мастера. Если сценарий предполагает создание нового домена, мастер предложит ввести доменное и NetBIOS-имя будущего домена. В сценарии, предполагающем установку дополнительного контроллера, администратору будет необходимо ввести имя существующего домена.
Независимо от избранного сценария мастер предложит выбрать место расположения файлов хранилища и журналов. Вы можете разместить их в одной папке (по умолчанию предлагается %SystemRoot%NTDS), либо разнести в разные (например, на разные физические диски). Напомним, что этифайлы могут размещаться только в NTFS-разделах. Кроме того, потребуется выбрать место расположения системного тома SYSVOL, используемого службой репликации файлов. Эта папка также может быть размещена только в NTFS-разделе.

На следующем этапе мастер, учитывая информацию о выбранном администратором доменном имени, обратится с запросом к службе DNS. Для взаимодействия со службой DNS используется информация о предпочитаемом DNS-сервере. Версия мастера установки Active Directory, реализованная в рамках Windows Server 2003, позволяет выполнить диагностику имеющейся конфигурации службы DNS в случае возникновения проблем. На рис. 19.4 изображено окно мастера в ситуации, когда предпочитаемый DNS-сервер не содержит зоны для создаваемого домена Active Directory. При этом администратору будет предложено несколько вариантов дальнейших действий.

I have corrected the problem. Perform the DNS diagnostic test again. Выбор этого переключателя предписывает мастеру произвести повторную диагностику службы DNS. Предполагается, что администратор вмешался и устранил возникшую проблему. Применительно к рассматриваемой ситуации, администратор может выполнить создание необходимой зоны.



Рис. 19.4. Мастер установки обнаружил проблемы с разрешением имени будущего домена

Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server. Выбор этого переключателя перекладывает все обязанности по конфигурированию DNS-сервера на мастера установки Active Directory. В случае установки первого контроллера домена в лесу доменов этот режим конфигурирования службы DNS является предпочтительным. Мастер сам выполнит установку службы DNS и создаст все необходимые зоны (за исключением зон обратного разрешения, которые администратор должен создать самостоятельно после окончания процедуры установки). I will correct the problem later by configuring DNS manually (Advanced). Этаопция означает, что мастер должен продолжить свою работу, несмотря на обнаруженные ошибки. Администратор в этом случае берет на себя все обязанности по конфигурированию службы DNS после окончания процедуры установки. Фактически администратору нужно будет создать две зоны для создаваемого домена и зарегистрировать в них все необходимые ресурсные записи.

Мастер также выдаст сообщение об ошибке, если предпочтительный DNS-сервер не содержит информацию о домене, для которого предполагается установить дополнительный контроллер домена.

Если процесс тестирования структуры DNS закончился успешно, мастер выдаст соответствующую информацию (рис. 19.5).



Рис. 19.5. Процедура тестирования службы DNS окончилась успешно

На заключительном этапе работы мастера администратору необходимо будет определить уровень совместимости разрешений с подсистемой безопасности Windows NT. Если в среде Windows Server 2003 планируется существование серверов под управлением Windows NT (не обязательно контроллеров домена) с установленными на них серверными приложениями, необходимо выбрать уровень совместимости разрешений с платформой Windows NT (переключательPermissions compatible with pre-Windows 2000 operating system). Этот же уровень совместимости разрешений следует избрать в ситуации, когда контроллер домена Windows Server 2003 устанавливается в среде Windows NT. На этом уровне совместимости разрешается анонимный доступ к информации в доменном разделе каталога. Если изначально администратор уверен, что в сети будут использоваться только серверы Windows 2000 и Windows Server 2003, вопросами совместимости разрешений с архитектурой Windows NT можно пренебречь.

Необходимо понимать, что уровень совместимости разрешений влияет только на серверные приложения, установленные на Windows NT-серверах. На работу обычных клиентов (в том числе находящихся под управлением операционных систем Windows 9x/ME/NT) выбранный уровень совместимости не влияет.

Если в процессе создания домена не был выбран необходимый уровень совместимости разрешений, администратор может впоследствии исправить ситуацию посредством команды net localgroup "Pre-Windows 2000 Compatible Access" everyone /add.

По окончании установки контроллера домена потребуется перезагрузить систему. В процессе загрузки будет зарегистрировано доменное имя в базе данных предпочитаемого DNS-сервера. Если установленный контроллер домена является первым в лесу, то учетная запись локального администратора, в контексте которого производилась установка, преобразуется в учетную запись Administrator (Администратор созданного домена). Эта учетная запись автоматически включается в состав следующих групп:
Administrators. Встроенная локальная группа; Domain Admins. Группа с глобальной областью действия. Члены этой группы обладают необходимыми полномочиями для управления доменом. По умолчанию включается в состав группы Administrators; Domain Users. Группа с глобальной областью действия. В состав этой группы включаются все создаваемые в контексте домена пользователи. По умолчанию группа включается в состав встроенной локальной группы Users; Enterprise Admins. Группа с глобальной областью действия. Члены этой группы обладают полномочиями на управление инфраструктурой службы каталога. По умолчанию группа включается в состав группы Administrators; Group Policy Creator Owners. Группа с глобальной областью действия. Члены этой группы могут редактировать параметры объектов групповой политики в рамках данного домена; Schema Admins. Группа с глобальной областью действия. Члены группы обладают полномочиями, необходимыми для изменения схемы каталога.

2.4. Изменение имени контроллера домена

Архитектура Windows Server 2003 допускает возможность изменения имени контроллеров домена (в Windows 2000 такая возможность отсутствует). Сам процесс изменения имени не сопряжен с какими-либо сложностями, однако от администратора требуется четкое выполнение определенной последовательности действий. Целью этих действий является последующее изменение всех записей об имени контроллера домена в базе данных службы DNS и в копиях каталога других контроллеров домена (фактически являющихся партнерами по репликации).

Изменение имени контроллера домена возможно только в домене, находящемся на функциональном уровне Windows Server 2003.

Процесс переименования контроллера домена не предполагает его перемещение между различными доменами. Чтобы выполнить перемещение контроллера между доменами, необходимо выполнить его понижение (demotion) до обычного сервера, а затем заново установить его в уже новом домене.

Перед изменением имени контроллера домена необходимо проинформировать других носителей каталога о его новом имени. Для этого в режиме командной строки необходимо выполнить операцию:netdom computername <текущее_имя> /add:<новое_имя>

В результате новое имя контроллера домена будет зарегистрировано в базе данных службы DNS в качестве альтернативного имени. Необходимо подождать пока информация о новом имени не будет реплицирована на все носители зоны. После этого альтернативное имя надо сделать основным. Для этого используется команда:netdom computer-name <текущее_имя> /MakePrimary: <новое_имя>

Данная команда обновляет сведения об имени контроллера домена в каталоге Active Directory. На этом этапе необходимо перезагрузить контроллер домена. После того как изменения будут реплицированы на все носители каталога, следует выполнить команду, удаляющую старое имя из базы данных DNS и каталога Active Directory:netdom computername <новое_имя> /Remove:<текущее_имя>
После этого можно изменять собственно имя компьютера. Для этого откройте окно свойств объектаMy Computer (Мой компьютер) и перейдите на вкладку Computer Name (Имя компьютера). Щелкните по кнопкеChange (Изменить) и в открывшемся окне замените существующее имя компьютера новым.

2.5. Управление доверительными отношениями

Создание доверительных отношений


Для создания доверительных отношений запустите оснастку Active Directory Domain and Trusts и откройте окно свойств объекта, ассоциированного с нужным доменом. Перейдите на вкладкуTrusts (рис. 19.8). В поле Domains trusted by this domain отображаются домены1, которым доверяет конфигурируемый домен (исходящие доверительные отношения), а в полеDomains that trust this domain — домены, доверяющие конфигурируемому домену (входящие доверительные отношения). Для каждого значения отображается информация о типе доверительных отношений и транзитивности. Применительно к типу доверительных отношений возможны следующие значения:

Forest — доверительные отношения, установленные между лесами доменов; Tree Root — доверительные отношения, установленные между деревьями доменов в рамках одного леса доменов; Child — доверительные отношения, установленные в рамках дерева доменов между дочерним и родительским доменами; External — доверительные отношения, установленные с внешним доменом любого типа; Shortcut — перекрестные доверительные отношения, установленные между отдельными доменами леса; Realm — доверительные отношения, установленные между областями Kerberos.