Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 46 (всего у книги 91 страниц)
которой хотите изменить, и примените команду Свойства (Properties).
Занятие 2
Настройка и использование DNS 45-1
6. На вкладке О б щ и е ( G e n e r a l ) щелкните кнопку Изменить (Change), чтобы
изменить область репликации.
7. В диалоговом окне Изменение области видимости зоны репликации (Change
Zone Replication Scope) выберите область Д л я всех контроллеров домена
в области данного раздела каталога (То All Domain Controllers In The Scope
Of This Directory Partition) и щелкните раскрывающийся список, чтобы
выбрать н о в ы й раздел. Д в а ж д ы щелкните ОК.
и и и ш щ щ я ^ ^ г » ' ^ ' * – •• "••л-л xj>
fc—М–М^И—М»»' II • и 1 : -. .. за I
8ы5ер«те, какин обрах*» следует реллиифовать ннфорнаиоо
<~ Для всех DNS Для всех DNS-серверов в у г о н донене: treyre3eard1.net Г" Для всех контроллеров донеиа в зтон домене (для совнестдаостнс Windows 2000): Ireyresearch.rie1 G Для всех контроллеров домена в области д๫го раздела каталога: С* | Отмена J Работать с разделами каталога приложений нужно осторожно, поскольку многие команды вводятся вручную. В случае ввода ошибочной команды можно повредить область р е п л и к а ц и и серверов и отключить разрешение имен. К СВЕДЕНИЮ Разделы каталога приложений Более подробную информацию о разделах каталога приложений можно найти по адресу http://technet2.microsoft.com/windowsserver2008/en/library/2e2e0678-1775-4cdd- 8779-32d5c281540f1033.mspx?mfr-true. СОВЕТ К ЭКЗАМЕНУ Области видимости репликации и разделы каталога приложений являются важны- ми темами сертификационного экзамена 70-640, поэтому их следует досконально изучить. Администрирование DNS-серверов Выполняя практические з а н я т и я и пошаговые инструкции, вы уже видели в действии некоторые инструменты. Однако при работе с DNS-серверамн могут потребоваться и другие средства. В табл. 9-4 описаны различные инструменты, которые можно использовать для управления DNS. СОВЕТ К ЭКЗАМЕНУ Попрактикуйтесь в работе со всеми этими инструментами. Оперирование DNS является важной темой сертификационного экзамена 70-640. Интеграция DNS с AD DS 460 Глава 9 Т а 6 л 9.4. распространенные средства администрирования DNS Т ^ ^ у м е н Г з ^ Г Расположение "qNS(DNS • Выполняет начальную настройку нового Программная Manager) сервера. группа Админист- • Подключается к локальному-DNS-cepBepy рирование (Admi- и управляет им. nistrative Tools) или Диспетчер • Добавляет и удаляет зоны прямого и обратного сервера (Server просмотра. Manager) • Модифицирует хранение и репликацию зон среди серверов. • Модифицирует обработку запросов и управление динамическими обновлениями на сервере. • Модифицирует безопасность конкретных зон и записей ресурсов. • Выполняет техническое обслуживание. • Отслеживает содержимое кзша сервера. • Выполняет настройку дополнительных параметров сервера. • Конфигурирует устаревшие записи ресурсов и производит их очистку Dnscmd Управляет всеми аспектами DNS-серверов. Самое Командная строка мощное средство командной строки для админист- рирования DNS. Далее приведен список переключа- телей команды: • /info – для получения сведений о сервере; • /condig – для модификации параметров конфигурации сервера; • /statistics – для получения данных статистики оперирования на сервере; • /clearcache — для очистки и сброса данных кэша; • /startscavenging – для инициирования очистки; • /directorypaititioninfo – для получения сведений о разделах; • /exportsettings – для создания резервного файла параметров сервера Dnslint Выполняет диагностику распространенных-иепола- Командная строка док, связанных с разрешением имен. Далее приведен список переключателей команды: • /d – для запроса тестов разрешения доменных имен; • /ql — для проверки тестов запросов DNS из списка; • /ad – для проверки записей, связанных с Active Directory Настройка и использование DNS 461 Табл. 9-4 (окончание) Инструмент Задача Расположение Просмотр Для мониторинга DNS-серверов используются две Диспетчер сервера событий опции: (Server Manager) (Event • Регистрация событий DNS-сервера в журнале Viewer) событий DNS-сервер (DNS Server). • Ведение журнала отладки DNS-сервера с запи- сью в текстовый файл. Эта опция включается в диалоговом окне свойств DNS-сервера. По умол- чанию она отключена; ее следует использовать только в сценариях отладки Jpconfig Отображает и модифицирует параметры коифигу– Командная строка рации IP. Далее приведен список распространенных переключателей этой команды: • /all – для отображения всех параметров конфи- гурации сети в системе; • /renew – для запроса обновления динамического 1Ру4-адреса из DHCP; • /release — для освобождения динамического IPv4-адреса; • /releasee – для освобождения динамического IPvG-адреса; • /flushdns —для очистки кэша разрешителя DNS в системе; • /registerdns – для обновления динамической ре- гистрации DNS в системе Nslookup Выполняет тестирование запросов пространства Командная строка имен DNS. Утилита Nslookup также является коман- дным интерпретатором, вход в который выполняет- ся с помощью команды nslookup. Чтобы вернуться к командной строке, введете exit. Однако указанную утилиту можно использовать и напрямую. Для этого введите команду nslookup с именем узла или IP-ад- ресом компьютера Системный Создает диаграммы и графики трендов производи– Диспетчер сервера монитор тельностй сервера. Определяет критерии произво– (Server Manager), (System дительности Диагностика Monitor) (Diagnostics), Ста- бильность и про- изводительность (Reliability, and Performance) Если следовать приведенным здесь инструкциям, ничего плохого с внутрен- ней реализацией DNS не случится. Тем не менее всегда существует вероятность неуправляемых неполадок. Поэтому нужно уметь работать с инструментами, перечисленными в табл. 9-4. Проанализируйте события DNS, чтобы понять причины их возникновения. f 462 Интеграция DNS с AD DS Глава 9 К СВЕДЕНИЮ Устранение неполадок DNS Более подробную информацию об устранении неполадок DNS и потенциальных решениях проблем, связанных с DNS, можно найти по адресу http://technet2. mimsoft.com/mndowsseiver2008/en/libmiy/8e3f7e44-91dd-44c4-81cf-158cea7089021033. mspx?mfr**true. Утилиту Dnslint.exe можно загрузить по адресу http://support.microsoft. com/kb/321045. Практические занятия. Завершение настройки DNS-серверов в лесу В предложенных далее упражнениях вы завершите настройку службы DNS. Вначале вы включите управление именами из одной метки в лесу компании Trey Research. Затем вы создадите имена из одной метки для заполнения зоны GlobalNames (GNZ). И наконец, модифицируете г л о б а л ь н ы й список адресов- запросов для защиты серверов от ф а л ь с и ф и к а ц и и записей динамического об- новления. Упражнение 1. Управление именами из одной метки В этом упражнении вы создадите и отконфигурируете зону GlobalNames для леса treyresearch.net. Эта операция в ы п о л н я е т с я вручную с использованием учетных данных администратора домена, п о с к о л ь к у в а ш и D N S – с е р в е р ы за- пущены на контроллерах домена. Д л я в ы п о л н е н и я у п р а ж н е н и я понадобятся машины SERVER10, SERVER20 и S E R V E R 3 0 . 1. Войдите на машину SERVER10 с использованием учетной записи Тгеуге- 5еагсЬАдминистратор. 2. В Диспетчере сервера (Server M a n a g e r ) р а з в е р н и т е р о л ь DNS-сервера (DNS Server) и выберите узел З о н ы прямого просмотра (Forward Lookup Zones). 3. Щелкните правой кнопкой мыши узел З о н ы прямого просмотра (Forward Lookup Zones) и примените команду Создать зону (New Zone). 4. На странице приветствия щелкните кнопку Далее (Next). 5. Выберите тип Основная зона (Primary Zone) и установите флажок Сохра- нять зону в Active Directory (Store The Zone In Active Directory). Щелкните кнопку Далее (Next). 6. На следующей странице выберите область р е п л и к а ц и и Д л я всех DNS- серверов в этом лесу: treyresearch.net (То АН DNS Servers In This Forest: treyresearch.net) и щелкните кнопку Далее (Next). 7. На странице Имя зоны (Zone Name) введите и м я GlobalNames и щелкните кнопку Далее (Next). 8. На странице Динамическое обновление ( D y n a m i c U p d a t e ) выберите тип Запретить динамические обновления ( D o N o t Allow Dynamic Updates) и щелкните кнопку Далее (Next). Мы запрещаем динамическое обновление этой зоны, поскольку все имена из одной метки вручную создаются в DNS. Занятие 2 Настройка и использование DNS 45-1 9. Щелкните к н о п к у Готово (Finish), чтобы создать зону. Далее вы включите поддержку зоны GlobalNames для этого DNS-сервера. 10. В меню Пуск ( S t a r t ) щ е л к н и т е правой кнопкой мыши значок Командная строка ( C o m m a n d P r o m p t ) и примените команду Запуск от имени адми- нистратора ( R u n As Administrator). 11. Введите следующую команду: dnscmd / c o n f i g /enableglobalnamessupport 1 12. Закройте окно командной строки и вернитесь к Диспетчеру сервера (Server Manager). В узле D N S щ е л к н и т е правой кнопкой мыши имя SERVER10, выберите опцию Все задачи (All Tasks) и щелкните задачу Перезапустить (Restart), чтобы заново запустить службу DNS на этом сервере. 13. Повторите шаги 1 0 – 1 2 на машинах SERVER20 и SERVER30. 14. Вернитесь к м а ш и н е S E R V E R 1 0 , чтобы добавить имена из одной метки. Упражнение 2. С о з д а н и е и м е н из одной метки В этом упражнении вы создадите имена из одной метки в зоне GlobalNames на машине S E R V E R 1 0 . О п е р а ц и я выполняется вручную с использованием учетных данных а д м и н и с т р а т о р а домена, поскольку ваши DNS-серверы за- пущены на контроллерах домена. Д л я каждого из трех серверов вы добавите запись из одной метки. 1. В о й д и т е на м а ш и н у S E R V E R 1 0 с и с п о л ь з о в а н и е м учетной записи Тгеуге5еагсЬАдминистратор. 2. В узле р о л и D N S – с е р в е р а дерева к о н с о л и Диспетчера сервера (Server Manager) выберите узел GlobalNames. 3. Щелкните правой к н о п к о й м ы ш и узел GlobalNames и в контекстном меню выберите команду Создать псевдоним ( C N A M E ) (New Alias (CNAME)). 4. В поле Псевдоним (Alias Name) введите имя SERVER10, а в поле Полное до- менное имя ( F Q D N ) конечного узла (Fully Qualified Domain Name (FQDN) For Target H o s t ) – и м я SERVER10.treyresearch.net. Помните, что аналогично именам W I N S длина имен DNS из одной метки не может превышать 15 символов. Хотя они используют 16 символов, сис- тема резервирует последний символ. Кроме того, имена NetBIOS из одной метки всегда нужно указывать в верхнем регистре. Поэтому рекомендуется всегда использовать верхний регистр для создания имен из одной метки. 5. Не устанавливайте флажок Разрешать любому прошедшему проверку поль- зователю обновлять DNS-записи с таким же именем. Этот параметр при- меним только к DNS-записям для нового имени (Allow Any Authenticated User To Update All DNS Records W i t h The Same Name. This Setting Applies Only To DNS Records For A New Name). 6. Щелкните OK, чтобы создать и м я из одной метки. 7. В окне командной строки создайте два других имени из одной метки. В ме- ню Пуск (Start) щелкните правой кнопкой мыши значок Командная строка (Command Prompt) и примените команду Запуск от имени администратора | (Run As Administrator). 464 Интеграция DNS с AD DS Глава 9 8. Введите следующие команды: dnscmd server10.treyresearch.net /recordadd globalnames server20 cname server20. northwindtraders.com dnscmd server10.treyresearch.net /recordadd globalnames server30 cname server30. intranet, treyresearch.net 9. Закройте окно командной строки и вернитесь к зоне GlobalNames (GNZ) в диспетчере сервера, чтобы просмотреть новые записи. Д л я обновления паиели сведений щелкните кнопку Обновление (Refresh). Если вам нужно добавить много имен, для у п р о щ е н и я процесса можно использовать сценарий. Упражнение 3. Модификация глобального списка б л о к и р о в а н и я запросов В данном упражнении вы модифицируете существующий глобальный список блокирования запросов на машине S E R V E R 1 0 . Эта о п е р а ц и я выполняется вручную с использованием учетных данных администратора домена, поскольку ваш DNS-сервер установлен на контроллере домена. Вы добавите в список особое DNS-имя manufacturing, чтобы блокировать разрешение имен объектов, использующих это имя. 1. Войдите на машину SERVER10 с использованием учетной записи Тгеуге- 5еагсЬАдминистратор. 2. Модификация списка б л о к и р о в а н и я в ы п о л н я е т с я в к о м а н д н о й строке. В меню Пуск (Start) щелкните правой к н о п к о й м ы ш и значок Командная строка (Command Prompt) и примените команду Запуск от имени адми- нистратора (Run As Administrator). 3. Введите следующую команду: dnscmd /config /globalqueryblocklist wpad isatap manufacturing Вы должны добавить существующие имена W P A D и ISATAP в список, чтобы они продолжали блокироваться. 4. Закройте окно командной строки. Ваш список блокирования адресов отконфигурирован. Резюме • После установки DNS-сервера требуется з а в е р ш и т ь его настройку. Для этого следует настроить параметры безопасности, очистки, конфигурацию зон и возможное создание зон обратного просмотра. • Каждая зона прямого просмотра и зона-заглушка содержат начальную за- пись ресурса (SOA). Эта запись должна быть соответствующим образом отконфигурирована и содержать адреса электронной почты, отвечающих за операции DNS лиц, а также информацию об операционных стандартах DNS. • Для управления именами из одной метки в сети нужно задействовать зоны GlobalNames или службу WINS. Зоны GNZ (GlobalNames Zone) использу- ются в том случае, если требуется лишь ограниченный список имен. В си-II туации с большим количеством имен нужно использовать службу WINS. I Занятие 2 Настройка и использование DNS 45-1 • По умолчанию D N S – с е р в е р ы используют для разрешения имен корневые ссылки. Вы также можете применять пересылки, которые при определенных обстоятельствах направляют DNS-сервер на еще один DNS-сервер. • По умолчанию области видимости репликации данных DNS, интегриро- ванных в Active Directory, автоматически распространяются на соответс- твующие DNS-серверы. Тем не менее при определенных обстоятельствах для более точного к о н т р о л я репликации можно вручную создавать разделы каталога п р и л о ж е н и й . Закрепление материала Следующие вопросы м о ж н о использовать для проверки знаний, полученных на занятии 2. Эти вопросы есть и на сопроводительном компакт-диске. ПРИМЕЧАНИЕ Ответы Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги. 1. Вы являетесь а д м и н и с т р а т о р о м D N S внутренней зоны прямого просмотра contoso.com. Вам н у ж н о закончить настройку этой зоны. Какие действия следует п р е д п р и н я т ь ? (Укажите все варианты.) A. Отконфигурировать очистку записей в зоне. Б. Подтвердить область видимости репликации для этой зоны. B. Создать настраиваемые записи для зоны. Г. Создать текстовую запись ( Т Х Т ) для зоны. Д. Назначить д л я зоны электронный адрес. Е. Удалить неиспользуемые записи из зоны. Ж. Создать зону обратного просмотра для данной зоны. 2. Вы являетесь системным администратором в домене treyresearch.net. Ваша организация п р и н я л а решение создать новый домен разработчиков, чтобы отделить разработку от производственного домена. Всем пользователям производственного домена, за исключением операционного персонала, тре- буется предоставить л и ш ь стандартный уровень прав доступа. Это означает, что разработчикам нужно предоставить права доступа, отличные от уровня привилегий в производственном домене. Однако поскольку разработчики будут постоянно использовать новый домен, для ускорения разрешения имен DNS между двумя доменами было принято решение создать новый раздел каталога приложений. Все зоны прямого просмотра интегрирова- ны в Active Directory. Этот новый раздел следует назначить зоне прямого просмотра. Однако опция назначения недоступна. Какие действия следует предпринять? (Укажите все варианты.) A. Требуется войти в систему с использованием учетных данных админис- тратора домена. Б. Используемый сервер нужно включить в раздел. B. Нужно войти в систему как администратор предприятия. 466 Интеграция DNS с AD DS Глава 9 Г. В командной строке нужно включить зону в раздел. Д. Область репликации зоны прямого просмотра нельзя изменить после создания. Закрепление материала главы Для того чтобы попрактиковаться и закрепить знания, полученные при изу- чении представленного в этой главе материала, вам необходимо выполнить следующие задания: • ознакомиться с резюме главы; • повторить используемые в главе основные термины; • изучить сценарий, в котором описана реальная ситуация, требующая при- менения полученных знаний, и предложить свое решение; • выполнить рекомендуемые упражнения; • сдать пробный экзамен с помощью тестов. Резюме главы • В качестве самых распространенных типов структуры DNS используются динамический DNS-сервер, основной DNS-сервер и дополнительный DNS- сервер. Динамические DNS-серверы принимают автоматическую регистра- цию имен от авторизованных сущностей в своей сети. О с н о в н ы е DNS- серверы с правом чтения и записи обычно п о д д е р ж и в а ю т с я авторизован- ными администраторами. Имена можно вводить вручную или с помощью автоматизированных процессов, однако их нельзя вводить динамически. Дополнительные DNS-серверы обычно являются подчиненными серверами с данными только для чтения, п о л у ч е н н ы м и с еще одного DNS-сервера (как правило, с основного DNS-сервера). В W i n d o w s Server 2008 также есть еще один тип DNS-сервера только для чтения, который устанавливается на контроллере домена только для чтения и управляет основными DNS-зонами с правом чтения. • Типичный сценарий DNS в Windows Server 2008 может включать развер- тывание до четырех DNS-серверов. Первым и г л ав ным из них является динамический DNS-сервер, интегрированный в к а ж д ы й контроллер доме- на в сети. Контроллеры домена с правом чтения и записи также содержат DNS-серверы с правом чтения и записи. В удаленных узлах без локального административного персонала, где требуется контроллер домена, можно размещать контроллеры R O D C , содержащие DNS-серверы только для чте- ния. Внешние сети могут включать как м и н и м у м один независимый DNS- сервер, техническая поддержка которого будет осуществляться вручную. Если требуется больше DNS-серверов, следует использовать дополнитель- ные DNS-серверы только для чтения. В ф и з и ч е с к и незащищенных местах безопасней развертывать DNS-серверы только д л я чтения, чем серверы с правом чтения и записи. • Для поддержки перехода на IPv6 в Windows Server 2008 также поддержи- вается протокол разрешения имен одноранговых участников P R N P (Peer Практические задания 4 6 7 Name Resolution Protocol) и включен PRNP-сервер, обеспечивающий раз- решение имен. Системы P R N P и DNS работают по-разному и используют различные к о м п о н е н т ы . О дн а к о большинство организаций продолжают применять разрешение имен DNS. Например, иерархии AD DS не поддержи- ваются в PNRP. Поэтому рекомендуется продолжать использование DNS. Основные термины Запомните представленные далее термины и понятия, чтобы лучше понимать описываемые концепции. • З а п и с ь В D N S – з о н е з а п и с ь обеспечивает соответствие между адресом IPv4 или I P v 6 и п о л н ы м доменным именем FQDN. • З о н а С п е ц и а л ь н ы й контейнер в DNS, содержащий записи, которые бу- дут разрешаться в действительные IP-адреса. Зоны указывают конкретное пространство имен, п р и ч е м только одно именное пространство. Сценарий. Блокирование конкретных DNS-имен В прошлом в компании Trey Research возникали проблемы с отделами Biometrics и Biology, когда неавторизованные пользователи для запуска своих исследова- тельских программ у с т а н а в л и в а л и в этих отделах собственные серверы не на платформе Windows. Эти серверы не располагали соответствующим уровнем безопасности и б ы л и б ы с т р о в з л о м а н ы злоумышленниками. После взлома серверы начали о т п р а в л я т ь динамические обновления для отдела Biometrics, подделывая адреса. Теперь в к о м п а н и и Trey Research нужно гарантировать, что в будущем такое больше не повторится. Решено предпринять админист- ративные меры, чтобы в случае необходимости в операционных системах не на платформе W i n d o w s они устанавливались в соответствии с корректными инструкциями IT. Какие еще технические меры может предпринять компания Trey Research, чтобы эти два отдела не создавали проблем с разрешением имен DNS во внут- ренней сети? Практические задания Чтобы успешно сдать с е р т и ф и к а ц и о н н ы й экзамен, выполните следующие упражнения. Работа с DNS В Windows Server 2008 структура DNS плотно интегрирована с доменными службами Active D i r e c t o r y (Active Directory Domain Services). Вам нужно попрактиковаться в использовании динамических систем DNS, которые под- держивают AD DS. • Упражнение 1 П о п р а к т и к у й т е с ь в установке и удалении независимой структуры DNS с п о м о щ ь ю мастера установки доменных служб Active Directory в р а з л и ч н ы х сценариях. Кроме того, создайте делегирование вручную и сравните его с автоматическим созданием делегирования, ге- нерируемого мастером. 468 Интеграция DNS с AD DS Глава 9 • Упражнение 2 Поработайте с зонами, создав каждую из трех поддержи- ваемых типов зон. Используйте как можно больше параметров конфигу- рации. Затем создайте как можно больше р а з л и ч н ы х типов записей, чтобы ознакомиться с диалоговыми окнами и мастерами, и с п о л ь з у е м ы м и для настройки зон и записей. • Упражнение 3 Поработайте с инструментами командной строки и попы- тайтесь использовать различные переключатели команд каждого средства. В темы экзамена, в частности, включена команда Dnscmd.exe, поэтому тща- тельно изучите этот инструмент и все его переключатели. • Упражнение 4 Поработайте с журналом событий D N S и ж у р н а ло м трас– i сировки и проанализируйте их содержимое. Каждый оператор DNS должен уметь вести журнал DNS. Пробный экзамен На прилагаемом к книге компакт-диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 7 0 – 6 4 0 , или по всем э к з а м е н а ц и о н н ы м темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е ответы и пояснения. ПРИМЕЧАНИЕ Пробный экзамен Подробнее о пробном экзамене рассказано во введении к данной книге. Г Л А В А 1 0 Контроллеры домена Занятие 1. Установка контроллеров домена 470 Занятие 2. Настройка хозяев операций 488 Занятие 3. Настройка репликации DFS папки SYSVOL 504 Контроллеры домена управляют службой каталогов и решают задачи, связан- ные с идентификацией и управлением доступом на предприятии Microsoft Windows. До сих пор в этой книге мы рассматривали поддержку компонен- тов управления логических компонентов и инфраструктуры доменных служб Active Directory (Active Directory Domain Services): пользователей, групп, компьютеров и групповой политики. Все эти компоненты содержатся в базе данных каталогов и в папке SYSVOL на контроллерах домена. В данной главе мы рассмотрим компоненты Active Directory уровня служб, начав с самих контроллеров домена. Мы обсудим методы добавления конт- роллеров доменов Windows Server 2008 в лес или домен, подготовку леса или домена Windows Server 2003 к установке первого контроллера домена Windows Server 2008, вопросы управления ролями контроллера домена. Речь также пойдет о миграции репликации папки SYSVOL из службы репликации файлов FRS (File Replication Service), используемой в предыдущих версиях Windows, в механизм репликации файловой системы DFS-R (File System Replication), который обеспечивает более стабильную и управляемую репликацию. Темы экзамена: • Настройка леса или домена. • Конфигурирование репликации Active Directory. • Настройка хозяев операций. Прежде всего Для выполнения упражнений в этой главе нужно создать в домене contoso. com контроллер домена SERVER01 и присоединить к этому домену рядовой сервер с полной установкой Windows Server 2008. Инструкции по установке можно найти в главе 1. 470 Контроллеры домена Глава 10 История из жизни Дэн Холме Благодаря Active Directory лес и домен можно отконфигурировать с одним кон- троллером домена. Но этого недостаточно. Контроллеры домена обеспечивают функции, критически важные для идентификации и контроля доступа на пред- приятии. При отказе контроллера домена необходимо обеспечить дальнейшее функционирование службы. Поэтому в домене нужно установить хотя бы два контроллера. При добавлении контроллеров в домен следует учитывать репли- кацию, и в этой главе мы рассмотрим один из новых компонентов Windows Server 2008: репликацию DFS-R папки SYSVOL. Репликация FRS, применяемая в предыдущих версиях Windows и поддерживаемая в Windows Server 2008 для обеспечения обратной совместимости, уязвима, и ее неполадки довольно сложно устранять. Чтобы воспользоваться преимуществами этой функции, все конт- роллеры доменов должны использовать версию Windows Server 2008. Поэтому требуется подготовить лес к установке первого контроллера домена Windows Server 2008, о чем также пойдет речь в данной главе. И наконец, при добавлении контроллеров доменов иа предприятие необходимо разместить одного хозяина операций, представляющего особую роль одного из контроллеров в домене или лесу. Прочитав настоящую главу, вы узнаете, как повышать уровень избыточ- ности, производительности и управляемости множества контроллеров доменов на предприятии. Занятие 1. Установка контроллеров домена В главе 1 мы установили доменные службы Active Directory (Active Directory Domain Services) с помощью Мастера добавления ролей (Add Roles Wizard) в Диспетчере сервера (Server Manager). Затем мы и с п о л ь з о в а л и Мастер ус- тановки доменных служб Active Directory (Active Directory Domain Services Installation Wizard) для создания первого контроллера домена в лесу contoso. com. Поскольку контроллеры доменов играют ключевую роль при проверке подлинности, настоятельно рекомендуется установить хотя бы два контрол- лера в каждом домене леса, чтобы обеспечить отказоустойчивость в случае сбоя одного из контроллеров домена. Вам, возможно, потребуется добавить контроллеры доменов в удаленные узлы либо создать новые домены или де- ревья в лесу Active Directory. На этом занятии мы рассмотрим средства поль- зовательского интерфейса, командной строки и автоматизированные методы установки контроллеров доменов в различных сценариях. Изучив материал этого занятия, вы сможете: У Установить контроллер домена с помощью интерфейса Windows, параметров инструмента командной строки Dcpromo.exe и файла ответов для автомати- зированной установки. У Добавить контроллеры Windows Server 2008 в домен или лес с контроллерами Windows Server 2003 и Windows 2000 Server. У Создать новые домены и деревья. ' Занятие 1 Установка контроллеров домена 471 •/ Выполнить поэтапную установку контроллера домена только для чтения. •/ Установить контроллер домена с носителя инсталляции, чтобы снизить объем репликации в сети. / Удалить контроллер домена. Продолжительность занятия – около 60 мин. Установка контроллера домена с помощью интерфейса Windows Установка к о н т р о л л е р а домена с помощью интерфейса Windows состоит из двух основных шагов. Во-первых, нужно установить роль AD DS, что можно сделать с помощью Мастера добавления ролей (Add Roles Wizard) в Диспет- чере сервера (Server Manager). После копирования при установке роли AD DS двоичных файлов, необходимых для роли сервера, следует установить и откон- фигурировать AD DS с помощью Мастера установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard), который можно запустить, используя один из следующих методов. • Щелкните кнопку Пуск (Start), в поле Начать поиск (Start Search) введите команду dcpromo и щелкните О К . • В Мастере д о б а в л е н и я р о л е й (Add Roles Wizard) щелкните ссылку для запуска Мастера установки доменных служб Active Directory (Active Di- rectory Domain Services Installation Wizard). • После д о б а в л е н и я р о л и AD DS в Диспетчере сервера (Server Manager) появятся с с ы л к и д л я запуска Мастера установки доменных служб Active Directory. Щ е л к н и т е любую из этих ссылок. На рис. 10-1 показан мастер установки доменных служб Active Directory. В а с п р и в е т с т в у е т м а с т е р у с т а н о в к и д о м е н н ы х с л у ж б Active ; 4 Directory '» ' Этотмлгтерпоглхэет установить оом»гые сгужйы • Artive Drectciy (AD OS)«а сервере волга его '.ои-цсллером zo-ent Аолге Oectcr/ йпз тхздвяжеии» нажмите к.юпку ' Далее < V Г ffijcroaooaTb раомирегхьв режкд устаювш] Подобнее о вэпопнитеяанок паоамвтсв* досг.тхакв m q i w j w o m rc«,«yg у. тд^секи Подовиости о дэмет«<ьск службах Аз>»е Erect опт ;•:-•»•> J Да nee > j Owe* j Рис. 10-1. Мастер установки доменных служб Active Directory 472 Контроллеры домена Глава 10 ПРИМЕЧАНИЕ Универсальный мастер В документации Microsoft Windows Server 2008 модели на основе ролей уделяется особое внимание. Поэтому рекомендуется добавить роль AD DS, а затем запустить команду Dcpromo.exe (мастер установки доменных служб Active Directory). Тем не менее вы просто можете запустить команду Dcpromo.exe. На первом этапе мастер обнаружит, что двоичные файлы AD DS не установлены, и автоматически добавит роль AD DS. Автоматизированная установка и файлы ответов Контроллер домена можно также добавить или удалить в окне командной стро- ки с помощью автоматизированной ( u n a t t e n d e d ) установки, поддерживаемой версией Dcpromo.exe в Windows Server 2008. Параметры автоматизированной установки содержат значения для мастера установки доменных служб Active Directory. Например, параметр NewDomainDNSName указывает полное домен- ное имя FQDN для нового домена. Эти параметры можно указать в командной строке с п о м о щ ь ю команды dcpromo /unattendOption:3na4enue, например dcpromo /newdomaindnsnamexontoso.
