Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 48 (всего у книги 91 страниц)
мену, метаданные леса дополняются информацией об удалении контроллера
домена.
К СВЕДЕНИЮ Удаление контроллера домена
Подробные инструкции по удалению контроллера домена можно найти по адресу
http://technet2.microsoft.com/windowsserver2008/rn/library/9260bb40-a808-422f-b33b-
c3d2330f5eb81033.mspx.
Если контроллер домена требуется удалить без подключения к домену,
нужно использовать параметр принудительного удаления команды Dcpromo.exe.
Введите команду dcpromo /forceremoval, после чего запустится мастер установки
• 484 Контроллеры домена
Глава 10
AD DS для выполнения шагов процесса. П о я в я т с я предупреждения относи-
тельно ролей, управляемых контроллером домена. Прочитайте каждое пре-
дупреждение и щелкните кнопку Да (Yes). Предупреждения можно отключить
с помощью параметра demotefsmoyes команды Dcpromo.exe. После удаления
контроллера домена необходимо вручную очистить метаданные леса.
К СВЕДЕНИЮ Очистка метаданных
Информацию об очистке метаданных можно найти в статье 216498 базы знаний
Microsoft по адресу http://go.microsoft.com/fzdink/?LinkId"80481.
Практические занятия. Установка контроллеров доменов
В предложенных далее упражнениях вы установите д о п о л н и т е л ь н ы й контрол-
лер в домене contoso.com. Вы установите с л у ж б ы AD DS и отконфигурируете
дополнительный контроллер домеиа с помощью мастера установки доменных
служб Active Directory. Вы не будете завершать установку, а вместо этого со-
храните параметры в файле ответов. Затем вы используете эти параметры для
автоматизированной установки, применив команду Dcpromo.exe с параметрами
установки.
Для выполнения у п р а ж н е н и й вам п о н а д о б и т с я в т о р о й сервер с полной
установкой Windows Server 2008. Следует п р и с в о и т ь этому серверу имя SER-
VER02 и присоединить его к домену contoso.com. Его к о н ф и г у р а ц и я должна
быть следующей:
• 1Ру4-адрес: 10.0.0.12;
• маска подсети: 255.255.255.0;
• основной шлюз: 10.0.0.1;
• DNS-сервер: 10.0.0.11.
Упражнение 1. Создание дополнительного к о н т р о л л е р а д о м е н а
с помощью мастера установки доменных с л у ж б Active Directory
В этом упражнении вы используете мастер установки доменных служб Active
Directory ( Dcpromo.exe) для создания дополнительного контроллера в домене
contoso.com. Но вы не будете завершать установку, а сохраните параметры
в файле ответов, который используете в следующем упражнении.
1. Войдите на машину S E R V E R 0 2 как С ( Ж Т О З О А д м и н и с т р а т о р .
2. Щелкните кнопку Пуск (Start), затем команду В ы п о л н и т ь ( R u n ) , введите
команду Dcpromo.exe и нажмите к л а в и ш у Enter.
3. Щелкните кнопку Далее (Next).
4. На странице Совместимость операционных систем (Operating System Com-
patibility) прочитайте предупреждение о параметрах безопасности контрол-
леров домена Windows Server 2008 по умолчанию, а затем щелкните кнопку
Далее (Next).
5. На странице Выберите конфигурацию развертывания (Choose A Deployment
Configuration) щелкните опцию Существующий лес (Existing Forest), затем
Занятие 1 Установка контроллеров домена 48"|
опцию Добавить контроллер домена в существующий лес (Add A Domain
Controller То An Existing Domain) и щелкните Далее (Next).
6. На странице Сетевые учетные данные (Network Credentials) введите имя
домена contoso.com, выберите параметр Мои текущие учетные данные (My
Current Logged On Credentials) и щелкните кнопку Далее (Next).
7. На странице Выберите домен (Select A Domain) укажите домен contoso.com
и щелкните Д а л е е (Next).
8. На странице Выбор сайта (Select A Site) укажите Default-First-Site-Name
и щелкните кнопку Далее (Next).
Откроется страница Дополнительные параметры контроллера домена (Ad-
ditional Domain Controller Options), где по умолчанию выбраны параметры
DNS-сервер ( D N S Server) и Глобальный каталог (Global Catalog).
9. Сбросьте ф л а ж к и DNS-сервер ( D N S Server) и Глобальный каталог (Global
Catalog), а затем щ е л к н и т е кнопку Далее (Next).
Появится предупреждение К о н ф л и к т конфигурации хозяина инфраструк-
туры ( I n f r a s t r u c t u r e M a s t e r Configuration Conflict). Хозяин, или мастер
инфраструктуры, описан на занятии 2, а пока просто проигнорируйте это
сообщение.
10. Щелкните о п ц и ю Не переносить роль хозяина инфраструктуры на этот
контроллер домена. К о н ф и г у р а ц и я будет исправлена позже (Do Not Trans-
fer The I n f r a s t r u c t u r e M a s t e r Role To This Domain Controller. I Will Correct
The Configuration Later).
11. На странице Р а с п о л о ж е н и е для базы данных, файлов журнала и SYSVOL
(Location For Database, Log Files, And SYSVOL) примите параметры по
умолчанию и щ е л к н и т е кнопку Далее (Next). В производственных средах
эти ф а й л ы рекомендуется хранить в трех отдельных томах, не содержа-
щих п р и л о ж е н и я и л и другие файлы, которые не связаны с AD DS. При
следовании этой рекомендации повышается производительность, а также
эффективность архивации и восстановления.
12. На странице Пароль администратора для режима восстановления служб
каталогов (Directory Services Restore Mode Administrator Password) введите
строгий пароль в п о л я Пароль (Password) и Подтверждение (Confirmed
Password). Щ е л к н и т е кнопку Далее (Next). Не забудьте пароль админист-
ратора для режима восстановления служб каталога.
13. На странице Сводка ( S u m m a r y ) просмотрите выбранные параметры.
Если некоторые параметры заданы неверно, щелкните кнопку Назад (Back),
чтобы внести изменения.
14. Щелкните кнопку Экспортировать параметры (Export Settings).
15. Щелкните кнопку Обзор папок (Browse Folders).
16. Выберите папку Рабочий стол (Desktop).
17. В поле Имя файла (File Name) введите имя AdditionalDC и щелкните кнопку
Сохранить (Save).
Появится сообщение об успешном экспорте параметров.
• 486 Контроллеры домена
Глава 10
18. Щелкните ОК.
19. На странице Сводка (Resume) щелкните кнопку О т м е н а (Cancel).
20. Щелкните кнопку Да (Yes), чтобы подтвердить отмену установки контрол-
лера домена.
Упражнение 2. Добавление контроллера домена в о к н е к о м а н д н о й строки
В данном упражнении вы проанализируете ф а й л ответов, созданный в упраж-
нении 1. Вы используете параметры файла ответов д л я установки дополни-
тельного контроллера домена с помощью команды Dcpromo.exe в командной
строке.
1. Откройте файл AdditionalDC.txt, созданный в у п р а ж н е н и и 1.
2. Проанализируйте ответы в файле. М о ж е т е ли вы сказать, что означают
отдельные параметры?
Пояснение: строки, начинающиеся с точки с запятой, – это комментарии
или неактивные строки, превращенные в комментарии.
3. Откройте окно командной строки.
Вы построите команду с помощью параметров в ф а й л е ответов. Разместите
окна таким образом, чтобы видеть с о д е р ж и м о е окна Б л о к н о т (Notepad)
и окно командной строки, или распечатайте ф а й л ответов.
4. В командной строке определите команду для установки контроллера домена
с конфигурацией, содержащейся в ф а й л е ответов.
Параметры в командной строке указываются в формате /параметр:значение,
а в файле ответов – в формате параметр=значение:
5. Введите команду (укажите в этой команде с л о ж н ы й пароль):
dcpromo /unattend /replicaornewdomain: replica
/replicadomaindnsnaiiie:contoso. com /sitename:Default-First-Site-Name
/installDNS:No /confirmGC:No /CreateDNSDelegation:No
/databasepath: "C:WindowsNTDS" /logpath: "C:WindowsNTDS"
/sysvolpath: "C :WindowsSYSV0L" /safemodeadminpassword': пароль
/transferimroleifnecessary:no
и нажмите клавишу Enter. .
6. После завершения установки сервер перезагрузится.
Упражнение 3. Создание установочного носителя
Вы можете снизить объем репликации, необходимый для создания контроллера
домена, установив контроллер домена с п о м о щ ь ю носителя установки. Вам
потребуется носитель установки, к о т о р ы й содержит архив Active Directory.
В этом упражнении вы создадите носитель установки.
1. Войдите на машину S E R V E R 0 1 как Администратор (Administrator).
2. Откройте окно командной строки.
3. Введите команду ntdsutil и нажмите к л а в и ш у Enter.
4. Введите команду activate instance ntds и нажмите клавишу Enter.
Занятие 1
Установка контроллеров домена 48"|
5. Введите команду ifm и нажмите Enter.
6. Введите знак вопроса ? и нажмите клавишу Enter, чтобы перечислить ко-
манды, доступные в режиме установки с носителя IFM (Installation From
Media).
7. Введите команду create sysvol dull c:IFM и нажмите Enter.
Ф а й л ы носителя установки будут скопированы в папку C:Ifm.
Резюме
• Службы AD DS можно установить с помощью команды Dcpromo.exe, ко-
торая запускает Мастер установки доменных служб Active Directory (Acti-
ve Directory D o m a i n Services Installation Wizard), или запустив команду
Dcpromo.exe с параметром unattend и указав параметры установки в команд-
ной строке или ф а й л е ответов.
• При добавлении первого контроллера домена Windows Server 2008 в сущес-
твующий лес н у ж н о в ы п о л н и т ь команду Adprep /forestprep. Перед добавле-
нием первого контроллера домена Windows Server 2008 в существующий
домен следует запустить команду Adprep/domainprep/gpprep.
л Перед установкой первого контроллера R O D C в домене с контроллерами
Windows 2000 Server или Windows Server 2003 необходимо запустить ко-
манду Adprep /rodcprep.
• Д л я в ы п о л н е н и я промежуточной установки R O D C создается учетная за-
пись R O D C и назначается пользователь или группа с правом прикрепления
контроллера R O D C к этой учетной записи.
• Ч т о б ы с н и з и т ь о б ъ е м р е п л и к а ц и и , можно создать носитель установки
и использовать его как источник данных при повышении ранга рядового
сервера до уровн я контроллера домена.
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных
на занятии 1. Э т и же вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книга.
1. Вы работаете администратором в компании Trey Research. Лес Trey Re-
search состоит трех доменов, каждый из которых содержит два контроллера
Windows Server 2003. Вам нужно обновить один из контроллеров домена
до Windows Server 2008. Что следует сделать в первую очередь?
А. Обновить о п е р а ц и о н н у ю систему контроллера домена до Windows
Server 2008.
Б. Запустить команду Adprep.exe /domainprep /gpprep.
488 Контроллеры домена " RiiSiTo"
В. Запустить Мастер установки доменных служб Active Directory (Active
Directory Domain Services Installation Wizard).
Г. Запустить команду Adprep.exe /forestprep.
Д. Запустить команду Adprep.exe /rodcprep.
2. Вы работаете администратором в компании Contoso, Ltd. Домен компании
был создан с использованием контроллеров Windows Server 2008. Вам нуж-
но обеспечить локальную проверку подлинности в удаленном узле, повысив
ранг рядового сервера до уровня контроллера домеиа только для чтения.
В узле филиала нет персонала поддержки IT, поэтому вы намерены пору-
чить выполнение этой операции менеджеру. Вы не хотите предоставлять
менеджеру административные привилегии в домене. Ч т о д о л ж н ы сделать
вы и менеджер? (Укажите все варианты. К а ж д ы й правильный ответ – лишь
часть полного решения.)
A. Запустить команду Adprep /rodcprep.
Б. Создать учетную запись R O D C в подразделении Domain Controllers.
B. Запустить команду Dcpromo.exe с параметром UseExistingAccount.
Г. Удалить сервер из домена.
3. Вам необходимо повысить уровень сервера до ранга контроллера домена,
но вы озабочены трафиком репликации, которая будет происходить в это
время, и ее влиянием на медленное подключение между узлом сервера и
центром данных, где локализованы все к о н т р о л л е р ы домена. Поэтому вы
решили повысить ранг сервера, используя архив каталога с еще одного кон-
троллера домена. Что нужно сделать для создания носителя установки?
A. Запустить команду Ntbackup.exe и выбрать параметр System State.
Б. Установить компонент Возможности системы архивации данных Win-
dows Server (Windows Server Backup Features).
B. Запустить команду Ntdsutil.exe в р е ж и м е у с т а н о в к и с носителя IFM
и использовать команду Create Sysvol Full.
Г. Скопировать файл ntds.dit и папку SYSVOL с контроллера домена в уда-
ленный узел.
Занятие 2. Настройка хозяев операций
В домене Active Directory все контроллеры домена равноправны. Все они могут
записывать изменения в базу данных и реплицировать их на другие контролле-
ры домена. Однако в любой топологии репликации со множеством равноправ-
ных участников (Multimaster) определенные операции д о л ж н ы выполняться
одной и только одной системой. В домене Active Directory мастери, или хозяева
операций, – это контроллеры домена, в ы п о л н я ю щ и е особую роль. Другие кон-
троллеры домена тоже могут играть эту роль, но она назначается лишь одному
контроллеру. На этом занятии мы рассмотрим пять мастеров операций в лесах
и доменах Active Directory. Мы обсудим их назначение, способы идентифи-J
кации хозяев операций на предприятии, а также нюансы администрирования
и переноса ролей.
Настройка хозяев операций 4 8 9
Изучив материалы этого занятия, вы сможете:
У Определить назначение пяти отдельных мастеров операций в лесах Active
Directory.
^ Идентифицировать контроллеры домена, играющие роли мастеров опе-
раций.
S Планировать размещение ролей мастеров операций.
У Переносить и отзывать роли мастеров операций.
Продолжительность занятия – около 45 мин.
Мастеры операций
В любой р е п л и ц и р у е м о й базе данных некоторые изменения должны произ-
водиться одной и только одной репликой, поскольку выполнять их всем рав-
ноправным участникам непрактично. Среда Active Directory не исключение.
Некий ограниченный набор операций нельзя выполнять в различных местах
одновременно, а м о ж н о только на одном контроллере в домене или лесу. Для
этих операций и контроллеров домена, которые их выполняют, используется
множество терминов:
• мастеры, или хозяева операций",
• роли мастеров операций;
и отдельные роли мастеров;
• маркеры операций;
* роли мастеров операций FSMO (Flexible Single Master Operations).
Независимо от используемого термина суть не меняется. Один контроллер
домена выполняет функцию, и в течение этого времени другие контроллеры до-
мена не в ы п о л н я ю т эту функцию.
Д е ж а вк>
Если вы работали администратором во времена Microsoft Windows NT 4.0, то мо-
жете провести некоторую аналогию между мастерами операций и главными кон-
троллерами домена (Primary Domain Controller) в Windows NT. Однако отдель-
ные операции мастеров соответствуют характеристикам любой реплицируемой
базы данных, и операции мастеров Active Directory значительно отличаются от
контроллеров P D C в Windows NT 4.0.
• Все контроллеры домена Active Directory могут выполнять отдельные опе-
рации мастеров. Контроллер домена, выполняющий операцию, является
текущим владельцем маркера операции.
• Маркер операции и соответственно роль можно без труда перенести на еще
один контроллер домена без перезагрузки.
• Чтобы уменьшить угрозу появления отдельных точек сбоев, маркеры опера-
ций можно распределить среди множества контроллеров домена.
17 3ак. 3399
• 490 Контроллеры домена
Глава 10
Доменные службы AD DS содержат пять ролей мастеров операций. Для
целого леса предусмотрены две роли:
• именование доменов;
• схема.
В каждом домене предусмотрены три роли:
• относительный идентификатор R I D (Relative Identifier);
• инфраструктура;
• эмулятор PDC.
В последующих подразделах все эти роли детально описаны. Таким образом,
в лесу с одним доменом есть пять мастеров операций. В лесу с двумя доменами
есть восемь мастеров операций, поскольку три мастера операции реализуются
отдельно в каждом из двух доменов.
СОВЕТ К ЭКЗАМЕНУ
Запомните список мастеров операций домеиа и леса. Вам наверняка попадутся воп-
росы, связанные с применением ролей к лесу и домену. Экзаменационные вопросы
представляют собой сценарии, где можно запутаться с выбором ответа. Поэтому
при прочтении экзаменационных вопросов всегда спрашивайте себя: какие знания
на самом деле проверяются этим вопросом? Иногда в сценариях требуются более
простые ответы, чем кажется на первый взгляд.
Роли мастеров операций уровня леса
Мастер схемы и мастер именования доменов д о л ж н ы быть уникальными в лесу.
Каждую роль играет только один контроллер домена во всем лесу.
Роль мастера именования доменов
Роль именования доменов используется при д о б а в л е н и и и удалении доменов
в лесу. При добавлении или удалении домена д о л ж е н быть доступен мастер
именования доменов, иначе при выполнении операции возникнет ошибка.
Роль мастера схемы
Контроллер домена, содержащий роль мастера схемы, отвечает за внесение всех
изменений в схему леса. Все остальные контроллеры домена содержат реплики
схемы только для чтения. Модификацию схемы и л и установку приложения,
модифицирующего схему, рекомендуется в ы п о л н я т ь на контроллере домена,
управляющего ролью мастера схемы. В противном случае чтобы внести в схему
изменения, их необходимо переслать мастеру схемы.
Роли мастеров операций уровня домена
Каждый домен поддерживает три отдельных мастера операций: RID, инфра-1
структуру и PDC-эмулятор. Каждую роль в домене играет только один кон-|
троллер. I
Роль мастера RID
Мастер R I D участвует в генерировании идентификаторов безопасности (SID)
для таких п р и н ц и п а л о в безопасности, как пользователи, группы и компьюте-
ры. Идентификатор S I D принципала безопасности должен быть уникальным.
Поскольку учетные записи, а следовательно, и SID-идентификаторы может
создавать л ю б о й к о н т р о л л е р домена, необходим механизм, гарантирующий
уникальность SID-идентификаторов, генерируемых контроллером домена. Кон-
троллеры домена Active Directory генерируют SID-идентификаторы, назначая
SID-идентификатору домена уникальный относительный RID-идентификатор.
Мастер R I D домена выделяет каждому контроллеру в домене пулы уникаль-
ных RID-идентификаторов. Таким образом, каждый контроллер домена может
гарантировать уникальность SID-идентификаторов.
ПРИМЕЧАНИЕ Аналогичность роли мастера RID и DHCP для SID-идентификаторов
Если вам знакома концепция выделения области IP-адресов серверу DHCP (Dynamic
Host Configuration Protocol) для назначения адресов клиентов, вы можете провести
параллель между этой концепцией и мастером RID, который выделяет пулы RID-
идентификаторов контроллерам домена для создания SID-идентификаторов.
Роль мастера и н ф р а с т р у к т у р ы
В среде из множества доменов объекты в одних доменах часто ссылаются на
объекты в других. Например, в группу могут входить члены из другого доме-
на. Ее многозначный атрибут member содержит отличительные имена каждого
члена. При перемещении или переименовании члена из другого домена мастер
инфраструктуры домена группы соответствующим образом обновляет атрибут
member группы.
ПРИМЕЧАНИЕ Мастер инфраструктуры
Мастер инфраструктуры – это что-то вроде устройства, отслеживающего членов
группы из других доменов. При перемещении или переименовании этих членов
в другом домене мастер инфраструктуры определяет изменения и вносит соответс-
твующие поправки в членство в группах.
Фантомы каталога
Хотя на сертификационном экзамене вам не потребуется «препарировать внут-
ренности» мастера инфраструктуры, такие знания помогут при работе в произ-
водственной среде. При добавлении члена из другого домена в группу вашего
домена к атрибуту member группы прикрепляется отличительное имя нового
члена. Однако ваш домен не всегда имеет доступ к контроллеру домена чле-
на группы, поэтому Active Directory создает объект-фантом, представляющий
члена группы. Объект-фантом содержит только SID-идентификатор члена, отли-
чительное имя DN (Distinguished Name) и глобальный уникальный идентифи-
катор (GUID). В случае перемещения или переименования члена группы в его
домене GUID-идентнфикатор члена не меняется, зато меняется его имя DN.
(см. след. стр.)
• 492 Контроллеры домена
Глава 10
При перемещении объекта в другой домен меняется и его SID-идентификатор.
Мастер инфраструктуры периодически (каждые два дня по умолчанию) связы-
вается с глобальным каталогом GC (Global Catalog) или контроллером домена
члена группы и выполняет поиск всех объектов-фантомов с текущим именем
DN объекта. Затем все изменения вносятся в атрибут member групп.
Если просмотреть членство в группе с помощью оснастки Active Direc-
tory – пользователи и компьютеры (Active Directory Users And Computers)
после перемещения или переименования члена группы из другого домена и до
обновления имен DN мастером инфраструктуры, в списке группы этого члена
может не быть. Но несмотря на это член продолжает принадлежать к группе.
Атрибут memberOf члена также связан с группой, поэтому атрибут memberOf и
построенный атрибут tokenGroup не изменяются. Это не вредит безопасности:
заметить временное несоответствие может лишь администратор, просматрива-
ющий членство в этой отдельной группе.
Роль PDC-эмулятора
Роль PDC-эмулятора выполняет для домена множество важных функций.
• Эмуляция главного контроллера д о м е н а ( P D C ) д л я о б р а т н о й совмести-
мости Во времена доменов Windows NT 4.0 только главные контроллеры
домена PDC могли вносить изменения в каталог. П р е ж н и е инструменты,
утилиты и клиенты, поддерживающие Windows NT 4.0, не рассчитаны на то,
что все контроллеры домена Active Directory могут выполнять запись в ка-
талог, и поэтому требуют подключения к P D C . Контроллер домена с ролью
PDC-эмулятора регистрирует себя к а к г л а в н ы й контроллер домена PDC
(Primary Domain Controller), чтобы н и з к о у р о в н е в ы е п р и л о ж е н и я могли
локализовать пишущий контроллер домена. Такие приложения попадаются
нечасто, поскольку Active Directory существует уже около 10 лет, так что
если на вашем предприятии используется такое приложение, попробуйте
обновить его для полной совместимости с Active Directory.
• Участие в репликации обновлений п а р о л е й д о м е н а При сбросе или из-
менении пароля пользователя контроллер домена, вносящий изменение,
немедленно реплицирует это и з м е н е н и е на P D C – э м у л я т о р . Эта особая
репликация гарантирует, что контроллеры домена быстро узнают новый
пароль. Если пользователь пытается войти в систему сразу же после из-
менения пароля, контроллер домена, отвечающий на запрос входа поль-
зователя, может еще не знать новый пароль. Перед отклонением попытки
входа этот контроллер домена направляет запрос проверки подлинности на
PDC-эмулятор, который проверяет корректность нового пароля и указывает
контроллеру домена принять запрос входа. Это означает, что каждый раз
при вводе пользователем неправильного пароля проверка подлинности на-
правляется на PDC-эмулятор для получения второго заключения. Поэтому
PDC-эмулятор должен быть всегда доступен д л я всех клиентов в домене.
Его нужно установить на высокопроизводительном контроллере домена
с быстрыми подключениями.
Занятие 2
Настройка хозяев операций 4 д з
• Управление о б н о в л е н и я м и групповой политики в домеие Если объект
групповой п о л и т и к и G P O ( G r o u p Policy Object) модифицируется на двух
контроллерах домена п р и м е р н о в одно и то же время, могут возникать
конфликты между д в у м я версиями, которые нельзя разрешить при репли-
кации G P O . Ч т о б ы избежать таких конфликтов, PDC-эмулятор действует
как точка фокуса всех изменений групповой политики. При открытии GPO
редактор у п р а в л е н и я групповыми политиками G P M E (Group Policy Mana-
gement Editor) привязывается к контроллеру домена, выполняющему роль
P D C – э м у л я т о р а . П о э т о м у все и з м е н е н и я объектов G P O по умолчанию
вносятся на P D C – э м у л я т о р .
• О б е с п е ч е н и е г л а в н о г о и с т о ч н и к а в р е м е н и домена Службы Active
Directory, Kerberos, р е п л и к а ц и и файлов FRS (File Replication Service) и
DFS-R и с п о л ь з у ю т в р е м е н н ы е штампы, поэтому необходима синхрони-
зация времени во всех системах домена. По умолчанию PDC-эмулятор
в корневом домене леса с л у ж и т ведущим источником времени для всего
леса. P D C – э м у л я т о р в каждом домене синхронизирует свое время с PDC-
эмулятором корневого домена леса. Другие контроллеры домена синхро-
низируют время с P D C – э м у л я т о р о м домена, а остальные члены домена —
с предпочтительным контроллером домена. Эта иерархическая структура
синхронизации реализована в службе Win32Time, гарантирующей времен-
ное соответствие. Синхронизируется универсальное глобальное время UTC
(Universal T i m e C o o r d i n a t e ) , а время, отображаемое для пользователей,
меняется в соответствии с параметрами часового пояса компьютера.
К СВЕДЕНИЮ Единственное изменение службы времени
Настоятельно рекомендуется позволить Windows по умолчанию поддерживать свои
внутренние механизмы синхронизации времени. Единственное изменение, которое
необходимо внести, заключается в настройке PDC-эмулятора корневого домена леса
для синхронизации с внешним источником времени. Если не указать источник време-
ни для PDC-эмулятора, журнал событий Система (System) будет содержать ошибки с
соответствующими напоминаниями. Более подробную информацию о синхронизации
времени можно найти по адресу http://go.microsoft.com/fwlink/?LinkId=91969.
• Выполнение ф у н к ц и й центрального браузера домена При открытии окна
Сеть (Network) в W i n d o w s отображается список рабочих групп и доменов,
а при открытии рабочей группы или домена отображается список компьюте-
ров. Эти два списка просмотра создаются службой обозревателя (Browser).
В каждом сетевом сегменте ведущий обозреватель создает список просмотра
с рабочими группами, доменами и серверами этого сегмента. Центральный
обозреватель домена объединяет списки всех ведущих обозревателей, чтобы
клиенты могли извлечь полный список просмотра.
Размещение хозяев операций
При создании корневого домена леса с первым контроллером домена все
пять ролей-хозяев операций выполняет этот контроллер. По мере добавления
контроллеров в домен можно переносить роли хозяев операций на другие
• 4 9 4 Контроллеры домена
Глава 10
контроллеры, чтобы балансировать нагрузку среди контроллеров домена или
оптимизировать размещение отдельных хозяев операций. Д а л е е приведены
рекомендации о размещении ролей хозяев операций.
• Совместная локализация х о з я и н а с х е м ы и х о з я и н а и м е н о в а н и я доменов
Хозяин схемы и хозяин именования доменов д о л ж н ы быть размещены на
одном контроллере домена, который служит сервером глобального каталога
GC (Global Catalog). Эти роли редко используются, и контроллер домена,
управляющий ими, должен быть хорошо защищен. Х о з я и н а именования
доменов необходимо разместить на сервере GC потому, что при добавлении
нового домена хозяин должен гарантировать, что в лесу нет объекта с тем
же именем, что у добавляемого домена. Ч а с т и ч н а я р е п л и к а GC содержит j
имя каждого объекта в лесу. Нагрузка этих ролей хозяев операций довольно
мала, если в схему не вносятся модификации.
• Совместное ра зм ещен ие ролей х о з я и н а R I D и P D C – э м у л я т о р а Раз-
местите роли RID и PDC-эмулятора на одном контроллере домена. Если
из соображений балансировки нагрузки необходимо разместить эти роли
на двух контроллерах домена, для этих двух систем нужно установить быс-
трое физическое подключение и создать в Active Directory я в н ы е объекты
подключения, поскольку они – п р я м ы е п а р т н е р ы по р е п л и к а ц и и . Они
также должны быть прямыми партнерами по р е п л и к а ц и и с контроллерами
домена, играющими роль резервных хозяев операций.
• Размещение хозяина и н ф р а с т р у к т у р ы на к о н т р о л л е р е д о м е н а , который
ие служит сервером глобального к а т а л о г а Х о з я и н а и н ф р а с т р у к т у р ы
следует разместить на контроллере домена, который не с л у ж и т сервером
глобального каталога GC (Global Catalog), но ф и з и ч е с к и подключен к сер-
веру GC. Хозяин инфраструктуры должен располагать в Active Directory
явными объектами подключения к этому серверу GC, то есть они прямые
партнеры по репликации. I
Хозяина инфраструктуры можно разместить на контроллере домена, кото-
рый играет роль хозяина R I D и P D C – э м у л я т о р а .
ПРИМЕЧАНИЕ Все контроллеры домена служат серверами глобального каталога
Если все контроллеры домена будут серверами GC (в соответствии с рекомен-
дациями в главе И), вам не понадобится определять, какой контроллер домена
станет хозяином инфраструктуры. Если все контроллеры домена будут серверами
глобального каталога, на них будет постоянно обновляться информация о каждом
объекте в лесу, и роль хозяина инфраструктуры будет не нужна.
• Наличие плана обработки о т к а з о в В следующих подразделах мы рас-
смотрим перенос отдельных ролей хозяев операций с одних контроллеров
домена на другие, что необходимо делать при долгих запланированных и
незапланированных простоях хозяина операций. Определите план переноса
операций на другие контроллеры домена на случай отключения одного
хозяина операции от сети.
Занятие 2 Настройка хозяев операций 4 9 5
Идентификация хозяев операций
Д л я реализации плана р а з м е щ е н и я ролей нужно знать, какие контроллеры
домена в настоящее время выполняют отдельные роли хозяев операций. Каж-
дая роль отображается в административном инструменте Active Directory,
а также в других средствах пользовательского интерфейса и командной строки.
Д л я и д е н т и ф и к а ц и и текущего хозяина каждой роли используйте следующие
инструменты.
• P D C – э м у л я т о р : о с н а с т к а Active Directory – пользователи и компьютеры
(Active D i r e c t o r y U s e r s and Computers) Щелкните домен правой кнопкой
мыши и примените команду Хозяева операций (Operations Masters). Перей-
дите на вкладку P D C . На рис. 10-2 показан пример, где сервер SERVER01.
contoso.com – х о з я и н операций P D C .
J i s i
Хозяин onepawrt >правляег размещегмем пупсе R10 для atr/rw.
контроллер-* долена Эту роль еьлолнзет только од№ч сервер е
домене
Хоээдн оперзшй
]5ERVEROt.coftoM.com
Дли п е р е д о porot хозаила операций дамнэму
