355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 49)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 49 (всего у книги 91 страниц)

компьютеру нажми,? кмзлку "Изме^тъ"

jSERVER02cortow com

Рис. 10-2. Хозяин операций PDC

• Х о з я и н R I D : о с н а с т к а A c t i v e D i r e c t o r y – пользователи и компьютеры

(Active D i r e c t o r y U s e r s and C o m p u t e r s ) Щелкните домен правой кноп-

кой мыши и примените команду Хозяева операций (Operations Masters).

Перейдите на вкладку RID.

• Х о з я и н и н ф р а с т р у к т у р ы : о с н а с т к а A c t i v e D i r e ct o ry – пользователи

и компьютеры (Active D i r e c t o r y U s e r s and Computers) Щелкните домен

правой кнопкой м ы ш и и примените команду Хозяин операций (Operations

Master). Перейдите на вкладку Инфраструктура (Infrastructure).

• Хозяин именования доменов: Active Directory – домены и доверие (Ac-

tive Directory Domain And T r u s t s ) Щелкните корневой узел правой кноп-

кой мыши и примените команду Хозяин операций (Operations Master).

496 Контроллеры домена

Глава 10

• Хозяин схемы: оснастка Схема Active Di re c t o r y (Active D i r e c t or y Schema)

Щелкните правой кнопкой мыши корневой узел оснастки и примените

команду Хозяин операций (Operations Master).

ПРИМЕЧАНИЕ Регистрация оснастки Схема Active Directory

Оснастку Схема Active Directory (Active Directory Schema) следует зарегистрировать

перед созданием настраиваемой консоли ММС (Microsoft Management Console) с

этой оснасткой. Для этого в командную строку введите команду regsvr32 schmmgmt.dll.

Для идентификации хозяев о п е р а ц и й м о ж н о и с п о л ь з о в а т ь несколько

средств, включая следующие команды:

ntdsutil

roles

connections

connect to server РООМ_иня_контроллера_донена:номер_порта

quit

select operation target

list roles for connected server"

quit

quit

quit

dcdiag /test:knowsofroleholders /v

netdom query fsmo

ПРИМЕЧАНИЕ

В упражнении 1 в конце этого занятия пошагово описан процесс идентификации-

хозяев операций.

Перенос ролей хозяев операций

Отдельные роли хозяев операций можно без труда переносить. Перенос ролей

осуществляется в следующих сценариях.

• При установке леса все пять ролей в ы п о л н я е т первый установленный кон-

троллер домена. При добавлении домена в лес все три роли уровня домена

выполняет первый контроллер в этом домене. По мере добавления конт-

роллеров домена роли можно распределить, чтобы исключать единые точки

сбоев и повышать производительность.

• Если вы планируете отключить от сети контроллер домена, выполняющий

роль хозяина операций, перенесите эту роль на другой контроллер домена.

• Если вы выводите из эксплуатации контроллер домена, выполняющий роль

хозяина операций, перенесите ее на другой контроллер домена. Мастер

установки доменных служб Active D ir ec t o r y попытается выполнить это

задание автоматически, но вы д о л ж н ы подготовиться к отключению конт-

роллера домена, перенеся его роли.

Занятие 2

Настройка хозяев операций 4дз

Чтобы перенести роль хозяина операций, выполните следующие действия.

1. Откройте административный инструмент, определяющий текущего хозяина.

Например, откройте Active Directory – пользователи и компьютеры (Active

Directory Users And Computers) для переноса одной из трех ролей хозяев

операций домена.

2. Подключитесь к контроллеру домена, иа который хотите перенести роль.

Д л я этого щелкните правой кнопкой мыши корневой узел оснастки и при-

мените команду Сменить контроллер домена (Change Domain Controller)

или Сменить контроллер домена Active Directory (Change Active Directory

Domain Controller) – в зависимости от используемой оснастки.

3. Откройте диалоговое окно Х о з я и н операций (Operations Master), где ука-

зан контроллер домена, управляющий маркером роли хозяина операций.

Щелкните кнопку Изменить (Change), чтобы перенести роль на контроллер

домена, к которому вы подключены.

ПРИМЕЧАНИЕ

В упражнении 2 в конце этого занятия пошагово описан перенос роли хозяина

операций.

При переносе роли хозяина операций текущий и новый хозяева отключают-

ся от сети. Переносится маркер, и новый хозяин немедленно начинает выпол-

нять роль, а п р е ж н и й хозяин сразу перестает выполнять ее. Для перемещения

ролей хозяев операций рекомендуется использовать этот метод.

Перед переносом р о л и рекомендуется проверить состояние репликации

новой роли со старого хозяина роли. Принудительное включение репликации

между двумя системами описано в главе 11.

Ошибки распознавания хозяев операций

Некоторые роли хозяев операций могут на время быть недоступны, прежде чем

их отсутствие начнет создавать проблемы,– Другие хозяева операций играют

ключевую роль при е ж е д н е в н ы х операциях на предприятии. Информацию

о неполадках хозяев операций можно отыскать в журнале событий Служба

каталогов (Directory Service).

Однако вы часто будете сталкиваться с отказами хозяина операций при

попытках выполнить функцию, управляемую хозяином. Например, в случае от-

каза хозяина R I D вы не сможете создавать новые принципалы безопасности.

Отзыв ролей хозяев операций

При отказе контроллера домена, выполняющего отдельную роль хозяина опе-

раций, и невозможности вернуть систему в рабочее состояние, можно отозвать

маркер операций. При отзыве роли новый хозяин назначается без удаления

роли отказавшего хозяина.

Отзыв* роли – это радикальная мера, поэтому перед отзывом убедитесь

в том, что он действительно необходим. Определите причину и допустимую

498 Контроллеры домена

Глава 10

продолжительность отключения хозяина операций от сети. Если хозяина опе-

раций можно отключить от сети на достаточный период времени, подождите.

Время ожидания зависит от влияния отказавшей роли на среду.

• Отказ PDC-эмулятора Эмулятор главного контроллера домена P D C (Pri-

mary Domain Controller) – это хозяин операций, недоступность которого

скорее всего начинает влиять на операции и пользователей. Однако роль

PDC-эмулятора можно отозвать на другой к о н т р о л л е р домена, а затем

перенести ее обратно, когда исходная система, в л а д е ю щ а я ролью, вновь

будет подключена к сети.

• Отказ хозяина инфраструктуры Такой отказ могут заметить админист-

раторы, а не пользователи. Поскольку этот хозяин отвечает за обновление

имен членов групп из других доменов, он м о ж е т о т о б р а ж а т ь временное

несоответствие членства в группе, как описано ранее на этом занятии, но

на само членство такое несоответствие не влияет. Р о л ь хозяина инфра-

структуры можно отозвать на еще один ко н тр о лл ер домена, а затем вер-

нуть ее обратно, когда исходная система, владеющая ролыо, вновь будет

подключена к сети.

• Отказ хозяина R I D В результате такого отказа к о н т р о л л е р ы домена не

могут создавать новые S I D – и д е н т и ф и к а т о р ы и поэтому не позволяют со-

здавать новые учетные записи для пользователей, групп или компьютеров.

Но контроллеры домена получают достаточно большой пул RID-идентифи-

каторов от хозяина RID, так что если вы не генерируете множество новых

учетных записей, то некоторое время сможете обойтись без хозяина RID,

пока он будет восстанавливаться в автономном режиме. Отзыв этой роли

на другой контроллер домена будет р а д и к а л ь н ы м решением. После отзыва

роли хозяина RID контроллер домена, ранее в ы п о л н я ю щ и й эту роль, нельзя

вновь подключить к сети.

• Отказ хозяина схемы Роль мастера схемы необходима только для внесе-

ния модификаций в схему непосредственно администратором при установке

интегрированного приложения Active Directory, которое изменяет схему.

В остальное время эта роль не требуется. Ее м о ж н о отключать от сети на

сколь угодно долго, пока не понадобится внести изменения в схему. Отзыв

этой роли на другой контроллер домена будет р а д и к а л ь н ы м решением.

После отзыва роли хозяина R I D контроллер домена, ранее выполняющий

эту роль, нельзя будет вновь подключить к сети.

• Отказ хозяина и м е н о в а н и я д о м е н о в Эта роль необходима только при

добавлении домена в лес или удалении домена из леса. Пока не требуется

вносить такие изменения в инфраструктуру доменов, хозяин именования

доменов может оставаться отключенным от сети неограниченное время. От-

зыв этой роли на другой контроллер домена будет радикальным решением.

После отзыва роли хозяина R I D контроллер домена, ранее выполняющий

эту роль, нельзя будет вновь подключить к сети.

Хотя эти роли можно переносить с помощью административных инстру-

ментов, для отзыва роли необходимо использовать утилиту Ntdsutil.exe. Для

отзыва роли хозяина операций выполните следующие действия.

Занятие 2

Настройка хозяев операций 4 9 9

1. В окне к о м а н д н о й строки введите команду ntdsutil и нажмите клавишу

Enter.

2. В строку ntdsutil введите команду roles и нажмите Enter.

В следующем шаге устанавливается подключение к контроллеру домена,

который будет в ы п о л н я т ь роль отдельного хозяина операций.

3. В строку fsmo maintenance введите команду connections и нажмите клавишу

Enter.

4. В строку server connections введите команду connect to server FQDN_UMX_

контроллера_домена и нажмите Enter.

В команде н у ж н о указать F Q D N – и м я контроллера домена, который будет

играть эту роль.

Утилита Ntdsutil сообщит о подключении к серверу.

5. В строку server connections введите команду quit и нажмите клавишу Enter.

6. В строку fsmo maintenance введите команду seize роль и нажмите Enter.

Укажите одну из следующих ролей.

A. Мастер схемы.

Б. Мастер и м е н о в а н и я доменов.

B. Мастер R I D .

Г. P D C .

Д. Мастер инфраструктуры.

7. В строку fsmo maintenance введите команду quit и нажмите клавишу Enter.

8. В строку ntdsutil введите команду quit и нажмите Enter.

Возврат роли прежнему владельцу

Чтобы обеспечить запланированное время простоя контроллера домена в слу-

чае переноса, а не отзыва роли, эту роль можно перенести обратно на исходный

контроллер домена.

Если же роль была отозвана и прежнего хозяина можно вновь подключить

к сети, эту операцию следует выполнять очень осторожно. Только роли хозяина

•PDC-эмулятора и хозяина инфраструктуры можно вернуть обратно прежнему

хозяину после их отзыва.

ПРИМЕЧАНИЕ Отзыв ролей хозяев схемы, именования доменов и RID

После отзыва ролей хозяев схемы, именования доменов и RID соответствующие

контроллеры домена необходимо полностью вывести из среды.

I После отзыва на другие контроллеры домена ролей хозяев схемы, имено-

вания доменов и R I D исходные контроллеры домеиа необходимо полностью

вывести из эксплуатации. Это означает, что исходного владельца роли нужно

физически отключить от сети и удалить службы AD DS с помощью коман-

ды Dcpromo /forceremoval. Кроме того, необходимо очистить метаданные для

этого контроллера домена, как описано в статье, хранящейся по адресу http://

go.microsoft.com/fwlink/?Linkld"80481.

к 500 Контроллеры домена – Г л а м 1 о

После полного удаления контроллера домена из Active Directory сервер

вновь можно подключить к сети и присоединить к домену и л и повысить до

ранга контроллера домена. На этот контроллер домена можно вновь перенести

роль хозяина операций.

ПРИМЕЧАНИЕ Перепостроение

Поскольку контроллеры домена играют критически важную роль, в данном сценарии

рекомендуется полностью переустановить старый контроллер домена.

Контрольный вопрос

• Вам нужно заменить блок питания и материнскую плату на контроллере

домена SERVER01, который играет роль хозяина операций PDC-эмулятора.

Прн этом необходимо обеспечить непрерывную работу служб PDC-эмулято-

ра. Опишите перенос этой роли на другой контроллер домена – SERVER02,

а также обратный перенос на SERVER01 после модернизации. Какие дейс-

твия необходимо выполнить и с помощью каких инструментов?

Ответ на контрольный вопрос

• Перед модернизацией проверьте состояние обновления репликации ре-

зервного хозяина операций с PDC-эмулятора. Затем откройте оснастку

Active Directory – пользователи и компьютеры (Active Directory Users

And Computers), щелкните домен правой кнопкой мыши и примените ко-

манду Сменить контроллер домена (Change Domain Controller). Выберите

SERVER02. Щелкните домен правой кнопкой мыши и примените команду

Хозяева операций (Operations Masters). Перейдите на вкладку PDC и щелк-

ните кнопку Изменить (Change). Роль перенесена. После подключения

SERVER01 к сети щелкните домен правой кнопкой мыши, примените ко-

манду Хозяева операций (Operations Masters), перейдите на вкладку PDC

и щелкните кнопку Изменить (Change).

Практические занятия. Перенос ролей хозяев операций

В предложенных далее упражнениях вы и д е н т и ф и ц и р у е т е хозяев операций

в домене contoso.com и перенесете роль хозяина операций на другой контроллер

домена, чтобы отключить нынешнего хозяина для технического обслуживания.

Перед выполнением упражнения 2 данного з а н я т и я нужно выполнить упраж-

нение из занятия 1 и установить в домене второй контроллер – SERVER02.

Упражнение 1. Идентификация хозяев о п е р а ц и й

В данном упражнении вы идентифицируете хозяев операций в домене contoso.

com с помощью инструментов пользовательского интерфейса и командной

строки.

1. Войдите на машину S E R V E R 0 1 как Администратор (Administrator).

2. Откройте оснастку Active Directory – пользователи и компьютеры (Active

Directory Users and Computers).

Занятие 2

Настройка хозяев операций 4дз

3. Щелкните правой кнопкой мыши домен contoso.com и примените команду

Хозяева операций (Operations Masters).

4. Просмотрите вкладки каждого хозяина операций.

На этих вкладках указано, что контроллеры домена в настоящее время вы-

полняет отдельные роли хозяев операций домена: PDC-эмулятора, хозяина

RID и хозяина инфраструктуры (Infrastructure).

5. Щелкните кнопку Закрыть (Close).

6. Откройте оснастку Active Directory – домены и доверие (Active Directory

Domains And Trusts).

7. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и корневой узел оснастки Active Direc-

tory – домены и доверие (Active Directory Domains And Trusts) и примените

команду Х о з я и н операций (Operations Master).

В о т к р ы в ш е м с я д и а л о г о в о м окне указан контроллер домена, играющий

роль хозяина именования доменов.

8. Щелкните кнопку Закрыть (Close).

Оснастку Схема Active Directory (Active Directory Schema) нельзя открыть

в консоли и л и добавить в настраиваемую консоль, пока она не будет заре-

гистрирована.

9. Откройте окно командной строки, введите команду regsvr32 schmmgmt.dll

и нажмите к л а в и ш у Enter.

10. Щелкните О К , чтобы закрыть появившееся окно сообщения.

11. Щелкните кнопку Пуск (Start), в поле Начать поиск (Start Search) введите

команду т т с . е х е и нажмите клавишу Enter.

12. В меню Консоль (File) выберите команду Добавить или удалить оснастку

( A d d / R e m o v e Snap-In).

13. В списке Доступные оснастки (Available snap-ins) выберите оснастку Схе-

ма Active Directory (Active Directory Schema), щелкните кнопку Добавить

(Add), а затем щелкните О К .

14. Щелкните правой кнопкой м ы ш и корневой узел оснастки Схема Active

Directory (Active Directory Schema) и примените команду Хозяин операций

(Operations Master).

В открывшемся диалоговом окне указан контроллер домена, в настоящее

время играющий роль хозяина схемы.

15. Щелкните кнопку Закрыть (Close).

16. Откройте командную строку, введите команду netdom query fsmo и нажмите

клавишу Enter.

Будут перечислены все операции мастера.

Упражнение 2. Перенос роли хозяина операций

В этом упражнении вы подготовите отключение хозяина операций от сети, пе-

ренеся его роль на другой контроллер домена. Затем вы эмулируете отключение

| от сети, обратное подключение к сети и возврат роли хозяина операций.

502 Контроллеры домена

Глава 10

1. Откройте Active Directory – пользователи и компьютеры (Active Directory

Users and Computers).

2. Щелкните правой кнопкой мыши домен contoso.com и примените команду

Сменить контроллер домеиа (Change Domain Controller).

3. В списке серверов каталогов выберите server02.contoso.com и щелкните ОК.

Перед переносом хозяина операций необходимо подключиться к контрол-

леру домена, на который будет перенесена роль.

Корневой узел оснастки указывает к о н т р о л л е р домена, к которому вы

подключаетесь: Active Directory – пользователи и компьютеры [server02.

contoso.com].

4. Щелкните правой кнопкой мыши домен contoso.com и примените команду

Хозяева операций (Operations Masters).

5. Перейдите на вкладку PDC.

На этой вкладке указано, что в настоящее в р е м я м а р к е р о м роли владеет

SERVER01.contoso.com. Во втором д и а л о г о в о м окне указан SERVER02.

contoso.com.

6. Щелкните кнопку Изменить (Change).

В диалоговом окне Доменные службы Active Directory (Active Directory

Domain Services) нужно подтвердить перенос р о л и хозяина операций.

7. Щелкните кнопку Да (Yes).

В диалоговом окне Доменные службы Active Directory (Active Directory

Domain Services) будет подтвержден перенос р о л и хозяина операций.

8. Щелкните ОК, а затем щелкните кнопку З а к р ы т ь (Close).

9. Эмулируйте отключение S E R V E R 0 1 от сети для технического обслужива-

ния.

10. Эмулируйте обратное подключение сервера к сети, запустив сервер.

Помните, что вы не можете вновь подключить контроллер домена к сети

после отзыва ролей хозяев RID, схемы или и м е н о в а н и я доменов. Зато вы

можете вновь подключить контроллер домена в случае переноса роли.

11. Повторите шаги 1 – 8 на машине S E R V E R 0 1 и перенесите роль хозяина

операций обратно на SERVER01.

Резюме

• Роли хозяев операций назначаются контроллерам доменов для выполнения

отдельных операций.

• Существует пять ролей хозяев операций. Две уникальны для всего леса —

роли хозяина схемы и хозяина именования доменов. Три роли уникальны

в каждом домене: PDC-эмулятор, R I D и инфраструктура.

• Если не все контроллеры в домене служат серверами глобального каталога

GC (Global Catalog), хозяин инфраструктуры должен быть размещен на

контроллере домена – не сервере GC.

Занятие 2

Настройка хозяев операций 4дз

• Роль можно перенести с помощью инструментов интерфейса Windows или

утилиты Ntdsutil.exe. Перенос роли рекомендуется как метод управления

хозяевами операций.

• Роль можно отозвать с помощью утилиты Ntdsutil.exe. Эту операцию сле-

дует выполнять, только если прежнего хозяина роли долго нельзя будет

подключить к сети. Только роли PDC-эмулятора и хозяина инфраструкту-

ры можно перенести обратно после подключения прежнего хозяина роли

к сети. Контроллеры'домена, управляющие схемой, RID или именованием

доменов, после отзыва их ролей необходимо полностью переустановить.

Закрепление материала

Следующие вопросы можно использовать для проверки знаний, полученных

на занятии 2. Эти же вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Вы работаете администратором в компании Contoso, Ltd. Домен contoso.com

состоит из двух узлов. В главном офисе один контроллер домена SERVER01

служит сервером глобального каталога GC и выполняет все пять ролей хо-

зяев операций. Второй контроллер домена в главном офисе, SERVER02, —

не сервер GC и не выполняет роли хозяев операций. В филиале контроллер

домена S E R V E R 0 3 также служит сервером GC. Какое изменение нужно

внести в размещение ролей хозяев операций?

A. Перенести роль хозяина инфраструктуры на SERVER03.

Б. Перенести роль хозяина R I D на SERVER02.

B. Перенести роль хозяина схемы на SERVER02,

Г. Перенести роль хозяина именования доменов на SERVER03.

Д. Перенести роль хозяина инфраструктуры на SERVER02.

2. Вы работаете администратором в компании Contoso, Ltd. Лес компании

состоит из двух доменов – contoso.com и windows.contoso.com. В настоя-

щее время компьютер SERVER02.windows.contoso.com выполняет все пять

ролей хозяев операций. Вы собираетесь удалить домен windows.contoso.com

и переместить ,зсе учетные записи в домен contoso.com. Вам необходимо

перенести все роли хозяев операций на SERVER01.contoso.com. Какие роли

хозяев операций следует перенести? (Укажите все варианты.)

A. Хозяин инфраструктуры.

Б. PDC-эмулятор.

B. Хозяин R I D .

Г. Хозяин схемы.

Д. Хозяин именования доменов.

• 504 Контроллеры домена

Глава 10

3. Вы работаете администратором в компании Contoso, Ltd. Домен contoso.

com содержит пять контроллеров. Вам н у ж н о переместить роли хозяев

операций домена на SERVER02.contoso.com. Какие хозяева должны быть

перемещены? (Укажите все варианты.)

A. Хозяин инфраструктуры.

Б. PDC-эмулятор.

B. Хозяин RID.

Г. Хозяин схемы.

Д. Хозяин именования доменов.

Занятие 3. Настройка репликации DFS папки SYSVOL

Папка SYSVOL по умолчанию размещена по адресу %SystemRoot%SYSVOL

и содержит сценарии входа, шаблоны групповой п о л и т и к и G P T (Group Policy

Templates) и другие ресурсы, необходимые для поддержки работоспособности

домена Active Directory и управления им. В идеале папка SYSVOL должна

быть согласована на всех контроллерах домена. Но время от времени в объекты

групповой политики и сценарии входа вносятся изменения, причем они долж-

ны эффективно реплицироваться на все контроллеры домена. В предыдущих

версиях Windows для репликации содержимого SYSVOL среди контроллеров

домена использовалась служба р е п л и к а ц и и ф а й л о в R F S . Р е п л и к а ц и я RFS

имеет ограничения пропускной способности и производительности, которые

могут привести к прерыванию работы службы. К сожалению, устранять не-

поладки RFS довольно сложно. В доменах W i n d o w s Server 2008 репликацию

содержимого SYSVOL можно выполнять с помощью D F S – R . На этом занятии

мы рассмотрим миграцию SYSVOL с FRS на D F S – R .

Изучив материал этого занятия, вы сможете:

^ Повысить функциональный уровень домена.

^ Осуществить миграцию репликации SYSVOL с FRS на DFS-R.

Продолжительность занятия – около 60 мин.

Повышение функционального уровня домена

В главе 12 мы рассмотрим функциональные уровни леса и домена. Функцио-

нальный уровень домена – это параметр, который, с одной стороны, ограни-

чивает поддержку операционных систем как контроллеров домена, а с дру-

гой – добавляет в Active Directory дополнительную функциональность. Домен

с контроллером Windows Server 2008 может работать на трех функциональных

уровнях: Windows 2000, Windows 2003 и Windows 2008. На уровне домена Win-

dows 2000 можно использовать контроллеры W i n d o w s 2000 и Windows 2003,

на уровне Windows Server 2003 – контроллеры W i n d o w s 2003, а на уровне

Windows Server 2008 – только контроллеры домена Windows Server 2008.

При повышении функционального уровня включаются новые возможности

Active Directory. Например, на функциональном уровне Windows Server 2008

для репликации SYSVOL можно использовать D F S – R . Простого обновления

Занятие 3

Настройка репликации DFS папки SYSVOL

505

всех контроллеров до Windows Server 2008 недостаточно: вы должны повысить

функциональный уровень домена. Д л я этого применяется оснастка Active Di-

rectory – домены и доверие (Active Directory Domain And Trusts). Щелкните

домен правой кнопкой м ы ш и и примените команду Изменение режима работы

домена (Raise D o m a i n F u n c t i o n a l Level). Затем выберите функциональный

уровень W i n d o w s Server 2008 и щелкните кнопку Повысить (Raise). После

назначения ф у н к ц и о н а л ь н о г о у р о в н я Windows Server 2008 в домен нельзя

добавлять контроллеры Windows Server 2003 и Windows 2000 Server. Но функ-

циональный у р о в е н ь связан только с операционными системами контрол-

леров домена, а на р я д о в ы х серверах и рабочих станциях можно использо-

вать Windows Server 2003, Windows 2000 Server, Windows Vista, Windows XP

и Windows 2000 Workstation.

Контрольный вопрос

• Вы работаете администратором в компании Northwind Traders. Домен ком-

пании состоит из трех контроллеров. Вы обновили два из них до Windows

Server 2008. Третий контроллер все еще использует систему Windows Serv-

er 2003. Вам нужно установить для папки SYSVOL репликацию DFS-R Что

для этого нужно сделать?

Ответ на контрольный вопрос

• Вы должны обновить третий контроллер домена до Windows Server 2008, а за-

тем повысить функциональный уровень домена до Windows Server 2008.

Стадии миграции

Поскольку папка S Y S V O L играет ключевую роль в поддержке работоспособ-

ности и ф у н к ц и о н а л ь н о с т и домена, Windows не предоставляет механизм для

мгновенного преобразования репликации SYSVOL из FRS в DFS-R При миг-

рации на D F S – R создается параллельная структура SYSVOL. После успешного

размещения параллельной структуры клиенты перенаправляются в нее как в

системный том домена, а после успешного выполнения этой операции можно

исключить р е п л и к а ц и ю FRS.

Таким образом, м и г р а ц и я через механизм репликации DFS-R состоит из

четырех стадий, или состояний.

• 0 ( П у с к ( S t a r t ) ) С о с т о я н и е контроллера домена по умолчанию. Для

репликации SYSVOL используется лишь механизм FRS.

• 1 (Подготовлено ( P r e p a r e d ) ) В папке SYSVOL_DFSR создается копия

SYSVOL и д о б а в л я е т с я набор репликации. Механизм DFS-R начинает

реплицировать содержимое папок SYSVOL_DFSR на всех контроллерах

домена. Однако механизм FRS продолжает реплицировать исходные папки

SYSVOL, и клиенты также используют SYSVOL.

• 2 ( П е р е н а п р а в л е н о ( R e d i r e c t e d ) ) Общий ресурс SYSVOL, изначально

размещенный в папке SYSVOLsysvol, перемещается в папку SYSVOL_

DFSRsysvol. Теперь клиенты обращаются к папке SYSVOL_DFSR, чтобы

получить сценарии входа и шаблоны групповой политики.

506 Контроллеры домена

Глава 10

• 3 (Удалено (Eliminated)) Репликация старой папки SYSVOL с помощью

механизма FRS прекращается, но эта папка не удаляется, так что если вы

хотите удалить ее, это нужно сделать вручную.

Для миграции контроллеров домена через эти стадии с л у ж и т команда

Dfsrmig.exe. Далее описаны три параметра, которые можно использовать вместе

с ней.

• setglobalstate состояние Конфигурирует текущее глобальное состояние

миграции DFS-R, которое применяется ко всем контроллерам домена. Что-

бы указать состояние, нужно ввести соответствующее значение – от 0 до 3.

Каждый контроллер домена будет уведомлен о новом состоянии миграции

DFS-R и автоматически мигрирует на эту стадию.

• getglobalstate Выводит отчет о текущем глобальном состоянии миграции

DFSR.

• getmigrationstate Генерирует отчет о т е к у щ е м г л о б а л ь н о м состоянии

каждого контроллера домена. Поскольку для у в е д о м л е н и я контроллеров

домена о новом глобальном состоянии миграции D F S – R требуется время,

а на внесение изменений контроллером домена д л я перехода в это состо-

яние может понадобиться еще больше времени, к о н т р о л л е р ы домена не

сразу выполнят синхронизацию с глобальным состоянием. Данный пара-

метр позволяет отслеживать ход миграции контроллеров домена в новое

состояние миграции DFS-R.

Если при переходе из одного состояния на более в ы с о к и й уровень возни-

кают проблемы, предыдущее состояние можно вернуть с помощью параметра

setglobalstate. Но применив setglobalstate для у к а з а н и я состояния 3; (Удалено

(Eliminated)), вернуться к предыдущим с о с т о я н и я м уже нельзя.

Миграция репликации SYSVOL на механизм DFS-R

Для миграции репликации SYSVOL с механизма F R S на D F S – R выполните

следующие действия.

1. Откройте оснастку Active Directory – домены и доверие (Active Directory

Domains And Trusts). •

2. Щелкните домен правой кнопкой м ы ш и и п р и м е н и т е команду Изменение

режима работы домена (Raise Domain Functional Level).

3. Если под строкой Текущий режим контроллера домена ( C u r r e n t Domain

Functional Level) не указан Windows Server 2008, выберите его из списка

Выберите доступный режим домена (Select An Available Domain Functional

Level).

4. Щелкните кнопку Повысить (Raise). Дважды щелкните О К , чтобы закрыть

появляющиеся диалоговые окна.

5. Войдите на контроллер домена и откройте окно командной строки.

6. Введите команду i ifsrmig/setglobalstate 1.

7. Введите команду dfsrmig /getmigrationstate, чтобы запросить ход мигра-

ции контроллера домена в глобальное состояние Подготовлено (Prepared).

Занятие 3

Настройка репликации DFS папки SYSVOL

507

Повторяйте это шаг, чтобы все контроллеры домена перешли в указанное

состояние.

Данная операция может занять от 15 мин до нескольких часов.

8. Введите команду dfsrmig /setglobalstate 2.

9. Введите команду dfsrmig/getmigrationstate, чтобы запросить ход миграции

контроллера домена в глобальное состояние Перенаправлено (Redirected).

Повторяйте этот шаг, чтобы все контроллеры домеиа перешли в указанное

состояние.

Этот процесс может занять от 15 мин до нескольких часов.

10. Введите команду dfsrmig /setglobalstate 3.

После начала миграции из состояния 2 (Подготовлено (Prepared)) в состо-

яние 3 ( П е р е н а п р а в л е н о (Replicated)) все изменения, внесенные в папку

SYSVOL, придется реплицировать вручную в папку SYSVOL_DFSR.

11. Введите команду dfsrmig /getmigrationstate для запроса хода миграции кон-

троллера домена в глобальное состояние Удалено (Eliminated). Повторяйте

это шаг, чтобы все контроллеры домена перешли в это состояние.

Этот процесс может занять от 15 мин до нескольких часов.

Чтобы получить более подробные сведения об утилите Dfsrmig.exe, введите

команду dfsrmig.exe /?.

Практические занятия. Настройка репликации DFS папки SYSVOL

В предложенных далее упражнениях вы поэкспериментируете с репликацией

SYSVOL и выполните миграцию с механизма репликации FRS на DFS-R. Затем

вы проверите р е п л и к а ц и ю SYSVOL механизмом DFS-R.

В других у п р а ж н е н и я х данного руководства необходим функциональный

уровень леса Windows Server 2008. Для выполнения упражнений этого занятия

необходим домен в р е ж и м е работы Windows Server 2003, так что вы должны

создать новый лес на функциональном уровне Windows Server 2008, состоящий

из одного домена в режиме Windows Server 2003 и содержащий два контрол-

лера домена. Д л я подготовки к упражнениям выполните следующие задания.

• Установите сервер Windows Server 2008 (полная установка), присвойте ему

имя S E R V E R 0 1 . Далее описана нужная конфигурация:

• членство в рабочей группе: W O R K G R O U P ;

• 1Ру4-адрес: 10.0.0.11;

• маска подсети: 255.255.255.0;

• основной шлюз: 10.0.0.1;

• DNS-сервер: 10.0.0.11.

• Д л я установки W i n d o w s Server 2008 можете использовать инструкции,

приведенные на занятии 1 главы 1.


    Ваша оценка произведения:

Популярные книги за неделю