Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 49 (всего у книги 91 страниц)
компьютеру нажми,? кмзлку "Изме^тъ"
jSERVER02cortow com
Рис. 10-2. Хозяин операций PDC
• Х о з я и н R I D : о с н а с т к а A c t i v e D i r e c t o r y – пользователи и компьютеры
(Active D i r e c t o r y U s e r s and C o m p u t e r s ) Щелкните домен правой кноп-
кой мыши и примените команду Хозяева операций (Operations Masters).
Перейдите на вкладку RID.
• Х о з я и н и н ф р а с т р у к т у р ы : о с н а с т к а A c t i v e D i r e ct o ry – пользователи
и компьютеры (Active D i r e c t o r y U s e r s and Computers) Щелкните домен
правой кнопкой м ы ш и и примените команду Хозяин операций (Operations
Master). Перейдите на вкладку Инфраструктура (Infrastructure).
• Хозяин именования доменов: Active Directory – домены и доверие (Ac-
tive Directory Domain And T r u s t s ) Щелкните корневой узел правой кноп-
кой мыши и примените команду Хозяин операций (Operations Master).
• 496 Контроллеры домена
Глава 10
• Хозяин схемы: оснастка Схема Active Di re c t o r y (Active D i r e c t or y Schema)
Щелкните правой кнопкой мыши корневой узел оснастки и примените
команду Хозяин операций (Operations Master).
ПРИМЕЧАНИЕ Регистрация оснастки Схема Active Directory
Оснастку Схема Active Directory (Active Directory Schema) следует зарегистрировать
перед созданием настраиваемой консоли ММС (Microsoft Management Console) с
этой оснасткой. Для этого в командную строку введите команду regsvr32 schmmgmt.dll.
Для идентификации хозяев о п е р а ц и й м о ж н о и с п о л ь з о в а т ь несколько
средств, включая следующие команды:
ntdsutil
roles
connections
connect to server РООМ_иня_контроллера_донена:номер_порта
quit
select operation target
list roles for connected server"
quit
quit
quit
dcdiag /test:knowsofroleholders /v
netdom query fsmo
ПРИМЕЧАНИЕ
В упражнении 1 в конце этого занятия пошагово описан процесс идентификации-
хозяев операций.
Перенос ролей хозяев операций
Отдельные роли хозяев операций можно без труда переносить. Перенос ролей
осуществляется в следующих сценариях.
• При установке леса все пять ролей в ы п о л н я е т первый установленный кон-
троллер домена. При добавлении домена в лес все три роли уровня домена
выполняет первый контроллер в этом домене. По мере добавления конт-
роллеров домена роли можно распределить, чтобы исключать единые точки
сбоев и повышать производительность.
• Если вы планируете отключить от сети контроллер домена, выполняющий
роль хозяина операций, перенесите эту роль на другой контроллер домена.
• Если вы выводите из эксплуатации контроллер домена, выполняющий роль
хозяина операций, перенесите ее на другой контроллер домена. Мастер
установки доменных служб Active D ir ec t o r y попытается выполнить это
задание автоматически, но вы д о л ж н ы подготовиться к отключению конт-
роллера домена, перенеся его роли.
Занятие 2
Настройка хозяев операций 4дз
Чтобы перенести роль хозяина операций, выполните следующие действия.
1. Откройте административный инструмент, определяющий текущего хозяина.
Например, откройте Active Directory – пользователи и компьютеры (Active
Directory Users And Computers) для переноса одной из трех ролей хозяев
операций домена.
2. Подключитесь к контроллеру домена, иа который хотите перенести роль.
Д л я этого щелкните правой кнопкой мыши корневой узел оснастки и при-
мените команду Сменить контроллер домена (Change Domain Controller)
или Сменить контроллер домена Active Directory (Change Active Directory
Domain Controller) – в зависимости от используемой оснастки.
3. Откройте диалоговое окно Х о з я и н операций (Operations Master), где ука-
зан контроллер домена, управляющий маркером роли хозяина операций.
Щелкните кнопку Изменить (Change), чтобы перенести роль на контроллер
домена, к которому вы подключены.
ПРИМЕЧАНИЕ
В упражнении 2 в конце этого занятия пошагово описан перенос роли хозяина
операций.
При переносе роли хозяина операций текущий и новый хозяева отключают-
ся от сети. Переносится маркер, и новый хозяин немедленно начинает выпол-
нять роль, а п р е ж н и й хозяин сразу перестает выполнять ее. Для перемещения
ролей хозяев операций рекомендуется использовать этот метод.
Перед переносом р о л и рекомендуется проверить состояние репликации
новой роли со старого хозяина роли. Принудительное включение репликации
между двумя системами описано в главе 11.
Ошибки распознавания хозяев операций
Некоторые роли хозяев операций могут на время быть недоступны, прежде чем
их отсутствие начнет создавать проблемы,– Другие хозяева операций играют
ключевую роль при е ж е д н е в н ы х операциях на предприятии. Информацию
о неполадках хозяев операций можно отыскать в журнале событий Служба
каталогов (Directory Service).
Однако вы часто будете сталкиваться с отказами хозяина операций при
попытках выполнить функцию, управляемую хозяином. Например, в случае от-
каза хозяина R I D вы не сможете создавать новые принципалы безопасности.
Отзыв ролей хозяев операций
При отказе контроллера домена, выполняющего отдельную роль хозяина опе-
раций, и невозможности вернуть систему в рабочее состояние, можно отозвать
маркер операций. При отзыве роли новый хозяин назначается без удаления
роли отказавшего хозяина.
Отзыв* роли – это радикальная мера, поэтому перед отзывом убедитесь
в том, что он действительно необходим. Определите причину и допустимую
• 498 Контроллеры домена
Глава 10
продолжительность отключения хозяина операций от сети. Если хозяина опе-
раций можно отключить от сети на достаточный период времени, подождите.
Время ожидания зависит от влияния отказавшей роли на среду.
• Отказ PDC-эмулятора Эмулятор главного контроллера домена P D C (Pri-
mary Domain Controller) – это хозяин операций, недоступность которого
скорее всего начинает влиять на операции и пользователей. Однако роль
PDC-эмулятора можно отозвать на другой к о н т р о л л е р домена, а затем
перенести ее обратно, когда исходная система, в л а д е ю щ а я ролью, вновь
будет подключена к сети.
• Отказ хозяина инфраструктуры Такой отказ могут заметить админист-
раторы, а не пользователи. Поскольку этот хозяин отвечает за обновление
имен членов групп из других доменов, он м о ж е т о т о б р а ж а т ь временное
несоответствие членства в группе, как описано ранее на этом занятии, но
на само членство такое несоответствие не влияет. Р о л ь хозяина инфра-
структуры можно отозвать на еще один ко н тр о лл ер домена, а затем вер-
нуть ее обратно, когда исходная система, владеющая ролыо, вновь будет
подключена к сети.
• Отказ хозяина R I D В результате такого отказа к о н т р о л л е р ы домена не
могут создавать новые S I D – и д е н т и ф и к а т о р ы и поэтому не позволяют со-
здавать новые учетные записи для пользователей, групп или компьютеров.
Но контроллеры домена получают достаточно большой пул RID-идентифи-
каторов от хозяина RID, так что если вы не генерируете множество новых
учетных записей, то некоторое время сможете обойтись без хозяина RID,
пока он будет восстанавливаться в автономном режиме. Отзыв этой роли
на другой контроллер домена будет р а д и к а л ь н ы м решением. После отзыва
роли хозяина RID контроллер домена, ранее в ы п о л н я ю щ и й эту роль, нельзя
вновь подключить к сети.
• Отказ хозяина схемы Роль мастера схемы необходима только для внесе-
ния модификаций в схему непосредственно администратором при установке
интегрированного приложения Active Directory, которое изменяет схему.
В остальное время эта роль не требуется. Ее м о ж н о отключать от сети на
сколь угодно долго, пока не понадобится внести изменения в схему. Отзыв
этой роли на другой контроллер домена будет р а д и к а л ь н ы м решением.
После отзыва роли хозяина R I D контроллер домена, ранее выполняющий
эту роль, нельзя будет вновь подключить к сети.
• Отказ хозяина и м е н о в а н и я д о м е н о в Эта роль необходима только при
добавлении домена в лес или удалении домена из леса. Пока не требуется
вносить такие изменения в инфраструктуру доменов, хозяин именования
доменов может оставаться отключенным от сети неограниченное время. От-
зыв этой роли на другой контроллер домена будет радикальным решением.
После отзыва роли хозяина R I D контроллер домена, ранее выполняющий
эту роль, нельзя будет вновь подключить к сети.
Хотя эти роли можно переносить с помощью административных инстру-
ментов, для отзыва роли необходимо использовать утилиту Ntdsutil.exe. Для
отзыва роли хозяина операций выполните следующие действия.
Занятие 2
Настройка хозяев операций 4 9 9
1. В окне к о м а н д н о й строки введите команду ntdsutil и нажмите клавишу
Enter.
2. В строку ntdsutil введите команду roles и нажмите Enter.
В следующем шаге устанавливается подключение к контроллеру домена,
который будет в ы п о л н я т ь роль отдельного хозяина операций.
3. В строку fsmo maintenance введите команду connections и нажмите клавишу
Enter.
4. В строку server connections введите команду connect to server FQDN_UMX_
контроллера_домена и нажмите Enter.
В команде н у ж н о указать F Q D N – и м я контроллера домена, который будет
играть эту роль.
Утилита Ntdsutil сообщит о подключении к серверу.
5. В строку server connections введите команду quit и нажмите клавишу Enter.
6. В строку fsmo maintenance введите команду seize роль и нажмите Enter.
Укажите одну из следующих ролей.
A. Мастер схемы.
Б. Мастер и м е н о в а н и я доменов.
B. Мастер R I D .
Г. P D C .
Д. Мастер инфраструктуры.
7. В строку fsmo maintenance введите команду quit и нажмите клавишу Enter.
8. В строку ntdsutil введите команду quit и нажмите Enter.
Возврат роли прежнему владельцу
Чтобы обеспечить запланированное время простоя контроллера домена в слу-
чае переноса, а не отзыва роли, эту роль можно перенести обратно на исходный
контроллер домена.
Если же роль была отозвана и прежнего хозяина можно вновь подключить
к сети, эту операцию следует выполнять очень осторожно. Только роли хозяина
•PDC-эмулятора и хозяина инфраструктуры можно вернуть обратно прежнему
хозяину после их отзыва.
ПРИМЕЧАНИЕ Отзыв ролей хозяев схемы, именования доменов и RID
После отзыва ролей хозяев схемы, именования доменов и RID соответствующие
контроллеры домена необходимо полностью вывести из среды.
I После отзыва на другие контроллеры домена ролей хозяев схемы, имено-
вания доменов и R I D исходные контроллеры домеиа необходимо полностью
вывести из эксплуатации. Это означает, что исходного владельца роли нужно
физически отключить от сети и удалить службы AD DS с помощью коман-
ды Dcpromo /forceremoval. Кроме того, необходимо очистить метаданные для
этого контроллера домена, как описано в статье, хранящейся по адресу http://
go.microsoft.com/fwlink/?Linkld"80481.
к 500 Контроллеры домена – Г л а м 1 о
После полного удаления контроллера домена из Active Directory сервер
вновь можно подключить к сети и присоединить к домену и л и повысить до
ранга контроллера домена. На этот контроллер домена можно вновь перенести
роль хозяина операций.
ПРИМЕЧАНИЕ Перепостроение
Поскольку контроллеры домена играют критически важную роль, в данном сценарии
рекомендуется полностью переустановить старый контроллер домена.
Контрольный вопрос
• Вам нужно заменить блок питания и материнскую плату на контроллере
домена SERVER01, который играет роль хозяина операций PDC-эмулятора.
Прн этом необходимо обеспечить непрерывную работу служб PDC-эмулято-
ра. Опишите перенос этой роли на другой контроллер домена – SERVER02,
а также обратный перенос на SERVER01 после модернизации. Какие дейс-
твия необходимо выполнить и с помощью каких инструментов?
Ответ на контрольный вопрос
• Перед модернизацией проверьте состояние обновления репликации ре-
зервного хозяина операций с PDC-эмулятора. Затем откройте оснастку
Active Directory – пользователи и компьютеры (Active Directory Users
And Computers), щелкните домен правой кнопкой мыши и примените ко-
манду Сменить контроллер домена (Change Domain Controller). Выберите
SERVER02. Щелкните домен правой кнопкой мыши и примените команду
Хозяева операций (Operations Masters). Перейдите на вкладку PDC и щелк-
ните кнопку Изменить (Change). Роль перенесена. После подключения
SERVER01 к сети щелкните домен правой кнопкой мыши, примените ко-
манду Хозяева операций (Operations Masters), перейдите на вкладку PDC
и щелкните кнопку Изменить (Change).
Практические занятия. Перенос ролей хозяев операций
В предложенных далее упражнениях вы и д е н т и ф и ц и р у е т е хозяев операций
в домене contoso.com и перенесете роль хозяина операций на другой контроллер
домена, чтобы отключить нынешнего хозяина для технического обслуживания.
Перед выполнением упражнения 2 данного з а н я т и я нужно выполнить упраж-
нение из занятия 1 и установить в домене второй контроллер – SERVER02.
Упражнение 1. Идентификация хозяев о п е р а ц и й
В данном упражнении вы идентифицируете хозяев операций в домене contoso.
com с помощью инструментов пользовательского интерфейса и командной
строки.
1. Войдите на машину S E R V E R 0 1 как Администратор (Administrator).
2. Откройте оснастку Active Directory – пользователи и компьютеры (Active
Directory Users and Computers).
Занятие 2
Настройка хозяев операций 4дз
3. Щелкните правой кнопкой мыши домен contoso.com и примените команду
Хозяева операций (Operations Masters).
4. Просмотрите вкладки каждого хозяина операций.
На этих вкладках указано, что контроллеры домена в настоящее время вы-
полняет отдельные роли хозяев операций домена: PDC-эмулятора, хозяина
RID и хозяина инфраструктуры (Infrastructure).
5. Щелкните кнопку Закрыть (Close).
6. Откройте оснастку Active Directory – домены и доверие (Active Directory
Domains And Trusts).
7. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и корневой узел оснастки Active Direc-
tory – домены и доверие (Active Directory Domains And Trusts) и примените
команду Х о з я и н операций (Operations Master).
В о т к р ы в ш е м с я д и а л о г о в о м окне указан контроллер домена, играющий
роль хозяина именования доменов.
8. Щелкните кнопку Закрыть (Close).
Оснастку Схема Active Directory (Active Directory Schema) нельзя открыть
в консоли и л и добавить в настраиваемую консоль, пока она не будет заре-
гистрирована.
9. Откройте окно командной строки, введите команду regsvr32 schmmgmt.dll
и нажмите к л а в и ш у Enter.
10. Щелкните О К , чтобы закрыть появившееся окно сообщения.
11. Щелкните кнопку Пуск (Start), в поле Начать поиск (Start Search) введите
команду т т с . е х е и нажмите клавишу Enter.
12. В меню Консоль (File) выберите команду Добавить или удалить оснастку
( A d d / R e m o v e Snap-In).
13. В списке Доступные оснастки (Available snap-ins) выберите оснастку Схе-
ма Active Directory (Active Directory Schema), щелкните кнопку Добавить
(Add), а затем щелкните О К .
14. Щелкните правой кнопкой м ы ш и корневой узел оснастки Схема Active
Directory (Active Directory Schema) и примените команду Хозяин операций
(Operations Master).
В открывшемся диалоговом окне указан контроллер домена, в настоящее
время играющий роль хозяина схемы.
15. Щелкните кнопку Закрыть (Close).
16. Откройте командную строку, введите команду netdom query fsmo и нажмите
клавишу Enter.
Будут перечислены все операции мастера.
Упражнение 2. Перенос роли хозяина операций
В этом упражнении вы подготовите отключение хозяина операций от сети, пе-
ренеся его роль на другой контроллер домена. Затем вы эмулируете отключение
| от сети, обратное подключение к сети и возврат роли хозяина операций.
• 502 Контроллеры домена
Глава 10
1. Откройте Active Directory – пользователи и компьютеры (Active Directory
Users and Computers).
2. Щелкните правой кнопкой мыши домен contoso.com и примените команду
Сменить контроллер домеиа (Change Domain Controller).
3. В списке серверов каталогов выберите server02.contoso.com и щелкните ОК.
Перед переносом хозяина операций необходимо подключиться к контрол-
леру домена, на который будет перенесена роль.
Корневой узел оснастки указывает к о н т р о л л е р домена, к которому вы
подключаетесь: Active Directory – пользователи и компьютеры [server02.
contoso.com].
4. Щелкните правой кнопкой мыши домен contoso.com и примените команду
Хозяева операций (Operations Masters).
5. Перейдите на вкладку PDC.
На этой вкладке указано, что в настоящее в р е м я м а р к е р о м роли владеет
SERVER01.contoso.com. Во втором д и а л о г о в о м окне указан SERVER02.
contoso.com.
6. Щелкните кнопку Изменить (Change).
В диалоговом окне Доменные службы Active Directory (Active Directory
Domain Services) нужно подтвердить перенос р о л и хозяина операций.
7. Щелкните кнопку Да (Yes).
В диалоговом окне Доменные службы Active Directory (Active Directory
Domain Services) будет подтвержден перенос р о л и хозяина операций.
8. Щелкните ОК, а затем щелкните кнопку З а к р ы т ь (Close).
9. Эмулируйте отключение S E R V E R 0 1 от сети для технического обслужива-
ния.
10. Эмулируйте обратное подключение сервера к сети, запустив сервер.
Помните, что вы не можете вновь подключить контроллер домена к сети
после отзыва ролей хозяев RID, схемы или и м е н о в а н и я доменов. Зато вы
можете вновь подключить контроллер домена в случае переноса роли.
11. Повторите шаги 1 – 8 на машине S E R V E R 0 1 и перенесите роль хозяина
операций обратно на SERVER01.
Резюме
• Роли хозяев операций назначаются контроллерам доменов для выполнения
отдельных операций.
• Существует пять ролей хозяев операций. Две уникальны для всего леса —
роли хозяина схемы и хозяина именования доменов. Три роли уникальны
в каждом домене: PDC-эмулятор, R I D и инфраструктура.
• Если не все контроллеры в домене служат серверами глобального каталога
GC (Global Catalog), хозяин инфраструктуры должен быть размещен на
контроллере домена – не сервере GC.
Занятие 2
Настройка хозяев операций 4дз
• Роль можно перенести с помощью инструментов интерфейса Windows или
утилиты Ntdsutil.exe. Перенос роли рекомендуется как метод управления
хозяевами операций.
• Роль можно отозвать с помощью утилиты Ntdsutil.exe. Эту операцию сле-
дует выполнять, только если прежнего хозяина роли долго нельзя будет
подключить к сети. Только роли PDC-эмулятора и хозяина инфраструкту-
ры можно перенести обратно после подключения прежнего хозяина роли
к сети. Контроллеры'домена, управляющие схемой, RID или именованием
доменов, после отзыва их ролей необходимо полностью переустановить.
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных
на занятии 2. Эти же вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Вы работаете администратором в компании Contoso, Ltd. Домен contoso.com
состоит из двух узлов. В главном офисе один контроллер домена SERVER01
служит сервером глобального каталога GC и выполняет все пять ролей хо-
зяев операций. Второй контроллер домена в главном офисе, SERVER02, —
не сервер GC и не выполняет роли хозяев операций. В филиале контроллер
домена S E R V E R 0 3 также служит сервером GC. Какое изменение нужно
внести в размещение ролей хозяев операций?
A. Перенести роль хозяина инфраструктуры на SERVER03.
Б. Перенести роль хозяина R I D на SERVER02.
B. Перенести роль хозяина схемы на SERVER02,
Г. Перенести роль хозяина именования доменов на SERVER03.
Д. Перенести роль хозяина инфраструктуры на SERVER02.
2. Вы работаете администратором в компании Contoso, Ltd. Лес компании
состоит из двух доменов – contoso.com и windows.contoso.com. В настоя-
щее время компьютер SERVER02.windows.contoso.com выполняет все пять
ролей хозяев операций. Вы собираетесь удалить домен windows.contoso.com
и переместить ,зсе учетные записи в домен contoso.com. Вам необходимо
перенести все роли хозяев операций на SERVER01.contoso.com. Какие роли
хозяев операций следует перенести? (Укажите все варианты.)
A. Хозяин инфраструктуры.
Б. PDC-эмулятор.
B. Хозяин R I D .
Г. Хозяин схемы.
Д. Хозяин именования доменов.
• 504 Контроллеры домена
Глава 10
3. Вы работаете администратором в компании Contoso, Ltd. Домен contoso.
com содержит пять контроллеров. Вам н у ж н о переместить роли хозяев
операций домена на SERVER02.contoso.com. Какие хозяева должны быть
перемещены? (Укажите все варианты.)
A. Хозяин инфраструктуры.
Б. PDC-эмулятор.
B. Хозяин RID.
Г. Хозяин схемы.
Д. Хозяин именования доменов.
Занятие 3. Настройка репликации DFS папки SYSVOL
Папка SYSVOL по умолчанию размещена по адресу %SystemRoot%SYSVOL
и содержит сценарии входа, шаблоны групповой п о л и т и к и G P T (Group Policy
Templates) и другие ресурсы, необходимые для поддержки работоспособности
домена Active Directory и управления им. В идеале папка SYSVOL должна
быть согласована на всех контроллерах домена. Но время от времени в объекты
групповой политики и сценарии входа вносятся изменения, причем они долж-
ны эффективно реплицироваться на все контроллеры домена. В предыдущих
версиях Windows для репликации содержимого SYSVOL среди контроллеров
домена использовалась служба р е п л и к а ц и и ф а й л о в R F S . Р е п л и к а ц и я RFS
имеет ограничения пропускной способности и производительности, которые
могут привести к прерыванию работы службы. К сожалению, устранять не-
поладки RFS довольно сложно. В доменах W i n d o w s Server 2008 репликацию
содержимого SYSVOL можно выполнять с помощью D F S – R . На этом занятии
мы рассмотрим миграцию SYSVOL с FRS на D F S – R .
Изучив материал этого занятия, вы сможете:
^ Повысить функциональный уровень домена.
^ Осуществить миграцию репликации SYSVOL с FRS на DFS-R.
Продолжительность занятия – около 60 мин.
Повышение функционального уровня домена
В главе 12 мы рассмотрим функциональные уровни леса и домена. Функцио-
нальный уровень домена – это параметр, который, с одной стороны, ограни-
чивает поддержку операционных систем как контроллеров домена, а с дру-
гой – добавляет в Active Directory дополнительную функциональность. Домен
с контроллером Windows Server 2008 может работать на трех функциональных
уровнях: Windows 2000, Windows 2003 и Windows 2008. На уровне домена Win-
dows 2000 можно использовать контроллеры W i n d o w s 2000 и Windows 2003,
на уровне Windows Server 2003 – контроллеры W i n d o w s 2003, а на уровне
Windows Server 2008 – только контроллеры домена Windows Server 2008.
При повышении функционального уровня включаются новые возможности
Active Directory. Например, на функциональном уровне Windows Server 2008
для репликации SYSVOL можно использовать D F S – R . Простого обновления
Занятие 3
Настройка репликации DFS папки SYSVOL
505
всех контроллеров до Windows Server 2008 недостаточно: вы должны повысить
функциональный уровень домена. Д л я этого применяется оснастка Active Di-
rectory – домены и доверие (Active Directory Domain And Trusts). Щелкните
домен правой кнопкой м ы ш и и примените команду Изменение режима работы
домена (Raise D o m a i n F u n c t i o n a l Level). Затем выберите функциональный
уровень W i n d o w s Server 2008 и щелкните кнопку Повысить (Raise). После
назначения ф у н к ц и о н а л ь н о г о у р о в н я Windows Server 2008 в домен нельзя
добавлять контроллеры Windows Server 2003 и Windows 2000 Server. Но функ-
циональный у р о в е н ь связан только с операционными системами контрол-
леров домена, а на р я д о в ы х серверах и рабочих станциях можно использо-
вать Windows Server 2003, Windows 2000 Server, Windows Vista, Windows XP
и Windows 2000 Workstation.
Контрольный вопрос
• Вы работаете администратором в компании Northwind Traders. Домен ком-
пании состоит из трех контроллеров. Вы обновили два из них до Windows
Server 2008. Третий контроллер все еще использует систему Windows Serv-
er 2003. Вам нужно установить для папки SYSVOL репликацию DFS-R Что
для этого нужно сделать?
Ответ на контрольный вопрос
• Вы должны обновить третий контроллер домена до Windows Server 2008, а за-
тем повысить функциональный уровень домена до Windows Server 2008.
Стадии миграции
Поскольку папка S Y S V O L играет ключевую роль в поддержке работоспособ-
ности и ф у н к ц и о н а л ь н о с т и домена, Windows не предоставляет механизм для
мгновенного преобразования репликации SYSVOL из FRS в DFS-R При миг-
рации на D F S – R создается параллельная структура SYSVOL. После успешного
размещения параллельной структуры клиенты перенаправляются в нее как в
системный том домена, а после успешного выполнения этой операции можно
исключить р е п л и к а ц и ю FRS.
Таким образом, м и г р а ц и я через механизм репликации DFS-R состоит из
четырех стадий, или состояний.
• 0 ( П у с к ( S t a r t ) ) С о с т о я н и е контроллера домена по умолчанию. Для
репликации SYSVOL используется лишь механизм FRS.
• 1 (Подготовлено ( P r e p a r e d ) ) В папке SYSVOL_DFSR создается копия
SYSVOL и д о б а в л я е т с я набор репликации. Механизм DFS-R начинает
реплицировать содержимое папок SYSVOL_DFSR на всех контроллерах
домена. Однако механизм FRS продолжает реплицировать исходные папки
SYSVOL, и клиенты также используют SYSVOL.
• 2 ( П е р е н а п р а в л е н о ( R e d i r e c t e d ) ) Общий ресурс SYSVOL, изначально
размещенный в папке SYSVOLsysvol, перемещается в папку SYSVOL_
DFSRsysvol. Теперь клиенты обращаются к папке SYSVOL_DFSR, чтобы
получить сценарии входа и шаблоны групповой политики.
• 506 Контроллеры домена
Глава 10
• 3 (Удалено (Eliminated)) Репликация старой папки SYSVOL с помощью
механизма FRS прекращается, но эта папка не удаляется, так что если вы
хотите удалить ее, это нужно сделать вручную.
Для миграции контроллеров домена через эти стадии с л у ж и т команда
Dfsrmig.exe. Далее описаны три параметра, которые можно использовать вместе
с ней.
• setglobalstate состояние Конфигурирует текущее глобальное состояние
миграции DFS-R, которое применяется ко всем контроллерам домена. Что-
бы указать состояние, нужно ввести соответствующее значение – от 0 до 3.
Каждый контроллер домена будет уведомлен о новом состоянии миграции
DFS-R и автоматически мигрирует на эту стадию.
• getglobalstate Выводит отчет о текущем глобальном состоянии миграции
DFSR.
• getmigrationstate Генерирует отчет о т е к у щ е м г л о б а л ь н о м состоянии
каждого контроллера домена. Поскольку для у в е д о м л е н и я контроллеров
домена о новом глобальном состоянии миграции D F S – R требуется время,
а на внесение изменений контроллером домена д л я перехода в это состо-
яние может понадобиться еще больше времени, к о н т р о л л е р ы домена не
сразу выполнят синхронизацию с глобальным состоянием. Данный пара-
метр позволяет отслеживать ход миграции контроллеров домена в новое
состояние миграции DFS-R.
Если при переходе из одного состояния на более в ы с о к и й уровень возни-
кают проблемы, предыдущее состояние можно вернуть с помощью параметра
setglobalstate. Но применив setglobalstate для у к а з а н и я состояния 3; (Удалено
(Eliminated)), вернуться к предыдущим с о с т о я н и я м уже нельзя.
Миграция репликации SYSVOL на механизм DFS-R
Для миграции репликации SYSVOL с механизма F R S на D F S – R выполните
следующие действия.
1. Откройте оснастку Active Directory – домены и доверие (Active Directory
Domains And Trusts). •
2. Щелкните домен правой кнопкой м ы ш и и п р и м е н и т е команду Изменение
режима работы домена (Raise Domain Functional Level).
3. Если под строкой Текущий режим контроллера домена ( C u r r e n t Domain
Functional Level) не указан Windows Server 2008, выберите его из списка
Выберите доступный режим домена (Select An Available Domain Functional
Level).
4. Щелкните кнопку Повысить (Raise). Дважды щелкните О К , чтобы закрыть
появляющиеся диалоговые окна.
5. Войдите на контроллер домена и откройте окно командной строки.
6. Введите команду i ifsrmig/setglobalstate 1.
7. Введите команду dfsrmig /getmigrationstate, чтобы запросить ход мигра-
ции контроллера домена в глобальное состояние Подготовлено (Prepared).
Занятие 3
Настройка репликации DFS папки SYSVOL
507
Повторяйте это шаг, чтобы все контроллеры домена перешли в указанное
состояние.
Данная операция может занять от 15 мин до нескольких часов.
8. Введите команду dfsrmig /setglobalstate 2.
9. Введите команду dfsrmig/getmigrationstate, чтобы запросить ход миграции
контроллера домена в глобальное состояние Перенаправлено (Redirected).
Повторяйте этот шаг, чтобы все контроллеры домеиа перешли в указанное
состояние.
Этот процесс может занять от 15 мин до нескольких часов.
10. Введите команду dfsrmig /setglobalstate 3.
После начала миграции из состояния 2 (Подготовлено (Prepared)) в состо-
яние 3 ( П е р е н а п р а в л е н о (Replicated)) все изменения, внесенные в папку
SYSVOL, придется реплицировать вручную в папку SYSVOL_DFSR.
11. Введите команду dfsrmig /getmigrationstate для запроса хода миграции кон-
троллера домена в глобальное состояние Удалено (Eliminated). Повторяйте
это шаг, чтобы все контроллеры домена перешли в это состояние.
Этот процесс может занять от 15 мин до нескольких часов.
Чтобы получить более подробные сведения об утилите Dfsrmig.exe, введите
команду dfsrmig.exe /?.
Практические занятия. Настройка репликации DFS папки SYSVOL
В предложенных далее упражнениях вы поэкспериментируете с репликацией
SYSVOL и выполните миграцию с механизма репликации FRS на DFS-R. Затем
вы проверите р е п л и к а ц и ю SYSVOL механизмом DFS-R.
В других у п р а ж н е н и я х данного руководства необходим функциональный
уровень леса Windows Server 2008. Для выполнения упражнений этого занятия
необходим домен в р е ж и м е работы Windows Server 2003, так что вы должны
создать новый лес на функциональном уровне Windows Server 2008, состоящий
из одного домена в режиме Windows Server 2003 и содержащий два контрол-
лера домена. Д л я подготовки к упражнениям выполните следующие задания.
• Установите сервер Windows Server 2008 (полная установка), присвойте ему
имя S E R V E R 0 1 . Далее описана нужная конфигурация:
• членство в рабочей группе: W O R K G R O U P ;
• 1Ру4-адрес: 10.0.0.11;
• маска подсети: 255.255.255.0;
• основной шлюз: 10.0.0.1;
• DNS-сервер: 10.0.0.11.
• Д л я установки W i n d o w s Server 2008 можете использовать инструкции,
приведенные на занятии 1 главы 1.
