Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 54 (всего у книги 91 страниц)

A . П о в ы с и т ь с т о и м о с т ь с в я з и А – В д о 300.

Б . Удалить с в я з ь А – В .

B. С б р о с и т ь ф л а ж о к Установить мост д л я всех связей сайтов (Bridge All

Site Links).

Г. С н и з и т ь с т о и м о с т ь с в я з е й А – Б и Б – В до 25.

3. В сетевой и н ф р а с т р у к т у р е к о м п а н и и Trey Research запрещены прямые

I P – к о м м у н и к а ц и и м е ж д у центром данных и исследовательским кораблем в

море. Ч т о н е о б х о д и м о сделать д л я п о д д е р ж к и репликации между центром

д а н н ы х и к о р а б л е м ?

А. О т к о н ф и г у р и р о в а т ь д л я к о р а б л я отдельный домен в лесу.

Б. П о в ы с и т ь с т о и м о с т ь с в я з и сайтов Active Directory главного офиса

и корабля,

| 556

Сайты и репликация

Глава 11

В. Отконфигурировать контроллер домена на корабле к а к предпочтитель-

ный мостовой сервер.

Г. Вручную создать объект п о д к л ю ч е н и я м е ж д у к о н т р о л л е р о м домена на

корабле и контроллером домена в г л а в н о м о ф и с е .

4. Вам нужно вручную и н и ц и и р о в а т ь п о д к л ю ч е н и е м е ж д у д в у м я к о н т р о л л е -

рами домена для проверки корректного ф у н к ц и о н и р о в а н и я р е п л и к а ц и и .

Какой из следующих инструментов н у ж н о и с п о л ь з о в а т ь д л я этого? (Ука-

жите все варианты.)

A. Оснастка Active Directory – с а й т ы и с л у ж б ы ( A c t i v e D i r e c t o r y Sites

And Services).

Б. Утилита Repadmin.exe.

B. Утилита Dcdiag.exe.

Г. Оснастка Active Directory – д о м е н ы и д о в е р и е ( A c t i v e D i r e c t o r y Do-

mains And Trusts).

Закрепление материала главы

Для того чтобы попрактиковаться и з а к р е п и т ь з н а н и я , п о л у ч е н н ы е при изуче-

нии представленного в этой главе материала, вам н е о б х о д и м о :

• ознакомиться с резюме главы;

• повторить используемые в главе о с н о в н ы е т е р м и н ы ;

• изучить сценарий, в котором описана р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я при-

менения полученных знаний, и п р е д л о ж и т ь свое р е ш е н и е ;

• выполнить рекомендуемые у п р а ж н е н и я ;

• сдать пробный экзамен с п о м о щ ь ю тестов.

Резюме главы

• Контроллеры домена управляют р е п л и к а м и разделов Active Directory: кон-

текстов именования схемы, к о н ф и г у р а ц и и и домена. К о н т р о л л е р ы домена

можно отконфигурировать для у п р а в л е н и я ч а с т и ч н ы м н а б о р о м атрибутов

(глобальным каталогом) и разделами каталога п р и л о ж е н и й .

• Внутри сайта контроллеры домена б ы с т р о р е п л и ц и р у ю т и з м е н е н и я , ис-

пользуя топологию, генерируемую с л у ж б о й п р о в е р к и ц е л о с т н о с т и К С С

(Knowledge Consistency Checker), которая д и н а м и ч е с к и изменяется, чтобы

обеспечить эффективную р е п л и к а ц и ю между сайтами.

• Между сайтами генератор топологии репликации ( I S T G ) создает топологию

объектов подключений между м о с т о в ы м и с е р в е р а м и , совместно исполь-

зующими связи сайтов. Р е п л и к а ц и я м е ж д у с а й т а м и о с н о в а н а т о л ь к о на

опросах с периодичностью каждые 3 ч по у м о л ч а н и ю .

• Репликацию между сайтами можно м о д и ф и ц и р о в а т ь , в к л ю ч а я периодич-

ность репликации, стоимость связей сайтов и предпочтительные мостовые

серверы.

• Обычно дополнительные параметры к о н ф и г у р а ц и и не н у ж н о настраивать,

однако вы можете модифицировать т р а н з и т и в н о с т ь связей сайтов, созда-

вать мосты связей сайтов и конфигурировать р а с п и с а н и я связей сайтов.

Сценарий 5 5 7

• Д л я м о н и т о р и н г а и у с т р а н е н и я н е п о л а д о к р е п л и к а ц и и используются ути-

л и т ы Repadmin.exe и I.

Основные термины

З а п о м н и т е п е р е ч и с л е н н ы е д а л е е т е р м и н ы , чтобы лучше понять описываемые

к о н ц е п ц и и .

• Ч а с т и ч н ы й и а б о р а т р и б у т о в , и л и г л о б а л ь н ы й каталог ( G C ) Копии всех

объектов из д р у г и х к о н т е к с т о в и м е н о в а н и я доменов только с поднабором

атрибутов э т и х о б ъ е к т о в . Г л о б а л ь н ы й каталог поддерживает запросы ка-

т а л о г о в на у р о в н е леса, о б е с п е ч и в а е т д а н н ы е членства в универсальных

группах п р и входе, а т а к ж е п о д д е р ж и в а е т такие приложения, как Exchange

Server.

• Р е п л и к а , р а з д е л и л и к о н т е к с т и м е н о в а н и я Контейнер высшего уровня

в базе д а н н ы х Active Directory. Р а з д е л ы полностью реплицируются в свои

к о н т е й н е р ы . К а ж д ы й к о н т р о л л е р д о м е н а у п р а в л я е т репликой разделов

схемы и к о н ф и г у р а ц и и леса. К а ж д ы й к о н т р о л ле р в домене управляет реп-

л и к о й этого– к о н т е к с т а и м е н о в а н и я доменов.

• Л о к а л и з а ц и я с л у ж б П р о ц е с с , путем в ы п о л н е н и я которого распределен-

ная с л у ж б а , д о с т у п н а я на м н о ж е с т в е серверов, предоставляется сервером

д л я к л и е н т о в в их и л и с о с е д н е м сайте. Контроллеры доменов предоставля-

ют р а с п р е д е л е н н ы е с л у ж б ы п р о в е р к и подлинности и доступа к каталогам,

а с а й т ы и п о д с е т и A c t i v e D i r e c t o r y л о к а л и з у ю т службы, чтобы клиенты

и с п о л ь з о в а л и к о н т р о л л е р ы д о м е н а в своем и л и ближайшем сайте.

Сценарий. Настройка сайтов и подсетей

В с л е д у ю щ е м с ц е н а р и и н е о б х о д и м о п р и м е н и т ь з н а н и я о сайтах, подсетях,

разделах и р е п л и к а ц и и . О т в е т ы на э т и вопросы находятся в разделе «Ответы»

в конце книги.

Вы я в л я е т е с ь а д м и н и с т р а т о р о м к о м п а н и и Adventure Works. На рисунке,

п р е д с т а в л е н н о м н и ж е , п о к а з а н а сетевая топология Adventure Works. Филиа-

лы в Сиэтле, Ч и к а г о и М а й а м и п о д к л ю ч е н ы с помощью быстрых стабильных

соединений к сайту в Д е н в е р е . Н е б о л ь ш и е ф и л и а л ы в Портленде и Форт-Ло-

дердейле п о д к л ю ч е н ы с о о т в е т с т в е н н о к сайтам в Сиэтле и Майами. В Денвере

главный о ф и с и х р а н и л и щ е п о д к л ю ч е н ы с помощью очень быстрых соедине-

ний. В к а ж д о м сайте есть к о н т р о л л е р домена, за исключением главного офиса

в Денвере, где их три. Вы п р о е к т и р у е т е сайты Active Directory и репликацию

для домена.

1. Вам нужно, чтобы все и з м е н е н и я каталога в Денвере в течение 1 мин репли-

ц и р о в а л и с ь на все ч е т ы р е к о н т р о л л е р а домена. Сколько сайтов Active Di-

rectory следует создать д л я подсетей в Денвере?

2. Коллеги р е к о м е н д у ю т н а з н а ч и т ь один из контроллеров домена в главном

офисе в качестве предпочтительного сервера-плацдарма! Опишите преиму-

щества и н е д о с т а т к и т а к о й к о н ф и г у р а ц и и .

3. Необходимо, ч т о б ы р е п л и к а ц и я выполнялась в соответствии с централи-

з о в а н н о й т о п о л о г и е й з в е з д ы ( h u b – a n d – s p o k e ) и все изменения каталога

в Денвере п р я м о р е п л и ц и р о в а л и с ь во все пять филиалов, а все изменения

5 5 8 Сайты и репликация

Глава 11

Г

в филиалах реплицировались п р я м о в Д е н в е р . О п и ш и т е и з м е н е н и я связей

сайтов, которые необходимы д л я в ы п о л н е н и я э т о й задачи.

4. Для планирования в о с с т а н о в л е н и я п о с л е а в а р и й н о г о о т к а з а вы хотите,

чтобы контроллер домена в хранилище б ы л готов в з я т ь на себя р о д и хозяев

операций леса и домена, в ы п о л н я е м ы е к о н т р о л л е р о м S E R V E R 0 1 в сайте

главного офиса. Какое изменение н у ж н о в н е с т и в р е п л и к а ц и ю д л я в ы п о л -

нения этой задачи?

Практические задания

Для успешной сдачи с е р т и ф и к а ц и о н н о г о э к з а м е н а в ы п о л н и т е с л е д у ю щ и е

упражнения.

Мониторинг и управление репликацией

Требуется выполнить задачи мониторинга и у п р а в л е н и я р е п л и к а ц и е й с помо-

щью инструментов пользовательского и н т е р ф е й с а и к о м а н д н о й с т р о к и (пред-

полагается, что практические з а н я т и я этой главы у ж е п р о й д е н ы ) .

• Упражнение 1 П р о а н а л и з и р у й т е р е п л и к а ц и ю м е ж д у с а й т а м и , о т к р ы в

два экземпляра оснастки Active Di re c t o r y – п о л ь з о в а т е л и и компьютеры

(Active Directory Users And C o m p u t e r s ) . В о д н о м э к з е м п л я р е щ е л к н и т е

правой кнопкой мыши домен contoso.com, в ы п о л н и т е к о м а н д у Сменить

контроллер домена ( C h a n g e D o m a i n C o n t r o l l e r ) и в ы б е р и т е к о н т р о л л е р

SERVER01. В другом экземпляре щ е л к н и т е правой к н о п к о й м ы ш и домен

contoso.com, выполните команду Сменить к о н т р о л л е р домена и выберите

контроллер SERVER02. В оснастке с S E R V E R 0 1 создайте подразделение

Кадры, если его еще нет. Создайте п о д р а з д е л е н и е в р е м е н н ы е служащие

Пробный экзамен 5 5 9

в п о д р а з д е л е н и и К а д р ы . В о с н а с т к е с S E R V E R 0 2 обновите представление

и п р о в е р ь т е у с п е ш н у ю р е п л и к а ц и ю о б ъ е к т о в . В оснастке с S E R V E R 0 2

создайте н о в о г о п о л ь з о в а т е л я с и м е н е м П р о в е р к а репликации. Проверьте

в оснастке с S E R V E R 0 1 р е п л и к а ц и ю объекта пользователя.

• У п р а ж н е н и е 2 В о с н а с т к е A c t i v e D i r e c t o r y – сайты и службы (Active

D ir ectory Sites A n d Services) п р о а н а л и з и р у й т е I C C и генератор ISTG. Раз-

верните к о н т е й н е р ы B R A N C H 1 и Servers, а затем – контейнеры Headquar-

ters и Servers. П е р е т а щ и т е S E R V E R 0 2 из контейнера H E A D Q U A R T E R S

Servers в к о н т е й н е р B R A N C H l S e r v e r s . В оснастке Active Directory – поль-

з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users And Computers) на конт-

р о л л е р е S E R V E R 0 1 с о з д а й т е н о в ы й объект пользователя Intersite Test 1.

П р о а н а л и з и р у й т е о с н а с т к у Active D i r e c t o r y – пользователи и компьютеры

н а к о м п ь ю т е р е S E R V E R 0 2 . В о з м о ж н о , объект реплицирован, поскольку

объект п о д к л ю ч е н и я м е ж д у S E R V E R 0 2 и S E R V E R 0 1 по-прежнему интер-

п р е т и р у е т с я к а к п о д к л ю ч е н и е р е п л и к а ц и и между сайтами. В оснастке Ac-

tive D i r e c t o r y – с а й т ы и с л у ж б ы р а з в е р н и т е S E R V E R 0 1 , щелкните правой

к н о п к о й м ы ш и N T D S S e t t i n g s , в ы п о л н и т е команду Все задачи (All Tbsks)

и в ы б е р и т е з а д а ч у П р о в е р к а т о п о л о г и и р е п л и к а ц и и (Check Replication

Topology). П о в т о р и т е п р о ц е с с на к о н т р о л л е р е SERVER02. Обновите вид

о с н а с т к и A c t i v e D i r e c t o r y – с а й т ы и с л у ж б ы . В контейнере SERVER01

выберите N T D S S e t t i n g s . О б ъ е к т п о д к л ю ч е н и я с SERVER02 должен ука-

зывать, что S E R V E R 0 2 т е п е р ь р а с п о л о ж е н в сайте BRANCH1.

• У п р а ж н е н и е 3 П р о а н а л и з и р у й т е р е п л и к а ц и ю между сайтами и реплика-

ц и ю в р у ч н у ю . В о с н а с т к е Active D i r e c t o r y – пользователи и компьютеры

(Active Directory Users And C o m p u t e r s ) на контроллере SERVER01 добавьте

еще о д н о г о п о л ь з о в а т е л я с и м е н е м I n t e r s i t e Test 2. В оснастке на конт-

роллере S E R V E R 0 2 этот о б ъ е к т не д о л ж е н отображаться при обновлении

вида о с н а с т к и . С е р в е р ы т е п е р ь в ы п о л н я ю т репликацию с использованием

т о п о л о г и и м е ж д у с а й т а м и . В оснастке Active Directory – сайты и службы

(Active D i r e c t o r y Sites And Services) выберите N T D S Settings для объекта

сервера S E R V E R 0 2 . На п а н е л и с в е д е н и й щелкните правой кнопкой мыши

объект п о д к л ю ч е н и я и в ы п о л н и т е команду Реплицировать сейчас (Repli-

cate N o w ) .

Пробный экзамен

На п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е представлено несколько вариантов

тренировочных тестов. Проверка з н а н и й выполняется или только по одной теме

с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и по всем экзаменационным темам.

Тестирование м о ж н о о р г а н и з о в а т ь т а к и м образом, чтобы оно проводилось как

экзамен, либо н а с т р о и т ь на р е ж и м обучения. В последнем случае вы сможете

после каждого с в о е г о о т в е т а на в о п р о с п р о с м а т р и в а т ь правильные ответы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

I Г Л А В А 1 2

Домены и леса

Занятие 1. Функциональные уровни домена и леса 561

Занятие 2. Управление множеством доменов и доверительными связями 571

В главе 1 рассматривался принцип с о з д а н и я п р о с т о й и н ф р а с т р у к т у р ы AD DS,

состоящей из одного леса с одним доменом, в п о с л е д у ю щ и х главах речь ш л а об

управлении AD DS. Теперь самое в р е м я в е р н у т ь с я на в е р х н и й у р о в е н ь и н ф -

раструктуры AD DS и заняться м о д е л и р о в а н и е м и ф у н к ц и о н а л ь н о с т ь ю лесов

и доменов. В этой главе речь пойдет о п о в ы ш е н и и ф у н к ц и о н а л ь н ы х у р о в н е й

домена и леса на предприятии, п р о е к т и р о в а н и и о п т и м а л ь н о й и н ф р а с т р у к т у р ы

AD DS, миграции объектов между д о м е н а м и и л е с а м и , а т а к ж е о в к л ю ч е н и и

проверки подлинности и доступа к р е с у р с а м во м н о ж е с т в е д о м е н о в и лесов.

Темы экзамена:

• Настройка инфраструктуры Active Directory,

о Настройка леса или домена,

о Настройка доверия.

Прежде всего

Для выполнения упражнений н е о б х о д и м о с о з д а т ь два к о н т р о л л е р а домеиа,

SERVER01 и SERVER02, в домене contoso.com. И н с т р у к ц и и по в ы п о л н е н и ю

этой задачи изложены в главах 1 и 10.

История из ж и з н и

Дан Холме

В некоторых организациях полагают, что контроллеры доменов следует обнов-

лять в последнюю очередь. На мой взгляд, контроллеры домена нужно обновлять

в первую очередь (естественно, после тестирования в лаборатории). Контрол-

леры доменов создают фундамент для идентификации и управления доступом

в лесу AD DS предприятия. По этой причине контроллеры доменов нужно

выделить только для роли AD DS и связанных основных служб, таких как DNS.

Если контроллеры доменов являются выделенными, риск, связанный с их об-

новлением, минимален. Кроме того, после обновления контроллеров доменов

можно повысить функциональный уровень леса.

Занятие 2

Управление множеством доменов и доверительными связями

5 6 1

Функциональные уровни добавляют новые возможности Windows Server 2003

и Windows Server 2008. При включении дополнительной функциональности бу-

дет ограничена поддержка версий Microsoft Windows на контроллерах доменов.

Рядовые серверы и рабочие станции могут использовать любую версию Windows.

Некоторые функции, включая репликацию связанных значений, контроллеры

домена только для чтения, гранулированные политики паролей и репликацию

распределенной файловой системы DFS-R (Distributed File System Replication)

системного тома SYSVOL (System Volume), затрагивают все аспекты безопаснос-

ти, управления и гибкости AD DS. Поэтому я рекомендую обновить контроллеры

доменов до Windows Server 2008, чтобы повысить функциональный уровень

домена и леса для использования дополнительной функциональности.

Занятие 1. Функциональные уровни домена и леса

При д о б а в л е н и и к о н т р о л л е р о в W i n d o w s Server 2008 в лес или домен можно

п р и м е н я т ь н о в ы е в о з м о ж н о с т и с л у ж б ы каталогов Active Directory. Функ-

ц и о н а л ь н ы е у р о в н и д о м е н а и леса, п р е д с т а в л я ю щ и е собой режимы работы

соответственно д о м е н о в и л е с о в , о п р е д е л я ю т версии Windows, которые ис-

пользуются на к о н т р о л л е р а х д о м е н о в , а также доступные компоненты Active

Directory.

Изучив материал этого занятия, вы сможете:

S Понимать функциональные уровни домена и леса.

S Повышать функциональный уровень домена и леса.

S Идентифицировать возможности, добавляемые на каждом функциональном

уровне.

Продолжительность занятия – около 45 мин.

Функциональные уровни

Ф у н к ц и о н а л ь н ы е у р о в н и а н а л о г и ч н ы переключателям, добавляющим новую

ф у н к ц и о н а л ь н о с т ь к а ж д о й в е р с и и W i n d o w s . Несколько компонентов были

добавлены в Active D i r e c t o r y в е р с и е й W i n d o w s Server 2003, а в Windows Ser-

ver 2008 появились еще новые компоненты. Эта функциональность не является

обратно совместимой, т а к что если вы используете контроллер домеиа Win-

dows 2000 Server, то не с м о ж е т е в к л ю ч и т ь функциональность новых версий

Windows. А н а л о г и ч н ы м о б р а з о м н е л ь з я реализовать функциональный уро-

вень Windows Server 2008, пока не будут обновлены все контроллеры доменов

до Windows Server 2008. Д л я того чтобы повысить функциональный уровень

леса, необходимо в ы п о л н и т ь две основные задачи:

• установить на всех к о н т р о л л е р а х доменов корректную версию Windows;

• вручную п о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень, поскольку режим работы не

переключается автоматически.

I 5 6 2 Домены и леса

Глава 12

ПРИМЕЧАНИЕ Функциональные уровни, версии операционных систем

и контроллеры доменов

Помните, что т о л ь к о к о н т р о л л е р ы д о м е н а о п р е д е л я ю т в о з м о ж н о с т ь н а з н а ч е н и я

функционального у р о в н я . Р я д о в ы е с е р в е р ы и р а б о ч и е с т а н ц и и в д о м е н е и л и л е с у

используют л ю б у ю в е р с и ю W i n d o w s н а л ю б о м ф у н к ц и о н а л ь н о м у р о в н е .

Функциональные уровни домена

функциональный уровень д о м е н а в л и я е т н а к о м п о н е н т ы A c t i v e Directory,

доступные в домене, и определяет версии W i n d o w s , п о д д е р ж и в а е м ы е д л я конт-

роллеров. В предыдущих версиях W i n d o w s ф у н к ц и о н а л ь н ы е у р о в н и и р е ж и м ы

работы домена (так они н а з ы в а л и с ь в W i n d o w s 2 0 0 0 S e r v e r ) п о д д е р ж и в а л и с ь

контроллерами домена Microsoft W i n d o w s NT 4.0. Н а ч и н а я с W i n d o w s Ser-

ver 2008 эти версии больше не п о д д е р ж и в а ю т с я . П р е ж д е чем д о б а в и т ь п е р в ы й

контроллер домена Windows Server 2008, на всех к о н т р о л л е р а х д о м е н а необ-

ходимо установить версию не н и ж е W i n d o w s 2000 Server. В Active D i r e c t o r y

версии Windows Server 2008 п о д д е р ж и в а ю т с я т р и ф у н к ц и о н а л ь н ы х у р о в н я

домена:

• Windows 2000;

• Windows Server 2003;

• Windows Server 2008.

Режим Windows 2000

Самым низким уровнем, п о д д е р ж и в а е м ы м к о н т р о л л е р о м д о м е н а W i n d o w s

Server 2008, является ф у н к ц и о н а л ь н ы й у р о в е н ь д о м е н а W i n d o w s 2000. Д л я

контроллеров домена поддерживаются с л е д у ю щ и е о п е р а ц и о н н ы е системы:

• Windows 2000 Server;

• Windows Server 2003;

• Windows Server 2008.

Если у вас есть контроллеры д о м е н а W i n d o w s 2000 Server и л и W i n d o w s

Server 2003 либо вы планируете добавить один и л и н е с к о л ь к о к о н т р о л л е р о в

с этими более ранними версиями Windows, то следует у с т а н о в и т ь ф у н к ц и о -

нальный уровень Windows 2000.

Режим Windows Server 2003

После удаления или обновления всех контроллеров д о м е н а W i n d o w s 2000 Ser-

ver функциональный уровень м о ж н о п о в ы с и т ь до W i n d o w s Server 2003, на

котором домен больше не поддерживает к о н т р о л л е р ы W i n d o w s 2000 Server,

так что на всех контроллерах домена д о л ж н ы и с п о л ь з о в а т ь с я две следующие

системы:

• Windows Server 2003;

• Windows Server 2008.

Занятие 2

Управление множеством доменов и доверите

5 6 3 льными связями

Ф у н к ц и о н а л ь н ы й у р о в е н ь д о м е н а W i n d o w s Server 2003 добавляет много

новых к о м п о н е н т о в к ф у н к ц и о н а л ь н о м у у р о в н ю W i n d o w s 2000. Далее описаны

эти к о м п о н е н т ы .

• П е р е и м е н о в а н и е к о н т р о л л е р о в д о м е н а Э т о средство управления доме-

н а м и Netdom.exe и с п о л ь з у е т с я д л я подготовки к операции переименования

к о н т р о л л е р а д о м е н а .

• А т р и б у т lastLogonTimestamp Когда пользователь и л и компьютер входит

в домен, в р е м я в х о д а д о б а в л я е т с я в атрибут lastLogonTimestamp, который

р е п л и ц и р у е т с я в п р е д е л а х д о м е н а .

• А т р и б у т userPassword П р и н ц и п а л а м и безопасности в Active Directory

я в л я ю т с я п о л ь з о в а т е л и , к о м п ь ю т е р ы и группы. Четвертый класс объектов

inetOrgPerson а н а л о г и ч е н о б ъ е к т у п о л ь з о в а т е л я и применяется для интег-

р а ц и и с н е к о т о р ы м и с л у ж б а м и каталогов не на платформе Microsoft. На

ф у н к ц и о н а л ь н о м у р о в н е W i n d o w s Server 2003 атрибут userPassword мож-

но з а д е й с т в о в а т ь в к а ч е с т в е д е й с т в у ю щ е г о п а р о л я д л я обоих объектов

inetOrgPerson и user.

• П е р е н а п р а в л е н и е к о н т е й н е р о в п о л ь з о в а т е л е й и компьютеров по умол-

ч а н и ю В г л а в е 5 мы г о в о р и л и , ч т о д л я перенаправления контейнеров

п о л ь з о в а т е л е й и к о м п ь ю т е р о в по у м о л ч а н и ю можно выполнять команды

Redirusr.exe и Redircmp.exe. П р и и с п о л ь з о в а н и и перенаправления новые

у ч е т н ы е з а п и с и с о з д а ю т с я в к о н к р е т н ы х подразделениях, а не в контейне-

рах Users и C o m p u t e r s .

• П о л и т и к и д и с п е т ч е р а а в т о р и з а ц и и Диспетчер авторизации Authoriza-

tion Manager, и с п о л ь з у е м ы й д л я авторизации в приложениях, хранит свои

п о л и т и к и а в т о р и з а ц и и в AD D S .

• О г р а н и ч е н н о е д е л е г и р о в а н и е П р и л о ж е н и я могут использовать преиму-

щества б е з о п а с н о г о д е л е г и р о в а н и я учетных данных пользователей с по-

м о щ ь ю п р о т о к о л а п р о в е р к и п о д л и н н о с т и Kerberos. Делегирование можно

о т к о н ф и г у р и р о в а т ь л и ш ь д л я к о н к р е т н ы х конечных серверов.

• В ы б о р о ч н а я п р о в е р к а п о д л и н н о с т и На занятии 2 мы обсудим создание

д о в е р и т е л ь н ы х с в я з е й м е ж д у д о м е н о м и еще одним доменом или лесом.

В ы б о р о ч н а я п р о в е р к а п о д л и н н о с т и п о з в о л я е т указать пользователей и

г р у п п ы из д о в е р е н н о г о д о м е н а и л и леса, к о т о р ым разрешено проходить

проверку п о д л и н н о с т и на серверах в вашем лесу.

Р е ж и м W i n d o w s S e r v e r 2 0 0 8

Если на всех к о н т р о л л е р а х д о м е н а и с п о л ь з у е т с я Windows Server 2008 и вы не

собираетесь д о б а в л я т ь к о н т р о л л е р ы с п р е д ы д у щ и м и версиями Windows, то

можете п о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень домена до Windows Server 2008.

Режим работы домена W i n d o w s Server 2008 поддерживает контроллеры домена

лишь с о п е р а ц и о н н о й с и с т е м о й W i n d o w s Server 2008.

Д а л е е о п и с а н ы к о м п о н е н т ы у р о в н я домена, добавляемые в AD DS при

повышении р е ж и м а работы д о м е н а до Windows Server 2008.

I 564 Домены и леса Глава 12

Г

I • Репликация D F S – R папки S Y S V O L В главе 10 мы о б с у ж д а л и , к а к от-

I конфигурировать папку SYSVOL, чтобы и с п о л ь з о в а т ь р е п л и к а ц и ю рас-

I пределенной файловой системы D F S – R ( D i s t r i b u t e d File S y s t e m Replica-

tion) вместо службы р е п л и к а ц и и ф а й л о в F R S ( F i l e R e p l i c a t i o n Service).

Механизм DFS-R обеспечивает более стабильную и д е т а л ь н у ю р е п л и к а ц и ю

содержимого SYSVOL.

• Дополнительные с л у ж б ы ш и ф р о в а н и я Б е з о п а с н о с т ь п р о в е р к и п о д л и н -

ности можно улучшить с помощью п о д д е р ж к и д о п о л н и т е л ь н ы х с л у ж б ш и ф -

рования (Advanced Encryption Services) A E S – 1 2 8 и A E S – 2 5 6 д л я п р о т о к о л а

Kerberos. Шифрование AES заменяет а л г о р и т м ш и ф р о в а н и я R C 4 – H M A C

(Hash Message Authentication Code).

• Данные последнего и н т е р а к т и в н о г о в х о д а Когда п о л ь з о в а т е л ь в х о д и т

в домен, обновляются несколько атрибутов объекта п о л ь з о в а т е л я , рабочей

станции, на которую входит п о л ь з о в а т е л ь , и ч и с л о н е у д а ч н ы х п о п ы т о к

входа с момента последнего входа в домен.

• Гранулированные политики п а р о л е й В главе 8 мы о п и с а л и г р а н у л и р о в а н -

ные политики паролей, которые позволяют указать у н и к а л ь н ы е т р е б о в а н и я |

паролей для пользователей или групп в домене.

Повышение функционального уровня д о м е н а

Когда все контроллеры домена будут и с п о л ь з о в а т ь п о д д е р ж и в а е м у ю в е р с и ю

Windows и в домен не будут добавляться к о н т р о л л е р ы с н е п о д д е р ж и в а е м ы м и

версиями Windows, можно повысить ф у н к ц и о н а л ь н ы й у р о в е н ь д о м е н а . От-

кройте оснастку Active Directory – домены и доверие (Active Directory Domains

And Trusts), щелкните домен п р а в о й к н о п к о й м ы ш и и в ы п о л н и т е к о м а н д у

Сменить режим работы домена (Raise D o m a i n F u n c t i o n a l Level). О т к р о е т с я

диалоговое окно (рис. 12-1), где м о ж н о выбрать более в ы с о к и й ф у н к ц и о н а л ь -

ный уровень.

Имя домека

taiaprtoy» сот

ТекуииЛ режим работы домена

Window» Stirrer 2003

Выберите режим работы домене

| Window* Server 2008

i Режим работы домена не может быть преобразован в иолдньй режим после

его изменения Для получения дополчительнък сведений о режимах работы

ломана нажмите кнопку "Справка".

j Изменить J Отмена j Справка 1

Рис. 12-1. Повышение функционального уровня домена

•Занятие 1

Функциональные уровни домена и леса

5 6 5

ВНИМАНИЕ! Необратимая операция

Повышение функционального уровня домена – необратимая операция. После повы-

шения режима работы домена нельзя выполнить откат и вернуться к предыдущему

режиму работы.

Ф у н к ц и о н а л ь н ы й у р о в е н ь д о м е н а т а к ж е м о ж н о повысить с помощью ос-

настки Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users

And C o m p u t e r s ) . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и домен и выполните команду

И з м е н е н и е р е ж и м а р а б о т ы д о м е н а (Raise D o m a i n Functional Level) или щелк-

ните п р а в о й к н о п к о й м ы ш и к о р н е в о й у з е л и в ы п о л н и т е команду Изменение

р е ж и м а р а б о т ы д о м е н а ( R a i s e D o m a i n F u n c t i o n a l Level) из меню Все задачи

(All Tasks).

Функциональные уровни леса

Точно т а к и м же о б р а з о м , к а к ф у н к ц и о н а л ь н ы е уровни домена включают опре-

д е л е н н у ю ф у н к ц и о н а л ь н о с т ь на у р о в н е д о м е н а и версии Windows, поддержи-

ваемые д л я к о н т р о л л е р о в в д о м е н е , ф у н к ц и о н а л ь н ы е уровни леса включают

функциональность на у р о в н е леса и определяют операционные системы, поддер-

ж и в а е м ы е на к о н т р о л л е р а х д о м е н а в лесу. В Active Directory версии Windows

Server 2008 п о д д е р ж и в а ю т с я т р и ф у н к ц и о н а л ь н ы х уровня леса.

• W i n d o w s 2000;

• W i n d o w s Server 2003;

• W i n d o w s S e r v e r 2008.

В с л е д у ю щ и х п о д р а з д е л а х о п и с а н к а ж д ы й функциональный уровень.

Р е ж и м р а б о т ы W i n d o w s 2 0 0 0

Ф у н к ц и о н а л ь н ы й у р о в е н ь л е с а W i n d o w s 2000 является основным функцио-

нальным у р о в н е м по у м о л ч а н и ю . В р е ж и м е работы леса Windows 2000 домены

могут работать в л ю б о м п о д д е р ж и в а е м о м режиме:

• W i n d o w s 2000 ( о с н о в н о й ) ;

• W i n d o w s Server 2003;

• W i n d o w s Server 2008.

Ф у н к ц и о н а л ь н ы й у р о в е н ь леса м о ж н о повысить после повышения режима

работы всех д о м е н о в до с о о т в е т с т в у ю щ е г о функционального уровня домена.

Р е ж и м работы W i n d o w s S e r v e r 2 0 0 3

После п о в ы ш е н и я р е ж и м а р а б о т ы всех доменов до функционального уровня

Windows Server 2 0 0 3 м о ж н о п о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень леса до Win-

dows Server 2003. На э т о м ф у н к ц и о н а л ь н о м уровне домены могут работать

в следующих р е ж и м а х :

• Windows Server 2003;

• Windows Server 2008.

I 566 Домены и леса

Глава 12

На функциональном уровне леса Windows Server 2003 добавляется следу-

ющая функциональность.

• Доверие между лесами На занятии 2 мы обсудим создание доверитель-

ных связей между лесами.

• Переименование домеиов В лесу можно переименовать домен.

• Репликация связанных значений На функциональном уровне леса Win-

dows 2000 при внесении изменения в членство группы выполняется полная

репликация многозначного атрибута member группы. В результате повыша-

ется объем сетевого трафика репликации с возможной потерей обновлений

при одновременном изменении членства группы на различных контроллерах

доменов. Кроме того, число членов в любой группе ограничивается реко-

мендуемым максимумом в 5000 членов. В репликации связанных значений

на функциональном уровне леса Windows Server 2003 реплицируется лишь

отдельное изменение членства группы, а не весь атрибут member. Таким

образом, объем трафика репликации повышается лишь незначительно без

потерь обновлений членства группы, которые одновременно вносятся на

различных контролерах домена.

• Поддержка контроллеров домеиа только д л я чтения В главе 8 описаны

контроллеры домена только для чтения ( R O D C ) , которые поддерживают-

ся на функциональном уровне леса Windows Server 2003. На контроллере

RODC должна быть установлена система Windows Server 2008.

Контрольный вопрос

• Необходимо добавить контроллер RODC в домен с контроллерами Windows

Server 2003. Домен работает в режиме Windows Server 2003 и уже содержит

контроллер Windows Server 2008. Лес работает на функциональном уровне

Windows Server 2000. Какие две операции необходимо выполнить, прежде

чем добавить контроллер RODC?