355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 55)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 55 (всего у книги 91 страниц)

Ответ на контрольный вопрос

• Нужно повысить функциональный уровень леса до Windows Server 2003

и запустить команду Adprep /rodcprep.

• Улучшенные алгоритмы и расширяемость процесса проверки целостнос-

ти КСС (Knowledge Consistency Checker) Генератор топологии между

сайтами ISTG (Intersite Topology Generator) использует улучшенные алго-

ритмы, позволяющие службам AD DS поддерживать репликацию в лесах

более чем со 100 сайтами. На функциональном уровне леса Windows 2000

необходимо вручную создавать топологию репликации для лесов с сотнями

сайтов. Кроме того, генератор ISTG применяет более эффективный алго-

ритм, чем на функциональном уровне леса Windows Server 2000.

• Преобразование объектов inetOrgPerson в о б ъ е к т ы user Экземпляр

объекта inetOrgPerson, используемый для совместимости с определенны-

ми службами каталогов не на платформе Microsoft, можно преобразовать

Занятие 2

Управление множеством доменов и доверительным

5 6 7

и связями

в э к з е м п л я р к л а с с а user. О б ъ е к т user т а к ж е м о ж н о преобразовать в объект

inetOrgPerson.

• П о д д е р ж к а в с п о м о г а т е л ь н о г о к л а с с а dynamicObject Схема позволяет

р а з д е л а м к а т а л о г о в д о м е н а и с п о л ь з о в а т ь э к з е м п л я р ы динамического вспо-

м о г а т е л ь н о г о класса. Э т о т к л а с с объектов может применяться определен-

н ы м и п р и л о ж е н и я м и и р а з р а б о т ч и к а м и .

• П о д д е р ж к а о с н о в н ы х г р у п п п р и л о ж е н и й и групп з а п р о с о в L D A P Для

п о д д е р ж к и а в т о р и з а ц и и на основе р о л е й в приложениях, использующих

д и с п е т ч е р а в т о р и з а ц и и ( A u t h o r i z a t i o n M a n a g e r ) , можно применять два

н о в ы х т и п а групп: основные группы приложений и группы запросов LDAP.

и Д е а к т и в а ц и я и п е р е о п р е д е л е н и е а т р и б у т о в и классов объектов Несмот-

ря на то что в схеме н е л ь з я у д а л и т ь атрибут и л и класс объектов, в режиме

р а б о т ы леса W i n d o w s Server 2 0 0 3 м о ж н о деактивировать или переопреде-

л и т ь а т р и б у т ы и к л а с с ы о б ъ е к т о в .

Р е ж и м р а б о т ы W i n d o w s S e r v e r 2 0 0 8

На ф у н к ц и о н а л ь н о м у р о в н е леса W i n d o w s Server 2008 не добавляются новые

в о з м о ж н о с т и у р о в н я леса. О д н а к о п о с л е повышения режима работы леса до

W i n d o w s S e r v e r 2 0 0 8 н о в ы е д о б а в л я е м ы е в лес домены по умолчанию будут

о п е р и р о в а т ь на у р о в н е W i n d o w s Server 2008. В этом режиме работы леса все

д о м е н ы д о л ж н ы р а б о т а т ь на ф у н к ц и о н а л ь н о м уровне домена Windows Ser-

ver 2008, то есть на всех к о н т р о л л е р а х доменов должна быть установлена сис-

тема W i n d o w s Server 2008.

П о в ы ш е н и е ф у н к ц и о н а л ь н о г о у р о в н я л е с а

Д л я п о в ы ш е н и я р е ж и м а р а б о т ы леса используется оснастка Active Directory —

д о м е н ы и д о в е р и е ( A c t i v e D i r e c t o r y Domains And Trusts). Щелкните правой

кнопкой м ы ш и к о р н е в о й узел о с н а с т к и и выполните команду Изменение режи-

ма р або ты леса ( R a i s e F o r e s t F u n c t i o n a l Level). В диалоговом окне (рис. 12-2)

можно л и ш ь п о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень леса.

I . U H I ' I " ) I I I | I J H | ' | I I . ' | | . I l . . .  m I ^ И И И М И Я Й Й i ii Mi iiii'iiiN"~""i

Имя леса:

laihpirtoye.com

Текущий режим работы леса:

Window* 2000

Выбейте режим работы леса

| Windows Server 2008

Х„ Режим работы леса не может быть преобразован о исюямьй р е ж w после его

изменения. Для получения лтогиительмьк сведений о режимах работы леса

нажмите кнопку "Справка".

j Изменить j Отмена J Справка J

Рис. 12-2. Повышение функционального уровня леса

I 5 6 8 Домены и леса

Глава 12

Функциональный уровень леса следует повышать т о л ь к о в том случае, если

в лес не будут добавляться новые домены с более н и з к и м и ф у н к ц и о н а л ь н ы м и

уровнями. После повышения функционального у р о в н я н е л ь з я в ы п о л н и т ь откат

и вернуться к предыдущему режиму р а б о т ы леса.

СОВЕТ К ЭКЗАМЕНУ

Запомните функциональность, добавляемую на каждом функциональном уровне

домена и леса. Особое внимание уделите возможностям, затрагивающим админис-

траторов.

Практические занятия. Повышение функциональных уровней

домена и леса

В приведенных далее упражнениях предлагается п о в ы с и т ь ф у н к ц и о н а л ь н ы е

уровни домена и леса. Д л я того чтобы в ы п о л н и т ь у п р а ж н е н и я , необходимо под-

готовить хотя бы один контроллер в н о в о м д о м е н е нового леса с п о л н о й уста-

новкой Windows Server 2008. Потребуется н о в ы й сервер с именем S E R V E R T S T ,

полной установкой Windows Server 2008 и с л е д у ю щ е й к о н ф и г у р а ц и е й :

• имя компьютера: SERVERTST;

• 1Ру4-адрес: 10.0.0.111;

• маска подсети: 255.255.255.0;

• основной шлюз: 10.0.0.1;

• DNS-сервер: 10.0.0.111.

Выполните команду Dcpromo.exe и создайте н о в ы й лес с н о в ы м д о м е н о м

tailspintoys.com. Назначьте р е ж и м работы леса W i n d o w s 2000 и ф у н к ц и о н а л ь -

ный уровень домена Windows 2000 ( о с н о в н о й ) . Установите D N S на сервере.

Появится предупреждение о том, что серверу н а з н а ч е н д и н а м и ч е с к и й IP-ад-

рес. Щелкните Да (Yes). В открывшемся окне с с о о б щ е н и е м о н е в о з м о ж н о с т и

создания делегирования DNS также щ е л к н и т е к н о п к у Да (Yes). И н с т р у к ц и и

по установке Windows Server 2008 и с о з д а н и ю к о н т р о л л е р а в н о в о м домене

нового леса приведены на занятии 1 в первой главе.

В домене tailspintoys.com создайте два п о д р а з д е л е н и я первого у р о в н я Кли-

• енты и Кадры.

Упражнение 1. Попытка использовать о т к л ю ч е н н ы е ф у н к ц и и

В этом упражнении необходимо использовать в о з м о ж н о с т и , п о д д е р ж и в а е м ы е

на более высоких уровнях домена.

1. Войдите на машину S E R V E R T S T как А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .

2. Откройте окно командной строки.

3. Введите команду redircmp.exe "ou=KJiueumbi,dc=tailspintoys,dc=com "и нажми-

те клавишу Enter.

Появится сообщение о неудачном перенаправлении. Причина состоит в том,

что домен пока еще не работает на ф у н к ц и о н а л ь н о м уровне W i n d o w s Ser-

ver 2003.

Занятие 2

Управление множеством доменов и доверительными связями

5 6 9

4. Введите к о м а н д у redirusr.exe "ou=Kadpbi,dc=tailspintoys,dc=com " и нажмите

к л а в и ш у E n t e r .

П о я в и т с я с о о б щ е н и е о неудачном перенаправлении. Причина состоит в том,

ч т о д о м е н п о к а еще не р а б о т а е т на ф у н к ц и о н а л ь н о м уровне Windows Ser-

ver 2003.

5. О т к р о й т е о с н а с т к у Active D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active

D i r e c t o r y U s e r s And C o m p u t e r s ) .

6. Щ е л к н и т е м е н ю В и д ( V i e w ) и у с т а н о в и т е ф л а ж о к Дополнительные ком-

п о н е н т ы ( A d v a n c e d F e a t u r e s ) .

7. В к о н т е й н е р е U s e r s д в а ж д ы щ е л к н и т е у ч е т н у ю з а п и с ь Администратор

( A d m i n i s t r a t o r ) .

8. П е р е й д и т е на в к л а д к у Р е д а к т о р атрибутов ( A t t r i b u t e Editor).

9. Л о к а л и з у й т е а т р и б у т lastLogonTimestamp. О б р а т и т е внимание на то, что

з н а ч е н и е д л я него н е задано.

У п р а ж н е н и е 2 . П о в ы ш е н и е ф у н к ц и о н а л ь н о г о уровня домена

В э т о м у п р а ж н е н и и т р е б у е т с я п о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень домена

tailspintoys.com.

1. О т к р о й т е о с н а с т к у Active D i r e c t o r y – домены и доверие (Active Directory

D o m a i n s A n d T r u s t s ) .

2. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и д о м е н tailspintoys.com и выполните ко-

м а н д у И з м е н е н и е р е ж и м а р а б о т ы домена (Raise Domain Functional Level).

3. В р а с к р ы в а ю щ е м с я с п и с к е В ы б е р и т е режим работы домена (Select An Avai-

lable D o m a i n F u n c t i o n a l Level) в ы б е р и т е уровень Windows Server 2003.

4. Щ е л к н и т е к н о п к у И з м е н и т ь (Raise), а затем OK, чтобы подтвердить из-

м е н е н и е . П о я в и т с я с о о б щ е н и е об успешном повышении функционального

у р о в н я д о м е н а .

5. Щ е л к н и т е О К .

I У п р а ж н е н и е 3. Т е с т и р о в а н и е ф у н к ц и о н а л ь н о г о уровня домена

W i n d o w s S e r v e r 2 0 0 8

Теперь н у ж н о п р о в е р и т ь д о с т у п н о с т ь ранее отключенной функциональности.

1. В ы й д и т е и вновь в о й д и т е в систему как администратор домена.

2. О т к р о й т е о к н о к о м а н д н о й строки.

3. Введите команду redircmp.exe "ou=KJiueitmhi,dc=tailspintoys,dc=com"и нажми-

т е к л а в и ш у E n t e r .

П о я в и т с я с о о б щ е н и е об у с п е ш н о м перенаправлении.

4. Введите к о м а н д у redirusr.exe «ou=Kadpbi,dc=tailspintoys,dc=com»it нажмите

к л а в и ш у Enter.

П о я в и т с я с о о б щ е н и е об у с п е ш н о м перенаправлении.

5. О т к р о й т е оснастку Active Directory – пользователи и компьютеры (Active

Directory Users And C o m p u t e r s ) .

I 5 7 0 Домены и леса

Глава 12

6. Щелкните меню Вид (View) и установите ф л а ж о к Д о п о л н и т е л ь н ы е ком-

поненты (Advanced Features).

7. В контейнере Users дважды щ е л к н и т е у ч е т н у ю запись А д м и н и с т р а т о р (Ad-

ministrator).

8. Перейдите на вкладку Редактор атрибутов ( A t t r i b u t e E d i t o r ) .

9. Локализуйте атрибут lastLogonTimestamp. О б р а т и т е в н и м а н и е на то, ч т о

теперь значение для него задано.

10. В окне командной строки введите к о м а н д у dfsrmig /setglobalstate 0 и на-

жмите клавишу Enter.

Появится сообщение о том, что эта ф у н к ц и я д о с т у п н а т о л ь к о на ф у н к ц и -

ональном уровне домена W i n d o w s Server 2008. В г л а в е 10 мы п о в ы ш а л и

функциональный уровень домена до W i n d o w s Server 2 0 0 8 д л я м и г р а ц и и

репликации SYSVOL на механизм р е п л и к а ц и и D F S – R .

Резюме

• Функциональные уровни домена и леса о п р е д е л я ю т п о д д е р ж и в а е м ы е воз-

можности Active Directory и версии W i n d o w s на к о н т р о л л е р а х д о м е н о в .

• Функциональные уровни домена W i n d o w s S e r v e r 2 0 0 3 и W i n d o w s Ser-

ver 2008 включают новую ф у н к ц и о н а л ь н о с т ь .

• Функциональный уровень леса Windows Server 2 0 0 3 в к л ю ч а е т р е п л и к а ц и ю

связанных значений, поддерживает к о н т р о л л е р ы R O D C , а т а к ж е обес-

печивает другие возможности. Ф у н к ц и о н а л ь н ы й у р о в е н ь леса W i n d o w s

Server 2008 не добавляет новые в о з м о ж н о с т и .

Закрепление материала

Приведенные далее вопросы предназначены д л я п р о в е р к и знаний, полученных

на занятии 1 (эти вопросы содержатся т а к ж е на с о п р о в о д и т е л ь н о м к о м п а к т -

диске).

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Какой инструмент можно использовать д л я п о в ы ш е н и я ф у н к ц и о н а л ь н о г о

уровня домена в лесу contoso.com? ( У к а ж и т е все в а р и а н т ы . )

A. Оснастка Active Directory – пользователи и к о м п ь ю т е р ы (Active Direc-

tory Users And Computers).

Б. Оснастка Схема Active Directory (Active Directory Schema).

B. Оснастка Active Directory – сайты и с л у ж б ы (Active D i r e c t o r y Sites

And Services).

Г. Оснастка Active Directory – домены и доверие (Active Directory Do-

mains And Trusts).

2. Администратору домена contoso.com н у ж н о добавить к о н т р о л л е р R O D C

в домен с одним контроллером Windows Server 2003 и одним контролле-

Занятие 2

Управление множеством доменов и доверительными связями

5 7 1

ром W i n d o w s S e r v e r 2008. Ч т о н у ж н о сделать, прежде чем добавить новый

сервер в к а ч е с т в е к о н т р о л л е р а R O D C ? (Укажите все варианты. Каждый

п р а в и л ь н ы й ответ я в л я е т с я ч а с т ь ю полного р еш ен и я . )

A. О б н о в и т ь к о н т р о л л е р д о м е н а W i n d o w s Server 2003 до Windows Ser-

ver 2008.

Б. П о в ы с и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь домена до Windows Server 2003.

B. П о в ы с и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь домена до Windows Server 2008.

Г. П о в ы с и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь леса до Windows Server 2003.

Д. В ы п о л н и т ь к о м а н д у Adprep/ rodcprep.

Е. В ы п о л н и т ь к о м а н д у Adprep /forestprep.

3. З а в е р ш е н о о б н о в л е н и е всех к о н т р о л л е р о в домена contoso.com до Windows

Server 2008. К о н т р о л л е р ы д о м е н а subsidiary.contoso.com будут обновлены

в т е ч е н и е т р е х м е с я ц е в . Н е о б х о д и м о отконфигурировать гранулированные

п о л и т и к и п а р о л е й д л я н е с к о л ь к и х групп пользователей в домене contoso.

com. Ч т о с д е л а т ь в п е р в у ю о ч е р е д ь ?

A. У с т а н о в и т ь к о н т р о л л е р д о м е н а только для чтения.

Б. В ы п о л н и т ь к о м а н д у Dfsrmig.exe.

B. П о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень леса.

Г. Установить к о н с о л ь у п р а в л е н и я групповой политикой G P M C (Group

Policy M a n a g e m e n t C o n s o l e ) .

Занятие 2. Управление множеством доменов

и доверительными связями

В предыдущих главах данного руководства были описаны принципы настройки,

а д м и н и с т р и р о в а н и я и у п р а в л е н и я отдельным доменом. Однако инфраструк-

тура Active D i r e c t o r y о б ы ч н о с о с т о и т из леса и л и даже нескольких лесов с

м н о ж е с т в о м д о м е н о в , т а к ч т о м о ж е т понадобиться перемещать объекты между

доменами и л и п о л н о с т ь ю реструктурировать модель доменов. На этом занятии

речь пойдет о п о д д е р ж к е м н о ж е с т в а доменов и лесов.

Изучив материал этого занятия, вы сможете:

^ Спроектировать эффективную структуру доменов и деревьев для служб

AD DS.

S Описать роль инструмента миграции Active Directory Migration Tool и задачи,

связанные с миграцией объектов и реструктуризацией доменов.

S Понимать роль доверительных связей.

S Конфигурировать, администрировать и защищать доверительные связи.

Продолжительность занятия – около 60 мин.

Определение структуры лесов и доменов

Итак, если вы у с в о и л и и н ф о р м а ц и ю предыдущих 11 глав, то готовы к проек-

тированию лесов, деревьев и доменов Active Directory.

I 5 7 2 Домены и леса

Глава 12

Выделенный корневой контроллер д о м е н а

На начальном этапе использования Active Directory рекомендовалось создавать

выделенный корневой домен леса. В главах 1 – 1 0 говорилось, что к о р н е в о й до-

мен леса является первым доменом в лесу. Н а з н а ч е н и е в ы д е л е н н о г о корневого

домена состоит в администрировании и н ф р а с т р у к т у р ы леса. По у м о л ч а н и ю

он содержит одного хозяина операций леса. К о р н е в о й д о м е н т а к ж е с о д е р ж и т

уязвимые группы, такие как Администраторы п р е д п р и я т и я ( E n t e r p r i s e Admins)

и Администраторы схемы (Schema Admins), к о т о р ы е могут о к а з ы в а т ь в л и я н и е

на весь лес. Теория заключалась в том, что в ы д е л е н н ы й к о р н е в о й д о м е н леса

повышает безопасность этих ф у н к ц и й у р о в н я леса. В ы д е л е н н ы й к о н т р о л л е р

домена также не устареет и обеспечит более п р о с т у ю п е р е д а ч у в л а д е н и я . В со-

ответствии с этими старыми рекомендациями один г л о б а л ь н ы й д о ч е р н и й домен

содержит все объекты: пользователи, группы, к о м п ь ю т е р ы и т. д. П р и м е р такой

структуры показан на рис. 12-3.

Рис. 12-3. Пример корневого домена леса

Лес из одного домена

ПРИМЕЧАНИЕ Новые рекомендации относительно леса из одного домена

На многих предприятиях больше не создается выделенный корневой домен, по-

скольку рекомендуется проектировать лес из одного домена. Универсального ди-

зайна для каждой организации не существует, поэтому следует, проанализировать

характеристики предприятия в соответствии с критерием дизайна, описанным далее

на этом занятии.

Занятие 2

Управление множеством доменов и доверительными связями

5 7 3

После д е в я т и л е т с т а н о в л е н и я Active Directory на рынке устаревшие реко-

мендации не п р и м е н я ю т с я . Теперь д л я б о л ь ш и н с т в а предприятий рекоменду-

ется создавать л е с из одного домена. Д а л е е описаны причины таких изменений

в руководствах и и н с т р у к ц и я х .

• С л ю б ы м л е с о м из м н о ж е с т в а доменов связаны риски и затраты, которые

о п и с а н ы далее. Д л я одного домена требуется меньше оборудования, а кроме

того, с н и ж а е т с я с т о и м о с т ь и степень определенных рисков.

• Пока еще нет и н с т р у м е н т о в , к о т о р ы е п о з в о л я л и бы предприятию «подре-

зать и п р и в и в а т ь » д е р е в ь я Active Directory. И н ы м и словами, вы не можете

отрезать д о м е н от д е р е в а и т р а н с п л а н т и р о в а т ь его в лес еще одного пред-

п р и я т и я . Е с л и бы это б ы л о возможно, в выделенном корневом домене леса,

к о т о р ы й и с п о л ь з у е т с я д л я п е р е н о с а доменов внутри леса и между лесами,

н е б ы л о б ы с м ы с л а .

• В н у т р и о д н о г о д о м е н а м о ж н о р е а л и з о в а т ь безопасность с наименьшим

у р о в н е м п р и в и л е г и й , к о т о р а я обеспечивает не меньший (а то и больший)

уровень з а щ и т ы , к а к и л е с с в ы д е л е н н ы м корнем и дочерним доменом.

П о э т о м у п р о е к т и р о в а н и е д о м е н о в следует начать с леса из одного домена.

Леса с множеством доменов

В некоторых с ц е н а р и я х н е о б х о д и м лес из множества доменов. Его не рекомен-

дуется создавать л и ш ь д л я о т р а ж е н и я организационной структуры бизнеса. Эта

структура ( о т д е л е н и я , д е п а р т а м е н т ы и о ф и с ы ) со временем будет изменяться.

Л о г и ч е с к а я с т р у к т у р а с л у ж б ы каталогов не должна основываться исключи-

тельно на о р г а н и з а ц и о н н ы х характеристиках.

Д о м е н н у ю м о д е л ь н у ж н о в ы в е с т и на основе характеристик самих доменов.

О п р е д е л е н н ы е с в о й с т в а д о м е н а в л и я ю т на все объекты в домене, и если их

п о с т о я н н ы й э ф ф е к т не с о о т в е т с т в у е т требованиям бизнеса, нужно создавать

д о п о л н и т е л ь н ы е д о м е н ы . Д а л е е о п и с а н ы характеристики домена.

• О т д е л ь н ы й р а з д е л д о м е н а , р е п л и ц и р у е м ы й на все контроллеры домена

Контекст и м е н о в а н и я доменов, с о д е р ж а щ и й объекты пользователей, ком-

пьютеров, групп, п о л и т и к и других доменных ресурсов, реплицируется на

к а ж д ы й к о н т р о л л е р в домене. Д л я разбиения репликации из соображений

сетевой т о п о л о г и и н е о б х о д и м о создавать отдельные домены. Репликация

Active D i r e c t o r y я в л я е т с я н е в е р о я т н о эффективной и может поддерживать

большие д о м е н ы через п о д к л ю ч е н и я с минимальной пропускной способ-

ностью.

Если о п р е д е л е н н ы е т р е б о в а н и я бизнеса ограничивают репликацию опре-

деленных д а н н ы х в р а з м е щ е н и я с контроллерами доменов, следует либо

перестать х р а н и т ь э т и д а н н ы е в разделе домена, либо создать отдельные

домены с ц е л ь ю с егрег ац и и р е п л и к а ц и и . В таких случаях следует также

убедиться, ч т о эти д а н н ы е не реплицируются глобальным каталогом GC

(Global Catalog).

• О т д е л ь н а я п о л и т и к а K e r b e r o s Параметры политики Kerberos по умолча-

нию в AD DS подходят д л я большинства предприятий. Д л я определения

отдельных п о л и т и к Kerberos требуются отдельные домены.

I 574 Домены и леса

Глава 12

• Отдельное именное пространство D N S Д о м е н Active D i r e c t o r y использу-

ет отдельное доменное имя DNS. Е с л и и с п о л ь з у е т с я м н о ж е с т в о д о м е н н ы х

имен, то необходимо множество доменов. О д н а к о п р е ж д е чем в ы п о л н и т ь

моделирование доменов службы каталогов на о с н о в е т р е б о в а н и й к D N S -

именам, следует учесть затраты и риски, с в я з а н н ы е с п о д д е р ж к о й м н о ж е с -

тва доменов.

Домены, работающие н а ф у н к ц и о н а л ь н ы х у р о в н я х н и ж е W i n d o w s Ser-

ver 2008, поддерживают только одну п о л и т и к у п а р о л е й и б л о к и р о в к и у ч е т н ы х

записей. Поэтому в предыдущих в е р с и я х W i n d o w s д л я п о д д е р ж к и м н о ж е с т в а

политик паролей приходилось создавать м н о ж е с т в о д о м е н о в . Эта п р о б л е м а

решена в Windows Server 2008, поскольку на ф у н к ц и о н а л ь н о м у р о в н е W i n d o w s

Server 2008 можно создавать г р а н у л и р о в а н н ы е п о л и т и к и п а р о л е й .

При добавлении доменов в лес п о в ы ш а е т с я а д м и н и с т р а т и в н а я н а г р у з к а

и затраты на оборудование. К а ж д ы й д о м е н д о л ж е н п о д д е р ж и в а т ь с я х о т я бы

двумя контроллерами, которые нужно резервировать, з а щ и щ а т ь и к о н т р о л и р о -

вать. Для поддержки доступа к ресурсам д о м е н о в на г е о г р а ф и ч е с к и распреде-

ленном предприятии может потребоваться еще б о л ь ш е к о н т р о л л е р о в доменов.

Дополнительные домены придется создавать д л я п е р е м е щ е н и я п о л ь з о в а т е л е й

между доменами, а этот процесс намного с л о ж н е й , чем п е р е м е щ е н и е п о л ь з о -

вателей между подразделениями. О б щ и е о б ъ е к т ы г р у п п о в о й п о л и т и к и и пара-

метры управления доступом потребуется д у б л и р о в а т ь в к а ж д о м домене.

Мы перечислили лишь некоторые з а т р а т ы и с л о ж н о с т и , с в я з а н н ы е со сре-

дой из множества доменов. П о д д е р ж к а м н о ж е с т в а д о м е н о в т а к ж е в л е ч е т за

собой дополнительные риски, б о л ь ш и н с т в о из к о т о р ы х с в я з а н о с тем, что

домен не определяет периметр б е з о п а с н о с т и – его о п р е д е л я е т лес. В н у т р и

леса администраторы могут п р и ч и н и т ь у щ е р б на у р о в н е л е с а . С у щ е с т в у е т

несколько категорий уязвимости, и с п о л ь з у я к о т о р ы е , в з л о м а н н а я а д м и н и с -

тративная учетная запись или а д м и н и с т р а т о р с в р е д о н о с н ы м и н а м е р е н и я м и

может инициировать отказ в о б с л у ж и в а н и и и л и н а р у ш и т ь ц е л о с т н о с т ь леса.

Например, администратор в л ю б о м домене м о ж е т с о з д а в а т ь у н и в е р с а л ь -

ные группы, членство в которых р е п л и ц и р у е т с я г л о б а л ь н ы м к а т а л о г о м . П р и

создании множества универсальных групп и п о с т о я н н о м з а п о л н е н и и атрибута

member чрезмерный объем р е п л и к а ц и и может п р и в е с т и к о т к а з у в о б с л у ж и -

вании на контроллерах в других доменах. А д м и н и с т р а т о р в л ю б о м д о м е н е

также может восстановить устаревший архив каталога, в результате чего могут

возникнуть повреждения леса.

К СВЕДЕНИЮ Соображения безопасности при проектировании домена и леса

Более подробная информация о безопасности при проектировании доменов и лесов

содержится в статье «Best Practices For Delegating Active Directory Administration»

по адресу http://technet2.microsoft.com/windowsserver/en/library/e5274d27-88e5-4043-

8f12-a8fa71cbcd521033-mspx.

С учетом затрат и рисков, связанных с п о д д е р ж к о й м н о ж е с т в а доменов,

рекомендуется конструировать лес из одного домена. Л е с а из множества до-

Занятие 2

Управление множеством доменов и доверительными связями

5 7 5

менов чаще всего с о з д а ю т с я в с в я з и с т р е б о в а н и я м и к репликации контекста

и м е н о в а н и я д о м е н о в .

В л е с у из м н о ж е с т в а д о м е н о в имеет с м ы с л создать выделенный корневой

домен леса к ак п у с т о й д о м е н , ч т о б ы он обеспечивал корень доверия для леса.

Корни д о в е р и я о п и с а н ы д а л е е н а э т о м з а н я т и и .

М н о ж е с т в о д е р е в ь е в

Д е р е в о о п р е д е л я е т с я к а к н е п р е р ы в н о е и м е н н о е пространство DNS. В слу-

чае с м н о ж е с т в о м д о м е н о в м о ж н о о п р е д е л и т ь д л я этих доменов непрерывное

именное п р о с т р а н с т в о D N S и с ф о р м и р о в а т ь отдельное дерево, как показано

на рис. 12-4 вверху, л и б о о п р е д е л и т ь несмежное пространство имен DNS, сфор-

мировав т а к и м о б р а з о м м н о ж е с т в о деревьев, как показано на рис. 12-4 внизу.

Лес с одним деревом

Лес с множеством деревьев

Рис. 12-4. Леса с одним и множеством деревьев

М н о ж е с т в о лесов

Л е с представляет собой э к з е м п л я р Active Directory. Все домены и контрол-

леры доменов в лесу совместно используют реплики схемы и конфигурации.

5 7 6 Домены и леса

Глава 12

Контроллеры доменов, которые я в л я ю т с я серверами г л о б а л ь н о г о каталога GC

(Global Catalog), управляют ч а с т и ч н ы м и н а б о р а м и а т р и б у т о в всех о б ъ е к т о в

в других доменах леса. Д о м е н ы в лесу с о в м е с т н о п р и м е н я ю т т р а н з и т и в н ы е

двусторонние доверительные связи. Это означает, что все п о л ь з о в а т е л и в до-

мене принадлежат особому о б ъ е к т у и д е н т и ф и к а ц и и П р о ш е д ш и е п р о в е р к у

(Authenticated Users) в каждом домене. Группы леса А д м и н и с т р а т о р ы пред-

приятия (Enterprise Admins), А д м и н и с т р а т о р ы с х е м ы ( S c h e m a A d m i n s ) и

Администраторы (Administrators) в к о р н е в о м д о м е н е л е с а у п р а в л я ю т всеми

объектами в лесу.

Если любая из этих характеристик леса не с о о т в е т с т в у е т т р е б о в а н и я м биз-

неса, может потребоваться создать м н о ж е с т в о лесов. П о с к о л ь к у б е з о п а с н о с т ь

является приоритетом, многие консультанты р е к о м е н д у ю т т а к и м о р г а н и з а ц и я м

проектировать лес из одного домена и л и и с п о л ь з о в а т ь м н о ж е с т в о лесов. Д о в е -

рительные связи между лесами, описанные далее в э т о й главе, и с л у ж б ы феде-

рации Active Directory (Active Directory F e d e r a t i o n Services, AD F S ) у п р о щ а ю т

управление проверкой подлинности на п р е д п р и я т и я х с м н о ж е с т в о м лесов.

К СВЕДЕНИЮ Планирование архитектуры

Более подробная информация о планировании архитектуры на предприятии AD

DS содержится по адресу http://technet2.microsoft.com/windowsserver2008/en/library/

b1baa483-b2a3-4e03-90a6-d42f64b42fc31033.mspx?mfr~true.

Перемещение объектов между доменами и лесами

В сценариях с множеством доменов д л я п о д д е р ж к и б и з н е с – о п е р а ц и й м о ж е т

потребоваться перемещать пользователей, г р у п п ы и к о м п ь ю т е р ы м е ж д у до-

менами или лесами, а в случае с л и я н и я и л и п р и о б р е т е н и я к о м п а н и й – пе-

ремещать большое количество пользователей, г р у п п и к о м п ь ю т е р о в с ц е л ы о

реструктуризации доменной модели.

В каждой из этих задач учетные з а п и с и к о п и р у ю т с я и л и п е р е м е щ а ю т с я из

одного домена ( начального) в другой {конечный). Т е р м и н о л о г и я , к о н ц е п ц и и и

процедуры реструктуризации доменов п р и м е н и м ы к миграции между лесами

(между Windows NT 4.0 или начальным д о м е н о м Active D i r e c t o r y и к о н е ч н ы м

доменом Active Directory в отдельном л е с у ) и миграции внутри леса (то есть

реструктуризация или перемещение учетных записей м е ж д у д о м е н а м и в одном

лесу).

В процессе реструктуризации между лесами с о х р а н я е т с я с у щ е с т в у ю щ и й

начальный домен, а учетные записи к л о н и р у ю т с я ( и л и к о п и р у ю т с я ) в конеч-

ный. Этот недеструктивный метод позволяет п р е д п р и я т и ю осуществлять посте-

пенную миграцию в несколько стадий. В ы п о л н е н и е о п е р а ц и й не прерывается,

поскольку оба домена обслуживаются в п а р а л л е л ь н о м р е ж и м е д л я поддержки

операций пользователей в любом домене. Этот метод т а к ж е предусматривает

некоторый уровень отката, поскольку и с х о д н а я среда остается практически

неизмененной. По завершении процесса м и г р а ц и и н а ч а л ь н ы й д о м е н можно

просто вывести из эксплуатации, переместив все остальные учетные записи,

рядовые серверы и рабочие станции в новый домен и отключив от сети контрол-

Занятие 2

Управление множеством доменов и доверительными связями

5 7 7

леры н а ч а л ь н о г о домена. З а т е м эти к о н т р о л л е р ы можно заново развернуть для

в ы п о л н е н и я р о л е й в н о в о м домене.

В п р о ц е с с е м и г р а ц и и в н у т р и леса о б ъ е к т ы перемещаются из начального

д о м е н а в к о н е ч н ы й б е з в ы в о д а н а ч а л ь н о г о д о м е н а из эксплуатации. После

м и г р а ц и и о б ъ е к т о в д о м е н ы м о ж н о реструктурировать с целыо объединения

о п е р а ц и й и п о с т р о и т ь с т р у к т у р у доменов и подразделений, более точно отра-

ж а ю щ у ю а д м и н и с т р а т и в н у ю модель. Такая консолидация может сэкономить

затраты и у п р о с т и т ь а д м и н и с т р и р о в а н и е , с н и з и в административные нагрузки

и з а т р а т ы на п о д д е р ж к у с р е д ы Active Directory.

Инструмент Active Directory Migration Tool

С р е д с т в о A c t i v e D i r e c t o r y M i g r a t i o n Tool в е р с и и 3 ( A D M T v3), выполняю-

щее м и г р а ц и ю о б ъ е к т о в и з а д а ч и п р е о б р а з о в а н и я структуры безопасности,

м о ж н о з а г р у з и т ь по а д р е с у http://go.microsoft.com/fwlink/?LinkID=75627. На

этой с т р а н и ц е т а к ж е н а х о д и т с я детальное руководство по использованию этой

у т и л и т ы .

С р е д с т в о A D M T п р и м е н я е т с я д л я миграции объектов между начальным

и к о н е ч н ы м д о м е н а м и . М и г р а ц и я т а к ж е может выполняться между доменами

в одном л е с у ( м и г р а ц и я в н у т р и л е с а ) и л и между доменами в различных лесах

( м и г р а ц и я м е ж д у л е с а м и ) . М а с т е р ы , встроенные в ADMT, автоматизируют

такие з а д а ч и , к а к м и г р а ц и я п о л ь з о в а т е л е й , групп, учетных записей служб,


    Ваша оценка произведения:

Популярные книги за неделю