Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 55 (всего у книги 91 страниц)
Ответ на контрольный вопрос
• Нужно повысить функциональный уровень леса до Windows Server 2003
и запустить команду Adprep /rodcprep.
• Улучшенные алгоритмы и расширяемость процесса проверки целостнос-
ти КСС (Knowledge Consistency Checker) Генератор топологии между
сайтами ISTG (Intersite Topology Generator) использует улучшенные алго-
ритмы, позволяющие службам AD DS поддерживать репликацию в лесах
более чем со 100 сайтами. На функциональном уровне леса Windows 2000
необходимо вручную создавать топологию репликации для лесов с сотнями
сайтов. Кроме того, генератор ISTG применяет более эффективный алго-
ритм, чем на функциональном уровне леса Windows Server 2000.
• Преобразование объектов inetOrgPerson в о б ъ е к т ы user Экземпляр
объекта inetOrgPerson, используемый для совместимости с определенны-
ми службами каталогов не на платформе Microsoft, можно преобразовать
Занятие 2
Управление множеством доменов и доверительным
5 6 7
и связями
в э к з е м п л я р к л а с с а user. О б ъ е к т user т а к ж е м о ж н о преобразовать в объект
inetOrgPerson.
• П о д д е р ж к а в с п о м о г а т е л ь н о г о к л а с с а dynamicObject Схема позволяет
р а з д е л а м к а т а л о г о в д о м е н а и с п о л ь з о в а т ь э к з е м п л я р ы динамического вспо-
м о г а т е л ь н о г о класса. Э т о т к л а с с объектов может применяться определен-
н ы м и п р и л о ж е н и я м и и р а з р а б о т ч и к а м и .
• П о д д е р ж к а о с н о в н ы х г р у п п п р и л о ж е н и й и групп з а п р о с о в L D A P Для
п о д д е р ж к и а в т о р и з а ц и и на основе р о л е й в приложениях, использующих
д и с п е т ч е р а в т о р и з а ц и и ( A u t h o r i z a t i o n M a n a g e r ) , можно применять два
н о в ы х т и п а групп: основные группы приложений и группы запросов LDAP.
и Д е а к т и в а ц и я и п е р е о п р е д е л е н и е а т р и б у т о в и классов объектов Несмот-
ря на то что в схеме н е л ь з я у д а л и т ь атрибут и л и класс объектов, в режиме
р а б о т ы леса W i n d o w s Server 2 0 0 3 м о ж н о деактивировать или переопреде-
л и т ь а т р и б у т ы и к л а с с ы о б ъ е к т о в .
Р е ж и м р а б о т ы W i n d o w s S e r v e r 2 0 0 8
На ф у н к ц и о н а л ь н о м у р о в н е леса W i n d o w s Server 2008 не добавляются новые
в о з м о ж н о с т и у р о в н я леса. О д н а к о п о с л е повышения режима работы леса до
W i n d o w s S e r v e r 2 0 0 8 н о в ы е д о б а в л я е м ы е в лес домены по умолчанию будут
о п е р и р о в а т ь на у р о в н е W i n d o w s Server 2008. В этом режиме работы леса все
д о м е н ы д о л ж н ы р а б о т а т ь на ф у н к ц и о н а л ь н о м уровне домена Windows Ser-
ver 2008, то есть на всех к о н т р о л л е р а х доменов должна быть установлена сис-
тема W i n d o w s Server 2008.
П о в ы ш е н и е ф у н к ц и о н а л ь н о г о у р о в н я л е с а
Д л я п о в ы ш е н и я р е ж и м а р а б о т ы леса используется оснастка Active Directory —
д о м е н ы и д о в е р и е ( A c t i v e D i r e c t o r y Domains And Trusts). Щелкните правой
кнопкой м ы ш и к о р н е в о й узел о с н а с т к и и выполните команду Изменение режи-
ма р або ты леса ( R a i s e F o r e s t F u n c t i o n a l Level). В диалоговом окне (рис. 12-2)
можно л и ш ь п о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень леса.
I . U H I ' I " ) I I I | I J H | ' | I I . ' | | . I l . . . m I ^ И И И М И Я Й Й i ii Mi iiii'iiiN"~""i
Имя леса:
laihpirtoye.com
Текущий режим работы леса:
Window* 2000
Выбейте режим работы леса
| Windows Server 2008
Х„ Режим работы леса не может быть преобразован о исюямьй р е ж w после его
изменения. Для получения лтогиительмьк сведений о режимах работы леса
нажмите кнопку "Справка".
j Изменить j Отмена J Справка J
Рис. 12-2. Повышение функционального уровня леса
I 5 6 8 Домены и леса
Глава 12
Функциональный уровень леса следует повышать т о л ь к о в том случае, если
в лес не будут добавляться новые домены с более н и з к и м и ф у н к ц и о н а л ь н ы м и
уровнями. После повышения функционального у р о в н я н е л ь з я в ы п о л н и т ь откат
и вернуться к предыдущему режиму р а б о т ы леса.
СОВЕТ К ЭКЗАМЕНУ
Запомните функциональность, добавляемую на каждом функциональном уровне
домена и леса. Особое внимание уделите возможностям, затрагивающим админис-
траторов.
Практические занятия. Повышение функциональных уровней
домена и леса
В приведенных далее упражнениях предлагается п о в ы с и т ь ф у н к ц и о н а л ь н ы е
уровни домена и леса. Д л я того чтобы в ы п о л н и т ь у п р а ж н е н и я , необходимо под-
готовить хотя бы один контроллер в н о в о м д о м е н е нового леса с п о л н о й уста-
новкой Windows Server 2008. Потребуется н о в ы й сервер с именем S E R V E R T S T ,
полной установкой Windows Server 2008 и с л е д у ю щ е й к о н ф и г у р а ц и е й :
• имя компьютера: SERVERTST;
• 1Ру4-адрес: 10.0.0.111;
• маска подсети: 255.255.255.0;
• основной шлюз: 10.0.0.1;
• DNS-сервер: 10.0.0.111.
Выполните команду Dcpromo.exe и создайте н о в ы й лес с н о в ы м д о м е н о м
tailspintoys.com. Назначьте р е ж и м работы леса W i n d o w s 2000 и ф у н к ц и о н а л ь -
ный уровень домена Windows 2000 ( о с н о в н о й ) . Установите D N S на сервере.
Появится предупреждение о том, что серверу н а з н а ч е н д и н а м и ч е с к и й IP-ад-
рес. Щелкните Да (Yes). В открывшемся окне с с о о б щ е н и е м о н е в о з м о ж н о с т и
создания делегирования DNS также щ е л к н и т е к н о п к у Да (Yes). И н с т р у к ц и и
по установке Windows Server 2008 и с о з д а н и ю к о н т р о л л е р а в н о в о м домене
нового леса приведены на занятии 1 в первой главе.
В домене tailspintoys.com создайте два п о д р а з д е л е н и я первого у р о в н я Кли-
• енты и Кадры.
Упражнение 1. Попытка использовать о т к л ю ч е н н ы е ф у н к ц и и
В этом упражнении необходимо использовать в о з м о ж н о с т и , п о д д е р ж и в а е м ы е
на более высоких уровнях домена.
1. Войдите на машину S E R V E R T S T как А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .
2. Откройте окно командной строки.
3. Введите команду redircmp.exe "ou=KJiueumbi,dc=tailspintoys,dc=com "и нажми-
те клавишу Enter.
Появится сообщение о неудачном перенаправлении. Причина состоит в том,
что домен пока еще не работает на ф у н к ц и о н а л ь н о м уровне W i n d o w s Ser-
ver 2003.
Занятие 2
Управление множеством доменов и доверительными связями
5 6 9
4. Введите к о м а н д у redirusr.exe "ou=Kadpbi,dc=tailspintoys,dc=com " и нажмите
к л а в и ш у E n t e r .
П о я в и т с я с о о б щ е н и е о неудачном перенаправлении. Причина состоит в том,
ч т о д о м е н п о к а еще не р а б о т а е т на ф у н к ц и о н а л ь н о м уровне Windows Ser-
ver 2003.
5. О т к р о й т е о с н а с т к у Active D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active
D i r e c t o r y U s e r s And C o m p u t e r s ) .
6. Щ е л к н и т е м е н ю В и д ( V i e w ) и у с т а н о в и т е ф л а ж о к Дополнительные ком-
п о н е н т ы ( A d v a n c e d F e a t u r e s ) .
7. В к о н т е й н е р е U s e r s д в а ж д ы щ е л к н и т е у ч е т н у ю з а п и с ь Администратор
( A d m i n i s t r a t o r ) .
8. П е р е й д и т е на в к л а д к у Р е д а к т о р атрибутов ( A t t r i b u t e Editor).
9. Л о к а л и з у й т е а т р и б у т lastLogonTimestamp. О б р а т и т е внимание на то, что
з н а ч е н и е д л я него н е задано.
У п р а ж н е н и е 2 . П о в ы ш е н и е ф у н к ц и о н а л ь н о г о уровня домена
В э т о м у п р а ж н е н и и т р е б у е т с я п о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень домена
tailspintoys.com.
1. О т к р о й т е о с н а с т к у Active D i r e c t o r y – домены и доверие (Active Directory
D o m a i n s A n d T r u s t s ) .
2. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и д о м е н tailspintoys.com и выполните ко-
м а н д у И з м е н е н и е р е ж и м а р а б о т ы домена (Raise Domain Functional Level).
3. В р а с к р ы в а ю щ е м с я с п и с к е В ы б е р и т е режим работы домена (Select An Avai-
lable D o m a i n F u n c t i o n a l Level) в ы б е р и т е уровень Windows Server 2003.
4. Щ е л к н и т е к н о п к у И з м е н и т ь (Raise), а затем OK, чтобы подтвердить из-
м е н е н и е . П о я в и т с я с о о б щ е н и е об успешном повышении функционального
у р о в н я д о м е н а .
5. Щ е л к н и т е О К .
I У п р а ж н е н и е 3. Т е с т и р о в а н и е ф у н к ц и о н а л ь н о г о уровня домена
W i n d o w s S e r v e r 2 0 0 8
Теперь н у ж н о п р о в е р и т ь д о с т у п н о с т ь ранее отключенной функциональности.
1. В ы й д и т е и вновь в о й д и т е в систему как администратор домена.
2. О т к р о й т е о к н о к о м а н д н о й строки.
3. Введите команду redircmp.exe "ou=KJiueitmhi,dc=tailspintoys,dc=com"и нажми-
т е к л а в и ш у E n t e r .
П о я в и т с я с о о б щ е н и е об у с п е ш н о м перенаправлении.
4. Введите к о м а н д у redirusr.exe «ou=Kadpbi,dc=tailspintoys,dc=com»it нажмите
к л а в и ш у Enter.
П о я в и т с я с о о б щ е н и е об у с п е ш н о м перенаправлении.
5. О т к р о й т е оснастку Active Directory – пользователи и компьютеры (Active
Directory Users And C o m p u t e r s ) .
I 5 7 0 Домены и леса
Глава 12
6. Щелкните меню Вид (View) и установите ф л а ж о к Д о п о л н и т е л ь н ы е ком-
поненты (Advanced Features).
7. В контейнере Users дважды щ е л к н и т е у ч е т н у ю запись А д м и н и с т р а т о р (Ad-
ministrator).
8. Перейдите на вкладку Редактор атрибутов ( A t t r i b u t e E d i t o r ) .
9. Локализуйте атрибут lastLogonTimestamp. О б р а т и т е в н и м а н и е на то, ч т о
теперь значение для него задано.
10. В окне командной строки введите к о м а н д у dfsrmig /setglobalstate 0 и на-
жмите клавишу Enter.
Появится сообщение о том, что эта ф у н к ц и я д о с т у п н а т о л ь к о на ф у н к ц и -
ональном уровне домена W i n d o w s Server 2008. В г л а в е 10 мы п о в ы ш а л и
функциональный уровень домена до W i n d o w s Server 2 0 0 8 д л я м и г р а ц и и
репликации SYSVOL на механизм р е п л и к а ц и и D F S – R .
Резюме
• Функциональные уровни домена и леса о п р е д е л я ю т п о д д е р ж и в а е м ы е воз-
можности Active Directory и версии W i n d o w s на к о н т р о л л е р а х д о м е н о в .
• Функциональные уровни домена W i n d o w s S e r v e r 2 0 0 3 и W i n d o w s Ser-
ver 2008 включают новую ф у н к ц и о н а л ь н о с т ь .
• Функциональный уровень леса Windows Server 2 0 0 3 в к л ю ч а е т р е п л и к а ц и ю
связанных значений, поддерживает к о н т р о л л е р ы R O D C , а т а к ж е обес-
печивает другие возможности. Ф у н к ц и о н а л ь н ы й у р о в е н ь леса W i n d o w s
Server 2008 не добавляет новые в о з м о ж н о с т и .
Закрепление материала
Приведенные далее вопросы предназначены д л я п р о в е р к и знаний, полученных
на занятии 1 (эти вопросы содержатся т а к ж е на с о п р о в о д и т е л ь н о м к о м п а к т -
диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Какой инструмент можно использовать д л я п о в ы ш е н и я ф у н к ц и о н а л ь н о г о
уровня домена в лесу contoso.com? ( У к а ж и т е все в а р и а н т ы . )
A. Оснастка Active Directory – пользователи и к о м п ь ю т е р ы (Active Direc-
tory Users And Computers).
Б. Оснастка Схема Active Directory (Active Directory Schema).
B. Оснастка Active Directory – сайты и с л у ж б ы (Active D i r e c t o r y Sites
And Services).
Г. Оснастка Active Directory – домены и доверие (Active Directory Do-
mains And Trusts).
2. Администратору домена contoso.com н у ж н о добавить к о н т р о л л е р R O D C
в домен с одним контроллером Windows Server 2003 и одним контролле-
Занятие 2
Управление множеством доменов и доверительными связями
5 7 1
ром W i n d o w s S e r v e r 2008. Ч т о н у ж н о сделать, прежде чем добавить новый
сервер в к а ч е с т в е к о н т р о л л е р а R O D C ? (Укажите все варианты. Каждый
п р а в и л ь н ы й ответ я в л я е т с я ч а с т ь ю полного р еш ен и я . )
A. О б н о в и т ь к о н т р о л л е р д о м е н а W i n d o w s Server 2003 до Windows Ser-
ver 2008.
Б. П о в ы с и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь домена до Windows Server 2003.
B. П о в ы с и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь домена до Windows Server 2008.
Г. П о в ы с и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь леса до Windows Server 2003.
Д. В ы п о л н и т ь к о м а н д у Adprep/ rodcprep.
Е. В ы п о л н и т ь к о м а н д у Adprep /forestprep.
3. З а в е р ш е н о о б н о в л е н и е всех к о н т р о л л е р о в домена contoso.com до Windows
Server 2008. К о н т р о л л е р ы д о м е н а subsidiary.contoso.com будут обновлены
в т е ч е н и е т р е х м е с я ц е в . Н е о б х о д и м о отконфигурировать гранулированные
п о л и т и к и п а р о л е й д л я н е с к о л ь к и х групп пользователей в домене contoso.
com. Ч т о с д е л а т ь в п е р в у ю о ч е р е д ь ?
A. У с т а н о в и т ь к о н т р о л л е р д о м е н а только для чтения.
Б. В ы п о л н и т ь к о м а н д у Dfsrmig.exe.
B. П о в ы с и т ь ф у н к ц и о н а л ь н ы й уровень леса.
Г. Установить к о н с о л ь у п р а в л е н и я групповой политикой G P M C (Group
Policy M a n a g e m e n t C o n s o l e ) .
Занятие 2. Управление множеством доменов
и доверительными связями
В предыдущих главах данного руководства были описаны принципы настройки,
а д м и н и с т р и р о в а н и я и у п р а в л е н и я отдельным доменом. Однако инфраструк-
тура Active D i r e c t o r y о б ы ч н о с о с т о и т из леса и л и даже нескольких лесов с
м н о ж е с т в о м д о м е н о в , т а к ч т о м о ж е т понадобиться перемещать объекты между
доменами и л и п о л н о с т ь ю реструктурировать модель доменов. На этом занятии
речь пойдет о п о д д е р ж к е м н о ж е с т в а доменов и лесов.
Изучив материал этого занятия, вы сможете:
^ Спроектировать эффективную структуру доменов и деревьев для служб
AD DS.
S Описать роль инструмента миграции Active Directory Migration Tool и задачи,
связанные с миграцией объектов и реструктуризацией доменов.
S Понимать роль доверительных связей.
S Конфигурировать, администрировать и защищать доверительные связи.
Продолжительность занятия – около 60 мин.
Определение структуры лесов и доменов
Итак, если вы у с в о и л и и н ф о р м а ц и ю предыдущих 11 глав, то готовы к проек-
тированию лесов, деревьев и доменов Active Directory.
I 5 7 2 Домены и леса
Глава 12
Выделенный корневой контроллер д о м е н а
На начальном этапе использования Active Directory рекомендовалось создавать
выделенный корневой домен леса. В главах 1 – 1 0 говорилось, что к о р н е в о й до-
мен леса является первым доменом в лесу. Н а з н а ч е н и е в ы д е л е н н о г о корневого
домена состоит в администрировании и н ф р а с т р у к т у р ы леса. По у м о л ч а н и ю
он содержит одного хозяина операций леса. К о р н е в о й д о м е н т а к ж е с о д е р ж и т
уязвимые группы, такие как Администраторы п р е д п р и я т и я ( E n t e r p r i s e Admins)
и Администраторы схемы (Schema Admins), к о т о р ы е могут о к а з ы в а т ь в л и я н и е
на весь лес. Теория заключалась в том, что в ы д е л е н н ы й к о р н е в о й д о м е н леса
повышает безопасность этих ф у н к ц и й у р о в н я леса. В ы д е л е н н ы й к о н т р о л л е р
домена также не устареет и обеспечит более п р о с т у ю п е р е д а ч у в л а д е н и я . В со-
ответствии с этими старыми рекомендациями один г л о б а л ь н ы й д о ч е р н и й домен
содержит все объекты: пользователи, группы, к о м п ь ю т е р ы и т. д. П р и м е р такой
структуры показан на рис. 12-3.
Рис. 12-3. Пример корневого домена леса
Лес из одного домена
ПРИМЕЧАНИЕ Новые рекомендации относительно леса из одного домена
На многих предприятиях больше не создается выделенный корневой домен, по-
скольку рекомендуется проектировать лес из одного домена. Универсального ди-
зайна для каждой организации не существует, поэтому следует, проанализировать
характеристики предприятия в соответствии с критерием дизайна, описанным далее
на этом занятии.
Занятие 2
Управление множеством доменов и доверительными связями
5 7 3
После д е в я т и л е т с т а н о в л е н и я Active Directory на рынке устаревшие реко-
мендации не п р и м е н я ю т с я . Теперь д л я б о л ь ш и н с т в а предприятий рекоменду-
ется создавать л е с из одного домена. Д а л е е описаны причины таких изменений
в руководствах и и н с т р у к ц и я х .
• С л ю б ы м л е с о м из м н о ж е с т в а доменов связаны риски и затраты, которые
о п и с а н ы далее. Д л я одного домена требуется меньше оборудования, а кроме
того, с н и ж а е т с я с т о и м о с т ь и степень определенных рисков.
• Пока еще нет и н с т р у м е н т о в , к о т о р ы е п о з в о л я л и бы предприятию «подре-
зать и п р и в и в а т ь » д е р е в ь я Active Directory. И н ы м и словами, вы не можете
отрезать д о м е н от д е р е в а и т р а н с п л а н т и р о в а т ь его в лес еще одного пред-
п р и я т и я . Е с л и бы это б ы л о возможно, в выделенном корневом домене леса,
к о т о р ы й и с п о л ь з у е т с я д л я п е р е н о с а доменов внутри леса и между лесами,
н е б ы л о б ы с м ы с л а .
• В н у т р и о д н о г о д о м е н а м о ж н о р е а л и з о в а т ь безопасность с наименьшим
у р о в н е м п р и в и л е г и й , к о т о р а я обеспечивает не меньший (а то и больший)
уровень з а щ и т ы , к а к и л е с с в ы д е л е н н ы м корнем и дочерним доменом.
П о э т о м у п р о е к т и р о в а н и е д о м е н о в следует начать с леса из одного домена.
Леса с множеством доменов
В некоторых с ц е н а р и я х н е о б х о д и м лес из множества доменов. Его не рекомен-
дуется создавать л и ш ь д л я о т р а ж е н и я организационной структуры бизнеса. Эта
структура ( о т д е л е н и я , д е п а р т а м е н т ы и о ф и с ы ) со временем будет изменяться.
Л о г и ч е с к а я с т р у к т у р а с л у ж б ы каталогов не должна основываться исключи-
тельно на о р г а н и з а ц и о н н ы х характеристиках.
Д о м е н н у ю м о д е л ь н у ж н о в ы в е с т и на основе характеристик самих доменов.
О п р е д е л е н н ы е с в о й с т в а д о м е н а в л и я ю т на все объекты в домене, и если их
п о с т о я н н ы й э ф ф е к т не с о о т в е т с т в у е т требованиям бизнеса, нужно создавать
д о п о л н и т е л ь н ы е д о м е н ы . Д а л е е о п и с а н ы характеристики домена.
• О т д е л ь н ы й р а з д е л д о м е н а , р е п л и ц и р у е м ы й на все контроллеры домена
Контекст и м е н о в а н и я доменов, с о д е р ж а щ и й объекты пользователей, ком-
пьютеров, групп, п о л и т и к и других доменных ресурсов, реплицируется на
к а ж д ы й к о н т р о л л е р в домене. Д л я разбиения репликации из соображений
сетевой т о п о л о г и и н е о б х о д и м о создавать отдельные домены. Репликация
Active D i r e c t o r y я в л я е т с я н е в е р о я т н о эффективной и может поддерживать
большие д о м е н ы через п о д к л ю ч е н и я с минимальной пропускной способ-
ностью.
Если о п р е д е л е н н ы е т р е б о в а н и я бизнеса ограничивают репликацию опре-
деленных д а н н ы х в р а з м е щ е н и я с контроллерами доменов, следует либо
перестать х р а н и т ь э т и д а н н ы е в разделе домена, либо создать отдельные
домены с ц е л ь ю с егрег ац и и р е п л и к а ц и и . В таких случаях следует также
убедиться, ч т о эти д а н н ы е не реплицируются глобальным каталогом GC
(Global Catalog).
• О т д е л ь н а я п о л и т и к а K e r b e r o s Параметры политики Kerberos по умолча-
нию в AD DS подходят д л я большинства предприятий. Д л я определения
отдельных п о л и т и к Kerberos требуются отдельные домены.
I 574 Домены и леса
Глава 12
• Отдельное именное пространство D N S Д о м е н Active D i r e c t o r y использу-
ет отдельное доменное имя DNS. Е с л и и с п о л ь з у е т с я м н о ж е с т в о д о м е н н ы х
имен, то необходимо множество доменов. О д н а к о п р е ж д е чем в ы п о л н и т ь
моделирование доменов службы каталогов на о с н о в е т р е б о в а н и й к D N S -
именам, следует учесть затраты и риски, с в я з а н н ы е с п о д д е р ж к о й м н о ж е с -
тва доменов.
Домены, работающие н а ф у н к ц и о н а л ь н ы х у р о в н я х н и ж е W i n d o w s Ser-
ver 2008, поддерживают только одну п о л и т и к у п а р о л е й и б л о к и р о в к и у ч е т н ы х
записей. Поэтому в предыдущих в е р с и я х W i n d o w s д л я п о д д е р ж к и м н о ж е с т в а
политик паролей приходилось создавать м н о ж е с т в о д о м е н о в . Эта п р о б л е м а
решена в Windows Server 2008, поскольку на ф у н к ц и о н а л ь н о м у р о в н е W i n d o w s
Server 2008 можно создавать г р а н у л и р о в а н н ы е п о л и т и к и п а р о л е й .
При добавлении доменов в лес п о в ы ш а е т с я а д м и н и с т р а т и в н а я н а г р у з к а
и затраты на оборудование. К а ж д ы й д о м е н д о л ж е н п о д д е р ж и в а т ь с я х о т я бы
двумя контроллерами, которые нужно резервировать, з а щ и щ а т ь и к о н т р о л и р о -
вать. Для поддержки доступа к ресурсам д о м е н о в на г е о г р а ф и ч е с к и распреде-
ленном предприятии может потребоваться еще б о л ь ш е к о н т р о л л е р о в доменов.
Дополнительные домены придется создавать д л я п е р е м е щ е н и я п о л ь з о в а т е л е й
между доменами, а этот процесс намного с л о ж н е й , чем п е р е м е щ е н и е п о л ь з о -
вателей между подразделениями. О б щ и е о б ъ е к т ы г р у п п о в о й п о л и т и к и и пара-
метры управления доступом потребуется д у б л и р о в а т ь в к а ж д о м домене.
Мы перечислили лишь некоторые з а т р а т ы и с л о ж н о с т и , с в я з а н н ы е со сре-
дой из множества доменов. П о д д е р ж к а м н о ж е с т в а д о м е н о в т а к ж е в л е ч е т за
собой дополнительные риски, б о л ь ш и н с т в о из к о т о р ы х с в я з а н о с тем, что
домен не определяет периметр б е з о п а с н о с т и – его о п р е д е л я е т лес. В н у т р и
леса администраторы могут п р и ч и н и т ь у щ е р б на у р о в н е л е с а . С у щ е с т в у е т
несколько категорий уязвимости, и с п о л ь з у я к о т о р ы е , в з л о м а н н а я а д м и н и с -
тративная учетная запись или а д м и н и с т р а т о р с в р е д о н о с н ы м и н а м е р е н и я м и
может инициировать отказ в о б с л у ж и в а н и и и л и н а р у ш и т ь ц е л о с т н о с т ь леса.
Например, администратор в л ю б о м домене м о ж е т с о з д а в а т ь у н и в е р с а л ь -
ные группы, членство в которых р е п л и ц и р у е т с я г л о б а л ь н ы м к а т а л о г о м . П р и
создании множества универсальных групп и п о с т о я н н о м з а п о л н е н и и атрибута
member чрезмерный объем р е п л и к а ц и и может п р и в е с т и к о т к а з у в о б с л у ж и -
вании на контроллерах в других доменах. А д м и н и с т р а т о р в л ю б о м д о м е н е
также может восстановить устаревший архив каталога, в результате чего могут
возникнуть повреждения леса.
К СВЕДЕНИЮ Соображения безопасности при проектировании домена и леса
Более подробная информация о безопасности при проектировании доменов и лесов
содержится в статье «Best Practices For Delegating Active Directory Administration»
по адресу http://technet2.microsoft.com/windowsserver/en/library/e5274d27-88e5-4043-
8f12-a8fa71cbcd521033-mspx.
С учетом затрат и рисков, связанных с п о д д е р ж к о й м н о ж е с т в а доменов,
рекомендуется конструировать лес из одного домена. Л е с а из множества до-
Занятие 2
Управление множеством доменов и доверительными связями
5 7 5
менов чаще всего с о з д а ю т с я в с в я з и с т р е б о в а н и я м и к репликации контекста
и м е н о в а н и я д о м е н о в .
В л е с у из м н о ж е с т в а д о м е н о в имеет с м ы с л создать выделенный корневой
домен леса к ак п у с т о й д о м е н , ч т о б ы он обеспечивал корень доверия для леса.
Корни д о в е р и я о п и с а н ы д а л е е н а э т о м з а н я т и и .
М н о ж е с т в о д е р е в ь е в
Д е р е в о о п р е д е л я е т с я к а к н е п р е р ы в н о е и м е н н о е пространство DNS. В слу-
чае с м н о ж е с т в о м д о м е н о в м о ж н о о п р е д е л и т ь д л я этих доменов непрерывное
именное п р о с т р а н с т в о D N S и с ф о р м и р о в а т ь отдельное дерево, как показано
на рис. 12-4 вверху, л и б о о п р е д е л и т ь несмежное пространство имен DNS, сфор-
мировав т а к и м о б р а з о м м н о ж е с т в о деревьев, как показано на рис. 12-4 внизу.
Лес с одним деревом
Лес с множеством деревьев
Рис. 12-4. Леса с одним и множеством деревьев
М н о ж е с т в о лесов
Л е с представляет собой э к з е м п л я р Active Directory. Все домены и контрол-
леры доменов в лесу совместно используют реплики схемы и конфигурации.
5 7 6 Домены и леса
Глава 12
Контроллеры доменов, которые я в л я ю т с я серверами г л о б а л ь н о г о каталога GC
(Global Catalog), управляют ч а с т и ч н ы м и н а б о р а м и а т р и б у т о в всех о б ъ е к т о в
в других доменах леса. Д о м е н ы в лесу с о в м е с т н о п р и м е н я ю т т р а н з и т и в н ы е
двусторонние доверительные связи. Это означает, что все п о л ь з о в а т е л и в до-
мене принадлежат особому о б ъ е к т у и д е н т и ф и к а ц и и П р о ш е д ш и е п р о в е р к у
(Authenticated Users) в каждом домене. Группы леса А д м и н и с т р а т о р ы пред-
приятия (Enterprise Admins), А д м и н и с т р а т о р ы с х е м ы ( S c h e m a A d m i n s ) и
Администраторы (Administrators) в к о р н е в о м д о м е н е л е с а у п р а в л я ю т всеми
объектами в лесу.
Если любая из этих характеристик леса не с о о т в е т с т в у е т т р е б о в а н и я м биз-
неса, может потребоваться создать м н о ж е с т в о лесов. П о с к о л ь к у б е з о п а с н о с т ь
является приоритетом, многие консультанты р е к о м е н д у ю т т а к и м о р г а н и з а ц и я м
проектировать лес из одного домена и л и и с п о л ь з о в а т ь м н о ж е с т в о лесов. Д о в е -
рительные связи между лесами, описанные далее в э т о й главе, и с л у ж б ы феде-
рации Active Directory (Active Directory F e d e r a t i o n Services, AD F S ) у п р о щ а ю т
управление проверкой подлинности на п р е д п р и я т и я х с м н о ж е с т в о м лесов.
К СВЕДЕНИЮ Планирование архитектуры
Более подробная информация о планировании архитектуры на предприятии AD
DS содержится по адресу http://technet2.microsoft.com/windowsserver2008/en/library/
b1baa483-b2a3-4e03-90a6-d42f64b42fc31033.mspx?mfr~true.
Перемещение объектов между доменами и лесами
В сценариях с множеством доменов д л я п о д д е р ж к и б и з н е с – о п е р а ц и й м о ж е т
потребоваться перемещать пользователей, г р у п п ы и к о м п ь ю т е р ы м е ж д у до-
менами или лесами, а в случае с л и я н и я и л и п р и о б р е т е н и я к о м п а н и й – пе-
ремещать большое количество пользователей, г р у п п и к о м п ь ю т е р о в с ц е л ы о
реструктуризации доменной модели.
В каждой из этих задач учетные з а п и с и к о п и р у ю т с я и л и п е р е м е щ а ю т с я из
одного домена ( начального) в другой {конечный). Т е р м и н о л о г и я , к о н ц е п ц и и и
процедуры реструктуризации доменов п р и м е н и м ы к миграции между лесами
(между Windows NT 4.0 или начальным д о м е н о м Active D i r e c t o r y и к о н е ч н ы м
доменом Active Directory в отдельном л е с у ) и миграции внутри леса (то есть
реструктуризация или перемещение учетных записей м е ж д у д о м е н а м и в одном
лесу).
В процессе реструктуризации между лесами с о х р а н я е т с я с у щ е с т в у ю щ и й
начальный домен, а учетные записи к л о н и р у ю т с я ( и л и к о п и р у ю т с я ) в конеч-
ный. Этот недеструктивный метод позволяет п р е д п р и я т и ю осуществлять посте-
пенную миграцию в несколько стадий. В ы п о л н е н и е о п е р а ц и й не прерывается,
поскольку оба домена обслуживаются в п а р а л л е л ь н о м р е ж и м е д л я поддержки
операций пользователей в любом домене. Этот метод т а к ж е предусматривает
некоторый уровень отката, поскольку и с х о д н а я среда остается практически
неизмененной. По завершении процесса м и г р а ц и и н а ч а л ь н ы й д о м е н можно
просто вывести из эксплуатации, переместив все остальные учетные записи,
рядовые серверы и рабочие станции в новый домен и отключив от сети контрол-
Занятие 2
Управление множеством доменов и доверительными связями
5 7 7
леры н а ч а л ь н о г о домена. З а т е м эти к о н т р о л л е р ы можно заново развернуть для
в ы п о л н е н и я р о л е й в н о в о м домене.
В п р о ц е с с е м и г р а ц и и в н у т р и леса о б ъ е к т ы перемещаются из начального
д о м е н а в к о н е ч н ы й б е з в ы в о д а н а ч а л ь н о г о д о м е н а из эксплуатации. После
м и г р а ц и и о б ъ е к т о в д о м е н ы м о ж н о реструктурировать с целыо объединения
о п е р а ц и й и п о с т р о и т ь с т р у к т у р у доменов и подразделений, более точно отра-
ж а ю щ у ю а д м и н и с т р а т и в н у ю модель. Такая консолидация может сэкономить
затраты и у п р о с т и т ь а д м и н и с т р и р о в а н и е , с н и з и в административные нагрузки
и з а т р а т ы на п о д д е р ж к у с р е д ы Active Directory.
Инструмент Active Directory Migration Tool
С р е д с т в о A c t i v e D i r e c t o r y M i g r a t i o n Tool в е р с и и 3 ( A D M T v3), выполняю-
щее м и г р а ц и ю о б ъ е к т о в и з а д а ч и п р е о б р а з о в а н и я структуры безопасности,
м о ж н о з а г р у з и т ь по а д р е с у http://go.microsoft.com/fwlink/?LinkID=75627. На
этой с т р а н и ц е т а к ж е н а х о д и т с я детальное руководство по использованию этой
у т и л и т ы .
С р е д с т в о A D M T п р и м е н я е т с я д л я миграции объектов между начальным
и к о н е ч н ы м д о м е н а м и . М и г р а ц и я т а к ж е может выполняться между доменами
в одном л е с у ( м и г р а ц и я в н у т р и л е с а ) и л и между доменами в различных лесах
( м и г р а ц и я м е ж д у л е с а м и ) . М а с т е р ы , встроенные в ADMT, автоматизируют
такие з а д а ч и , к а к м и г р а ц и я п о л ь з о в а т е л е й , групп, учетных записей служб,
