Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 59 (всего у книги 91 страниц)

Toys, вы к ак а д м и н и с т р а т о р создали одностороннее доверие, чтобы разре-

ш и т ь п о л ь з о в а т е л я м в д о м е н е tailspintoys.com получать доступ к ресурсам,

п е р е м е щ е н н ы м в д о м е н wingtiptoys.com. Некоторые пользователи из домена

t a i l s p i n t o y s . c o m не могут п о л у ч и т ь доступ к ресурсам. Вы обнаружили, что

п р о б л е м ы в о з н и к л и у п о л ь з о в а т е л е й , работающих в Tailspin Toys не менее

в о с ь м и лет, а их у ч е т н ы е з а п и с и мигрировали из домена Windows NT 4.0.

Ч т о н у ж н о с д е л а т ь д л я п р е д о с т а в л е н и я этим пользователям доступа к ре-

с у р с а м ? ( У к а ж и т е все в а р и а н т ы . )

A. С о з д а т ь в д о м е н е w i n g t i p t o y s . c o m учетные записи с теми же поль-

з о в а т е л ь с к и м и и м е н а м и и п а р о л я м и , как в учетных записях домена

tailspintoys.com.

Б. П е р е с т р о и т ь д о м е н W i n d o w s NT 4.0 и обновить контроллер домена до

W i n d o w s Server 2008.

B. В ы п о л н и т ь к о м а н д у Netdom t r u s t с параметром /verify.

Г. В ы п о л н и т ь к о м а н д у Netdom t r u s t с параметром /quarantinemo.

Контроллеры домена tailspintoys.com локализованы в Лос-Анджелесе, конт-

роллеры домена Азии расположены в Пекине, контроллеры домена Европы —

в Стокгольме. П о л ь з о в а т е л и в доменах Европы и Азии жалуются на чрез-

мерные задержки при попытках открыть общие папки на серверах в доменах

I 608 Домены и леса

Глава 12

друг друга. Скорость получения пользователями доступа к ресурсам в своих

доменах вполне приемлемая. Что нужно сделать для п о в ы ш е н и я скорости

доступа этих пользователей?

A. Переустановить операционные системы на компьютерах пользователей.

Б. Заменить IP-адрес статическим адресом.

B. Отключить в DNS динамические обновления.

Г. Создать доверие между доменами в Европе и Азии.

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и изуче-

нии представленного в этой главе материала, вам необходимо:

• ознакомиться с резюме главы;

• повторить используемые в главе основные термины;

• изучить сценарий, в котором описана реальная ситуация, т р е б у ю щ а я при-

менения полученных знаний, и предложить свое решение;

• выполнить рекомендуемые упражнения;

• сдать пробный экзамен с помощью тестов.

Резюме главы

• Функциональные уровни домена и леса включают в Active D i r e c t o r y воз-

можности, добавляемые каждой новой версией о п е р а ц и о н н о й с и с т е м ы

Windows. Повышение функционального уровня домена и л и леса я в л я е т -

ся необратимой операцией. После п о в ы ш е н и я ф у н к ц и о н а л ь н о г о у р о в н я

больше нельзя добавлять контроллеры доменов с п р е д ы д у щ и м и в е р с и я м и

Windows.

• Доверительные отношения между доменами позволяют п о л ь з о в а т е л я м из

доверенного домена проходить проверку подлинности на к о м п ь ю т е р а х в

доверяющем домене. Доверенные пользователи и группы м о ж н о д о б а в л я т ь

в локальные группы доверенного домена и предоставлять им д о с т у п к ре-

сурсам в доверяющем домене.

• Внутри леса между каждым дочерним и р о д и т е л ь с к и м д о м е н а м и , а так-

же между каждым корневым доменом дерева и к о р н е в ы м д о м е н о м леса

устанавливаются двухсторонние транзитивные доверительные отношения.

В результате каждый домен в лесу доверяет каждому другому домену в этом

лесу. Для улучшения скорости и стабильности проверки подлинности внут-

ри леса можно создавать прямые доверительные связи.

• Между доменом в лесу и еще одним доменом Windows создается внешнее

доверие. Для сферы Kerberos v5 также можно создать доверие.

• Доверие между лесами устанавливается между корневыми д о м е н а м и двух

лесов AD DS. Таким образом доверие создается между всеми д о м е н а м и

в двух лесах.

• В доверяющем домене можно применять выборочную проверку подлиннос-

ти для управления компьютерами, на которых доверенные пользователи

могут проходить проверку подлинности.

Практические задания 6 0 9

• Ф и л ь т р а ц и я S I D и л и к а р а н т и н д о м е н а по умолчанию включен для всех

внешних д о в е р и т е л ь н ы х связей и доверительных отношений между лесами.

Этот механизм запрещает пользователям в доверенном домене представлять

S I D – и д е н т и ф и к а т о р ы , к о т о р ы е б ы л и сгенерированы не в основном домене

пользователей.

• И н с т р у м е н т м и г р а ц и и Active D i r e c t o r y Migration Tool ( A D M T ) использу-

ется д л я п е р е м е щ е н и я и к о п и р о в а н и я пользователей, компьютеров и групп

между д о м е н а м и . П р и в ы п о л н е н и и м и г р а ц и и учетной записи необходимо

учесть, что н о в ы й о б ъ е к т п о л у ч и т н о в ы й S I D – и д е н т и ф и к а т о р , который

может п о в л и я т ь на д о с т у п объекта к ресурсам и членство в группах. Для

решения этой п р о б л е м ы задействуется атрибут sIDHistory с миграцией поль-

зователей и групп.

Сценарий. Управление множеством доменов и лесов

В этом с ц е н а р и и п р е д п о л а г а е т с я п р и м е н е н и е полученных знаний о функцио-

нальных у р о в н я х д о м е н о в и д о в е р и т е л ь н ы х отношениях. Ответы содержатся

в разделе « О т в е т ы » в к о н ц е э т о й к н и г и .

Вы как а д м и н и с т р а т о р к о м п а н и и Tailspin Toys, которая является партне-

ром к о м п а н и и W i n g t i p Toys по р а з р а б о т к е нового продукта, получили задание

установить доверие, ч т о б ы р а з р е ш и т ь пользователям в домене tailspintoys.com

проходить п р о в е р к у п о д л и н н о с т и в д о м е н е wingtiptoys.com и наоборот.

1. Вы о б н о в л я е т е к о н т р о л л е р ы д о м е н о в непосредственно с уровня Win-

dows 2000 S e r v e r до W i n d o w s Server 2008. Что нужно сделать в оснастке

Active Directory – д о м е н ы и доверие (Active Directory Domains And Trusts),

прежде чем создать д о в е р и е ?

2. Какой т и п ( т и п ы ) д о в е р и я м о ж н о создать в домене tailspintoys.com для

в ы п о л н е н и я э т о й з а д а ч и ? Ч т о д о л ж н ы сделать администраторы в домене

wingtiptoys.com?

3. Вам н у ж н о к о н т р о л и р о в а т ь п р о в е р к у подлинности, чтобы пользователи

из д о м е н а w i n g t i p t o y s . c o m м о г л и по лу ча ть доступ к ресурсам только на

четырех с е р в е р а х в домене. Ч т о н у ж н о сделать для этого?

Практические задания

Для того чтобы подготовиться к сдаче сертификационного экзамена, выполните

следующие у п р а ж н е н и я .

Настройка леса или домена

Вы являетесь а д м и н и с т р а т о р о м в к о м п а н и и Contoso, Ltd, которая расширила

свою деятельность в Е в р о п е и Азии. В этом упражнении предлагается решить

ряд задач, к а с а ю щ и х с я у п р а в л е н и я д о в е р и е м в лесу из множества доменов.

Д л я в ы п о л н е н и я у п р а ж н е н и й требуется множество доменов и контроллеров

доменов, а т а к ж е два н о в ы х сервера – SERVEREU.contoso.com и SERVERAS.

contoso.com – с п о л н о й у с т а н о в к о й W i n d o w s Server 2008, каждый из которых

является ч л е н о м д о м е н а contoso.com.

• Упражнение 1 Повысьте ранг сервера SERVEREU.contoso.com до ранга кон-

троллера В Н О В О М ДОМене europe.contoso.com существующего леса contoso.com.

I 633 Домены и леса

Глава 12

Повысьте ранг сервера S E R V E R A S . c o n t o s o . c o m до ранга к о н т р о л л е р а в но-

вом домене asia.contoso.com с у щ е с т в у ю щ е г о л е с а c o n t o s o . c o m . Установите

DNS на всех серверах и проверьте р е п л и к а ц и ю всех з о н леса на оба конт-

роллера доменов. Убедитесь, что оба к о н т р о л л е р а доменов и с п о л ь з у ю т собс-

твенные службы DNS д л я р а з р е ш е н и я имен, то есть в качестве адреса D N S -

сервера контроллера д о м е н а у к а ж и т е а д р е с самого к о н т р о л л е р а д о м е н а .

• Упражнение 2 Создайте у ч е т н у ю з а п и с ь п о л ь з о в а т е л я в д о м е н ё europe.

contoso.com. Добавьте этого пользователя в г р у п п у О п е р а т о р ы печати ( P r i n t

Operators) домена Европы и д о м е н а Азии, ч т о б ы п о л ь з о в а т е л ь мог входить

на контроллеры доменов в этих у п р а ж н е н и я х . На к о н т р о л л е р е S E R V E R A S .

asia.contoso.com создайте о б щ у ю п а п к у и п р е д о с т а в ь т е п о л ь з о в а т е л ю Евро-

пы разрешение доступа к этой папке. В о й д и т е на к о н т р о л л е р S E R V E R E U .

europe.contoso.com как п о л ь з о в а т е л ь и п о д к л ю ч и т е с ь к о б щ е й п а п к е на

контроллере SERVERAS.asia.contoso.com.

1 Упражнение 3 З а в е р ш и т е работу к о н т р о л л е р а S E R V E R 0 1 . c o n t o s o . c o m .

Войдите на контроллер S E R V E R E U . e u r o p e . c o n t o s o . c o m к а к п о л ь з о в а т е л ь

из Европы. Проверьте связь с к о н т р о л л е р о м S E R V E R A S . a s i a . c o n t o s o . c o m

с помощью команды ping. Если о б м е н я т ь с я п а к е т а м и p i n g с с е р в е р о м не

удается, причина состоит в некорректной к о н ф и г у р а ц и и D N S и л и сети. Уст-

раните неполадку. Обменявшись пакетами ping с к о н т р о л л е р о м S E R V E R A S ,

попытайтесь подключиться к о б щ е й папке. П о п ы т к а д о л ж н а з а к о н ч и т ь с я

неудачей, поскольку контроллер д о м е н а на п у т и д о в е р и я н е д о с т у п е н .

• Упражнение 4 Запустите к о н т р о л л е р S E R V E R 0 1 . c o n t o s o . c o m . В о й д и т е

на контроллер S E R V E R E U . e u r o p e . c o n t o s o . c o m к а к а д м и н и с т р а т о р д о м е н а

Европы. Создайте доверительную с в я з ь с д о м е н о м Азии.

• Упражнение 5 З а в е р ш и т е работу к о н т р о л л е р а S E R V E R 0 1 . В о й д и т е на

контроллер SERVEREU.europe.contoso.com к а к п о л ь з о в а т е л ь д о м е н а Евро-

пы. Проверьте связь с к о н т р о л л е р о м S E R V E R A S . a s i a . c o n t o s o . c o m с помо-

щью команды ping. Если обменяться п а к е т а м и p i n g с с е р в е р о м не удается,

причина состоит в некорректной к о н ф и г у р а ц и и D N S и л и сети. Устраните

неполадку. Обменявшись пакетами ping с к о н т р о л л е р о м S E R V E R A S , а за-

тем попытайтесь подключиться к о б щ е й п а п к е . П о п ы т к а д о л ж н а з а к о н -

читься успехом, поскольку установлена п р я м а я связь.

Пробный экзамен

На прилагаемом к книге к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

тренировочных тестов. Проверка знаний в ы п о л н я е т с я и л и только по одной теме

сертификационного экзамена 7 0 – 6 4 0 , и л и по всем э к з а м е н а ц и о н н ы м темам.

Тестирование можно организовать т а к и м образом, ч т о б ы о н о п р о в о д и л о с ь как

экзамен, либо настроить на режим обучения. В п о с л е д н е м случае вы сможете

после каждого своего ответа на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е ответы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А 1 3

Непрерывность бизнес-процессов

каталогов

Занятие 1. Поддержка каталогов и защита хранилища данных 613

Занятие 2. Управление производительностью каталогов 665

Непрерывность бизнес-процессов – одно из важнейших условий бесперебой-

ного ф у н к ц и о н и р о в а н и я любой организации, особенно в последнее время,

I когда участились стихийные бедствия. Цунами, землетрясения, ураганы могут

уничтожить любую организацию, особенно небольшую или среднюю, если

изначально не продумать план действий на случай природных катаклизмов.

Масштаб причиняемого ущерба значения не имеет. Пользователь, чья учет-

[ ная запись доменных служб Active Directory (AD DS) будет удалена по ошибке,

t в полной мере ощутит последствия катастрофы. Поэтому нужно подготовиться

к неприятностям, и прежде всего – обеспечить поддержку и защиту каталогов

и хранилища данных, а также организовать надлежащее управление произво-

дительностью каталогов.

Эти две задачи напрямую связаны с аспектами непрерывности бизнес-про-

цессов. Доступность, которая является третьей задачей, связанной с обеспече-

нием непрерывности бизнес-процессов, встроена в операционную модель AD

DS. Все контроллеры доменов, кроме контроллеров RODC, могут поддерживать

репликацию среди множества равноправных участников. Помещая два или

несколько контроллеров в один домен, вы тем самым обеспечиваете высокую

готовность службы. Процессом поддержки доступности служб каталогов управ-

ляют простые правила развертывания.

Темы экзамена:

• Поддержка среды Active Directory.

• Техническое обслуживание вне сети.

, • Настройка архивации и восстановления,

j • Мониторинг Active Directory.

б 1 2 Непрерывность бизнес-процессов каталогов

Глава 13

Прежде всего

Для того чтобы выполнить упражнения, предлагаемые в этой главе, потребу-

ется следующее.

• физический или виртуальный компьютер Windows Server 2008 с именем

" SERVER10. Этот компьютер управляет ролыо DNS-сервера, а также ро-

лью доменных служб Active Directory (Active Directory Domain Services)

и является контроллером корневого домена леса treyresearch.net. Добавьте

второй диск на этот сервер, сделайте его динамически расширяющимся

диском, отформатируйте и присвойте имя Data.

• Физический или виртуальный компьютер Windows Server 2008 с именем

SERVER11, являющийся независимым сервером. Этот компьютер будет

управлять ролью DNS-сервера, а также ролыо доменных служб Active Direc-

tory (Active Directory Domain Services). Назначьте компьютеру IPv/i-адрес

из частного диапазона, например 192.168.х.х, и в качестве адреса DNS-сер-

вера укажите адрес SERVER10.

• Нужно также выполнить упражнения, указанные в главе 9, и установить

службу каталогов множества доменов с именем treyresearch.com. Этот лес со-

держит корневой домен, доменное дерево и дочерний домен. В упражнениях

данной главы будет использоваться корневой домен леса, созданный в главе 9.

Кроме того, строго рекомендуется использовать виртуальные машины. Роли

контроллера домена и DNS-сервера идеальны для виртуализации с помощью

Microsoft Virtual Server 2005 R2 или Hyper-V.

История из жизни

Даниэль Реет и Нельсон Реет

В 2003 году нас попросили написать книгу «Windows Server 2003: Best Prac-

tices for Enterprise Deployments» – «карманное» руководство, посвященное

администрированию (а не развертыванию) операционных систем. Мы собрали

и сопоставили задачи, которые следует выполнять в инфраструктурах Windows

Server 2003 в зависимости от развертываемых компонентов, распределили их

в соответствии с ролью сервера и создали пять категорий, сосредоточившись

лишь на ролях, доступных в установке Windows Server 2003 по умолчанию,

а также систематизировали этот список в соответствии с регулярностью выпол-

нения задач, выделив четыре категории: ежедневно, еженедельно, ежемесячно

и иерегламентироваиное выполнение. Последняя категория включает редко

выполняемые задачи. Задачи объединили в одной таблице.

Прежде чем приступить к работе, мы решили проверить список задач и попро-

сили клиентов помочь. На нашу просьбу откликнулось двадцать пять человек,

™дому из которых мы отправили список задач для просмотра, оценки соответс-

ия, подтверждения графика выполнения и перечисления отсутствующих задач,

ты не знали, сколько задач перечислено для каждой роли сервера.

вы^,ЫМ°ЛУЧаЛИ р а з н ы е ответы, однако комментарий был примерно одинако-

задачи! "т" "е д о г а д ы в а л и с ь . что в Windows необходимо выполнять все эти

п»™." * о л ь к о несколько клиентов самых крупных сетей знали о задачах,

перечисленных в списке.

Занятие 1

Поддержка каталогов и защита хранилища данных

6 1 3

Развертывая Windows, клиенты обычно стараются включить максимум ком-

понентов, поэтому некоторые организации назначают персонал для проектив-

ного мониторинга сетей. IT-спсциалисты перегружены работой практически

в каждой организации. Обычно у системных администраторов нет времени на

проактивные действия, поскольку они практически всегда работают в «реак-

тивном» режиме.

После выхода нашей книги «Pocket Administrator for Windows Server 2003»

мы получили административные классы Windows Server 2003 и обновляли их

всеми новыми версиями. В каждом случае нам сообщали, что предложенное рас-

писание наиболее рационально для администраторов. Мы включили этот список

задач с соответствующими обновлениями в новую книгу «Windows Server 2008:

The Complete Reference».

Мониторинг, особенно проактивный, играет важную роль в любом развер-

тывании Windows Server, в частности AD DS и DNS. Каждая организация, ис-

пользующая решение идентификации и доступа AD DS, должна принять меры,

чтобы в системе регулярно выполнялись соответствующие операции. Примене-

ние технологий Windows без проактивного контроля непрактично. Технологии,

конечно, будут работать, однако пользователи могут сталкиваться с потенциаль-

ными неполадками или угрозой безопасности. Именно поэтому данная глава,

наверное, является самой важной.

Занятие 1. Поддержка каталогов и защита

хранилища данных

О д н а из с а м ы х в а ж н ы х к о н ц е п ц и й , которую должны знать администраторы

при работе с т а к о й службой, ка к AD DS, является распределение обязанностей.

С л у ж б а каталога очень п о х о ж а на веб-службу. ,

А д м и н и с т р а т о р ы в е б – с л у ж б ы отвечают за управление 11S (Microsoft In-

t e r n e t I n f o r m a t i o n Services) и соответствующую операционную систему, но не

отвечают за с о д е р ж и м о е веб-сайтов, которыми управляет сервер.

В в е б – с л у ж б е о б я з а н н о с т и необходимо распределять с учетом механизма

у п р а в л е н и я д а н н ы м и и с л у ж б а м и . Отдел IT отвечает за управление службами,

а п о л ь з о в а т е л и – за у п р а в л е н и е д а н н ы м и или содержимым. Тот же принцип

п р и м е н я е т с я к с л у ж б е каталогов.

Распределенная база д а н н ы х AD DS, содержащая информацию о пользова-

телях, компьютерах, серверах, службах и других компонентах сети, относится

к категории сетевой о п е р а ц и о н н о й системы N O S (Network Operating System),

а также к с л у ж б е облегченного доступа к каталогам LDAP, поэтому админист-

раторы в ы п о л н я ю т з а д а ч и вместе с несколькими членами организации.

• Если п р и м е н я т ь ф у н к ц и ю поиска в каталоге (Search Active Directory) для

л о к а л и з а ц и и своей записи, можно изменить такую информацию, как номер

телефона, р а с п о л о ж е н и е и т. д.

б 1 2 Непрерывность бизнес-процессо в каталого в

Глава 13

John Kane Properties

m

General | ;<йвз !Butnew;

1Н1.ЧЯЮЯ

PO. Bo*

a»:

Denver

CO

Др^мЫ UO Э1Е34

С«*муЛ«90r: Unrted Staos

Менеджеры безопасности и распределенных групп могут автоматически

управлять содержимым группы, если назначить им соответствующие права.

В таком случае системным администраторам нет необходимости управлять

службой каталогов NOS.

Как определить, должен ли пользователь быть членом группы? При каж-

дом изменении членства в группе он отвечает на запрос, и н и ц и и р о в а н -

ный кем-то еще. Так почему бы не исключить посредника и не возложить

ответственность непосредственно на менеджеров групп?

l e g s ! M t t u g t M Prcpertiei

ш

ObfeO ] __ Sec^y j Ш Щ й ,

Geneiei Г Members Г Member 01

Managed By

Contoto.com/New Urat/John Kane

j Change,» j ftopyiie» ] ЦЩ

Manager can update membership Bst

Of се

Sbeet

111 N Broadway

Сrty

Denver

State/province: CO

Cocrity/region: Urated States

Telephone number. 45104

Fax nunbei.

Apl-У I

Занятие 1

Поддержка каталогов и защита хранилища данных

6 1 5

• С м е н а п а р о л е й у п р а в л я е т с я отделом справки.

• О б е с п е ч е н и е д о с т у п н о с т и к а т а л о г о в и с л у ж б ы DNS я в л я е т с я одной из

о с н о в н ы х ф у н к ц и о н а л ь н ы х о б я з а н н о с т е й системных администраторов —

э т о м у в о п р о с у о н и д о л ж н ы у д е л я т ь особое внимание. Прежде всего, сис-

т е м н ы е а д м и н и с т р а т о р ы у п р а в л я ю т доступностью служб и содержащихся

в к а т а л о г а х д а н н ы х , а не с а м и м и д а н н ы м и .

П р и п л а н и р о в а н и и стратегии проактивного управления основное внимание

следует у д е л и т ь у п р а в л е н и ю о п е р а ц и я м и и делегированию управления дан-

н ы м и , б л а г о д а р я к о т о р о м у ответственность за управление объектами можно

в о з л о ж и т ь на д р у г о г о п о л ь з о в а т е л я в организации.

Изучив материал этого занятия, вы сможете:

S Определять, какие административные задачи требуется выполнять для под-

держки AD DS и DNS.

S Различать задачи поддержки, выполняемые в автономном и сетевом ре-

жимах.

•S Выполнять задачи поддержки в автономном режиме. .

•S Восстанавливать данные в сетевом режиме.

S Восстанавливать данные в автономном режиме.

Продолжительность занятия – около 90 мин.

Двенадцать категорий администрирования AD DS

А д м и н и с т р и р о в а н и е , и л и управление, Active Directory заключается в выпол-

н е н и и д в е н а д ц а т и к а т е г о р и й задач. Все осуществляемые при этом операции,

область их д е й с т в и я , з а д а ч и по у п р а в л е н и ю данными или содержимым, свя-

з а н н ы е с а д м и н и с т р и р о в а н и е м служб, описаны в табл. 13-1.

Табл. 13-1. Административная активность AD DS

Задача

Описание

Сервис Данные

Администриро– Смена пользовательских паролей, создание и деак– • 0

вание учетных тивация пользователей, создание групп пользова-

записей пользо– телей и управление членством. Эти задачи следует

вателей и групп делегировать отделу справки

Администриро– Все компьютеры в сетевой среде Windows должны • 0

вание конечных располагать учетными записями компьютеров.

устройств

С помощью своих учетных записей компьютеры

взаимодействуют с каталогом. Эти задачи следует

делегировать техникам

Администриро– Публикация общих сетевых файловых ресурсов, 0 0

вание сетевых

принтеров, распределенных файловых ресурсов

служб

DFS (Distributed File Share), разделов каталога

приложений и т. д. Эти задачи нужно делегировать

администраторам всех типов служб

(см. след. стр.)

6 1 6

б12 Непрерывность бизнес-процессо в каталогов

Глава 13

Табл. 13-1 (продолжение)

Задана Описание Сервис Данные

Управление Объекты GPO (Group Policy Object) обеспечивают 0 •

объектами мощную модель управления объектами в Windows

групповой по– Server 2008. Эти задачи следует делегировать соот-

литики ветствующим техническим специалистам, однако

распространением объектов GPO должен зани-

маться центральный администратор GPO

Админнстриро– Теперь структура DNS плотно интегрирована 0 •

вание DNS с каталогом и выполнение операций зависит от

корректного функционирования службы динами-

ческого DNS. Поскольку структура D N S интег-

рирована с каталогом,-администрирование DNS

входит в обязанности администратора домена

Админнстриро– Все задачи, начиная с назначения политик учет– 0 •

вание безопас– ных записей домена и прав пользователей для

ности управления доверием и заканчивая администри-

рованием списков контроля доступа ACL (Access

Control List) и элементов разрешений АСЕ

(Access Control Entry). Выполнение этих задач

входит в обязанности администратора домена

или назначенных операторов, которым делегиро-

ваны задачи

Управление Репликация является фундаментом для выпол– 0 •

топологией и нения операций служб каталогов и охватывает

репликацией конфигурацию подсетей, сайтов, связей сайтов,

Active Directory мостов связей сайтов и мостовых серверов. Для

генерирования исправления топологией репли-

кации интенсивно используется служба проверки

целостности КСС (Knowledge Consistency Chec-

ker). Выполнение этих задач входит в обязаннос-

ти администратора домена

Управление Администрирование конфигурации связано 0 П

конфигурацией с проектированием и реализацией лесов, доменов

Active Directory и подразделений. Для выполнения таких задач

также используются роли FSMO (Flexible Single

Master of Operations), серверы глобального ка-

талога и контроллеры доменов, включая RODC,

поскольку эти серверы определяют конфигура-

. цию каждого леса. Кроме того, синхронизация

времени также связана с управлением конфигу-

рацией. Выполнение этих задач входит в обязан-

ности администраторов леса и домена

Управление База данных AD DS является распределенной 0 О

схемой и включает схему базы данных. Модификации

Active Directory схемы требуют особого внимания, поскольку

добавляемые объекты нельзя так просто удалить,

хотя их можно деактивировать, переименовать

и многократно использовать. Выполнение этих

задач входит в обязанности администратора

леса

Занятие 1

Поддержка каталогов и защита хранилища данных

6 1 7

Табл. 13-1 ( окончание)

Задача

Описание

СервисДанные

Управление

Заполнение каталога информацией о содержащихся • 0

информацией

в нем объектах. Объекты пользователей, общие пап-

ки и объекты компьютеров могут включать данные

владельцев, группы могут включать данные менед-

жеров, а принтеры и компьютеры могут включать

данные отслеживания размещения. Для того чтобы

добавить или удалить содержимое глобального ката-

лога и определить, необходимо ли индексирование

объектов, можно использовать консоль Схема Active

Directory (Active Directory Schema). При выполне-

нии задач также используются квоты NTDS, позво-

ляющие ограничить объем информации, добавляе-

мой в каталог. Задачи управления информацией по

возможности следует делегировать

Управление

Поддержка базы данных Ntds.dit и защита объектов 0 •

базой данных

AD DS, также защита GPO и управление контейне-

рами LostandFound и LostandFoundConfig, предна-

значенными для сбора бездомных объектов в ката-

логе. В эти задачи также входит сжатие базы данных

каталогов на каждом контроллере домена. Хотя AD

DS автоматически и регулярно сжимает свою базу

данных, рекомендуется попрактиковаться в выпол-

нении сжатия вручную. Осуществление этих функ-

ций входит в обязанности администратора домена

Отчетность Ac-

Генерирование отчетов каталога о структуре, содер– 0 0

tive Directory

жимом и режиме запуска. Централизованного средс-

тва отчетности не существует, однако данные можно

экспортировать на нескольких уровнях каталога.

С помощью консоли Управление групповой полити-

кой (Group Policy.Management) также можно генери-

ровать отчеты по объектам GPO. Выполнение этих

задач входит в обязанности администратора домена

и администратора GPO

В з а в и с и м о с т и от р а з м е р а сети к а ж д а я операция (активность), описанная

в табл. 13-1, сама по себе м о ж е т я в л я т ь с я своего рода работой. Поэтому сле-

дует делегировать часть э т о й работы, чтобы служба каталогов была постоянно

доступной. В о т д е л ь н ы х с ц е н а р и я х м о ж н о использовать пару инструментов.

Использование Acctlnfo.dll

Для у п р а в л е н и я у ч е т н ы м и з а п и с я м и п о л ь з о в а т е л е й применяется оснастка

Active D irect ory – п о л ь з о в а т е л и и компьютеры (Active Directory Users And

Computers), п о д д е р ж и в а ю щ а я у л у ч ш е н и я , которые частично обеспечиваются

корпорацией M i c r o s o f t , Н а п р и м е р , вы м о ж е т е добавить вкладку Additional

Account Info в о к н о с в о й с т в о б ъ е к т а пользователя, загрузив и зарегистри-

ровав б и б л и о т е к у A c c t l n f o . d l l на сервере и л и рабочей станции с консолью

Active Directory – пользователи и компьютеры. Библиотека Acctlnfo.dll входит

в состав W i n d o w s Server 2003 Resource Kit вместе со средствами блокировки

и управления у ч е т н ы м и з а п и с я м и .

21 Зак. 3399

б12 Непрерывность бизнес-процессов каталогов

Глава 13

ВНИМАНИЕ! Дополнительные сведения учетной записи

Отметим, что вкладка Additional Account Info открывается только в независимой

коисолн Active Directory – пользователи и компьютеры (Active Directory Users And

Computers) и не отображается в узле Active Directory – пользователи и компьютеры

Диспетчера сервера (Server Manager).

Д л я установки вкладки A d d i t i o n a l A c c o u n t I n f o в ы п о л н и т е с л е д у ю щ у ю

процедуру. При этом вам понадобятся у ч е т н ы е д а н н ы е л о к а л ь н о г о а д м и н и с т р а -

тора, если вы работаете на рабочей с т а н ц и и и л и р я д о в о м сервере, л и б о у ч е т н ы е

данные администратора домена, если вы р а б о т а е т е на к о н т р о л л е р е домена.

1. Убедитесь, что в системе у с т а н о в л е н ы с р е д с т в а у д а л е н н о г о а д м и н и с т р и р о -

вания RSAT (Remote Server A d m i n i s t r a t i o n Tools), в ч а с т н о с т и д л я адми-

нистрирования AD DS.

2. На веб-сайте Microsoft загрузите у т и л и т у A c c o u n t L o c k o u t And M a n a g e m e n t

Tools и сохраните ее в папке Д о к у м е н т ы ( D o c u m e n t s ) с и с т е м ы , где х о т и т е

установить данную утилиту.

3. Извлеките инструменты из и с п о л н я е м о г о ф а й л а .

4. После извлечения инструментов л о к а л и з у й т е ф а й л Acctlnfo.dll. Он д о л ж е н

храниться в папке Документы ( D o c u m e n t s ) .

5. В окне командной строки в ы п о л н и т е от и м е н и а д м и н и с т р а т о р а к о м а н д у

regsvr32 acctinfo.dll.

6. В сообщении об успешной р е г и с т р а ц и и щ е л к н и т е ОК и з а к р о й т е о к н о

командной строки.

7. Если во время выполнения этих о п е р а ц и й к о н с о л ь Active D i r e c t o r y – поль-

зователи и компьютеры (Active D i r e c t o r y U s e r s And C o m p u t e r s ) б ы л а от-

крыта, закройте и вновь откройте ее.

8. Локализуйте запись пользователя.

9. Откройте диалоговое окно Свойства ( P r o p e r t i e s ) у ч е т н о й з а п и с и пользо-

вателя.

10. Перейдите на вкладку Additional A c c o u n t Info (рис. 13-1) и п р о с м о т р и т е

информацию. Кроме нее вкладка с о д е р ж и т с л е д у ю щ и е с в е д е н и я и опции.

• Политика паролей, н а з н а ч е н н а я д л я э т о й у ч е т н о й з а п и с и . Ч т о б ы ее

отобразить следует щелкнуть к н о п к у D o m a i n P W Info.

xj

I I

Ртгмм PWS Kept /ЧрМмсгОД

Информацию об идентификаторах безопасности учетной записи, пред-

ставленную в секции S I D History. Эти д а н н ы е в ы в о д я т с я , если в до-

мене включен журнал S I D (Sid History), к о т о р ы й обычно включается

Занятие 1

Поддержка каталогов и защита хранилища данных