Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 63 (всего у книги 91 страниц)

ма шины . В случае с к о н т р о л л е р о м домена вся остальная работа автоматически

будет в ы п о л н е н а в п р о ц е с с е р е п л и к а ц и и с равноправными участниками в со-

ответствии с датой восстановления. Этот сценарий гарантирует непрерывность

бизнес-процессов на к о н т р о л л е р а х доменов.

Кроме того, в W i n d o w s Server 2008 защита виртуальных машин значитель-

но у л у ч ш е н а с п о м о щ ь ю с л у ж б ы теневого копирования томов VSS (Volume

Shadow Copy Service). О т к о н ф и г у р и р о в а н н а я служба VSS автоматически со-

здает м г н о в е н н ы е к о п и и с о д е р ж и м о г о диска. В случае повреждения любо-

го ф а й л а на д и с к е и с п о л ь з у е т с я вкладка Предыдущие версии (Previous Ver-

sions) диалогового окна Свойства (Properties) любого файла и папки. На этой

вкладке м о ж н о быстро восстановить предыдущую версию файла или папки.

Ф у н к ц и я п р е д ы д у щ и х версий по умолчанию включена в Windows Server 2008

и W i n d o w s Vista.

6 5 4

б12 Непрерывность бизнес-процессов каталогов

Глава 13

В виртуальной м а ш и н е в ы п о л н я е т с я в о с с т а н о в л е н и е в и р т у а л ь н ы х жестких

дисков, составляющих машину, п о с л е чего о н а в о з в р а щ а е т с я к с о с т о я н и ю на

дату восстановления. В целом эта п р о ц е д у р а з а н и м а е т п р и м е р н о 5 мин. Д р у г и е

сценарии восстановления не п о д д е р ж и в а ю т с я с л у ж б о й V S S и в и р т у а л ь н ы м и

машинами VM (Virtual M a c h i n e ) .

Службу VSS нужно в к л ю ч и т ь на серверах, у п р а в л я ю щ и х и п о д д е р ж и в а -

ющих виртуальные м а ш и н ы в ц е н т р е д а н н ы х . К р о м е того, ее м о ж н о добавить

в систему с полной установкой и я д р о м сервера ( S e r v e r Core). Ч т о б ы включить

службу VSS на любом сервере, т р е б у е т с я п р и м е р н о 10 м и н , о д н а к о п р е ж д е

необходимо подготовить соответствующую с т р у к т у р у д и с к о в . Н а п р и м е р , хост

Hyper-V должен содержать хотя бы т р и д и с к о в ы х тома.

• Диск С должен быть с и с т е м н ы м и з а г р у з о ч н ы м и у п р а в л я т ь с я р о л ы о H y -

per-V.

1 Диск D должен быть диском д а н н ы х и у п р а в л я т ь с я в и р т у а л ь н ы м и м а ш и -

нами. В большинстве случаев его следует х р а н и т ь в в и д е р е с у р с а с о б щ и м

доступом для поддержки н е п р е р ы в н о с т и п р о ц е с с о в , у п р а в л я е м ы х вирту-

альными машинами.

• Диск Е необходимо о т к о н ф и г у р и р о в а т ь д л я у п р а в л е н и я м г н о в е н н ы м и ко-

пиями VSS, которые будут создаваться на р е г у л я р н о й основе. П р и этом

каждая копия VSS занимает примерно 100 Мбайт, п о с к о л ь к у захватываются

только указатели дисков, а не вся д и с к о в а я с т р у к т у р а . Вы м о ж е т е хранить

до 512 мгновенных копий. П р и д о с т и ж е н и и э т о г о п о р о г о в о г о з н а ч е н и я i

служба VSS начнет а в т о м а т и ч е с к и з а м е н я т ь с а м ы е с т а р ы е м г н о в е н н ы е

копии. Используйте диск с с о о т в е т с т в у ю щ и м о б ъ е м о м .

Чтобы включить службу VSS, в ы п о л н и т е с л е д у ю щ е е .

1. Войдите на хост-сервер, и с п о л ь з у я у ч е т н ы е д а н н ы е л о к а л ь н о г о админист-

ратора.

2. Откройте Проводник Windows (Windows Explorer), л о к а л и з у й т е диск D, щелк-

ните его правой кнопкой м ы ш и и в ы п о л н и т е к о м а н д у С в о й с т в а (Properties).

3. В диалоговом окне Свойства ( P r o p e r t i e s ) п е р е й д и т е на в к л а д к у Теневые

копии (Shadow Copies).

4. Назначьте параметры VSS. Щ е л к н и т е к н о п к у П а р а м е т р ы ( S e t t i n g s ) .

5. В раскрывающемся списке диалогового окна П а р а м е т р ы (Settings) выберите

диск D. Укажите соответствующий м а к с и м а л ь н ы й р а з м е р д л я к о п и и (ре-

комендуется использовать з н а ч е н и е по у м о л ч а н и ю ) и п р и необходимости

измените расписание. Щ е л к н и т е О К .

6. В списке Выберите том (Select Volume) в ы б е р и т е д и с к D и щ е л к н и т е кнопку

Включить (Enable). В диалоговом о к н е В к л ю ч е н и е теневого копирования

(Enable Shadow Copies) щ е л к н и т е Да (Yes).

Начните с использования р а с п и с а н и я по у м о л ч а н и ю , поскольку п о з ж е вы

всегда сможете его изменить. Теперь с л у ж б а V S S включена.

7. Чтобы создать первую теневую копию, щ е л к н и т е к н о п к у Создать (Create

Now). Будет сгенерирован первый набор з а щ и т ы д л я в и р т у а л ь н ы х машин.

8. Щелкните ОК, чтобы закрыть диалоговое окно Свойства (Properties) диска D.

Занятие 1

Поддержка каталогов и защита хранилища данных

6 5 5

Эту о п е р а ц и ю также можно выполнить с помощью командной строки. Если

на хост-серверах у с т а н о в л е н о я д р о сервера (Server Core) с целью снижения

н а г р у з к и п р о ц е с с о р о в э т и х серверов, данную операцию необходимо выпол-

н я т ь у д а л е н н о и л и с п о м о щ ь ю к о м а н д н о й строки. Используйте следующие

к о м а н д ы :

vssadmin add shadowstorage /for=d: /оп=е: /maxsize=6000mb

vssadmin create shadow /for=d:

vssadmin l i s t shadowstorage

vssadmin l i s t shadows

П е р в а я к о м а н д а в к л ю ч а е т т е н е в ы е копии в соответствии с расписанием по

у м о л ч а н и ю . В т о р а я к о м а н д а создает первую теневую копию. Следующие две

к о м а н д ы п е р е ч и с л я ю т а с с о ц и а ц и и и доступные теневые копии.

Р а с п и с а н и я т е н е в о г о к о п и р о в а н и я представляют собой запланированные

з а д а н и я . Д л я к о н т р о л я з а п л а н и р о в а н н о г о задания и модификации его рас-

п и с а н и я и с п о л ь з у е т с я к о м а н д а Schtasks.exe или – удаленно – Планировщик

заданий (Task S c h e d u l e r ) в консоли Управление компьютером (Computer Mana-

g e m e n t ) .

Ч т о б ы п о л у ч и т ь д о с т у п к п р е д ыд у ще й версии файла или папки, откройте

П р о в о д н и к W i n d o w s ( W i n d o w s Explorer), подключитесь к общей папке (в дан-

ном с л у ч а е к о б щ е м у р е с у р с у по умолчанию DS, созданному системой) и ло-

к а л и з у й т е ф а й л и л и папку, в которой он хранился. Щелкните файл или папку

п р а в о й к н о п к о й м ы ш и , о т к р о й т е диалоговое окно Свойства (Properties), пе-

р е й д и т е на в к л а д к у П р е д ы д у щ и е версии (Previous Versions), выберите нужную

версию и щ е л к н и т е к н о п к у Восстановить (Restore). Закройте диалоговое окно

свойств. Вы т а к ж е м о ж е т е к о п и р о в а т ь и сравнивать файлы.

П р о с л е д и т е за р а б о т о й с л у ж б ы VSS, чтобы убедиться в корректности рас-

п и с а н и я по у м о л ч а н и ю . Просмотрите, как используется служба VSS, и опре-

делите, н у ж н о ли м о д и ф и ц и р о в а т ь р а с п и с а н и е по умолчанию. Как видите,

служба V S S я в л я е т с я д о с т о й н ы м конкурентом другим процессам архивации

и в о с с т а н о в л е н и я в и р т у а л ь н ы х машин.

К СВЕДЕНИЮ Высокая готовность виртуальных машин

В данном руководстве не описаны методы обеспечения высокой готовности вир-

туальных машин. Если нужно подготовить хост-серверы Server Core и Hyper-V,

прочитайте руководство «Microsoft Windows Server 2008: The Complete Reference by

Ruest and Ruest» (McGraw-Hill Osborne, 2008). В нем рассказывается, как создать

завершенную динамическую инфраструктуру на основе Windows Server 2008.

Практические занятия. Работа с базой данных AD DS

В приведенных далее у п р а ж н е н и я х предлагается использовать различные ути-

л и т ы д л я з а щ и т ы и у п р а в л е н и я базой данных AD DS. Вначале необходимо

сгенерировать архив д а н н ы х каталога, создать с его помощью новый контрол-

лер домена, п р и м е н я я а в т о н о м н ы е данные, чтобы ускорить процесс и снизить

объем р е п л и к а ц и и по сети. Затем следует заняться базой данных AD DS, вруч-

ную в ы п о л н и т ь д е ф р а г м е и т а ц и ю и сжатие, после чего автоматизировать этот

б 1 2 Непрерывност ь бизнес -процессо в каталогов

Глава 13

процесс. Для защиты объектов групповой п о л и т и к и н е о б х о д и м о задействовать

консоль Управление групповой п о л и т и к о й ( G r o u p Policy M a n a g e m e n t Console,

G P M C ) . В этих упражнениях п о н а д о б я т с я м а ш и н ы S E R V E R 1 0 и S E R V E R 1 1 ,

конфигурация которых описана в начале этой главы.

Упражнение 1. Захват данных с о с т о я н и я с и с т е м ы

с помощью утилиты Ntdsutil.exe

С помощью утилиты Ntdsutil.exe н у ж н о з а х в а т и т ь д а н н ы е д л я у с т а н о в к и кон-

троллера домена с носителя.

1. Войдите на машину S E R V E R 1 0 как а д м и н и с т р а т о р д о м е н а .

2. Запустите командную строку от и м е н и а д м и н и с т р а т о р а .

3. Введите следующие команды:

n t d s u t i l

activate instance NTDS

if га

create sysvol f u l l d : i f m

В ходе выполнения операции система о т о б р а з и т с о о б щ е н и е Создание сним-

ка (Creating Snapshot), а после з а в е р ш е н и я о п е р а ц и и о т о б р а з и т и некото-

рую другую информацию. О т м е т и м , ч т о с и с т е м а д е ф р а г м е н т и р у е т вновь

созданный снимок.

. Ад • "-агтратор– Командная а р а к а – ntdsutrf

> -JQ-XJ

т – Е и ш ш к – j K j e n n . m p – ' H I D . : . " .

l U t h c t i l : i f r i

П'М: create cysuol full i!:ifn

o w n создан H.iiiop снижав «col4*78-19Urt-4«24-»e73-«9f48<1в46вл«>.

«ишк C!6«-44ef-dr;8-4102-bl9i.-96i0tia974586> цстчновлом как C:$S№P_2QE№121b20

Ij UOWrtlCSv

ишчж <2t,ce44ef~d27S~4ir)2-M9e-?f,ltk'a97-158r,> до попповчеи.

пипок (2(,1;o'Mef-d278-41(E-bl9u-9(,l[fc.>9V4S86> two подключен.

..пуск |iei.Mi« ЯММГНШТПЦИИ. . .

Исходил* «м данных: С: V5SNI1P_2ШЮ121620Э0_UOLUMEC$Uindou=4NTDSVntds .dit

Котгчн.™ f.'. d:ilnMlctioo l>iroctoi-yntd:: .dit

Dcli4tyrientatitm Status (7. c(mplcti:>

К ш ш ^ ш м н т ?

< t l H / Ч M i l 1111.» I l l ) 1 9 4 ' , ! ШЧ

4 ! ' H I J 4 0 i U f , D llt>

4. Введите следующие команды:

quit

quit

5. В проводнике Windows просмотрите результаты с о з д а н и я снимка с помо-

щью утилиты Ntdsutil.exe.

6. Назначьте общий доступ к п а п к е I F M , щ е л к н у в п а п к у п р а в о й кнопкой

мыши и выполнив команду О б щ и й доступ ( S h a r e ) .

Занятие 1

Поддержка каталогов и защита хранилища данных

6 5 7

7. В р а с к р ы в а ю щ е м с я с п и с к е в ы б е р и т е группу Все (Everyone), щелкните

к н о п к у Д о б а в и т ь ( A d d ) и в столбце Уровень разрешений (Permission Level)

назначьте р о л ь С о а в т о р ( C o n t r i b u t o r ) .

8. Щ е л к н и т е к н о п к у О б щ и й д о с т у п (Share), чтобы создать общий ресурс.

9. Щ е л к н и т е к н о п к у Готово ( D o n e ) .

Д а н н ы е I F M т е п е р ь м о ж н о использовать для создания нового контроллера

! домеиа.

У п р а ж н е н и е 2 . С о з д а н и е к о н т р о л л е р а д о м е н а и з данных архива

У с т а н о в и т е н о в ы й к о н т р о л л е р в д о м е н е treyresearch.net, используя данные

I F M .

1. В о й д и т е на м а ш и н у S E R V E R 1 1 как л о к ал ьны й администратор.

2. О т к р о й т е п р о в о д н и к W i n d o w s и создайте на диске С новую папку IFM.

3. Перейдите в адресную строку проводника Windows, введите адрес \s erver10

ifm и н а ж м и т е к л а в и ш у Enter.

1 4. Е с л и о т к р о е т с я д и а л о г о в о е окно ввода учетных данных, введите имя Тгеу-

r e s e a r c h А д м и н и с т р а т о р и соответствующий пароль.

Е с л и на о б о и х серверах и с п о л ь з у е т с я одно имя и пароль учетной записи,

хотя м а ш и н а S E R V E R 1 1 не я в л я е т с я членом домена, окно ввода учетных

д а н н ы х не п о я в и т с я б л а г о д а р я сквозной проверке подлинности.

5. С к о п и р у й т е все с о д е р ж и м о е из папки IFM на машине SERVER10 в папку

C : I F M н а м а ш и н е S E R V E R 1 1 .

6. Убедитесь, ч т о все э л е м е н т ы скопированы.

7. Установите р о л ь Д о м е н н ы е с л у ж б ы Active Directory (Active Directory Do-

main Services). В Д и с п е т ч е р е сервера (Server Manager) щелкните правой

к н о п к о й м ы ш и у з е л Р о л и (Roles) и выполните команду Добавить роли

( A d d Roles).

8. П р о ч и т а й т е и н ф о р м а ц и ю на странице Перед началом работы (Before You

Begin) мастера и щ е л к н и т е Д а л е е (Next).

9. На странице Выбор р о л е й сервера (Select Server Roles) Мастера добавления

р о л е й (Add Roles W i z a r d ) выберите роль Доменные службы Active Direc-

t o r y (Active D i r e c t o r y D o m a i n Services) и щелкните Далее (Next).

10. П р о ч и т а й т е и н ф о р м а ц и ю на странице Доменные службы Active Directory

(Active D i r e c t o r y D o m a i n Services) и щелкните Далее (Next).

11. Просмотрите выбранные параметры и щелкните кнопку Установить (Install).

12. Проверьте результаты установки и щелкните кнопку Закрыть (Close).

С л у ж б ы A D D S установлены.

13. В Д и с п е т ч е р е сервера (Server Manager) щелкните узел Доменные службы

Active D i rect ory (Active Directory Domain Services).

14. На п а н е л и с в е д е н и й щ е л к н и т е ссылку Запустите мастер установки до-

менных с л у ж б Active Directory ( R u n The Active Directory Domain Services

6 5 8

б12 Непрерывность бизнес-процессов каталогов

Глава 13

Installation Wizard). З а п у с т и т с я мастер у с т а н о в к и д о м е н н ы х с л у ж б Active

Directory.

15. Установите ф л а ж о к И с п о л ь з о в а т ь р а с ш и р е н н ы й р е ж и м у с т а н о в к и ( U s e

Advanced Mode Installation) и щ е л к н и т е Д а л е е ( N e x t ) . О т к р о й т е с т р а н и ц у

с опцией установки с носителя.

16. Прочитайте информацию на странице С о в м е с т и м о с т ь о п е р а ц и о н н ы х систем

(Operating System Compatibility) и щ е л к н и т е Д а л е е ( N e x t ) .

17. На странице Выбор к о н ф и г у р а ц и и р а з в е р т ы в а н и я ( C h o o s e A D e p l o y m e n t

Configuration) выберите п а р а м е т р С у щ е с т в у ю щ и й л е с ( E x i s t i n g F ore s t) ,

опцию Добавить контроллер д о м е н а в с у щ е с т в у ю щ и й л е с ( A d d A D o m a i n

Controller То An Existing D o m a i n ) и щ е л к н и т е Д а л е е ( N e x t ) .

18. На странице Сетевые учетные д а н н ы е ( N e t w o r k C r e d e n t i a l s ) в в е д и т е и м я

treyresearch.net.

Поскольку вы вошли на сервер к а к л о к а л ь н ы й а д м и н и с т р а т о р и учетная

запись ие имеет прав доступа к д о м е н у t r e y r e s e a r c h . n e t , н е о б х о д и м о указать

альтернативные учетные д а н н ы е .

19. Щелкните кнопку Задать (Set). Введите и м я treyresearch.netadMuuuanpamop

или аналогичное и м я и пароль. Щ е л к н и т е О К, а з а т е м Д а л е е ( N e x t ) .

20. На странице Выберите д о м е н (Select A D o m a i n ) щ е л к н и т е t r e y r e s e a r c h . n e t

(корневой домен леса), а затем Д а л е е ( N e x t ) .

21. На странице Выберите сайт (Select A S i t e ) п р и м и т е п а р а м е т р ы по умолча-

нию и щелкните Далее ( N e x t ) .

Эта страница отображается в р а с ш и р е н н о м р е ж и м е м а с т е р а .

22. На странице Д о п о л н и т е л ь н ы е п а р а м е т р ы к о н т р о л л е р а д о м е н а (Additional

Domain Controller Options) убедитесь, что у с т а н о в л е н ы оба ф л а ж к а – DNS-

сервер (DNS Server) и Глобальный к а т а л о г ( G l o b a l C a t a l o g ) , и щ е л к н и т е

Далее (Next).

Если вы не назначали с т а т и ч е с к и й I P – а др ес , п о я в и т с я п р е д у п р е ж д е н и е об

использовании динамического IP-адреса.

23. Щелкните параметр Да, компьютер будет и с п о л ь з о в а т ь д и н а м и ч е с к и на-

значаемый IP-адрес (не р е к о м е н д у е т с я ) (Yes, T h e C o m p u t e r Will U s e A Dy-

namically Assigned IP Address ( N o t R e c o m m e n d e d ) ) .

Мастер установки доменных с л у ж б Active D i r e c t o r y п р е д у п р е д и т о невоз-

можности создать делегирование д л я домена.

24. Щелкните Да (Yes).

25. На странице Установка с н о с и т е л я ( I n s t a l l F r o m M e d i a ) щ е л к н и т е Репли-

цировать данные с носителя в с л е д у ю щ е м р а с п о л о ж е н и и ( R e p l i c a t e Data

From Media At T h e Following Location), в в е д и т е путь C : I F M и л и щелк-

ните кнопку Обзор (Browse), чтобы л о к а л и з о в а т ь п а п к у I F M на диске С.

Щелкните Далее (Next).

Отметим, что вы д о л ж н ы использовать н о с и т е л ь с п и ш у щ е г о контроллера

домена, поскольку для него не выбран р е ж и м R O D C .

Занятие 1

Поддержка каталогов и защита хранилища данных

6 5 9

Acta.* Oirertoiy Domain SejvueiimtanatKPV/'aa,*

h u r t I r a n U n f a

Sdect cue rflhefc*a*.fB e**fara.oacencoa

d : ™an dat. c v r r ? a r r t r r f " Кат а г и в ч 'lamaa. v r i p f c t v / ы wa-a -

^ « а а с о т м ! da!a (nynnwda erased ^ v n an е н я г д oamaai certrraer fnatel

In,* made) in M"– cans c a l l .3 aynan c a i n l a – w d ae «1 Iha ea-w dwnan

aa (та т е * damer m a t l a

> ?«*:aiBda

a d a a f r a n n e d a ai a w ' o f o a e ^ b u t a n

'.•"'..a Ihaha^Ia aan Ina – – r e d a vouare л е ^ а э т а а Ы а wtnthelyde

d dmar caadafyco tveiifyej Wad t^ao^Kr. агпе Ящ

carted eve. ff* netacca

ЬсаЕзг.-

K J F H " ' * " ' " ; fbdaie..' ,j

I The ineda уш I M : я к я have м а г a a ^ a d Fran a *ntade fcnan

cva.nJec.r« a с п т й Г : i/l'nir

Wtae (fcod ' r A t i k – '

– Заек : Ч а й . Caniei

26. На с т р а н и ц е И с х о д н ы й к о н т р о л л е р домена (Source Domain Controller)

п р и м и т е п а р а м е т р ы по у м о л ч а н и ю и щелкните Далее (Next).

27. На с т р а н и ц е Р а с п о л о ж е н и е д л я базы данных, файлов журнала и SYSVOL

( L o c a t i o n For D a t a b a s e , Log Files And SYSVOL) примите параметры по

у м о л ч а н и ю и щ е л к н и т е Д а л е е (Next).

28. В в е д и т е с т р о г и й п а р о л ь с подтверждением и щелкните Далее (Next).

29. Проверьте в ы б р а н н ы е параметры на странице Сводка (Summary) и щелкни-

те Д а л е е ( N e x t ) . Установите ф л а ж о к Перезагрузка по завершении (Reboot

On C o m p l e t i o n ) И п о д о ж д и т е завершения операции.

Н о в ы й к о н т р о л л е р д о м е н а будет создан с локального носителя. Этот спо-

соб п о з в о л я е т с н и з и т ь объем р е п л и к а ц и и и обновить данные посредством

р е п л и к а ц и и п о с л е с о з д а н и я контроллера домена.

У п р а ж н е н и е 3 . Т е х н и ч е с к а я п о д д е р ж к а базы данных

Теперь п р е д л а г а е т с я з а н я т ь с я и н т е р а к т и в н ы м техническим обслуживанием

с п о м о щ ь ю п е р е г р у ж а е м о г о р е ж и м а доменных служб Active Directory (Active

D i r e c t o r y D o m a i n Services). Вы можете выполнить эту операцию, поскольку

в д о м е н е treyresearch.net есть два контроллера.

1. Войдите на м а ш и н у S E R V E R 1 1 как администратор домена.

2. В п р о в о д н и к е W i n d o w s ( W i n d o w s Explorer) создайте папки C:Temp и С:

O r i g i n a l N T D S .

Эти п а п к и будут и с п о л ь з о в а т ь с я как временное размещение для сжатия

исходной базы данных.

3. В Д и с п е т ч е р е сервера (Server M a n a g e r ) разверните узел Конфигурация

( C o n f i g u r a t i o n ) и щ е л к н и т е элемент Службы (Services).

4. Н а й д и т е Д о м е н н ы е с л у ж б ы Active Directory (Active Directory Domain Ser-

vices), щ е л к н и т е правой кнопкой м ы ш и и выполните команду Остановить

(Stop).

б12 Непрерывность бизнес-процессов каталогов

Глава 13

5 . В диалоговом окне О с т а н о в к а д р у г и х с л у ж б ( S t o p O t h e r S e r v i c e s ) щ е л к н и т е

Да (Yes). С л у ж б а будет о с т а н о в л е н а .

Пси остановке службы "Дгменные службы Active

! Directory" будут также остановлены слеоукшие

службы

Центр р«простргнен»1я ключей Кебего»

Служба межсайтоеьа сообщений

Реплжашя DFS

Остановить эти слрсбы?

Па | Нет

Помните, что если эта с л у ж б а не м о ж е т с в я з а т ь с я с. е щ е о д н и м п и ш у щ и м

контроллером домена, то ее работа не б у д е т о с т а н о в л е н а , п о с к о л ь к у в про-

тивном случае н и к т о не с м о ж е т в о й т и в д о м е н .

6 . В меню Пуск ( S t a r t ) щ е л к н и т е п р а в о й к н о п к о й м ы ш и з н а ч о к К о м а н д н а я

строка ( C o m m a n d P r o m p t ) и в ы п о л н и т е к о м а н д у З а п у с к о т и м е н и адми-

нистратора ( R u n As A d m i n i s t r a t o r ) .

7 . Начните сжатие базы д а н н ы х . В в е д и т е с л е д у ю щ и е к о м а н д ы :

ntdsutil

activate instance NTDS

f i l e s

compact to C:temp

Команда Ntdsutil.exe с ж и м а е т б а з у д а н н ы х и к о п и р у е т ее в н о в о е место.

В очень б о л ь ш и х к а т а л о г а х эта о п е р а ц и я з а н и м а е т н е к о т о р о е в р е м я .

8 . После з а в е р ш е н и я о п е р а ц и и с ж а т и я б а з ы д а н н ы х в в е д и т е с л е д у ю щ и е ко-

манды:

quit

quit

9 . Теперь удалите ф а й л ы ж у р н а л а . В в е д и т е т а к у ю к о м а н д у :

cd % s y s t e m r o o t % n t d s

del -.log

Занятие 1

Поддержка каталогов и защита хранилища данных

661

Вы удаляете ф а й л ы журнала, поскольку файл Ntds.dit будет заменен новым

сжатым файлом, а существующие файлы журнала не будут работать с новой

сжатой базой данных.

10. Теперь в ы п о л н и т е архивацию файла Ntds.dit, чтобы защитить его от пов-

реждений. Введите команду:

copy n t d s . d i t o r i g i n a l n t d s

11. С к о п и р у й т е н о в у ю сжатую базу данных в исходную папку NTDS. Убе-

дитесь, ч т о вы п о – п р е ж н е м у находитесь в папке %SystemRpot%NTDS,

и введите т а к у ю команду:

сору c : t e m p n t d s . d i t

У

12. И наконец, проверьте целостность нового файла Ntds.dit.

После в ы п о л н е н и я этих процедур вы можете произвести семантический

а н а л и з б а з ы д а н н ы х , чтобы проверить хранящуюся в ней информацию.

Введите с л е д у ю щ и е команды:

n t d s u t i l

a c t i v a t e instance NTDS

f i l e s

i n t e g r i t y

quit

semantic database a n a l y s i s

go fixup

quit

quit

Отметим, что в случае ошибки проверки целостности необходимо вновь

с к о п и р о в а т ь и с х о д н ы й ф а й л Ntds.dit в эту папку, поскольку новый сжа-

т ы й ф а й л поврежден. В противном случае контроллер домена не сможет

ф у н к ц и о н и р о в а т ь .

13. Вернитесь к Диспетчеру сервера (Server Manager), разверните узел Конфи-

гурация ( C o n f i g u r a t i o n ) и щелкните элемент Службы (Services).

14. Найдите Д о м е н н ы е службы Active Directory (Active Directory Domain Servi-

ces), щелкните правой кнопкой мыши и выполните команду Запустить (Start).

Сервер в н о в ь п о д к л ю ч и т с я к сети и будет готов предоставлять службы

проверки подлинности. Д л я перезапуска зависимых служб может потре-

боваться несколько минут. Удалите файл Ntds.dit, локализованный в папке

Original N T D S , поскольку он теперь недействителен.

У п р а ж н е н и е 4. Автоматизация технической поддержки базы данных

С помощью к о м а н д н о й строки можно написать сценарий сжатия базы дан-

ных для автоматизации этого процесса. Однако все результаты выполнения

операций следует сохранить в текстовом файле, чтобы при необходимости их

можно было просмотреть.

1. Войдите на машину S E R V E R 1 1 как администратор домена.

2. Удостоверьтесь, что на сервере имеются папки C:Temp и C:NTDS и что

они пусты.

б12 Непрерывность бизнес-процессов каталогов

Глава 13

Эти папки будут и с п о л ь з о в а н ы к а к в р е м е н н ы й к о н т е й н е р д л я с ж а т о й базы

данных. Теперь вы можете а в т о м а т и з и р о в а т ь п р о ц е с с с ж а т и я .

3. Перейдите в папку C:Temp, на п а н е л и с в е д е н и й щ е л к н и т е п р а в о й кнопкой

мыши, выполните команду Создать ( N e w ) и в ы б е р и т е Т е к с т о в ы й документ

(Text Document).

4. Задайте для текстового д о к у м е н т а и м я Compaction.cmd.

Если расширение ф а й л а .txt не о т о б р а ж а е т с я , в м е н ю С е р в и с (Tools) про-

водника Windows щ е л к н и т е о п ц и ю С в о й с т в а п а п к и ( F o l d e r O p t i o n s ) . Н а

вкладке Вид (View) сбросьте ф л а ж о к С к р ы в а т ь р а с ш и р е н и я д л я зарегистри-

рованных типов файлов (Hide Extensions F o r K n o w n File Types) и щ е л к н и т е

ОК. Удалите расширение .txt в и м е н и ф а й л а . П о д т в е р д и т е у д а л е н и е .

5. Щелкните правой кнопкой м ы ш и ф а й л C o m p a c t i o n . c m d и в ы п о л н и т е ко-

манду Изменить (Edit). Введите с л е д у ю щ и е к о м а н д ы :

del C:tempV.dit

del C:originalntds».dit

net stop ntds /у

ntdsutil "activate instance NTDS" f i l e s "compact to C:temp" quit quit

cd windowsntds

del *.log

copy ntds.dit originalntds

del ntds.dit

copy c:tempntds.dit

ntdsutil "activate instance NTDS" f i l e s integrity quit "semantic database

analysis" "go fixup" quit quit

net start ntds

6. Сохраните и закройте ф а й л C o m p a c t i o n . c m d .

Отметим, что вы можете д о б а в и т ь п а у з у п о с л е к а ж д о й к о м а н д ы в тексто-

вом файле, чтобы п р о в е р и т ь к о р р е к т н о с т ь в ы п о л н е н и я о п е р а ц и й путем

тестирования.

7 Протестируйте ф а й л . Д л я э т о г о з а п у с т и т е к о м а н д н у ю с т р о к у от имени

администратора.

8. Введите команды:

cd temp

compaction

9. Если ф а й л не работает, с п о м о щ ь ю к о м б и н а ц и и к л а в и ш C t r l + C отмените

выполнение командного ф а й л а и исправьте о ш и б к и .

Файл, который работает нормально, м о ж и о и с п о л ь з о в а т ь д л я автоматиза-

ции процесса.

10. Удалите в файле все и н с т р у к ц и и по остановке в ы п о л н е н и я и вновь сохра-

ните его.

Этот командный ф а й л м о ж н о и с п о л ь з о в а т ь к а ж д ы й р а з д л я с ж а т и я сис-

тем, желательно интерактивно, чтобы у с т р а н я т ь все о ш и б к и и неполадки-

Аккуратно поместите д а н н ы й ф а й л в з а п л а н и р о в а н н о е задание. Сжатие

никогда не следует запускать в а в т о м а т и з и р о в а н н о м р е ж и м е , поскольку

ошибки могут повредить контроллер домена.

Занятие 1

Поддержка каталогов и защита хранилища данных

6 6 3

11. Е с л и к о н т р о л л е р д о м е н а не функционирует, его роль можно удалить с по-

м о щ ь ю с л е д у ю щ е й команды:

dcpromo /forceremoval

12. Вновь з а п у с т и т е М а с т е р установки доменных служб Active Directory (Acti-

ve D i r e c t o r y D o m a i n Services Installation Wizard), чтобы воссоздать конт-

р о л л е р д о м е н а .

В ы п о л н я й т е с ж а т и е базы д а н н ы х Ntds.dit минимум раз в месяц.

У п р а ж н е н и е 5 . З а щ и т а объектов г р у п п о в о й политики

В этом у п р а ж н е н и и н е о б х о д и м о в ы п о л н и т ь архивацию объектов G P O с помо-

щ ь ю к о н с о л и у п р а в л е н и я г р у п п о в о й п о л и т и к о й G P M C .

1. В о й д и т е на м а ш и н у S E R V E R 1 1 как администратор домена.

2. П р о в е р ь т е н а л и ч и е п а п к и Temp на диске С.

3. В п р о г р а м м н о й г р у п п е Администрирование (Administrative Tools) запус-

т и т е к о н с о л ь У п р а в л е н и е групповой политикой (Group Policy Management

Console, G P M C ) .

4. Р а з в е р н и т е у з е л ЛесДоменымл<я_дол<енвОбъекты групповой политики

( F o r e s t D o m a i n s ^ ^ _ 3 o j K e ! w G r o u p Policy Objects).

5 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Объекты групповой политики

( G r o u p Policy Objects) и выполните команду Архивировать все (Back Up All).

6. В в е д и т е р а с п о л о ж е н и е C:Temp и л и щелкните кнопку Обзор (Browse), что-

б ы у к а з а т ь р а с п о л о ж е н и е папки.

7. Введите о п и с а н и е (в данном случае Первый архив GPO) и щелкните кнопку

А р х и в и р о в а т ь ( B a c k U p ) .

С р е д с т в о а р х и в а ц и и G P O отобразит ход выполнения архивации.

8. П о с л е з а в е р ш е н и я а р х и в а ц и и щ е л к н и т е ОК.

Теперь о б ъ е к т ы G P O з а щ и щ е н ы .

9. В ы п о л н и т е а р х и в а ц и ю п а п к и Temp.

П р и ж е л а н и и и с п о л ь з у й т е эту папку для копирования объектов GPO из од-

ного домена в другой. Выполняйте данную операцию минимум раз в неделю.

СОВЕТ К ЭКЗАМЕНУ

А р х и в а ц и я и в о с с т а н о в л е н и е о б ъ е к т о в G P O – важная тема сертификационного

экзамена. П о э т о м у п о п р а к т и к у й т е с ь в выполнении этих операций.

Резюме

• Д л я п о д д е р ж к и с л у ж б ы каталогов необходимо активно выполнять задачи

т е х н и ч е с к о й поддержки, которые распределены по двенадцати категори-

ям, п р и ч е м м н о г и е из них можно делегировать. Администраторы домена

отвечают за техническую поддержку службы AD DS и должны заниматься

о с н о в н ы м и о п е р а ц и я м и с каталогами, такими как задачи администрирова-

н и я базы данных.

6 6 4

б12 Непрерывность бизнес-процессов каталогов

Глава 13

• Для администрирования AD DS используется несколько инструментов. Чаще

всего применяются три основные консоли Active Directory: Active Directory —

пользователи и компьютеры (Active D i r e c t o r y Users And C o m p u t e r s ) , Active

Directory – сайты и с л у ж б ы (Active D i r e c t o r y Sites And Services) и Acti-

ve Directory – домены и д о в е р и е ( A c t i v e D i r e c t o r y D o m a i n s A n d Trusts).

• В Windows Server 2008 с л у ж б а AD DS, к а к и о с т а л ь н ы е с л у ж б ы , теперь

является управляемой, то есть ее м о ж н о з а п у с к а т ь и о с т а н а в л и в а т ь без

необходимости перезапускать сервер в Р е ж и м е в о с с т а н о в л е н и я с л у ж б ка-

талогов (Directory Services Restore M o d e ) .

• Удаленный объект в AD DS н е о б х о д и м о в о с с т а н о в и т ь , ч т о б ы воссоздать

его свойства. Если просто воссоздать объект, его S I D – и д е н т и ф и к а т о р будет

другим и, следовательно, все с в о й с т в а у д а л е н н о г о о б ъ е к т а будут у т е р я н ы .

При восстановлении объекта в о с с т а н а в л и в а е т с я и с х о д н ы й S I D – и д е н т и ф и -

катор и большая часть прав доступа, с в я з а н н ы х с о б ъ е к т о м .

• Существует несколько способов з а щ и т ы и н ф о р м а ц и и в каталоге:

о защита объектов от удаления;

о аудит изменений AD DS д л я п р о с м о т р а п р е д ы д у щ и х и и з м е н е н н ы х