Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 66 (всего у книги 91 страниц)
2. В Диспетчере сервера (Server M a n a g e r ) щ е л к н и т е п р а в о й к н о п к о й мыши
узел Компоненты ( F e a t u r e s ) и в ы п о л н и т е к о м а н д у Д о б а в и т ь компоненты
(Add Features).
3. На странице Выбор компонентов (Select F e a t u r e s ) мастера д о б а в л е н и я ком-
понентов (Add Features Wizard) в ы б е р и т е к о м п о н е н т Д и с п е т ч е р системных
ресурсов Windows ( W i n d o w s System Resources M a n a g e r ) и щ е л к н и т е Далее
(Next).
4. Диспетчер сервера потребует добавить В н у т р е н н ю ю базу д а н н ы х Windows
(Windows Internal D a t a b a s e ) . Щ е л к н и т е к н о п к у Д о б а в и т ь необходимые
компоненты (Add Required Features), а з а т е м – Д а л е е ( N e x t ) .
-Занятие 2
Управление производительностью каталогов 583
О т м е т и м , что в н у т р е н н я я база д а н н ы х Windows используется только ло-
к а л ь н о и не п р и н и м а е т у д а л е н н ы е подключения. Д л я сбора данных с дру-
гих серверов н у ж н о и с п о л ь з о в а т ь версию S Q L не ниже Microsoft SQL Ser-
ver 2005.
5. П р о ч и т а й т е и н ф о р м а ц и ю на странице Подтвердите выбранные параметры
( C o n f i r m I n s t a l l a t i o n Selections) и щелкните кнопку Установить (Install).
6. П р о а н а л и з и р у й т е р е з у л ь т а т ы у с т а н о в к и и щ е л к н и т е кнопку Закрыть
( C l o s e ) .
Установка з а в е р ш е н а .
7. Теперь в системе м о ж н о использовать диспетчер W S R M . Диспетчер систем-
н ы х р е с у р с о в W i n d o w s ( W i n d o w s System Resource Manager) представляет
собой н е з а в и с и м у ю к о н с о л ь в программной группе Администрирование
( A d m i n i s t r a t i v e Tools).
8. Когда вы будете о т к р ы в а т ь эту консоль, потребуется указать компьютер,
к к о т о р о м у следует п о д к л ю ч и т ь с я . Выберите опцию Этот компьютер (This
C o m p u t e r ) и щ е л к н и т е к н о п к у Подключить (Connect).
О т к р о е т с я и н т е р ф е й с W S R M (рис. 13-13). Отметим, что в нем используется
с т а н д а р т н ы й ф о р м а т M i c r o s o f t M a n a g e m e n t Console. Просмотрите различ-
н ы е к о м п о н е н т ы этой консоли.
• ' Eq-jJ_Pe'_PTOces {ynpaei
' Equel_PerJ ser
Г Eqjal_PeMISAppPo<*
Уппавгичие люкт^аы с^те»^ peoocoa (WSRH> ВЫПОЛНЯЕТСЯ
условие соответствие npojeo я изменена параметров WSRM иело*<тв *
!y Residue!
JlSAppPool
Условия
Кзпвшэсе фслочею}
П События илпендар»
РвОТ'СвРИв
Мсиитор ресурсов
Учет {Откисчемо)
Уцеаомлеч*» -Откл.
Для поп>–е»-ыв контекстной справки по диспетчеру
рестосов нежите >о
J -il
РИС. 13-13. Диспетчер системных ресурсов Windows
6 8 8
б12 Непрерывность бизнес-процессов каталогов
Глава 13
Резюме
ш В Windows Server 2008 д л я у п р а в л е н и я и с п о л ь з о в а н и е м р е с у р с о в ком-
пьютера и его мониторинга м о ж н о и с п о л ь з о в а т ь р а з л и ч н ы е и н с т р у м е н т ы ,
включая Диспетчер задач (Task M a n a g e r ) , Ж у р н а л ы с о б ы т и й ( E v e n t Logs),
Монитор стабильности (Reliability M o n i t o r ) и С и с т е м н ы й м о н и т о р ( P e r -
formance Monitor).
ш Монитор надежности ( P e r f o r m a n c e M o n i t o r ) и н т е г р и р у е т и н с т р у м е н т ы
из предыдущих версий Windows, в к л ю ч а я Ж у р н а л ы и о п о в е щ е н и я произ-
водительности (Performance Logs A n d A l e r t s ) , S e r v e r P e r f o r m a n c e Advisor
и Системный монитор (System M o n i t o r ) .
• Диспетчер системных ресурсов W i n d o w s ( W i n d o w s S y s t e m Resource Mana-
ger) применяется для управления р е с у р с а м и в с о о т в е т с т в и и с расписанием:
он отслеживает использование р е с у р с о в и а к т и в н о с т ь в е д е н и я ж у р н а л о в .
Кроме того, с его помощью м о ж н о у п р а в л я т ь д о с т у п о м к р е с у р с а м на ос-
нове политик.
Закрепление материала
Следующие вопросы можно и с п о л ь з о в а т ь д л я п р о в е р к и з н а н и й , полученных
на занятии 2. Эти вопросы есть и на с о п р о в о д и т е л ь н о м к о м п а к т – д и с к е .
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вам как системному а д м и н и с т р а т о р у д о м е н а c o n t o s o . c o m п о р у ч е н о про-
верить группы сборщиков д а н н ы х на к о н т р о л л е р е д о м е н а (эти группы со-
зданы не вами). В процессе п р о в е р к и о б н а р у ж и л о с ь , что с б о р щ и к и данных
запущены постоянно, а в ы д е л е н н о е д л я х р а н е н и я п р о с т р а н с т в о перепол-
нено. В чем причина в о з н и к н о в е н и я п р о б л е м ы ? ( У к а ж и т е все варианты.)
A. Для групп сборщиков д а н н ы х не з а д а н с р о к д е й с т в и я .
Б. Для групп сборщиков д а н н ы х не з а д а н о р а с п и с а н и е .
B. Д л я групп сборщиков д а н н ы х не з а д а н о у с л о в и е о с т а н о в к и .
Г. Для групп сборщиков д а н н ы х з а д а н о н е к о р р е к т н о е расписание.
2. Вы работаете с и с т е м н ы м а д м и н и с т р а т о р о м в д о м е н е c o n t o s o . c o m . При
входе на контроллер домена д л я в ы п о л н е н и я т е х н и ч е с к о г о обслуживания
вы, обнаружив, что сервер р е а г и р у е т о ч е н ь м е д л е н н о , х о т и т е выяснить,
что происходит. К а к о й и н с т р у м е н т с л е д у е т и с п о л ь з о в а т ь ? ( У к а ж и т е все
варианты.)
A. Монитор стабильности (Reliability M o n i t o r ) .
Б. Просмотр событий ( E v e n t V i e w e r ) .
B. Диспетчер задач (Task M a n a g e r ) .
Г. Системный монитор ( P e r f o r m a n c e M o n i t o r ) .
Резюме главы 6 8 9
Закрепление материала главы
Для-того ч т о б ы п о п р а к т и к о в а т ь с я и закрепить знания, полученные при изуче-
н и и п р е д с т а в л е н н о г о в этой главе материала, вам необходимо:
• о з н а к о м и т ь с я с р е з ю м е главы;
• п о в т о р и т ь и с п о л ь з у е м ы е в главе основные термины;
• и з у ч и т ь с ц е н а р и й , в котором описана реальная ситуация, требующая при-
м е н е н и я п о л у ч е н н ы х знаний, и предложить свое решение;
• в ы п о л н и т ь р е к о м е н д у е м ы е упражнения;
• сдать п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.
Резюме главы
• Д о м е н н ы е с л у ж б ы Active Directory (Active Directory Domain Services) – это
набор к о м п л е к с н ы х служб, которые взаимодействуют д р у г е другом, обес-
п е ч и в а я р е ш е н и е задач и д е н т и ф и к а ц и и и управления доступом с высокой
с т е п е н ь ю г о т о в н о с т и . По этой п р и ч и н е существует несколько аспектов
а д м и н и с т р и р о в а н и я AD DS. Д л я управления средой в сети и в автономном
р е ж и м е н е о б х о д и м о о с у щ е с т в л я т ь двенадцать видов операций (активнос-
тей), хотя м н о г и е из э т и х типов технического обслуживания можно деле-
гировать.
• К а к и а д м и н и с т р а т о р ы домена, операторы службы каталогов должны обес-
п е ч и в а т ь п о с т о я н н у ю доступность службы AD DS с оптимальной произво-
д и т е л ь н о с т ь ю . Д л я этого в базе данных необходимо выполнять много ад-
I м и н и с т р а т и в н ы х задач в автономном режиме. В Windows Server 2008 такие
з а д а ч и в ы п о л н я ю т с я без о т к л ю ч е н и я сервера, поскольку службу AD DS
т е п е р ь м о ж н о з а п у с к а т ь и останавливать аналогично другим службам.
• В W i n d o w s Server 2008 предусмотрено несколько способов защиты данных
AD DS и н е с к о л ь к о методов восстановления этих данных. Один из относи-
т е л ь н о п р о с т ы х способов восстановления данных состоит в использовании
к о н т е й н е р а у д а л е н н ы х объектов, однако при этом необходимо обновить,
а затем в к л ю ч и т ь в о с с т а н о в л е н н ы й элемент.
• А р х и в а ц и ю д а н н ы х к а т а л о г о в в Windows Server 2008 можно выполнять
с п о м о щ ь ю двух средств. Утилита Ntdsutil.exe поддерживает создание авто-
номного носителя установки и защиту данных состояния системы контрол-
лера домена. Система а р х и в а ц и и данных Windows Server (Windows Server
B a c k u p ) обеспечивает защиту целых томов системы, а также поддерживает
защиту и восстановление целой компьютерной системы.
I • Поскольку роль контроллера домена идеально подходит для виртуализации,
к о н т р о л л е р ы доменов т а к ж е можно защитить с помощью службы теневого
к о п и р о в а н и я томов (Volume Shadow Copy Service) на хост-серверах. Эта
I служба з а щ и щ а е т виртуальные жесткие диски, составляющие виртуальную
машину, в которой запущен контроллер домена.
• При устранении неполадок производительности в Windows Server 2008 мож-
но использовать набор инструментов для анализа и исправления ошибок.
б12 Непрерывность бизнес-процессов каталогов
Глава 13
включая инструменты анализа в р е а л ь н о м в р е м е н и и на основе расписания.
Средством анализа в р е а л ь н о м в р е м е н и я в л я е т с я Д и с п е т ч е р задач (Task
Manager), М о н и т о р р е с у р с о в ( R e s o u r c e M o n i t o r ) и С и с т е м н ы й монитор
(Performance M o n i t o r ) . А н а л и з н а о с н о в е р а с п и с а н и я и л и о т с л е ж и в а н и я
можно в ы п о л н я т ь с п о м о щ ь ю ж у р н а л а с о б ы т и й ( E v e n t Log), М о н и т о р а
стабильности (Reliability M o n i t o r ) и г р у п п ы с б о р щ и к о в д а н н ы х на основе
расписания в М они торе с т а б и л ь н о с т и ,
ш В Windows Server 2008 т а к ж е в к л ю ч е н Д и с п е т ч е р с и с т е м н ы х ресурсов Win-
dows ( W i n d o w s System R e s o u r c e M a n a g e r ) , с п о м о щ ь ю к о т о р о г о м о ж н о
управлять рабочими процессами на о с н о в е п о л и т и к .
Основные термины
Запомните указанные далее т е р м и н ы , ч т о б ы л у ч ш е п о н я т ь о п и с ы в а е м ы е кон-
цепции.
• Сжатие Процесс освобождения п р о с т р а н с т в а б а з ы д а н н ы х . П р и создании
записей базы данных выделяется о п р е д е л е н н о е п р о с т р а н с т в о д л я хранения
всех возможных значений записи. П р и у д а л е н и и з а п и с и п р о с т р а н с т в о не
возвращается, пока не будет в ы п о л н е н а о п е р а ц и я с ж а т и я .
• Группа сборщиков д а н н ы х К о л л е к ц и я з н а ч е н и й , с о б р а н н ы х на локальном
компьютере, включая з н а ч е н и я р е е с т р а , с ч е т ч и к и п р о и з в о д и т е л ь н о с т и ,
значения компонентов о б о р у д о в а н и я и д р у г и е д а н н ы е , п о з в о л я ю щ и е вы-
полнять диагностику поведения с и с т е м ы .
ш Ф а й л N t d s . d i t Эта база данных, с о д е р ж а щ а я х р а н и л и щ е каталогов, име-
ется на каждом контроллере домена, и в п р о ц е с с е р е п л и к а ц и и с равноправ-
ными участниками постоянно о б н о в л я е т с я в с е м и к о н т р о л л е р а м и доменов,
за исключением контроллеров R O D C .
ш Памятник Контейнер, в к о т о р ы й а в т о м а т и ч е с к и п е р е м е щ а е т с я к а ж д ы й
удаленный объект в каталоге. Э т о т к о н т е й н е р х р а н и т о б ъ е к т ы в течение
180 дней, чтобы гарантировать в ы п о л н е н и е всех в о з м о ж н ы х р е п л и к а ц и й
с участием данных объектов. В т е ч е н и е э т и х 180 д н е й о б ъ е к т м о ж н о вос-
становить из памятника.
Сценарий. Работа с утерянными данными
В этом сценарии п р е д п о л а г а е т с я п р и м е н е н и е п о л у ч е н н ы х з н а н и й . О т в е т ы
содержатся в разделе «Ответы» в к о н ц е э т о й к н и г и .
Являясь администратором д о м е н а в к о м п а н и и C o n t o s o , Ltd, вы во время
обычной проверки о б н а р у ж и л и и с ч е з н о в е н и е о т д е л ь н ы х у ч е т н ы х записей,
которые должны храниться в к о н к р е т н о м п о д р а з д е л е н и и . Вы знаете, что для
работы с этими учетными з а п и с я м и недавно н а з н а ч е н л о к а л ь н ы й техник. Кро-
ме того, в этом подразделении н у ж н о создать н о в ы е у ч е т н ы е записи. Д л я того
чтобы добавить в каждую учетную запись т а к у ю и н ф о р м а ц и ю , ка к адрес поль-
зователя, имя менеджера и р а с п о л о ж е н и е в о ф и с е , б ы л назначен отдельный
сотрудник. Вы связались с ним и выяснили, что все необходимые модификации
произведены.
Проанализировав ж у р н а л ы событий каталогов, вы в ы я с н и л и , что в домене
отконфигурирован центральный сервер, на к о т о р ы й п е р е с ы л а ю т с я события
Пробный экзамен 591
AD DS с д р у г и х к о н т р о л л е р о в домена. Через некоторое время обнаружилось,
что с т е м же п о д р а з д е л е н и е м в то же в р е м я работал еще один администратор
из у д а л е н н о г о о ф и с а . Д о п о л н и т е л ь н ы й анализ показал, что это он переместил
подразделение из исходного расположения и переместил обратно в то же время,
когда с о т р у д н и к р а б о т а л с у ч е т н ы м и з а п и с я м и подразделения. Где находятся
у т е р я н н ы е у ч е т н ы е з а п и с и ?
Практические задания
Д л я у с п е ш н о й п о д г о т о в к и к с е р т и ф и к а ц и о н н о м у экзамену выполните следу-
ю щ и е у п р а ж н е н и я .
Активная техническая поддержка каталогов
Работа с AD DS означает работу с центральным репозиторием, который предо-
ставляет две к л ю ч е в ы е с л у ж б ы : проверки подлинности пользователей и управ-
л е н и я о б ъ е к т а м и , п о э т о м у AD DS к л а с с и ф и ц и р у е т с я как служба каталогов
N O S . Ч т о б ы л у ч ш е у с в о и т ь представленный в этой главе материал, выполните
с л е д у ю щ и е д о п о л н и т е л ь н ы е у п р а ж н е н и я .
• У п р а ж н е н и е 1 П о р а б о т а й т е с р а з л и ч н ы м и инструментами архивации
и в о с с т а н о в л е н и я W i n d o w s Server 2008. Вы можете произвести полную
а р х и в а ц и ю сервера, а затем полное восстановление. Воспользуйтесь дис-
п е т ч е р о м W S R M , п о п р о б у й т е изменить пароль DSRM, а также выполните
п о л н о м о ч н о е и н е п о л н о м о ч н о е восстановление. Проанализируйте все до-
с т у п н ы е о п ц и и во всех в о з м о ж н ы х сценариях архивации и восстановления
к о н т р о л л е р о в д о м е н о в .
• У п р а ж н е н и е 2 П о р а б о т а й т е со средствами мониторинга контроллеров
д о м е н о в . И с п о л ь з у й т е Д и с п е т ч е р задач (Task Manager), Просмотр собы-
т и й ( E v e n t Viewer), а т а к ж е М о н и т о р стабильности (Reliability Monitor)
и С и с т е м н ы й м о н и т о р (Performance Monitor). Примените различные опции
и п р и н ц и п ы у п р а в л е н и я ж у р н а л о м событий к контроллерам доменов.
• У п р а ж н е н и е 3 З а п у с т и т е Диспетчер системных ресурсов Windows (Win-
dows S y s t e m Resource M a n a g e r ) . Диспетчер содержит много опций – про-
а н а л и з и р у й т е и протестируйте их. Назначьте различные политики для кон-
т р о л л е р а доменов и п р о а н а л и з и р у й т е их влияние на работу системы. Про-
смотрите ж у р н а л ы событий и поищите в них информацию WSRM о системе.
Пробный экзамен
На п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е представлено несколько вариантов
тренировочных тестов. Проверка знаний выполняется или только по одной теме
с е р т и ф и к а ц и о н н о г о экзамена 7 0 – 6 4 0 , или по всем экзаменационным темам.
Тестирование м о ж н о организовать таким образом, чтобы оно проводилось как
экзамен, л и б о н а с т р о и т ь на р е ж и м обучения. В последнем случае вы сможете
после к а ж д о г о своего ответа на вопрос просматривать правильные ответы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 1 4
Службы облегченного доступа
к каталогам
Занятие 1. Установка AD LDS 696
Занятие 2. Настройка и использование AD LDS 706
Из пяти различных технологий Active D i r e c t o r y в W i n d o w s Server 2008 служ-
бы облегченного доступа к каталогам ( A c t i v e D i r e c t o r y L i g h t w e i g h t Directory
Services, AD LDS) больше всего п о х о ж и на д о м е н н ы е с л у ж б ы Active Direc-
tory (Active Directory Domain Services, AD D S ) . Д е л о в том, что с л у ж б ы AD
LDS представляют собой всего л и ш ь п о д н а б о р ф у н к ц и й A D DS. О б е службы
используют один код ядра и п р е д о с т а в л я ю т п р а к т и ч е с к и о д и н а к о в ы й набор
компонентов.
Технология AD LDS, которая р а н ь ш е н а з ы в а л а с ь Active D i r e c t o r y Appli-
cation Mode ( A D A M ) , предназначена д л я п о д д е р ж к и п р и л о ж е н и й каталогов
без необходимости в м о д и ф и к а ц и и с х е м ы б а з ы д а н н ы х к а т а л о г а сетевой опе-
рационной системы N O S ( N e t w o r k O p e r a t i n g S y s t e m ) в AD D S . Р о л ь AD LDS
предназначена для администраторов, к о т о р ы е х о т я т и с п о л ь з о в а т ь п р и л о ж е н и я
каталогов, не интегрируя их в свой к а т а л о г N O S .
Доменные службы Active D i r e c t o r y ( A D D S ) т а к ж е могут поддерживать
использование приложений каталогов. О д и н из п р и м е р о в т а к и х п р и л о ж е н и й —
Microsoft Exchange Server 2007. Вся п о л ь з о в а т е л ь с к а я и н ф о р м а ц и я в Exchange
Server предоставляется каталогом. П р и у с т а н о в к е в сети E x c h a n g e Server начи-
нает работу с расширения схемы AD DS, у в е л и ч и в а я ее р а з м е р п р и м е р н о в два
раза. Как вам должно быть известно, м о д и ф и к а ц и и в с х е м ы не стоит вносить
непродуманно, поскольку объект и л и атрибут, д о б а в л е н н ы й в схему AD DS,
нельзя удалить. Вы можете д е а к т и в и з и р о в а т ь и л и п е р е и м е н о в а т ь эти объекты
и использовать их повторно, но кому н у ж н ы н е с у щ е с т в у ю щ и е объекты в ка-
Глава 14 Службы облегченного доступа к каталогам 6 9 3
талоге N O S ? Р а с ш и р е н и е схемы д л я такого приложёния, как Exchange Server,
в ы п о л н я е т с я к о р р е к т н о , поскольку Exchange Server обеспечивает ключевую
сетевую с л у ж б у – э л е к т р о н н у ю почту.
К СВЕДЕНИЮ Рекомендации по проектированию Active Directory
Инструкции и рекомендации по проектированию Active Directory и управлению схе-
мой AD DS можно найти в главе 3 «Designing the Active Directory» книги «Windows
Server 2003: Best Practices for Enterprise Deployments»; эту главу можно загрузить
по адресу http://www.resonet.com/Documents/007222343X_Ch03.pdf.
Информацию о создании нового леса и миграции содержимого одного леса в другой
можно найти в руководстве «Windows Server 2008: The Complete Reference», которое
подготовили Даниэль Реет и Нельсон Реет (McGraw-Hill, Osborne, 2008). В этой
книге описано, как создать инфраструктуру на основе Microsoft Windows Server и
выполнить миграцию всего содержимого из одного места в другое.
Тем не м е н е е д р у г и е п р и л о ж е н и я , в частности приложения сторонних
п р о и з в о д и т е л е й п р о г р а м м н о г о обеспечения, нужно очень осторожно интег-
р и р о в а т ь в к а т а л о г AD D S . П о м н и т е , что производственная структура AD
DS будет с у щ е с т в о в а т ь долго. Представьте, что вы установите программный
п р о д у к т в каталог, а затем, спустя несколько лет после исчезновения с рынка
п р о и з в о д и т е л я этого п р о д у к т а , будете думать, что делать с расширениями,
д о б а в л е н н ы м и э т и м п р о д у к т о м в структуру AD DS, увеличивающими время
р е п л и к а ц и и и в н о с я щ и м и н е н у ж н о е содержимое в каталог. Таких ситуаций
следует избегать.
П о э т о м у и п о я в и л а с ь роль AD LDS. Поскольку она поддерживает множес-
тво э к з е м п л я р о в AD L D S на одном сервере (в отличие от роли AD DS, которая
м о ж е т п о д д е р ж и в а т ь т о л ь к о один экземпляр каталога на любом сервере), AD
L D S м о ж е т соответствовать требованиям любого приложения каталога и даже
предоставлять э к з е м п л я р ы каталога для каждого приложения. Кроме того, для
работы с AD L D S не н у ж н о быть администратором предприятия или админис-
т р а т о р о м схемы, к ак в случае с AD DS. Роль AD LDS запускается на рядовых
и л и н е з а в и с и м ы х серверах, и д л я управления ею необходимы лишь права ло-
к а л ь н о г о а д м и н и с т р а т о р а . По этой причине ее также можно использовать в
периметре сети д л я в е б – п р и л о ж е н и й и веб-служб проверки подлинности. Роль
AD L D S – это одна из четырех технологий Active Directory, которые позво-
л я ю т р а с ш и р и т ь структуру организации за пределы брандмауэра и в облако
И н т е р н е т а (рис. 14-1).
Т е м ы э к з а м е н а :
• Н а с т р о й к а д о п о л н и т е л ь н ы х ролей Active Directory.
• Н а с т р о й к а с л у ж б облегченного доступа к каталогам (AD LDS).
gg^ Службы облегченного доступа к каталогам
Глава 14
Рис. 14-1. Роль АО LDS можно использовать для поддержки приложений
Прежде всего
Для выполнения упражнений в э т о й главе п о т р е б у е т с я следующее,
н Физический или в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008 с именем
SERVER01, служащий к о н т р о л л е р о м д о м е н а c o n t o s o . c o m . И н с т р у к ц и и по j
созданию контроллера д о м е н а п р и в е д е н ы в г л а в а х 1 и 2.
и Еще один физический и л и в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008
с именем S E R V E R 0 3 – рядовой сервер домена contoso.com. Этот компьютер
| будет управлять э к з е м п л я р а м и A D L D S , к о т о р ы е в ы будете у с т а н а в л и в а т ь
и создавать в упражнениях этой главы. На к о м п ь ю т е р е т а к ж е д о л ж е н оы
диск D для хранения данных э к з е м п л я р о в AD L D S . Р е к ом е н д уе т с я исполь
зоватъ диск размером 10 Гбайт.
| Третий ф и з и ч е с к и й или в и р т у а л ь н ы й к о м п ь ю т е р W i n d o w s Server 2008
с именем S E R V E R 0 4 – р я д о в о й сервер д о м е н а contoso.com. Этот компыо
тер будет использоваться д л я н а с т р о й к и о б л а с т е й р е п л и к а ц и и AD Ь ^
На нем также должен быть д и с к D д л я х р а н е н и я д а н н ы х э к з е м п л я р о в
LDS. Рекомендуется назначить д л я этого д и с к а р а з м е р 10 Гбайт.
Прежде всего 6 9 5
История из жизни
Даниэль Реет и Нельсон Реет
В 2003 году журнал Redmond Magazine (теперь это MCP Magazine) описал
различные продукты, с помощью которых системные администраторы могут
управлять средами Active Directory. Мы углубились в этот вопрос, поскольку
Active Directory была нашей любимой технологией. Благодаря службе каталогов
LDAP (Lightweight Directory Access Protocol) структура Active Directory также
становится мощным каталогом NOS, который может управлять миллионами
объектов. Кроме того, Active Directory включает групповую политику – мощ-
нейшую платформу для управления объектами, которая расширяет возможности
N O S службы каталогов. И наконец, с помощью Group Policy Software Delivery
можно управлять доставкой программных пакетов Windows Installer по всей
структуре каталогов. Нет сомнений, что Active Directory – это один из лучших
продуктов, разработанных в лабораториях Редмонда.
После опроса клиентов мы составили список из шести продуктов, которые
используются для управления средами Active Directory:
• Quest FastLane Active Roles;
• Aelita Enterprise Directory Manager;
• N e t l Q Security Administration Suite;
• Javelina ADvantage;
• NetPro Active Directory Lifecycle Suite;
• Bindview Secure Active Directory LifeCycle Suite.
Из этих шести лишь четыре технологии были доступны при подготовке ста-
тьи. Продукт Bindview был представлен тестовой версией, и мы пропустили его
по умолчанию. Продукт NetPro, несмотря на богатство выбора инструментов,
еще не был полностью готов, и мы пропустили и его. Однако у нас был шанс
написать о наборе продуктов NetPro позже (см. http://mcpmag.com/reviews/
products/article.asp?EditorialsID-454). Таким образом, осталось четыре продукта.
В результате появилась статья «The 12 Mighty Labors of Active Directory Manage-
ment» (cm. http://7ncpmag.com/Features/article.asp7EditorialslD-359). Потом мы
получили некоторые комментарии об одном ключевом моменте статьи.
Два из четырех продуктов, N e t l Q и Quest FastLane, модифицировали схему
базы данных Active Directory. Но как управлять модификациями схемы Active
Directory? Дело в том, что модификации схемы нельзя отменить. В Windows
Server 2003 можно было деактнвировать или переименовать модификации схемы
и повторно использовать их, но для наших клиентов это было не лучшее реше-
ние. Проще было вообще не трогать схему. Кроме того, была создана техноло-
гия ADAM, позволяющая организациям интегрировать приложения в службу
каталогов без модификации схемы каталога NOS.
В конце концов мы выбрали продукт Aelita: этот продукт может реализовать
все требования к базе данных в Microsoft SQL Server вместо модификации схемы
Active Directory. Продукт Javelina не мог конкурировать с другими, поскольку
он не был предназначен для поддержки этих функций.
(см. след. стр.)
I 696
Службы облегченного доступа к каталогам
Глава 14
Примерно через два месяца после публикации статьи компания Quest купила
Aelita и преобразовала Enterprise Directory Manager (EDM) в следующую версию
Active Roles. Исходная версия Active Roles была разработана небольшой компа-
нией FastLane из Оттавы в Канаде (которая была приобретена компанией Quest),
и трансформировалась в EDM. Новая версия Active Roles больше не требовала
модифицировать схему и предоставляла богатый набор компонентов управления
Active Directory. В нашей статье об этом ничего не было написано. Кто знал?
Ясно одно: модификации схемы каталогов NOS нельзя выполнять необдуманно,
как с помощью ADAM. Так что к вашим услугам технология AD LDS.
Занятие 1. Установка AD LDS
Хотя AD LDS использует тот же основной код, что и AD DS, т е х н о л о г и я AD
LDS намного проще. Например, при установке AD L D S на сервере к о н ф и г у -
рация сервера не изменяется, как в случае с у с т а н о в к о й AD DS и созданием
контроллера домена. Служба AD LDS представляет собой п р и л о ж е н и е и ничего
более. При ее установке не нужно перезагружать сервер, п о с к о л ь к у в процессе
установки лишь добавляется функциональность на сервер без и з м е н е н и я его
свойств.
Тем не менее для начала мы рассмотрим э к з е м п л я р ы AD LDS, п р и н ц и п ы
использования этих экземпляров и их связи с к а т а л о г а м и AD DS. Затем мы
перейдем к установке AD LDS.
Изучив материал этого занятия, вы сможете:
/ Описать принципы использования AD LDS.
/ Установить AD LDS на рядовом сервере.
S Найти и просмотреть хранилище каталогов AD LDS.
Продолжительность занятия – около 30 мин.
Принципы работы AD LDS
Аналогично AD DS, э к з е м п л я р ы AD L D S о с н о в а н ы на п р о т о к о л е L D A P
(Lightweight Directory Access Protocol) и п р е д о с т а в л я ю т с л у ж б ы и е р а р х и -
ческой базы данных. В отличие от р е л я ц и о н н ы х баз д а н н ы х каталоги L D A P
оптимизированы для конкретных целей и должны использоваться для быстрого
просмотра информации, которую поддерживают эти п р и л о ж е н и я . В табл. 14-1
описаны основные отличия между каталогом L D A P и такой реляционной базой
данных, как Microsoft SQL Server. Это сравнение п о м о ж е т в в ы б о р е между
каталогом LDAP и реляционной базой данных д л я п о д д е р ж к и п р и л о ж е н и я .
В табл. 14-1 приведены директивы выбора соответствующей базы данных
для приложения.
Кроме того, технология AD LDS основана на AD DS, однако она включает
не все компоненты AD DS. В табл. 14-2 перечислены о т л и ч и я между компо-
нентами AD LDS и AD DS.
Занятие 1
Установка AD LDS
6 9 7
Табл. 14-1. Сравнение каталогов LDAP с реляционными базами данных
Каталоги LDAP
Реляционные базы данных
Быстрое чтение и поиск
Быстрая запись
Иерархическая структура базы данных часто Структура данных использует таб-
основана на системе именования DNS
лицы, содержащие строки и столбцы.
(Domain Name System) или Х.500
Таблицы можно связывать вместе
Используется стандартная расширяемая
Схемы не используются
структура схемы
Децентрализация (распределение) и исполь-
Централизованные репозитории
зование репликации для поддержки совмести– данных
мости данных
Безопасность обеспечивается на уровне
Безопасность обеспечивается
объектов
на уровне строк и столбцов
Поскольку база данных распределенная, сов-
Поскольку ввод данных основан иа
местимость данных не абсолютна, по крайней транзакциях, совместимость данных
мере пока не будет завершена репликация
абсолютна
Записи не блокируются и могут модифици-
Записи блокируются и могут моди-
роваться одновременно двумя сторонами.
фицироваться лишь одной сторо-
Управление конфликтами осуществляется
ной – попеременно
с помощью USN (Update Sequence Numbers)
Табл. 14-2. Сравнение AD LDS и AD DS
Компонент
AD LDS AD DS
Поддержка нескольких экземпляров на сервере
0
•
Независимые схемы для каждого экземпляра
0
•
Запуск на таких клиентских операционных системах,
0
•
как Windows Vista, и рядовых серверах Windows Server 2008
Запуск иа контроллерах доменов
0
0
Разделы каталогов могут использовать соглашения
0
a
об именовании Х.500
Установка и удаление выполняются без перезагрузки
0
•
Службу можно остановить и перезапустить без перезагрузки
0
0
Поддержка групповой политики
•
0
Включение глобального каталога
•
0
Управление такими объектами, как рабочие станции, рядовые серверы •
0
и контроллеры доменов
Поддержка доверительных отношений между доменами и лесами
•
0
Поддержка и интеграция с инфраструктурой открытых ключей PLI
•
0
(Public Key Infrastructure) и сертификатов Х.509
Поддержка записей (SRV) службы DNS для локализации служб
•
0
каталогов
Поддержка API-интерфейсов LDAP (Application Programming Interface) 0
0
Поддержка API-интерфейсов ADSI (Active Directory Services Interface) 0
0
Поддержка Messaging API (MAPI)
•
0
(см. след. стр.)
I 6 9 8
Службы облегченного доступа к каталогам
Глава 14
Табл. 14-2 ( окончание)
Компонент AD LDS AD DS
Поддержка безопасности на уровне объектов и делегирования
121
121
административных задач
Использование репликации с равноправными участниками
121
121
для поддержки целостности данных
Поддержка расширений схемы и разделов каталога приложений
0
121
Возможность установки реплики с носителя
121
121
Возможность включения принципалов безопасности для предоставле-
