Проектирование доменов и развертывание Active Directory

  1. Глава  Планирование и установка системы Windows 2000
  2. Глава  Загрузка операционной системы
  3. Глава  Поддержка оборудования
  4. Глава  Пользовательский интерфейс
  5. Глава  Конфигурирование системы
  6. Глава  Средства управления
  7. Глава  Диски и файловые системы
  8. Глава  Восстановление системы
  9. Глава  Работа с дисковыми ресурсами
  10. Глава  Службы печати
  11. Глава  Типовые задачи администрирования
  12. Глава  Нулевое администрирование Windows (ZAW)
  13. Глава  Средства мониторинга и оптимизации
  14. Глава  Работа с системным реестром
  15. Глава  Сообщения Windows 2000 и отладчик
  16. Глава  Сеть и удаленный доступ к сети
  17. Глава  Серверы DHCP, DNS и WINS
  18. Глава  Дополнительные сетевые службы
  19. Глава  Коммуникационные службы
  20. Глава  Маршрутизация
  21. Глава  Работа с Интернетом и электронной почтой
  22. Глава  Службы Интернета в Windows 2000
  23. Глава  Основные концепции службы Active Directory
  24. Глава  Проектирование доменов и развертывание Active Directory
  25. Глава  Администрирование доменов
  26. Глава  Средства безопасности Windows 2000
  27. Глава  Групповые политики
  28. Строительная компания ЧАО Криворожаглострой
  29. Карта сайта zao-kas.com.ua

Глава 24

Проектирование доменов и развертывание Active Directory

Предполагается, что читатель уже знаком с основными понятиями и концепциями службы каталогов Active Directory, изложенными в главе 23. Теперь можно в общих чертах рассмотреть процесс развертывания службы каталогов и создания контроллеров доменов, на которых она функционирует.

Для краткости (тема планирования доменов и миграции из предыдущих версий заслуживает отдельной книги) мы не будем рассматривать многочисленные доменные модели Windows NT 4.0 и способы их преобразования в домены Windows 2000. Важно понять сам принцип создания и обновления контроллеров домена (запуск процесса повышения роли сервера, очередность обновления РОС и BDC и т. д.) и на его базе строить стратегию перевода существующих доменов в домены Windows 200D.

Рассмотрим лишь некоторые специфические требования и соображений, возникающие при создании доменной структуры на базе Windows 2600. В первую очередь эта специфика обусловлена появлением службы каталогов Active Directory и новой модели безопасности. | | |


Предварительные операции

Даже если создается домен с единственным контроллером, необходимо учесть некоторые изложенные ниже соображения, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).



Планирование структуры доменов

Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.

Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.

Для создания нескольких доменов должны быть достаточно веские причины, например:

Различные требования к безопасности для отдельных подразделений

Очень большое количество объектов

Различные Интернет-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать дерево доменов; если имена доменов уникальны, то возможно создание леса доменов

Дополнительные требования к репликации

Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках


Разработка модели делегирования прав администрирования

Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.

После того как разработана структура подразделений и по ним распределены пользователи, можно продумать административную иерархию, т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).



Планирование организационных единиц (подразделений)

Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие

OU. OU — это минимальная "единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.

Примечание

Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие организационная единица, говоря о структуре каталога Active Directory и его дереве, и подразделение — когда речь идет об администрировании Active Directory, делегировании управления и т. п.

В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.

Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.

Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).

Примечание

Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.

Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):

Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.

Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).

Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.

Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые.

Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.

Двухуровневая иерархия — доменов в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.



Проектирование структуры сайтов

Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты. Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.

Использование нескольких сайтов дает следующие преимущества:

Распределяется нагрузка по сети со стороны клиентов

Возможна оптимизация процесса получения данных из каталога

Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт

Возможна "тонкая" настройка репликации

Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи. Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.

Имеет смысл включать все контроллеры домена в один сайт, если репликация между ними должна выполняться по единому расписанию. Однако при наличии нескольких сайтов можно индивидуально настроить репликацию с учетом их специфики. Например, можно использовать по умолчанию быстрый канал, а коммутируемое соединение — если основной канал недоступен. Такой подход обеспечивает и эффективность, и отказоустойчивость.



Установка контроллеров домена

Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, называющейся повышение роли сервера (promotion).

Примечание

Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется понижением роли сервера (denotion). При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.

Категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: это приведет к уничтожению всего дерева!



Подготовка к созданию контроллера домена

Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server. Способы инсталляции системы описаны в главе 1. Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.

Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard).



Создание первого контроллера домена

Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве bhv.com, то DNS-имена всех доменов в этом дереве будут иметь окончание bhv.com (sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена. Для создания первого контроллера в домене:

1. Установите Microsoft DNS-сервер.

2. Запустите мастер установки Active Directory.

Внимание

Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды ping DNS_имяили утилиты NetDiag).

Внимание

Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!


Установка DNS-сервера

Служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2),

DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную (см. также главу 17). , Для инсталляции DNS-сервера:

1. Запустите Мастер компонентов Windows (Windows Components Wizard), выберите компонент Сетевые службы (Networking Options) и нажмите кнопку Состав (Details).

2. Установите флажок DNS (Domain Name System), затем нажмите кнопки ОК и Далее (Next). Подождите, пока скопируются нужные файлы (возможно, потребуется дистрибутивный компакт-диск).

3. После этого в соответствующих полях, введите значения для IP-адреса (IP-address), маски подсети (Subnet Mask) и основного шлюза (Default Gateway).

Для нормальной работы DNS-сервера нужно назначить компьютеру хотя бы один статический IP-адрес. Если компьютер такого адреса не имеет (скажем, выделен динамический адрес), то в процессе инсталляции DNS-сервера имеется возможность добавить нужный статический адрес. Для

частной сети можно использовать зарезервированные значения, например, для сетей Class А можно выбрать адрес 10.0.0.1, принять маску подсети по умолчанию и оставить пустым поле шлюза.

Если в сети уже имеются DNS-серверы, установите переключатель Использовать следующие адреса DNS-серверов (Use the following DNS server addresses) и введите IP-адрес DNS-сервера в поле Основной DNS-сервер (Primary DNS Server). Если DNS-серверы в сети отсутствуют, установите переключатель Получить адрес DNS-сервера автоматически (Obtain DNS server address automatically) или оставьте пустым поле Основной DNS-сервер.

4. После того как, нажимая кнопки ОК, вы закроете все окна, в том числе и окно Установка и удаление программ (Add/Remove Programs), DNS-сервер будет установлен.



Запуск мастера установки Active Directory

Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.

1. Зарегистрируйтесь в системе как Администратор (Administrator).

2. Для запуска мастера выберите команду Пуск | Выполнить (Start | Run) и введите команду dcpromo. Альтернативный вариант — выбрать команду Пуск | Программы | Администрирование | Настройка сервера (Start | Programs | Administrative Tools | Configure Your Server), в открывшемся окне последовательно нажать кнопки Active Directory и Запустить (Start).

3. Выберите переключатель Контроллер домена в новом домене (Domain controller for a new domain) и нажмите кнопку Далее (рис. 24.1).

4. Установите переключатель Создать новое доменное дерево (Create a new domain tree), нажмите кнопку Далее (Nest) и в следующем окне установите переключатель Создать новый лес доменных деревьев (Create a new forest of domain trees).

5. Введите полное DNS-имя, выбранное для первого домена, например, шусогр.ссш. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя mycorp), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.

6. В следующих окнах мастера устанавливаются дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома).

7. Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение (рис. 24.2) и предлагает установить и настроить DNS. Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки

Active Directory) или соответствие этого сервера требованиям Active Directory. Если DNS-сервер отсутствует, то, установив в следующем окне переключатель Да, автоматически установить и настроить DNS (рекомендуется) (Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory. Если же будет установлен переключатель Нет, установить и настроить DNS вручную (No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет вручную создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS.


Рис 24.1. Выбор типа контролера


Рис 24.2. Для работы Active Directory обязательно присутствие в сети службы DNS

8. В следующем окне выберите разрешения (рис. 24.3), определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT.

9. Введите и подтвердите пароль администратора, который будет использоваться при восстановлении службы каталогов (это Один из дополнительных вариантов загрузки Windows 2000).


Рис 24.3. Выбор разрешений, позволяющих службам более ранних версий взаимодействовать с создаваемым контроллером домена Windows 2000

Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!

Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.

10. После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку Назад.

11. После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.

12. По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку Готово (Finish), и предлагает перезагрузить компьютер: нажмите кнопку Перезагрузить сейчас (Restart Now).

После перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory.


Подключение рабочих станций и рядовых серверов

Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2QOO аналогично тому, как это делается в Windows NT 4.O. При этом используется оснастка Active Directory — пользователи я компьютеры.

Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (серверы DHCP более подробно описаны в главе 17) или задаваться вручную.

Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на .клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.

Учетные записи для компьютеров можно создавать заранее (с помощью оснастки Active Directory — пользователи и компьютеры) или в процессе подключения компьютера к домену. Для подключения компьютера с Windows 2000 к домену:

1. Выберите значок Система (System) на панели управления или щелкните правой кнопкой мыши на значке Мой компьютер (My Computer) на рабочем столе и выберите команду Свойства (Properties)контекстного меню.

2. Перейдите на вкладку Сетевая идентификация (Network Identification) и нажмите кнопку Свойства.

Примечание

В системе Windows 2000 Professional можно также использовать другое средство— Мастер сетевой идентификации (Network Identification Wizard), который поможет выполнить все необходимые для. подключения к домену действия. Для этого нужно нажать кнопку Идентификация (Network ID).
3. В группе Является членом (Member of) установите переключатель домена (Domain).

4. В ставшем доступном текстовом поле введите полное DNS-имя домена, к которому следует подключиться, например, тусогр.ссоц и нажмите кнопку ОК.

5. Введите имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, введите соответствующие значения. Если нужно создать учетную запись "на лету", введите данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена.

6. Нажмите кнопку ОК.

7. В случае успешного выполнения операции подключения компьютера к домену появляется сообщение.

8. Закройте окно свойств системы.

9. Нажав кнопку Да (Yes) в ответ на появляющееся сообщение, перезагрузите компьютер.


Включение в домен дополнительных контроллеров

Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:

1. Зарегистрируйтесь в системе как Администратор.

2. Запустите программу DCpromo и нажмите кнопку Далее.

3. Установите переключатель Добавочный контроллер домена в существующем домене (Additional domain controller for an existing domain) и нажмите кнопку Далее.

4. Введите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену).

5. Введите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку Обзор (Browse).

6. В следующих окнах мастера укажите дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов).

7. В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку Далее — начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как один из контроллеров указанного домена.

Примечание

Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера. Таким образом легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory.


Добавление к дереву дочерних доменов

Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:

1. Запустите программу Dcpromo.

2. Установите переключатель Контроллер домена в новом домене.

3. Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, nycorp.com.

4. Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycorp.com.

5. Введите или подтвердите NetBIOS-имя для нового домена.

6. Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене.

7. Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.).

8. После проверки всех заданных параметров нажмите кнопку Далее — начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене.



Создание нового дерева в лесе

Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного: запустите мастер установки Active Directory, установите переключатель Контроллер домена в новом домене, укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель Создать новое доменное дерево), а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена. После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.



Понижение контроллера домена

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:

если контроллер домена — единственный и уничтожается вся доменная структура;

если в лесе имеются другие контроллеры, выполняющие эту функцию.

В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

Если флажок Этот сервер — последний контроллер домена в данном домене

(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.

Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перёзагрузиться.



Переключение домена в основной режим

Домены Windows 2000 могут находиться в двух режимах:

Смешанный режим (mixed mode), позволяющий сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий. В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.

Основной режим (native mode), где все контроллеры работают с программным обеспечением Windows 2000 Server. В этом режиме полностью доступны такие новые воамвжййейг, "М&с создание влбженньрс (nested) групп и междоменное членство в группах (универсальные группы).

По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.

Примечание

Множественная репликация (multi-master replication) между контроллерами домена в Windows 2000 выполняется всегда, даже в смешанном режиме.

При переходе в основной режим в домене не должно быть BDC-конт-роллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server. Для переключения режима работы домена используется оснастка Active Directory — пользователи и компьютеры. После перезагрузки компьютера контроллер домена начнет работать в основном режиме, необходимо также перезагрузить все контроллеры в домене.



Миграция в Active Directory

Переход к Active Directory

Active Directory имеет множество достоинств, однако это весьма значительное изменение в существующих технологиях. Как же внедрить новое средство? С одной стороны, многие службы каталогов уже существуют, и имеются средства для их переноса в Active Directory. Для многих организаций самой важной из уже используемых каталогов является служба каталога Exchange, поэтому компания Microsoft предлагает утилиту Active Directory Connector (ADC) для Exchange 5.x, упрощающую миграцию.

Кроме этого, в большинстве организаций Переход От Windows NT 4.0 к Windows 2000 не произойдет мгновенно и займет некоторое время. Поэтому важно иметь возможность совместного использования в одном домене обеих операционных систем. Для клиентов Windows NT 4.0 домен Windows 2000 выглядит как обычный домен Windows NT 4.0, для клиентов Windows 2000 — как домен Windows 2000.

Для реализации такой возможности Контроллер домена Windows 2000 Server может эмулировать РОС^контроллер Windows NT Server 4.0. BDC-контроллеры в таком домене выполняют репликацию с контроллера домена Windows 2000 Server — так, будто это традиционный PDC-контроллер. Нужно понимать, что за этим стоит: для перехода от домена Windows NT Server 4.0 к домену Windows 2000 Server необходимо сначала обновить существующий

PDC-контроллер, чтобы он смог загрузить в Active Directory имеющуюся учетную информацию (учетные записи пользователей, компьютеров и т. д.). Затем, по мере необходимости, можно обновить до Windows 2000 другие BDC-контроллеры, рядовые (member) серверы и клиентов.

В домене Windows 2000, в который входят BDC-контроллеры Windows NT 4.0, репликацию системного тома SYSVOL нужно настраивать дополнительными средствами/поскольку контроллеры домена на базе Windows 2000 не реплицируют эту информацию на BDC-контроллеры.

При переходе к Windows 2000 Server можно также пересмотреть существующую структуру домена. Лучше иметь меньшее число доменов, и, поскольку Active Directory позволяет использовать домены больших размеров, можно объединить несколько доменов в один. Если новый домен получится слишком большим, могут появиться проблемы с трафиком при репликации, однако с меньшим числом доменов все равно справиться легче. Кроме того, Windows 2000 Server позволяет делегировать административные функции на уровне учетных записей, входящих в организационную единицу внутри домена, а не только на уровне домена.

Наконец, имеет смысл потратить больше времени на проектирование доменов и пространств имен внутри каждого домена. В среде Windows NT Server 4.0 во многих организациях домены "размножались" без должного контроля, что приводило к запутанной системе имен и доверительных отношений. При использовании Active Directory создание эффективной структуры "с нуля" окупится в дальнейшем простотой администрирования сети.



Active Directory Migration Tool

Для перехода от доменов Windows NT 4.0 к доменам Windows 2000 и для манипулирования объектами Active Directory в дереве или лесе доменов Windows 2000 компания Microsoft выпустила специальный инструмент для миграции — утилиту Active Directory Migration Tool (ADMT), которая свободно доступна на веб-узле Microsoft.

Примечание

Основное, о чем нужно помнить при работе с этой утилитой (а также со многими утилитами сторонних поставщиков, например FastLane), — то, что целевой домен, т. е. домен, в который переносятся объекты, должен работать в основном режиме.

Утилита ADMT позволяет переносить из одного домена в другой учетные записи пользователей и компьютеров, локальные и глобальные группы, доверительные отношения, обновлять списки управления доступом (ACL),

создавать отчеты и выполнять другие задачи, связанные с процессом миграции. Для выполнения тех или иных функций используются мастера (wizards), вызываемые из контекстного меню оснастки,

Каждый мастер работает в двух режимах:

Режим проверки параметров миграции

Режим выполнения операции миграции

Это дает возможность проверить все операции перемещения объектов, исправить возможные конфликты и только после этого выполнять эти операции. Вся информация о выполняемых действиях заносится в журналы, которые можно просмотреть после выполнения любой операции.



Миграция из Novell NetWare

Как уже говорилось, можно перейти к Active Directory из различных служб каталогов (Exchange, Windows NT Server 4.0 NTDS и др.). Кроме того, компания Microsoft предлагает средства для перехода от Novell NetWare к Windows 2000, что особенно актуально для смешанных сетевых сред. Такие средства уже существовали в предыдущих версиях Windows NT и позволяли переносить пользователей, группы, файлы и списки управления доступом к файлам из базы данных bindery в контроллер домена Windows NT Server.

Для системы Windows 2000 компания Microsoft выпустила два облегчающих миграцию инструмента, которые входят в отдельно приобретаемый продукт - Microsoft Services for NetWare v.5 (SFNW5):

Microsoft Directory Synchronization Services (MSDSS)

File Migration Utility (MSFMU)

Примечание

Мы упоминаем только те средства, входящие в SFNW5, которые относятся к миграции.

Эти инструменты облегчают переход из Novell NetWare к Windows 2000 или поддержание двух служб каталогов в смешанной среде.



Microsoft Directory Synchronization Services

Это средство позволяет периодически синхронизировать различную информацию (в первую очередь — учетные записи пользователей и групп), хранящуюся в Active Directory, с данными, расположенными в Novell Directory Service (NDS) и базе данных bindery систем NetWare 3.x При этом связь с NDS — двухсторонняя, а с bindery — односторонняя. Обеспечивается синхронизация паролей.

Службы MSDSS работают с протоколами IPX/SPX и TCP/IP.



File Migration Utility

Эта утилита позволяет переносить большие объемы данных с серверов NetWare (всех версий) на Windows 2000, сохраняя структуру каталогов и разрешения доступа. При этом пользователи имеют доступ к своим файлам в течение всего процесса миграции.

В утилите широко используются мастера и обеспечивается постепенная или полная миграция.

Утилита MSFMU также работает с протоколами IPX/SPX и TCP/IP.