Проектирование доменов и развертывание Active Directory
Предполагается, что читатель уже знаком с основными понятиями и концепциями службы каталогов Active Directory, изложенными в главе 23. Теперь можно в общих чертах рассмотреть процесс развертывания службы каталогов и создания контроллеров доменов, на которых она функционирует.
Для краткости (тема планирования доменов и миграции из предыдущих версий заслуживает отдельной книги) мы не будем рассматривать многочисленные доменные модели Windows NT 4.0 и способы их преобразования в домены Windows 2000. Важно понять сам принцип создания и обновления контроллеров домена (запуск процесса повышения роли сервера, очередность обновления РОС и BDC и т. д.) и на его базе строить стратегию перевода существующих доменов в домены Windows 200D.
Рассмотрим лишь некоторые специфические требования и соображений, возникающие при создании доменной структуры на базе Windows 2600. В первую очередь эта специфика обусловлена появлением службы каталогов Active Directory и новой модели безопасности.
Предварительные операции
Даже если создается домен с единственным контроллером, необходимо учесть некоторые изложенные ниже соображения, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).
Планирование структуры доменов
Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены. Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.
Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.
Для создания нескольких доменов должны быть достаточно веские причины, например:
| Различные требования к безопасности для отдельных подразделений |
| Очень большое количество объектов |
| Различные Интернет-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать дерево доменов; если имена доменов уникальны, то возможно создание леса доменов |
| Дополнительные требования к репликации |
| Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках |
Разработка модели делегирования прав администрирования
Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.
После того как разработана структура подразделений и по ним распределены пользователи, можно продумать административную иерархию, т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).
Планирование организационных единиц (подразделений)
Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие
OU. OU - это минимальная "единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.
Примечание
Организационные единицы и подразделения - это термины-синонимы; мы будет чаще использовать понятие организационная единица, говоря о структуре каталога Active Directory и его дереве, и подразделение - когда речь идет об администрировании Active Directory, делегировании управления и т. п.
В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers) как папки. Их основное назначение - группирование объектов каталога с целью передачи административных функций отдельным пользователям.
Дерево OU может отображать реальную структуру организации - административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.
Организационная единица - минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).
Примечание
Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения.
Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):
| Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы. |
| Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами). |
| Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации. |
| Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые. |
| Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже. |
Двухуровневая иерархия - доменов в дереве доменов и организационных единиц в домене - обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.
Проектирование структуры сайтов
Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты. Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.
Использование нескольких сайтов дает следующие преимущества:
Распределяется нагрузка по сети со стороны клиентов | |
Возможна оптимизация процесса получения данных из каталога | |
Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт | |
Возможна "тонкая" настройка репликации |
Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи. Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.
Имеет смысл включать все контроллеры домена в один сайт, если репликация между ними должна выполняться по единому расписанию. Однако при наличии нескольких сайтов можно индивидуально настроить репликацию с учетом их специфики. Например, можно использовать по умолчанию быстрый канал, а коммутируемое соединение - если основной канал недоступен. Такой подход обеспечивает и эффективность, и отказоустойчивость.
Установка контроллеров домена
Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, называющейся повышение роли сервера (promotion).
Примечание
Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется понижением роли сервера (denotion). При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.
Категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: это приведет к уничтожению всего дерева!
Подготовка к созданию контроллера домена
Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server. Способы инсталляции системы описаны в главе 1. Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.
Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard).
Создание первого контроллера домена
Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве bhv.com, то DNS-имена всех доменов в этом дереве будут иметь окончание bhv.com (sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена. Для создания первого контроллера в домене:
1. | Установите Microsoft DNS-сервер. |
2. | Запустите мастер установки Active Directory.
|
Установка DNS-сервера
Служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2),
DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную (см. также главу 17). , Для инсталляции DNS-сервера:
1. | Запустите Мастер компонентов Windows (Windows Components Wizard), выберите компонент Сетевые службы (Networking Options) и нажмите кнопку Состав (Details). |
2. | Установите флажок DNS (Domain Name System), затем нажмите кнопки ОК и Далее (Next). Подождите, пока скопируются нужные файлы (возможно, потребуется дистрибутивный компакт-диск). |
3. | После этого в соответствующих полях, введите значения для IP-адреса (IP-address), маски подсети (Subnet Mask) и основного шлюза (Default Gateway). Для нормальной работы DNS-сервера нужно назначить компьютеру хотя бы один статический IP-адрес. Если компьютер такого адреса не имеет (скажем, выделен динамический адрес), то в процессе инсталляции DNS-сервера имеется возможность добавить нужный статический адрес. Для частной сети можно использовать зарезервированные значения, например, для сетей Class А можно выбрать адрес 10.0.0.1, принять маску подсети по умолчанию и оставить пустым поле шлюза. Если в сети уже имеются DNS-серверы, установите переключатель Использовать следующие адреса DNS-серверов (Use the following DNS server addresses) и введите IP-адрес DNS-сервера в поле Основной DNS-сервер (Primary DNS Server). Если DNS-серверы в сети отсутствуют, установите переключатель Получить адрес DNS-сервера автоматически (Obtain DNS server address automatically) или оставьте пустым поле Основной DNS-сервер. |
4. | После того как, нажимая кнопки ОК, вы закроете все окна, в том числе и окно Установка и удаление программ (Add/Remove Programs), DNS-сервер будет установлен. |
Запуск мастера установки Active Directory
Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.
1. | Зарегистрируйтесь в системе как Администратор (Administrator). |
2. | Для запуска мастера выберите команду Пуск | Выполнить (Start | Run) и введите команду dcpromo. Альтернативный вариант - выбрать команду Пуск | Программы | Администрирование | Настройка сервера (Start | Programs | Administrative Tools | Configure Your Server), в открывшемся окне последовательно нажать кнопки Active Directory и Запустить (Start). |
3. | Выберите переключатель Контроллер домена в новом домене (Domain controller for a new domain) и нажмите кнопку Далее (рис. 24.1). |
4. | Установите переключатель Создать новое доменное дерево (Create a new domain tree), нажмите кнопку Далее (Nest) и в следующем окне установите переключатель Создать новый лес доменных деревьев (Create a new forest of domain trees). |
5. | Введите полное DNS-имя, выбранное для первого домена, например, шусогр.ссш. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя mycorp), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0. |
6. | В следующих окнах мастера устанавливаются дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома). |
7. | Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение и предлагает установить и настроить DNS. Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки Active Directory) или соответствие этого сервера требованиям Active Directory. Если DNS-сервер отсутствует, то, установив в следующем окне переключатель Да, автоматически установить и настроить DNS (рекомендуется) (Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory. Если же будет установлен переключатель Нет, установить и настроить DNS вручную (No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет вручную создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS. |
8. | В следующем окне выберите разрешения, определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT. |
9. | Введите и подтвердите пароль администратора, который будет использоваться при восстановлении службы каталогов (это Один из дополнительных вариантов загрузки Windows 2000). Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли! Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы. |
10. | После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку Назад. |
11. | После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется. |
12. | По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку Готово (Finish), и предлагает перезагрузить компьютер: нажмите кнопку Перезагрузить сейчас (Restart Now). |
После перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory.
Подключение рабочих станций и рядовых серверов
Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2QOO аналогично тому, как это делается в Windows NT 4.O. При этом используется оснастка Active Directory - пользователи я компьютеры.
Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (серверы DHCP более подробно описаны в главе 17) или задаваться вручную.
Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на .клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.
Учетные записи для компьютеров можно создавать заранее (с помощью оснастки Active Directory - пользователи и компьютеры) или в процессе подключения компьютера к домену. Для подключения компьютера с Windows 2000 к домену:
1. | Выберите значок Система (System) на панели управления или щелкните правой кнопкой мыши на значке Мой компьютер (My Computer) на рабочем столе и выберите команду Свойства (Properties)контекстного меню. |
2. | Перейдите на вкладку Сетевая идентификация (Network Identification) и нажмите кнопку Свойства.
|
3. | В группе Является членом (Member of) установите переключатель домена (Domain). |
4. | В ставшем доступном текстовом поле введите полное DNS-имя домена, к которому следует подключиться, например, тусогр.ссоц и нажмите кнопку ОК. |
5. | Введите имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, введите соответствующие значения. Если нужно создать учетную запись "на лету", введите данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена. |
6. | Нажмите кнопку ОК. |
7. | В случае успешного выполнения операции подключения компьютера к домену появляется сообщение. |
8. | Закройте окно свойств системы. |
9. | Нажав кнопку Да (Yes) в ответ на появляющееся сообщение, перезагрузите компьютер. |
Включение в домен дополнительных контроллеров
Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:
1. | Зарегистрируйтесь в системе как Администратор. |
2. | Запустите программу DCpromo и нажмите кнопку Далее. |
3. | Установите переключатель Добавочный контроллер домена в существующем домене (Additional domain controller for an existing domain) и нажмите кнопку Далее. |
4. | Введите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену). |
5. | Введите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку Обзор (Browse). |
6. | В следующих окнах мастера укажите дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов). |
7. | В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку Далее - начнется процесс повышения роли сервера. |
После перезагрузки компьютер будет работать как один из контроллеров указанного домена.
Примечание
Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера. Таким образом легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory.
Добавление к дереву дочерних доменов
Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:
1. | Запустите программу Dcpromo. |
2. | Установите переключатель Контроллер домена в новом домене. |
3. | Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, nycorp.com. |
4. | Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycorp.com. |
5. | Введите или подтвердите NetBIOS-имя для нового домена. |
6. | Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене. |
7. | Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.). |
8. | После проверки всех заданных параметров нажмите кнопку Далее - начнется процесс повышения роли сервера. |
После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене.
Создание нового дерева в лесе
Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного: запустите мастер установки Active Directory, установите переключатель Контроллер домена в новом домене, укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель Создать новое доменное дерево), а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена. После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.
Понижение контроллера домена
Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.
Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.
Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:
если контроллер домена - единственный и уничтожается вся доменная структура; | |
если в лесе имеются другие контроллеры, выполняющие эту функцию. |
В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.
Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.
Если флажок Этот сервер - последний контроллер домена в данном домене
(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым