Обновление домена
🕛 20.01.2009, 16:58
Обновление домена - это вторая стадия процесса перехода к Windows Server 2003. (Первая стадия - обновление NOS.) При обновлении контроллера домена, на котором выполняются системы Windows NT 4 Server или Windows 2000 Server, после модернизации NOS и перезапуска компьютера мастер инсталляции Active Directory запускается автоматически. По окончании работы мастера служба каталога будет модифицирована до Active Directory Windows Server 2003.Дополнительная информация. Для получения дополнительной информации о проектировании структуры Active Directory см. гл. 5. Для получения дополнительной информации об использовании мастера инсталляции Active Directory см. гл. 6.
В зависимости от версии Windows в процессе обновления выполняются различные действия. Первая часть этого раздела описывает процессы обновления домена с системой Windows NT 4 Server, вторая - домена с системой Windows 2000 Server.
Примечание. Если у вас установлена более ранняя версия системы, чем Windows NT 4, вы не можете обновить ее сразу до Windows Server 2003. Сначала модернизируйте ее до Windows NT 4 и примените комплект обновлений Service Pack 5 (или более поздний) перед обновлением операционной системы.
Обновление Windows NT 4 Server
При обновлении Windows NT 4 Server до Active Directory Windows Server 2003 вначале модернизируется операционная система, а после перезагрузки компьютера завершается обновление домена. В этом разделе описано, как проводить подготовку и выполнение обновления от Windows NT 4 Server к Active Directory.
Дополнительная информация. В этом разделе обсуждаются только вопросы обновления до Active Directory Windows Server 2003. Поскольку вначале выполняется обновление операционной системы Windows NT 4 Server до Windows Server 2003, необходимо предварительно ознакомиться с техническими требованиями для модернизации NOS. Для получения дополнительной информации для небольших инсталляций (от одного до пяти серверов) смотрите страницу «Installing and Upgrading the Operating System (Установка и обновление операционной системы)» на веб-сайте Microsoft по адресу http:// www.microsoft.com/technet/prodtechnol/windowsserver2003/ proddocs/entserver/ins. Информацию для больших инсталляций смотрите в статье Microsoft Windows Server 2003 Deployment Kit (Комплект развертывания Windows Server 2003) по адресу http:// www.microsoft.co7n/windowsserver2003/techinfo/reskit/ deploykit.mspx.
Прежде чем начать
Перед началом обновления выполните несколько действий на PDC контроллере с системой Windows NT 4, который должен быть модернизирован.
* Очистите базу данных SAM. Помните, что при обновлении домена все в ней будет обновлено до Active Directory. Велика вероятность того, что очистка уменьшит количество учетных записей, которые будут перемещаться в Active Directory, уменьшив тем самым потребное дисковое пространство на контроллерах домена Windows Server 2003. Имейте в виду, что существующая база данных учетных записей пользователей при обновлении до Active Directory может увеличиться в 10 раз. При очищении SAM с помощью инструмента администрирования Windows NT 4 User Manager For Domains (Менеджер пользователей для доменов) или с помощью команды Net User (Пользователь сети) происходит следующее: o удаление дублированных учетных записей пользователей; o объединение дублированных групп учетных записей; o удаление неиспользуемых учетных записей пользователей, групп и компьютеров; o удаление учетных записей локальных групп для ресурсов, которые больше не существуют; o установка комплекта Service Pack 5 для Windows NT 4 или более позднего. Вы можете загрузить все поддерживаемые комплекты обновлений для Windows NT 4 с веб-сайта Microsoft по адресу http://www.microsoft.com/ntserver/nts/downloads/default.asp.
Сначала обновляем PDC
Первый контроллер домена, который нужно модернизировать в вашем домене Windows NT 4 - это PDC. Если вы попытаетесь модернизировать BDC раньше, чем PDC, произойдет ошибка, потому что домены, основанные на системе Windows NT 4, могут иметь только один PDC. Все контроллеры домена Windows Server 2003 в действительности являются контроллерами PDC по отношению к домену Windows NT 4, поэтому модернизируйте сначала PDC, чтобы не нарушить это правило.
Наилучшая практика. Вместо обновления существующего PDC вашего домена наилучшая практика состоит в том, чтобы построить чистый BDC с Windows NT 4, назначить его на роль PDC, a затем обновить тот контроллер домена до Windows Server 2003. Этот дополнительный шаг гарантирует, что вы начнете обновление с контроллера домена, который по аппаратным средствам совместим с Windows Server 2003, и что сервер не будет иметь истории модификаций, которые могут предотвратить чистое обновление.
После окончания этого процесса и проверки на повреждения сети и службы каталога вы можете добавлять другие контроллеры домена, инсталлируя новые или модернизируя существующие BDC. Пока вы находитесь на смешанном функциональном уровне Windows 2000 или пока вы не поднимете его до временного (interim) уровня Windows Server 2003, вы сможете поддерживать контроллеры домена Windows Server 2003 и резервные контроллеры домена с системой Windows NT 4. Когда и как быстро вы будете модернизировать контроллеры BDC, зависит от вас.
Когда все контроллеры домена модернизированы до Windows Server 2003, можно поднять функциональные уровни домена и леса. Для получения дополнительной информации о функциональных уровнях смотрите раздел «Представление о функциональных уровнях» далее в этой главе.
Чтобы модернизировать контроллеры PDC, выполните следующие действия.
Вставьте компакт-диск с Windows Server 2003 в CD-ROM. Если ваш CD-ROM разрешает Autorun (Автоматическое выполнение), автоматически запустится программа Setup (Установка). Вы можете также запустить файл Setup.exe из корневой папки компакт-диска вручную.
При запуске программы Setup выберите опцию Install Windows Server 2003 (Установка Windows Server 2003).
После того как программа Setup соберет информацию о вашей текущей операционной системе, выберите опцию Upgrading To Windows Server 2003 (Обновление до Windows Server 2003).
Введите информацию, необходимую для завершения программы Setup.
Когда обновление системы до Windows Server 2003 закончится, компьютер будет перезагружен, после чего автоматически начнет работать мастер инсталляции Active Directory.
Выполните мастера инсталляции Active Directory в соответствии с вашим проектом Active Directory. После того как инсталляция закончится, ваш компьютер будет перезагружен, и обновление до Active Directory завершится.
Проверка обновления до Active Directory
Для проверки установки службы Active Directory на модернизированном» контроллере домена нужно выполнить несколько действий. Некоторые из этих действий имеют характер диагностических тестов, другие -функциональных. Давайте сначала рассмотрим функциональное тестирование.
* Проверьте, что все учетные записи пользователей, групп и компьютеров перемещены в Active Directory. Для этого откройте инструмент Active Directory Users And Computers (Пользователи и компьютеры Active Directory) и просмотрите список объектов учетных записей. Возможно, вы не сможете проверить каждую, но обязательно следует выбрать несколько учетных записей Windows NT 4 и проверить, что они существуют на модернизированном контроллере домена. * Проверьте доверительные отношения с помощью инструмента Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory). * Проверьте системный журнал Event Viewer (Средство просмотра событий) в поисках каких-либо ошибок, которые могли произойти при запуске службы Active Directory. * Проверьте, можете ли вы создавать новых пользователей на контроллере домена Windows Server 2003. На модернизированном контроллере домена откройте инструмент Active Directory Users And Computers и создайте новую контрольную учетную запись пользователя. * Проверьте, могут ли пользователи входить в домен. С компьютера, находящегося в домене, попытайтесь войти в систему с модернизированной учетной записью пользователя. Для этой цели вы можете использовать «живую» учетную запись пользователя или перед обновлением создать контрольную учетную запись. * Проверьте репликацию на BDC контроллеры. После создания нового контрольного пользователя откройте User Manager For Domains на BDC с системой Windows NT 4 Server и проверьте, что пользователь реплицируется. Вы можете отсоединить контроллер домена Windows Server 2003 от сети и войти в сеть как контрольный пользователь, чтобы BDC с системой Windows NT 4 обработал запрос входа в систему.
Средства диагностики Active Directory расположены в комплекте Support Tools (Средства поддержки) на компакт-диске Windows Server 2003. Вы можете установить эти средства на обновленном контроллере домена с Windows Server 2003, выполняя файл Suptools.msi из папки \SUPPORT\TOOLS, расположенной на компакт-диске Windows Server 2003. Нужно выполнить следующие действия по диагностической проверке.
Чтобы проверить способность к взаимодействию и функциональность Active Directory, запустите инструмент Domain Controller Diagnostic (Диагностика контроллера домена) (в командной строке напечатайте dcdiag). В результате успешного испытания возвращается ряд сообщений «passed» (пройдено).
Дополнительная информация. Компонент Dcdiag инструмента Support Tool Windows Server 2003 анализирует состояние контроллеров домена в лесу и дает детальную информацию о том, как идентифицировать неправильное поведение в системе. Контроллеры домена идентифицируются и проверяются согласно директивам, которые пользователь вводит в командную строку. Для получения дополнительной информации об инструменте Dcdiag напечатайте dcdiag/? в командной строке.
Если это не первый домен Active Directory в лесу, напечатайте repadmin/showreps в командной строке, чтобы проверить успешность репликации между контроллерами домена Active Directory. В результате успешного испытания возвращается соответствующее сообщение о каждом событии репликации с входящими и исходящими партнерами по репликации.
Чтобы проверить успешность репликации на контроллеры BDC, напечатайте nltest/bdc_query:domainname, где domainname - имя реп-лицируемого домена. В результате успешного испытания возвращается сообщение «status = success (статус = успех)» для каждого BDC контроллера в домене.
После проверки обновления PDC вы можете модернизировать контроллеры BDC.
Обновление BDC контроллеров
Возможно, что в модернизации BDC-контроллеров с системой Windows NT 4 нет никакой необходимости. С обновлением PDC вся информация домена обновится до Active Directory Windows Server 2003. После этого
можно ввести дополнительные контроллеры домена с Windows Server 2003 для поддержки потребностей службы каталога домена, установив новые контроллеры домена с Windows Server 2003 или модернизируя существующие контроллеры BDC. Предпочтительно установить новые контроллеры домена с Windows Server 2003, потому что таким образом устраняется риск, связанный с обновлением BDC с неизвестной (или, что еще хуже, проблемной) историей. Новая инсталляция Windows Server 2003 на этих дополнительных контроллерах домена гарантирует, что компьютер будет находиться в чистом состоянии.
Когда выбирается модернизация BDC? Возможно, только в том случае, если имеются приложения, выполняющиеся на BDC, которые неудобно или невозможно повторно установить на новом контроллере домена.
Если вы решите, что необходимо провести обновление BDC, то этот процесс будет таким же, как обновление PDC. Сначала модернизируете NOS, а после перезапуска компьютера воспользуетесь мастером инсталляции Active Directory для установки Active Directory и назначения сервера на роль контроллера домена. Мастер инсталляции Active Directory можно и fie выполнять. В этом случае компьютер останется сервером-членом домена Windows Server 2003, а информация базы данных SAM на этом сервере будет потеряна. Ваш проект Active Directory предписывает потребное количество контроллеров домена, а в плане модернизации указано, какие из оставшихся контроллеров BDC должны быть назначены контроллерами домена после обновления, а какие - остаться серверами-членами домена.
Предотвращение перезагрузки контроллера домена
Перегрузка контроллера домена по сценарию обновления домена происходит, когда у вас есть клиентские компьютеры с системами Windows 2000 Professional и/или Windows XP Professional в домене, основанном на системе Windows NT 4, и вы модернизируете PDC до Windows Server 2003. Такая ситуация может привести к перегрузке единственного контроллера домена, имеющего Windows Server 2003. Это происходит потому, что компьютеры с системами Windows 2000 Professional и Windows XP Professional, присоединяющиеся к домену Active Directory, для выполнения любых действий, требующих контакта с контроллером домена, будут взаимодействовать только с контроллерами домена, на которых установлена система Windows 2000 Server или Windows Server 2003. Если у вас есть обновленные клиентские компьютеры или новые, на которых выполняются вышеупомянутые операционные системы, вы должны предпринять некоторые шаги для устранения риска, связанного с появлением единственной точки возможного отказа (модернизированный PDC).
Предотвратить перезагрузку контроллера домена можно, если быстро добавить в сеть контроллеры домена с Windows Server 2003. Если не предполагается немедленного обновления всех BDC с системой Windows NT 4 Server или добавления новых контроллеров домена с Windows
Server 2003, можно изменить системный реестр на модернизированном PDC таким образом, чтобы контроллер домена Windows Server 2003 эмулировал поведение контроллера домена с системой Windows NT 4 для всех клиентов, на которых выполняются Windows 2000 Professional и Windows ХР Professional. Чтобы включить режим эмуляции Windows NT 4, выполните следующие действия на PDC с модернизированной системой Windows NT 4.
1. После того как компьютер был модернизирован от Windows NT 4 до Windows Server 2003, до начала установки Active Directory откройте редактор системного реестра (напечатайте regedit в диалоговом окне Run). 2. Создайте значение NT4EMULATOR в ключе системного реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Services\ Netlogon\Parameters. 3. Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение DWORD). Замените имя New Value #1 именем NT 4Emulator и нажмите Enter. 4. В меню Edit щелкните на Modify(Изменить). В диалоговом окне Edit DWORD Value (Правка значения DWORD) напечатайте 1 в текстовом поле Value Data (Данные), а затем щелкните на ОК. 5. Сохраните изменения и закройте редактор системного реестра. 6. Запустите мастер инсталляции Active Directory, напечатав dcpromo в диалоговом окне Run.
Повторите этот процесс на каждом из недавно установленных контроллеров домена с Windows Server 2003 или на каждом контроллере домена с модернизированной системой Windows NT 4, пока не будет введено достаточное количество контроллеров домена с Windows Server 2003, чтобы возможность перегрузки была устранена.
Имейте в виду, что это временное решение временной проблемы. После того как все запланированные контроллеры домена с Windows NT 4 будут модернизированы до Windows Server 2003, вы должны или установить значение NT 4Emulator на 0x0, или удалить ключ системного реестра для каждого из модифицированных компьютеров.
Практический опыт. Нейтрализация эмуляции NT 4
Для некоторых компьютеров нужно будет изменить системный реестр так, чтобы они игнорировали установку NT 4EMULATOR. Это компьютеры с Windows Server 2003 или Windows 2000, которые будут назначены контроллерами домена, и компьютеры с Windows 2000 Professional или Windows XP Professional, которые будут использоваться для управления доменом Active Directory. Имеется способ дать им возможность входить в контакт с контроллерами домена Windows Server 2003 как обычно.
Чтобы нейтрализовать установку NT 4EMULATOR, выполните следующие действия.
Запустите редактор системного реестра (напечатайте regedit в диалоговом окне Run).
Создайте значение NeutralizeNT4Emulator в ключе HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\ Netlogon\Parameters.
Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение DWORD). Замените имя New Value #1 именем NeutralizeNT4Emulator и нажмите Enter.
В меню Edit (Правка) щелкните на Modify (Изменить). В диалоговом окне Edit DWORD Value (Правка значения DWORD) напечатайте 1 в текстовом поле Value Data (Данные), а затем щелкните на ОК.
После того как все BDC с Windows NT 4 будут установлены или модернизированы до Windows Server 2003, обновление можно считать почти законченным. Заключительный шаг состоит в поднятии функционального уровня домена и леса с уровня mixed Windows 2000 (значение по умолчанию) к уровню Windows Server 2003.
Подъем функционального уровня
После того как вы модернизировали все контроллеры домена до Windows Server 2003, нужно поднять функциональные уровни домена и леса, чтобы ощутить преимущества от обновления сетевой операционной системы. Информацию о функциональных уровнях смотрите в разделе «Представление о функциональных уровнях» далее в этой главе.
Чтобы поднять функциональный уровень домена, выполните следующие шаги на контроллере домена в модернизированном домене.
1. Откройте инструмент Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory). 2. В дереве консоли щелкните правой кнопкой мыши на домене, функциональность которого вы хотите поднять, а затем щелкните на Raise Domain Functional Level (Поднять функциональный уровень домена). 3. В пункте Select An Available Domain Functional Level (Выберите доступный функциональный уровень домена) выберите один из вариантов: * чтобы поднять функциональный уровень домена до уровня Windows 2000 native (естественный), щелкните на Windows 2000 Native, а затем щелкните на Raise (Поднять); * чтобы поднять функциональный уровень домена до уровня Windows Server 2003, выберите Windows Server 2003, а затем щелкните на Raise.
После того как вы подняли функциональный уровень домена (по крайней мере, до естественного (native) уровня Windows 2000), вы можете поднять функциональный уровень леса до Windows Server 2003. Это обеспечит функционирование службы Active Directory по всему лесу. Чтобы поднять функциональный уровень леса, выполните следующие действия.
Откройте инструмент Active Directory Domains And Trusts.
В дереве консоли щелкните правой кнопкой мыши на узле Active Directory Domains And Trusts, а затем щелкните на Raise Forest Functional Level (Поднять функциональный уровень домена).
В пункте Select An Available Domain Functional Level (Выберите доступный функциональный уровень домена) выберите 2003 Windows Server, затем щелкните на Raise (Поднять).
Предостережение. Процедура поднятия функционального уровня домена или леса является необратимой. Для восстановления более низкого уровня вы должны будете деинсталлировать Active Directory (при этом после деинсталляции службы на последнем контроллере домена домен будет удален), а затем повторно установить службу каталога.
Представление о функциональных уровнях
Функциональные уровни используются в Windows Server 2003, чтобы задействовать соответствующий набор функций Active Directory для тех контроллеров домена, которые могут их поддерживать. Уровень функциональности, который вы выберете для вашего предприятия, диктуется версией операционной системы Windows, выполняющейся на контроллерах домена. Функциональные уровни могут быть установлены и для домена, и для леса. Когда уровень леса установлен на функциональный уровень Windows Server 2003, все функции Active Directory доступны.
Концепция функциональных уровней подобна параметрам настройки смешанного и естественного режима, которые были представлены в Windows Server 2000. Эти понятия были расширены в Windows Server 2003, чтобы вместить дополнительные функции Active Directory. Функциональные уровни используются для того, чтобы обеспечить обратную совместимость с контроллерами доменов низкого уровня.
Имеются четыре функциональных уровня домена: Windows 2000 mixed (смешанный) (значение по умолчанию), Windows 2000 native (естественный), Windows Server 2003 interim (временный) и Windows Server 2003. Когда вы модернизируете все контроллеры домена низкого уровня, имеющиеся в домене, до Windows Server 2003, вы должны поднять функциональный уровень этого домена до уровня Windows Server 2003. Подъем функционального уровня домена от смешанного Windows 2000 к естественному Windows 2000 или к Windows Server 2003 задействует такие функции, как SID-History, Universal Groups (Универсальные группы) и вложенные группы.
Имеются три функциональных уровня леса: Windows 2000, Windows Server 2003 interim и Windows Server 2003. Чтобы задействовать все функции Active Directory после того, как все домены леса будут работать на функциональном уровне native Windows 2000 или выше, нужно поднять функциональный уровень леса до уровня Windows Server 2003.
Предостережение. Не поднимайте функциональный уровень леса до уровня Windows Server 2003, если у вас есть контроллеры домена, на которых выполняется система Windows NT 4 Server или Windows 2000 Server. Как только функциональный уровень леса будет поднят до уровня Windows Server 2003, его нельзя вернуть назад на уровень mixed или native Windows 2000, и вы не сможете поддерживать контроллеры домена низкого уровня вашего леса.