Перед началом развертывания Active Directory необходимо спланировать структуру каталога Active Directory. Правильно спланированная структура каталога позволит расширять его в будущем, сохраняя оптимальную производительность и прозрачность для конечных пользователей.
Планирование пространства имен.
Подобно DNS, в основе пространства имен Active Directory лежит полное доменное имя высшего уровня информационной системы предприятия, состоящей из доменов Windows Server 2003 или Windows 2000, связанных доверительными и иерархическими отношениями в деревья доменов. Кроме того, важно сразу решить, будут ли одинаковы внутреннее (локальная сеть, защищенная брандмауэром) и внешнее (за пределами локальной сети) пространства имен. Иначе говоря, будет ли пространство имен Active Directory соответствовать пространству имен DNS, которое, возможно, уже определено для вашей организации.
Например, внешнее пространство имен DNS организации - fio.ru. Вы можете использовать пространство имен Active Directory, соответствующее fio.ru, а можете выбрать другое пространство имен. Каждый из этих вариантов имеет свои плюсы и минусы и будет рассмотрен ниже.
Планирование структуры организационных подразделений.
Организационные подразделения (ОП) должны отражать потребности структуры организации. Создание ОП позволяет делегировать полномочия по администрированию небольших групп пользователей, групп и ресурсов. Поскольку ОП верхнего уровня способно поддерживать дополнительные уровни, допустимо неограниченное увеличение степени детализации. Организационные подразделения позволяют:
наглядно отобразить структуру организации с учетом подчиненности подразделений;
дать конечному пользователю информацию не только о самом подразделении, но и о пользователях и расположенных в нем ресурсах;
делегировать часть задач по администрированию уполномоченным сотрудникам подразделения;
определить для подразделения собственную системную политику.
Рекомендации по разработке структуры ОП При планировании и администрировании структуры ОП придерживайтесь следующих правил:
создавайте ОП для делегирования административных полномочий;
структура ОП должна быть логичной - это поможет и администраторам и пользователям;
создавайте ОП для внедрения системных политик;
создавайте ОП для ограничения видимости опубликованных ресурсов;
старайтесь создавать статичную структуру ОП, требующую минимум изменений с течением времени;
не размещайте в одном ОП слишком много дочерних объектов - если их число превышает 20-30, то создавайте дочерние ОП.
Приступив к разработке структуры ОП, старайтесь строго придерживаться выбранных правил именования ОП и объектов: имена должны быть иерархичны, статичны и готовы к применению в любом домене каталога.
При планировании структуры ОП рекомендуется сначала создать структуру, отражающую реальную структуру организации. После этого в ОП можно будет создать дополнительные уровни, необходимые для удобства администрирования.
Структура иерархии ОП Существует несколько моделей построения иерархии ОП. вы можете выбрать модель, наиболее полно соответствующую вашим требованиям, либо создать свою собственную гибридную модель.
Объектная модель деления на ОП Отдельные ОП создаются для объектов следующих типов:
пользователь;
контакт;
группа;
компьютер;
принтер;
системная политика;
ресурс.
Такая модель ОП значительно упрощает администрирование Active Directory и не подвержена изменениям при реструктуризации предприятия, но усложняет использование каталога. Очень хорошо подходит для небольших (до 30 человек) организаций.
Географическая модель деления на ОП Эта модель приемлема для организаций, ориентированных на географическое деление ресурсов. В таких организациях сотрудники и ресурсы группируются по принципу обслуживания определенного географического региона. Такая структура ОП достаточно статична, но плохо подходит для организаций других типов.
Модель деления на ОП по задачам Организационные подразделения создаются, исходя из задач, выполняемых организацией. В большинстве случаев, такая структура будет соответствовать отделам организации, хотя и будет выходить за их границы. Эта структура также статична и достаточно удобна для конечных пользователей, которые общаются в основном с сотрудниками, работающими над одной и той же задачей.
Модель деления на ОП по отделам Организационные подразделения создаются, исходя из структуры организации. Такая структура удобна и понятна пользователям и администраторам, но нестабильна во времени - при реструктуризации необходимо создавать новые ОП, удалять старые, перемещать пользователей и т. п. Кроме того, требуется постоянно отслеживать актуальность такой структуры.
Модель деления на ОП по проектам Деятельность некоторых организаций построена по проектному принципу, что позволяет создавать отдельные ОП для каждого проекта. Такая структура удобна для администрирования - можно делегировать задачи по управлению ОП проекта администратору проекта. Однако эта структура нестабильна, поэтому обычно используется как дочерний уровень по отношению к более стабильному ОП.
Планирование сайтов.
До этого момента вы разрабатывали логическую структуру каталога Active Directory. Но успешное внедрение и функционирование Active Directory также зависит от правильно спланированной физической структуры, которая разграничивается сайтами. Зачастую сайт имеет те же границы, что и локальная сеть.
Механизм репликации Active Directory позволяет по-разному выполнять репликацию в локальной и глобальной сети. Сетевой трафик внутри сайта гораздо активнее трафика между сайтами. Настройка сайтов отражается на работе Active Directory в двух ключевых моментах.
Вход в сеть. При входе пользователя в домен совместимые с Active Directory клиенты пытаются найти контроллер домена в том же сайте, что и компьютер пользователя (для этого используются IP-сети), чтобы он обслужил запрос регистрации в системе и последующие запросы сетевой информации.
Репликация каталога. Расписание и маршрут репликации каталога домена могут быть сконфигурированы по отдельности для внутри- и межсайтовой репликации. Обычно система настраивается так, чтобы межсайтовая репликация осуществлялась реже, чем внутрисайтовая.
В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры сгруппированы в домены и ОП, а не в сайты. Структура сайтов и IP-сетей описывается в отдельной части каталога Active Directory (конфигурационном контейнере), в которой содержатся ссылки на объекты компьютеров, необходимые для описания параметров сайтов и межсайтовой репликации.
Правильно спланированные сайты не перегружают каналы связи трафиком репликации, информация в Active Directory всегда актуальна, а пользователи при регистрации обращаются к ближайшим контроллерам домена.
Группируя IP-сети в сайты, надо учитывать скорость связи между подсетями.
Объединяйте только те подсети, которые располагают быстрыми, недорогими и надежными сетевыми соединениями. Под быстрым соединением подразумевается канал связи со свободной полосой пропускания не менее 512 Кбит/с, которая может быть выделена для трафика репликации. Обычно таким требованиям удовлетворяют несколько IP-сетей в рамках одной локальной сети.
Конфигурируйте сайты таким образом, чтобы репликация выполнялась в часы минимальной загрузки каналов связи.
Оптимизация регистрационного трафика Планируя сайты, определите, какие контроллеры домена будут доступны рабочей станции, находящейся в том же сайте. Оптимальным является размещение в сайте как минимум одного контроллера домена. По возможности это должен быть один из контроллеров домена, в котором зарегистрирован пользователь.
Оптимизация репликации каталога Планируя сайты, решите, где будут размещены контроллеры доменов. Учтите, что каждый контроллер домена осуществляет репликацию со всеми остальными контроллерами домена, а репликация между доменами осуществляется только силами двух контроллеров. Поэтому не рекомендуется размещать один домен в нескольких сайтах - это может привести к замедлению репликации ключевой информации и потере актуальности данных на некоторых контроллерах домена. Кроме того, сайты необходимо конфигурировать так, чтобы трафик репликации не мешал нормальной работе сети.
Установка.
Установка Active Directory осуществляется при помощи специального мастера, который выполнит все необходимые операции по установке и начальной настройке контроллера домена Active Directory. Тем не менее вы должны выполнить ряд предварительных требований, которые позволят установить контроллер домена без ошибок.
Предварительные требования.
Перед запуском мастера установки Active Directory убедитесь в выполнении следующих требований:
Протокол TCP/IP должен быть сконфигурирован на использование статического IP-адреса. В настройках протокола должны быть указаны адреса работающих DNS-серверов. Желательно, чтобы эти серверы имели информацию о зоне DNS, в которой будет создан домен Active Directory. Если сервер, на котором устанавливается Active Directory, является DNS-сервером соответствующей зоны, укажите его собственный адрес в качестве адреса первого DNS-сервера в параметрах настройки TCP/IP
Если в вашей сети DNS-сервер еще не установлен, то в процессе инсталляции Active Directory он будет установлен и сконфигурирован автоматически
Если ваша сеть уже обслуживается каким-либо DNS-сервером, убедитесь, что зона, в которую будет устанавливаться домен Active Directory, доступна с компьютера, а в свойствах этой зоны необходимо разрешить динамические обновления. Для проверки доступности зоны в командной строке введите команду nslookup имя_зоны
Убедитесь, что вы зарегистрированы на компьютере под учетной записью локального администратора
Папки, в которых будет храниться база данных и системный том Active Directory, должны быть размещены на томе, отформатированном под NTFS 5.0. Убедитесь, что диски, которые вы планируете для этого использовать, отформатированы под NTFS
Закройте все запущенные приложения. Они могут помешать установке Active Directory, кроме того, после завершения работы мастера установки Active Directory потребуется перезагрузить компьютер
Запуск Мастера установки Active Directory.
Основной функцией мастера установки Active Directory (Active Directory Installation Wizard) является конфигурирование сервера для его работы в качестве контроллера домена и изменения роли существующих контроллеров домена. Если вы установили первый сервер Windows Server 2003 (Windows 2000) в сети и собираетесь установить на нем Active Directory, то создается совершенно новая база Active Directory, а ваш сервер будет содержать первый домен первого дерева первого леса.
Запустить Мастер установки Active Directory можно несколькими способами, запустив Мастер настройки сервера.
Для этого выберите в меню Пуск -> Администрирование -> Управление данным сервером
В разделе Управление ролями данного сервера нажмите кнопку Добавить или удалить роль.
Можно сразу запустить Мастер настройки сервера из меню Администрирование.
Также Мастер настройки сервера можно запустить, в меню Пуск щелкнув Выполнить, введя в появившемся окне dcpromo и нажав клавишу Enter.
При выборе любого варианта будет запущен Мастер настройки сервера.
Мастер автоматически установит Active Directory с созданными по умолчанию вариантами для многих опций, используя Мастер установки Active Directory, что обеспечит защиту от ошибок при установке.
Использование мастера конфигурирования сервера.
Чтобы установить службу Active Directory, DNS-сервер и службу динамического предоставления IP-адресов (DHCP) в окне мастера настройки сервера выберите типовую настройку для первого сервера и нажмите кнопку Далее.
На следующем шаге введите полное DNS-имя нового домена.
Указанный домен или зона должны быть зарегистрированы в DNS и должны быть доступны во время установки Active Directory. Данная зона не обязательно должна обслуживаться каким-либо DNS-сервером, в этом случае мастер самостоятельно создаст DNS-сервер и сконфигурирует зону на том же компьютере, где устанавливается Active Directory.
Если вы создаете домен, который будет использоваться в вашей внутренней сети без регистрации в сети Интернет, вы можете обозначить домен верхнего уровня ".local", чтобы избежать путаницы с внешними доменами.
После ввода DNS-имени мастер генерирует на его основе NetBIOS-имя домена. Оно будет использоваться для доступа к домену с компьютеров под управлением более ранних версий Windows (до Windows 2000).
В качестве имени выбирается самое старшее имя домена из полного доменного имени, введенного на предыдущем шаге. Мастер самостоятельно проверяет, не конфликтует ли выбранное имя с уже существующими в сети. Если в локальной сети будет обнаружен компьютер, домен или рабочая группа с указанным именем, мастер выдаст сообщение об ошибке и потребует указать уникальное NetBIOS-имя домена. вы можете самостоятельно изменить имя домена на любое другое, удовлетворяющее внутренним правилам именования в организации. В этом случае помните, что максимальная длина NetBIOS-имени - 15 символов.
Далее мастер настройки сервера создает новый DNS-сервер (если он не был создан заранее) и приступает к его настройке. Как уже упоминалось ранее, DNS-серверы связаны иерархической структурой с другими DNS-серверами для разрешения запросов. Если создаваемый вами домен будет иметь постоянное подключение к Интернету или в вашей сети уже используется DNS-сервер, то вам необходимо указать IP-адрес DNS-сервера, к которому будет обращаться создаваемый DNS-сервер для разрешения запросов.
Если вы создаете внутренний домен без постоянного подключения к Интернету и в вашей сети нет других DNS-серверов, то выберите пункт Нет, не пересылать запросы, тогда создаваемый DNS-сервер будет главным DNS-сервером создаваемого домена.
Если вы периодически подключаетесь к Интернету через модем и укажете вышестоящий DNS-сервер для пересылки запросов, то при отключении от Интернета ваш DNS-сервер будет выдавать сообщения об ошибке, из-за невозможности найти вышестоящий сервер.
Перенастроить сервер можно позже, после его установки.
Еще раз проверьте правильность введенных значений и их соответствие ранее определенной конфигурации Active Directory.
Процесс установки и настройки Active Directory и других служб наглядно отображается на экране.
При создании нового домена последовательно выполняются следующие операции:
останавливаются все необходимые службы;
создается служба DHCP;
создаются папки для хранения БД и системного тома Active Directory;
создается контейнер схемы, в который загружается схема по умолчанию;
создаются все необходимые контейнеры и объекты каталога Active Directory;
из локальной БД системы безопасности все объекты переносятся в каталог Active Directory;
создаются политики по умолчанию;
конфигурируются службы Active Directory;
удаляется локальная БД системы безопасности;
устанавливаются права доступа на созданные объекты каталога и системные папки Windows Server 2003;
создается файл со списком изменений, вносимых в зону DNS;
устанавливаются инструменты управления Active Directory.
Закончив выполнение всех запланированных операций компьютер автоматически перезагрузится. После загрузки операционной системы Windows Server 2003 мастер настройки сервера продолжит свою работу.
По завершении работы мастер сообщает о результатах установки, выводит информацию о сайте, в который был включен контроллер домена.
При установке первого контроллера первого домена дерева автоматически создается сайт с именем Default-First-Site-Name. В него по умолчанию будут включаться все устанавливаемые контроллеры доменов.
Щелкните кнопку Готово для завершения установки Active Directory.
Завершение установки Active Directory.
По завершении работы Мастера установки Active Directory и перезагрузки вы наверняка заметите, что загрузка компьютера замедлилась в несколько раз. Это связано с тем, что при каждой загрузке запускаются службы Active Directory, которые при запуске осуществляют проверку баз данных Active Directory, внесение изменений в зону DNS, обслуживающую домен, устанавливают связь с ГК и мастером схемы в поисках изменений и т. п. В зависимости от конфигурации компьютера загрузка становится дольше на 3-10 минут.
Многие изменения в конфигурации Windows Server 2003, связанные с установкой Active Directory, осуществляются не во время работы мастера установки, а во время первой перезагрузки. Кроме того, большинство этих изменений, например создание необходимых записей в DNS-зоне, осуществляется асинхронно, уже после того, как запущены все службы и компьютер загружен. Поэтому рекомендуется выждать до 30 минут после первой перезагрузки компьютера, прежде чем переходить к проверке правильности установки Active Directory. За это время будут завершены все операции по настройке и начальной репликации (если вы устанавливали не первый контроллер в дереве доменов).
Основным хранилищем информации о дереве доменов, влияющем на работоспособность Active Directory, является DNS. Наличие в зоне необходимых записей является свидетельством правильно выполненной установки Active Directory и работоспособности домена. Для проверки запустите консоль управления DNS (Пуск -> Администрирование -> DNS). Домен, в который устанавливалась Active Directory, должен выглядеть следующим образом:
