Создание нового домена - Установка службы каталогов Active Directory [Занятие 4.]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Thursday 22 June 2006 - 00:00:00
[newpage=Концепция Active Directory] Занятие 4. Установка Active Directory.
Служба каталогов Active Directory, реализованная в Windows Server 2003, объединяет все объекты в сети (пользователи, файлы, каталоги, принтеры, базы данных, службы и другие ресурсы) и позволяет централизованно управлять ими. Это упрощает сетевое администрирование, т.к. все сетевые объекты находятся в единой базе.
Второе преимущество Active Directory в том, что централизованная база может быть использована другими приложениями, например Exchange Server. Администратору сети нет необходимости создавать учетные записи пользователей в каждом приложении, они просто реплицируются из единой базы.
Еще одно преимущество использования Active Directory - это единая регистрация. После успешной идентификации пользователю будет предоставлен доступ ко всем сетевым ресурсам, без необходимости регистрироваться снова на других серверах.
Новая версия Active Directory для Windows Server 2003 имеет несколько новых функций, одной из которых является возможность переименования доменов при сохранении уникального идентификатора (Globally Unique Identifier, GUID) и идентификатора защиты (Security Identifier, SID) домена.
Концепция Active Directory
Полностью интегрированная в Windows Server 2003 служба Active Directory обеспечивает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности.
Основным протоколом в Active Directory является LDAP (Lightweight Directory Access Protocol), способный взаимодействовать с различными ОС, включающими независимые пространства имен. Протокол LDAP позволяет управлять каталогами других приложений, а также каталогами сетевых ОС, что упрощает администрирование и снижает стоимость обслуживания множества пространств имен.
Более подробную информацию о протоколах LDAP и X.500 можно получить из стандарта RFC 1777.
Active Directory позволяет централизованно администрировать все опубликованные ресурсы: файлы, устройства, базы данных, учетные записи пользователей, группы, политики безопасности, службы и многие другие объекты. В качестве службы поиска Active Directory использует DNS, упорядочивающую несколько доменов в единую древовидную структуру и облегчающую поиск компьютеров, предоставляющих определенные сервисы. Такой подход позволяет отказаться от иерархии основной/резервный контроллер домена и сделать все контроллеры домена равноправными, что в свою очередь позволяет вносить изменения на любом контроллере домена - они автоматически будут перенесены на остальные контроллеры.
[newpage=Структура Active Directory]
Структура Active Directory
Active Directory предоставляет способ для разработки структуры каталога в зависимости от потребностей вашей организации. При описании каталога Active Directory использует две структуры:
Логическая структура.
Логическая структура образуется за счет группирования ресурсов и позволяет искать ресурсы по именам, а не физическому расположению. База данных Active Directory содержит следующие структурные объекты:
разделы;
*домены;
*деревья доменов;
*леса;
*сайты;
*организационные единицы.
Пространство имен
Как и любая служба каталогов, Active Directory в первую очередь является пространством имен. Пространство имен (namespace) - это любая ограниченная область, где возможно разрешение имени. Разрешение имени (name resolution) - это процесс сопоставления имени некоторому объекту или информации, которую оно представляет. Пространство имен Active Directory основано на схеме именования DNS, обеспечивающей взаимодействие с Интернетом.
Объект
Объект (object) - это отличительный набор именованных атрибутов, описывающих ресурс. Атрибутами (attribute) называются характеристики объектов в каталоге. Например, атрибуты пользователя включают его фамилию, имя, отдел, адрес электронной почты.
Набор атрибутов объекта определяется классом (class) объекта. Классы объектов и их атрибуты определены в схеме Active Directory.
Кроме того, выделяют контейнерные объекты (container objects), они могут содержать в себе другие объекты. Например, организационная единица и домен - контейнерные объекты.
Организационное подразделение
Организационное подразделение (organizational unit) - контейнерный объект, предназначенный для группировки других объектов в логические административные группы в рамках домена. Организационные единицы могут содержать такие объекты, как учетные записи пользователей, группы, компьютеры, принтеры и т. п. Иерархия организационных единиц домена не зависит от других доменов - каждый домен может поддерживать свою собственную иерархию.
Домен
Домен (domain) - основная единица логической структуры в Active Directory. Домен Active Directory является прямым аналогом домена Windows NT и предназначен для логической группировки компьютеров. Обычно группировка осуществляется по подразделениям организации, что позволяет одновременно упростить обмен данными внутри подразделения и защитить данные от изменения сотрудниками из других подразделений.
Все объекты существуют только в пределах домена. Каждый домен хранит сведения только о содержащихся в нем объектах. Теоретически каталог домена может содержать более 10 миллионов объектов, на практике проверена возможность хранения порядка 1 миллиона объектов.
В типичный домен входят следующие компьютеры:
Дерево
Дерево (tree) - это группировка или иерархия одного или нескольких доменов Windows Server 2003 (Windows 2000). Типичное дерево Active Directory может содержать один домен:
Все домены в дереве представляют единый доступ к информации и ресурсам всего дерева. В дереве имеется только один каталог, но каждый домен предоставляет свою часть каталога, содержащую информацию о "своих" объектах. В пределах дерева пользователь, зарегистрировавшийся в одном домене, может обращаться к ресурсам других доменов (в пределах назначенных ему разрешений).
Windows Server 2003 осуществляет репликацию информации между доменами, обеспечивая идентичность данных, хранимых на всех контроллерах всех доменов дерева. Кроме того, в каждом домене создается свой собственный индекс, облегчающий поиск объектов в пределах домена.
Все домены дерева предоставляют доступ к общему пространству имен и иерархической структуре имен. По стандартам DNS, имя дочернего домена дополняется именем родительского домена. Дерево доменов всегда начинается с одного корневого домена.
Лес
Лес (forest) - объединение одного и более деревьев - позволяет группировать сети подразделений организации или нескольких организаций, которые не используют одинаковую схему именования, работают независимо друг от друга, но должны обмениваться данными.
Все деревья в лесу используют общую схему и общий глобальный каталог (ГК). Корневые домены деревьев леса связываются доверительными отношениями, что позволяет организовать доступ из одного дерева в другое.
Схема
Схема (schema) содержит формальное описание содержания и структуры хранилища Active Directory, включая все атрибуты, классы и свойства классов. Для каждого класса объектов схема определяет, какими атрибутами должен обладать экземпляр класса, какие дополнительные атрибуты он может иметь и какой класс объектов является предком текущего класса.
При установке Active Directory на первый контроллер домена в сети создается стандартная схема, содержащая определения наиболее часто используемых объектов и их свойств, таких как пользователи, группы, компьютеры, принтеры и т. п. Стандартная схема также содержит определения собственных объектов и свойств Active Directory.
Схема Active Directory расширяема, т. е. вы можете определить новые типы объектов каталога и их атрибуты, в том числе и новые атрибуты для существующих объектов. Схема хранится вместе с данными Active Directory (в ГК) и обновляется динамически. Таким образом, добавленные и измененные атрибуты можно использовать практически сразу после изменения схемы.
Схема определяет структуру леса Active Directory, который может содержать несколько деревьев Active Directory, которые, в свою очередь, могут содержать несколько иерархически структурированных доменов Active Directory. В связи с этим в лесе Active Directory один из контроллеров объявляется мастером схемы (schema master) и отвечает за репликацию данных схемы на все контроллеры доменов.
Глобальный каталог
Глобальный каталог (global catalog) - это центральное хранилище информации об объектах в дереве доменов и лесе Active Directory. Содержимое глобального каталога генерируется автоматически во время стандартного процесса репликации данных между контроллерами доменов.
Глобальный каталог является как службой, так и физическим хранилищем части атрибутов всех объектов леса Active Directory. Процесс частичной репликации позволяет находить большинство сведений непосредственно в глобальном каталоге, без обращения к исходному домену. По умолчанию в глобальном каталоге хранятся атрибуты, наиболее часто используемые при поиске (например имя пользователя, его учетной записи и т. п.), а также сведения, необходимые для обнаружения объекта (полный LDAP-путь к соответствующему объекту каталога). Хранение только основных атрибутов объектов в глобальном каталоге позволяет уменьшить его размер, поэтому один сервер глобального каталога может обслуживать много контроллеров домена Windows. Следовательно, глобальный каталог позволяет найти объект в любом месте сети, даже не реплицируя информацию между контроллерами домена.
Вы можете управлять репликацией атрибутов классов в глобальный каталог при помощи оснастки Схема Active Directory, которую можно вызвать командой mmc %systemroot%\system32\schmmgmt.msc. Будьте осторожны при изменении параметров атрибутов, классов и параметров репликации в глобальный каталог - указание некорректных значений может привести к полной или частичной неработоспособности Active Directory.
При установке первого контроллера домена в лесу Active Directory он становится сервером глобального каталога. В зависимости от размеров каталога Active Directory сервер глобального каталога должен быть достаточно мощным - он хранит большое количество информации (до нескольких миллионов объектов) и должен обслуживать запросы большого количества клиентов.
При наличии нескольких контроллеров домена вы можете перенести глобальный каталог на другой сервер или настроить несколько серверов на его поддержку глобального каталога. При выборе сервера глобального каталога необходимо учитывать, что этот сервер является источником трафика большого объема, что может негативно сказаться на производительности сети в целом. Рекомендуется устанавливать по одному серверу глобального каталога в каждом сайте, это позволит выполнять большую часть запросов, не обращаясь к другим сайтам.
Репликация.
Репликация (replication) - это процесс актуализации данных, хранящихся на контроллерах домена. В процессе репликации изменения, внесенные в атрибуты и состав объектов на одном контроллере домена, переносятся на другие. После завершения репликации каждый контроллер домена хранит актуальные сведения об объектах.
Есть несколько видов репликации:
Физическая структура.
Физическая структура Active Directory - это совокупность мер, направленных на управление репликацией между контроллерами доменов Active Directory. Обычно физическая структура Active Directory соответствует структуре IP-сетей организации.
Контроллер домена
Контроллер домена (domain controller) - это компьютер под управлением Windows Server 2003 или Windows 2000 Server, хранящий реплику раздела каталога (базу данных домена). Все контроллеры домена имеют полную базу данных домена. При внесении изменений в данные каталога они фиксируются в локальной БД на контроллере домена, после чего реплицируются на другие контроллеры. Изменение некоторых критичных атрибутов (допустим, пароля пользователя) реплицируются незамедлительно.
IP-сеть
IP-сеть - это описание некоторой IP-сети, являющейся частью сайта Active Directory. Обычно IP-сети Active Directory соответствуют IP-сетям, используемым в локальной сети организации.
При отображении IP-сетей Active Directory используется формат w.x.y.z/m (например, 172.16.6.0/24), где w, x, y, z - октеты IP-адреса сети, а m - количество бит маски подсети. Например, 24 бита соответствуют маске 255.255.255.0, а 22 бита - маске 255.255.252.0.
Сайт
Сайт (site) - это совокупность одной или нескольких IP-сетей, объединенных высокоскоростными каналами связи. Сайт может содержать один или более доменов, либо домен может быть размещен в нескольких сайтах. Сайты предназначены для управления репликацией между сетями, соединенными каналами связи с низкой пропускной способностью.
Между контроллерами доменов, расположенных в одном сайте, репликация осуществляется с небольшим интервалом времени (по умолчанию - 15 минут). Репликация между сайтами осуществляется по специальному графику, настраиваемому администратором, с гораздо большим временным интервалом. Кроме того, репликация между сайтами осуществляется однократно, понижая тем самым объем передаваемых данных. Кроме того, сайты используются клиентскими компьютерами для определения ближайшего контроллера домена, который будет использован для авторизации пользователя.
Правила именования.
Каждый объект в хранилище Active Directory идентифицируется по имени. Для обращения к объектам используются разные правила именования:
Так как Active Directory является LDAP-совместимой службой каталога, то все обращения к объектам в каталоге осуществляются по протоколу LDAP.
Составное имя
Объекты размещаются в Active Directory согласно иерархическому пути, включающему метки доменного имени Active Directory и всех уровней контейнерных объектов. Каждый объект в хранилище Active Directory имеет составное имя. Оно уникально идентифицирует объект и содержит информацию для клиента, достаточную для извлечения объекта из каталога. Составное имя включает имя домена, содержащего объект, и полный путь к объекту по иерархии контейнеров.
Следующее составное имя идентифицирует объект - пользователя Иванов в домене test.fio.ru :
DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович
Имя состоит из атрибутов, разделяемых запятыми. Каждый атрибут состоит из описателя типа, знака равно ("=") и собственно значения атрибута.
Комбинации символов, которые могут использоваться в Active Directory в качестве описателей, приведены в таблице.
Символы, которые запрещены стандартом LDAP для использования в значениях атрибутов, приведены в таблице.
При необходимости использовать эти символы в именах атрибутов перед ними должен ставиться обратный слеш ("\"). При необходимости использовать сам символ обратного слеша необходимо ввести его дважды. Нестандартные символы UTF-8 должны заменяться на символ обратного слеша и шестнадцатеричное число, представляющее собой код заменяемого символа.
Вот примеры использования запрещенных символов в LDAP-путях:
DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов\,Иван Иванович
DC=ru,DC=fio,DC=test,OU=Старые\0Dобъекты\20,CN=Объект #1
Относительное составное имя
В Active Directory можно найти объект, даже не зная точно его составное имя. Поиск можно вести по атрибутам объекта, одним из которых является относительное составное имя объекта. Например, для пользователя DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович относительным именем будет CN=Иванов Иван Иванович , а для контейнера, в котором он расположен, -< STRONG>CN= Users< /STRONG>. Можно также сказать, что составное имя собирается из относительных составных имен объектов и контейнеров.
Active Directory позволяет многократно использовать одинаковые относительные имена, однако в пределах одного контейнера все они должны быть уникальными.
Глобально уникальный идентификатор
Помимо составного имени, каждый объект каталога обладает глобально уникальным идентификатором (Globally Unique Identifier, GUID) - 128-битным числом, генерируемым при создании объекта. GUID принято записывать шестнадцатеричными числами в следующем виде: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, например {CFAFE0C7-2FBA-4795-BFFE-34B3DF0D0810}.
GUID не изменяется в течение всего срока жизни объекта, даже при его переименовании или перемещении в другой домен. Поэтому приложения могут хранить GUID объекта и всегда однозначно находить его в каталоге. Если для уникальной идентификации объектов в Windows NT использовался идентификатор безопасности (Security Identifier, SID), который обеспечивал уникальность идентификатора только в рамках домена Windows NT, то в Windows Server 2003 и Windows 2000 для этого используется GUID, который обеспечивает уникальность идентификатора во всем мире. GUID генерируется на основе специального алгоритма, который использует ряд аппаратно-зависимых параметров (номер процессора, MAC-адрес сетевого адаптера и т. п.) для получения гарантированно случайного значения.
Основное имя пользователя Это дружественное имя пользователя, которое гораздо короче составного и легче для запоминания. Как правило, оно состоит из имени учетной записи пользователя и полного DNS-имени домена, в котором расположен соответствующий объект. Имя пользователя и имя домена разделяются символом @, поэтому основное имя пользователя выглядит как адрес электронной почты. Например, для пользователя DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович основным именем пользователя будет IvanovII@test.fio.ru . Основное имя пользователя не зависит от составного имени, что позволяет перемещать объект в пределах домена без изменения основного имени.
При эксплуатации в сети почтового сервера Microsoft Exchange 2000 или другого интегрированного с Active Directory почтового сервера основные имена пользователей действительно будут соответствовать их адресам электронной почты, что существенно упрощает работу в Windows неподготовленных пользователей.
[newpage=Развертывание Active Directory]
Развертывание Active Directory
Перед началом развертывания Active Directory необходимо спланировать структуру каталога Active Directory. Правильно спланированная структура каталога позволит расширять его в будущем, сохраняя оптимальную производительность и прозрачность для конечных пользователей.
Планирование пространства имен.
Подобно DNS, в основе пространства имен Active Directory лежит полное доменное имя высшего уровня информационной системы предприятия, состоящей из доменов Windows Server 2003 или Windows 2000, связанных доверительными и иерархическими отношениями в деревья доменов. Кроме того, важно сразу решить, будут ли одинаковы внутреннее (локальная сеть, защищенная брандмауэром) и внешнее (за пределами локальной сети) пространства имен. Иначе говоря, будет ли пространство имен Active Directory соответствовать пространству имен DNS, которое, возможно, уже определено для вашей организации.
Например, внешнее пространство имен DNS организации - fio.ru. Вы можете использовать пространство имен Active Directory, соответствующее fio.ru, а можете выбрать другое пространство имен. Каждый из этих вариантов имеет свои плюсы и минусы и будет рассмотрен ниже.
Планирование структуры организационных подразделений.
Организационные подразделения (ОП) должны отражать потребности структуры организации. Создание ОП позволяет делегировать полномочия по администрированию небольших групп пользователей, групп и ресурсов. Поскольку ОП верхнего уровня способно поддерживать дополнительные уровни, допустимо неограниченное увеличение степени детализации.
Организационные подразделения позволяют:
Рекомендации по разработке структуры ОП
При планировании и администрировании структуры ОП придерживайтесь следующих правил:
Приступив к разработке структуры ОП, старайтесь строго придерживаться выбранных правил именования ОП и объектов: имена должны быть иерархичны, статичны и готовы к применению в любом домене каталога.
При планировании структуры ОП рекомендуется сначала создать структуру, отражающую реальную структуру организации. После этого в ОП можно будет создать дополнительные уровни, необходимые для удобства администрирования.
Структура иерархии ОП
Существует несколько моделей построения иерархии ОП. вы можете выбрать модель, наиболее полно соответствующую вашим требованиям, либо создать свою собственную гибридную модель.
Объектная модель деления на ОП
Отдельные ОП создаются для объектов следующих типов:
Такая модель ОП значительно упрощает администрирование Active Directory и не подвержена изменениям при реструктуризации предприятия, но усложняет использование каталога. Очень хорошо подходит для небольших (до 30 человек) организаций.
Географическая модель деления на ОП
Эта модель приемлема для организаций, ориентированных на географическое деление ресурсов. В таких организациях сотрудники и ресурсы группируются по принципу обслуживания определенного географического региона. Такая структура ОП достаточно статична, но плохо подходит для организаций других типов.
Модель деления на ОП по задачам
Организационные подразделения создаются, исходя из задач, выполняемых организацией. В большинстве случаев, такая структура будет соответствовать отделам организации, хотя и будет выходить за их границы. Эта структура также статична и достаточно удобна для конечных пользователей, которые общаются в основном с сотрудниками, работающими над одной и той же задачей.
Модель деления на ОП по отделам
Организационные подразделения создаются, исходя из структуры организации. Такая структура удобна и понятна пользователям и администраторам, но нестабильна во времени - при реструктуризации необходимо создавать новые ОП, удалять старые, перемещать пользователей и т. п. Кроме того, требуется постоянно отслеживать актуальность такой структуры.
Модель деления на ОП по проектам
Деятельность некоторых организаций построена по проектному принципу, что позволяет создавать отдельные ОП для каждого проекта. Такая структура удобна для администрирования - можно делегировать задачи по управлению ОП проекта администратору проекта. Однако эта структура нестабильна, поэтому обычно используется как дочерний уровень по отношению к более стабильному ОП.
Планирование сайтов.
До этого момента вы разрабатывали логическую структуру каталога Active Directory. Но успешное внедрение и функционирование Active Directory также зависит от правильно спланированной физической структуры, которая разграничивается сайтами. Зачастую сайт имеет те же границы, что и локальная сеть.
Механизм репликации Active Directory позволяет по-разному выполнять репликацию в локальной и глобальной сети. Сетевой трафик внутри сайта гораздо активнее трафика между сайтами. Настройка сайтов отражается на работе Active Directory в двух ключевых моментах.
В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры сгруппированы в домены и ОП, а не в сайты. Структура сайтов и IP-сетей описывается в отдельной части каталога Active Directory (конфигурационном контейнере), в которой содержатся ссылки на объекты компьютеров, необходимые для описания параметров сайтов и межсайтовой репликации.
Правильно спланированные сайты не перегружают каналы связи трафиком репликации, информация в Active Directory всегда актуальна, а пользователи при регистрации обращаются к ближайшим контроллерам домена.
Группируя IP-сети в сайты, надо учитывать скорость связи между подсетями.
Оптимизация регистрационного трафика
Планируя сайты, определите, какие контроллеры домена будут доступны рабочей станции, находящейся в том же сайте. Оптимальным является размещение в сайте как минимум одного контроллера домена. По возможности это должен быть один из контроллеров домена, в котором зарегистрирован пользователь.
Оптимизация репликации каталога
Планируя сайты, решите, где будут размещены контроллеры доменов. Учтите, что каждый контроллер домена осуществляет репликацию со всеми остальными контроллерами домена, а репликация между доменами осуществляется только силами двух контроллеров. Поэтому не рекомендуется размещать один домен в нескольких сайтах - это может привести к замедлению репликации ключевой информации и потере актуальности данных на некоторых контроллерах домена. Кроме того, сайты необходимо конфигурировать так, чтобы трафик репликации не мешал нормальной работе сети.
Установка.
Установка Active Directory осуществляется при помощи специального мастера, который выполнит все необходимые операции по установке и начальной настройке контроллера домена Active Directory. Тем не менее вы должны выполнить ряд предварительных требований, которые позволят установить контроллер домена без ошибок.
Предварительные требования.
Перед запуском мастера установки Active Directory убедитесь в выполнении следующих требований:
Запуск Мастера установки Active Directory.
Основной функцией мастера установки Active Directory (Active Directory Installation Wizard) является конфигурирование сервера для его работы в качестве контроллера домена и изменения роли существующих контроллеров домена. Если вы установили первый сервер Windows Server 2003 (Windows 2000) в сети и собираетесь установить на нем Active Directory, то создается совершенно новая база Active Directory, а ваш сервер будет содержать первый домен первого дерева первого леса.
Запустить Мастер установки Active Directory можно несколькими способами, запустив Мастер настройки сервера.
Для этого выберите в меню Пуск -> Администрирование -> Управление данным сервером
В разделе Управление ролями данного сервера нажмите кнопку Добавить или удалить роль.
Можно сразу запустить Мастер настройки сервера из меню Администрирование.
Также Мастер настройки сервера можно запустить, в меню Пуск щелкнув Выполнить, введя в появившемся окне dcpromo и нажав клавишу Enter.
При выборе любого варианта будет запущен Мастер настройки сервера.
Мастер автоматически установит Active Directory с созданными по умолчанию вариантами для многих опций, используя Мастер установки Active Directory, что обеспечит защиту от ошибок при установке.
Использование мастера конфигурирования сервера.
Чтобы установить службу Active Directory, DNS-сервер и службу динамического предоставления IP-адресов (DHCP) в окне мастера настройки сервера выберите типовую настройку для первого сервера и нажмите кнопку Далее.
На следующем шаге введите полное DNS-имя нового домена.
Указанный домен или зона должны быть зарегистрированы в DNS и должны быть доступны во время установки Active Directory. Данная зона не обязательно должна обслуживаться каким-либо DNS-сервером, в этом случае мастер самостоятельно создаст DNS-сервер и сконфигурирует зону на том же компьютере, где устанавливается Active Directory.
Если вы создаете домен, который будет использоваться в вашей внутренней сети без регистрации в сети Интернет, вы можете обозначить домен верхнего уровня ".local", чтобы избежать путаницы с внешними доменами.
После ввода DNS-имени мастер генерирует на его основе NetBIOS-имя домена. Оно будет использоваться для доступа к домену с компьютеров под управлением более ранних версий Windows (до Windows 2000).
В качестве имени выбирается самое старшее имя домена из полного доменного имени, введенного на предыдущем шаге. Мастер самостоятельно проверяет, не конфликтует ли выбранное имя с уже существующими в сети. Если в локальной сети будет обнаружен компьютер, домен или рабочая группа с указанным именем, мастер выдаст сообщение об ошибке и потребует указать уникальное NetBIOS-имя домена. вы можете самостоятельно изменить имя домена на любое другое, удовлетворяющее внутренним правилам именования в организации. В этом случае помните, что максимальная длина NetBIOS-имени - 15 символов.
Далее мастер настройки сервера создает новый DNS-сервер (если он не был создан заранее) и приступает к его настройке. Как уже упоминалось ранее, DNS-серверы связаны иерархической структурой с другими DNS-серверами для разрешения запросов. Если создаваемый вами домен будет иметь постоянное подключение к Интернету или в вашей сети уже используется DNS-сервер, то вам необходимо указать IP-адрес DNS-сервера, к которому будет обращаться создаваемый DNS-сервер для разрешения запросов.
Если вы создаете внутренний домен без постоянного подключения к Интернету и в вашей сети нет других DNS-серверов, то выберите пункт Нет, не пересылать запросы, тогда создаваемый DNS-сервер будет главным DNS-сервером создаваемого домена.
Если вы периодически подключаетесь к Интернету через модем и укажете вышестоящий DNS-сервер для пересылки запросов, то при отключении от Интернета ваш DNS-сервер будет выдавать сообщения об ошибке, из-за невозможности найти вышестоящий сервер.
Перенастроить сервер можно позже, после его установки.
Еще раз проверьте правильность введенных значений и их соответствие ранее определенной конфигурации Active Directory.
Подтвердите выбранные вами параметры нажав кнопку Далее.
Процесс установки и настройки Active Directory и других служб наглядно отображается на экране.
При создании нового домена последовательно выполняются следующие операции:
Закончив выполнение всех запланированных операций компьютер автоматически перезагрузится. После загрузки операционной системы Windows Server 2003 мастер настройки сервера продолжит свою работу.
По завершении работы мастер сообщает о результатах установки, выводит информацию о сайте, в который был включен контроллер домена.
При установке первого контроллера первого домена дерева автоматически создается сайт с именем Default-First-Site-Name. В него по умолчанию будут включаться все устанавливаемые контроллеры доменов.
Щелкните кнопку Готово для завершения установки Active Directory.
Завершение установки Active Directory.
По завершении работы Мастера установки Active Directory и перезагрузки вы наверняка заметите, что загрузка компьютера замедлилась в несколько раз. Это связано с тем, что при каждой загрузке запускаются службы Active Directory, которые при запуске осуществляют проверку баз данных Active Directory, внесение изменений в зону DNS, обслуживающую домен, устанавливают связь с ГК и мастером схемы в поисках изменений и т. п. В зависимости от конфигурации компьютера загрузка становится дольше на 3-10 минут.
Многие изменения в конфигурации Windows Server 2003, связанные с установкой Active Directory, осуществляются не во время работы мастера установки, а во время первой перезагрузки. Кроме того, большинство этих изменений, например создание необходимых записей в DNS-зоне, осуществляется асинхронно, уже после того, как запущены все службы и компьютер загружен. Поэтому рекомендуется выждать до 30 минут после первой перезагрузки компьютера, прежде чем переходить к проверке правильности установки Active Directory. За это время будут завершены все операции по настройке и начальной репликации (если вы устанавливали не первый контроллер в дереве доменов).
Основным хранилищем информации о дереве доменов, влияющем на работоспособность Active Directory, является DNS. Наличие в зоне необходимых записей является свидетельством правильно выполненной установки Active Directory и работоспособности домена. Для проверки запустите консоль управления DNS (Пуск -> Администрирование -> DNS). Домен, в который устанавливалась Active Directory, должен выглядеть следующим образом:
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.127 )
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Thursday 22 June 2006 - 00:00:00
[newpage=Концепция Active Directory] Занятие 4. Установка Active Directory.
Служба каталогов Active Directory, реализованная в Windows Server 2003, объединяет все объекты в сети (пользователи, файлы, каталоги, принтеры, базы данных, службы и другие ресурсы) и позволяет централизованно управлять ими. Это упрощает сетевое администрирование, т.к. все сетевые объекты находятся в единой базе.
Второе преимущество Active Directory в том, что централизованная база может быть использована другими приложениями, например Exchange Server. Администратору сети нет необходимости создавать учетные записи пользователей в каждом приложении, они просто реплицируются из единой базы.
Еще одно преимущество использования Active Directory - это единая регистрация. После успешной идентификации пользователю будет предоставлен доступ ко всем сетевым ресурсам, без необходимости регистрироваться снова на других серверах.
Новая версия Active Directory для Windows Server 2003 имеет несколько новых функций, одной из которых является возможность переименования доменов при сохранении уникального идентификатора (Globally Unique Identifier, GUID) и идентификатора защиты (Security Identifier, SID) домена.
Концепция Active Directory
Полностью интегрированная в Windows Server 2003 служба Active Directory обеспечивает иерархическое представление объектов. Она расширяема, масштабируема и обладает распределенной системой безопасности.
Основным протоколом в Active Directory является LDAP (Lightweight Directory Access Protocol), способный взаимодействовать с различными ОС, включающими независимые пространства имен. Протокол LDAP позволяет управлять каталогами других приложений, а также каталогами сетевых ОС, что упрощает администрирование и снижает стоимость обслуживания множества пространств имен.
Более подробную информацию о протоколах LDAP и X.500 можно получить из стандарта RFC 1777.
Active Directory позволяет централизованно администрировать все опубликованные ресурсы: файлы, устройства, базы данных, учетные записи пользователей, группы, политики безопасности, службы и многие другие объекты. В качестве службы поиска Active Directory использует DNS, упорядочивающую несколько доменов в единую древовидную структуру и облегчающую поиск компьютеров, предоставляющих определенные сервисы. Такой подход позволяет отказаться от иерархии основной/резервный контроллер домена и сделать все контроллеры домена равноправными, что в свою очередь позволяет вносить изменения на любом контроллере домена - они автоматически будут перенесены на остальные контроллеры.
[newpage=Структура Active Directory]
Структура Active Directory
Active Directory предоставляет способ для разработки структуры каталога в зависимости от потребностей вашей организации. При описании каталога Active Directory использует две структуры:
- Физическая структура Active Directory представляет собой файл, расположенный на жестком диске каждого контроллера домена, который содержит эту службу.
- Логическая структура Active Directory представляет собой контейнеры, содержащие объекты службы каталога.
Логическая структура.
Логическая структура образуется за счет группирования ресурсов и позволяет искать ресурсы по именам, а не физическому расположению. База данных Active Directory содержит следующие структурные объекты:
разделы;
*домены;
*деревья доменов;
*леса;
*сайты;
*организационные единицы.
Пространство имен
Как и любая служба каталогов, Active Directory в первую очередь является пространством имен. Пространство имен (namespace) - это любая ограниченная область, где возможно разрешение имени. Разрешение имени (name resolution) - это процесс сопоставления имени некоторому объекту или информации, которую оно представляет. Пространство имен Active Directory основано на схеме именования DNS, обеспечивающей взаимодействие с Интернетом.
Объект
Объект (object) - это отличительный набор именованных атрибутов, описывающих ресурс. Атрибутами (attribute) называются характеристики объектов в каталоге. Например, атрибуты пользователя включают его фамилию, имя, отдел, адрес электронной почты.
Набор атрибутов объекта определяется классом (class) объекта. Классы объектов и их атрибуты определены в схеме Active Directory.
Кроме того, выделяют контейнерные объекты (container objects), они могут содержать в себе другие объекты. Например, организационная единица и домен - контейнерные объекты.
Организационное подразделение
Организационное подразделение (organizational unit) - контейнерный объект, предназначенный для группировки других объектов в логические административные группы в рамках домена. Организационные единицы могут содержать такие объекты, как учетные записи пользователей, группы, компьютеры, принтеры и т. п. Иерархия организационных единиц домена не зависит от других доменов - каждый домен может поддерживать свою собственную иерархию.
Домен
Домен (domain) - основная единица логической структуры в Active Directory. Домен Active Directory является прямым аналогом домена Windows NT и предназначен для логической группировки компьютеров. Обычно группировка осуществляется по подразделениям организации, что позволяет одновременно упростить обмен данными внутри подразделения и защитить данные от изменения сотрудниками из других подразделений.
Все объекты существуют только в пределах домена. Каждый домен хранит сведения только о содержащихся в нем объектах. Теоретически каталог домена может содержать более 10 миллионов объектов, на практике проверена возможность хранения порядка 1 миллиона объектов.
В типичный домен входят следующие компьютеры:
Тип компьютера | ОС | Описание |
Контроллеры домена | Windows 2000 Server, Windows Server 2003 | Обеспечивают функционирование службы каталогов Active Directory, обычно выполняют и другие функции |
Рядовые серверы | Windows Server 2003, Windows 2000 Server, | Предоставляют различные сервисы как пользователям домена, так и внешним пользователям. Не обслуживают Active Directory |
Клиентские компьютеры | Windows XP Professional, Windows 2000 Professional, | Предоставляют возможность использовать ресурсы компьютеров домена |
Дерево
Дерево (tree) - это группировка или иерархия одного или нескольких доменов Windows Server 2003 (Windows 2000). Типичное дерево Active Directory может содержать один домен:
Все домены в дереве представляют единый доступ к информации и ресурсам всего дерева. В дереве имеется только один каталог, но каждый домен предоставляет свою часть каталога, содержащую информацию о "своих" объектах. В пределах дерева пользователь, зарегистрировавшийся в одном домене, может обращаться к ресурсам других доменов (в пределах назначенных ему разрешений).
Windows Server 2003 осуществляет репликацию информации между доменами, обеспечивая идентичность данных, хранимых на всех контроллерах всех доменов дерева. Кроме того, в каждом домене создается свой собственный индекс, облегчающий поиск объектов в пределах домена.
Все домены дерева предоставляют доступ к общему пространству имен и иерархической структуре имен. По стандартам DNS, имя дочернего домена дополняется именем родительского домена. Дерево доменов всегда начинается с одного корневого домена.
Лес
Лес (forest) - объединение одного и более деревьев - позволяет группировать сети подразделений организации или нескольких организаций, которые не используют одинаковую схему именования, работают независимо друг от друга, но должны обмениваться данными.
Все деревья в лесу используют общую схему и общий глобальный каталог (ГК). Корневые домены деревьев леса связываются доверительными отношениями, что позволяет организовать доступ из одного дерева в другое.
Схема
Схема (schema) содержит формальное описание содержания и структуры хранилища Active Directory, включая все атрибуты, классы и свойства классов. Для каждого класса объектов схема определяет, какими атрибутами должен обладать экземпляр класса, какие дополнительные атрибуты он может иметь и какой класс объектов является предком текущего класса.
При установке Active Directory на первый контроллер домена в сети создается стандартная схема, содержащая определения наиболее часто используемых объектов и их свойств, таких как пользователи, группы, компьютеры, принтеры и т. п. Стандартная схема также содержит определения собственных объектов и свойств Active Directory.
Схема Active Directory расширяема, т. е. вы можете определить новые типы объектов каталога и их атрибуты, в том числе и новые атрибуты для существующих объектов. Схема хранится вместе с данными Active Directory (в ГК) и обновляется динамически. Таким образом, добавленные и измененные атрибуты можно использовать практически сразу после изменения схемы.
Схема определяет структуру леса Active Directory, который может содержать несколько деревьев Active Directory, которые, в свою очередь, могут содержать несколько иерархически структурированных доменов Active Directory. В связи с этим в лесе Active Directory один из контроллеров объявляется мастером схемы (schema master) и отвечает за репликацию данных схемы на все контроллеры доменов.
Глобальный каталог
Глобальный каталог (global catalog) - это центральное хранилище информации об объектах в дереве доменов и лесе Active Directory. Содержимое глобального каталога генерируется автоматически во время стандартного процесса репликации данных между контроллерами доменов.
Глобальный каталог является как службой, так и физическим хранилищем части атрибутов всех объектов леса Active Directory. Процесс частичной репликации позволяет находить большинство сведений непосредственно в глобальном каталоге, без обращения к исходному домену. По умолчанию в глобальном каталоге хранятся атрибуты, наиболее часто используемые при поиске (например имя пользователя, его учетной записи и т. п.), а также сведения, необходимые для обнаружения объекта (полный LDAP-путь к соответствующему объекту каталога). Хранение только основных атрибутов объектов в глобальном каталоге позволяет уменьшить его размер, поэтому один сервер глобального каталога может обслуживать много контроллеров домена Windows. Следовательно, глобальный каталог позволяет найти объект в любом месте сети, даже не реплицируя информацию между контроллерами домена.
Вы можете управлять репликацией атрибутов классов в глобальный каталог при помощи оснастки Схема Active Directory, которую можно вызвать командой mmc %systemroot%\system32\schmmgmt.msc. Будьте осторожны при изменении параметров атрибутов, классов и параметров репликации в глобальный каталог - указание некорректных значений может привести к полной или частичной неработоспособности Active Directory.
При установке первого контроллера домена в лесу Active Directory он становится сервером глобального каталога. В зависимости от размеров каталога Active Directory сервер глобального каталога должен быть достаточно мощным - он хранит большое количество информации (до нескольких миллионов объектов) и должен обслуживать запросы большого количества клиентов.
При наличии нескольких контроллеров домена вы можете перенести глобальный каталог на другой сервер или настроить несколько серверов на его поддержку глобального каталога. При выборе сервера глобального каталога необходимо учитывать, что этот сервер является источником трафика большого объема, что может негативно сказаться на производительности сети в целом. Рекомендуется устанавливать по одному серверу глобального каталога в каждом сайте, это позволит выполнять большую часть запросов, не обращаясь к другим сайтам.
Репликация.
Репликация (replication) - это процесс актуализации данных, хранящихся на контроллерах домена. В процессе репликации изменения, внесенные в атрибуты и состав объектов на одном контроллере домена, переносятся на другие. После завершения репликации каждый контроллер домена хранит актуальные сведения об объектах.
Есть несколько видов репликации:
- Полная репликация данных. Используется между контроллерами одного домена. В полной репликации участвуют все атрибуты объектов домена.
- Частичная репликация данных. Используется между контроллерами домена и сервером глобального каталога. В частичной репликации участвуют только те атрибуты объектов, которые хранятся в глобальном каталоге.
- Межсайтовая репликация. Используется между контроллерами домена, расположенными в разных сайтах. Межсайтовая репликация осуществляется реже, чем полная. При межсайтовой репликации данные аккумулируются и передаются только итоговые изменения, что уменьшает трафик репликации.
Физическая структура.
Физическая структура Active Directory - это совокупность мер, направленных на управление репликацией между контроллерами доменов Active Directory. Обычно физическая структура Active Directory соответствует структуре IP-сетей организации.
Контроллер домена
Контроллер домена (domain controller) - это компьютер под управлением Windows Server 2003 или Windows 2000 Server, хранящий реплику раздела каталога (базу данных домена). Все контроллеры домена имеют полную базу данных домена. При внесении изменений в данные каталога они фиксируются в локальной БД на контроллере домена, после чего реплицируются на другие контроллеры. Изменение некоторых критичных атрибутов (допустим, пароля пользователя) реплицируются незамедлительно.
IP-сеть
IP-сеть - это описание некоторой IP-сети, являющейся частью сайта Active Directory. Обычно IP-сети Active Directory соответствуют IP-сетям, используемым в локальной сети организации.
При отображении IP-сетей Active Directory используется формат w.x.y.z/m (например, 172.16.6.0/24), где w, x, y, z - октеты IP-адреса сети, а m - количество бит маски подсети. Например, 24 бита соответствуют маске 255.255.255.0, а 22 бита - маске 255.255.252.0.
Сайт
Сайт (site) - это совокупность одной или нескольких IP-сетей, объединенных высокоскоростными каналами связи. Сайт может содержать один или более доменов, либо домен может быть размещен в нескольких сайтах. Сайты предназначены для управления репликацией между сетями, соединенными каналами связи с низкой пропускной способностью.
Между контроллерами доменов, расположенных в одном сайте, репликация осуществляется с небольшим интервалом времени (по умолчанию - 15 минут). Репликация между сайтами осуществляется по специальному графику, настраиваемому администратором, с гораздо большим временным интервалом. Кроме того, репликация между сайтами осуществляется однократно, понижая тем самым объем передаваемых данных. Кроме того, сайты используются клиентскими компьютерами для определения ближайшего контроллера домена, который будет использован для авторизации пользователя.
Правила именования.
Каждый объект в хранилище Active Directory идентифицируется по имени. Для обращения к объектам используются разные правила именования:
- составные имена (distinguished name, DN);
- относительные составные имена (relative distinguished name, RDN);
- глобально уникальные идентификаторы (globally unique identifier, GUID);
- основные имена пользователей (user principal name, UPN).
Так как Active Directory является LDAP-совместимой службой каталога, то все обращения к объектам в каталоге осуществляются по протоколу LDAP.
Составное имя
Объекты размещаются в Active Directory согласно иерархическому пути, включающему метки доменного имени Active Directory и всех уровней контейнерных объектов. Каждый объект в хранилище Active Directory имеет составное имя. Оно уникально идентифицирует объект и содержит информацию для клиента, достаточную для извлечения объекта из каталога. Составное имя включает имя домена, содержащего объект, и полный путь к объекту по иерархии контейнеров.
Следующее составное имя идентифицирует объект - пользователя Иванов в домене test.fio.ru :
DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович
Имя состоит из атрибутов, разделяемых запятыми. Каждый атрибут состоит из описателя типа, знака равно ("=") и собственно значения атрибута.
Комбинации символов, которые могут использоваться в Active Directory в качестве описателей, приведены в таблице.
Тип | Название | Описание |
DC | Domain Component | Компонент доменного имени. Полное имя домена разбивается на компоненты (в DNS разделяемые точками), которые в составном имени записываются в обратном порядке. Например, домен test.fio.ru в LDAP выглядит как DC=ru,DC=fio,DC=test |
CN | Common Name | Объект. Может быть как простым, так и контейнерным (содержать другие объекты). Учетные записи пользователей, группы, компьютеры и т. п. являются такими объектами |
OU | Organizational Unit | Организационная единица. Контейнерный объект, содержащий в себе другие объекты |
UID | User ID | Идентификатор объекта учетной записи пользователя. В Active Directory почти не используется |
Символы, которые запрещены стандартом LDAP для использования в значениях атрибутов, приведены в таблице.
Символ | Описание |
Пробел, расположенный в начале или в конце значения атрибута. Пробелы в середине значения атрибута допускаются | |
# | Символ # в начале значения атрибута |
= | Символ = отделяет тип атрибута от его значения |
, | Запятая является разделителем атрибутов в LDAP-пути и не может использовать в значениях атрибутов |
+" | < > Эти символы используются протоколом LDAP для системных нужд |
\ | Обратный слеш используется как префикс нестандартных символов |
; | Точка с запятой может использоваться в качестве разделителя атрибутов LDAP-пути |
При необходимости использовать эти символы в именах атрибутов перед ними должен ставиться обратный слеш ("\"). При необходимости использовать сам символ обратного слеша необходимо ввести его дважды. Нестандартные символы UTF-8 должны заменяться на символ обратного слеша и шестнадцатеричное число, представляющее собой код заменяемого символа.
Вот примеры использования запрещенных символов в LDAP-путях:
DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов\,Иван Иванович
DC=ru,DC=fio,DC=test,OU=Старые\0Dобъекты\20,CN=Объект #1
Относительное составное имя
В Active Directory можно найти объект, даже не зная точно его составное имя. Поиск можно вести по атрибутам объекта, одним из которых является относительное составное имя объекта. Например, для пользователя DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович относительным именем будет CN=Иванов Иван Иванович , а для контейнера, в котором он расположен, -< STRONG>CN= Users< /STRONG>. Можно также сказать, что составное имя собирается из относительных составных имен объектов и контейнеров.
Active Directory позволяет многократно использовать одинаковые относительные имена, однако в пределах одного контейнера все они должны быть уникальными.
Глобально уникальный идентификатор
Помимо составного имени, каждый объект каталога обладает глобально уникальным идентификатором (Globally Unique Identifier, GUID) - 128-битным числом, генерируемым при создании объекта. GUID принято записывать шестнадцатеричными числами в следующем виде: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, например {CFAFE0C7-2FBA-4795-BFFE-34B3DF0D0810}.
GUID не изменяется в течение всего срока жизни объекта, даже при его переименовании или перемещении в другой домен. Поэтому приложения могут хранить GUID объекта и всегда однозначно находить его в каталоге. Если для уникальной идентификации объектов в Windows NT использовался идентификатор безопасности (Security Identifier, SID), который обеспечивал уникальность идентификатора только в рамках домена Windows NT, то в Windows Server 2003 и Windows 2000 для этого используется GUID, который обеспечивает уникальность идентификатора во всем мире. GUID генерируется на основе специального алгоритма, который использует ряд аппаратно-зависимых параметров (номер процессора, MAC-адрес сетевого адаптера и т. п.) для получения гарантированно случайного значения.
Основное имя пользователя Это дружественное имя пользователя, которое гораздо короче составного и легче для запоминания. Как правило, оно состоит из имени учетной записи пользователя и полного DNS-имени домена, в котором расположен соответствующий объект. Имя пользователя и имя домена разделяются символом @, поэтому основное имя пользователя выглядит как адрес электронной почты. Например, для пользователя DC=ru,DC=fio,DC=test,CN=Users,CN=Иванов Иван Иванович основным именем пользователя будет IvanovII@test.fio.ru . Основное имя пользователя не зависит от составного имени, что позволяет перемещать объект в пределах домена без изменения основного имени.
При эксплуатации в сети почтового сервера Microsoft Exchange 2000 или другого интегрированного с Active Directory почтового сервера основные имена пользователей действительно будут соответствовать их адресам электронной почты, что существенно упрощает работу в Windows неподготовленных пользователей.
[newpage=Развертывание Active Directory]
Развертывание Active Directory
Перед началом развертывания Active Directory необходимо спланировать структуру каталога Active Directory. Правильно спланированная структура каталога позволит расширять его в будущем, сохраняя оптимальную производительность и прозрачность для конечных пользователей.
Планирование пространства имен.
Подобно DNS, в основе пространства имен Active Directory лежит полное доменное имя высшего уровня информационной системы предприятия, состоящей из доменов Windows Server 2003 или Windows 2000, связанных доверительными и иерархическими отношениями в деревья доменов. Кроме того, важно сразу решить, будут ли одинаковы внутреннее (локальная сеть, защищенная брандмауэром) и внешнее (за пределами локальной сети) пространства имен. Иначе говоря, будет ли пространство имен Active Directory соответствовать пространству имен DNS, которое, возможно, уже определено для вашей организации.
Например, внешнее пространство имен DNS организации - fio.ru. Вы можете использовать пространство имен Active Directory, соответствующее fio.ru, а можете выбрать другое пространство имен. Каждый из этих вариантов имеет свои плюсы и минусы и будет рассмотрен ниже.
Планирование структуры организационных подразделений.
Организационные подразделения (ОП) должны отражать потребности структуры организации. Создание ОП позволяет делегировать полномочия по администрированию небольших групп пользователей, групп и ресурсов. Поскольку ОП верхнего уровня способно поддерживать дополнительные уровни, допустимо неограниченное увеличение степени детализации.
Организационные подразделения позволяют:
- наглядно отобразить структуру организации с учетом подчиненности подразделений;
- дать конечному пользователю информацию не только о самом подразделении, но и о пользователях и расположенных в нем ресурсах;
- делегировать часть задач по администрированию уполномоченным сотрудникам подразделения;
- определить для подразделения собственную системную политику.
Рекомендации по разработке структуры ОП
При планировании и администрировании структуры ОП придерживайтесь следующих правил:
- создавайте ОП для делегирования административных полномочий;
- структура ОП должна быть логичной - это поможет и администраторам и пользователям;
- создавайте ОП для внедрения системных политик;
- создавайте ОП для ограничения видимости опубликованных ресурсов;
- старайтесь создавать статичную структуру ОП, требующую минимум изменений с течением времени;
- не размещайте в одном ОП слишком много дочерних объектов - если их число превышает 20-30, то создавайте дочерние ОП.
Приступив к разработке структуры ОП, старайтесь строго придерживаться выбранных правил именования ОП и объектов: имена должны быть иерархичны, статичны и готовы к применению в любом домене каталога.
При планировании структуры ОП рекомендуется сначала создать структуру, отражающую реальную структуру организации. После этого в ОП можно будет создать дополнительные уровни, необходимые для удобства администрирования.
Структура иерархии ОП
Существует несколько моделей построения иерархии ОП. вы можете выбрать модель, наиболее полно соответствующую вашим требованиям, либо создать свою собственную гибридную модель.
Объектная модель деления на ОП
Отдельные ОП создаются для объектов следующих типов:
- пользователь;
- контакт;
- группа;
- компьютер;
- принтер;
- системная политика;
- ресурс.
Такая модель ОП значительно упрощает администрирование Active Directory и не подвержена изменениям при реструктуризации предприятия, но усложняет использование каталога. Очень хорошо подходит для небольших (до 30 человек) организаций.
Географическая модель деления на ОП
Эта модель приемлема для организаций, ориентированных на географическое деление ресурсов. В таких организациях сотрудники и ресурсы группируются по принципу обслуживания определенного географического региона. Такая структура ОП достаточно статична, но плохо подходит для организаций других типов.
Модель деления на ОП по задачам
Организационные подразделения создаются, исходя из задач, выполняемых организацией. В большинстве случаев, такая структура будет соответствовать отделам организации, хотя и будет выходить за их границы. Эта структура также статична и достаточно удобна для конечных пользователей, которые общаются в основном с сотрудниками, работающими над одной и той же задачей.
Модель деления на ОП по отделам
Организационные подразделения создаются, исходя из структуры организации. Такая структура удобна и понятна пользователям и администраторам, но нестабильна во времени - при реструктуризации необходимо создавать новые ОП, удалять старые, перемещать пользователей и т. п. Кроме того, требуется постоянно отслеживать актуальность такой структуры.
Модель деления на ОП по проектам
Деятельность некоторых организаций построена по проектному принципу, что позволяет создавать отдельные ОП для каждого проекта. Такая структура удобна для администрирования - можно делегировать задачи по управлению ОП проекта администратору проекта. Однако эта структура нестабильна, поэтому обычно используется как дочерний уровень по отношению к более стабильному ОП.
Планирование сайтов.
До этого момента вы разрабатывали логическую структуру каталога Active Directory. Но успешное внедрение и функционирование Active Directory также зависит от правильно спланированной физической структуры, которая разграничивается сайтами. Зачастую сайт имеет те же границы, что и локальная сеть.
Механизм репликации Active Directory позволяет по-разному выполнять репликацию в локальной и глобальной сети. Сетевой трафик внутри сайта гораздо активнее трафика между сайтами. Настройка сайтов отражается на работе Active Directory в двух ключевых моментах.
- Вход в сеть. При входе пользователя в домен совместимые с Active Directory клиенты пытаются найти контроллер домена в том же сайте, что и компьютер пользователя (для этого используются IP-сети), чтобы он обслужил запрос регистрации в системе и последующие запросы сетевой информации.
- Репликация каталога. Расписание и маршрут репликации каталога домена могут быть сконфигурированы по отдельности для внутри- и межсайтовой репликации. Обычно система настраивается так, чтобы межсайтовая репликация осуществлялась реже, чем внутрисайтовая.
В Active Directory сайты не являются частью пространства имен. Просматривая логическое пространство имен, вы увидите, что компьютеры сгруппированы в домены и ОП, а не в сайты. Структура сайтов и IP-сетей описывается в отдельной части каталога Active Directory (конфигурационном контейнере), в которой содержатся ссылки на объекты компьютеров, необходимые для описания параметров сайтов и межсайтовой репликации.
Правильно спланированные сайты не перегружают каналы связи трафиком репликации, информация в Active Directory всегда актуальна, а пользователи при регистрации обращаются к ближайшим контроллерам домена.
Группируя IP-сети в сайты, надо учитывать скорость связи между подсетями.
- Объединяйте только те подсети, которые располагают быстрыми, недорогими и надежными сетевыми соединениями. Под быстрым соединением подразумевается канал связи со свободной полосой пропускания не менее 512 Кбит/с, которая может быть выделена для трафика репликации. Обычно таким требованиям удовлетворяют несколько IP-сетей в рамках одной локальной сети.
- Конфигурируйте сайты таким образом, чтобы репликация выполнялась в часы минимальной загрузки каналов связи.
Оптимизация регистрационного трафика
Планируя сайты, определите, какие контроллеры домена будут доступны рабочей станции, находящейся в том же сайте. Оптимальным является размещение в сайте как минимум одного контроллера домена. По возможности это должен быть один из контроллеров домена, в котором зарегистрирован пользователь.
Оптимизация репликации каталога
Планируя сайты, решите, где будут размещены контроллеры доменов. Учтите, что каждый контроллер домена осуществляет репликацию со всеми остальными контроллерами домена, а репликация между доменами осуществляется только силами двух контроллеров. Поэтому не рекомендуется размещать один домен в нескольких сайтах - это может привести к замедлению репликации ключевой информации и потере актуальности данных на некоторых контроллерах домена. Кроме того, сайты необходимо конфигурировать так, чтобы трафик репликации не мешал нормальной работе сети.
Установка.
Установка Active Directory осуществляется при помощи специального мастера, который выполнит все необходимые операции по установке и начальной настройке контроллера домена Active Directory. Тем не менее вы должны выполнить ряд предварительных требований, которые позволят установить контроллер домена без ошибок.
Предварительные требования.
Перед запуском мастера установки Active Directory убедитесь в выполнении следующих требований:
- Протокол TCP/IP должен быть сконфигурирован на использование статического IP-адреса. В настройках протокола должны быть указаны адреса работающих DNS-серверов. Желательно, чтобы эти серверы имели информацию о зоне DNS, в которой будет создан домен Active Directory. Если сервер, на котором устанавливается Active Directory, является DNS-сервером соответствующей зоны, укажите его собственный адрес в качестве адреса первого DNS-сервера в параметрах настройки TCP/IP
- Если в вашей сети DNS-сервер еще не установлен, то в процессе инсталляции Active Directory он будет установлен и сконфигурирован автоматически
- Если ваша сеть уже обслуживается каким-либо DNS-сервером, убедитесь, что зона, в которую будет устанавливаться домен Active Directory, доступна с компьютера, а в свойствах этой зоны необходимо разрешить динамические обновления. Для проверки доступности зоны в командной строке введите команду nslookup имя_зоны
- Убедитесь, что вы зарегистрированы на компьютере под учетной записью локального администратора
- Папки, в которых будет храниться база данных и системный том Active Directory, должны быть размещены на томе, отформатированном под NTFS 5.0. Убедитесь, что диски, которые вы планируете для этого использовать, отформатированы под NTFS
- Закройте все запущенные приложения. Они могут помешать установке Active Directory, кроме того, после завершения работы мастера установки Active Directory потребуется перезагрузить компьютер
Запуск Мастера установки Active Directory.
Основной функцией мастера установки Active Directory (Active Directory Installation Wizard) является конфигурирование сервера для его работы в качестве контроллера домена и изменения роли существующих контроллеров домена. Если вы установили первый сервер Windows Server 2003 (Windows 2000) в сети и собираетесь установить на нем Active Directory, то создается совершенно новая база Active Directory, а ваш сервер будет содержать первый домен первого дерева первого леса.
Запустить Мастер установки Active Directory можно несколькими способами, запустив Мастер настройки сервера.
Для этого выберите в меню Пуск -> Администрирование -> Управление данным сервером
В разделе Управление ролями данного сервера нажмите кнопку Добавить или удалить роль.
Можно сразу запустить Мастер настройки сервера из меню Администрирование.
Также Мастер настройки сервера можно запустить, в меню Пуск щелкнув Выполнить, введя в появившемся окне dcpromo и нажав клавишу Enter.
При выборе любого варианта будет запущен Мастер настройки сервера.
Мастер автоматически установит Active Directory с созданными по умолчанию вариантами для многих опций, используя Мастер установки Active Directory, что обеспечит защиту от ошибок при установке.
Использование мастера конфигурирования сервера.
Чтобы установить службу Active Directory, DNS-сервер и службу динамического предоставления IP-адресов (DHCP) в окне мастера настройки сервера выберите типовую настройку для первого сервера и нажмите кнопку Далее.
На следующем шаге введите полное DNS-имя нового домена.
Указанный домен или зона должны быть зарегистрированы в DNS и должны быть доступны во время установки Active Directory. Данная зона не обязательно должна обслуживаться каким-либо DNS-сервером, в этом случае мастер самостоятельно создаст DNS-сервер и сконфигурирует зону на том же компьютере, где устанавливается Active Directory.
Если вы создаете домен, который будет использоваться в вашей внутренней сети без регистрации в сети Интернет, вы можете обозначить домен верхнего уровня ".local", чтобы избежать путаницы с внешними доменами.
После ввода DNS-имени мастер генерирует на его основе NetBIOS-имя домена. Оно будет использоваться для доступа к домену с компьютеров под управлением более ранних версий Windows (до Windows 2000).
В качестве имени выбирается самое старшее имя домена из полного доменного имени, введенного на предыдущем шаге. Мастер самостоятельно проверяет, не конфликтует ли выбранное имя с уже существующими в сети. Если в локальной сети будет обнаружен компьютер, домен или рабочая группа с указанным именем, мастер выдаст сообщение об ошибке и потребует указать уникальное NetBIOS-имя домена. вы можете самостоятельно изменить имя домена на любое другое, удовлетворяющее внутренним правилам именования в организации. В этом случае помните, что максимальная длина NetBIOS-имени - 15 символов.
Далее мастер настройки сервера создает новый DNS-сервер (если он не был создан заранее) и приступает к его настройке. Как уже упоминалось ранее, DNS-серверы связаны иерархической структурой с другими DNS-серверами для разрешения запросов. Если создаваемый вами домен будет иметь постоянное подключение к Интернету или в вашей сети уже используется DNS-сервер, то вам необходимо указать IP-адрес DNS-сервера, к которому будет обращаться создаваемый DNS-сервер для разрешения запросов.
Если вы создаете внутренний домен без постоянного подключения к Интернету и в вашей сети нет других DNS-серверов, то выберите пункт Нет, не пересылать запросы, тогда создаваемый DNS-сервер будет главным DNS-сервером создаваемого домена.
Если вы периодически подключаетесь к Интернету через модем и укажете вышестоящий DNS-сервер для пересылки запросов, то при отключении от Интернета ваш DNS-сервер будет выдавать сообщения об ошибке, из-за невозможности найти вышестоящий сервер.
Перенастроить сервер можно позже, после его установки.
Еще раз проверьте правильность введенных значений и их соответствие ранее определенной конфигурации Active Directory.
Подтвердите выбранные вами параметры нажав кнопку Далее.
Процесс установки и настройки Active Directory и других служб наглядно отображается на экране.
При создании нового домена последовательно выполняются следующие операции:
- останавливаются все необходимые службы;
- создается служба DHCP;
- создаются папки для хранения БД и системного тома Active Directory;
- создается контейнер схемы, в который загружается схема по умолчанию;
- создаются все необходимые контейнеры и объекты каталога Active Directory;
- из локальной БД системы безопасности все объекты переносятся в каталог Active Directory;
- создаются политики по умолчанию;
- конфигурируются службы Active Directory;
- удаляется локальная БД системы безопасности;
- устанавливаются права доступа на созданные объекты каталога и системные папки Windows Server 2003;
- создается файл со списком изменений, вносимых в зону DNS;
- устанавливаются инструменты управления Active Directory.
Закончив выполнение всех запланированных операций компьютер автоматически перезагрузится. После загрузки операционной системы Windows Server 2003 мастер настройки сервера продолжит свою работу.
По завершении работы мастер сообщает о результатах установки, выводит информацию о сайте, в который был включен контроллер домена.
При установке первого контроллера первого домена дерева автоматически создается сайт с именем Default-First-Site-Name. В него по умолчанию будут включаться все устанавливаемые контроллеры доменов.
Щелкните кнопку Готово для завершения установки Active Directory.
Завершение установки Active Directory.
По завершении работы Мастера установки Active Directory и перезагрузки вы наверняка заметите, что загрузка компьютера замедлилась в несколько раз. Это связано с тем, что при каждой загрузке запускаются службы Active Directory, которые при запуске осуществляют проверку баз данных Active Directory, внесение изменений в зону DNS, обслуживающую домен, устанавливают связь с ГК и мастером схемы в поисках изменений и т. п. В зависимости от конфигурации компьютера загрузка становится дольше на 3-10 минут.
Многие изменения в конфигурации Windows Server 2003, связанные с установкой Active Directory, осуществляются не во время работы мастера установки, а во время первой перезагрузки. Кроме того, большинство этих изменений, например создание необходимых записей в DNS-зоне, осуществляется асинхронно, уже после того, как запущены все службы и компьютер загружен. Поэтому рекомендуется выждать до 30 минут после первой перезагрузки компьютера, прежде чем переходить к проверке правильности установки Active Directory. За это время будут завершены все операции по настройке и начальной репликации (если вы устанавливали не первый контроллер в дереве доменов).
Основным хранилищем информации о дереве доменов, влияющем на работоспособность Active Directory, является DNS. Наличие в зоне необходимых записей является свидетельством правильно выполненной установки Active Directory и работоспособности домена. Для проверки запустите консоль управления DNS (Пуск -> Администрирование -> DNS). Домен, в который устанавливалась Active Directory, должен выглядеть следующим образом:
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.127 )