Иллюстрированный самоучитель по Microsoft Windows 2003

Проектирование доменов и развертывание Active Directory

  • Проектирование доменов и развертывание Active Directory

    Служба каталога Active Directory может использоваться для размещения информации о более чем миллионе объектов. Очевидно, что вся эта информация должна быть каким-то образом организована, чтобы облегчить управление этими объектами и доступ к ним.
  • Сценарии формирования пространства имен. Изолированное корпоративное пространство имен.

    Рассмотрим некоторые сценарии создания корпоративного пространства имен DNS. Фактически существует три сценария: | изолированное пространство имен DNS; | пространство имен DNS, интегрированное с внешним пространством имен;
  • Корпоративное пространство имен, интегрированное с внешним пространством имен

    Данный сценарий предполагает существование внутреннего корпоративного пространства имен. Фактически оба пространства (корпоративное и внешнее) представляют собой отдельные непересекающиеся пространства имен.
  • Корпоративное пространство имен, являющееся частью внешнего пространства имен

    В последнем рассматриваемом сценарии корпоративное пространство имен является фрагментом другого более крупного пространства имен. Например, корпоративная вычислительная сеть интегрируется с глобальной сетью Интернет.
  • Функциональные уровни

    В службе каталога Windows 2000 существует понятие режима функционирования домена (domain mode). Домен может находиться в одном из двух режимов – основном (native) или смешанном (mixed). Режим функционирования домена определяет возможность использования контроллеров домена Windows NT.
  • Функциональный уровень доменов

    Функциональный уровень, на котором находится домен, определяет набор функциональных возможностей, доступных для этого домена. В табл. 19.1 перечислены существующие функциональные уровни домена и допустимые типы контроллеров домена. | Таблица 19.1. Функциональные уровни домена.
  • Функциональный уровень леса доменов

    Функциональный уровень леса доменов определяет набор функциональных возможностей Active Directory, доступных в масштабах всего леса доменов. Существует два функциональных уровня. | Windows 2000. Данный функциональный уровень предполагает наличие в сети контроллеров домена различных версий – Windows NT/2000 и Windows Server 2003.
  • Изменение имен доменов

    В службе каталога Active Directory, реализованной в составе Windows 2000. лес доменов представлял собой статичную структуру. Администратор мог либо добавить новые домены или даже целые деревья, либо удалить их. Он не мог изменить пространство имен каталога, переименовав один или несколько доменов.
  • Установка контроллеров домена. Подготовка к установке.

    Как уже говорилось, контроллер домена выступает в качестве носителя копии каталога. Поэтому развертывание службы каталога начинается непосредственно с установки контроллеров домена. Вся реализация доменной инфраструктуры каталога происходит как раз в процессе установки контроллеров домена.
  • Требования и ограничения

    Процесс повышения выделенного сервера до контроллера домена требует выполнения определенных условий. Рассмотрим эти требования. | Перед установкой на сервере должен быть установлен стек протоколов TCP/IP и для каждого из интерфейсов сервера выделен статический IP-адрес.
  • Проверка службы DNS

    Прежде чем запустить на сервере мастер установки Active Directory, администратор должен проверить настройки стека протоколов TCP/IP для данного компьютера, обратив, в первую очередь, внимание на параметры службы DNS-клиента.
  • Обновление существующего леса доменов Windows 2000

    Рассмотрим ситуацию, когда администратор выполняет установку контроллера домена Windows Server 2003 в среде Windows 2000. Это может быть первым шагом к переходу с Windows 2000 на Windows Server 2003.
  • Установка контроллера домена Windows Server 2003

    Процедура установки контроллера домена (также называемая повышением роли сервера до контроллера домена) выполняется при помощи мастера Active Directory Installation Wizard (Мастер установки Active Directory). Этот мастер запускается утилитой командной строки Dcpromo.exe.
  • Выполнение установки

    В ходе использования мастера установки Active Directory возможны четыре сценария (рис. 19.3): | создание нового леса доменов; | создание нового дерева доменов в рамках существующего леса доменов; | создание нового домена в рамках существующего дерева доменов;
  • Установка контроллера домена из резервной копии

    Архитектура Windows Server 2003 позволяет установить в домене дополнительный контроллер, используя резервную копию о состоянии системы (System state) уже существующего контроллера домена. Хотелось бы обратить особое внимание на то, что данная возможность распространяется только на установку дополнительных доменов.
  • Установка контроллера домена Windows NT/2000 в среде Windows Server 2003

    Прежде чем приступить к установке контроллера домена, находящегося под управлением предыдущих версий Windows (Windows NT/2000), необходимо убедиться, что функциональный уровень, на котором находится интересующий домен, позволяет это сделать.
  • Проверка состояния контроллера домена

    Довольно часто возникает необходимость убедиться в том, процесс перехода сервера в новое качество успешно завершен. Если, например, служба репликации файлов (FRS) не может успешно стартовать, она не инициализирует системный том, в результате чего служба Netlogon не может сделать общей (shared) системную папку SYSVOL. Как следствие папка NETLOGON также становится недоступной для общего доступа.
  • Изменение имени контроллера домена

    Архитектура Windows Server 2003 допускает возможность изменения имени контроллеров домена (в Windows 2000 такая возможность отсутствует). Сам процесс изменения имени не сопряжен с какими-либо сложностями, однако от администратора требуется четкое выполнение определенной последовательности действий.
  • Удаление контроллера домена

    Под удалением контроллера домена фактически понимается понижение его до роли обычного сервера. Порой бывает необходимо удалить один или несколько контроллеров из домена или переместить их в другой домен.
  • Управление доверительными отношениями. Создание доверительных отношений.

    Как говорилось в предыдущей главе, доверительные отношения выступают в качестве связующего звена между доменами, посредством которого домены организуются в иерархию. Для управления доверительными отношениями используется оснастка Active Directory Domain and Trusts (Active Directory – домены и доверия).
  • Удаление доверительных отношений

    Для удаления доверительных отношений необходимо выбрать в списке требуемую запись и нажать кнопку Remove (Удалить). Если отношения двусторонние, администратор может при желании удалить отношения доверия направленные как в одну сторону, так ив другую.
  • Управление доверительными отношениями между лесами доменов

    Если два леса доменов находятся на функциональном уровне Windows Server 2003, они могут быть соединены друг с другом посредством транзитивных доверительных отношений.
  • Изменение функционального уровня домена и леса доменов

    Функциональный уровень, на котором находится домен или лес доменов, определяет перечень возможностей, доступных в рамках домена или леса доменов. Чем выше функциональный уровень, тем шире диапазон возможностей.
  • Конфигурирование клиентов

    После того как домен создан и установлены все необходимые контроллеры домена, администратор должен соответствующим образом сконфигурировать клиентские компьютеры. Этот процесс может отличаться в зависимости от версии клиентской операционной системы.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.