Книги, научные публикации Pages:     | 1 |   ...   | 2 | 3 | 4 | 5 | 6 |   ...   | 8 |

С. Реймер, М. Малкер Active Directory для Windows Server 2003. Справочник администратора/Пер, с англ. Ч М.: СП ЭКОМ, 2004.Ч 512 с: ил. ...

-- [ Страница 4 ] --

Х параметр /answer[:answerfilе] используется для выполнения автоматической инсталляции Active Directory. Включите в этот параметр имя файла автоматического ответа, который содержит всю информацию, необходимую для выполнения инсталляции;

Х параметр /adv используется для запуска мастера инсталляции Active Directory в том случае, когда контроллер домена будет создан из восстановленных резервных файлов. Когда вы добавляете параметр /adv, то в процессе инсталляции нужно указать путь к восстановленным резервным файлам.

Детальная информация о ключевых пунктах ответов дана в разделе этой главы Использование мастера инсталляции Active Directory.

Инсталляция без сопровождения Для установки Active Directory вы можете запустить инсталляционный процесс в тихом режиме, без сопровождения, напечатав dcpromo.exe/ answer:answerfilе, где answerfile Ч имя файла ответов, который вы создали. В режиме без сопровождения файл сценария инсталляции передает значения для всех полей пользовательского ввода, которые вы заполняли бы при использовании мастера инсталляции Active Directory. Для любого ключа, который не определен в файле ответа, будет использоваться заданное по умолчанию значение этого ключа, или появится окно, чтобы вы могли ввести требуемое значение. Создание файла ответов для инсталляции без сопровождения будет описано позже в этой главе.

Использование мастера конфигурирования сервера Чтобы установить Active Directory, используя мастера конфигурирования сервера (Configure Your Server Wizard), можно выбрать добавление новой роли в утилите Manage Your Server (Управление сервером) или Configure Your Server Wizard в папке Administrative Tools (Средства администрирования).

Чтобы установить Active Directory, используя Configure Your Server Wizard, выполните следующие действия.

1. В окне Manage Your Server щелкните на кнопке Add Or Remove A Role (Добавить или удалить роль) или выберите Configure Your Server Wizard в папке Administrative Tools.

Запустится мастер конфигурирования сервера.

2. В окне Preliminary Steps (Предварительные шаги) щелкните на кнопке Next (Далее). Ждите некоторое время, пока мастер ищет параметры настройки Local Area Connections (Локальные подключения).

3. Чтобы установить Active Directory, службу сервера DNS и службу протокола динамической конфигурации хоста (DHCP), в окне Configuration Options (Опции конфигурации) выберите Typical Configuration For A First Server (Типичная конфигурация для первого сервера). Чтобы установить только Active Directory, выберите Custom Configuration (Выборочная конфигурация), а затем щелкните на кнопке Next (см. рис. 6-3).

Последующее описание предполагает, что вы выбрали опцию Custom configuration.

Рис. 6-3. Окно Configuration Options (Опции конфигурации) 4. В окне Server Role (Роль сервера) выберите Domain Controller (Контроллер домена), затем щелкните на кнопке Next (см. рис. 6-4).

Рис. 6-4. Окно Server Role (Роль сервера) 5. В окне Summary Of Selections (Резюме выбранных опций) подтвердите выбор роли сервера и щелкните на кнопке Next. Для конфигурирования выбранных услуг появится окно Applying Selections (Применение выбранных опций).

6. При создании роли контроллера домена появляется окно Welcome (Приветствие) мастера инсталляции Active Directory (см. рис. 6-5). После этого будет выполняться тот же процесс, как если бы вы запустили мастера инсталляции Active Directory из командной строки или командой Run (Выполнить). Подробное описание ответов на вопросы мастера инсталляции Active Directory дано в следующем разделе. Завершите мастера инсталляции Active Directory, а затем щелкните на кнопке Finish (Готово). После того как служба Active Directory установлена и сконфигурирована, появится напоминание о том, что нужно перезапустить ваш сервер.

Рис. 6-5. Окно Welcome (Приветствие) мастера инсталляции Active Directory Использование мастера инсталляции Active Directory Мастер инсталляции Active Directory работает просто. Все опции мастера хорошо объяснены и представлены в логическом порядке. Вместо того чтобы проводить вас через этот достаточно очевидный процесс, обсудим ключевые моменты ответов, с которыми вы столкнетесь при установке Active Directory.

Чтобы запустить мастера инсталляции Active Directory, напечатайте dcpromo в диалоговом окне Run (Выполнить) или в командной строке. Появится стартовое окно мастера инсталляции Active Directory.

Совместимость операционных систем Контроллеры домена, на которых выполняются Windows Server 2003, лучше защищены, чем те, на которых выполняются предыдущие версии сетевых операционных систем Windows, и мастер инсталляции Active Directory дает информацию о том, как эта защита затрагивает вход клиента в систему. Заданная по умолчанию политика безопасности для контроллеров домена, на которых выполняются Windows Server 2003, требует двух новых уровней защиты взаимодействия контроллеров домена: подписи блока серверных сообщений (Server Message Block Ч SMB), а также шифрования и подписи сетевого трафика безопасного канала.

Эти функции защиты вызывают проблемы при входе в систему клиентов низкого уровня.

Нижеприведенные клиентские операционные системы Windows в основном режиме не поддерживают подписи SMB, шифрование и подписи безопасного канала:

Х Microsoft Windows for Workgroups;

Х Microsoft Windows 95 и Windows 98;

Х Microsoft Windows NT 4 (Service Pack 3 и более ранние).

Если ваша сеть поддерживает эти системы, то вы должны выполнить определенные действия, чтобы дать им возможность входить в систему контроллера домена, на котором выполняется Windows Server 2003 (см. табл. 6-1).

Табл. 6-1. Предоставление клиентским операционным системам возможности входа в Active Directory Клиент ОС Действие Windows for Workgroups Модернизируйте операционную систему.

Windows 95/Windows 98 Модернизируйте операционную систему (рекомендуется) или установите Directory Services Client (Клиент служб каталога).

Windows NT 4 Модернизируйте операционную систему (рекомендуется) или установите Service Pack 4 (или более поздний).

Directory Services Client (Клиент служб каталога) Ч это компонент клиентской стороны, который дает возможность низкоуровневым клиентским операционным системам (Microsoft Windows 95, Windows 98 и Windows NT 4) воспользоваться преимуществами Active Directory. (Это использование распределенной файловой системы (DFS) и поиска). Посмотрите страницу дополнений клиента Active Directory на сайте /www.microsoft.corn/windows2000/server/evaluation/news/bulletins/ adextension.asp для получения информации относительно загрузки и использования службы Directory Services Client в системе Windows NT 4 SP6a. Обратите внимание, что предыдущее название службы Directory Services Client было Active Directory Client Extension, с этим именем вы будете сталкиваться во многих статьях веб-сайта Microsoft.

На рисунке 6-6 показано окно Operating System Compatibility (Совместимость операционных систем).

Типы доменов и контроллеров домена Первое решение, которое вы должны принять в процессе инсталляции, -какой контроллер домена должен быть создан. Это может быть первый контроллер домена в новом домене или дополнительный контроллер домена для существующего домена (см. рис. 6-7). По умолчанию создается новый домен и новый контроллер домена. Если вы выберете создание дополнительного контроллера домена в существующем домене, то имейте в виду, что все локальные учетные записи, которые существуют на сервере, будут удалены наряду со всеми криптографическими ключами, которые хранились на компьютере. Вас попросят также расшифровать все зашифрованные данные, потому что после установки Active Directory это будет недоступно.

Рис. 6-6. Окно Operating System Compatibility (Совместимость операционных систем) Рис. 6-7. Окно Domain Controller Type (Тип контроллера домена) Если вы выберете создание нового домена, то далее нужно будет указать, создавать ли корневой домен в новом лесу, дочерний домен в существующем домене или в новом дереве домена в существующем лесу (см. рис. 6-8). Проконсультируйтесь с проектной документацией своей службы Active Directory (см. гл. 5), чтобы определить природу создаваемого домена. Чтобы создать дочерний домен в существующем домене или в новом дереве домена в существующем лесу, вы должны представить соответствующие сетевые сертификаты для продолжения инсталляционного процесса. Для создания корневого домена нового леса сетевые сертификаты не требуются.

Рис. 6-8. Окно Create New Domain (Создание нового домена) Именование домена При создании нового контроллера домена для нового домена нужно задать полное имя DNS и имя NetBIOS (см. рис. 6-9). При создании этих имен нужно соблюдать определенные правила.

Полное имя DNS должно содержать уникальное имя для нового домена, а при создании дочернего домена должен существовать родительский домен, и его имя должно быть включено в имя DNS.

Например, если вы создаете новый домен NAmerica в дереве домена Contoso.com, то полное имя DNS, которое вы должны ввести, будет NAmerica.Contoso.com. При именовании домена доступные символы включают независимые от регистра буквы от А до Z, цифры от 0 до 9 и дефис (-). Каждый компонент DNS имени домена (секции, отделенные точкой [.]) не может быть длиннее 63-х байтов.

Рис. 6-9. Окно New Domain Name (Имя нового домена) После того как вы указали имя DNS для домена, необходимо задать имя NetBIOS (см. рис. 6-10).

Имя NetBIOS используется более ранними версиями системы Windows для идентификации имени домена. Лучше всего принять автоматическое имя NetBIOS, полученное из ранее введенного имени DNS. Единственное ограничение на имя NetBIOS состоит в том, что оно не должно превышать четырнадцать символов. Кроме того, имя NetBIOS должно быть уникальным.

Рис. 6-10. Окно NetBIOS Domain Name (Имя NetBIOS домена) Место расположения файла Мастер инсталляции Active Directory попросит вас выбрать место для хранения файла базы данных Active Directory (Ntds.dit), файлов регистрационных журналов Active Directory и общей папки Sysvol. Вы можете выбрать заданные по умолчанию места или задать другие (см. рис. 6-11).

Рис. 6-11. Окно Database And Log Folders (Папки базы данных и регистрационных журналов) Заданное по умолчанию место для базы данных каталога и журналов Ч папка %systemroot %\system32. Однако для обеспечения лучшей производительности нужно сконфигурировать Active Directory так, чтобы хранить файл базы данных и журналы на отдельных жестких дисках.

Заданное по умолчанию место общей папки Sysvol - %systemdrive %\Windows. Единственное ограничение на выбор места для общей папки Sysvol состоит в том, что она должна храниться в разделе с файловой системой NTFS v5. В папке Sysvol хранятся все файлы, которые должны быть доступны клиентам домена Active Directory, например, сценарии входа в систему (см. рис. 6-12).

Проверка или установка DNS-сервера Active Directory требует, чтобы в сети была установлена служба DNS, тогда компьютеры-клиенты смогут находить контроллеры домена для аутентификации. Для этого реализация DNS должна поддерживать записи SRV. Microsoft рекомендует также поддержку динамических обновлений.

Реализация службы DNS в сети может быть выполнена не на платформе Microsoft, это может быть DNS-сервер, работающий под Windows NT 4 (SP4), Windows 2000 Server или Windows Server 2003.

Рис. 6-12. Окно Shared System Volume (Общедоступный системный том) Если компьютер, на котором вы устанавливаете Active Directory, не является DNS-сервером, или если мастер инсталляции Active Directory не проверяет, что DNS-сервер должным образом сконфигурирован для нового домена, то служба DNS сервера может быть установлена в процессе инсталляции Active Directory. (Если вы устанавливаете дополнительный контроллер домена в уже существующем домене, то считается, что служба DNS уже установлена, и этот шаг проверки пропускается.) Если служба DNS реализована в сети, но не сконфигурирована должным образом, то окно DNS Registration Diagnostics (Диагностика регистрации DNS) мастера инсталляции Active Directory сообщает об ошибках конфигурации. В этом месте нужно сделать все необходимые изменения в конфигурации DNS и повторить программу диагностики DNS. В качестве дополнительного варианта можно продолжить инсталляцию Active Directory и позже сконфигурировать DNS вручную. На рисунке 6-13 показаны результаты диагностики DNS, выполненной во время работы мастера инсталляции Active Directory и три варианта возможных продолжения. Обратите внимание, что вторая опция, связанная с установкой и конфигурированием DNS-сервера на этом компьютере, является заданной по умолчанию в ситуации, когда DNS сервер не найден.

Если вы выберете заданную по умолчанию опцию, связанную с установкой и конфигурированием DNS сервера, то сервер DNS и служба DNS сервера будут установлены в процессе инсталляции Active Directory. Основная зона DNS будет соответствовать имени нового домена Active Directory, она будет сконфигурирована так, чтобы принимать динамические обновления. Предпочтительные параметры установки DNS-cep- вера (в окне свойств TCP/IP) будут модифицированы для указания на локальный DNS-сервер.

(Выше рекомендовалось сконфигурировать локальный IP-адрес компьютера перед инсталляцией Active Directory.) Рис, 6-13. Окно DNS Registration Diagnostics (Диагностика регистрации DNS) мастера инсталляции Active Directory Дополнительная информация. Когда служба DNS сервера устанавливается мастером инсталляции Active Directory, то зона DNS создается как интегрированная зона Active Directory. Для получения дополнительной информации о конфигурировании интегрированной зоны Active Directory см. гл.

3.

Выбор заданных по умолчанию разрешений для пользовательских и групповых объектов Обе системы, Windows Server 2003 и Windows 2000, реализуют более строгую защиту для атрибутов пользовательских и групповых объектов, чем та, которая была в Windows NT 4. Доступ к пользовательским объектам и групповое членство по умолчанию недоступны для анонимных пользовательских входов в систему. Чтобы сохранить обратную совместимость с приложениями и службами, созданными до Windows 2000 (Microsoft SQL-сервер и служба удаленного доступа Remote Access Service, RAS), Active Directory конфигурируется так, чтобы ослабить заданную по умолчанию защиту и позволить анонимный доступ к этим объектам службы каталога. Это выполняется путем добавления специальных групп Everyone (Все) и Anonymous Logon (Анонимный вход в систему) к локальной группе Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами, разработанными до Windows 2000).

В процессе инсталляции Active Directory вы должны установить заданные по умолчанию разрешения для групповых и пользовательских объектов. В окне Permissions (Разрешения) выберите одну из двух опций (см. рис. 6-14):

Х Permissions Compatible With Pre-Windows 2000 Server Operating Systems (Разрешения, совместимые с операционными системами, созданными до Windows 2000);

Х Permissions Compatible Only With Windows 2000 Or Windows Server 2003 Operating Systems (Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003).

Рис. 6-14. Окно Permissions (Разрешения) Какую опцию выбрать? Если ваша сетевая среда будет включать серверы Windows NT, а также службы или приложения, которые требуют защиты Windows NT для пользователей и групп, вы должны принять заданную по умолчанию: Permissions Compatible With Pre-Windows 2000 Server Operating Systems. Если ваша сетевая среда включает только Windows 2000 или Windows Server 2003, если в ней не будут выполняться программы, разработанные для более ранних, чем Windows 2000, систем, выберите Permissions Compatible Only With Windows 2000 Or Windows Server Operating Systems. Имейте в виду, что с заданной по умолчанию опцией анонимные пользователи будут способны обращаться к данным Active Directory, нарушая защиту.

После того как вы модернизируете все серверы в домене до Windows 2000 или Windows Server 2003, нужно заново установить разрешения Windows Server 2003 для групповых и пользовательских объектов. Для этого просто удалите всех членов локальной группы Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами, разработанными до Windows 2000). В домене Windows Server 2003 членами будут идентификаторы SID групп Everyone (Все) и Anonymous Logon (Анонимный вход в систему).

Чтобы удалить членов этой группы с помощью инструмента администрирования Active Directory Users And Computers (Пользователи и компьютеры Active Directory), откройте контейнер Builtin (Встроенные объекты), а затем дважды щелкните на группе Pre-Windows 2000 Compatible Access (раскройте столбец Name (Имя) в случае необходимости). На вкладке Members (Члены) окна групповых свойств выберите оба идентификатора SID и щелкните на кнопке Remove (Удалить).

Для удаления членов этой группы из командной строки напечатайте следующую команду:

net localgroup "Pre-Windows 2000 Compatible Access" Everyone "Anonymous Logon" /delete В любом случае, чтобы вступило в силу изменение группового членства, необходимо перезагрузить все контроллеры домена в домене.

перед началом первичного процесса репликации появится кнопка Finish Replication Later (Выполнить репликацию позже). Выберите эту опцию, чтобы позволить нормальному процессу репликации синхронизировать разделы каталога на этом контроллере домена позже.

Рис. 6-15. Окно Directory Services Restore Mode Administrator Password (Пароль администратора режима восстановления службы каталога) Первичная репликация данных раздела каталога может занимать много времени, особенно по медленным сетевым подключениям, поэтому в Active Directory Windows Server 2003 предлагается новая функция установки дополнительного контроллера домена из восстановленных резервных файлов, которая обсуждается далее в этой главе.

Наилучшая практика. После установки службы Active Directory вы должны открыть инструмент администрирования Active Directory Users And Computers и проверить, что созданы все встроенные участники безопасности, такие как учетная запись пользователя Administrator и группы безопасности Domain Admins, Enterprise Admins. Вы должны также проверить создание специализированных тождеств Authenticated Users (Удостоверенные пользователи) и Interactive (Интерактивный). Специализированные тождества обычно известны как группы, но вы не можете видеть их членство. Пользователи автоматически включаются в эти группы, когда они обращаются к специфическим ресурсам. Специализированные тождества по умолчанию не отображаются в инструменте администрирования Active Directory Users And Computers. Чтобы рассмотреть эти объек- ты, выберите View (Вид), а затем выберите Advanced Features (Дополнительные функции).

В результате отобразятся дополнительные компоненты инструмента. Откройте контейнер Foreign Security Principals (Внешние участники безопасности). Там вы найдете объекты S-1-5-11 и S-1-5-4, которые являются идентификаторами Authenticated Users SID и Interactive SID, соответственно.

Дважды щелкните на этих объектах, чтобы просмотреть их свойства и заданные по умолчанию разрешения.

Выполнение инсталляции без сопровождения Чтобы установить Active Directory без пользовательского участия, можно использовать параметр /answer [:filename] с командой Dcpromo. В этот параметр нужно включить имя файла ответов.

Файл ответов содержит все данные, который обычно требуются в процессе инсталляции. Можно также устанавливать Active Directory при установке Windows Server 2003 в автоматическом режиме. В этом случае используется команда E:\I386\winnt32/unattend[:unattend.txt], где unattend.txt - имя файла ответов, используемого для полной инсталляции Windows Server 2003.

(Предполагается, что дисководом CD-ROM является диск Е, и вы вставили в дисковод диск.) Файл Unattend.txt должен содержать раздел [Deinstall], чтобы можно было установить Active Directory.

Чтобы выполнить автоматическую установку Active Directory после установки операционной системы Windows Server 2003, создайте файл ответов, который содержит раздел [Deinstall]. Для этого напечатайте в командной строке или в диалоговом окне Run dcpromo/ answer:answerfile (где answerfile - имя файла ответов). Файл ответов представляет собой текстовый ASCII-файл, который содержит всю информацию, необходимую для заполнения страниц мастера инсталляции Active Directory. Для создания нового домена в новом дереве нового леса так, чтобы служба DNS сервера была сконфигурирована автоматически, содержание файла ответов выглядит следующим образом:

[Deinstall] UserName=admin_ username Password=admin_password UserDomain=acmin_domain DatabasePath= LogPath= SYSVOLPath= SafeModeAdminPassword=password ReplicaOrNewDomain=Domain NewDomain=Forest NewDomainDNSName=DNSdomainname DNSOnNetwork DomainNetbiosName=NetBIOSdomainname AutoConfigDNS=yes AllowAnonymousAccess=yes CriticalReplicationOnly=yes SiteName= RebootOnSuccess=yes Для ключей, не имеющих значений, или для отсутствующих ключей будут использоваться значения, заданные по умолчанию. Ключи, необходимые для файла ответов, изменяются в зависимости от типа домена, который будет создан (новый или уже существующий лес, новое или уже существующее дерево). Для получения дополнительной информации относительно ключей и соответствующих значений смотрите< документ

Ключ ReplicationSourcePath Ч это дополнительный ключ, который можно использовать для создания контроллера домена с помощью информации, восстановленной из резервных средств.

Чтобы использовать его, укажите местоположение восстановленных резервных файлов, которые будут использоваться для заполнения базы данных каталога в первый раз. (Это тот же самый путь, который выбирается при использовании мастера инсталляции Active Directory.) Смотрите следующий раздел Установка Active Directory из восстановленных резервных файлов для получения дополнительной информации.

Примечание. Чтобы получить информацию по созданию файла ответов для установки Active Directory, щелкните правой кнопкой мыши на файле Deploy.cab в папке Support\Tools компакт диска Windows Server 2003, выберите Explore (Найти) из всплывающего меню. Затем щелкните правой кнопкой мыши на файле Ref.chm, выберите Extract (Извлечь), а затем дважды щелкните на Ref.chm в месте извлечения файла. Файл Deploy.cab также включает Setupmgr.exe, утилиту Setup Manager (Менеджер установки), то есть GUI, который используется для создания файла Unattend.txt, предназначенного для установки Windows Server 2003 (создает раздел [Deinstall]). Он также включает Microsoft Windows Corporate Deployment Tools User's Guide (Руководство пользователя по развертыванию инструментальных средств Microsoft Windows), в котором описываются заголовки разделов файла ответов, ключи и значения каждого ключа в разделах [Unattended] и [Deinstall] файла Unattend.txt.

Установка Active Directory из восстановленных резервных файлов В Windows Server 2003 имеется возможность установить дополнительный контроллер домена, используя мастер инсталляции Active Directory, 'причем начальное заполнение трех разделов каталога выполняется путем восстановления предварительно созданного резервного набора данных вместо использования нормального процесса репликации по сети. Выгода состоит в том, что новые контроллеры домена будут синхронизированы значительно быстрее. В противном случае создание разделов домена с помощью нормального процесса репликации может занимать часы или дни. Этот метод, скорее всего, будет использоваться в среде с низкой пропускной способностью сети или с большими разделами каталога.

Процесс установки из резервной копии не предназначен для восстановления существующих контроллеров домена в случае их отказов. Для выполнения этой задачи используется метод восстановления состояния системы. После того как контроллер домена будет синхронизирован с помощью восстановленных резервных данных, произойдет репликация, обновляющая новый контроллер домена всеми изменениями, которые произошли с момента создания резервного набора данных. Чтобы уменьшить время репликации, всегда используйте недавнюю копию резервных данных Active Directory. Резервный набор не может быть старше, чем время жизни объектов-памятников домена, который имеет заданное по умолчанию значение 60 дней. Резервная копия состояния системы должна быть взята с контроллера домена Windows Server 2003 в пределах того же самого домена, в котором создается новый контроллер домена;

резервные копии с контроллера домена Windows 2000 несовместимы. Последнее ограничение состоит в том, что резервный файл должен быть восстановлен на локальный диск, и обращаться к нему нужно как к диску, обозначенному буквой логического имени (пути UNC и отображаемые диски (mapped drives) недопустимы в качестве части параметра /adv). Для получения дополнительной информации о создании резервной копии разделов Active Directory см. гл. 15.

Чтобы создать дополнительный контроллер домена из восстановленных резервных файлов, выполните следующие действия.

1. Создайте и проверьте резервную копию System State (Состояние системы) на контроллере домена в домене. Восстановите эту резервную копию на локальный диск или в другое место в сети, где к ней можно обращаться (через букву Ч имя диска) с сервера, на котором выполняется Windows Server 2003 и который должен быть назначен контроллером домена.

2. На сервере запустите мастер инсталляции Active Directory из командной строки или диалогового окна Run, используя параметр /adv Ч напечатайте dcpromo / adv.

3. В окне Domain Controller Type (Тип контроллера домена) выберите Additional Domain Controller For An Existing Domain (Дополнительный контроллер домена для существующего домена).

4. В окне Copying Domain Files (Копирование файлов домена) выберите место расположения восстановленных резервных файлов.

5. В окне Copy Domain Information (Копирование информации домена) выберите место расположения восстановленных резервных файлов для этого домена.

6. Заполните остальные пункты мастера инсталляции Active Directory так, как описано в предыдущих разделах.

Создание дополнительного контроллера домена из восстановленных резервных файлов требует наличия сетевой связи и доступного контроллера домена в том же самом домене. Содержание общедоступного ресурса Sysvol, например, копируется на новый контроллер домена вне этого процесса. Репликация будет выполняться между контроллером, содержащим свежие данные, и недавно созданным контроллером домена для всех объектов, созданных после того, как был создан резервный набор данных.

Дополнительная информация. Для организаций со множеством маленьких отдаленных сайтов, связанных медленными связями с центральным сайтом или центром данных, развертывающих Active Directory, смотрите документ Active Directory Branch Office Guide (Руководство по созданию Active Directory для филиалов) по адресу techinfо/planning/activedirectory/branchoffice/default.asp. Этот документ включает руководства по планированию и развертыванию, предназначенные помочь вам в проектировании стратегии развертывания Active Directory в сценарии с несколькими филиалами. В руководствах содержатся также пошаговые инструкции реализации этой стратегии.

Удаление Active Directory Служба Active Directory удаляется из контроллера домена с помощью той же самой команды, которая используется для ее установки -Dcpromo.exe. Когда вы выполняете эту команду на компьютере, являющемся контроллером домена, мастер инсталляции Active Directory уведомит вас, что если вы выберете продолжение этой процедуры, то Active Directory будет деинсталлирована. Последовательность действий зависит от того, является ли контроллер домена, с которого вы удаляете Active Directory, последним контроллером домена в домене или нет. В этом разделе обсуждаются последствия удаления Active Directory.

Что происходит с контроллером домена, когда вы удаляете Active Directory? Удаляется база данных каталога, все услуги, необходимые для Active Directory, останавливаются и удаляются, создается локальная база данных SAM, и компьютер понижается до роли автономного сервера или сервера члена группы. Результат будет зависеть от того, является ли контроллер домена дополнительным контроллером домена или последним контроллером домена в домене или лесу.

Чтобы удалить Active Directory из контроллера домена, напечатайте dcpromo в командной строке или в диалоговом окне Run. Вначале нужно определить, является ли контроллер домена дополнительным контроллером домена или последним контроллером домена в домене. На рисунке 6-16 показано окно соответствующего мастера.

Рис. 6-16. Опция удаления последнего контроллера домена Затем мастер инсталляции Active Directory отобразит список всех разделов приложений каталога, найденных на контроллере домена. Если этот контроллер домена - последний в домене, то он является последним источником этих данных приложений. Возможно, что вы захотите защитить эти данные, прежде чем продолжать использование мастера, который удалит эти разделы. Если контроллер домена, из которого вы удаляете Active Directory, является также сервером DNS, то там будут находиться, по крайней мере, два раздела приложений каталога, в которых хранятся зонные данные. На рисунке 6-17 смотрите пример разделов приложений DNS каталога, найденных при деинсталляции Active Directory.

После того как вы подтвердите удаление прикладного раздела каталога, вас попросят ввести новый пароль для локальной учетной записи администратора. Затем появится окно Summary (Резюме), и удаление Active Directory завершится. Для окончания этого процесса вы должны перезапустить компьютер.

После перезапуска компьютера он будет играть роль сервера-члена домена или автономного сервера.

Рис. 6-17. Удаление разделов приложений DNS в каталоге Удаление дополнительных контроллеров домена Удаление Active Directory из дополнительных контроллеров домена -не такое запутанное дело, как удаление Active Directory с последнего контроллера домена в домене или лесу. В случае удаления дополнительных контроллеров домена остаются реплики разделов каталога, хранящиеся на других контроллерах домена, так что фактически данные не будут потеряны. Множество интересных изменений происходит на контроллере домена при деинсталляции Active Directory.

Х Все роли хозяина операций передаются другим контроллерам домена в домене.

Х Папка Sysvol и все ее содержимое удаляется из контроллера домена.

Х Объект NTDS Settings (Параметры настройки NTDS) и перекрестные ссылки удаляются.

Х Служба DNS обновляется для удаления SRV записей контроллеров домена.

Х Создается локальная база данных SAM для обработки локальной политики безопасности.

Х Все службы, которые были запущены при установке Active Directory (например, Net Logon - Сетевой вход в систему), останавливаются.

Тип учетных записей компьютера изменяется с контроллера домена на сервер-член домена, и учетная запись компьютера перемещается из контейнера Domain Controllers (Контроллеры домена) в контейнер Computers (Компьютеры). Чтобы удалить Active Directory из дополнительного контроллера домена, вы должны войти в систему как член группы Domain Admins или Enterprise Admins.

Примечание. При удалении Active Directory с дополнительного контроллера домена удостоверьтесь, что в домене имеется другой доступный каталог GC. Каталоги GC требуются для пользовательского входа в систему, и эта роль не передается автоматически, как передаются роли хозяина операций.

Удаление последнего контроллера домена При удалении последнего контроллера домена в домене происходят некоторые специфические события. При удалении последнего контроллера домена удаляется сам домен. Аналогично, если контроллер домена является последним в лесу, то лес также удаляется. События, связанные с удалением последнего контроллера домена в домене, включают следующее.

Х Мастер инсталляции Active Directory проверяет, что не существует никаких дочерних доменов. Удаление Active Directory блокируется, если обнаружены дочерние домены.

Х Если домен, который будет удален, является дочерним доменом, то организуется контакт с контроллером домена в родительском домене, и на него копируются изменения.

Х Все объекты, связанные с этим доменом, удаляются из леса.

Х Все объекты доверительных отношений на родительском контроллере домена удаляются.

Х После того как Active Directory удалена, тип учетной записи компьютера изменяется с контроллера домена на автономный сервер. Сервер помещается в рабочую группу по имени Workgroup (Рабочая группа).

Административные разрешения, необходимые для удаления последнего контроллера домена в дочернем домене или в корневом домене дерева предполагают, что вы должны войти в систему как член группы Enterprise Admins (Администраторы предприятия) или предъявить сертификаты администратора предприятия в процессе выполнения мастера инсталляции Active Directory. Если вы удаляете Active Directory из последнего контроллера домена в лесу, вы должны войти в систему или как Administrator (Администратор), или как член группы Domain Admins (Администраторы домена).

Автоматическое удаление Active Directory Удаление Active Directory может происходить в автоматическом режиме, подобно автоматической инсталляции. Для этого используется командная строка. Единственное различие Ч содержание файла ответов.

Чтобы выполнить автоматическое удаление Active Directory, в командной строке или в диалоговом окне Run, напечатайте dcpromo/ answer:answer file (где answerfile Ч имя файла ответов, который вы создадите). Файл ответов содержит значения ключей, которые рассматривались выше. Важнейший ключ Ч IsLastDCInDomain Ч.может иметь значение Yes (Да) или No (Нет). Если вы устанавливаете значение этого ключа на Yes, то тем самым указываете, что удаляете Active Directory из последнего контроллера домена в домене и сам домен тоже будет удален. Типовой файл ответов, предназначенный для удаления дополнительного контроллера домена, показан ниже:

[Deinstall] RebootOnSuccess=Yes lsLastDCInDomain=No AdministratorPassword=passivord Passwo rd =password UserName=Administrator Резюме В этой главе обсуждались решения, которые вы должны принять в процессе инсталляции Active Directory Windows Server 2003. В то время как механизм установки Active Directory достаточно прост, решения должны быть тщательно спланированы и согласованы с проектом Active Directory.

Удаление Active Directory Ч тоже простая процедура, но необходимо рассмотреть воздействие удаления данного контроллера домена на остальную часть вашей инфраструктуры службы каталога. В главе был также рассмотрен новый способ инсталляции Active Directory Ч установка дополнительного или содержащего реплику контроллера домена из восстановленных резервных файлов. Этот способ значительно уменьшает время, необходимое для установки дополнительного контроллера домена, за счет уменьшения времени на синхронизацию разделов каталога.

Глава 7. Переход к Active Directory В Главе 6 рассказывалось, какие ключевые решения вы должны были принять при установке службы каталога Active Directory на компьютере серверного класса. Для простоты понимания предполагалось, что ваша среда представляла чистое поле, т.е. в ней ранее не существовало инфраструктуры службы каталога. В главе б подчеркивалась важность пространства имен Active Directory и пространства имен DNS. На самом деле чистая среда будет встречаться не очень часто. Скорее всего, организация, которая переходит к Active Directory Microsoft Windows Server 2003, уже имеет некоторые службы каталога. В этой главе показан переход к Active Directory Windows Server 2003 от существующей службы каталога Microsoft, точнее, переход от управления безопасными учетными записями (SAM) системы Microsoft Windows NT 4 или от Active Directory Microsoft Windows 2000. Сценарии перехода с технологий службы каталога, не принадлежащих Microsoft, типа Novell Directory Services (NDS) или NetWare 3 Bindery, или реализаций службы каталога на платформе UNIX, в данную главу не вошли.

Дополнительная информация. Веб-сайт компании Microsoft содержит много информации, касающейся перехода на Windows Server с других платформ. Для получения дополнительной информации о переходе из сред UNIX или Linux смотрите раздел веб-сайта Windows Migrating to Windows from UNIX and Linux (Переход к Windows от UNIX и Linux) по адресу www.microsoft.com/windows2000/migrate/unix/default.asp. Для получения дополнительной информации о переходе от Novell системы Netware смотрите раздел NetWare to Windows Server Migration Planning Guide (Руководство по планированию перехода с NetWare на Windows 2000 Server) по адресу www.microsoft.com/windows2000/techinfo/planning/ incremental/netmigrate.asp. Для получения полной информации о переходе к Windows Server 2000, а также по технологии серверов Windows, смотрите документ Переход к Windows по адресу

В начале главы обсуждаются различные варианты путей перехода к Active Directory Windows Server 2003. Затем уточняются ключевые моменты каждого способа и процедуры, необходимые для этого.

Примечание. Основное внимание в главе уделено процессу перехода от Windows NT 4. Этот сценарий предполагает большие изменения в технологии и, как следствие, является более сложным. Поскольку Active Directory Windows Server 2003 несущественно отличается от Active Directory Windows 2000, то в этом случае переход не очень сложен. Ключевые моменты сценариев перехода с Windows 2000 описаны в соответствующих разделах далее в этой главе. Поэтому, если не указано другого, процессы, описанные в главе, касаются перехода от службы каталога Windows NT 4 к Windows Server 2003.

Обратите внимание, что если нет специального ограничения, то ссылки на Windows 2000 Server включают Windows 2000 Server, Windows 2000 Advanced Server и Windows 2000 Datacenter Server.

Пути перехода Если обновление службы каталога представить как переход из пункта А в пункт Б, то пунктом А является инфраструктура вашей текущей службы каталога, а пунктом Б - желаемая структура Active Directory Windows Server 2003. Первое решение, которое вы должны сделать при планировании перехода, - это то, как добраться в пункт Б. Для этого существует несколько способов, которые называются путями перехода. Ваш путь перехода будет главным звеном в общей стратегии обновления. Эта стратегия будет включать описание того, какие объекты службы каталога и в каком порядке вы будете перемещать. Наилучший способ любого проекта перемещения службы каталога состоит в документировании каждой детали в рабочий документ, называемый планом перехода.

Существует три пути перехода:

Х обновление домена;

Х реструктуризация домена;

Х обновление с последующей реструктуризацией.

Обновление домена достигается модернизацией операционной системы до Windows Server 2003 на контроллере домена низкого уровня. В случае Windows NT 4 служба каталога обновляется от базы данных SAM к Active Directory Windows Server 2003. Другими словами, пункт А обновляется от Windows NT 4 или Windows 2000 к Windows Server 2003 и становится пунктом Б. После завершения обновления пункт А прекращает существование. Обновление домена является наименее сложным методом перехода, который может считаться заданным по умолчанию.

Второй вариант Ч это реструктуризация домена. В процессе реструктуризации объекты службы каталога копируются из существующей платформы службы каталога (пункт А) в Active Directory Windows Server 2003 (пункт Б). Этот процесс называется также клонированием. При реструктуризации домена пункт А и пункт Б сосуществуют. Когда все объекты службы каталога перенесены из А в Б, а все клиенты и компьютеры сконфигурированы так, чтобы использовать новую службу каталога, пункт А можно просто выключить. Если специфика вашей компании такова, что реструктуризация домена является подходящим путем перехода, то примите во внимание несколько дополнительных соображений для сравнения этого пути с обновлением домена. Они обсуждаются в последующих разделах.

Третий путь перехода Ч обновление с последующей реструктуризацией - известен как переход с двумя стадиями, или гибридный переход. Этот метод выполняется обновлением доменов, имеющих систему Windows NT 4, и последующим перемещением учетных записей в новый или уже существующий домен Windows Server 2003. Он объединяет преимущества первого и второго пути, которые будут рассмотрены далее. В последующих разделах объясняются достоинства и недостатки каждого из трех путей.

Переход через обновление домена Обновление домена, или лобновление на месте (in-place), является самым простым путем перехода. Но определить это для вашей организации может оказаться весьма затруднительно. При обновлении домена существующая платформа службы каталога преобразуется в Active Directory одновременно с модернизацией контроллера домена до Windows Server 2003. Простота состоит в том, что вы не имеете возможности изменить структуру домена в процессе обновления. Если вы - администратор домена NAmerica в Contoso.com, представляющего среду Windows NT 4, то после обновления вы будете администратором домена NAmerica Windows Server 2003. При обновлении домена вы не сможете изменить структуру домена или доменное имя.

Примечание. В терминах процесса обновления исходным доменом (source domain) называется домен, который вы модернизируете, т.е. пункт А. Доменная структура, к которой вы переходите, называется целевым доменом (target domain) - это пункт Б. В сценарии обновления домена первоначальный домен считается исходным до момента окончания инсталляция Active Directory, с этого момента он становится целевым доменом.

Обновление Windows NT Наиболее часто встречающийся сценарий Ч это переход от службы каталога Windows NT 4 к Active Directory Windows Server 2003. Несмотря на свой возраст, система Windows NT 4 Server является оплотом рынка сетевых операционных систем (NOS) для предприятий. На момент выхода книги компания Microsoft объявила о планах лотставки системы Windows NT 4 Server и постепенного свертывания поддержки этого продукта в течение следующих нескольких месяцев. С выпуском Windows Server 2003 многие организации, которые не хотели переходить к Windows 2000, будут обновляться до Active Directory Windows Server 2003.

Обновление Windows Server Более простой путь доступен для владельцев Windows Server 2000, которые планируют провести модернизацию до Windows Server 2003. Многие архитектурные изменения службы каталога осуществлялись тогда, когда клиенты создавали свою среду сети Windows 2000, или когда они модернизировали систему Windows NT Server 4. Клиенты, переходящие к Active Directory Windows Server 2003 с системы Windows 2000, наиболее вероятно планируют извлечь выгоду из новых функций, доступных в версии Active Directory Windows Server 2003.

Дополнительная информация. Для получения дополнительной информации о новых функциях, доступных в Active Directory Windows Server 2003, см. гл. 1.

Для Windows NT 4 переход к Active Directory выполняется путем модернизации операционных систем на контроллерах домена. Как только обновление закончено, можно пользоваться преимуществами новых функций Active Directory Windows Server 2003. Может клиент Windows 2000 Server выбрать реструктуризацию домена вместо обновления домена? Да, по тем же самым причинам, по которым клиенты Windows NT 4 Server выбирают реструктуризацию домена, - инфраструктура службы каталога больше соответствует потребностям бизнеса в организации. Клиент Windows 2000 Server, вероятнее всего, модернизирует NOS, a затем реструктуризирует ее, чем выполнит чистую реструктуризацию домена.

Перед модернизацией Windows 2000 Server до Windows Server 2003 нужно выполнить два действия:

подготовить лес и домен Active Directory для Windows Server 2003. В папке \I386 на компакт-диске Windows Server 2003 находятся два инструмента для решения этих задач: ForestPrep и DomainPrep. Процедуры подготовки леса и домена описываются далее в этой главе.

Практический опыт. Переименование домена При обновлении Windows NT 4 или Windows 2000 до Windows Server 2003 Active Directory не изменяет имя домена. Новой функцией в Active Directory является инструмент Domain Rename (Переименование домена). После того как домены модернизированы, и уровень леса поднят до Windows Server 2003, можно изменить имя модернизированного домена в соответствии с текущими потребностями вашей организации. Инструменты переименования домена обеспечивают следующее:

Х переименование домена без необходимости изменять положение какого нибудь домена леса;

Х создание структуры нового дерева доменов путем изменения положения доменов в пределах дерева;

Х создание новых деревьев доменов.

Инструменты переименования доменов могут использоваться для изменения имени корневого домена леса, но с их помощью нельзя назначить корневым доменом леса другой домен, добавлять или удалять домены из леса. Для переименования доменов Windows Server 2003 нужно установить инструмент Domain Rename (Переименование доменов). Файлы Rendom.exe и Gpfixup.exe находятся на компакт диске Windows Server 2003 в папке \VALUEADD\MSFT\MGMT\DOMREN. Инструмент Domain Rename доступен также на веб-сайте Microsoft по адресу www.microsoft.com/windowsserver2003/downloads/ domainrename.mspx. Domain Rename работает только в Windows Server 2003 и не поддерживает Windows 2000.

Для получения дополнительной информации об использовании Domain Rename смотрите статью Understanding How Domain Rename Works (Как работают инструменты переименования доменов) по адресу / /www.

microsoft.com/windowsserver2003 /docs /Domain-Rename- Intro.doc. Подробно процедура развертывания Domain Rename описана в статье Step-by-Step Guide to Implementing Domain Rename (Пошаговое руководство по применению средства Domain Rename) no адресу Procedure, doc.

Переход путем реструктуризации домена При реструктуризации домена создается новая инфраструктура службы каталога Windows Server 2003, а затем объекты перемещаются в эту среду. Преимущество этого пути перехода состоит в том, что оригинал среды Windows NT 4 остается нетронутым во время создания целевой среды, известной также как чистый лес (pristine forest). Образ чистого леса, безусловно, привлекателен, его можно быстро заполнить объек- тами службы каталога: пользователями, группами и компьютерами. Реструктуризация домена - процесс выборочный, здесь имеется возможность выбора тех объектов, которые вы хотите перенести на новую платформу. (Обновление домена Ч это бескомпромиссная сделка, т.е.

каждый объект домена Windows NT 4 обновляется до Windows Server 2003 и Active Directory.) Проектирование реструктуризации домена - прекрасный момент, чтобы убрать все дубликаты, пассивные, тестовые и другие более не функционирующие учетные записи пользователей и групп.

Они исчезнут, когда вы перейдете к новой модели домена и дадите новое назначение старым контроллерам домена.

Перемещение против клонирования Учетные записи пользователей, групп, служб и компьютеров, называемые также участниками безопасности (security principals), обновляются от службы каталога SAM Windows NT 4 Server к Active Directory. Это обновление выполняется двумя способами: учетные записи могут быть или перемещены, или клонированы. При перемещении объекта первоначальный участник безопасности в исходном домене удаляется. Перемещение объекта - это деструктивный процесс, исходные объекты домена, необходимые для восстановления в случае сбоя, не сохраняются.

Клонирование Ч это процесс создания нового, идентичного участника безопасности в целевом домене, основанном на объекте исходного домена. Предпочтительным методом передачи участников безопасности в чистый лес Windows Server 2003 является клонирование. Перемещение участников безопасности, как правило, производится при переходе между двумя лесами Windows Server 2003 или между лесом Windows 2000 и лесом Windows Server 2003.

Сценарий перехода, связанный с обновлением и последующей реструктуризацией, приведен в разделе Обновление и реструктуризация в этой главе.

Практический опыт. Понимание атрибута SID-History Как учетные записи пользователей поддерживают доступ к принтерам и общим папкам, когда вы переносите учетные записи пользователя из одного домена в другой?

Рассмотрим пример. Во время реструктуризации домена вы переносите пакет учетных записей пользователей из домена Windows NT 4 в домен Windows Server 2003. После завершения переноса вы инструктируете пользователей, как входить в новый домен и сбрасывать свои пароли. Допустим, пользователь X успешно входит на целевой домен, а затем пытается обратиться к существующей ранее общей папке файлового сервера, на котором выполняется система Windows NT 4 Server, с которой он работал в течение нескольких месяцев. Сможет ли пользователь X обратиться к этой папке?

Да, и это возможно благодаря атрибуту SID-History.

SID-History является атрибутом участников безопасности Active Directory, который используется для хранения старых идентификаторов защиты (SID) объекта. Если пользователь X имел в домене Windows NT 4 идентификатор SID, равный S-1-5-21 2127521184-1604012920-18879275 27-324294, то такое же значение появится в поле атрибута SID-History для созданного объекта учетной записи Windows Server 2003.

При перемещении группы из домена Windows NT 4 в домен Active Directory SID домена Windows NT 4 сохраняется в атрибуте SID-History данной группы. При перемещении пользователей и групп учетные записи пользователя автоматически назначаются членами групп, перенесенных в домен Windows Server 2003. Это значит, что права доступа, назначенные для группы в домене Windows NT 4, сохраняются в процессе перехода. Новый SID, сгенерированный целевым контроллером домена, помещается в атрибут SID перемещенной учетной записи.

Каким образом сохраняется доступ к ресурсам? Когда пользователь X пытается обратиться к общей папке, расположенной на файловом сервере Windows NT 4, подсистема защиты проверяет его лексему доступа, чтобы удостовериться в наличии необходимых разрешений на доступ к папке. Лексема доступа содержит не только SID пользователя X и SID всех групп, к которым он принадлежит, но и все входы SID-History самого пользователя и учетных записей его групп. Если найдено соответствие между дискреционным списком управления доступом (DACL discretionary access control list) на дескрипторе защиты папки и предыдущим SID (теперь включенным в лексему доступа с помощью атрибута SID-History), то выдается разрешение на доступ к папке.

Как много из всего этого должен знать конечный пользователь? Ничего. Как много должны знать вы, как системный администратор? Вам следует знать все. Доступ к ресурсам Ч это наиболее проблемная область переноса учетных записей пользователя. Понимая то, как поддерживаются разрешения после перехода, вы как администратор можете эффективно решать проблемы, возникающие при доступе к ресурсам. В процессе перехода вам, возможно, придется дополнительно поработать для гарантии того, что поле SID-History заполнено. Вы узнаете больше при исследовании утилиты Active Directory Migration Tool (Инструмент перехода к Active Directory, ADMT).

Как работает атрибут SID-History в сценарии обновления домена? Ответ: он не работает. При обновлении домена поддерживаются SID учетных записей групп и пользователей. Пользователь X сможет нормально обращаться к ресурсам. Как SID History работает в сценарии обновления с последующей реструктуризацией? Ответ:

так же, как в сценарии с простым обновлением домена, т.е. доступ к ресурсам сохраняется за счет поддержки первоначального SID объекта в атрибуте SID History. Единственное различие состоит в том, что Active Directory требует, чтобы идентификаторы SID появлялись в лесу только один раз, включая оба поля: SID и SID-History. В результате в сценарии обновления с последующей реструктуризацией участники безопасности должны быть перенесены, а не клонированы.

Переход через обновление с последующей реструктуризацией Переход через обновление с последующей реструктуризацией представляет собой комбинацию двух главных путей перехода. Сначала домен Windows NT 4 обновляется до Windows Server и службы Active Directory. Затем учетные записи реструктуризируются в новые или существующие домены Windows Server 2003. Этот метод сочетает сиюминутные выгоды от обновления домена (скорость, малый риск, высокий уровень автоматизации) с долгосрочными преимуществами от реструктуризации домена (создает новую модель домена, реализован в виде стадий, убирает старые и ненужные объекты учетных записей).

Обновление доменов от Windows NT 4 до Windows Server 2003 является наиболее целесообразным способом перехода. Процесс реструктуризации объектов учетных записей может быть выполнен через какое-то время, согласно вашему расписанию, ресурсам и бюджету. Он дает возможность сетевым администраторам познакомиться с новой службой каталога, прежде чем погрузиться в процесс перепроектирования домена или начать какой-либо опасный проект перехода. Этот путь выгоден конечным пользователям, поскольку их мир сетевых услуг не изменится внезапно:

сначала они перейдут к новой NOS, а затем, через какое-то время, будет реструктуризирована модель домена.

Определение подходящего пути перехода При выборе пути перехода имейте в виду, что это решение касается только одного домена, совершенно справедливо использовать различные пути перехода для различных доменов в пределах одной организации. Популярная стратегия перехода состоит в том, чтобы обновить домен Windows NT 4 с главными учетными записями, а затем реструктуризировать домен ресурсов Windows NT 4 в новый домен Windows Server 2003. Если модель вашего домена с Windows NT 4 ориентирована на географию, можно модернизировать один или несколько больших доменов, а затем реструктуризировать более мелкие домены, сохраняя их административную автономию через организационные единицы (OU). Оба эти сценария дают примеры консолидации доменов.

Давайте рассмотрим критерии, которые используются при выборе наиболее подходящего пути.

Критерии выбора пути перехода Следующие вопросы уместно задать при определении наиболее подходящего пути перехода для вашей организации.

1. Удовлетворены ли вы моделью вашего домена? Отвечает ли существующая модель домена Windows NT 4 вашим организационным и деловым потребностям?

2. Какую степень риска вы можете допустить при переходе к новой модели домена?

3. Сколько времени вы готовы потратить на выполнение перехода?

4. Какое количество рабочего времени системы потребуется на проект перехода?

5. Какие ресурсы доступны для выполнения перехода?

6. Каков бюджет проекта перехода?

7. Какое количество серверных приложений, которые не смогут выполняться на Windows Server 2003, должны быть поддержаны после перехода?

Представьте себе возможные ответы в виде спектра от низкого к высокому уровню, причем, путь обновления домена находится на самом низком уровне, а путь реструктуризации домена - на самом высоком. Для пути перехода, связанного с обновлением и последующей реструктуризацией вы, вероятно, увидите комбинацию деловых требований на каждой стороне спектра или посередине (см. рис. 7-1).

Рис. 7-1. Спектр критериев выбора пути перехода для домена Выбор обновления домена в качестве пути перехода Учитывая все вышесказанное, давайте рассмотрим условия, при которых обновление домена является наилучшим путем перехода для вашей организации.

Удовлетворение текущей моделью домена Если нет никаких существенных изменений, которые хотелось бы сделать в доменной модели одновременно с переходом к Windows Server 2003, тогда обновление домена обеспечит самый легкий путь. Имя домена останется тем же самым, так же как и существование всех учетных записей пользователей и групп. Обновление домена - это безальтернативная сделка, просто будет реализована ваша текущая службы каталога в версии Windows Server 2003.

Низкий уровень риска Являясь самым легким способом перехода, обновление домена представляет собой и метод с минимальным риском. Когда вы модернизируете контроллер домена с операционной системой Windows NT 4 Server, процесс выполняется автоматически. Без взаимодействия с пользователем возможностей для ошибок возникает немного. Методология восстановления после сбоя при обновлении домена также относительно проста. Если обновление прошло неудачно, выключите основной контроллер домена (PDC), назначьте любой резервный контроллер домена (BDC), имеющий свежие данные, на роль PDC, и начните процедуру снова.

Ограничение времени выполнения перехода График времени перехода не является решающим фактором при выборе пути перехода, тем не менее, он может быть определяющим для небольших организаций с ограниченными ресурсами.

Меньше действий требуется для обновления домена, чем для реструктуризации, и, соответственно, меньше времени требуется для выполнения всего перехода. Например, реструктуризация занимает много времени на создание и проверку инфраструктуры целевого домена, на перемещение всех учетных записей с исходного домена на целевой домен. Крупные организации, возможно, не смогут переместить все объекты за один раз, так что достаточно часто реструктуризация домена производится в несколько этапов. Напротив, обновление домена - это линейный процесс, если он был начат, то должен быть закончен.

Требование малых затрат рабочего времени Другое соображение, касающееся временного графика, Ч это количество рабочего времени службы каталога, которое необходимо затратить на процесс перехода. В процессе обновления домена объекты учетных записей самостоятельно модернизируются в объекты Windows Server 2003. В результате эти ресурсы становятся недоступными непосредственно в процессе.

Обновление домена вызывает простой в сетевом доступе к ресурсам в течение времени, необходимого для полного обновления NOS. В зависимости от размера вашего домена Windows NT 4 и количества заложенных шагов проверки процедура может занять лучшую часть дня (если все идет согласно плану). Таким образом, организация, которая выберет путь перехода, связанный с обновлением домена, должна быть готова к простою службы каталога.

Наличие ограниченных ресурсов Поскольку обновление домена является менее сложной, автоматизированной операцией, то на реализацию этого пути перехода потребуется меньшее количества ресурсов. Организации, которые не в состоянии набрать кадры на выполнение более сложной задачи реструктуризации домена, могут выбирать этот путь.

Малый бюджет проекта перехода Обновление домена стоит дешевле, чем реструктуризация, потому что вы можете использовать существующие серверные аппаратные средства. Это вовсе не означает, что вы должны к этому стремиться;

в действительности, обновление NOS Ч весьма подходящее время для модернизации аппаратных средств контроллеров домена и других серверов, выполняющих критические миссии (электронная почта, веб-серверы и т.д.). Однако если ваши имеющиеся серверные аппаратные средства функционально пригодны для работы с Windows Server 2003, вы можете потратить меньшее количество денег на обновление домена. Вы можете избежать необходимости покупать дополнительные серверы для создания среды чистого леса, которая требуется для реструктуризации домена. Среди других факторов, способствующих уменьшению необходимых бюджетных средств, будет более низкая стоимость ресурсов (включая минимальные контрактные расходы и стоимость нереализованных возможностей для постоянных служащих), а также уменьшение расходов на тестирование (поскольку нужно будет тестировать меньшее количество задач модернизации).

Серверные приложения, которые не будут выполняться на Windows Server Обновление домена - это хороший выбор, если на контроллерах домена, которые вы хотите модернизировать, не выполняется сетевая служба или коммерческие приложения, которым требуется Windows NT Server 4 как операционная система. Эти приложения могут включать обслуживание факса, бухгалтерии или любое серверное приложение, которое не модернизируется достаточно часто. Если такие службы и приложения существуют в вашей организации, то имеет смысл потратить время на их проверку на компьютере с Windows Server 2003 и определить, функционируют ли они должным образом. Если обнаружатся приложения, которые не смогут выполняться на Windows Server 2003, то возможны следующие варианты: вы можете отложить обновление до тех пор, пока не будет найдена совместимая версия приложения или подходящая замена;

переместить приложение с контроллера домена на сервер-член домена (если возможно);

не обновлять сервер, на котором выполняется система Windows NT Server 4, пока не появится новая версия вашего приложения. Имейте в виду, что сервер, на котором выполняется Windows NT 4, может существовать неопределенно долго в качестве сервера-члена домена в сети, основанной на Windows Server 2003.

Примечание. Для поддержки BDC Windows NT 4 в вашей сети Windows Server 2003 помните, что не следует поднимать функциональный уровень домена выше заданного по умолчанию значения Windows 2000 mixed (смешанный) или, если в домене нет ни одного Windows Server 2000, выше функционального уровня Windows Server 2003 interim (временный).

Выбор реструктуризации домена в качестве пути перехода Ниже приводятся характеристики организации, которой хорошо подходит реструктуризация домена в качестве пути перехода.

Неудовлетворенность текущей моделью домена Если имеющаяся доменная модель Windows NT 4 больше не удовлетворяет организационным потребностям вашей организации: устарела из-за слияния компаний, приобретения, отделения дочерних компаний и пр., по другим причинам больше не является наиболее оптимальной сетевой платформой для служб вашей организации, то наилучшим выбором будет реструктуризация домена. Это даст вам возможность начать с нового проекта Active Directory, который будет удовлетворять вашим деловым и организационным потребностям. Учитывая время и усилия, которые потребуются для развертывания Active Directory в пределах вашего предприятия, начинать с проекта имеет смысл только в том случае, если он упростит вашу жизнь настолько, насколько это возможно.

Высокий уровень риска Реструктуризация домена представляет собой путь с более высоким риском, чем обновление домена. Надо выполнить большее количество задач, и поэтому многие вещи могут идти не так, как надо. В результате растет недовольство пользователей, которые не могут войти в систему, обратиться к необходимым ресурсам или получить доступ к своим почтовым ящикам. Если вы достаточно оснащены, чтобы управлять этим риском, то не избегайте реструктуризации домена.

Как можно управлять этим риском? Нужно тщательно планировать, тестировать, обучаться и пользоваться поддержкой.

Наличие времени, достаточного для выполнения перехода Реструктуризация домена всегда занимает больше времени. Однако если график вашего проекта перехода разрешает включить необходимое пла- нирование, тестирование и выполнение задач, то не избегайте реструктуризации домена.

Высокие требования к сохранению работоспособности системы Если вы работаете в организации, где рабочее время системы является критической величиной, например в бизнесе, связанным с электронной коммерцией, где каждая минута простоя пересчитывается бухгалтерами в размер потерянного дохода, то реструктуризация домена Ч хороший выбор. Так как она включает создание незаполненного, чистого леса и оставляет исходную среду, по существу, без изменений, то работоспособность службы каталога сохраняется, поскольку пользователи продолжают функционировать в существующей среде. Вы можете переносить большие или маленькие партии пользователей в течение непиковых часов работы и оставлять эти новые учетные записи бездействующими до того времени, как будете готовы покинуть старую систему.

Наличие адекватных ресурсов Реструктуризация домена влечет за собой большее количество задач, чем обновление домена, и поэтому требуется большее количество ресурсов. Выбирая этот путь перехода, убедитесь, что ваш штат сотрудников адекватно укомплектован для выполнения дополнительной рабочей нагрузки, связанной с реструктуризацией домена. Не забудьте учесть, что ваш штат не будет выполнять обычные ежедневные обязанности из-за времени, потраченного на реструктуризацию. Велика вероятность того, что вы не сможете приостановить процедуры сетевого резервирования на несколько недель из-за того, что ваши техники будут налаживать испытательную лабораторию, поэтому не забудьте предусмотреть заполнение этих ролей, если вы осуществляете переход с внутренним штатом. В качестве альтернативы можно переложить часть задач или весь проект на внешних сотрудников, поскольку существует множество консультативных групп, которые специализируются на таких проектах. Это сэкономит время и деньги, необходимые для обучения ваших внутренних сотрудников.

Увеличение бюджета проекта модернизации По многим причинам реструктуризация домена потребует большего бюджета, чем обновление домена. Аппаратные требования, необходимые для построения незаполненной среды леса, в которую вы будете переносить ваши объекты службы каталога, следует рассмотреть с точки зрения бюджетных затрат. Если вы находитесь на стадии обновления Windows NT 4, то эти аппаратные расходы, вероятно, произойдут в любом из трех сценариев перехода.

Серверные приложения, требующие Windows NT 4 Server Если вы поддерживаете сетевые службы или коммерческие приложения, которые выполняются только на контроллерах домена с системой Windows NT 4 Server, вы, очевидно, не захотите выполнять обновление домена, который содержит эти компьютеры. Этот факт может повлиять на ваше решение переместить участников безопасности путем реструктуризации домена, а затем модернизировать контроллер домена, после того как приложение или служба будут перемещены на сервер-член домена, или после того как вы будете иметь версию приложения, совместимую с Windows Server 2003.

Путь обновления домена с последующей реструктуризацией Если вы решите, что ваша компания не удовлетворяет условиям, позволяющим уверенно выбрать обновление или реструктуризацию домена в качестве пути обновления, или если для нее подходят оба пути, то, возможно, вы выберете третий путь Ч обновление с последующей реструктуризацией. Рассмотрите возможность обновления с последующей реструктуризацией, если хотите получить немедленную выгоду от перехода к Active Directory (включая делегирование администрирования, групповые политики, публикацию приложений и многое другое), а также долговременную выгоду от реструктуризации домена (меньшее количество доменов с увеличенным объемом домена, проект домена в соответствии с вашими деловыми и организационными целями).

Критический вопрос, на который нужно ответить при рассмотрении этого пути, следующий:

Будет ли текущая модель вашего домена адекватно функционировать в среде Windows Server 2003? (понятие ладекватно является очень субъективным, и каждый сетевой администратор должен решить для себя, может ли компания продолжать поддерживать конгломерат предыдущих операционных систем, если да, то как долго.) Если ответ - да, возможно, вы наилучшим образом достигните своих целей через путь обновления с последующей реструктуризацией.

Практический опыт. Консолидация доменов через реструктуризацию Ваша цель может состоять в объединении несколько доменов в вашей организации.

Большие организации могут иметь сотни доменов, отвечающих потребностям службы каталога их пользователей. Почему количество доменов растет, выходя из под контроля? Одна из причин - довольно низкий размер базы данных SAM (предел в 80 Мб, выше которого происходит ухудшение производительности, для существующих аппаратных стандартов, 40 Мб - на более старых системах). По мере роста организации должны добавлять большее число доменов Windows NT 4, чтобы удовлетворить возрастающие требования к объему. Другая причина раздувания домена - это модель с одним хозяином домена. Она использует домены учетных записей для учетных записей пользователей и групп, домены ресурсов для общедоступных ресурсов (компьютеров, принтеров и т.д.) и локальные группы, которые управляют доступом к ресурсам. По мере увеличения количества общедоступных ресурсов в сети растет и число доменов ресурсов. В результате возникает слишком много доменов, и административные заботы увеличиваются.

Такая организация является хорошим кандидатом на реструктуризацию домена, причем сокращение количества доменов должно быть целью при проектировании Active Directory. Домены Active Directory Windows Server 2003 могут поддерживать миллионы объектов, возможно объединение такое количество доменов учетных записей, которое необходимо для удовлетворения потребностей вашего бизнеса.

Через введение OU вы можете достичь того же уровня административной власти, какой вы имели в доменной модели системы Windows NT 4, без необходимости делать всех администраторов ресурсов членами группы Domain Admins (Администраторы домена). Организация с сотнями доменов Windows NT 4 может перейти к Active Directory с единственным доменом.

Как только вы определили лучший путь перехода для ваших доменов, пришло время работать.

Следующие разделы уточняют действия, необходимые для модернизации инфраструктуры вашей службы каталога с Windows NT 4 к Windows Server 2003.

Подготовка перехода к Active Directory Подготовка перехода от Windows NT 4 к Windows Server 2003 и к Active Directory происходит в три этапа.

1. Планирование перехода.

2. Испытание плана перехода.

3. Проведение экспериментального перехода.

Кроме того, вы должны запланировать время на обслуживание и поддержку, которые следуют за развертыванием. Однако этот этап не является обязательным для проекта перехода службы каталога и в этом разделе не обсуждается.

Дополнительная информация. Для получения дополнительной информации об обновлении службы каталога Windows NT 4 до Windows Server 2003 смотрите статью Upgrading Windows NT 4.0 Domains to Windows Server 2003 (Обновление доменов Windows NT 4.0 до Windows Server 2003) по адресу www.microsoft.com/technet/prodtechnol/windowsserver2003/ evaluate/cpp/reskit/ad. Имеется также статья Domain Migration Cookbook (Кухня обновления доменов) по адресу Хотя эти статьи написаны для Windows Server 2000, они дают критический анализ техники перехода от Windows NT 4 и включают процедуры и наилучшие методы реализации обновления и реструктуризации. Эти процедуры и методы уместны и в среде Windows Server 2003.

Планирование модернизации Чтобы гарантировать успешный переход к Windows Server 2003 и Active Directory, затратьте достаточно усилий на его планирование, будь то оперативное обновление контроллеров домена или полная реструктуризация доменной модели. Конечным результатом будет полное описание всех задач, которые нужно выполнить в процессе модернизации. После проверки этот план будет служить сценарием, по которому вы выполните многочисленные и разнообразные задачи модернизации своего домена.

Документирование текущей среды Первый шаг в планировании модернизациии Active Directory состоит в документировании существующего каталога и платформы сетевых служб. Вы будете удивлены, обнаружив, как многого вы не знали о серверах, службах и приложениях, выполняющихся на ваших контроллерах домена. Используйте эту ревизию как возможность почистить паутину и, возможно, удалить избыточные или неиспользуемые элементы. Вы сделаете вашу сеть более эффективной и легкой в сопровождении и уменьшите объем работы, который предстоит проделать в процессе модернизации службы каталога.

Как только текущая среда будет задокументирована, примите решение о том, как и когда модернизировать Active Directory.

Ниже приводятся те элементы, описание которых вы включите в свой план.

Х Текущая доменная структура Windows NT 4. Перед началом модернизации вы должны иметь ясную картину текущего состояния. Эта информация будет жизненно необходимой, когда вы будете планировать откат перехода. Наилучшая практика состоит в документировании следующей информации о вашем текущем каталоге, сетевых службах и среде, в которой они выполняются:

o все домены вашей организации (домены ресурсов и учетных записей);

o все доверительные отношения между доменами (включая тип и направление доверительных отношений);

o все учетные записи пользователей, глобальных и локальных групп, а также учетные записи компьютеров;

o все учетные записи служб и другие учетные записи, которые необходимы для запуска сетевых служб или приложений;

o все системные политики и политики безопасности, которые внедрены в вашей организации.

Х Текущие сетевые службы Windows NT 4. Задокументируйте все сетевые службы, использующиеся на вашем предприятии, включая сервер, на котором они выполняются.

Убедитесь, что ваш план перехода отвечает за выполнение этих служб. Вы должны задокументировать следующие службы:

o серверы DNS;

o серверы протокола динамической конфигурации хоста (DHCP), a также параметры настройки области действия (scope);

o серверы службы имен интернета для Windows (WINS);

o серверы службы удаленного доступа (RAS) (см. примечание ниже);

o файловые серверы и сервера печати.

Предостережение. RAS-серверы системы Windows NT 4 используют NULL-сеансы для определения разрешений модема и других параметров его настройки, типа номеров телефона повторного вызова (call-back) для удаленных пользователей. По умолчанию Active Directory не принимает запросы к атрибутам объектов при использовании NULL-сеансов.

Без надлежащего планирования взаимодействие служб удаленного доступа в смешанной среде может вызвать отказ в сетевом удаленном доступе для законных пользователей, связывающихся с системой через модем. Чтобы избегать RAS-конфликтов в процессе модернизации, нужно как можно раньше обновить RAS-серверы Windows NT 4. Если в процессе модернизации вы будете поддерживать смешанную среду, нужно понизить заданную по умолчанию защиту Active Directory, выбирая опцию Permissions Compatible With Pre-Windows 2000 Server Operating Systems (Разрешения, совместимые с операционными системами, предшествующими Windows 2000 Server) при выполнении мастера инсталляции Active Directory.

Х Аппаратные средства сервера с Windows NT 4 Server и конфигурации программного обеспечения. Это особенно важно для обновления, при котором вы планируете продолжать использование имеющихся аппаратных средств сервера в модернизированной среде домена. Должна быть уверенность в том, что любой сервер, который снова будет использоваться в том же качестве, удовлетворяет требованиям, предъявляемым к аппаратным средствам Windows Server 2003. Важно также задокументировать программную конфигурацию каждого сервера для гарантии того, что все приложения и службы будут учтены в новой среде. Для контроллеров домена и серверов-членов домена, этот список должен включать следующее:

o количество процессоров и их скорость;

o оперативная память;

o системы хранения информации;

o NOS, выполняющаяся на каждом сервере. (Вы можете обнаружить, что у вас имеется совокупность разных NOS, которые имеют различные пути обновления.);

o операционная система, выполняющаяся на рабочих станциях. (Это определит то, как вы реализуете системные политики и сценарии входа в систему.);

o все приложения, связанные с бизнесом, выполняющиеся на контроллере домена с системой Windows NT 4. (Вы должны задокументировать, совместимы ли они с Windows Server 2003 и следует ли их проверять на новой платформе.) Данный список - это только основа. Вы должны тщательно исследовать вашу сеть для выявления проблем, которые могут помешать осуществлению ваших планов. Теперь, когда вы имеете ясное представление о той точке, где вы находитесь, т.е. о пункте А, пришло время планировать ваше путешествие в пункт Б.

Создание сценария развертывания Сценарий развертывания модернизации - это пошаговый список задач и порядок их выполнения.

Этот документ будет вашей инструкцией до тех пор, пока не придет время повернуть выключатель. К началу модернизации этот список должен быть проверен, пересмотрен и переделан несколько раз.

Если выполняется обновление домена, то сценарий развертывания будет относительно прост: в нем будут перечислены все модернизируемые PDC и BDC, порядок модернизации, действия, которые вы предпримите для того, чтобы гарантировать продолжение работы сетевых служб в процессе обновления, действия по проверке правильности выполнения. В плане развертывания также будут перечислены пользователи, группы, компьютеры и учетные записи служб, которые вы будете переносить, исходные и целевые домены. Будет выбрано время для выполнения процесса модернизации, указаны действия, необходимые для переключения пользователей на новую среду, уточнены шаги по проверке правильности перехода.

Практический опыт. Пример обновления домена Приведем краткий пример модернизации через обновление домена. Курсивом выделены все специфические для сайта имена и данные, которые в вашей среде будут другими. В списке процедур обратите внимание на шаги проверки правильности.

Чтобы выполнить модернизацию системы путем обновления домена, необходимы следующие шаги.

1. Установите самый последний пакет обновлений к системе Windows NT 4 Server на всех контроллерах домена Contoso.

2. Синхронизируйте все контроллеры домена в домене Contoso.

3. Сделайте резервную копию контроллера BDC по имени DC7 на магнитной ленте.

Выполните контрольное восстановление образа, чтобы проверить набор данных.

Спрячьте ленту в надежное место и пометьте ее как образ DC7, сделанный перед обновлением.

4. Переведите DC7 в автономный режим и обеспечьте его безопасность. Теперь он будет резервным сервером для отката.

5. С помощью Server Manager (Менеджер сервера) пошлите сетевое сообщение пользователям, связанным с PDC по имени DC1 за один час до начала обновления NOS.

6. Запустите обновление NOS контроллера DC1, после того как все пользователи отключатся. (Этот процесс включает установку Active Directory и может занимать несколько часов.) 7. После окончания процесса обновления и последующей перезагрузки контроллера DC1 выполните следующие действия по проверке правильности перехода.

Х Проверьте журнал регистрации событий, чтобы убедиться в отсутствии ошибок, которые могут возникнуть при запуске служб (контроллер домена, DNS, WINS, RAS).

Х Откройте оснастку Active Directory Users And Computers (Пользователи и компьютеры Active Directory). Проверьте, что учетные записи пользователя были модернизированы должным образом.

Х Войдите в систему как тестирующий обновление пользователь с именем Upgradel, пароль = P@sswOrd. Задокументируйте результаты входа в систему в тестовом документе в папке проекта. Доложите менеджеру проекта, если вход не был успешным.

Х Обратитесь к общей папке \\ ITStaff\Policies\ и откройте файл PersonalSoftware.doc. Сделайте изменения и сохраните этот файл.

Открылась ли эта папка? Открылся ли этот файл? Возникли какие-либо ошибки?

И так далее. Ваша процедура должна быть достаточно детализирована, чтобы ее можно было легко выполнять, не полагаясь на память. Полагаться на свою память, когда под угрозой находится сетевой доступ всех пользователей домена Ч это плохая идея.

Наилучшая практика. В процедуре, описанной в разделе Практический опыт, дана инструкция входить в систему с учетной записью тестера Upgradel. Хорошей практикой является создание такого количества учетных записей тестера, сколько вам потребуется для проверки доступа к сети после обновления или реструктуризации. Учетная запись тестера может быть сконфигурирована без необходимости полагаться на правильную установку разрешений для реальной учетной записи или на вашу собственную административную учетную запись, у которой не будет проблем со входом в систему, с которыми может столкнуться учетная запись, не имеющая административных разрешений. Возможно, что вы захотите иметь одну учетную запись для тестирования входа в локальную сеть (LAN), другую - для входа в систему с удаленного сайта, и еще одну - для тестирования удаленного доступа.

Теперь, когда вы уточнили все, что будете делать при успешном ходе событий, пришло время задокументировать, какие действия вы будете выполнять, если процесс пойдет неправильно, т.е.

план восстановления системы при сбое Проектирование плана восстановления Ваш план восстановления системы в случае сбоя, или, более оптимистично, просто план восстановления, эквивалентен плану модернизации, но он используется тогда, когда действия по проверке правильности модернизации окончились неудачей. Определите в вашем плане модернизации не только то, что вы будете делать для проверки правильности шагов, выполняемых в процессе перехода, но и то, что вы сможете сделать для восстановления домена до последнего работоспособного состояния. Так вы сможете поддерживать доступ к ресурсам для ваших пользователей, найти ошибки в плане модернизации и попробовать все снова. В следующем разделе рассмотрено планирование восстановления системы после сбоя в процессе перехода к Active Directory.

Восстановление системы после неудавшегося обновления домена Чтобы приготовиться к восстановлению системы в случае неудавшегося обновления домена, выполните следующее.

1. Добавьте BDC ко всем доменам Windows NT 4 с одним контроллером домена. Это будет гарантировать путь восстановления в случае сбоя при обновлении единственного контроллера домена в домене.

2. Синхронизируйте все контроллеры BDC с PDC. Это будет гарантией того, что база данных SAM содержит самые свежие данные.

3. Сделайте резервную копию контроллера PDC. Выполните контрольное восстановление резервного набора данных, чтобы проверить, что резервирование прошло успешно.

4. Переведите полностью синхронизированный BDC в автономный режим и обеспечьте его безопасность. Тем самым вы сохраните копию базы данных SAM, которую в случае необходимости можно использовать для восстановления домена без необходимости повторно устанавливать сервер и восстанавливать резервную копию.

5. Периодически подключайте этот защищенный BDC контроллер назад к сети и перезагружайте его. Это сохранит актуальность базы данных SAM. Делайте это обязательно, когда домен все еще находится на смешанном уровне Windows 2000 или на временном (interim) уровне Windows Server 2003 (если нет контроллеров домена с системой Windows 2000 Server). После того как функциональный уровень домена будет поднят, вы не сможете реплицировать между контроллерами домена Windows Server и BDC более низкого уровня.

Чтобы восстановить систему PDC контроллера после неудавшегося обновления домена, выполните следующие действия.

1. Выключите обновленный контроллер домена. Он считается PDC контроллером в домене Windows NT 4 и будет мешать успешному выполнению следующего шага.

2. Подключите автономный BDC назад в сеть и назначьте его на роль PDC контроллера. Это действие запустит репликацию сохраненной базы данных SAM на все оставшиеся в сети BDC контроллеры с системой Windows NT 4.

Выполняя эту процедуру, вы восстановите свою сеть, основанную на Windows NT 4, до рабочего состояния. Оставшиеся задачи восстановления состоят в том, чтобы расследовать причины неудавшегося обновления, соответствующим образом откорректировать свой план развертывания и начать сначала.

Восстановление системы после неудавшейся реструктуризации домена Так как вы переносите учетные записи из домена Windows NT 4 в Active Directory Windows Server 2003, то ваш план восстановления в случае сбоя будет относительно прост. Процесс реструктуризации домена - это не-разрушающий процесс, среда Windows NT 4 будет полностью функционировать в процессе перехода. Если перемещение учетных записей окончится неудачей, это вызовет определенные неудобства, но не затронет возможностей функционирования пользователей в сети Windows NT 4.

Чтобы гарантировать возможность восстановления системы после неудавшейся реструктуризации домена, выполните следующие действия.

1. Добавьте BDC ко всем доменам Windows NT 4, которые имеют только один контроллер домена. Это будет гарантировать путь восстановления в том случае, если произойдет сбой при обновлении единственного контроллера домена в домене.

2. Синхронизируйте все контроллеры BDC с PDC. Это будет гарантировать актуальность базы данных SAM.

3. Сделайте резервную копию контроллера PDC. Выполните контрольное восстановление резервного набора данных, чтобы проверить, что резервирование прошло успешно.

Если реструктуризация домена окончится неудачей, план восстановления состоит в том, чтобы продолжить работу в среде Windows NT 4, расследовать причины неудачи, проверить план развертывания и пробовать снова. Если база данных SAM системы Windows NT 4 разрушена в процессе перемещения учетных записей, используйте резервную копию для восстановления базы данных учетных записей. Разрушение данных проявит себя тем, что не все объекты появятся в User Manager (Менеджер пользователей), или пользователи не смогут войти в систему.

Тестирование плана модернизации Есть несколько серьезных оснований для тестирования вашего плана модернизации.

Х Тестирование подтвердит, что действия по обновлению приведут к желаемым результатам.

Х Тестирование даст возможность определить время, необходимое для полного завершения модернизации.

Х Тестирование даст возможность ознакомиться с инструментальными средствами и процедурами, которые вы будете использовать при переходе к Active Directory.

Не забудьте проверить все элементы перехода. Рассмотрите ваш план и создайте набор тестов для всех процедур, которые вам надо будет выполнить. Не забудьте также протестировать план восстановления, так как момент отката к домену Windows NT 4 Ч не самое подходящее время для обнаружения ошибки в вашем плане. Если тестирование показывает ошибки, модифицируйте план и повторно проверяйте его до тех пор, пока он не будет работать так, как нужно.

Наилучшая практика. При тестировании вашего плана перехода создайте испытательную среду, похожую на вашу производственную среду. Удостоверьтесь, что испытательная среда полностью изолирована от производственной.

Проведение экспериментальной модернизации Прежде чем развертывать модернизацию по всей организации, нужно провести экспериментальный откат перехода с ограниченной и управляемой группой пользователей. Это даст вам возможность тщательно проанализировать результаты перехода в управляемой среде перед выполнением полного плана модернизации. Экспериментальный откат имеет несколько преимуществ.

Х Тестирует ваш план перехода в производственной среде.

Х Позволяет обнаружить непредвиденные ошибки в плане модернизации.

Х Дает возможность ознакомиться с инструментальными средствами модернизации.

Экспериментальная модернизация даст вам возможность оценить результаты вашего плана и внести изменения. Не забудьте повторно проверить любые модификации и развернуть их в экспериментальной группе перед развертыванием модернизации во всей организации.

Примечание. Вы не сможете сделать экспериментальное обновление домена. Это событие происходит по принципу все или ничего. Однако если у вас будет такая возможность, вы должны сначала модернизировать меньший домен, а затем заняться большим.

Реструктуризация доменов может проводиться в несколько стадий. Воспользуйтесь этим преимуществом, развертывая реструктуризацию в контрольной группе пользователей.

Как только экспериментальное развертывание закончено, и все ошибки в плане модернизации выявлены и исправлены, вы можете переходить к Active Directory Windows Server 2003.

Обновление домена Обновление домена - это вторая стадия процесса перехода к Windows Server 2003. (Первая стадия - обновление NOS.) При обновлении контроллера домена, на котором выполняются системы Windows NT 4 Server или Windows 2000 Server, после модернизации NOS и перезапуска компьютера мастер инсталляции Active Directory запускается автоматически. По окончании работы мастера служба каталога будет модифицирована до Active Directory Windows Server 2003.

Дополнительная информация. Для получения дополнительной информации о проектировании структуры Active Directory см. гл. 5. Для получения дополнительной информации об использовании мастера инсталляции Active Directory см. гл. 6.

В зависимости от версии Windows в процессе обновления выполняются различные действия.

Первая часть этого раздела описывает процессы обновления домена с системой Windows NT Server, вторая Ч домена с системой Windows 2000 Server.

Примечание. Если у вас установлена более ранняя версия системы, чем Windows NT 4, вы не можете обновить ее сразу до Windows Server 2003. Сначала модернизируйте ее до Windows NT и примените комплект обновлений Service Pack 5 (или более поздний) перед обновлением операционной системы.

Обновление Windows NT 4 Server При обновлении Windows NT 4 Server до Active Directory Windows Server 2003 вначале модернизируется операционная система, а после перезагрузки компьютера завершается обновление домена. В этом разделе описано, как проводить подготовку и выполнение обновления от Windows NT 4 Server к Active Directory.

Дополнительная информация. В этом разделе обсуждаются только вопросы обновления до Active Directory Windows Server 2003. Поскольку вначале выполняется обновление операционной системы Windows NT 4 Server до Windows Server 2003, необходимо предварительно ознакомиться с техническими требованиями для модернизации NOS. Для получения дополнительной информации для небольших инсталляций (от одного до пяти серверов) смотрите страницу Installing and Upgrading the Operating System (Установка и обновление операционной системы) на веб-сайте Microsoft по адресу www.microsoft.com/technet/prodtechnol/windowsserver2003/ proddocs/entserver/ins.

Информацию для больших инсталляций смотрите в статье Microsoft Windows Server Deployment Kit (Комплект развертывания Windows Server 2003) по адресу www.microsoft.co7n/windowsserver2003/techinfo/reskit/ deploykit.mspx.

Прежде чем начать Перед началом обновления выполните несколько действий на PDC контроллере с системой Windows NT 4, который должен быть модернизирован.

Х Очистите базу данных SAM. Помните, что при обновлении домена все в ней будет обновлено до Active Directory. Велика вероятность того, что очистка уменьшит количество учетных записей, которые будут перемещаться в Active Directory, уменьшив тем самым потребное дисковое пространство на контроллерах домена Windows Server 2003. Имейте в виду, что существующая база данных учетных записей пользователей при обновлении до Active Directory может увеличиться в 10 раз. При очищении SAM с помощью инструмента администрирования Windows NT 4 User Manager For Domains (Менеджер пользователей для доменов) или с помощью команды Net User (Пользователь сети) происходит следующее:

o удаление дублированных учетных записей пользователей;

o объединение дублированных групп учетных записей;

o удаление неиспользуемых учетных записей пользователей, групп и компьютеров;

o удаление учетных записей локальных групп для ресурсов, которые больше не существуют;

o установка комплекта Service Pack 5 для Windows NT 4 или более позднего. Вы можете загрузить все поддерживаемые комплекты обновлений для Windows NT 4 с веб-сайта Microsoft по адресу

Сначала обновляем PDC Первый контроллер домена, который нужно модернизировать в вашем домене Windows NT 4 - это PDC. Если вы попытаетесь модернизировать BDC раньше, чем PDC, произойдет ошибка, потому что домены, основанные на системе Windows NT 4, могут иметь только один PDC. Все контроллеры домена Windows Server 2003 в действительности являются контроллерами PDC по отношению к домену Windows NT 4, поэтому модернизируйте сначала PDC, чтобы не нарушить это правило.

Наилучшая практика. Вместо обновления существующего PDC вашего домена наилучшая практика состоит в том, чтобы построить чистый BDC с Windows NT 4, назначить его на роль PDC, a затем обновить тот контроллер домена до Windows Server 2003. Этот дополнительный шаг гарантирует, что вы начнете обновление с контроллера домена, который по аппаратным средствам совместим с Windows Server 2003, и что сервер не будет иметь истории модификаций, которые могут предотвратить чистое обновление.

После окончания этого процесса и проверки на повреждения сети и службы каталога вы можете добавлять другие контроллеры домена, инсталлируя новые или модернизируя существующие BDC. Пока вы находитесь на смешанном функциональном уровне Windows 2000 или пока вы не поднимете его до временного (interim) уровня Windows Server 2003, вы сможете поддерживать контроллеры домена Windows Server 2003 и резервные контроллеры домена с системой Windows NT 4. Когда и как быстро вы будете модернизировать контроллеры BDC, зависит от вас.

Когда все контроллеры домена модернизированы до Windows Server 2003, можно поднять функциональные уровни домена и леса. Для получения дополнительной информации о функциональных уровнях смотрите раздел Представление о функциональных уровнях далее в этой главе.

Чтобы модернизировать контроллеры PDC, выполните следующие действия.

Вставьте компакт-диск с Windows Server 2003 в CD-ROM. Если ваш CD-ROM разрешает Autorun (Автоматическое выполнение), автоматически запустится программа Setup (Установка). Вы можете также запустить файл Setup.exe из корневой папки компакт-диска вручную.

При запуске программы Setup выберите опцию Install Windows Server 2003 (Установка Windows Server 2003).

После того как программа Setup соберет информацию о вашей текущей операционной системе, выберите опцию Upgrading To Windows Server 2003 (Обновление до Windows Server 2003).

Введите информацию, необходимую для завершения программы Setup.

Когда обновление системы до Windows Server 2003 закончится, компьютер будет перезагружен, после чего автоматически начнет работать мастер инсталляции Active Directory.

Выполните мастера инсталляции Active Directory в соответствии с вашим проектом Active Directory. После того как инсталляция закончится, ваш компьютер будет перезагружен, и обновление до Active Directory завершится.

Проверка обновления до Active Directory Для проверки установки службы Active Directory на модернизированном контроллере домена нужно выполнить несколько действий. Некоторые из этих действий имеют характер диагностических тестов, другие -функциональных. Давайте сначала рассмотрим функциональное тестирование.

Х Проверьте, что все учетные записи пользователей, групп и компьютеров перемещены в Active Directory. Для этого откройте инструмент Active Directory Users And Computers (Пользователи и компьютеры Active Directory) и просмотрите список объектов учетных записей. Возможно, вы не сможете проверить каждую, но обязательно следует выбрать несколько учетных записей Windows NT 4 и проверить, что они существуют на модернизированном контроллере домена.

Х Проверьте доверительные отношения с помощью инструмента Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory).

Х Проверьте системный журнал Event Viewer (Средство просмотра событий) в поисках каких-либо ошибок, которые могли произойти при запуске службы Active Directory.

Х Проверьте, можете ли вы создавать новых пользователей на контроллере домена Windows Server 2003. На модернизированном контроллере домена откройте инструмент Active Directory Users And Computers и создайте новую контрольную учетную запись пользователя.

Х Проверьте, могут ли пользователи входить в домен. С компьютера, находящегося в домене, попытайтесь войти в систему с модернизированной учетной записью пользователя. Для этой цели вы можете использовать живую учетную запись пользователя или перед обновлением создать контрольную учетную запись.

Х Проверьте репликацию на BDC контроллеры. После создания нового контрольного пользователя откройте User Manager For Domains на BDC с системой Windows NT 4 Server и проверьте, что пользователь реплицируется. Вы можете отсоединить контроллер домена Windows Server 2003 от сети и войти в сеть как контрольный пользователь, чтобы BDC с системой Windows NT 4 обработал запрос входа в систему.

Средства диагностики Active Directory расположены в комплекте Support Tools (Средства поддержки) на компакт-диске Windows Server 2003. Вы можете установить эти средства на обновленном контроллере домена с Windows Server 2003, выполняя файл Suptools.msi из папки \SUPPORT\TOOLS, расположенной на компакт-диске Windows Server 2003. Нужно выполнить следующие действия по диагностической проверке.

Чтобы проверить способность к взаимодействию и функциональность Active Directory, запустите инструмент Domain Controller Diagnostic (Диагностика контроллера домена) (в командной строке напечатайте dcdiag). В результате успешного испытания возвращается ряд сообщений passed (пройдено).

Дополнительная информация. Компонент Dcdiag инструмента Support Tool Windows Server 2003 анализирует состояние контроллеров домена в лесу и дает детальную информацию о том, как идентифицировать неправильное поведение в системе. Контроллеры домена идентифицируются и проверяются согласно директивам, которые пользователь вводит в командную строку. Для получения дополнительной информации об инструменте Dcdiag напечатайте dcdiag/? в командной строке.

Если это не первый домен Active Directory в лесу, напечатайте repadmin/showreps в командной строке, чтобы проверить успешность репликации между контроллерами домена Active Directory. В результате успешного испытания возвращается соответствующее сообщение о каждом событии репликации с входящими и исходящими партнерами по репликации.

Чтобы проверить успешность репликации на контроллеры BDC, напечатайте nltest/bdc_query:domainname, где domainname Ч имя реп-лицируемого домена. В результате успешного испытания возвращается сообщение status = success (статус = успех) для каждого BDC контроллера в домене.

После проверки обновления PDC вы можете модернизировать контроллеры BDC.

Обновление BDC контроллеров Возможно, что в модернизации BDC-контроллеров с системой Windows NT 4 нет никакой необходимости. С обновлением PDC вся информация домена обновится до Active Directory Windows Server 2003. После этого можно ввести дополнительные контроллеры домена с Windows Server 2003 для поддержки потребностей службы каталога домена, установив новые контроллеры домена с Windows Server 2003 или модернизируя существующие контроллеры BDC. Предпочтительно установить новые контроллеры домена с Windows Server 2003, потому что таким образом устраняется риск, связанный с обновлением BDC с неизвестной (или, что еще хуже, проблемной) историей. Новая инсталляция Windows Server 2003 на этих дополнительных контроллерах домена гарантирует, что компьютер будет находиться в чистом состоянии.

Когда выбирается модернизация BDC? Возможно, только в том случае, если имеются приложения, выполняющиеся на BDC, которые неудобно или невозможно повторно установить на новом контроллере домена.

Если вы решите, что необходимо провести обновление BDC, то этот процесс будет таким же, как обновление PDC. Сначала модернизируете NOS, а после перезапуска компьютера воспользуетесь мастером инсталляции Active Directory для установки Active Directory и назначения сервера на роль контроллера домена. Мастер инсталляции Active Directory можно и fie выполнять. В этом случае компьютер останется сервером-членом домена Windows Server 2003, а информация базы данных SAM на этом сервере будет потеряна. Ваш проект Active Directory предписывает потребное количество контроллеров домена, а в плане модернизации указано, какие из оставшихся контроллеров BDC должны быть назначены контроллерами домена после обновления, а какие Ч остаться серверами-членами домена.

Предотвращение перезагрузки контроллера домена Перегрузка контроллера домена по сценарию обновления домена происходит, когда у вас есть клиентские компьютеры с системами Windows 2000 Professional и/или Windows XP Professional в домене, основанном на системе Windows NT 4, и вы модернизируете PDC до Windows Server 2003.

Такая ситуация может привести к перегрузке единственного контроллера домена, имеющего Windows Server 2003. Это происходит потому, что компьютеры с системами Windows Professional и Windows XP Professional, присоединяющиеся к домену Active Directory, для выполнения любых действий, требующих контакта с контроллером домена, будут взаимодействовать только с контроллерами домена, на которых установлена система Windows 2000 Server или Windows Server 2003. Если у вас есть обновленные клиентские компьютеры или новые, на которых выполняются вышеупомянутые операционные системы, вы должны предпринять некоторые шаги для устранения риска, связанного с появлением единственной точки возможного отказа (модернизированный PDC).

Предотвратить перезагрузку контроллера домена можно, если быстро добавить в сеть контроллеры домена с Windows Server 2003. Если не предполагается немедленного обновления всех BDC с системой Windows NT 4 Server или добавления новых контроллеров домена с Windows Server 2003, можно изменить системный реестр на модернизированном PDC таким образом, чтобы контроллер домена Windows Server 2003 эмулировал поведение контроллера домена с системой Windows NT 4 для всех клиентов, на которых выполняются Windows 2000 Professional и Windows ХР Professional. Чтобы включить режим эмуляции Windows NT 4, выполните следующие действия на PDC с модернизированной системой Windows NT 4.

1. После того как компьютер был модернизирован от Windows NT 4 до Windows Server 2003, до начала установки Active Directory откройте редактор системного реестра (напечатайте regedit в диалоговом окне Run).

2. Создайте значение NT4EMULATOR в ключе системного реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Services\ Netlogon\Parameters.

3. Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение DWORD).

Замените имя New Value #1 именем NT 4Emulator и нажмите Enter.

4. В меню Edit щелкните на Modify(Изменить). В диалоговом окне Edit DWORD Value (Правка значения DWORD) напечатайте 1 в текстовом поле Value Data (Данные), а затем щелкните на ОК.

5. Сохраните изменения и закройте редактор системного реестра.

6. Запустите мастер инсталляции Active Directory, напечатав dcpromo в диалоговом окне Run.

Повторите этот процесс на каждом из недавно установленных контроллеров домена с Windows Server 2003 или на каждом контроллере домена с модернизированной системой Windows NT 4, пока не будет введено достаточное количество контроллеров домена с Windows Server 2003, чтобы возможность перегрузки была устранена.

Имейте в виду, что это временное решение временной проблемы. После того как все запланированные контроллеры домена с Windows NT 4 будут модернизированы до Windows Server 2003, вы должны или установить значение NT 4Emulator на 0x0, или удалить ключ системного реестра для каждого из модифицированных компьютеров.

Практический опыт. Нейтрализация эмуляции NT Для некоторых компьютеров нужно будет изменить системный реестр так, чтобы они игнорировали установку NT 4EMULATOR. Это компьютеры с Windows Server 2003 или Windows 2000, которые будут назначены контроллерами домена, и компьютеры с Windows 2000 Professional или Windows XP Professional, которые будут использоваться для управления доменом Active Directory. Имеется способ дать им возможность входить в контакт с контроллерами домена Windows Server 2003 как обычно.

Чтобы нейтрализовать установку NT 4EMULATOR, выполните следующие действия.

Запустите редактор системного реестра (напечатайте regedit в диалоговом окне Run).

Создайте значение NeutralizeNT4Emulator в ключе HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\ Netlogon\Parameters.

Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение DWORD). Замените имя New Value #1 именем NeutralizeNT4Emulator и нажмите Enter.

В меню Edit (Правка) щелкните на Modify (Изменить). В диалоговом окне Edit DWORD Value (Правка значения DWORD) напечатайте 1 в текстовом поле Value Data (Данные), а затем щелкните на ОК.

После того как все BDC с Windows NT 4 будут установлены или модернизированы до Windows Server 2003, обновление можно считать почти законченным. Заключительный шаг состоит в поднятии функционального уровня домена и леса с уровня mixed Windows 2000 (значение по умолчанию) к уровню Windows Server 2003.

Подъем функционального уровня После того как вы модернизировали все контроллеры домена до Windows Server 2003, нужно поднять функциональные уровни домена и леса, чтобы ощутить преимущества от обновления сетевой операционной системы. Информацию о функциональных уровнях смотрите в разделе Представление о функциональных уровнях далее в этой главе.

Чтобы поднять функциональный уровень домена, выполните следующие шаги на контроллере домена в модернизированном домене.

1. Откройте инструмент Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory).

2. В дереве консоли щелкните правой кнопкой мыши на домене, функциональность которого вы хотите поднять, а затем щелкните на Raise Domain Functional Level (Поднять функциональный уровень домена).

3. В пункте Select An Available Domain Functional Level (Выберите доступный функциональный уровень домена) выберите один из вариантов:

Х чтобы поднять функциональный уровень домена до уровня Windows 2000 native (естественный), щелкните на Windows 2000 Native, а затем щелкните на Raise (Поднять);

Х чтобы поднять функциональный уровень домена до уровня Windows Server 2003, выберите Windows Server 2003, а затем щелкните на Raise.

После того как вы подняли функциональный уровень домена (по крайней мере, до естественного (native) уровня Windows 2000), вы можете поднять функциональный уровень леса до Windows Server 2003. Это обеспечит функционирование службы Active Directory по всему лесу. Чтобы поднять функциональный уровень леса, выполните следующие действия.

Откройте инструмент Active Directory Domains And Trusts.

В дереве консоли щелкните правой кнопкой мыши на узле Active Directory Domains And Trusts, а затем щелкните на Raise Forest Functional Level (Поднять функциональный уровень домена).

В пункте Select An Available Domain Functional Level (Выберите доступный функциональный уровень домена) выберите 2003 Windows Server, затем щелкните на Raise (Поднять).

Предостережение. Процедура поднятия функционального уровня домена или леса является необратимой. Для восстановления более низкого уровня вы должны будете деинсталлировать Active Directory (при этом после деинсталляции службы на последнем контроллере домена домен будет удален), а затем повторно установить службу каталога.

Представление о функциональных уровнях Функциональные уровни используются в Windows Server 2003, чтобы задействовать соответствующий набор функций Active Directory для тех контроллеров домена, которые могут их поддерживать. Уровень функциональности, который вы выберете для вашего предприятия, диктуется версией операционной системы Windows, выполняющейся на контроллерах домена.

Функциональные уровни могут быть установлены и для домена, и для леса. Когда уровень леса установлен на функциональный уровень Windows Server 2003, все функции Active Directory доступны.

Концепция функциональных уровней подобна параметрам настройки смешанного и естественного режима, которые были представлены в Windows Server 2000. Эти понятия были расширены в Windows Server 2003, чтобы вместить дополнительные функции Active Directory. Функциональные уровни используются для того, чтобы обеспечить обратную совместимость с контроллерами доменов низкого уровня.

Имеются четыре функциональных уровня домена: Windows 2000 mixed (смешанный) (значение по умолчанию), Windows 2000 native (естественный), Windows Server 2003 interim (временный) и Windows Server 2003. Когда вы модернизируете все контроллеры домена низкого уровня, имеющиеся в домене, до Windows Server 2003, вы должны поднять функциональный уровень этого домена до уровня Windows Server 2003. Подъем функционального уровня домена от смешанного Windows 2000 к естественному Windows 2000 или к Windows Server 2003 задействует такие функции, как SID-History, Universal Groups (Универсальные группы) и вложенные группы.

Имеются три функциональных уровня леса: Windows 2000, Windows Server 2003 interim и Windows Server 2003. Чтобы задействовать все функции Active Directory после того, как все домены леса будут работать на функциональном уровне native Windows 2000 или выше, нужно поднять функциональный уровень леса до уровня Windows Server 2003.

Предостережение. Не поднимайте функциональный уровень леса до уровня Windows Server 2003, если у вас есть контроллеры домена, на которых выполняется система Windows NT 4 Server или Windows 2000 Server. Как только функциональный уровень леса будет поднят до уровня Windows Server 2003, его нельзя вернуть назад на уровень mixed или native Windows 2000, и вы не сможете поддерживать контроллеры домена низкого уровня вашего леса.

Обновление Windows 2000 Server Процесс обновления домена с Active Directory Windows 2000 Server до Active Directory Windows Server 2003 более прост по сравнению с обновлением домена Windows NT 4. Сети, основанные на системе Windows 2000, уже используют Active Directory в качестве службы каталога, поэтому этот переход больше похож на сценарий чистого обновления, чем на модернизацию. В модернизации системы Windows 2000 имеется несколько специфических шагов, о которых вы должны знать перед началом обновления.

Вы должны подготовить домен с Active Directory Windows 2000 и лес для обновления до Active Directory Windows Server 2003. Эти процессы обновят структуры существующих доменов и леса, чтобы они были совместимы с новыми функциями Active Directory.

Наилучшая практика Перед подготовкой домена (и леса, в котором он расположен) вы должны применить комплект обновления Windows 2000 Server Service Pack 2 (SP2), или более поздний, ко всем контроллерам домена, на которых выполняется Windows 2000 Server. Вы можете загрузить комплекты обновлений для Windows 2000 Server с веб-сайта Microsoft по адресу windows2000/downloads /servicepacks/default, asp.

Подготовка леса Чтобы подготовить лес Active Directory для обновления, используйте инструмент администрирования Adprep.exe, чтобы сделать необходимые изменения к схеме Active Directory.

Помните, что этот процесс нужно выполнить прежде, чем будет начато обновление до Windows Server 2003.

Чтобы подготовить лес к обновлению первого контроллера домена с Windows 2000 Server до Windows Server 2003, выполните следующие действия.

Найдите сервер, который является хозяином схемы. Для этого откройте оснастку Active Directory Schema Microsoft Management Console (Консоль управления схемой), щелкните правой кнопкой мыши на узле Active Directory Schema (Схема Active Directory), а затем щелкните на Operations Master (Хозяин операций). В диалоговом окне Change Schema Master (Изменение хозяина схемы) найдите имя текущего хозяина схемы.

Сделайте резервную копию хозяина схемы. Возможно, вам потребуется восстановить этот образ, если подготовка леса не будет успешной.

Отсоедините хозяина схемы от сети. Не восстанавливайте подключение до шага 8 в этой процедуре.

Вставьте компакт-диск Windows Server 2003 в дисковод CD-ROM.

Откройте командную строку, перейдите на дисковод CD-ROM и откройте папку \I386.

Напечатайте adprep/forestprep. Вы должны быть членом групп Enterprise Admins (Администраторы предприятия) и Schema Admins (Администраторы схемы) в Active Directory, или вам должны быть делегированы соответствующие полномочия.

Чтобы проверить выполнение команды, откройте Event Viewer (Средство просмотра событий) и проверьте системный журнал на предмет ошибок или неожиданных событий. Если вы найдете сообщения об ошибках, связанные с процессом подготовки леса, займитесь этими ошибками, прежде чем выполнять следующий шаг. Если вы не можете расследовать ошибки, используйте инструмент диагностики Active Directory (напечатав dcdiag в диалоговом окне Run), чтобы проверить функциональность контроллера домена. Если вы не можете разобраться с этими ошибками, восстановите хозяина схемы из резервной копии, исследуйте скорректированные действия и добейтесь, чтобы подготовка леса была закончена успешно.

Если инструмент adprep/forestprep выполнился без ошибок, повторно подключите хозяина схемы к сети.

На этом завершится подготовка леса к обновлению домена с Windows 2000 Server до Windows Server 2003. Следующий шаг состоит в подготовке домена.

Совет. Перед началом подготовки домена подождите, пока изменения, сделанные в хозяине схемы, будут реплицированы хозяину инфраструктуры. Помните, что если серверы находятся в различных сайтах, вы должны ждать дольше, чтобы завершить репликацию. Если вы попробуете выполнить процесс подготов- ки домена, прежде чем изменения будет реплицированы, сообщение об ошибках уведомит вам, что необходимо еще подождать.

Подготовка домена Подготовка домена очень похожа на подготовку леса. Для этого нужно найти и подготовить держателя роли хозяина инфраструктуры вместо хозяина схемы.

Чтобы подготовить каждый домен для обновления первого контроллера домена с Windows Server до Windows Server 2003, выполните следующие действия.

Найдите сервер, который является хозяином инфраструктуры. Для этого откройте инструмент администрирования Active Directory Users And Computers, щелкните правой кнопкой мыши на узле домена, а затем щелкните на Operations Masters (Хозяева операций). На вкладке Infrastructure (Инфраструктура) окна Operations Masters узнайте имя текущего хозяина инфраструктуры.

На сервере, функционирующем как хозяин инфраструктуры, вставьте компакт-диск Windows Server 2003 в дисковод CD-ROM.

Откройте командную строку, перейдите на дисковод CD-ROM и откройте папку \I386.

Напечатайте adprep/domainprep. Вы должны быть членом групп Domain Admins (Администраторы домена) или Enterprise Admins (Администраторы предприятия) в Active Directory, или вам должны быть делегированы соответствующие полномочия.

Для проверки выполнения команды откройте Event Viewer (Средство просмотра событий) и поищите ошибки или неожиданные события в системном журнале. Если инструмент adprep/domainprep выполнился без ошибок, значит, вы успешно подготовили домен к обновлению с Windows 2000 Server до Windows Server 2003.

Повторим еще раз, что вы должны подождать до тех пор, пока изменения, сделанные на хозяине инфраструктуры, не будут реплицированы на другие контроллеры домена леса перед обновлением любого из контроллеров домена. Если вы начнете модернизировать один из контроллеров домена прежде, чем изменения будут реплицированы, сообщение об ошибках уведомит вас, что необходимо подождать.

Теперь, когда домен и лес подготовлены для обновления до Active Directory Windows Server 2003, вы можете начинать.

Обновление контроллеров домена В отличие от контроллеров домена с системой Windows NT 4 все контроллеры домена в сети, на которых выполняется Windows 2000, являются в некотором смысле PDC контроллерами. Они одинаково способны писать в базу данных Active Directory, подтверждать подлинность пользователей и отвечать на запросы. За исключением держателей ро- лей хозяев операций все контроллеры домена равны. Это означает, что не имеет значения, какой контроллер домена вы будете модернизировать первым.

Процесс обновления Windows 2000 такой же, как для обновления Windows NT 4 до Windows Server 2003. Он состоит из двух шагов: модернизация NOS до Windows Server 2003 и выполнение мастера инсталляции Active Directory.

Реструктурирование домена Путь реструктуризации домена наиболее часто выбирается организациями, которые нуждаются в изменении структуры своей службы Active Directory. Чтобы выполнить реструктуризацию домена, вы сначала должны создать нужную структуру леса и домена, а затем переместить существующие объекты Active Directory в эту новую структуру. Эта новая структура называется также чистым лесом.

Примечание. Путь реструктуризации домена известен также как модернизация между лесами (перемещение от одного леса Active Directory к другому). В этом случае главным является перемещение с домена Windows NT 4 к Windows Server 2003, которое рассматривается как процесс перехода между лесами. Реструктуризация Active Directory Windows 2000 до Active Directory Windows Server 2003 в этой главе рассматривается как перемещение в пределах леса и обсуждается в разделе Обновление с последующей реструктуризацией.

Работа по перемещению объектов Active Directory (которые включают учетные записи пользователей, групп и компьютеров, учетные записи доверительных отношений и служб) облегчена за счет использования инструментов модернизации домена. Имеется множество средств для выполнения этой задачи Ч и от компании Microsoft, и от сторонних производителей. Ниже приводится список средств, имеющихся в настоящее время (или в ближайшей перспективе) у их изготовителей. Убедитесь, что вы выбрали версию инструмента, которая поддерживает переход к доменам Active Directory в Windows Server 2003. Включите в ваше планирование модернизации домена задачу повторного исследования доступных инструментов перехода и определения наиболее подходящего.

Active Directory Migration Tool (Инструмент модернизации Active Directory) (ADMT). Он находится на компакт-диске Windows Server 2003 папке в \I386\ADMT. Дважды щелкните на файле Admigration.msi для его установки.

Оценочная версия инструмента bv-Admin для модернизации Windows 2000 и Windows Server 2003 от корпорации BindView ( можно взять на веб-сайте продуктов компании.

Испытательная версия программы Domain Migration Administrator (Администратор модернизации домена) (DMA) от компании NetlQ ( доступна для загрузки на веб-сайте продуктов компании.

Испытательная версия программы Domain Migration Wizard (Мастер модернизации домена) (DMW) от компании Aelita Software ( www.aelita.com/products/DMW.htm) доступна для загрузки на вебсайте продуктов компании.

Оставшаяся часть этого раздела будет посвящена концептуальным аспектам процесса модернизации, а не деталям специфических инструментов. В случае необходимости процесс будет описан в контексте инструмента модернизации Active Directory ADMT от Microsoft.

Прежде чем вдаваться в детали модернизации объектов, скажем несколько слов об организации этого раздела. Следующие далее задачи разбиты на категории: реструктуризация доменов учетных записей и доменов ресурсов. Эта несколько искусственная организация отражает существующую доменную структуру сети, основанную на Windows NT 4, в которой предметная область состоит из доменов учетных записей (они содержат учетные записи пользователей и глобальных групп) и доменов ресурсов (они содержат учетные записи компьютеров, ресурсов и локальные группы, которые используются для управления доступом к этим ресурсам). На рисунке 7-2 показана организационная модель домена учетных записей и домена ресурсов.

Что делать, если вы не имеете доменов учетных записей и ресурсов в предметной области вашей среды Windows NT 4? Тогда рассмотрите только содержимое, имеющее отношение к объектам каталога, которые вы должны перенести. Это полезно только для обсуждения порядка перемещения объектов и выполнения процесса модернизации.

Создание чистого леса Чистый лес включает целевой домен Windows Server 2003, в который вы будете перемещать учетные записи системы Windows NT 4, т.е. ваш пункт Б. При реструктуризации домена вы имеете возможность создать оптимальную среду домена для вашей организации. Будем надеяться, что это произойдет в конце длинного и вдумчивого процесса проектирования Active Directory, и все компоненты вашей структуры Active Directory будут ясно определены в документе, описывающем ваш проект. Для получения дополнительной информации о процессе проектирования см. гл. 5.

Рис. 7-2. Организационная модель домена учетных записей и домена ресурсов в системе Windows NT Совет. При установке Active Directory в чистый лес в окне Permissions (Разрешения) мастера инсталляции Active Directory выберите опцию Permissions Compatible With Pre-Windows Server Operating Systems (Разрешения, совместимые с операционными системами, предшествующими Windows 2000). Эта установка позволяет анонимным учетным записям пользователя обращаться к информации домена и требуется для клонирования участников безопасности. Чтобы получить доступ к этой опции, вы должны выбрать опцию Custom configuration (Выборочная конфигурация) в окне Custom Options (Выборочные опции) мастера конфигурирования сервера.

После того как вы реализуете структуру своего целевого домена, нужно выполнить несколько действий для подготовки к перемещению учетных записей.

Подъем функционального уровня Чтобы выполнить реструктуризацию домена, целевой домен с Windows Server 2003 должен работать на функциональном уровне native Windows 2000 или Windows Server 2003. Заданный по умолчанию функциональный уровень домен для новой реализации Windows Server 2003 Ч mixed Windows 2000. Если ваш целевой домен будет включать контроллеры домена с Windows Server и Windows Server 2003, то вы должны поднять функциональный уровень до уровня native Windows 2000. Если ваш новый домен будет включать только контроллеры домена Windows Server 2003, вы должны выбрать функциональный уровень Windows Server 2003. Имейте в виду, что подъем функционального уровня домена является необратимым процессом, вы не можете понизить его до предыдущего состояния.

Создание учетной записи модернизации Первая учетная запись пользователя, которую вы захотите создать в вашем чистом лесу, будет запись, необходимая для выполнения перемещения. Создавая специальную учетную запись пользователя, вы можете гарантировать, что она будет удовлетворять всем требованиям защиты, необходимой для выполнения задач, связанных с реструктуризацией домена. Кроме того, вы поупражняетесь в наилучшей защитной практике Ч не входить в систему с использованием учетной записи Administrator (Администратор). Например, вы можете создать новую учетную запись пользователя (типа Migrator) или несколько учетных записей (Migrator 1, Migrator2 и т.д.), если вы планируете иметь несколько доверенных администраторов, выполняющих перемещение.

Таким образом, вы сможете проследить события, выполненные каждым владельцем учетной записи, и избежать наличия общедоступной учетной записи с административными привилегиями.

Учетные записи, использующиеся для модернизации учетных записей пользователей, групп и служб, должна быть членами группы Domain Admins (Администраторы домена) в целевом домене, если вы используете SID-History для сохранения доступа к ресурсам. Учетная запись должна быть также членом группы Administrators (Администраторы) в исходных доменах Windows NT 4.

Создание доверительных отношений Поскольку процесс перехода требует предоставления административных разрешений для учетных записей из различных доменов, необходимо создать несколько доверительных отношений, чтобы иметь возможность перенести учетные записи исходного домена в целевой домен. В целевом домене Windows Server 2003 и в исходном домене Windows NT 4 создайте односторонние доверительные отношения от каждого из исходных доменов (тот, кто доверяет) к целевому домену (тот, кому доверяют).

После этого проверьте их, используя инструмент администрирования Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory) в Windows Server 2003 и инструмент администрирования Server Manager (Менеджер серверов) в системе Windows NT Server.

Изменение системного реестра При создании безопасного канала связи между исходными и целевыми контроллерами домена на исходном контроллере домена Windows NT 4 должен быть модифицирован системный реестр.

Если этого не сделать перед установкой ADMT, то инструмент выполнит изменения при первом использовании. После того как ADMT сделает изменения системного реестра, необходимо будет перезагрузить PDC.

Установка этого значения разрешает удаленные вызовы процедуры (RPC) по протоколу TCP, нисколько не уменьшая защиту системы Windows NT 4. На исходном PDC откройте системный реестр и создайте следующий ключ:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\Lsa.

Создайте значение TcpijpClientSupport, установив DWORD, равный 1.

Наилучшая практика. Если вы планируете переместить пароли учетных записей пользователя одновременно с самими учетными записями (в противоположность тому, чтобы прекратить срок действия пользовательских паролей в Windows NT 4 и заставить пользователей создавать новые пароли при первом входе в систему домена с сервером Windows Server 2003), то вам сТпять потребуется редактировать системный реестр. Чтобы поддержать перемещение паролей, на исходном PDC отредактируйте (или создайте, если он еще не существует) следующий ключ системного реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa.

Для значения AllowPasswordExport установите DWORD, равный 1. Для получения дополнительной информации о переносе паролей смотрите справку инструмента ADMT.

Установка Active Directory Migration Tool Инструмент администрирования Active Directory Migration Tool (Инструмент перемещения Active Directory) создан компанией Microsoft с целью модернизации объектов службы каталога. ADMT может выполнять модернизацию между лесами и внутри леса. Перемещение с системы Windows NT 4 на Windows Server 2003 Ч это пример модернизации между лесами. Инструмент ADMT обеспечивает графический интерфейс пользователя (GUI) и интерфейс создания сценария, он может выполняться на целевых контроллерах домена в системе Windows 2000 и Windows Server 2003.

Инструмент ADMT версии 2.0, имеющийся на компакт-диске Windows Server 2003, поддерживает следующие задачи, необходимые для модернизации домена:

Х перемещение учетных записей пользователей;

Х перемещение учетных записей групп;

Х перемещение учетных записей компьютеров;

Х перемещение учетных записей служб;

Х перемещение доверительных отношений;

Х перемещение каталога Exchange;

Х перевод защиты на мигрированные учетные записи компьютеров;

Х сообщения о просмотре результатов модернизации;

Х функциональные возможности отмены последнего перемещение и повтор последнего перемещения.

Одно из преимуществ ADMT по сравнению с другими инструментами состоит в том, что это средство включено в продукт Windows Server 2003. Инсталляционная папка расположена на компакт-диске Windows Server 2003 в папке \I386\ADMT.

Дополнительная информация. Вместе с инсталляционными файлами ADMT папка ADMT на компакт-диске Windows Server 2003 содержит документ Readme.doc, в котором хранится важная информация, касающаяся ADMT. Обязательно прочтите этот документ перед установкой инструмента ADMT или его использованием. Наиболее свежую версию этого документа смотрите на веб-сайте Windows 2000 Active Directory Migration Tool по адресу:

tools/admt/default.asp. С этого сайта можно также загрузить сам инструмент ADMT. Убедитесь, что он совпадает или является более новым, чем версия, имеющаяся на компакт-диске Windows Server 2003.

Чтобы установить инструмент ADMT на целевом контроллере домена, выполните следующие действия.

1. Откройте папку \I386\ADMT на компакт-диске Windows Server 2003.

Pages:     | 1 |   ...   | 2 | 3 | 4 | 5 | 6 |   ...   | 8 |    Книги, научные публикации