Книги, научные публикации
Pages: | 1 | ... | 5 | 6 | 7 | Л Федор Зубанов Active Directory подход профессионала Издание исправленное Москва 2003 УДК 004 ББК 32.973.81-018.2 391 Ф. В. ...
-- [ Страница 7 ] --Getting records Writing summary into log file Records scanned: Processing Результаты анализа можно найти в файле dsdit.dmp.xx, где хх Ч по рядковый номер. Ниже приведен пример результатов анализа. Этот анализ выполнялся на контроллере домена mycorp.ru, который был также и сервером Помимо него, имелся дочерний домен msk.
INFO: UpToDate vector found for NC INFO: UpToDate vector found for NC head 1163{Configuratlon) WARNING: Deleted 1175 has later than now WARNING: Deleted object 1177 has later than now INFO: UpToDate vector found for NC head 1179(Schema) Данные строки указывают на то, что обнаружен вектор обновленно сти для контекстов схемы и конфигурации.
Warning Warning for Warning for Warning for Warning AC for Warning for Admins) Active подход Warning for 1422(Enterprise Admins) Warning Admins) Подтверждено непустых списков контроля доступа к основным учетным записям домена INFO: vector found NC INFO: Partial Attributes List found for NC head WARNING: Deleted object 2652 has later than Обнаружен ГК и в нем Ч контекст Warning for Warning for Warning for Warning for Warning for Admins) Warning for Warning for Warning for существование непустых списков контроля доступа к основным учетным записям домена msk.mycorp.ru в ГК.
2678 total records walked.
Summary:
Active Objects Phantoms Deleted Информация достаточно исчерпывающая, но повторюсь: в повседнев ной практике от нее мало толку. В основном применение этих функ ций имеет смысл при восстановлении базы Active Directory не с по мощью резервной копии.
Ремонт базы Данную операцию я чтобы указать на отличие от процессов описанных ранее. Пойти на ремонт мож но только в крайнем случае, когда у вас нет возможности восстано вить базу из резервной копии или путем репликации.
Ремонт также выполняется с помощью утилиты Но это не гарантирует, что база останется работоспособной. Это последняя надежда, когда терять больше нечего.
Для выполнения ремонта надо войти в режим File maintanance и выб рать repair. Процесс ремонта может но в любом случае надо дождаться его завершения. А затем надо обязательно вы полнить проверку и семантический анализ.
и устранение Перенос базы Active Directory Когда в главе Active мы обсуждали конфигури контроллеров я подчеркивал, что файлы базы и жур налов транзакций в нагруженных контроллерах нужно разнести на разные физические диски. Жизнь показывает, что не все верят этому верят, но не имеют возможности так поступить при разверты вании Active Directory. Когда же осознается необходимость разнесе ния этих файлов или такая требуется исполь зовать При этом:
уточните, на каких дисках в настоящее время фай лы базы и журналов;
Х перенесите файл базы/файлы журналов на новый (желательно от казоустойчивый) Выяснение местоположения файлов Для выяснения текущего файлов Active Directory и журналов транзакций надо запустить войти в режим File и выбрать команду Info.
Замечание Данная команда выполняется только в режиме восста новления Directory.
При этом проверяется свободное место на диске и сообщаются теку щие размеры файлов:
file maintenance: info Drive Information:
C:\ NTFS (Fixed Drive ) Mb) Gb) DS Path Information:
Database :
- 10.1 Mb Backup dir :
Log :
- 40.1 Mb total res2.log - 10.0 Mb res1.log - 10.0 Hb - 0.0 Kb - 16.0 Kb edb00001.log - 10.0 Mb - 10.0 Mb Перенос файлов базы Файлы базы нельзя перенести простым Дело в том, что система должна как-то узнать, куда файлы перенесены. Поэтому пе ренос может осуществить одним из двух 454 Active + Файлы базы копируются на новый диск. В режиме File выберите команду Set path DB 96s. указав в ней новый путь к базе.
Я бы рекомендовал этот способ при добавлении новых жестких дисков. При этом сами никуда не перемещаются, а вот присвоенная может измениться.
Х Второй способ удобнее именно при физическом переносе на другой диск. В режиме выберите команду Move DB to в нее путь к каталогу с базой. Программа сама ско пирует файлы в положение и обновит свою информацию.
В любом случае после переноса файлов надо произвести мягкое вос журналов либо просто перезагрузить контроллер. Восста новление будет выполнено автоматически при загрузке компьютера, Внимание Мягкое восстановление журналов занимает длительное время после переноса файла базы на другой диск. Так, для базы раз мером всего 10 Мб оно может выполняться 15-20 минут на машине с процессором и объемом памяти Мб.
Перенос файлов журналов Как перенос файлов базы нельзя выполнить простым копированием так и для переноса нужна Это связано с тем, что система должна как-то узнать, куда файлы перенесены. Перенес ти журналы можно одним из двух способов.
Файлы журналов копируются на диск. В режиме File main выберите команду Set path в ней новый путь к журналам.
Перенося журналы на другой диск, в режиме File вы берите команду Move logs to 96s, указав в ней путь к каталогу с жур налами. Программа сама скопирует файлы в и обно вит свою информацию.
После переноса выполните мягкое восстановление журналов либо просто перезагрузите контроллер. будет выполнено автоматически во время загрузки компьютера.
Если надо переустановить домен в лесу Не часто, но случается, что в дереве доменов появляется полностью домен. Причин тут может быть желание администратора постоянно экспериментировать с рабочей системой. Как бы там ни приходит день, когда в пере стают устанавливаться приложения, те, что работают, начинают сбо ить, а пользователи чаще и чаще сталкиваются с проблемами регист рации и входа в домен. Несомненно, опытный администратор может Поиск и устранение поведение системы и нормальное функционирование. Вот только времени на это уйдет гораздо боль ше, чем того заслуживает такая система. Поэтому можно предложить альтернативный способ решения проблемы Ч обновление домена.
Он применим только к тем доменам, которые не либо дочерние домены являются небольшими ресурсными доменами и могут быть расформированы с переносом ресурсов в другие доме ны в дереве.
Для обновления домена все учетные записи групп и пользователей нужно перенести во временный домен, затем существующий домен уничтожить и воссоздать. Проверив корректную работу домена, сохраненные учетные записи нужно возвратить назад.
Постановка задачи Рассмотрим обновление на примере. Допустим, лес состоит из трех доменов. К корневому домену mycorp.ru подключены дочерние:
test.mycorp.ru и msk.mycorp.ru. Проблемным является домен test.
test.mycorp.ru msk.mycorp.ru Начальная топология леса В корневом домене нет учетных записей пользователей и ресурсов, Все пользователи находятся в доменах и В обоих серве 456 Directory: подход Ч члены домена, где размещены файлы и принтеры. Доступ поль зователей к ресурсам регулируется через членство в локальных и гло бальных группах. В домене test есть иерархия к некоторым из них применяется групповая политика.
К обновлению следующие условия:
после текущая конфигурация должна быть сохранена;
Х пользователи домена msk не должны испытать неудобств при об новлении домена test;
Х пользователи домена test должны сохранить свои права доступа к ресурсам домена и свою групповую политику.
Общая последовательность действий Начать надо с резервного копирования одного из контроллеров того домена, обновление которого планируется, т. е. test. Нужно сделать копию состояния системы и системного диска одного из контролле ров домена. Лучше выбрать мастер операций в домене и ГК. Далее надо принять ключевые определяющие ход обновления.
Определение правил переноса Так как обновление начинается с переноса объектов из одного доме на в другой, определимся с его порядком.
1. Какой домен выбрать в качестве временного: корневой или дополнительный?
Можно рассмотреть и третий случай Ч задействовать в качестве временного пристанища домен msk, но пользователи не должны испытывать неудобств при обновлении домена test.
При корневого домена дополнительное оборудо вание не требуется. Во втором случае нужно задействовать допол нительный контроллер домена. Для понимания сути не важно, какой домен Ч будем считать, что у нас нет лишних ком пьютеров и использование корневого домена в качестве времен ного Ч единственно возможный вариант, В дальнейшем будем называть его доменом-приемником.
Теперь выполним резервное копирование всех контроллеров в этом домене. Необходимо сохранять состояние системы.
2. Когда выполнять обновление? Лучше всего в выходные: пользова телей в домене test будет минимум. Кроме того, это позволит из бежать проблемы открытых, а значит, неперемещаемых файлов.
Какие ОП переносить? Для них надо создать такие же в домене приемнике. Удобнее создать новую структуру внутри специально выделенного ОП, например Temp Migration.
Поиск и устранение 4. Какие группы перенести? переносятся встроенные группы, рас положенные в контейнере Users. Если в этом контейнере есть груп пы, отличные от встроенных, удобно их переносить в ОП Temp в домене-приемнике.
5. Каких пользователей перенести? Не переносятся встроенные учет ные записи (Administrator, Guest). Если в контейнере Users есть поль зователи, они переносятся отдельно от своего контейнера. Удобно их переносить в ОП Temp в домене-приемнике.
6. Какие учетные записи служб, выполняемых не от имени локаль ной системы, перенести? Если они располагались в отдельном кон тейнере, надо создать такой же контейнер в домене-приемнике, если же в Users Ч они переносятся в контейнер Temp Migration\Users.
Последовательность действий с первого Следующий шаг Ч документирование текущей конфигурации обнов ляемого домена. Иерархию ОП нужно сохранить. Желательно напи сать сценарий для воссоздания такой же иерархии.
Если использовались групповые правила и их надо перенести в об новленный домен, то соответствующие ОГП должны быть примене ны к ОП в домене-приемнике.
Замечание К переносу групповых правил надо подходить с боль шой осторожностью, так как возможно, что именно они явились од ной из причин некорректной работы домена.
Дальнейшая последовательность действий в общих чертах такова.
Перенос серверов-членов домена в домен-приемник. Если на кон троллерах домена размещались файловые и принтерные ресурсы, их надо перенести в Перенос должна выполнять программа, сохраняющая права например /х. До ступ пользователей к этим ресурсам временно будет потерян.
2. Перенос учетных записей служб в соответствующий контейнер в домене-приемнике.
Перенос локальных и глобальных групп домена. Удобно совмес тить эту операцию с переносом учетных записей пользователей, входящих в эти группы.
4. Перенос не входящих в уже перенесенные группы, и перенос их блуждающих профилей.
5. Понижение статуса всех контроллеров в обновляемом домене до статуса серверов. С этого момента пользователи не зареги стрироваться в домене test под прежними именами и паролями.
Active Directory: подход профессионала б. Переустановка ОС на бывших контроллерах домена. Проверка правильности работы системы.
mycorp.ru Перенос объектов test.mycorp.ru msk.mycorp.ru Все переносятся в msk.mycorp.ru Домен прекращает свое существование Поиск и устранение проблем 7. Повышение статуса одного из серверов до контроллера домена Воссоздание в нем структуры ОП. Обратный пере нос файловых и принтерных ранее перенесенных в кор невой домен. Назначение воссозданным ОП.
8. Обратный перенос учетных записей служб из корневого домена по завершении репликации.
9. Перенос назад локальных и глобальных групп.
10. Перенос назад не входящих в группы.
Резервное копирование воссозданного контроллера после ки работоспособности репликации и правильности доступа к ресурсам и отработки профилей.
mycorp.ru Перенос объектов test.mycorp.ru msk.mycorp.ru После установки первого в все перенесенное возвращается назад 12. Переустановка второго контроллера домена.
Перенос пользователей и групп в деталях Из перечисленных выше операций детального описания требует пе ренос групп и Удобнее всего его с помо щью Active Directory Migration Tool Active Directory: подход распространяемая свободно на помимо миграции пользователей и переносить компьютеры, параметры безопасности, отношения, учетные запи си служб, а также готовить отчеты о выполненных операциях.
Замечание При переносе домен-приемник должен работать в ес тественном режиме.
Перенос может в двух режимах: тестовом и рабочем.
Рекомендуется предварительно выполнить тестовый перенос, а потом, если ошибок нет, Ч рабочий.
ADMT содержит набор программ-мастеров. Для переноса групп слу жит мастер переноса переносимые ло кальные и глобальные группы домене-источнике. Затем в контейнер (к этому моменту он должен существовать) н доме не-приемнике их поместить.
Укажите свойства переноса. Так как нам важно сохранить права до ступа к обновляемого домена, надо выполнить перенос групп с сохранением атрибута SID history. С этой целью в окне мастера отметим флажок Update User rights.
С другой стороны, нужно сохранить членство в группах. Поэтому отметим флажок Copy group membership. При этом переносятся не только указанные, но и все группы и учетные записи пользователей Ч члены переносимых групп. Так мы убиваем двух зайцев: переносим и группы, и Например, если в локальную группу входит глобальная а в нее Ч ряд пользователей, то при перено се групп перенесены пользователи из группы GG1.
Переносимые можно переименовать, добавив к именам пре фикс или суффикс. при переносе группы Password resetters ее имя можно в Resetters. Это актуально, если:
группы переносятся в общий контейнер с другими группами в до мене-приемнике, перенос выполняется т. е. не ставится задача возвраще ния групп в исходный домен после его обновления.
Поскольку выбран перенос групп в контейнеры на вре мя, переименовывать группы нет смысла, Поэтому соответствующий переключатель остается в том же что и на рисунке.
Если бы в домене-приемнике имелись учетные записи и группы, надо было бы позаботиться об уникальности переносимых имен. В нашем случае в этом нет нужды, но когда есть вероятность обнаружения одноименных групп, можно определить предписывающее Поиск и устранение проблем добавлять к именам префикс или суффикс при обнаружении в доме не-приемнике переносимой группы.
Если такой способ разрешения конфликта не можно выб рать один из следующих.
При обнаружении конфликтных имен перенос таких групп не вы полняется. Это самый безопасный вариант, однако впоследствии вы должны проверить, какие группы перенесены, а какие нет, ftitouiit can the a Управление параметрами переноса групп A a account name а Та an ' ' Разрешение конфликтов именования групп Active профессионала Перенос сопровождается замещением одноименных групп доме не-приемнике. При этом можно лишать прав пользователей в груп пах и исключать членов групп. Как это жест кий вариант, который не оставляет группам в домене-приемнике шансов на выживание.
В нашем примере наиболее удачным является переименования.
После определения начальных начинается процесс пере носа. Чтобы понять, не было ли достаточно взглянуть на финальное окно мастера с кратким отчетом о проделанной А вот если ошибки были, то, чтобы в чем они заключались, надо открыть файл Взгляните на пример такого файла. Сна чала сообщается, что именно должно быть сделано. В нашем приме ре из домена Test в домен Мусогр переносятся две глобальные груп пы GG01 и две локальные Ч LG01 и а также включенные в них учетные записи пользователей.
2002-06- 2002-06-07 Directory Migration 2002-06-07 Account Replicator.
2002-06-07 TEST MYCORP 2002-06-07 account will be 2002-06-07 02:56:48-User account CN=Fy02 will be moved, 2002-06-07 account CN=Fyt01 be moved.
2002-06-07 account CN=fyt02 will be moved.
2002-06-07 CN=GG01 will be moved.
2002-06-07 02:56:48-Group CN=GG01 will be moved.
2002-06-07 02:56:48-Group CN=GG02 will be moved.
2002-06-07 CN=GG02 will be moved.
2002-06-07 will be moved.
2002-06-07 will be moved.
После этого перечислены все действия по переносу. Я не стал воспро изводить все строки журнала, так как они одинаковы для каждого переносимого объекта, а оставил только некоторые, дающие представ ление о ходе переноса. Сначала сообщается, что пользователь Fy был перенесен из домена Test в домен Мусогр. Перенос пользовате лей Ч членов должен выполняться первым, иначе будет поте ряна информация о членстве.
2002-06- to А вот эта строка говорит, что этот же пользователь удален из глобаль ной группы в домене Test:
Поиск и устранение проблем 2002-06-07 Removed from OU=Test, DC=test, После переноса всех группы и их исключения из сообщается о переносе глобальной группы GG01;
2002-06- to Unit, И вслед за этим удаляются остальные члены этой группы:
2002-06-07 members from group CN=GG С Далее идут аналогичные операции для оставшейся глобальной груп пы и для локальных групп, Так как с информационной точки зрения в них ничего нового, я их опустил.
А вот следующая операция Ч добавление пользователей в перенесен ные группы, но уже в домене-приемнике.
2002-06-07 members to group 2002-06-07 02:56:51-Readding members to group И под конец сообщается об прав доступа, т. е. об измене нии атрибута SID history для перенесенных групп и занесении в него SID пользователей, перенесенных из домена Test.
2002-06-07 user rights for CN=Fy 2002-06-07 user rights for CN=GG 2002-06-07 rights for CN=LG 2002-06-07 completed.
Если при переходе возникает ошибка, она также заносится в этот журнал. Наиболее вероятная причина ошибки Ч использование учет ной записи, не имеющей административных прав в обоих доменах.
Учетная запись запрашивается мастером на начальных Удоб нее всего применять запись администратора предприятия.
Помимо журнала регистрации, рассмотренного выше, для контроля можно использовать мастер создания отчетов. Он выводит ту же ин формацию наглядно.
Если после переноса групп остаются пользователи, не входящие в группы или расположенные в контейнере Users, то перенести их по может специальный мастер переноса пользователей. Его работа ана логична работе мастера переноса групп.
464 Directory:
В есть ряд других мастеров, в том числе мастер позво ляющий отменить результат последнего переноса. Мастер работает что все параметры последней операции берет из своей базы и воспроизводит их в обратном направлении.
Проверка результата Обновив надо правильность действий.
Х Включив клиентскую машину в обновленный домен, надо зареги стрироваться в домене под именем любого пользователя этого до мена. (Например, под именем в нашем примере.) можность регистрации свидетельствует об одной из двух проблем:
Х учетные записи пользователей не были перенесены или пере нос был выполнен некорректно;
Х учетные записи не были повторно созданы в обновленном домене.
Х Далее с помощью утилиты Gpresult (см. Групповая полити надо проверить, применены ли к этому пользователю опре деленные для него групповые правила. Если правила отличаются от ожидаемых:
проверьте привязку к домену и если используется фильтрация, проверьте списки контроля к ОГП;
Х проверьте содержимое каталога SYSVOL Ч возможно, забы ли перенести шаблоны групповой политики.
Теперь надо проверить доступ к его ресурсам. Если доступа к ним нет:
Х забыли отметить флажок rights при переносе пользователей и групп Ч следовательно, атрибут Sid History не был обновлен;
Х вы забыли при переносе сохранить членство пользо вателя в группах;
Х возможно, вы забыли указать на необходимость сохранения списков контроля доступа при ресурсов.
Х Наконец, надо проверить работу служб и приложений, действую щих от имени несистемных учетных записей и существовавших в домене до Если приложения не запускаются или ра ботают некорректно:
Х возможно, учетные записи служб не были перенесены или пе ренос был выполнен некорректно:
Х возможно, вы забыли отметить флажок Update User rights при переносе учетных записей служб Ч следовательно, атрибут Sid History не был обновлен;
Поиск и устранение проблем Х возможно, вы не применили групповую политику, определяю щую права данных учетных записей;
как правило, это права локальной регистрации, работы от имени ОС, работы в пакет ном режиме и т, п.;
Х возможно, вы забыли при переносе сохранить членство служеб ных учетных записей в в частности, в группе Admi nistrators;
Х возможно, вы забыли указать сохранение списков контроля доступа при переносе ресурсов;
если приложение осуществля ет доступ к файлам от имени своей учетной записи, он будет невозможен.
План аварийного восстановления Теперь несколько слов о том, как поступать, если что-то пойдет не так.
Работы лучше начать в пятницу вечером или в субботу утром. Сам перенос начинаем только после выполнения резервного копирования контроллера домена-источника.
Если перенос пользователей завершился неудачно либо внезапно сообщено о большом числе ошибок, надо запустить мастер откатов.
В случае его нормальной работы перенесенные учетные записи воз вратятся назад. Если этого не произошло, рекомендуется на контрол лере-источнике переустановить Active Directory и сделать авторитет ное восстановление из резервной копии. На надо не осталось ли перенесенных учетных записей и при их обнаружении Ч удалить.
Если после обновления домена пользователи нормально входят в домен и имеют доступ к ресурсам, а приложения не работают, надо выяснить причину (см. выше). Если причину не удастся обнаружить и следует авторитетно восстановить в домене данные из резервной копии и отложить перенос до выяснения причин неудачи и повторной попытки обновления домена.
Если в лесу все перестало работать В заключение рассмотрим ситуацию, когда в лесу доменов Active Directory перестало работать все. Как этого добиться Ч разговор от дельный: это под силу не каждому. Но уж коли это произошло, надо как-то выходить из создавшегося положения.
Далее предполагаем, что условия таковы.
Х В лесу не осталось нормально работающих контроллеров домена.
Под этим будем понимать, что базы на контроллерах рассинхро низированы, репликация FRS работает не так или с перебоями, кон троллеры периодически или постоянно не видят друг 466 подход профессионала не могут в домене, приложения не ра ботают или работают с ошибками.
У вас есть копии, недавно выполненные на нормально работаю щей системе.
Х Вы пробовали восстановить работоспособность системы всеми способами, но увы... Ни один из контроллеров не годится на дол жность идеального. Авторитетное восстановление базы из резер вной копии не помогает. Ремонт Active Directory с помощью не дал положительного результата. Вы уже проконсультирова лись со всеми знакомыми и прочитали массу Ч все бесполезно. Даже Microsoft не смогли вам помочь и рекомендовали -жесткое восстановление системы.
Остается последовать совету спецов. Итак, Общая последовательность действий Жестким восстановление потому, что сопровождается массой неприятных Х Вы отбрасываете систему назад во времени. Все изменения, вне сенные в Active Directory в последнее время, аннулируются. Учет пользователей и компьютеров, добавленные после по следнего резервного копирования, добавлять заново.
Х Приложения, работавшие на контроллерах домена, придется пе реустановить. Остальные приложения, возможно, тоже придется переустанавливать, хотя это может и не потребоваться.
Если использовалась служба DNS, интегрированная с Direc tory, то ее также придется восстанавливать. сначала ее придется восстанавливать в иной конфигурации и лишь потом, по завершении восстановления части леса, можно будет перейти к оригинальной DNS.
Последовательность ваших действий приведена на диаграмме.
Как видите, восстановление начинается с предварительных шагов.
которые помогут понять, какие серверы первыми, а также порядок дальнейших действий.
Помните: восстановление леса, как и установка нового, всегда выпол няется с корневого домена. Именно здесь находятся группы Enterprise Admins и Schema Admins. Кроме того, только отсюда можно устанав ливать отношения с дочерними доменами.
Убедившись, что корневой домен можно браться за остальные домены. Если вы обладаете достаточным ре сурсов, восстановление доменов можно выполнять параллельно, но при этом помните;
Поиск и устранение проблем Х в каждом домене не более одного нельзя домены с нарушением их черних взаимоотношений.
Параллельно с выполнением предыдущего шага можно переустанав ливать ОС на устанавливать сервисные пакеты и заплатки системы которые рекомендо ваны к установке на тот момент времени.
Предварительные в домене на в первую очередь ВСЕХ КОНТРОЛЛЕРОВ ДОМЕНА В в автономном режиме домена операционной системы на всех компьютерах, бывших Подключение к сети серверах домена через DC PROMO Выполнение Восстановление в автономном режиме контроллера с ) в следующем домене Подключение контролера к сети и связей с Алгоритм жесткого леса Active Directory Убедившись, что все домены в лесу восстановлены и работают (т.
выполняется репликация Active Directory и все базы синхронны, тестовые подключения пользователей отсутствие проблем с регистрацией в сети) можно на оставшихся переустановленных серверах выполнить команду для повышения их статуса до контроллеров нужных доменов.
468 Active профессионала В Windows Server эта операция может выполняться с резервной копии базы Active сделанной на самом первом контроллере в домене.
Предварительные шаги От того, как тщательно вы их выполните, зависит успех операции. Вот что надо сделать:
Х задокументировать текущую конфигурацию леса;
Х разработать процедуру восстановления текущей конфигурации в случае неудачи;
Х выявить в каждом из доменов тот компьютер, с которого начинать восстановление;
Х выключить ВСЕ контроллеры домена в лесу.
Документирование текущей структуры леса Документируя структуру леса, надо зафиксировать такую информацию.
+ Иерархия доменов. Ее нужно запомнить как с целью определения порядка восстановления, так и с целью разработки плана отката в случае неудачи.
Х Имена контроллеров в каждом домене, их роли и список прило жений, исполняемых на них.
Х Пароль администратора каждого из доменов. При восстановлении это единственная учетная запись, которую можно будет применять.
Структура сайтов. Это необязательное условие, но если перед этим была тщательно протестирована и не вызывала каний, то лучше восстановить именно ее. Особое внимание стоит уделить расположению связям, их расписа нию и стоимости.
Информацию занесите в таблицу вроде показанной ниже. Далее мы воспользуемся данными из нее.
Рассмотрим лес, состоящий из двух доменов: mycorp.ru и дочернего msk.mycorp.ru. В первом 4 контроллера, а во втором Ч 3- В обоих находятся записи работа которых в последнее время осложнилась. После бесплодных попыток восстановления до менов принято решение восстановить весь лес. доме нов собрана в таблицу структура сайтов не является в этом примере определяющей, сведения о ней не сохранялись.
Поиск и проблем документирования текущей конфигурации леса Имя Наличие Наличие конт- разделов для роллера Мастер копии приложений гк DNS mycorp.ru имитатор Да Нет Нет Да нет Да DNS, DHCP Да ! | инфраструктуры Нет Нет Нет Нет доменных имен, RID DNS i. Да msk.mycorp.nt RID, WINS Нет Нет mid 2 Нет Да DNS, WINS Да Да имитатор PDC Нет Нет Нет Разработка процедуры отката назад Возможно, вы спросите: в состояние, которое и так рассматривалось как критическое? Оно, конечно, так. Только не стоит забывать, что, несмотря на всю сложность ситуации, система продолжала работать, а хоть и с трудом, но могли осу ществлять доступ к ресурсам. Если процесс восстановления окажется неудачным или затянется, пользователи вообще не смогут работать.
Для разработки процедуры отката надо иметь представление о том, что может произойти при восстановлении. Из очевидных последствий отмечу следующие.
Х Система вообще не может быть восстановлена и потребует пол ной Это может произойти в том когда вы не делали копий либо все копии плохие или уничто жены.
Х После восстановления состояние системы далеко от требуемого.
Многих учетных записей нет, свойства объектов устарели. Это может случиться, когда последняя хорошая копия делалась доволь но давно и с тех пор в систему было внесено много изменений.
ОС может быть но на это уйдет больше времени, чем вы предполагали. Значит, надо на исходные пози ции, новый план с привлечением допол нительных ресурсов) и выполнить обновление в другой раз.
Раз так, то в плане процедуры надо выделять крити ческие точки. Например, если на одном из этапов предполагается отключение всех контроллеров всех то критическая точка здесь Ч момент выключения последнего контроллера в домене: ведь с момента ни один пользователь больше не имеет доступа к ресурсам. Следующая критическая точка Ч переустановка ОС на кон 470 Active Directory: профессионала пока контроллер не работу, его нельзя включить в сеть для обработки запросов пользователей.
Для каждой критической точки нужно определить действия, которые вы должны выполнить, если что-то вдруг идет не так. Скажем, для первой из выше критических точек действия весьма про сты: вновь включить контроллеры домена. Для второй Ч ление прежней конфигурации контроллера из резервной копии.
Помимо описанных критических точек, надо критическое Допустим, вы планируете восстановить систему за выходные.
Предварительное тестирование позволило узнать, сколько времени занимает та или иная процедура. Просуммировав время и где надо, процесс, вы решили, что к 12 часам дня воскресенья вы завершите всю работе Предполагая, что что-то может пойти не надо точку, после которой все ваши действия должны быть остановлены. Например, тестирование показывает, что для восстанов ления исходного состояния системы требуется 8 часов, а пользовате ли начинают работу с 9.00 в понедельник. Это значит, что если к часу ночи в воскресенье не то все работы нужно прекратить и начать откат к прежнему состоянию. Никакие соображения типа полчасика принимать в расчет Сис тема должна быть работоспособна к началу рабочего дня.
Действия, выполняемые в случае неудачи в критических точках, опре деление критического времени и действий в случае его наступления и составляют план отката. В итоге алгоритм восстановления системы с учетом плана отката можно составить так (см. рис. на стр. 471).
Выявление лучшего кандидата на восстановление Вернувшись к плану восстановления, вы увидите, что первоначально восстанавливается только по одному контроллеру в каждом домене.
Они заложат основу вашей восстановленной системы.
При отборе наилучших кандидатов необходимо учитывать:
наличие резервной копии контроллера;
качество резервной копии;
Х функции, выполнявшиеся до краха.
Вполне что если резервная копия для какого-то контрол лера не существует, то он не может быть на восстановле ние. Это справедливо, даже если этот контроллер был установлен всего день назад.
Качество резервной копии определяется сроком ее давности. Навер няка вы подозреваете, что явилось причиной тотального сбоя в лесу.
А если нет, то примерно знаете время, когда появились первые при Поиск и устранение знаки проблемы. Следовательно, дата копии должна быть не позже этого времени. Но и очень далеко назад уходить не так как чем дальше вы отбросите систему назад, тем больше коррек тив вам придется после восстановления.
Выполняемые контроллером функции оказывают противоречивое влияние на выбор кандидата, Так, если контроллер являлся сервером его восстановление займет гораздо больше времени в многодомен ной организации. Поэтому вряд ли стоит выбирать этот контроллер в качестве базового. С другой если он являлся и сервером DNS, то, восстанавливая контроллер, вы восстановите и DNS, что уп ростит вам дальнейшие действия.
В нашем примере контроллеры root3 и mid3 отпадают так как для них нет резервных копий. Из оставшихся в mycorp.ru иде альным кандидатом является контроллер root2, так как он является сервером DNS и DHCP. Он, еще и сервер ГК. но так как имеют ся всего два домена, объем ГК невелик. В домене msk наилучшим кан дидатом является контроллер ведь он еще и сервер DNS и сер вер WINS.
Вместе с тем ни один из выбранных контроллеров не является масте ром каких-либо операций, Вообще это не имеет значения за выполнения работ 472 Directory: профессионала пожалуй, мастера RID. Так как он будет в итоге создан зано есть что он выдаст пулы ID. которые уже вались. Чтобы избежать этого, надо предпринять некоторые меры.
Выключение всех контроллеров доменов Зачем все контроллеры в лесу? Как вы каждый восстановленный контроллер подключается к корпоративной сети в строго определенном порядке. Если не все контроллеры выключены, после подключения первого контроллера может начаться репликация. В данном случае эта репликация нежелательна, так как она будет выполняться с контроллеров, содержащих испор ченные данные. Поэтому все контроллеры должны быть выключены.
А если у вас большая распределенная сеть с множеством сайтов, раз бросанных по огромной территории? Все их выключить одновремен но затруднительно. В таком случае надо принять меры, препятствую щие взаимодействию с такими сайтами. Возможно, связь с ними при дется временно порвать на физическом например, Восстановление восстановление состоит из трех блоков работ:
4 домена;
восстановление остальных доменов;
добавление переустановленных контроллеров в домены.
Восстановление домена Внимание Восстановление корневого домена выполняются на кон троллере, отключенном от сети.
Восстановление начинается с контроллера домена, выбранного в ка честве кандидата.
Шаг 1 На контроллере домена выполните неавторитетное состояния системы и каталога (см. раздел Неавторитетное Восстановление выполняется из копии, признанной Убедитесь, что восстановление выполняется:
в то же самое место;
* с восстановлением параметров безопасности;
Х с восстановлением точек перехода ntfs;
+ с сохранением точек монтирования томов;
Поиск проблем Х с пометкой восстанавливаемых реплик как первичных для набора реплик.
восстановления быть отмечены эти флажки Шаг 2 Выполните проверку контроллера после перезагрузки. Впол не возможно, что загрузка займет длительное время, так как не будет обнаружен сервер DNS (см. главу Active Это не страшно. Хуже, если структура Directory будет содержать ошиб ки, которые перед этим привели к краху всего леса. В этом случае надо воспользоваться еще более ранней резервной копией и восстановление контроллера.
Внимание Это первая критическая точка.
Шаг 3 Если данный компьютер был сервером DNS, на котором со держалась зона, интегрированная с Active надо войти в ос настку DNS и посмотреть на содержимое зоны лесах В этой зоне надо удалить все относящиеся к контроллерам в домене за исключением только что восстановленного. Также удалите все SRV-записи, относящиеся к остальным контроллерам. Это позво лит предупредить нежелательную репликацию с партнерами, которые остались невыключенными. Клиентская часть на этом контрол лере должна указывать только на контроллер. Если это не так, внесите соответствующее изменение.
вы использовали зоны DNS, интегрированные с Active но восстанавливаемый сервер не был сервером то на нем надо установить и сконфигурировать службу DNS:
Х создайте необходимые зоны с теми же что и ранее;
разрешите защищенные динамические обновления зон;
Х настройте делегирование зон и переадресацию неразрешенных запросов, 474 Active подход профессионала службу DNS, перезапустите службу Netlogon (см. раздел Что с <Х Установка Active Замечание Указанные выполняются, только если контрол леры домена выступали DNS. Если же используется специ ализированный сервер обязательно Windows 2000), очисти те зоны от указанных записей.
Шаг 4 Если контроллер был сервером сбросьте соответствующий флажок в оснастке Directory Sites and Services.
Зачем? Как я говорил, для восстановления каждого контроллера в разных используется резервная копия. Не факт, что все копии делались в один день. А это значит, что при восстановлении каждого из будут данные, соответствую щие разным периодам. Если ГК содержит сведения о каком-то разделе более чем та, что будет восстановлена для этого раздела на лего контроллере, то эти данные альны и, что хуже в ГК и будут ны по остальным серверам ГК. Поэтому после восстановления кон троллера, ГК его надо лишить этой функции.
Шаг 5 Назначьте все роли мастеров операций в лесу и в домене это му контроллеру (см. раздел Принудительное назначение мастеров операций с помощью Шаг 6 Вычистите из Active Directory все метаданные, имеющие отно шение к контроллерам домена (см. раздел А может, все главы Установка Active Это необходи мо, чтобы не попытался задействовать объекты связи с несуще ствующими партнерами по репликации.
Откройте оснастку Active Directory Users and Computers и уда лите все объекты, соответствующие остальным контроллерам в доме не. То же проделайте и в оснастке Active Directory Sites and Services.
Шаг 8 Увеличьте значение пула RID на 100000. Как я уже принудительное назначение контроллеру роли мастера RID чревато неприятными последствиями. Так, если после выполнения резервной копии, с которой произошло восстановление контролле ра, некоторым объектам системы безопасности были предоставлены права доступа или они сохранятся и после вос становления контроллера. Так новый мастер RID не знает о SID существовавших до него, он может выдать точно такие же ID новым объектам. В в системе появятся объекты с оди наковыми SID, что, с точки зрения системы безопасности, расцени вается как один и тот же объект. А значит, возникает угроза несанк ционированного доступа к ресурсам.
и устранение л.
Для предотвращения такой ситуации надо изменить пул относитель ных ID.
На восстановленном контроллере запускается ADSIEdit или Ldp.
Лучше использовать обе эти утилиты. Далее ищется объект домена>, а у пего Ч атрибут rIDAvailPool, Тип этого атрибута Ч т. е. длинное целое.
x, Атрибут указывающий на текущий пул RID Старшая часть указывает на количество объектов безопасности, ко торые можно задействовать в системе. Младшая Ч текущее значе ние пула номеров RID. Чтобы их вычислить, лучше всего исполь зовать преобразователь длинных целых чисел в программе Ldp.
Так, для показанного на рисунке, младшая часть равна 2604. что каждый раз контроллеру домена выдается пул в 512 номеров ID, увеличение пула на 100000 застрахует вас от появления объектов с одинаковыми SID.
Шаг 9 Дважды сбросьте пароль учетной записи компьютера и секрет выполнив команду:
Внимание Сброс паролей надо обязательно выполнить дважды, чтобы исключить даже потенциальную возможность репликации с контроллерами, не прошедшими через восстановление. Так как в ис тории хранится не более двух такой сброс позволяет исклю чить из истории использовавшиеся в проблемном домене.
476 Directory: подход Шаг 10 Дважды сбросьте пароль для учетной записи krbtgt. Это дела ется точно так же, как и для любой учетной записи пользователя.
Шаг 11 контроллер домена сервером ГК. Это позволит пользователям авторизоваться в домене. Однако сервер не будет себя объявлять ГК, пока не будет синхронизация с другими разделами Active Это возможно только после установки по одному контроллеру в других доменах.
Теперь можно подключить домена к корпоративной сети.
Внимание Это вторая контрольная точка. Пользователи корнево го домена (если они есть) могут регистрироваться в домене, однако этого не следует пока допускать, разве только в тестовых целях.
Восстановление остальных Восстановление остальных похоже на процедуру восстанов ления корневого, но есть и некоторые отличия, их мы и обсудим.
Восстановление дочерних доменов можно выполнять главное, не нарушать порядок наследования: для одного родителя одновременно могут восстанавливаться только его непосредственные дочерние домены.
Б каждом восстанавливаемом домене поступаем следующим образом.
1 Кандидат на восстановление отключен от корпоративной сети.
Он загружается в режиме восстановления Active Directory, и выполня ется неавторитетное каталога из резервной копии.
Каталог помечается как первичный для реплик.
2 Проверьте контроллер после перезагрузки. Если структура Active Directory содержит ошибки, воспользуйтесь более ранней ре зервной копией и повторите восстановление.
Внимание Это третья критическая точка.
Шаг 3 Если компьютер был сервером DNS, на котором содержалась зона, интегрированная с Active Directory, войдите в оснастку и удалите SRV-записи, относящиеся к восстанавливаемому домену, кро ме тех. что относятся к службам текущего контроллера. Клиентская часть DNS на контроллере должна указывать на сервер DNS в корне вом домене и на этот контроллер. Если это не так, внесите соответ ствующее изменение. Проверьте, есть ли в зоне корневого домена делегирование соответствующей восстанавливаемому домену.
Если использовали зоны интегрированные с Active Directory, но восстанавливаемый сервер не был сервером DNS, то на нем надо установить и сконфигурировать службу DNS, Поиск и Указанные действия нужны, только если контроллеры домена были серверами Если же используется специализирован ный сервер DNS (не обязательно Windows 2000). то очи стку зон от указанных записей.
Шаг 4 Если контроллер был сервером ГК, сбросьте соответствующий флажок в оснастке Active Directory Sites and Services.
Шаг 5 Назначьте все роли мастеров операций в домене этому кон троллеру.
Шаг 6 Удалите из Active Directory относящиеся к прочим контроллерам домена.
7 Удалите все объекты, соответствующие остальным контролле рам в домене.
Шаг 8 Увеличьте значение текущего пула RID на 100000.
Шаг 9 Дважды сбросьте пароль учетной записи компьютера и секрет Шаг 10 Дважды сбросьте пароль для учетной записи krbtgt. Это дела ется так же, как и для любой учетной записи Шаг 11 Подключите восстановленный контроллер к корпоративной сети. Инициируйте его репликацию с контроллером в родительском домене. Репликация должна выполниться в обоих направлениях для каждого контекста имен. Для ее инициации служит команда:
/sync /force.
Следовательно, ее нужно дать трижды на дочернем контроллере и дважды Ч на родительском. Такая асимметричность связана с тем, что контроллер в родительском домене является ГК, а в дочернем Ч нет, Например, в рассмотренном ранее случае восстановления доменов mycorp.ru и на контроллере mid2 выполняются команды:
repadmin /sync /force Sync from to ru completed successfully.
/sync /force Sync from to completed successfully.
repadmin /sync /force Sync from 19c9dbc3-d5d2-47cc-94e3-5135adfc4bcb to completed successfully.
478 подход профессионала На контроллере выполняются команды:
/sync /force Sync to completed successfully.
repadmin /sync a4618f4f-bd9a-4dd9-b8f9-f4e26a64eb7a /force to completed successfully.
Выполнять команды надо по очереди: сначала выполняется реплика ция контекста на контроллере в корневом домене, потом Ч реплика ция того же контекста на контроллере в дочернем домене.
После успешного восстановления по одному контроллеру домена в каждом из доменов можно переходить к установке дополнительных контроллеров в домены.
Восстановленный контроллер домена можно сделать сервером ГК.
Внимание Это точка. В зависимости от кон кретной сети на этом этапе можно говорить об удач ном восстановлении леса Active Шаг 12 Проверьте содержимое Active Directory. Если вы обнаружите, что некоторых принципиально важных объектов или учетных запи сей нет, их добавить. Это просто если вы документи ровали все ваши действия в домене его краха, Добавление дополнительных контроллеров Установку дополнительных домена можно продолжить в рабочее время, когда пользователи выйдут на работу. И все же ее лучше выполнить до этого по крайней мере установить по одному дополнительному контроллеру.
К установке контроллеров специальных требований не предъявляет ся Ч вы используете программу (см. главу Active Замечание Если вы хотите задействовать в качестве источника данных для вновь устанавливаемых контроллеров только тот, что был восстановлен первым, выберите режим установки и укажите в качестве параметра ReplicationSourceDC нужное имя (см.
раздел установка главы Active Если домена располагаются других сайтах, то при подключении их к основному создайте соединения, и устранение проблем вите расписание репликации и стоимость, предоставьте возможность создать объекты связи.
Заключительные шаги Последними шагами в восстановлении леса Active Directory должны стать следующие.
Х Переустановите приложения, выполнявшиеся ранее на контроле рах. В то время как на тех контроллерах, что были установлены заново с применением все приложения должны быть с нуля, на восстановленных контроллерах они сохра нились. Если информация этих приложений хранилась в реестре, она там сохранилась и была восстановлена во неавторитет ного восстановления из резервной копии. Об этом следует по мнить при запуске приложений.
Выполните резервное копирование всех контроллеров доменов.
С этого момента именно эти копии станут для вас ко пиями, которые будут использоваться для восстановления системы.
Модифицируйте конфигурацию DNS, чтобы обеспечить оптималь ную для сети схему разрешения имен.
Х роли мастеров операций между контроллера ми доменов.
Х Проверьте доступ пользователей в Если какие-то не могут войти, повторно включите их рабочие станции в домен.
Проверьте функционирование групповых политик. Если групповые политики восстановились в состоянии, переопределите их и проверьте их привязку к доменам, сайтам и подразделениям.
Х Проверьте возможности доступа пользователей к файловым и принтерным ресурсам. Если ресурсы располагались на выделенных серверах, то невозможность доступа к ним или неправильный вид доступа связан с тем, что не восстановились группы или учетные записи, появившиеся в Active Directory после создания резервной копии, использованной для восстановления. Если ресурсы распо лагались на контроллерах домена, установленных с нуля, восста новите файловые ресурсы из резервной копии и предоставьте в совместное использование;
установив соответствующие предоставить в совместное использование и принтеры.
На этом восстановление можно считать завершенным. И начинается ежедневное системы. Если вы не хотите повторения описанной процедуры, рекомендую на сайте Microsoft найти что относится к Microsoft Operations Framework Поверьте, это весь ма полезные указания по ежедневному управлению Active Directory, 460 подход профессионала Как бы мне хотелось, чтобы, дойдя до этого места, вы сказали, что теперь готовы самостоятельно бороться с любой проблемой в Active Directory!
Возможно, что кто-то так и решит, что вот она, волшебная книга, которая открывает путь к выходу из любой трудной ситуации, Увы, это не так. Здесь я описал только общий подход к решению проблем, а также затронул некоторые конкретные случаи. Увы, в реальности случается такое, что не приснится и в стрзшном сне. Порой решение одной проблемы порождает другую, третью и т. д. Да, описанный подход, позволит в конечном итоге найти решение, но путь может быть долог и тернист. Чтобы его настоятельно рекомен дую использовать базу знаний Microsoft. Она доступна либо по под писке на дисках Technet, выходящих ежемесячно, либо на сервере Только вы отыщете решение своей проблемы среди нескольких сотен тысяч статей.
Словарь терминов А Автономная папка - offline folder Папка на сервере, все документы в которой на клиент ской стороне. При связи между клиентом и сервером ра бота с документами остается возможной в автономном режиме. При восстановлении связи выполняется синхронизация документов.
Авторизация - authorization Процесс проверки полномочий доступа к ресурсу системы.
Авторитетное восстановление - authoritative restore В Active Directory такое восстановление данных из резервной при котором они имеют перед хранимыми в Active Directory.
Агент восстановления - recovery agent Лицо, уполномоченное выполнять восстановление зашифрованных Должно обладать соответствующим сертификатом. По умол чанию это администратор системы. Рекомендуется переопределять с помощью групповой политики.
Администратор - administrator ответственное за управление учетными записями пользовате лей локального компьютера или домена, конфигурирование систем ных служб, управление политикой безопасности и групповой поли тикой. Входит в группу и обладает всеми полномочия ми в рамках домена или локального компьютера.
482 Название книги Администратор - enterprise administrator Лицо, ответственное за исполнение административных задач пре делах леса Входит в группу Enterprise расположен ную в домене леса.
Администратор схемы - schema administrator Лицо, ответственное за модификацию схемы Active Directory. Входит в группу Schema расположенную в домене леса.
Атомарная - atomic transaction Active Directory транзакция, как единое целое. Если один из компонентов транзакции выполнен, происходит откат всей транзакции, т. е. возврат к предшествовавшему началу транзакции.
Атрибут объекта - object Характеристика объекта в Directory. Иногда называется свой ством Атрибуты имеют одно или несколько значений и бы вают нескольких типов.
Атрибут файла - file attribute Флаг, устанавливающий определенное свойство файла. В Windows 2000 атрибуты R (файл доступен ко для чтения), Н (скрытый файл), S (системный файл). А (архивный файл), С (сжатый файл), Е (зашифрованный файл). Атрибуты приме нимы и к каталогам файлов.
Аудит - audit Отслеживание работы отдельных компонентов системы и регистра ция результатов в журнале событий.
Аудит доступа к: службе каталогов - Active directory service access audit Регистрация удачных и неудачных попыток доступа к службе катало Active Directory.
Аудит каталогов - folder audit Отслеживание одного или нескольких файловой системы. Отслеживаются попытки удачного и неудачного доступа.
Аудит печати - print audit Функция, позволяющая отслеживать доступ к указанным Аудит приложений - application audit Регистрация событий, связанных с процессами ввода, обработки и внутри приложений.
Аудит реестра - registry audit Отслеживание связанных с попытками открыть ветвь реес тра или извлечь из нее данные.
Словарь Аудит событий регистрации учетных записей - account logon audit Регистрация удачных и попыток регистрации учетной в системе.
Аутентификация - authentication регистрационной информации о пользователе. Если пользо ватель регистрируется к Windows 2000 Professional или на отдельно стоящем сервере, аутентификация выполняется на этом компьютере.
Если пользователь регистрируется в домене, аутентификация выпол няется на контроллере домена с применением данных, хранящихся в каталоге Active Directory.
Аутентификация Kerberos Kerberos authentication Аутентификация по протоколу Kerberos. В основе метода лежит ис пользование инфраструктуры открытых ключей. проверки до стула применяются билеты. Аутентификация выполняется в несколь ко этапов. 1. аутентификация. 2, Получение сеансового 3. В трехъярусных системах клиент Ч сервер дополнительно выполняется делегирование аутентификации.
Аутентификация - NTLM authentication Механизм аутентификации в Windows NT. Имеются две версии механизма. Вторая обеспечивает повышенный уровень Обе версии в Windows 2000 обеспечения совместимости с Windows NT.
Б База данных SAM - SAM database База данных информации безопасности, содержащая имена учетных записей пользователей и пароли, а также параметры политики безо пасности в Windows NT. В Windows 2000 используется либо на отдель но стоящих либо на контроллерах домена для защиты дос тупа в режиме восстановления Active Directory.
Безопасный режим - safe mode Режим загрузки 2000, при котором загружается только ми нимально необходимое число проверенных драйверов устройств, Применяется для системы после установки некоррек тно работающего драйвера устройств.
Билет - ticket Объект Kerberos. содержащий данные об участнике системы безопас ности и служащий для его аутентификации. В Windows 2000 два вида билетов: TGT (билет на право получения билетов) и билет для досту па к службе.
Блокирование политики - policy blocking Определяя групповую подразделения, можно установить запрет на применение всех правил, наследуемых от вышестоящих 484 Название книги контейнеров. Запрет не распространяется на те правила, для которых установлен запрет блокировки.
Блокировка учетной account lockout Функция, позволяющая блокировать определенную учетную запись на заданный срок при превышении указанного количества неудачных попыток регистрации в системе.
В Ветвь - branch Часть дерева службы исходящая дерева и содер жащая все дочерние объекты узлового контейнера.
Взаимная аутентификация - authentication Процесс характерный для аутентификации При этом не только сервер проверяет подлинность клиента, но и клиент проверяет подлинность сервера.
Видимость объекта - object Свойство объекта в каталоге Active быть видимым для пользо вателей. Объекты, размещенные в контейнерах, к которым пользова тели не имеют доступа, считаются невидимыми.
Владелец - owner объекта имеет над ним полный контроль и может изменять права к нему. По умолчанию объекта создавший его Владельцем ресурса является ис пользующее ресурс в данный момент.
Время жизни билета - ticket lifetime Время, в течение которого сеансовый билет считается действитель ным и может применяться для доступа к серверу. Время жизни биле та определяется доменной политикой и обычно равно 8 часам. По ис течении времени жизни билета поставщик безопасности возвращает соответствующую ошибку, что позволяет клиен ту и серверу обновить билет.
Встроенные группы - built-in groups входящие в Windows по умолчанию. Встроенные груп пы обладают набором и прав.
зонд DNS DNS secondary Зона DNS. являющаяся копией первичной зоны. Не позволяет вносить изменения в записи.
Г Глобальная группа - global group Глобальные группы могут включать в себя учетные записи из своего домена и могут быть включены в группы других доменов.
Используются для прав доступа и делегирования ад Словарь терминов Информация о в глобальных группах не тиражируется в глобальный каталог.
Глобальный каталог - Global Catalog Хранит реплики всех объектов Active Directory, но с сокращенным числом атрибутов. К хранимым относятся атрибуты, используемые наиболее часто операций поиска (например, имя пользователя, имя входа в систему и т. д.) и достаточные для обнару жения полной реплики объекта. ГК позволяет быстро находить объек ты, не требуя указания того, в каком домене объект, а также использования смежного расширенного пространства имен на пред приятии.
Глобальный уникальный идентификатор - Globally ID Уникальное 128-разрядное число, характеризующее любой объект в Active Directory.
Горизонтальное доверие - horizontal Доверительные установленные между двумя доменами в разных деревьях в одном Используются для сокращения пути доверия.
Гостевая учетная запись - guest account Учетная запись, применяемая для регистрации в домене при отсут ствии в нем или в доверяемых доменах личной учетной записи. По умолчанию использовать учетную запись запрещено.
Группа - group Объект службы каталогов Directory, включающий в себя учет ные записи, называемые членами группы. Права и привилегии груп пы предоставляются и ее членам, что удобно для определения общих свойств ряда учетных записей пользователей. могут находить ся как в так и в подразделениях домена.
Группы делятся на почтовые и группы безопасности.
Групповая политика - group policy Набор определяющих параметры системы: безопасность, ра боту приложений и служб, установку ПО и т. п. Групповая политика применяется к объектам Active Directory в следующем порядке:
подразделение. стоящий последним, имеет приоритет групповой политики.
Группы безопасности - security groups Группы, используемые для разграничения доступа к ресурсам и деле гирования административных полномочий. Бывают локальными, гло и универсальными. В противоположность им существуют почтовые Название книги д доверительные отношения - two-way trust relationships Вид отношений между доменами, при котором каж дый из доменов доверяет друг другу.
Делегирование зон - zone delegation Механизм передачи управления зоной с одного сервера на дру гой. Сервер, отвечающий за называется авторитетным для нее.
используется для эффективного разрешения имен.
Делегирование полномочий - delegation Возможность предоставления отдельных административных полно мочий пользователям или в Применяется для распре деления административных обязанностей и позволяет избавиться от всесильных администраторов. Полезно наделить администраторов филиалов частичными полномочиями, не противоречащими мочиям центральной службы информационных технологий.
Демилитаризованная зона Часть корпоративной сети, отделенная от корпоративной сети и от Интернета межсетевыми что доступ в нее а сквозной проход Ч нет. Позволяет предоставлять к ресурсам как из корпоративной сети, так и из Интернета. Предназначена для размещения общедоступных ресурсов.
Дерево структура, состоящая из объектов. Объекты на концах дерева В листьях не других объек тов. Узловые точки дерева (места, из которых ветви) являют ся контейнерами. Внешний вид дерева показывает меж ду объектами.
Дерево доменов - domain tree Дерево доменов состоит из нескольких доменов, использующих одну и ту же схему и конфигурацию и образующих единое пространство имен. Домены в дереве связаны между собой доверительными отно шениями. Служба каталогов состоит из одного или нескольких доменных деревьев.
Дескриптор безопасности - security Атрибуты безопасности для объекта: идентификатор владельца группы, список контроля доступа и системный список контроля доступа.
Динамически подключаемая библиотека - dynamically loaded library (DLL) Процедура доступ к которой из приложений осуществляется тем вызова обычных Код этой процедуры не входит в ис терминов образ приложения. ОС автоматически исполня емый образ в процессе работы так. чтобы он указывал на DLL Дистрибутивный диск - distribution disk на котором записаны файлы и каталоги, необходимые для новки Windows 2000. При создании собственных дисков рекомендуется использовать Setup Доверительные - trusted relationships Разновидность связи между предусматривающая выполне ние аутентификации, когда имеет учетную запись только в одном домене, но может обращаться ко всей Доверяю щий право аутентификации доме ну. Доверительные отношения бывают транзитивными и нетранзи тивными.
Доверяющий домен - trustee domain доступ к своим ресурсам пользователям доверяемых Доверяемый домен - trusted domain Домен, пользователи которого могут осуществлять доступ к ресурсам других, доверяющих доменов.
Домашний каталог - home directory Каталог на доступный пользователю и содержащий файлы и программы этого пользователя. Домашний каталог можно назначить отдельному пользователю, либо нескольким сразу.
Домен - domain Организационная единица безопасности в сети. Active со стоит из одного или нескольких доменов. Домен может охватывать несколько физических сайтов. В каждом домене своя политика бе зопасности и отношения с другими доменами. Домены, объединен ные общей конфигурацией и обра зуют дерево Несколько доменных можно объеди нить в лес.
Дочерний домен - child domain Домен, стоящий в иерархии чем родительский.
Дочерний домен связан с родительским двусторонними транзитив ными отношениями.
Драйвер устройства - device driver позволяющая определенному устройству взаимодейство вать с Windows 2000. Хотя устройство физически может быть установ лено в компьютер, Windows 2000 не использует его, пока не будет установлен необходимый драйвер.
488 книги Е режим работы домена - native mode Режим работы домена 2000, в котором в домене не могут существовать не поддерживающие работу с Active Directory.
В этом режиме в домене могут существовать универсальные группы.
Альтернативой является режим работы.
Ж Журнал событий - event log Файл, содержащий о событиях таких как по пытки регистрации, попытки использования ресурсов и т. п.
Журнал безопасности - log Файл, содержащий ошибки, предупреждения и порож денные системой безопасности при включенном аудите безопасно сти Windows Журнал изменений NTFS - change journal Функция NTFS, позволяющая все изменения файлов томе. Используется механизмом репликации FRS для определения файлов.
Журнал приложений - log Файл, содержащий ошибки, предупреждения и информацию, порож денные прикладными программами, исполняемыми в Windows 2000.
Журнал системы - system log Файл, содержащий ошибки, и информацию, порож денные системой Windows 2000.
Журнал Active Directory - Active Directory log Файл, содержащий с регистрацией работы службы каталогов.
Загрузочный раздел - boot partition Раздел в NTFS, FAT32 и содержа щий файлы ОС Windows 2000 и файлы поддержки. Загрузочный раз дел может совпадать с системным разделом.
Запись DNS - DNS record Ресурсная запись в базе сервера DNS.
Запись DNS типа А - A record Запись в базе сервера ставящая в соответствие имя хоста и его адрес IP.
Запись DNS типа - record Запись в базе используемая для идентификации хоста по разным именам. В Active Directory служит обнаружения и регистрации по репликации.
Словарь Запись DNS типа - SRV record Ресурсная используемая для регистрации и обнаружения информации о хорошо известных службах. В Windows 2000 служит для поиска информации о контроллерах Запрет наследования - inheritance blocking Механизм, позволяющий дочерним объектам не наследовать все или часть родительского объекта.
Зона Часть пространства имен DNS, как самостоятель ная сущность. Зона имеет имя и содержит ресурсные записи DNS. Имя домена Active Directory совпадает с одной из зон DNS.
Зона интегрированная с Active Directory Active Directory integrated zone В отличие от стандартной зоны DNS, хранящей информацию в тек стовом файле, зона интегрированная с Active хранит инфор мацию в базе AD. Использует механизмы тиражирования Active Direc tory для передачи информации между серверами DNS. Позволяет вно сить динамические изменения в защищенном режиме.
И Идентификатор безопасности - security identifier (SID) Уникальный идентифицирующий пользователя или группу домене Windows NT/2000.
Имя ~ name Имена служат для идентификации объектов в Active Directory. Суще ствует несколько видов имен: полное имя, отображаемое имя, общее имя, отличительное имя и прочие.
Имя компьютера - computer name Имя компьютера однозначно определяет конкретный компьютер в сети. Не может быть двух компьютеров с одинаковыми именами. Ком пьютеры с Windows 2000 имеют два типа имен: NetBIOS и полное.
NetBIOS-имя служит для совместимости с существующими система ми. Полное имя полностью квалифицированным и состоит из имени компьютера и имени домена. NetBIOS-имя компьютера не может совпадать с именем любого пользователя в домене.
Имя учетной записи - user account name В домене однозначно характеризует при регистрации.
Иногда его называют именем регистрации. В зависимости от типа в которой выполняется применяется один из двух видов имен: имя_домена\имя_пользователя или имя_пользова Имитатор PDC - PDC simulator выполняющий роль главного контроллера домена.
В режиме работы домена играет роль PDC для всех ре 490 книги контроллеров домена Windows NT. В естественном работы хранит сведения обо всех изменениях в домене до заверше ния тиражирования.
Интерактивная регистрация - interactive logon Пользователь должен ввести учетную информацию с клавиатуры того компьютера, на котором регистрируется. Исключение составляет ре гистрация в терминальном которая также является интерак тивной для терминал-сервера. Противоположна удаленной регист рации.
Интерфейс NetBIOS interface Интерфейс программирования, позволяющий посылать и принимать запросы ввода/вывода удаленного компьютера. Скрывает часть сети от программ.
- Internet Глобальная сеть компьютеров, посредством на бора общих протоколов, таких как HTTP и TCP/IP.
Интрасеть - intranet Термин относится к любой не связанной с но использующей коммуникационные стандарты и средства Интернета для предоставления данных пользователям частной сети.
Инфраструктура открытых ключей - public key infrastructure Термин, используемый для описания законов, правил и ПО для регуляции или управления открытыми и личными ключами. На практике представляет собой набор сертификатов и центров сер удостоверяющих подлинность участников защищенно го обмена информацией.
К Каталог - catalog Хранилище чего-либо нужного или интересного. Отличительной осо бенностью каталогов является возможность систематизации храни мой в них информации, быстрого поиска данных, возможности до бавления и расширения его Служба каталогов хранит сведения об объектах системы и позволяет манипулировать ими.
Квотирование дискового пространства - disk quoting Ограничение дискового пространства, выделенного пользователю.
Квотирование выполняется относительно каждого пользователя и каждого дискового тома Клиент - client Компьютер, осуществляющий доступ к ресурсам другого компьютера (называемого предоставленным в совместное использование.
Клиентский сертификат - client certificate Термин относится к использованию сертификатов для аутентифика ции клиентов. Так, Web-браузер можно рассматривать в качестве кли ента сервера Web. Пытаясь осуществить доступ к серве ру Web, Web-браузер должен послать клиентский сертификат для подтверждения подлинности клиента.
Ключ - key В инфраструктуре открытых ключей это некоторая ис для шифрования и дешифрации. Ключи бывают откры тыми или личными.
Ключ восстановления - recovery key Ключ, который наряду с личным ключом применяется для шифрования ключа, которым зашифрован файл. Этот ключ при надлежит и применяется в экстремальных ситуациях.
Командный файл - batch file Неформатированный текстовый файл, содержащий одну или ко команд Windows 2000. Командный файл имеет расширение или Его команды выполняются последовательно.
Консоль - recovery console Режим загрузки Windows 2000, в котором доступна лишь текстовая консоль с ограниченными правами доступа к ресурсам ОС.
ет восстановить ОС в случае невозможности ее нормальной загрузки.
управления - Microsoft Management Console являющаяся для загрузки оснасток. Позво ляет путем комбинации оснасток создавать специализированные ин струменты, решающие определенные административные задачи в системе. Может использоваться для управления как локальным, так и удаленным компьютером.
Контейнер - container Объект, который может содержать в другие объекты. Например, папка Ч контейнер для документов, а шкаф Ч для палок.
Контейнер каталога является объектов каталога.
Контейнер политики - group policy container Контейнер Active в котором хранятся объекты групповой политики.
Контроллер домена - domain controller В Windows 2000 Ч на котором находится служба каталогов Active Directory. В предыдущих версиях Windows NT Ч сервер, на ко тором хранится база учетных записей SAM и который выполняет авто ризацию доступа.
492 Название книги Конфигурация - configuration Специальный Active в котором хранится конфи леса доменов, Корень Начальная точка доступа к пространству имен DFS, Для доменной DFS может быть т. е. состоять из нескольких реплик Корневое доверие - trust Вид поперечного доверия, используемый для связи всех доменов в лесу;
является двунаправленным и транзитивным.
Корневой домен - root domain Самый первый домен в иерархии. Различают корневой домен дерева, являющийся первым доменов в дереве, и корневой домен леса Ч са мый первый домен в лесу. В корневом домене леса находятся такие группы, как Enterprise Admins и Schema Admins.
Кэширование диска disk caching Метод повышения производительности файловой системы. Вместо того чтобы постоянно обращаться к диску для выполнения операций чтения и записи, файлы хранятся в кэше в памяти. Все операции чте ния/записи выполняются со скоростью обращения к что го раздо быстрее, чем обращение к диску.
Л Лес - forest Набор несмежных деревьев, которые не образуют единое простран ство имен. В то же время деревья используют одну и ту же кон фигурацию и Глобальный каталог. Деревья в лесу связаны между со бой отношениями Kerberos. Для обращения к лесу используется имя самого первого домена, Личный ключ - private key Служит для шифрования и дешифрации данных, хранится в секрете и известен только одному человеку. Для хранения личного ключа ис пользуются сертификаты или смарт-карты.
Логический диск - logical drive Подраздел расширенного раздела жесткого диска.
Локальная группа - local group Может содержать учетные записи своего домена, а также учетные записи и глобальные группы из других доменов. Служит для предо ставления доступа к ресурсам своего домена. Информация о член стве в локальных группах не тиражируется в Глобальный каталог.
Максимальный срок жизни пароля - maximum lifetime Период, в течение которого можно использовать прежде чем система потребует его изменить.
Мастер домен - master domain Домен, хранящий учетные записи всех пользователей в доменной структуре Windows NT.
Мастер операций - operations master Контроллер домена, исполняющий одну из функций, выполняемую только одним контроллером. В три мастера операций, а в лесу Ч два. Функция мастера операций может быть передана лю бому контроллеру.
Мастер доменных имен - domain naming master Мастер операций, ответственный за добавление новых доменов в лес или их удаление. Обеспечивает уникальность имен.
Мастер инфраструктуры - infrastructure master Мастер операций, ответственный за уникальность объектов и за под держание связей между ними. В каждом домене один мастер инфра структуры.
Мастер схемы - schema master Мастер операций, ответственный за внесение изменений в схему Active Directory. Эту роль выполняет единственный контроллер в лесу.
Мастер RID RID master Мастер в рамках домена выделяющий пулы RID другим контроллерам.
Минимальный срок жизни пароля - minimum password lifetime Период, в которого будет использоваться установленный прежде чем его можно будет изменить.
Н Наследование - inheritance Механизм, позволяющий дочерним объектам наследовать все свой ства родительского объекта.
Набор реплик - replica set Совокупность между которыми выполняется реплика ция раздела Active или содержимого каталога файлов.
Назначение приложений - application assignment Процесс, используемой Windows Installer для принудительной установ ки приложений пользователям или группам 494 Название книги восстановление - restore В Active Directory процесс восстановления данных из ко пии, при котором в Active Directory и изменен ные после выполнения резервной копии, замещают восстановленные данные в процессе репликации.
Неактивная учетная запись пользователя ~ disabled Учетная запись которому запрещено регистрировать ся;
появляется в списке учетных записей и может быть активизирова на в любое время.
Нетранзитивные доверительные отношения - non-transitive trust relationships отношения, при которых доверие устанавливается только между двумя доменами. Если один из них доверяет третьему, то второй не будет доверять третьему домену. Нетранзитивные дове рительные отношения устанавливаются либо с доменами Windows NT, либо между доменами в разных лесах.
О Объект - object Отдельный набор атрибутов, соответствующих чему-либо конкретно му, например, пользователю, компьютеру или приложению. В атри бутах содержатся данные о субъекте, представленном данным объек том. Так, пользователя могут включать его имя, фамилию, домашний адрес, адрес почты, семейное положение и т. п.
Объект связи - connection object Объект, создаваемый между контроллерами доменов для реп ликации от одного к другому. Всегда направлен только в одну сторо Направление объекта соответствует направлению репликации.
Общее имя - common name Обязательный атрибут любого объекта Directory. Служит для идентификации объекта.
Организационное подразделение - organizational unit Контейнерный объект внутри домена. Может содержать в себе дру гие объекты, объединенные в древовидную структуру. могут быть как контейнеры, так и Используется для отслеживания организационной структуры предприятия.
Оснастка Программный компонент, являющийся минимальной единицей рас ширения консоли ММС. Одна оснастка соответствует единице возмож ностей управления. Технически оснастки являются OLE.
терминов Отказоустойчивость - reliability Способность компьютера и ОС адекватно реагировать на катастро фические события (например, пропадание напряжения или отказ тех ники). Обычно под отказоустойчивостью понимается способность системы продолжать функционировать без потери данных или тие системы с перезапуском и всех процессов, имевших место до момента аварии.
Открытый ключ - public key Ключ, используемый для шифрования данных и не являющийся сек ретом. Данные, зашифрованные открытым ключом пользователя, можно расшифровать только его личным Отличительное имя - name Содержит имя домена, в котором находится объект, а также полный путь к этому в иерархии контейнера П Пакет - package Специальным образом подготовленный набор файлов, необходимых для установки приложения Windows Installer. Содержит све дения о типе установки и необходимые параметры.
Пароль - password Уникальная строка символов, которую нужно ввести для аутентифи кации доступа при регистрации. Является средством защиты для огра ничения в систему и доступа к компьютерным системам и ре сурсам, Партнер по репликации - replication partner При репликации службы каталогов Ч контроллер домена, оповеща емый об изменениях на другом контроллере и запрашивающий у него эти изменения. Один контроллер может иметь несколько партнеров по репликации. При репликации Ч сервер, получающий уведом ления от другого об файлах в При репликации DFS партнерами по репликации являются все компьютеры, входящие в набор реплик.
Первичная зона DN5 - ONS primary zone Зона DNS, авторитетная для остальных зон. Позволяет вносить изме нения в записи. Тиражирует информацию во вторичные зоны.
Переадресация запросов - forwarding В процесс перенаправления запросов неразрешенных на данном сервере другим серверам DNS.
496 Название книги Перенаправление папок - folder redirection Правило групповой политики, позволяющее перенаправлять обраще ния к некоторым системным каталогам на сетевые файловые ресурсы.
реплика - full replica В Active Directory Ч набор пространства имен, содержащих все На каждом контроллере домена хранятся полные реп лики схемы, и того домена, которому принадлежит контроллер.
Поставщик функций безопасности (ПФБ) - Security provider Часть ПО, выполняющая функции безопасности. Взаимодействие с ПФБ выполняется через стандартные интерфейсы (например, API), что позволяет сделать систему независимой от типа ПФБ.
Право доступа access right процессу определенным образом воздействовать на опре объект. Разные типы объектов поддерживают разные пра ва доступа, хранящиеся в списках доступа.
Предоставление файлов в совместное использование - file sharing Способность Windows 2000 использовать часть (или всю) своей ло кальной файловой системы совместно с другим компьютерами.
Привилегия - privilege Позволяет пользователю выполнять определенные действия в систе ме. предоставляются к системе в целом в отличие от прав доступа, применимых к определенным объектам.
Проверка доступа - access verification Проверка информации об записи пользователя для опреде ления возможности предоставления субъекту права выполнения за прашиваемой операции.
Программа-мастер - wizard Специальная программа, предназначенная для облегчения выполне ния рутинных операций. Использует пошаговый подход к выполне нию последовательности Не позволяет пропустить ввод или определение важных параметров.
Пространство имен - namespace Упорядоченный список всех узлов, доступных для данного инструмен та, в виде дерева. Изображение пространства имен аналогично изображению структуры файлов и каталогов на жестком диске.
Протокол - protocol Набор правил и соглашений, используемых двумя компьютерами для передачи сообщений по сети. В сетевом ПО обычно несколько уров ней протоколов, расположенных один над другим.
Словарь Публикация приложений - publishing Процесс, применяемый Windows Installer для предложения пользова телям программ, доступных для установки. могут отка заться от установки опубликованных приложений.
Пул адресов - address pool Диапазон IP, используемый сервером DHCP для назначения регистрирующимся клиентам.
Пул RID - RID pool Диапазон относительных идентификаторов (RID), выделяемых мас RID контроллерам в домене для генерации уникальных идентификаторов безопасности (SID).
Путь доверия - trust path который проходится при аутентификации в домене учетной записи из другого домена в том же лесу.
Р Рабочая поверхность - desktop Фоновая поверхность над которой располагаются окна, знач ки и диалоговые окна. На рабочей поверхности располагаются такие значки, как My Computer, My Network Places, bin.
Рабочая станция - workstation на которых исполняется Windows 2000 на зываются рабочими станциями в отличие от серверов, на которых выполняется Windows Рабочий стол - desktop См. рабочая поверхность.
Распорядитель локальной безопасности - Local Security Authority Создает маркер безопасного доступа для каждого обра щающегося к системе.
Распределенная файловая система - distributed file system (DFS) Сетевое расширение, позволяющее представлять совместно исполь зуемые ресурсы сети в виде единого дерева с общим корнем. Доступ к ресурсам выполняется без того, какому конкретному сер веру в сети они принадлежат. Обладает возможностью балансировки нагрузки и предоставления альтернативных ресурсов в случае сбоев.
Редактор Реестра - Registry Editor Системное приложение Windows 2000, позволяющее просматривать и редактировать записи в реестре. Имеются две версии редактора:
regedit и Редиректор - redirector Сетевая программа, принимающая запросы ввода/вывода для удален ных файлов, именованных каналов или почтовых слотов и передаю 498 Название щзя их сетевым на другом компьютере. В Windows 2000 ре директоры выполнены как файловой системы.
Реестр - registry Архив баз данных Windows 2000 для хранения информации о кон компьютера, включая аппаратные средства, установленное параметры окружения и др.
Режим восстановления Active Directory - Active Directory repair mode Такой режим загрузки контроллера при Active Direc переводится в автономный режим и перестает взаимодействовать с остальными контроллерами и отвечать на запросы LDAP. Позволяет выполнять восстановление целостности базы, перемещение файлов и другие ремонтные операции.
Резервное копирование - backup Сохранение данных на магнитной ленте, в файле или ином носителе с целью восстановления в случае искажения или потери данных. Вос становление бывает и неавторитетным.
Реплика - replica Составляющая часть набора Все реплики в наборе имеют идентичный набор данных. Идентичность обеспечивается механиз мом Репликация - replication Процесс копирования данных с одного компьютера, называемого репликой, на остальные, по репликации и составляющие набор реплик с целью поддержания идентичности хранимой информации.
Репликация службы каталогов - directory services replication Процесс внесенных в Active Directory на одном контроллере на партнеры по Различают репликацию внутри сайта и между сайтами.
Репликация FRS - FRS replication Процесс копирования измененных файлов с одной реплики на дру гие в пределах набора реплик с помощью службы Позволяет синхронизировать каталоги на разных контроллерах доме на, а также отказоустойчивые тома DFS.
Ресурс - resource Любая часть компьютерной системы или сети (например, прин память), которая может быть предоставлена программе или про цессу во время работы.
Родительский домен - parent domain Домен, являющийся вышестоящим в дереве доменов по отношению к рассматриваемому.
Словарь Родительский класс - parent>
Свободное пространство и неформатированная часть жесткого диска, которая может быть разбита на разделы или подразделы. Свободное простран внутри расширенного раздела для создания логических дисков. Пространство, не используемое расширенным разделом, до ступно для создания Максимальное число разделов Ч Сеансовый билет - session ticket Билет, выдаваемый распределения ключей для до ступа к серверу в течение одного сеанса работы. Сеансовый хранится в кэше билетов и может быть использован неоднократно течейис времени жизни билета.
Сервер - server В Windows 2000 Professional Ч компьютер, предоставляющий свои ресурсы для совместного в сети. См. также клиент.
В Windows 2000 Ч компьютер, содержащий копию базы дан ных защиты домена и идентифицирующий регистрацию по сети. См.
также контроллер Сервер-форпост - bridgehead server Контроллер домена в сайте, через который выполняется репликация с другими сайтами. Сервер-форпост выбирается из числа доступ ных контроллеров домена. Форпост, администратором, называется выделенным форпостом.
Серверный сертификат - server Термин относится к использованию сертификата для сервера. Например, сервер Web может послать свой серверный сер тификат чтобы последний удостоверился в подлинности сервера.
Сетевой интерфейс - network interface Сетевая плата, устройство удаленного доступа, виртуальный канал и др. Устройство, которое подключен к сети.
В одном компьютере может быть несколько сетевых с каждым из которых быть связаны различные протоколы.
500 книги Сетевой каталог ~ network directory См.
Системный раздел Том, содержащий файлы, зависящие от типа техники, необходимые для загрузки Windows 2000.
Скрипт - script сценарий.
Служба - service Процесс, определенные функции системы и часто API для вызова других процессов. Службы Windows поддерживают что подразумевает возможность вызова про цедур API с удаленных компьютеров.
Служба каталогов Active Directory интегрированная с 2000 Server и обеспечивающая иерархический вид сети, наращиваемость и а также функции распределенной безопасности. Содержит информацию обо всех объектах системы и их а также о взаимосвязях между объектами.
Смешанный режим работы - mixed mode Режим работы домена Windows 2000, допускающий наличие в доме не контроллеров домена старых версий. В этом режиме не ет универсальных групп и запрещено вложение групп.
Событие - event Любое значительное происшествие в системе или в приложении, о котором надо оповестить пользователя или занести запись в журнал.
Совместно ресурс - shared resource Ресурс (каталог, принтер, страница книги обмена и т. п.), доступный пользователям сети.
Сокращение пути доверия - shortcut trust Использование горизонтальных доверительных отношений для уменьшения длины пути доверия.
Список контроля доступа - Access Control List (ACL) Часть дескриптора безопасности, перечисляющая защитные функции, примененные к объекту. объекта может изменять список доступа к для предоставления или запрещения до ступа к объекту другим. Список контроля доступа состоит из строк контроля доступа.
Строка контроля доступа - access control entry (АСЕ) Элемент в списке контроля доступа (ACL). Строка содержит иденти фикатор безопасности пользователя и набор прав доступа.
Словарь терминов Процесс с совпадающим идентификатором имеет либо разрешающие права, либо либо права с аудитом. См, список контроля доступа.
Сфера влияния службы каталогов - directory scope Может включать любые объекты (пользователи, файлы, принтеры и т. серверы в домены и даже глобальные сети.
Схема - schema Набор экземпляров классов объектов, хранящихся каталоге. Прило жения могут динамически изменять схему, добавляя в нее новые ат рибуты и классы. Модификация схемы сопровождается созданием или модификацией хранящихся каталоге. внесенные из менения моментально становятся доступны для других приложений.
Доступ к любому объекту схемы (впрочем, как и к любому объекту в Active Directory) защищен списками контроля доступа, что гарантиру ет внесение изменений только уполномоченными делать это.
Сценарий Последовательность команд, написанных на некотором языке сцена риев. Для исполнения сценариев применяется хост или процессор.
Сценарии служат для определения среды пользователя при его реги страции, для выполнения функций на серверах Web по запросу кли ентов, для автоматизации административных задач и т. п.
Сценарий - startup Обычно командный файл. Исполняется на этапе загрузки ОС, Исполь зуется для запуска приложений или служб исполняемых от имени компьютера.
Сценарий регистрации - logon script Обычно командный автоматически выполняемый при каждой регистрации пользователя в системе. Может служить для настройки окружения пользователя или рабочей среды. Сценарий регистрации назначается одному или нескольким пользователям сразу.
Т Терминальный сеанс работы - terminal session Сеанс работы с Windows 2000 Sewer с использованием Terminal Se rvices. На экране удаленного терминала окно сеанса Windows 2000 от версии ОС клиента. Служит для удален ного администрирования и для исполнения приложений на сервере.
Тиражирование с несколькими мастерами master replication репликации что изме нения могут выполняться на нескольких контроллерах домена. Ис пользует специальный алгоритм для разрешения конфликтных ситу аций.
книги Тиражирование службы каталогов - directory replication репликация службы каталогов.
Том - volume Раздел диска или несколько форматированных для исполь зования файловой системой.
Том DFS - DFS volume Совокупность переходов DFS и совместно используемых ресурсов, на которые они указывают. Характеризуется именем, по осу ществляется доступ к ресурсам.
Топология репликации - replication topology Набор объектов связи между контроллерами доменов, определяющий последовательность изменений между контроллерами.
Топология, формируемая внутри сайта по Ч двунаправ ленное кольцо.
Точки перехода NTF5 - NTF5 junction points Места в файловой системе позволяющие переходить из теку щего каталога в другой каталог или на другой диск.
Транзитивные доверительные отношения - trust relationships Двусторонние доверительные отношения между доменами, установ ленные так, что если один из них доверяет третьему домену, то вто рой также доверяет ему. при включе нии нового домена в дерево доменов.
Транспорт TCP/IP См. TCP/IP.
У Удаленная регистрация - remote logon Когда пользователь связь с удаленного проверка осуществляется на компьютере, не мар кера для данного пользователя. (Маркеры доступа создаются при регистрации.) Удостоверяющий центр - Certificate Authority См. Центр сертификации.
Узел - node Любой управляемый объект, или вид: компьютеры, пользова тели, страницы Web и т. д.
Универсальные группы - universal безопасности или почтовые группы, в которых могут быть учетные записи пользователей, или универсальных групп из любого домена Членство в глобальных группах публикуется Словарь терминов в Универсальные группы могут менять свой статус и переходить из групп в почтовые и Уникальность пароля - uniqueness Элемент групповой определяющий число паролей, которые необходимо сменить, прежде чем сможет быть использован чальный пароль.
Учетная запись - user account Объект каталога Active содержащий всю информацию о пользователе Windows 2000: имя и пароль, необходимые для регист рации, в которые входит учетная запись, права и при вилегии при работе в системе и доступе к ресурсам.
Ф Файловая система с шифрованием - encrypting file system Расширение системы позволяющее прозрачно для пользователя шифровать/расшифровывать данные, хранимые на дис ке. Для шифрования применяется произвольный ключ. Текущая реали зация не позволяет совместно использовать зашифрованные файлы.
Файловая система NTFS NTFS file Файловая система Windows NT. разработанная для использования спе циально с Windows NT и Windows 2000. Поддерживает средства вос становления файловой системы и допускает применение чрезвычай но больших носителей данных, а также различные функции подсис темы POSIX. Также поддерживает прило жения, обрабатывая все файлы как объекты с определяемыми пользо вателем и системой атрибутами.
Фильтр групповой политики - group policy filter Список контроля доступа к объекту групповой политики. Среди стан дартных прав доступа содержит Apply, позволяющее регулировать при менение политики к пользователям и группам.
Форпост - bridgehead См.
- Центр сертификации - Certificate authority Институт, ответственный за выдачу сертификатов. Это может быть организация, сертификатам которой вы доверяете, например Verisign.
Также это может быть программный компонент такой как Certificate Server.
Цифровая подпись - digital signature связанная с документом и применяе мая для подтверждения истинности передаваемой информации. Со 504 Название книги здается с использованием личного ключа отправителя. Для подлинности применяется открытый ключ отправителя.
Ч Частичная - partial replica В Directory Ч копия объектов пространства имен, содержащих только часть атрибутов. Частичные реплики всех доменных про странств имен хранятся в каталоге.
Членство в группе - group membership Принадлежность к группе. Права и привилегии, предоставленные груп пе, распространяются на ее членов. Обычно действия, которые может совершить пользователь Windows 2000, определяются принадлежно стью к той или иной группе.
Ш Шаблон групповой политики - group policy template Часть объекта групповой политики, хранящаяся на диске в каталоге Тесно связан с соответствующим ему контейнером вой политики.
Шифрование данных - data encryption Изменение формата данных, так чтобы их прочитать. См.
файловая система с шифрованием.
Я Язык сценариев - language Язык, на котором пишется Это может быть обычный набор команд системы, собранных в командный файл, либо некоторый стан дартный язык программирования. В Windows 2000 стандартно под держиваются два языка сценариев: VB Script и А АСЕ строка контроля доступа.
См. список контроля доступа.
Active Directory См. служба Active (Active Directory Интерфейс программирования, позволяющий приложениям исполь зовать службу Active Directory и обращаться к объектам каталога. Также позволяет добавлять новые классы и объек тов путем схемы.
Editor Мощный инструмент просмотра объектов Active Directory и их атри бутов. модифицировать атрибуты. Имеет графический Входит в состав Windows 2000 Support С СА (Certification Authority) См. центр сертификации.
Certificate server См. сертификатов.
CRL (Certificate Revocation и обслуживаемый центрами сертификации и содержащий список сертификатов им аннулированных.
D DCPROMO используемая для повышения статуса сервера Windows 2000 до контроллера домена.
(Dynamic Динамический сервер AYS. Клиенты Windows 2000 динамически об новляют информацию о своих адресах в базе DNS.
DFS (Distributed File См. распределенная файловая система.
Dfsutil Инструмент для диагностики и управления службой распределенной файловой системы. Имеет интерфейс командной строки. Входит в состав Windows 2000 Server Resource Kit.
DHCP (Dynamic Host Configuration Protocol) Протокол автоматического предоставления адресов IP клиентским компьютерам. В Windows 2000 реализована соответствующая служба.
Кроме того, позволяет динамически регистрировать имена компью теров в базе DNS. Требует обязательной Active Directory.
DLL (Dynamic Link Library) См. динамическая библиотека.
DNS (Domain Name System) Система имен домена. База данных, обеспечивающая соответствие имен компьютеров и IP-адресов.
Е (Encrypted File System) См. файловая система с 506 книги F FAZAM Мощный инструмент компании анализировать результирующий набор групповых правил на клиенте, а также выпол нять групповой политики.
Single Master копия для некоторых функций испол няемых только на одном контроллере домена. хранящий объект называется мастером операций.
FTP (File Transfer Protocol) Протокол передачи данных, позволяет перемещать файлы с одного компьютера в Интернете или в на другой. пред назначенные для предоставления файлов для загрузки на другие ком называются серверами FTP, (Inter-site Topology Generator) Генератор топологии Ч процесс ответственный за со здание объектов между сайтами. По своей сути это функция К КСС (Knowledge Consistency Checker) выполняемый на домена и ответственный за формирование топологии КСС создает объекты связи между контроллерами внутри сайта. Один из КСС выполняет роль генератора межсайтовой топологии (ISTG).
КОС (Key Distribution Center) См центр ключей.
См. аутентификация Kerberos.
L Ldp Мощный инструмент просмотра, поиска и редактирования объектов Active и их Имеет графический интерфейс. Тре бует знания запросов ШАР. Входит в состав Windows Support tools.
LDAP (Lightweight Directory Access Протокол доступа к службе основанный на стандарте Х.500.
м (Microsoft Management Console) См. ММС.
Словарь терминов Services) позволяющий синхронизировать несколько разнородных служб каталогов. Может служить для объединения нескольких лесов с целью создания единого пространства имен.
N инструмент диагностики и исправления базы Active Directory.
NTFR5 File System) Служба репликации файлов, применяемая в Windows 2000 для реп ликации каталогов и DFS.
Ntfrsull инструмент диагностики и исправления службы NTFRS.
NTFS (New Technology File См. файловая система NTFS.
См. аутентификация NTLM.
Р (Partition Knowledge Table) Таблица, используемая сервером DFS для хранения о соответствии между переходами и совместно используемыми ресурсами, на которые они указывают. Клиенты РКТ для ускорения к ресурсам DFS.
R Один из основных инструментов диагностики репликации Active Directory. Имеет интерфейс командной строки. Входит в состав Win dows 2000 Support tools.
Replication Monitor Один из основных инструментов диагностики репликации Active Directory. Имеет графический интерфейс. Входит в состав Windows 2000 Support tools.
RID (Relative Identifier) Компонент SID. Каждый в домене использует свой пул KID для идентификации своих объектов, S SID (Security Identifier) См. безопасности.
508 Название книги (Security Support Provider Interface) Интерфейс поставщика функций безопасности. Набор функций, ко торые приложения могут использовать для доступа к механизмам или UNC Naming Универсальное соглашение об используемое в сетях Microsoft. Синтаксис соглашения:
UPN Principal Name) Дружественное имя пользователя, определяющее его в каталоге Active Directory. Состоит из регистрационного имени пользователя и суф фикса. Суффиксом может быть полное имя домена либо имя домена.
USN (Update Sequence Number) 64-разрядное уникальное для отслеживания из менений объектов в Directory. Используется механизмом тиражирования при разрешении конфликтных ситуаций.
Windows 2000 Professional Младшая система в семействе Windows 2000. Предназначена для на стольных и мобильных компьютеров в качестве клиентской рабочей станции.
Windows 2000 Server Младшая система в семействе серверных продуктов Windows 2000.
Поддерживает работу с оперативной памятью до 4 Гб и до 4 процес соров.
Windows 2000 Advanced Server Средняя система в семействе серверных продуктов Windows 2000.
Поддерживает работу с оперативной памятью до 8 Гб и до 8 процес соров. Поддерживает кластеры серверов и кластеры с сетевой балан сировкой нагрузки.
Предметный указатель Active Tool CM. ADMT Active and Services Active Directory 203, Active Directory Sizer Ч серверов Active Users and Ч восстановление 395, Ч аварийное ADMT (Active Directory Ч Migration 170. Ч базы Ч из резервной копии ADSIEdit Ч на другой компьютер Software ERDisk for Active Ч через переустановку (authenticated header) Ч журнал Ч объектов Ч контейнер В Ч лес BDC 167, Ч объект BIND 92, Ч объем базы relay agent Ч ограничение см. агент передачи BOOTP Ч перенос базы Ч С Ч проектирование CGP Ч резервное копирование 4, Ч обычное Computer Associates Ч состояния Ч сайт D Ч система Ч тиражирование 94, изменений DFS (Distributed File System) 47, 339.
Ч стратегия именования Ч Ч делегирование полномочий Ч установка Ч доменная 381, Ч проблем Ч том Ч целостность базы Ч доступ Active Directory Domains and 510 подход Ч 394, 402 Ч интервал опроса Active 390, 404 Ч реплика 382 Ч механизм восстановления Ч Ч авторитетное 374. Ч имен 392, 40б Ч из реплики Ч копирование 360 Ч Ч 385 Ч с магнитной ленты Ч том 382 Ч оптимизация Ч отказоустойчивый 383 Ч таблица Ч реплика 383 Ч устранение проблем Ч создание 395 Ч фильтр Ч точка перехода Ч устранение GPC (Group Policy Container) 251, также групповая политика DfsCmd (Group Policy 251, см. также групповая политика 401, DHCP 54, 122, 125, н Ч авторизация в Active Directory" high см. Active Ч контроль Directory, ватерлиния* Ч сервер Ч авторизация Ч размещение I distinguished name Х IAS (Internet Server) см. имя, объекта System см ID DLL IEAK (Internet Explorer Authorization зона Kit) DN 67, IKE Key DNS (Domain Name Service) 2, 76.
Integrity Internet Authentication Server CM. IAS Ч динамическая регистрация Internet Explorer имен 122, Internet Explorer Kit Ч зона CM. IEAK Ч имя Internet Key Exchange CM. IKE Ч пространство имен IP Ч сервер 75, Ч стратегия DSA DsaStat К KCC Consistency Checker) Е 49, 153, 198. 202, 344, ЕАР KDC encapsulated security см. ESP 76, 78, Storage Consistency Checker CM. KCC ESP (encapsulated security payload) Event Viewer Storage Engine CM. ESE LAN Manager F 39, 47, Ldp Ч Active Ч восстановление конфигурации Ч журнал Ч Предметный browser см. домен, SAM обозреватель Schema Management Consulting Services Server Microsoft Exchange 2000 45, 66 SID Microsoft Identity Integration Server SID см. SID 2003 25 Simple Network Time Protocol SNTP Microsoft Installer 278 single replication тиражи Microsoft Tape Format CM. MTF рование с мастером SMB MTF (Microsoft Tape 420 SMTP (Simple Network Time Protocol) 59, 63, 137, N special identities см. особые NAT (Network 5.
объединения 76, 67, 76. 116, 4, Ч имя forest см. лес, подписки Ч отключение поддержки 135, Ч разрешение Т Netlogon 9", TCP Network Address Translation CM. NAT TCP/IP 111, 125, Novell Netware 92 thread ID см. потока for Windows 2000 UNC number CM.
updateness вектор, originating update ом. объект, обновление USN sequence number) 166, 183, 189, Ч исходный Partition см. РКТ Ч локальный PDC 138. 167, Ч 24, РКТ Knowledge Table) Vector Join CM.
R вектора версий 5. Backup Exec Remote Storage Version Vector см. вектор 213. VPN Replication Monitor 218. w RID 67, and Remote Access Server Web-интерфейс Windows 2000 100. 119, 211, Backup 76, Ч динамическое портов Windows Windows Internet Service TCP 194. 195 CM. WINS Windows NT 6, 26, 39. 21 RRAS (Routing and Remote Access Server) 125 NT 4.0 512 профессионала Scripting Host 280, 299 Ч глобальная 28, 32, XP 119, 121 Ч размер 54, 116, 153 Ч формирование WINS internet Ч локальная 28, 32, 35, Service) 76 Ч Restricted Groups Ч универсальная Ч сортировка учетных записей авторизация агент Ч административный шаблон 294, групповая политика 38, книга также групповые правила аргумент Ч -ADDIAG - /clean - 2000 Ч Ч контейнер GPC (ОПТ) 251, 276, - /remit Ч Ч Ч список контроля доступа Ч сценарий Ч проблем Ч Ч фильтрация - Ч флаг Ч применение Ч хранение параметров аренда Ч шаблон см.
групповые правила В см. также групповая политика вектор Ч делегирование Ч версии Ч для домена Ч Ч для компьютеров виртуальный туннель Ч для подразделений Ч для генератор Ч для сайта см. ISTG Ч глобальный 32, 103.
применения Ч блокировка наследования 263. группа Ч Ч Administrators Ч перемычка Ч Ч принудительное Ч Domain Ч Enterprise 37, Ч применения Ч Everyone Ч - Pre-Windows 2000 Compatible Ч локальные Ч Ч Schema Admins Ч 2000 Ч создание Ч 37, Ч : :
Ч политики для Ч 13б делегирование административных Ч полномочий 39, Ч событий демилитаризованная 75, Ч событий Ч событий приложений 10. 20, Ч транзакций 134, Ч приложений доверительные Ч зона 4, Ч попарные Ч Ч Ч динамическое документ - Ч печать Ч поиск И Ч см.
Ч использование идентификатор потока 1, 67, 138, 153, 174, 273, Ч политика 427, Ч безопасность Ч глобальный 1 - Ч дочерний Ч Ч имя 2, - NetBIOS Ч имен Ч Sam Name Ч контроллер 4, 10.
- - 1, 2, 10. 14, Ч компьютера Ч Ч Ч Ч мастер Ч Ч пользователи Ч с одним инфраструктура открытых ключей Ч см.
Ч отношений Ч с несколькими мастер К каталог Ч с одним доменом 9.
Ч Ч коммутируемая Ч контроллер домена Ч Ч переустановка Ч генератор Ч плоское Ч подключение через Ч си. РОС.
Ч Ч Ч политика Ч проверка 1 Ч промежуточный I - Ч пул идентификаторов 138. Ч Ч имя 66 Л доступ к файловым лес 1. 20, Ч домена Ж Ч имя журнал Ч Ч Ч входа 346, Ч структура Ч 346, имя 514 Active Directory: подход профессионала Ч ресурсное M Ч мастер Ч Ч имен 66, Ч Ч инфраструктуры 61, Ч Everyone Ч 427, Ч Interactive Users Ч Ч Network Users идентификаторов см. RID относительный Ч переноса групп Ч подготовки Ч схемы п Ч Directory пакет установки записи Ч плоская сеть Ч объект каталог Ч имя пол пне вектора версий Ч направление подписка Ч создание пользовательский идентификатор Ч расписание помер Ч обновления см.
Ч стоимость Ч топология - Ч транзитивная Ч Ч межсетевой Ч групп с миграция Ч журнала регистрации О Ч Ч безопасности объект Ч правила аудита - Settings Ч пользователей Ч исходное Ч открытых ключей Ч исходное Ч реестра Ч Ч служб Ч ограничение числа Ч памятник 186 - учетных записей Ч правила Kerberos Ч Ч блокировки учетных Ч " записей Ч обновление Ч правила паролей 183, Ч Ч прокси-сервер Ч создание Ч удаление 186 пропускная способность каналов связи см. групповая пространство имен протокол адресов см. NAT Ч глубина вложения Ч иерархия Р Ч модель система см.
Ч Ч редактор реестра Ч Ч проектная реплика Ч первого уровня Ч базы объектов домена Ч принцип построения Предметный 180 Ч Ч контекста 180 - LDAP 49 Ч конфигурации Ч ошибка системы Ч 180 Ч Отсутствие конечной точки Ч мастер (No end-point) Ч полная 180 Ч Ошибка поиска в DNS Ч резервная 179 (DNS Lookup failure) Ч схемы 180 Ч 180 Ч пропускная способность канала репликация 10. 32. связи см. также тиражирование Ч пропускная способность каналов -Active 47, 72, 163. 179, 424 Ч Ч ) 95 Ч Разница во времени Ч 188 (Ошибка 82) Ч верхняя ватерлинии 188 Ч расписание 49, 58, Ч 195, Ч связь Ч 194 Ч Служба каталогов перегружена Ч 194 service too 208 Ч партнеров Ч 179 Ч схемы Ч контроллер домена 193 Ч трафик 47, Ч 195 Ч файла Ч пакет 197 Ч файловая Ч с несколькими мастерами 179 Ч системы Ч сайт С связь сайт 47, Ч сервер-форпост Ч сетевой протокол репликации Ч синхронная сеть Ч слабая сервер Ч топология 181, - Ч -DHCP Ч объект -ISA - сайт NT 4.0 Ч топология 118, 47, 164, Ч Ч избыточность - ГК 54, 66, Ч инициация Ч обновление Ч объект терминальный Ч планирование Ч файловый Ч расписание Ч форпост 54, Ч Ч автоматический Ч журнал NTFS Ч выделенный 60, Ч репликация Ч сайта Ч тиражирование Ч входная сертификат Ч выходная политика служба Ч диагностика Ч распределенной файловой Ч интервал системы см.
Ч контроллер домена Ч Ч критических событий Directory Ч между Ч файловой системы см. FRS Ч механизм Ч каталогов Windows NT - Ч времени Ч отказоустойчивых томов DFS 516 Active Directory: подход профессионала смарт-карта 14, список хранилище ЗбО Ч контрольных точек процедур см. RPC Ч доступа учетная запись Ч совместимого оборудования суперобласть 122, 123 Ф схема файл Ч Ч Ч политика 72 137, 203, 137. -ADSI 36 137. 134, Т 134. таблица Ч Lbridge.cmd Ч знаний о разделах -ID - 137, Ч идентификаторов 34й Ч ntconfig.pol Ч соединений тиражирование Ч также - Ч с одним мастером - 133, топология сети Ч 5 Ч Ч кольцо Ч Ч сложная (комбинированная) Ч точка перехода NTFS Ч резервное транзакция атомарная трафик X Ч - SMTP ш Ч компрессия Ч 49 рассылка Ч регистрации 52 штамп Ч репликации Ч управление Ч Список литературы 1. Зубанов Microsoft Windows 2000. Планирование, развертывание, управление. 2-е изд., испр. и доп. Ч Русская Редакция. 2000 г.
Межсетевое взаимодействие, Ресурсы Microsoft Windows 2000 Server. Ч Русская Редакция. 2001 г.
3. Распределенные системы. Книга 1, Ресурсы Microsoft Windows Server. Ч Русская 2000 г, 4. Сети TCP/IP. Ресурсы Windows 2000 Server. Ч Русская Редак ция, 2000 г, 5. Active Branch Office Planning 2000 Server Distributed Guide. Ч Microsoft Press, 2000 r.
7. Windows 2000 Server Operations Guide. Ч Microsoft Press, 8. Windows 2000 Server Deployment Planning Guide. Microsoft Press, Зубанов Ф. Windows NT: выбор 2-е изд. Ч Русская Редакция.
М, 1997 г.
Об авторе Федор Зубанов работает в Российском отделении корпорации Micro soft. За лет он прошел путь от системного инженера до старшего консультанта службы Microsoft Consulting Services. Долгое время зани мался популяризацией системы Windows. Последние 5 лет занимает ся планированием и внедрением систем на NT/2000. Его конек Ч построение службы каталогов Active Directory. Федор прини мал участие в проектах по сетевой инфра структуры на базе Windows 2000 в таких компаниях, как Альфа-банк, Вымпелком, Лукойл, Роснефть, Юкос и др. В последнее время привле кается российскими компаниями в качестве эксперта по Active Попав под сильное давление издательства Русская Редакция Федор написал в 1995 г. свою первую книжку Ч о Windows NT После довавшие за ней книги по администрированию Windows NT 4.0 и Windows 2000 сразу стали бестселлерами. Настоящая книга Ч пятая по многолетний опыт работы с Active Directory. Все книги были написаны в свободное от основной работы время. Так что вопрос о хобби отпадает сам собой.
Федор Active Directory:
подход профессионала Издание 2-е, исправленное Компьютерная верстка В. Б. Е. Б.
Технический редактор О. В.
Дизайнер обложки Е. В. Козлова Оригинал-макет выполнен с использованием издательской системы Adobe PageMaker 6. Главный редактор И. Козлов Подготовлено к печати Русская 123317, ул. д. (095) тел./факс: 256- e-mail:
Подписано в печать г. 2 000 экз.
Формат п. л. Отпечатано в 105005, ул. Фр. Наши книги Вы можете приобрести Х в магазин и деловая книга Ленинский проспект, 38, Мясницкая. 6.
(095) 928- дом уп. в.
(ОЭ5) 290- пр-т, 40, ул. Большая 28.
(095) -Дам книги на Соколе Ленинградский пр-т, 78, (095) 152- книги на Войковской" Ленинградское ш.
13, стр. (095) 150- Мир печати ул. 2-я Тверская-Ямская, (095) Торговый дом книги Москва ул. Тверская, (095) 229- Х в Дом СПб Дом Невский Магазин Подписные Литейный 57, (812) 273- Магазин книга, ул. Пушкинская, 2, Буквоед, 13, Дом (812) 247- Оптово-розничный магазин Наука и 567- Х в Екатеринбурге:
Магазин Дом книги ул. 12, (3432) 59- Х в и техника.
Pages: | 1 | ... | 5 | 6 | 7 | Книги, научные публикации