Для централизованного управления факультетской сетью необходимо создать домен на основе Microsoft Windows Server 2003.
Примечание . В процессе установки может потребоваться вставить в дисковод установочный компакт-диск Windows Server 2003. Можно использовать физический компакт-диск или iso -образ установочного диска операционной системы.
Задание 1. Установить на сервере службу каталога Active Directory, создать домен mydomain.ru.
Указания к выполнению
1. Запустите мастер установки Active Directory Start – Run – dcpromo.
2. Следуя шагам мастера установки, выберите следующие параметры установки:
В окне Domain Controller Type (Тип контроллера домена) – переключатель Domain controller for a new domain (Контроллер домена в новом домене);
В окне Create New Domain (Создать новый домен ) – переключатель Domain in a new forest (Домен в новом лесу );
В окне Install or Configure DNS (Установка или настройка DNS ) – переключатель No, just install and configure DNS on this computer (Нет, DNS уже установлена и настроена на этом компьютере ), если служба DNS уже установлена на сервере, или Yes, I will configure the DNS client (Да, я буду конфигурировать клиента DNS) ;
В окне New Domain Name (Новое доменное имя ) наберите mydomain.ru в строке Full DNS Name For New Domain (Полное DNS-имя нового домена );
В окне NetBIOS Domain Name (Доменное имя NetBIOS ) должна появиться запись MYDOMAIN ;
Убедиться, что для размещения базы данных и протокола выбран путь C:\WINDOWS\NTDS , а для размещения каталога SYSVOL указан путь C:\WINDOWS\SYSVOL ;
В окне Permissions (Разрешения ) выберите Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems (Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003 );
В окне Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления) введите пароль, который хотите присвоить этой учетной записи сервера Administrator в случае, если компьютер загрузится в режиме Directory Services Restore (Режим восстановления);
В окне Summary (Сводка) изучите список выбранных вами параметров установки и дождитесь завершения процесса установки Active Directory.
3. В окне Completing The Active Directory Installation Wizard (Завершение работы мастера установки Active Directory), щелкните кнопку Finish (Готово), а затем кнопку Restart Now (Перезагрузить компьютер сейчас).
Задание 2 . Просмотреть созданный домен одним из способов.
Указания к выполнению
1-й способ.
Откройте My Network Places – Entire Network – Microsoft Windows Network (Мое сетевое окружение – Вся сеть – сеть Microsoft Windows). Убедитесь, что появилась запись о домене mydomain, в котором содержится один компьютер – Server.
2-й способ.
1 В меню Start – Programs – Administrative Tools (Пуск – Программы – Администрирование) выберите Active Directory Users And Computers (Пользователи и компьютеры Active Directory). Откроется одноименная оснастка.
2 В дереве оснастки дважды щелкните на mydomain.ru (или на имени вашего домена), чтобы увидеть содержимое узла mydomain.ru.
3 В разделе Domain Controllers (Контроллеры домена) дерева оснастки просмотрите название контроллера домена и его полное имя DNS (например, если имя изолированного сервера было server, то после установки домена должно стать server.mydomain.ru).
4 В разделе Users (Пользователи) просмотрите список встроенных учетных записей пользователей и групп пользователей домена.
5 Активизируйте встроенную учетную запись Guest (Гость) и попробуйте войти в систему. Удалась ли попытка сделать это? На контроллеры домена разрешен вход только администраторам домена.
6 Закройте консоль Active Directory Users And Computers.
Задание 3. Проверить работу службы DNS с помощью оснастки DNS.
Указания к выполнению
1. Откройте консоль DNS командой Start – Programs – Administrative Tools – DNS (Пуск – Программы – Администрирование – DNS).
2. В дереве консоли DNS щелкните правой кнопкой по имени вашего сервера и выберите команду Properties (Свойства). Откроется окно свойств SERVER (если у сервера другое имя, то в заголовке окна будет значиться оно).
3. Перейдите на вкладку Monitoring (Наблюдение).
4. В списке Select A Test Type (Выберите тип теста) пометьте флажки A Simple Query Against This DNS Server (Простой запрос к этому DNS-серверу) и A Recursive Query To Other DNS Servers (Рекурсивный запрос к другим DNS-серверам) и щелкните Test Now (Протестировать). В окне свойств Server в списке результатов тестирования должна появиться надпись PASS (Пройден успешно) или FAIL (Не пройден) – в столбцах Simple Query (Простой запрос) и Recursive Query (Рекурсивный запрос). Объясните полученные результаты.
Задание 4. Удалить службу Active Directory.
Указания к выполнению
Запустите мастер установки и удаления Active Directory Start – Run – dcpromo.
Согласно заданию проекта установите домен с именем faculty.ru, где контроллером домена является server.faculty.ru, IP-адрес которого 192.168.1.1.
Вопросы для самоконтроля
1. Опишите различия между рабочей группой и доменом.
2. Каково основное различие между ОС Windows XP и Windows Server 2003?
3. Возможно ли создать домен в сети, где все компьютеры сети работают под управлением ОС Windows XP?
4. Дайте определение контроллера домена.
5. Перечислите известные Вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.
6. Что означает термин «изолированный» сервер?
7. Опишите различия между рабочей группой и доменом.
8. Почему встроенная учетная запись Guest (Гость), как правило, бывает отключена?
Литература
Тема: Создание и администрирование учетных записей пользователей и групп
Задание 1. Создайте доменную учетную запись декана:
– имеет доступ ко всем ресурсам сети,
– может осуществлять вход на любой компьютер.
Указания к выполнению
1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers (Пуск –Программы –Администрирование –Пользователи и компьютеры Active Directory) .
2. Раскройте папку faculty.ru Users (Пользователи) .
3. В меню Action (Действие ) выберите команду New –User (Создать –Пользователь) .
4. Введите необходимые сведения о пользователе. В разделе User logon name (Имя пользователя при входе в систему ) введите dean (декан) . Обратите внимание на то, что при создании доменной учетной записи, в отличие от локальной, после имени пользователя отображается имя домена, отделенное от последнего знаком @ . Таким образом, полное имя пользователя (User logon name) –[email protected] .
5. При определении пароля пользователя обязательно установите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе в систему ).
6. Завершите создание учетной записи.
7. В правой панели найдите учетную запись. Дважды щелкните по ней, чтобы внести дополнительные сведения (адрес, организация и т. д.).
8. Убедитесь в том, что декан может входить в систему в любое время (вкладка Account –Logon Hours (Учетная запись –Часы входа) ).
9. Попробуйте войти в домен под учетной записью декана. Почему попытка не удалась?
10. Зарегистрируйтесь в системе как администратор.
11. Посмотрите свойство учетной записи декана, снова выполнив команду Start –All Programs –Administrative Tools –. В окне свойств учетной записи выберите вкладку Member of (Членство в группах ) и добавьте учетную запись декана в глобальную группу Администраторы домена с помощью следующих команд Add… –Advanced… –Find now… (Добавить… –Дополнительно… –Найти…) из полученного списка выберите Domain Admins (Администраторы домена ).
12. Повторите попытку войти в домен под учетной записью декана.
13. После входа в систему под учетной записью администратора смените пароль декана и снова задайте необходимость смены пароля при следующем входе в систему.
Задание 2. В соответствии с требованиями политики безопасности сети, в группу администраторов не рекомендуется включать других пользователей домена, кроме лиц, непосредственно выполняющих функции администрирования. Исключите учетную запись декана из группы администраторов.
Указания к выполнению
1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers .
2. Раскройте папку faculty.ru в левой панели окна. Во вложенных папках выберите Users .
3. В правой панели найдите учетную запись. Дважды щелкните по ней, и перейдите на вкладку Member of (Членство в группах). Среди списка групп выберите Domain Admins и нажмите Remove .
Задание 3. Разрешить учетной записи декана осуществлять вход на контроллер домена, не включая его в группу администраторов.
Указания к выполнению
1. Добавить учетную запись декана в группу Print Operators , члены которой могут осуществлять вход на контроллер домена.
2. Войдите в домен под учетной записью декана
3. Предложите другой способ, разрешающий вход на контроллер домена.
Задание 4. Создайте глобальную группу Teachers (Преподаватели ):
– тип группы – группа безопасности;
– преподаватели могут осуществлять вход на любой компьютер сети, кроме сервера;
– для каждого из преподавателей существует собственная учетная запись и настройки, которые конфигурируется лично преподавателем.
Указания к выполнению
1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers .
2. Раскройте папку faculty.ru в левой панели окна. Во вложенных папках выберите Users .
3. В меню Action выберите команду New –Group (Новое –Группа) .
4. В поле Group Name (Имя группы ) введите Teachers .
5. В области Group Scope (Область действия группы ) щелкните переключатель Global (Глобальная) , а в области Group Type (Тип группы ) – переключатель Security (Безопасность) .
6. Щелкните OK.
Задание 5. Добавьте в группу Teachers (Преподаватели ) члена группы – учетную запись декана.
Указания к выполнению
1. Убедитесь, что открыта оснастка Active Directory Users and Computers и выбран контейнер Users .
2. В окне свойств группы Teachers выберите вкладку Members (Члены группы ), а затем последовательно кнопки Add… –Advanced… –Find now… из полученного списка выберите учетную запись декана.
3. В окне свойств учетной записи декана найдите информацию о членстве в группе Teachers .
Задание 6. Составьте списки встроенных локальных, глобальных доменных, локальных доменных групп и изучите описание каждой встроенной группы.
Задание 7. Заполните таблицы, содержащие сведения о членах домена. Таблицы должны помогать планировать и создавать учетные записи домена.
Пример заполнения таблиц для группы пользователей Деканат и учетной записи Студент смотрите ниже.
Таблица 8
Планирование групп
Таблица 9
Расписание входа в систему
Таблица 10
Планирование паролей
@ Придумайте не менее трех пользователей из каждой группы и в соответствии с требованиями проекта заполните таблицы 8–10. Внесите таблицы в отчет.
Задание 8. Создайте в соответствии со своими вариантам таблиц 8–10 необходимые по заданию проекта учетные записи пользователей и групп пользователей.
Задание 9. Проведите тестирование учетных записей. Например, измените системное время на 6.00 и попытайтесь войти в домен под учетной записью студента. Попытайтесь сменить пароль данной учетной записи.
Вопросы для самоконтроля
1. Опишите различия между локальной и доменной учетными записями.
2. С какой целью создают группы пользователей?
3. Объясните назначение локальных, глобальных и универсальных групп.
4. Объясните назначение групп безопасности и групп распространения.
5. Дайте определение и приведите примеры для следующих терминов: «права пользователей», «привилегии пользователей», «разрешения доступа пользователей».
6. Перечислите известные Вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.
7. В какую встроенную группу пользователей, отличную от группы администраторов, нужно включить учетную запись, чтобы пользователь мог осуществлять вход на рабочую станцию? Существуют ли другие способы сделать это?
8. Как запретить вход в систему в выходные дни и нерабочее время?
9. Как ограничить срок действия учетной записи?
10. Как отключить учетную запись сотрудника, например, во время его болезни?
12. Как изменить пароль пользователя?
13. Как запретить изменение пароля пользователем?
14. Каковы последствия удаления группы?
Литература
Лабораторная работа №5
После перезагрузки сервера необходимо убедиться, что Основной режим разрешений (режим Windows Server 2003) установился. Для этого необходимо открыть оснастку « Active Directory – домены и доверие», «встать» мышкой на название своего домена и из меню выбрать «Изменение режима работы домена».
Если Основной режим разрешений не установлен, его необходимо установить.
Настройка DNS
Для настройки автоматически созданного при установке контроллера домена DNS следует загрузить оснастку DNS , нажать правой кнопкой мыши на вкладке «Зоны обратного просмотра» и из предложенного меню выбрать пункт «Создать новую зону».
Будет выполнен запуск Мастера создания новой зоны.
В окне «Тип зоны» нужно указать, какая зона будет создана. Поскольку производится настройка первого сервера DNS в домене, требуется выбрать пункт «Основная зона», и рекомендуется выбрать параметр «Хранить зону в Active Directory ».
Выбор в окне «Область репликации зоны, интегрированной в Active Directory » рекомендуется остановить на пункте «На все DNS -серверы в домене имя_созданного_домена . local ». Это позволит передавать зоны только в пределах конкретного домена в случае наличия леса.
Окно «Имя зоны обратного просмотра» задает описание, для каких IP -адресов будет вестись накопление информации и предоставление имен по запросу клиентов. Рекомендуется для простоты вводить именно код сети, представляющий собой количество значащих октетов в адресах локальной сети (Например: 192.168.1).
В форме «Динамическое обновление» требуется выбрать, каким образом может быть изменена информация, хранимая DNS -сервером. Для сетей, в состав которых входят клиенты Windows 2000 и старше, можно разрешать только безопасные динамические обновления. В общем же случае рекомендуется выбирать параметр «Разрешать любые динамические обновления».
После этого создание новой зоны обратного просмотра будет завершено, и появится информационное окно с кратким описанием создаваемой зоны. При необходимости можно вернуться назад и внести необходимые изменения.
После того, как создание зоны обратного просмотра будет завершено, можно просмотреть ее содержимое и корректность именования зоны.
Затем нужно произвести настройку зоны прямого просмотра. Для этого, «встав» в ветви «Зоны прямого просмотра» на зону с именем созданного домена, требуется правой кнопкой мыши вызвать меню и выбрать пункт «Свойства».
На вкладке «Общие», как было проделано при создании ветви обратного просмотра, так же рекомендуется задать параметр «Динамическое обновление» в значение «Небезопасные и безопасные».
На этом настройка сервера DNS заканчивается, и теперь необходимо создать записи для сетевых устройств и активного сетевого оборудования.
Создание записи выполняется следующим образом: на зоне с именем домена следует нажать правую кнопку мыши, и выбрать в меню пункт «Создать узел». В форме ввода информации о создаваемом узленужно ввести имя узла (полное доменное имя заполняется автоматически) и его IP -адрес, после чего проставить галочку на пункте «Создать соответствующую PTR -запись».
По нажатию кнопки «Добавить узел» запись будет внесена сразу в зоны прямого и обратного просмотра. Если галочка не стоит, в зоне обратного просмотра запись придется создавать отдельно.
Настоятельно не рекомендуется создавать записи для компьютеров и серверов домена в DNS вручную. Для корректного создания записи в меню «Пуск - Выполнить» лучше выполнить команду ipconfig / registerdns , которая выполнит регистрацию на DNS -сервере.
Все операционные системы, подключенные к домену должны быть настроены на использование локальных DNS-серверов (обычно ими являются доменные контроллеры) в качестве предпочитаемых и альтернативных. Если конфигурация протокола TCP/IP настроена верно, операционные системы выполняют создание записей в доменных зонах в автоматическом режиме (за исключением Windows 9X).
Установка и настройка DHCP
Применение службы DHCP упрощает администрирование сети и позволяет обеспечить уникальность используемых в домене IP -адресов. Для установки службы DHCP достаточно зайти в«Панель управления», запустить «Установка и удаление программ», и выбрать вкладку «Установка компонентов Windows », «встать» на строку «Сетевые службы», и нажать «Состав».
Нужно установить компонент « DHCP ».
(Компонент « DNS » был добавлен автоматически в ходе установки AD и снимать с него галочку нельзя).
По завершению установки компонента DHCP нужно загрузить оснастку « DHCP », встать на запись, содержащую имя установленного сервера, и, развернув правой кнопкой мыши меню, выбрать пункт «Создать область». Будет запущен Мастер создания области.
В окне «Имя области» требуется ввести имя создаваемой области раздаваемых адресов и описание к ней. Данная информация вводится для удобства, и принципиального значения введенные данные не имеют значения.
В окне «Диапазон адресов» следует ввести начальный и конечный адреса диапазона, который будет доступен для автоматического распределения между компьютерами домена, и задать маску подсети, выбранную на этапе планирования сети.
В диалоговом окне задан диапазон, включающий в себя все возможные значения адресов в сети. Для того, чтобы не происходила выдача используемых адресов (IP -адреса серверов, активного сетевого оборудования и другие устройства со статическими адресами) необходимо на форме «Добавление исключений» указать исключаемый из распределения диапазон адресов. Можно перечислить адреса, исключаемые из распределения, по одному вводя их в графу «Начальный IP -адрес».
После указания каждого исключаемого адреса либо диапазона требуется подтверждать ввод нажатием кнопки «Добавить», после чего запись будет добавлена в список исключений.
Окно «Срок действия аренды адреса» служит для указания периода времени, спустя который выданный сервером IP -адрес может быть выдан другому получателю динамических адресов. Для сети, в архитектуре и составе которой изменения достаточно редки, рекомендуется устанавливать достаточно длительный срок аренды.
Для уменьшения общего времени создания домена, рекомендуется ответить согласием на предложение мастера создания области произвести настройку параметров DHCP .
Окно «Маршрутизатор (основной шлюз)» заполняется при наличии такового в составе сети.
Если подобного устройства нет, то окно нужно оставить незаполненным. Добавление основного шлюза так же требует нажатия на кнопку «Добавить», после чего введенный адрес маршрутизатора будет добавлен в список.
Окно «Имя домена и DNS -серверы» требует особого внимания. В графу «Родительский домен» требуется ввести без каких-либо сокращений полное имя созданного домена (например: « domain 1. local »). Ошибка или неполный ввод имени домена повлечет за собой проблемы в работе сети, например, сложности с подключением компьютера к домену.
Тут же вводятся адреса DNS -серверов сети. Рекомендуется вводить не адрес DNS -сервера, а его имя, при нажатии на кнопку «Сопоставить» адрес сервера будет проставлен автоматически, после чего так же необходимо нажать на кнопку «Добавить». Если не произошло сопоставление имени DNS -сервера либо был возвращен неверный IP -адрес, это может означать наличие проблем либо в службе DNS , либо в настройке сетевого соединения.
Можно вводить адреса нескольких DNS -серверов, если в сети используется одновременно несколько DNS -серверов.
Если в сети нет серверов WINS , то окно « WINS -серверы» следует оставить пустым.
Окно «Активировать область» позволяет отложить активацию создаваемой области на произвольное время (например, когда настройка сервера производится в другой локальной сети, либо выдача адресов производится другой зоной, и создаваемая зона еще не используется). Если сервер настраивается первым необходимо выбрать пункт «Да, я хочу активизировать эту область сейчас».
На этом работа мастера создания зоны завершается, можно при необходимости вернуться и произвести требуемые изменения в параметрах создаваемой области.
После завершения работы мастера создания зоны требуется авторизовать DHCP в AD . Если этого не проделать, адреса клиентам выдаваться не будут.
Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Авторизовать».
Для того, чтобы выданные сервером адреса автоматически передавались в DNS , следует произвести дополнительную настройку сервера DHCP . Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Свойства».
На вкладке «Служба DNS » рекомендуется выставить те же параметры, что использовались ранее. Данная настройка обеспечит одновременно и передачу информации в DNS обо всех выданных адресах, вне зависимости от типа клиента, и будет выполнять автоматическое удаление устаревшей информации при истечении срока аренды адреса.
Работа клиентов Windows 9х в домене Windows Server 2003
В домене Windows Server 2003 был повышен уровень безопасности по умолчанию, что привело к появлению определенных сложностей в работе устаревших клиентских систем, таких как Windows 95, 98, NT 4.0.
Для того, чтобы позволить данным операционным системам производить работу в домене, рекомендуется выполнить установку на машины клиента Active Directory DSCLIENT.EXE (располагается на дистрибутивах Windows 2000 Server в папке CLIENTS\WIN9X), и произвести ряд модификаций политик безопасности.
Для выполнения модификаций следует запустить оснастки «Политика безопасности контроллера домена»,
затем «Политика безопасности домена», и отключить показанные параметры безопасности.
По информации Microsoft , достаточным является отключение параметра "Сервер сети Microsoft : использовать цифровую подпись (всегда)" в политике безопасности домена Windows 2003.
После завершения редактирования данных политик безопасности рекомендуется произвести перезагрузку сервера.
Active Directory - служба каталогов корпорации Microsoft для ОС семейства Windows NT.
Данная служба позволяет администраторам использование групповых политик для обеспечения единообразия настроек пользовательской рабочей среды, установки ПО , обновлений и пр.
В чем суть работы Active Directory и какие задачи она решает? Читайте дальше.
Принципы организации одноранговых и многоранговых сетей
Но возникает другая проблема, что если пользователь user2 на РС2 решит изменить свой пароль? Тогда если пользователь user1 сменит пароль учетной записи, доступ user2 на РС1 к ресурсу будет невозможен.
Еще один пример: у нас есть 20 рабочих станций с 20-ю учетными записями, которым мы хотим предоставить доступ к некоему , для этого мы должны создать 20 учетных записей на файловом сервере и предоставить доступ к необходимому ресурсу.
А если их будет не 20 а 200?
Как вы понимаете администрирование сети при таком подходе превращается в кромешный ад.
Поэтому подход с использованием рабочих групп подходит для небольших офисных сетей с количеством ПК не более 10 единиц.
При наличии в сетке более 10 рабочих станций, рационально оправданным стает подход, при котором одному узлу сети делегируют права выполнения аутентификации и авторизации.
Этим узлом и выступает контролер домена - Active Directory.
Контролер домена
Контролер хранит базу данных учетных записей, т.е. он хранит учетку и для РС1 и для РС2.
Теперь все учетные записи прописываются один раз на контролере, а необходимость в локальных учетных записях теряет смысл.
Теперь, когда пользователь заходит на ПК, вводя свой логин и пароль , эти данные передаются в закрытом виде на контролер домена, который выполняет процедуры аутентификации и авторизации.
После контролер выдает пользователю, осуществившему вход, что-то вроде паспорта, с которым он в дальнейшем работает в сети и который он предъявляет по запросу других компьютеров сетки, серверов к чьим ресурсам он хочет подключиться.
Важно! Контролер домена - это компьютер с поднятой службой Active Directory, который управляет доступом пользователей к ресурсам сети. Он хранит ресурсы (например, принтеры , папки с общим доступом), службы (например, электронная почта), людей (учетные записи пользователей и групп пользователей), компьютеры (учетные записи компьютеров).
Число таких сохраненных ресурсов может достигать миллионов объектов.
В качестве контролера домена могут выступать следующие версии MS Windows : Windows Server 2000/2003/2008/2012 кроме редакций Web-Edition.
Контролер домена помимо того, что является центром аутентификации сети, также является центром управления всеми компьютерами.
Сразу после включения компьютер начинает обращаться к контролеру домена, задолго до появления окна аутентификации.
Таким образом, выполняется аутентификация не только пользователя, вводящего логин и пароль, но и аутентификация клиентского компьютера.
Установка Active Directory
Рассмотрим пример установки Active Directory на Windows Server 2008 R2. Итак для установки роли Active Directory, заходим в «Server Manager»:
Добавляем роль «Add Roles»:
Выбираем роль Active Directory Domain Services:
И приступаем к установке:
После чего получаем окно уведомления, об установленной роли:
После установки роли контролера домена, приступим к установке самого контролера.
Нажимаем «Пуск» в поле поиска программ вводим название мастера DCPromo, запускаем его и ставим галочку для расширенных настроек установки:
Жмем «Next» из предложенных вариантов выбираем создание нового домена и леса.
Вводим имя домена, например, example.net.
Пишем NetBIOS имя домена, без зоны:
Выбираем функциональный уровень нашего домена:
Ввиду особенностей функционирования контролера домена, устанавливаем также DNS-сервер .
Иходная ситуация - существует домен, testcompany.local . Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01 . DNS-сервер также на нем, основная зона интегрирована в Active Directory.
Сетевые настройки контроллера:
IP-адрес - 192.168.1.11
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-сервер - 192.168.1.11
Задача - установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.
Подготовительные работы
В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag , убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.
В первую очередь определяем держателя FSMO-ролей в домене, командой:
Утилита netdom.exe в состав Windows Server 2003 по умолчанию не входит, поэтому нужно установить Support Tools (http://support.microsoft.com/kb/926027). В рассматриваемом случае от нее смысла никакого нет, так как контроллер домена всего один и роли FSMO все равно все на нем. Тем же, у кого контроллеров домена больше одного, это будет полезно, чтобы знать, какие именно роли и откуда переносить. Результат команды будет примерно таким:
IP-адрес - 192.168.1.12
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-сервер - 192.168.1.11
и вводим его в существующий домен, testcompany.local в нашем случае.
Обновление схемы леса и домена
Следующий этап - обновление схемы леса и домена до Windows Server 2008 R2, что мы будем делать с помощью утилиты adprep . Вставляем установочный диск с Windows Server 2008 R2 в сервер dc01 . На диске нас интересует папка X:\support\adprep (X: - буква диска DVD-ROM). Если windows Server 2003 у вас 32-х битная, следует запускать запускать adprep32.exe, в случае 64-х битной - adprep.exe .
Для выполнения команды никаких требований к функциональному режиму леса нет. Для выполнения команды adprep /domainprep требуется, чтобы в домене использовался функциональный уровень домена не ниже Windows 2000 native.
Вводим команду:
X:\support\adprep>adprep32.exe /forestprep
После предупреждения о том, что все контроллеры домена Windows 2000 должны быть минимум с SP4 вводим С
и нажимаем Enter:
Команда отрабатывает довольно долго, несколько минут и должна завершиться следующей фразой:
Adprep successfully updated the forest-wide information.
После этого вводим команду:
X:\support\adprep>adprep32.exe /domainprep /gpprep
Которая отработает не в пример быстрее:
Также стоит выполнить команду adprep /rodcprep . Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller - RODC), эта команда как минимум уберет ненужные сообщения об ошибках в журнале событий.
После завершения действия команд по обновлению схемы можно приступать к повышению роли нового сервера до контроллера домена.
На сервере dc02
заходим в Server Manager, добавляем роль Active Directory Domain Services
. После установки роли, зайдя в Server Manager > Roles > Active Directory Domain Services, мы увидим желтую подсказку «Run the Active Directory Domain Services Installation Wizard (dcpromo.exe
)». Ее и запускаем. Либо можно в командной строке набрать dcpromo
, что будет равноценно вышеприведенному действию.
Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog .
Если галку Global Catalog и DNS Server не поставить, придется их переносить отдельно. А при миграции с 2003 на 2003 это придется делать в любом случае, так как в Windows 2003 такой возможности нет. О переносе глобального каталога и DNS-сервера будет немного ниже.
Завершаем установку контроллера домена, перезагружаем сервер. Теперь у нас есть два контроллера домена, работающих одновременно.
Передача ролей FSMO
Передачу ролей FSMO можно производить как через графический интерфейс, так и с помощью утилиты ntdsutil.exe . В этой статье будет описан способ с использованием графического интерфейса, как более наглядный, кого интересует другой способ, он по этой ссылке: http://support.microsoft.com/kb/255504 . Передача ролей FSMO будет состоять из следующих шагов:
Заходим на сервер dc02 , на тот, на который будем передавать роли. Для того, чтобы получить доступ к оснастке Active Directory Schema , сначала необходимо зарегистрировать библиотеку schmmgmt.dll . Это делается с помощью команды:
regsvr32 schmmgmt.dll
В дереве оснастки нужно щелкнуть правой кнопкой мыши элемент Active Directory Schema
и выбрать пункт Change Domain Controller
. Там меняем контроллер на dc02
.
Далее опять нажимаем правой кнопкой мыши элемент Active Directory Schema
и выбираем пункт Operations Master
. Появляется вот такое окно:
Нажимаем Change > Yes > OK и закрываем все эти окна.
Открываем оснастку , щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts
и выбираем команду Change Active Directory Domain Controller
. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02
в нашем случае), в списке и нажимаем кнопку ОК
.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts
и выбираем пункт Operations Master
. В появившемся окне нажимаем кнопку Change
.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК , а затем - Close .
Открываем оснастку . Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller . Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers , выбираем пункт All Tasks , а затем Operations Master .
Выбираем вкладку, соответствующую передаваемой роли (RID
, PDC
или Infrastructure Master
), и нажимаем кнопку Change
.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК
, а затем - Close
.
Перенос глобального каталога
Если мы делаем миграцию не на 2008, а на 2003, в котором при добавлении добавочного контроллера домена глобальный каталог не ставиться, либо вы не поставили галку Global Catalog в шаге 2, тогда нужно назначить роль глобального каталога новому контроллеру домена вручную. Для этого, заходим в оснастку Active Directory Sites and Services , ракрываем Sites > сайт Default-First-Site-Name > Servers > DC02 > щелкаем правой кнопкой мыши по NTDS Settings > Properties. В открывшемся окне ставим галку Global Catalog > OK.
После этого, в логах Directory Service появится сообщение, что повышение роли контроллера до глобального каталога будет отложено на 5 минут.
Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1110
Date: 12.07.2011
Time: 22:49:31
User: TESTCOMPANY\Administrator
Description:
Promotion of this domain controller to a global catalog will be delayed for the following interval.Interval (minutes):
5This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.
http://go.microsoft.com/fwlink/events.asp .
Ждем пять минут и дожидаемся события 1119 о том, что этот контроллер стал глобальным каталогом.
Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1119
Date: 12.07.2011
Time: 22:54:31
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: dc02.testcompany.local
Description:
This domain controller is now a global catalog.For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp .
Перенастройка интерфейсов, DNS и другие послеустановочные задачи
Далее, так как DNS-сервер на dc02 мы установили, теперь нужно в свойствах сетевого интерфейса первичным DNS-сервером указать самого себя, т.е. адрес 192.168.1.12. И на dc01 соответственно поменять на 192.168.1.12.
В свойствах DNS-сервера на dc02 проверьте вкладку Forwarders , на 2003, в отличие от 2008, она не реплицируется. После этого можно понижать контроллер домена dc01 до рядового сервера.
Если вам необходимо у нового контроллера оставить старое имя и IP-адрес, то это также делается без проблем. Имя меняется как для обычного компьютера, либо подобной командойnetdom renamecomputer .
После смены IP-адреса выполните команды ipconfig /registerdns и dcdiag /fix .
Установить Active Directory непросто - вам понадобится настроить не только компьютер, выступающий в качестве контроллера домена, но и все компьютеры в локальной сети, которые будут входить в новый домен. Контроллер домена должен работать под управлением Windows Server 2003 и выше; для его настройки используется специальный мастер.
Перед внедрением Active Directory следует разработать структуру будущего домена таким образом, чтобы его обслуживание было эффективным и практически не требующим участия системных администраторов. Несмотря на то, что установка Active Directory занимает много времени, для ее настройки и оптимизации потребуются определенные силы. Учетные записи пользователей, группы, групповые политики, шаблоны, сайты, репликация данных - это лишь малая часть работы, которую придется провести для настройки домена.
Чтобы настроить сервер для работы в качестве контроллера домена, выполните команду Пуск
-> Администрирование
-> Управление данным сервером
В открывшемся окне выберите Добавить или удалить роль . Откроется окно Мастер настройки сервера .
В окне Мастер настройки сервера выберите команду Контроллер домена (Active Directory) и щелкните на кнопке Далее , после чего будет запущена программа Мастер установки Active Directory . Щелкните на кнопке Далее . В следующем окне мастера вы увидите предупреждение о том, что компьютеры под управлением старых версий Windows и Windows NT не смогут быть зарегистрированы в домене с контроллерами домена Windows Server 2003 и выше, и соответственно, и не получат доступа к ресурсам домена. Щелкните на кнопке Далее .
В новом окне следует выбрать чип контроллера домена. Доступны два варианта: контроллер домена в новом домене или добавочный контроллер и уже существующем. Поскольку домена Active Directory еще не существует, оставьте без изменений переключатель Контроллер домена в новом домене и щелкните на кнопке Далее . В очередном окне выберите тип домена. Для каждого из трех типов предоставлено подробное описание его использования. В данном случае следует выбрать вариант Новый домен в новом лесу.
В следующем окне введите полное DNS-имя для нового домена, например active.server.com . Щелкните на кнопке Далее . Введите в новом окне имя домена (в формате NetBIOS), которое будет использоваться клиентами старых версий Windows. В следующем окне требуется указать локальную папку Windows для файлов базы данных Active Directory, а также папку расположения системного журнала домена. Но умолчанию для базы данных и журнала используется одна и та же папка. Щелкните на кнопке Далее .
В следующем окне укажите расположение папки SYSVOL, содержащей серверную копию общих файлов домена. Содержимое этой папки будет обновляться методом репликации на всех контроллерах домена.
В новом окне следует выбрать гид разрешения для доступа к объектам Active Directory. Будут доступны два переключателя - выбрать необходимое, после щелкните на кнопке Далее . В последнем окне мастера будет отображена общая информация о выбранных параметрах. Щелкните на кнопке ОК , после чего сервер станет полноценным контроллером домена Active Directory.