Страницы: 1 .. 5 6 7 8 9 .. 16

Глава 6. Установка Active Directory
Процесс установки службы каталога Active Directory на компьютере, выполняющем Microsoft Windows Server 2003, несложен. Простота обеспечивается за счет прекрасного мастера инсталляции Active Directory. Когда служба Active Directory устанавливается на сервер с Windows Server 2003, компьютер фактически становится контроллером домена. Если это первый контроллер домена в новом домене и лесу, то создается чистая база данных каталога, ожидающая поступления объектов службы каталога. Если это дополнительный контроллер домена в уже существующем домене, процесс репликации скоро размножит на этот новый контроллер домена все объекты службы каталога данного домена. Если это контроллер домена, имеющий модернизированную систему Microsoft Windows NT4, база данных учетных записей будет автоматически обновлена до Active Directory после того, как на этом контроллере домена будет установлен Windows Server 2003.
В этой главе приведена информация, необходимая для успешного выполнения Active Directory Installation Wizard (Мастер инсталляции Active Directory), а также обсуждаются два других метода установки Active Directory: инсталляция без помощи мастера и установка из восстановленных резервных файлов. В конце главы обсуждается процесс удаления Active Directory с контроллера домена.
Предварительные условия установки Active Directory
Любой сервер, на котором выполняется Windows Server 2003 и который удовлетворяет условиям, описанным в следующем разделе, может содержать Active Directory и стать контроллером домена. Каждый новый контроллер домена фактически является автономным сервером, пока не завершится процесс инсталляции Active Directory. В ходе этого процесса решаются две важные задачи: создается или заполняется база данных каталога и запускается Active Directory, чтобы сервер отвечал на попытки входа в систему домена и на запросы облегченного протокола службы каталога LDAP.
В главе 2 говорилось, что база данных каталога хранится на жестком диске контроллера домена в файле Ntds.dit. В процессе инсталляции Windows Server 2003 файл Ntds.dit сохраняется в папке %systemroot
%\system32 на локальном диске. В процессе инсталляции Active Directory-файл Ntds.dit копируется в место, идентифицированное во время инсталляции, или в заданную по умолчанию папку %systemroot %\NTDS, если не определено другое место. При наличии файла Ntds.dit, скопированного на жесткий диск в процессе инсталляции Windows Server 2003, Active Directory может быть установлена в любое время без необходимости обращаться к инсталляционной среде.
Примечание. В то время как служба Active Directory может быть установлена без доступа к инсталляционной среде, установка сервера доменной системы имен (DNS) и связанных с ним инструментальных средств управления требует инсталляционных файлов. Не забудьте, что в процессе инсталляции компакт-диск Windows Server 2003 должен находиться под руками.
Далее приводятся условия, необходимые для того, чтобы Active Directory могла работать в Windows Server 2003.
Жесткий диск
Размер пространства на жестком диске, необходимого для хранения службы Active Directory, будет зависеть от количества объектов в домене и от того, является ли данный контроллер домена сервером глобального каталога (GC). Чтобы установить Active Directory на сервер, на котором выполняется система Windows Server 2003, жесткий диск должен удовлетворять следующим минимальным требованиям:

• 15 Мб свободного пространства - на раздел установки системы;
• 250 Мб свободного пространства - для базы данных Active Directory Ntds.dit;
• 50 Мб свободного пространства - для файлов регистрационного журнала транзакций процессора наращивания памяти (ESENT). ESENT представляет собой систему взаимодействия базы данных, которая использует файлы регистрационных журналов для поддержки семантики откатов (rollback), чтобы гарантировать передачу транзакций базе данных.

В дополнение к перечисленным требованиям для поддержки установки папки Sysvol по крайней мере один логический диск должен быть отформатирован под файловую систему NTFS v.5 (версия NTFS, которая используется в системах Microsoft Windows 2000 и Windows Server 2003).
Дополнительная информация. Размер необходимого свободного пространства на жестком диске для установки службы Active Directory будет зависеть от количества объектов в вашем домене и лесу. Чтобы больше узнать о планировании дискового пространства для Active Directory, смотрите статью «Planning Domain Controller Capacity (Планирование вместимости контроллера домена)» на сайте www.microsoft.com/technet/ prodtechnol/windowsserver2003/evaluate/cpp/reskit/adsec/ parti /rkpdscap. asp.
Обеспечение сетевой связи
После установки Windows Server 2003 и до начала установки Active Directory убедитесь, что сервер должным образом сконфигурирован для обеспечения сетевой связи. Попытайтесь соединиться с другим компьютером по сети, указав путь UNC или IP-адрес целевого компьютера в строке адреса программы Windows Explorer или используя утилиту Ping (например, в командной строке напечатайте ping 192.168.1.1). Выполните все необходимые действия для оптимизации сегмента сети, в котором будет находиться новый контроллер домена. Для этого используйте инструмент сетевого управления Network Monitor (Сетевой монитор) для обеспечения достаточной пропускной способности, необходимой для поддержки аутентификации и трафика репликации, который будет генерировать контроллер домена.
Примечание. Инструмент Network Monitor по умолчанию не устанавливается в Windows Server 2003. Его нужно установить с помощью Windows Components Wizard (Мастер компонентов Windows) в приложении Add/Remove Programs (Установка/ Удаление программ) окна Control Panel (Панель управления). Для получения дополнительной информации об установке и использовании сетевого монитора для анализа проблем сетевого трафика сделайте поиск "Network Monitor" (включая двойные кавычки) в Windows Server 2003 Help and Support Center (Центр справки и поддержки Windows Server 2003).
Перед установкой службы Active Directory вы должны сконфигурировать параметры настройки протокола интернета в окне Local Area Connection Properties (Свойства локальных подключений). Чтобы обратиться к этому диалоговому окну, щелкните правой кнопкой мыши на объекте Local Area Connection (Локальные подключения) в папке Network Connections (Сетевые подключения) в окне Control Panel и выберите Properties (Свойства). В окне Local Area Connection Properties выберите Internet Protocol (TCP/IP) (Протокол интернета), затем щелкните на кнопке Properties. В окне Internet Protocol (TCP/IP) Properties (Свойства протокола интернета), сделайте следующее.

• На вкладке General (Общее) сконфигурируйте статический IP-адрес компьютера.
• Если контроллер домена, который вы устанавливаете, не будет служить сервером DNS, то на вкладке General вы должны сконфигурировать адрес сервера DNS, задав ему IP-адрес сервера DNS, который является официальным (authoritative) для данного домена. Смотрите следующий раздел для получения дополнительной информации о конфигурировании DNS при инсталляции Active Directory.
• В окне Advanced TCP/IP Settings (Дополнительные параметры настройки TCP/IP) щелкните на Advanced (Дополнительно) на вкладке General, щелкните на вкладке WINS и сконфигурируйте сервер, задав IP-адрес сервера службы имен интернета для Windows (WINS), который будет использовать данный контроллер домена.

DNS
Как говорилось в предыдущих главах, Active Directory требуется служба DNS в качестве указателя ресурсов. Клиентские компьютеры полагаются на DNS при поиске контроллеров домена, чтобы они могли аутен-тифицировать себя и пользователей, которые входят в сеть, а также делать запросы к каталогу для поиска опубликованных ресурсов. Кроме того, служба DNS должна поддерживать записи службы указателя ресурсов (SRV) и динамические модификации. Если служба DNS не была установлена предварительно, то мастер инсталляции Active Directory установит и сконфигурирует DNS одновременно с Active Directory.
Если DNS уже установлена в сети, проверьте ее конфигурацию, чтобы она могла поддерживать Active Directory. Для этой проверки можно использовать команду Dcdiag (доступна как часть набора инструментальных средств, созданного при установке файла \Support\Tools\ Support.msi с компакт-диска Windows Server 2003). Наберите команду:
dcdiag/test:dcpromo/dnsdomain:domainname/newforest
Теперь вы сможете удостовериться, что DNS-сервер является официальным для домена domainnameи может принимать динамические обновления для новых контроллеров домена. Для получения дополнительной информации об использовании инструмента dcdiag напечатайте dcdiag/? в командной строке.
Если служба DNS в сети отсутствует, вас попросят установить службу сервера DNS в процессе инсталляции Active Directory. Если контроллер домена, который вы устанавливаете, будет также сервером DNS, то проведите тщательное планирование пространства имен DNS, которое вы будете использовать (см. гл. 5 для получения дополнительной информации о проектировании пространства имен DNS).
Если вы будете устанавливать службу сервера DNS одновременно с Active Directory, сконфигурируйте установки сервера DNS на компьютере, чтобы указать себя перед установкой Active Directory. Откройте окно Internet Protocol (TCP/IP) Properties (Свойства протокола интер-
нета) и установите адрес сервера Preferred DNS Server (Привилегированный сервер DNS) на IP-адрес локального компьютера (см. рис. 6-1).

Рис. 6-1. Конфигурирование параметров настройки сервера DNS
Административные разрешения
Чтобы устанавливать или удалять Active Directory, ваша учетная запись должна иметь соответствующие административные разрешения. Тип разрешений учетной записи зависит от типа создаваемого домена. Мастер инсталляции Active Directory проверяет разрешения учетной записи перед установкой службы каталога. Если вы войдете в систему с учетной записью, не имеющей административных разрешений, мастер запросит вас о соответствующих сертификатах учетной записи.
Чтобы создать новый корневой домен леса, вы должны войти в систему с правами локального администратора, но сетевые сертификаты для этого не нужны. Если вы собираетесь создать новый корневой домен дерева или новый дочерний домен в существующем дереве, необходим сетевой сертификат для установки домена. Чтобы создать новый корневой домен дерева, вы должны предъявить сертификат учетной записи члена группы Enterprise Admins (Администраторы предприятия). Чтобы установить дополнительный контроллер домена в существующий домен, вы должны предъявить сертификаты, которые имеют разрешения присоединять компьютер к домену и создавать объект NTDS Setting (Параметры настройки NTDS) в разделе конфигурации каталога. Глобальная группа Domain Admins (Администраторы домена) имеет такой уровень разрешений.
Варианты инсталляции Active Directory
Чтобы начать инсталляцию Active Directory, можете использовать один из графических интерфейсов или запустить ее из командной строки. С помощью графических интерфейсов можно установить и сконфигурировать службу каталога, а также создать и инициализировать хранилище данных каталога. Так как Active Directory требует, чтобы реализация DNS была официальной для запланированного домена, то в процессе инсталляции будет установлен и сконфигурирован сервер службы DNS, если официальный DNS-сервер еще не установлен.
Существует несколько способов запуска процесса инсталляции Active Directory:

• Configure Your Server Wizard (Мастер конфигурирования сервера);
• Active Directory Installation Wizard (Мастер инсталляции Active Directory);
• инсталляция без сопровождения.

Мастер конфигурирования сервера
Окно Manage Your Server (Управление сервером) появляется автоматически после того, как закончится инсталляция или обновление Windows Server 2003. Оно отображает список всех сетевых услуг, которые установлены на сервере, и позволяет установить дополнительные услуги (см. рис. 6-2).

Рис. 6-2. Окно Manage Your Server (Управление сервером)
Из окна Manage Your Server вы можете добавить серверу роль контроллера домена. Это можно сделать, выбрав опцию Typical Settings for a First Server (Типичные параметры настройки первого сервера) с предварительно разработанными настройками или роль контроллера домена. Если выбраны типичные установки первого сервера, то автоматизированный процесс добавит службы сервера DNS и DHCP. Программа инсталляции автоматически установит Active Directory с заданными по умолчанию вариантами для многих опций, используя Active Directory Installation Wizard (Мастер инсталляции Active Directory). Если вы планируете установить Active Directory со всеми заданными по умолчанию опциями, то программа Configure Your Server Wizard (Мастер конфигурирования сервера) обеспечит защищенную от ошибок установку этой службы.
Мастер инсталляции Active Directory
Active Directory Installation Wizard (Мастер инсталляции Active Directory) можно запустить, напечатав dcpromo.exeв диалоговом окне Run или в командной строке. Команда Dcpromo.exe имеет два параметра командной строки:

• параметр /answer[:answerfilе] используется для выполнения автоматической инсталляции Active Directory. Включите в этот параметр имя файла автоматического ответа, который содержит всю информацию, необходимую для выполнения инсталляции;
• параметр /advиспользуется для запуска мастера инсталляции Active Directory в том случае, когда контроллер домена будет создан из восстановленных резервных файлов. Когда вы добавляете параметр /adv, то в процессе инсталляции нужно указать путь к восстановленным резервным файлам.

Детальная информация о ключевых пунктах ответов дана в разделе этой главы «Использование мастера инсталляции Active Directory».
Инсталляция без сопровождения
Для установки Active Directory вы можете запустить инсталляционный процесс в «тихом» режиме, без сопровождения, напечатав dcpromo.exe/ answer:answerfilе, где answerfile — имя файла ответов, который вы создали. В режиме «без сопровождения» файл сценария инсталляции передает значения для всех полей пользовательского ввода, которые вы заполняли бы при использовании мастера инсталляции Active Directory. Для любого ключа, который не определен в файле ответа, будет использоваться заданное по умолчанию значение этого ключа, или появится окно, чтобы вы могли ввести требуемое значение. Создание файла ответов для инсталляции без сопровождения будет описано позже в этой главе.
Использование мастера конфигурирования сервера
Чтобы установить Active Directory, используя мастера конфигурирования сервера (Configure Your Server Wizard), можно выбрать добавление новой роли в утилите Manage Your Server (Управление сервером) или Configure Your Server Wizard в папке Administrative Tools (Средства администрирования).
Чтобы установить Active Directory, используя Configure Your Server Wizard, выполните следующие действия.

1. В окне Manage Your Server щелкните на кнопке Add Or Remove A Role (Добавить или удалить роль) или выберите Configure Your Server Wizard в папке Administrative Tools. Запустится мастер конфигурирования сервера.
2. В окне Preliminary Steps (Предварительные шаги) щелкните на кнопке Next (Далее). Ждите некоторое время, пока мастер ищет параметры настройки Local Area Connections (Локальные подключения).
3. Чтобы установить Active Directory, службу сервера DNS и службу протокола динамической конфигурации хоста (DHCP), в окне Configuration Options (Опции конфигурации) выберите Typical Configuration For A First Server (Типичная конфигурация для первого сервера). Чтобы установить только Active Directory, выберите Custom Configuration (Выборочная конфигурация), а затем щелкните на кнопке Next (см. рис. 6-3). Последующее описание предполагает, что вы выбрали опцию Custom configuration.

Рис. 6-3. Окно Configuration Options (Опции конфигурации)

4. В окне Server Role (Роль сервера) выберите Domain Controller (Контроллер домена), затем щелкните на кнопке Next (см. рис. 6-4).

Рис. 6-4. Окно Server Role (Роль сервера)

5. В окне Summary Of Selections (Резюме выбранных опций) подтвердите выбор роли сервера и щелкните на кнопке Next. Для конфигурирования выбранных услуг появится окно Applying Selections (Применение выбранных опций).
6. При создании роли контроллера домена появляется окно Welcome (Приветствие) мастера инсталляции Active Directory (см. рис. 6-5). После этого будет выполняться тот же процесс, как если бы вы запустили мастера инсталляции Active Directory из командной строки или командой Run (Выполнить). Подробное описание ответов на вопросы мастера инсталляции Active Directory дано в следующем разделе. Завершите мастера инсталляции Active Directory, а затем щелкните на кнопке Finish (Готово). После того как служба Active Directory установлена и сконфигурирована, появится напоминание о том, что нужно перезапустить ваш сервер.

Рис. 6-5. Окно Welcome (Приветствие) мастера инсталляции Active Directory
Использование мастера инсталляции Active Directory
Мастер инсталляции Active Directory работает просто. Все опции мастера хорошо объяснены и представлены в логическом порядке. Вместо того чтобы проводить вас через этот достаточно очевидный процесс, обсудим ключевые моменты ответов, с которыми вы столкнетесь при установке Active Directory.
Чтобы запустить мастера инсталляции Active Directory, напечатайте dcpromoв диалоговом окне Run (Выполнить) или в командной строке. Появится стартовое окно мастера инсталляции Active Directory.
Совместимость операционных систем
Контроллеры домена, на которых выполняются Windows Server 2003, лучше защищены, чем те, на которых выполняются предыдущие версии сетевых операционных систем Windows, и мастер инсталляции Active Directory дает информацию о том, как эта защита затрагивает вход клиента в систему. Заданная по умолчанию политика безопасности для контроллеров домена, на которых выполняются Windows Server 2003, требует двух новых уровней защиты взаимодействия контроллеров домена: подписи блока серверных сообщений (Server Message Block — SMB), а также шифрования и подписи сетевого трафика безопасного канала.
Эти функции защиты вызывают проблемы при входе в систему клиентов низкого уровня. Нижеприведенные клиентские операционные системы Windows в основном режиме не поддерживают подписи SMB, шифрование и подписи безопасного канала:

• Microsoft Windows for Workgroups;
• Microsoft Windows 95 и Windows 98;
• Microsoft Windows NT 4 (Service Pack 3 и более ранние).

Если ваша сеть поддерживает эти системы, то вы должны выполнить определенные действия, чтобы дать им возможность входить в систему контроллера домена, на котором выполняется Windows Server 2003 (см. табл. 6-1).
Табл. 6-1. Предоставление клиентским операционным системам возможности входа в Active Directory

Directory Services Client (Клиент служб каталога) — это компонент клиентской стороны, который дает возможность низкоуровневым клиентским операционным системам (Microsoft Windows 95, Windows 98 и Windows NT 4) воспользоваться преимуществами Active Directory. (Это использование распределенной файловой системы (DFS) и поиска). Посмотрите страницу дополнений клиента Active Directory на сайте http:/ /www.microsoft.corn/windows2000/server/evaluation/news/bulletins/ adextension.aspдля получения информации относительно загрузки и использования службы Directory Services Client в системе Windows NT 4 SP6a. Обратите внимание, что предыдущее название службы Directory Services Client было Active Directory Client Extension, с этим именем вы будете сталкиваться во многих статьях веб-сайта Microsoft.
На рисунке 6-6 показано окно Operating System Compatibility (Совместимость операционных систем).
Типы доменов и контроллеров домена
Первое решение, которое вы должны принять в процессе инсталляции, -какой контроллер домена должен быть создан. Это может быть первый контроллер домена в новом домене или дополнительный контроллер домена для существующего домена (см. рис. 6-7). По умолчанию создается новый домен и новый контроллер домена. Если вы выберете создание
дополнительного контроллера домена в существующем домене, то имейте в виду, что все локальные учетные записи, которые существуют на сервере, будут удалены наряду со всеми криптографическими ключами, которые хранились на компьютере. Вас попросят также расшифровать все зашифрованные данные, потому что после установки Active Directory это будет недоступно.

Рис. 6-6. Окно Operating System Compatibility (Совместимость операционных систем)

Рис. 6-7. Окно Domain Controller Type (Тип контроллера домена)
Если вы выберете создание нового домена, то далее нужно будет указать, создавать ли корневой домен в новом лесу, дочерний домен в существующем домене или в новом дереве домена в существующем лесу (см. рис. 6-8). Проконсультируйтесь с проектной документацией своей службы Active Directory (см. гл. 5), чтобы определить природу создаваемого домена. Чтобы создать дочерний домен в существующем домене или в новом дереве домена в существующем лесу, вы должны представить соответствующие сетевые сертификаты для продолжения инсталляционного процесса. Для создания корневого домена нового леса сетевые сертификаты не требуются.

Рис. 6-8. Окно Create New Domain (Создание нового домена)

Именование домена
При создании нового контроллера домена для нового домена нужно задать полное имя DNS и имя NetBIOS (см. рис. 6-9). При создании этих имен нужно соблюдать определенные правила.
Полное имя DNS должно содержать уникальное имя для нового домена, а при создании дочернего домена должен существовать родительский домен, и его имя должно быть включено в имя DNS. Например, если вы создаете новый домен NAmerica в дереве домена Contoso.com, то полное имя DNS, которое вы должны ввести, будет NAmerica.Contoso.com. При именовании домена доступные символы включают независимые от регистра буквы от А до Z, цифры от 0 до 9 и дефис (-). Каждый компонент DNS имени домена (секции, отделенные точкой [.]) не может быть длиннее 63-х байтов.

Рис. 6-9. Окно New Domain Name (Имя нового домена)
После того как вы указали имя DNS для домена, необходимо задать имя NetBIOS (см. рис. 6-10). Имя NetBIOS используется более ранними версиями системы Windows для идентификации имени домена. Лучше всего принять автоматическое имя NetBIOS, полученное из ранее введенного имени DNS. Единственное ограничение на имя NetBIOS состоит в том, что оно не должно превышать четырнадцать символов. Кроме того, имя NetBIOS должно быть уникальным.

Рис. 6-10. Окно NetBIOS Domain Name (Имя NetBIOS домена)
Место расположения файла
Мастер инсталляции Active Directory попросит вас выбрать место для хранения файла базы данных Active Directory (Ntds.dit), файлов регистрационных журналов Active Directory и общей папки Sysvol. Вы можете выбрать заданные по умолчанию места или задать другие (см. рис. 6-11).

Рис. 6-11. Окно Database And Log Folders (Папки базы данных и регистрационных журналов)
Заданное по умолчанию место для базы данных каталога и журналов — папка %systemroot %\system32. Однако для обеспечения лучшей производительности нужно сконфигурировать Active Directory так, чтобы хранить файл базы данных и журналы на отдельных жестких дисках. Заданное по умолчанию место общей папки Sysvol - %systemdrive %\Windows. Единственное ограничение на выбор места для общей папки Sysvol состоит в том, что она должна храниться в разделе с файловой системой NTFS v5. В папке Sysvol хранятся все файлы, которые должны быть доступны клиентам домена Active Directory, например, сценарии входа в систему (см. рис. 6-12).
Проверка или установка DNS-сервера
Active Directory требует, чтобы в сети была установлена служба DNS, тогда компьютеры-клиенты смогут находить контроллеры домена для аутентификации. Для этого реализация DNS должна поддерживать записи SRV. Microsoft рекомендует также поддержку динамических обновлений. Реализация службы DNS в сети может быть выполнена не на платформе Microsoft, это может быть DNS-сервер, работающий под Windows NT 4 (SP4), Windows 2000 Server или Windows Server 2003.

Рис. 6-12. Окно Shared System Volume (Общедоступный системный том)
Если компьютер, на котором вы устанавливаете Active Directory, не является DNS-сервером, или если мастер инсталляции Active Directory не проверяет, что DNS-сервер должным образом сконфигурирован для нового домена, то служба DNS сервера может быть установлена в процессе инсталляции Active Directory. (Если вы устанавливаете дополнительный контроллер домена в уже существующем домене, то считается, что служба DNS уже установлена, и этот шаг проверки пропускается.) Если служба DNS реализована в сети, но не сконфигурирована должным образом, то окно DNS Registration Diagnostics (Диагностика регистрации DNS) мастера инсталляции Active Directory сообщает об ошибках конфигурации. В этом месте нужно сделать все необходимые изменения в конфигурации DNS и повторить программу диагностики DNS. В качестве дополнительного варианта можно продолжить инсталляцию Active Directory и позже сконфигурировать DNS вручную. На рисунке 6-13 показаны результаты диагностики DNS, выполненной во время работы мастера инсталляции Active Directory и три варианта возможных продолжения. Обратите внимание, что вторая опция, связанная с установкой и конфигурированием DNS-сервера на этом компьютере, является заданной по умолчанию в ситуации, когда DNS сервер не найден.
Если вы выберете заданную по умолчанию опцию, связанную с установкой и конфигурированием DNS сервера, то сервер DNS и служба DNS сервера будут установлены в процессе инсталляции Active Directory. Основная зона DNS будет соответствовать имени нового домена Active Directory, она будет сконфигурирована так, чтобы принимать динамические обновления. Предпочтительные параметры установки DNS-cep-
вера (в окне свойств TCP/IP) будут модифицированы для указания на локальный DNS-сервер. (Выше рекомендовалось сконфигурировать локальный IP-адрес компьютера перед инсталляцией Active Directory.)

Рис, 6-13. Окно DNS Registration Diagnostics (Диагностика регистрации DNS) мастера инсталляции Active Directory
Дополнительная информация. Когда служба DNS сервера устанавливается мастером инсталляции Active Directory, то зона DNS создается как интегрированная зона Active Directory. Для получения дополнительной информации о конфигурировании интегрированной зоны Active Directory см. гл. 3.
Выбор заданных по умолчанию разрешений для пользовательских и групповых объектов
Обе системы, Windows Server 2003 и Windows 2000, реализуют более строгую защиту для атрибутов пользовательских и групповых объектов, чем та, которая была в Windows NT 4. Доступ к пользовательским объектам и групповое членство по умолчанию недоступны для анонимных пользовательских входов в систему. Чтобы сохранить обратную совместимость с приложениями и службами, созданными до Windows 2000 (Microsoft SQL-сервер и служба удаленного доступа Remote Access Service, RAS), Active Directory конфигурируется так, чтобы ослабить заданную по умолчанию защиту и позволить анонимный доступ к этим объектам службы каталога. Это выполняется путем добавления специальных групп Everyone (Все) и Anonymous Logon (Анонимный вход в систему) к локальной группе Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами, разработанными до Windows 2000).
В процессе инсталляции Active Directory вы должны установить заданные по умолчанию разрешения для групповых и пользовательских объектов. В окне Permissions (Разрешения) выберите одну из двух опций (см. рис. 6-14):

• Permissions Compatible With Pre-Windows 2000 Server Operating Systems (Разрешения, совместимые с операционными системами, созданными до Windows 2000);
• Permissions Compatible Only With Windows 2000 Or Windows Server 2003 Operating Systems (Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003).

Рис. 6-14. Окно Permissions (Разрешения)
Какую опцию выбрать? Если ваша сетевая среда будет включать серверы Windows NT, а также службы или приложения, которые требуют защиты Windows NT для пользователей и групп, вы должны принять заданную по умолчанию: Permissions Compatible With Pre-Windows 2000 Server Operating Systems. Если ваша сетевая среда включает только Windows 2000 или Windows Server 2003, если в ней не будут выполняться программы, разработанные для более ранних, чем Windows 2000, систем, выберите Permissions Compatible Only With Windows 2000 Or Windows Server 2003 Operating Systems. Имейте в виду, что с заданной по умолчанию опцией анонимные пользователи будут способны обращаться к данным Active Directory, нарушая защиту.
После того как вы модернизируете все серверы в домене до Windows 2000 или Windows Server 2003, нужно заново установить разрешения Windows Server 2003 для групповых и пользовательских объектов. Для этого просто удалите всех членов локальной группы Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами, разработанными до Windows 2000). В домене Windows Server 2003 членами будут идентификаторы SID групп Everyone (Все) и Anonymous Logon (Анонимный вход в систему).
Чтобы удалить членов этой группы с помощью инструмента администрирования Active Directory Users And Computers (Пользователи и компьютеры Active Directory), откройте контейнер Builtin (Встроенные объекты), а затем дважды щелкните на группе Pre-Windows 2000 Compatible Access (раскройте столбец Name (Имя) в случае необходимости). На вкладке Members (Члены) окна групповых свойств выберите оба идентификатора SID и щелкните на кнопке Remove (Удалить). Для удаления членов этой группы из командной строки напечатайте следующую команду:

net localgroup "Pre-Windows 2000 Compatible Access" Everyone "Anonymous Logon" /delete

В любом случае, чтобы вступило в силу изменение группового членства, необходимо перезагрузить все контроллеры домена в домене.
перед началом первичного процесса репликации появится кнопка Finish Replication Later (Выполнить репликацию позже). Выберите эту опцию, чтобы позволить нормальному процессу репликации синхронизировать разделы каталога на этом контроллере домена позже.

Рис. 6-15. Окно Directory Services Restore Mode Administrator Password (Пароль администратора режима восстановления службы каталога)
Первичная репликация данных раздела каталога может занимать много времени, особенно по медленным сетевым подключениям, поэтому в Active Directory Windows Server 2003 предлагается новая функция установки дополнительного контроллера домена из восстановленных резервных файлов, которая обсуждается далее в этой главе.
Наилучшая практика. После установки службы Active Directory вы должны открыть инструмент администрирования Active Directory Users And Computers и проверить, что созданы все встроенные участники безопасности, такие как учетная запись пользователя Administrator и группы безопасности Domain Admins, Enterprise Admins. Вы должны также проверить создание «специализированных тождеств» Authenticated Users (Удостоверенные пользователи) и Interactive (Интерактивный). «Специализированные тождества» обычно известны как группы, но вы не можете видеть их членство. Пользователи автоматически включаются в эти группы, когда они обращаются к специфическим ресурсам. «Специализированные тождества» по умолчанию не отображаются в инструменте администрирования Active Directory Users And Computers. Чтобы рассмотреть эти объек-
ты, выберите View (Вид), а затем выберите Advanced Features (Дополнительные функции).
В результате отобразятся дополнительные компоненты инструмента. Откройте контейнер Foreign Security Principals (Внешние участники безопасности). Там вы найдете объекты S-1-5-11 и S-1-5-4, которые являются идентификаторами Authenticated Users SID и Interactive SID, соответственно. Дважды щелкните на этих объектах, чтобы просмотреть их свойства и заданные по умолчанию разрешения.
Выполнение инсталляции «без сопровождения»
Чтобы установить Active Directory без пользовательского участия, можно использовать параметр /answer [:filename] с командой Dcpromo. В этот параметр нужно включить имя файла ответов. Файл ответов содержит все данные, который обычно требуются в процессе инсталляции. Можно также устанавливать Active Directory при установке Windows Server 2003 в автоматическом режиме. В этом случае используется команда E:\I386\winnt32/unattend[:unattend.txt], где unattend.txt - имя файла ответов, используемого для полной инсталляции Windows Server 2003. (Предполагается, что дисководом CD-ROM является диск Е, и вы вставили в дисковод диск.) Файл Unattend.txtдолжен содержать раздел [Deinstall], чтобы можно было установить Active Directory.
Чтобы выполнить автоматическую установку Active Directory после установки операционной системы Windows Server 2003, создайте файл ответов, который содержит раздел [Deinstall]. Для этого напечатайте в командной строке или в диалоговом окне Run dcpromo/ answer:answerfile(где answerfile - имя файла ответов). Файл ответов представляет собой текстовый ASCII-файл, который содержит всю информацию, необходимую для заполнения страниц мастера инсталляции Active Directory. Для создания нового домена в новом дереве нового леса так, чтобы служба DNS сервера была сконфигурирована автоматически, содержание файла ответов выглядит следующим образом:
[Deinstall]
UserName=admin_ username
Password=admin_password
UserDomain=acmin_domain
DatabasePath=
LogPath=
SYSVOLPath=
SafeModeAdminPassword=password
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=DNSdomainname
DNSOnNetwork
DomainNetbiosName=NetBIOSdomainname
AutoConfigDNS=yes
AllowAnonymousAccess=yes
CriticalReplicationOnly=yes
SiteName=
RebootOnSuccess=yes
Для ключей, не имеющих значений, или для отсутствующих ключей будут использоваться значения, заданные по умолчанию. Ключи, необходимые для файла ответов, изменяются в зависимости от типа домена, который будет создан (новый или уже существующий лес, новое или уже существующее дерево). Для получения дополнительной информации относительно ключей и соответствующих значений смотрите< документ http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b223757.
Ключ ReplicationSourcePath — это дополнительный ключ, который можно использовать для создания контроллера домена с помощью информации, восстановленной из резервных средств. Чтобы использовать его, укажите местоположение восстановленных резервных файлов, которые будут использоваться для заполнения базы данных каталога в первый раз. (Это тот же самый путь, который выбирается при использовании мастера инсталляции Active Directory.) Смотрите следующий раздел «Установка Active Directory из восстановленных резервных файлов» для получения дополнительной информации.
Примечание. Чтобы получить информацию по созданию файла ответов для установки Active Directory, щелкните правой кнопкой мыши на файле Deploy.cab в папке Support\Tools компакт-диска Windows Server 2003, выберите Explore (Найти) из всплывающего меню. Затем щелкните правой кнопкой мыши на файле Ref.chm, выберите Extract (Извлечь), а затем дважды щелкните на Ref.chm в месте извлечения файла. Файл Deploy.cab также включает Setupmgr.exe, утилиту Setup Manager (Менеджер установки), то есть GUI, который используется для создания файла Unattend.txt, предназначенного для установки Windows Server 2003 (создает раздел [Deinstall]). Он также включает «Microsoft Windows Corporate Deployment Tools User's Guide» (Руководство пользователя по развертыванию инструментальных средств Microsoft Windows), в котором описываются заголовки разделов файла ответов, ключи и значения каждого ключа в разделах [Unattended] и [Deinstall] файла Unattend.txt.
Установка Active Directory из восстановленных резервных файлов
В Windows Server 2003 имеется возможность установить дополнительный контроллер домена, используя мастер инсталляции Active Directory, 'причем начальное заполнение трех разделов каталога выполняется путем восстановления предварительно созданного резервного набора данных вместо использования нормального процесса репликации по сети. Выгода состоит в том, что новые контроллеры домена будут синхронизированы значительно быстрее. В противном случае создание разделов домена с помощью нормального процесса репликации может занимать часы или дни. Этот метод, скорее всего, будет использоваться в среде с низкой пропускной способностью сети или с большими разделами каталога.
Процесс установки из резервной копии не предназначен для восстановления существующих контроллеров домена в случае их отказов. Для выполнения этой задачи используется метод восстановления состояния системы. После того как контроллер домена будет синхронизирован с помощью восстановленных резервных данных, произойдет репликация, обновляющая новый контроллер домена всеми изменениями, которые произошли с момента создания резервного набора данных. Чтобы уменьшить время репликации, всегда используйте недавнюю копию резервных данных Active Directory. Резервный набор не может быть старше, чем время жизни объектов-памятников домена, который имеет заданное по умолчанию значение 60 дней. Резервная копия состояния системы должна быть взята с контроллера домена Windows Server 2003 в пределах того же самого домена, в котором создается новый контроллер домена; резервные копии с контроллера домена Windows 2000 несовместимы. Последнее ограничение состоит в том, что резервный файл должен быть восстановлен на локальный диск, и обращаться к нему нужно как к диску, обозначенному буквой логического имени (пути UNC и отображаемые диски (mapped drives) недопустимы в качестве части параметра /adv). Для получения дополнительной информации о создании резервной копии разделов Active Directory см. гл. 15.
Чтобы создать дополнительный контроллер домена из восстановленных резервных файлов, выполните следующие действия.

1. Создайте и проверьте резервную копию System State (Состояние системы) на контроллере домена в домене. Восстановите эту резервную копию на локальный диск или в другое место в сети, где к ней можно обращаться (через букву — имя диска) с сервера, на котором выполняется Windows Server 2003 и который должен быть назначен контроллером домена.
2. На сервере запустите мастер инсталляции Active Directory из командной строки или диалогового окна Run, используя параметр /adv — напечатайте dcpromo / adv.
3. В окне Domain Controller Type (Тип контроллера домена) выберите Additional Domain Controller For An Existing Domain (Дополнительный контроллер домена для существующего домена).
4. В окне Copying Domain Files (Копирование файлов домена) выберите место расположения восстановленных резервных файлов.
5. В окне Copy Domain Information (Копирование информации домена) выберите место расположения восстановленных резервных файлов для этого домена.
6. Заполните остальные пункты мастера инсталляции Active Directory так, как описано в предыдущих разделах.

Создание дополнительного контроллера домена из восстановленных резервных файлов требует наличия сетевой связи и доступного контроллера домена в том же самом домене. Содержание общедоступного ресурса Sysvol, например, копируется на новый контроллер домена вне этого процесса. Репликация будет выполняться между контроллером, содержащим свежие данные, и недавно созданным контроллером домена для всех объектов, созданных после того, как был создан резервный набор данных.
Дополнительная информация. Для организаций со множеством маленьких отдаленных сайтов, связанных медленными связями с центральным сайтом или центром данных, развертывающих Active Directory, смотрите документ «Active Directory Branch Office Guide» (Руководство по созданию Active Directory для филиалов) по адресу http://www.microsoft.com/windows2000/ techinfо/planning/activedirectory/branchoffice/default.asp. Этот документ включает руководства по планированию и развертыванию, предназначенные помочь вам в проектировании стратегии развертывания Active Directory в сценарии с несколькими филиалами. В руководствах содержатся также пошаговые инструкции реализации этой стратегии.
Удаление Active Directory
Служба Active Directory удаляется из контроллера домена с помощью той же самой команды, которая используется для ее установки -Dcpromo.exe. Когда вы выполняете эту команду на компьютере, являющемся контроллером домена, мастер инсталляции Active Directory уведомит вас, что если вы выберете продолжение этой процедуры, то Active Directory будет деинсталлирована. Последовательность действий зависит от того, является ли контроллер домена, с которого вы удаляете Active Directory, последним контроллером домена в домене или нет. В этом разделе обсуждаются последствия удаления Active Directory.
Что происходит с контроллером домена, когда вы удаляете Active Directory? Удаляется база данных каталога, все услуги, необходимые для Active Directory, останавливаются и удаляются, создается локальная база данных SAM, и компьютер понижается до роли автономного сервера или сервера члена группы. Результат будет зависеть от того, является ли контроллер домена дополнительным контроллером домена или последним контроллером домена в домене или лесу.
Чтобы удалить Active Directory из контроллера домена, напечатайте dcpromoв командной строке или в диалоговом окне Run. Вначале нужно определить, является ли контроллер домена дополнительным контроллером домена или последним контроллером домена в домене. На рисунке 6-16 показано окно соответствующего мастера.

Рис. 6-16. Опция удаления последнего контроллера домена
Затем мастер инсталляции Active Directory отобразит список всех разделов приложений каталога, найденных на контроллере домена. Если этот контроллер домена - последний в домене, то он является последним источником этих данных приложений. Возможно, что вы захотите защитить эти данные, прежде чем продолжать использование мастера, который удалит эти разделы. Если контроллер домена, из которого вы удаляете Active Directory, является также сервером DNS, то там будут находиться, по крайней мере, два раздела приложений каталога, в которых хранятся зонные данные. На рисунке 6-17 смотрите пример разделов приложений DNS каталога, найденных при деинсталляции Active Directory.
После того как вы подтвердите удаление прикладного раздела каталога, вас попросят ввести новый пароль для локальной учетной записи администратора. Затем появится окно Summary (Резюме), и удаление
Active Directory завершится. Для окончания этого процесса вы должны перезапустить компьютер. После перезапуска компьютера он будет играть роль сервера-члена домена или автономного сервера.

Рис. 6-17. Удаление разделов приложений DNS в каталоге
Удаление дополнительных контроллеров домена
Удаление Active Directory из дополнительных контроллеров домена -не такое запутанное дело, как удаление Active Directory с последнего контроллера домена в домене или лесу. В случае удаления дополнительных контроллеров домена остаются реплики разделов каталога, хранящиеся на других контроллерах домена, так что фактически данные не будут потеряны. Множество интересных изменений происходит на контроллере домена при деинсталляции Active Directory.

• Все роли хозяина операций передаются другим контроллерам домена в домене.
• Папка Sysvol и все ее содержимое удаляется из контроллера домена.
• Объект NTDSSettings(Параметры настройки NTDS) и перекрестные ссылки удаляются.
• Служба DNS обновляется для удаления SRV записей контроллеров домена.
• Создается локальная база данных SAM для обработки локальной политики безопасности.
• Все службы, которые были запущены при установке Active Directory (например, Net Logon - Сетевой вход в систему), останавливаются.

Тип учетных записей компьютера изменяется с контроллера домена на сервер-член домена, и учетная запись компьютера перемещается из контейнера Domain Controllers (Контроллеры домена) в контейнер Computers (Компьютеры). Чтобы удалить Active Directory из дополнительного контроллера домена, вы должны войти в систему как член группы Domain Admins или Enterprise Admins.
Примечание. При удалении Active Directory с дополнительного контроллера домена удостоверьтесь, что в домене имеется другой доступный каталог GC. Каталоги GC требуются для пользовательского входа в систему, и эта роль не передается автоматически, как передаются роли хозяина операций.
Удаление последнего контроллера домена
При удалении последнего контроллера домена в домене происходят некоторые специфические события. При удалении последнего контроллера домена удаляется сам домен. Аналогично, если контроллер домена является последним в лесу, то лес также удаляется. События, связанные с удалением последнего контроллера домена в домене, включают следующее.

• Мастер инсталляции Active Directory проверяет, что не существует никаких дочерних доменов. Удаление Active Directory блокируется, если обнаружены дочерние домены.
• Если домен, который будет удален, является дочерним доменом, то организуется контакт с контроллером домена в родительском домене, и на него копируются изменения.
• Все объекты, связанные с этим доменом, удаляются из леса.
• Все объекты доверительных отношений на родительском контроллере домена удаляются.
• После того как Active Directory удалена, тип учетной записи компьютера изменяется с контроллера домена на автономный сервер. Сервер помещается в рабочую группу по имени Workgroup (Рабочая группа).

Административные разрешения, необходимые для удаления последнего контроллера домена в дочернем домене или в корневом домене дерева предполагают, что вы должны войти в систему как член группы Enterprise Admins (Администраторы предприятия) или предъявить сертификаты администратора предприятия в процессе выполнения мастера инсталляции Active Directory. Если вы удаляете Active Directory из последнего контроллера домена в лесу, вы должны войти в систему или как Administrator (Администратор), или как член группы Domain Admins (Администраторы домена).
Автоматическое удаление Active Directory
Удаление Active Directory может происходить в автоматическом режиме, подобно автоматической инсталляции. Для этого используется командная строка. Единственное различие — содержание файла ответов.
Чтобы выполнить автоматическое удаление Active Directory, в командной строке или в диалоговом окне Run, напечатайте dcpromo/ answer:answerfile(где answerfile— имя файла ответов, который вы создадите). Файл ответов содержит значения ключей, которые рассматривались выше. Важнейший ключ — IsLastDCInDomain—.может иметь значение Yes (Да) или No (Нет). Если вы устанавливаете значение этого ключа на Yes, то тем самым указываете, что удаляете Active Directory из последнего контроллера домена в домене и сам домен тоже будет удален. Типовой файл ответов, предназначенный для удаления дополнительного контроллера домена, показан ниже:
[Deinstall]
RebootOnSuccess=Yes
lsLastDCInDomain=No
AdministratorPassword=passivord
Passwo rd =password
UserName=Administrator
Резюме
В этой главе обсуждались решения, которые вы должны принять в процессе инсталляции Active Directory Windows Server 2003. В то время как механизм установки Active Directory достаточно прост, решения должны быть тщательно спланированы и согласованы с проектом Active Directory. Удаление Active Directory — тоже простая процедура, но необходимо рассмотреть воздействие удаления данного контроллера домена на остальную часть вашей инфраструктуры службы каталога. В главе был также рассмотрен новый способ инсталляции Active Directory — установка дополнительного или содержащего реплику контроллера домена из восстановленных резервных файлов. Этот способ значительно уменьшает время, необходимое для установки дополнительного контроллера домена, за счет уменьшения времени на синхронизацию разделов каталога.

1 .. 5 6 7 8 9 .. 16