Администратирование Windows 2000 Основные концепции службы Active Directory Проектирование доменов и развертывание Active Directory Математика Исследование функции Задачи на пределы Задачи на производную График функции Векторная алгебра Линейные уравнения Задачи на матрицы Задачи на интеграл Энциклопедия архитектуры Интегральное исчисление Кратные интегралы Математический анализ Курсовые расчеты Администрирование Windows 2000 Инсталляции системы Запуск ОС Поддержка Plug and Play Интерфейс Панель управления Консоль управления Файловые системы FAT и FAT32 Сетевые службы и сервера Служба удаленного доступа Введение в маршрутизацию Службы Internet Information Services Службы каталогов Оснастка Activ Directory Групповые политики Операционная система Linux Дистрибутив Конфигурирование X Windows Дополнительная конфигурация Работа с файлами Периферия и мультимедиа Интернет и почта Работа в сетях Windows и Novell Сервер Web Информационные источники Службы каталогов. Общие вопросы В рамках этой книги невозможно подробно рассмотреть все аспекты использования службы каталогов Active Directory и доменов Windows 2000, поэтому в данной и следующих двух главах изложены основные термины и принципы построения служб каталогов и, конкретно, Active Directory; без понимания этих принципов трудно воспринимать материал многих других глав и эффективно использовать системы Windows 2000 в сложной сетевой среде. Рассмотрены также некоторые вопросы развертывания доменов Windows 2000 и типовые операции администрирования Active Directory (создание объектов каталога, делегирование прав администрирования, управление доверительными отношениями и т. д.). Разобравшись с изложенными в упомянутых главах темами, читатель сможет правильно подойти к решению многочисленных вопросов, возникающих в процессе эксплуатации сетевой многодоменной среды Windows 2000. Назначение службы каталогов Каталоги и Windows 2000 Терминология Объекты и объектные классы Каталог состоит из элементов (entries), представляющих собой информацию, или атрибуты, связанные с некоторым реальным объектом, например компьютером, человеком или организацией. Термины «элемент» и «объект» часто используют как взаимозаменяемые, хотя объект — это нечто относящееся к физическому миру, а элемент — его представление в каталоге. Каждый объект принадлежит по крайней мере к одному объектному классу, представляющему собой некоторое семейство объектов с определенными общими характеристиками. Класс объектов определяет тип информации, содержащейся в Active Directory для экземпляров (объектов) данного класса. В качестве примера объектных классов можно привести два стандартных класса: person и domain. Среди множества атрибутов этих классов — cn (Common-Name), userPassword (User-Password) и dc (Domain-Component), url (WWW-Page-Other), соответственно. Атрибуты могут быть как обязательными (mandatory) для данного класса (например, сn и dc), так и дополнительными (optional) (userPassword и url). Атрибуты и их типы Контейнер Информационное дерево каталога Схема каталога Пространство имен Служба каталогов Active Directory Основные компоненты любой службы каталога — база данных, содержащая нужную информацию, и один или несколько протоколов, обеспечивающих доставку данных пользователям. Active Directory обеспечивает хранение любой общедоступной информации. Как и другие службы каталогов, Active Directory обеспечивает некоторый механизм хранения информации и протоколы для доступа к ней. Домены и Контроллеры доменов Службы DNS и Aciive Directory В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой — преобразовывать простые для запоминания имена типа company.com в IP-адреса. Для этого каждый компьютер-сервер DNS имеет набор записей с информацией о ресурсах. Каждая запись имеет некоторый тип, определяющий характер и назначение хранящейся информации. Например, запись типа А применяется для преобразования доменного имени компьютера в заданный IP-адрес, а запись типа MX — для поиска почтового сервера в определенном почтовом домене. Каждый DNS-сервер «знает» свое место в глобальном пространстве DNS-имен, что позволяет передавать неразрешенные запросы другим серверам. Поэтому — пусть и не сразу— почти каждый клиентский запрос находит нужный сервер, хранящий искомую информацию. Листья н контейнеры LDAP Механизмы именовании в Active Directory Организация доменов: Лес и Деревья Доверительные отношения Поиск информации: Индексы и Глобальный каталог Изменение местоположения глобального каталога Репликация (replication, дублирование) данных в каталоге (хранение копий каталога на различных компьютерах) повышает производительность и готовность, {надежность). Как и все другие службы каталога, Active Directory позволяет реплицировать данные. Как показано на рис. 23.4, когда клиент изменяет какой-нибудь элемент каталога, изменения реплицируются на все контроллеры данного домена. Поскольку протокол LDAP не поддерживает возможности репликации, в Active Directory для выполнения этой задачи используются различные протоколы, разработанные компанией Microsoft. Сайты Основные контроллеры операций Роли контроллера операций (FSMO) Роли, уникальные для леса Роли, уникальные для домена Передача ролей FSMO Для передачи ролей FSMO, уникальных для всего леса, используются оснастки Схема Active Directory (Active Directory Schema) (для назначения роли «хозяин схемы») и Active Directory- домены и доверие (Active Directory Domains and Trusts) (для назначения роли «хозяин именования доменов»). В окне соответствующей оснастки нужно вызвать контекстное меню для корня структуры, выбрать команду Подключение к контроллеру домена (Change Domain Controller) и соединиться с нужным контроллером домена. Затем в контекстном меню выбрать команду Хозяин операций (Operations Master) и в появившемся окне, нажав кнопку Изменить (Change), подтвердить передачу роли выбранному контроллеру домена. Отказы основных контроллеров операций Интерфейсы API в Active Directory Active Directory и промышленные стандарты (RFC) Проектирование доменов и развертывание Active Directory Предварительные операцииПредполагается, что читатель уже знаком с основными понятиями и концепциями службы каталогов Active Directory, изложенными в главе 23. Теперь можно в общих чертах рассмотреть процесс развертывания службы каталогов и создания контроллеров доменов, на которых она функционирует. Для краткости (тема планирования доменов и миграции из предыдущих версий заслуживает отдельной книги) мы не будем рассматривать многочисленные доменные модели Windows NT 4.0 и способы их преобразования в домены Windows 2000. Важно понять сам принцип создания и обновления контроллеров домена (запуск процесса повышения роли сервера, очередность обновления РОС и BDC и т. д.) и на его базе строить стратегию перевода существующих доменов в домены Windows 2000. Планирование структуры доменов Разработка модели делегирования прав администрирования Планирование организационных единиц (подразделений) Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие OU. OU — это минимальная «единица» администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов. Проектирование структуры сайтов Установка контроллеров домена Подготовка к созданию контроллера домена Создание первого контроллера домена Установка DNS-cepвepa Запуск мастера установки Active Directory Подключение рабочих станций и рядовых серверов Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2QOO аналогично тому, как это делается в Windows NT 4.O. При этом используется оснастка Active Directory — пользователи я компьютеры. Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (серверы DHCP более подробно описаны в главе 17) или задаваться вручную. Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на .клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно. Включение в домен дополнительных контроллеров Добавление к дереву дочерних доменов Создание нового дерева в лесе Понижение контроллера домена Переключение домена в основной режим Миграция в Active Directory Переход к Active Directory Active Directory Migration Tool Миграция из Novell NetWare Как уже говорилось, можно перейти к Active Directory из различных служб каталогов (Exchange, Windows NT Server 4.0 NTDS и др.). Кроме того, компания Microsoft предлагает средства для перехода от Novell NetWare к Windows 2000, что особенно актуально для смешанных сетевых сред. Такие средства уже существовали в предыдущих версиях Windows NT и позволяли переносить пользователей, группы, файлы и списки управления доступом к файлам из базы данных bindery в контроллер домена Windows NT Server. Для системы Windows 2000 компания Microsoft выпустила два облегчающих миграцию инструмента, которые входят в отдельно приобретаемый продукт — Microsoft Services for NetWare v.5 (SFNW5): Microsoft Directory Synchronization Services File Migration Utility